CONFIGURA UN ROUTER-FIREWALL UTILIZANDO LOS SIMULADORES CORRESPONDIENTES: a) Router DLINK: -Activamos el firewall y lo configuramos con un nombre, permitiendo un rango de IPs en LAN y permitiendo el ping desde cualquier IP al puerto 8 en WAN (ICMP). El acceso será de lunes a viernes de 3:35 a 8:35 de la tarde. -Podemos también aplicar filtros para IP, MAC, URL, o Dominios, permitiendo o bloqueando el acceso. -Filtro IP: permitiendo o bloqueando el acceso, además de especificar un horario para ello. -Filtro MAC: Podemos permitir y denegar el acceso mediante MAC. Hatari Yazid SAD Página 1
-Filtro Dominios: Permite o bloquea dominios. - Filtro Dominios: Permite o bloquea dominios. Hatari Yazid SAD Página 2
-Filtro URL: Podemos bloquear URLs. b) Router LINKSYS: Hatari Yazid SAD Página 3
activar o desactivar: bloquear peticiones anónimas de internet, filtro multicast, filtro de redirección NAT y filtro de identificación en puerto 113. -En las restricciones de acceso como en otros routers, podemos bloquear servicios, permitir o denegar una lista de PCs por IP, MAC, o rango de IP, permitir o denegar durante horarios y días, y bloquear URLs. -Aquí vemos un pantallazo de la lista PCs que podemos elegir para permitir o bloquear. Hatari Yazid SAD Página 4
c) Router TP-LINK: Firewall que examina los paquetes entrantes de datos para comprobar que corresponden a una petición saliente. Los paquetes de datos que no fueron solicitados son rechazados. -En la seguridad avanzada podemos activar la protección contra ataques DOS, habilitando además filtros de ataque para paquetes ICMP, UDP y TCP. También podemos activar: Ignorar los paquetes al realizar ping desde un puerto de la WAN o LAN. Hatari Yazid SAD Página 5
-Podemos activar el filtrado MAC, para permitir o denegar. -Un consejo es no activar la administración remota, por lo que usamos en la IP 0.0.0.0. Hatari Yazid SAD Página 6
Ejercicios ACL Hatari Yazid SAD Página 7
Uso de ACL estándar: Paso 1. Crear las ACL. RNORTE 1.- Bloqueo la salida del PC1 con ip 196.8.0.10 a la red 10.8.0.0, por la interfaz de salida. Lo aplico en el Router Norte: -.Crear ACL ip access-list standard acl3 deny host 196.8.0.10 permit any -.Asignar ACL interface se0/1/0 ip access-group acl3 out 2.- Bloquear la salida de paquetes que no procedan de una dirección del rango de la red 196.8.0.0, por la interfaz de salida. Lo aplico en el Router Norte: -.Crear ACL ip access-list standard acl4 permit 196.8.0.0 0.0.0.255 deny any -.Asignar ACL interface se0/1/0 ip access-group acl4 out 2.- Bloquear la salida de paquetes que no procedan de una dirección del rango de la red 192.8.0.0, por la interfaz de salida. Lo aplico en el Router Sur: -.Crear ACL ip access-list standard acl6 permit 192.8.0.0 0.0.0.255 Hatari Yazid SAD Página 8
deny any -.Asignar ACL interface se0/1/0 ip access-group acl6 out 3.- Borramos las ACL, aplicado en router norte y sur: no ip access-list standard acl3 no ip access-list standard acl4 no ip access-list standard acl6 Uso de ACL Complejas: ACL COMPLEJAS Hatari Yazid SAD Página 9
4.- Permitimos que 192.7.0.10 acceda a http pero no a dns y el email en el servidor norte 196.7.0.2. Lo aplico en el router sur: -.Crear ACLs ip access-list extended acl3 permit tcp host 192.8.0.10 host 196.7.0.2 eq www deny tcp host 192.8.0.10 host 196.8.0.2 eq smtp deny udp host 192.8.0.10 host 196.8.0.2 eq domain permit ip any any -.Asignar ACLs interface fa0/0 ip access-group acl3 in 5.- Permitimos que el pc1 196.8.0.10 al servidor ftp en server sur 192.8.0.2 pero el pc2 196.7.0.20 no. Lo aplico en router sur: -.Crear ACLs ip access-list extended acl5 permit tcp host 196.8.0.10 host 192.8.0.2 eq 21 permit ip any any -.Asignar ACLs interface fa0/0 ip access-group acl5 in 6.- No permitir que PC2 192.8.0.20 se pueda comunicar con PC4 192.8.0.20. Lo aplico en router norte: -.Crear ACLs ip access-list extended acl6 deny ip 196.8.0.20 0.0.0.255 192.7.0.0 0.0.0.255 permit ip any any Hatari Yazid SAD Página 10
-.Asignar ACLs interface fa0/0 ip access-group acl6 in 7.- Borramos las ACL, aplicado en router norte y sur: no ip access-list standard acl3 no ip access-list standard acl5 no ip access-list standard acl6 8.- No permitir que la red 192.8.0.0 se comunique con la red 196.8.0.0. Lo aplico en router norte: -.Crear ACLs ip access-list extended acl7 deny ip 192.8.0.0 0.0.0.255 196.8.0.0 0.0.0.255 permit ip any any -.Asignar ACLs interface fa0/0 ip access-group acl7 in 9.- Borramos la ACL, aplicado en router norte: no ip access-list standard acl7 b) Resolución escenario UD3-2.a. Router Frontera. c)iptables Firewall en la propia máquina Hatari Yazid SAD Página 11
En el servidor Ubuntu es donde aplicamos nuestras reglas IPTABLES: 1º) Ver la versión de Iptables: #Iptables 2º) Borrado de todas las reglas #Iptables F 3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la dirección 192.168.0.155. #Iptables A INPUT -s 192.168.0.155 j ACCEPT 4º) Eliminar todos los paquetes que entren. #Iptables A INPUT j DROP 5º) Permitir la salida de paquetes. #Iptables A OUTPUT j ACCEPT 6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155. #Iptables A INPUT -s 192.168.0.155 j ACCEPT 7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección de red 192.168.0.0. #Iptables A INPUT -s 192.168.0.0 j ACCEPT Hatari Yazid SAD Página 12
8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155 y enviar un mensaje de error icmp. #Iptables A INPUT s 192.168.0.155 j REJECT 9º) Permitir conexiones locales (al localhost), por ejemplo a mysql. #Iptables A INPUT s 127.0.0.1 p TCP dport 3306 j ACCEPT 10º) Permitir el acceso a nuestro servidor web (puerto TCP 80). #Iptables A INPUT p TCP dport 80 j ACCEPT 11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21). #Iptables A INPUT p TCP dport 20:21 j ACCEPT 12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH. #Iptables A INPUT s 192.168.0.155 p tcp dport 22 j ACCEPT 13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet. #Iptables A INPUT s 192.168.0.155 p tcp dport 23 j DROP 14º) Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78. #Iptables A INPUT p all m mac mac-source 00:db:f0:34:ab:78 -j DROP Firewall de una LAN Escenario: Hatari Yazid SAD Página 13
Para realizar esta práctica lo primero es crear el enrutamiento con IPTABLES: 1.- Configuramos la red del servidor, donde tendremos las dos tarjetas de red: - Ahora vamos a activar el enrutamiento. Para ello primero aceptamos primero permitimos las próximas iptables con el comando #iptables P FORWARD ACCEPT. Después enrutamos todos los paquetes desde la red 192.168.0.0/24 a la interfaz eth0 que tiene salida a internet, con el comando #iptables t nat A POSTROUTING S 192.168.0.0/24 -o eth0 j MASQUERADE. Por ultimo vamos a permitir en el servidor las comunicaciones de la red 192.168.0.0/24 y eth0 con el comando #iptables A FORWARD s 192.168.0.0/24 i eth0 j ACCEPT y el comando #iptables A INPUT s 192.168.0.0/24 j ACCEPT. Hatari Yazid SAD Página 14
3.- En el servidor ponemos las IPtables siguientes: 1º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a través de la interfaz eth0. #Iptables A INPUT s 192.168.0.0/24 i eth0 j DROP 2º) Cerramos el rango de puerto bien conocido desde cualquier origen: #Iptables A INPUT s 0.0.0.0/24 p tcp dport 1:1024 #Iptables A INPUT s 0.0.0.0/24 p udp dport 1:1024 3º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80): #Iptables A OUTPUT s 192.168.0.0/24 p tcp dport 80 j ACCEPT 4º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https: #Iptables A OUTPUT s 192.168.0.0/24 p tcp dport 443 j ACCEPT 5º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red: #Iptables A OUTPUT s 192.168.0.0/24 d 0.0.0.0/24 p tcp dport 25:110:161 j ACCEPT #Iptables A OUTPUT s 192.168.0.0/24 d 0.0.0.0/24 p udp dport 53 j DROP 6º) Permitimos enviar y recibir e-mail a todos: #Iptables A INPUT s 0.0.0.0/0 i eth0 -d 0.0.0.0/24 p tcp dport 25 j ACCEPT #Iptables A INPUT s 0.0.0.0/0 i eth0 -d 0.0.0.0/24 p tcp dport 110 j ACCEPT 7º) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.0.0/24: #Iptables A FORWARD s 192.168.3.0/24 i eth1 d 192.168.0.0/24 j 8º) Permitimos el paso de un equipo específico 192.168.0.10 a un servicio (puerto 5432) que ofrece un equipo específico (192.168.0.5) y su respuesta: #Iptables A INPUT s 192.168.0.10/24 d 192.168.2.0/24 p tcp dport 5432 j ACCEPT 4.DMZ. a) Resolución escenarios DMZ CISCO (PacketTracert ). UD3-3.a. Hatari Yazid SAD Página 15
5. CORTAFUEGOS SOFTWARE. a) Cortafuego integrado en Windows. i) I nstalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). Accedemos a la página oficial de www.kerio.com y lo descargamos: En el progreso de instalación nos saldrá esta ventana, donde nos avisa que va ha deshabilitar el Firewall que trae por defecto Windows. Hatari Yazid SAD Página 16
Instalación: Hatari Yazid SAD Página 17
Ponemos un usuario y una contraseña: Hatari Yazid SAD Página 18
Inicio/Todos los Programas/Kerio/Kerio Firewall Accedemos con nuestro usuario y contraseña: Mediante el asistente configuramos la conexión a internet que tendremos, es decir, si vamos a tener una red local, que pasara atreves de este PC, el cual filtrara los paquetes: Hatari Yazid SAD Página 19
Lo realizaremos mediante una conexión a Internet, le indicamos la interfaz, que salga directamente a Internet. De momento permitimos todos los servicios, pero más adelante denegaremos el ftp. Hatari Yazid SAD Página 20
Esto es para si utilizásemos un Servidor VPN Kerio, como nunca se sabe, Marcamos que Esta Hatari Yazid SAD Página 21
Esta opción es para si tuviésemos algún servidor dentro de la LAN, es decir, para realizar una DMZ, con un servidor web o VPN, que puedan acceder: Hatari Yazid SAD Página 22
Una vez terminado el Asistente le damos a Politica de trafico, seleccionamos Trafico de firewall, y pinchamos donde pone Servicio: Nos saldrá esta ventanita, donde seleccionamos FTP, y le damos a quitar. Aplicamos los cambios: Hatari Yazid SAD Página 23
Ahora probaremos a realizar una conexión ftp, mediante el terminal: Como podemos observar no nos deja acceder. También podemos ver otras opciones de estadísticas de la red. Hatari Yazid SAD Página 24
Las conexiones que existen atraves de la regla Trafico del firewall Aquí podemos un log de la configuración que vamos haciendo: Hatari Yazid SAD Página 25
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en la empresa: Microsoft Forefront Microsoft Forefront es una completa línea de productos de seguridad que permite una mayor protección y control por medio de una excelente integración con su infraestructura de TI actual y una operación más sencilla de implantación, gestión y análisis. La línea de productos de seguridad Microsoft Forefront ofrece protección para las máquinas cliente, aplicaciones de servidor y la red perimetral. Su completo conjunto de productos de seguridad, que se integran entre sí y con la infraestructura informática de su empresa, puede complementarse e interoperar con soluciones de terceros. Contiene los siguientes productos: Microsoft Forefront Client Security (anteriormente denominada Microsoft Client Protection). Microsoft Forefront Server for Exchange Server (anteriormente denominada Microsoft Antigen for Exchange). Microsoft Forefront Server for SharePoint (anteriormente denominada Microsoft Antigen for SharePoint). Microsoft Forefront Security for Office Communications Server (anteriormente denominada Antigen for Instant Messaging). Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la información de este producto en XPS / PDF) Intelligent Application Gateway (IAG) 2007 (Descargue la información de este producto en XPS / PDF) Forefront Server Security Management Console. Hatari Yazid SAD Página 26
Contiene los siguientes productos: Microsoft Forefront Client Security (anteriormente denominada Microsoft Client Protection). Microsoft Forefront Server for Exchange Server (anteriormente denominada Microsoft Antigen for Exchange). Microsoft Forefront Server for SharePoint (anteriormente denominada Microsoft Antigen for SharePoint). Microsoft Forefront Security for Office Communications Server (anteriormente denominada Antigen for Instant Messaging). Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la información de este producto en XPS / PDF) Intelligent Application Gateway (IAG) 2007 (Descargue la información de este producto en XPS / PDF) Forefront Server Security Management Console. Hatari Yazid SAD Página 27
Funcionalidades y ventajas Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en: Protección para sistemas operativos Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección en tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y otras amenazas emergentes. Protección de aplicaciones de servidores críticas Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos específicos de protocolo y de aplicaciones. Acceso seguro y controlado Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios autorizados tengan acceso a los datos y recursos de TI especificados. Protección de datos confidenciales Los productos Forefront resguardan los datos confidenciales y protegen la propiedad intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación en toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de los datos valiosos para su empresa. Hatari Yazid SAD Página 28
Integración desde el diseño Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr una mayor eficiencia y control en términos de seguridad de la red. Integración con aplicaciones Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales como Exchange, Outlook Web Access y SharePoint. Integración con la infraestructura informática Esta infraestructura unificadora permite administrar sin inconvenientes la implementación, distribución, configuración y aplicación de los productos de seguridad, y permite hacerlo con un nivel de control detallado y minucioso. Integración en Forefront Los productos Forefront están diseñados para poder operar juntos, de modo que se puedan aprovechar sus funcionalidades y lograr una mayor cobertura de seguridad. Administración simplificada y centralizada Los productos Microsoft Forefront están diseñados de forma tal que permiten simplificar la implementación, configuración, administración, generación de informes y análisis. De esta forma, su empresa tiene mayor confiabilidad en cuanto a una excelente protección. Implementación simplificada Los utilitarios como ISA Server Best Practices Analyzer Tool y los asistentes de configuración ayudan a establecer una base sólida para una instalación de seguridad contundente. La integración de Forefront con Active Directory y los sistemas de actualizaciones como Systems Management Server proporcionan los cimientos comunes. Hatari Yazid SAD Página 29
para la administración de configuraciones y cambios. Tanto los usuarios como los administradores se benefician con la distribución centralizada de configuraciones y políticas actualizadas así como de actualizaciones de sistemas operativos o antivirus para clientes y servidores. Unificación de generación de informes y análisis Forefront centraliza la recopilación y el análisis de la información de administración de seguridad, dado que toda la información de seguridad se almacena en un único repositorio SQL Server, que puede utilizar los servicios de generación de informes y análisis (SQL Server Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad. Administración simplificada La administración y la generación de informes de seguridad están centralizadas en Forefront. Sus componentes se integran plenamente con los sistemas de administración existentes, incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows Server Update Services. Las consolas de administración integradas de Forefront ofrecen las conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el tiempo de capacitación necesaria y ayudan a controlar los costes. Énfasis en la capacidad de "aseguramiento" Hatari Yazid SAD Página 30
Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la administración de la seguridad el "aseguramiento" de la infraestructura-, Forefront ayuda a su empresa a: Centralizar la administración de la seguridad. Evitar los errores en la configuración. Implementar la seguridad en toda la red. Obtener una visión unificada de la seguridad de la red. Conclusión En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de manera independiente, nos ofrecen una solución: Completa A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa, aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa en la productividad y en la utilización de su software. Integrada En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más difícil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red. Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted puede lograr mayor eficiencia y control sobre la seguridad de su red. Simplificada Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red, especialmente sin una herramienta de administración central. Sin este tipo de visibilidad, implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume más tiempo. Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al simplificar la administración, instalación y uso de los productos de seguridad, con lo que aumentará su confianza en que su organización está bien protegida. Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista individual de la red, permitiendo una administración y una mitigación de amenazas mejor y más informada. b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. i) Instalación y configuración del cortafuegos Firewall Zentyal. Tenemos el siguiente escenario: Hatari Yazid SAD Página 31
Lo primero que haremos será habilitar el cortafuegos desde el panel de control de Zentyal: Le damos a Cortafuegos, y vamos a configurar una regla para una red Interna, hacia el Servidor Zentyal. Hatari Yazid SAD Página 32
Teniendo otro equipo de la misma red con la dirección ip: Asignaremos la regla para que no pueda acceder al servicio FTP, de Zentyal. Hatari Yazid SAD Página 33
Probamos con el cliente acceder, y vemos como no responde. Hatari Yazid SAD Página 34
Ahora borramos la lista para comprobar que funciona: Intentamos acceder al servidor ftp de Zentyal: Hatari Yazid SAD Página 35
ii) Instalación y configuración del cortafuegos Firewall IpCop. El escenario correcto que se tendría que hacer para una correcta configuración de IPCOP, seria esta, donde el Cortafuegos seria un servidor que redirecciona todo lo que entre por la interfaz eth1 (192.168.197.x) hacia la eth0, de modo que saldrían a internet gracias a este equipo, de esta forma se podría controlar el filtrado de paquetes correctamente. Pero como solo queremos configurarlo los aspectos más principales, nos crearemos otro escenario acuerdo con los requisitos que disponemos: Hatari Yazid SAD Página 36
Descargamos la imagen de ipcop y la arrancamos desde el CD. Seleccionamos el idioma español. Arrancamos desde el cd: Esperamos mientras revisa la configuración Hardware. Hatari Yazid SAD Página 37
Comienza a instalar los ficheros necesarios para la correcta configuración del Firewall Saltamos este paso, marcamos la opción y le damos a Enter. Hatari Yazid SAD Página 38
Configuraremos la tarjeta de red, en modo de interfaz GREEN, de modo que le damos a Prueba: Hatari Yazid SAD Página 39
Nos dice que nos ha detectado correctamente, la tarjeta de red. Ok. Le asignamos una dirección de red valida, de modo que usaremos: Nos dice que la prueba ha sido exitosa: Hatari Yazid SAD Página 40
Configuramos el horario y le ponemos un nombre adecuado a la maquina: Aquí configuramos el servicio ISDN (Integrated Services Digital Network o RDSI Red Digital de servicios Integrados), si es que fuera la forma por la que accedemos a internet, en este caso es una conexión ADSL así que inhabilitaremos el ISDN, eligiendo la opcion Inhabilite RDSI Hatari Yazid SAD Página 41
Le damos a Ok, se aplican los cambios. Realizamos la configuracion DNS, junto con su puerta de enlace. Hatari Yazid SAD Página 42
En el menú, le damos a Configuracion de direcciones y seleccionamos la interfaz GREEN, que es la que usaremos solamente: Le introducimos una contraseña valida al root, para poder acceder: Hatari Yazid SAD Página 43
Accedemos de la siguiente manera: Ahora desde un cliente de la misma red, vamos Administrar el Servidor, mediante un usuario y contraseña que ya hemos establecido anteriormente. En la Pest aña Cont rol Hatari Yazid SAD Página 44
de tráfico, vamos a restringir la velocidad de bajada y de subida: Aqui añadimos unas cuantas restricciones de acceso al DNS, y al puerto 8080 asociado a un Servidor WEB. Hatari Yazid SAD Página 45
Aquí podemos ver como se puede configurar un Proxy Web: En modo grafico podemos ver la configuración de las tarjetas de red. Hatari Yazid SAD Página 46
Incluso podríamos instalar un IDS 6. CORTAFUEGOS HARDWARE. a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. Un cortafuegos fiable es el rasgo distintivo de una red altamente protegida. Las redes ofrecen soporte para aplicaciones y procesos sensibles y fundamentales, y proporcionan una infraestructura común para los servicios convergentes de datos, voz y vídeo. Cisco integra la seguridad de cortafuegos en toda la red, e incorpora los servicios de seguridad en todos sus productos, en lugar de ofrecer productos puntuales que establecen un nivel de seguridad básico. El enfoque de Cisco convierte la seguridad de cortafuegos en un aspecto transparente, escalable y fácil de gestionar de la red y la infraestructura empresarial. Un cortafuegos personalizado para la red Hatari Yazid SAD Página 47
Cada cortafuegos de Cisco se basa en plataformas modulares y escalables y está diseñado para adaptarse a los requisitos de seguridad de los diversos entornos de red. Un cortafuegos puede implementarse de manera independiente para proteger una zona específica de la infraestructura de red, o se puede combinar para ofrecer un enfoque de defensivo más profundo, por capas. Todas las soluciones de cortafuegos de Cisco están diseñadas siguiendo las mejores prácticas y directrices desarrolladas para soluciones del mundo real. Private Internet Exchange PIX es el acrónimo de Private Internet EXchange. Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de equipos Cortafuegos (FireWalls). Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico. El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de estado de la conexión (PIX es stateful) enmemoria; para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso. Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog. Hatari Yazid SAD Página 48
Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión. El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems (http://www.cisco.com/). Ejemplos: Pix Cisco firewall 505 Private Internet Exchange (PIX), refiere a los modelos de equipos Cortafuegos (Firewalls) que tiene Cisco. Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico. Hatari Yazid SAD Página 49
Private Internet Exchange (PIX) El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida, y cualquiera que tenga como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, lo anterior, si no se prohíbe explícitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido y se envía un mensaje de alerta. Cuando a un interfaz del firewall llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; pues en caso contrario, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión. Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500 Cualquier empresa que dependa de su red, necesita una seguridad sólida. Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de última generación con la flexibilidad necesaria para satisfacer las necesidades de su compañía a medida que ésta crece y cambia. Características destacadas Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan: Personalización: Personalice la seguridad según sus necesidades de acceso específicas y sus políticas comerciales. Flexibilidad: Conforme su negocio crezca y necesite cambios, podrá agregar fácilmente capacidades o actualizar de un dispositivo a otro. Hatari Yazid SAD Página 50
Seguridad avanzada: Aproveche los últimos avances en seguridad de contenidos, cifrado, autenticación de identidad, autorización y prevención de intrusiones. Simplicidad: Utilice un dispositivo diseñado para ser fácil de instalar, gestionar y supervisar. Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los trabajadores remotos y móviles un acceso seguro a los recursos de la compañía o establezca VPN entre partners, otras oficinas o empleados basadas en roles. Al mantener su red segura y protegida, los empleados podrán acceder siempre a ella desde su ubicación. Los Dispositivos de Seguridad Adaptativos de la ASA Serie 5500 de Cisco son su primera y mejor línea de defensa. Caracteristicas: Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia gama de características y posibles ventajas, entre las que se incluyen: Caracterísiticas de seguridad galardonadas Soporte para dos VPN para comunicación entre oficinas o partners, con expansión de hasta 25 (ASA 5505) o 750 (ASA 5520) empleados Soporte para cualquier tipo de red de área local desde 5 (ASA 5505) hasta 250 (ASA 5550) usuarios de red b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida que un equipo software (el Hardware esta optimizado para esas tareas), y además proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más modernos sistemas, gracias a las continuas actualizaciones On-Line. El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más Hatari Yazid SAD Página 51
destacado aparece en las distintas gamas de UTM (Unified Threat Management). Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un firewall, software antivirus, filtrado de contenidos y un filtro de spam en un solo paquete integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado, análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure Computing Corporation y Symantec. Las principales ventajas de la UTM son la sencillez, la instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad o programas simultáneamente. Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos. Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples programas de seguridad en el tiempo. Ejemplo: Hatari Yazid SAD Página 52
Dlink DFL-860 El firewall UTM DFL-860 ofrece una potente solución de seguridad para las oficinas de pequeño o medio tamaño, con hasta 150 usuarios, contra una amplia variedad de amenazas para la red en tiempo real. Al integrar un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos web (WCF) en un diseño industrial de tamaño de sobremesa, este dispositivo está dirigido a las empresas que buscan seguridad para la red a un precio competitivo. Gestión de amenazas unificada El DFL-860 integra un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el filtrado de contenidos/url web para una mejor protección con inspección de contenido de nivel 7. Está disponible un servicio opcional de subscripciones para mantener actualizadas en tiempo real cada una de estas defensas. Potente rendimiento de la red privada virtual El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 300 túneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y también puede manejar el tráfico que pasa a través de él. La autentificación de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a través de la base de datos interna del firewall, que admite hasta 500 cuentas. Regulación de tráfico y compartición de carga El DFL-860 proporciona tecnología de regulación de tráfico avanzada, lo que permite a los administradores priorizar y diferenciar el tráfico de la red y Hatari Yazid SAD Página 53
establecer límites de ancho de banda. Dos interfaces WAN aportan redundancia y equilibrio de carga saliente. * Además, el DFL-860 soporta SLB (Server Load Balancing), que permite compartir las peticiones del servicio de red entre varios servidores, con lo que mejora el rendimiento y la escalabilidad de la aplicación. *Funcionalidad disponible en próxima actualización del firmware. Hardware - 7 puertos switch Ethernet 10/100Base-TX integrados. - 2 puertos WAN 10/100Base-TX para la conexión de módem DSL o de cable. - 1 puerto DMZ. - Puerto consola (RS-232). Rendimiento - Rendimiento: 150 Mbps (firewall), 60 Mbps (3DES/AES VPN). - Hasta 25.000 sesiones simultáneas. Firewall - Protección DoS/DDoS - Filtros de contenido (bloqueo de palabra clave en URL, bloqueo Java/ActiveX/Cookie/VB, bloqueo IM/P2P). - Modo PPPoE, NAT, PAT y transparente. - ALG (Application Layer Gateway). - Mecanismo ZoneDefense (seguridad de red proactiva). Enrutamiento - Enrutamiento basado en políticas (PBR). - Enrutamiento estático. - Enrutamiento dinámico OSPF. Gestión de amenazas unificada - Sistema de prevención de intrusos (IPS). Gestión de ancho de banda - Políticas basada en regulación del tráfico. - Ancho de banda garantizado, ancho de banda máximo, prioridad de ancho de banda. - Equilibrio de carga del servidor (SLB). - Equilibrio de carga saliente.1 1 Funcionalidad disponible en próxima actualización del firmware. Hatari Yazid SAD Página 54
Tolerancia a fallos - Caída de enlace WAN. Registro y gestión - Sistema de monitorización y aviso y registro de eventos, en tiempo real. - Configuración basada en web (http/https/ssh), interfaz de línea de comandos. - SNMP v1, v2c. Práctica 4_6c ASA utilizando CLI Se va a utilizar este escenario para utilizar el cortafuegos ASA. Entramos en el ASA. (El modo enable no tiene contraseña) Hatari Yazid SAD Página 55
Se ve la memoria flash. Hatari Yazid SAD Página 56
Se ve el running-config. Hatari Yazid SAD Página 57
Se borra el startup y se reinicia. Se ven los parámetros por defecto. Hatari Yazid SAD Página 58
Hatari Yazid SAD Página 59
Y tras ello se configura el ASA. La contraseña es cisco sin comillas y se guarda la configuración. Hatari Yazid SAD Página 60
Se cnfigura el ASA mediante CLI. Se ve la interfaz e0/0 Se le añaden las VLAN. Se ven las interfaces. Hatari Yazid SAD Página 61
Se conecta con el cliente y se observan las VLAN. Se prueba el telnet y el ping a las interfaces del ASA, no funcionan ya que no está habilitada la conexión Telnet ni el acceso. Ahora se realiza el Telnte desde el equipo A. Hatari Yazid SAD Página 62
La conexión no se realiza. Se realiza un ping desde el equipo C con el mismo resultado. Se activa telnet en el dispositivo ASA. Hatari Yazid SAD Página 63
Se prueba telnet en el PC_B con buen resultado. Se configura ASDM. Tras ello se comprueba en el cliente PC B en el navegador mediante el protocolo https. Hatari Yazid SAD Página 64
Si se visita el sitio web se puede acceder a ASDM, pero se habilitará y configurará en la siguiente práctica del ASA. Se realiza ping desde el ASA a los dos equipos. Hatari Yazid SAD Página 65
Se configura el enrutamiento y se realiza el ping de nuevo. Como la versión es anterior a la versión 8.3, el comando no entra en el ASA. Se configura el MPF. Primero se observa el running. Hatari Yazid SAD Página 66
Se configura DHCP. Se ve el running buscando dhcp. Se genera una clave RSA. Hatari Yazid SAD Página 67
Se habilita SSH. Se realiza una conexión SSH desde PC C al ASA (se observa el crptograma RSA configurado previamente). Hatari Yazid SAD Página 68
Hatari Yazid SAD Página 69
Configuracion NAT DMZ No entra el comando por la versión. (objetnetwork no modifica adecuandamente el ASA). Hatari Yazid SAD Página 70
Hatari Yazid SAD Página 71