Diferencia entre revisiones de «Firewall»

De CURE - Informática
Ir a la navegación Ir a la búsqueda
 
(Página creada con '== Firewalls a implementar == Tendremos 3 firewalls en la red: * Garzón * Paloma * Polonio == Garzón == En garzón implementamos las siguientes zonas: * internet: wan * lab...')
Línea 6: Línea 6:
 
* Polonio
 
* Polonio
  
=== Garzón ===
+
== Garzón ==
  
 
En garzón implementamos las siguientes zonas:
 
En garzón implementamos las siguientes zonas:
Línea 18: Línea 18:
 
Ninguna zona puede enviar tráfico a las demás zonas, salvo casos particulares que veremos más adelante.
 
Ninguna zona puede enviar tráfico a las demás zonas, salvo casos particulares que veremos más adelante.
 
Se implementa un nat saliente para la zona wan.
 
Se implementa un nat saliente para la zona wan.
 
 
==== Reglas avanzadas: ====
 
 
===== Reglas para acceder desde la lan1 (Laboratorio) a polonio =====
 
 
Reglas para acceder desde la a lan1 a la web de administración de Zentyal (Zentyal-lan1-web):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 443
 
* Acción: ACCEPT
 
 
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan1-389):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 389
 
* Acción: ACCEPT
 
 
Reglas para acceder a carpetas compartidas (Zentyal-lan1-445):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 445
 
* Acción: ACCEPT
 
 
Reglas para acceder a cambiar contraseña (Zentyal-lan1-8888):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 8888
 
* Acción: ACCEPT
 
 
Reglas para acceder por ssh a Polonio (Zentyal-lan1-ssh):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 22
 
* Acción: ACCEPT
 
 
Reglas para obtener información de DNS en Plonio (Zentyal-lan1-DNS):
 
* Origen: lan1
 
* Destino: dmz
 
* Protocolo: UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 53
 
* Acción: ACCEPT
 
 
===== Reglas para acceder desde la DMZ Externa a la DMZ Interna (Polonio) =====
 
 
Reglas (DMZ externa a DMZ interna):
 
* Origen: wan 
 
* Destino: dmz
 
* Dirección de origen: 164.73.234.0/25
 
* Dirección de destino: 0.0.0.0/0
 
* Acción: ACCEPT
 
 
 
===== Reglas para acceder desde la lan2 (Secretaría) a polonio =====
 
 
Reglas para acceder desde la a lan2 a la web de administración de Zentyal (Zentyal-lan2-web):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 443
 
* Acción: ACCEPT
 
 
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan2-389):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 389
 
* Acción: ACCEPT
 
 
Reglas para acceder a carpetas compartidas (Zentyal-lan2-445):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 445
 
* Acción: ACCEPT
 
 
Reglas para acceder a cambiar contraseña (Zentyal-lan2-8888):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 8888
 
* Acción: ACCEPT
 
 
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 22
 
* Acción: ACCEPT
 
 
Reglas para obtener información de DNS en Plonio (Zentyal-lan2-DNS):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 53
 
* Acción: ACCEPT
 
 
===== Reglas para acceder desde la lan3 (Docentes y públicas) a polonio =====
 
 
Reglas para autenticación de usuarios en Zentyal (Zentyal-lan3-389):
 
* Origen: lan3
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 389
 
* Acción: ACCEPT
 
 
Reglas para acceder a carpetas compartidas (Zentyal-lan3-445):
 
* Origen: lan3
 
* Destino: dmz
 
* Protocolo: TCP+UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 445
 
* Acción: ACCEPT
 
 
Reglas para acceder a cambiar contraseña (Zentyal-lan3-8888):
 
* Origen: lan3
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 8888
 
* Acción: ACCEPT
 
 
Reglas para obtener información de DNS en Plonio (Zentyal-lan3-DNS):
 
* Origen: lan3
 
* Destino: dmz
 
* Protocolo: UDP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 53
 
* Acción: ACCEPT
 
 
===== Reglas para acceder desde la wlan (Wi-Fi) a las carpetas compartidas en Polonio =====
 
 
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 445
 
* Acción: ACCEPT
 
 
Reglas para acceder por ssh a Polonio (Zentyal-lan2-ssh):
 
* Origen: lan2
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 389
 
* Acción: ACCEPT
 
 
Reglas para acceder a cambiar contraseña (Zentyal-wlan-8888):
 
* Origen: wlan
 
* Destino: dmz
 
* Protocolo: TCP
 
* Dirección de destino: 10.5.2.2
 
* Puerto de destino: 8888
 
* Acción: ACCEPT
 
 
=== Paloma ===
 
 
Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Paloma.
 
Por mas información sobre Firewall Builder ir al siguiente [http://www.fwbuilder.org/4.0/docs/users_guide/ link].
 
 
Las reglas que se permitirán entrantes serán:
 
* http
 
* https
 
* ssh
 
* ICMP
 
* DNS
 
 
Las reglas salientes que se permitirán serán:
 
* ssh
 
* ICMP
 
* http
 
* https
 
* DNS
 
* smtp
 
* NTP
 
 
Se adjunta captura de las reglas aplicadas:
 
 
[[Archivo:paloma-firewall.png]]
 
 
=== Polonio ===
 
 
Se utilizó la aplicación Firewall Builder para contruir las reglas de iptables, que luego fue exportada al servidor Polonio.
 
Por mas información sobre Firewall Builder ir al siguiente [http://www.fwbuilder.org/4.0/docs/users_guide/ link].
 
 
Las reglas que se permitirán entrantes serán:
 
* http
 
* https
 
* https-8888
 
* ssh
 
* ICMP
 
* DNS
 
* LDAP UDP
 
* LDAP TCP
 
* microsoft-ds UDP
 
* microsoft-ds TCP
 
* NTP
 
 
Las reglas salientes que se permitirán serán:
 
* ssh
 
* ICMP
 
* http
 
* https
 
* DNS
 
* smtp
 
* NTP
 
 
Se adjunta captura de las reglas aplicadas:
 
 
[[Archivo:polonio-firewall.png]]
 
 
== Archivos de configuración ==
 
Se guardará una copia de seguridad, de las configuracines en /root de paloma.taller.curerocha.edu.uy
 
 
== Referencias ==
 
 
http://www.fwbuilder.org/4.0/docs/users_guide/
 
 
http://wiki.openwrt.org/doc/uci/firewall
 

Revisión del 20:57 14 jun 2011

Firewalls a implementar

Tendremos 3 firewalls en la red:

  • Garzón
  • Paloma
  • Polonio

Garzón

En garzón implementamos las siguientes zonas:

  • internet: wan
  • laboratorio: lan1
  • inalámbrica: wlan
  • dmz interna: dmz
  • secretaría: lan2
  • públicas: lan3

Ninguna zona puede enviar tráfico a las demás zonas, salvo casos particulares que veremos más adelante. Se implementa un nat saliente para la zona wan.