Instalación y configuración de Firewall ENDIAN GESTIÓN DE REDES DE DATOS

SERVICIO NACIONAL DE APRENDIZAJE DIEGO LEON GIL BARRIENTOS

Ficha: 464327

1

Endian es una distribución OpenSource de linux, desarrolla para actuar como

cortafuego (firewall), es común pensar que Endian solo es un firewall, pero Endian

es toda una solución integral que protege su red, endian ofrece todos los servicios

que brinda un UTM.

Funciona como proxy, canales VPN, enrutador, antivirus y filtrado de datos,

antispam entre otras. Es bastante fácil de administrar y de instalar.

Antes de comenzar con la instalación debemos descargar la ISO de Endian.

Sitio oficial de descarga: http://www.endian.com/us/community/download/efw/

Implementaremos la seguridad con la siguiente topología:

2

Requerimientos:

- Ubicar al menos dos servicios tanto en DMZ como en Internet.

- Las direcciones de internet deben ser públicas, las de LAN y DMZ privadas.

- Permitir el acceso a los servicios de la DMZ desde la LAN sin hacer NAT. - Permitir el acceso a los servicios de internet desde LAN haciendo NAT. - Hacer PAT a los servicios de la DMZ para que sean vistos desde internet usando dirección pública fija. - Permitir NAT desde la DMZ para salir a los servicios de internet.

Empezamos configurando externamente las tarjetas de red en nuestro VirtualBox

de nuestro servidor ENDIAN.

Configuración adaptadores de red de Endian:

3

Ya configurados, encendemos nuestras maquinas, cabe aclarar que los servicios

de internet y DMZ son FTP y WEB.

4

Direccionamiento Endian:

LAN: 172.16.10.1/16

DMZ: 192.168.10.1/24

WAN: 40.0.0.1/8

Direccionamiento:

NOTA: Recordemos que el Gateway de la LAN se debe configurar estáticamente

en el ENDIAN, lo haremos posteriormente, igualmente para la DMZ e INTERNET.

LAN

5

DMZ

WAN

6

Procedemos entonces a iniciar nuestra instalación del servidor ENDIAN,

empezamos creando la máquina virtual…

Seleccionamos la ISO que descargamos e iniciamos con la instalación…

7

Aquí damos Enter para que comience la instalación…

Escogemos el idioma, en este caso el inglés…

8

En este mensaje de bienvenida damos Ok

Aquí aparece una advertencia, que dice que la instalación borrara todos los datos

que contenga el disco duro, seleccionamos YES.

9

En esta ventana nos dice que si queremos activar el servicio de consola, le

decimos que NO.

Ahora comienza a instalarse en nuestro disco duro.

10

Luego de la instalación, aparece una pantalla en la cual debemos de configurar la

dirección IP de la interfaz de red local (verde) la cual nos permitirá la configuración

y administración a través de un navegador web.

NOTA: Recordemos que es el Gateway, según nuestra topología de nuestra red

LAN.

En esta ventana nos dice que tenemos ya instalado el programa, damos Ok.

11

Aquí comienza a cargarse…

Y esta es la pantalla final donde podemos acceder a la terminal para administrar y

configurar algunas herramientas del Endian.

Nota: La clave por defecto es: endian

12

Una vez cargado el Endian procedemos desde una máquina perteneciente a la red

LAN (ejemplo la IP 172.16.10.2/16) accedemos a su a su entorno gráfico de

administración mediante un navegador web y escribimos la dirección IP que fue

asignada al servidor endian.

Aceptamos la validación del certificado de la interfaz web de endian y

continuamos…

13

Escogemos el idioma y la configuración de la zona horaria según nuestra

ubicación.

Aceptamos la licencia y continuamos…

14

Nos pregunta que si deseamos restablecer la configuración desde un archivo de

respaldo o backup, le dimos No y continuamos.

En esta ventana ingresamos las contraseñas para la administración de la interfaz

web y del usuario root.

Recordemos por defecto en “endian” podemos cambiarla en nuestro ENDIAN, con

el comando passwd, recordemos que ENDIAN es basado en CentOS.

15

Configuramos el tipo de conexión que tendrá la interfaz o tarjeta de red que va a

estar conectada hacia internet, se selecciona Ethernet estático.

Ahora vamos a configurar la zona verde, la cual sería nuestra red local,

seleccionamos la interfaz para la zona verde, asignamos la dirección IP y de igual

manera configuramos la zona naranja que es el DMZ.

16

Direccionamos también la DMZ…

17

En esta fase se va a configurar la WAN y asignamos el Gateway de la red virtual.

Configuramos el DNS (No es necesario tener configurado un DNS)

18

Aquí nos pide alguna información del Administrador, podemos ingresarla o no.

Aceptamos y aplicamos la configuración.

Luego se reinician los servicios…

Esperamos….

19

Ingresamos con usuario admin y la contraseña que le dimos al Administrador

CONFIGURACION NAT

Lo primero será configurar la regla de NAT, la cual nos traduce la comunicación

desde la LAN a la WAN, escogemos Cortafuegos, NAT fuente y agregar una

nueva regla de NAT fuente…

20

Especificamos el ORIGEN, especificamos nuestra red LAN y DESTINO

especificamos nuestra red simulada de INTERNET.

Según los requisitos, a la DMZ también hay que hacerle un NAT hacia internet se

lo especificamos de una vez…

21

PUBLICACIÓN DE LOS SERVICIOS

Comenzamos publicando los servicios de la DMZ, en este caso HTTP, se realiza

el mismo procedimiento para cada uno.

Seleccionamos cualquier boca para que escuche por cualquier interfaz el

protocolo seleccionado y la IP del servidor a publicar, en este caso de la DMZ.

Recordemos especificar bien el protocolo que vamos a publicar.

Lo hacemos igualmente con los servicios que queramos publicar desde nuestra

DMZ hacia internet.

22

Una vez realizada las publicaciones de los servicios aplicamos los cambios…

Observamos la publicación de cada uno de los servicios…

Solo nos resta configurar las reglas de acceso para permitir y denegar los tráficos

según los requisitos.

23

REGLAS INTER-ZONAS

Ahora agregamos las reglas del tráfico inter-zona que queremos comunicar.

Aquí mostramos un ejemplo de la VERDE a la NARANJA con el protocolo FTP y

su respectivo puerto.

Recordemos que la zona VERDE es nuestra red LAN, y la zona NARANJA es la

DMZ.

24

Ejemplo de INTERNET a la DMZ…

Aquí vemos todas las reglas ya creadas en el tráfico Inter zonas.

25

En el tráfico de salida se crearon tres reglas.

Según los requisitos de nuestra instructora, no debe haber ping, solo acceso a los

servicios.

Procedemos a hacer pruebas…

Como se denegó el protocolo ICMP verificamos que efectivamente no tenga

comunicación.

26

Ingresamos al servicio FTP de la DMZ desde la LAN…

Ingresamos al servicio WEB de la DMZ desde la LAN

Ingresamos al servicio FTP de la WAN desde la LAN

Ingresamos al servicio WEB de la WAN desde la LAN

27

Ingresamos al servicio FTP de la WAN desde la DMZ…

Ingresamos al servicio WEB de la WAN desde la DMZ...

Ingresamos al servicio FTP de la DMZ desde la WAN con la dirección IP que fue

publicada…

Ingresamos al servicio WEB de la DMZ desde la WAN con la dirección IP que fue

publicada…

28

Prueba desde la LAN al servidor FTP activo de la DMZ.

Prueba desde la LAN al servidor FTP activo de la WAN…

29

WEBGRAFÍA

https://www.youtube.com/watch?v=7feD_04cPng

http://philliprearick.hubpages.com/hub/How-to-Setup-the-Endian-Firewall

http://dragontire.wordpress.com/como-instalar-y-configurar-endian/

http://help.endian.com/entries/20059383-SNAT-Source-NAT-Basic-Setup

http://www.experts-exchange.com/Security/Software_Firewalls/Q_26644331.html