SISTEMA DE SEGURIDAD PERIMETRAL

INSTALACION Y CONFIGURACION DE ENDIAN FIREWALL

ERICKSON TIRADO GOYENECHE COD. 0152600

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS

PLAN DE ESTUDIOS INGENIERIA DE SISTEMAS SAN JOSE DE CÚCUTA

2012

SISTEMA DE SEGURIDAD PERIMETRAL

INSTALACION Y CONFIGURACION DE ENDIAN FIREWALL

ERICKSON TIRADO GOYENECHE COD. 0152600

PRESENTADO A:

JEAN POLO CEQUEDA

INGENIERO DE SISTEMAS

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

FACULTAD DE INGENIERIAS

PLAN DE ESTUDIOS INGENIERIA DE SISTEMAS

SAN JOSE DE CÚCUTA

2012

INTRODUCCIÓN

Imagen [1]. Firewall

Toda organización conectada a Internet está expuesta a ataques o infiltraciones, y los

riesgos se incrementan día a día con el explosivo crecimiento de la red.

Establecer un plan de seguridad en la que se incluye un servidor firewall es una media

de seguridad imprescindible y responsable y tiene por objeto prevenir, detener y

bloquear ataques externos, y el control del uso de internet desde el interior de la

organización.

Sin embargo un Firewall no es una solución permanente o estática, la seguridad

informática es una tarea que requiere un compromiso constante, debido a la rápida

evolución de técnicas y mecanismos de ataques y vulnerabilidades que aparecen cada

día.

MARCO TEORICO

SEGURIDAD PERIMETRAL

Agregado de Hardware, Software y políticas para proteger una red en la que se tiene

confianza (intranet) de otras redes en las que no se tiene confianza (extranet, internet).

Ejemplos de cometidos de la seguridad Perimetral

Rechazar conexiones a servicios comprometidos

Permitir solo ciertos tipos de tráfico o entre ciertos nodos

Proporcionar un único punto de interconexión con el exterior

Redirigir el trafico entrante a los sistemas adecuados dentro de la intranet

Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde

internet

Auditar el trafico entre el exterior y el interior

Ocultar información nombre de sistemas, topologías de la red, tipos de

dispositivos de red, cuentas de usuarios internos, etc.

DEFINICIONES BASICAS

Perímetro

Se define al perímetro informático de una compañía como el límite entre la parte

controlada de un ambiente de procesamiento de datos, y los otros entornos

informáticos no controlados por una empresa.

Es decir, el límite entre lo que la seguridad informática de una compañía puede

administrar y lo que no. Dentro del perímetro de seguridad informática de la

empresa debería estar toda la información que se desea proteger con los

distintos niveles de seguridad requeridos.

Router Frontera

El ultimo router que controlamos antes de internet. Primero y última línea de

defensa. Filtrado inicial y final.

Cortafuegos

Dispositivo que tiene un conjunto de reglas para especificar que trafico se acepta o

se deniega. Dos procedimientos complementarios:

Bloqueo de trafico

Habilitación de trafico

Sistema de detención de Intrusos

Sistema formado por un conjunto de sensores localizados estratégicamente en la red

interna para detectar ataques. Se basan en firmas (signatures) conocidas de ataques.

Sistema de detención de intrusos de red (NIDS)

Sistema de detención de intrusos de estación (HIDS)

Red privada virtual

Sesión de red protegida establecida a través de canales no protegidos (internet).

Se materializa en dispositivos en el perímetro para establecer sesiones cifradas.

Arquitectura Software y servicios

Aplicaciones instaladas en una red interna. El propósito principal de la

seguridad perimetral es proteger los datos y servicios proporcionados por las

aplicaciones.

Zona desmilitarizada y subred controlada

El objetivo de una DMZ es que las conexiones desde la red interna y la externa a

la DMZ estén permitidas, mientras que las conexiones desde la DMZsolo se

permitan a la red externa -- los equipos en la DMZ no pueden conectar con la red

interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la

red externa a la vez que protegen la red interna en el caso de que intrusos

comprometan la seguridad de los equipos situados en la zona desmilitarizada.

Para cualquiera de la red externa que quiera conectarse ilegalmente a la red

interna, la zona desmilitarizada se convierte en un callejón sin salida.

SEGURIDAD PERIMETRAL

La mayoría de las empresas sufren la problemática de seguridad debido a sus

necesidades de acceso y conectividad con:

Internet.

Conectividad mundial.

Red corporativa.

Acceso Remoto.

Proveedores.

¿Qué elementos deberían protegerse?

Se deberían proteger todos los elementos de la red interna, incluyendo hardware,

software e información, no solo de cualquier intento de acceso no autorizado desde el

exterior sino también de ciertos ataques desde el interior que puedan preverse y

prevenirse.

¿Cómo protegerlos?

Paradigmas de seguridad:

Lo que no se prohíbe expresamente está permitido.

Lo que no se permite expresamente está prohibido.

Métodos de defensa:

En profundidad.

Perimetral.

La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado

en el establecimiento de recursos de segurización en el perímetro externo de la red y a

diferentes niveles.

Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados

usuarios internos o externos a determinados servicios, y denegando cualquier tipo de

acceso a otros.

Imagen [2]. Infraestructura Típica

Imagen [3]. Centralización de los puntos de administración y control

ZONA DESMILITARIZADA (DMZ)

Construcciones de “Muro Doble”

Algunos firewalls se construyen con la técnica de “muro doble”, en este caso el

firewall consta de dos sistemas separados físicamente (muro exterior e interior)

conectados por una red semiprivada, si alguien es capaz de comprometer el muro

exterior, el muro interior protege la red impidiendo el acceso desde la red semi-

privada y aislando la red interior.

Imagen [4]. Esquema de “muro doble”

El muro exterior sólo permite el tráfico hacia los servidores semi-públicos alojados en

la DMZ.

El muro interior se rige por el "pesimismo", esto es, solo acepta paquetes si

responden a una petición originada en el interior de la red o que provienen de uno de

los servidores alojados en la DMZ (por defecto guarda toda la información sobre las

transacciones).

ALTERNATIVAS DE IMPLANTACIÓN

Uso de routers “apantallados” Un router es un dispositivo cuya misión es conectar

dos o más redes. En una definición más amplia se trata de cualquier dispositivo que

cuente con dos o más interfaces conectadas a redes diferentes y que controle el tráfico

de paquetes entre las redes que conecta.

El "router apantallado", en cambio, analiza el paquete de información al detalle y

establece si puede ser enviado a su destino en función de las políticas de seguridad

del sistema.

Imagen [5]. Implantación usando routers apantallados

Imagen [6]. Implantación usando un Host con varias interfaces

USO DE FIREWALLS

Un firewall puede ser un sistema (software o hardware), es decir, un dispositivo físico

que se conecta entre la red y el cable de la conexión a Internet, como en el caso del

CISCO PIX, o bien un programa que se instala en el sistema que tiene la interface que

conecta con Internet, como el Firewall-1 de CheckPoint.

Incluso podemos encontrar PCs muy potentes y con paquetes software específicos

que lo único que hacen es monitorear en tiempo real las comunicaciones entre redes.

Imagen [7]. Implantación usando Firewalls

USO DE PROXYS

Además del filtrado de paquetes, es habitual que se utilicen aplicaciones (software)

para reenviar o bloquear conexiones a servicios como por ejemplo telnet, HTTP o

FTP. A tales aplicaciones se les denomina "servicios proxy", mientras que al sistema

donde se ejecutan se le llama "gateway de aplicación".

Los servicios proxy poseen una serie de ventajas tendientes a incrementar la

seguridad; en primer lugar, permiten únicamente la utilización de servicios para los

que existe un proxy, por lo que si en la organización el "gateway de aplicación"

contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán

disponibles para nadie.

Imagen [8]. Implantación usando un servidor proxy

CASO DE ESTUDIO ENDIAN FIREWALL

Generalidades

Endian Firewall es una solución para la gestión unificada de amenazas (UTM) que

protege la red y mejora la conectividad, además de ofrecer diversos servicios de

soporte integrales y altamente calificados, indispensables para toda solución de

seguridad. Sobre la base de Red Hat Enterprise Linux, Endian Firewall es 100%

Open Source e incluye funciones de seguridad tales como el paquete dinámico de

Firewall, VPN, anti-virus, anti-spam, protección de la web y filtración de correo

electrónico, ayudándole a reducir tiempo y gastos administrativos. Endian ha sido

diseñado para cubrir las necesidades de todo tipo de negocio, pequeño o grande, en la

búsqueda por una protección óptima para su sistema de red.

Características

Las características incluyen un firewall de inspección de paquetes, proxies a nivel de

aplicación para los distintos protocolos (HTTP, FTP, POP3, SMTP) con el apoyo de

antivirus, virus y spamfiltering para el tráfico de correo electrónico (POP y SMTP),

filtrado de contenido de tráfico Web y una olución VPN (basada en OpenVPN). La

principal ventaja de Endian Firewall es que es Open Source.

Plataforma De Seguridad Integral

Endian Firewall es un Appliancie de Seguridad Integral que protege su red y mejora

la conectividad, ofreciendo todos los servicios que necesita y más, seguros y fácil de

configurar.

Endian Firewall es 100% open source e incluye, entre sus funciones principales, una

variedad de características:

Firewall con inspección de estados.

Antivirus HTTP/FTP.

Filtro de Contenido Web.Antivirus POP3/SMTP, Anti-Phishing y Antispam.

VPN SSL/TLS.

IDS.

Sistema de Seguridad de Correos

Endian Firewall asegura cualquier servidor o cliente de correos, gracias a proxies

transparentes. Cualquier servidor de correos, como Microsoft Exchange o clientes

como Outlook o Mozilla Thunderbird automáticamente serán protegidos y filtrados

por Endian Firewall antivirus y antispam, no hay necesidad de modificar

configuraciones de su servidor o cliente de correos.

Seguridad Web

El filtro de contenidos de Endian Firewall mantiene una experiencia de navegación

web de forma segura, protegiendo contra virus y contenidos no deseados como

violencia, pornografía o software pirata. Permite al administrador de la red

monitorizar accesos, mejorando así la productividad. También es útil en aquellas

compañías que buscan que sus empleados naveguen solo por sitios bien definidos,

asegurando así la integridad de los negocios y un uso adecuado de los recursos.

VPNs fáciles y rápidas

Gracias a OpenVPN, se puede rápidamente y sin complicaciones levantar un túnel

seguro encriptado con SSL entre sucursales de tu compañía o entre agentes remotos

hacia la red corporativa de la Empresa. Los clientes soportados abarcan una gran

cantidad de Sistemas Operativos como lo son Linux, Mac OSX o Windows.

Hot Spot para Navegar en Areas Publicas

La solución Endian Hostspot es una completa y flexible herramienta para manejar el

acceso a Internet. Endian Hotspot permite a hoteles, librerías, escuelas, aeropuertos,

bancos, ciber-cafes, entre otros, entregar a sus clientes acceso fácil y seguro a

navegacion Web.

Escoja la forma en que sus clientes navegan: sesiones basadas en tiempo o trafico,

con tickets de prepago o postpago o incluso acceso liberado.

INSTALACION Y CONFIGURACION DE ENDIAN FIREWALL

Proceso de Instalación

Primeramente descargamos Endian Firewall del sitio oficial

http://www.endian.com/en/community/

Una vez tenemos el ISO Endian-2.5.iso procedemos a montarlo en una unidad virtual,

para posteriormente correrlo desde la maquina virtual creada para dicho Sistema

operativo.

Ejecutamos Virtualbox y encendemos la maquina virtual creada para Endian Firewall

y arrancamos de Cd-Room le damos Enter para iniciar la instalación.

Ahora nos aparece el asistente que nos ayuda durante la instalación, lo primero será

escoger el idioma, elegiremos “English” y presionamos enter

Se nos muestra una advertencia que el contenido del disco duro se formateara, por lo

que toda la información existente en dicho disco se perderá, seleccionamos “YES” y

luego presionamos ENTER.

Nos aparecerá una ventana donde debemos elegir si queremos que se configure el

puerto serial para que se pueda administrar este Firewall mediante esta interfaz, dado

que no lo necesitamos, seleccionamos “NO” y presionamos ENTER.

Después se nos solicitara que ingresemos la dirección IP y mascara de subred de la

interfaz VERDE (LAN). Agregamos la información según la siguiente imagen

Finalmente se nos muestra una ventana donde se nos informa que ha finalizado la

instalación.

TOPOLOGIA DE RED QUE SE DESARROLLO

Endian Firewall maneja el esquema o la topología de red en base de colores

VERDE Se trata de nuestra red LAN, donde están las computadoras de nuestra de

red privada

ROJO Generalmente se trata del INTERNET, el enlace que nuestro proveedor nos

da

ANARANJADO Esta es la Zona neutra o Zona Desmilitarizada (DMZ), en donde

colocaremos los servidores que publican al internet servicios.

AZUL En esta Zona se encuentran los Access Point AP y todo equipo inalámbrico

para establecer una red privada únicamente para dispositivos móviles.

Direcciones IP y mascaras de subred utilizada en la topología de la red

Green Ip 192.168.0.15/24 255.255.255.0

Host Windows XP

IP 192.168.0.10 255.255.255.0

Endian Firewall

Verde Red LAN

192.168.0.15 255.255.255.0 eth0

Naranja (DMZ)

10.0.0.1 255.255.255.0 eth1

Roja

Ethernet por DHCP eth2