Buscar este blog

martes, 22 de mayo de 2012

Instalación y configuración de endian firewall

Endian

Esta es una herramienta OpenSource, desarrollada para el funcionamiento de cortafuego (firewall), gestionar amenazas, servicios de VPN y PROXY, etc. endian esta basado originalmente en IPCop.

La inplemetacion de esta herramienta es totalmente gratis, ya que es una distribucio GNU/Linux y su licencia es OpenSource. Se puede descargar la iso en este link: http://sourceforge.net/projects/efw/files/Development/EFW-2.5.1/EFW-COMMUNITY-2.5.1-201201261800.iso/download .

Características

-Mejorar la distribución de su red implementando zonas (WAN, LAN, WiFi, DMZ), moldeo de tráfico y soporta VoIP.

-Incluye paquete dinámico de firewall para la seguridad de su red, detección de intrusiones, detección de escaneo de puertos, entre otros.

-Distribuye la carga de datos.
-Hacer comunicaciones seguras con otras sedes o clientes remotos a través de VPN .

-Antivirus y filtrado de contenido para un acceso a internet más seguro.

-Manejo de proxy.

-Enrutamiento.

-Antivirus y Antispam para el correo electrónico.

-Alta disponibilidad.

-Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de acceso.

-Su administración es por via web.

Diagrama de red
En este manual enseñaremos a implementar un endian como firewall, donde definiremos tres redes que son (WAN, LAN y DMZ). vamos a utilizar tres maquinas virtuales donde la de Endian ará las veces de firewall y salida a Internet (adaptador puente), la maquina virtual de la red LAN con el sistema operativo Windows XP (red interna), y la zona DMZ es donde tendremos los servicios de red con el sistema operativo centOS (red interna).
El firewall como tal nos ofrecera las restricciones necesariad a nuestro caso de trabajo, el cual consiste en que los usuarios de red WAN no puedan tener acceso a la red LAN pero si puedan tener acceso a la Zona DMZ, tambien la zona DMZ no podra tener acceso a la Red LAN pero si tendra salida  a Internet, por otra parte la red LAN tiene acceso a la Zona DMZ y a la Red WAN (Salida a internet).


LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

DMZ: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101



Instalación de ENDIAN FIREWALL

Aca escogemos el idioma deseado en este caso es el ingles.

Hacemos clic en OK.

Aceptamos la instalación y hacemos clic en OK.

Aceptamos para la posibilidad de activar el servicio de consola a través de un cable serial conectado al puerto serial del PC, hacemos clic en OK.


En este paso es cuando el programa instalador toma la posesión de todo el disco duro para así crear las particiones correspondientes.

Acá ingresamos la dirección ip para mas adelante configurar el endian firewall desde un navegador de internet, hacemos clic en OK.


Acá debemos de retirar el CD de instalación para poder continuar con la instalación, hacemos clic en OK.


Hacemos clic en OK para finalizar la instalación del ENDIAN.


En estas dos imágenes nos muestra cuando esta terminando la instalación del ENDIAN.


Tras el reinicio de la maquina, escogemos la opción de la shell que es (0), y hacemos enter.


Después al escoger la opción de la shell nos logeamos con el comando LOGIN y la contraseña es ENDIAN. Para poder entrar como root.



Configuración de ENDIAN FIREWALL

Nota:

Para la configuración del endian necesitamos una maquina windows xp que este en el mismo rango de dirección de la maquina de endian, cuando las maquinas ya hagan ping entre ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la dirección donde esta instalada la herramienta endian, y procederemos a configurar el endian por via web.


En este imagen como lo pueden observar estamos configurando la red estática para que esta maquina de windows pueda comunicarse con la maquina de endian, para hallar la configuración por via web.


Para poder acceder a la configuración del endian ingresamos a un navegador web, y colocamos la dirección ip de la maquina donde se instaló la herramienta. Hacemos clic en la flecha de abajo como lo pueden observar en la imagen.



Seleccionamos el idioma en este caso es español, hacemos clic en siguiente.




Aceptamos la licencia de la aplicación y hacemos clic en siguiente.


En esta imagen como lo pueden observar podemos realizar un respaldo de la aplicación pero en este caso no vamos hacer ningún respaldo, hacemos clic en siguiente.


En esta imagen como lo pueden ver podemos cambiar la contraseña por defecto de la herramienta, ya sea la contraseña del usuario admin y del root por el servicio de ssh, podemos utilizar la misma contraseña para ambos, hacemos clic en siguiente.


En esta imagen escogemos el primer ítem que es ( ethernet estático), aca señalamos el tipo de conexión que va a ver en la zona roja que es la WAN ya sea inalámbrico o por ethernet. Hacemos clic en siguiente.


Acá escogemos la zona naranja donde va a ir la DMZ ( zona desmilitarizada), hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos las preferencias de la red, donde decidimos que interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección ip de la interface seleccionada y su correspondiente mascara de red, hacemos clic en siguiente.




En esta imagen como lo pueden observar es donde escogemos que interface va hacer la zona naranja donde es la DMZ, también colocamos la dirección ip de la interface y su correspondiente mascara de red, hacemos clic en siguiente.


En esta imagen como lo pueden observar escogemos que interface va hacer la zona roja donde va a salir a internet los usuarios de la zona verde y naranja, también especificamos la dirección y su mascara de red correspondiente, hacemos clic en siguiente.


Asignamos las direcciones ip de los DNS, hacemos clic en siguiente.


Este paso es opcional, acá colocamos la dirección de correo del administrador, hacemos clic en siguiente.


En esta imagen como lo pueden observar estamos finalizando con la configuración de la herramienta de endian, hacemos clic en acepta y aplicar la configuración.


En esta imagen como lo pueden observar esperaremos 20 segundos para acceder al endian.


Después de haber esperado los 20 segundos, nos pide el usuario y contraseña para acceder a la herramienta de endian.


Esta es la herramienta, lista para administrarla.


Asignación de reglas



LAN: zona verde
Dirección IP 192.168.20.0/24
servicios de red: FTP

LAN: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
servicios de red: HTTP, FTP, DNS

WAN: zona roja
Dirección IP 192.168.10.101



Configuración del NAT PUENTE acceso a internet.


En esta imagen como lo pueden observar estamos haciendo un NAT FUENTE para que los de la zona verde puedan salir a internet por medio de la zona roja.


En esta imagen realizamos lo mismo pero para que la zona naranja (DMZ) pueda tener acceso a internet por medio de la zona roja que es la (WAN).

Configuración del trafico de ruteo (INCOMING ROUTED TRAFFIC).


Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red LAN.

Configuración de reenvío de puertos (PORT FORWARDING/DESTINATION NAT RULE EDITOR).


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja puedan tener acceso a los servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP. así sucesivamente lo pueden realizar con los otros servicios.


En esta imagen como lo pueden observar estamos configurando para que los usuarios de la zona roja se puedan conectar a la zona naranja (DMZ).así mismo lo hacemos con todos los servicios de la DMZ.


Como lo pueden ver hemos agregado previamente los servicios que van a salir a la red WAN.


Configuración del Trafico entre zonas.

En esta imagen como lo pueden observar estamos permitiendo la conexión entre la zona verde con la naranja, para que los usuarios de la zona verde puedan acceder a los servicios de la zona DMZ.


En esta imagen como lo pueden observar estamos denegando la conexión entre la zona naranja y la zona verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona verde.



Configuración del trafico de salida.

En esta imagen como lo pueden observar estamos permitiendo que la zona naranja pueda abrir la conexión con la zona roja, para que los usuarios de la zona WAN ingresan a los servicios de red naranja.

Resultados de las reglas

Los usuarios de la zona verde se pueden conectar a internet satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio FTP de la zona naranja (DMZ) satisfactoriamente.


Los usuarios de la zona verde se pueden conectar con el servicio HTTP de la zona naranja (DMZ) satisfactoriamente.



Los usuarios de la zona naranja se pueden conectar a internet satisfactoriamente.


La zona naranja nunca puede conectarse con la zona verde.


Como lo pueden observar desde la zona roja (WAN) no se puede obtener respuesta a la zona verde, por dicha configuración realizada anteriormente.




Vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja(DMZ) y por ello tener acceso a los servicios implementados en dicha zona, servicios como el WEB y el FTP.


Hasta pronto!!!!!!!!!!!!!







Publicado por en

2 comentarios:

  1. juank11 de noviembre de 2012, 16:25

    Gracias amigo por la información :) me sirvió de mucho

    ResponderEliminar
  2. Sergio Castro Aguirre29 de enero de 2013, 14:16

    Muchas gracias por tu info la voy a montar en una máquina virtual a ver como me va para implementar este servicio en mi empresa. !

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)