Firewall - ws2003learning.webcindario.com€¦ · Firewall Un firewall es un dispositivo que...

Rocío Alt. Abreu Ortiz 2009-3393

Firewall Un firewall es un dispositivo que funciona como cortafuegos

entre redes, permitiendo o denegando las transmisiones de una

red a la otra. Un uso típico es situarlo entre una red local y la

red Internet, como dispositivo de seguridad para evitar que los

intrusos puedan acceder a información confidencial.

Para permitir o denegar una comunicación el firewall examina

el tipo de servicio al que corresponde, como pueden ser el web,

el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no.

Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de

su dirección puede permitirla o no.

Firestarter es uno de los cortafuegos más sencillos de utilizar y

configurar que podemos encontrar para GNU/Linux. Es una muy

buena opción para tener de forma rápida y cómoda un

cortafuegos que satisfacerá la mayoría de nuestras necesidades.

Firestarter es una herramienta de cortafuegos personal libre y de

código abierto que usa el sistema (iptables/ipchains) Netfilter

incluido en el núcleo Linux. Firestarter posee una interfaz gráfica para configurar reglas

de cortafuegos y otras opciones. También monitoriza en tiempo real todo el tráfico de

red del sistema, además de facilitar el redireccionamiento de puertos, compartir la

conexión a internet y el servicio DHCP.

Firestarter está licenciado bajo la GNU General Public License.

Ahora vamos a inicial con la instalación en nuestro sistema operativo Debian

GNU/Linux.

1- Haz click en Aplicaciones – Accesorios – Terminal. Desde aquí instalaremos el

programa Firestarter.

Firewall

Rocío Alt. Abreu O. 2009-3393

2- Para instalar Firestarter utilizamos el comando apt-get install firestarter.

3- Una vez instalado tenemos que encenderlo y para eso solo tenemos que escribir

firestarter.

Si la instalación ha sido correcta, verás aparecer el asistente para la configuración del

firewall.

Firewall


4- El firewall automáticamente detecta las interfaces disponibles en tu servidor, y en la

siguiente ventana debes elegir la interfaz que tiene acceso a internet, y elegir las

dos opciones que están disponibles. Luego haz click en Adelante.

5- Activa la opción compartir su conexión a internet con las computadoras de su red

local usando una sola dirección IP pública y un método llamado Traducción de

direcciones de red (NAT). Aquí también debes de especificar la interfaz de red que

no puede ser la misma que especificamos anteriormente, lo que quiere decir que

tienes que tener dos interfaces de red para poder activar esta opción.

6- Por último, deja intacta la opción que dice: “Iniciar el cortafuegos ahora”, y haz click

en Guardar.

Firewall


7- Inmediatamente te aparecerá en pantalla el panel del firewall Firestarter. Cuenta con

tres pestana: Estado, el cual muestra el “estado” del cortafuegos.

La pestana Eventos, Muestra las

conexiones que el cortafuegos ha

rechazado.

Firewall


Normativa: Muestra las reglas que hemos definido para configurar el cortafuegos.

8- Haz click en Editar y luego en Preferencias. Vamos a revisar algunas

configuraciones que trae nuestro firewall.

9- En la parte de Eventos, puedes especificar cuál o cuáles hosts ó puertos serán

obviados del registro que hará el cortafuegos en la red. Haz click en Añadir para

agregar y en Quitar para eliminar de la lista.

Puerto HTTP.

Firewall


10- Otras de las características que trae este firewall es Filtrado de ICMP. Podemos solo

permitir solitud y respuesta.

11- También puedes priorizar el tráfico de la red, una característica útil en caso de que

estemos trabajando con VoIP.

En opciones avanzadas podemos bloquear broadcast tanto internos como externos.

Firewall


Ejemplos reales.

Bloquear y permitir equipo.

De manera predeterminada Firestarter viene con el tráfico entrante bloqueado. Veamos.

1- Tenemos nuestro cliente Windows, que pertenece a la red del servidor (su ip es

192.168.1.23).

2- Si revisas la pestaña Eventos del firewall, verás todas las peticiones que este cliente

ha solicitado.

Firewall


3- Para permitir que este equipo tenga acceso a la red, colócate en la pestaña

Normativa (Policy), selecciona Normativa para el tráfico entrante y en la sección

“Permitir las conexiones desde el host”.

En el recuadro que aparece especifica la dirección IP del equipo y haz click en

Añadir.

4- Para que la normativa tenga efecto, haz click en Aplicar (La flecha verde).

Firewall


5- Tras haber agregado el Cliente Windows a las normativas del Firewall, iremos al

cliente y haremos un refresh a la página para comprobar que ahora si podemos

acceder al servicio HTTP.

6- Para bloquear el tráfico de este equipo, solo tenemos que eliminarlo de la lista de

“Normativas para el tráfico entrantes”.

Firewall


Bloquear y permitir puertos.

En la parte anterior bloqueamos el equipo 192.168.1.23, este equipo está haciendo

peticiones a través de diversos puertos. Aquí vamos a permitirle solo acceso al puerto

139 que es el de Samba.

1- Primero veamos que este equipo no tiene acceso a este puerto.

Observa como indica que no puede encontrar la ruta.

3-En la pestana de Estado del panel de firewall, haz un click derecho encima de una de

las líneas con el puerto 139. Notarás que existen tres opciones para otorgar permisos:

Permitir todas las conexiones desde el origen: Habilita el acceso a todos los

puertos para la PC de origen.

Permitir tráfico de servicio entrante para todo el mundo: Habilita la conexión

para todos los dispositivos en la red.

2- Intentaré entrar a las carpetas compartidas

en el servidor. Para eso haz click en Inicio –

Ejecutar y escribe \\IP_del_servidor.

Firewall


Permitir servicio entrante para el origen: Solo habilita el puerto indicado para el

origen.

Nosotros elegiremos “Permitir servicio entrante para el origen”.

Observa como automáticamente se agrega en Normativa para el tráfico entrante, en la

sección de servicios y/o puertos.

Firewall


4- Intenta de nuevo acceder a las carpetas compartidas por medio de Ejecutar y

\\192.168.1.20 (dirección del servidor). Notarás que ahora si te permite acceder a

ellas.

Permitir puerto para todos (Everyone)

Como vimos anteriormente el cliente Windows tiene permiso para el puerto 139, pero

no para todos los demás. Si este intenta navegar por internet, no podrá, porque el

puerto 80 aún está bloqueado.

Firewall


1- En el panel del firewall, colócate en pestaña Normativa y en la sección Puerto, haz

un click derecho y elige Añadir reglas.

2- Lo primero que debes de seleccionar es el servicio HTTP, automáticamente se

asigna el puerto. Luego seleccionar a quienes se aplicarán esta política (Cualquiera,

en este caso) y luego haz click en Añadir. Por último, no olvides hacer click en

Aplicar.

1

2 3

Firewall


Como solo está permitido el servicio HTTP, para acceder a las páginas web tendrás

que hacerlo por medio de la dirección IP, ya que el servicio DNS no esta permitido.

Red

Para permitir o bloquear red el procedimiento es el mismo que hicimos con los equipos.

1- Dirígete a Normativa, y en la sección de “Permitir las conexiones desde el host”

2- Especifica la red con su máscara y haz

click en Añadir. El comentario es opcional.

Firewall


Luego, haz click en Aplicar.

Vamos a comprobar que tenemos acceso a todos los servicios. Entraré al servidor ftp

(puerto 21) del servidor y entraré una página para probar que tenemos los puertos 80 y

53 disponibles.

Firewall


NAT

1- Necesitamos tener dos tarjetas de red, una para la red local (interna) y otra que

tendrá el acceso hacia el exterior. Como estoy trabajando en una máquina virtual, la

he configurado rápidamente. Si estás en una PC física necesitará instalar otra tarjeta.

Para agregar una tarjeta de red en una máquina virtual necesitas que este apagada.

Selecciona la maquina virtual y haz click en Configuración.

Selecciona Red. Luego haz click en Adaptador 2 y

por ultimo selecciona la casilla “Habilitar adaptador

de red”.

Firewall


Una vez, la tarjeta está habilitada, selecciona en Conectado a: Red interna.

2- Ahora bien, las dos tarjetas deben tener una dirección IP diferente, como puedes

observar en la siguiente imagen:

3- Para especificar la interfaz de entrada para los paquetes que vengan de afuera,

utilizamos la siguiente línea: iptables –A FORWARD –i eth3 –j ACCEPT ; y para

indicar la interfaz de salida para los paquetes que van hacia afuera, utilizamos la

siguiente línea: iptables –A FORWARD –o eth3 –j ACCEPT. Luego se digita el

comando sysctl –w net.ipv4.ip_forward=2

Red local (interna).

Red externa.

PSD: La interfaz debe ser la que tiene el acceso a internet.

Firewall


4- Ahora tenemos que configurar el archivo sysctl.conf con el comando “nano

/etc/sysctl.conf”; ahí tenemos que descomenta (quitar el signo # que tiene delante)

la línea que dice: net.ipv4.ip_forward=1; luego guárdalo (CTRL +O) y cierra la

edición (CTRL +X)

5- Para verificar que tu cambio en el archivo sysctl.conf ha sido acogido, escribe el

comando sysctl –p /etc/sysctl.conf

6- Como ya vimos que el cambio se ha realizado, ahora tenemos que hacer que NAT

sea posible introduciendo iptables –t nat –A POSTROUTING –o eth2 –j

MASQUERADE; para ver la configuración realizada escribe iptables –L.

Firewall - ws2003learning.webcindario.com€¦ · Firewall Un firewall es un dispositivo que...

Documents

Transcript of Firewall - ws2003learning.webcindario.com€¦ · Firewall Un firewall es un dispositivo que...