CASO DE ESTUDIO INTEGRAL DISEO E IMPLEMENTACION DE UN

SISTEMA DE SEGURIDAD PERIMETRAL

SILVIA ALEXANDRA SALAZAR GANDOLFO 1150198

JEFFERSON DAVID RANGEL FUENTES 1150226













UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS

SAN JOSE DE CUCUTA

2013



CASO DE ESTUDIO INTEGRAL DISEO E IMPLEMENTACION DE UN
SISTEMA DE SEGURIDAD PERIMETRAL






SILVIA ALEXANDRA SALAZAR GANDOLFO 1150198

JEFFERSON DAVID RANGEL FUENTES 1150226





Presentado a:

ING. JEAN POLO CEQUEDA OLAGO




SEGURIDAD INFORMATICA






UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS

SAN JOSE DE CUCUTA

2013


FIREWALL: SMOOTHWALL

Un firewall o cortafuegos es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar o descifrar el trfico
entre los diferentes mbitos sobre la base de un conjunto de normas y otros
criterios (reglas).
Los cortafuegos pueden ser implementados en hardware o software, o una
combinacin de ambos. Los cortafuegos se utilizan con frecuencia para
evitar que los usuarios de Internet no autorizados tengan acceso a redes
privadas conectadas a Internet, especialmente intranets. Todos los mensajes
que entren o salgan de la intranet pasan a travs del cortafuegos, que
examina cada mensaje y bloquea aquellos que no cumplen los criterios de
seguridad especificados. Tambin es frecuente conectar al cortafuegos a una
tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los
servidores de la organizacin que deben permanecer accesibles desde la red
exterior. Un cortafuegos correctamente configurado aade una proteccin
necesaria a la red, pero que en ningn caso debe considerarse suficiente. La
seguridad informtica abarca ms mbitos y ms niveles de trabajo y
proteccin.
Como sistema operativo para el cortafuegos se utilizar SmoothWall
Express, una distribucin de GNU Linux gratuita especfica para este
propsito. Luego, se explica cmo instalarlo, administrarlo y configurarlo.
SmoothWall Express es un servidor de seguridad de cdigo abierto.
Diseado para un fcil uso, se configura a travs de un GUI basado en web y
no requiere ningn conocimiento de Linux para instalarlo o utilizarlo. Incluye
la Snort Intrusion Detection System (IDS) y el apoyo a los mdems ADSL y
conexiones PPPoE.

Adems, permite construir fcilmente un servidor de seguridad para conectar
de forma segura una red de ordenadores a Internet.


Casi cualquier PC Pentium se puede utilizar, por ejemplo, un PC antiguo con
bajas
caractersticas puede ser usado como estacin de trabajo o servidor.
SmoothWall Express crea un firewall de hardware dedicado, ofreciendo las
facilidades y la seguridad real asociado con los dispositivos de hardware.

Asimismo, viene pre-configurado para detener todo el trfico entrante que no
es el resultado de una solicitud de salida. Los archivos de reglas que aplican
esta poltica son parte de la configuracin del sistema y normalmente no
deberan ser editados por otros que no sean los procedimientos de
configuracin.

Smoothwall est licenciado bajo la General Public License (GPL).









Proceso de Instalacin de SmoothWall Express:

1) Una vez descargada la imagen ISO de SmoothWall Express 3.0 SP2 a
travs de la pgina:
http://sourceforge.net/projects/smoothwall/files/SmoothWall/3.0%20SP2/

Lo introduciremos en el equipo que utilizaremos de firewall o cortafuegos
y a travs del Virtual Box crearemos una mquina virtual basada en su
funcionamiento.

Luego, aparecer la siguiente ventana de inicio de SmoothWall Open
Source Project:








La pantalla anterior avisa que los datos del disco duro del equipo
sern eliminados para instalar el nuevo sistema, obviamente esto hay que
tenerlo en cuenta y haber hecho copia de seguridad de los datos (si los
hubiera) del disco duro del equipo. Pulsaremos INTRO para iniciar la
instalacin del cortafuegos SmoothWall Express.

2) Nos mostrar la ventana de bienvenida, pulsaremos "Ok" (pulsando la
barra espaciadora o INTRO, en la instalacin no funcionar el ratn):















3) Nos indicar que introduzcamos el CD de SmoothWall express, puesto
que ya lo tenemos pulsaremos "Ok" (pulsando INTRO o barra
espaciadora):



4) A continuacin nos avisar de que se preparar el disco duro /dev/hda
para ser particionado, pulsaremos "Ok":



5) Nos volver a avisar de que el proceso de particionado eliminar todos
los datos del disco duro, Pulsaremos "Ok" para continuar:

6) Se iniciar el proceso de preparacin y particionado del disco:



7) Tras el particionado y formateo, se iniciar la instalacin de los ficheros
necesario para el funcionamiento del firewall o cortafuegos de
SmoothWall Express:



8) Presionar ok para continuar, los archivos de SmoothWall han sido
instalados satisfactoriamente.



9) En esta ventana seleccionamos la opcin No y presionamos enter. Esta
opcin es vlida cuando queremos restaurar una configuracin de
SmoothWall guardada previamente. Configuraremos todas las opciones
manualmente.



10) Este cuadro de dilogo nos permite seleccionar el teclado que vamos a
utilizar. Seleccionamos es para usar la distribucin del teclado en
espaol. Movemos el cursor a ok para luego presionar enter.


11) Nos aparece el cuadro de dilogo para escribir el nombre de nuestro
servidor. El nombre por defecto es smoothwall pero podemos escribir
cualquiera, tomando en cuenta que est prohibido usar nmeros, puntos,
guin bajo. Seleccionar ok y presionar enter para continuar.



12) A continuacin seleccionaremos el tipo de poltica o directiva de
seguridad para las solicitudes o peticiones salientes. Esta configuracin
no afecta a las solicitudes entrantes, que siempre estarn bloqueadas a
menos que explcitamente sean permitidas (mediante las reglas del
cortafuegos o firewall).
Las posibilidades son:
Open (abierto): todas las peticiones salientes sern permitidas (como
en las versiones anteriores de SmoothWall Express).
Half-open (entreabierta): la gran parte de las peticiones saliente sern
permitidas, salvo las consideradas dainas o peligrosas.
Closed (cerrado): todas las peticiones salientes sern bloqueadas. Si
se quiere permitir alguna peticin saliente se deber especificar en la
administracin del firewall SmoothWall Express (en las reglas).


En nuestro caso seleccionaremos "Open"
























13) Nos aparece el men de configuracin de red.

En Network configuration type, seleccionaremos esta opcin y
pulsaremos "Ok", desde aqu indicaremos un dato muy importante, el tipo
de configuracin de red que utilizaremos:





14) Esta venta nos permite Seleccionar el tipo de configuracin de red.
Teniendo en cuenta que:
Red wireless (purple): red inalmbrica si tenemos router wireless con
este tipo de conexin activada.
Red DMZ (orange): zona desmilitarizada, normalmente en este
segmento de red se suelen colocar los servidores propensos a
antaques externos, como el servidor web o el de correo electrnico.
Red LAN local (green): red de rea local, red privada, donde estn
todos los equipos y los servidores de terminal server, servidores de
bases de datos, servidores de ficheros, etc.


Seleccionamos GREEN+ RED. Esta opcin indica que una tarjeta NIC se
conectar a una red interna y otra a Internet o una red externa.
Seleccionamos ok y presionamos siguiente.



15) A continuacin debemos indicar los drivers y la asignacin de las dos
tarjetas a RED y a GREEN, para ello seleccionaremos "Drivers and card
assignments" y pulsaremos "Ok":



16) De acuerdo al tipo de red que hayamos configurado se nos preguntar
por la seleccin de las interfaces. En nuestro caso slo debemos
seleccionar dos interfaces de red, una para la red interna (GREEN) y otra
para la red externa (RED). Presionamos enter para continuar.




















17) Seleccionamos Probe y presionamos enter para detectar
automticamente las interfaces de red.



18) Si el sistema detecta las tarjetas de red mostrar un mensaje como el
siguiente, si es correcta la deteccin pulsaremos "Ok", en caso contrario
pulsaremos "Skip":



19) El cuadro de dilogo de asignacin de la interface nos aparece. Si sta
interface es la que pertenece a la red interna (GREEN) seleccionamos
esta opcin, caso contrario seleccionamos (RED). Presionamos ok para
continuar.



20) Si a la anterior le hemos asignado la GREEN, la que queda ser la RED:



21) Si todas las interfaces han sido asignadas correctamente nos aparecen
un cuadro de confirmacin.



22) Nos aparece nuevamente el menu de configuracin de red.
Seleccionamos Address settings y presionamos enter para continuar.




23) Seleccionamos la interface a configurar (GREEN) y presionamos enter
para continuar.



24) Nos avisar de que si cambiamos la IP, las conexiones remotas se
desconectarn y tendremos que volver a conectarnos de nuevo con la
nueva IP. En nuestro caso, puesto que es una instalacin desde cero de
SmoothWall, no habr conexiones remotas, pulsaremos "Ok":



25) Nos aparece una ventana de dilogo sobre la cual debemos ingresar la
direccin IP y la mscara de red que utilizar la interfaz (GREEN).



26) Seleccionamos la otra interface (RED) y presionamos enter para proceder
con su configuracin.




27) La asignacin de la IP es esttica. Con la tecla Tab nos movemos por las
opciones hasta situarnos en ( ) Static, una vez alli presionamos la barra
espaciadora para seleccionar esa opcin, debe aparecernos un * en los
parntesis, a continuacin, introduciremos la IP para la interfaz RED:




















28) Una vez configuradas las dos interfaces nos aparece este cuadro de
dilogo. Seleccionamos Done y presionamos enter para continuar.



29) Regresamos al men de configuracin de la red, seleccionamos DNS
and Gateway settings, y ok, presionamos enter para continuar.




30) Este cuadro de dilogo nos permite ingresar las direcciones del DNS y del
gateway para poder Salir a Internet. Tanto para la red de los laboratorios
como para el Wireless son las mismas direcciones.
Seleccionamos ok y presionamos enter para continuar.



31) Una vez que hemos de configurar todos los parmetros de la red;
seleccionamos Done y presionamos enter para continuar.



32) Este men es usado para configurar instalaciones avanzadas.
Seleccionamos Finished y presionamos enter para continuar.





















33) Ingresamos un contrasea para la cuenta admin. Esta cuenta es usada
para la administracin web. La clave debe tener mnimo 6 caracteres y
mximo 25.



34) Ingresamos una contrasea para la cuenta de usuario root. Esta cuenta
es usada para el acceso por lnea de comandos al sistema. La clave debe
tener mnimo 6 caracteres y mximo 25.



35) Si todos los pasos se siguieron adecuadamente la instalacin debe
concluir satisfactoriamente.



36) Si el sistema se reinici correctamente, debera aparecer una pantalla
similar a la siguiente:




ACCESO A SMOOTHWALL EXPRESS

Para acceder a la administracin web se puede hacer mediante cualquier
navegador y desde un equipo que este en la misma red del firewall.

1) Accedemos a la direccin del firewall, en nuestro caso es:
https://192.168.0.1:81

A continuacin se solicitan las credenciales del usuario para
administracin web (admin), la clave es la que se haya establecido en la
instalacin.













2) Esta es la interfaz web de SmoothWall.



3) Luego, accedemos al men tools Shell






Instalacin Modulo Advanced Web Proxy

Posteriormente procederemos a instalar el Mod o aadido (add-on)
del Advanced Web Proxy, que dotar de ms parmetros de configuracin
en la GUI al Proxy (SQUID).

1. Abrimos una shell sobre nuestra mquina bajo smoothwall va terminal
o consola o mediante el men de la gui va browser: Tools > Shell


2. All nos pide un Usuario y una clave, iniciaremos sesin como usuarios
root.
3. Y ejecutamos los comandos a continuacin:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#vamos al dir /tmp

cd /tmp

# descargarmos el add o mod

wget http://www.advproxy.net/download/swe3-32-advproxy-3.0.6.tar.gz


# descomprimimos

tar -xzf swe3-32-advproxy-3.0.6.tar.gz

# instalamos

smoothwall-advproxy/install


# las nuevas directivas SQUID de acl en /var/smoothwall/proxy/advanced/acls/include.acl

4. Reiniciamos la GUI y vamos al men Services > Advanced Proxy


Y vemos que hay muchas ms opciones que antes.












5. A destacar:

5.1 Control de acceso basado en red:
Aqu defino la red (GREEN por defecto) que tiene permitido el acceso va
proxy. Deshabilito el acceso a la red GREEN desde otras redes va proxy.
Puedo definir IPs y/o MACs no restringidas e IPs y/o MACs banneadas (sin
acceso). Y puedo definir una poltica de restricciones temporales (permitir
que das de la semana y en que horario se puede acceder a la web va
proxy)







Y por ltimo destacar tambin las opciones de limitar el ancho de banda de
descarga a toda la red GREEN y por host.

5.2 Permitir o no el acceso segn aplicacin cliente de acceso a web

Definir que aplicaciones clientes pueden acceder a la web ( Web Browser
Enable browser check ), a elegir segn necesidades, lo normal es permitir las
actualizaciones de windows update, las actualizaciones para debian/ubuntu
apt-get, las descargas va wget, los navegadores opera, firefox, chrome e IE
y a Java.


Una vez todo configurado. Save and restart



Instalacin del Modulo Url Filter

URL Filter, es un mod o aadido para SmoothWall y/o IpCop. Su tarea es
bloquear ciertos dominios, URLs y ficheros (a definir). Est basado
en squidGuard redirector y se administra desde la GUI en Smoothwall.
1. Abrimos una shell al host bajo SmoothWall o va un cliente ssh como
Putty
2. Digitamos los siguientes comandos:
1
2
3
4
5
6
7
8
9
cd /tmp
#descargar
wget http://www.urlfilter.net/download/swe3-32-urlfilter-1.5.3.tar.gz
#descomprimir
tar -xzf swe3-32-urlfilter-1.5.3.tar.gz
#instalar
smoothwall-urlfilter/install

Ejemplo:









3. Vamos a la GUI de SmoothWall ( https://192.168.0.1:81 ): Men
Services > URL Filter


Lo primero que hago es ir al rea de Blacklist update, y bajarme un fichero
de la URL de un servicio web (http://urlblacklist.com ). Es un fichero
comprimido .tar.gz nos actualizar las categoras a bloquear y la bbdd (base
de datos) de URLs que se aconsejan bloquear
La URL para el fichero bigblacklist.tar.gz (de 19,2MB a 15-06-11)
de http://urlblacklist.com es:

http://urlblacklist.com/cgi-
bin/commercialdownload.pl?type=download&file=bigblacklist



















4. Una vez descargado el fichero, vamos a Blacklist Update, lo
cargamos por medio de la direccin, y le damos Upload Blacklist


















Nos aparecern ms categoras de las que trae por defecto el Smoothwall.
Hay que elegir las categoras que se desean bloquear:









Tambin contiene opciones para listas blancas y negras personalizables. Y
control de acceso basado en red. De igual manera se puede definir el aviso
de la pgina que le sale al usuario al intentar navegar a una pgina
bloqueada.



Una vez se haya configurado: Save and restart y en Advanced Proxy se
debe habilitar URL Filter.



EJEMPLO DE URL FILTRADA



















Instalacin Modulo Full Firewall Control



Procedimiento de instalacin del Mod Full Firewall Control
Abrimos una terminal o consola a nuestro host bajo SmoothWall 3.0. Por
defecto el puerto ssh para esta distro es el tcp 222

# vamos al directorio /tmp

cd /tmp

# descargamos el mod

Wget
http://sourceforge.net/projects/smoothiemods/files/SW3%20Full%20Firewall%
20Control/v3.3.1.1/fullfirewall-3.3.1.1-Express-3.0-i386.run/download

# le damos permisos de ejecucin

Chmod +x fullfirewall-3.3.1.1-Express-3.0-i386.run

# ejecutamos el instalador del mod

./fullfirewall-3.3.1.1-Express-3.0-i386.run

As nos quedara nuestro full firewall control





































Configuracin:

1. Deshabilitamos el proxy transparente para nuestra red Green, es
decir nuestra LAN
























2. Vamos a las configuraciones de nuestro navegador, y en Red,
seleccionamos -> Cambiar la Direccin del Proxy


3. En las Propiedades de Internet -> Pestaa Conexiones -> Configurar
LAN





4. Activamos la casilla de Servidor Proxy, y le damos la Direccion Ip para
el Control de Acceso a nuestro Smoothwall, por el puerto 800.
En nuestro caso 192.168.0.1 Puerto:800
Damos Aceptar




5. Posteriormente asignamos la direccion Ip para que sea la Red que
nos facilite el Control de Acceso a nuestro Smoothwall. Para nuestro
caso 192.168.0.0 / 255.255.255.0



6. Filtros URLs

En el Modulo URL Filter, encontramos un campo llamado Personalizar Lista
Negra, se refiere a los dominios que deseen que se bloqueen por medio del
Smoothwall; all podemos agregar los que queramos, al final le damos Save
and restart















7. Autenticacin de Usuarios

a. Antes de iniciar la Autenticacin de Usuarios, se debe aclarar
que el mtodo para la Autenticacin ser local.

8. Nos pide especificar un tamao mnimo para las contraseas de los
Usuarios. En este caso trabajaremos con 6
9. Damos click en User Management












10. Se nos abrir la siguiente ventana.
a. Es un asistente para la configuracin de usuarios muy fcil de
manejar, con el podemos Crear Usuarios, una vez todos los
campos estn llenos, borrar usuarios y editar usuarios.
b. Los usuarios registrados se van listando en la parte posterior de
la ventana.