15021977 Escenarios Firewall

download 15021977 Escenarios Firewall

of 129

Transcript of 15021977 Escenarios Firewall

  • 8/3/2019 15021977 Escenarios Firewall

    1/129

    IMPLEMENTACION DE FIREWALLS EN DIFERENTES ESCENARIOS.

    Cristina Piedrahita Crdenas.

    Cindy Yurley Muoz Castao.

    Jonathan Andrs Loaiza Garca.

    Roger Esteban Olarte Sabala.

    ADMINISTRACION DE REDES DE COMPUTADORES

    MEDELLIN

    2009

  • 8/3/2019 15021977 Escenarios Firewall

    2/129

    LICENCIA

    Reconocimiento (Attribution): Debe reconocer los crditos de la obra

    de la manera especificada por el autor o el licenciador (pero no de una

    Manera que sugiera que tiene su apoyo o apoyan el uso que hace de su

    Obra).

    No Comercial (Non commercial): No puede utilizar esta obra para fines

    comerciales.

    Compartir Igual (Share alike): Si altera o transforma esta obra, o

    genera una obra derivada, slo puede distribuir la obra generada bajo

    una

    Licencia idntica a sta.

    Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de

    la licencia de esta obra.

    Alguna de estas condiciones puede no aplicarse si se obtiene el permiso

    del titular de los derechos de autor.

    Nada en esta licencia menoscaba o restringe los derechos morales del

    autor.

  • 8/3/2019 15021977 Escenarios Firewall

    3/129

    INTRODUCCION

    Cada da que pasa las empresas buscan mejorar sus tecnologas y por

    supuesto su seguridad de la informacin, ya que tambin en el mundo

    van evolucionando y se van encontrando nuevas vulnerabilidades en

    dicha seguridad.

    Por esto aparecen soluciones como es la implementacin de un firewall,

    lo cual puede llegar aportar una gran parte en la seguridad de una

    compaa o empresa.

    Este manual se hace con el fin de brindarle un poco mas de informacin

    a aquellas personas que as como nosotros se sienten atradas por algo

    tan interesante como son las telecomunicaciones.

  • 8/3/2019 15021977 Escenarios Firewall

    4/129

    Antes de iniciar con las configuraciones de cada uno de los escenarios

    debemos tener en claro la siguiente terminologa:

    Firewall o cortafuegos es un dispositivo en hardware o software de

    seguridad perimetral, que permite controlar el trfico de entrada y salida;

    ya sea desde o hacia la red, o hacia un equipo en especfico. Su

    funcionamiento se basa en crear una barrera ya sea entre un equipo y

    una red, como en el caso de un firewall personal o entre dos tipos de

    redes como es el caso de un firewall de red.

    ISA Server(Internet Security and Acceleration) es un software de

    seguridad perimetral de Microsoft (licencia privativa) que permite

    implementar un firewall y al mismo tiempo un Proxy cache, protegiendo

    as el entorno de TI(Tecnologas de Informtica) frente a las amenazasprocedentes de Internet.

    Iptables es una herramienta que permite al administrador manejar

    netfilter (el cual esta vinculado al kernel de Linux), en pocas palabras

    hace parte del sistema operativo, pudiendo as definir polticas de filtrado

    del trafico el cual circulan por la red; Iptables es utilizando como

    herramienta para tal fin.

    Endian FireWall (EFW) es una distribucin de seguridad con Licencia

    Opensource basada en el kernel de Linux, que permite tener un

    Firewall con una cantidad de caractersticas para la seguridad

    perimetral. Endian FireWall incluye inspeccin de paquetes, como

    Proxy en la capa de aplicacin para varios protocolos (HTTP, FTP,

    POP3, SMTP) con soporte antivirus y filtrado de spam para trficos decorreo (POP y SMTP), y contiene filtrado de trafico Web.

  • 8/3/2019 15021977 Escenarios Firewall

    5/129

  • 8/3/2019 15021977 Escenarios Firewall

    6/129

    Recomendaciones:

    Aprenda como enrutar trfico de usuarios con diferentes sistemas

    operativos hacia INTERNET.

    No use un servidor Proxy, solo necesitamos enrutar las comunicaciones.

    NUESTRO PRIMER ESCENARIO ESTA IMPLEMENTADO ASI:

    Descripcin:

    Tenemos dos tarjetas de red conectadas en nuestro PC que operara como

    Firewall, cada una de las tarjetas estn conectadas a una red diferente, as:

    Una de las interfaces esta conectada con la WAN (Internet),la cual posee la

    direccin de red 10.3.6.46/25 y la Segunda interfaz esta conectada a nuestra

    red privada LAN y posee la direccin IP 192.168.20.238/24.

    Las direcciones IP de los cuatro (4) equipos que podrn salir a internet son:

    192.168.20.11/24

  • 8/3/2019 15021977 Escenarios Firewall

    7/129

    192.168.20.12/24

    192.168.20.13/24

    192.168.20.14/24

    Ningn tipo de trfico podr ingresar a nuestra LAN desde la WAN.

    CONFIGURACION DE IPTABLES COMO GATEWAY

    Para la realizacin de este escenario, hemos decidido implementar la

    herramienta que nos ofrece el sistema LINUX, llamado IPTABLES.

    Antes de empezar a configurar el firewall debemos conocer las siguientes

    variables y sus significados:

    -A Con esta variable debemos especificar la cadena en lacual se aplicara la regla (PREROUTING-FORWARD-POSTROUTING-INPUT-

    OUTPUT).

    -s Con esta variable especificamos el origen al cual se le

    aplicara la regla (Si esta variable no es especificada, se tomaran todos los

    orgenes (0.0.0.0/0)).

    -d Esta variable nos especifica el destino, al cual se leaplicara la regla (Igualmente si no se especifica se tomaran todos los destinos).

    -p En esta variable especificamos el protocolo de capa

    de transporte al cual le aplicaremos la regla (Igualmente si no se especifica se

    tomaran todos los protocolos).

    -dport Con esta variable especificamos e

    puerto destino al cual le aplicaremos la regla (Igualmente si no se especifica se

    tomaran todos los puertos (Desde el 1 al 65535)).

  • 8/3/2019 15021977 Escenarios Firewall

    8/129

    -j Esta variable especifica la ACCION que se tomara para esta

    regla (ACCEPT-REJECT-DROP)

    ACCEPT: Se tomara la opcin de ACEPTAR todo lo que cumpla con lodefinido anteriormente en la regla.

    REJECT: Se tomara la opcin de RECHAZAR todo lo que cumpla con lo

    definido anteriormente en la regla, pero se le avisara al usuario que

    inicio la conexin, la ACCION que se a tomado.

    DROP: Se tomara la opcin de RECHAZAR todo lo que cumpla con lo

    definido anteriormente en la regla, pero NO se le avisara al usuario queinicio la conexin, la ACCION que se a tomado.

    Ahora crearemos un script con la extensin .sh para realizar la configuracin,

    al cual llamaremos nuestro-firewall.sh y estar ubicado en/etc/.

    Para llevarlo a cabo es necesario abrir la consola y loguearse en ella como

    root, y luego ejecutamos los siguientes comandos.

    Crearemos el script as:

    #touch /etc/nuestro-firewall.sh

    Ingresamos al archivo utilizando un procesador de textos (vi, vim, pico, nano,

    gedit, etc)

    #pico /etc/nuestro-firewall.sh

    Y ahora le agregaremos las siguientes lneas:

  • 8/3/2019 15021977 Escenarios Firewall

    9/129

    #!bin/sh -e

    # habilitar enrutamiento

    echo "1" > /proc/sys/net/ipv4/ip_forward

    # REGLAS DE NUESTRO FIREWALL-IPTABLES

    # liberar tablas de filtrado

    iptables -F

    # liberar tablas de NAT

    iptables -t nat -F

    # Habilitar NAT

    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    # Permitir 4 usuarios

    iptables -A FORWARD -s 192.168.20.11 -j ACCEPT

    iptables -A FORWARD -s 192.168.20.12 -j ACCEPT

    iptables -A FORWARD -s 192.168.20.13 -j ACCEPT

    iptables -A FORWARD -s 192.168.20.14 -j ACCEPT

    # Permitir conexiones establecidas y relacionadas

    iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

    iptables -A FORWARD -m state --state RELATED -j ACCEPT

    #Para que la interfaz WAN no haya acceso a la red interna

    Iptables A FORWARD i eth1 d 192.168.20.0/24 j DROP

    # DROP by default en FORWARD

    iptables -P FORWARD DROP

  • 8/3/2019 15021977 Escenarios Firewall

    10/129

    # FINAL

    echo "Iniciando Nuestro Firewall-Iptables"

    exit 0

    Guardamos y Salimos del archivo.

    Nota: Esta primer lnea la agregamos con el fin de habilitar enrutamiento entre

    interfaces, es decir dentro del archivo ip_forward se escribir el numero uno

    (1) en dicho archivo. Si en este archivo reencuentra el numero cero (0) significa

    que el enrutamiento entre interfaces estar deshabilitado.

    Ahora ejecutamos el Script, as: sh x (Ejecutar) + Nombre del archivo

    sh x nuestro-firewall.sh

    Damos Enter

    As nos aparecer la Ejecucin del Script, el cual nos permite ver errores de

    nuestro archivo:

    El smbolo + en cada lnea significa que dicha lnea esta correcta. Si

    NO llegase aparecer alguna lnea con el + y nos dice: NOT FOUND

    significa que la lnea esta errnea y debemos ingresar al archivo para

    editarla.

    # sh -x nuestro-firewall.sh

    + echo 1

    + iptables -F

    + iptables -t nat -F

  • 8/3/2019 15021977 Escenarios Firewall

    11/129

    + iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    + iptables -A FORWARD -s 192.168.20.11 -j ACCEPT

    + iptables -A FORWARD -s 192.168.20.12 -j ACCEPT

    + iptables -A FORWARD -s 192.168.20.13 -j ACCEPT

    + iptables -A FORWARD -s 192.168.20.14 -j ACCEPT

    + iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

    + iptables -A FORWARD -m state --state RELATED -j ACCEPT

    + iptables -A FORWARD -i eth1 -d 192.168.20.0/24 -j DROP

    + iptables -P FORWARD DROP

    + echo Iniciando Nuestro FireWall-Iptables

    Iniciando Nuestro FireWall-Iptables

    + exit 0

    VERIFICAMOS LAS TABLAS DE FILTRADO (FILTER).

    El comando que utilizaremos para ver las cadenas de INPUT-FORWARD-

    OUTPUT por consola es: Iptables L n

    Ejemplo:

    # iptables -L n

    Chain INPUT (policy ACCEPT)

    target prot opt source destination

  • 8/3/2019 15021977 Escenarios Firewall

    12/129

    Podemos ver que las polticas por defecto de Forward es DROP.

    Chain FORWARD (policy DROP)

    target prot opt source destination

    Aqu vemos que se estn permitiendo la salida a solo Cuatro usuarios:

    ACCEPT all -- 192.168.20.11 0.0.0.0/0

    ACCEPT all -- 192.168.20.12 0.0.0.0/0

    ACCEPT all -- 192.168.20.13 0.0.0.0/0

    ACCEPT all -- 192.168.20.14 0.0.0.0/0

    Aqu vemos que se estn permitiendo las conexiones relacionadas y

    establecidas:

    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED

    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED

    Aqu vemos que no se esta permitiendo el trafico desde Internet hacia

    nuestra LAN.

    DROP all -- 0.0.0.0/0 192.168.20.0/24

    Chain OUTPUT (policy ACCEPT)

    target prot opt source destination

    VERIFICAMOS LAS TABLAS NAT.

  • 8/3/2019 15021977 Escenarios Firewall

    13/129

    El comando que utilizaremos para ver las cadenas de PREROUTING-

    POSTROUTING por consola es: Iptables t nat L

    Ejemplo:

    # iptables -t nat -L -n

    Chain PREROUTING (policy ACCEPT)

    target prot opt source destination

    Aqu podemos ver que se esta aplicando el enmascaramiento para todos

    los orgenes y todos los destinos.

    Chain POSTROUTING (policy ACCEPT)

    target prot opt source destination

    MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

    Chain OUTPUT (policy ACCEPT)

    target prot opt source destination

    LISTO

  • 8/3/2019 15021977 Escenarios Firewall

    14/129

    ESCENARIO 2: FILTRADO BSICO (Configuracin media)

    Fig 2. Escenario 2

    Los requerimientos para el escenario 2 son:

  • 8/3/2019 15021977 Escenarios Firewall

    15/129

    Cada servidor en la LAN tiene diferentes direcciones IP, se debe

    garantizar el acceso desde Internet a estas aplicaciones.

    Se debe denegar el acceso a las aplicaciones mencionadas para los

    usuarios de la LAN, tenga en cuenta que las aplicaciones podran abrir

    mas puertos de los esperados, por favor haga pruebas para confirmar

    que el firewall filtra adecuadamente.

    Existen 2 usuarios administradores en la LAN, los cuales por ningn

    motivo deben estar bloqueados, hay que garantizar el acceso a

    INTERNET para estos usuarios.

    Recomendaciones:

    Piense como un intruso, como hara usted para vulnerar laimplementacin que realiz?

    Recuerde que el instructor va a confirmar la seguridad de su

    implementacin.

  • 8/3/2019 15021977 Escenarios Firewall

    16/129

    NUESTRO SEGUNDO ESCENARIO ESTA IMPLEMENTADO ASI:

    Descripcin:

    Tenemos dos tarjetas de red conectadas en nuestro PC el cual instalaremos

    ISA server 2006 para operar como Firewall, cada una de las tarjetas estn

    conectadas a una red diferente, as:

    Una de las interfaces esta conectada con la WAN (Internet),la cual posee la

    direccin de red 10.3.6.66/25 y la Segunda interfaz esta conectada a nuestra

    red privada LAN y posee la direccin IP 192.168.20.1/24.

  • 8/3/2019 15021977 Escenarios Firewall

    17/129

    INSTALACION DE ISA SERVER 2006

    REQUISITOS:

    Primero debemos tener preinstalado como mnimo el Service pack 2 de

    nuestro sistema operativo Windows Server, estos Service Packs los

    podremos descargar desde la pagina oficial de Microsoft.

    Tener una cuenta de Administrador en el sistema.

    Mnimo 150MB de espacio libre en Disco.

    Un equipo con dos tarjetas de red interconectadas...

    PASOS A SEGUIR:

  • 8/3/2019 15021977 Escenarios Firewall

    18/129

    1. Teniendo nuestro paquete o CD de instalacin de ISA Server, lo ejecutamos,

    ya sea dando doble clic sobre el.exe o poniendo a bootear el CD de instalacin

    del mismo.

    2. Nos aparecer el informe que nos dice la ruta donde se ubicara el ISA

    Server, la cual por omisin es la particin del sistema C: y el espacio libre en

    disco necesario para dicha instalacin. Damos clic en Si para proceder con la

    instalacin.

    Veremos como comienzan a extraerse todos los archivos necesarios.

  • 8/3/2019 15021977 Escenarios Firewall

    19/129

    3. Ahora nos aparece el Programa de instalacin de ISA Server, el cual nos

    permite diversas tareas como son:

    Leer notas de la versin.

    Leer gua de instalacin.

    Leer la gua de inicio rpido.

    Leer gua de actualizacin.

    Salir del programa de instalacin.

    Instalar ISA Server 2006

  • 8/3/2019 15021977 Escenarios Firewall

    20/129

    Elegimos la opcin Instalar ISA Server 2006.

    Comienza la comprobacin de los componentes del sistema, como lo es el

    Service Pack instalado, el espacio libre en disco, etc.

  • 8/3/2019 15021977 Escenarios Firewall

    21/129

    4. Ahora se inicia el Asistente para la instalacin, el cual nos guiara durante la

    instalacin de nuestro ISA. Pulsamos el botn Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    22/129

    5. Nos aparece los trminos de licenciamiento del ISA Server, los cuales

    debemos leer y aceptar, para proceder con nuestra instalacin.

  • 8/3/2019 15021977 Escenarios Firewall

    23/129

    6. Ingresamos el nombre de usuario y el serial de nuestro ISA Server.

    7. Aqu elegimos el tipo de escenario que deseamos montar con nuestro ISA

    Server.

    La primer opcin nos permite instalar un Servidor ISA Server, pero sin el

    Servidor de Almacenamiento.

    La segunda opcin nos permite instalar un Servidor de Almacenamiento,

    pero sin el Servidor ISA Server. La tercera opcin nos permite instalar tanto un Servidor ISA Server como

    el Servidor de Almacenamiento.

    Y la cuarta opcin nos permite instalar herramientas para Administrar

    Servidores ISA Server de forma remota.

    Para nuestras necesidades elegiremos la opcin numero 3. Clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    24/129

    8. Aqu nos muestra los componentes que se instalaran, como son el Servidor

    de Almacenamiento y el Servidor ISA.

  • 8/3/2019 15021977 Escenarios Firewall

    25/129

    9. En esta parte de la instalacin el Asistente nos pregunta si este servidor se

    creara con una configuracin desde cero (0) por decirlo as, o tomara la

    configuracin de otro servidor ya existente.

    10. Nos aparece una alerta que nos informa que este ser el primer servidor de

    Almacenamiento en nuestra organizacin y que en caso de instalar un segundo

    servidor ISA debemos copiar la informacin desde este (el primero). Clic en

    Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    26/129

    11. Aqu nos pide que especificamos cual ser la interfaz conectada a nuestra

    red LAN (interna). Para agregar la interfaz damos clic en Agregar....

  • 8/3/2019 15021977 Escenarios Firewall

    27/129

    Nos aparecer una pequea ventanita como esta. Aqu damos clic en Agregar

    adaptador....

    En esta nueva ventanita elegimos el Adaptador de red correspondiente a

    nuestra LAN, en nuestro caso la conexin de rea local 2, la cual posee la

    direccin IP 192.168.20.1/24. Luego clic en Aceptar.

  • 8/3/2019 15021977 Escenarios Firewall

    28/129

    Nos quedara algo como esto, clic en Aceptar.

  • 8/3/2019 15021977 Escenarios Firewall

    29/129

    Ahora ya con la interfaz configurada damos clic sobre el botn Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    30/129

    12. Aqu podremos permitir que el Firewall se pueda entender con sistemas

    operativos Windows antiguos como son: Windows 98 SE, Windows ME o

    Windows NT 4.0, ya que ellos utilizan conexiones cifradas con algoritmos no

    compatibles con ISA.

    13. Aqu nos muestran los servicios que se reiniciaran y los que se

    deshabilitaran durante el proceso de instalacin. Clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    31/129

    14. Ya estamos listos para la instalacin la cual tardara unos cuantos minutos

    PACIENCIA!. Damos clic en Instalar.

  • 8/3/2019 15021977 Escenarios Firewall

    32/129

    Contina el proceso de instalacin...

    15. Finaliza el proceso de instalacin. Clic sobre el botn Finalizar.

  • 8/3/2019 15021977 Escenarios Firewall

    33/129

    16. Ahora nos pide muy encarecidamente que reiniciemos el equipo para que

    los cambios surtan efectos. Damos clic en Si.

    Listo!!!!!!!!!!!!

  • 8/3/2019 15021977 Escenarios Firewall

    34/129

    NAT POR DEFECTO ENTRE LA LAN Y LA WAN

    Isa Server trae la ventaja de que ya trae la regla de NAT para darles salida

    hacia Internet a nuestros equipos de la LAN.

    Para ver esta regla nos vamos por Matrices-El nombre de nuestro equipo,

    expandimos configuracin, en REDES vamos a la Reglas de red. Veremos

    algo como esto:

    Si damos clic derecho sobre esta regla y luego clic en propiedades podremos

    ver lo siguiente:

    En la pestaa General podemos ver el nombre de la regla y que esta habilitada.

  • 8/3/2019 15021977 Escenarios Firewall

    35/129

    En la pestaa Redes de origen, vemos las redes de origen.

    En la ficha Redes de destino, vemos las redes de destino.

    En la ficha Relacin de redes, podremos ver que la accin que se esta

    tomando la cual es Traduccin de direcciones de red (NAT)

  • 8/3/2019 15021977 Escenarios Firewall

    36/129

    CREANDO REGLAS

    A la hora de crear reglas, ya sea para denegar o permitir accesos, debemos

    tener muy en cuenta que un Firewall lee una a una las reglas que el

    Administrador le haya especificado, siguiendo el orden; es decir primero la

    regla #1, luego la #2, la #3, y as sucesivamente. Por lo tanto debemos ser muy

    cuidadosos a la hora de establecer el orden de dichas reglas para poder que se

    comporten tal cual lo deseamos.

    Ejemplo:

    Supongamos que queremos denegar el acceso a internet a un usuario llamado

    user1, pero permitirles el acceso a todos los dems usuarios.

    Si ponemos de primera la regla que permite el acceso a todos los usuarios y

    luego la que deniega al usuario. No estaramos haciendo nada ya que el

    Firewall leera la primera regla, la cual permite el acceso de todos los usuarios

    a Internet y entonces este usuario que deseamos denegar tambin lo tendra.

    El orden correcto para dichas reglas seria primero denegar dicho usuario y

    luego permitirle el acceso a toda la red.

  • 8/3/2019 15021977 Escenarios Firewall

    37/129

    ACCESO A DOS USUARIOS ADMINISTRADORES.

    Ahora crearemos la regla para permitirle acceso a todo a dos usuarios

    administradores de nuestra red, para ello seguiremos los siguientes pasos:

    1. Expandimos Matrices y luego el nombre de nuestro equipo (en nuestro caso

    FIREWALL), damos clic sobre Directivas de Firewall (FIREWALL) al lado

    derecho podremos ver cuadro en el cual podremos ver todas las tareas de

    directivas de firewall que podremos disear. Damos clic en Crear regla de

    acceso.

  • 8/3/2019 15021977 Escenarios Firewall

    38/129

    2. Nos aparecer el Asistente para nueva regla de acceso el cual nos ayudara

    durante el proceso de creacin de una nueva regla de acceso, le damos un

    nombre a la regla y clic en Siguiente.

    3. Luego nos dice que si la regla va a permitir o denegar algo, en este caso

    permitiremos el acceso a todo para dos usuarios Administradores. Clic en

    Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    39/129

    4. Ahora debemos elegir el tipo de trafico al cual se le permitir, en este caso

    elegimos Todo el trafico saliente y damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    40/129

    5. Aqu debemos agregar a cuales orgenes se le aplica esta regla para ello

    damos clic en Agregar.

    Nos aparecer una ventanita como la siguiente y como ya dijimos que solo le

    permitiremos todo a dos usuarios, entonces deberemos crearlos, para ello

    damos clic en Nuevo y luego clic en Equipo.

  • 8/3/2019 15021977 Escenarios Firewall

    41/129

    Aqu le damos un nombre al nuevo equipo y la direccin IP para dicho equipo.

    Clic en Aceptar.

  • 8/3/2019 15021977 Escenarios Firewall

    42/129

    As lo hacemos con cada uno de los equipos a los cuales les permitiremos el

    acceso a todo. Despus de crearlos los podremos agregar buscndolos en

    Equipos.

    6. Despus de agregarlos damos clic en Siguiente.

    7. Ahora debemos agregar los destinos a los cuales se le permitirn los

    accesos a los Administradores, en este caso damos clic en Agregar... y

    agregamos la Externa. Clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    43/129

    8. En este caso damos Siguiente ya que no estamos utilizando un sistema de

    directorios para agregar usuarios.

  • 8/3/2019 15021977 Escenarios Firewall

    44/129

    9. Aqu podremos ver que el Asistente para nueva Regla de acceso ha

    finalizado correctamente la creacin de la nueva regla de Acceso. Clic en

    Finalizar.

  • 8/3/2019 15021977 Escenarios Firewall

    45/129

    PERMITIR EL ACCESO A NUESTROS SERVICIOS DE RED.

    Para permitir el acceso a nuestros servicios de red excepto para los servicios

    de HTTP y de Correo, debemos seguir los siguientes pasos:

    1. Nuevamente para crear una regla de acceso a nuestros servicios, vamos a

    Directivas de Firewall, pero esta vez damos clic sobre Publicar protocolos de

    servidor no web.

  • 8/3/2019 15021977 Escenarios Firewall

    46/129

    2. Aparecer el Asistente para nueva regla de publicacin de servidor, el cual

    ser el encargado de guiarnos durante la creacin de la regla. Le damos un

    nombre a la regla y clic en Siguiente.

    3. Aqu debemos escribir la direccin IP del servidor al cual se permitir acceso

    desde la red WAN (Internet).

  • 8/3/2019 15021977 Escenarios Firewall

    47/129

    4. Escogemos el tipo de servicio que estar prestando nuestro servidor de los

    que se muestran en la lista.

  • 8/3/2019 15021977 Escenarios Firewall

    48/129

    En caso de no encontrar el servicio que buscamos, tenemos la opcin de crear

    uno nuevo. Para ello damos clic en Nuevo.

  • 8/3/2019 15021977 Escenarios Firewall

    49/129

    Nos aparece el Asistente para nueva definicin de protocolos, y le damos el

    nombre que tendr el nuevo servicio.

  • 8/3/2019 15021977 Escenarios Firewall

    50/129

    Aqu debemos agregar los puertos, el protocolo y la direccin que utilizara la

    conexin. Para ello damos clic en Nueva.

  • 8/3/2019 15021977 Escenarios Firewall

    51/129

    Elegimos el protocolo ya sea TCP o UDP, la direccin sea de Entrada o de

    Salida y el intervalo de puertos.

    NOTA: La direccin de Entrada es cuando el trfico va desde la WANhacia la LAN y la direccin de Salida cuando el trfico va desde la LAN

    hacia la WAN.

    Nos quedara algo como esto, clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    52/129

    Llegamos a las conexiones secundarias, aqu le podemos decir que nuestro

    servidor est escuchando por ms de un puerto, para ello decimos que SI,si

    las necesitamos y la creamos dando clic en Nueva, pero como este no es elcaso, la dejamos en NO y damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    53/129

    Finalizamos el asistente de creacin del nuevo protocolo.

  • 8/3/2019 15021977 Escenarios Firewall

    54/129

    5. Despus de crearlo, lo escogemos y pulsamos el botn Siguiente.

    6. Escogemos cual ser la interfaz de red de nuestro firewall que estar a la

    escucha de las peticiones para el servidor interno, en este caso la interfaz ser

    la Externa. Pulsamos Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    55/129

    7. Pulsamos Finalizar para crear la nueva regla.

  • 8/3/2019 15021977 Escenarios Firewall

    56/129

    NOTA: As mismo vamos publicando uno a uno los sitios que no sean Web ni

    de correo.

  • 8/3/2019 15021977 Escenarios Firewall

    57/129

    PUBLICACION DE SERVIDOR WEB

    Para la publicacin de un servicio Web, debemos seguir los siguientes pasos:

    1. Clic en Publicar sitios Web.

    2. Nos aparecer el Asistente para nueva regla de publicacin de web, el cual

    nos acompaara durante la publicacin de nuestro sitio. Le damos un nombre a

    la regla de publicacin y clic Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    58/129

    3. Escogemos la accin que tomara la regla, en este caso Permitir, clic en

    Siguiente.

    4. Escogemos la primerOPCION, ya que solo publicaremos un solo servidor

    Web.

    Las otras dos opciones son para publicar un conjunto de servidores Web con

    equilibrio de carga y mltiples servidores Web.

  • 8/3/2019 15021977 Escenarios Firewall

    59/129

    5. Elegimos si el servidor usara un puerto seguro (443) o sern conexiones no

    seguras (80). Damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    60/129

    6. Escribimos el nombre de nuestro sitio (Ej: www.loscuatro.com) y la direccin

    IP del servidor Web.

    7. En este punto no es necesario especificar nada, simplemente damos clic en

    Siguiente.

    Aqu podemos escribir el nombre del archivo en el servidor Web al cual se

    tendr acceso o lo dejamos con el smbolo * que significa todos los archivos de

    dicho servidor.

    http://www.loscuatro.com/http://www.loscuatro.com/
  • 8/3/2019 15021977 Escenarios Firewall

    61/129

    8. Escribimos el nombre FQDN del servidor Web (Ej: www.loscuatro.com).

  • 8/3/2019 15021977 Escenarios Firewall

    62/129

    9. Ahora crearemos la ip en la que nuestro Firewall escuchara las peticiones

    dirigidas hacia nuestro servidor Web, como no hemos creado ninguna damos

    clic en Nueva...

  • 8/3/2019 15021977 Escenarios Firewall

    63/129

    Nos aparecer el Asistente para nueva escucha Web, le damos un nombre a

    la nueva escucha y damos clic en Siguiente.

    Elegimos si el servidor usara un puerto seguro (443) o sern conexiones no

    seguras (80). Esto lo hacemos para que el FireWall conozca acerca de hacia

    que puerto deben ir dirigidas las conexiones. Damos clic en Siguiente

  • 8/3/2019 15021977 Escenarios Firewall

    64/129

    Elegimos la interfaz en la cual nuestro FireWall estar atento a las conexiones,

    en este caso Externa.

  • 8/3/2019 15021977 Escenarios Firewall

    65/129

    El servidor no requiere ningn tipo de autenticacin.

    Damos clic en Finalizar para crear la nueva escucha Web.

    10. Vemos como se a creado la escucha, damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    66/129

    11. Nos piden si el cliente necesitara autenticarse contra el servidor web,

    elegimos la opcin Sin delegacin y el cliente no se puede autenticar

    directamente.

  • 8/3/2019 15021977 Escenarios Firewall

    67/129

    12. Como ya se dijo no utilizaremos usuarios.

    13. Finalizamos el Asistente y ya hemos publicado nuestro servicio Web

  • 8/3/2019 15021977 Escenarios Firewall

    68/129

    NOTA: Para agregar el servicio de https, seguimos los mismos pasos

    anteriores, solo que debemos cambiar algunos parmetros como el puerto y el

    tipo de autenticacin.

  • 8/3/2019 15021977 Escenarios Firewall

    69/129

    PUBLICACION DE SERVIDOR DE CORREO

    Para la publicacin de un servicio de correo, debemos seguir los siguientes

    pasos:

    1. Clic en Publicar servidores de correo.

    2. Nos aparecer el Asistente para nueva regla de publicacin de servidor de

    correo, el cual nos acompaara durante la publicacin de nuestro sitio. Le

    damos un nombre a la regla de publicacin y clic Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    70/129

    3. Elegimos la primera opcin ya que ser un servidor que se comunicara con

    clientes ms no con otros servidores de correo.

  • 8/3/2019 15021977 Escenarios Firewall

    71/129

    4. Activamos los Check Box segn los servicios de correo que necesitamos

    publicar. En esta caso necesitamos el POP, IMAP y SMTP.

    5. Escribimos la direccin IP del servidor de correo de nuestra LAN.

  • 8/3/2019 15021977 Escenarios Firewall

    72/129

    6. Especificamos la interfaz en la cual nuestro FireWall estara atento para las

    conexiones hacia dicho servidor.

    7. Finalizamos el Asistente para completar el proceso de creacin de la regla.

  • 8/3/2019 15021977 Escenarios Firewall

    73/129

    DENEGAR EL ACCESO A ALGUNAS APLICACIONES.

    Ahora pasamos a denegar algunas aplicaciones como son:

    Web (Puertos 80, 443)

    Correo (Puertos 25, 110, 143, 465, 995, 993)

    Counter Strike (Puertos 1200, desde el 27030 al 27039 y desde el 27000

    al 27015)

    MSN (Puerto 1863)

    Para bloquear dichos puertos seguimos los siguientes pasos:

    1. Damos clic nuevamente en Crear regla de acceso.

  • 8/3/2019 15021977 Escenarios Firewall

    74/129

    2. Nuevamente nos encontramos con el Asistente para nueva regla de

    acceso, damos un nombre a la regla y damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    75/129

    3. Esta vez la regla va a tomar la accin de denegar. Clic en Siguiente.

    4. Aqu damos clic en Agregarpara agregar los protocolos que denegaremos.

  • 8/3/2019 15021977 Escenarios Firewall

    76/129

    En caso de que el protocolo que deseamos especificar no se encuentre en la

    base de datos del ISA, tenemos la opcin de crear uno nuevo, para ello vamos

    a la pestaa Nuevo y damos clic en Protocolo.

  • 8/3/2019 15021977 Escenarios Firewall

    77/129

    Nos aparecer el Asistente para nueva definicin de protocolos, el cual es el

    encargado de ayudarnos y guiarnos durante la creacin del nuevo protocolo.

    Ingresamos un nombre para el nuevo protocolo o aplicacin y clic en

    Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    78/129

    Aqu damos clic en Nueva para definir los puertos del nuevo protocolo o

    aplicacin.

  • 8/3/2019 15021977 Escenarios Firewall

    79/129

    Elegimos el tipo de protocolo, la Direccin y el intervalo de puertos.

    As vamos agregando uno a uno el intervalo de puertos, en caso de que dicho

    servicio abra mas de un puerto, como es el caso de Counter Strike.

  • 8/3/2019 15021977 Escenarios Firewall

    80/129

    Despus de agregarlos los podremos observar. Damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    81/129

    Clic en Siguiente.

    Ya finalizamos el Asistente de definicin de nuevos protocolos.

  • 8/3/2019 15021977 Escenarios Firewall

    82/129

    5. As agregamos uno a uno los protocolos ya mencionados para denegar,

    luego damos clic en Siguiente.

    6. Agregamos los origen a los cuales se le aplicaran la regla, en este caso ser

    a la red interna (LAN).

  • 8/3/2019 15021977 Escenarios Firewall

    83/129

    7. Agregamos los destinos a los cuales se le aplicaran la regla, en este caso

    ser a la red Externa (Internet-WAN).

  • 8/3/2019 15021977 Escenarios Firewall

    84/129

    8. Como ya se dijo anteriormente, no especificaremos ningn usuario.

    9. Finalizamos el Asistente.

  • 8/3/2019 15021977 Escenarios Firewall

    85/129

    PERMITIR EL ACCESO AL RESTO DE TRFICO HACIA INTERNET.

    Ahora permitiremos el resto de trfico hacia Internet, el cual no se ha definido

    anteriormente.

    Debemos seguir los siguientes pasos:

    1. Nuevamente clic en Crear regla de acceso.

  • 8/3/2019 15021977 Escenarios Firewall

    86/129

    2. Le damos un nombre a la regla y damos clic en Siguiente.

    3. La permitimos y damos clic en Siguiente.

  • 8/3/2019 15021977 Escenarios Firewall

    87/129

  • 8/3/2019 15021977 Escenarios Firewall

    88/129

  • 8/3/2019 15021977 Escenarios Firewall

    89/129

    6. Agregamos la red de destino, en este caso la Externa Internet-WAN).

  • 8/3/2019 15021977 Escenarios Firewall

    90/129

  • 8/3/2019 15021977 Escenarios Firewall

    91/129

    7. No escogemos ningn usuario, clic en Siguiente.

    8. Finalizamos el Asistente.

  • 8/3/2019 15021977 Escenarios Firewall

    92/129

    Listo ya hemos creado todas las reglas necesarias segn lo que se exigi

    anteriormente.

    Despus de crear todas las reglas, no debemos olvidarnos de aplicar los

    cambios, para ello damos clic sobre el botn Aplicar(color rojo) y clic en

    Aceptar(color verde).

  • 8/3/2019 15021977 Escenarios Firewall

    93/129

    ESCENARIO: FILTRADO CON DMZ (Configuracin Avanzada)

    Fig. Escenario 3

    Los requerimientos para este escenario son:

    Desde INTERNET solo es posible entrar directamente al servidor

    PostgresQL de la LAN, el

    resto del trfico hacia la LAN estar denegado.

    Puedo entrar a los servidores WEB y de CORREO desde INTERNET y

    desde la LAN, usando

    puertos seguros para descarga y envo de correos.

    El servidor WEB puede acceder solamente al servidor SQL SERVER de

    la LAN.

    El servidor de CORREO puede acceder nicamente al servidor deimpresin de la LAN,

  • 8/3/2019 15021977 Escenarios Firewall

    94/129

    siempre y cuando sea sbado o Domingo.

    Los usuarios de la LAN no podrn acceder a los aplicativos que

    aparecen en el diagrama.

  • 8/3/2019 15021977 Escenarios Firewall

    95/129

    NUESTRO TERCER ESCENARIO ESTA IMPLEMENTADO ASI:

    Descripcin:

    Tenemos tres tarjetas de red en un PC el cual instalaremos la distribucin de

    Linux Endian, Por otro lado tenemos nuestro Equipo el cual administraremos el

    Endian grficamente y as podremos configurarlo ms fcilmente para que nos

    opere como Firewall, cabe aclarar que este equipo debe estar conectado en la

    red LAN (VERDE) para poder tener acceso a la administracin.

    Cada una de las tarjetas estn conectadas a una red diferente, as:

    Una de las interfaces esta conectada con la WAN(ROJO (RED) - Internet), la

    cual posee la direccin IP 192.168.20.200/24.

    La Segunda interfaz esta conectada a nuestra red Privada LAN (VERDE

    (GREEN)) y posee la direccin IP 172.16.1.1/24.

  • 8/3/2019 15021977 Escenarios Firewall

    96/129

    Y la tercera interfaz esta conectada a la DMZ (NARANJA (ORANGE) - Zona

    desmilitarizada), la cual posee la direccin IP 10.0.0.1/24.

  • 8/3/2019 15021977 Escenarios Firewall

    97/129

    INSTALACIN ENDIAN

    Para iniciar la instalacin de Endian Firewall, debemos indicarle a nuestro

    equipo que inicie desde de la unidad de CD-ROM, en la cual debemos

    introducir nuestro CD de instalacion de Endian. (La iso de este FireWall

    podemos descargarla dando clic aqu, para luego quemarla en un CD).

    Damos Enter para bootear, y as comenzar con la instalacin.

    http://www.endian.com/en/community/download/http://www.endian.com/en/community/download/
  • 8/3/2019 15021977 Escenarios Firewall

    98/129

    Como solo estn estos 3 lenguajes para llevar a cabo la instalacin,

    escogemos Ingls (este idioma solo se utilizar durante la instalacin, para la

    administracin de Endian FireWall, pero luego desde lainterfaz web podemos

    cambiar el lenguaje por el que deseemos).

    Bienvenidos a la Instalacin de EFW (Endian Firewall).

  • 8/3/2019 15021977 Escenarios Firewall

    99/129

    El proceso de instalacin nos dar informacin sobre el disco duro en el que se

    va a ubicar EFW, primero nos dice que el disco ser particionado y que luego

    las particiones tendrn un Sistema de Ficheros.

    Advertencia! Todos los datos del sistema actual se perdern.

    Est seguro que desea instalar EFW en el sistema.

    SeleccionamosYES y OK.

    Si deseamos habilitar una consola sobre un puerto serial, para conectarnos a

    nuestro Firewall y configurarlo desde una Laptop por medio de un cable null

    MODEM, en este caso no es necesario ya que lo administraremos desde laWeb. Cambiar imagen.

  • 8/3/2019 15021977 Escenarios Firewall

    100/129

    Ahora si empieza la instalacin de nuestro EFW:

    En esta parte nos pide asignar direccin IP para la interfaz verde (LAN) esta

    corresponde a la direccin de la red que tendra la interfaz de red conectada en

    la LAN.

    Le asignamos una direccin IP a nuestro servidor Endian.

    Ya hemos instalado nuestro Endian FireWall satisfactoriamente en el sistema

    ahora se reiniciara el equipo para comenzar a administrarlo desde la web.

  • 8/3/2019 15021977 Escenarios Firewall

    101/129

    Luego de reiniciar nuestro equipo, veremos como se carga el GRUB del EFW.

  • 8/3/2019 15021977 Escenarios Firewall

    102/129

    Mientras bootea el Sistema, podemos observar los servicios que va cargando:

  • 8/3/2019 15021977 Escenarios Firewall

    103/129

    Podemos ver que carga el servicio de Firewall:

    Tambin carga el servidor Proxy (Squid):

  • 8/3/2019 15021977 Escenarios Firewall

    104/129

    Luego nos logueamos en el sistema como root y la clave por defecto que es

    endian.

  • 8/3/2019 15021977 Escenarios Firewall

    105/129

    CONTINUACION DE LA INSTALACION DE ENDIAN VIA WEB

    Ahora abrimos el navegador desde una de las maquinas que formara parte de

    nuestra LAN y en la URL escribimos la direccin IP que ya hemos configurado

    con anterioridad en la instalacin de nuestro FireWall.

    En nuestro caso http://172.16.1.1

    Esto significa que el FireWall nos esta exigiendo una conexin segura

    utilizando un certificado digital, para continuar damos clic en Agregar una

    excepcin.

    http://172.16.1.1/http://172.16.1.1/
  • 8/3/2019 15021977 Escenarios Firewall

    106/129

    Damos clic en obtener certificado y confirmar excepcin de seguridad.

  • 8/3/2019 15021977 Escenarios Firewall

    107/129

    Bueno ahora si podemos continuar con la instalacin de EFW. Vemos que nos

    dan la bienvenida para la instalacion.

  • 8/3/2019 15021977 Escenarios Firewall

    108/129

    Elegimos el idioma y la zona horaria.

  • 8/3/2019 15021977 Escenarios Firewall

    109/129

    Aqu debemos leer y aceptar el licenciamiento de Endian.

  • 8/3/2019 15021977 Escenarios Firewall

    110/129

    En esta parte, si ya se habia tenido un EFW configurado y se le saco un

    BackUp podriamos importarlo para tomar la configuracin anterior, pero como

    este no es el caso lo dejamos tal cual esta y continuamos.

  • 8/3/2019 15021977 Escenarios Firewall

    111/129

    Aqu le damos la contrasea que tendr el usuario root y la del usuario admin,

    el cual utilizaremos para la administracin va Web de Edian.

  • 8/3/2019 15021977 Escenarios Firewall

    112/129

    Ahora elegimos el tipo de conexin WAN (ROJO), en nuestro caso sera un

    enlace ethernet estatico.

  • 8/3/2019 15021977 Escenarios Firewall

    113/129

  • 8/3/2019 15021977 Escenarios Firewall

    114/129

    Aqu asignamos las direcciones IP de la red LAN (VERDE) y de la DMZ

    (NARANJA).

  • 8/3/2019 15021977 Escenarios Firewall

    115/129

    Tambin le damos un nombre al equipo y un nombre de dominio.

  • 8/3/2019 15021977 Escenarios Firewall

    116/129

  • 8/3/2019 15021977 Escenarios Firewall

    117/129

    Ponemos las direcciones de DNS primario y secundario.

  • 8/3/2019 15021977 Escenarios Firewall

    118/129

    Listo damos clic en Aceptar, Aplicar la configuracin

  • 8/3/2019 15021977 Escenarios Firewall

    119/129

    Ahora no muestra que debemos esperar unos 20 segundos para que los

    cambios hagan efecto en el sistema, pero lo mejor es ir y reiniciar nuestro EFW

    manualmente.

    Nuevamente debemos ingresar a la URL anterior, pero ahora vemos que nos

    pide autenticacin, el usuario requerido como se dijo anteriormente es admin y

    la contrasea que se especifico en uno de los pasos anteriores.

  • 8/3/2019 15021977 Escenarios Firewall

    120/129

    Al ingresar con lo primero que nos encontramos es con el men inicio y

    podemos ver el enlace entre nuestro FireWall y el proximo salto para salir a

    Internet.

    Listo!!!!!!!!!!!

  • 8/3/2019 15021977 Escenarios Firewall

    121/129

    Ahora lo primero que debemos hacer es cambiar el idioma por ingles ya que

    este software esta hecho bsicamente en este idioma, y las traducciones

    podran tener palabras un poco errneas o difciles de entender.

    Para esto vamos por Sistema-GUI settings y lo cambiamos.

  • 8/3/2019 15021977 Escenarios Firewall

    122/129

    El endian trae NAT por defecto dede la LAN hacia la WAN y permite trafico

    comun como es http, DNS, FTP, etc

    Para ver esto seguimos los siguientes pasos:

    NAT POR DEFECTO-ENDIAN

    Vamos a FireWall (Cortafuegos)-Port forwarding/NAT-NAT fuente y damos cli en

    Mostrar las reglas del sistema, podremos ver la regla de NAT.

  • 8/3/2019 15021977 Escenarios Firewall

    123/129

    Para ver el trafico vamos a FireWall (Cortafuegos)-outgoing traffic.

  • 8/3/2019 15021977 Escenarios Firewall

    124/129

    DEFINIR REGLAS

    ACCESO AL SERVIDOR POSTGRESQL DESDE INTERNET

    Para llevar a cabo esta regla debemos seguir los siguientes pasos:

    1. Vamos a Firewall, luego clic Port forwarding/NAT, damos clic en Add a new

    port forwarding rule, debemos llenar los espacios requeridos.

    En el espacio de Remark escribimos el nombre de la nueva regla, el puerto en

    el cual el firewall estar alerta para luego reenviar las peticiones, la direccin IPdel servidor PostgreSQL y el puerto (por defecto es el 5432), habilitamos la

    regla (habilitamos el Check Box Enabled) , clic en Add.

  • 8/3/2019 15021977 Escenarios Firewall

    125/129

    2. Ahora agregaremos los orgenes a los cuales se les permitir el acceso al

    servidor de la LAN, para ello damos clic en el smbolo Add external

    access.

    Agregamos la direccion de red del origen. Clic en Add.

    No debemos olvidar aplicar los cambios. Clic en Apply.

  • 8/3/2019 15021977 Escenarios Firewall

    126/129

    PERMITIR ACCESO A LOS SERVIDORES EN LA DMZ DESDE INTERNET Y

    DESDE LA LAN

    PERMITIR A LA LAN

    Vamos a Firewall, Inter-Zone traffic y Add zone firewall rule.

    Elegimos la LAN (GREEN) como source y de destination la DMZ (ORANGE).

    Definimos los puertos 443, 995, 993 y 80, la accion a tomar sera ACCEPT y la

    Agregamos (Add rule).

  • 8/3/2019 15021977 Escenarios Firewall

    127/129

    PERMITIR A LA WAN

    Vamos a Firewall, Port forwarding/NAT y Add port forwarding rule.

    Elegimos el protocolo.

    La interfaz donde va escuchar el FW y el puerto.

    Definimos la direccin IP del servidor interno y el puerto.

    Una descripcin, la habilitamos, ponemos el rango de ips a las cuales se les

    dar permiso de acceder a este servicio.

    Clic en Add.

    As vamos creando una a una las reglas de reenvi de puerto con cada uno de

    los puertos que debemos habilitar para la WAN.

  • 8/3/2019 15021977 Escenarios Firewall

    128/129

    ACCESO DEL SERVIDOR WEB AL SERVIDOR SQL SERVER

    Para permitirle al servidor Web el acceso hacia el servidor SQL Server

    debemos crear una regla de inter-zona.

    Vamos a Firewall, Inter-Zone traffic y Add zone firewall rule.

    En el campo Source escribimos la direccin IP del servidor Web, en Destination

    la direccin IP del servidor SQL Server, definimos el Puerto por el cual esta

    escuchando nuestro servidor SQL Server (por defecto es 1433), la Action ser

    ALLOW, le damos una descripcin en el campo Remark, la habilitamos

    (Checkear Enabled) y damos clic en Add rule.

    Listo!!!!!!!

  • 8/3/2019 15021977 Escenarios Firewall

    129/129

    NOTA1: La regla El servidor de CORREO puede acceder nicamente al

    servidor de impresin de la LAN, siempre y cuando sea Sbado o Domingo, no

    puede realizarse con una implementacin de FireWall, ya que se esta pidiendo

    un filtrado de contenido y el firewall no logra hacer esto.

    NOTA2: La regla Los usuarios de la LAN no podrn acceder a los aplicativos

    que aparecen en el diagrama no es necesario crearla porque EFW (Endian

    FireWall) tiene la poltica por defecto en DROP, por lo tanto regla que no se

    defina como ACCEPT se denegara.