Practicas Cortafuegos - alvaroprimoguijarro | Just another ... · Practicas Cortafuegos 2012 2...

2012

Primo Guijarro, Álvaro

Seguridad Informática

02/02/2012

Practicas Cortafuegos

Practicas Cortafuegos 2012

2

Contenido 1. CONFIGURACIÓN ROUTER-FIREWALL ....................................................................................... 4

a) Router DLINK: ........................................................................................................................ 4

b) Router LINKSYS:..................................................................................................................... 5

c) Router TP-LINK: ..................................................................................................................... 5

2. ACL (CISCO) ................................................................................................................................ 6

a) Resolución de ejercicios. ....................................................................................................... 6

b) Resolución escenario UD3-2.a. Router Frontera. ............................................................... 14

3. IPTABLES (LINUX) ..................................................................................................................... 15

b) Resolución escenario UD3-1.a. NAT.................................................................................... 15

IPTABLES .................................................................................................................................. 19

4. DMZ. ........................................................................................................................................ 28

a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. .......................................... 28

b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b. .................................... 28

5. CORTAFUEGOS SOFTWARE. .................................................................................................... 29

a) Cortafuego integrado en Windows. .................................................................................... 29

i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). .............. 29

ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad ........... 38

en la empresa: ..................................................................................................................... 38

Microsoft Forefront ..................................................................................................................... 38

Funcionalidades y ventajas ..................................................................................................... 39

b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. .................. 43

i) Instalación y configuración del cortafuegos “Firewall Zentyal”. ...................................... 43

ii) Instalación y configuración del cortafuegos “Firewall IpCop”. ....................................... 48

6. CORTAFUEGOS HARDWARE. ................................................................................................... 61

a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange)

y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. ........................ 61

Cortafuegos ................................................................................................................................. 61

Private Internet Exchange ....................................................................................................... 62

Cisco ASA .................................................................................................................................. 62

Pix Cisco firewall 505 .......................................................................................................... 63

Private Internet Exchange (PIX) ................................................................................. 63

Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500 ....................................... 64

Tranquilidad ........................................................................................................................... 64


3

Características destacadas .................................................................................................. 64

b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de

Amenazas “Firewall UTM” (Unified Threat Management). .................................................... 65


4

1. CONFIGURACIÓN ROUTER-FIREWALL

a) Router DLINK: Creamos una regla que se llame primoguijarro que se deniegue 60 direcciones ip, acceder

desde la 90 a la 100, de martes a sábado, de las 4 y 20 de la mañana hasta las 8 y 15 de la

mañana.


5

b) Router LINKSYS: Permite realizarle un filtro multicast, bloquear peticiones anonymous, etc…

c) Router TP-LINK: Este es mas básico solo permite Encenderlo y apagarlo:


6

Respecto a ACL, nos permite:

2. ACL (CISCO)

a) Resolución de ejercicios.

DADO ESTE ESCENARIO:


7

1) Elige el router adecuado para que los paquetes del PC1 no sean transmitido por la red 10.XX.0.0. Comprobar que si se permite los paquetes enviados por el PC2.

Probamos desde el equipo de 196.20.0.10

Ahora probamos desde el equipo 196.20.0.20


8

2) Configurar en la red 192.XX.0.0/24 un filtro “anti-spoofing” para que no sea enviado ningún paquete por la red 10.XX.0.0 que no coincida con su dirección de origen. Realizarlo también para la red 196.XX.0.20

Lo hacemos primero con la red 196.20.0.0/24:

Ahora con la red 192.20.0.0/24:


9

Insertamos un PC nuevo con la dirección IP 192.20.0.30, e intentamos realizar un ping a la otra

red, y comprobamos que no nos funciona:

3) Borrar las ACLs definidas anteriormente. Para la red 192.20.0.0/24

Para la red 196.20.0.0/24

4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no pueda utilizar el resto de servicios de dicho servidor.

Denegamos que el servidor dns y de correo, resuelva para el equipo 192.20.0.10


10

access-list 101 permit tcp host 192.20.0.10 host 196.20.0.2 eq www

access-list 101 deny tcp host 192.20.0.10 host 196.20.0.2 eq 25

access-list 101 deny udp host 192.20.0.10 host 196.20.0.2 eq 53

access-list 101 permit ip any any

Comprobamos en el cliente que no nos resuelve el servidor DNS:

5) Permitir que el equipo PC1 pueda utilizar el servidor FTP de SERVSUR y el PC2 no pueda utilizarlo dicho servicio. Permitimos que el pc1 acceda al servicio ftp y el pc2 no pueda:

Probamos en el equipo PC1, que nos tiene que dejar acceder con el usuario jorge:


11

Ahora con el PC2, no nos deja acceder:

6) No permitir que el PC2 pueda comunicarse con el PC4. access-list 101 deny ip host 196.20.0.20 host 192.20.0.20

access-list 101 deny icmp host 196.20.0.20 host 192.20.0.20 echo

access-list 101 deny tcp host 196.20.0.20 host 192.20.0.20

access-list 101 deny udp host 196.20.0.20 host 192.20.0.20


Probamos desde el cliente PC2, realizar un ping al PC4


12

7) Borrar las ACLs anteriores.

8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los ordenadores de la red 196.XX.0.0

Otra forma de hacerlo:

access-list 110 deny ip any 196.20.0.0 0.0.0.255

access-list 110 deny icmp any 196.20.0.0 0.0.0.255

access-list 110 deny tcp any 196.20.0.0 0.0.0.255

access-list 110 deny udp any 196.20.0.0 0.0.0.255


Realizamos desde un ping la PC2 al servidor ftp de la otra red y comprobamos que no no deja.


13

Realizamos un ping del PC4 al servidor DNS de la otra red, y no podemos acceder:

9) Borrar las ACL definidas anteriores.

10) Impedir cualquier tráfico ICMP entrante excepto el “Destino Unreachable” y el “Echo Reply” en el router RNORTE.

ACcess-list 100 Permit ICmp Any Any ECHO-Reply

ACcess-list 100 Permit ICmp Any Any Unreachable

ACcess-list 100 DEny ICmp Any Any

ACcess-list 100 Permit IP Any Any


14

b) Resolución escenario UD3-2.a. Router Frontera.

Tenemos el siguiente escenario, donde queremos que los equipos de la empresa

accedan al ISP, pero que el ISP no pueda acceder a la LAN del Router frontera.

En el Router del ISP activamos las siguientes ACL:

Ahora comprobamos como desde el PC1 de la red 192.168.1.0/24 (Router frontera) podemos

acceder al ISP:


15

Ahora desde un equipo de fuera del router frontera, intentamos acceder , y no nos tiene que

dejar:

3. IPTABLES (LINUX)

b) Resolución escenario UD3-1.a. NAT.

Creamos primero el escenario


16

Borrar reglas iptables: iptables -t nat –F iptables -t nat –z Listar reglas: iptables -t nat -L -n Agregamos una tarjeta de red y la configuramos:

Borramos las reglas


17

Configurar reenvio en Debian: echo 1 > /proc/sys/net/ipv4/ip_forward Acceder al fichero /etc/sysctl.conf y eliminar el comentario de la linea: net.ipv4.ip_forward = 1

Configurar NAT en Debian Cuando es estático:

Desde un cliente, configurado para la red 10.33.20.0/24.


18

Intentamos acceder a internet desde un cliente de la red 10.33.20.0/24:


19

IPTABLES

Firewall en la propia máquina

1º) Ver la vesión de Iptables:

2º) Borrado de todas las reglas

3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la dirección 192.168.0.155.

COMPROBACION:

4º) Eliminar todos los paquetes que entren.

Con esta opcion podremos observar que el ping no se ejecuta:


20

5º) Permitir la salida de paquetes.

6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155.

7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección de red 192.168.0.0.

Comprobación:

8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155 y enviar un mensaje de error icmp.

COMPROBACION:

9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.


21

10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).

COMPROBACION

11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).

COMPROBACION:

12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.


22

Comprobación:

13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet.

COMPROBACION:

14º) Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78.

COMPROBACION:


23

Firewall de una LAN

CONFOGURACION DEL ROUTER:

15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a través de la interfaz eth0.


24

Comprobación:

16º) Cerramos el rango de puerto bien conocido desde cualquier origen:

Comprobación Antes de la regla:

A continuación:


25

17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):

COMPROBACION: DESDE UN EQUIPO DE LA RED 192.168.2.0 a un servidor web remoto:

18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:

COMPROBACION DESDE UN CLIENTE DE LA RED 192.168.2.0 A UN SERVIDOR WEB HTTPS:


26

19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red: iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p udp -–dport 53 –

j ACCEPT

iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p tcp -–dport 53 –

j ACCEPT

iptables –A FORWARD –s 192.168.0.0/24 –i eth1 –d 0.0.0.0/0 -j DROP

Ahora comprobaremos que un cliente de la red 192.168.2.0 puede realizar una resolución DNS pero por ejemplo no puede realizar un ping, puesto que tiene denegada esa función: Comprobación del DNS:

Pero el ping fallara o mejor dicho no se realizara, por la elección de la opcion DROP:


27

20º) Permitimos enviar y recibir e-mail a todos:

NO PUEDO COMPROBAR ESTAS REGLAR POR NO DISPONER DE UN SERVIDOR DE CORREO INSTALDO: 21º) Cerramos el acceso de una red definida 10.33.20.0/24 a nuestra red LAN 192.168.2.0/24:

Ahora realizamos un ping desde un host de la red 10.33.20.0 a un host de la red 192.168.2.0/24:

22º) Permitimos el paso de un equipo específico 10.33.20.50 a un servicio (puerto 5432) que ofrece un equipo específico (192.168.2.40) y su respuesta: iptables –A FORWARD –s 10.33.20.50/24 –i eth0 –d 192.168.2.40 –p tcp –dport

5432 –j ACCEPT

iptables –A FORWARD –s–i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT

ESTA CONFIGURACION NO LA HE PODIDO COMPROBAR POR NO SABER COMO REALIZAR UNA CONEXION HACIA ESE PUERTO.


28

23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está relacionada a una conexión ya establecida.

4. DMZ.

a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a.

El tráfico de la red externa a la DMZ está autorizado

El tráfico de la red externa a la red interna está prohibido

El tráfico de la red interna a la DMZ está autorizado

El tráfico de la red interna a la red externa está autorizado

El tráfico de la DMZ a la red interna está prohibido

El tráfico de la DMZ a la red externa está denegado HAY QUE HACERLO MEDIANTE NAT Y NO SE HACERLO EN PACKET TRACERT.

b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b.


29

5. CORTAFUEGOS SOFTWARE.

a) Cortafuego integrado en Windows.

i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux).

Accedemos a la página oficial de www.kerio.com y lo descargamos:

En el progreso de instalación nos saldrá esta ventana, donde nos avisa que va ha deshabilitar el

Firewall que trae por defecto Windows.

Ponemos un usuario y una contraseña:

http://www.kerio.com/


30

Inicio/Todos los Programas/Kerio/Kerio

Firewall

Accedemos con nuestro usuario y

contraseña:

Mediante el asistente configuramos la conexión a internet que tendremos, es decir, si vamos a

tener una red local, que pasara atreves de este PC, el cual filtrara los paquetes:


31

Lo realizaremos mediante una conexión a Internet, le indicamos la interfaz, que salga

directamente a Internet.

De momento permitimos todos los servicios, pero más adelante denegaremos el ftp.


32

Esto es para si utilizásemos un Servidor VPN Kerio, como nunca se sabe, Marcamos que

Esta opción es para si tuviésemos algún servidor dentro de la LAN, es decir, para realizar una

DMZ, con un servidor web o VPN, que puedan acceder:


33

Una vez terminado el Asistente le damos a Politica de trafico, seleccionamos Trafico de

firewall, y pinchamos donde pone Servicio:


34

Nos saldrá esta ventanita, donde seleccionamos FTP, y le damos a quitar. Aplicamos los

cambios:

Ahora probaremos a realizar una conexión ftp, mediante el terminal:

Como podemos observar no nos deja acceder.


35

También podemos ver otras opciones de estadísticas de la red.


36

Las conexiones que existen atraves de la regla Trafico del firewall


37

Aquí podemos un log de la configuración que vamos haciendo:


38

ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad

en la empresa:

Microsoft Forefront

Microsoft Forefront es una completa línea

de productos de seguridad que permite una

mayor protección y control por medio de

una excelente integración con su

infraestructura de TI actual y una operación

más sencilla de implantación, gestión y

análisis. La línea de productos de seguridad

Microsoft Forefront ofrece protección para

las máquinas cliente, aplicaciones de

servidor y la red perimetral.

Su completo conjunto de productos de

seguridad, que se integran entre sí y con la

infraestructura informática de su empresa,

puede complementarse e interoperar con

soluciones de terceros.

Contiene los siguientes productos:

Microsoft Forefront Client Security (anteriormente denominada Microsoft Client

Protection).

Microsoft Forefront Server for Exchange Server (anteriormente denominada

Microsoft Antigen for Exchange).

Microsoft Forefront Server for SharePoint® (anteriormente denominada

Microsoft Antigen for SharePoint).

Microsoft Forefront Security for Office Communications Server (anteriormente

denominada Antigen for Instant Messaging).

Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la

información de este producto en XPS / PDF)

Intelligent Application Gateway (IAG) 2007 (Descargue la información de este

producto en XPS / PDF)

Forefront Server Security Management Console.

http://www.microsoft.com/business/smb/es-es/seguridad/forefront_client_security.mspx

http://www.microsoft.com/business/smb/es-es/seguridad/forefront_exchange.mspx

http://www.microsoft.com/business/smb/es-es/seguridad/forefront_sharepoint.mspx

http://download.microsoft.com/download/A/C/1/AC1FE88A-ADBF-4D88-9BEA-2113542B42E7/ESP_ISA_Server_2006_DS.xps

http://download.microsoft.com/download/A/C/1/AC1FE88A-ADBF-4D88-9BEA-2113542B42E7/ESP_ISA_Server_2006_DS.pdf

http://download.microsoft.com/download/A/C/1/AC1FE88A-ADBF-4D88-9BEA-2113542B42E7/ESP_IAG2007_DS_8p.xps

http://download.microsoft.com/download/A/C/1/AC1FE88A-ADBF-4D88-9BEA-2113542B42E7/ESP_IAG2007_DS_8p.pdf

http://www.microsoft.com/business/smb/es-es/seguridad/management_console.mspx


39

Funcionalidades y ventajas

Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en:

Protección para sistemas operativos

Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección

en tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y

otras amenazas emergentes.

Protección de aplicaciones de servidores críticas

Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia

de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos

específicos de protocolo y de aplicaciones.

Acceso seguro y controlado

Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como

funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios

autorizados tengan acceso a los datos y recursos de TI especificados.

Protección de datos confidenciales


40

Los productos Forefront resguardan los datos confidenciales y protegen la propiedad

intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación

en toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de

los datos valiosos para su empresa.

Integración desde el diseño

Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr

una mayor eficiencia y control en términos de seguridad de la red.

Integración con aplicaciones

Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente

diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales

como Exchange, Outlook® Web Access y SharePoint.

Integración con la infraestructura informática

Esta infraestructura unificadora permite administrar sin

inconvenientes la implementación, distribución,

configuración y aplicación de los productos de seguridad,

y permite hacerlo con un nivel de control detallado y

minucioso.

Integración en Forefront

Los productos Forefront están diseñados para poder

operar juntos, de modo que se puedan aprovechar sus

funcionalidades y lograr una mayor cobertura de

seguridad.

Administración simplificada y centralizada

Los productos Microsoft Forefront están diseñados de

forma tal que permiten simplificar la implementación,

configuración, administración, generación de informes y

análisis. De esta forma, su empresa tiene mayor

confiabilidad en cuanto a una excelente protección.

Implementación simplificada

Los utilitarios como ISA Server Best Practices Analyzer

Tool y los asistentes de configuración ayudan a establecer

una base sólida para una instalación de seguridad

contundente. La integración de Forefront con Active

Directory y los sistemas de actualizaciones como Systems

Management Server proporcionan los cimientos comunes


41

para la administración de configuraciones y cambios. Tanto los usuarios como los

administradores se benefician con la distribución centralizada de configuraciones y políticas

actualizadas así como de actualizaciones de sistemas operativos o antivirus para clientes y

servidores.

Unificación de generación de informes y análisis

Forefront centraliza la recopilación y el análisis de la información de administración de

seguridad, dado que toda la información de seguridad se almacena en un único repositorio

SQL Server™, que puede utilizar los servicios de generación de informes y análisis (SQL Server

Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad.

Administración simplificada

La administración y la generación de informes de seguridad están centralizadas en Forefront.

Sus componentes se integran plenamente con los sistemas de administración existentes,

incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows

Server™ Update Services. Las consolas de administración integradas de Forefront ofrecen las

conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el

tiempo de capacitación necesaria y ayudan a controlar los costes.

Énfasis en la capacidad de "aseguramiento"

Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la

administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront ayuda a

su empresa a:

Centralizar la administración de la seguridad.

Evitar los errores en la configuración.

Implementar la seguridad en toda la red.

Obtener una visión unificada de la seguridad de la red.

Conclusión

En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de

manera independiente, nos ofrecen una solución:

Completa

A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa,

aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa

en la productividad y en la utilización de su software.


42

Integrada

En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura

de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más

difícil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red.

Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con

aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted

puede lograr mayor eficiencia y control sobre la seguridad de su red.

Simplificada

Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red,

especialmente sin una herramienta de administración central. Sin este tipo de visibilidad,

implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume

más tiempo.

Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al

simplificar la administración, instalación y uso de los productos de seguridad, con lo que

aumentará su confianza en que su organización está bien protegida.

Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista

individual de la red, permitiendo una administración y una mitigación de amenazas mejor y

más informada.


43

b) Distribuciones libres para implementar cortafuegos en máquinas

dedicadas.

i) Instalación y configuración del cortafuegos “Firewall Zentyal”.

Tenemos el siguiente escenario:


44

Lo primero que haremos será habilitar el cortafuegos desde el panel de control de Zentyal:

Le damos a Cortafuegos, y vamos a configurar una regla para una red Interna, hacia el Servidor

Zentyal.


45

Teniendo otro equipo de la misma red con la dirección ip:

Asignaremos la regla para que no pueda acceder al servicio FTP, de Zentyal.


46

Aquí podemos ver la regla:

Probamos con el cliente acceder, y vemos como no responde.


47

Ahora borramos la lista para comprobar que funciona:

Intentamos acceder al servidor ftp de Zentyal:


48

ii) Instalación y configuración del cortafuegos “Firewall IpCop”.

El escenario correcto que se tendría que hacer para una correcta configuración de IPCOP, seria

esta, donde el Cortafuegos seria un servidor que redirecciona todo lo que entre por la interfaz

eth1 (192.168.197.x) hacia la eth0, de modo que saldrían a internet gracias a este equipo, de

esta forma se podría controlar el filtrado de paquetes correctamente.

Pero como solo queremos configurarlo los aspectos más principales, nos crearemos otro

escenario acuerdo con los requisitos que disponemos:

Donde estando en la misma red, el

equipo XP administrara el Servidor

Firewall.


49

Descargamos la imagen de ipcop y la arrancamos desde el CD. Seleccionamos el idioma

español.

Arrancamos desde el cd:


50

Esperamos mientras revisa la configuración Hardware.

Comienza a instalar los ficheros necesarios para la correcta configuración del Firewall


51

Saltamos este paso, marcamos la opción y le damos a Enter.

Configuraremos la tarjeta de red, en modo de interfaz GREEN, de modo que le damos a

Prueba:


52

Nos dice que nos ha detectado correctamente, la tarjeta de red. Ok.

Le asignamos una dirección de red valida, de modo que usaremos:


53

Nos dice que la prueba ha sido exitosa:

Configuramos el horario y le ponemos un nombre adecuado a la maquina:


54

Aquí configuramos el servicio ISDN (Integrated Services Digital Network o RDSI Red

Digital de servicios Integrados), si es que fuera la forma por la que accedemos a

internet, en este caso es una conexión ADSL así que inhabilitaremos el ISDN, eligiendo

la opcion Inhabilite RDSI

Le damos a Ok, se aplican los cambios.


55

Realizamos la configuracion DNS, junto con su puerta de enlace.

En el menú, le damos a Configuracion de direcciones y seleccionamos la interfaz GREEN, que es

la que usaremos solamente:


56

Le introducimos una contraseña valida al root, para poder acceder:

Se reiniciara:


57

Accedemos de la siguiente manera:

Ahora desde un cliente de la misma red, vamos Administrar el Servidor, mediante un usuario y

contraseña que ya hemos establecido anteriormente.


58

En la Pestaña Control de trafico, vamos a restringir la velocidad de bajada y de subida:

Aqui añadimos unas cuantas restricciones de acceso al DNS, y al puerto 8080 asociado a un

Servidor WEB.


59

Aquí podemos ver como se puede configurar un Proxy Web:

En modo grafico podemos ver la configuración de las tarjetas de red.


60

O las tablas de enrutamiento ARP…

Incluso podríamos instalar un IDS…


61

6. CORTAFUEGOS HARDWARE.

a) Elabora un informe sobre los cortafuegos hardware Cisco PIX

(Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en

detalle algún producto Cisco PIX.

Cortafuegos

Soluciones para la seguridad de la red

Descubra por qué un cortafuego es un componente clave para la seguridad de la red y conozca las soluciones de cortafuego fiables e integradas de Cisco.

Un cortafuegos fiable es el rasgo distintivo de una red altamente protegida. Las redes ofrecen soporte para aplicaciones y procesos sensibles y fundamentales, y proporcionan una infraestructura común para los servicios convergentes de datos, voz y vídeo. Cisco integra la seguridad de cortafuegos en toda la red, e incorpora los servicios de seguridad en todos sus productos, en lugar de ofrecer productos puntuales que establecen un nivel de seguridad básico. El enfoque de Cisco convierte la seguridad de cortafuegos en un aspecto transparente, escalable y fácil de gestionar de la red y la infraestructura empresarial.

Un cortafuegos personalizado para la red

Cada cortafuegos de Cisco se basa en plataformas modulares y escalables y está diseñado para adaptarse a los requisitos de seguridad de los diversos entornos de red. Un cortafuegos puede implementarse de manera independiente para proteger una zona específica de la infraestructura de red, o se puede combinar para ofrecer un enfoque de defensivo más profundo, por capas. Todas las soluciones de cortafuegos de Cisco están diseñadas siguiendo las mejores prácticas y directrices desarrolladas para soluciones del mundo real.


62

Private Internet Exchange

PIX es el acrónimo de Private Internet EXchange.

Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de

equipos Cortafuegos (FireWalls).

Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una

máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio

de usuario se asemeja más a un router que a un sistema Unix clásico.

El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier

paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le

aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de

estado de la conexión (PIX es stateful) enmemoria; para ello, a cada interfaz del firewall se le asigna un nivel de

seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de

funcionamiento del Adaptive Security Algorithm se basa en estas reglas:

Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.

Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se

prohíbe explícitamente mediante listas de acceso.

Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es

denegada, si no se permite explícitamente mediante listas de acceso.

Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.

Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog.

Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que

su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en

caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una

conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos

necesarios para identificar a la conexión.

El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya

que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto

recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser

[JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems

(http://www.cisco.com/).

Cisco ASA En las redes de ordenadores , Cisco ASA 5500 Series Adaptive Security Appliances , o simplemente serie Cisco

ASA 5500 , es Cisco línea @ s de seguridad de la red los dispositivos introducidos en 2005, [ 1 ] que logró tres líneas

existentes de los populares productos de Cisco:

Cisco PIX , que proporciona firewall y Network Address Translation (NAT funciones).

Cisco IPS 4200 Series, que trabajó como sistemas de prevención de intrusiones (IPS).

Cisco VPN 3000 Series concentradores, que preveía la creación de redes privadas virtuales (VPN).

http://es.wikipedia.org/wiki/Acr%C3%B3nimo

http://es.wikipedia.org/wiki/Cisco_Systems

http://es.wikipedia.org/wiki/Cortafuego

http://es.wikipedia.org/wiki/Hardware

http://es.wikipedia.org/wiki/Unix

http://es.wikipedia.org/wiki/Sistema_operativo

http://es.wikipedia.org/wiki/Usuario

http://es.wikipedia.org/wiki/Router

http://es.wikipedia.org/wiki/Algoritmo

http://es.wikipedia.org/wiki/Red_de_computadoras

http://es.wikipedia.org/wiki/Memoria_de_ordenador

http://es.wikipedia.org/wiki/Interfaz

http://es.wikipedia.org/wiki/ICMP

http://es.wikipedia.org/wiki/Syslog

http://es.wikipedia.org/wiki/Servidor

http://www.cisco.com/

http://en.wikipedia.org/wiki/Computer_networking

http://en.wikipedia.org/wiki/Cisco

http://en.wikipedia.org/wiki/Network_security

http://en.wikipedia.org/wiki/Cisco_ASA#cite_note-0

http://en.wikipedia.org/wiki/Cisco_PIX

http://en.wikipedia.org/wiki/Firewall_(networking)

http://en.wikipedia.org/wiki/Network_address_translation

http://en.wikipedia.org/wiki/Intrusion_prevention_system

http://en.wikipedia.org/wiki/Virtual_private_network


63

Ejemplo: Pix Cisco firewall 505

Private Internet Exchange (PIX), refiere a los modelos de equipos Cortafuegos (Firewalls) que tiene Cisco. Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico.

Private Internet Exchange (PIX)

El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:

Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino

(outbound) es permitida, y cualquiera que tenga como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, lo anterior, si no se prohíbe explícitamente mediante listas de acceso.

Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido y se envía un

mensaje de alerta. Cuando a un interfaz del firewall llega un paquete proveniente de una red con menor

nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; pues en caso contrario, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión.


64

Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500

Tranquilidad

Mantenga un alto grado de confianza en la seguridad de su red.

Cualquier empresa que dependa de su red, necesita una seguridad sólida. Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de última generación con la flexibilidad necesaria para satisfacer las necesidades de su compañía a medida que ésta crece y cambia.

Características destacadas

Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan:

Personalización: Personalice la seguridad según sus necesidades de acceso específicas y sus políticas comerciales.

Flexibilidad: Conforme su negocio crezca y necesite cambios, podrá agregar fácilmente capacidades o actualizar de un dispositivo a otro.

Seguridad avanzada: Aproveche los últimos avances en seguridad de contenidos, cifrado, autenticación de identidad, autorización y prevención de intrusiones.

Simplicidad: Utilice un dispositivo diseñado para ser fácil de instalar, gestionar y supervisar.

Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los trabajadores remotos y móviles un acceso seguro a los recursos de la compañía o establezca VPN entre partners, otras oficinas o empleados basadas en roles.

Al mantener su red segura y protegida, los empleados podrán acceder siempre a ella desde su ubicación. Los Dispositivos de Seguridad Adaptativos de la ASA Serie 5500 de Cisco son su primera y mejor línea de defensa.

Caracteristicas:

Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia gama de características y posibles ventajas, entre las que se incluyen:

Caracterísiticas de seguridad galardonadas Soporte para dos VPN para comunicación entre oficinas o partners, con expansión de hasta

25 (ASA 5505) o 750 (ASA 5520) empleados Soporte para cualquier tipo de red de área local desde 5 (ASA 5505) hasta 250 (ASA 5550)

usuarios de red Opciones múltiples para conexiones de red de alta velocidad, en función de sus

necesidades de rendimiento Paquetes preconfigurados para facilitar los pedidos y la configuración Opciones para incrementar la fiabilidad


65

b) Elabora un informe sobre productos comerciales que implemente

Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat

Management). Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida que un equipo software (el Hardware esta optimizado para esas tareas), y además proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más modernos sistemas, gracias a las continuas actualizaciones On-Line. El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las distintas gamas de UTM (Unified Threat Management). Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que

incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un

firewall , software antivirus , filtrado de contenidos y un filtro de spam en un solo paquete

integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado,

análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure

Computing Corporation y Symantec . Las principales ventajas de la UTM son la sencillez, la

instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad

o programas simultáneamente.

Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más

complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos.

Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples

programas de seguridad en el tiempo.


66

Las principales ventajas 1. Reducción de la complejidad: solución de seguridad única. Solo proveedor. Solo AMC

2. Simplicidad: Evitar la instalación del software y el mantenimiento de múltiples

3. Gestión sencilla: Plug & Play Arquitectura, GUI basada en Web para una fácil gestión

4. Reducción de los requisitos de capacitación técnica, un producto de aprender.

5. Cumplimiento de la normativa

Desventajas clave 1. Punto único de fallo para el tráfico de red

2. Único punto de compromiso si la UTM tiene vulnerabilidades

3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede mantenerse al día con el tráfico

Ejemplo:

Dlink DFL-860

Firewall UTM para pequeñas empresas

El firewall UTM DFL-860 ofrece una potente solución de seguridad para las oficinas de pequeño o medio tamaño, con hasta 150 usuarios, contra una amplia variedad de amenazas para la red en tiempo real. Al integrar un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos web (WCF) en un diseño industrial de tamaño de sobremesa, este dispositivo está dirigido a las empresas que buscan seguridad para la red a un precio competitivo.

Gestión de amenazas unificada El DFL-860 integra un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos/URL web para una mejor protección con inspección de contenido de nivel 7. Está disponible un servicio opcional de subscripciones para mantener actualizadas en tiempo real cada una de estas defensas.

Seguridad de red proactiva El DFL-860 incluye una característica especial llamada ZoneDefense: un mecanismo que funciona perfectamente con los conmutadores xStack de Dlink para ofrecer seguridad de la red proactiva. ZoneDefense pone en cuarentena automáticamente los ordenadores


67

infectados de la red e impide que el tráfico malicioso invada la red.

Acelerador por hardware El DFL-860 usa un acelerador por hardware para llevar a cabo las funciones de escaneado antivirus e IPS simultáneamente, sin que se degrade el rendimiento del firewall ni de la red privada virtual. Este potente acelerador le permite al firewall trabajar con un rendimiento muy superior al de los firewall UTM con función antivirus del mercado.

Potente rendimiento de la red privada virtual El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 300 túneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y también puede manejar el tráfico que pasa a través de él. La autentificación de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a través de la base de datos interna del firewall, que admite hasta 500 cuentas.

Regulación de tráfico y compartición de carga El DFL-860 proporciona tecnología de regulación de tráfico avanzada, lo que permite a los administradores priorizar y diferenciar el tráfico de la red y establecer límites de ancho de banda. Dos interfaces WAN aportan redundancia y equilibrio de carga saliente. * Además, el DFL-860 soporta SLB (Server Load Balancing), que permite compartir las peticiones del servicio de red entre varios servidores, con lo que mejora el rendimiento y la escalabilidad de la aplicación. *Funcionalidad disponible en próxima actualización del firmware.

Hardware - 7 puertos switch Ethernet 10/100Base-TX integrados. - 2 puertos WAN 10/100Base-TX para la conexión de módem DSL o de cable. - 1 puerto DMZ. - Puerto consola (RS-232). Rendimiento - Rendimiento: 150 Mbps (firewall), 60 Mbps (3DES/AES VPN). - Hasta 25.000 sesiones simultáneas. Firewall - Protección DoS/DDoS - Filtros de contenido (bloqueo de palabra clave en URL, bloqueo Java/ActiveX/Cookie/VB, bloqueo IM/P2P). - Modo PPPoE, NAT, PAT y transparente. - ALG (Application Layer Gateway). - Mecanismo ZoneDefense (seguridad de red proactiva). Enrutamiento - Enrutamiento basado en políticas (PBR). - Enrutamiento estático. - Enrutamiento dinámico OSPF. Gestión de amenazas unificada - Sistema de prevención de intrusos (IPS).


68

- Protección de antivirus (AV). - Filtrado de contenido web (WCF).

VPN y autentificación - Hasta 300 túneles específicos para VPN. - IPSec NAT traversal - Encriptación: DES, 3DES, AES, Blowfish, Twofish, CAST-128. - Autentificación de usuario por medio de servidor RADIUS, LDAP, Active Directory o base de datos local (hasta 500 usuarios). - Vinculación direcciones IP-MAC.

Gestión de ancho de banda - Políticas basada en regulación del tráfico. - Ancho de banda garantizado, ancho de banda máximo, prioridad de ancho de banda. - Equilibrio de carga del servidor (SLB). - Equilibrio de carga saliente.1 1 Funcionalidad disponible en próxima actualización del firmware.

Tolerancia a fallos - Caída de enlace WAN.

Registro y gestión - Sistema de monitorización y aviso y registro de eventos, en tiempo real. - Configuración basada en web (http/https/SSH), interfaz de línea de comandos. - SNMP v1, v2c.

Practicas Cortafuegos - alvaroprimoguijarro | Just another ... · Practicas Cortafuegos 2012 2...

Documents

Transcript of Practicas Cortafuegos - alvaroprimoguijarro | Just another ... · Practicas Cortafuegos 2012 2...