Laboratorio firewalls
Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync
NAT ● Permitir acceso a equipos de la LAN y de la DMZ a Internet.
DMZ ● Crear una zona desmilitarizada que albergará los servidores existentes o los futuros.
Reglas de filtrado ● Permitir acceso a Internet solo a determinados puertos “seguros” (como 21, 22, 80, 443, etc) ● Denegar todo el resto de los accesos. ● Redireccionar tráfico al puerto 80 de la LAN al servidor Squid. ● Permitir el acceso desde la granja de servidores directo a Internet. ● Port forwarding solo a la granja de servidores.
Squid ● Crear básicamente 4 ACL: – ip_denegadas: usuarios sin Internet. – ip_libres: lista de usuarios VIP. – sitios_denegados: sitios o palabras en url que estén prohibídos. – sitios_aceptados: sitios que no queremos que sean filtrados por sitios_denegados.
DNS ● DNS externos. ● Los DNS internos se encontrarán en la granja, no nos preocuparemos de eso.
DHCP ● Servir DHCP solo a la LAN. ● La DMZ estará toda con IP fijas.
SSH ● Bloquear acceso de root por SSH. ● No permitir el acceso por SSH desde Internet. ● Se deberá utilizar VPN para entrar al servidor SSH.
OpenVPN ● Configuración de VPN en modo tunel para unir las dos redes. – Se unirán tanto LANs como DMZs. ● Configuración de VPN en modo roadwarrior para permitir el acceso de clientes desde puntos móviles desde Internet. – Accederán a cualquier parte, LANs y DMZs.
RSync ● Respaldo de archivos, base de datos, correos, etc, desde una red a la otra.
Equipos ● 1 router con GNU/Linux u otro – killua: 4 interfaces de red. ● 2 firewalls Debian GNU/Linux – bart y krusty: 3 interfaces de red ● 1 router Linksys WRT54GL ● Computadores para realizar pruebas de conectividad desde fuera de los firewalls.
Topología
Rutas bart
Rutas krusty
Rutas edward
FIN!!