Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta...
-
Upload
hoangquynh -
Category
Documents
-
view
254 -
download
0
Transcript of Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta...
Cortafuegos con pfSense Rafael García Rodríguez Seguridad y Alta Disponibilidad | 2 ASIR | IES Polígono Sur
2015
Rafa Luffi
01/01/2015
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 1
Cortafuegos con pfSense
Dada la siguiente estructura de red:
Monta el escenario mediante máquinas virtuales.
Para la realización de la actividad vamos a usar tres máquinas virtuales, una para pfSense, otra
para WXP, que será un Windows XP, y otra para SWEB, que será un Ubuntu Server.
NOTA: Debido a una equivocación con otras máquinas virtuales de pfSense, de WXP y de
SWEB, cambié la las IPs de estas a 10.0.2.0/24 y 10.0.0.0/24, respectivamente, en un momento
determinado realizando en segunda y tercera fase la actividad.
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 2
Las máquinas virtuales de WXP y SWEB tendrán solo una interfaz cada una, estableciendo la
configuración de red como Red Interna. Y la máquina virtual de pfSense la configuraremos con tres
interfaces, dos en Red Interna y otra en Adaptador Puente:
Encendemos las máquinas virtuales.
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 3
Cuando arranque la máquina virtual de pfSense establecemos la IP de la LAN para poder acceder a
través del navegador de esta (Set interface(s) IP address):
Establecemos las IPs de WXP y SWEB
WXP
Hemos de desconectar el cortafuegos, y ya podemos acceder a la interfaz gráfica de pfsense desde
la LAN:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 4
Importante: hay que tener en cuenta si la conexión a la WAN se hace a través de wifi o de
ethernet, hay que configurarlo en Preferencias de la máquina virtual de pfSense.
SWEB
Hay que configurar la WAN desde el navegador de WXP:
Guardamos y aplicamos cambios.
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 5
Comprobamos cómo quedaría en pfSense:
Vamos a crear la regla en WAN para poder acceder a pfSense desde esta, habilitando los puertos
80 y 443 (http y https, respectivamente) en Firewall/Rules desde el navegador de WXP:
Y ya podemos acceder desde la WAN:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 6
Realiza la configuración del cortafuegos con pfSense con la siguientes reglas:
1.- Cualquier equipo de la red LAN puede realizar ping al interfaz LAN del pfSense.
Nos situamos en Interfaces>LAN y establecemos la regla:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 7
2.- Cualquier equipo de la DMZ puede realizar ping al interfaz DMZ del pfSense.
Nos situamos en Interfaces>DMZ y establecemos la regla:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 8
3.- El equipo WXP podrá realizar ping a equipo SWEB.
Nos situamos en Interfaces>LAN y establecemos la regla:
4.- Cualquier equipo de la LAN podrá conectarse al servicio web (http y https) de
SWEB.
Primero definimos un Alias para esos dos puertos, puertos_web:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 9
Nos situamos en Interfaces>LAN y establecemos la regla:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 10
5.- Los equipos de la DMZ y la LAN se pueden conectar a internet (http y dns).
Primero, en Fire>Alias, voy a crear un alias para los dos servicios, Internet:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 11
Establezco la regla para LAN:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 12
Y, ahora, para DMZ:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 13
6.- WXP se podrá conectar a SWEB por ssh.
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 14
7.- Los equipos de la DMZ no podrán conectarse a la LAN.
Vamos a crear la regla inversa, o sea, permitir que los equipos de la DMZ puedan conectarse
a la LAN, y después bloquearemos dicha regla.
En Rules quedaría así:
Cortafuegos con pfSense
Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 15
8.- Redirecciona los paquetes web recibidos en el interfaz WAN del pfSense a través del
puerto 8080 al equipo SWEB, puerto 80.
Me posiciono en Firewall>Nat:
---------------------------------------------------