Administración de FW. Autores: Sistemas - Redes Fecha de Creación: 25/08/09 Última Actualización: 07/09/2009 Versión: 1.1.



Documentos relacionados
Firewall Firestarter. Establece perímetros confiables.

Luis Eduardo Peralta Molina Sistemas Operativos Instructor: José Doñe Como crear un Servidor DHCP en ClearOS

Existe una solicitud disponible a tal efecto en la url:

GUIA DE BLOQUEO Y DESBLOQUEO WEB

Escritorio remoto y VPN. Cómo conectarse desde Windows 7

2_trabajar con calc I

Instalación del Admin CFDI

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

Race Manager by Master Timing Guía del usuario GUIA RACE MANAGER. Eventronic, SL

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

En caso de que el cliente nunca haya obtenido una concesión de licencia de un servidor DHCP:

MANUAL DE LA APLICACIÓN HELP DESK

Cómo creo las bandejas del Registro de Entrada /Salida y de Gestión de Expedientes?

Activación de un Escritorio Remoto

Redes de área local: Aplicaciones y servicios WINDOWS

Notas para la instalación de un lector de tarjetas inteligentes.

Técnicas de Programación

Hotel pide permiso a ipcop para que por el puerto 339 (control remoto) pueda recibir y enviar paquetes de la empresa y viceversa.

Guía rápida de instalación Cámara CCTV-210

Plataforma e-ducativa Aragonesa. Manual de Administración. Bitácora

Redes de Área Local: Configuración de una VPN en Windows XP

Fortigate - VPN SSL

ÍNDICE INDICE. MANUAL WinPoET. Manual de formularios en Manual WinPoET

Mecanismos de Autoprotección Para evitar acceso a material indeseable en Internet

Manual de usuario de Windows Live Writer

GUIA COMPLEMENTARIA PARA EL USUARIO DE AUTOAUDIT. Versión N 02 Fecha: 2011-Febrero Apartado: Archivos Anexos ARCHIVOS ANEXOS

Manual hosting acens

INSTALACIÓN FIREWALL IPCOP

Mi primer servidor. Fernando Fernández Consultor Preventa HP ISS

Internet Information Server

Además lo bueno de este programa es que tenemos varios formatos de grabación que nos permite elegir qué modelo nos viene mejor en cada momento.

AGREGAR COMPONENTES ADICIONALES DE WINDOWS

REDES DE COMPUTADORES Laboratorio

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

Publicación en Internet

Iptables, herramienta para controlar el tráfico de un servidor

Instalación de FileZilla FTP Server

GUIA DE USUARIO. CONFIGURACION CORREO ELECTRONICO

MANUAL DE AYUDA MÓDULO PDA ALMACEN E INVENTARIO

La pestaña Inicio contiene las operaciones más comunes sobre copiar, cortar y pegar, además de las operaciones de Fuente, Párrafo, Estilo y Edición.

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

5. Composer: Publicar sus páginas en la web

BrokerMovil Online para BlackBerry Guía rápida v1.0

Sitios remotos. Configurar un Sitio Remoto

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

Manual de Usario de XEDIGenerator Instalación

INSTALACIÓN DE MEDPRO

Guia rápida EPlus Cliente-Servidor

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

CREACIÓN DEL PRIMER PROYECTO EN mikrobasic PRO for AVR

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

Práctica GESTIÓN Y UTILIZACIÓN DE REDES LOCALES. Curso 2001/2002. TCP/IP: protocolo TCP

Servicio de Notificaciones Electrónicas y Dirección Electrónica Habilitada

Manual de configuración de Thunderbird ÍNDICE

PRACTICA DE REDES Redes Ad Hoc

Administración de la red (Windows 2008)

Explotación de Sistemas Informáticos IES Murgi PRÁCTICA 9: SERVICIO WEB Y FTP DE INTERNET INFORMATION SERVICE

CONFIGURACIÓN TERMINAL SERVER EN WINDOWS 2003

HOWTO: Cómo configurar SNAT

comunicaciones IP al servicio de su empresa configuración de clientes de correo para Hosted Exchange

Conectar a unidad de red

Guía de Inicio Rápido de NetGenie

Hot Potatoes, aplicaciones educativas

Programa diseñado y creado por Art-Tronic Promotora Audiovisual, S.L.

Redes de área local: Aplicaciones y servicios WINDOWS

Hi-Spins. Hi-Spins - Novedades v

Redirección de puertos

Internet Information Server

Configuración del firewall en Linux con IPtables

Seguridad y alta disponibilidad

Ubuntu Server HOW TO : SQUID. EN ESTE SE REALIZA LO SIGUIENTE: En este how to se le va a enseñar como instalar servidor proxi Squid.

01 Índice. GESTOR DE CONTENIDOS Manual de uso 01 ÍNDICE OBJETO DEL DOCUMENTO ESTRUCTURA GRÁFICA DEL SISTEMA... 3

MANUAL DE CREACIÓN DE CARPETAS PARA ACCESO POR FTP DE CLIENTES EN UN NAS

MANUAL SISTEMA RESERVAS TEM V1.2

DBmessage TM. Manual de usuario

Guía para el tratamiento en Allegro de recibos para centros no pertenecientes a la Generalitat Valenciana.

GUÍA DE USUARIO DEL CORREO

MANUAL DE USUARIO DE CUENTAS DE CORREO

AGREGAR UN EQUIPO A UNA RED Y COMPARTIR ARCHIVOS CON WINDOWS 7

Marta Soler Tel: Fax: TUTORIAL DEL GESTOR DE CONTENIDOS DOTNETNUKE

Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.

INTRANET: MANUAL DE INSTALACIÓN

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

Guía nuevo panel de clientes Hostalia

Crear la base de datos antes de la instalación de Wordpress.

MANUAL DE AYUDA. SAT Móvil (Movilidad del Servicio Técnico)

MANUAL SOBRE SEGURIDAD PARA CABLE~MODEM THOMSON TCW710

Ministerio de Educación. Base de datos en la Enseñanza. Open Office. Módulo 5: Report Builder

v2.2 Guía del Estudiante Registro e Inicio de Sesión

SEPARAR Y ADJUNTAR UNA BASE DE DATOS. Separar una base de datos

BREVE INTRODUCCIÓN A IPSEC

EDITRAN/CL. Manual de Usuario e Instalación. Módulo de Cliente Departamental. Windows

Ministerio de Educación, Cultura y Deporte. Aulas en Red. Windows. Módulo 2: Servicios Básicos. DHCP

Hi-Spins. Hi-Spins - Novedades v

DESCARGA DE CARPETAS DE MENSAJES DE CORREO DESDE EL WEBMAIL A PC S LOCALES

CONFIGURACIÓN DE LAS IMPRESORAS DE RED

Las redes y su seguridad

Transcripción:

Administración de FW Autores: Sistemas - Redes Fecha de Creación: 25/08/09 Última Actualización: 07/09/2009 Versión: 1.1 Aprobado por:

Contenido Contenido... 2 Propósito del Documento... 3 1. Administración del Firewall de Nortel Contivity... 4 Nociones... 4 Acceso... 5 Creando una regla... 5 Ejemplo... 6 2. Administración del Firewall Juniper... 7 Nociones... 7 Acceso... 8 Creando una regla... 8 Ejemplo... 9 3. Administración del Firewall Stonegate Accesos Navegación.... 10 Acceso... 10 Gestión del grupo de usuarios de navegación... 10

Propósito del Documento El objetivo de esta guía es proporcionar un documento de consulta, para la administración del parque de firewall de RIU.

1. Administración del Firewall de Nortel Contivity Todo cambio realizado en un firewall, debe ser informado al departamento de redes vía email, con todos los datos del cambio. Nociones Un firewall es un dispositivo de red para el control de acceso. Un cortafuegos (o firewall en inglés) es una parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Se basa en el establecimiento de unas reglas creadas, que permiten y deniegan las conexiones que pasan a través del firewall. La forma de interpretar un firewall es la lectura de las reglas que componen la política, leídas y ejecutadas desde la primera a la última (orden secuencial de arriba a abajo). Cuando una conexión cumple los parámetros especificados en una de las reglas, se ejecuta inmediatamente la acción asociada a la regla y finaliza el análisis y ejecución de la conexión. Es muy importante el orden en que se disponen las reglas, ya que al ejecutarse (de arriba a abajo) secuencialmente y finalizar al encontrar una que cumpla los parámetros, una mala colocación de una regla puede provocar un efecto no deseado y potencialmente muy problemático. Existe una regla no visible explícitamente, que permite todo el tráfico a través del firewall. Esto quiere decir que si la política de firewall activa, no tiene ninguna regla especificada, todo el tráfico

es permitido a través del firewall. Acceso En nuestro caso, el acceso al firewall del Nortel Contivity, se realiza a través de la interfaz web, accediento por http a la ip de gestión del firewall (consultar mapas de red, para conocer las ips de los firewall y routers). Salvo excepciones indicadas, el firewall en RIU está integrado dentro del equipo router. Creando una regla Existen los siguientes parámetros a especificar en el momento de creación de una regla. Source Interface: Es la naturaleza de la interfaz orígen de la conexión. Por simplificar: Si la conexión viene desde Red RIU (esto es, orígen 192.168.x.x), el tipo de interface a utilizar es TRUSTED. Si la conexión viene de fuera de la Red RIU (orígen distinto a 192.168.x.x), el tipo de interface será ANY. (Por defecto ANY) Destination Interface: Es la naturaleza de la interfaz destino de la conexión. Por simplificar: Si la conexión va a Red RIU (esto es, orígen 192.168.x.x), el tipo de interface a utilizar es TRUSTED. Si la conexión va fuera de la Red RIU (orígen distinto a 192.168.x.x), el tipo de interface será ANY. (Por defecto ANY) Source: Indica la ip, red, rango de ips, o grupo desde la cual se quiere aceptar o denegar la conexión. (Por defecto ANY) Destination: Indica la ip, red, rango de ips, o grupo a la cual se quiere aceptar o denegar la conexión. (Por defecto ANY) Service: Indica que servicios (puertos de conexión destino) se va a especificar en la regla para permitir o denegar. regla. (Por defecto ANY) Action: Es, como su nombre indica, la decisión en caso que se cumplan los parámetros de la (Por defecto DENY) Status: Indica si la regla creada está habilitada o no. Una regla no habilitada es como si no existiera. (Por defecto Accept) Remark: Permite añadir un comentario. Es un cambio descriptivo, que debemos utilizar

para identificar la naturaleza, caducidad, motivo, etc. de esa regla Ejemplo Acceso al router/firewall primario de la red 126 en Vallarta, a través de la ip de gestión del router. Hacemos login en http://192.168.126.253 Navegamos por el menú Services > Firewall/NAT Localizamos la política del firewall RIUSec (VPN Router Stateful Firewall) y la gestionamos pulsando en Manage Policies que encontramos a su derecha. Hacemos login en el firewall del router Verificamos que la política en negrita es RIUSec, la seleccionamos y la editamos con el botón de edit. Nos colocamos en la pestaña de las Default Rules. Suponiendo que queremos insertar una regla entre las reglas existentes 6y7, clicamos botón derecho sobre el 6 y añadimos una regla nueva con Add rule after. En nuestro caso queremos permitir un acceso desde el servidor DC de la sede, hacia internet, acceso a todas las páginas para navegación. Src Interface: Trusted - El servidor DC de la sede es 192.168.126.1 (por tanto es 192.168.x.x) Dst Interface: Any Internet no pertenece a la Red RIU y por tanto ANY. Source: Hacemos botón derecho sobre la casilla de source en la regla > Add > Buscamos el servidor en la lista de equipos. En caso de no localizarlo, clicaremos en New > Host > Hostname: MXPVRJALDC01_126.1; IP Address: 192.168.126.1. y pulsamos Ok. En la casilla source debería aparecer el objeto del servidor, recién creado. Destination: Especificamos ANY como destino, puesto que queremos acceso total a internet. Si se solicitara acceso a una web o conjunto de webs, habría que darlas de alta de forma análoga a como se ha explicado en source, asociando el nombre de la web (Host_ext_<nombredelaweb>) a la ip que resuelve. Service: Análogamente al Source, elegimos de la misma forma en la lista de servicios que obtendremos, los servicios http y https. Action: Importante decisión que hay que tener muy en cuenta. Elegimos la decisión a tomar en caso de que se cumpla la regla. En este caso queremos permitir el tráfico desde el servidor a internet, por lo tanto la acción es Accept. Status: La regla la queremos activa, así que debemos elegir el visto verde en dicha casilla. Indicaremos en esta casilla el número de incidencia, causa, petición, caducidad, duración, etc. Cualquier información útil para la regla. Finalmente una vez concluído todo, hay que salvar la configuración creada yendo al menú Edit > Save. Al finalizar el salvado, aparece una ventana de confirmación.

2. Administración del Firewall Juniper Todo cambio realizado en un firewall, debe ser informado al departamento de redes vía email, con todos los datos del cambio. Nociones Un firewall es un dispositivo de red para el control de acceso. Un cortafuegos (o firewall en inglés) es una parte de un sistema o una red que está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Se basa en el establecimiento de unas reglas creadas, que permiten y deniegan las conexiones que pasan a través del firewall. La forma de interpretar un firewall es la lectura de las reglas que componen la política, leídas y ejecutadas desde la primera a la última (orden secuencial de arriba a abajo). Cuando una conexión cumple los parámetros especificados en una de las reglas, se ejecuta inmediatamente la acción asociada a la regla y finaliza el análisis y ejecución de la conexión. En el caso de los firewall de los Juniper, las reglas están separadas según el origen y destino de la conexión. Esto significa que una conexión entre la red remota 'confiable' (por ejemplo 192.168.130.0 Guanacaste) y la red local 'confiable' (192.168.80.0 Miami), no está en el mismo grupo que una conexión entre la red 'configable' 192.168.130.0 Guanacaste y la red 'no confiable' 66.102.9.99 (Google.com) Internet. Por tanto, dependiendo del tipo de conexión que queramos revisar o configurar, debemos tener en cuenta estos datos.

Es muy importante el orden en que se disponen las reglas, ya que al ejecutarse (de arriba a abajo) secuencialmente y finalizar al encontrar una que cumpla los parámetros, una mala colocación de una regla puede provocar un efecto no deseado y potencialmente muy problemático. Existe una regla no visible explícitamente, que permite todo el tráfico a través del firewall. Esto quiere decir que si la política de firewall activa, no tiene ninguna regla especificada, todo el tráfico es permitido a través del firewall. Acceso En nuestro caso, el acceso al firewall del Juniper, se realiza a través de la interfaz web, accediento por http a la ip del router (consultar mapas de red publicados en Easyvista, para conocer las ips de los firewall y routers). Salvo excepciones indicadas, el firewall en RIU está integrado dentro del equipo router. Hay que ir al menú Policy > Policies para ver la política de seguridad. En la parte superior hay un filtro para la confiabilidad de las reglas de conexión. Por defecto, aparece un 'all zones' to 'all zones', que indica que estamos viendo todas las reglas configuradas. Creando una regla Lo primero que hay que hacer, es identificar el tipo de conexión que vamos a configurar o revisar: Origen, destino, confiabilidad del origen y confiabilidad del destino. Además, hay que conocer las ips origen y destino, así como el protocolo o servicio de la aplicación que se quiere tratar. Para crear una regla, debemos primero tener claro la confiabilidad del origen y destino de la conexión, puesto que hay que elegir en esos menús orígen y destino, y luego darle en la derecha al botón NEW (una vez elegida la confiabilidad de orígen y destino de la conexión). En el caso RIU, elegiremos Trusted o Untrusted únicamente, dependiendo si la red origen/destino es confiable o no. Existen los siguientes parámetros a especificar en el momento de creación de una regla. Name (Optional): Conviene añadir un campo de descripción. En caso de tratarse de una acceso genérico, por ejemplo definir la aplicación. Si es un acceso puntual por una petición o incidencia, podríamos incluir en ese campo entre otros, el número de incidencia/petición. Source address: Indica la ip, red, rango de ips, o grupo desde la cual se quiere aceptar o denegar la conexión. Podemos elegir el objeto que define el orígen del menú desplegable, o bien especificarlo manualmente de forma explícita. Destination address: Indica la ip, red, rango de ips, o grupo a la cual se quiere aceptar o denegar la conexión. Podemos elegir el objeto que define el orígen del menú desplegable, o bien especificarlo manualmente de forma explícita. Service: Indica que servicios (puertos de conexión destino) se va a especificar en la regla para permitir o denegar. Parámetros habituales son http, https, ftp, o any. Application: Lo dejaremos con el valor que venga por defecto Action: Indica la acción a realizar con esos parámetros de filtrado. El resto de campos los dejaremos por defecto. Finalmente sólo decir que si cualquiera de los campos orígen, destino o servicio, definen más de

una ip o servicio, debemos crear un contenedor e incluir las ips o servicios en él. Podemos hacer esto pulsando en el botón Multiple del que disponemos a la derecha de las ips origen, destino y servicio. Moveremos del campo de la derecha (Disponibles) al campo de la izquierda (Incluidos), las ips o equipos que queramos agrupar. Finalmente pulsaremos ok para cerrar el grupo y para crear la regla. Ejemplo Acceso al router/firewall primario de la red 130 en CostaRica, a través de la ip del router 192.168.130.254 1. Hacemos login en http://192.168.130.254 2. Navegamos por el menú Policy > Policies 3. En nuestro caso queremos permitir un acceso desde el servidor DC1 y DC2 de la sede, hacia internet, acceso a todas las páginas para navegación 4. Elegimos en el From elegimos 'Trusted'; en el To, 'Untrusted' y pulsamos New. 1. Name (Optional): Acceso Total desde Domain Controllers de la sede 2. Source Address: Address Book Entry > Multiple > Elegimos los hosts CRSJOGNC01-192.168.130.1 y CRSJOGNC02-192.168.130.2. Nota: En caso que no existan los hosts, cancelamos la creación de la regla, navegamos al menú Policy > Policy Elements >Addresses > List > Elegimos en el menú de arriba si el objeto es Trusted (si pertenece a una red local) o Untrusted (en caso de ser una ip de internet), y pulsamos en New. Rellenamos los campos Address Name (por ejempolo CRSJOGNC01-192.168.130.1), en Comment añadiremos DC1 de Guanacaste ; en IP Address: 192.168.130.1 / 32 y zone Trust. Pulsamos Ok a continuación. Una vez creados los objetos, ya podemos volver a la creación del a regla. En la creación de los hosts, la máscara de red es /32 y en caso de las redes 192.168.X.0, es /24. 3. Destination Address: Elegiremo a ANY puesto que queremos dar acceso a cualquier página. En caso de querer dar acceso a alguna página concreta, debemos conocer la IP de la misma 4. Service: En el caso de navegación, crearemos un grupo con Http y Https. Por tanto, debemos crear un Multiple y elegir los servicios http y https, y añadirlos a la lista (en la derecha los disponibles, en la izquierda los que pertenecen al grupo). 5. Action: Importante decisión que hay que tener muy en cuenta. Elegimos la decisión a tomar en caso de que se cumpla la regla. En este caso queremos permitir el tráfico desde el servidor a internet, por lo tanto la acción es Permit. Una vez creada la regla, y pulsado Ok, la regla automáticamente pasa a estar vigente. Debemos pues, antes de darle a Ok, revisar bien los parámetros incluídos en la regla.

3. Administración del Firewall Stonegate Accesos Navegación. Todo cambio realizado en un firewall, debe ser informado al departamento de redes vía email, con todos los datos del cambio. Acceso Para el acceso de administración del Stonegate, se necesita el cliente con la versión adecuada (consultar con redes la ubicación). Gestión del grupo de usuarios de navegación Iniciamos el cliente de stonegate y navegamos por el menú Configuration > Configuration. Network Elements > Groups > Usuarios Navegación.

Hacemos doble clic para abrir el grupo y verificamos si el equipo solicitado está en la lista de la derecha. En caso de no estar, y querer darle navegación, debemos elegir en el menú de la izquierda Hosts, e identificar el host en la lista. Localizamos y seleccionamos el host, y añadimos el usuario con el boton Add.

Si el host no está creado, desde la ventana de añadirlo al grupo, elegimos en el menú de la izquierda Hosts y en la parte superior del cuado de lista de hosts, clicamos en el icono azul celeste, junto a hosts > host. Elegimos el nombre del hosts (por ejemplo Temporal_espmicendir02) y rellenamos el campo Ipv4 con la ip del host. Podemos indicar un comentario en el último campo, si procede: Acceso temporal hasta dia 1 Enero 2010. Clicamos en ok para confirmar. Una vez tenemos el host en la lista, podemos elegirlo y añadirlo al grupo como antes se ha comentado.

Finalmente, para guardar los cambios, seleccionamos el icono System Status de la lista de iconos de la barra de herramientas del cliente (la cámara con un play rojo ), desplegamos el menú Firewalls, hacemos clic derecho sobre SGATE_RIUCENTER > Current Policy > Refresh > Ok. Verificamos que el log de la instalación muestra la instalación completa y correcta. Si queremos eliminar un host de navegación, iniciamos el cliente de stonegate y navegamos por el menú Configuration > Configuration. Network Elements > Groups > Usuarios Navegación. Hacemos doble clic para abrir el grupo y buscamos el equipo en la lista de la derecha. Una vez localizado, lo seleccionamos, y con la flecha a la izquierda lo quitamos del grupo. Finalmente, para guardar los cambios, seleccionamos el icono System Status de la lista de iconos de la barra de herramientas del cliente (la cámara con un play rojo), desplegamos el menú Firewalls, hacemos clic derecho sobre SGATE_RIUCENTER > Current Policy > Refresh > Ok. Verificamos que el log de la instalación muestra la instalación completa y correcta. Los accesos que no sean de navegación, deben consultarse con el departamento de redes.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback