PLAN DE SEGURIDAD DE LA INFORMACIÓN INSTALACIÓN Y CONFIGURACIÓN
SARA FERNANDEZ VALENZUELA GRUPO: 38110
INSTRUCTOR MAURICIO ORTIZ MORALES
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL ADMINISTRACION DE REDES DE CÓMPUTO MEDELLIN SENA 2011
CONTENIDO
INTRODUCCIÓN 1. OBJETIVOS 2. SEGURIDAD PERIMETRAL CON FIREWALLS 3. SOLUCIÓN DE ACELERACIÓN Y FILTRADO WEB (PROXY) 4. SOLUCIÓN DE CONECTIVIDAD REMOTA (VPNs) 5. CONCLUSIONES BIBLIOGRAFIA
INTRODUCCIÓN El objetivo primordial de la elaboración de este trabajo es con el fin de implementar diferentes tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, indagando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet. Cabe resaltar que para su correcta preparación e implementación se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es GNS3, SDM, diferentes distribuciones de firewalls por software tales como PFSENSE, ZENTYAL, ENDIAN, entre otros; los cuales a su vez permiten configurar y administrar efectivamente otras soluciones perimetrales para tener bajo un mismo sistema todas las implementaciones de seguridad. Se realizó con la mayor creatividad e interés posible para que el lector lo disfrute completamente.
1. OBJETIVOS
Definir las normas, técnicas, procedimientos y políticas de seguridad de la red, aplicando esquemas y normas de seguridad vigentes, para el aseguramiento de la información y la red, utilizando herramientas especializadas, para realizar el diseño del plan de seguridad. Identificar las vulnerabilidades y ataques de la red de cómputo a través de procedimientos y herramientas que permitan realizar dicho análisis y garantizar el funcionamiento de la red acorde con el plan estratégico de seguridad, para realizar el diagnóstico sobre la protección de los recursos de la compañía (software, hardware), entre otros. Configurar hardware, software y emplear métodos de seguridad, de acuerdo con el diseño establecido, garantizando la protección de la información, para implementar el plan de seguridad, utilizando todos recursos.
2. SEGURIDAD PERIMETRAL CON FIREWALLS
Como se muestra en la siguiente imagen, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la adecuada implementación.
Ingresamos a cada una de las nubes que representan las dos redes con las cuales vamos a trabajar; en ella debemos seleccionar y añadir la interfaz respectiva a la cual va a estar conectada (C2 a la Máquina Virtual de la Red LAN (vboxnet0) y C1 a la interfaz eth2 de la Red WAN (Internet)). Damos clic en Aceptar.
En la configuracion del virtualbox en preferencias – red, adicionamos otra interfaz para que la LAN conecte con el router y funcione correctamente como lo podemos observar en las imagenes y asignarle el rango de la direccion privada para que se conecte con la WAN.
En este paso les asignamos una dirección a cada interfaz y una dirección por DHCP con los siguientes comandos hacemos dicha configuración. En modo de configuración (Router# configure terminal) Estando ahí nos vamos a las interfaces a asignarles su respectiva dirección Router (config)# interface f , y luego con ip address dhcp se le asigna por defecto la IP, no sh para encender el router y wr para guardar la configuración del router.
Con el comando sh ip interface brief veremos las direcciones que fueron accionadas por dhcp y la ip que nosotros asignamos a la otra interface (Pública y Privada), Como lo muestra en la imagen.
Para que funcione SDM, se debe configurar acceso HTTP al router. Si la imagen lo admite (se necesita una imagen de IOS que admita la funcionalidad de criptografía), también se debe habilitar el acceso HTTPS seguro mediante el comando ip http secure-server. La habilitación de HTTPS genera algunos resultados acerca de las claves de encriptación RSA. Esto es normal. Además, asegúrese de que el servidor HTTP utilice la base de datos local para la autenticación. Por último, configure las líneas de terminal virtual del router para la autenticación mediante la base de datos de autenticación local. Permita entradas del terminal virtual desde telnet y SSH.
EXTRAER SDM EN EL HOST Ahora que el router está listo para su acceso desde SDM y que hay conectividad entre el router y el equipo PC, se puede utilizar SDM para configurar el router. Se debería comenzar por la extracción del archivo comprimido de SDM en un directorio del disco duro. En este ejemplo, el directorio utilizado es “C:\sdm\”, aunque se puede utilizar cualquier ruta deseada. Está casi listo para utilizar SDM para configurar el router. El último paso es la instalación de la aplicación SDM en el equipo PC.
Haga doble clic en el programa ejecutable setup.exe para abrir el asistente de instalación. Una vez que se abra la pantalla del asistente de instalación, haga clic en siguiente. Acepte las condiciones del acuerdo de licencia y haga clic en siguiente.
La siguiente pantalla solicita que se elija de entre las tres opciones para la ubicación de la instalación de SDM, Al instalar SDM, se puede instalar la aplicación en el equipo sin colocarla en la memoria flash del router, se puede instalar en el router sin afectar al equipo o bien se puede instalar en ambos. Ambos tipos de instalaciones son muy similares.
Escriba la información del router para que el instalador pueda acceder de manera remota e instalar SDM en el router.
Despues de haber acabado con este paso esperamos que la máquina se conecte con el route para comenzar administrar dicha aplicación.
Ejecutar SDM desde el equipo PC Se abre el cuadro de diálogo SDM Launcher. Escriba la dirección IP del router que se muestra en el diagrama como una dirección IP del dispositivo.
Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deberá permitir o adaptar las opciones de seguridad de Internet Explorer según sea necesario para poder utilizarlo. Según la versión de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el menú Herramientas, en Opciones de Internet… Haga clic en la ficha Opciones avanzadas y, en la sección Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no esté activada. Escriba el nombre de usuario y la contraseña creados anteriormente.
Es posible que se solicite la aceptación de un certificado de este router. Acepte el certificado para continuar.
A continuación, proporcione el nombre de usuario y la contraseña para el router y haga clic en seguir.
Una vez que SDM haya terminado de cargar la configuración actual del router, aparecerá la página de inicio de SDM. Si la configuración es correcta, significa que configuró SDM y se conectó a éste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuación, según el número de modelo del router, la versión de IOS y otras variables.
Como se puede observar en esta imagen nos muestran las interfaces del router ya configuradas la privada y la pública por DHCP.
En este paso nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y ahí comenzaremos agregando las reglas de traducción de direcciones como lo muestra en las siguientes imágenes. Asignandoles una direccion ip privada y agregando la interfaz pública (DHCP), el tipo de servidor ya sea (WEB, DNS, HTTP, FTP), entre otros.
Aquí veremos ya todas las reglas del NAT, la cual van hacer usadas para los servidores
En la imagen que se muestra solo veremos el resumen de la configuración acabada de hacer en los pasos anteriores y por último finalizaremos.
Una vez terminado la configuracion del NAT continuamos con la configuración del sistente (Firewall y ACL)
La configuración de la interfaz de firewall básico se selecciona una interfaz externa (no fiable) de la lista desplegable. La interfaz externa (no fiable) es la interfaz que esta frente a Internet. Como lo podemos ver en las siguientes imágenes.
Esta imagen nos muestra el resumen de la configuracion del firewall ya terminada
En las siguientes imágenes podemos ver las reglas ya configuradas correctamente (Denegando y Permitiendo).
Antes de hacer las pruebas para mirar si todo nos quedo funcionando nos dirigimos al router y miramos la configuración con el siguiente comando. Router# sh run Estando ahí nos mostrara todas las reglas implementadas en la aplicación SDM que fuerón configuradas, tambien lo que fue denegando o permitiendo.
PRUEBAS DE LA LAN Y WAN
Ingresamos a un navegador de Internet y colocamos la IP privada de la LAN para hacer pruebas y como podemos observar en las imágenes nos dió correctamente la dirección con su página Web. También se hizo pruebas desde la LAN con los servicios (DNS, HTTP, POP3, FTP), entre otros.
Ingresamos a un navegador de Internet desde la máquina real para probar con la IP pública de la WAN para hacer pruebas y como podemos observar en las imágenes nos dió correctamente la dirección con su página Web. También se hizo pruebas desde la WAN con los servicios (DNS, HTTP, POP3, FTP), entre otros.
3. SOLUCIÓN DE ACELERACIÓN Y FILTRADO WEB (PROXY)
Como configuración inicial nos conectamos mediante un navegador WEB a URL de pfsense (inicialmente http://192.168.80.1). El usuario por defecto es "admin" y la contraseña “pfsense", luego el asistente nos guiará en una configuración inicial.
Esta imagen nos indica que la gateway de la LAN que es la 192.168.80.1 para que se puedan conocer ambas máquinas y realizar dicha configuración.
En el siguiente paso deberemos borrar todas la reglas que aparecen en la lista por defecto, esto es importante porque si no se hace, el Firewall Transparente que queremos no funcionara. Tenemos que aplicar los cambios entodo momento de la configuración. Buenos ahora nos vamos a Firewall > rules (reglas), para comenzar a crear las nuevas reglas, allí solo configuraremos las reglas para LAN – WAN – DMZ. Haciendo clic sobre la pestaña LAN, antes venia una regla por defecto La cual permitía todo el trafico de la red LAN, en este caso la editaremos y la desactivamos, pero primero añadiremos el trafico que queremos dejar pasar (por defecto todo el trafico estará bloqueado), servicios tales como HTTP, HTTPS, SMTP, POP3, IMAP entre otros. Ya una vez añadido el conjunto de reglas que deseamos dejar pasar hacia internet, procedemos a editar la regla por defecto y la desactivamos, una vez aplicado los cambios esta se tornara atenuada con respecto a las otras
En la interfaz WAN podremos configurar que desde afuera acceden a un servidor web.
En este paso miramos que la dirección de la máquina lan si este en el rango que debe estar en este caso la 80.
Como siguiente paso configuramos en la regla (rules) LAN una regla para hacer ping con la DMZ lo cual nos indica que esta correctamente y se conoce la LAN con la DMZ.
Hacemos pruebas para haber si nos quedaron las reglas funcionando correctamente como se puede observar en la imagen. Se hace una prueba desde la LAN con la direccion de la DMZ (192.168.100.72). Con el protocolo HTTP
Aquí probamos con otro protocolo DNS el cual nos permite resolución de nombres de dominio en esta imagen podemos ver que la direccion no es la correcta por lo que hice un cambio a lo ultimo dejando como direccion la 192.168.100.72, para que no hayan conflictos.
Tambien se pueden hacen pruebas con telnet a traves de la direccion de la DMZ y un protocolo ya sea http, dns, pop3, Imap, entre otros.
INSTALACIÓN DEL PAQUETE SQUID EN PFSENSE En el menú System: Package Manager buscamos el paquete SQUID, LIGHTSQUID, SQUIDGUARD, pulsamos en el botón de añadir y esperamos a que completen dichos paquetes de instalación. pfsense se descargará el paquete con sus dependencias y lo instalará. No debemos hacer nada hasta ver el mensaje de instalación completada.
Una vez instalados los paquetes Squid del paso anterior, nos dirigimos SERVICES – Proxy server y configuramos la interfaz LAN como puede ser observada en la siguiente imagen.
Aquí en este paso se configuran las reglas de NATEO (NAT) para poder salir con la IP de la WAN con una direccion pública como es (192.168.10.84). Podemos visulizar bien las reglas como deben quedar en las siguientes imágenes.
Probamos para ver si todo esta funcionando correctamente con las reglas de la WAN, probando con la direccion publica la cual nos da por DHCP. Se hacen pruebas con los protocolos HTTP, DNS, HTTP (modo seguro), entre otros.
El LightSquid es una herramienta de informes de uso, un analizador rápido y ligero para el proxy Squid.
Esta herramienta nos puede mostrar cuales páginas han sido visitadas por el cliente
SquidGuard es un filtro de contenidos web utilizando el proxy Squid. Es importante precisar que squidGuard es un filtro de IP o URL, ya que en realidad no analiza el contenido de la dirección destino sino su URL/IP. Cuando un cliente solicita acceder a una determinada dirección quidGuard la compara con la lista de su base de datos y si no está permitido su acceso entonces realiza tareas como redireccionar a una página de error, no hacer nada, etc., visualizamos en las imágenes que todos los servicios están corriendo esa parte es muy importante.
En esta parte la utilizamos para bloquiar las extenciones como (avi,jpg,mp3), entre otros es importante como observamos en las imágenes colocar muy bn el código que tenemos en Expressions, en esta parte se coloca el código para que nos permita bloquear las extensiones que vallamos a bloquiar para no tener acceso a dichas páginas.
En esta parte (common ACL) colocamos el nombre para identificarlo, en este caso “bloquiados” alli denegamos para que las extensiones no salgan a Internet (deny), guardamos los cambios y continuamos con la configuración.
Podemos observar en las siguientes imágenes nos muestra que las extensiones (avi, jpg), estan correctamente ya que denegamos el paso y por ende no nos permite ingresar a las páginas.
Como siguiente, es filtrar el paso de las siguientes páginas a Internet a travez de (blacklist – lista negra), ahí bloquearemos todas las páginas que no queremos que salgan a Internet, como lo podemos observar en las imágenes siguientes. (hotmail elcolombiano).
Estas son las pruebas que obtuvimos con el paso anterior que fue filtrar estas páginas para que no accedan a Internet.
Puedes obtener lo mismo con la DMZ filtando el proxy en (Editar – Preferencias y configuracion de conexión) ahí se coloca la direccion del gateway de la LAN y el puerto del proxy para que se pudan conectar ambas, como lo observamos en la imagen.
PRUEBAS DMZ - LAN (PING) En las imágenes nos muestra que la máquina de la DMZ no conoce a la LAN, y la LAN si conoce a la WAN, esto nos funciona por las reglas del ping (ICMP) que fuerón creadas en los pasos anteriores.
4. SOLUCIÓN DE CONECTIVIDAD REMOTA (VPNs)
Una VPN es una red virtual que se crea dentro de otra red real, como puede ser Internet Realmente una VPN no es más que una estructura de red corporativa implantada sobre una red de recursos de carácter público, pero que utiliza el mismo sistema de gestión y las mismas políticas de acceso que se usan en las redes privadas, al fin y al cabo no es más que la creación en una red pública de un entorno de carácter confidencial y privado que permitirá trabajar al usuario como si estuviera en su misma red local. La comunicación entre los dos extremos de la red privada a través de la red pública se hace estableciendo túneles virtuales entre esos dos puntos y usando sistemas de encriptación y autentificación que aseguren la confidencialidad e integridad de los datos transmitidos a través de esa red pública. Debido al uso de estas redes públicas, generalmente Internet, es necesario prestar especial atención a las cuestiones de seguridad para evitar accesos no deseados. Como se muestra en la siguiente imagen, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la adecuada implementación.
En este paso debemos tener en cuenta que cada router debe contar con una dirección IP para que se puedan conectar ambos, configurar las seriales para que se puedan dar ping entre sí, y con ip route Para que los paquetes origen de la red sean enrutados hacia la red tenemos que configurar 2 rutas estáticas hacia esas redes y asignar la IP del siguiente salto. Si solo tenemos como información las IPs de las redes que tenemos que alcanzar y no tenemos la IP del siguiente salto, utilizamos la interfaz de salida del router local para nuestra configuración.
En este paso damos ping a las demas interfaces para ver si se comunican entre si, en caso de que no se den ping, hay que mirar bien si las rutas estan bien configuradas o mirar toda la configuración de los routers.
En las siguientes imágenes observamos como estan configuradas los adaptadores de red para que se conecten con los routers y puedan darsen ping entre si y comenzar la instalacion y configuracion de las VPN.
Aquí configuraremos las IP en el panel de control – conexiones de red - propiedades de conexión de area local ahí colocaremos la dirección como se puede observar en las siguientes imágenes, se deben tener 3 interfaces deben ser por la 10, 80,100 esos son los rangos la cual deben estar las direcciones para podersen conectar ambas.
Como podemos ver en esta imagen verificamos si todo se puede dar ping, para tener conexión con los router, para comenzar con la instalación y configuración de las VPN primero que todo se debe estar conociendo todo con todo y darsen ping entre si para que nos pueda funcionar todo correctamente.
Ejecutar SDM desde el equipo PC 1 Se abre el cuadro de diálogo SDM Launcher. Escriba la dirección IP del router que se muestra en el diagrama como una dirección IP del dispositivo.
Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deberá permitir o adaptar las opciones de seguridad de Internet Explorer según sea necesario para poder utilizarlo. Según la versión de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el menú Herramientas, en Opciones de Internet… Haga clic en la ficha Opciones avanzadas y, en la sección Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no esté activada. Escriba el nombre de usuario y la contraseña.
A continuación, proporcione el nombre de usuario y la contraseña para el router y haga clic en SI.
Una vez que SDM haya terminado de cargar la configuración actual del router, aparecerá la página de inicio de SDM. Si la configuración es correcta, significa que configuró SDM y se conectó a éste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuación, según el número de modelo del router, la versión de IOS y otras variables.
Como se puede observar en esta imagen nos muestran las interfaces del router ya configuradas la privada y la pública por DHCP tambien con las direcciones de las seriales.
Ejecutar SDM desde el equipo PC 2 Se hace lo mismo con el otro equipo solo que con la otra IP, cuando abre el cuadro de diálogo SDM Launcher. Escriba la dirección IP del router que se muestra en el diagrama como una dirección IP del dispositivo.
Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deberá permitir o adaptar las opciones de seguridad de Internet Explorer según sea necesario para poder utilizarlo. Según la versión de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el menú Herramientas, en Opciones de Internet… Haga clic en la ficha Opciones avanzadas y, en la sección Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no esté activada. Escriba el nombre de usuario y la contraseña.
A continuación, proporcione el nombre de usuario y la contraseña para el router2 y haga clic en SI.
Una vez que SDM haya terminado de cargar la configuración actual del router2, aparecerá la página de inicio de SDM. Si la configuración es correcta, significa que configuró SDM y se conectó a éste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuación, según el número de modelo del router, la versión de IOS y otras variables.
Como se puede observar en esta imagen nos muestran las interfaces del router2 ya configuradas la privada y la pública por DHCP con las direcciones tambien de las seriales.
En este paso nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y continucamos con el procedimiento.
Aquí especificamos la interfaz que se conecta a Internet
Especificamos las redes de la LAN que necesitan acceso a internet, estas redes pueden conectarse directamente al router o a redes a las que el router este conectado por medio de otros routers.
En este paso le damos clic en agregar redes que no estan conectadas directamente con el router en este caso 192.168.80.0 con máscara de 24, aceptamos y continuamos con la configuración.
En la imagen podemos visualizar que fue agregada correctamente la direccion como (Red ruteada)
Como vemos la imagen podemos finalizar la configuracion y enviarla al router ya que la Interfaz esta conectada.
En este paso editamos la configuración del NAT (Reglas de traducción de direcciones de la red).
Se hace el mismo procedimiento que tuvimos con el router2, nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y continucamos con el procedimiento.
Este paso identificamos la conexión a internet con el asistente de NAT avanzada, especificamos la interfaz que se conecta a Internet.
Especificamos las redes que necesitan acceso a internet, estas redes pueden conectarse directamente al router o a redes a las que el router este conectado por medio de otros routers.
Aquí finalizamos para enviar la configuración al router
En este paso miramos las reglas de traducción de direcciones de la red como podemos verlo en la imagen.
Nos dirigimos en la Barra de tareas – NAT – VPN sitio a sitio y iniciamos tarea seleccionada, al utilizar esta opción configuramos un túnel VPN desde este router a otro dispositivo VPN utilizando una clave previamente compartida o certificados digitales. Para realizar esta configuración debemos conocer la dirección IP del dispositivo remoto.
Seleccionamos el asistente por pasos que nos permite especificar la configuración SDM por defecto o crear una configuración personalizada, damos clic en siguiente para continuar.
Ingresamos la información acerca de la conexión VPN, seleccionamos la interfaz para la conexión, se identifica la identidad, y se especifica la dirección IP para el par remoto, la autenticación garantiza que cada extremo de la conexión VPN usa la misma clave secreta. En este caso elegimos (Claves precompartidas) e ingresamos la contraseña.
Se agrega una politica IKE, estas especifícan el algoritmo de cifrado, el algoritmo de autenticación y el método de intercambio de claves que utiliza el router al distribuir una conexión VPN con el dispositivo remoto y aceptamos.
Agregamos un conjunto de transformación (VPN-site-to-site) ingresamos ese nombre para identificarlo, seleccionamos Túnel (cifrar datos y encabezado Ip), y continuamos.
Ya agregada el nuevo conjunto de transformación continuamos con los siguientes pasos que veremos en las siguientes imágenes.
Continuamos con las reglas que definen el tráfico como transferencias de archivos (FTP) y el correo electronico (SMTP), que protegerá esta conexión VPN. El resto del tráfico de datos se enviará al dispositivo remoto sin protección, ahí especificamos la dirección Ip y la máscara de subred de la red en la que se origina el tráfico (Red local) y la dirección de destino (Red remota).
Esta imagen nos muestra el resumen de la configuración y por último finalizamos.
Ahí podemos observar como quedo la configuración de los pasos anteriores.
Nos dirigimos en la Barra de tareas – NAT – VPN sitio a sitio y iniciamos tarea seleccionada, al utilizar esta opción configuramos un túnel VPN desde este router2 a otro dispositivo VPN utilizando una clave previamente compartida o certificados digitales. Para realizar esta configuración debemos conocer la dirección IP del dispositivo remoto.
Seleccionamos el asistente por pasos que nos permite especificar la configuración SDM por defecto o crear una configuración personalizada, damos clic en siguiente para continuar
Ingresamos la información acerca de la conexión VPN, seleccionamos la interfaz para la conexión, se identifica la identidad, y se especifica la dirección IP para el par remoto, la autenticación garantiza que cada extremo de la conexión VPN usa la misma clave secreta. En este caso elegimos (Claves precompartidas) e ingresamos la contraseña del segundo router.
Se agrega una politica IKE, estas especifícan el algoritmo de cifrado, el algoritmo de autenticación y el método de intercambio de claves que utiliza el router2 al distribuir una conexión VPN con el dispositivo remoto y aceptamos.
Agregamos un conjunto de transformación (VPN-site-to-site) ingresamos ese nombre para identificarlo, seleccionamos Túnel (cifrar datos y encabezado Ip), y continuamos configurando el router2.
Ya agregada el nuevo conjunto de transformación continuamos con los siguientes pasos que veremos en las siguientes imágenes.
Continuamos con las reglas que definen el tráfico como transferencias de archivos (FTP) y el correo electronico (SMTP), que protegerá esta conexión VPN. El resto del tráfico de datos se enviará al dispositivo remoto sin protección, ahí especificamos la dirección Ip y la máscara de subred de la red en la que se origina el tráfico (Red local) y la dirección de destino (Red remota).
Esta imagen nos muestra todo el resumen de la confuración de este router2.
Esta imagen nos muestra que SDM ha detectado las reglas NAT configuradas en el router2 para que la red VPN funcione correctamente estas reglas NAT deben convertirsen en reglas NAT sin mapa de ruta.
Ahí podemos observar como quedo la configuración de los pasos anteriores.
Iniciamos la resolución de problemas de VPN, este nos mostrara si nos esta presentando errores mientras configuramos dicha aplicación.
Como observamos en la imagen nos sale una ventanita con una alerta mostrandonos que SDM permitira depuraciones del router y generará tráfico del túnel para determinar la causa del fallo de la conexión VPN, le damos clic en si para continuar.
La depuración de la sesión VPN requiere la generación de tráfico VPN. Esta definida como (Permitir 192.168.100.0 en el Origen y el Destino como 192.168.80.0)
Volvemos a mirar la resolución de problemas de VPN para detectar que fallos nos pueden salir en la configuracion de los routers, como vemos en la imagen nos salio que el túnel VPN esta activo.
Aquí esta comprobando el estado del Túnel, Interfaz, Enrutamiento,NAT, Firewall y finalizando la depuración de la conexión VPN.
Aquí en esta imagen comenzaremos hacer la prueba para capturar el tráfico con WiresHark, continuamos en Aceptar para seguir el proceso.
En esta imagen visulizamos las capturas con los routers y su respectiva dirección
Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard nuestro servidor Zentyal ya está listo. Los requerimientos de hardware para un servidor Zentyal dependen de los módulos que se instalen, de cuántos usuarios utilizan los servicios y de sus hábitos de uso. Algunos módulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros como el Filtrado de correo o el Antivirus necesitan más memoria RAM y CPU. Los módulos de Proxy y Compartición de ficheros mejoran su rendimiento con discos rápidos debido a su intensivo uso de E/S.
Crear un nuevo certificado (CA)
Esta imagen nos muestra como estamos creando un nuevo certificado, llenamos todos los datos que nos aparecen ahí.
Extraemos el certificado y lo guardamos
Guardamos el certificado en una ruta especifica
En la carpeta señalada (Downloads - Descargas), quedo nuestro certificado abrimos para mirarlo.
Extraemos el archivo para obtener la llave publica y privada
Observamos en la siguiente imagen el certificado (privada - pública) que obtuvimos haciendo los pasos anteriores.
En este paso especificamos el nombre para hacer el certificado (cliente) y hacemos lo mismo que en los pasos anteriores guardamos, extraemos y miramos el cert.
Lo que hacemos es extraer el archivo para ver la información
Aquí nos muestra toda la informacion del certificado el cual fue configurado para obtenerlo.
En las siguientes imágenes se muestran los certificado (llaves publica - privada)
En este paso añadimos nuevo en la lista de servidores para llevar a cabo los certificados esto se hace con los dos routers, se le da un nombre en especial en este caso (RED)
En la lista de servidores nos muestra el nombre, la configuración de las redes y para descargar paquetes de configuración del cliente como lo podemos observar en la imagen.
Visulizamos en la imagen la lista de las redes de los servidores VPN
Podemos observar la configuracion del cliente agregandole tambien el certificado y obteniendo los siguientes resultados.
Activado
Guardamos la configuración los módulos y de las interfaces de red o en el puerto del panel de administración, es posible que se necesite reescribir la URL manualmente para volveer a acceder al panel, Guardamos nuevos cambios.
En esta imagen se muestra la configuración del estado de los modulos ya sea activado o desactivado.
5. CONCLUSIONES
La seguridad de redes es un método de aprovechar al máximo los recursos tanto físicos como internos de la infraestructura de red, manteniéndola operativa y segura para todos y cada uno de los usuarios que hacen uso de la misma. En la seguridad de Red proporcionan información relevante acerca de la situación en la cual se encuentra la red para así detectar fallas y darle una posible solución. Durante el proceso de recolección de información se aplican los siguientes pasos cuyo orden específico permite la correcta comunicación entre el Cliente y el Servidor para el intercambio de información de acuerdo al tipo de mensaje solicitado: Recopilación de la información acerca del estado de la red y los componentes del sistema. Transformación de la información para ser presentada en formatos apropiados para el entendimiento del administrador (Gráficos y porcentajes). Almacenamiento de los datos obtenidos en las aplicaciones. Análisis de los diferentes parámetros y diagnósticos para obtener conclusiones que permitan deducir rápidamente los eventos dentro de la red. Actuación para generar acciones rápidas y automáticas en respuesta a una falla mayor. La característica fundamental de un Sistemas de Administración de Red es la amplia aplicabilidad que tiene (sistema abierto), capaz de manejar varios protocolos y gestionar varias arquitecturas de red, es decir, soporta todos los protocolos de red más importantes para el funcionamiento de la misma. Con la realización de este trabajo se logró un amplio conocimiento que permitió en gran medida entender los diferentes conceptos que se presentan en el módulo de seguridad en la redes teniendo en cuenta tanto los conceptos como el funcionamiento de los protocolos y sus componentes
BIBLIOGRAFIA
http://www.pfsense.org/ http://www.zentyal.com/es