Académique Documents
Professionnel Documents
Culture Documents
FIREWALL EN ZENTYAL
12 DE JUNIO DE 2014
INTRODUCCIN
Un Firewall puede ser implementado en una aplicacin o distribucin que cumple
varias funciones para dar seguridad a la red, para este vamos a implementar una
distribucin llamada ZENTYAL, en toda organizacin existe (o debera existir) una
Poltica de Seguridad, un documento en el que se expresa aquello que est permitido
respecto al manejo de la informacin, acceso a determinados servicios, entre
otros. Las redes corporativas no estn delimitadas por lmites fsicos, en su
lugar existen polticas de seguridad. Actualmente las tecnologas de redes
(Internet) permiten la conectividad a cualquiera, desde cualquier lugar, pertenezca
a una red interna o externa, en cualquier momento. Para acomodar esto una
poltica de seguridad debe implementarse en toda la organizacin, proveer una
cobertura integral y administracin basada en la poltica en todas las oficinas,
usuarios mviles y remotos, socios de negocios y clientes. Para que sea
efectiva estas polticas deben incluir un amplio rango de servicios que controlen el
acceso a los recursos de informacin de la red, protejan la primaca e integridad
de la informacin y las comunicaciones.
El firewall forma parte integral de la Poltica de Seguridad de una organizacin y
maneja los riesgos asociados a las redes, controlando y monitoreando los
accesos a cualquier recurso existente en la red, la implementacin de este sistema
de seguridad nos permitir adquirir un mejor conocimiento y manejo del mismo
dentro de un entorno empresarial o corporativo
OBJETOS DE RED
Los Objetos de red son una manera de representar un elemento de la red o a un
conjunto de ellos. Sirven para simplificar y consecuentemente facilitar la gestin de
la configuracin de la red, pudiendo dotar de un nombre fcilmente reconocible al
elemento o al conjunto y aplicar la misma configuracin a todos ellos.
Por ejemplo, en lugar de definir la misma regla en el cortafuegos para cada una de
las direcciones IP de una subred, simplemente bastara con definirla para el objeto
de red que contiene las direcciones.
Un objeto est compuesto por cualquier cantidad de miembros, cada uno de los
cuales est a su vez compuesto por un rango de red o un host especfico.
Objetos de red
Interfaz externa
La poltica por defecto para las interfaces externas es denegar todo intento de
nueva conexin a Zentyal, mientras que para las interfaces internas se deniegan
todos los intentos de conexin a Zentyal excepto los que se realizan a servicios
definidos por los mdulos instalados. Los mdulos aaden reglas al cortafuegos
para permitir estas conexiones, aunque siempre pueden ser modificadas
posteriormente por el administrador. Una excepcin a esta norma son las
conexiones al servidor LDAP, que aaden la regla pero configurada para denegar
las conexiones por motivos de seguridad. La configuracin predeterminada tanto
para la salida de las redes internas como desde del propio servidor es permitir
toda clase de conexiones.
La definicin de las polticas del cortafuegos se hace desde Cortafuegos
Filtrado de paquetes.
Cada una de las secciones que podemos ver en el diagrama controla diferentes
flujos de trfico dependiendo del origen y destino:
Reglas de filtrado para las redes internas (por ejempo: restringir el acceso a
Internet a ciertos clientes de la red interna, impedir que la red DMZ acceda
a otros segmentos de la LAN).
Se debe tener en cuenta que permitir conexiones desde Internet a los diferentes
servicios de Zentyal puede ser potencialmente peligroso, se recomienda estudiar
las implicaciones en la seguridad antes de modificar el tercer conjunto de reglas.
Estudiando el esquema, podemos determinar en que seccin se encontrara
cualquier tipo de trfico que deseemos controlar en nuestro cortafuegos. Las
flechas slo indican origen y destino, como es natural, todo el trfico debe
atravesar el cortafuegos de Zentyal para poder ser procesado. Por ejemplo, la
flecha Redes Internas que va de la LAN 2 hasta Internet, representa que uno de
los equipos de la LAN es el origen y una mquina en Internet el destino, pero la
conexin ser procesada por Zentyal, que es la puerta de enlace para esa
mquina.
Zentyal provee una forma sencilla de definir las reglas que conforman la poltica de
un cortafuegos. La definicin de estas reglas usa los conceptos de alto nivel
introducidos anteriormente: los Servicios de red para especificar a qu protocolos
y puertos se aplican las reglas y los Objetos de red para especificar sobre qu
direcciones IP de origen o de destino se aplican.
PORTAL CAUTIVO
Zentyal implementa un servicio de portal cautivo que permite limitar el acceso a la
red desde las interfaces internas en las que se configure, adems de ofrecer la
posibilidad de controlar el ancho de banda consumido por cada usuario.
CONFIGURACION DEL PORTAL CAUTIVO EN ZENTYAL
A travs del men Portal Cautivo podemos acceder a la configuracin del portal
cautivo de Zentyal.
LISTADO DE USUARIOS
Listado de usuarios
sta es la informacin que se puede observar en el listado:
Usuario
Nombre del usuario conectado.
Direccin IP
Direccin IP del usuario.
Uso de ancho de banda (Opcional)
Pgina de identificacin
Tras una correcta identificacin se abrir una ventana emergente de manera
automtica. Esta ventana es la encargada de mantener la sesin abierta, es
necesario que el usuario no la cierre mientras est utilizando la conexin.
Aceptar la conexin.
Las reglas son insertadas en una tabla donde son evaluadas desde el principio
hasta el final (desde arriba hacia abajo), una vez que una regla (ACEPTAR /
DENEGAR) acepta una conexin, no se sigue evaluando el resto. Las reglas
de REGISTRAR generan el registro, pero siguen procesando. Una regla genrica
al principio, puede hacer que otra regla ms especfica posterior no sea evaluada.
Es por esto por lo que el orden de las reglas en las tablas es muy importante.
Existe la opcin de aplicar un no lgico a la evaluacin de miembros de una regla
con Coincidencia Inversapara la definicin de polticas ms avanzadas.
que tendr preferencia en caso de que varias sean aplicacables ser la que se
encuentre ms arriba.
Permitir todo: Permite todo el trfico sin hacer ninguna comprobacin, nos
permite an as, seguir disfrutando de cach de contenidos web y registros
de accesos.
Aplicar perfil de filtrado: Para cada peticin, comprobar que los contenidos
no incumplen ninguno de los filtros definidos en el perfil, se desarrollarn
los perfiles de filtrado en el siguiente apartado.
Filtrado de Contenidos
Zentyal permite el filtrado de pginas web en base a su contenido. Se pueden
definir mltiples perfiles de filtrado en Proxy HTTP Perfiles de Filtrado.
Una vez tengamos los certificados, deberamos poner a punto el servidor VPN en
Zentyal mediante Crear un nuevo servidor. El nico parmetro que necesitamos
introducir para crear un servidor es el nombre.