FIREWALL EN ZENTYAL

MAYRA ALEJANDRA CRUZ IBAEZ, 1150219

JUAN CARLOS MACIAS ZAMBRANO, 1150328

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2014

FIREWALL EN ZENTYAL

MAYRA ALEJANDRA CRUZ IBAEZ IBAEZ, 1150219

JUAN CARLOS MACIAS ZAMBRANO, 1150328

JEAN POLO CEQUEDA OLAGO

INGENIERO

12 DE JUNIO DE 2014

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
2014

INTRODUCCIN
Un Firewall puede ser implementado en una aplicacin o distribucin que cumple
varias funciones para dar seguridad a la red, para este vamos a implementar una
distribucin llamada ZENTYAL, en toda organizacin existe (o debera existir) una
Poltica de Seguridad, un documento en el que se expresa aquello que est permitido
respecto al manejo de la informacin, acceso a determinados servicios, entre
otros. Las redes corporativas no estn delimitadas por lmites fsicos, en su
lugar existen polticas de seguridad. Actualmente las tecnologas de redes
(Internet) permiten la conectividad a cualquiera, desde cualquier lugar, pertenezca
a una red interna o externa, en cualquier momento. Para acomodar esto una
poltica de seguridad debe implementarse en toda la organizacin, proveer una
cobertura integral y administracin basada en la poltica en todas las oficinas,
usuarios mviles y remotos, socios de negocios y clientes. Para que sea
efectiva estas polticas deben incluir un amplio rango de servicios que controlen el
acceso a los recursos de informacin de la red, protejan la primaca e integridad
de la informacin y las comunicaciones.
El firewall forma parte integral de la Poltica de Seguridad de una organizacin y
maneja los riesgos asociados a las redes, controlando y monitoreando los
accesos a cualquier recurso existente en la red, la implementacin de este sistema
de seguridad nos permitir adquirir un mejor conocimiento y manejo del mismo
dentro de un entorno empresarial o corporativo

OBJETOS DE RED
Los Objetos de red son una manera de representar un elemento de la red o a un
conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de
la configuracin de la red, pudiendo dotar de un nombre fcilmente reconocible al
elemento o al conjunto y aplicar la misma configuracin a todos ellos.
Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de
las direcciones IP de una subred, simplemente bastara con definirla para el objeto
de red que contiene las direcciones.

Representacin de los objetos de red

Un objeto est compuesto por cualquier cantidad de miembros, cada uno de los
cuales est a su vez compuesto por un rango de red o un host especfico.

GESTION DE LOS OBJETOS

Para empezar a trabajar con los objetos en Zentyal, accederemos la secc n Red
Objetos, all podremos ver una lista inicialmente vaca, con el nombre de cada
uno de los objetos y una serie de acciones a realizar sobre ellos. Se pueden crear,
editar y borrar objetos que sern usados ms tarde por otros mdulos.

Objetos de red

Cada uno de estos objetos se compondr de una serie de miembros que

podremos modificar en cualquier momento. Los miembros tendrn al menos los
siguientes valores: Nombre, Direccin IP yMscara de red. La Direccin MAC es
opcional y lgicamente slo se podr utilizar para miembros que representen una
nica mquina (/32), se aplicar en aquellos contextos que la direccin MAC sea
accesible.

Aadir un nuevo miembro

Los miembros de un objeto pueden solaparse con miembros de otros, lo cual es

muy til para establecer conjuntos arbitrarios, pero debemos tenerlo en cuenta al
usarlos en el resto de mdulos para obtener la configuracin deseada y no sufrir
solapamientos indeseados.
En las secciones de la configuracin de Zentyal donde podamos usar objetos
(como DHCP o Cortafuegos) dispondremos de un men embebido que nos
permitir crear y configurar objetos sin necesidad de acceder expresamente a esta
seccin de men.
FIREWALL O CORTAFUEGOS
Zentyal utiliza para su mdulo de cortafuegos el subsistema del kernel de Linux
llamado Netfilter, que proporciona funcionalidades de filtrado, marcado de trfico y
redireccin de conexiones.
CONFIGUACION DE UN CORTAFUEGOS EN ZENTYAL
El modelo de seguridad de Zentyal se basa en intentar proporcionar la mxima
seguridad posible en su configuracin predeterminada, intentando a la vez
minimizar los esfuerzos a realizar tras aadir un nuevo servicio.
Cuando Zentyal acta de cortafuegos, normalmente se instala entre la red interna
y el router conectado a Internet. La interfaz de red que conecta la mquina con
el router debe marcarse como Externo en Red -> Interfaces para permitir al
cortafuegos establecer unas polticas de filtrado ms estrictas para las conexiones
procedentes de fuera.

Interfaz externa
La poltica por defecto para las interfaces externas es denegar todo intento de
nueva conexin a Zentyal, mientras que para las interfaces internas se deniegan
todos los intentos de conexin a Zentyal excepto los que se realizan a servicios
definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos
para permitir estas conexiones, aunque siempre pueden ser modificadas
posteriormente por el administrador. Una excepcin a esta norma son las
conexiones al servidor LDAP, que aaden la regla pero configurada para denegar
las conexiones por motivos de seguridad. La configuracin predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones.
La definicin de las polticas del cortafuegos se hace desde Cortafuegos
Filtrado de paquetes.

Esquema de los diferentes flujos de trfico en el cortafuegos

Cada una de las secciones que podemos ver en el diagrama controla diferentes
flujos de trfico dependiendo del origen y destino:

Reglas de filtrado de redes internas a Zentyal (por ejemplo: permitir acceder

al servidor de ficheros de Zentyal a los clientes de la red interna).

Reglas de filtrado para las redes internas (por ejempo: restringir el acceso a
Internet a ciertos clientes de la red interna, impedir que la red DMZ acceda
a otros segmentos de la LAN).

Reglas de filtrado desde la redes externas a Zentyal (por ejemplo: permitir

que cualquier cliente en Internet acceda a un servidor web desplegado en
Zentyal)

guilabel:Reglas de filtrado para el trfico saliente de Zentyal (por ejemplo:

conexiones del proxy que se hacen por peticin de un usuario interno).

Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes
servicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar
las implicaciones en la seguridad antes de modificar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que seccin se encontrara
cualquier tipo de trfico que deseemos controlar en nuestro cortafuegos. Las
flechas slo indican origen y destino, como es natural, todo el trfico debe
atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la
flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de
los equipos de la LAN es el origen y una mquina en Internet el destino, pero la
conexin ser procesada por Zentyal, que es la puerta de enlace para esa
mquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de
un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel
introducidos anteriormente: los Servicios de red para especificar a qu protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre qu
direcciones IP de origen o de destino se aplican.

INTERFAZ DMZ (eth0)

Para la configuracin de la interface, nos dirigimos a dirigirnos RedInterfaces,
estando all podemos observar que para esta implementacin debemos tener tres
adaptadores para cada una delas redes mencionadas anteriormente. La primera
que vamos a configurar es la DMZ y para ello debemos darle un NOMBRE,
seleccionar el mtodo que para este caso ser esttico, editamos la direccin IP
con su respectiva mascara y por ultimo daremos clic en Cambiar

PORTAL CAUTIVO
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se configure, adems de ofrecer la
posibilidad de controlar el ancho de banda consumido por cada usuario.
CONFIGURACION DEL PORTAL CAUTIVO EN ZENTYAL
A travs del men Portal Cautivo podemos acceder a la configuracin del portal
cautivo de Zentyal.

Configuracin del portal cautivo

Grupo
Si se define un grupo, slo los usuarios pertenecientes a ste tendrn permitido
acceder a travs del portal cautivo. La opcin por defecto permite el acceso a
todos los usuarios registrados.
Puerto HTTP y Puerto HTTPS
El servicio de redireccin web reside en el Puerto HTTP, mientras que el portal de
identificacin se encuentra en el Puerto HTTPS. Zentyal redirigir

automticamente las peticiones web al portal de identificacin.

Interfaces cautivas
Este listado muestra las interfaces de red internas. El portal cautivo limitar el
acceso las interfaces marcadas en esta lista.
Podemos observar tambin un formulario que nos permite limitar el ancho de
banda a una cantidad mxima en un intervalo de tiempo definido. Para contar con
esta opcin tendremos que haber descargado y activado el mdulo de Monitor de
Ancho de Banda. Si hemos habilitado un lmite, al activar el portal cautivo sobre
una de las interfaces internas, el mdulo de Monitor de Ancho de Banda se
activar tambin sobre esa misma interfaz. Podemos ver la configuracin e
informes de monitorizacin desde Red Monitor de Ancho de Banda.
Una vez que el usuario haya agotado su cuota, ser todava capaz de registrarse
en el portal cautivo, pero no podr consumir ms trfico desde Internet.
EXCEPCIONES
Podemos establecer excepciones al portal cautivo, de tal forma que
ciertos Objetos o Servicios puedan acceder las redes externas sin necesidad de
superar las pantallas de registro.

LISTADO DE USUARIOS

La pestaa de usuarios muestra la lista de los usuarios que estn actualmente

autorizados por el portal cautivo.

Listado de usuarios
sta es la informacin que se puede observar en el listado:
Usuario
Nombre del usuario conectado.
Direccin IP
Direccin IP del usuario.
Uso de ancho de banda (Opcional)

Si el mdulo de Monitorizacin de ancho de banda est activo este campo

mostrar el uso de ancho de banda (en MB) del usuario para el periodo
configurado.
Podemos Ampliar el Lmite de ancho de banda para un usuario, lo cual aadir la
cuota inicial a su total disponible y tambin Expulsar usuario. Esta accin finalizar
la sesin del usuario expulado, dejndolo de nuevo sin acceso a la red.

USO DEL PORTAL CAUTIVO

Cuando un usuario, conectado a Zentyal a travs de una interfaz cautiva, acceda a
cualquier pgina web con su navegador, ser automticamente redirigido al portal
cautivo, que le solicitar identificarse.

Pgina de identificacin
Tras una correcta identificacin se abrir una ventana emergente de manera
automtica. Esta ventana es la encargada de mantener la sesin abierta, es
necesario que el usuario no la cierre mientras est utilizando la conexin.

Lista de reglas de filtrado de paquetes desde las redes internas a Zentyal

Normalmente cada regla tiene un Origen y un Destino que pueden ser Cualquiera,
una Direccin IPo un Objeto en el caso que queramos especificar ms de una
direccin IP o direcciones MAC. En determinadas secciones el Origen o
el Destino son omitidos ya que su valor es conocido a priori; ser siempre Zentyal
tanto el Destino en Trfico de redes internas a Zentyal y Trfico de redes externas
a Zentyal como el Origen en Trfico de Zentyal a redes externas.
Adems cada regla siempre tiene asociado un Servicio para especificar el
protocolo y los puertos (o rango de puertos). Los servicios con puertos de origen
son tiles para reglas de trfico saliente de servicios internos, por ejemplo un
servidor HTTP interno, mientras que los servicios con puertos de destino son tiles
para reglas de trfico entrante a servicios internos o trfico saliente a servicios
externos. Cabe destacar que hay una serie de servicios genricos que son muy
tiles para el cortafuegos como Cualquiera para seleccionar cualquier protocolo y
puertos, Cualquiera TCP oCualquiera UDP para seleccionar cualquier protocolo
TCP o UDP respectivamente.
El parmetro de mayor relevancia ser la Decisin a tomar con las conexiones
nuevas. Zentyal permite tomar tres tipos distintos de decisiones:

Aceptar la conexin.

Denegar la conexin ignorando los paquetes entrantes y haciendo suponer

al origen que no se ha podido establecer la conexin.

Registrar la conexin como un evento y seguir evaluando el resto de reglas.

De esta manera, a travs de Mantenimiento Registros -> Consulta
registros -> Cortafuegos podemos ver las conexiones que se estn
produciendo.

Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo), una vez que una regla (ACEPTAR /
DENEGAR) acepta una conexin, no se sigue evaluando el resto. Las reglas
de REGISTRAR generan el registro, pero siguen procesando. Una regla genrica
al principio, puede hacer que otra regla ms especfica posterior no sea evaluada.
Es por esto por lo que el orden de las reglas en las tablas es muy importante.
Existe la opcin de aplicar un no lgico a la evaluacin de miembros de una regla
con Coincidencia Inversapara la definicin de polticas ms avanzadas.

Creando una nueva regla en el firewall

Por ejemplo, si queremos registrar las conexiones a un servicio, primero
tendremos la regla que registra la conexin y luego la regla que acepta la
conexin. Si estas dos reglas estn en el orden inverso, no se registrar nada ya
que la regla anterior ya acepta la conexin. Igualmente, si queremos restringir la
salida a Internet, primero denegaremos explcitamente los sitios o los clientes y
luego permitiremos la salida al resto, invertir el orden dara acceso a todos los
sitios a todos los hosts.

Por omisin, la decisin es siempre denegar las conexiones y tendremos que

aadir reglas que las permitan explcitamente. Hay una serie de reglas que se
aaden automticamente durante la instalacin para definir una primera versin de
la poltica del cortafuegos: se permiten todas las conexiones salientes hacia las
redes externas, Internet, desde el servidor Zentyal (en Trfico de Zentyal a redes
externas) y tambin se permiten todas las conexiones desde las redes internas
hacia las externas (en Trfico entre redes internas y de redes internas a Internet).
Adems cada mdulo instalado aade una serie de reglas en las secciones Trfico
de redes internas a Zentyal y Trfico de redes externas a Zentyal normalmente
permitiendo las conexiones desde las redes internas pero denegndola desde las
redes externas. Esto ya se hace implcitamente, pero facilita la gestin del
cortafuegos puesto que de esta manera para permitir el servicio solamente hay
que cambiar el parmetro Decisin y no es necesario crear una regla nueva.
Destacar que estas reglas solamente son aadidas durante el proceso de
instalacin de un mdulo por primera vez y no son modificadas automticamente
en el futuro.
SERVICIO PROXI HTTP
Para configurar el proxy HTTP iremos a Proxy HTTP General. Podremos definir
si el proxy funciona en modo Proxy Transparente para forzar la poltica establecida
o si por el contrario requerir configuracin manual. En cualquier caso,
en Puerto estableceremos dnde escuchar el servidor conexiones entrantes. El
puerto preseleccionado es el 3128, otros puertos tpicos son el 8000 y el 8080. El
proxy de Zentyal nicamente acepta conexiones provenientes de las interfaces de
red internas, por tanto, se debe usar una direccin interna en la configuracin del
navegador.
El tamao de la cach define el espacio en disco mximo usado para almacenar
temporalmente contenidos web. Se establece en Tamao de cach y corresponde
a cada administrador decidir cul es el tamao ptimo teniendo en cuenta las
caractersticas del servidor y el trfico esperado.
Reglas de Acceso
Una vez hayamos decidido nuestra configuracin general, tendremos que definir
reglas de acceso. Por defecto, la seccion Proxy HTTP Reglas de
acceso contiene una regla permitiendo todo acceso. Al igual que en
el Cortafuegos, la poltica por omisin de regla siempre ser denegar y la regla

que tendr preferencia en caso de que varias sean aplicacables ser la que se
encuentre ms arriba.

Nueva regla de acceso al proxy

Mediante el Perodo de tiempo podemos definir en que momento se tendr en
consideracin esta regla, tanto las horas como los das. Por defecto se aplica en
todo momento.
El Orgen es un parmetro muy flexible, ya que nos permite definir si esta regla se
aplicacar a los miembros de un Objeto de Zentyal o a los usuarios de un
determinado Grupo (recordemos que las restricciones por grupo slo estn
disponibles para el modo de Proxy no transparente). La tercera opcin es aplicar
la regla sobre cualquier tipo de trfico que atraviese el proxy.
De forma similar al Cortafuegos, una vez Zentyal haya decidido que el trfico
coincide con una de las reglas definidas, debemos indicarle una Decisin, en el
caso del Proxy hay tres opciones:

Permitir todo: Permite todo el trfico sin hacer ninguna comprobacin, nos
permite an as, seguir disfrutando de cach de contenidos web y registros
de accesos.

Denegar todo: Deniega la conexin web totalmente.

Aplicar perfil de filtrado: Para cada peticin, comprobar que los contenidos
no incumplen ninguno de los filtros definidos en el perfil, se desarrollarn
los perfiles de filtrado en el siguiente apartado.

Filtrado de Contenidos
Zentyal permite el filtrado de pginas web en base a su contenido. Se pueden
definir mltiples perfiles de filtrado en Proxy HTTP Perfiles de Filtrado.

Perfiles de filtrado para los diferentes objetos de red o grupos de usuarios

Accediendo a la Configuracin de estos perfiles, podremos especificar diversos
criterios para ajustar el filtro a nuestros certificados. En la primera pestaa
podemos encontrar los Umbrales de contenido y el filtro del antivirus. Para que
aparezca la opcin de antivirus, el mdulo Antivirus debe estar instalado y
activado.

Configuracin del perfil

Estos dos filtros son dinmicos, es decir analizarn cualquier pgina en busca de
palabras inapropiadas o virus. El umbral de contenidos puede ser ajustado para
ser ms o menos estricto, esto influir en la cantidad de palabras inapropiadas que
permitir antes de rechazar una pgina.
En la siguiente pestaa Reglas de dominios y URLs podemos decidir de forma
esttica que dominios estarn permitidos en este perfil. Podemos decidir Bloquear
sitios especificados slo como IP, para evitar que alguien pueda evadir los filtros
de dominios aprendiendo las direcciones IP asociadas. As mismo con la
opcin Bloquear dominios y URLs no listados podemos decidir si la lista de
dominios ms abajo se comporta como una blacklist o una whitelist, es decir, si el
comportamiento por defecto ser aceptar o denegar una pgina no listada.

PRUEBA DEL PROXI

CONFIGURACION DE UN SERVIDOR OpenVPN

Se puede configurar Zentyal para dar soporte a clientes remotos (conocidos
como Road Warriors). Esto es, un servidor Zentyal trabajando como puerta de
enlace y como servidor VPN, que tiene varias redes de rea local (LAN) detrs,
permitiendo a clientes externos (los road warriors) conectarse a dichas redes
locales va servicio VPN.

Zentyal y clientes remotos de VPN

Nuestro objetivo es conectar al servidor de datos con los otros 2 clientes remotos
(comercial y gerente) y estos ltimos entre si.

Para ello necesitamos crear una Autoridad de Certificacin y certificados

individuales para los dos clientes remotos, que crearemos mediante Autoridad de
certificacin General. Tambin se necesita un certificado para el servidor VPN,
sin embargo, Zentyal expedir este certificado automticamente cuando cree un
nuevo servidor VPN. En este escenario, Zentyal acta como unaAutoridad de
Certificacin.

Una vez tengamos los certificados, deberamos poner a punto el servidor VPN en
Zentyal mediante Crear un nuevo servidor. El nico parmetro que necesitamos
introducir para crear un servidor es el nombre.