www.monografias.

com

Instalacin y Configuracin de Firewall bajo Linux BSD

En este capitulo veremos como instalar y realizar configuraciones bsicas de un firewall con ruteo, y la opcin de poder filtrar puertos, tanto entrantes como saliente. Pfsense, es una distribucin basada en Linux B ! "ue esta destinada a cumplir la funcin de router#firewall, con la capacidad de instalar otro tipos de pa"uetes, como por e$emplo "uid# "uid% . La instalacin de esta distribucin es muy sencilla, por lo "ue no vamos a profundizar en esto. En primer lugar debemos descargar la &magen & ' del sistema operativo ( )ttp*##www.pfsense.org +, arrancar nuestro pc, y ya entramos en la consola de administracin. olo )ay "ue decirle "ue aceptamos los parmetros por defecto y "ue utilice todo el disco. ,omo re"uisito fundamentar es "ue cuando arran"uemos el e"uipo, nos va a pedir como m-nimo . placas de red, una /01 y otra L01, en la configuracin podemos setear los parmetros de nuestro servidor !2,P L01. Luego de configurar estas cuestiones vamos a poder entrar a la administracin /EB, por defecto es )ttp*##34..356.3.3 con el usuario 7admin8, y contrase9a 7pfsense8. 1o nos apuremos ya "ue veremos como ir aumentando nuestra seguridad. Paso 1 : ccesso !fsense"1"1 #i$agen 1%

0"u- tenemos la interfaz web de administracin $unto a una consola de administracin, en lo "ue vamos a ver en el servidor, en este caso me conecte v-a 2 )abilitado con la opcin 3:. !esde el servidor /eb escrito p)p vamos a iniciar la configuracin de Pfsense, observando en ;irewall <ules , "ue viene todo )abilitado por defecto, es decir conexiones entrantes y salientes Paso & : 'eglas Salientes !fsense"&"1 #i$agen &%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

En este paso vamos a filtrar todos los puertos salientes de cada )ost o pc a la &nterface /01. Es decir toda nuestra red, en este caso, va a poder solamente navegar por paginas )ttp#)ttps )aciendo con consuldas !1 por =!P. Primero des)abilitar la regla por defecto (clic> en el icono verde de play+ o simplemente tildar e ir a la cruz del lado derec)o de nuestra pantalla. Luego, ir al icono ?@A, a"u- seleccionamos* 3+ &nterface * L01 .+ Protocolo * B,P # =!P (segCn puerto o servicio+ %+ ource * Lan ubnet :+ !estination Port * 6D (en este caso, se pueden elegir desde el submenC+ E+ !escription * 0lgo "ue identifi"ue la regla a modo comentario El resto de las cosas van por defaulto, observar "ue se puede aplicar la regla segCn el istema 'perativo 2ost. Paso ( : 'eglas )ntrantes !fsense"("1 #i$agen (%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

0"u- la misma metodolog-a "ue el P0 ' ., ;irewall 10B* 3+ &nterface * /01 .+ !estingatio por <ange * Puerto por el cual "ueremos ingresar %+ <edirect target &P * &P del 2ost "ue deseamos acceder :+ <edirect target Port * Puerto "ue esta a la escuc)a ese )ost =na vez configurado el 10B, nos creara la regla en la &nterface /01, a"u- una buena practica, es cambiar el puerto de acceso, es decir, si "ueremos acceder a un ervidor de ;tp, ingresar desde la /01, mediando un puerto alto (e$. ..D.3+ y el Pfsense se encargara de llevarnos a puerto .3 del )ost. 0"u- vemos otras reglas creadas para el acceso remoto a la /eb de Pfsense. Paso * : cceso Seguro !fsense"*"1 #i$agen *%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Para configurar un acceso seguro al servidor, ystem 0dvance, a"u- elegimos el Protocolo 2BBP $unto a un puerto alto, asi los escaneos de red demorar-an es dar con este servicio. Luego podemos )abilitar el acceso remoto por 2 con la misma seguridad. Por ultimo, una opcin "ue utilizamos muc)o, es en 7,onsole 'pcion8, tildar la Cnica opcin, para "ue solo los usuario permitidos puedan ingresar a este ;irewall. Paso + : Seguridad D,CP !fsense"+"1 #i$agen +%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

0"u- podemos fi$ar las &P de nuestros )ost, para luego poder adoptar una pol-tica de filtros, y dems. olo debemos ir a tatus !2,P Leases y veremos las ma"uinas activas o un )istrico de validacin, en el icono ?@A, no llevara a realizar este paso, ingresando la &P deseada, y una descripcin. Luego vamos a las configuracin en evices !2,P erver, y veremos los )osts agregados. =na opcin egura el Bildar 7!eny =n>nown ,lients8, es decir, cual"uier )ost no ingresado en esta lista, no se le asignara &P, por ende no acceder a ningCn recurso. Paso - : 'utinas de cceso !fsense"-"1 #i$agen -%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Para configurar un es"uema de accesos debemos ir a ;irewall c)edules ?@A !onde le pondremos nombre y descripcin. Luego marcarmos d-as (para seleccionar e$, todos los lunes, )acer clic> en Fon+, para finalizar el )orario y 7add time8 para ver el e"uema deba$o. Luego podemos )acer uso del mismo al configurar una <egla en Paso . o % , para por e$emplo acceder a los 10B en el )orario seleccionado, y luego se cierren los puestos. En este caso solo se permitirn el uso, todos los d-as de 6am a 36pm. Paso . : Instalacion de Pa/uetes !fsense"."1 #i$agen .%

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Por ultimo, explicaremos como )acer uso de pa"uetes disponibles para instalar en nuestro servidor. !irigirnos a ystem Pac>age Fanager, y solo resta clic> en ?@A. Luego para la configuracin del mismo depender si es )errmienta de diagnostico, servicio, etc. ,abe mencionar "ue a"u- encontraremos la )erramienta "uid para configurar nuestro proxy. Paso 0 : d1ertencia y 'eco$edacion !fsense"0"1 #i$agen 0%

Gerificar intensamente logs del servidor y el estado del mismo, mediante las )erramientas de monitoreo y grafico de conexiones. e recomienda instalar y )acer uso del pa"uete 1F0P, desde los repositorios para realizar escaneos de red a fin de obtener, los puertos accesibles de cada )ost, o inclusivo c)e"uear el estado de otras &P Publicas. Es una )erramienta "ue nos brinda informacin precisa, muy Ctil para resolver problemas de conexiones En estos oc)o pasos, logramos tener un ;irewall de <ed configurado en forma segura, si a este lo comparamos con un router convencional . En cuanto a 2ardware, re"uiere de minimas caracteristicas, como procesadores &ntel Pentium &&& en adelante, y un minimo de .E5 de <am con un minimo de 6 Higabytes de espacio en disco. En mi experiencia me )a dado muy bueno resultados montandolos sobre servidores con alta reduncia pero con )ardware un poco obsoleto, como ser !ual Pentium &&& , en <aid 3 y la posibilidad de fuentes redundantes. En cuanto a configuracion es totalmente customizable a nuestras necesidades, por la capacidad de tener multiples capas de red, y )acer uno reduncancias de conecciones /01, mediante ;ailover o Balance de las mismas, como asi tambien multiples &nterfaces L01, para aislar Brodcasts entre ma"uinas clientes y servidores en produccion por e$emplo.

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

En cuanto a la configuracion de Glans, es factible verificar el modelo de las placas de red en la pagina de Pfsense, para ver si la proxima a configurar es aceptada para este proposito. Esta )erramienta cuenta con soporte mediante un foro un extenso en la cual )ay muc)isima informacion, y las consultas son respondidas a la brevedad. Para finalizar cabe mencionar, "ue Pfsense esta basado en la distribucion Linux B !. 0utor 2usta1o 3artin 3oglie gmoglieIlin>tec.com.ar

Para ver traba$os similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com