Firewall Casero
24
Your Name Your Title Your Organization (Line #1) Your Organization (Line #2) SEGURIDAD BASICA EN REDES "FIREWALL CASERO" Remigio Salvador Sánchez SEGURIDAD BASICA EN REDES "FIREWALL CASERO"
-
Upload
remigio-salvador-sanchez -
Category
Technology
-
view
845 -
download
0
description
Slide del taller Firewall Casero con Software Libre presentado durante las actividades del 1er. Congreso de ISC New Technologies en el Instituto Tecnológico Superior de Villa La Venta, Huimanguillo, Tabasco, el día 20 de octubre de 2011
Transcript of Firewall Casero
Your NameYour Title
Your Organization (Line #1)Your Organization (Line #2)
SEGURIDAD BASICA EN REDES "FIREWALL CASERO"
Remigio Salvador Sánchez
SEGURIDAD BASICA EN REDES "FIREWALL CASERO"
Antes de comenzar...Servidor DHCPIPTablesSQUIDPreguntas
ContenidoContenido
El problema que se plantea, es el de configurar
una conexión a Internet en un entorno de red
local LAN, mediante la cual todos los
ordenadores de la red (hosts) puedan
conectarse a través de un servidor, mismo que
a su vez realizará funciones de seguridad
(Firewall).
Necesitamos...
Un ordenador que tendrá la función de servidor con dos tarjetas de red Ethernet 10/100 Mbps con sistema operativo gnu/Linux (Distribución Fedora de preferencia)Una red de computadoras que podamos desbaratar.Una conexión contratada de acceso a Internet mediante modem ADSLUn pequeño hub o switch.Conocimientos básicos en redesConocimientos básicos en linux.Mucha paciencia
Empezamos...
ANTES DE COMENZAR...
Deshabilitar Selinux– vi /etc/selinux/config
Parar servicios innecesarios– chkconfig ip6tables off– chkconfig sendmail off– chkconfig netfs off
Configurar nuestro hostname– vi /etc/sysconfig/network
configurar tarjetas de red (eth0 y p1p1)– ETH0 LA TARJETA QUE VIENE DE NUESTRO
MODEM (ip dinámica)– P1P1P LA TARJETA QUE SE CONECTA AL SWITCH
(PUENTE) (ip estática 192.168.0.1)
less /etc/sysconfig/network-scripts/ifcfg-INTERNET less /etc/sysconfig/network-scripts/ifcfg-LAN
Habilitar desde el inicio:chkconfig network on
service network restart
Configurar la redConfigurar la red
Configurar la redConfigurar la red
Activando el Router.Activando el bit de forwarding
– vi /etc/sysctl.conf
Ejecutar sysctl -p para que tome el cambio de inmediato
Iptables -Fiptables -t nat -Fiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
service iptables save
chkconfig iptables on
IPTABLESIPTABLES
DHCPDHCP
yum install dhcp -y
Archivo de configuración:– vi /etc/dhcp/dhcpd.conf
authoritative;ddns-update-style none;deny client-updates;
subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.100 192.168.0.120; default-lease-time 6000; max-lease-time 7200; option domain-name "pandora.com"; option subnet-mask 255.255.255.0; option broadcast-address 192.168.0.255; option routers 192.168.0.1; option domain-name-server 192.168.1.254 option time-offset -18000;}
DHCPDHCP
DHCP
/etc/sysconfig/dhcpd A configuración debe quedar así DHCPDARGS="p1p1"
service dhcpd restart
tail -100 /var/log/messages
chkconfig dhcpd on
SQUID
yum install squid -y
vi /etc/squid/squid.conf– visible_hostname proxy.pandora.com– acl manager proto cache_object– acl localhost src 127.0.0.1/32 ::1– acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1– acl localnet src 10.0.0.0/8– acl localnet src 172.16.0.0/12– acl localnet src 192.168.0.0/16– acl localnet src fc00::/7 – acl localnet src fe80::/10
SQUID
– acl SSL_ports port 443– acl Safe_ports port 80 # http– acl Safe_ports port 21 # ftp– acl Safe_ports port 443 # https– acl Safe_ports port 70 # gopher– acl Safe_ports port 210 # wais– acl Safe_ports port 1025-65535 # unregistered ports– acl Safe_ports port 280 # http-mgmt– acl Safe_ports port 488 # gss-http– acl Safe_ports port 591 # filemaker– acl Safe_ports port 777 # multiling http
SQUID
– acl CONNECT method CONNECT– acl url_denegadas url_regex "/etc/squid/PNP" – acl url_denegadas "/etc/squid/exts" – http_access deny url_denegadas– http_access accept all– http_access allow manager localhost– http_access deny manager– http_access deny !Safe_ports– http_access deny CONNECT !SSL_ports– http_access allow localnet– http_access allow localhost
SQUID
– http_access deny all– #http_port 3128 – http_port 192.168.0.1:3128 transparent– coredump_dir /var/spool/squid– refresh_pattern ^ftp: 1440 20% 10080– refresh_pattern ^gopher: 1440 0%1440– refresh_pattern -i (/cgi-bin/|\?) 0 0%0– refresh_pattern . 0 20% 4320
touch /etc/squid/PNPvi /etc/squid/PNP
touch /etc/squid/extsvi /etc/squid/exts
SQUID
service squid restart
chkconfig squid on
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
service iptables save
tail /var/log/squid/access.logtail /var/log/messages
PREGUNTAS
PreguntasDudas
Comentarios
[email protected]@remitos
http://vkn-side.blogspot.comhttp://www.slideshare.net/remitos
Dedicado:A mi familia
yamigos
Gracias:A los organizadores por las facilidades
ya ustedes por su atencion
