2. 1. Investigar las ventajas y limitaciones de un
firewall, haciendo un cuadro comparativo
2. Cuáles son las políticas de un firewall en
cuanto a software y hardware
3. Verificar la manera en que un firewall
maneja los enlaces externos y verificar si hay
diferencia entre un firewall de hardware y uno
de software en este sentido.
4. Explica los pasos para la instalación,
configuración y administración de un firewall
con IPcop de Linux.
3. VENTAJAS DESVENTAJAS
Administran los accesos provenientes de Un firewall no puede protegerse contra
Internet hacia la red privada. Sin un firewall , aquellos ataques que se efectúen fuera de su
cada uno de los servidores propios del sistema punto de operación. Por ejemplo, si existe una
se exponen al ataque de otros servidores en el conexión PPP ( POINT-TO-POINT ) al Internet.
Internet. Por ello la seguridad en la red
privada depende de la "dureza" con que el
firewall cuente.
Administran los accesos provenientes de la El firewall no puede prohibir que se copien
red privada hacia el Internet . datos corporativos en disquetes o memorias
portátiles y que estas se substraigan del
edificio.
Permite al administrador de la red mantener El firewall de Internet no puede contar con un
fuera de la red privada a los usuarios no- sistema preciso de SCAN para cada tipo de
autorizados (tal, como, hackers , crakers y virus que se puedan presentar en los archivos
espías), prohibiendo potencialmente la que pasan a través de el, pues el firewall no es
entrada o salida de datos. un antivirus.
El firewall crea una bitácora en donde se El firewall no puede ofrecer protección alguna
registra el tráfico mas significativo que pasa a una vez que el agresor lo traspasa.
través el.
Concentra la seguridad Centraliza los accesos
4. Hay dos políticas básicas en la configuración de un firewall
que pueden ser implementados en hardware o software, o
una combinación de ambos los cuales cambian
radicalmente la filosofía fundamental de la seguridad en la
organización:
Política restrictiva: Se deniega todo el tráfico excepto el
que está explícitamente permitido. El cortafuegos obstruye
todo el tráfico y hay que habilitar expresamente el tráfico
de los servicios que se necesiten.
Política permisiva: Se permite todo el tráfico excepto el
que esté explícitamente denegado. Cada servicio
potencialmente peligroso necesitará ser aislado
básicamente caso por caso, mientras que el resto del
tráfico no será filtrado.
5. Un solo firewall tiene tres áreas, una para la red
externa, una para la red interna y otra para la DMZ.
Desde la red externa se envía todo el tráfico al
firewall. A continuación, se requiere el firewall para
supervisar el tráfico y determinar qué tráfico debe
pasar a la DMZ, qué tráfico debe pasar internamente y
qué tráfico debe denegarse por completo.
6. Analizan el tráfico de la red fundamentalmente en la capa 3,
teniendo en cuenta a veces algunas características del tráfico
generado en las capas 2 y/o 4 y algunas características físicas propias
de la capa 1. Los elementos de decisión con que cuentan a la hora de
decidir si un paquete es válido o no son los siguientes:
La dirección de origen desde donde, supuestamente, viene el
paquete (capa 3).
La dirección del host de destino del paquete (capa 3).
El protocolo específico que está siendo usado para la
comunicación, frecuentemente
Ethernet o IP aunque existen cortafuegos capaces de
desenvolverse con otros protocolos
como IPX, NetBios, etc (capas 2 y 3).
El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4).
Los puertos de origen y destino de la sesión (capa 4).
El interfaz físico del cortafuegos a través del que el paquete
llega y por el que habría que
darle salida (capa 1), en dispositivos con 3 o más interfaces de
red.
7. Un firewall de hardware es una pequeña caja de metal llena de
aberturas de enchufe, o puertos. Usted conectar su red de ordenadores
en el cuadro a continuación, instalar en su ordenador, como si se tratara
de una nueva impresora u otro periférico. Porque no es físicamente en
el equipo, un firewall de hardware es menos vulnerable que un firewall
de software.
Firewalls de software le dará el nivel de protección que necesita para
mantenerse a salvo de los hackers y otros intrusos no deseados porque el
software es mucho más fácil para los principiantes equipo de
personalizar. Las características son adecuadas para las redes
domésticas pequeñas.
8. Algunos paquetes de software líderes de firewall incluyen
antispam, antivirus, incluso anti-popup software anuncios.
Algunos servidores de seguridad de software incluyen controles
de los padres para administrar los tipos de sitios Web que sus
hijos visitan. Algunos paquetes le permiten bloquear las fotos y
contenidos de texto específico que usted no quiere que sus hijos
vean.
Firewalls de hardware son los más adecuados para las empresas y
redes de gran tamaño. Los profesionales de TI a menudo tienen
firewalls de hardware en sus hogares. Sin embargo, para el
consumidor medio, los firewalls de software son los más
adecuados para el uso casero.
9. IPCop es uno de los mejores cortafuegos basados en
Linux, nos permite gestionar el acceso a Internet,
controlar de acceso a páginas mediante un filtrado
URL, con lo que podemos evitar que nuestros usuarios
ingresen a determinados sitios web (sexo, violencia,
etc.)
Los requerimientos de hardware mínimos para una
instalación de IPCop son: un procesador 386, 32MB en
RAM y 300MB en disco duro, claro que dependiendo de
los servicios que brindemos deberemos aumentar la
memoria RAM y el espacio en el disco duro, al menos
dos tarjetas de red, una servirá para conectarnos a
internet y la otra para conectar nuestra red interna.
10. Instalación de IPCop
Primero descargaremos el instalador que viene en un
formato de imagen ISO del link:
http://www.ipcop.org/download.php
el cual copiaremos a un CD con el software preferido.
*Adicionalmente al final de este tutorial esta un link
del que pueden descargar todo lo necesario para
implementar este software (instalador, actualización,
addons, herramientas de configuración)
Iniciamos el ordenador desde el CD
El instalador nos advierte que borrara todas las
particiones que se encuentren en el disco duro,
tomadas las previsiones presionamos ENTER para
empezar
12. Luego nos aparecerá esta pantalla la cual debemos
tomar muy en cuenta, ya que si damos en cancelar en
cualquiera de las pantallas siguientes el equipo se
reiniciara sin importar nada, por ejemplo que no
tenga contraseña, por lo que no podremos acceder y
tendremos reinstalar el software.
13. Seleccionamos el medio:
• Seguidamente el programa particionara y formateara el disco duro
14. En caso de tener un backup de la configuración de nuestro
IPCop será aquí donde lo utilizaremos, pero por ahora
como aun no la tenemos elegiremos Saltar
15. Primero configuraremos la tarjeta de red que nos servirá como interfaz
de red de nuestra red de área local, zona VERDE, aquí conectaremos los
equipos que necesiten mayor protección como estaciones de trabajo o
servidores con acceso restringido a internet, elegimos la opción Prueba
e IPCop buscara una tarjeta de red.
16. En este caso detecto una tarjeta AMD la que
configuraremos a continuación
Con lo que finaliza la instalación:
17. Ahora sólo nos queda definir algunos aspectos más
como el tipo de teclado
La zona horaria
18. El nombre del firewall, en este caso dejare el nombre por
defecto
El nombre de dominio, si lo tuviéramos, que ahora también dejare el que
tiene por defecto.
19. Aquí configuramos el servicio ISDN (Integrated Services Digital
Network o RDSI Red Digital de servicios Integrados), si es que
fuera la forma por la que accedemos a internet, en este caso es
una conexión ADSL así que inhabilitaremos el ISDN, eligiendo la
opcion Inhabilite RDSI
20. Ahora configuraremos la red, primeramente elegimos
Tipo de Configuración de Red
GREEN: Como lo dijimos antes es donde conectaremos los equipos que
necesiten mayor protección. Los dispositivos que estén conectados a esta
interfaz tendrán acceso irrestricto a las interfaces RED, BLUE o ORANGE
ósea que podrán conectarse a Internet y también podrán conectarse a
equipos que se encuentren en las otras interfaces, pero los equipos que
estén el la interfaz RED no podrán iniciar conexiones a ningún equipo que
se encuentre en las otras interfaces (GREEN, BLUE y ORANGE) con lo que
estarán protegidos del exterior por que no se podrán acceder desde
Internet.
21. BLUE: Generalmente se la utiliza para redes inalámbricas aquí se
conecta nuestro Access Point aunque también se puede conectar
una red no inalámbrica, los dispositivos que estén en esta red no
podrán iniciar conexiones con equipos en la red GREEN pero si
con la red ORANGE
ORANGE: Esta es la interface que se utilizará para montar una
DMZ o zona desmilitarizada. Principalmente se utiliza para
montar servidores web, de correo, de ftp, etc. que deban tener
presencia en Internet; o sea que sean accesibles desde Internet,
pero que en el caso que se produzca alguna intrusión a algún
equipo de esta red, eso no comprometa la seguridad de nuestra
red interna (GREEN). Los equipos que formen parte de la red
ORANGE no podrán iniciar conexiones a ninguno de los
dispositivos que se encuentren en las interfaces GREEN y BLUE.
No es necesario activar esta interface en una instalación de
IPCop si no utilizamos una DMZ.
RED: Por esta interfaz nos conectaremos a nuestro proveedor de
Internet o al acceso a Internet que tengamos.
22. Para el escenario de ejemplo planteado anteriormente solo
necesitamos la configuración GREEN + RED
23. Seleccionamos en OK, hecho esto configuraremos los
controladores y tarjetas asignadas
Nos muestra la configuración actual y aceptamos el cambio de
configuración para poder acceder al menú de redes
24. Anteriormente reconoció una de las tarjetas de red
para la intefaz GREEN, ahora haremos que detecte la
otra tarjeta de red que utilizaremos para la interfaz
RED
25. Nos confirmara que todas las tarjetas fueron asignadas, si en
algún caso en el anterior paso nos aparece la pantalla con las
opciones Prueba, Seleccionar y cancelar de la configuración
quiere decir que no ha sido reconocida una de las tarjetas de
red, podríamos verificar que esta funciona adecuadamente o
podría requerir un controlador que deberemos escoger
manualmente con lo que solucionaremos nuestro problema.
26. Continuemos con la Configuración de
Direcciones
27. Primero veremos nuestra configuración para la
interfaz GREEN
28. Nos aparecerá un aviso de advertencia el cual aceptaremos dado que aun no
estamos accediendo por la dirección IP a nuestro firewall, confirmamos que
tiene una dirección IP de nuestra red interna lo que es correcto.
Presionamos OK y nos vamos a ver a configuración de la interfaz
RED, en este caso accedo a internet a través de un router adsl
que tiene direcciones IP estáticas dentro del segmento
192.168.11.x, le asignare la 192.168.11.201, que es una con la
que puedo navegar.
29. Una vez terminado elegimos OK y
luego Acabado para volver al menú anterior.
Ahora pasemos a configurar las direcciones DNS y
puerta de enlace con las que navegamos por
internet.
30. Las direcciones que utilizare para esta configuración son:
31. Le damos en OK y en el menú de configuración de red elegimos
Acabado. En la siguiente pantalla podemos configurar el servicio
DHCP para nuestros clientes, en este caso manejaremos las
estaciones de trabajo con direcciones estáticas por lo que
dejaremos vacio el espacio de Activo y solo continuaremos
con OK
32. Ahora asignaremos una contraseña para el usuario root, que en
los sistemas basados en Unix es el usuario que posee todos los
derechos en todos los modos, también llamado superusuario por
sus privilegios. Esta será la contraseña y el usuario que
utilizaremos para acceder por SSH (Secure SHell) que es un
protocolo para acceder remotamente a ordenadores de forma
mas segura dado que utiliza un algoritmo criptográfico para el
envió de información. A la hora de poner la contraseña no habrá
cambio aparente porque no aparecen los caracteres escritos,
pero si están siendo registrados, por lo que debemos tener
cuidado al colocar la misma, lo mejor es fijarnos en la barra de
piso que esta un poco sobresalida para ubicar donde esta el
cursor y pasar al otro campo con la tecla tab
33. Luego nos pide ingresar una contraseña para
el usuario admin, que será la que utilizaremos
para acceder por el navegador de internet.
34. Finalmente ingresaremos una contraseña para el usuario
que podrá realizar backup del firewall
35. Con lo que finalizamos la configuración del IPCop v1.4.20
Luego de reiniciar nos
aparecerá esta pantalla
al iniciarse
36. Y luego el firewall se iniciara de la siguiente forma:
En donde nos colocaremos como root y la
contraseña root que configuramos antes
37. Podemos probar si nuestra interfaz RED esta correctamente
configurada con pruebas sencillas de ping (ctrl+c para
interrumpir) hacia el Gateway y a un dominio, con lo que
estamos listos para realizar configuraciones, por ahora
dejaremos en ese estado nuestro firewall, y accederemos al
mismo por uno de nuestros equipos de trabajo a través de la
interfaz GREEN.
38. Ahora para acceder al firewall vía web, en una
estación de trabajo configuraremos las
direcciones IP:
39. Abrimos un explorador y en la barra de direcciones colocaremos:
http://192.168.197.1:81/ o https://192.168.197.1:445/ nos
aparecerá una pantalla donde deberemos confirmar una
excepción en el navegador para ingresar, en esta ocasión
utilizare Mozilla Firefox, haciendo click en Entiendo los riesgos
41. Guardamos la excepción de manera permanente para no volver a
repetir el proceso cada vez que ingresemos
42. Finalmente nos despliega a página de administración
del IPCop
43. Hacemos click en conectar e introducimos como usuario admin y
el password que asignamos durante la instalación.
Con lo que ya podemos empezar a trabajar en el firewall, en el siguiente
tutorial veremos como actualizar el firewall en instalar los
llamados addons para aumentar las funciones de protección y control a
nuestra red