TEMA 4 - Seguridad y alta disponibilidad

Transcripción

2012
TEMA 4
SEGURIDAD Y ALTA DISPONIBILIDAD
niko
[Escribir el nombre de la compañía]
23/02/2012
TEMA 4
23 de febrero de 2012
Contenido
1.CONFIGURACIÓN ROUTER-FIREWALL ..................................................................................... 4
a)
Router DLINK:.................................................................................................................... 4
b) Router LINKSYS: .................................................................................................................... 5
c) Router TP-LINK: ..................................................................................................................... 6
2.ACL (CISCO) ............................................................................................................................ 7
a) Resolución de ejercicios. ................................................................................................... 7
b) Resolución escenario UD3-2.a. Router Frontera. ............................................................. 17
3.-IPTABLES (LINUX): ............................................................................................................... 17
a)
Resolución de ejercicios .............................................................................................. 17
b) Resolución escenario UD3-1.a. NAT. ................................................................................... 26
4. DMZ. ................................................................................................................................... 29
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. ........................................ 29
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b....................................... 32
5. CORTAFUEGOS SOFTWARE.................................................................................................. 35
a) Cortafuego integrado en Windows. Instalación de software de cortafuegos en Windows y
Linux: .................................................................................................................................. 35
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). ............. 35
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en la
empresa: ......................................................................................................................... 42
¿Qué es Microsoft Forefront? .......................................................................................... 42
Funcionalidades y ventajas ........................................................................................... 42
Administración simplificada y centralizada ..................................................................... 43
Énfasis en la capacidad de "aseguramiento" .................................................................. 44
Conclusión......................................................................................................................... 44
b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. ................. 45
i) Instalación y configuración del cortafuegos “Firewall Zentyal”. ..................................... 45
ii) Instalación y configuración del cortafuegos “Firewall IpCop”. ...................................... 50
6. CORTAFUEGOS HARDWARE. ............................................................................................... 60
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange)
y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. ....................... 60
[ editar ]Las especificaciones de rendimiento ................................................................ 63
2
TEMA 4
b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de
Amenazas “Firewall UTM” (Unified Threat Management). .................................................. 65
Otro producto puede ser el Rhino Box UTM Toda la Seguridad de su Empresa en un solo Appliance.
............................................................................................................................................... 67
3
TEMA 4
CORTAFUEGOS:
1.CONFIGURACIÓN ROUTER-FIREWALL
Configura un router-firewall utilizando los simuladores
correspondientes:
a) Router DLINK:
http://support.dlink.com/emulators/di604_reve
En este router creamos una regal llamada niko en la que
denegamos que las direciones que se encuentran en el rango
192.168.2.100-192.168.2.110 no se puedan comunicar con las
direcciones del rango 195.168.2.50 a 192.168.2.60
4
TEMA 4
b) Router LINKSYS:
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
En este router podremos activar opciones como el filtro
multicast, filtrado nat….
5
TEMA 4
c) Router TP-LINK:
http://www.tplink.com/Resources/simulator/WR842ND(UN)1.0/index.htm
En seguridad encontramos varias opciones de seguridad como es
el cortafuegos, VPN…
También podremos controlar el acceso al router mediante listas de control de acceso, ya
sea a nivel de host o a nivel de dirección:
6
TEMA 4
2.ACL (CISCO)
a) Resolución de ejercicios.
1.-
7
TEMA 4
1.access-list 15 deny host 196.20.0.10
access-list 15 permit any
interface fa0/0
ip access-group 15 out
Comprobación
Equipo2:
8
TEMA 4
2.IP SOPOFING EN LA RED 192.20.0.0
Comandos utilizados:
ACcess-list 1 Permit host 192.20.0.2
ACcess-list 1 DEny Any
INt 0/0
IP ACCEss-group 1 In
9
TEMA 4
IP SPOOFIN EN LA RED 196.20.0.0
ACcess-list 1 DEny Any
INt f0/0
IP ACCEss-group 1 In
10
TEMA 4
3.RNORTE:
RSUR:
4.EN RSUR
COMANDOS
access-list 101 permit tcp host 192.20.0.10 host 196.20.0.2 eq www
access-list 101 deny tcp host 192.20.0.10 host 196.20.0.2 eq 25
access-list 101 deny udp host 192.20.0.10 host 196.20.0.2 eq 53
access-list 101 permit ip any any
11
TEMA 4
EN RSUR
int f0/0
IP ACCEss-group 101 in
Comprobacion:
DENEGACION DEL DNS:
12
TEMA 4
5.En el router NORTE
access-list 101 permit tcp host 196.20.0.10 host 192.20.0.2 eq 21
access-list 101 permit tcp host 196.20.0.10 host 192.20.0.2 eq 20
int f0/0
Comprobacion:
6.EN EL ROUTER NORTE
access-list 101 deny ip host 196.20.0.20 host 192.20.0.20
access-list 101 deny icmp host 196.20.0.20 host 192.20.0.20 echo
13
TEMA 4
access-list 101 deny tcp host 196.20.0.20 host 192.20.0.20
access-list 101 deny udp host 196.20.0.20 host 192.20.0.20
int f0/0
14
TEMA 4
7.ROUTER NORTE
ROUTER SUR:
8.access-list 110 deny ip any 196.20.0.0 0.0.0.255
access-list 110 deny icmp any 196.20.0.0 0.0.0.255
access-list 110 deny tcp any 196.20.0.0 0.0.0.255
access-list 110 deny udp any 196.20.0.0 0.0.0.255
15
TEMA 4
int f0/0
COMPROBACION:
9.-
10.ACcess-list
ACcess-list
ACcess-list
ACcess-list
100
100
100
100
Permit ICmp Any Any ECHO-Reply
Permit ICmp Any Any Unreachable
DEny ICmp Any Any
Permit IP Any Any
16
TEMA 4
b) Resolución escenario UD3-2.a. Router Frontera.
RESOLUCION MEDIANTE UN NAT EN PACKET TRACERT ENTREGA
APARTE
3.-IPTABLES (LINUX):
a) Resolución de ejercicios
Conteste a los siguientes ejercicios:
1º) Ver la vesión de Iptables:
2º) Borrado de todas las reglas
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde
la dirección 192.168.0.155.
17
TEMA 4
COMPROBACION:
4º) Eliminar todos los paquetes que entren.
Con esta opcion podremos observar que el ping no se ejecuta:
5º) Permitir la salida de paquetes.
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde
la dirección 192.168.0.155.
la dirección de red 192.168.0.0.
Comprobación:
la dirección 192.168.0.155 y enviar un mensaje de error icmp.
18
TEMA 4
COMPROBACION:
9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.
10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).
COMPROBACION
19
TEMA 4
11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
COMPROBACION:
12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de
SSH.
Comprobación:
13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de
Telnet.
COMPROBACION:
14º) Rechazamos las conexiones que se originen de la máquina con la dirección física
00:db:f0:34:ab:78.
20
TEMA 4
COMPROBACION:
CONFOGURACION DEL ROUTER:
15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red
remota, como Internet, a través de la interfaz eth0.
Comprobacion:
21
TEMA 4
16º) Cerramos el rango de puerto bien conocido desde cualquier origen:
Comprobacion Antea de la regla:
DESPUES:
22
TEMA 4
17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):
COMPROBACION:
DESDE UN EQUIPO DE LA RED 192.168.2.0 a un servidor web remoto:
18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:
COMPROBACION DESDE UN CLIENTE DE LA RED 192.168.2.0 A UN SERVIDOR WEB HTTPS:
23
TEMA 4
19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y
denegamos todo el resto a nuestra red:
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p udp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p tcp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.0.0/24 –i eth1 –d 0.0.0.0/0 -j DROP
Ahora comprobaremos que un cliente de la red 192.168.2.0 puede realizar una resolución DNS
pero por ejemplo no puede realizar un ping, puesto que tiene denegada esa función:
Comprobación del DNS:
Pero el ping fallara o mejor dicho no se realizara, por la elección de la opcion DROP:
24
TEMA 4
20º) Permitimos enviar y recibir e-mail a todos:
NO PUEDO COMPROBAR ESTAS REGLAR POR NO DISPONER DE UN SERVIDOR DE CORREO
INSTALDO:
21º) Cerramos el acceso de una red definida 10.33.20.0/24 a nuestra red LAN 192.168.2.0/24:
Ahora realizamos un ping desde un host de la red 10.33.20.0 a un host de la red
192.168.2.0/24:
22º) Permitimos el paso de un equipo específico 10.33.20.50 a un servicio (puerto 5432) que
ofrece un equipo específico (192.168.2.40) y su respuesta:
iptables –A FORWARD –s 10.33.20.50/24 –i eth0 –d 192.168.2.40 –p tcp –dport
5432 –j ACCEPT
iptables –A FORWARD –s–i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT
ESTA CONFIGURACION NO LA HE PODIDO COMPROBAR POR NO SABER COMO REALIZAR UNA
CONEXION HACIA ESE PUERTO.
25
TEMA 4
23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está
relacionada a una conexión ya establecida
b) Resolución escenario UD3-1.a. NAT.
EN primer lugar en el equipo debían que es el router principal de la red tendremos 2 tarjetas
de red una que estará configurada en VMNET3(eth0) con la dirección de red 10.33.1.30 y otra
que estará configurada en BRIDGE(eth1) con la dirección 192.168.0.20.
Una vez configuradas las tarjetas de red procederemos a realizar el enrutamiento entre ambas
tarjetas. Para ello seguimos los siguientes pasos:
En primer lugar introduciremos las siguientes reglas iptables en nuestro equipo:
26
TEMA 4
Una vez introducidas las reglas del paso anterior nos dirigiremos al archivo sysctl.conf y des
comentaremos la siguiente línea:
Ahora realizaremos el enrutamiento entre las 2 tarjetas de red con el comando que se muestra
en la imagen:
Una vez realizado el enrutamiento entre las 2 tarjetas de red configuraremos un cliente que
tenga una tarjeta de red configurada en VMNET3 con con la dirección de red 10.33.1.15 y
como puerta de enlace la dirección 10.33.1.30 del equipo debían:
27
TEMA 4
Ahora comprobamos como este cliente pude comunicarse con la red 10.33.1.0 y con la red
192.168.0.0:
Ahora configuraremos otro cliente en bridge y comprobaremos cono se puede comunicar con
la red 192.168.0.0 pero no con la 10.33.1.0 puesto que el NAT configurado en el equipo debían
nos lo impide:
28
TEMA 4
4. DMZ.
a) Resolución escenarios DMZ CISCO (Packet
Tracert ). UD3-3.a.
ESCENARIO SIMPLE:
INTENTE REALIZAR LO SIGUIENTE PERO NO FUNCIONABA
EN ROUTER 0 DENEGAR DE INTENET A LA EMPRESA
access-list 110 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny icmp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny tcp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny udp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit icmp any any
access-list 110 permit tcp any any
access-list 110 permit udp any any
int s2/0
29
TEMA 4
Comprobación :
EN ROUTER 0 DENEGAR DE LA DMZ A LA EMPRESA y denegar del DMZ a internet
access-list 111 permit icmp any any
access-list 111 permit tcp any any
30
TEMA 4
access-list 111 permit udp any any
int f1/0
COMPROBACIón
31
TEMA 4
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD33.b.
ESCENARIO SIMPLE:
En primer lugar mostraremos las configuraciones de las tarjeta de red de nuestro servidor
principal en nuestro caso un equipo debían:
32
TEMA 4
Con esta primera regla permitimos que los equipos de la red unterna se puedan comunicar con
la red exterior:
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 10.33.20.0/24 –j ACCEPT
COMPROBACIÓN:
ip
A su vez tambien deberemos de permitir que la red interna se communiqué con la DMZ:
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 192.168.3.0/24 –j ACCEPT
COMPROBACION:
Ahora deberemos de configurar la zona DMZ, en primer lugar deberemos de denegar el acceso
desde la DMZ a la red interna, para ello introducimos el siguiente comando:
iptables –A –s 192.168.3.0/24 –i eth2 –d 192.168.2.0/24 –j DROP
Ahora denegamos el acceso de la DMZ a la red externa:
Por ultimo configuraremos la zona externa; para ello denegamos que esta red pueda acceder a
la red interna:
COMPROBACIÓN:
Y permitimos el acceso al mismo a la DMZ:
33
TEMA 4
iptables –A –s 10.33.20.0/24 –i eth0 –d 192.168.3.0/24 –j ACCEPT
NO ME SALE REALIZE LAS SIGUIENTES IPTABLES:
34
TEMA 4
5. CORTAFUEGOS SOFTWARE.
a) Cortafuego integrado en Windows. Instalación de
software de cortafuegos en Windows y Linux:
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux).
http://www.kerio.com/
Una vez instalado para ejecutarlo deberemos de introducir el nombre de usuario y la
contraseña
Ahora usuraremos el asistente para configurar nuestro firewall, en primer lugar deberemos de
seleccionar la forma en la que nos conectamos a internet:
35
TEMA 4
Ahora seleccionaremos la interface que saldrá a internet:
Ahora permitiremos solo una serie de servicio, los cuales son los mas comunes, asi nos
protegeremos contra un posible ataque, esto se realizara con una regla de entrada:
36
TEMA 4
Como es posible que utilizemos conexiones VPN y ssl marcaremos las casillas para que kerio
nos cree reglas para el servidor VPN y para los clientes SSL-VPN
Ahora podremos añadir los servidores que se encuentren en nuestra LAN y que deben de ser
accesibles desde internet:
37
TEMA 4
Por último finalizamos el asistente:
38
TEMA 4
Ahora podremos apreciar que en la sección política de trafico se encuentran las políticas que
hemos creado:
También podremos limitar el ancho de banda:
39
TEMA 4
Tambien podremos crear politicas HTTP como puede ser permitir actualizaciones o denegar
actualizaciones de un programa, remover banner….
A su vez podremos configurar opciones sobre el antivirus para que analize lo que le indicamos,
pudiendo usar un antivirus externo y pudiendo habilitar la exploración de protocolos,
exploaracion HTTP,FTP…:
40
TEMA 4
Tambien podremos configurar ciertas opciones del cliente dns como son habilitar el servicio de
reenvio, habilitar la cache y el orden de consulta para una resolución:
Otra de las opciones interesantes es habilitar el anti-spooofing e indicar un limete de conexión:
41
TEMA 4
Con estas opciones habremos configurado el cortafuegos de nuestro equipo.
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en
la empresa:
http://en.wikipedia.org/wiki/Microsoft_Forefront_Threat_Management_Gateway
http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=225
¿Qué es Microsoft Forefront?
Microsoft Forefront es una completa línea de productos de seguridad que permite una
mayor protección y control por medio de una excelente integración con su infraestructura
de TI actual y una operación más sencilla de implantación, gestión y análisis. La línea de
productos de seguridad Microsoft Forefront ofrece protección para las máquinas cliente,
aplicaciones de servidor y la red perimetral.
Su completo conjunto de productos de seguridad, que se integran entre sí y con la
infraestructura informática de su empresa, puede complementarse e interoperar con soluciones
de terceros.
Funcionalidades y ventajas
Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la
competencia que podemos resumir en:
Protección para sistemas operativos
Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección en
tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y otras
amenazas emergentes.
Protección de aplicaciones de servidores críticas
42
TEMA 4
Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia
de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos
específicos de protocolo y de aplicaciones.
Acceso seguro y controlado
Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como
funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios
autorizados tengan acceso a los datos y recursos de TI especificados.
Protección de datos confidenciales
Los productos Forefront resguardan los datos confidenciales y protegen la propiedad
intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación en
toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de los
datos valiosos para su empresa.
Integración desde el diseño
Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr
una mayor eficiencia y control en términos de seguridad de la red.
Integración con aplicaciones
Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente
diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales como
Exchange, Outlook® Web Access y SharePoint.
Integración con la infraestructura informática
Esta infraestructura unificadora permite administrar sin inconvenientes la implementación,
distribución, configuración y aplicación de los productos de seguridad, y permite hacerlo con un
nivel de control detallado y minucioso.
Integración en Forefront
Los productos Forefront están diseñados para poder operar juntos, de modo que se puedan
aprovechar sus funcionalidades y lograr una mayor cobertura de seguridad.
Administración simplificada y centralizada
Los productos Microsoft Forefront están diseñados de forma tal que permiten simplificar la
implementación, configuración, administración, generación de informes y análisis. De esta
forma, su empresa tiene mayor confiabilidad en cuanto a una excelente protección.
Implementación simplificada
Los utilitarios como ISA Server Best Practices Analyzer Tool y los asistentes de configuración
ayudan a establecer una base sólida para una instalación de seguridad contundente. La
integración de Forefront con Active Directory y los sistemas de actualizaciones como Systems
Management Server proporcionan los cimientos comunes para la administración de
configuraciones y cambios. Tanto los usuarios como los administradores se benefician con la
distribución centralizada de configuraciones y políticas actualizadas así como de actualizaciones
de sistemas operativos o antivirus para clientes y servidores.
Unificación de generación de informes y análisis
Forefront centraliza la recopilación y el análisis de la información de administración de
seguridad, dado que toda la información de seguridad se almacena en un único repositorio SQL
Server™, que puede utilizar los servicios de generación de informes y análisis (SQL Server
Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad.
43
TEMA 4
Administración simplificada
La administración y la generación de informes de seguridad están centralizadas en Forefront.
Sus componentes se integran plenamente con los sistemas de administración existentes,
incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows
Server™ Update Services. Las consolas de administración integradas de Forefront ofrecen las
conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el
tiempo de capacitación necesaria y ayudan a controlar los costes.
Énfasis en la capacidad de "aseguramiento"
Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la
administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront ayuda a su
empresa a:
- Centralizar la administración de la seguridad.
- Evitar los errores en la configuración.
- Implementar la seguridad en toda la red.
- Obtener una visión unificada de la seguridad de la red.
Conclusión
En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de
manera independiente, nos ofrecen una solución:
Completa
A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa,
aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa en
la productividad y en la utilización de su software.
Integrada
En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura
de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más difícil
de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red.
Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con
aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted
puede lograr mayor eficiencia y control sobre la seguridad de su red.
Simplificada
Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red,
especialmente sin una herramienta de administración central. Sin este tipo de visibilidad,
implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume
más tiempo.
Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al
simplificar la administración, instalación y uso de los productos de seguridad, con lo que
aumentará su confianza en que su organización está bien protegida.
Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista
individual de la red, permitiendo una administración y una mitigación de amenazas mejor y más
informada.
44
TEMA 4
b) Distribuciones libres para implementar cortafuegos
en máquinas dedicadas.
i) Instalación y configuración del cortafuegos “Firewall Zentyal”.
http://www.zentyal.com
En primer lugar podremos preciar la sección filtrado de paquetes en donde apreciamos reglas
de filtrado de trafico desde las redes internas de zentyal:
45
TEMA 4
Una vez dentro de esa opción podremos ver las reglas existentes y si esta aprobada o
denegada, en este caso solo denegamos los servicios LDAP y adslsync, a su vez podremos
modificar las reglas o crear nuevas:
Ahora denegaremos el FTP desde cualquier dirección a la red interna:
Ahora desde un cliente de la red interna probaremos a acceder al ftp, como se ve en la imagen
da error:
46
TEMA 4
También podremos configurar reglas internas de filtrado:
Crearemos una nueva regla que permita el trafico desde la ip de origen 192.168.2.100 a
cualquier destino usuando HTTP
47
TEMA 4
En la sección filtrado de paquetes desde redes externas hacia redes internas crearemos una
regla que deniegue todo lo que se dirija a la dirección 10.33.1.10:
Ahora denegaremos mediante una regla de trafico saliente de zentyal todo el trafico que se
dirija a la dirección 192.168.0.0/24:
48
TEMA 4
Comprobación:
Otra opción interesante del cortafuegos de zentyal es la redirección de puertos en la imagen
indicar la interfaz el destino, el potocolo, el puerto origina la dirección de origen y la de
destino:
49
TEMA 4
ii) Instalación y configuración del cortafuegos “Firewall IpCop”.
http://www.ipcop.org
En primer lugar pulsamos intro para que de comienzo el proceso de instalacion:
Ahora elegimos el idioma:
50
TEMA 4
Despues de configurar opciones como el idioma, el teclado, la hora… elegimos la partición en
la que lo queremos isntalar:
Una vez finalizado el proceso de instalación deberemos de introducir el nombre del equipo:
51
TEMA 4
El nombre del dominio:
Tambien deberemos de configurar la interfaz:
52
TEMA 4
Ahora seleccionamos la tarjera de red que vamos a utilizar para asiganrle un color:
EN nuestro caso le asignaremos el verde:
53
TEMA 4
Ahora seleccionamos la dirección de la interface verde:
Ahora activaremos el DHCP y le asignamos un rango de direcciones:
54
TEMA 4
Ahora le establecemos una contraseña al administrador:
Ahora iniciaos sesioncon el usuario root y con un cliente accedemos via web a la dirección
192.168.1.1 y aceptamos la conexion:
55
TEMA 4
Para entrar nos pedirá un usuario y una contraseña en nuestro caso será admin inves:
Ahora nos dirigimos a la sección cortafuegos:
56
TEMA 4
En primer lugar nos dirigimos a las reglas aquí podremos crear una regla de origen, de destino,
de reenvio de puertos…
Ahora creamos una regla para el trafico de salida para rechazar las conexiones desde la ip
192.168.1.100 a destino 192.168.1.2:
57
TEMA 4
Ahora podemos ver las iptables disponibles:
A su vez podemos controlar el tráfico poniendo un limite de subida y de bajada;
58
TEMA 4
Por últmo también podremos destacar que podremos abrir un determinado puerto:
59
TEMA 4
6. CORTAFUEGOS HARDWARE.
a) Elabora un informe sobre los cortafuegos hardware
Cisco PIX (Private Internet Exchange) y la tecnología
ASA de Cisco. Comenta en detalle algún producto
Cisco PIX.
Visita el sitio web:
http://es.wikipedia.org/wiki/Private_Internet_Exchange
http://en.wikipedia.org/wiki/Cisco_ASA
http://www.cisco.com/web/ES/index.html
Cisco PIX
PIX es el acrónimo de Private Internet EXchange. Esta sigla es utilizada por el fabricante
tecnológico Cisco, para referirse a sus modelos de equipos Cortafuegos (FireWalls).
Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos,
PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado
denominado Finesse que desde espacio de usuario se asemeja más a un router que a un
sistema Unix clásico.
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security
Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes
externas que tienen como origen una red protegida) se le aplica este algoritmo antes de
dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de
estado de la conexión (PIX es stateful) en memoria; para ello, a cada interfaz del firewall se le
asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la
más segura, interna). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en
estas reglas:

Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.

Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino
(outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso.

Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su
destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso.

Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.

Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta
es enviado a syslog.

Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor
nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para
verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host
60
TEMA 4
origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el
firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos
necesarios para identificar a la conexión.
El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que
provienen del mundo Unix, ya que como hemos dicho se asemeja más a un router que a
un servidor con cualquier flavour de Unix; es por tanto recomendable consultar bibliografía
adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], así
como la documentación sobre el producto que está disponible a través de la web de Cisco
Systems
INFORMACION SONBRE LOS MODELOS DE CISCO ASA:
Las especificaciones de los modelos del pasado y el
presente
Al igual que los cortafuegos Cisco PIX, los ASA están basados en Intel arquitectura x86 . La
serie ASA de dispositivos de ejecutar código de PIX 7.0 y versiones posteriores. A través de
PIX OS versión 7.x el PIX y ASA el uso de las imágenes de software mismos. Ejemplos de
emuladores incluyen PEMU y Dynagen [1] , y con NetworkSims ( Networksims ) para un
simulador.
Model
o
5505
5510
5520
5540
5550
5580-20 5580-40
5585-X- 5585-XSSP20 SSP60
2008
2010
Introdu
2006
cido
2005
Tipo de AMD
proces Geode
ador
LX
AMD
AMD
Intel
Intel
Intel
Opteron Opteron
Intel
Pentium
Intel (16 Intel (24
Pentium Pentium (2 CPU, (4 CPU,
4
Celeron
núcleos) núcleos)
4
4
4
8
Celeron
núcleos) núcleos)
Velocid
500
ad de
MHz.
la CPU
1,6 GHz 2,0 GHz 2,0 GHz 3,0 GHz 2,6 GHz 2,6 GHz
Chipset
Geode
CS5536
2005
2005
2006
2008
2010
2,4 GHz
Intel 875
P
Canterw
ood
61
TEMA 4
Por
defecto 512
la RAM
1 GB
2GB
2GB
4 GB
8GB
12 GB
12 GB
24 GB
Arranc
a un
ATA
ATA
ATA
ATA
ATA
ATA
ATA
ATA
ATA
disposit Compac Compac Compac Compac Compac Compac Compac Compac Compac
ivo
tFlash
tFlash
tFlash
tFlash
tFlash
tFlash
tFlash
tFlash
tFlash
flash
Por
defecto
128 MB 256
de
Flash
256
256
256
1 GB
1 GB
Min
Versión
del
sistem 7.2.1
a
operati
vo
7.0.1
7.0.1
7.0.1
7.1.1
8.1.1
8.1.1
3
(trunkin
g
desactiv
Max
ado) o
virtuale 20
s
(trunkin
Interfac g
es
habilitad
o) con la
sección
Licencia
Plus
50 o
100 con
la
150
Sección
Plus
Licencia
200
250
250
250
2GB
2GB
Red de Marvell
chipset 88E609
(s)
5
62
TEMA 4
Módulo
s de
expans AIPión
SSC
soporta
dos
CSCSSM,
AIPSSM,
4GESSM
CSCSSM,
AIPSSM,
4GESSM
Sí - 2
Soport
Sí - 2
Sí - 2
incluido,
a SSL
incluido, incluido,
máximo
VPN
Max 250 Max 750
de 25
CSCSSM,
AIPSSM,
4GESSM
No
6
Tarjetas
de
Interfaz
6
IPSIPSTarjetas
SSP
SSP
de
SSP-20 SSP-60
Interfaz
Sí - 2
incluido,
Max
2500
Sí - 2
incluido,
Max
5000
Sí - 2
incluido,
Max
10000
Sí - 2
incluido,
Max
10000
Sí - 2
incluido,
Max
10000
Sí - 2
incluido,
Max
10000
Active /
Standby
, Activo /
Activo
Active /
Standby
, Activo /
Activo
Active /
Standby
, Activo /
Activo
Active /
Standby
, Activo /
Activo
El
apoyo
de
conmut
ación
por
error
Sin
estado
activo /
en
espera
(con la
sección
Licencia
Plus)
Activo /
en
Espera,
activo /
activo
(con la
sección
Licencia
Plus)
Active /
Standby
, Activo /
Activo
Active /
Standby
, Activo /
Activo
Active /
Standby
, Activo /
Activo
Model
o
5505
5510
5520
5540
5550
[ editar ]Las
Modelo
5580-20 5580-40
5585-X- 5585-XSSP20 SSP60
especificaciones de rendimiento
552
0[2]
554
0[2]
5585- 5585- 5585- 5585555 5580- 5580X
X
X
X
[2]
[2]
[2]
0
20
40
SSP1 SSP2 SSP4 SSP6
[2]
[2]
[2]
[2]
0
0
0
0
300
450
650
120
0
5000
170
225
325
425
1000 1000 1000
5505 5510
[2]
[2]
Cleartext rendimie
150
nto , Mbits / s
AES / DES
triple de
100
rendimiento, Mbit /
s
10.00
3000
0
7000
12.00 20.00
0
0
2000 3000
5000
63
TEMA 4
Máximo de
conexiones
simultáneas
10.0
00
(25.0
00
con
la
secci
ón
Licen
cia
Plus)
50.00
0
(130.
000
con
280
la
000
secci
ón
Licen
cia
Plus)
10
(25
con
Max de sitio a sitio
la
y remotas
secci 250
sesiones de
ón
acceso VPN
Licen
cia
Plus)
Número máximo
de sesiones SSL
VPN de los
usuarios
Modelo
25
250
5505 5510
400
000
650
000
1000 2000 1000
000 000 000
2000 4000
000
000
750
500
0
500
0
10.00 10.00
5000
0
0
10.00 10.00 10.00
0
0
0
750
250
0
500
0
10.00 10.00
5000
0
0
10.00 10.00 10.00
0
0
0
554
0
5585- 5585- 5585- 5585555 5580- 5580X
X
X
X
0
20
40 SSP1 SSP2 SSP4 SSP6
0
0
0
0
552
0
10000
000
64
TEMA 4
b) Elabora un informe sobre productos comerciales
que implemente Gestión Unificada de Amenazas
“Firewall UTM” (Unified Threat Management).
EN primer lugar econtramos este producto que implementa UTM y que cuenta
con unas características muy interesantes:
Para empresas pequeñas – seguridad total de pasarela todo en uno – sin
concesiones
Un dispositivo físico de seguridad de pasarela todo en uno para pequeñas
empresas de hasta 30 usuarios. ProSecure UTM combina cortafuegos de proxy
de aplicaciones, VPN, protección zero day antivirus, programas espía y correo
no deseado, prevención de intrusiones, y filtrado de URL para una protección
total.
Este producto es ideal para pequeñas empresas que buscan:

Gestión integrada de las amenazas (UTM) todo en uno

Avanzada detección de virus en colaboración con Sophos™

Tecnología stream scanning pendiente de patente que garantiza una latencia
mínima

Antispam in the cloud híbrido que no requiere ajustes para funcionar

Filtrado web in the cloud híbrido y control de IM y P2P que refuerza las políticas
de uso de Internet


Protección zero hour contra amenazas desconocidas en tiempo real
VPN SSL e IPsec para acceso remoto

Sin licencias por usuario

Opciones de suscripción sencillas
65
TEMA 4
Otra solución comercial es usar los productos de la marca Cyberoam
Seguridad "todo en uno"
Los sistemas UTM (Unified Threat Management) de Cyberoam ofrecen todo lo
que necesita para hacer segura su red frente a Internet. La serie CR es una
gama de productos de hardware muy fácil de implantar y administrar, con
amplias prestaciones de seguridad para su red:
 Cortafuegos de tecnología avanzada.
 Sistema IDS (detección y prevención de intrusos).
 Anti-virus y anti-spyware para Internet y correo electrónico.
 Políticas de acceso a Internet.
 Filtrado de contenidos web.
 Control de aplicaciones, como Skype, eMule, etc.
 Gestión y control de ancho de banda.
 Gestión de múltiples conexionnes a Internet para mayor seguridad.
 VPN, para conexiones seguras entre oficinas y para usuarios remotos.
 Informes completos de gestión.
 Fácil implantación, configuración y administración, a través de un interfaz
web.
Políticas en torno al usuario
Uno de los puntos diferenciadores de Cyberoam frente a otros sistemas UTM,
es su sistema de gestión de políticas de seguridad basado en la identidad del
usuario. Mientras que otros sistemas basan sus políticas en la dirección IP del
usuario, Cyberoam identifica el usuario que está detrás del dispositivo. Esta
tecnología otorga visibilidad completa sobre "quién está haciendo qué" en su
red y permite aplicar políticas correctamente incluso en entornos en que se
utiliza una asignación de IP dinámica, como redes DHCP y Wi-Fi. Como
resultado, sus políticas de seguridad son más precisas y más fiables.
66
TEMA 4
Otro producto puede ser el Rhino Box UTM
Toda la Seguridad de su Empresa en un solo Appliance.
El Rhino Box Appliance, es un Unified Threat Management (UTM) que
simplifica la seguridad en la red, siendo muy robusto y ágil. Su interfaz grafica,
ayuda al administrador de red a tomar decisiones sobre navegación y demás,
en tiempo real.
Este appliance esta diseñado para prestar funciones a nivel perimetral de Web
Filter Lite, Filtro de Correo Basura (SPAM), Control de Protocolos, Bloqueo de
Spyware, Bloqueo de Phishing (Robo de Identidad), Bloqueo de Virus,
Prevención de Intrusos, Detección de Intrusos (Attack Blocker), Firewall,
Adware Blocker, VPN Server/Client, Creación de Políticas, Networking, Acceso
Remoto, Portal Cautivo, Reportes claros, Gráficos y Concisos entre otras
aplicaciones.
Su licenciamiento es igual de sencillo a su administración, no se pagan
licencias adicionales si se requiere, solo se vende por capacidad requerida por
el usuario con capacidad de crecimiento sin costo alguno!
67

TEMA 4 - Seguridad y alta disponibilidad

Transcripción

Documentos relacionados