Guia Shorewall

REGIONAL DISTRITO CAPITAL SISTEMA DE GESTIÓN DE LA CALIDAD

CENTRO DE ELECTRICIDAD ELECTRÓNICA Y TELECOMUNICACIONES

GUÍA: SHOREWALL 3 ZONAS

PROGRAMA: TECNÓLOGO EN ADMINISTRACIÓN DE REDES DE COMPUTADORES

ÁREA: TELEINFORMÁTICA

Sistema de Gestión de la

Calidad

REGIONAL DISTRITO CAPITALCOORDINACIÓN FORMACIÓN PROFESIONAL Y EMPLEO

SHOREWALL 3 ZONAS

lunes, 25 de abril de 2011Versión:1Página 2 de 10

1. IDENTIFICACIÓN DE LA GUÍA DE APRENDIZAJE

PROGRAMA DE FORMACIÓN: TECNÓLOGO EN ADMINISTRACIÓN DE REDES DE COMPUTADORES

PROYECTO DE ASOCIADO:Diseño de una red de datos corporativa multiservicio, bajo normatividad técnica, administrado sobre plataforma Windows 2008 server

MODALIDAD DE FORMACIÓN: Combinada

ACTIVIDAD DEL PROYECTO: Establecer la infraestructura de equipos y programas para la seguridad de la red de datos.

RESULTADOS DE APRENDIZAJE:Configurar hardware, software y aplicar procedimientos de seguridad, de acuerdo con el diseño establecido, garantizando el aseguramiento de la información y de la red, para implementar el plan de seguridad, utilizando los recursos de la organización.

TAREA DE APRENDIZAJE Y DURACIÓN

SHOREWALL 3 ZONAS (3 horas)

2. CARACTERIZACIÓN DE LA ACTIVIDAD DE APRENDIZAJE

2.1 IntroducciónShorewall o Shore Line como es su nombre real, es un firewall de impresionantes características técnicas, que utilizando como motor iptables, netfilter e iproute logra controlar bastos aspectos del flujo de la información de la red en múltiples capas del modelo OSI, se conforma de varios archivos de configuración que permiten un mejor orden, agilidad y robustez, para lograr así soluciones más amplias sin tener que depender de un profundo conocimiento en iptables, su solides lo convierte en uno de los firewall más populares en los entornos de producción, ya que incluso rivaliza con soluciones comerciales de elevados costos.

Con el desarrollo de esta guía el aprendiz lograra configurar un firewall utilizando shorewall que permita aumentar los niveles de seguridad en una red de tres zonas, DMZ, WAN y LAN.2.2 Tarea de AprendizajeSu empresa desea implementar una zona DMZ para utilizar un servidor web que ofrezca servicios tanto a la LAN como a la WAN con la dirección IP 170.1.1.1, y nombre www.miempresa.com, usted propone la idea de utilizar un servidor Linux como firewall con tres interfaces de red y en él instalar Shorewall, para tal proyecto usted debe lograr el mínimo uso de servicios de red tanto de la LAN a la DMZ como de la WAN a la DMZ y ofrecer un grado alto de seguridad para la LAN.El proyecto deberá ser evaluado desde dos clientes XP Sp3 en ubicaciones diferentes, uno desde la LAN y otro desde la WAN.El firewall debe permitir peticiones de entrada WAN-LAN hacia al puerto 80 y respuestas LAN-WAN desde el mismo puerto, debe permitir peticiones de salida LAN-WAN hacia el puerto 53 y respuestas desde el mismo puerto WAN – LAN.Los usuarios de la LAN deben navegar sin problema por internet y permitir envíos de PING.

http://www.miempresa.com/


Calidad


SHOREWALL 3 ZONAS


Topología de red

2.3 Proceso de Aprendizaje1. Configure un DNS que posea dos zonas directas “telmex.com”, “miempresa.com”, si desea

también configure una zona inversa, este equipo debe tener una tarjeta de red asociada a la VMnet4 con IP 180.1.1.1/24 gateway 180.1.1.10.

2. Configuración del firewall en debían.a. Agregamos al equipo tres adaptadores de red, es preferible que el equipo se encuentre

apagado para agregar estos adaptadores ya que Linux no tiene mucho soporte para plug and play.

b. Asociamos la interface eth0 a la VMnet4, la interface eth1 a la VMnet3 y la interface eth2 a la VMnet2.


Calidad


SHOREWALL 3 ZONAS


c. Después de agregados los adaptadores procedemos a prender el equipo (si está apagado) y a modificar el archivo de configuración de interfaces para configurar la dirección IP de cada adaptador.root@sena:/#nano /etc/network/interfaces______________________________________________________________________# The loopback network interfaceauto loiface lo inet loopback

# The primary network interface, the public interfaceallow-hotplug eth0iface eth0 inet static address 180.1.1.10 netmask 255.255.255.0 network 180.1.1.0 broadcast 180.1.1.255 gateway 180.1.1.254

allow-hotplug eth1iface eth1 inet static address 170.1.1.2 netmask 255.255.255.0 network 170.1.1.0 broadcast 170.1.1.255

allow-hotplug eth2iface eth2 inet static


Calidad


SHOREWALL 3 ZONAS


address 192.168.0.1 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255

d. Después de configuradas las interfaces reiniciamos el equipo.e. Instalamos el Shorewall

#dpkg –i shorewall_4.4.11.6-3_all.deb#dpgk –i shorewall-common_4.4.11.6-3_all.deb#dpkg –i shorewall-perl_4.4.11.6-3_all.deb

f. Después de haber instalado el shorewall debemos copiar los archivos de configuración base a que se encuentran en la carpeta:/usr/share/doc/shorewall/default-configTenemos que copiar los siguientes documentos:“interfaces”, “zones”, “policy”, “masq”, “rules”Todos los archivos anteriormente nombrados se deben copiar a la siguiente ubicación:/etc/shorewall

g. En este punto poseemos ya todos los archivos necesarios para empezar a configurar el shorewall.

h. Debemos activar el inicio automático al arrancar el quipo, (para que cada vez que inicie el equipo se cargue el shorewall), esto lo hacemos poniendo el parámetro 1 en el startup del /etc/default/shorewall.Vamos a /etc/default/ y con nano abrimos el archivo shorewall.#cd /etc/default#nano shorewall


Calidad


SHOREWALL 3 ZONAS


i. Guardamos, salimos.j. Vamos a /etc/shorewall

#cd /etc/shorewallk. El primer archivo que vamos a configurar es el de zonas

#nano /etc/shorewall/zonesConfiguramos tres zonas más aparte del mismo firewall, una net que será la externa, una local que será la interna y una zona dmz para el servidor web www.miempresa.com, guardamos y salimos.

l. Procedemos a configurar las interfaces de red, esto lo hacemos en el archivo /etc/shorewall/interfaces, la idea es asociar cada interfaz de red a una zona especifica.#nano /etc/shorewall/interfacesDespués de configurar guardamos y salimos.

http://www.miempresa.com/


Calidad


SHOREWALL 3 ZONAS


m. Procedemos a configurar las politicas, esto lo hacemos en el archivo /etc/shorewall/policy, la idea es definir qué proceso por defecto sucederá si las reglas no logran definir el destino de los paquetes IP.#nano /etc/shorewall/policyDespués de configurar guardamos y salimos.

n. Procedemos a configurar el enmascaramiento, esto lo hacemos en el archivo /etc/shorewall/masq, la idea es definir por cual IP saldrán a la red los paquetes provenientes


Calidad


SHOREWALL 3 ZONAS


de la dirección de red privada 192.168.0.0/24, en este caso saldrían por la 170.1.1.10 que es la eht0.#nano /etc/shorewall/policyDespués de configurar guardamos y salimos.

o. Procedemos a configurar las reglas, esto lo hacemos en el archivo /etc/shorewall/rules, la idea es definir las reglas para cada una de las zonas y configurar el destino de cada uno de los paquetes que sale o entra a la red.Después de configurar guardamos y salimos.Démonos un tiempo para verificar y entender el siguiente archivo.


Calidad


SHOREWALL 3 ZONAS


p. Habilitamos el reenvió de paquetes ip, desde el archivo de configuración /etc/sysctl.conf.Abrimos el archivo de configuración del sistema.#nano /etc/sysctl.confBuscamos donde dice reenvió ipv4 y quitamos la etiqueta de comentario (quitamos el #).net.ipv4.ip_forward = 1Guardamos los cambios y salimos.

q. Reiniciamos el equipo.r. Si tienes un error como este al reiniciar el equipo, aun no está bien configurado el shorewall.

s. Podemos realizar de ahora en adelante la siguiente instrucción para que tome los cambios sin reiniciar.#/etc/init.d/shorewall restart

3. Configuramos el resto de dispositivos y procedemos a realizar las respectivas pruebas.4. Como usted mejoraría el diseño de este firewall?5. Que reglas o políticas modificaría?

2.4 AmbienteLa presente guía posee una metodología combinada, lo que significa que el aprendiz puede ejecutarla de manera presencial y virtual, se requiere la presencia del instructor para que describa el objetivo, el proceso de aprendizaje de la guía y algunas recomendaciones para su desarrollo, el aprendiz tiene el deber


Calidad


SHOREWALL 3 ZONAS


de investigar la información relacionada con la guía, comprenderla e interiorizarla, y proponer soluciones efectivas.

Para el desarrollo exitoso de esta guía se debe contar con:

1. Computador.2. Conexión a internet.3. Procesador de palabra (MS WORD)4. VMWARE5. Imagen Linux Debian.

2.5 Evaluación del aprendizajeLa evaluación de la esta guía parte desde la revisión de su desarrollo practico y/o teórico hasta su culminación a cabalidad, cumpliendo con los paramentaros establecidos, y además se valorara la actitud del aprendiz ante el reto que significa su elaboración y los aportes de nuevos conocimientos o consejos que se puedan generar pertinentes al tema, esta evaluación pretenderá medir los conocimientos del aprendiz en cuanto al tema en cuestión y a la vez motivar a mejorar sus conocimientos en caso de una negativa calificación.2.6 ConclusionesEl uso de shorewall permite lograr niveles de seguridad sin precedentes ya que prácticamente está limitado a la imaginación e intelecto de la persona que lo está configurando, llegando a convertirse en una herramienta por excelencia a nivel empresarial, pero incluso pudiendo ser establecida a nivel SOHO o Home.2.7 Bibliografía

Networking: A Beginner’s Guide. Hallberg. Bruce. MC Graw Hill. Fifth Edition Implementación De Servidores Con GNU/Linux . Barrios Dueñas, Joel. Creative Commons. Edicion

Marzo 2011.

Infografía:

http://www.alcancelibre.org/ http://www.shorewall.net/ http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html

http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-7.html

http://www.shorewall.net/

http://www.alcancelibre.org/

Guia Shorewall

Documents

Transcript of Guia Shorewall