lunes, 4 de junio de 2012

Monowall Firewall Configuracion y Administracion

Para nuestro firewall (monowall) lo crearemos en una maquina virtual con tres adaptadores de red, ya que es una simulacion.

debe haber un adaptardo para la LAN otro para la DMZ y otro para la WAN

Crearemos nuestros tres adaptadores para nuestro firewall monowall


Este adaptador sera red interna con el nombre LAN


El segundo adaptador sera el de nuestra red WAN lo ponemos en adaptador puente y con el nombre por defecto (dependiendo de nuestra conexión)



El tercer adaptador lo configuraremos en red interna con el nombre DMZ, una vez configurados nuestros adaptadores, seguimos con la instalacion del monowall.



En esta parte ponemos el nombre de nuestro disco, que nos parece después de darle la opción 7, y luego confirmamos con y


Ahora asignaremos las interfaces, le damos la opción 1, y si queremos configurar interfaces de VLAN le damos y, en este caso como no tenemos le damos n


luego de esto empezamos a ingresar el nombre de cada interfaz, que como podemos ver nos salió al principio después de darle la opción 1, agregamos una por una y confirmamos con y.


Ahora haremos un ping a internet, seleccionando la opción 6, ping 8.8.8.8, si es exitoso proseguimos, si no verificaremos nuestras conexiones, hasta que sea exitoso.



En este paso le daremos la opcion 2 para configurar un dhcp en la LAN, si queremos cambiamos la dirección de nuestro monowall o dejamos la que por defecto tiene poniendo 192.168.1.1.

 


Damos el rango que usaremos y listo

Desde un equipo en nuestra lan verifiquemos haciendo un ping a la interfaz LAN del monowall que por defecto es la 192.168.1.1, si es exitoso abrimos la interfaz web de mono wall poniendo esta dirección en nuestra barra de dirección.


Si nos pide login, el login por defecto es admin y la contraseña mono.

Configuración de interfaces


Si queremos cambiar la dirección de nuestra LAN nos dirigimos a interfaces y seleccionamos LAN, y la cambiamos, lo mismo para la WAN, y para la DMZ hacemos click en OPT1 (interfaz opcional) y la habilitamos, le cambiamos le nombre si queremos en Description, y agregamos una dirección ip para nuestra interfaz de la siguiente manera. 


 Aquí ya asignamos el nombre, la habilitamos y le asignamos una dirección ip la 192.168.2.1

 Configuración del NAT


Tenemos los servicios ftp y web en la DMZ para que sean accesibles para todos, y los de la LAN (ftp y web) son privados, y no podemos acceder a ellos desde ningún host fuera de la red, entonces para que los servicios de nuestra DMZ sean accesibles configuraremos las reglas del NAT de la siguiente manera.


TCP o el protocolo por el que corra nuestro servicio, en external port range el puerto externo, en NAT IP la direccion a la cual serán redireccionadas las peticiones en este caso la de la DMZ y en local port el puerto local y si queremos una descripción al final.

Crearemos otra regla igual pero esta vez para nuestro servicio WEB, solo cambiando los puertos a HTTP.


Y tendremos dos reglas en el NAT una para el FTP y otra para el WEB que permitiran el acceso a estos desde un host en la WAN.

Reglas del FireWall

Nuestros requerimientos para reglas del firewall son: en la LAN que salga a internet, tenga acceso a los servicios de la DMZ y que ninguno de sus servicios sean accesibles para un host fuera de la LAN.


Esto quiere decir que permita todo el paso hacia el puerto 80. (disculpen el recorte)


Asi quedaron nuestras reglas en la LAN

DMZ

Esta no debe tener acceso a los servicios de la LAN, debe salir a internet y hacer pin con cualquier host de la WAN.



Al habilitar la casilla not en el cuadro Destination le estamos diciendo que no tenga acceso a la LAN.

Así quedaron nuestras reglas en la DMZ, una que no permita el trafico hacia la LAN y otra que permita todo el trafico desde cualquier red al servicio WEB alojado en la DMZ.

WAN


En la WAN tenemos las reglas que permitan el trafico http desde la wan hacia cualquier destino menos la LAN, otra que permita el trafico ftp desde la WAN hacia la DMZ, y la ultima que permita toda peticion ICMP (ping).

Ahora verificaremos estas reglas desde una maquina en la LAN:


Como podemos ver tenemos acceso al FTP de la DMZ desde la WAN.



Tambien tenemos acceso al servidor WEB de la DMZ.


También tenemos acceso a los servicios privados de la LAN, pero solo desde esta.


Y tenemos acceso a internet.

Ahora desde la DMZ.


Como podemos ver no tenemos acceso a los servicios en la LAN.


Y tenemos acceso a internet.


Desde la WAN vemos que tenemos acceso a los servicios de la DMZ, mas no de la LAN.

Y esto evidentemente nos funcionaron las reglas y el NAT. 










viernes, 25 de mayo de 2012

Firewall


Esta entrada muestra como implementar ISA server 2006 como firewall, la primera parte de esta muetra de forma detallada la instalacion y la segunda parte su configuracion, con el fin de permitir que una maquina cliente en red interna tenga acceso a internet por medio de un DMZ.


FIREWALL

Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.



Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través de cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.




INSTALACIÓN

Requerimientos:
-Isa server 2006, red WAN (maquina virtual Windows server 2003)
-Red DMZ con: WEB, DNS, FTP (maquina de Centos Linux)
-Cliente en red interna, red LAN (Windows XP)
La maquina virtual de Windows server 2003, lleva 3 adaptadores de red que so los siguientes:

- Adaptador 1 INTERNET = adaptador puente
- Adaptador 2 LAN = red interna
- Adaptador 3 DMZ = red interna



Estos son los adaptadores ya en la maquina de server 2003


Estas son las direcciones de cada uno de los adaptadores que se debían habilitar en la maquina de Windows server 2003.


Este es el instalador para iniciar la ejecución de la aplicación isa server 2006


Damos clic en instalar isa server 2006



Esperar que cargue..


Este es el asistente de instalación de isa server 2006, damos clic en siguiente.


Esta es la licencia, para continuar con la instalación damos clic en la opción aceptar licencia, se pulsa siguiente.


Estos son los datos del cliente, estos aparecen por defecto, se pulsa siguiente.


Se da en la opción típica, se pulsa siguiente.


Se da clic en agregar.


Luego se da clic a la pestaña agregar adaptador


Seleccionamos el adaptador LAN, pulsamos aceptar.


Se escoge la dirección IP del adaptador, pulsamos aceptar.


Esta es la dirección IP de nuestro adaptador LAN, seria nuestra red interna, pulsamos siguiente.


Pulsamos siguiente.


Pulsamos siguiente nuevamente.


Pulsamos instalar.


Proceso de instalación..


Muestra el proceso de la instalación y los pasos que se deben seguir para llevar a cabo la finalización de esta.



El asistente de instalación ha terminado, pulsamos finalizar.


Damos clic en Salir.


Muestra ya en nuestra maquina virtual Windows server 2003, ya isa server instalado.


Esta es la herramienta para hacer la adecuada configuración de la topología.


Esta es la herramienta para medir el rendimiento del servidor ISA.


CONFIGURACION DE LA TOPOLOGIA

Ingresamos a configuración y en la opción redes allí nos muestra una topología, en el lado derecho le damos clic a la imagen que dice perímetro de 3 secciones.



Después de hacer lo anterior nos sale este asiste, el cual es para utilizar una red con la siguiente infraestructura: una red LAN, WAN y una zona de DMZ. Pulsamos siguiente.


Nos dice que es conveniente exportar la plantilla que tenemos pero en este caso le decimos que no, pulsamos clic en siguiente


Aparece la dirección de nuestro adaptador LAN, pulsamos siguiente.


Luego de nuevo nos da para escoger el adaptador, escogemos el DMZ, pulsamos aceptar.


Muestra la dirección del DMZ, pulsamos siguiente.


En esta seleccionamos la opción bloquear a todos, pulsamos siguiente.


Pulsamos finalizar en el asistente.


Pulsamos aplicar para guardar los cambios.

Así quedaría nuestra topología


En la parte de debajo ya se muestra que se ha agregado la red perimetral o DMZ, y también podemos ver que tenemos la WAN, LAN y Host local (ISA server).


Hay q crear unas reglas para lo siguiente:
1. Enrutar el ISA Server entre todas las redes.
2. Traducir direcciones desde la LAN y la DMZ hasta la WAN y la DMZ

3. Enrutar desde la DMZ hacia la WAN

4. Enmascarar la dirección de la LAN y la DMZ hacia la WAN.



Solo nos falta crear las reglas del NAT


Esta regla nos va a permitir enmascarar la dirección de la LAN con la DMZ.
Nos dirigimos a crear regla de red.


Le damos un nombre a la regla, pulsamos siguiente.


Se escoge el origen del tráfico, por lo tanto agregamos la interna, pulsamos siguiente.



Se agrega el destino del trafico que seria la perimetral (DMZ), pulsamos siguiente.


El tipo de regla ya sea NAT o el enrutamiento, pulsamos siguiente.


Esta es la finalización del asistente para regla nueva, se muestra como quedo nuestra regla y cuales fueron sus configuraciones, pulsamos finalizar


Continuamos creando una nueva regla que permita hacer consultas DNS desde la LAN hacia el DMZ para que se puedan resolver direcciones IP internas, también el DMZ debe realizar consultas desde el internet para aquellos que no tengan acceso y así la LAN pueda salir a internet.

Vamos a la ventana crear regla de acceso.



Este es el asistente para crear la regla de acceso, se pone el nombre, pulsamos siguiente.


Seleccionamos la opción permitir, pulsamos “siguiente.


Se escoge el protocolo en este caso es el DNS, agregar-protocolos comunes-agregar, pulsamos siguiente.


Ahora seleccionamos el destino es decir la WAN y DMZ, ingresamos a agregar-redes-externa y perimetral, pulsamos siguiente.


Se escogen todos los usuarios, pulsamos siguiente.


Muestra la finalización del asistente de la regla de acceso, con sus configuraciones necesarias, pulsamos finalizar.


De igual manera a lo anterior se pueden crear otras reglas como:
1. Acceso a escritorio remoto desde la WAN hacia la LAN.
2. Consultas DNS.
3. Acceso a paginas WEB tanto las propias en la LAN como las de internet desde la DMZ y la LAN.
4. Ping a la DMZ y la WAN desde la LAN.
5. Ingreso a mis páginas WEB en la DMZ desde internet.

Se deben hacer las siguientes pruebas:

Consultas DNS:


El ping


Acceso a internet desde el cliente


Luego debemos permitir que clientes en internet accedan desde la WAN por medio de una IP publica a mis servicios.


Creando las reglas NAT

En la parte derecha damos clic en la parte donde dice publicar un servidor que no es web.

Le definimos un nombre, pulsamos siguiente.


Se pone la dirección IP de nuestra zona DMZ, pulsamos siguiente.


Le damos en protocolo y pulsamos nuevo


Ponemos el nombre del protocolo en este caso seria web, pulsamos siguiente.


Damos clic en nuevo


Ponemos el tipo del protocolo (TCP), trafico (inbound), puerto (80), pulsamos aceptar.


Deshabilitamos las conexiones secundarias, pulsamos siguiente.


Y por ultimo pulsamos finalizar.


Por ultimo se define la interfaz por la que las personas se pueden conectar, como los clientes son externos se elegiría la WAN.

Estas son cada una de las reglas que se crearon para llevar a cabo nuestro firewall y permitirle por medio de un DMZ la salida a internet a una maquina cliente en red interna.