Firewall PfSense
Descargar como PPTX, PDF0 recomendaciones3,951 vistas
El documento describe los pasos para configurar y administrar un firewall PfSense, incluyendo instalar e implementar servicios como DHCP, DNS, autenticación RADIUS, y acceso HTTPS seguro. Se explican procedimientos como configurar zonas de red, reglas de firewall, actualizaciones de firmware, y notificaciones de estado a través de correo electrónico.
Firewall PfSense
- 1. Práctica Firewall - PfSense Francesc Pérez Fernández ESTUDIO PREVIO Dibuje la topología de red implementada en la práctica con MsVisio o Packet Tracert, detallando las características de conexión del firewall (LAN, DMZ y RED PÚBLICA) y el direccionamiento de red utilizado (rango IP y puerta de enlace) en cada zona. Nota: suponga que el firewall se conecta a cada zona a través de un switch y detalle cómo está conectado con el resto de tarjetas físicas y virtuales de los PCs del aula en la zona “RED PÚBLICA”. Explique, en media página como mínimo, el motivo de utilizar una topología de red como la de la práctica en un entorno en el que se desea prestar un servicio público y qué riesgos se corren al no hacerlo. Ponga un ejemplo. Defina qué tipo de activos se colocan en cada zona y qué reglas implementaría inicialmente en el firewall para preservar la seguridad entre zonas, tanto de gestión sobre el tráfico que lo atraviesa como de administración remota del mismo. Detalle el proceso de instalación del firewall pfSense, tanto hardware como software: Tipo de CPU y memoria RAM mínima requerida Tamaño aconsejado de memoria ROM Número, tipo y modo de conexión de las interfaces de red Configuración inicial de las interfaces de red: el firewall hará de servidor DHCP para la zona “LAN” y el obtendrá su configuración WAN mediante el servicio DHCP Gestión remota vía http
- 2. Práctica Firewall - PfSense Francesc Pérez Fernández ADMINISTRACIÓN Conéctese remotamente a la interfaz de administración web del firewall pfSense. Explique el procedimiento, detallando las zonas desde donde inicialmente es posible hacerlo y el tipo de protocolo utilizado por defecto. Nota: default password admin/pfsense. Una vez conectados y validados: Cambie la contraseña de administración del usuario admin para evitar conexiones no autorizadas. Explique el procedimiento. ¿Qué derechos de administración tiene el usuario admin por defecto por pertenecer al grupo admins? Modifique el tiempo por defecto programado para la desconexión automática de las conexiones de administración libres a 30 minutos. Explique el procedimiento. ¿Cuáles son los sistemas de autenticación, autorización y registros de las acciones los de usuarios (AAA) que soporta el firewall? ¿Cuáles son más seguros y escalables? ¿Por qué? Busque en Internet información sobre el protocolo AAA Radius y responda las siguientes cuestiones: ¿Qué fases de la etapa AAA implementa por defecto con bastante éxito? ¿En qué capa del modelo TCP/IP opera? ¿Qué protocolo de transporte y puerto utiliza por defecto el servidor Radius para aceptar peticiones de validación de sistemas externos? ¿Qué mecanismos de validación de usuario son los utilizados por Radius habitualmente? Enumere tres y defina su comportamiento.
- 3. Práctica Firewall - PfSense Francesc Pérez Fernández ADMINISTRACIÓN En este apartado va a modificar la forma en cómo los usuarios se validan ante el portal de administración de su firewall. Busque por Internet un servidor Radius gratuito e instálelo en el PC de la zona “LAN”. Detalle el procedimiento. Configure el firewall para que utilice el sistema de validación RADIUS configurado en el apartado anterior para la autenticación y registro de los usuarios de administración. Utilice como clave compartida radiusasix2. ¿Cuaĺ es la utilidad de esta clave? Valide la configuración y deshabilite la validación local del firewall. Detalle el procedimiento. ¿Como podría administrar el firewall en caso de caída del servidor Radius? ¿Ponga un password de consola y reinicie el firewall? Detalle el procedimiento. Configure https como único protocolo para la administración remota del firewall; utilice un certificado propio emitido por el firewall para habilitar SSL. Características de la conexión: puerto https por defecto cinco conexiones simultáneas como máximo permita que cualquier PC de la zona “LAN” pueda conectarse remotamente al firewall independientemente de las reglas de gestión sobre el tráfico que tenga definidas Detalle el procedimiento, especificando quién es la entidad emisora y de validación del certificado; así como el certificado creado con las características de nuestra corporación. ¿Qué imagen muestra su navegador web al cargar el certificado emitido por el servidor en la conexión HTTPS? Abra el certificado e identifique que algoritmos de cifrado e integridad trabajan en la conexión. Detalle el procedimiento.
- 4. Práctica Firewall - PfSense Francesc Pérez Fernández ADMINISTRACIÓN Describa el proceso de actualización del firmware pfSense y en caso de existir actualizaciones disponibles, actualice el sistema. Detalle el procedimiento. Responda las siguientes preguntas detallando el procedimiento seguido: ¿Qué opción del menú de administración permite, con hacer un solo click, convertir el firewall en una plataforma de enrutamiento deshabilitando todas las reglas aplicadas sobre el tráfico que lo atraviesa? ¿Es PfSense un Stateful Firewall? En caso afirmativo, ¿cuántas conexiones simultáneas puede analizar como máximo? ¿Cree que es un firewall apto para entornos de alta densidad de tráfico? Si configurase VLANs en la zona “LAN” y reglas sobre el tráfico entre estas VLANs, ¿qué opción del panel de administración del firewall permite deshabilitar, con un solo click, las reglas definidas entre estas VLANs? Configure en el cliente un servidor de correo SMTP bajo el dominio stucom.com y habilite el firewall para que el usuario noreply@stucom.com envíe al usuario notificaciones_fw@stucom.com notificaciones sobre el estado o incidencias del firewall. Detalle el procedimiento.
- 5. Práctica Firewall - PfSense Francesc Pérez Fernández SERVICIOS DE RED Configure el firewall como DNS forwarder. El firewall debe obtener el servidor DNS vía DHCP a través de la WAN y debe ofrecerse como servidor DNS principal en la configuración DHCP que brinda a los hosts de la zona “LAN”. Detalle el procedimiento. Valide con el comando “nslookup” que tanto el PC de la zona “LAN” como el firewall pueden resolver FQDN públicos. Nota: no olvide configurar la tarjeta de red WAN del firewall en modo DHCP. Proponga una topología de red donde sea necesaria configurar el firewall como DHCP Relay. ¿Cómo gestiona el firewall las peticiones DHCP que recibe en la interfaz LAN? Observe la tabla de enrutamiento del firewall. ¿Qué redes conoce por defecto? Indique qué ruta permite al firewall alcanzar aquellas redes que desconoce. Realice pruebas de conectividad con otros activos de otras zonas desde la zona “LAN”. Utilice un “sniffer” para determinar si el firewall esta haciendo NAT/PAT overload para la zona “LAN”. Detalle el procedimiento. Configure un sistema de autenticación y registro de actividad (Accounting) con la herramienta Captive Portal para el servicio http: cuando un cliente de la zona “LAN” quiera acceder a un servidor web ubicado en cualquier otra zona debe autenticarse con sus credenciales y su actividad quedará registrada en el servidor Radius. Nota: no olvide configurar en el navegador web del cliente de la zona “LAN” el proxy utilizado en el acceso real a Internet.
- 6. Práctica PfSense – Administración y confguración de servicios básicos Francesc Pérez Fernández SERVICIOS DE RED Estudie el servicio “Wake on Lan”. ¿Cuál es su utilidad? Indique qué configuración se necesita en la BIOS del PC de la zona “LAN” para un correcto funcionamiento del sistema. MANUALES http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43 http://www.pfsense.org/screenshots/ http://doc.pfsense.org/index.php/Main_Page PROTOCOLOS http://tools.ietf.org/html/rfc2865 http://www.ietf.org/rfc/rfc2131.txt http://en.wikipedia.org/wiki/Wake-on-LAN http://en.wikipedia.org/wiki/Network_address_translation DESCARGAS http://freeradius.org/ http://freeradius.net/