IMPLEMENTACIN DE FIREWALL CON PFSENSE

Por

Wilmer Arlex Castrilln

Grupo 38110

Instructor Mauricio Ortiz

Centro de servicios y gestin empresaria Tecnlogo en administracin de redes Sena Medelln 2011

Introduccin En este trabajo les dar a conocer cmo implementar y configurar una firewall con pfsense. Pfsense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin Un firewall es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

Firewall en Pfsense Como lo haba dicho anteriormente en la introduccin Pfsense en un sistema basado en FreeBSD que ya viene con un software explicito para seguridad informtica. Antes que todo debemos de instalar nuestro Pfsense. Para descarga Pfsense lo puedes hacer a travs de estos links: http://www.fleximus.org/mirror/pfsense/downloads , http://files.nl.pfsense.org/mirror/downloads/ y ftp://reflection.ncsa.uiuc.edu/pub/pfSense/downloads . Para saber los requerimientos mnimos de hardware antes de instalar podemos ir al siguiente link: http://www.pfsense.org/index.php?option=com_content&task=view&id=45&Itemid=48 . Nota: Es necesario tener ms de una interfaz de red en la mquina que se va a instalar Pfsense. En el trascurso de la instalacin se puede configurar las direcciones ip de las interfaces a usar. En este link les dejo como instalar Pfsense: https://sites.google.com/a/terminuspro.com/internet/manuales/instalacion-de-pfsense . En nuestro caso salimos a internet a travs de la direccin ip 10.1.1.3, dicha direccin es asignada por nuestro proveedor de servicios. Nota: Toda esta implementacin se hace a travs de virtual box y la que hace suponer nuestra red WAN seria la maquina real. Virtual box me permite tener varias mquinas como si fueran reales. ESCENARIO A TRABAJAR

Ingresamos a travs del navegador web desde la WAN con direccin ip que fue asignada por dhcp. En este caso se puede ver la direccin ip de Pfsense que fue asignada por dhcp en la imagen siguiente. Al ingresar nos saldr el sitio administrativo del Pfsense.

A continuacin nos dirigimos a la pestaa Interfacespara verificar cuantas interfaces tiene la mquina de Pfsense. En este caso tenemos tres interfaces y se hacen llamar WAN, LAN y DMZ. Cada una de ellas significa: LAN: Red local. WAN: Internet. DMZ: Zona desmilitarizado, que es donde tenemos nuestros servicios pblicos. En la imagen siguiente se pude aclarar lo de las interfaces en el Pfsense.

Crear reglas de nateo Existen dos clases de reglas de nateo que son: Reglas de nateo en PREROUTING: Que son las me permiten redireccionar el trfico que viene para los servicios que estn publicados en la DMZ para que los de otras redes accedan a ellos. Ejemplo: Cuando desde la red WAN quiera acceder al sitio web de la empresa debe acceder a travs de la direccin pblica y cuando el Pfsense tiene una regla de nateo en prerouting que dice todo lo que venga por la interfaz WAN y tenga como destino el servidor web lo redireccione a la direccin ip del servidor web que est en la DMZ. Reglas de nateo en POSTROUNTING: Que son las que me permiten enmascarar la red lan con la direccin ip publica para que los equipos de la red lan puedan acceder a internet por medio del enmascaramiento de la direccin pblica.

Nota: como no tenemos una direccin pblica lo que hacemos es que desde una mquina que tenga salida a internet como lo es la maquina real ya que tiene un ISP que le brinda salida a internet. El IPS tiene un servicio DHCP con direccionamiento privado que es 10.1.1.0 y ya est configurado para que dicha red pueda salir a internet. Por eso es que colocamos como direccin publica una direccin ip privada la cual fue asignada por el DHCP del ISP. Ya teniendo claramente que son las reglas de nateo vamos a proceder la regla de nateo en POSTROUTING. Nos dirigimos a la pestaa Firewall y damos clic en la opcin NAT.

En Pfsense las reglas de nateo se hacen llamar de otra forma. Para crear la regla de POSTROUTING debemos ir a la pestaa Outbound. Luego de estar all seleccionamos la segunda opcin que aparece y le damos clic en Save. Cuando le damos clic en Save automticamente el Pfsense genera la regla de nateo en POSTROUTING. La regla se observa al final de la imagen en un recuadro rojo. Dicho procedimiento se puede ver claramente en la imagen siguiente.

Luego de tener nuestra regla de nateo en POSTROUTING no dirigimos hacia un equipo dentro de la red LAN para proceder hacer pruebas. La prueba cuando la regla de nateo es en POSTROUTING es verificar que los equipos de la red LAN pude salir a internet. En la siguiente imagen se muestra un equipo con un direccionamiento ip privado, lo cual quiere decir que es un equipo de la LAN. Este equipo est montado en un sistema operativo Centos.

En el equipo abrimos el navegador e ingresamos a la pgina de google y buscamos algo en google. En la imagen se muestra cono el equipo si est saliendo a internet esto quiere decir que la regla de nateo en POSTROUTING si est funcionando correctamente.

A continuacin procedemos a crear las reglas de nateo en PREROUTING, que me van a permitir en redireccionamiento de puertos. Nos dirigimos a la pestaa Port Forwardy damos clic en el cuadrito que aparecen con un signo +, para empezar a crear las reglas de nateo en PREROUTING.

Crearemos primero la regla de PREROUTING para el servicio HTTPS que sera nuestro sitio web seguro que est en la DMZ. Parmetros a configurar se muestra en la siguiente imagen. Y donde dice NAT IP es la ip a donde queremos direccionar el trafico HTTPS, que sera la ip del servidor web en la DMZ y damos clic en Save.

Luego de hacer el paso anterior los saldr una imagen como la que se muestra a continuacin que contiene la regla y nos sale un advertencia que debemos de aplicar los cambios, entonces damos clic en Apply changes y nuestra regla ser aplicada.

Como lo dije anterior las reglas de nateo en PREROUNTIG me van permitir redireccionar el trfico de un servicio hacia un equipo especifico. Desde la maquina real que hace parte de la red WAN vamos a acceder al sitio web pblico de se encuentra en la DMZ. Para ingresar al sitio web debemos de ingresar con la direccin ip pblica. Dicha peticin va dirigida al Pfsense y como creamos una regla de nateo en PREROUTING para el protocolo HTTPS lo que va hacer el Pfsense es redireccionarlo hacia servidor web. En la imagen siguiente podemos ver claramente accedimos a travs de la ip publica al sitio web que se encuentra en la DMZ.

Ahora para confirma que si estamos ingresando al sitio web adecuado nos dirigimos hacia el servidor web, listamos el direccionamiento ip para comprobar que si est dentro de un de un rengo privado.

Luego de saber la direccin ip del servidor web procedemos a acceder al sitio web desde la misma maquina. Para ello abrimos el navegador y entramos como https://direccionipdelservidorweb . Cuando accedamos al sitio web nos debe aparecer el mismo contenido que cuando accedimos desde la red WAN. Si el contenido es el mismo la regla se PREROUTING se est aplicando correctamente. En la imagen a continuacin se afirma lo anterior.

Ahora crearemos otra regla de nateo en PREROUTING. Nos dirigimos de nuevo a la pestaa Port Forward y damos clic en el cuadrito con el signo +.

En esta ocasin la regla de nateo ser para el servidor DNS. Para crear la regla de nateo para el servidor DNS los parmetros a llenar son los que se muestran en la imagen siguiente, luego de llenar los parmetros damos clic en Save.

Damos clic en Apply changes para aplicar los cambios y poder aplicar la regla para el ervidor DNS.

10

Para verificar la regla nos vamos para el equipo que pertenece a la red WAN y abrimos la consola CMD ya que en este caso el equipo que pertenece a la red WAN tiene un sistema operativo Windows 7. En la consola CMD digitamos que se ven en la imagen siguiente y estn en un recuadro rojo. Cuando vayamos a dar el comando server debemos de colocar la direccin ip de la que se hace pasar por direccin pblica en este caso 10.1.1.3 que es la direccin ip que tiene en Pfsense. Si nos resuelve correctamente es porque la regla se est aplicando bien. Si podemos ver en la imagen cuando resolvemos un nombre l nos va a mostrar la direccin ip y el nombre del servidor del servidor DNS.

Vamos a realizar lo mismo para crear la regla de nateo en PREROUTING para el servidor SMTP que sera el servidor de correo que est en la DMZ. Nos dirigimos a la pestaa Port Forward y damos clic en el recuadro con el signo+ que aparece al final.

11

Los parmetros a llenar para la regla de nateo para el servidor SMTP se muestran en la siguiente imagen. Luego de llenar los parmetros guardamos los cambios.

12

Damos clic en Apply changes para aplicar lo cambios en la reglas de nateo.

Desde el equipo que se encuentra en la WAN entramos a la consola CMD y vamos a realizar un telnet para verificar que si halla un servidor de correo y si se est redireccionando al servidor de correo. Utilizamos el comando como lo muestra la imagen. Parmetros: Telnet: comando a ejecutar 10.1.1.3: direccin ip del servidor SMTP ( Esta es la direccin pblica que cuando en pfsense reciba la peticin SMTP la redireccione a la ip 192.168.100.10). 25: puerto del servidor SMTP.

Si todo est bien nos debe aparecer algo as como en la imagen. Tambin ejecute el comando que en un recuadro rojo para asegurarme que el servidor de correo este funcionando.

13

A continuacin vamos a proceder a realizar lo mismo que hemos venido haciendo pero esta vez ser para el servidor POP3. Nos dirigimos a la pestaa Port forwardy damos clic en el cuadrito con el signo +.

Llenamos los campos de igual manera que se muestra en la imagen siguiente para generar la regla de nateo para el servidor POP3 y guardamos.

14

Aplicamos los cambios en las reglas de nateo.

De nuevo nos dirigimos a la mquina que est en la WAN y abrimos la consola CMD y ejecutamos el comando telnet 10.1.1.3 110. Dicho comando lo explique anteriormente.

15

Si todo est bien nos debe aparecer lo mismo que se ve en la imagen siguiente.

Crear reglas en el firewall Como lo dije anterior en la introduccin un firewall es elemento dentro de una red diseada para bloquear accesos no autorizados. Uno de los cortafuegos mas utilizados en el firewall de filtrado de paquetes. Un firewall tiene como funcin denegar o permitir accesos. En esta ocasin vamos a implementar un firewall en pfsense. En sitio web que trae pfsense para administrar vamos a la pestaa Firewall y seleccionamos la opcin Rules para empezar a crear reglas de filtrador de paquetes.

Seleccionamos la pestaa WAN para empezar a crear reglas del trafico de viene desde internet. Cuando seleccionamos esta pestaa nos van a aparecer unas reglas que fueron

16

creadas automticamente cuando estbamos creado las reglas de nateo en PREROUTING. La primera regla en este caso es la por defecto y esta en permitir todo pero mas adelante la vamos a colocar en denegar por defecto y nada mas se va aceptar el trafico de las reglas que estn permitidas explcitamente. Si colocamos la regla por defecto en denegar la debemos de colocar primero para que las otras reglas de filtrado de paquetes estn en aceptar se cumplan. Esto nos ahorro trabajo ya que pfsense la reconoce como si las reglas que nateo en PREROUTING que viene desde la WAN hacia la DMZ son los nicos accesos que va a permitir el firewall desde la WA. Ahora lo que haremos en crear una regla para mostrar como se crean. La regla a crear va hacer para acceder desde la WAN a travs del protocolo HTTP el acceso al sitio web de administracin del pfsense. Para crear la regla solo basta con dar clic en el cuadrito que contiene un signo + en la parte inferior derecha al final.

Los parmetros a configurar para permitir el acceso al sitio web de administracin del pfsense a travs del protocolo HTTP se muestran en la siguiente imagen.

17

Luego de realizar el paso anterior y haber guardado nos va a parecer una imagen con la siguiente donde vamos a dar clic en Apply changes para que los cambios sean aplicados. Al aplicar los cambios nos va a aparecer la regla creada al final.

18

A continuacion procederemos a borrar la regla por defecto que esta en permitir todo el trafico. Para ello chuleamos la regla por defecto y al frente aparece un cuadrito con la letra X, basta con solo dar clic alli listo.

19

Luego de hacer el paso anterior damos clic en Apply cahnges para aplicar los cambios de las reglas.

20

Procedemos a crear la regla por defecto en denegar todo, dicha regla hay que crearla al final. Para crear la regla y que quede al final damos clic en el cuadrito con el signo + que aparece al final de la imagen en la parte inferior derecha.

Los parametros para configurar la regla por defecto en denegar todo se muestra en la siguientes dos imgenes y al fina damos clic en Save.

21

Para aplicar los cambios en las reglas damos clic en Apply changes.

22

Procedemos a relizar una prueba, en este caso vamos a realizar la prube con un ping. Nos dirigimos a la maquina real que hace parte de la red WAN, abrimos la consola CMD y listamos la configuracion ip de la maquina.

Ya sabiendo la ip de la maquina vamos a darle ping a la direccion ip publica que tiene en pfsense. Nota: Recuerden que la llamamoos ip publica a dicha ip por que atraves de esa es que salimos a internet y dicha ip sale a internet gracias al ISP. En la siguiente imagen el ping es fracazado ya que no hay una regla en el firewall que permita que le hagan ping al pfsense.

23

Ahora lo que vamos hacer es a permitir el ping desde la WAN hacia en pfsense. Para ello nos dirigimos a sitio web administrativo del pfsense y nos dirigimos a la pestaa Firewall y seleccionamos Rules.

Ahora damos clic en el cuadrito que tiene el signo + al principio que esta ubicado en la parte superior derecha y esta encerrado en un cuadro rojo para aadir la regla que permita el ping.

24

Para permitir el ping desde la red WAN llenamos los paremtros como lo muestra las dos imagenes siguientes y damos clic en Save.

25

Seleccionamos Apply changes para aplicar los cambios echos en las reglas.

Nos dirigimos de nuevo a la maquina real para volver a realizar la prueba del ping. Si podemos ver en la imagen siguiente el ping es satisfactorio eso quiere decir que la regla de si esta aplicando.

26

Ahora vamos a proceder a crear reglas en la DMZ, nos dirigimos a la pestaa DMZ. Lo primero que vamos a realizar es editar que regla que viene por defecto en permitir todo y la vamos a colocar en denagar todo. En la parte derecha de la imagen aparece un cuadrito con la letra e y esta en un recuadro rojo, damos clic alli para editar la regla.

Los parametros para colocar la regla en denegar todo aparece en las dos siguientes imgenes y al fina damos clic en Save para guardar los cambios.

27

Para aplicar los cambios damos clic en Apply changes y podemos observar que la regla a cambiado correctamente.

Ahora vamos a proceder a crear una regla que se le va a permitir a la red DMZ salir a todo hacia la red WAN. Nos dirigimos a el cuadrito con el signo + que aprece al principio en la parte derecha de la imagen.

28

Para permitir que salgo todo el trafico de la DMZ hacia internet los parametros a configurar en la regla de muestran a continuacion en las dos siguientes imgenes.

29

Damos clic en Apply changes y veremos a regla creada en el paso anteior.

A continuacion crearemos una regla para permitir el ping desde la DMZ hacia la misma DMZ esto me va a permitir probar conectidad dentro de la misma red y es mas me va permitir darle ping a la puerta de enlace de la DMZ. Nos dirigimos al recuadro que contiene un signo + para aadir la nueva regla.

Para aadir la regla de ping en la misma DMZ los parametro a configurar en la regla se pueden observar en las dos siguientes imgenes.

30

31

Damos clic en Apply changes y podremos ver la regla creada en el paso anterior.

Haremos pruebas dandole ping a la puerta de enlace de la DMZ y damole ping a la puerta de enlace del firewall que en este caso es la ip que tiene acceso a internet. En la siguiente imagen se observa que los ping son satisfactorios. Desde la DMz le pueden dar ping a cualquier equipo de la WAN por que se le esta permitiendo todo el trafico hacia la WAN.

32

En la imagen que sigue se muestra que desde ls red DMZ no se le pueda dar ping a ningun hosts de la red LAN ya que anteriormente no se especifico que la DMZ le podia dar ping a cualquier hosts de la LAN.

La regla por defecto en la red LAN es permitir todo trafico hacia las otras redes que son l red DMZ y la WAN. No se muestra en una imagen por que por defecto viene asi. En la imagen siguiente se muestra el sitio web de la red LAN.

Ahora lo que vamos a hacer es realizar la prueba desde la DMZ y verificar que desde la DMZ no se puede acceder al sitio web de la LAN ya que no hay una regla que lo permitera desde la DMZ. Com ose observa en la imagen no se puebe establecer una conexin con el servidor web de la red LAN.

33

Nos dirigimos a la maquina que esta en la red LAN y realizar la prueba que desde cuaquier equipo de la red Lan si puede acceder a la sitio web de la red DMZ. Se puede observar en la imagen siguiente que si se pudo acceder al sitio web de la DMZ.

34

Desde la misma maquina de la LAN vamos a probar los servicios SMTP, POP3 y DNS y la conectividad a traves del ping. Utilizamos el comando telnet y la direccion ip del servidor que contiene los servicios dichos anterior y al final del comando colocamos el puerto por donde escucha el servicio. Esta en la prueba con el servidor SMTP o correo yes satisfactoria.

Esta es la prueba con el servidor POP3 y es satisfactoria.

Para hacer la prueba del DNS utilizamos los comando mostrados en el recuadro rojo de la imagen siguiente. Por cada comando se da enter y al final se resulve un nombre que este en servidor DNS.

35

Ahora probaremos que desde la red LAN se puede probar conectivadas con las redes WAN, DMZ y la misma LAN. Desde la consola listamos la configuracion ip de la maquina para verificar que si es un equipo de la LAN.

Ahora probamos ping con cada una de las direcciones ip que estan en cada una de las redes.

36

37

CONCLUSIONES

Las reglas de nateo me van a permitir redireccionar el trfico entrante y enmascaramiento de ip. Existen dos tipos de reglas para nateo que son : PREROUTING que son las que me permitir el redireccionamiento del trafico entrante y las reglas de nateo en POSTROUTING que son las que me permiten enmascarar mi red LAN con la direccin ip publica y as la red lan pueda salir a internet. Un firewall me va permitir controlar todo el trfico que se va a trasmitir de una red a otra red con reglas de permitir o denegar. Las funciones de un firewall son las de permitir o denegar el trfico. Al implementar un elemento se red como los es el firewall se va a brindar ms seguridad para la red. Ya que puede controlar el trfico don el firewall y as sern menos las posibilidades de ataques a hacia mi red.

38