Download - Proxy &Firewall

Transcript

TRABAJO DE INVESTIGACIN CORTAFUEGOS Y PROXY PFSEN PFSENSE SOBRE BDS Y SQUID

Profesor(a) Alumnos

: :

Wladimir Jimnez Javier Ignacio Rodrguez Rebolledo Luis Alexis Gonzlez Muoz

Asignatura Curso

: :

S O Linux Redes Vespertino

INDICE

Portada Indice Introduccin Historia del Cortafuegos Primera Generacin Segunda / Tercera Generacin Acontecimientos Posteriores Descripcin y Tipos de Cortafuegos Descripcin de Proxy Funciones del Proxy Implementacin de Cortafuegos PfSense y Proxy Squid Conclusin Bibliografa

1 2 3 4 5 6 7 8 9 10 11 - 22 23 24

INTRODUCCIN

La seguridad ha sido la preocupacin principal cuando una organizacin debe conectar su red privada al Internet. Sin importar el tipo de negocios, se ha incrementado el nmero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet como World Wide Web (WWW), Internet Mail (e-mail), RSS, Comunidades Globales, Telnet y File Transfer Protocol (FTP). Los administradores de red tienen que revisar constantemente todo lo relativo a la seguridad de sus sistemas, debido a que, al acceder a internet se expone los datos privados de la organizacin as como la infraestructura de su red. Para tratar estos problemas y proveer el nivel de proteccin adecuada, la organizacin necesita implementar y seguir una poltica de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, as como, protegerse contra la exportacin privada de informacin. Sin embargo, si una organizacin no est conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta.

HISTORIA

La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenan a las redes separadas unas de otras. La visin de Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80 : Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn. Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un atacante. En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi una nota por correo electrnico a sus colegas que deca: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."

El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.

PRIMERA GENERACIN Cortafuegos de Red: Filtrado de Paquetes El primer documento publicado para la tecnologa firewall data de 1988, cuando Digital Equipment Corporation (DEC) desarroll los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la primera generacin de lo que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet. Filtrado de paquetes acta mediante la inspeccin de los paquetes ya que estos representan la unidad bsica de transferencia de datos entre ordenadores en Internet. Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducir, es decir har un descarte silencioso o bien ser rechazado (desprendindose de l y enviando una respuesta de error al emisor). Este tipo de filtrado no presta atencin al paquete como parte de una secuencia existente de trfico. En cambio, se filtra cada paquete basndose en la informacin contenida en el mismo (utiliza el emisor del paquete y la direccin de destino, su protocolo y el nmero de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicacin a travs de Internet, utilizando por convencin puertos bien conocidos para determinados tipos de trfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y recepcin de correo electrnico, transferencia de archivos); a menos que las mquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estndar. El filtrado de paquetes en un cortafuego acta en las tres primeras capas del modelo OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas fsicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, ste comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete. Cuando el paquete pasa a travs de cortafuegos, ste filtra el paquete mediante un protocolo y un nmero de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuego para bloquear el acceso telnet, bloquear el protocolo IP para el nmero de puerto 23.

SEGUNDA GENERACIN Cortafuegos de Estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generacin de servidores de seguridad. Esta generacin cortafuegos tiene en cuenta adems la colocacin de cada paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegacin de servicio.

TERCERA GENERACIN Cortafuegos de Aplicacin Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin web), y permite detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin quiere bloquear toda la informacin relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms lentos que los de estado.

ACONTECIMIENTOS POSTERIORES

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz grfica con colores e iconos, fcilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compaa israel llamada Check Point Software Technologies lo patent como software denominndolo FireWall-1. La funcionalidad existente de inspeccin profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering Task Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan caractersticas tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan caractersticas de identificacin real solicitando la firma del usuario para cada conexin.

DESCRIPCION

Un Firewall en Internet es un sistema o grupo de sistemas que impone una poltica de seguridad entre la organizacin de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accezados dentro de esta por los que estn fuera, es decir quin puede entrar para utilizar los recursos de red pertenecientes a la organizacin. Para que un firewall sea efectivo, todo trfico de informacin a travs del Internet deber pasar a travs del mismo donde podr ser inspeccionada la informacin. El firewall podr nicamente autorizar el paso del trfico, y el mismo podr ser inmune a la penetracin. Desafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece entorno a este.

TIPOS DE CORTAFUEGOS

-

Nivel de aplicacin de pasarela

Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC.

-

Cortafuegos de capa de aplicacin

Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuego en la capa 7 suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

DESCRIPCIN DE PROXY Un Proxy es literalmente un intermediario entre el cliente PC y la pgina solicitada, el proxy entregara o no lo requerido en base a las reglas que tenga configuradas. En este trabajo, al referirnos a proxy, nos referimos especficamente a Squid, programa diseado especialmente para entornos Linux. Squid es un servidor situado entre la mquina del usuario y otra red (a menudo Internet) que acta como proteccin separando las dos redes y como zona cach para acelerar el acceso a pginas web o poder restringir el acceso a contenidos. Es decir, la funcin de un servidor proxy es centralizar el trfico de una red local hacia el exterior (Internet). Slo el equipo que incorpora el servicio proxy debe disponer de conexin a Internet y el resto de equipos salen a travs de l. Como las peticiones haca Internet de los equipos de la red local son interceptadas por el servidor proxy, ste puede realizar una tarea de filtrado de accesos, impidiendo aquellos destinos que estn expresamente prohibidos en los archivos de configuracin del servicio. Squid no es un filtro de contenidos pero puede actuar como tal.

Hay que tener en cuenta que la mayora de los servidores web permiten la configuracin como proxy-cach (Apache, IIS,...), pero Squid slo es un proxy y no puede servir pginas por s mismo. Cuando decimos que Squid tambin funciona como cach significa que est guardando copia de los datos obtenidos de otras peticiones y de esa forma acelera el acceso a estos datos si se producen peticiones similares. Slo se acceder de nuevo a las pginas originales cuando se detecte que se han producido modificaciones, es decir los datos almacenados difieren de los datos en el servidor web de origen. Normalmente no existe una sola cach, sino que se tienen varios servidores (en mquinas diferentes) relacionados entre s mediante una estructura en rbol.

FUNCIONES

En resumen, las principales funciones de Squid son las siguientes: Permite el acceso web a mquinas privadas (IP privada) que no estn conectadas directamente a Internet. Controla el acceso web aplicando reglas. Registra el trfico web desde la red local hacia el exterior. Controla el contenido web visitado y descargado. Controla la seguridad de la red local ante posibles ataques, intrusiones en el sistema, etc. Funciona como una cach de pginas web. Es decir, almacena las pginas web visitadas por los usuarios y de esta manera las puede enviar a otros usuarios sin tener que acceder a Internet de nuevo. Guarda en cach las peticiones DNS e implementa una cach para las conexiones fallidas. Registra logs de todas las peticiones cursadas. Soporta el protocolo ICP que permite integrar cachs que colaboran y permite crear jerarquas de cachs y el intercambio de datos.

-

Como consecuencia de estas funciones, la implantacin de un servidor proxy-cach en una red proporciona las siguientes ventajas: Reduce los tiempos de respuesta.

Si la pgina web que se solicita est en la cach del servidor, sta se sirve sin necesidad de acceder de nuevo al servidor original, con lo cual se ahorra tiempo. Disminuye el trfico en la red y el consumo de ancho de banda.

Si la pgina web est almacenada en la cach del servidor, la peticin no sale de la red local y no ser necesario hacer uso de la lnea exterior consiguiendo as un ahorro en la utilizacin del ancho de banda. Cortafuegos.

Cuando se utiliza un servidor proxy-cach, ste comunica con el exterior, y puede funcionar como cortafuegos, lo cual aumentar la seguridad del usuario respecto a la informacin a la que se acceda. Filtrado de servicios.

Es posible configurar el servidor proxy-cach dejando slo disponibles aquellos servicios (HTTP, FTP,...) que se consideren necesarios, impidiendo la utilizacin del resto.

IMPLEMENTACION

A continuacin se describe la instalacin de PfSense un firewall con proxy Squid integrado basado en Freebsd Freebsd. Requerimientos de Hardware : CPU : Pentium 4

RAM

:

128 Mb

HDD

:

80 Gb

Como se pretende instalar un firewall el equipo debe tener al menos tres interfaces de red: una LAN, una WAN y una MGMNT MGMNT. Lo primero es descargar de la pagina, la imagen a quemar de pfsense, la que viene comprimida, una vez obtenido el CD, iniciar el PC dispuesto para instalar , sto pfsense, esta es una versi n LiveCD que puede ser usada desde una unidad CDversin CD rom o DVD.

Aqu se debe indicar que no se requiere una VLAN y luego se debe definir las interfaces LAN y WAN

Una vez seleccionado quien va a ser la interface LAN y WAN, presionamos enter para continuar, en este paso el instalador preguntara si se desea proceder con la seleccin, le indicamos que si, luego de un proceso que tarda unos minutos (pocos) se llega a este men donde se debe escoger la opcin 99, la que corresponde al proceso de instalacin

Esto iniciara la instalacin, se iniciara un asistente, lo primero es el vdeo, mi recomendacin es aceptar por defecto esta parte:-P

En la siguiente pantalla iniciaras la instalacin de pfsense, ahora se iniciara un proceso para dar formato al disco duro, particionado, y copia de archivos.

Presionamos enter sobre el disco duro y le damos un primer formato al disco (ojo esto borrara todo el contenido del disco) y damos inicio a formato del disco.

Luego nos solicitara particionar el disco, esto es para instalar el sistema operativo FreeBSD, aunque por defecto esta marcado FreeBSD se puede seleccionar otros sistemas de archivos aunque no creo que sea necesario ya que estamos usando FreeBSD :-D

Ahora se va a instalar el sector de inicio en el disco duro, debemos presionar enter en aceptar e instalar Bootblock, nos preguntara en que particin vamos a instalar

Como mi caso use un disco pequeo (811 MB) utilice la opcin por defecto, es decir dos particiones una para el archivo de intercambio y otra para la raz "/", el asterisco en Capacity solo indica que tomara todo el espacio disponible en el disco

Luego de esto te pedir reiniciar la mquina

Por defecto la interfaces lan utiliza la direccin ip 192.168.1.1 ya que PfSense esta por defecto para dar servicio de NAT, as que debes cambiar la ip de ti mquina a 192.168.1.x para as poder acceder y configurar va interface lan.

La primera pantalla que veras va web, es la solicitud de usuario y contrasea, esta por defecto para el user es admin y el password es pfsense, en la prxima pantalla ya estars dentro den entorno web de pfsense, lo primero que vamos a hacer es irnos a interfaces > WAN, all veremos esta pantalla donde seleccionaremos static aadimos la IP y puerta de enlace(de nuestra red), moviendo la pagina hacia abajo tambin desmarcaremos Block private networks. Una vez aceptados los cambios deberemos conectarnos va web por la interfaz WAN (antes ya debemos cambiar la IP de nuestra estacin de trabajo a la red con la que realmente estamos trabajando en este ejemplo seria una IP 192.168.10.xxx y no una IP 192.168.1.xxx

Lo segundo que vamos a hacer es irnos a interfaces > lan, encojemos en la opcin Bridge with la interfaz WAN, y colocamos la misma IP que aadimos a la interfaz WAN, aceptando los cambios ahora nos vamos a system > Advanced En Advanced buscaremos filtering bridge y la activaremos, tambin puedes activar otras opciones como Secure shell pasa accesar por ssh.

Ahora nos iremos a Firewall > NAT, all debemos seleccionar enable advanced outbound NAT, all deberemos borrar todas la reglas que aparecen en la lista, esto es importante porque si no se hace el Firewall Transparente que queremos no funcionara. Recuerda aplicar los cambios en todo momento de la configuracin, si ya tienes un servidor DHCP en tu red LAN, debes desactivar el que trae pfsense, lo encontraras en Services > DHCP, as no entraran en conflictos las maquinas con IPs duplicadas. Existen otros servicios como DNS, en Diagnostics tienes una opcin para respaldar toda la configuracin que acabas de realizar esto por si por algn motivo tienes que generar de nuevo el pfsense te ahorres mucho trabajo. Ahora nos vamos a Firewall > rules, como se ve en la pestaa WAN no tienes ninguna regla, all solo configuraras reglas para DMZ y algunas conexiones entrantes.

En la interfaz WAN podremos configurar que desde afuera acceden a un servidor web en este caso, donde 190.0.0.0 es nuestro servidor web de ejemplo

Instalacin del paquete Squid en pfSense En el men System : Package Manager buscamos el paquete SQUID, y pulsamos en el boton de aadir Archiivos de configuracin de Squid en pfSense : /usr/local/etc/squid /usr/local/libexec/squid /usr/local/sbin/squid /usr/local/share/doc/squid /usr/local/share/examples/squid /usr/local/squid /var/mail/squid /var/squid

Para configurar Squid utilizamos el men Services : Proxy server donde observamos varias pestaas:

Cache management: Configuracin del cach del Proxy

CONCLUSION

Tanto los firewalls como los servidores proxy son herramientas que pueden usarse para dar proteccin a las redes cuando estas se conectan entre s. Las redes interconectadas pueden ser de diferentes tipos y tamaos e incluso pueden conectarse redes internas (aquellas que pertenecen a una organizacin) con redes externas (por ejemplo, internet). De este modo, las posibilidades de sufrir un ataque externo se incrementan cuando una organizacin conecta su propia red, considerada una red confiable, a una red externa que se considera no confiable. Es en este punto donde entran en juego los firewalls, los cuales sern utilizados como una barrera entre la red interna y las redes externas. Un firewall se encarga de controlar todo el trfico. Es por ello que tanto los firewalls como los servidores proxy, deben implementarse teniendo en cuenta la poltica de acceso a servicios definida, permitiendo a su vez que la proteccin de las redes sea transparente a los usuarios. Dependiendo de lo que se desee proteger, una organizacin puede utilizar firewalls internos o externos. Por ejemplo, para proteger dos subredes de una red interna entre s, podra utilizarse un firewall interno ubicado entre ambas subredes; el cual se encargara de controlar el trfico que circula entre ambas redes. Por otro lado, si se desea proteger la red interna cuando esta se conecta a internet, se podran utilizar firewalls externos. La principal desventaja que poseen los firewalls es la complejidad asociada con su configuracin, adems de no tener la capacidad para evitar ataques basados en servicios autorizados. La ventaja que tienen los firewalls es que brindan proteccin a las redes confiables cuando estas se conectan a redes no confiables. En definitiva, un firewall nunca proteger al cien por cien una red interna, ya que las tcnicas de intrusin avanzan da a da. Pero tambin es cierto que un firewall bien configurado puede hacer la tarea de los intrusos ms complicada. Hemos intentado hacer una explicacin lo ms sencilla posible de los cortafuegos y los proxies, para as poder llegar a que lo comprenda todo lector, tenga o no conocimientos del tema. Sabemos que hemos dejado miles de cosas en el tintero, pero este trabajo de investigacin simplemente pretende ser una pequea introduccin/explicacin de un Cortafuegos y un Proxy y de su implementacin en un SO (PfSense bajo BSD adicionando a este un Proxy : Squid), no especificamos reglas de seguridad avanzada, en particular IPtables, ya que se intent demostrar una instalacin simple de un Cortafuegos con un Proxy.

BIBLIOGRAFIA

http://es.wikipedia.org/ http://recursostic.educacion.es/ http://forum.pfsense.org/ https://sites.google.com/a/terminuspro.com http://ricondefreebsd.blogspot.com