miércoles, 12 de marzo de 2008

Ejercicio Fwbuilder

Tuvimos que realizar un ejercicio con Fwbuilder que consistia en lo siguiente:



Las interfaces conectadas al firewall son las siguientes:
WAN: eth0--- Direccion IP 200.13.247.253/29
LAN: eth1---- Direccion IP 10.0.10.1/24
DMZ: eth2--- Direccion IP 10.0.20.1/24

Estos son los puntos a resolver:

  • Lo que no esta explicitamente autorizado esta denegado.
  • Los usuarios en la red LAN podran ingresar a servicios Web y FTP en la red publica.
  • Los usuarios de la LAN podran ingresar a todos los servicios en la DMZ.
  • No esta autorizado el trafico "nuevo" o "que se inicia" desde la DMZ hacia la LAN.
  • Se publicaran los servicios FTP y Web de la DMZ.
  • Solo el servidor DNS podra hacer consultas DNS desde las redes locales hacia la WAN (INET).
Parece dificil verdad????

Pues la verdad no lo es tanto simplemente hay que pensar un poco... Veamos

En el primer punto simplemente nos hablan de la politica por defecto que debe estar en DENY, de esta forma todo lo que no se autorize en reglas explicitas se denegara.



Ahora veamos las politicas creadas para la interfaz Wan del firewall:

En estas estamos definiendo que solo el servidor DNS de la LAN puede hacer peticiones DNS a las redes externas; y en la segunda regla le estamos dicienso que acepte todo el trafico FTP y HTTP proveniente de la LAN.

Veamos las reglas definidas en la interfaz LAN del firewall:

En esta solo definimos la regla para que no acepte conexiones nuevas provenientes de la DMZ, esto se hace por que un atacante puede utilizar uno de los servidores de la DMZ y desde alli ingresar a la LAN. En el firewall por defecto esta definido que acepte conexiones establecidas entonces no va a haber problema con las conexiones iniciadas desde la LAN hacia la DMZ por que el firewall aceptara las respuestas de la DMZ a las peticiones generadas desde la LAN.

Estas son las reglas creadas a la interfaz DMZ del firewall:

En la primer regla definida aqui se acepta cualquier conexion proveniente de la LAN y en la segunda que acepte conexiones FTP y HTTP provenientes de cualquier red hacia el servidor FTP y HTTP.

Configuracion de NAT

Aqui vemos en la primera regla que todas las conexiones que vayan de la LAN a Internet traduzaca la direccion a la de la interfaz eth0 la cual tiene una direccion IP publica. En la seguna definimos que a las peticiones FTP y HTTP provenientes de cualquier red se les traduzaca la direccion destino a la del servidor FTP y HTTP.

Al terminar esto compilamos y ejecutamos el script generado por Fwbuilder.
Publicado por en

1 comentario:

andur@n dijo...

uy parce que buen material... espero le sirba de algo a alguien jajaja

bien!

15 de marzo de 2008, 11:11

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)