DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL CON EPPERSPOT ARMANDO BECERRA RODRIGUEZ JUAN CARLOS GARCIA MARTINEZ

Transcripción

1 DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL CON EPPERSPOT ARMANDO BECERRA RODRIGUEZ JUAN CARLOS GARCIA MARTINEZ UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIAS DE SISTEMAS SEGURIDAD INFORMATICA CUCUTA 2013

2 DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL CON PEPPERSPOT ARMANDO BECERRA RODRIGUEZ COD JUAN CARLOS GARCIA MARTINEZ COD TRABAJO PRESENTADO A: ING. JEAN POLO CEQUEDA OLAGO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIAS DE SISTEMAS SEGURIDAD INFORMATICA CUCUTA 2013

3 INTRODUCCION La finalidad del proyecto es el diseño e implantación de un sistema de seguridad perimetral con Pepperspot. Este sistema debe permitir que un PC que trabaja como servidor se conecte por medio de wi-fi a tres equipos disponibles dentro de la aplicación por medio de dhcp, apache y freeradius para la autenticación de usuarios. Para el desarrollo del proyecto se tuvo en cuenta la instalación de un servicio router el cual es el encargado de encaminar los paquetes que provienen de los diferentes clientes. Para el proceso de autenticación se realizo la configuración del protocolo Radius el cual lo realiza el software FreeRadius. Además, nuestro sistema esta basado en redes Wi-fi, por tal razón se realiza la instalación de un servidor DHCP y de uno DNS para las cuestiones de Intranet. El sistema de autenticación permite a los Host Clientes autenticarse por medio de una aplicación web, el cual esta soportada en el servidor Apache, concluyendo, el sistema permite conexiones http y DNS con filtrado de las páginas de facebook y del cierre del protocolo del Messenger.

4 QUE ES PEPPERSPOT? PepperSpot es un portal cautivo o inalámbrica controlador de acceso LAN punto que soporta el protocolo IPv6. Es compatible con inicio de sesión basado en web y es compatible con Wireless Protected Access (WPA). La autenticación es manejada por su servidor favorito radio (más de IPv4/IPv6) PEPPERSPOT INSTALACIÓN Y CONFIGURACIÓN Compilación e instalación Descomprima el PepperSpot fuente y compilarlo: # Tar-xjvf PepperSpot-1.0.tar.bz2 # Cd PepperSpot-1.0 / #. / Configure # Make # Make install O marque el código SVN: # Svn co pepperspot # Cd pepperspot # Autoreconf-i #. / Configure # Make # Make install Nota para los usuarios de Mac OS X: Mac OS X tiene vieja / usr / include archivos, por lo que compile PepperSpot en este sistema, editar src / Makefile.am y add-d_darwin_c_source a losam_cflags en lugar de -D_POSIX_C_SOURCE = L- D_XOPEN_SOURCE = 600. Usted debe tener una línea como esta: AM_CFLAGS =-D_DARWIN_C_SOURCE-fno-builtin-DSBINDIR = "$ (sbindir)" '- Wall-Wextra-pedante-std = c99-wstrict-prototipos-wredundant-decls Copiar algunos archivos de configuración: # Cp doc / pepper.conf / etc / # Cp doc / hotspotlogin.cgi / usr / lib / cgi-bin / # Chmod + x / usr / lib / cgi-bin / hotspotlogin.cgi Para IPv4: # Cp doc / pepper.iptables / etc /

5 # Chmod + x / etc / pepper.iptables Para IPv6: Doc/pepper.ip6tables # cp / etc / # Chmod + x / etc/pepper.ip6tables ACTIVIDADES A REALIZAR? CONTENER FIREWALL Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. DHCP Un DHCP lo que hace es entregar de manera automática una dirección IP a los equipos que están conectados o tienen comunicación con el (todo equipo que esta en red necesita una IP para poder trabajar así un DHCP te da la ip de manera automática además te configura los parámetros de red necesarios para que trabaje).

6 Un servidor DHCP entonces supervisa y distribuye, las direcciones IP de una Red de Área Local asignando una dirección IP a cada anfitrión que se una a la Red de Área Local. Cuando, por mencionar un ejemplo, una computadora portátil se configura para utilizar DHCP, a ésta le será asignada una dirección IP y otros parámetros de red, necesarios para unirse a cada Red de Área Local donde se localice. El protocolo admite tres tipos de asignación de direcciones IP, que pueden combinarse entre sí: Manual / Estática: La asignación se realiza a partir de la lectura de una tabla de direcciones introducida manualmente por el administrador del servidor. Habitualmente, la máquina que recibe la asignación estática tiene igualmente configurada una dirección MAC que no debería repetirse en toda la red. De esta forma, dicha máquina recibe siempre la misma dirección IP, independientemente de dónde y cuándo se realice la conexión. Automática e ilimitada: Una vez que el administrador ha determinado un rango de direcciones disponibles, la asignación se realiza de forma permanente hacia el cliente que la solicita y hasta que éste la libera. Dinámica y limitada: Cada cliente obtiene su dirección al iniciar el interfaz de red. Mediante este método, las direcciones dentro del rango elegido por el administrador se reutilizan con cada máquina y durante un tiempo determinado. Con esta asignación se facilita enormemente la entrada de nuevas máquinas a la red de forma dinámica. DNS Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente. El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. ACCESO Y FILTRADO DE TRAFICO WEB, FILTRANDO FACEBOOK Y MSN Todo esto lo hacemos por medio de Iptables que se encarga de filtrar los puertos de acceso a estas redes sociales.

7 QUE ES IPTABLES? IPtables es un sistema de firewall vinculado al kernel de Linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programación (esto es una pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables está integrado con el kernel, es parte del sistema operativo. Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de Shell en el que se van ejecutando las reglas de firewall. Instala iptables, ya sea con el paquete de distribución: En debian, # Apt-get install iptables Modifique el archivo / etc / pepper.iptables y / o / etc/pepper.ip6tables guiones y adaptarse $ INTIF (interfaz conectado al punto de acceso o la interfaz inalámbrica), $ EXTIF4 (interfaz conectado a la LAN IPv4) y $ EXTIF6 (interfaz conectado a la LAN IPv6) con respecto a los valores a su configuración. Tenga en cuenta que para la configuración de doble pila EXTIF4 $ y $ EXTIF6 podría tener el mismo valor Configuración Dependiendo de la modalidad, debe configurar los parámetros en / etc / pepper.conf archivo. Cambiar el valor ipversion para elegir el modo, usted puede elegir uno de los siguientes: ipv4 ipv6 IPv6 Modificar staticipv6 (la dirección IPv6 de la interfaz tun6 creado por PepperSpot): staticipv6 2001: db8: 1 :: 1234

8 Modificar uamserver6 (no olvide los paréntesis): uamserver6 [2001: db8: 1 :: 1234] / cgi-bin/hotspotlogin.cgi La dirección IPv6 de la url debe ser la misma que staticipv6 (entre paréntesis son obligatorios cuando se utiliza IPv6) Modificar el prefijo : 2001: db8: 1 :: / 64 IPv4 Modificar net (red IPv4): /24 netos Modificar uamserver : uamserver EJEMPLO DE IPTABLES #> chmod 700 fw_equipo y después ejecútalo: (tienes que ser root para ejecutarlo) #>./fw_equipo Si no manda errores, listo, tu firewall esta protegiéndote de ataques y de accesos indeseados. # # # firewall para un solo equipo conectado a traves de modem o adsl # (1) se eliminan reglas previas que hubiera y cadenas definidas por el usuario iptables -F iptables -X # (2) se establecen politicas "duras" por defecto, es decir solo lo que se autorice # explicitamente podra ingresar o salir del equipo iptables -P INPUT DROP iptables -P OUTPUT DROP

9 iptables -P FORWARD DROP # (3)a la interface lo (localhost) se le permite todo iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # (4) evitamos ataques syn-flood limitando el acceso de paquetes nuevos # desde internet a solo 4 por segundo y los demas se descartan iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j DROP # (5) se evitan paquetes tcp que sean nuevos y que no tengan el flag SYN # es decir, hay ataques o escaneos que llegan como conexiones nuevas # pero sin ser paquetes syn, definitivamente no nos interesan iptables -A INPUT -p tcp! --syn -m state --state NEW -j DROP # (6) todo lo que sea icmp (ping) y que intente entrar, se descarta # con esto bloqueamos cualquier tipo de paquetes con protocolo icmp # evitando ataques como el del ping de la muerte, aunque esta regla # podria provocar problemas de comunicacion con algunos ISP. iptables -A INPUT -p icmp -j DROP # (7) por ultimo las dos siguientes reglas permiten salir del equipo # (output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) solo conexiones establecidas # y relacionadas. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #

10 AUTENTICACION DE USUARIOS Se utilizo Freeradius para la Autenticación de usuarios. PepperSpot es capaz de comunicarse con un servidor RADIUS sobre IPv4 o IPv6 protocolo, con respecto a la configuración de radio de dirección del servidor en / etc / pepper.conf. Aquí está la configuración del servidor FreeRADIUS. Para tener soporte IPv6, se necesita una versión de FreeRadius > = 2,0. Pero si sólo desea utilizar el soporte IPv4, puede instalar una versión anterior. Para descargar FreeRadius: La configuración FreeRadius es compleja, y la siguiente sólo describe una configuración básica para habilitar el soporte IPv6 en FreeRadius, y una forma fácil de añadir algunas cuentas de usuario. Si desea una mejor configuración, consulte la documentación FreeRadius. Configuración de IPv6 Modifique el archivo / etc / freeradius / radiusd.conf archivo para agregar la sección siguientes: # Para la autenticación escuchar { type = auth # Ipaddr = * ipv6addr = 1 :: port = 0 # Interface = eth0 Clientes # = per_socket_clients } # Para la contabilidad escuchar { escriba ACCT = # Ipaddr = * ipv6addr = 1 :: port = 0 # Interface = eth0 Clientes # = per_socket_clients } Con esta configuración, sustituir :: 1 para la ipv6addr campo de la dirección en la que FreeRadius debe escuchar. port = 0 significa que los puertos predeterminados de RADIUS se utilizan. Si se especifica * para ipv6addr, FreeRadius escuchará en todas las direcciones IPv6 configuradas en el sistema.

11 Ahora, es necesario configurar un cliente FreeRadius (llamado como NAS), normalmente el NAS es el portal cautivo. Abra el archivo / etc / freeradius / clients.conf archivo y añadir las siguientes líneas: cliente :: 1 {# aquí :: 1 es el nombre del cliente. Reemplace con su propio valor ipv6addr = 1 :: secret = testing123 nombre corto = localhost nastype = otro } Si PepperSpot y FreeRadius están en caja diferente, ipv6addr debe reemplazar por la dirección con la que se comunican y PepperSpot FreeRadius. Modificar el nombre corto también. Reinicie FreeRadius: # / Etc / init.d / freeradius reiniciar IPv4 configuración Para IPv4 configuración de FreeRadius, sustituya el campo ipv6addr con ipaddr, y llenarlo con la dirección IPv4 quería. INSTALAR FREERADIUS El primer paso es instalar FreeRADIUS desde paquetes. Para ello lanzamos el siguiente comando como root desde una terminal y confirmamos la instalación: apt-get install freeradius freeradius-mysql freeradius-utils

12 CONFIGURAR FREERADIUS Ahora vamos a dejar preparado nuestro FreeRADIUS para que conecte posteriormente con la base de datos MySQL. Los datos de conexión a la base de datos dejaremos los predeterminados que aparecen en /etc/freeradius/sql.conf y activaremos el soporte sql para autenticación y cuentas. Ejecutamos los siguientes comandos como root: cd /etc/freeradius vi sites-enabled/default En los apartados authorize y accouting descomentamos las líneas sql.

13 REQUISITOS DEL SISTEMA PepperSpot tiene que comunicarse con otros servicios que son: Un servidor web para permitir la redirección de cliente y la página de inicio de sesión; Un servidor de autenticación que soporta el protocolo RADIUS, para proceder autenticación y contabilidad; Un servicio de enrutamiento. Muy probablemente, la Radio y el servicio de enrutamiento se comparten en diferentes servidores, pero puede ser instalado en la misma caja también. Dependiendo de la modalidad, el cuadro de inwhich se instalará PepperSpot necesita ser configurado para IPv4 o IPv6. PepperSpot se sabe que se ejecutan en Linux kernel> Activar IPv6 En primer lugar, asegúrese de que IPv6 está activado en el kernel. Si IPv6 está compilado como módulo, escriba: # Modprobe ipv6

14 Autoconfiguración sin estado Se recomienda utilizar la configuración automática sin estado IPv6 para los clientes. Radvd es capaz de anunciar anuncio de enrutador con prefijo y la información de DNS (opción RDNSS). Instalarlo en el ordenador que acogerá el portal cautivo, ya sea con el paquete de distribución: En Debian, # Apt-get install radvd UN SERVICIO DE ROUTER. INSTALAMOS RADVD Este es un ejemplo del fichero / etc / radvd.conf fichero de configuración: interfaz ath0 { AdvSendAdvert sucesivamente; AdvIntervalOpt en; MinRtrAdvInterval 2; MaxRtrAdvInterval 6; 2001: db8: 1 :: / 64 { AdvOnLink sucesivamente; AdvAutonomous en; AdvRouterAddr en; }; RDNSS 2001: db8: 2 :: 1 { AdvRDNSSPreference 8; AdvRDNSSOpen off; AdvRDNSSLifetime 30; }; }; Reemplace interfaz, prefijo y RDNSS (información del servidor DNS) líneas con sus propios valores, y el lanzamiento radvd con: # Radvd-C / etc / radvd.conf

15 DIRECCIONAMIENTO Y ENRUTAMIENTO Un portal cautivo tiene que encaminar los paquetes de un usuario autenticado hacia Internet. Así que el sistema debe tener el reenvío IPv6 habilitado. Puedes activar con: # Echo "1"> / proc/sys/net/ipv6/conf/all/forwarding Para mantener esta configuración persistente, puede descomentar la siguiente línea en / etc / sysctl.conf del archivo: net.ipv6.conf.all.forwarding = 1 Reenvío de IPv6 se desactivará la configuración automática de IPv6, por lo que la configuración de red (asignar direcciones y rutas) se puede configurar estáticamente o dinámicamente con los demonios de enrutamiento. Si desea utilizar el direccionamiento y enrutamiento estático procedimiento, suponiendo que eth0 es la interfaz conectada a la red IPv6 de Internet, escriba el siguiente comando y sustituir con su propio valor. Asigne la dirección en la interfaz cableada: # Ip -6 addr add 2001: db8: 1 :: 1234/64 dev eth0 Agregue la configuración de la ruta por defecto (reemplace con la ruta que usted valora dirección): # Route-A inet6 default gw add fe80 :: 1:2:3:4 dev eth0 Puede activar esta configuración persistente de inserción de la configuración de red en su / etc / network / intefaces presentar la siguiente manera: auto eth0 iface eth0 inet6 estática dirección 2001: db8: 1 :: 1234 máscara de red 64 gateway fe80 :: 1:2:3:4 pre-up modprobe ipv6 # para estar seguro de que IPv6 está activado antes de que suba el interfaz. Tenga en cuenta que usted no tiene que configurar la dirección en la interfaz conectada a la caja de punto de acceso (o la interfaz inalámbrica si usa unos). IPV4 La configuración de IPv4 es más o menos lo mismo que IPv6, excepto que usted no necesita la publicidad del cliente para la configuración de la red. PepperSpot integra un módulo de DHCP para atribuir una dirección IPv4 a los clientes remotos. Puede desactivar este módulo en la configuración PepperSpot si la conexión inalámbrica ya

16 tiene un servidor DHCP, o si la configuración de los clientes se establece estáticamente. Es necesario sin embargo, para configurar la interfaz conectada a la red IPv4. De la misma manera, habilitar el reenvío IPv4 por: # Echo "1"> / proc/sys/net/ipv4/conf/all/forwarding o establecer la siguiente línea en / etc / sysctl.conf : net.ipv4.ip_forward = 1 Configure la dirección de la interfaz y la ruta (Sustituir con sus parámetros): # Ip addr add /24 dev eth1 # Route add default gw dev eth1 Usted puede poner eso en tu / / etc network / interfaces del archivo: auto eth1 iface eth1 inet estático dirección máscara de red 24 gateway CONFIGURACIÓN DE APACHE PepperSpot necesita comunicarse con un servidor web instalado en la misma máquina para permitir a los clientes a continuar la autenticación. El servidor web tiene que ser configurado para SSL, PHP y CGI. Esta es la configuración para el servidor web Apache2: En debian, instalar con: # Apt-get install apache2 libapache2-mod-php5-dev libssl Generar un certificado SSL para garantizar la identidad del servidor web: # Make-ssl-cert / usr / share / ssl-cert / ssleay.cnf / etc/apache2/key.pem El segundo paso es cargar el módulo de Apache2 SSL: # A2enmod ssl El servidor web necesita un host virtual para ser alcanzable. Cree el archivo / etc/apache2/sites-available/pepperspot con el siguiente contenido (Adaptar a su configuración es necesario): NameVirtualHost *: 443

17 <VirtualHost *:443> ServerAdmin pepperspot SSLEngine en SSLCertificateFile / etc/apache2/key.pem DocumentRoot / var / www / <Directory /> Opciones FollowSymLinks Ninguno AllowOverride </ Directory> <Directory /var/www/> Opciones de Índices FollowSymLinks MultiViews Ninguno AllowOverride Orden allow, deny Dejar de todas las # Esta directiva nos permite disponer de la página de inicio predeterminada de apache2 # In / apache2-default /, pero aún así han / van al lugar correcto RedirectMatch ^ / $ / apache2-default / </ Directory> # CGI - Necesitamos el apoyo cgi para comunicarse con PepperSpot ScriptAlias / cgi-bin / / usr / lib / cgi-bin / <Directory "/usr/lib/cgi-bin"> Ninguno AllowOverride Opciones + ExecCGI-MultiViews + SymLinksIfOwnerMatch Orden allow, deny Dejar de todas las </ Directory> </ VirtualHost> Si desea modificar el nombre de la máquina virtual, no hay que olvidar que Apache necesita escuchar en IPv6 e IPv4 para el modo de pila dual, y en IPv4 o IPv6 en cuanto a interfaz para el modo de un solo se quiere elegir. Añadir en / etc/apache2/ports.conf para permitir la escucha HTTPS (si no está presente): <IfModule Mod_ssl.c> Listen 443 </ IfModule> Por último, cargue el sitio: # A2ensite pepperspot # / Etc/init.d/apache2 reload

18 EJECUTAR PEPPERSPOT Antes de ejecutar PepperSpot, usted tiene que estar seguro de que todos los otros servicios que necesitan los PepperSpot están disponibles y el cuadro está configurado. Ejecutar script de iptables (s) en relación con el modo de funcionamiento de PepperSpot. Si utiliza IPv4 PepperSpot con soporte: # / Etc / pepper.iptables Si utiliza PepperSpot con soporte IPv6: # / Etc/pepper/ip6tables Ahora puede ejecutar PepperSpot, En el modo de depuración: # Pimienta-fd En el modo de edición: # Pimienta

19 CONCLUSIONES Hemos despejado las dudas sobre lo que es un portal cautivo, sabemos que es una herramienta bastante potente. Su uso no se restringe a una red abierta como son PepperSpot, puesto que es un plus a la red. El portal cautivo es solo un medio, por el cual, el dueño de la red inalámbrica mantiene el control y el acceso a ella. Generalmente, un portal cautivo no es lo único que traen los proyectos que hemos mencionado en el trabajo, como hemos visto, la distribución seleccionada por nosotros para presentar en este informe. Pepperspot ofrece una potente herramienta para la administración de una red. Posee una gran variedad de servicios, como son: DHCP Server, DNS, Freeradius, Apache2, firewall, Radvd entre otros.