Firewall en Endian

Endian

Esta es una herramienta OpenSource, desarrollada para el funcionamiento de cortafuego (firewall), gestionar amenazas, servicios de VPN y PROXY, etc. endian esta basado originalmente en IPCop.

La inplemetacion de esta herramienta es totalmente gratis, ya que es una distribucio GNU/Linux y su licencia es OpenSource. Se puede descargar la iso en este link: http://sourceforge.net/projects/efw/files/Development/EFW-2.5.1/EFW-COMMUNITY-2.5.1-201201261800.iso/download .

Características

-Mejorar la distribución de su red implementando zonas (WAN, LAN, WiFi, DMZ), moldeo de tráfico y soporta VoIP.

-Incluye paquete dinámico de firewall para la seguridad de su red, detección de intrusiones, detección de escaneo de puertos, entre otros.

-Distribuye la carga de datos.

-Hacer comunicaciones seguras con otras sedes o clientes remotos a través de VPN .

-Antivirus y filtrado de contenido para un acceso a internet más seguro.

-Manejo de proxy.

-Enrutamiento.

-Antivirus y Antispam para el correo electrónico.

-Alta disponibilidad.

-Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de acceso.

-Su administración es por via web.

Instalación de ENDIAN FIREWALL

Aca escogemos el idioma deseado en este caso es el ingles.

Hacemos clic en OK.

Aceptamos la instalación y hacemos clic en OK.

Aceptamos para la posibilidad de activar el servicio de consola a través de un cable serial conectado al puerto serial del PC, hacemos clic en OK.

En este paso es cuando el programa instalador toma la posesión de todo el disco duro para así crear las particiones correspondientes.

Acá ingresamos la dirección ip para mas adelante configurar el endian firewall desde un navegador de internet, hacemos clic en OK.

Acá debemos de retirar el CD de instalación para poder continuar con la instalación, hacemos clic en OK.

Hacemos clic en OK para finalizar la instalación del ENDIAN.

En estas dos imágenes nos muestra cuando esta terminando la instalación del ENDIAN.

Tras el reinicio de la maquina, escogemos la opción de la shell que es (0), y hacemos enter.

Después al escoger la opción de la shell nos logeamos con el comando LOGIN y la contraseña es ENDIAN. Para poder entrar como root.

Configuración de ENDIAN FIREWALL

Nota:

Para la configuración del endian necesitamos una maquina windows xp que este en el mismo rango de dirección de la maquina de endian, cuando las maquinas ya hagan ping entre ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la dirección donde esta instalada la herramienta endian, y procederemos a configurar el endian por via web.

En este imagen como lo pueden observar estamos configurando la red estática para que esta maquina de windows pueda comunicarse con la maquina de endian, para hallar la configuración por via web.

Para poder acceder a la configuración del endian ingresamos a un navegador web, y colocamos la dirección ip de la maquina donde se instaló la herramienta. Hacemos clic en la flecha de abajo como lo pueden observar en la imagen.

Seleccionamos el idioma en este caso es español, hacemos clic en siguiente.

Aceptamos la licencia de la aplicación y hacemos clic en siguiente.

En esta imagen como lo pueden observar podemos realizar un respaldo de la aplicación pero en este caso no vamos hacer ningún respaldo, hacemos clic en siguiente.

En esta imagen como lo pueden ver podemos cambiar la contraseña por defecto de la herramienta, ya sea la contraseña del usuario admin y del root por el servicio de ssh, podemos utilizar la misma contraseña para ambos, hacemos clic en siguiente.

En esta imagen escogemos el primer ítem que es ( ethernet estático), aca señalamos el tipo de conexión que va a ver en la zona roja que es la WAN ya sea inalámbrico o por ethernet. Hacemos clic en siguiente.

Acá escogemos la zona naranja donde va a ir la DMZ ( zona desmilitarizada), hacemos clic en siguiente.

En esta imagen como lo pueden observar escogemos las preferencias de la red, donde decidimos que interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección ip de la interface seleccionada y su correspondiente mascara de red, hacemos clic en siguiente.

En esta imagen como lo pueden observar es donde escogemos que interface va hacer la zona naranja donde es la DMZ, también colocamos la dirección ip de la interface y su correspondiente mascara de red, hacemos clic en siguiente.

En esta imagen como lo pueden observar escogemos que interface va hacer la zona roja donde va a salir a internet los usuarios de la zona verde y naranja, también especificamos la dirección y su mascara de red correspondiente, hacemos clic en siguiente.

Asignamos las direcciones ip de los DNS, hacemos clic en siguiente.

Este paso es opcional, acá colocamos la dirección de correo del administrador, hacemos clic en siguiente.

En esta imagen como lo pueden observar estamos finalizando con la configuración de la herramienta de endian, hacemos clic en acepta y aplicar la configuración.

En esta imagen como lo pueden observar esperaremos 20 segundos para acceder al endian.

Después de haber esperado los 20 segundos, nos pide el usuario y contraseña para acceder a la herramienta de endian.

Esta es la herramienta, lista para administrarla.

Asignación de reglas

LAN: zona verde

Dirección IP 192.168.20.0/24

servicios de red: FTP

LAN: zona naranja (DMZ)

Dirección IP 192.168.30.0/24

servicios de red: HTTP, FTP, DNS

WAN: zona roja

Dirección IP 192.168.10.101

Configuración del NAT PUENTE acceso a internet.

En esta imagen como lo pueden observar estamos haciendo un NAT FUENTE para que los de la zona verde puedan salir a internet por medio de la zona roja.

En esta imagen realizamos lo mismo pero para que la zona naranja (DMZ) pueda tener acceso a internet por medio de la zona roja que es la (WAN).

Configuración del trafico de ruteo (INCOMING ROUTED TRAFFIC).

Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red LAN.

Configuración de reenvío de puertos (PORT FORWARDING/DESTINATION NAT RULE EDITOR).

En esta imagen como lo pueden observar estamos configurando para que los usuarios de la red roja puedan tener acceso a los servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP. Sucesivamente lo pueden realizar con los otros servicios.

En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja se puedan conectar a la zona naranja (DMZ).así mismo lo hacemos con todos los servicios de la DMZ.

Como lo pueden ver hemos agregado previamente los servicios que van a salir a la red WAN.

Configuración del Trafico entre zonas.

En esta imagen como lo pueden observar estamos permitiendo la conexión entre la zona verde con la naranja, para que los usuarios de la zona verde puedan acceder a los servicios de la zona DMZ.

En esta imagen como lo pueden observar estamos denegando la conexión entre la zona naranja y la zona verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona verde.

Configuración del trafico de salida.

En esta imagen como lo pueden observar estamos permitiendo que la zona naranja pueda abrir la conexión con la zona roja, para que los usuarios de la zona WAN ingresan a los servicios de red naranja.

Resultados de las reglas

Los usuarios de la zona verde se pueden conectar a internet satisfactoriamente.

Los usuarios de la zona verde se pueden conectar con el servicio FTP de la zona naranja (DMZ) satisfactoriamente.

Los usuarios de la zona verde se pueden conectar con el servicio HTTP de la zona naranja (DMZ) satisfactoriamente.

Los usuarios de la zona naranja se pueden conectar a internet satisfactoriamente.

La zona naranja nunca puede conectarse con la zona verde.

Como lo pueden observar desde la zona roja (WAN) no se puede obtener respuesta a la zona verde, por dicha configuración realizada anteriormente.

Vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja(DMZ) y por echo tener acceso a los servicios implementados en dicha zona, servicios como el WEB y el FTP.

ISA Server como Firewall en Windows 2003

Con este manual lo que mostrara es el funcionamiento y configuración de la aplicación ISA SERVER en WINDOWS SERVER 2003 como FIREWALLS.
FIREWALLS es una parte de un sistema o de una red que esta diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar el trafico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Planteamiento de la actividad.

Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que le permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles.

Instalación y configuración.

La maquina WINDOWS Server llevara tres tarjetas de red:

LAN: Red interna

INTERNET: Adaptador puente

DMZ: Red interna

 

Estas son las Ip de cada tarjeta de red.

Una vez hecho lo anterior instalar la aplicación ISA Server.

Dar clic derecho en el instalador para iniciar la ejecución:

Clic en la opción SI para extraer el software .

Esperar a que cargue para iniciar con la instalación.

Clic en la opción INSTALAR ISA SERVER 2006.

Esperar a que cargue.

 
Una vez cargue debe aparecer este asistente que indica como sera la instalación.

 
Ahora iniciara la instalación, esperar que cargue.

 
Aceptar los términos de la licencia y hacer clic en siguiente.

 
Llenar los espacios con los detalles del cliente, en caso de que parezcan por defecto.

 
Tipo de instalación en este caso típica.

 
Agregar las direcciones que se desean incluir.

 
Seleccionar el adaptador.

Una vez agregado dar clic en aceptar.

 
En esta opción de puede editar o agregar otros intervalos en este caso no.

 
En este caso no se permitieron conexiones de Firewalls si usar cifrado.

Esto es una advertencia sobre los servicios que se reiniciaran durante la instalación. Cilc en siguiente.

Clic en instalar.

Esperar a que termine la instalación.

Debe aparecer de nuevo este asistente indicando como continuara la instalación.

Clic en finalizar.

Debe aparecer un interfaz así:

Configuración de topología.

Escoger topología o infraestructura a utilizar, para eso ir a siguiente directorio:

Este es el monitor de rendimiento.

En administrador del servidor se configura la topología.

En la opción configuración > redes elegir el quiere o necesite de acuerdo al tipo de topologia.

Siguiente para empezar a configurar la topología de red.

En este caso no se exporto nada solo clic en siguiente.

Pide la Ip de la LAN pero esto ya se hizo en la instalación por tanto no es necesario volver a copiarla o elegirla.

Se asigna la Ip de la red perimetral > Agregar adaptador.

Seleccionar la directiva para firewalls en este caso bloquear a todos.

Finalizar.

Clic en Aplicar para que se actualicen los cambios en la topológica.

 

Antes de iniciar las regles de Firewalls se deben configurar las reglas del NAT.

Eliminar las redes que no son necesarias.

Agregar las que se necesitan de acuerdo a los requerimientos del firewalls,

> redes de origen.

> Redes de destino.

Terminar y hacer clic en aplicar para actualizar todos los cambios.

Ahora configuración de las reglas de firewalls. > Directivas de firewalls > crear reglas de acceso.

Crear regla HTTP.

Seleccionar permitir.

Se agrega los protocolos HTTP y HTTPS.

Escoger el trafico de origen que se desea para esta regla.

Agregar todos los usuarios.

Finalizar.

 






















Por ultimo aplicar los cambios para actualizar.

  

Regla DNS.

 

 

 

Regla para el FTP.

 

 

 

 

 

 

FINALIZAR...

Estas son todas las reglas creadas.

 

Configuración de DNAT.

Esta regla es para publicar los servicios internos hacia Internet. > directivas de firewalls > publicar protocolos de servicios no web.  

 

 

Darle nombre a la regla.

 

Esta es la dirección Ip del servidor que se publica es DMZ donde esta el servidor web.

 

Se escoge el servidor HTTPS y se agregan los puertos.

 

 

 

Una vez hechas las especificaciones anteriores Clic en siguiente.

 

Finalizar.

 

Aplicar los cambios realizados para actualizar.

 

  

 

Si hay servicios que no se encuentran en la lista por defecto esta es la manera de agregarlos manualmente. Ejemplo.

Directivas de firewalls > herramientas > nuevo > protocolo.

 

 

Se la da un nombre (el que quiera)

 

En opción nueva se elige el tipo de protocolo y se le agregan las especificaciones.

 

 

Una vez agregado clic en siguiente.

 

En este caso no se utilizaron conexiones secundarias.

Finalizar y aplicar los cambios.

 

Crear regla de acceso para el servicio que se acabo de crear

 

Se le da un nombre (cualquiera) a la regla en este caso se llama igual que el protocolo que se agrego en el procedimiento anterior.

 

 

Opción permitir.

 

 

Aquí se agrega el protocolo. > agregar > definido por el usuario.

 

 

Agregar la interfaz de red por la que se escucharan las peticiones.  

 

Se agrega para todos los usuarios.

Finalizar.

Aplicar y esperar a actualicen los cambios.

 

Estas son algunas de las pruebas que se hacen para comprobar funcionalidad.

ping.

 

nslookup.

 

y salida a internet.