0 evaluări0% au considerat acest document util (0 voturi)
87 vizualizări46 pagini
Este documento describe el diseño e implementación de un sistema de seguridad perimetral utilizando el firewall Smoothwall Express. Explica cómo instalar Smoothwall Express en una máquina virtual, configurar las interfaces de red, asignar direcciones IP y completar la configuración inicial del firewall para proteger una red interna.
Este documento describe el diseño e implementación de un sistema de seguridad perimetral utilizando el firewall Smoothwall Express. Explica cómo instalar Smoothwall Express en una máquina virtual, configurar las interfaces de red, asignar direcciones IP y completar la configuración inicial del firewall para proteger una red interna.
Este documento describe el diseño e implementación de un sistema de seguridad perimetral utilizando el firewall Smoothwall Express. Explica cómo instalar Smoothwall Express en una máquina virtual, configurar las interfaces de red, asignar direcciones IP y completar la configuración inicial del firewall para proteger una red interna.
CASO DE ESTUDIO INTEGRAL DISEO E IMPLEMENTACION DE UN
SISTEMA DE SEGURIDAD PERIMETRAL
SILVIA ALEXANDRA SALAZAR GANDOLFO 1150198
JEFFERSON DAVID RANGEL FUENTES 1150226
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2013
CASO DE ESTUDIO INTEGRAL DISEO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL
SILVIA ALEXANDRA SALAZAR GANDOLFO 1150198
JEFFERSON DAVID RANGEL FUENTES 1150226
Presentado a:
ING. JEAN POLO CEQUEDA OLAGO
SEGURIDAD INFORMATICA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2013
FIREWALL: SMOOTHWALL
Un firewall o cortafuegos es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios (reglas). Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin. Como sistema operativo para el cortafuegos se utilizar SmoothWall Express, una distribucin de GNU Linux gratuita especfica para este propsito. Luego, se explica cmo instalarlo, administrarlo y configurarlo. SmoothWall Express es un servidor de seguridad de cdigo abierto. Diseado para un fcil uso, se configura a travs de un GUI basado en web y no requiere ningn conocimiento de Linux para instalarlo o utilizarlo. Incluye la Snort Intrusion Detection System (IDS) y el apoyo a los mdems ADSL y conexiones PPPoE.
Adems, permite construir fcilmente un servidor de seguridad para conectar de forma segura una red de ordenadores a Internet.
Casi cualquier PC Pentium se puede utilizar, por ejemplo, un PC antiguo con bajas caractersticas puede ser usado como estacin de trabajo o servidor. SmoothWall Express crea un firewall de hardware dedicado, ofreciendo las facilidades y la seguridad real asociado con los dispositivos de hardware.
Asimismo, viene pre-configurado para detener todo el trfico entrante que no es el resultado de una solicitud de salida. Los archivos de reglas que aplican esta poltica son parte de la configuracin del sistema y normalmente no deberan ser editados por otros que no sean los procedimientos de configuracin.
Smoothwall est licenciado bajo la General Public License (GPL).
Proceso de Instalacin de SmoothWall Express:
1) Una vez descargada la imagen ISO de SmoothWall Express 3.0 SP2 a travs de la pgina: http://sourceforge.net/projects/smoothwall/files/SmoothWall/3.0%20SP2/
Lo introduciremos en el equipo que utilizaremos de firewall o cortafuegos y a travs del Virtual Box crearemos una mquina virtual basada en su funcionamiento.
Luego, aparecer la siguiente ventana de inicio de SmoothWall Open Source Project:
La pantalla anterior avisa que los datos del disco duro del equipo sern eliminados para instalar el nuevo sistema, obviamente esto hay que tenerlo en cuenta y haber hecho copia de seguridad de los datos (si los hubiera) del disco duro del equipo. Pulsaremos INTRO para iniciar la instalacin del cortafuegos SmoothWall Express.
2) Nos mostrar la ventana de bienvenida, pulsaremos "Ok" (pulsando la barra espaciadora o INTRO, en la instalacin no funcionar el ratn):
3) Nos indicar que introduzcamos el CD de SmoothWall express, puesto que ya lo tenemos pulsaremos "Ok" (pulsando INTRO o barra espaciadora):
4) A continuacin nos avisar de que se preparar el disco duro /dev/hda para ser particionado, pulsaremos "Ok":
5) Nos volver a avisar de que el proceso de particionado eliminar todos los datos del disco duro, Pulsaremos "Ok" para continuar:
6) Se iniciar el proceso de preparacin y particionado del disco:
7) Tras el particionado y formateo, se iniciar la instalacin de los ficheros necesario para el funcionamiento del firewall o cortafuegos de SmoothWall Express:
8) Presionar ok para continuar, los archivos de SmoothWall han sido instalados satisfactoriamente.
9) En esta ventana seleccionamos la opcin No y presionamos enter. Esta opcin es vlida cuando queremos restaurar una configuracin de SmoothWall guardada previamente. Configuraremos todas las opciones manualmente.
10) Este cuadro de dilogo nos permite seleccionar el teclado que vamos a utilizar. Seleccionamos es para usar la distribucin del teclado en espaol. Movemos el cursor a ok para luego presionar enter.
11) Nos aparece el cuadro de dilogo para escribir el nombre de nuestro servidor. El nombre por defecto es smoothwall pero podemos escribir cualquiera, tomando en cuenta que est prohibido usar nmeros, puntos, guin bajo. Seleccionar ok y presionar enter para continuar.
12) A continuacin seleccionaremos el tipo de poltica o directiva de seguridad para las solicitudes o peticiones salientes. Esta configuracin no afecta a las solicitudes entrantes, que siempre estarn bloqueadas a menos que explcitamente sean permitidas (mediante las reglas del cortafuegos o firewall). Las posibilidades son: Open (abierto): todas las peticiones salientes sern permitidas (como en las versiones anteriores de SmoothWall Express). Half-open (entreabierta): la gran parte de las peticiones saliente sern permitidas, salvo las consideradas dainas o peligrosas. Closed (cerrado): todas las peticiones salientes sern bloqueadas. Si se quiere permitir alguna peticin saliente se deber especificar en la administracin del firewall SmoothWall Express (en las reglas).
En nuestro caso seleccionaremos "Open"
13) Nos aparece el men de configuracin de red.
En Network configuration type, seleccionaremos esta opcin y pulsaremos "Ok", desde aqu indicaremos un dato muy importante, el tipo de configuracin de red que utilizaremos:
14) Esta venta nos permite Seleccionar el tipo de configuracin de red. Teniendo en cuenta que: Red wireless (purple): red inalmbrica si tenemos router wireless con este tipo de conexin activada. Red DMZ (orange): zona desmilitarizada, normalmente en este segmento de red se suelen colocar los servidores propensos a antaques externos, como el servidor web o el de correo electrnico. Red LAN local (green): red de rea local, red privada, donde estn todos los equipos y los servidores de terminal server, servidores de bases de datos, servidores de ficheros, etc.
Seleccionamos GREEN+ RED. Esta opcin indica que una tarjeta NIC se conectar a una red interna y otra a Internet o una red externa. Seleccionamos ok y presionamos siguiente.
15) A continuacin debemos indicar los drivers y la asignacin de las dos tarjetas a RED y a GREEN, para ello seleccionaremos "Drivers and card assignments" y pulsaremos "Ok":
16) De acuerdo al tipo de red que hayamos configurado se nos preguntar por la seleccin de las interfaces. En nuestro caso slo debemos seleccionar dos interfaces de red, una para la red interna (GREEN) y otra para la red externa (RED). Presionamos enter para continuar.
17) Seleccionamos Probe y presionamos enter para detectar automticamente las interfaces de red.
18) Si el sistema detecta las tarjetas de red mostrar un mensaje como el siguiente, si es correcta la deteccin pulsaremos "Ok", en caso contrario pulsaremos "Skip":
19) El cuadro de dilogo de asignacin de la interface nos aparece. Si sta interface es la que pertenece a la red interna (GREEN) seleccionamos esta opcin, caso contrario seleccionamos (RED). Presionamos ok para continuar.
20) Si a la anterior le hemos asignado la GREEN, la que queda ser la RED:
21) Si todas las interfaces han sido asignadas correctamente nos aparecen un cuadro de confirmacin.
22) Nos aparece nuevamente el menu de configuracin de red. Seleccionamos Address settings y presionamos enter para continuar.
23) Seleccionamos la interface a configurar (GREEN) y presionamos enter para continuar.
24) Nos avisar de que si cambiamos la IP, las conexiones remotas se desconectarn y tendremos que volver a conectarnos de nuevo con la nueva IP. En nuestro caso, puesto que es una instalacin desde cero de SmoothWall, no habr conexiones remotas, pulsaremos "Ok":
25) Nos aparece una ventana de dilogo sobre la cual debemos ingresar la direccin IP y la mscara de red que utilizar la interfaz (GREEN).
26) Seleccionamos la otra interface (RED) y presionamos enter para proceder con su configuracin.
27) La asignacin de la IP es esttica. Con la tecla Tab nos movemos por las opciones hasta situarnos en ( ) Static, una vez alli presionamos la barra espaciadora para seleccionar esa opcin, debe aparecernos un * en los parntesis, a continuacin, introduciremos la IP para la interfaz RED:
28) Una vez configuradas las dos interfaces nos aparece este cuadro de dilogo. Seleccionamos Done y presionamos enter para continuar.
29) Regresamos al men de configuracin de la red, seleccionamos DNS and Gateway settings, y ok, presionamos enter para continuar.
30) Este cuadro de dilogo nos permite ingresar las direcciones del DNS y del gateway para poder Salir a Internet. Tanto para la red de los laboratorios como para el Wireless son las mismas direcciones. Seleccionamos ok y presionamos enter para continuar.
31) Una vez que hemos de configurar todos los parmetros de la red; seleccionamos Done y presionamos enter para continuar.
32) Este men es usado para configurar instalaciones avanzadas. Seleccionamos Finished y presionamos enter para continuar.
33) Ingresamos un contrasea para la cuenta admin. Esta cuenta es usada para la administracin web. La clave debe tener mnimo 6 caracteres y mximo 25.
34) Ingresamos una contrasea para la cuenta de usuario root. Esta cuenta es usada para el acceso por lnea de comandos al sistema. La clave debe tener mnimo 6 caracteres y mximo 25.
35) Si todos los pasos se siguieron adecuadamente la instalacin debe concluir satisfactoriamente.
36) Si el sistema se reinici correctamente, debera aparecer una pantalla similar a la siguiente:
ACCESO A SMOOTHWALL EXPRESS
Para acceder a la administracin web se puede hacer mediante cualquier navegador y desde un equipo que este en la misma red del firewall.
1) Accedemos a la direccin del firewall, en nuestro caso es: https://192.168.0.1:81
A continuacin se solicitan las credenciales del usuario para administracin web (admin), la clave es la que se haya establecido en la instalacin.
2) Esta es la interfaz web de SmoothWall.
3) Luego, accedemos al men tools Shell
Instalacin Modulo Advanced Web Proxy
Posteriormente procederemos a instalar el Mod o aadido (add-on) del Advanced Web Proxy, que dotar de ms parmetros de configuracin en la GUI al Proxy (SQUID).
1. Abrimos una shell sobre nuestra mquina bajo smoothwall va terminal o consola o mediante el men de la gui va browser: Tools > Shell
2. All nos pide un Usuario y una clave, iniciaremos sesin como usuarios root. 3. Y ejecutamos los comandos a continuacin: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 #vamos al dir /tmp
# las nuevas directivas SQUID de acl en /var/smoothwall/proxy/advanced/acls/include.acl
4. Reiniciamos la GUI y vamos al men Services > Advanced Proxy
Y vemos que hay muchas ms opciones que antes.
5. A destacar:
5.1 Control de acceso basado en red: Aqu defino la red (GREEN por defecto) que tiene permitido el acceso va proxy. Deshabilito el acceso a la red GREEN desde otras redes va proxy. Puedo definir IPs y/o MACs no restringidas e IPs y/o MACs banneadas (sin acceso). Y puedo definir una poltica de restricciones temporales (permitir que das de la semana y en que horario se puede acceder a la web va proxy)
Y por ltimo destacar tambin las opciones de limitar el ancho de banda de descarga a toda la red GREEN y por host.
5.2 Permitir o no el acceso segn aplicacin cliente de acceso a web
Definir que aplicaciones clientes pueden acceder a la web ( Web Browser Enable browser check ), a elegir segn necesidades, lo normal es permitir las actualizaciones de windows update, las actualizaciones para debian/ubuntu apt-get, las descargas va wget, los navegadores opera, firefox, chrome e IE y a Java.
Una vez todo configurado. Save and restart
Instalacin del Modulo Url Filter
URL Filter, es un mod o aadido para SmoothWall y/o IpCop. Su tarea es bloquear ciertos dominios, URLs y ficheros (a definir). Est basado en squidGuard redirector y se administra desde la GUI en Smoothwall. 1. Abrimos una shell al host bajo SmoothWall o va un cliente ssh como Putty 2. Digitamos los siguientes comandos: 1 2 3 4 5 6 7 8 9 cd /tmp #descargar wget http://www.urlfilter.net/download/swe3-32-urlfilter-1.5.3.tar.gz #descomprimir tar -xzf swe3-32-urlfilter-1.5.3.tar.gz #instalar smoothwall-urlfilter/install
Ejemplo:
3. Vamos a la GUI de SmoothWall ( https://192.168.0.1:81 ): Men Services > URL Filter
Lo primero que hago es ir al rea de Blacklist update, y bajarme un fichero de la URL de un servicio web (http://urlblacklist.com ). Es un fichero comprimido .tar.gz nos actualizar las categoras a bloquear y la bbdd (base de datos) de URLs que se aconsejan bloquear La URL para el fichero bigblacklist.tar.gz (de 19,2MB a 15-06-11) de http://urlblacklist.com es:
4. Una vez descargado el fichero, vamos a Blacklist Update, lo cargamos por medio de la direccin, y le damos Upload Blacklist
Nos aparecern ms categoras de las que trae por defecto el Smoothwall. Hay que elegir las categoras que se desean bloquear:
Tambin contiene opciones para listas blancas y negras personalizables. Y control de acceso basado en red. De igual manera se puede definir el aviso de la pgina que le sale al usuario al intentar navegar a una pgina bloqueada.
Una vez se haya configurado: Save and restart y en Advanced Proxy se debe habilitar URL Filter.
EJEMPLO DE URL FILTRADA
Instalacin Modulo Full Firewall Control
Procedimiento de instalacin del Mod Full Firewall Control Abrimos una terminal o consola a nuestro host bajo SmoothWall 3.0. Por defecto el puerto ssh para esta distro es el tcp 222
1. Deshabilitamos el proxy transparente para nuestra red Green, es decir nuestra LAN
2. Vamos a las configuraciones de nuestro navegador, y en Red, seleccionamos -> Cambiar la Direccin del Proxy
3. En las Propiedades de Internet -> Pestaa Conexiones -> Configurar LAN
4. Activamos la casilla de Servidor Proxy, y le damos la Direccion Ip para el Control de Acceso a nuestro Smoothwall, por el puerto 800. En nuestro caso 192.168.0.1 Puerto:800 Damos Aceptar
5. Posteriormente asignamos la direccion Ip para que sea la Red que nos facilite el Control de Acceso a nuestro Smoothwall. Para nuestro caso 192.168.0.0 / 255.255.255.0
6. Filtros URLs
En el Modulo URL Filter, encontramos un campo llamado Personalizar Lista Negra, se refiere a los dominios que deseen que se bloqueen por medio del Smoothwall; all podemos agregar los que queramos, al final le damos Save and restart
7. Autenticacin de Usuarios
a. Antes de iniciar la Autenticacin de Usuarios, se debe aclarar que el mtodo para la Autenticacin ser local.
8. Nos pide especificar un tamao mnimo para las contraseas de los Usuarios. En este caso trabajaremos con 6 9. Damos click en User Management
10. Se nos abrir la siguiente ventana. a. Es un asistente para la configuracin de usuarios muy fcil de manejar, con el podemos Crear Usuarios, una vez todos los campos estn llenos, borrar usuarios y editar usuarios. b. Los usuarios registrados se van listando en la parte posterior de la ventana.