Manual Firewall Pfsense
March 9, 2017 | Author: wilmer0929 | Category: N/A
Short Description
Download Manual Firewall Pfsense...
Description
IMPLEMENTACIÒN DE FIREWALL CON PFSENSE
Por
Wilmer Arlex Castrillòn
Grupo 38110
Instructor Mauricio Ortiz
Centro de servicios y gestión empresaria Tecnólogo en administración de redes Sena Medellín 2011
Introducción En este trabajo les daré a conocer cómo implementar y configurar una firewall con pfsense. Pfsense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración Un firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
1
Firewall en Pfsense Como lo había dicho anteriormente en la introducción Pfsense en un sistema basado en FreeBSD que ya viene con un software explicito para seguridad informática. Antes que todo debemos de instalar nuestro Pfsense. Para descarga Pfsense lo puedes hacer a través de estos links: http://www.fleximus.org/mirror/pfsense/downloads , http://files.nl.pfsense.org/mirror/downloads/ y ftp://reflection.ncsa.uiuc.edu/pub/pfSense/downloads . Para saber los requerimientos mínimos de hardware antes de instalar podemos ir al siguiente link: http://www.pfsense.org/index.php?option=com_content&task=view&id=45&Itemid=48 . Nota: Es necesario tener más de una interfaz de red en la máquina que se va a instalar Pfsense. En el trascurso de la instalación se puede configurar las direcciones ip de las interfaces a usar. En este link les dejo como instalar Pfsense: https://sites.google.com/a/terminuspro.com/internet/manuales/instalacion-de-pfsense . En nuestro caso salimos a internet a través de la dirección ip 10.1.1.3, dicha dirección es asignada por nuestro proveedor de servicios. Nota: Toda esta implementación se hace a través de virtual box y la que hace suponer nuestra red WAN seria la maquina real. Virtual box me permite tener varias máquinas como si fueran reales. ESCENARIO A TRABAJAR
2
Ingresamos a través del navegador web desde la WAN con dirección ip que fue asignada por dhcp. En este caso se puede ver la dirección ip de Pfsense que fue asignada por dhcp en la imagen siguiente. Al ingresar nos saldrá el sitio administrativo del Pfsense.
A continuación nos dirigimos a la pestaña Interfacespara verificar cuantas interfaces tiene la máquina de Pfsense. En este caso tenemos tres interfaces y se hacen llamar WAN, LAN y DMZ. Cada una de ellas significa: LAN: Red local. WAN: Internet. DMZ: Zona desmilitarizado, que es donde tenemos nuestros servicios públicos. En la imagen siguiente se pude aclarar lo de las interfaces en el Pfsense.
3
Crear reglas de nateo Existen dos clases de reglas de nateo que son: Reglas de nateo en PREROUTING: Que son las me permiten redireccionar el tráfico que viene para los servicios que están publicados en la DMZ para que los de otras redes accedan a ellos. Ejemplo: Cuando desde la red WAN quiera acceder al sitio web de la empresa debe acceder a través de la dirección pública y cuando el Pfsense tiene una regla de nateo en prerouting que dice todo lo que venga por la interfaz WAN y tenga como destino el servidor web lo redireccione a la dirección ip del servidor web que está en la DMZ. Reglas de nateo en POSTROUNTING: Que son las que me permiten enmascarar la red lan con la dirección ip publica para que los equipos de la red lan puedan acceder a internet por medio del enmascaramiento de la dirección pública.
Nota: como no tenemos una dirección pública lo que hacemos es que desde una máquina que tenga salida a internet como lo es la maquina real ya que tiene un ISP que le brinda salida a internet. El IPS tiene un servicio DHCP con direccionamiento privado que es 10.1.1.0 y ya está configurado para que dicha red pueda salir a internet. Por eso es que colocamos como dirección publica una dirección ip privada la cual fue asignada por el DHCP del ISP. Ya teniendo claramente que son las reglas de nateo vamos a proceder la regla de nateo en POSTROUTING. Nos dirigimos a la pestaña Firewall y damos clic en la opción NAT.
4
En Pfsense las reglas de nateo se hacen llamar de otra forma. Para crear la regla de POSTROUTING debemos ir a la pestaña Outbound. Luego de estar allí seleccionamos la segunda opción que aparece y le damos clic en Save. Cuando le damos clic en Save automáticamente el Pfsense genera la regla de nateo en POSTROUTING. La regla se observa al final de la imagen en un recuadro rojo. Dicho procedimiento se puede ver claramente en la imagen siguiente.
5
Luego de tener nuestra regla de nateo en POSTROUTING no dirigimos hacia un equipo dentro de la red LAN para proceder hacer pruebas. La prueba cuando la regla de nateo es en POSTROUTING es verificar que los equipos de la red LAN pude salir a internet. En la siguiente imagen se muestra un equipo con un direccionamiento ip privado, lo cual quiere decir que es un equipo de la LAN. Este equipo está montado en un sistema operativo Centos.
En el equipo abrimos el navegador e ingresamos a la página de google y buscamos algo en google. En la imagen se muestra cono el equipo si está saliendo a internet esto quiere decir que la regla de nateo en POSTROUTING si está funcionando correctamente.
6
A continuación procedemos a crear las reglas de nateo en PREROUTING, que me van a permitir en redireccionamiento de puertos. Nos dirigimos a la pestaña Port Forwardy damos clic en el cuadrito que aparecen con un signo +, para empezar a crear las reglas de nateo en PREROUTING.
Crearemos primero la regla de PREROUTING para el servicio HTTPS que sería nuestro sitio web seguro que está en la DMZ. Parámetros a configurar se muestra en la siguiente imagen. Y donde dice NAT IP es la ip a donde queremos direccionar el trafico HTTPS, que sería la ip del servidor web en la DMZ y damos clic en Save.
7
Luego de hacer el paso anterior los saldrá una imagen como la que se muestra a continuación que contiene la regla y nos sale un advertencia que debemos de aplicar los cambios, entonces damos clic en Apply changes y nuestra regla será aplicada.
Como lo dije anterior las reglas de nateo en PREROUNTIG me van permitir redireccionar el tráfico de un servicio hacia un equipo especifico. Desde la maquina real que hace parte de la red WAN vamos a acceder al sitio web público de se encuentra en la DMZ. Para ingresar al sitio web debemos de ingresar con la dirección ip pública. Dicha petición va dirigida al Pfsense y como creamos una regla de nateo en PREROUTING para el protocolo HTTPS lo que va hacer el Pfsense es redireccionarlo hacia servidor web. En la imagen siguiente podemos ver claramente accedimos a través de la ip publica al sitio web que se encuentra en la DMZ.
8
Ahora para confirma que si estamos ingresando al sitio web adecuado nos dirigimos hacia el servidor web, listamos el direccionamiento ip para comprobar que si está dentro de un de un rengo privado.
Luego de saber la dirección ip del servidor web procedemos a acceder al sitio web desde la misma maquina. Para ello abrimos el navegador y entramos como https://direccionipdelservidorweb . Cuando accedamos al sitio web nos debe aparecer el mismo contenido que cuando accedimos desde la red WAN. Si el contenido es el mismo la regla se PREROUTING se está aplicando correctamente. En la imagen a continuación se afirma lo anterior.
9
Ahora crearemos otra regla de nateo en PREROUTING. Nos dirigimos de nuevo a la pestaña Port Forward y damos clic en el cuadrito con el signo +.
En esta ocasión la regla de nateo será para el servidor DNS. Para crear la regla de nateo para el servidor DNS los parámetros a llenar son los que se muestran en la imagen siguiente, luego de llenar los parámetros damos clic en Save.
Damos clic en Apply changes para aplicar los cambios y poder aplicar la regla para el ervidor DNS.
10
Para verificar la regla nos vamos para el equipo que pertenece a la red WAN y abrimos la consola CMD ya que en este caso el equipo que pertenece a la red WAN tiene un sistema operativo Windows 7. En la consola CMD digitamos que se ven en la imagen siguiente y están en un recuadro rojo. Cuando vayamos a dar el comando server debemos de colocar la dirección ip de la que se hace pasar por dirección pública en este caso 10.1.1.3 que es la dirección ip que tiene en Pfsense. Si nos resuelve correctamente es porque la regla se está aplicando bien. Si podemos ver en la imagen cuando resolvemos un nombre él nos va a mostrar la dirección ip y el nombre del servidor del servidor DNS.
Vamos a realizar lo mismo para crear la regla de nateo en PREROUTING para el servidor SMTP que sería el servidor de correo que está en la DMZ. Nos dirigimos a la pestaña Port Forward y damos clic en el recuadro con el signo+ que aparece al final.
11
Los parámetros a llenar para la regla de nateo para el servidor SMTP se muestran en la siguiente imagen. Luego de llenar los parámetros guardamos los cambios.
12
Damos clic en Apply changes para aplicar lo cambios en la reglas de nateo.
Desde el equipo que se encuentra en la WAN entramos a la consola CMD y vamos a realizar un telnet para verificar que si halla un servidor de correo y si se esté redireccionando al servidor de correo. Utilizamos el comando como lo muestra la imagen. Parámetros: Telnet: comando a ejecutar 10.1.1.3: dirección ip del servidor SMTP ( Esta es la dirección pública que cuando en pfsense reciba la petición SMTP la redireccione a la ip 192.168.100.10). 25: puerto del servidor SMTP.
Si todo está bien nos debe aparecer algo así como en la imagen. También ejecute el comando que en un recuadro rojo para asegurarme que el servidor de correo este funcionando.
13
A continuación vamos a proceder a realizar lo mismo que hemos venido haciendo pero esta vez será para el servidor POP3. Nos dirigimos a la pestaña Port forwardy damos clic en el cuadrito con el signo +.
Llenamos los campos de igual manera que se muestra en la imagen siguiente para generar la regla de nateo para el servidor POP3 y guardamos.
14
Aplicamos los cambios en las reglas de nateo.
De nuevo nos dirigimos a la máquina que está en la WAN y abrimos la consola CMD y ejecutamos el comando telnet 10.1.1.3 110. Dicho comando lo explique anteriormente.
15
Si todo está bien nos debe aparecer lo mismo que se ve en la imagen siguiente.
Crear reglas en el firewall Como lo dije anterior en la introducción un firewall es elemento dentro de una red diseñada para bloquear accesos no autorizados. Uno de los cortafuegos mas utilizados en el firewall de filtrado de paquetes. Un firewall tiene como función denegar o permitir accesos. En esta ocasión vamos a implementar un firewall en pfsense. En sitio web que trae pfsense para administrar vamos a la pestaña Firewall y seleccionamos la opción Rules para empezar a crear reglas de filtrador de paquetes.
Seleccionamos la pestaña WAN para empezar a crear reglas del trafico de viene desde internet. Cuando seleccionamos esta pestaña nos van a aparecer unas reglas que fueron
16
creadas automáticamente cuando estábamos creado las reglas de nateo en PREROUTING. La primera regla en este caso es la por defecto y esta en permitir todo pero mas adelante la vamos a colocar en denegar por defecto y nada mas se va aceptar el trafico de las reglas que estén permitidas explícitamente. Si colocamos la regla por defecto en denegar la debemos de colocar primero para que las otras reglas de filtrado de paquetes están en aceptar se cumplan. Esto nos ahorro trabajo ya que pfsense la reconoce como si las reglas que nateo en PREROUTING que viene desde la WAN hacia la DMZ son los únicos accesos que va a permitir el firewall desde la WA. Ahora lo que haremos en crear una regla para mostrar como se crean. La regla a crear va hacer para acceder desde la WAN a través del protocolo HTTP el acceso al sitio web de administración del pfsense. Para crear la regla solo basta con dar clic en el cuadrito que contiene un signo + en la parte inferior derecha al final.
Los parámetros a configurar para permitir el acceso al sitio web de administración del pfsense a través del protocolo HTTP se muestran en la siguiente imagen.
17
Luego de realizar el paso anterior y haber guardado nos va a parecer una imagen con la siguiente donde vamos a dar clic en Apply changes para que los cambios sean aplicados. Al aplicar los cambios nos va a aparecer la regla creada al final.
18
A continuacion procederemos a borrar la regla por defecto que esta en permitir todo el trafico. Para ello chuleamos la regla por defecto y al frente aparece un cuadrito con la letra X, basta con solo dar clic alli listo.
19
Luego de hacer el paso anterior damos clic en Apply cahnges para aplicar los cambios de las reglas.
20
Procedemos a crear la regla por defecto en denegar todo, dicha regla hay que crearla al final. Para crear la regla y que quede al final damos clic en el cuadrito con el signo + que aparece al final de la imagen en la parte inferior derecha.
Los parametros para configurar la regla por defecto en denegar todo se muestra en la siguientes dos imágenes y al fina damos clic en Save.
21
Para aplicar los cambios en las reglas damos clic en Apply changes.
22
Procedemos a relizar una prueba, en este caso vamos a realizar la prube con un ping. Nos dirigimos a la maquina real que hace parte de la red WAN, abrimos la consola CMD y listamos la configuracion ip de la maquina.
Ya sabiendo la ip de la maquina vamos a darle ping a la direccion ip publica que tiene en pfsense. Nota: Recuerden que la llamamoos ip publica a dicha ip por que atraves de esa es que salimos a internet y dicha ip sale a internet gracias al ISP. En la siguiente imagen el ping es fracazado ya que no hay una regla en el firewall que permita que le hagan ping al pfsense.
23
Ahora lo que vamos hacer es a permitir el ping desde la WAN hacia en pfsense. Para ello nos dirigimos a sitio web administrativo del pfsense y nos dirigimos a la pestaña Firewall y seleccionamos Rules.
Ahora damos clic en el cuadrito que tiene el signo + al principio que esta ubicado en la parte superior derecha y esta encerrado en un cuadro rojo para añadir la regla que permita el ping.
24
Para permitir el ping desde la red WAN llenamos los paremtros como lo muestra las dos imagenes siguientes y damos clic en Save.
25
Seleccionamos Apply changes para aplicar los cambios echos en las reglas.
Nos dirigimos de nuevo a la maquina real para volver a realizar la prueba del ping. Si podemos ver en la imagen siguiente el ping es satisfactorio eso quiere decir que la regla de si esta aplicando.
26
Ahora vamos a proceder a crear reglas en la DMZ, nos dirigimos a la pestaña DMZ. Lo primero que vamos a realizar es editar que regla que viene por defecto en permitir todo y la vamos a colocar en denagar todo. En la parte derecha de la imagen aparece un cuadrito con la letra e y esta en un recuadro rojo, damos clic alli para editar la regla.
Los parametros para colocar la regla en denegar todo aparece en las dos siguientes imágenes y al fina damos clic en Save para guardar los cambios.
27
Para aplicar los cambios damos clic en Apply changes y podemos observar que la regla a cambiado correctamente.
Ahora vamos a proceder a crear una regla que se le va a permitir a la red DMZ salir a todo hacia la red WAN. Nos dirigimos a el cuadrito con el signo + que aprece al principio en la parte derecha de la imagen.
28
Para permitir que salgo todo el trafico de la DMZ hacia internet los parametros a configurar en la regla de muestran a continuacion en las dos siguientes imágenes.
29
Damos clic en Apply changes y veremos a regla creada en el paso anteior.
A continuacion crearemos una regla para permitir el ping desde la DMZ hacia la misma DMZ esto me va a permitir probar conectidad dentro de la misma red y es mas me va permitir darle ping a la puerta de enlace de la DMZ. Nos dirigimos al recuadro que contiene un signo + para añadir la nueva regla.
Para añadir la regla de ping en la misma DMZ los parametro a configurar en la regla se pueden observar en las dos siguientes imágenes.
30
31
Damos clic en Apply changes y podremos ver la regla creada en el paso anterior.
Haremos pruebas dandole ping a la puerta de enlace de la DMZ y damole ping a la puerta de enlace del firewall que en este caso es la ip que tiene acceso a internet. En la siguiente imagen se observa que los ping son satisfactorios. Desde la DMz le pueden dar ping a cualquier equipo de la WAN por que se le esta permitiendo todo el trafico hacia la WAN.
32
En la imagen que sigue se muestra que desde ls red DMZ no se le pueda dar ping a ningun hosts de la red LAN ya que anteriormente no se especifico que la DMZ le podia dar ping a cualquier hosts de la LAN.
La regla por defecto en la red LAN es permitir todo trafico hacia las otras redes que son l red DMZ y la WAN. No se muestra en una imagen por que por defecto viene asi. En la imagen siguiente se muestra el sitio web de la red LAN.
Ahora lo que vamos a hacer es realizar la prueba desde la DMZ y verificar que desde la DMZ no se puede acceder al sitio web de la LAN ya que no hay una regla que lo permitera desde la DMZ. Com ose observa en la imagen no se puebe establecer una conexión con el servidor web de la red LAN.
33
Nos dirigimos a la maquina que esta en la red LAN y realizar la prueba que desde cuaquier equipo de la red Lan si puede acceder a la sitio web de la red DMZ. Se puede observar en la imagen siguiente que si se pudo acceder al sitio web de la DMZ.
34
Desde la misma maquina de la LAN vamos a probar los servicios SMTP, POP3 y DNS y la conectividad a traves del ping. Utilizamos el comando telnet y la direccion ip del servidor que contiene los servicios dichos anterior y al final del comando colocamos el puerto por donde escucha el servicio. Esta en la prueba con el servidor SMTP o correo yes satisfactoria.
Esta es la prueba con el servidor POP3 y es satisfactoria.
Para hacer la prueba del DNS utilizamos los comando mostrados en el recuadro rojo de la imagen siguiente. Por cada comando se da enter y al final se resulve un nombre que este en servidor DNS.
35
Ahora probaremos que desde la red LAN se puede probar conectivadas con las redes WAN, DMZ y la misma LAN. Desde la consola listamos la configuracion ip de la maquina para verificar que si es un equipo de la LAN.
Ahora probamos ping con cada una de las direcciones ip que estan en cada una de las redes.
36
37
CONCLUSIONES
Las reglas de nateo me van a permitir redireccionar el tráfico entrante y enmascaramiento de ip. Existen dos tipos de reglas para nateo que son : PREROUTING que son las que me permitir el redireccionamiento del trafico entrante y las reglas de nateo en POSTROUTING que son las que me permiten enmascarar mi red LAN con la dirección ip publica y así la red lan pueda salir a internet. Un firewall me va permitir controlar todo el tráfico que se va a trasmitir de una red a otra red con reglas de permitir o denegar. Las funciones de un firewall son las de permitir o denegar el tráfico. Al implementar un elemento se red como los es el firewall se va a brindar más seguridad para la red. Ya que puede controlar el tráfico don el firewall y así serán menos las posibilidades de ataques a hacia mi red.
38
View more...
Comments