FIREWALL: ISA SERVER IPTABLES ROUTER CISCO POR: JUAN CAMILO GÓMEZ CATALINA TRUJILLO LAURA CANO FELIPE MONTOYA PROFESOR: FERNANDO QUINTERO GRUPO: 18566

Transcripción

1 FIREWALL: ISA SERVER IPTABLES ROUTER CISCO POR: JUAN CAMILO GÓMEZ CATALINA TRUJILLO LAURA CANO FELIPE MONTOYA PROFESOR: FERNANDO QUINTERO GRUPO: SENA MEDELLÍN 2010

2 INDICE INTRODUCCION GLOSARIO I. INSTALACIÓN Y CONFIGURACIÓN DE ISA SERVER (WINDOWS) REGLAS DE FIREWALL II. CONFIGURACIÓN DE POLITICAS DE FIREWALL CON IPTABLES (LINUX) III. FIREWALL CLÁSICO CON ROUTER CISCO CONCLUSIONES

3 Licencia del documento

4 INTRODUCCIÓN A continuación, vamos a explicar qué es un Firewall, para qué sirve, vocabulario importante que es bueno conocer para enfrentar problemas que aparezcan al momento de montarlo en un Sistema Operativo ya que por supuesto lo montaremos en LINUX y Windows. También configuraremos un Firewall en un clásico Router CISCO, algo que necesita de unas pocas polítcas y reglas llamadas ACL (Access Control List) y le mostraremos lo que deben hacer para filtrar y poner de un cierto modo un poco más segura la red. Para LINUX utilizaremos lo más básico propiamente de ese Sistema Operativo: IPTABLES y lo cual definiremos más adelante en este documento. Para Windows utilizaremos una muy buena herramienta también propia de ese Sistema Operativo, llamada ISA Server. Esta herramienta tiene una muy bonita interfaz gráfica la cuál es muy entendible a la hora de configurar todo lo que necesitemos. En el procedimiento de la configuración y la instalación, también mostraré los errores que me salieron y su solución (esperando que esto ayude a cualquiera que lea este documento). Para los dos firewall en LINUX y Windows, tendremos un servidor con las aplicaciones de DNS, Servidor de Correo y Servidor WEB en la DMZ.

5 GLOSARIO SEGURIDAD PERIMETRAL: Es todo aquello que integra elementos y sistemas tanto electrónicos como mecánicos para proteger áreas físicas, detectar intentos de intrusión en partes que requieren una alta seguridad. Ellos pueden ser videosensores, cables sensoriales, barreras de microondas, infrarrojos, etc. Los sistemas de seguridad perimetrales se podrían clasificar en Sistemas Perimetrales Abiertos los cuales dependen de las condiciones ambientales para detectar, como video vigilancia, barreras, etc; los otros son los Sistemas Perimetrales Cerrados los cuales no dependen del medio ambiente y controlan exclusivamente el parámetro de control, como la fibra óptica, cables microfónicos, piezo-sensores, etc. FIREWALL : Es un complemento de una red que está diseñado para filtrar y bloquear accesos no deseados, permitiendo al mismo tiempo accesos autorizados. Este puede ser un dispositivo el cuál se fabrica exclusivamente para realizar esa tarea, como también puede ser un software que se instala en una máquina para que actúe como tal permitiendo, limitando, cifrando, descifrando el tráfico que pase por éste según las normas que se configuren o se establezcan en el Firewall. STATELESS (Filtrado de Paquetes): Son Firewalls que fueron diseñados para filtrar paquetes con base en las Ips de fuente y destino, puertos de fuente y destino y protocolos. Es de un muy bajo costo pero su debilidad radica en que son incapaces de reconocer ataques como flooding o DoS ya que manejan aisladamente cada paquete, por ello no son conscientes de las conexiones que recibe. Las ACL de algunos routers son un ejemplo de packet filtering, en el que cada paquete se compara contra una tabla de reglas de IP, puertos y protocolos. Este caso no es muy recomendable, lo más adecuado es usar un router dedicado únicamente a enrutamiento y un firewall detrás encargado de realizar el filtrado del tráfico, así el desempeño del router no se afecta y se optimiza el desempeño de la red. STATEFULL (Inspección del Estado): Es un tipo de Firewall más utlizado y recomendado a la hora de proteger un perímetro de una red. Cumple las mismas funciones del STATELESS pero adicionalmente registra las conexiones en una tabla que revisa con cada entrada o salida de un paquete para determinar si los permite o los deniega, evitando ataques como flooding, DoS, etc. APPLIANCE : Son dispositivos integrados de seguridad que integran tanto el hardware de conexión como un sólido sistema operativo, sobre el cual se colocan diversos bloques de seguridad. La composición depende de cada fabricante, o de cada modelo, pero entre estas se cuentan algunas básicas, como el cortafuegos o la protección contra intrusiones y otras más o menos opcionales como antivirus, anti spam, VPN, etc. Lo necesario para contar con una buena línea de defensa perimetral de la empresa. ISA SERVER : Es un gateway integrado de seguridad perimetral que permite proteger una red de datos de las amenazas de Internet, además de proporcionar a los usuarios un acceso remoto seguro a las aplicaciones y datos corporativos. INTRUSOS INFORMATICOS : Los intrusos informáticos, son software cuyo propósito es invadir la privacidad de tu computadora, posiblemente dejando daños, robando información y alterando el software del equipo. Entre ellos estan: los spyware, etc.

6 DMZ : (Zona Desmilitarizada) Es una red perimetral local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales en la DMZ no pueden conectar con la red interna. La DMZ se utiliza normalmente para albergar servidores WEB, DNS o de correo. ACL: Son Listas de Control de Acceso que permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando conexiones de red de acuerdo a alguna condición. PAT : (Traducción de Dirección de Puertos) es una característica del estándar NAT, que traduce conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra dirección y puerto de la red interna. Permite que una sola dirección IP sea utilizada por varias máquinas de la red interna. NAT (Traducción de Direcciones de Red) es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro del encabezamiento. IPTABLES : Es un conjunto de comandos que le permiten al usuario enviar mensajes al kernel del Sistema Operativo (LINUX). El kernel tiene todo el manejo de paquetes TCP/IP metido dentro de él, todos los paquetes son manejados por el mismo kernel y éste decide qué debe hacer con cada uno de los paquetes siguiendo políticas o características definidas con los comandos permitiéndonos filtrar, denegar o permitir conexiones de red.

7 CÓMO ES UNA DMZ Una gráfica es mucho más entendible que un montón de texto plano. Esto les ayudará un poco en el proceso.

8 I. INSTALACIÓN Y CONFIGURACIÓN DE ISA SERVER Requerimientos para la DMZ: 3 interfaces ethernet. 1 para la red externa, 1 para la LAN interna, 1 para los equipos de la DMZ. Los host de la red interna estarán configurados así: El servidor de la DMZ será así: MUY IMPORTANTE: El Servidor DNS interno, tendrá configurado como reenviador la dirección IP de un servidor externo que permita la conexión a Internet (En mi caso esta)

9 1. Abrimos el ejecutable de Isa Server 2006, se puede descargar haciendo click aquí. 2. Elegimos la opción 3: Instalar los servicios de ISA Server y de Almacenamiento de configuración.

10 3. Por ser primer vez que agregamos un host de seguridad perimetral, le decimos que queremos crear una nueva empresa del servidor ISA 4. En el pantallazo de direcciones, agregaremos solamente los dos adaptadores de la red interna (DMZ y LAN)

11 5. Luego daremos siguiente, siguiente y finalizamos la instalación. REGLAS DE FIREWAL En esta parte, vamos a establecer las reglas y políticas para permitir y denegar conexiones. OJO: El ISA server configura por defecto la política de DENEGAR TODO después de finalizar la instalación, por lo tanto no dará ninguna conexión en la red interna. Agregaremos la primera configuración que será permitir el DNS local para que resuelva en la LAN interna y en el mismo firewall. 6. Damos clic derecho en Directivas de Firewall al lado izquierdo de la pantalla, le decimos Nuevo, y Regla de acceso. 7. Colocaremos el nombre el la regla

12 8. Agregaremos el protocolo correspondiente al servicio DNS, Protocolo DNS porsupuesto. 9. En el orígen, osea el equipo servidor, se agregará, dándole clic en agregar, nuevo, equipo y se agregará con la información de la dirección IP y el nombre con el que queramos identificarlo.

13 10. Agregaremos como destino del tráfico la red Externa. 11. Elegiremos a todos los usuarios en su totalidad.

14 Ahora, agregaremos las reglas para el Servidor de Correo. 12. Damos clic derecho en Directivas de Firewall al lado izquierdo de la pantalla, le decimos Nuevo, y Regla de acceso. 13. Elegiremos los protocolos con los que estamos trabajando en el servidor de Correo. En realidad son 3: SMTP, POP3 e IMAP, pero sólo estamos trabajando con dos protocolos.

15 14. Elegiremos el orígen del tráfico. 15. Este servicio de correo es únicamente para la red interna (LAN), así que el destino va a ser la LAN y la comunicación se hará solamente entre la DMZ y la LAN.

16 Ahora, le permitiremos a la Red Interna que navegue por Internet. 16. Agregamos los protocolos con que normalmente navegamos por internet.

17 17. Agregaremos la red interna y el host local (Firewall) como origen del tráfico de datos. 18. Como destino agregaremos la red externa.

18 19. Después de terminar de establecer las reglas del firewall, al intentar navegar a la página web del servidor local, si da resultado. 20. Pero, al querer salir a la red externa (Internet) no me dejaba, sí me resolvía el DNS local pero no me resolvía ninguna dirección externa desde los equipos internos.

19 21. Upssss... se me olvidó algo importantísimo, aplicar los cambios en el ISA Server. (A cualquiera le pasa). 22. Ahora sí, tenemos conexión a Internet.

20 23. Al verificar el servicio de correo, Funciona!.

21 II. CONFIGURACIÓN DE POLITICAS DE FIREWALL CON IPTABLES 1. Para empezar, abriremos un archivo de notas (gedit) y pondremos ordenadamente de tal forma que se pueda identificar la utilidad de cada comando y grabaremos el archivo con la extensión.sh (ejecutable). Copiaré aquí todo el archivo, pero mas adelante explicaré el comando, sus parámetros y su utilidad. #!/bin/sh echo -n Estableciendo las reglas de firewall... ## Limpiar las reglas antiguas (flush) iptables -F iptables -X iptables -Z iptables -t nat -F # Establecer las políticas por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ## CONFIGURACIÓN DEL FORWARDING #Desde la LAN hacia iptables -A FORWARD iptables -A FORWARD iptables -A FORWARD Internet -p tcp --dport 80 -i eth1 -o eth0 -j ACCEPT -p tcp --dport 443 -i eth1 -o eth0 -j ACCEPT -p udp --dport 53 -i eth1 -o eth0 -j ACCEPT #Desde la LAN hacia la DMZ iptables -A FORWARD -s /16 -d /16 -j ACCEPT #Desde Internet hacia la DMZ iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -j ACCEPT #Firewall de ESTADO (Para agilizar las conexiones. Seguimiento de conexiones) iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ## IMPORTANTISIMO: Obligatoriamente, ya que hacemos una zona desmilitarizada,es imprescindible ## hacer un enmascaramiento de la red local y la DMZ para que puedan salir al exterior. iptables -t nat -A POSTROUTING -s /16 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /16 -o eth0 -j MASQUERADE ## También activaremos obligatoriamente el BIT de FORWARDING echo 1 > /proc/sys/net/ipv4/ip_forward #Filtramos desde Internet hacia la DMZ iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination :80 echo " LISTO. Si desea... verificar con el comando: iptables -L -n"

22 1. #!/bin/sh Si uno quiere agregar una función (crear un comando propio) descomentará esta línea, sino, por favor NO TOCAR. 2. ## Limpiar las reglas antiguas (flush) iptables iptables iptables iptables -F -X -Z -t nat -F Estos parámetros del comando IPTABLES se utilizan para limpiar las reglas del firewall y dejar las que vienen en el sistema por defecto, osea, ACCEPT para INPUT, OUTPUT y FORWARD. INPUT: Entrada del host local OUTPUT: Salida del host local FORWARD: Cualquier equipo o red que no sea el mismo firewall 3. # Establecer las políticas por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Nuestro firewall, como primera regla, denegará todas, absolutamente todas las conexiones. -P (Policy): Política del Firewall 4. #Desde la LAN hacia iptables -A FORWARD iptables -A FORWARD iptables -A FORWARD Internet -p tcp --dport 80 -i eth1 -o eth0 -j ACCEPT -p tcp --dport 443 -i eth1 -o eth0 -j ACCEPT -p udp --dport 53 -i eth1 -o eth0 -j ACCEPT Aquí permitimos que la LAN interna navegue por internet. Lo sabemos por los puertos que estamos permitiendo de salida (HTTP, HTTPS y DNS). Vemos el -i (input) que es de donde viene la conexión, por lo tanto la eth1 conecta el firewall a la LAN. Vemos el -o (output) es el destino de la conexión, así que la eth0 es la que se conecta al Internet. -p (protocol): Protocolo. Puede ser TCP, UDP, ICMP, etc. 5. #Desde la LAN hacia la DMZ iptables -A FORWARD -s /16 -d /16 -j ACCEPT Permitimos a la red que pertenece a la LAN interna conectarse a la DMZ. El -s (source) es el orígen de la conexión. El -d (destiny) es el destino de la conexión. 6. #Desde Internet hacia la DMZ iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth2 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth2 -j ACCEPT Aquí estableceremos que solamente queremos que desde la red externa, se conecte al servidor WEB ubicado en la DMZ. 7. #Firewall de ESTADO (Para agilizar las conexiones. Seguimiento de conexiones) iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Este comando, se usa especialmente para establecer las conexiones y seguirlas, parecido a una caché de conexiones. Así que si se estableció alguna conexión, el firewall la revisa de manera que se agilicen las conexiones y se aumente el desempeño de este firewall.

23 8. ## hacer un enmascaramiento de la red local y la DMZ para que puedan salir al exterior. iptables -t nat -A POSTROUTING -s /16 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s /16 -o eth0 -j MASQUERADE Esto es muy importante, es lo que le permite a la red interna navegar a internet, ya que hace un NAT (traducción de direcciones) para que salgan por la interfaz eth0 (red externa) con una dirección IP externa. Interesante lo que puede hacer el simple IPTABLES No? 9. ## También activaremos obligatoriamente el BIT de FORWARDING echo 1 > /proc/sys/net/ipv4/ip_forward Con este comando, escribiremos en el archivo ip_forward un 1, para que si por si acaso, el firewall se reinicia, no se tenga que volver a ejecutar este comando. NOTA: Cuando el kernel recibe un paquete de red, primero compara la direccion de destino del paquete con sus propias direcciones IP. Cuando ip_forward esta apagado (o sea 0) y la dirección de destino del paquete es distinta a todas las direcciones locales, ese paquete se bota, se ignora. En cambio, cuando ip_forward esta encendido (o sea 1) y la dirección del paquete es distinta a la local, el kernel reenvía ese paquete utilizando su tabla de enrutamiento como guía para saber a donde debe enviarse y a que salto. Por lo tanto, se "comparte" la conexión de internet,porque el firewall está enrutando (y sin modificar cabeceras), como un router común. 10. #Filtramos desde Internet hacia la DMZ iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination :80 Hacemos el mismo NAT sólo que ahora es al contrario, las direcciones que vienen de conexiones externas, se traducen para acceder solamente al servidor WEB de la DMZ. Este equipo tendrá 3 interfaces ethernet, 1 para la red externa, 1 para la DMZ y otra para la LAN interna.

24 Ahora después de saber porqué se establecieron estas reglas de firewall, sólo queda ejecutar el archivo con privilegios de administrador y con el comando: #sh firewall.sh. Y verificaremos el firewall Verificamos desde la red interna la conexión a internet. Y verificamos el estado del servicio de correo interno

25 III. FIREWALL CLÁSICO CON ROUTER CISCO Este diagrama se realizo con una herramienta llamada packet tracer el cual es un simulador que permite a los usuarios crear topologías de red y además la configuración de los dispositivos activos. DIAGRAMA Para realizar la configuración del firewall se deben seguir los siguientes pasos: 1. configuramos la interface 0/0 del Router0, la cual va tener una dirección privada de clase B

26 2. Configuramos la interface serial 0/0/0 del Router0 el de la LAN, el cual va tener una ip privada de clase C 3. Configuramos la interface serial 0/0/0 el Router1 el de internet, debemos de tener en cuenta que hay que configurarle el clock rate como se observa

27 4. configuramos la interface 0/0 del Router1 5. Damos clic en el Router0, ingresamos a la interface 0/0 ingresamos el siguiente comando para decir que esa interface va hacer la inside es decir la de adentro

28 6. Dentro del Router0 ingresamos a la serial 0/0/0 la cual vamos a decir que es la outside es decir la de afuera. 7. Creamos los grupos de acceso para crear ACL es decir 101 va hacer la de la interface 0/0 la inside

29 8. Y luego el grupos de acceso para la serial 0/0/0 es decir la outside 9. Realizamos el enrutamiento estático el cual es IP route

30 10. En este paso es donde creamos las listas de acceso donde se permite el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos como el FTP, HTTP, SMTP. el enrutador permite la salida de paquetes desde la LAN, para cumplir estas regala se realiza las siguientes listas. 11. Y por último permitimos que la LAN interna navegue hacia internet. El NAT overload permite no solamente a uno sino a varios hosts internos que salgan a la red externa

31 CONCLUSIONES Es muy recomendable antes de implementar cualquier tipo de Firewall, estar muy bien documentado para poder entender que es lo que se está haciendo. Por ejemplo, en la parte de IPTABLES... hasta no comprender bien que este software utiliza un enmascaramiento y una traducción de direcciones (NAT), no pude hacer nada, es más, al principio ni siquiera sabía que linux tenía una función muy buena de enrutamiento, parecida a la que hace un router normal. Con ISA server, aunque sea más entendible por lo gráfico, hay que tener en cuenta las reglas que uno establecerá, desde qué dirección de red (origen de tráfico) hacia cuál dirección de red (destino de tráfico), porque aunque no parezca, al principio nos enredamos un poquito. Recuerden que un firewall que funciona bien tiene establecido en las políticas por defecto denegar todo el tráfico, tanto con IPTABLES como con Isa Server.

32 WEBGRAFÍA