Tema: Dispositivos Firewall

Transcripción

1 Seguridad en redes. Guía 3 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Tema: Dispositivos Firewall Contenidos Configuración inicial de un Firewall Reglas de acceso Objetivos Específicos Que el alumno comprenda el concepto de red interna y red externa al hablar de dispositivos firewall Comprender el funcionamiento de las reglas de acceso en los dispositivos firewall Aplicar el concepto de Network Address Translation (NAT) Materiales y Equipo PC con Windows XP instalado. Servidor Web y FTP. Dispositivo Firewall. Introducción Teórica La rápida expansión y popularización de Internet ha convertido a la seguridad en redes en uno de los tópicos más importantes dentro de la Informática moderna. Con tal nivel de interconexión, los virus y los hackers campan a sus anchas, aprovechando las deficientes medidas de seguridad tomadas por administradores y usuarios a los que esta nueva revolución ha cogido por sorpresa. Las ventajas de las redes de comunicación son evidentes, pero muchas veces se subestiman ciertos riesgos, circunstancia que a menudo pone en peligro la seguridad de los sistemas. Redes Internas. El caso más sencillo de red que nos podemos encontrar es local (LAN), con todos los dispositivos interconectados a través de unos cables de los que también se es propietario. Esta última circunstancia nos va a permitir ejercer un control total sobre el canal de comunicaciones, pudiendo protegerlo físicamente, lo cual evita prácticamente cualquier riesgo de falta de privacidad de la información. Uno de los riesgos dignos de mención en estos casos son las posibles pérdidas de información debidas a fallos físicos, que pueden ser minimizados llevando a cabo una adecuada política de copias de respaldo, que deberán ser confeccionadas periódicamente, almacenadas en un lugar diferente de aquel donde se encuentra la red, y protegidas

2 2 Seguridad en redes. Guía 3 adecuadamente contra incendios y accesos no autorizados. Otro riesgo que se da en las redes locales, a menudo infravalorado, es el que viene del uso inadecuado del sistema por parte de los usuarios. Ya sea por mala fe o descuido, un usuario con demasiados privilegios puede destruir información, por lo que estos permisos deben ser asignados con mucho cuidado por parte de los administradores. Esta circunstancia es muy importante, ya que, sobretodo en pequeñas empresas, el dueño muchas veces cree que debe conocer la clave del Administrador, y luego es incapaz de resistir la tentación de jugar con ella, poniendo en serio peligro la integridad de los sistemas y entorpeciendo el trabajo del super ususario. Existen redes internas en las que un control exhaustivo sobre el medio físico de transmisión de datos en la práctica es imposible. Piénsese en un edificio corporativo con un acceso no muy restrictivo (como aulas dentro de una Universidad), que posee conexiones Ethernet en todas sus dependencias. En principio, nada impediría a una persona conectar una PC portátil a una de esas conexiones para llevar a cabo una análisis de tráfico de la red sin ser descubierta, o suplantar a cualquier otro dispositivo dentro de la red. En estos casos será conveniente llevar a cabo algún tipo de control, como la deshabilitación dinámica de las conexiones de red no utilizadas en cada momento, la verificación del identificador único de la tarjeta de red concreta que debe estar conectada en cada punto, o la adopción de protocolos de autenticación de los dispositivos dentro de la red, como por ejemplo Kerberos. Redes Externas. Consideraremos red externa a aquella que en todo o en parte se apoye en un canal físico de comunicación ajeno. Existirán redes externas de diversos tipos, pero todas ellas tienen en común la característica de que en algún momento la información viaja por canales sobre los que no se tiene ningún tipo de control. Para identificar los posibles riesgos que presentará una red externa, hemos de fijarnos en cuestiones tan dispares como el sistema operativo que corre sobre los dispositivos de red o el tipo de acceso que los usuarios legales del sistema pueden llevar a cabo. Una de las configuraciones más comunes consiste en el uso de una red local conectada al exterior mediante un cortafuego o firewall, el cual es un dispositivo de red que filtra el tráfico entre la red interna y el exterior. Los Firewall s son herramientas muy poderosas si se emplean adecuadamente, pero pueden entrañar ciertos riesgos si se usan mal. Por ejemplo, existen muchos lugares donde el firewall esta conectado a la red local y ésta a su vez a la red externa (tal como se observa en la figura 3.1). Esta es la configuración más sencilla y barata, puesto que solo necesitamos una tarjeta de red en el firewall, pero no impediría a un atacante situado en el exterior acceder directamente a los dispositivos de la red local. La configuración correcta se puede apreciar en la figura 3.2, donde la red externa (y todos sus peligros) está separada físicamente de la red local.

3 Seguridad en redes. Guía 3 3 Figura 3.1: Configuración Incorrecta de un Firewall Figura 3.2: Configuración Correcta de un Firewall Podemos distinguir dos grandes tipos de peligros potenciales que pueden comprometer nuestra información desde una red externa: Ataques Indiscriminados. Suelen ser los más frecuentes y también los menos dañinos. Dentro de esta categoría podemos incluir los Troyanos y los virus, programas diseñados normalmente para colarse en cualquier sistema y producir efectos de los más variados. Ataques a la medida. Mucho menos comunes que los anteriores y también más peligrosos, son los ataques que generalmente llevan a cabo los hackers. En estos casos las víctimas son casi siempre grandes corporaciones, y muchas veces la información ni siquiera es destruida o comprometida. El problema es que para borrar sus huellas y dificultar su rastreo, suelen atacar en primer lugar sistemas pequeños para desde ellos cometer los ataques, lo cual convierte a cualquier sistema en potencial víctima de estos personajes. Lo que ocurre en la mayoría de los casos es que su necesidad de emplear sistemas pequeños como plataforma les obliga a no dañarlos, para no dejar ningún tipo de rastro que permita localizarlos posteriormente.

4 4 Seguridad en redes. Guía 3 Procedimiento Configuración Inicial Bibliografía 1. Con los materiales y equipos que el instructor provea, realizar la interconexión de los dispositivos tal y como se ilustra en el siguiente diagrama de red. Guía 1 Firewall ORION IF WAN IF LAN PC3 SWITCH INTERNET Firewall ANTARES IF WAN IF WAN Firewall CASIOPEA IF LAN IF LAN FTP WEB PC1 PC2 2. Realizar las configuraciones de las interfaces de red de los equipos cliente como se describe en la siguiente tabla. Nombre del Equipo Dirección IP Máscara de subred PC PC PC Abrir un navegador Web (deshabilite el proxy del navegador) y en la barra de direcciones digitar la cual es la dirección IP de los Firewall Sonicwall por defecto. 4. Se nos presenta la pantalla de inicio de sesión, utilizaremos las credenciales admin para el nombre de usuario y password como contraseña. 5. En el panel de la izquierda se nos presenta el menú principal donde se encuentran todas las opciones de configuración para este firewall. Mientras que en el panel central es el área de trabajo.

5 Seguridad en redes. Guía En primer lugar configuraremos el nombre del dispositivo Firewall asignado según el diagrama de red ilustrado en el paso 1. Para ello, en el panel izquierdo hacemos clic en System>Administration. Se nos despliega la siguiente pantalla. 7. En el campo Firewall Name, ingresar el nombre correspondiente. Luego hacer clic en el botón Apply ubicado en la esquina superior derecha del área de trabajo. 8. Ahora se procederá a la configuración de los parámetros de red de cada uno de los Firewall. Para ello tome como referencia la siguiente tabla y continue en el paso 9. Nombre del equipo FW ANTARES FW CASIOPEA FW ORION Dirección IP IF LAN Máscara IF LAN Gateway IF LAN Dirección IP IF WAN Máscara IF WAN Gateway IF WAN N/A N/A N/A PC N/A N/A N/A PC N/A N/A N/A PC N/A N/A N/A 9. En el panel izquierdo de la interface de configuración, hacer clic en Network>Interfaces. Se nos despliega la siguiente pantalla. En donde se detallan cada una de las interfaces de red con que cuentan estos firewalls.

6 6 Seguridad en redes. Guía En la tabla Interface Settings, se lista la siguiente información de cada interface de red disponible: Name, Zone, IP Address, Subnet Mask, IP Assignment, Status, Comment y Configure. 11. Hacer clic en el botón Configure de la interface etiquetada con el nombre WAN. Entonces se nos despliega una pantalla similar a la siguiente imagen.

7 Seguridad en redes. Guía Complementar los campos correspondientes que se observan en la figura anterior, con los datos proporcionados en la tabla del paso 8 que hacen referencia a IF WAN en dicha tabla. 13. En las casillas de verificación de la opción Management seleccionar HTTPS y Ping. Luego hacer clic en el botón OK. Con esto se ha configurado la interface del Firewall que se conectará a nuestra «red pública» 14. Luego, regresamos a la sección Interface Settings de la Interface gráfica de configuración. 15. Ahora, hacemos clic en el botón Configure de la interface etiquetada como LAN. Se nos despliega la pantalla que se observa en la siguiente imagen. 16. Complementamos los campos correspondientes con los valores de la tabla proporcionada en el paso 8 que hacen referencia a IF LAN. Hacer clic en el botón OK. Después de lo cual seremos desconectados de la interface gráfica de configuración.

8 8 Seguridad en redes. Guía Para reconectarnos a la interface de configuración gráfica, se deberá de cambiar la configuración de las interfaces de red de las PC clientes con los valores que se detallan en la tabla del paso Cuando los cambios de configuración de red de las máquinas cliente hayan sido aplicados, abrir un navegador Web y en la barra de direcciones digitar el URL Donde la X representa al tercer octeto de la dirección IP del Firewall asignado. 19. Desde los equipos cliente, hacer pruebas de ping desde una ventana de DOS a la dirección IP pública de los firewalls de sus compañeros, así como a la dirección IP Cuáles son los resultados obtenidos? 20. Luego, nuevamente desde la ventana de DOS de los equipos cliente, hacer pruebas de ping a los equipos cliente de sus compañeros. Cuáles son los resultados obtenidos? Por qué? 21. Realice pruebas de acceso a los servidores Web y FTP haciendo uso de la dirección IP Es posible obtener respuestas de estos servicios? 22. Realice pruebas de acceso a la interface Web de los firewall de sus compañeros haciendo uso de los URL s y Según corresponda. Es posible visualizar dichas interfaces de configuración gráfica? Reglas de acceso 1. Ingresar nuevamente a la interface de configuración del firewall asignado. 2. En el panel de la izquierda, hacer clic en Firewall>Access Rules. Y se nos despliega la matriz que se observa a continuación.

9 Seguridad en redes. Guía En dicha matriz, hacer clic en el botón donde se intersectan la fila LAN con la columna WAN. Discutir cual es el resultado que se presenta. 4. Hacer clic nuevamente en Firewall>Access Rules, con ello regresamos a la matriz. Ahora, hacer clic en el botón donde se intersectan la fila WAN con la columna LAN. El resultado es diferente al obtenido en el paso anterior? Por qué? 5. Hacer clic nuevamente en Firewall>Access Rules, con ello regresamos a la matriz. hacer clic en el botón donde se intersectan la fila LAN con la columna WAN. Se nos despliega la pantalla de configuración Access Rules (LAN > WAN).

10 10 Seguridad en redes. Guía 3 6. Hacer clic en el botón Add. Se nos despliega la ventana de configuración Add Rule. 7. En dicha ventana, realizar las configuraciones que se presentan a continuación. a. Action: Deny b. Service: HTTPS c. Source: Any d. Destination: Any e. Users Allowed: All f. Schedule: Always On

11 Seguridad en redes. Guía Hacer clic en el botón OK. 9. Repetir los pasos 6, 7 y 8 modificando el campo Service con los valores HTTP, FTP y PING. 10. Realizar nuevamente las pruebas efectuadas en los pasos 19, 21 y 22 de la sección 5.1 y compare los resultados obtenidos. Discuta sus conclusiones. Network Address Translation (NAT) 1. Hacer clic en Network>Interfaces. 2. Hacer clic en el botón Configure de la interfase Opt. Y realizar las configuraciones que se muestran a continuación: 3. Navegar a la pantalla Network>Address Objects, y hacer clic en el botón Add bajo la sección Address Objects. 4. Realizar la configuración que se muestra en la pantalla de configuración siguiente:

12 12 Seguridad en redes. Guía 3 5. Luego, se creará la regla de NAT para permitir el acceso público al servidor FTP de la DMZ recientemente creado. Navegar a la pantalla Network>NAT Policies, hacer clic en el botón Add. Configurar la política de NAT para permitir cualquier tráfico desde la WAN que sea destinado originalmente a la dirección IP pública de la Interface WAN para ser redireccionado al Servidor FTP con el servicio FTP. Tal y como se observa en la siguiente pantalla: 6. Hacer clic en el botón OK.

13 Seguridad en redes. Guía Luego, hay que configurar una regla de acceso para permitir el tráfico de entrada correspondiente al tráfico FTP. 8. Navegar a la pantalla Firewall>Access Rules, hacer clic en el botón donde se intersectan WAN > DMZ. 9. Realizar las configuraciones que se presentan en la pantalla de configuración siguiente: 10. Hacer clic en el botón OK. 11. Solicitar al instructor la conexión del servidor FTP a la interfase OPT del firewall asignado. 12. Realizar las pruebas de conexión a la ip pública del servidor FTP correspondiente.

14 14 Seguridad en redes. Guía 3 Investigación Complementaria Cuál de los siguientes protocolos o servicios debería ser evitado en una red de ser posible, con la finalidad de incrementar el nivel de seguridad? Por qué? o o Telnet o WWW o ICMP Guía 3 Guía 4 fía Se requiere instalar un Servidor en un segmento de red que provea el servicio Web a clientes en Internet. Usted no quiere exponer la red interna de la compañía a riesgos adicionales. Cuál de los siguientes métodos consideraría como la mejor solución? o Instalar el Servidor en una Intranet. o Instalar el Servidor en una DMZ. o Instalar el Servidor en una VLAN. o Instalar en Servidor en una Extranet. Por qué es importante el orden del conjunto de reglas del muro de fuego? Bibliografía Fundamentos de Seguridad de Redes, 2ª. Edición, Eric Maiwald. Network Security, Concepts and Facilities, Handbooks UK. Guía 3 Guía 4 fía

15 Seguridad en redes. Guía 3 15 Guía 3: Dispositivos firewall Tema: Presentación del programa Alumno: Hoja de cotejo: Docente: Máquina No: Máquina GL: No: 3 1 Alumno: Docente: Docente: GL: Máquina a No: GL: Fecha: EVALUACION % Nota CONOCIMIENTO 25 Demostró poco conocimiento sobre el tema de la práctica. APLICACIÓN DEL CONOCIMIENTO 70 Interconecta los dispositivos de la topología y realiza la configuración básica. Demostró conocimiento medio sobre el tema de la práctica. Interconecta los dispositivos de la topología y realiza la configuración básica. Realiza pruebas de acceso a los servidores WEB y FTP Demostró buen conocimiento sobre el tema de la práctica. Interconecta los dispositivos de la topología y realiza la configuración básica. Realiza pruebas de acceso a los servidores WEB y FTP Configura las reglas de acceso y NAT ACTITUD 2.5 Es un observador pasivo. 2.5 Es ordenado pero no hace un uso adecuado de los recursos. Participa ocasionalmente o lo hace constantemente pero sin coordinarse con su compañero. Hace un uso adecuado de recursos respetando las pautas de seguridad, pero es desordenado. Participa propositiva e integralmente en toda la práctica. Hace un manejo responsable y adecuado de los recursos conforme a pautas de seguridad e higiene. TOTAL 100