DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA

UNA EMPRESA USANDO LA HERRAMIENTA PFSENSE

PABLO BARRERA 0152793

YANETH CHAPETA 0152714

MATERIA SEGURIDAD INFORMATICA

DOCENTE: JEAN POLO CEQUEDA

FACULTAD DE INGENIERA DE SISTEMAS

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

2013

PFSENSE

PfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo principal es tener un Firewall fácil de configurar, a través de un interfaz amigable con el usuario y que se pudiera instalar en cualquier PC, incluyendo PCS de una sola tarjeta.

Se trata de una solución muy completa, que esta licenciada bajo BSD lo que significa que es de libre distribución.

OpenBsd considerado el sistema operativo más seguro del mundo tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip proporciona además control de ancho de banda y priorización de paquetes.) como estándar desde noviembre de 2004.

La descarga del software de la pagina oficial http://www.pfsense.org/

Se descargo la versión pfSense-LiveCD-2.0.2-RELEASE-i386-20121207-

1630.iso

Lo primero que se hace es crear la maquina en virtualbox, se configura la memoria

,el archivo para el inicio , las tarjetas de red obteniéndose la imagen:

se configuran la interfaces. Se decide cual tarjeta se usara

se establece la wan y lan, se le colocan las respectiva ip.

Terminado esto se procede a la instalación .

cuando se termina la instalación elimina el archivo usado (instalación del programa

) y se establece el disco de inicio, posteriormente cargo el explorador y en el

escribo la ip fijada para la lan. Cargara una imagen como la que se aprecia en la

cual se pide la clave admin y el password pfsense

nos sale posteriormente la interfaz para configurar

antes de hacer configuraciones es optimo bajar los paquetes que se adecuen a las

necesidades.

Configuración del firewall

Bloquear facebook con firewall:

Ingresa a la configuración, poniendo en el

navegador la

dirección https://192.168.1.1 (si la has

cambiado sustituye la IP por la que

corresponda), y luego acepta la

advertencia de seguridad.

el menú Firewall entra a RuleS

Presiona el botón para agregar una nueva regla, en la pagina ingresa estos

datos:

Action: Block

Protocol: TCP/UDP

Source: any (si quieres bloquear sólo ciertos host selecciona LAN Address o

Network, o sólo desbloquear tu equipo marcando el checkbox “Not” e

ingresando tu IP.

Destination: selecciona Network como type y en Address cada rango.

Hay que crear una regla por cada uno:

65.201.208.24/29

65.204.104.128/28

66.93.78.176/29

66.92.180.48/28

67.200.105.48/30

69.63.176.0/20

69.171.224.0/19

74.119.76.0/22

204.15.20.0/22

66.220.144.0/20

173.252.64.0/18

66.199.37.136/29

Destination port: From: any To: any

Description: nombre para identificar la regla.

Esto se hace con cada regla.

SERVICIOS

Bloqueo de sitios web anulando entradas de DNS

En la web de documentación de pfSense , te indican que para bloquear el

acceso a una web se puede hacer por distintos métodos:

1. Usando DNS

2. Usando reglas del Firewall

3. Usando el proxy con filtro de contenido Squidguard

4. Previniendo saltarse el bloqueo por proxy “Prevent Bypassing of Blocking”:

con servicios como OpenDNS

1: Usando DNS.

Para ello debes tener activo el servicio DNS Forward en pfSense

El servicio DNS Forward hace las funciones de proxy cache para las consultas

y resoluciones DNS, por lo que en tus clientes de la LAN deben de apuntar

como único servidor de DNS la ip LAN del firewall pfSense

Y por supuesto debes tener configurado uno o dos servidores DNS en tu pfSense.

Para bloquear la web www.google.com:

En la gui de administración de pfSense > Services > DNS Forward

Añades un registro al final (Domain – IP ) que haga que www.google.com apunte

a una ip no valida (como por ejemplo 169.254.x.x o 127.0.0.1 o 127.4.5.6)

Se guardan y aplican cambios .

Para las pruebas comprobamos si se resuelve www.google.com desde un host de

la LAN, por ejemplo desde un

win, haciendo un nslookup a

www.google.com

Esta tecnica se podria usar en un windows añadiendo entradas incorrectas en el

fichero:

%SystemRoot%\System32\drivers\etc\hosts

Por defecto un windows resuelve un dominio o nombre de hosts consultando antes

este fichero que haciendo una consulta al servidor dns.

Y de hecho los “bad boys” usan esta sencilla técnica de modificar el

fichero hosts para hacer un spoofing de dns y redirigir el trafico del pc de la

victima desde una web aparentemente legitima a una falsa.

reglas de filtrado de capa de aplicación o capa 7

pfSense identifica tráfico de capa 7 (capa de aplicación) del modelo OSI.

En lugar de determinar el filtrado basándose en el puerto de origen y destino, se

identifica un “stream” (flujo de datos) basándose en su contenido (también

llamado inspección profunda de paquete – deep packet inspection).

Este método trabaja observando el contenido de los paquetes y no solo

los encabezados (headers)

Si alguien instalara un cliente/servidor VNC no usaría el tcp5800/5900, con lo que

mediante una regla de filtrado a esos puertos no bastaría para impedir el uso de

un reverse VNC vía tcp80,tcp443.

Y es aquí donde entran en juego las capacidades de deep packet inspection de

pfSense.

Vamos al

menú Firewall Traffic Shaper Layer 7 >Create new l7 rules group (Crer un

grupo de reglas de capa 7).

Habilitamos Layer 7 Container, le damos un nombre y descripción y añadimos

las reglas, en definitiva los protocolos que deseamos bloquear, en este

ejemplo: vnc, ares, bittorrent, ciscovpn y citrix .Con la acción block.

Salvamos (save) y aplicamos cambios.

Ahora creamos una regla del firewall ( menú Firewall > Rules ) para un interfaz

determinado (Wan, lan, DMZ, ).

Donde se define si se permite (pass) o se deniega, el origen ( ip o red – rango de

puertos) y el destino (ip o red – rango de puertos) y si se activa el log. Más abajo

podemos definir el OS (sistema operativo) de origen del paquete a filtrar que está

permitido.

También se puede definir el mecanismo de seguimiento de estado del flujo de

datos, normalmente keep-state (para una regla a ciertos proxies

conviene synproxy-state).

Y entre otras opciones, al final aparece el apartado Layer 7 (capa 7), donde

decidimos si a esta regla le aplicamos el deep packet inspection según el grupo

de reglas de capa 7 que elijamos, previamente ya definido (en este ejmplo el

grupo de capa 7: My7Rules, anteriormente creado).

SquitGuard: firewall con posibilidad de

filtrar paginas

Primero hay que instalar el paquete

La instalación dura unos minutos,

Luego damos click en la pestana serviciosProxy filter

Habilitar el servicio y logs

Damos click en la

opción download

En common

ACL definimos

reglas dándole

click al botón

verde

En forma de

play.

Habilitamos las reglas de la siguiente forma:

Whitelist permite siempre

Deny bloquea

Allow permite siempre y cuando no este bloqueada por otra regla

Siempre que hagamos un cambio, debemos regresar a la pestaña General settings y darle click al botón Apply para que tome el cambio.

Activamos las ips que queremos no sean filtradas en el DHCP server en la pestaña LAN, estas no pueden estar en el rango que se entrega.

Aca observamos como funciona el squidGuard