33
FIREWALL EN ZENTYAL MAYRA ALEJANDRA CRUZ IBAÑEZ, 1150219 JUAN CARLOS MACIAS ZAMBRANO, 1150328 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS

firewall.docx

Tags:

Embed Size (px)

Citation preview

FIREWALL EN ZENTYAL

MAYRA ALEJANDRA CRUZ IBAEZ, 1150219JUAN CARLOS MACIAS ZAMBRANO, 1150328

UNIVERSIDAD FRANCISCO DE PAULA SANTANDERINGENIERIA DE SISTEMASSAN JOSE DE CUCUTA2014

FIREWALL EN ZENTYAL

MAYRA ALEJANDRA CRUZ IBAEZ IBAEZ, 1150219JUAN CARLOS MACIAS ZAMBRANO, 1150328

JEAN POLO CEQUEDA OLAGOINGENIERO

12 DE JUNIO DE 2014

UNIVERSIDAD FRANCISCO DE PAULA SANTANDERINGENIERIA DE SISTEMASSAN JOSE DE CUCUTA2014

INTRODUCCIN

Un Firewall puede ser implementado en una aplicacin o distribucin que cumple varias funciones para dar seguridad a la red, para este vamos a implementar una distribucin llamada ZENTYAL, en toda organizacin existe (o debera existir) unaPoltica de Seguridad, un documento en el que se expresa aquello que est permitido respecto al manejo de la informacin, acceso a determinados servicios, entre otros.Las redes corporativas no estn delimitadas por lmites fsicos, en su lugarexisten polticas de seguridad.Actualmente las tecnologas de redes (Internet) permiten la conectividad a cualquiera, desde cualquier lugar, pertenezca a una red interna o externa, en cualquier momento.Para acomodar esto una poltica de seguridad debe implementarse en toda la organizacin, proveer una cobertura integral y administracin basada en la poltica en todas las oficinas, usuarios mviles y remotos, socios de negocios y clientes.Para que sea efectivaestas polticas deben incluir un amplio rango de servicios que controlen el acceso a los recursos de informacin de la red, protejan la primaca e integridad de la informacin ylas comunicaciones.

El firewall forma parte integral de la Poltica de Seguridad de una organizacin y maneja los riesgos asociados a las redes, controlando y monitoreando los accesos a cualquier recurso existente en la red, la implementacin de este sistema de seguridad nos permitir adquirir un mejor conocimiento y manejo del mismo dentro de un entorno empresarial o corporativo

OBJETOS DE REDLosObjetos de redson una manera de representar un elemento de la red o a un conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de la configuracin de la red, pudiendo dotar de un nombre fcilmente reconocible al elemento o al conjunto y aplicar la misma configuracin a todos ellos.Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de las direcciones IP de una subred, simplemente bastara con definirla para el objeto de red que contiene las direcciones.

Representacin de los objetos de redUn objeto est compuesto por cualquier cantidad de miembros, cada uno de los cuales est a su vez compuesto por un rango de red o unhostespecfico.

GESTION DE LOS OBJETOSPara empezar a trabajar con los objetos en Zentyal, accederemos la seccnRed Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear, editar y borrar objetos que sern usados ms tarde por otros mdulos.

Objetos de redCada uno de estos objetos se compondr de una serie de miembros que podremos modificar en cualquier momento. Los miembros tendrn al menos los siguientes valores:Nombre,Direccin IPyMscara de red. LaDireccin MACes opcional y lgicamente slo se podr utilizar para miembros que representen una nica mquina (/32), se aplicar en aquellos contextos que la direccin MAC sea accesible.

Aadir un nuevo miembro

Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es muy til para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al usarlos en el resto de mdulos para obtener la configuracin deseada y no sufrir solapamientos indeseados.En las secciones de la configuracin de Zentyal donde podamos usar objetos (como DHCP o Cortafuegos) dispondremos de un men embebido que nos permitir crear y configurar objetos sin necesidad de acceder expresamente a esta seccin de men.FIREWALL O CORTAFUEGOSZentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux llamado Netfilter, que proporciona funcionalidades de filtrado, marcado de trfico y redireccin de conexiones.CONFIGUACION DE UN CORTAFUEGOS EN ZENTYALEl modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima seguridad posible en su configuracin predeterminada, intentando a la vez minimizar los esfuerzos a realizar tras aadir un nuevo servicio.Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna y elrouter conectado a Internet. La interfaz de red que conecta la mquina con elrouterdebe marcarse como ExternoenRed -> Interfacespara permitir al cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones procedentes de fuera.

Interfaz externaLa poltica por defecto para las interfaces externas es denegar todo intento de nueva conexin a Zentyal, mientras que para las interfaces internas se deniegan todos los intentos de conexin a Zentyal excepto los que se realizan a servicios definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos para permitir estas conexiones, aunque siempre pueden ser modificadas posteriormente por el administrador. Una excepcin a esta norma son las conexiones al servidor LDAP, que aaden la regla pero configurada para denegar las conexiones por motivos de seguridad. La configuracin predeterminada tanto para la salida de las redes internas como desde del propio servidor es permitir toda clase de conexiones.La definicin de las polticas del cortafuegos se hace desdeCortafuegos Filtrado de paquetes.

Esquema de los diferentes flujos de trfico en el cortafuegos

Cada una de las secciones que podemos ver en el diagrama controla diferentes flujos de trfico dependiendo del origen y destino: Reglas de filtrado de redes internas a Zentyal(por ejemplo: permitir acceder al servidor de ficheros de Zentyal a los clientes de la red interna). Reglas de filtrado para las redes internas(por ejempo: restringir el acceso a Internet a ciertos clientes de la red interna, impedir que la red DMZ acceda a otros segmentos de la LAN). Reglas de filtrado desde la redes externas a Zentyal(por ejemplo: permitir que cualquier cliente en Internet acceda a un servidor web desplegado en Zentyal) guilabel:Reglas de filtrado para el trfico saliente de Zentyal(por ejemplo: conexiones del proxy que se hacen por peticin de un usuario interno).Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes servicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar las implicaciones en la seguridad antes de modificar el tercer conjunto de reglas.Estudiando el esquema, podemos determinar en que seccin se encontrara cualquier tipo de trfico que deseemos controlar en nuestro cortafuegos. Las flechas slo indican origen y destino, como es natural, todo el trfico debe atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la flechaRedes Internasque va de laLAN 2hastaInternet, representa que uno de los equipos de la LAN es el origen y una mquina en Internet el destino, pero la conexin ser procesada por Zentyal, que es la puerta de enlace para esa mquina.Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel introducidos anteriormente: los Servicios de redpara especificar a qu protocolos y puertos se aplican las reglas y losObjetos de redpara especificar sobre qu direcciones IP de origen o de destino se aplican.

INTERFAZ DMZ (eth0)

Para la configuracin de la interface, nos dirigimos a dirigirnos RedInterfaces, estando all podemos observar que para esta implementacin debemos tener tres adaptadores para cada una delas redes mencionadas anteriormente. La primera que vamos a configurar es la DMZ y para ello debemos darle un NOMBRE, seleccionar el mtodo que para este caso ser esttico, editamos la direccin IP con su respectiva mascaray por ultimo daremos clic en Cambiar

PORTAL CAUTIVOZentyal implementa un servicio de portal cautivo que permite limitar el acceso a la red desde las interfaces internas en las que se configure, adems de ofrecer la posibilidad de controlar el ancho de banda consumido por cada usuario.CONFIGURACION DEL PORTAL CAUTIVO EN ZENTYALA travs del menPortal Cautivopodemos acceder a la configuracin del portal cautivo de Zentyal.

Configuracin del portal cautivoGrupoSi se define un grupo, slo los usuarios pertenecientes a ste tendrn permitido acceder a travs del portal cautivo. La opcin por defecto permite el acceso a todos los usuarios registrados.Puerto HTTPyPuerto HTTPSEl servicio de redireccin web reside en elPuerto HTTP, mientras que el portal de identificacin se encuentra en elPuerto HTTPS. Zentyal redirigir

automticamente las peticiones web al portal de identificacin.Interfaces cautivasEste listado muestra las interfaces de red internas. El portal cautivo limitar el acceso las interfaces marcadas en esta lista.Podemos observar tambin un formulario que nos permite limitar el ancho de banda a una cantidad mxima en un intervalo de tiempo definido. Para contar con esta opcin tendremos que haber descargado y activado el mdulo deMonitor de Ancho de Banda. Si hemos habilitado un lmite, al activar el portal cautivo sobre una de las interfaces internas, el mdulo deMonitor de Ancho de Bandase activar tambin sobre esa misma interfaz. Podemos ver la configuracin e informes de monitorizacin desdeRed Monitor de Ancho de Banda.Una vez que el usuario haya agotado su cuota, ser todava capaz de registrarse en el portal cautivo, pero no podr consumir ms trfico desde Internet.EXCEPCIONESPodemos establecer excepciones al portal cautivo, de tal forma que ciertosObjetosoServicios puedan acceder las redes externas sin necesidad de superar las pantallas de registro.

LISTADO DE USUARIOSLa pestaa de usuarios muestra la lista de los usuarios que estn actualmente autorizados por el portal cautivo.

Listado de usuariossta es la informacin que se puede observar en el listado:UsuarioNombre del usuario conectado.Direccin IPDireccin IP del usuario.Uso de ancho de banda(Opcional)

Si el mdulo de Monitorizacin de ancho de banda est activo este campo mostrar el uso de ancho de banda (en MB) del usuario para el periodo configurado.PodemosAmpliar el Lmite de ancho de bandapara un usuario, lo cual aadir la cuota inicial a su total disponible y tambinExpulsar usuario. Esta accin finalizar la sesin del usuario expulado, dejndolo de nuevo sin acceso a la red.

USO DEL PORTAL CAUTIVOCuando un usuario, conectado a Zentyal a travs de una interfaz cautiva, acceda a cualquier pgina web con su navegador, ser automticamente redirigido al portal cautivo, que le solicitar identificarse.

Pgina de identificacinTras una correcta identificacin se abrir una ventana emergente de manera automtica. Esta ventana es la encargada de mantener la sesin abierta, es necesario que el usuario no la cierre mientras est utilizando la conexin.

Lista de reglas de filtrado de paquetes desde las redes internas a ZentyalNormalmente cada regla tiene unOrigeny unDestinoque pueden serCualquiera, unaDireccin IPo unObjetoen el caso que queramos especificar ms de una direccin IP o direcciones MAC. En determinadas secciones elOrigeno elDestinoson omitidos ya que su valor es conocidoa priori; ser siempre Zentyal tanto elDestinoenTrfico de redes internas a ZentyalyTrfico de redes externas a Zentyalcomo elOrigenenTrfico de Zentyal a redes externas.Adems cada regla siempre tiene asociado unServiciopara especificar el protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen son tiles para reglas de trfico saliente de servicios internos, por ejemplo un servidor HTTP interno, mientras que los servicios con puertos de destino son tiles para reglas de trfico entrante a servicios internos o trfico saliente a servicios externos. Cabe destacar que hay una serie de servicios genricos que son muy tiles para el cortafuegos comoCualquierapara seleccionar cualquier protocolo y puertos,Cualquiera TCPoCualquiera UDPpara seleccionar cualquier protocolo TCP o UDP respectivamente.El parmetro de mayor relevancia ser laDecisina tomar con las conexiones nuevas. Zentyal permite tomar tres tipos distintos de decisiones: Aceptar la conexin. Denegar la conexin ignorando los paquetes entrantes y haciendo suponer al origen que no se ha podido establecer la conexin.

Registrar la conexin como un evento y seguir evaluando el resto de reglas. De esta manera, a travs deMantenimiento Registros -> Consulta registros -> Cortafuegospodemos ver las conexiones que se estn produciendo.Las reglas son insertadas en una tabla donde son evaluadas desde el principio hasta el final (desde arriba hacia abajo), una vez que una regla (ACEPTAR / DENEGAR) acepta una conexin, no se sigue evaluando el resto. Las reglas deREGISTRARgeneran el registro, pero siguen procesando. Una regla genrica al principio, puede hacer que otra regla ms especfica posterior no sea evaluada. Es por esto por lo que el orden de las reglas en las tablas es muy importante. Existe la opcin de aplicar unno lgicoa la evaluacin de miembros de una regla conCoincidencia Inversapara la definicin de polticas ms avanzadas.

Creando una nueva regla en el firewallPor ejemplo, si queremos registrar las conexiones a un servicio, primero tendremos la regla que registra la conexin y luego la regla que acepta la conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada ya que la regla anterior ya acepta la conexin. Igualmente, si queremos restringir la salida a Internet, primero denegaremos explcitamente los sitios o los clientes y luego permitiremos la salida al resto, invertir el orden dara acceso a todos los sitios a todos los hosts.

Por omisin, la decisin es siempre denegar las conexiones y tendremos que aadir reglas que las permitan explcitamente. Hay una serie de reglas que se aaden automticamente durante la instalacin para definir una primera versin de la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las redes externas, Internet, desde el servidor Zentyal (enTrfico de Zentyal a redes externas) y tambin se permiten todas las conexiones desde las redes internas hacia las externas (enTrfico entre redes internas y de redes internas a Internet). Adems cada mdulo instalado aade una serie de reglas en las seccionesTrfico de redes internas a Zentyaly Trfico de redes externas a Zentyalnormalmente permitiendo las conexiones desde las redes internas pero denegndola desde las redes externas. Esto ya se hace implcitamente, pero facilita la gestin del cortafuegos puesto que de esta manera para permitir el servicio solamente hay que cambiar el parmetroDecisiny no es necesario crear una regla nueva. Destacar que estas reglas solamente son aadidas durante el proceso de instalacin de un mdulo por primera vez y no son modificadas automticamente en el futuro. SERVICIO PROXI HTTPPara configurar el proxy HTTP iremos aProxy HTTP General. Podremos definir si el proxy funciona en modoProxy Transparentepara forzar la poltica establecida o si por el contrario requerir configuracin manual. En cualquier caso, enPuertoestableceremos dnde escuchar el servidor conexiones entrantes. El puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de red internas, por tanto, se debe usar una direccin interna en la configuracin del navegador.El tamao de la cach define el espacio en disco mximo usado para almacenar temporalmente contenidos web. Se establece enTamao de cachy corresponde a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las caractersticas del servidor y el trfico esperado.Reglas de AccesoUna vez hayamos decidido nuestra configuracin general, tendremos que definir reglas de acceso. Por defecto, la seccionProxy HTTP Reglas de accesocontiene una regla permitiendo todo acceso. Al igual que en elCortafuegos, la poltica por omisin de regla siempre ser denegar y la regla

que tendr preferencia en caso de que varias sean aplicacables ser la que se encuentre ms arriba.

Nueva regla de acceso al proxyMediante elPerodo de tiempopodemos definir en que momento se tendr en consideracin esta regla, tanto las horas como los das. Por defecto se aplica en todo momento.ElOrgenes un parmetro muy flexible, ya que nos permite definir si esta regla se aplicacar a los miembros de unObjetode Zentyal o a los usuarios de un determinadoGrupo(recordemos que las restricciones por grupo slo estn disponibles para el modo de Proxynotransparente). La tercera opcin es aplicar la regla sobre cualquier tipo de trfico que atraviese el proxy.De forma similar alCortafuegos, una vez Zentyal haya decidido que el trfico coincide con una de las reglas definidas, debemos indicarle unaDecisin, en el caso del Proxy hay tres opciones: Permitir todo: Permite todo el trfico sin hacer ninguna comprobacin, nos permite an as, seguir disfrutando de cach de contenidos web y registros de accesos. Denegar todo: Deniega la conexin web totalmente.

Aplicar perfil de filtrado: Para cada peticin, comprobar que los contenidos no incumplen ninguno de los filtros definidos en el perfil, se desarrollarn los perfiles de filtrado en el siguiente apartado.Filtrado de ContenidosZentyal permite el filtrado de pginas web en base a su contenido. Se pueden definir mltiples perfiles de filtrado enProxy HTTP Perfiles de Filtrado.

Perfiles de filtrado para los diferentes objetos de red o grupos de usuariosAccediendo a laConfiguracinde estos perfiles, podremos especificar diversos criterios para ajustar el filtro a nuestros certificados. En la primera pestaa podemos encontrar losUmbrales de contenidoy el filtro del antivirus. Para que aparezca la opcin de antivirus, el mduloAntivirusdebe estar instalado y activado.

Configuracin del perfilEstos dos filtros son dinmicos, es decir analizarn cualquier pgina en busca de palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para ser ms o menos estricto, esto influir en la cantidad de palabras inapropiadas que permitir antes de rechazar una pgina.En la siguiente pestaaReglas de dominios y URLspodemos decidir de forma esttica que dominios estarn permitidos en este perfil. Podemos decidirBloquear sitios especificados slo como IP, para evitar que alguien pueda evadir los filtros de dominios aprendiendo las direcciones IP asociadas. As mismo con la opcinBloquear dominios y URLs no listadospodemos decidir si la lista de dominios ms abajo se comporta como unablacklisto unawhitelist, es decir, si el comportamiento por defecto ser aceptar o denegar una pgina no listada.

PRUEBA DEL PROXI

CONFIGURACION DE UN SERVIDOR OpenVPN Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos comoRoad Warriors). Esto es, un servidor Zentyal trabajando como puerta de enlace y como servidor VPN, que tiene varias redes de rea local (LAN) detrs, permitiendo a clientes externos (losroad warriors) conectarse a dichas redes locales va servicio VPN.

Zentyal y clientes remotos de VPNNuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos (comercial y gerente) y estos ltimos entre si.

Para ello necesitamos crear unaAutoridad de Certificaciny certificados individuales para los dos clientes remotos, que crearemos medianteAutoridad de certificacin General. Tambin se necesita un certificado para el servidor VPN, sin embargo, Zentyal expedir este certificado automticamente cuando cree un nuevo servidor VPN. En este escenario, Zentyal acta como unaAutoridad de Certificacin.

Una vez tengamos los certificados, deberamos poner a punto el servidor VPN en Zentyal mediante Crear un nuevo servidor. El nico parmetro que necesitamos introducir para crear un servidor es el nombre.


Compressing And Decompressing Folders

Compressing And Decompressing Folders

Documents
European Colinization of Latin America

European Colinization of Latin America

Documents
Who Killed God

Who Killed God

Documents
Effective Parenting: Establishing Boundaries

Effective Parenting: Establishing Boundaries

Documents
Steve Jobs' Commencement Speech at Stanford

Steve Jobs' Commencement Speech at Stanford

Documents
Chapter-01

Chapter-01

Documents
Puntuación PAEF,s

Puntuación PAEF,s

Documents
Plato - Symposium

Plato - Symposium

Documents
Star Wars Prequel Trilogy Trivia (Episodes I-III)

Star Wars Prequel Trilogy Trivia (Episodes I-III)

Documents
The Dutch Republic In International Trade

The Dutch Republic In International Trade

Documents
Introduction to Six Sigma

Introduction to Six Sigma

Documents
Chapter 24

Chapter 24

Documents
Rubik's cube solution

Rubik's cube solution

Documents
The Best American Humorous Short Stories

The Best American Humorous Short Stories

Documents
Jan Van Eyck and the Man In A Red Turban

Jan Van Eyck and the Man In A Red Turban

Documents
The Last Carnival I Ever Saw

The Last Carnival I Ever Saw

Documents
Improve the Color Quality Of Your Monitor

Improve the Color Quality Of Your Monitor

Documents
Barclays1

Barclays1

Documents
Physical Modelling Synthesis Overview

Physical Modelling Synthesis Overview

Documents
Chapter 23

Chapter 23

Documents
Oedipus The King: The Ideal Tragic Play

Oedipus The King: The Ideal Tragic Play

Documents
Minne hävisivät soneran rahat

Minne hävisivät soneran rahat

Documents
расписание электричек Москва-Железка

расписание электричек Москва-Железка

Documents
Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Documents
Aesops Fables

Aesops Fables

Documents
(Tesla) - The Tesla Magnetic Car Engine

(Tesla) - The Tesla Magnetic Car Engine

Documents
Heidegger Kritik

Heidegger Kritik

Documents
Tragic Heroes

Tragic Heroes

Documents
Iron Mills Essay

Iron Mills Essay

Documents
Keyboard Shortcuts for the Opera Browser for Mac OS X

Keyboard Shortcuts for the Opera Browser for Mac OS X

Documents