SOLUCIONES PERIMETRALES_PLAN DE SEGURIDAD DE LA INFORMACIÓN SEGURIDAD PERIMETRAL CON FIREWALLS EN ZENTYAL

ERIKA STEPHANY FRANCO ORTEGA GRUPO: 38110

INSTRUCTOR ANDRES MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL GESTION DE LA SEGURIDAD EN LA RED

MEDELLÍN SENA 2011

CONTENIDO

INTRODUCCIÓN 1. OBJETIVOS 1.1 Objetivo General 1.2 Objetivo Específico 2. DIAGRAMA LÓGICO DE RED 3. MARCO TEÓRICO 4. SEGURIDAD PERIMETRAL CON FIREWALLS EN ZENTYAL 4.1 Configuración de las Interfaces de Red 4.2 Direccionamiento de las Interfaces de Red activas 4.3 Configuración de los Objetos 4.4 Servicios de Red 4.5 Reglas de Filtrado 4.5.1 Reglas de filtrado desde las redes externas a Zentyal 4.5.2 Reglas de filtrado desde las redes internas a Zentyal 4.5.3 Pruebas para filtros de redes externas e internas a Zentyal 4.5.4 Reglas de filtrado para las redes internas 4.5.5.Pruebas para filtros entre redes internas 4.5.6 Reglas de redes internas hacia Internet 4.5.7 Pruebas de conectividad redes internas a redes externas 4.5.8 Redirección de puertos 4.5.9 Pruebas de conectividad para Redirección de puertos 4.6 Acceso a los Servicios ZENTYAL - RED_DMZ CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIÓN

La seguridad perimetral se define como la correcta implementación de los equipos de seguridad que controlan y protegen todo el tráfico de entrada y salida entre todos los puntos de conexión o el perímetro de la red a través de una correcta definición de las políticas de seguridad y una buena configuración de los dispositivos de protección. La solución de Seguridad Perimetral protege a las redes de las amenazas tales como Hackers, ataques de Negación de Servicio (Denied of Service -DoS), Malware, Spam, contenido malicioso en correos y Páginas Web en diferentes medios y puntos de conexión o perímetro de la red organizacional. El objetivo principal de la realización de este trabajo es con el fin de implementar uno de os tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, como lo es el FIREWALL buscando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet (Filtro del trafico de entrad y salida hacia Internet desde la Red de Confianza (LAN)) Cabe resaltar que para su correcta elaboración, desarrollo e implementación se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es la distribución de firewalls por software tales denominada ZENTYAL; los cuales a su vez permiten configurar eficazmente otras soluciones perimetrales como PROXY y VPN para tener bajo un mismo sistema todas las implementaciones de seguridad. Se realizó con la mayor creatividad e interés posible para que el lector lo disfrute completamente.

1. OBJETIVOS

1.1 Objetivo General

Definir las políticas, normas, técnicas y procedimientos de seguridad de la red, aplicando estándares y normas internacionales de seguridad vigentes, para el aseguramiento de la información y la red, utilizando herramientas tecnológicas, para realizar el diseño de un Firewall de red.

1.2 Objetivos Específicos

Configurar el hardware, el software y aplicar los procedimientos de seguridad, de

acuerdo con el diseño establecido, garantizando el aseguramiento de la información y de la red, para implementar filtros de entrada y salida hacia la Red Local.

Identificar las vulnerabilidades y ataques de la red de cómputo a través de técnicas y

herramientas que permitan realizar el análisis de riesgos y garantizar el funcionamiento de la red conforme con las pautas especificadas en el proceso de aprendizaje.

Realizar procedimientos para la revisión y seguimiento de registro de eventos, en los

equipos firewalls, servidores y estaciones de trabajo mediante herramientas y técnicas que permitan determinar eventos que alteran el estado de la seguridad de la red, para tener control de la integridad del sistema.

2. DIAGRAMA LÓGICO DE RED

ETH1

ETH2

ETH0

3. MARCO TEÓRICO

FIREWALL: También conocidos como cortafuegos pueden ser dispositivos físicos o software que cumple funciones de filtrado de paquetes en un computador (firewall personal) o en una red (Firewall de Red). Existen firewalls stateless y statefull siendo su principal diferencia el manejo de tablas dinámicas en memoria que logran asociar conexiones establecidas entre los nodos de una red. Generalmente los firewalls funcionan en la capa 3, 4 y 5 del modelo OSI, permitiendo filtrar direcciones IP, protocolos y puertos, como también conexiones establecidas o por establecerse con cualquiera de estos servicios. Una característica de los firewalls más comunes es que los mismos no soportan el análisis de datos, por lo tanto no será posible identificar el contenido de los paquetes que cruzan una red, para esto es necesario tener firewalls a nivel de aplicaciones (PROXY), ejemplos de estos son los WAF (Web Firewall Application) que no son más que filtros a nivel de HTTP para evitar que los sistemas Web sean atacados.

ZENTYAL: Es un servidor de red unificado de código abierto (Plataforma de red unificada) para las PYMEs (Pequeñas y medianas empresas) el cual puede actuar gestionando la infraestructura de red, como puerta de enlace a Internet (Gateway), gestionando las amenazas de seguridad a partir de la configuración de Soluciones Perimetrales (Firewall, Proxy, VPNs e IDS)), como servidor de oficina, como servidor de comunicaciones unificadas o una combinación de estas. Además, Zentyal incluye un marco de desarrollo (Framework) para facilitar el desarrollo de nuevos servicios basados en Unix.

UTM (Gestión Unificada de Amenazas): Describe los cortafuegos de red que engloban

múltiples funcionalidades en una misma máquina. Algunas de las funcionalidades que puede incluir UDP, VPN, Antispam, Antiphishing, Antispyware, Filtro de contenidos, Antivirus, Detección/Prevención de Intrusos (IDS/IPS). Se trata de un cortafuegos a nivel de capa de aplicación que pueden trabajar de dos modos:

Modo Proxy: Hacen uso de los Servidores Proxy para procesar y redirigir todo el

tráfico interno.

Modo Transparente: No redirigen ningún paquete que pase por la línea, simplemente lo procesan y tienen la capacidad de analizar en tiempo real el tráfico. Este modo requiere de unas altas prestaciones hardware.

CA (Certification Authority, Autoridad de certificación): Es una entidad de confianza, responsable de emitir y revocar los certificados digitales, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública para validar su nivel de confianza y el de sus certificados firmados. La CA por sí misma o mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son

documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un procedimiento normalizado para demostrar que una CA merece dicha confianza.

Certificado Revocado: Es un certificado que no es válido aunque se emplee dentro de su período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia puede restablecerse en determinadas condiciones.

4. SEGURIDAD PERIMETRAL CON FIREWALLS EN LA DISTRIBUCIÓN ZENTYAL

Para la configuración e implementación de un Servidor Firewall a través de la Distribución Zentyal se utilizarán dos máquinas virtuales que cumplirán la función de Red LAN y DMZ; y una de las máquinas reales en la red por DHCP la cual permitirá la salida a Internet (Red WAN). La máquina que correrá bajo el sistema Zentyal será un intermediario entre las tres redes por lo que poseerá tres interfaces, dos por Red Interna para las redes LAN y DMZ y una por Adaptador puente que será la Puerta de enlace para salir a Internet. La red DMZ cuenta con diferentes servicios de red como SMTP FTP, DNS, POP3, IMAP, HTTP, HTTPS y SSH los cuales serán publicados a la red interna por medio de su IP privada y a la red externa por una IP pública. Por su parte, la red LAN únicamente cuenta con tres servicios internos: HTTP, HTTPS y FTP. 4.1 Configuración de las Interfaces de Red

Como primer paso, ya instalado el Sistema de Zentyal, nos dirigimos a verificar la configuración de los adaptadores de red en la Máquina Zentyal los cuales deben estar asociados con cada una de las redes (LAN y DMZ) de acuerdo a su nombre para que haya un puente entre ambas y el tráfico vaya dirigido directamente a dicha interfaz. Para la red LAN la interfaz recibirá el nombre de intnet-lan, la Red DMZ, intnet-dmz y la WAN eth2.

NOTA: El nombre de las interfaces tanto para la red LAN y DMZ varian ya que son interfaces virtuales propias del Virtualizador (Virtual Box).

El Adaptador 3 al ser configurado en modo Adaptador puente (Bridge) estará directamente conectado a la Red WAN.

Luego de verificar los tres adaptadores de red en Zentyal, nos dirigimos a configurarlos en las máquinas virtuales LAN y DMZ; ambos adaptadores de red deben ubicarse en el mismo número de adaptador para que la conexión se encuentre correcta. En el Adaptador 1 debe estar directamente conectada la interfaz intnet-dmz y en el Adaptador 2 la interfaz intnet-lan.

4.2 Direccionamiento de las Interfaces de Red activas Iniciamos sesión desde el administrador de Zentyal para comenzar con la configuración del Servidor Firewall. Ingresamos el login correspondiente especificado en la instalación del Servidor y damos clic en Entrar.

Procedemos a realizar la configuración de las Interfaces de Red para el Servidor, la cual permitirá la conectividad entre las máquinas virtuales, Internet y el propio Zentyal. Nos dirigimos al Menú principal y damos clic en la pestaña Red – Interfaces.

Estando allí procedemos a indicar las respectivas direcciones IP (Puerta de enlace de las máquinas directamente conectadas a Zentyal) para las tres interfaces. En la primer interfaz (eth0) estará conectada la Red DMZ, su Método será Estático y agregamos la Dirección correspondiente (192.168.150.1/24). Damos clic en Cambiar.

Ahora continuamos con la interfaz eth1 que se encuentra asociada a la Red LAN; igualmente será Estática y tendrá una dirección IP especifica (192.168.188.1/24). Seleccionamos el botón Cambiar.

En la interfaz eth2 configuraremos la salida a Internet (Red WAN) por lo que el Método deberá ser por DHCP y para indicar que el enlace es externo seleccionamos la opción Externo (WAN) para que dicho Servidor la reconozca de este modo. Damos clic en Cambiar.

Procedemos a guardar los cambios efectuados dando clic en la pestaña de color rojo ubicada en la parte superior derecha de la página (Guardar cambios). Inmediatamente nos aparece un mensaje indicando algunos módulos que no se encuentran activos. Damos clic en Guardar.

Esperamos que los módulos de red (network) se guarden correctamente.

Ya guardados los cambios correctamente nos parecerá el siguiente mensaje. Nos dirigimos a la pestaña Core – Estado del módulo.

La Configuración del estado de los módulos de Zentyal permite indicar cuales servicios estará activos para su funcionamiento, seleccionamos el Módulo Firewall para habilitarlo. Guardamos los cambios y nos dirigimos a la terminal de la máquina de Zentyal.

Estando en el modo súper-usuario reiniciamos las interfaces utilizando el comando /etc/init.d/networking restart para que la interfaz eth0 que se encuentra en modo Adaptador Puente reciba dirección IP por DHCP. En este caso se puede apreciar cada uno de los paquetes respectivos para la asignación de Dirección IP y la dirección como tal que en el paquete DHPACK proporciona dicho servicio en red (192.168.10.61/24).

A continuación verificamos el direccionamiento de cada interfaz la cual se puede visualizar con el comando ifconfig en la máquina de Zentyal; ya cada una de la redes (LAN, DMZ y WAN) debe tener una IP dentro de su rango respectivo. La dirección asignada en estas interfaces debe estar relacionadas al Gateway (Puerta de enlace) de cada una de las máquinas pertenecientes a las redes en dicha infraestructura. RED LAN: IP: 192.168.188.7/24 GW: 192.168.188.1 RED DMZ: IP: 192.168.150.7/24 GW: 192.168.150.1 RED WAN: IP: 192.168.10.61/24 GW: 192.168.10.1

4.3 Configuración de los Objetos

Como siguiente paso, nos dirigimos nuevamente al Administrador de Zentyal e ingresamos en el menú a la pestaña Objetos.

Estando allí daremos clic en Añade nuevo e indicaremos el nombre de los objetos que vamos a Agregar, en este caso RED_LAN, RED_DMZ y RED_WAN.

Añadido el primer objeto, RED_LAN, nos dirigimos a configurarlo (Members) de tal forma que se encuentre asociado a la dirección IP de la Red LAN como tal. Clic en Añadir.

Al momento de dar clic en Añade nuevo, podremos identificarlo con un nombre (Name), en este caso RED_LAN y asignarle la dirección IP correspondiente.

Como podemos ver en la imagen se ha añadido un miembro al objeto RED_LAN denominado RED_LAN con una Dirección IP específica (192.168.188.0/24). Damos clic en Objets para ir nuevamente a los Objetos.

Realizaremos nuevamente el mismo procedimiento añadiendo tanto el Objeto RED_DMZ y RED_WAN indicando sus respectivos miembros (RED_DMZ y RED_WAN) con sus direcciones de Red establecidas.

Agregamos el nombre respectivo para el miembro y su dirección 192.168.150.0/24. Damos clic en Añadir.

Verificamos que le nuevo miembro haya sido creado correctamente con cada uno de los parámetros establecidos y volvemos a la sección de los Objetos.

Ingresamos a crear el miembro, seleccionamos el link Añade nuevo y allí especificamos para la RED_WAN su dirección de red (192.168.10.0/24). Damos Añadir.

Realizado las anteriores configuraciones, como siguiente paso guardamos los cambios realizados para que se aplique correctamente al Servidor. Damos clic en la pestaña Guardar cambios.

El mensaje que se muestra nos indica que por el momento los módulos que estamos utilizando se encuentran activos. Seleccionamos el botón Guardar para continuar con el proceso.

4.4 Servicios de Red

Ahora nos dirigimos a la pestaña Servicios donde podemos ver los servicios de Red que tiene Zentyal añadidos por defecto. Para nuestro caso requerimos que otros Servicios de Red por medio de los cuales realizaremos el filtrado del tráfico desde y hacia las redes externas (RED_WAN). Para añadir un nuevo servicio damos clic en Añade nuevo.

Ingresamos a la sección para Añadir un nuevo servicio; en ella indicaremos el normbre de éste; para este caso WEB y añadimos una descripción de forma opcional, damos Añadir.

Ya añadido dicho servicio WEB pasamos a configurarlo para indicarle algunos parámetros necesarios para su funcionamiento. Seleccionamos Añade nuevo para crear la configuración.

Dentro de la configuración, especificaremos el protocolo por el cual trabaja dicho servicio (TCP), el puerto de origen que en este caso es Cualquiera y el puerto de destino que es único para su funcionamiento como Servicio d Red (80). Damos Añadir.

Como podemos observar dicha configuración fue agregada. Nuevamente nos dirigimos a la pestaña Servicios.

Ahora añadiremos el Servicio DNS y realizamos el mismo procedimiento que con el Servicio WEB para sus configuraciones e indicación de su Puerto único.

A diferencia del Servicio WEB, el Servidor DNS trabaja con los protocolo TCP / UDP por lo que seleccionamos ambos; utiliza un Puerto de origen cualquiera y un Puerto de destino único 53. Damos clic en Añadir.

Observamos que el servicio fue agregado correctamente y volvemos a Servicios.

Nos dirigimos nuevamente al link “Añade nuevo” para continuar agregando los Servicios de Red

requeridos para el optimo desarrollo de la implementación del Firewall.

A continuación añadimos a la lista de servicios el Servicio FTP indicando el “Nombre del Servicio”

y procedemos a realizar su respectiva configuración en el ícono indicado.

Para la “Configuración del servicio” damos clic en el enlace “Añade nuevo”.

Para este caso el servidor FTP corre a través del protocolo TCP, tiene como puerto de origen “Cualquiera” y como puerto de destino un rango definido entre el 20 y el 21 utilizados para la conexión y la transferencia de datos. Elegimos la opción “Rango de puertos” y en los espacios indicamos ambos puertos; damos clic en Añadir.

Verificamos que dicho servicio se haya añadido de manera correcta con cada una de sus características y nos dirigimos nuevamente a la Lista de Servicios por medio de la pestaña “Servicios”.

Como podemos ver, ya se han agregado a la Lista los siguientes servicios con la configuración

respectiva, el servicio HTTPS (TCP/443), IMAP (TCP/143), POP3 (TCP/110), SMTP (TCP/25), ICMP

y SSH (TCP/22). Procedemos a guardar los cambios efectuados dando clic en “Guardar cambios”.

El aplicativo nos muestra un mensaje indicando que los cambios no se han guardado aún los

cambios realizados; para almacenar dicha configuración damos clic en el botón Guardar.

Nos aparece un mensaje verificando que dicha configuración se ha guardado exitosamente.

4.5 Reglas de Filtrado

Como siguiente paso procedemos a crear las reglas de entrada y salida entre las redes conectadas a Zentyal. Nos dirigimos al menú e ingresamos a la pestaña UTM – Cortafuegos – Filtrado de paquetes.

4.5.1 Reglas de filtrado desde las redes externas a Zentyal

Por medio de las reglas de filtrado desde las redes externas a Zentyal daremos permiso a las redes RED_LAN, RED_DMZ y RED_WAN el acceso administrativo al aplicativo Zentyal de forma remota. Damos clic en el enlace “Configurar reglas”.

Ya estando en este modo de configuración, nos dirigimos al link “Añade nuevo” para comenzar a agregar las reglas.

La primera regla que añadiremos será con una Decisión de ACCEPT (Aceptar) desde un Origen (Objeto de origen) RED_WAN, permitir cualquier servicio (any). Para identificar dicha regla le añadimos una descripción que indica que el tráfico va de la RED_WAN hacia ZENTYAL. Damos clic en Añadir.

Como podemos ver, dicha regla se ha añadido correctamente, damos clic en la pestaña “Guardar cambios” como se indica en la imagen. Si deseamos eliminar dicha regla damos clic en el primer ícono ubicado en las acciones de dicha regla; para editar o modificar su configuración damos clic en el segundo ícono.

El aplicativo nos muestra un mensaje indicando que los cambios no se han guardado aún los cambios realizados; para almacenar dicha configuración damos clic en el botón Guardar.

4.5.2 Reglas de filtrado desde las redes internas a Zentyal

Nuevamente nos dirigimos a la pestaña UTM – Cortafuegos – Filtrado de paquetes y procedemos a Configurar las reglas de filtrado desde las redes internas a Zentyal para la RED_LAN (Red interna). Para esto damos clic en Configurar reglas.

Ya estando en este modo de configuración, nos dirigimos al link “Añade nuevo” para comenzar a agregar las reglas de filtrado.

Para aplicar dichas reglas que permitan pasar el tráfico desde la red RED_LAN indicamos que la decisión es de ACCEPT (Aceptar), con un origen (Objeto origen) RED_LAN y que permita todos los Servicios (any). Como descripción definimos que el tráfico viajará desde la RED_LAN hacia ZENTYAL. Damos clic en Añadir.

Luego a continuación agregamos una nueva regla en este mismo tipo de “Filtrado de paquetes” dando clic en Añade nuevo. Para este caso la nueva regla será de tipo DENY (Denegar) desde un Origen “Cualquiera”, todos los servicios (any) y su descripción será REGLA POR DEFECTO. Esta regla indica que cuando el sistema Zentyal aplique las reglas en su orden, de permiso al acceso de la RED_LAN a Zentyal pero las demás conexiones de otras redes diferentes a ésta las filtra (Deniega el acceso). Esta regla simpre debe quedar configurada después de los filtros ACCEPT para que estas puedan aplicarse.

Ya agregadas dichas reglas podemos modificar su orden utilizando el tercer ícono. Damos clic en Guardar cambios para aplicar la configuración realizada.

El aplicativo nos muestra un mensaje indicando que los cambios no se han guardado aún los cambios realizados; para almacenar dicha configuración damos clic en el botón Guardar.

Nos aparece un mensaje verificando que dicha configuración se ha guardado exitosamente.

4.5.3 Pruebas para filtros de redes externas e internas a Zentyal

En primer lugar nos dirigimos a una máquina o host que se encuentre dentro de la RED_WAN (192.168.150.0/24) y desde allí intentamos acceder al entorno de administración de Zentyal a través de la Dirección IP de la interfaz eth2 directamente conectada a ésta red (192.168.10.61/24). Ingresamos al Browser y en la barra de direcciones indicamos la URL https://192.1.68.10.61 y efectivamente nos conectamos a Zentyal para administrarlo desde una red externa (RED_WAN); digitamos el login para acceder al entorno de configuración.

Como siguiente paso realizaremos las respectivas pruebas para el acceso a Zentyal desde una red interna (RED_LAN). Nos dirigimos a una maquina que se encuentre dentro de la red LAN 192.168.188.0/24; en este caso la dirección IP del host es la 192.168.188.7/24; desde la Terminal ejecutamos el comando ping para verificar la conectividad con la interfaz eth0 directamente conectada a Zentyal el cual debe dar respuesta como se muestra en la imagen.

Nos dirigimos al Browser de dicha máquina e ingresamos con la dirección IP correspondiente a la puerta de enlace (192.168.188.1); como dicha aplicación Web trabaja en modo seguro (https), requiere de la instalación de un Certificado Digital que se encuentre validada por una Entidad

Certificadora Raíz de Confianza (CA). Damos clic en Añadir excepción para que no se requiera de la instalación de dicho certificado y efectivamente ingresamos al aplicativo para administrar Zentyal. Digitamos el usuario y la contraseña respectiva y desde este entorno (remotamente) se podrá tener control del aplicativo.

4.5.4 Reglas de filtrado para las redes internas

Las reglas de filtrado para las redes internas permiten controlar el acceso desde las redes internas (RED_LAN y RED_DMZ) hacia las redes externas como Internet, además del trafico en las mismas internamente. Para proceder a añadir dichas reglas damos clic en Configurar reglas.

Como podemos ver, no hay ninguna regla creada, damos clic en Añade nuevo para configurar dichas reglas.

Para añadir una nueva reglas especificamos los siguientes parámetros indicando que la Decisión es ACCEPT (Aceptar), el Origen (Objeto Origen) seleccionamos RED_LAN, Destino (Objeto destino) correspondiente a la RED_DMZ; en este caso añadiremos el servicio DNS con el fin de que la RED_DMZ publique el servicio DNS a la RED_LAN y esta pueda hacer uso del mismo, como punto opcional agregamos una descripción y damos clic en Añadir.

Verificamos la creación de la regla con sus respectivas configuraciones y si deseamos eliminarla o modificarla utilizamos los iconos ubicados en el campo “Action”. Damos clic en Añade nuevo para continuar agregando las reglas requeridas.

Otros de los servicios que se quieren publicar de la RED_DMZ hacia la RED_LAN son el WEB, SSH, SMTP, POP3 e IMAP los cuales como se puede apreciar en la lista de REDES INTERNAS ya han sido agregados de igual forma como se añadió la regla del DNS. En este caso se creará una regla de PING la cual utiliza el protocolo ICMP para la prueba de conectividad (ECO ENTRANTE). Especificamos la Decisión, el Origen, el Destino y como servicio seleccionamos ICMP; la descripción para identificar dicha regla será PING. Presionamos el botón Añadir.

Como se puede apreciar en la imagen, ya se han agregado los servicios a los cuales la RED_LAN va a poder acceder (Destino) a la RED_DMZ. Por ultimo debemos agregar nuevamente una REGLA POR DEFECTO que deniegue (DENY) todo lo demás si no se cumple con ninguna de las reglas con Decisión ACCEPT. Dicha regla debe quedar al final, después de las decisiones aceptadas.

Nos dirigimos a la pestaña Guardar cambios para aplicar dichas reglas al sistema de Firewall.

El aplicativo nos muestra un mensaje indicando que los cambios no se han guardado aún los cambios realizados; para almacenar dicha configuración damos clic en el botón Guardar.

Nos aparece un mensaje verificando que dicha configuración se ha guardado exitosamente.

Es de gran importancia verificar que el Estado del Módulo Cortafuegos se encuentre Ejecutandose; para ello ingresamos al menú principal y allí accedemos a la pestaña Core – Deshboard y nos dirigimos al final de la página donde se encuentra el indicador de cada uno de los Estados de módulo de Zentyal. Como podemos ver en la imagen el Cortafuegos se encuentra activo.

4.5.5 Pruebas para filtros entre redes internas

CONECTIVIDAD (LAN - DMZ) Y DNS Procedemos a verificar desde un equipo de la RED_LAN. En primer lugar nos dirigimos a la Terminal o Línea de comandos y ejecutamos un ping hacia la dirección IP de la DMZ (192.168.150.7) el cual debe dar respuesta como se muestra en la imagen. Luego ejecutaremos el comando “nslookup” para realizar la resolución de DNS; luego de ejecutarlo ingresamos la sentencia “server 192.168.150.7” lo cual permitirá que la máquina LAN tenga como servidor principal el indicado y pueda realizar resoluciones a partir del mismo; damos ENTER y digitamos el nombre y dominio que utiliza dicho servicio “mail.eriku.com” (Resolución directa) y este nos debe responder con la dirección IP correspondiente al servidor. Luego ingresamos la dirección IP (Resolución inversa) y nos muestra los CNAME (Nombres de hosts) relacionados con dicho dominio y dirección IP.

FTP A continuación realizaremos las pruebas para la conexión al servidor FTP. Desde la consola ejecutamos el comando “ftp + la dirección IP del servidor (192168.150.7)” y directamente se conecta a éste pidiendo un usuario y una contraseña para el login; los ingresamos y efectivamente accedemos al PROMPT del ftp. Con el comando “dir” podemos listar los archivos que se encuentran en dicho ftp con sus respectivos permisos lo cuales en este caso son de lectura (r) y escritura (w) para el usuario propietario, grupo propietario y los otros. Para salir de dicha conexión utilizamos el comando “exit”.

SMTP

Para probar la funcionalidad y conectividad al servidor de correo utilizamos el comando “telnet + dirección IP del servidor + puerto del servicio SMTP” lo cual nos permitirá conectarnos remotamente al servidor de correo. Efectivamente éste nos responde con el nombre completo de la máquina “mail.eriku.com”; para ver las opciones que podemos utilizar en dicha conexión le indicamos al servidor la utilización del mismo a partir de un saludo “EHLO mail.eriku.com” y éste nos listará las opciones. Para salir de dicha conexión ingresamos el comando “exit”.

POP3 E IMAP

La utilización y conectividad al servidor POP3 e IMAP se ejecuta de igual forma que el servicio SMTP a diferencia que el puerto en este caso es el perteneciente al servidor POP3 (110) e IMAP (143). Dicha conexión nos responderá de acuerdo a la plataforma en el cual este implementado, en este caso “+OK Dovecot ready”.

HTTP Y HTTPS

Ahora nos dirigimos al Navegador Web y desde allí ingresaremos con la dirección IP del servidor para probar el ingreso a la página Web. Utilizamos el protocolo HTTP para el modo no seguro y luego el HTTPS para que la comunicación sea cifrada y este respaldada por un certificado digital.

SSH

Porcedemos a acceder a la terminal o línea de comandos y desde allí intentamos conectarnos remotamente a la máquina servidor DMZ de forma segura con el comando “ssh –X (Traer entorno remotmente y autenticación) + (usuario) @ (Dirección IP de la máquina remota)”. Inmediatamente este nos pide autenticación la cual esta relacionada con el password de dicho usuario en la máquina DMZ. Como podemos ver en la imagen nos hemos conectado al PROMPT respectivo de dicha máquina y ahora podemos administrarla desde la máquina LAN.

CONECTIVIDAD (DMZ - LAN)

De acuerdo a lo definido en los filtros, la RED_DMZ no debe hacer ping a la RED_LAN. Verificamos dicha conectividad desde la consola de una máquina de la RED_DMZ y efectivamente no se obtiene respuesta de “eco entrante” hacia la máquina LAN.

4.5.6 Reglas de redes internas hacia Internet

Nuevamente nos dirigimos al link “Configurar reglas” de la pestaña “Reglas de filtrado para la redes internas” desde la cual se deben crear las reglas respectivas que permitan el paso del tráfico desde las redes internas (RED_LAN – RED_DMZ) hacia Internet (RED_WAN).

Ya estando allí procedemos a añadir una nueva regla, damos clic en Añade nuevo.

Las especificaciones para esta reglas cumplen con los siguientes parámetros; a decisión es ACCEPT (Aceptada), el origen es desde la RED_LAN, el destino es cualquiera (RED_WAN) y el tipo de servicios a los cuales se van a acceder es “any” (Todos). La descripción es opcional, en este caso la definiremos como RED_LAN – INTERNET. Damos clic en Añadir.

Nuevamente volvemos a realizar el anterior procedimiento, pero esta vez la regla aplicará para la red interna RED_DMZ hacia la red externa RED_WAN (Internet). Damos clic en Añadir.

Como siguiente paso permitiremos el acceso de la RED_DMZ hacia la RED_LAN por medio de la publicación de los servicios SSH y WEB. Para ellos se debe especificar el origen (RED_DMZ) y el destino del tráfico (RED_LAN); damos clic en Añadir. Como podemos ver en la imagen se encuentran configuradas todas las reglas pertenecientes al tráfico entre las redes Internas y la conexión de las mismas hacia la red externa Internet.

Procedemos a guardar los cambios efectuados dando clic en la pestaña “Guardar cambios”.

4.5.7 Pruebas de conectividad redes internas a redes externas

Como siguiente paso nos dirigimos al Navegador Web tanto de la RED_LAN como de la RED_DMZ para comprobar que ambas tienen conexión a Internet (RED_WAN). Como podemos ver en las siguientes dos imágenes satisfactoriamente ambas redes pueden navegar en la WEB.

Nos dirigimos al Browser de la RED_DMZ e ingresamos con la dirección IP del servidor WEB a la página publicada (https://192.168.188.7).

Estando en uno de los equipos de la RED_DMZ nos dirigimos a la terminal de línea de comandos y desde allí con el comando “ssh –X (Interfaz de la máquina remota) root (usuario)@192.168.188.7 (Dirección IP)” accederemos remotamente a una de las máquinas de la RED_LAN (Host 192.168.188.7). Para establecer la conexión debemos dar “yes” para contrinuar e ingresar el log in (usuario y password) respectivos de dicho equipo remoto. Efectivamente la conexión se ha establecido y ahora nos encontramos en el PROMPT del equipo RED_LAN.

La conectividad a Internet de igual forma se puede probar ingresando a la terminal de cada una de las máquinas pertenecientes a la RED_LAN y la RED_DMZ; y estando allí con el comando “nslookup” nos debe resolver cualquier nombre de dominio de Internet como por ejemplo www.google.com y con el comando “ping” verificamos que haya conectividad desde la red interna hacia Internet.

4.5.8 Redirección de puertos

Para realizar las reglas de nateo que permitirán la publicación de los servicios ofrecidos por la RED_DMZ hacia Internet nos dirigimos al menú UTM – Cortafuegos – Redirecciones de puerto.

Estando allí podemos observar que en el momento no hay ningún puerto redirigido; para añadir a la lista damos clic en el enlace Añade nuevo.

Para añadir una nueva regla debemos tener en cuenta varios parámetros como lo son la Interfaz por la cual va a salir e ingresar el tráfico, en este caso la interfaz WAN (eth2), el destino original que sería uno de los objetos ya existentes en la infraestructura y que se encuentra asociada a dicha interfaz (RED_WAN), el Puerto de destino original (Servicio que se va a publicar) en este caso el Servicio Web (80), el Protocolo que va a utilizar (TCP), el Origen que en este caso sería cualquiera (red externa), la Dirección IP de destino (Servidor que administra dicho servicio) por el puerto 80 (Mismo), seleccionamos la opción Registrar para añadir la conexión redirigida como nueva y colocamos una Descripción que este caso sería RED_WAN – RED_DMZ. Damos clic en Añadir.

Al añadir dicha regla podemos ver que se agrega a la lista indicando cada parámetro especificado. Para eliminarla damos clic en el primer ícono indicado en dicha regla, para editarla damos clic en el segundo. Ahora procedemos a añadir una nueva regla.

Para la siguiente regla especificaremos los mismos parámetros de configuración a diferencia del protocolo que en este caso será TCP/UDP para el puerto 53 (Servicio DNS). Damos clic en Añadir.

Para la regla relacionada con el Servicio FTP se debe especificar un Rango de puertos (20 - 21) ya que dicho protocolo utiliza ambos tanto para los datos y control de los mismos. Damos clic en Añadir.

Como podemos ver en la siguiente imagen se han agregado reglas para cada uno de los servicios que se encuentran en funcionamiento en la RED_DMZ con el fin de que estos sean públicos para redes externas (RED_WAN). Para permitir el ping (ICMP) indicamos que le puerto de destino es cualquiera ya que dicho paquete no presenta un puerto específico.

Procedemos a guardar los cambios efectuados dando clic en “Guardar cambios”.

El aplicativo nos muestra un mensaje indicando que los cambios no se han guardado aún los cambios realizados; para almacenar dicha configuración damos clic en el botón Guardar.

Nos aparece un mensaje verificando que dicha configuración se ha guardado exitosamente.

4.5.9 Pruebas de conectividad para Redirección de puertos

DNS: Para verificar que la redirección de puertos se configuró correctamente y que la RED_WAN puede acceder a los servicios de la RED_DMZ, nos dirigimos a una máquina que se encuentre dentro de la red externa (DHCP – 192.168.10.61) e ingresamos a la terminal de línea de comandos. Es importante tener claro que la dirección que nos va a redireccionar a la DMZ es la IP pública que tiene la interfaz de la RED_WAN ya que en el exterior no deben tener conocimiento de la IP privada de la organización. Estando allí procedemos a utilizar el comando “nslookup” el cual nos permitirá resolver direcciones o dominios a partir de un servidor específico. Indicamos con la sentencia “server” la dirección IP del servidor DNS que queremos sea nuestro DNS principal (192.168.150.7) y luego tratamos de resolver el nombre completo de dominio para dicho servidor “mail.eriku.com”. Como podemos ver éste nos resuelve con la dirección IP correcta. Para probar la resolución directa indicamos la dirección IP y como se muestra en la imagen el servidor DNS nos responde con los diferentes CNAMES (Nombres de host) que tiene asociado a dicho dominio.

FTP A continuación realizaremos las pruebas para la conexión al servidor FTP. Desde la consola ejecutamos el comando “ftp + la dirección IP Pública (192168.10.61)” y directamente se conecta a éste pidiendo un usuario y una contraseña para el login; los ingresamos y efectivamente accedemos al PROMPT del ftp. Con el comando “dir” podemos listar los archivos que se encuentran en dicho ftp con sus respectivos permisos lo cuales en este caso son de lectura (r) y escritura (w) para el usuario propietario, grupo propietario y los otros. Para salir de dicha conexión utilizamos el comando “exit”.

Para acceder al Servicio FTP también podemos dirigirnos al Navegador e ingresar en la barra de direcciones la URL ftp://192.168.10.61 (IP Pública); inmediatamente éste nos pedirá que digitemos el log in de usuario, damos clic en Aceptar y cómo podemos ver éste nos muestra el directorio y los archivos que éste contiene. Par ver el archive documento.txt que se encuentra publicado damos clic sobre él.

SMTP

Para probar la funcionalidad y conectividad al servidor de correo utilizamos el comando “telnet + dirección IP pública + puerto del servicio SMTP” lo cual nos permitirá conectarnos remotamente al servidor de correo. Efectivamente éste nos responde con el nombre completo de la máquina “mail.eriku.com”; para ver las opciones que podemos utilizar en dicha conexión le indicamos al servidor la utilización del mismo a partir de un saludo “EHLO mail.eriku.com” y éste nos listará las opciones. Para salir de dicha conexión ingresamos el comando “exit”.

POP3 E IMAP

La utilización y conectividad al servidor POP3 e IMAP se ejecuta de igual forma que el servicio SMTP a diferencia que el puerto en este caso es el perteneciente al servidor POP3 (110) e IMAP (143). Dicha conexión nos responderá de acuerdo a la plataforma en el cual este implementado, en este caso “+OK Dovecot ready”.

HTTP Y HTTPS

Ahora nos dirigimos al Navegador Web y desde allí ingresaremos con la dirección IP Pública para probar el ingreso a la página Web del servidor. Utilizamos el protocolo HTTP para el modo no seguro y luego el HTTPS para que la comunicación sea cifrada y este respaldada por un certificado digital.

Al momento de conectarnos utilizando el protocolo HTTP seguro (HTTPS) éste nos pide confirmación sobre la confianza de dicho sitio ya que no contamos con un Certificado Digital instalado en el Navegar que valide dicha página. Para este caso damos clic en el botón Añadir excepciones para poder ingresar al sitio.

SSH

Porcedemos a acceder a la terminal o línea de comandos y desde allí intentamos conectarnos remotamente a la máquina servidor DMZ de forma segura con el comando “ssh –X (Traer entorno remotmente y autenticación) + (usuario) @ (Dirección IP de la máquina remota (pueta de enlace – red pública eth2)”. Inmediatamente este nos pide autenticación la cual está relacionada con el password de dicho usuario en la máquina DMZ. Como podemos ver en la imagen nos hemos conectado al PROMPT respectivo de dicha máquina y ahora podemos administrarla desde la máquina LAN.

4.6 Acceso a los Servicios ZENTYAL – RED_DMZ

Uno de los requisitos con los cuales debe cumplir dicha infraestructura es que el FIREWALL (ZENTYAL) pueda tener acceso a todos los servicios de la RED tanto Interna como Externa. Para ellos probaremos la conectividad desde éste hacia la RED_DMZ.

HTTP Y HTTPS

Ahora nos dirigimos al Navegador Web y desde allí ingresaremos con la dirección IP del servidor para probar el ingreso a la página Web. Utilizamos el protocolo HTTP para el modo no seguro y luego el HTTPS para que la comunicación sea cifrada y este respaldada por un certificado digital.

Al momento de conectarnos utilizando el protocolo HTTP seguro (HTTPS) éste nos pide confirmación sobre la confianza de dicho sitio ya que no contamos con un Certificado Digital instalado en el Navegar que valide dicha página. Para este caso damos clic en el boton Añadir excepciones para poder ingresar al sitio.

CONEXIÓN A INTERNET

Como siguiente paso nos dirigimos al Navegador Web para comprobar que tienecon exión a Internet (RED_WAN). Como podemos ver en la siguiente imagen satisfactoriamente ésta redes puede navegar en la WEB.

FTP Para acceder al Servicio FTP nos dirigirnos al Navegador e ingresar en la barra de direcciones la URL ftp://192.168.150.7 (IP del Servidor); inmediatamente éste nos pedirá que digitemos el log in de usuario, damos clic en Aceptar y cómo podemos ver éste nos muestra el directorio y los archivos que éste contiene. Par ver el archive documento.txt que se encuentra publicado damos clic sobre él

DNS Para verificar que la redirección de puertos se configuró correctamente y que la RED_WAN puede acceder a los servicios de la RED_DMZ, nos dirigimos a una máquina que se encuentre dentro de la red externa (DHCP – 192.168.150.7) e ingresamos a la terminal de línea de comandos. Estando allí procedemos a utilizar el comando “nslookup” el cual nos permitirá resolver direcciones o dominios a partir de un servidor específico. Indicamos con la sentencia “server” la dirección IP del servidor DNS que queremos sea nuestro DNS principal (192.168.150.7) y luego tratamos de resolver el nombre completo de dominio para dicho servidor “mail.eriku.com”. Como podemos ver éste nos resuelve con la dirección IP correcta. Para probar la resolución directa indicamos la dirección IP y como se muestra en la imagen el servidor DNS nos responde con los diferentes CNAMES (Nombres de host) que tiene asociado a dicho dominio.

SMTP

Para probar la funcionalidad y conectividad al servidor de correo utilizamos el comando “telnet + dirección IP del servidor + puerto del servicio SMTP” lo cual nos permitirá conectarnos remotamente al servidor de correo. Efectivamente éste nos responde con el nombre completo de la máquina “mail.eriku.com”; para ver las opciones que podemos utilizar en dicha conexión le indicamos al servidor la utilización del mismo a partir de un saludo “EHLO mail.eriku.com” y éste nos listará las opciones. Para salir de dicha conexión ingresamos el comando “exit”.

POP3 E IMAP

La utilización y conectividad al servidor POP3 e IMAP se ejecuta de igual forma que el servicio SMTP a diferencia que el puerto en este caso es el perteneciente al servidor POP3 (110) e IMAP (143). Dicha conexión nos responderá de acuerdo a la plataforma en el cual este implementado, en este caso “+OK Dovecot ready”.

SSH

Porcedemos a acceder a la terminal o línea de comandos y desde allí intentamos conectarnos remotamente a la máquina servidor DMZ de forma segura con el comando “ssh –X (Traer entorno remotmente y autenticación) + (usuario) @ (Dirección IP de la máquina remota – servidor)”. Inmediatamente este nos pide autenticación la cual está relacionada con el password de dicho usuario en la máquina DMZ. Como podemos ver en la imagen nos hemos conectado al PROMPT respectivo de dicha máquina y ahora podemos administrarla desde la máquina LAN.

CONCLUSIONES

La distribución Zentyal facilita en gran medida manejar la seguridad de una infraestructura de redes internas y externas ya que maneja diferentes soluciones perimetrales que controla el tráfico de entrada y salida entre los canales de comunicación. La seguridad perimetral representa una gran importancia dentro de las redes ya que maneja y controla el envío y recepción de paquetes entre el Internet (RED WAN) y la intranet de una empresa (RED LAN) denegando y permitiendo el paso de los mismos de extremo a extremo.

Los firewalls son parte esencial de cualquier solución de seguridad en redes y para proporcionar la máxima protección contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos actúen como parte de una plataforma integral de seguridad. En definitiva, un firewall es un complemento al resto de medidas corporativas que se han de tomar para garantizar la protección de la información y que han de contemplar no solo los ataques externos, sino también los internos, que puede realizar el propio personal, así como todas aquellas aplicaciones que están instaladas y que pueden tener posibles entradas a intrusos.

BIBLIOGRAFÍA

https://cursos.redsena.net http://www.zentyal.com/es/ http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica) http://es.wikipedia.org/wiki/Unified_Threat_Management http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n