Jorge Garca Delgado

A) CORTAFUEGO INTEGRADO EN WINDOWS. A - I) INSTALAR Y CONFIGURA EL CORTAFUEGOS KERIO WINROUTE FIREWALL (WINDOWS).

1. Descargamos software http://www.kerio.com/kwf_download.html. Esta es una versin trial de 30 das. 2. Una vez obtenido el archivo pasamos a instalarlo:

Se abre el asistente y comenzamos con lo pasos habituales aceptando licencias, eligiendo el directorio de instalacin :

Durante la instalacin nos pide deshabilitar el firewall de Windows, el servicio SSDP y el plug and play universal, aceptamos si deseamos un buen funcionamiento:

Jorge Garca Delgado

Despus debemos configurar el usuario administrador del programa y la contrasea:

Tambin se puede habilitar la configuracin remota, pero en mi caso no lo hare de momento:

Jorge Garca Delgado

Terminando la instalacin:

Jorge Garca Delgado

3. Ahora procedemos a configurar el firewall:

Iniciamos el programa bien desde el icono o desde la barra de herramientas, y nos logueamos con el usuario admin:

Puede que al inicio se inicie o no un asistente que se recomienda realizar al principio, en caso no iniciarse debemos ir a Poltica de Trfico y dar sobre Asistente. Se inicia el asistente y lo primero que hacemos es elegir un mtodo de conexin, para esta configuracin empleare el primero enlace nico.

Jorge Garca Delgado

Ahora elegimos la interfaz que usara el programa:

c

Vamos a elegir los servicios de Internet que estarn disponibles para los usuarios de la LAN, en mi caso los dejamos todos disponible para mas adelante modificarlos en la interfaz del servicio:

Jorge Garca Delgado

Podemos activar para crear las reglas de VPN ahora o hacerlo mas tarde, yo lo dejo por defecto:

En caso de tener servidores en la red LAN, podemos hacerlos disponibles desde internet mediante VPN o HTTPs, en mi caso no ah servidores por lo que no configuro nada y continuo:

Jorge Garca Delgado

Finaliza el asistente:

4. Ahora vamos a hecha un ojo por los mens para ver que nos ofrece este software:

Aqu vemos el programa la ventana principal.

Jorge Garca Delgado

En registros podemos ver los registros de errores, alertas, accesos, de los servicios, de seguridad:

En estado podemos ver los host conectados, las conexiones, estadsticas, los clientes VPN, y los mensajes de alerta:

En usuarios y grupos podemos ver y crear los usuarios y grupos:

Jorge Garca Delgado

Es interesante ver que podemos aplicar autenticacin web proxy transparente o no, y tiempos de espera:

Tambin podemos emplear los usuarios de active directory si disponemos de un Windows Server con AD configurado.

Las polticas de trfico son bastante importantes, donde podemos aplicar reglas. Crearemos una regla como ejemplo al final.

Jorge Garca Delgado

Muy til el poder limitar el ancho de banda, y adems si un usuario excede una cuota de datos se puede especificar una velocidad mas limitada.

Podemos filtrar el contenido HTTP, FTP o Antivirus:

En las polticas de http podemos aplicar reglas de URL, proxy cache ya que implementa un servidor proxy, listas de palabras prohibidas, y filtros web:

Jorge Garca Delgado

En poltica FTP podemos prohibir la subida de datos, o prohibir datos por extensin/formato:

Tambin podemos utilizar el motor de un antivirus externo o el integrado, habilitando protocolos, tamao de archivos lmite, y otras muchas opciones filtrar por extensin, permitir TLS para el correo electrnico, o encriptacin SSL, VPN para el acceso y uso:

Jorge Garca Delgado

Tambin dispone de servicio DHCP y DNS, me pregunto si ah algo que no tenga este software:

Jorge Garca Delgado

En definiciones podemos especificar grupos de direcciones, url, intervalos de tiempo y servicios:

Algo que me ha parecido bastante interesante es la opciones de enrutamiento, tan solo debemos tener varias tarjetas de red configuradas y con especificar varias opciones tendremos enrutadas las dos redes en breve tiempo:

Jorge Garca Delgado

En Accounting podemos especificar cuotas y para estas excepciones, alertas y registros:

En opciones avanzadas y por ultimo encontramos las configuraciones de seguridad, interfaz web, SSL, VPN, Actualizacion, SMTP, Elimnador p2p y DNS dinamico:

Jorge Garca Delgado

5. Ahora vamos a crear una regla como ejemplo:

Nos dirigimos a poltica de trfico y le damos a agregar regla. Aunque como vemos podemos modificar, duplicar o eliminar otras reglas:

Jorge Garca Delgado

Primero ponemos un nombre para la regla, despus vamos a agregar un intervalo de IPs aunque tambin tenemos la posibilidad de agregar HOST, VPN, :

Por ultimo agregamos los usuarios y el servidor para el cual acta la regla.

Jorge Garca Delgado

Este seria un ejemplo. Como vemos con este software tan ligero, sorprendente y con un amplio conjunto de servicios nos proporciona la forma de tener todo centralizado en un sistema.

Jorge Garca Delgado

A - II) ELABORA UN PEQUEO DOCUMENTO SOBRE MICROSOFT FOREFRONT Y SU FUNCIONALIDAD EN LA EMPRESA: Microsoft Forefront es una gama de programas de seguridad tanto para clientes de Microsoft Windows y Windows Server. Contiene mltiples capas de defensa contra posibles problemas de vulnerabilidad de seguridad. Su objetivo es dar solucin a lo siguiente:

- Proteger los sistemas operativos, tanto a nivel de servidor como de cliente. - Proteger las aplicaciones de servidor y datos crticos. - Integrarse con mltiples aplicaciones de servidor de Microsoft y la infraestructura existente. - Simplificar la instalacin y la gestin administrativa. - Unificar los informes y anlisis. - Centralizar la seguridad de todos los procesos de una empresa u organizacin.

Productos de Microsoft Forefront Computadoras de negocios con red local * Microsoft Forefront Client Security (antes llamado Microsoft Client Proteccin) Servidor de aplicaciones de seguridad * Microsoft Forefront Security para Exchange Server * Microsoft Forefront Security para SharePoint * Microsoft Forefront Security para Microsoft Office Communications Server Seguridad de red * Microsoft Internet Security y Acceleration (ISA) Server 2006 * Microsoft Intelligent Application Gateway (IAG) 2007 * Microsoft Forefront Threat Management Gateway (la prxima versin de ISA Server) * Microsoft Forefront Unificado de Acceso Gateway (la prxima versin de IAG) Funcionalidades y ventajas Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en:

- Proteccin para sistemas operativos

- Proteccin de aplicaciones de servidores crticas

- Acceso seguro y controlado

- Proteccin de datos confidenciales

- Integracin desde el diseo

- Integracin con aplicaciones

- Integracin con la infraestructura informtica

- Integracin en Forefront

- Administracin simplificada y centralizada

Jorge Garca Delgado

B) DISTRIBUCIONES LIBRES PARA IMPLEMENTAR CORTAFUEGOS EN MQUINAS DEDICADAS. B - I) INSTALACIN Y CONFIGURACIN DEL CORTAFUEGOS FIREWALL ZENTYAL. Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter que proporciona funcionalidades de filtrado, marcado de trfico y de redireccin de conexiones. Accedemos a la administracin web en Zentyal y vamos a configurar el cortafuegos:

1. Primero nos dirigimos a Cortafuegos y comenzamos configurando Redirecciones de puertos:

2. Voy a redireccionar el destino 192.168.2.14 puerto 80 a el destino original Zentyal en 10.33.7.1 puerto 8080:

Jorge Garca Delgado

3. Aqu vemos la redireccin aplicada:

4. Ahora vamos a ver las opciones que se ofrecen en filtrado de paquetes:

Jorge Garca Delgado

5. Ahora configuramos una regla desde redes internas hacia Zentyal.

Jorge Garca Delgado

- Lo que hacemos es aceptar el acceso desde la red interna mediante HTTP al servidor:

6. Ahora voy a aplicar una regla redes internas:

Jorge Garca Delgado

- Lo que hacemos es permitir que la red interna pueda comunicarse con la red extera:

7. Ahora aplicamos una regla desde redes externas hacia Zentyal:

Jorge Garca Delgado

- Denegamos el acceso de la red interna a la administracin de Zentyal:

8. Ahora aplico una regla desde redes externas hacia redes internas:

Jorge Garca Delgado

- Deniego el acceso de redes externas a la red interna:

9. Ahora aplicare una regla para trafico saliente de Zentyal:

Jorge Garca Delgado

- Deniego el trafico saliente para el servicio de administracin de zentyal:

Jorge Garca Delgado

10. Como ultima regla reglas aadidas por servicios de Zentyal (avanzado) vamos a ver la regla ya aplicada para acceso VPN:

Jorge Garca Delgado

11. Por ultimo para aplicar y guardar los cambios le damos a Guardar cambios.

B - II) INSTALACIN Y CONFIGURACIN DEL CORTAFUEGOS FIREWALL IPCOP. Voy a instalar firewallipcop en una maquina virtual; para instalarlo es necesario un disco duro id, 512 MB de RAM recomendado y al menos dos tarjetas de red, una para conectar a internet y la otra a una red privada.

Jorge Garca Delgado

1. Iniciamos la instalacin, pulsamos enter para continuar:

2. Seleccionamos el idioma:

Jorge Garca Delgado

3. Aceptamos:

4. Elegimos la distribucin del teclado, es para espaol:

5. Elegimos la zona horaria:

Jorge Garca Delgado

6. Seleccionamos el disco donde instalamos IPCOP.

7. Podemos restablecer un sistema IPCOP si disponemos de un respaldo, este no es el caso asique saltamos este paso:

Jorge Garca Delgado

8. Se instala con xito, pero aun faltan algunas cosas que configurar:

9. Introducimos el nombre de host:

10. Introducimos el nombre de dominio:

Jorge Garca Delgado

11. Seleccionamos el tipo de interfaz de red ROJA. Roja significa que es la interfaz de internet:

12. Seleccionamos la primera tarjeta de red:

Jorge Garca Delgado

13. Seleccionamos como roja para internet:

14. Seleccionamos la segunda tarjeta de red y la elegimos como verde para la red LAN:

Jorge Garca Delgado

15. Configuramos las interfaces roja y verde:

Jorge Garca Delgado

16. Configuramos DNS:

17. Activamos el servicio DHCP para la red LAN:

18. Introducimos la contrasea de acceso para root:

Jorge Garca Delgado

19. Introducimos la contrasea de acceso para admin en el modo web:

20. Introducimos la contrasea de acceso para backup:

21. Terminamos la instalacin aceptamos y se reinicia:

Jorge Garca Delgado

22. Se inicia el sistema y accedemos como root:

23. Nos dirigimos a /etc/httpd/conf/portgui.conf para ver el puerto que debemos usar al acceder desde el navegador. El puerto es el 8443:

Jorge Garca Delgado

24. Nos dirigimos a un cliente molinux y configuramos para la red interna o verde:

25. Comprobamos que se comunica con el servidor:

26. Accedemos mediante el navegador https://10.33.8.1:8443

Jorge Garca Delgado

27. Accedemos con el usuario admin y la contrasea configurada durante la instalacin:

28. Como vemos el servidor lleva conectado 11 minutos, ahora vamos a ver las opciones de cortafuegos que nos ofrece:

29. Lo primero que encontramos son los ajustes de cortafuegos donde podemos restringir el acceso por admin, activar el modo avanzado o cambiar el modo en que actan las interfaces:

Jorge Garca Delgado

30. Tambin encontramos los servicios ya configurados, donde tambin podemos agregar nuevo o no incluidos:

31. Tambin podemos agregar grupos de servicio:

Jorge Garca Delgado

32. Se pueden configurar nuevas direcciones o modificar la ya configuradas:

33. Se pueden agregar grupos de direcciones:

Jorge Garca Delgado

34. Las interfaces se muestran aqu, no se pueden configurar desde aqu, se hace en la opcin anterior:

35. Lo mas importante las reglas, vamos a aplicar varias reglas como ejemplo:

Jorge Garca Delgado

- Configuramos una regla de trfico de salida, en la que rechazamos acceder desde internet a la red LAN.

- Aplicamos una regla de acceso a IPCOP rechazando la conexin desde el equipo 10.33.7.20.

Jorge Garca Delgado

- Aplicamos por ultimo una regla de acceso externo a IPCOP donde permitimos el acceso externo.

36. Aqu vemos todas las reglas aplicadas:

37. Terminando comentar que tambin tenemos servicio de proxy, dns dinmico, limite de ancho de banda, y otro gran nmero de servicios.