1

ACTIVIDAD No 1 SEGURIDAD PERIMETRAL

VANESA RODRIGUEZ PERCY JUAN DAVID TRUJILLO

CÉSAR AUGUSTO MORALES FICHA 600088

INSTRUCTOR: ALEXANDER AUGUSTO ALVAREZ

SENA

SERVICIO NACIONAL DE APRENDIZAJE GESTION REDES DE DATOS

MEDELLIN 2015

2

Contenido PROBLEMA A RESOLVER ...................................................................................................................... 3

TOPOLOGÍA PLANTEADA ..................................................................................................................... 4

............................................................................................................................................................. 4

INSTALACIÓN DE MIKROTIK ................................................................................................................ 6

CONFIGURACIÓN DE MIKROTIK ........................................................................................................ 15

FIREWALL: CONFIGURACIÓN DE REGLAS .......................................................................................... 22

SOLUCIONES FIREWALL PARA WINDOWS ......................................................................................... 35

COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA ................................................................. 37

CIBERGRAFÍA ..................................................................................................................................... 38

3

PROBLEMA A RESOLVER

Las actividades para desarrollar estas guías son: 1. Implementar un firewall común en un enrutador cisco 2. Implementar un firewall con DMZ en Linux/BSD/Solaris 3. Implementar un firewall con DMZ en Windows Server Actividad 1: Establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador debe permitir la salida de paquetes desde la LAN. Actividad 2 y 3: Definir 3 zonas en el firewall INTERNET, LAN y DMZ. Se asumirá que existen 3 servicios de red en la DMZ y 2 servicios privados en la LAN. Se deben establecer reglas de acceso que les permita a los usuarios de la LAN salir a INTERNET sin problemas, pero el tráfico que proviene de INTERNET debe ser filtrado adecuadamente para que solo los servicios en la DMZ sean accesibles. También debe recrear el escenario donde un intruso ha logrado penetrar un sistema de la DMZ, ¿qué reglas debería aplicar en el firewall para evitar que el intruso llegue hasta la LAN privada? ESTRATEGIAS Antes de comenzar prepare el escenario requerido para la práctica (hardware, software, manuales, etc.), recuerde segmentar cada una de las zonas de la prueba que quiere realizar. También tenga en cuenta el direccionamiento a usar para que su firewall pueda funcionar adecuadamente. Estrategias Actividad 1: En el caso del montaje del enrutador con funcionalidad de firewall, verifique que su router tenga una IOS que permita hacer filtrado con ACLs, además de esto recuerde que va a requerir por lo menos dos interfaces para trabajar, como recomendación puede usar un router que soporte dos interfaces de red Ethernet. Recuerde que puede usar un simulador como Packet Tracer antes de intentar configurar el router de forma real, esto le evitará muchos problemas. Estrategias Actividad 2 y 3: Para el trabajo con los firewalls en los sistemas operativos tenga en cuenta las siguientes recomendaciones: Intente primero configurar las interfaces de red y aplicar el NAT básico para que garantice que los paquetes pasan de un lado al otro de las interfaces sin problemas.

4

Una vez verifique que puede conectarse de un lado al otro, cree reglas de filtrado básicas entre dos interfaces (no intente con las 3 interfaces al tiempo), primero garantice que puede diferenciar y filtrar el tráfico entre 2 interfaces antes de intentar configurar las 3 tarjetas. El primer firewall que usted diseñe debe ser con la política PASS BY DEFAULT, esto significa que todo lo que no se defina explicita mente será permitido, este tipo de firewall es más permisivo pero le permite aprender los conceptos básicos sin tantas complicaciones. Una vez el firewall PASS BY DEFAULT este configurado y funcionando trate de adaptarlo para que funcione en modo DROP BY DEFAULT, en este modo el firewall no dejará pasar nada a través de sus interfaces que no esté explicita mente permitido. Recuerde que puede usar appliances de firewalls que son más fáciles de configurar puesto que tienen interfaces web sencillas para administrarlos, se recomienda usar estos appliances una vez se hayan adquirido los conceptos básicos de firewalls y se haya experimentado con la configuración de firewalls “a mano”. Actividad 1: Esta actividad se realizó en el aula de clases de forma física o real utilizando un dispositivo de CISCO.

TOPOLOGÍA PLANTEADA

172.16.1.0/24

Mikrotik Firewall

172.16.1.20

Windows 7 Pro

10.1.1.0/24

172.16.1.200

10.1.1.200

WAN 192.168.1.200

DMZ - Windows 7 Pro

192.168.1.120

192.168.1.0/24

Internet

5

Actividad 2: El primer paso fue seleccionar el software para realizar la actividad, que para este caso fue Mikrotik, de lo cual a continuación hacemos una pequeña descripción: Mikrotik ls Ltd. conocida internacionalmente como MikroTik, es una compañía letona proveedora de tecnología disruptiva de hardware y software para la creación de redes. Mikrotik RouterOS es un software que funciona como un sistema operativo para convertir un PC o una placa Mikrotik RouterBOARD en un router dedicado. Mikrotik RouterOS es un sistema operativo basado en el kernel de Linux 2.6 usado en el hardware de los Microtik RouterBOARD que es la división de hardware de la marca Mikrotik. Se caracteriza por poseer su propio S.O de fácil configuración. Estos dispositivos poseen la ventaja de tener una relación costo /beneficio muy alta. Configuración RouterOS soporta varios métodos de configuración como son: -Acceso local vía teclado y monitor -Consola serial con una terminal -Acceso vía Telnet y SSH vía una red -Una interfaz gráfica llamada WinBox -Una API para el desarrollo de aplicaciones propias para la configuración. -En caso de no contar con acceso local y existe un problema con las ----direcciones IP, RouterOS soporta una conexión basada en direcciones MAC usando las herramientas customizadas Mac-Telnet y herramientas de Winbox.

6

INSTALACIÓN DE MIKROTIK

Descargamos el software de la página oficial de MikroTik. http://www.mikrotik.com/download

Una vez realizada la descarga, procedemos a instalarlo en este caso en VMWare.

7

8

9

10

En esta ventana se nos pide que seleccionemos los servicios que deseamos

utilizar, cada servicio tiene una especificación y en muchos tutoriales de internet

podemos ver que función cumple cada uno, se seleccionan con la tecla de

direcciones y seleccionando el servicio deseado con la barra espaciadora.

Para iniciar la instalación presionamos la letra “i”

11

Ahora nos pregunta si queremos instalar los servicios seleccionados, presionamos

la letra “y” para aceptar y reconfirmamos nuevamente con la letra “y”

En esta ventana vemos como se realizan las particiones y el formateo del disco y

de igual forma se inicia la instalación de los servicios.

12

Para finalizar la instalación se nos pide reiniciar el sistema para lo cual

presionamos la tecla enter.

Después de reiniciar la máquina, veremos lo siguiente:

Se nos está pidiendo un login, este por defecto es admin, en contraseña la

dejamos vacía.

13

Una de las formas de administrar Mikrotik, es remotamente; para realizar esta tarea,

vamos a usar una herramienta llamada Win Box. Esta herramienta la podemos

descargar desde la página oficial de Mikrotik, así:

Accedemos a la página web, a través de esta dirección:

http://www.mikrotik.com/download.

14

15

Allí vamos a la sección Useful tools and utilities y seleccionamos la opción Winbox

version 3.0rc2 (Esta es la versión disponible hasta el momento, cuando se realizó

este tutorial), descargamos este archivo con extensión (.exe).

CONFIGURACIÓN DE MIKROTIK

1. Primero procederemos a configurar al menos una interfaz que nos servirá para

gestionar de manera gráfica el dispositivo, para este proceso ingresamos al

menú Ip/address/print. Desde la Shell de Mikrotik.

Este comando nos informará las direcciones que existen actualmente configuradas

con direccionamiento IP, como la interfaz ether 1 trae una dirección Ip por defecto,

la removemos mediante el comando “remove 0”.

Añadimos con el comando add address=IP/mask interface=interfaz la configuración.

16

2. En un PC cliente ejecutamos la aplicación Winbox, propietaria de mikrotik (descarga en la web oficial), en “Conect To” digitamos la dirección IP anteriormente configurada y los parámetros de usuario y contraseña. Luego damos clic en el botón connect.

Esta es la pantalla principal de WinBox, en ella vemos lo siguiente:

Connect To: En esta línea se coloca la dirección IP del dispositivo al cual

queremos conectarnos.

Login: Nombre de usuario para administrar

Password: Contraseña

Las opciones Keep Password y Secure Mode, la primera opción nos indica si

queremos guardar nuestro password y la segunda permite entrar en modo seguro

a la configuración del Mikrotik, esta opción activa la capa SSL en el modo de

transporte.

La parte de Note, es para colocar un comentario en donde yo deseo conectarme.

17

WinBox hace un barrido por Broadcast, esto permite verificar cuáles son todos los

equipos Mikrotik que tengo en mi red. Debo dar clic en la opción Connect.

¿QUÉ ES WIN BOX?

WinBox es una simple herramienta de servidor que permite conectarte a otro cliente. Incluye una sofisticada tecnología para realizar estas conexiones basada en el sistema operativo RouterOS. Este software permite a sus usuarios realizar conexiones vía FTP, telnet y SSH. Incluye también una API que permite crear aplicaciones personalizadas para monitorizar y administrar.

18

3. Ahora vamos a dar clic en el menú IP, Address, esto con el fin de configurar las direcciones IP de las demás interfaces.

19

4. Presionamos clic en el símbolo de + y digitamos la IP y la interfaz a la cual será

configurada esta dirección, clic en OK.

5. Nos dirigimos al menú IP / Route para agregar la puerta de enlace.

20

6. Damos clic en el símbolo + y donde dice “Gateway” digitamos nuestra puerta de

enlace, presionamos clic en OK.

7. Mediante el menú “Tools” / “Ping” podremos validar la conectividad con internet.

21

8. En el menú IP / DNS abrimos la configuración de nuestro DNS, en “Servers” agregamos la IP del mismo y damos clic en OK.

9. Desde el menú Interfaces podemos renombrar las mismas, dando clic en Name, asignando el nombre y dar clic en OK.

22

FIREWALL: CONFIGURACIÓN DE REGLAS

Desde el menú IP / Firewall / pestaña Filter rules agregamos 3 reglas (Pues para acceder de la LAN a la DMZ es necesario priorizar dos reglas antes de restringir lo demás).

10. Regla para responder el eco del DMZ para PING. (Esta regla permite comprobar el estado de la comunicación del host, del DMZ con uno o varios equipos remotos de una red a IP por medio del envío de paquetes ICMP de solicitud y de respuesta. Que este host responda a los ping.

23

Protocolo de Mensajes de Control y Error de Internet, ICMP, es de características similares a UDP, pero con un formato mucho más simple, y su utilidad no está en el transporte de datos de usuario, sino en controlar si un paquete no puede alcanzar su destino, si su vida ha expirado, si el encabezamiento lleva un valor no permitido, si es un paquete de eco o respuesta, etc. Se debe elegir ICMP en protocol, para verificar la conectividad de la red en el DMZ.

24

25

11. Aceptar los paquetes ACK.

26

12. Bloquear el tráfico que no esté permitido con las reglas anteriores.

27

Esta regla permite bloquear el tráfico desde el DMZ hacia la LAN.

28

Menú IP /Firewall / pestaña NAT

12. Agregamos un nateo de destino para que al preguntarnos por la IP pública, re

direccione todo el tráfico al DMZ, en el ejemplo solo por el puerto 80.

Chain: dst-nat

Dst-Address: 10.1.1.200 (IP pública de Mikrotik).

Protocol: tcp

Dst-Port: 80 (Puerto destino por el que se va a consultar o ingresar al servicio,

del DMZ).

29

Action: dst-nat

To Address: 192.168.1.120 (Dirección IP del equipo, de la zona del DMZ).

To Ports: 0 -65535

30

13. Salida a internet desde la red LAN

Con esta regla, se configura que todo lo que salga por la interfaz de Internet, sea

enmascarado.

Chain: srcnat

Src Address: 172.16.1.0/24

Out. Interface: WAN

En Src Address, se puede especificar una dirección IP específica o con el ID de red.

Out. Interface: Cuál será la interfaz de salida para el Internet.

Action: Masquerade

31

Pruebas

P1. Prueba del acceso a DMZ.

Para probar el acceso al DMZ, desde el equipo de la red LAN, se ingresa por un

navegador de Internet, digitando la IP pública de nuestro Firewall Mikrotik.

Previamente en la máquina del DMZ, se activa el IIS(Internet Information Services),

este es el servicio Web, el cual será el que accedamos desde Internet.

Para activarlo en la máquina del DMZ, la cual tiene Windows 7 Pro; seguimos los

siguientes pasos: Panel de control - Programas y características – Activar o

desactivar las características de Windows - Allí buscamos la opción Internet

Information Services.

32

Ingresamos por el navegador de Internet, digitamos la IP pública del Mikrotik y

nos re direcciona al IIS, lo que indica que desde Internet, podemos acceder a un

servicio del DMZ.

33

P2. Configuración IP, no accede el PC a internet, No accede a la LAN.

Ping a la dirección 172.16.1.20, esta dirección es la de nuestro equipo en la red LAN, el ping

nos indica que no hay conectividad desde el DMZ, hasta la red LAN.

Se cumple el requerimiento: Desde el DMZ, no se tenga acceso a la LAN.

34

P3. Configuración IP, accede el pc a internet, accede a DMZ.

Ping al 192.168.1.120, esta es la dirección del equipo, que se encuentra en la

red del DMZ. Hay conectividad desde nuestra LAN hacia el DMZ. Ya que se

obtiene respuesta desde este equipo.

35

SOLUCIONES FIREWALL PARA WINDOWS

FIREWALL VENTAJAS DESVENTAJAS

SOPHOS UTM

Velocidad: Utiliza tecnología multinúcleo de Intel, unidades de

estado sólido, y escaneado de contenido en memoria acelerado.

Potente rápido. Registros e informes: Permite

informes detallados, Gráficos de flujo de vista rápida muestran las

tendencias de uso y la actividad web Nuestro informe ejecutivo de resumen diario le mantiene

informado La posibilidad de anonimato de los

informes permite mantener Protección todo en uno: Ofrece lo

último en protección mediante next-gen firewall con características que no

se pueden conseguir en ningún otro sitio - incluido cifrado móvil, web, de

estaciones de trabajo, de correo electrónico y DLP. Sin hardware

adicional. Sin costes adicionales. Solo tiene que escoger lo que quiere

implantar.

1) Los usuarios están buscando mejoras en el

nivel de detalle de la información de SOPHOS

Dell Sonic WALL

Bloquea las amenazas en la puerta de enlace: Los cortafuegos SonicWALL examinan todo el tráfico entrante y

saliente para evitar intrusiones, virus, spyware y cualquier otro tipo de

tráfico malintencionado que comprometa la seguridad de la red.

Asegura y controle el acceso remoto: Los cortafuegos SonicWALL ofrecen

SSL VPN y IPSec VPN, que extienden la prevención de intrusiones y la

protección contra malware a los

1) SonicWALL no ofrece un dispositivo virtual por el espacio UTM.

36

empleados móviles y las sucursales, de una forma muy sencilla de administrar Sanea el tráfico

inalámbrico: SonicOS incluye un controlador inalámbrico seguro

integrado. Junto con los puntos de acceso inalámbricos seguros de Dell

SonicWALL SonicPoint, este controlador permite implementar

redes de 802.11 a/b/g/n sin problemas, protegidas con la tecnología SonicWALL Clean

Wireless™ y SonicWALL Application Intelligence and Control.

WatchGuard

Seguridad: La inspección de contenido en capa de aplicación reconoce y

bloquea las amenazas que los firewalls de paquetes stateful no

pueden detectar. La protección de proxy de amplio rango brinda una

seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP.

Rápidez y eficiencia: La alta disponibilidad activa/activa con balanceo de carga garantiza un

máximo tiempo de funcionamiento de la red.

Escalable: Añada poderosas suscripciones de

seguridad para bloquear spam, controlar la navegación

peligrosa e inapropiada y el uso de aplicaciones peligrosas e

inapropiadas, prevenir las intrusiones a

la red y detener en la puerta de enlace la entrada de virus, spyware y

otro malware.

1) Los usuarios citan deficiencias en la presentación de

informes de rendimiento y funcionalidad.

2) Apoyo MSSP para dispositivos

WatchGuard está limitada en

comparación con los principales

competidores.

37

COMENTARIO - PELÍCULA APRENDICES FUERA DE LÍNEA

Esta película enseña que en la vida, no hay que permitir que otras personas o

circunstancias se conviertan en obstáculos, que a la larga frustren nuestros sueños

y metas. Se debe tener claro cuál es el objetivo que se persigue y luchar por ello;

no importando la oposición o barreras que encontremos en el camino.

Además nos muestra que para cumplir esas metas o sueños, se hace necesario

trabajar en equipo, esta es una de las tareas de la vida diaria, que en muchos casos

nos garantiza el éxito.

La edad tampoco debe ser excusa, para dejar de aprender o para dejar de intentar

las cosas, siempre se tiene la oportunidad de aprender nuevos conocimientos y

trabajar por grandes metas.

38

CIBERGRAFÍA

http://mundoderinux.blogspot.com/2013/07/comparaciones-de-los-mejores-utm-del.html http://www.xnetworks.es/promos/Sophos/Flashnews_ENE/sophos-UTM-six-tips-wpes.pdf https://www.incibe.es/extfrontinteco/img/File/demostrador/catalogo_stic_2010.pdf http://latam.kaspersky.com/sites/default/files/knowledge-center/practical%20business%20endpoint%20security_0.pdf http://www.sonicwall.com/es/es/products/Network-Security.html http://www.watchguard.com/es/wgrd-international/products/ngfw/overview http://www.sophos.com/es-es/products/unified-threat-management/how-to-buy.aspx#start http://winbox.waxoo.com/ http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html