ESCUELA POLITCNICA DEL EJRCITO

INFORME N 7

IMPLEMENTACION DE FIREWALL

MATERIA: INTERNETWORKING TCP / IP II

NOMBRES:

ALEXADRA CEVALLOS NATALIA MATIZ GABRIEL TELLO

CURSO: 9 ELECTRONICA EN REDES

FECHA: 2011-01-05
Page 1

INFORME N 7 ANTECEDENTES a. Definicin: Un firewall es un dispositivo que funciona como filtro entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en funcin de lo que sean permite o deniega su paso. Para permitir o denegar una comunicacin el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo. Dependiendo del servicio el firewall decide si lo permite o no. Adems, el firewall examina si la comunicacin es entrante o saliente y dependiendo de su direccin puede permitirla o no.

b. Funcionamiento: Un firewall funciona definiendo una serie de autorizaciones para la comunicacin, tanto de entrada como de salida, mediante Reglas. Estas reglas se pueden hacer teniendo en cuenta los puertos de comunicacin, los programas o las IP de conexin. Estas reglas pueden ser tanto restrictivas como permisivas, es decir, pueden ser reglas que denieguen o autoricen las comunicaciones tanto de entrada, de salida o ambas, a un determinado puerto, un determinado programa o una determinada IP. El cortafuegos, sirve de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo traspasa.

Page 2

Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de encriptacin-desencriptacin para entablar la comunicacin. c. Funciones de un firewall: Las funciones principales de un firewall son: 1.- Control de acceso 2.- Traslacin de direcciones 3.- Autenticacin 4.- Balanceo de carga 5.- Seguridad de Contenido 6.- Encriptacin (para permitir establecer VPNs en el Internet) d. Tipos de Firewall : 1. Filtrado de Paquetes 2. Proxy-Gateways de Aplicaciones 3. Dual-Homed Host 4. Screened Host 5. Screened Subset 6. Inspeccin de Paquetes 7. Firewalls Personales e. Beneficios de un Firewall: Los Firewalls manejan el acceso entre dos redes. Esto significa que la seguridad de toda la red, estara dependiendo de qu tan fcil fuera violar la seguridad local de cada mquina interna.
Page 3

El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador ser el responsable de la revisin de estos monitoreos. Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados. f. Limitaciones de un Firewall: Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de peligro simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back Doors(puertas traseras abiertas), abriendo un hueco diferente y borre las pruebas o indicios del ataque original.

2. OBJETIVOS OBJETIVO GENERAL Aprender a configurar las reglas en el firewall segn los diferentes requerimientos en la red. OBJETIVOS ESPECFICOS: Configurar los routers con las opciones de firewall respectivamente. Realizar pruebas de conectividad y de funcionamiento del firewall para comprobar su correcta configuracin. Administrar y probar las reglas colocadas en el firewall, con respecto a todas las LANs y al Internet. Profundizar el estudio de opciones ms especficas o limitaciones del firewall en equipos MikroTik.

Page 4

3. DESARROLLO 3.1. DIAGRAMA DE LA RED a. Topologa de la red en general.

INTERNET

b. Direccionamiento de red.
RED: 192.168.10.0 /24

.2

INTERNET .1 .1

PC1: 192.168.10.2

.2 RED: 192.168.20.0 /24

PC1: 192.168.20.2
Page 5

3.2. CONFIGURACIONES a. Configuracin de la red: LAN DIRECCION DE RED 192.168.10.0/24 DIRECCION DE RED 192.168.20.0/24 CONFIGURACION DE LA PC PC1

PC2

Page 6

3.3. RESULTADOS A. Configuracin de la topologa de la red Para la configuracin de nuestro router (Router B), realizamos lo siguiente en el Winbox.

1. Primero se configur en el equipo la direccin de la red directamente conectada.

2. Se configura DHCP Client seleccionando la interfaz por donde obtendremos la direccin IP que nos otorga el proxy de la ESPE:

Page 7

3. Una vez configurado esto, revisamos address list para verificar que se encuentre la red directamente conectada y la asignada mediante DHCP:

Para la configuracin de web proxy se ingresa a web proxy setting se habilita esta opcin y se configura el puerto 8080 que permite la salida al internet:

A continuacin se configura el Firewall habilitando las siguientes reglas en NAT:

REGLA 0 Es utilizado en los host de una red privada para que tenga acceso al internet. Es una cadena que permite el NATEO que permite tener conexin mediante el protocolo TCP y el puerto 80:

Page 8

Todo el trafico que existe se redireccionar por el puerto 8080:

REGLA 1 Un router NAT reemplaza la direccin IP privada de origen en un direccin IP pblica a medida que viaja a travs del router. La operacin inversa se aplica a los paquetes de respuesta que viajan en la otra direccin.

Page 9

Para realizar el bloqueo por horarios se aplic la siguiente regla con intervalos de tiempo de 2 minutos: El bloqueo se har a la maquina con la IP 192.168.20.2 bloqueando todo el trfico de entrada, colocando la direccin IP origen y el protocolo icmp:

En extra se debe configurar el intervalo de tiempo que se desea bloquear a la maquina

Page 10

La accin a ejecutar ser drop

Como debe ser intermitente esta accin, se configuro esta regla varias veces con diferentes intervalos de tiempo:

Page 11

Bloqueo de puerto 25 Este bloqueo no permitir los correos salientes, en este caso para comprobar su funcionamiento se usara Outlook. Para su configuracin se utilizo chain como forward, es decir se bloqueara todo el trfico interno, utilizando protocolo tcp con el puerto destino 25.

La accin ser drop

Bloqueo HTTPS y SSH El bloqueo HTTPS se har a la maquina con la IP 192.168.20.2 bloqueando todo el trafico interno, colocando la direccin IP origen, protocolo tcp y el puerto destino 443 correspondiente a HTTPS

La accin aplicarse ser drop:

Page 12

El bloqueo SSH se har a la maquina con la IP 192.168.20.2 bloqueando todo el trfico interno, colocando la direccin IP origen, protocolo tcp y el puerto destino 22 correspondiente a SSH

La accin aplicarse ser drop:

Bloque de IP El bloqueo TELNET se har a la LAN 192.168.20.0, bloqueando todo el trfico de entrada, colocando la direccin IP origen, protocolo tcp y el puerto destino 23 correspondiente a TELNET

Se habilita el lmite de conexin, y se coloca el valor de 1 para que permita una sola conexin remota a la vez y se coloca la mscara de la red, para que permita una sola conexin en toda la red, si se desea solo 1 conexin por equipo se colocar mascara 32:

La accin aplicar es drop:

Page 13

Para comprobar el correcto funcionamiento de todas las reglas creadas se realizo las diferentes pruebas: BLOQUEO POR HORARIOS Intervalo de tiempo 7:54 a 7:56 no se obtena conectividad

Transcurrido ese tiempo se vuelve a tener conectividad

Come se configuro varias veces la misma regla para que se mantenga de forma intermitente, nuevamente en el intervalo de 7:58 a 8:00 se pierde conectividad y pasado este tiempo vuelve a la normalidad

Page 14

BLOQUEO PUERTO 25 Los correos salientes nunca llegaban a su destino, dejando al mensaje en el buzn de salida, lo cual indic la correcta configuracin de la regla con el puerto 25:

BLOQUEO HTTPS El bloqueo para HTTPS se lo realizo a la maquina con la IP 192.168.20.2 como se puede observar a continuacin:

Page 15

Mientras que a la otra mquina de la otra LAN con la IP 192.168.10.2, HTTPS funcionaba correctamente:

BLOQUEO SSH Para probar esta regla se abri el programa putty y se intento acceder al router de forma remota mediante SSH y no se consigui como era nuestro objetivo:

Page 16

BLOQUEO IP La regla generada para este bloqueo, debe permitir a una mquina de una misma red acceder de forma remota al router, mientras a la otra mquina de la misma red se le negara el acceso, y viceversa, para comprobar el funcionamiento se lo realizo mediante la utilizacin del programa putty en las dos mquinas: PC1: 192.168.20.2/24 Esta es la primera mquina de la misma red que accede de forma remota al router:

Page 17

PC2: 192.168.20.3/24 Al intentar acceder de forma remota no se consigue como era el objetivo:

Page 18

Cada vez que se va realizando las pruebas de las reglas configuradas, en winbox se va generando trfico, lo que indica que la regla est funcionando correctamente:

4. CONCLUSIONES El uso del firewall como filtro que controla todas las comunicaciones que atraviesan una red, es muy eficiente para mantener protegida la red de ataques realizados por intrusos, implementando reglas que definan que se permite o se deniega hacia la red. Algunos programas de firewalls permiten llevar las estadsticas del ancho de banda consumido por los usuarios (trafico de la red) y de los procesos que han influido ms en ese trfico, con esta informacin el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible para otras aplicaciones. Esto por ejemplo es de mucha utilidad en las empresas para evitar que los trabajadores se distraigan en aplicaciones tales como las redes sociales. El Firewall tampoco provee de herramientas contra la filtracin de software como filtrado de contenido (texto, imagen, video) o archivos. Pero si provee herramientas para la filtracin de ciertas aplicaciones. Es importante configurar las reglas correctamente y las que sean necesarias para obtener los resultados esperados segn las necesidades del administrador para bloquear las aplicaciones que sean requeridas.
Page 19

5. RECOMENDACIONES Los cables de conexin a utilizar deben estar en perfecto estado. Primero se debe probar que toda la red tenga conectividad y acceso a Internet, antes de colocar cualquier regla, para as descartar futuros problemas con la red. Es necesario configurar correctamente las reglas para as establecer el acceso o negacin a las aplicaciones. Una vez colocada una regla en el firewall, se deben realizar todas las pruebas necesarias para comprobar que este no afect a otros y que el mismo funciona correctamente. Una vez comprobado se puede proseguir con la siguiente regla, para as evitar probables confusiones con problemas en el firewall. Hay que saber configurar las opciones extras que tiene el firewall, y probarlas primero en un laboratorio, ya que en un ambiente laboral podra causar serios problemas con los datos y conexiones de la empresa. 6. FUENTES DE CONSULTA http://es.scribd.com/doc/25216518/Firewall-Cortafuegos http://www.configurarequipos.com/doc667.html http://wiki.mikrotik.com/wiki/Firewall#Miscellaneous

Page 20