Pf Sense
-
Upload
jose-emilio-satornicio-chambergo -
Category
Documents
-
view
18 -
download
2
Transcript of Pf Sense
![Page 1: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/1.jpg)
DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA
UNA EMPRESA USANDO LA HERRAMIENTA PFSENSE
PABLO BARRERA 0152793
YANETH CHAPETA 0152714
MATERIA SEGURIDAD INFORMATICA
DOCENTE: JEAN POLO CEQUEDA
FACULTAD DE INGENIERA DE SISTEMAS
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
2013
![Page 2: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/2.jpg)
PFSENSE
PfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo principal es tener un Firewall fácil de configurar, a través de un interfaz amigable con el usuario y que se pudiera instalar en cualquier PC, incluyendo PCS de una sola tarjeta.
Se trata de una solución muy completa, que esta licenciada bajo BSD lo que significa que es de libre distribución.
OpenBsd considerado el sistema operativo más seguro del mundo tiene presente packet filter (PF) (filtro de paquetes sistema de OpenBsd para filtrar el trafico tcp/ip proporciona además control de ancho de banda y priorización de paquetes.) como estándar desde noviembre de 2004.
La descarga del software de la pagina oficial http://www.pfsense.org/
Se descargo la versión pfSense-LiveCD-2.0.2-RELEASE-i386-20121207-
1630.iso
Lo primero que se hace es crear la maquina en virtualbox, se configura la memoria
,el archivo para el inicio , las tarjetas de red obteniéndose la imagen:
![Page 3: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/3.jpg)
se configuran la interfaces. Se decide cual tarjeta se usara
se establece la wan y lan, se le colocan las respectiva ip.
![Page 4: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/4.jpg)
Terminado esto se procede a la instalación .
cuando se termina la instalación elimina el archivo usado (instalación del programa
) y se establece el disco de inicio, posteriormente cargo el explorador y en el
escribo la ip fijada para la lan. Cargara una imagen como la que se aprecia en la
cual se pide la clave admin y el password pfsense
nos sale posteriormente la interfaz para configurar
![Page 5: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/5.jpg)
antes de hacer configuraciones es optimo bajar los paquetes que se adecuen a las
necesidades.
Configuración del firewall
Bloquear facebook con firewall:
Ingresa a la configuración, poniendo en el
navegador la
dirección https://192.168.1.1 (si la has
cambiado sustituye la IP por la que
corresponda), y luego acepta la
advertencia de seguridad.
![Page 6: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/6.jpg)
el menú Firewall entra a RuleS
Presiona el botón para agregar una nueva regla, en la pagina ingresa estos
datos:
Action: Block
Protocol: TCP/UDP
Source: any (si quieres bloquear sólo ciertos host selecciona LAN Address o
Network, o sólo desbloquear tu equipo marcando el checkbox “Not” e
ingresando tu IP.
Destination: selecciona Network como type y en Address cada rango.
Hay que crear una regla por cada uno:
65.201.208.24/29
65.204.104.128/28
66.93.78.176/29
![Page 7: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/7.jpg)
66.92.180.48/28
67.200.105.48/30
69.63.176.0/20
69.171.224.0/19
74.119.76.0/22
204.15.20.0/22
66.220.144.0/20
173.252.64.0/18
66.199.37.136/29
Destination port: From: any To: any
Description: nombre para identificar la regla.
Esto se hace con cada regla.
SERVICIOS
Bloqueo de sitios web anulando entradas de DNS
En la web de documentación de pfSense , te indican que para bloquear el
acceso a una web se puede hacer por distintos métodos:
1. Usando DNS
2. Usando reglas del Firewall
3. Usando el proxy con filtro de contenido Squidguard
![Page 8: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/8.jpg)
4. Previniendo saltarse el bloqueo por proxy “Prevent Bypassing of Blocking”:
con servicios como OpenDNS
1: Usando DNS.
Para ello debes tener activo el servicio DNS Forward en pfSense
El servicio DNS Forward hace las funciones de proxy cache para las consultas
y resoluciones DNS, por lo que en tus clientes de la LAN deben de apuntar
como único servidor de DNS la ip LAN del firewall pfSense
Y por supuesto debes tener configurado uno o dos servidores DNS en tu pfSense.
Para bloquear la web www.google.com:
En la gui de administración de pfSense > Services > DNS Forward
Añades un registro al final (Domain – IP ) que haga que www.google.com apunte
a una ip no valida (como por ejemplo 169.254.x.x o 127.0.0.1 o 127.4.5.6)
![Page 9: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/9.jpg)
Se guardan y aplican cambios .
![Page 10: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/10.jpg)
Para las pruebas comprobamos si se resuelve www.google.com desde un host de
la LAN, por ejemplo desde un
win, haciendo un nslookup a
www.google.com
Esta tecnica se podria usar en un windows añadiendo entradas incorrectas en el
fichero:
%SystemRoot%\System32\drivers\etc\hosts
Por defecto un windows resuelve un dominio o nombre de hosts consultando antes
este fichero que haciendo una consulta al servidor dns.
Y de hecho los “bad boys” usan esta sencilla técnica de modificar el
fichero hosts para hacer un spoofing de dns y redirigir el trafico del pc de la
victima desde una web aparentemente legitima a una falsa.
reglas de filtrado de capa de aplicación o capa 7
pfSense identifica tráfico de capa 7 (capa de aplicación) del modelo OSI.
En lugar de determinar el filtrado basándose en el puerto de origen y destino, se
identifica un “stream” (flujo de datos) basándose en su contenido (también
llamado inspección profunda de paquete – deep packet inspection).
Este método trabaja observando el contenido de los paquetes y no solo
los encabezados (headers)
Si alguien instalara un cliente/servidor VNC no usaría el tcp5800/5900, con lo que
mediante una regla de filtrado a esos puertos no bastaría para impedir el uso de
un reverse VNC vía tcp80,tcp443.
Y es aquí donde entran en juego las capacidades de deep packet inspection de
pfSense.
![Page 11: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/11.jpg)
Vamos al
menú Firewall Traffic Shaper Layer 7 >Create new l7 rules group (Crer un
grupo de reglas de capa 7).
Habilitamos Layer 7 Container, le damos un nombre y descripción y añadimos
las reglas, en definitiva los protocolos que deseamos bloquear, en este
ejemplo: vnc, ares, bittorrent, ciscovpn y citrix .Con la acción block.
Salvamos (save) y aplicamos cambios.
Ahora creamos una regla del firewall ( menú Firewall > Rules ) para un interfaz
determinado (Wan, lan, DMZ, ).
![Page 12: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/12.jpg)
Donde se define si se permite (pass) o se deniega, el origen ( ip o red – rango de
puertos) y el destino (ip o red – rango de puertos) y si se activa el log. Más abajo
podemos definir el OS (sistema operativo) de origen del paquete a filtrar que está
permitido.
![Page 13: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/13.jpg)
También se puede definir el mecanismo de seguimiento de estado del flujo de
datos, normalmente keep-state (para una regla a ciertos proxies
conviene synproxy-state).
Y entre otras opciones, al final aparece el apartado Layer 7 (capa 7), donde
decidimos si a esta regla le aplicamos el deep packet inspection según el grupo
de reglas de capa 7 que elijamos, previamente ya definido (en este ejmplo el
grupo de capa 7: My7Rules, anteriormente creado).
SquitGuard: firewall con posibilidad de
filtrar paginas
Primero hay que instalar el paquete
La instalación dura unos minutos,
![Page 14: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/14.jpg)
Luego damos click en la pestana serviciosProxy filter
Habilitar el servicio y logs
![Page 15: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/15.jpg)
Damos click en la
opción download
En common
ACL definimos
reglas dándole
click al botón
verde
En forma de
play.
Habilitamos las reglas de la siguiente forma:
Whitelist permite siempre
Deny bloquea
Allow permite siempre y cuando no este bloqueada por otra regla
![Page 16: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/16.jpg)
Siempre que hagamos un cambio, debemos regresar a la pestaña General settings y darle click al botón Apply para que tome el cambio.
Activamos las ips que queremos no sean filtradas en el DHCP server en la pestaña LAN, estas no pueden estar en el rango que se entrega.
![Page 17: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/17.jpg)
![Page 18: Pf Sense](https://reader035.fdocuments.es/reader035/viewer/2022062320/55cf9a06550346d033a02769/html5/thumbnails/18.jpg)
Aca observamos como funciona el squidGuard