1. UNIVERSIDAD TÉCNICA DEL NORTE SEGURIDAD INFORMATICA
CISIC
TEMA: Desarrollo de una arquitectura de red segura
OBJETIVO:
Configurar y aplicar una arquitectura de red segura utilizando Software Libre para controlar el
tráfico de la Red mediante servidores Firewall/Proxy.
PROCEDIMIENTO:
1. Se tomará como caso de estudio la Arquitectura # 3 de Firewall (en caso de limitación de
hardware se podrá utilizar un Firewall con 3 interfaces de red) con la finalidad de controlar los
accesos externos hacia dentro y también los internos hacia el exterior; esto último se hace con
el firewall o frecuentemente con un proxy (que también utilizan reglas, aunque de más alto
nivel).
2. La arquitectura de red debe cumplir con los siguientes requerimientos:
a. Un servidor web ofreciendo servicio solamente en el puerto 80
b. Servidor de correo ofreciendo servicio solamente en el puerto 25. Se acepta todo el
correo entrante y envía todo el correo saliente. El servidor de correo interno hace
contacto con este sistema de manera periódica, para obtener el correo entrante y
enviar el correo saliente.
c. La política de internet para la organización permite que los usuarios internos utilicen
los servicios siguientes:
i. HTTP
ii. HTTPS
iii. FTP
iv. Telnet
v. SSH
d. Acceso de la red local a internet.
e. Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
f. Acceso del servidor de la DMZ a una BBDD de la LAN
g. Obviamente bloquear el resto de acceso de la DMZ hacia la LAN.
h. Se dispone de un Web-Proxy Transparente (para ello puede utilizar software libre,
Squid es una muy buena opción) que debe cumplir con:
i. Crear reglas para denegar el acceso para específicas páginas web o para cierto
grupo de usuarios dentro de la red. Para ello es necesario crear Reglas en el
access list para chequear su funcionalidad
ii. Crear una regla para redireccionar un sitio no deseado hacia otra página. Por
ejemplo cada vez que ingrese a www.facebook.com se redireccione a
www.utn.com.ec
i. Supongamos también que la empresa tiene sucursales y que se conectan a internet
desde su portátil y con una ip dinámica. Supongamos también que el jefe de la
empresa quiere acceder a la red local desde casa con una conexión ADSL y revisar su
correo corporativo.
j. Se requiere además compartir algún servicio pero de un servidor que tenemos dentro
de la red local (por ejemplo puede ser el IIS de un servidor windows2000), y además
permitir la gestión remota (terminal server o ssh, tener en cuenta criterios de
seguridad) para esta máquina para una empresa externa. En este caso lo que hay que
hacer es un redirección de puerto, para ello pueden basarse en reglas de DNAT. Si las
máquinas de la DMZ tienen una ip pública hay que tener muchísimo cuidado de no
2. UNIVERSIDAD TÉCNICA DEL NORTE SEGURIDAD INFORMATICA
CISIC
permitir el FORWARD por defecto. Si en la DMZ hay ip pública NO ES NECESARIO
HACER REDIRECCIONES de puerto, sino que basta con rutar los paquetes para llegar
hasta la DMZ. Este tipo de necesidades surgen cuando por ejemplo tenemos dos
máquinas con servidor web (un apache y un IIS); ¿A cuál de las dos le redirigimos el
puerto 80? No hay manera de saberlo (No, con servidores virtuales tampoco,
piénselo), por eso se deben asignar IPs públicas o en su defecto usar puertos distintos.
Por tanto hay que proteger convenientemente toda la DMZ. Tampoco haría falta
enmascarar la salida hacia el exterior de la DMZ, si tiene una ip pública ya tiene una
pata puesta en internet; obviamente hay que decirle al router como llegar hasta esa ip
pública.
3. Los servidores operarán bajo software libre GNU/LINUX y los clientes remotos podrán estar en
Windows o Linux.
4. Para poder hacer las pruebas sin tener que contar con varias máquinas reales, podemos
valernos de máquinas virtuales, que en este caso podemos utilizar vmware-server. Se
recomienda también el uso de la herramienta iptraf para depurar y comprobar el
funcionamiento de iptables(Con iptraf podemos comprobar si las conexiones TCP/IP se llegan a establecer o no)
5. Informe escrito:
a. Se debe presentar un diagrama de red detallado que cumpla con la arquitectura
propuesta.
b. Se debe incluir toda la información del diseño, pruebas realizadas, comprobación del
correcto funcionamiento de la red,etc.
OBSERVACIONES GENERALES:
Este ejercicio le llevará a usted a través de los pasos para establecer una arquitectura de red
segura. NO espere que este proyecto quede completado en una tarde. La puesta a punto de la
red y la evolución de los resultados tomarán algo de tiempo.
El informe debe complementarse con una presentación oral ante todo el grupo. Para lo cual
pueden valerse de presentaciones, animaciones, etc.
El TEMA se realizará en equipos de trabajo de 3 estudiantes. Los integrantes de los grupos queda
a voluntad.
En asignaciones se calificará orden, limpieza, presentación, desarrollo lógico de ideas,
procedimiento y calidad de soluciones y/o respuestas.
En asignaciones el plagio de cualquier tipo representa "Deshonestidad Académica" y se castiga
con la reprobación del trabajo (nota: 00).
La Defensa y presentación del funcionamiento de la red, así como la entrega del informe escrito,
se la realizará el día del examen final. La defensa oral es individual. En el informe escrito se
calificará al grupo la solución del proyecto, para lo cual se tomará en cuenta: la distribución de
tareas individuales (Matriz de responsabilidades), calendario de ejecución, desempeño de la red,
presupuesto, manual de usuario, Se debe justificar todos los criterios empleados en el diseño,
etc.
El proyecto tendrá una valoración de 8 puntos.