miércoles, 23 de mayo de 2012

Firewall en Endian


En este manual se mostrara la implementación de un firewall basado en una distribución de Linux llamada endian, administrado por vía web, lo que da mas facilidad al momento de implementar las políticas en el firewall.

Se implementara un firewall simulando 3 redes: LAN, WAN Y DMZ.
  • DMZ=Linux (Centos) - ip: 192.168.200.2/24.
  • LAN=Windows xp - ip: 192.168.100.2/24 (Administración de endian firewall - ip: 192.168.100.1/24).
  • WAN= Linux (Ubuntu) - Ip: 192.168.10.132/24.
Conceptos.

Endian: es una distribución OpenSource de Linux, desarrollada como cortafuego (firewall), es toda una solución integral que protege su red, es destinada para tareas de ruteo y firewall, útil y practica de administrar.

Características.
  • Reglas firewall de entrada y salida.
  • Ipsec lan to lan VPN.
  • NAT.
  • Multiples aliases en la interface WAN.
  • Soporte para DMZ.
  • Interface de administración web bajo https.
  • Soporte para los mas conocidos dns dinamicos (dyndns.org).
  • Graficos detallados de las interfaces de red.
  • Detalle de todas las conexiones activas.
  • Log detallado de todos los procesos del sistema.
  • Envio del log a un syslog.
  • Servidor NTP.
  • Servidor DHCP.
  • Traffic shaping / QoS.
  • Proxy POP3 antivirus.
  • Clamav antivirus.
  • Proxy SMTP antispam.
  • Web proxy (squid) con integración en LDAP o Windows users.
  • IDS en interface WAN y LAN.
  • Proxy SIP.
  • SMTP proxy.
  • Filtro de contenidos.
  • Squidguardian.
  • Advanced Proxy.

DIAGRAMA DE RED.

Instalación.

Para la instalación de endian se requiere la ISO, que se descargo del siguiente enlace http://sourceforge.net/projects/efw/files/Development/EFW-2.4-RESPIN/EFW-COMMUNITY-2.4-201005280528-RESPIN.iso/download.

Se espera unos segundos para iniciar el wizard de instalación, después sale este pantallazo donde se elige el idioma.

A continuación nos mostrara un mensaje de bienvenida para la instalación de Endian.

Después nos aparecerá una advertencia, la cual especifica que proceso de instalación borrara todos los datos que contenga el disco duro, si deseamos continuar seleccionamos YES.
La siguiente ventana nos ofrece la pasividad de activar el servicio de consola, esta opción la debemos elegir según nuestra necesidad.
Ahora endian comenzara a instalarse en nuestro disco duro, y podemos ver que nos irán saliendo mensajes como los siguientes.

Después del proceso de instalación, nos aparecerá una pantalla en el cual debemos de configurar la dirección ip de la interfaz de red local (verde) para posteriores configuraciones de endian mediante el navegador web.





Para finalizar el proceso de instalación, se nos recomienda quitar cualquier diskette o CD-ROM que aun se encuentre insertado, damos ok para que el sistema se reinicie.


Con la máquina de Windows xp abrimos un navegador web y se escribe la dirección IP que fue asignada al servidor endian.
Aceptamos la validación del certificado de la interfaz web de endian, para continuar damos clic en >>>
Ahora escogemos el idioma con el cual queremos configurar endian, también tenemos la opción de configurar la zona horaria según nuestra ubicación.
Se acepta el acuerdo de licencia sobre el uso de endian.

Endian pregunta que si queremos restablecer la configuración desde un archivo de respaldo o backup, le dimos no y continuar.
En la siguiente pantalla debemos configurar las contraseñas para la administración de la interfaz web y del usuario root.

Ahora vamos a configurar el tipo de conexión que tendrá la interfaz o tarjeta de red que va a estar conectada hacia internet, en el diagrama de la red podemos ver que se están utilizando 3 adaptadores, la primera está conectada a nuestra a la LAN (verde) y es la que se configuro anteriormente en la instalación del endian, la segunda es la que se va a configurar en este momento que es la roja. Se selecciona Ethernet estático.

Ahora vamos a configurar la zona verde, la cual seria nuestra red local, seleccionamos la interfaz para la zona verde, asignamos la dirección IP de igual manera configuramos la zona naranja que es el DMZ.

En esta fase se va a configurar la WAN, asignando la dirección IP por donde va a pasar el trafico de la red y el gateway.
Configuración del DNS.
Endian pide alguna información acerca del administrador.

Ya en este caso endian va a aplicar y grabar los cambios y/o configuraciones previamente hechas para esto damos clic en aceptar.

Reinicio del servidor.
Creación de la regla del NAT.
en el panel cortafuegos, se configura la regla esta sera creada para que no que nos de salida a Internet.  vamos a reenvió de puertos / NAT y configuración de NAT fuente, clic en agregar una nueva regla NAT y se llenan los campos que nos pide como la dirección IP de la zona verde, es decir la de origen y la de destino que seria la roja o una ruta por defecto finalizamos y aplicamos los cambios.
se aplican.
Nos confirma que la regla a sido creada exitosamente.
Configuración de la LAN.
Salida a Internet.
En el trafico entre zonas vamos a configurar las reglas que nos permitirá decir cuales zonas tienen permiso y cuales no.
En esta parte  vamos a realizar una regla en donde decimos que la zona verde puede comunicarse con la zona naranja, se hace, se aplica y se guarda.
de la misma manera ponemos otra regla que dice que la zona naranja no se puede comunicar con la zona verde.
vamos a bloquear el acceso de la zona roja a la zona verde, se configura el trafico de entrada, en donde decimos que el trafico de origen de la zona roja hacia la verde se deniegue.
Reglas.

Configuración del port forwarding.
traduce el número de dirección y/o puertos de un paquete a un nuevo destino posiblemente la aceptación de tales paquetes es un filtro de paquetes (firewall) de enviar el paquete de acuerdo a la tabla de enrutamiento, el destino puede ser un puerto de red predeterminado como se observa en la imagen. 

Pruebas.
HTTP.

FTP.




























 












Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Imprimir

imprimir página