Entradas etiquetadas con firewall open source

http://vyatta.org/files/ads/rk_drill_large.jpg

Configuración del módulo firewall de Vyatta. Parte 12 – Configuración de firewall en las interfaces VPN de acceso remoto vtun0 y vtun1 (VPN RA) de openredesR1.

1
hace 1 año
por hnoguera en , 1.735 visitas

La última parte (por fin!) de los ejemplos, tutoriales de configuración del firewall de Vyatta según nuestra topología ejemplo es la creación de los grupos de reglas que gestionaran las conexiones para las interfaces de acceso remoto VPN de openredesR1, estas son vun0 y vtun1, si vemos la política general de conexiones establecida el resumen para estas interfaces es: Por las VPNs de acceso remoto vtun0 y vtun1 vamos a permitir solamente el trafico destinado a los servicios ofrecidos por los servidores corporativos.

Vamos entonces a crear las reglas necesarias.

  • Creamos primero el grupo de puertos necesario:

    openredes@openredesR1# edit firewall group port-group puertos-vpnra [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port www [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port https [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port ms-sql-s [edit firewall group port-group puertos-vpnra] openredes@openredesR1# set port mysql [edit firewall group port-group puertos-vpnra] openredes@openredesR1# commit [edit firewall group port-group puertos-vpnra] openredes@openredesR1#

  • Como las

    Más >
http://vyatta.org/files/ads/clothesline_large.jpg

Configuración del módulo firewall de Vyatta. Parte 11 – Configuración de firewall en la interfaz vtun10 (VPN STS) de openredesR2

4
hace 1 año
por hnoguera en , 1.492 visitas

En la configuración de firewall Vyatta para openredesR2 quedan por hacer los grupos de reglas que gestionan las conexiones para la interfaz VPN, concretamente vtun10 (VPN STS), vamos a crear ahora el grupo de reglas de firewall para vtun10 según la política establecida para nuestra topología ejemplo.

A modo de resumen, la política de firewall establece para la interfaz VPN de openredesR2 que conecta ambas sedes que: Por vtun10 de openredesR2 permitiremos como tráfico local solo el tráfico OSPF (en caso de haberlo configurado) proveniente del otro extremo de la VPN. Como tráfico de entrada, permitiremos la respuesta a las conexiones de administración que los departamentos I+D y Desarrollo hagan a los equipos de la DMZ, así como el trafico entrante con destino a los servidores corporativos destinado a servicios permitidos.

  • Comenzamos creando las reglas para tráfico local:

    openredes@openredesR2# edit firewall name vpnsts-local rule 2 [edit firewall name vpnsts-local rule 2] openredes@openredesR2# set action reject [edit firewall name vpnsts-local rule 2] openredes@openredesR2# set state invalid enable [edit firewall name vpnsts-local rule 2] openredes@openredesR2# set log Más >
http://vyatta.org/files/ads/vyatta_littleguy_large.jpg

Configuración del módulo firewall de Vyatta. Parte 10 – Configuración de firewall en la interfaz vtun10 (VPN STS) de openredesR1

2
hace 1 año
por hnoguera en , 984 visitas

En la configuración de firewall Vyatta para openredesR1 quedan por hacer los grupos de reglas que gestionan las conexiones para las interfaces VPN, concretamente vtun10 (VPN STS), vtun0 (VPN RA) y vtun1 (VPN RA), vamos a crear ahora el grupo de reglas de firewall para vtun10 según la política establecida para nuestra topología ejemplo.

A modo de resumen, la política de firewall establece para la interfaz VPN de openredesR1 que conecta ambas sedes que: Por vtun10 de openredesR1 permitiremos como tráfico local el trafico OSPF (en caso de haberlo configurado) proveniente del otro extremo de la VPN y el tráfico de administración generado por el departamento de I+D. Como tráfico de entrada, permitiremos las respuestas a las peticiones que se hagan a los servidores corporativos iniciadas en el extremo de openredesR1.

  • Comenzamos creando las reglas para tráfico local:

    openredes@openredesR1:~$ configure [edit] openredes@openredesR1# edit firewall name vpnsts-local rule 2 [edit firewall name vpnsts-local rule 2] openredes@openredesR1# set action reject [edit firewall name vpnsts-local rule 2] openredes@openredesR1# set state invalid enable [edit firewall name vpnsts-local rule Más >
http://vyatta.org/files/ads/vyatta_wiener_large.jpg

Configuración del módulo firewall de Vyatta. Parte 9 – Configuración de firewall en la interfaz publica de openredesR2

2
hace 1 año
por hnoguera en , 1.272 visitas

En esta parte de configuración de firewall ejemplo de Vyatta crearemos y aplicaremos grupos de reglas para implementar la política de permisos establecida correspondiente a la interfaz publica de openredesR2. Este proceso es muy similar al del paso anterior llevado a cabo para la interfaz publica de openredesR1. La política de permisos establecida para la interfaz conectada a internet de openredesR2 a modo de resumen, establece lo siguiente:

  • A nivel local (conexiones destinadas a la propia máquina Vyatta):

    • Solo permitiremos las respuestas a las solicitudes DNS y NTP que la máquina Vyatta haga a los servidores configurados en el sistema para ofrecer dichos servicios.

    • No habrá permiso de administración posible desde la red pública (no ssh, no telnet, no webGUI).

    • Acceso permitido a conexiones VPN STS para que funcione correctamente el enlace privado entre las dos sedes de la empresa, esta VPN se comunica por el puerto 1194 UDP y tendremos que permitir solo conexiones relacionadas y ya establecidas ya que el extremo openredesR2 es el extremo activo y por tanto el cliente.

  • A nivel de conexiones entrantes:

    • Permitiremos conexiones ya establecidas provenientes de servicios

    Más >
http://vyatta.org/files/ads/vyatta_rockem_large.jpg

Configuración del módulo firewall de Vyatta. Parte 8 – Configuración de firewall en la interfaz publica de openredesR1

3
hace 1 año
por hnoguera en , 1.228 visitas

Para ir finalizando con la configuración de firewall de nuestra topología ejemplo sobre la que llevamos a cabo los tutoriales de configuración de Vyatta vamos ahora a configurar el firewall de la interfaz pública de openredesR1. Según la parte en la que especificamos la política de firewall de todo nuestro entorno ejemplo tenemos que crear en el firewall de Vyatta para openredesR1 un grupo de reglas que reflejen y funcionen tal cual la política establecida. A modo de resumen tenemos:

  • A nivel local:

    • Solo permitiremos las respuestas a las solicitudes DNS y NTP que la máquina Vyatta haga a los servidores configurados en el sistema para ofrecer dichos servicios.

    • No habrá permiso de administración posible desde la red pública (no ssh, no telnet, no webGUI).

    • Acceso permitido a conexiones VPN, por un lado las dos VPNs de acceso remoto que se comunican por los puerto 1195 y 1196 UDP, tendremos que permitir tanto las conexiones nuevas como las relativas a las ya permitidas.

    • Acceso permitido a conexiones VPN STS para que funcione correctamente el enlace privado entre las dos sedes de la empresa, esta VPN se comunica por el puerto 1194 UDP y tendremos que permitir tanto conexiones

    Más >
vyatta_stretch_large

Configuración del módulo firewall de Vyatta. Parte 7 – Configuración de firewall en VLAN 80

3
hace 2 años
por hnoguera en 807 visitas

La última configuración de firewall de nuestro ejemplo a nivel de VLANs es la correspondiente a la subred de servidores corporativos que son servidores privados y por tanto no accesibles desde internet. Por otro lado, estos servidores tampoco tendrán acceso libre a internet, solamente podrán acceder a servicios de actualización del sistema operativo. Los servidores alojados en esta subred proveen servicios de base de datos, http y https a la organización, atienden también a consultas ssh y de escritorio remoto (puerto 3389) para tareas de gestión y administración de los mismos. A modo de resumen:

- Servidores corporativos (VLAN 80):

  • Los servidores corporativos solo podrán responder a consultas que vengan de la red local. No podrán iniciar ningún tipo de conexión por ellos mismos.
  • Acceso a servidores de actualización del sistema operativo, regla deshabilitada por defecto pero creada para poder modificar siempre que sea necesario actualizar alguno de los servidores de la empresa.
openredes@openredesR2# edit firewall name vlan80-local [edit firewall name vlan80-local] openredes@openredesR2# edit rule 5 [edit firewall name vlan80-local rule 5] openredes@openredesR2# set action Más >
vyatta_missing_large

Configuración del módulo firewall de Vyatta. Parte 6 – Configuración de firewall en VLANs 60 y 70

3
hace 2 años
por hnoguera en 804 visitas

Es el turno ahora de configurar el módulo de firewall Vyatta en openredesR2. Por lo que vamos ahora a crear los grupos de reglas de firewall en nuestra maquina Vyatta openredesR2 que van a gestionar la forma en la que los equipos pertenecientes a las subredes de I+D y de Desarrollo van a comunicarse en la red. Como vemos en el siguiente resumen, las políticas establecidas para dichas subredes son exactamente iguales a excepción de que solo el departamento de I+D tiene acceso a la administración de las máquinas Vyatta openredesR1 y openredesR2, podemos entonces crear un grupo de reglas local para cada departamento y para cada interfaz y otro grupo de reglas in común para los dos departamentos:

- Departamento de I+D (VLAN 60):

  • Trafico local DHCP, DNS y de administración SSH.
  • Acceso a servidores corporativos para trabajo (http, https, MS-SQL, MySQL) y para administración (SSH, https, escritorio remoto, etc).
  • Acceso de administración a los servidores de la DMZ (SSH, https, escritorio remoto, etc).
  • Acceso a servidores seguros de correo públicos.
  • Acceso libre a Internet (solo a puertos conocidos).

- Departamento de Desarrollo (VLAN 70):

  • Trafico local DHCP y DNS.
  • Acceso a servidores Más >
vyatta_fullmonty

Configuración del módulo firewall de Vyatta. Parte 5 – Configuración de firewall en DMZ VLAN 50

3
hace 2 años
por hnoguera en 998 visitas

En esta parte del tutorial de configuración de nuestro firewall o cortafuegos open source Vyatta vamos a crear una DMZ (demilitarized zone o zona desmilitarizada). Las pautas claras a seguir es que los equipos pertenecientes a la subred que va a ser la DMZ, la VLAN 50 en nuestro caso de estudio son:

    – Zona desmilitarizada – DMZ (VLAN 50):

  • Como consultas locales a nuestra maquina Vyatta solo vamos a permitir las consultas DNS desde los equipos de la DMZ.
  • Los servidores alojados dentro de la DMZ serán servidores de acceso público y solo podrán responder a consultas que vengan de internet. No podrán iniciar ningún tipo de conexión por ellos mismos.
  • Esta subred no puede establecer conexión alguna con el resto de subredes privadas de nuestra empresa ficticia con la única excepción de las respuestas a conexiones de administración que se inicien desde las subredes VLAN 60 y 70. Esta medida al igual que la anterior es por seguridad ya que al tratarse de una subred con acceso público puede llegar a darse el caso de que se nos cuele algún atacante, si esto pasase no tendría acceso alguno al resto de equipos de la red privada. Esta es la base de una zona desmilitarizada.
  • Acceso a Más >
vyatta_accordian_hero

Configuración del módulo firewall de Vyatta. Parte 4 – Configuración de firewall en VLAN 30 y 40

3
hace 2 años
por hnoguera en 1.042 visitas

Vamos ahora a configurar las reglas de firewall en Vyatta que gestionarán los accesos de red de la VLAN 30 y 40. A modo de resumen:

  • Departamento de Administración (VLAN 30):

    • Trafico local DHCP y DNS.
    • Acceso a servidores corporativos (http, https, MS-SQL, MySQL)
    • Acceso a servidores seguros de correo públicos.
    • Acceso a servicios de banca online y acceso a webs de proveedores.
  • Departamento de Gerencia (VLAN 40):
    • Trafico local DHCP y DNS.
    • Acceso a servidores corporativos (http, https, MS-SQL, MySQL)
    • Acceso a servidores seguros de correo públicos.
    • Acceso libre a Internet (solo a puertos conocidos).

Las reglas a crear son muy similares a las que hemos creado en la parte 2 y parte 3 de la guía de configuración del firewall de Vyatta por lo que vamos a crearlas directamente para luego aplicarlas a las interfaces correspondientes:

openredes@openredesR1# edit firewall name vlan30-local [edit firewall name vlan30-local] openredes@openredesR1# edit rule 5 [edit firewall name vlan30-local rule 5] openredes@openredesR1# set action reject [edit firewall name vlan30-local rule 5] openredes@openredesR1# set state invalid enable [edit firewall name vlan30-local rule Más >
vyatta_kickass_large

Configuración del módulo firewall de Vyatta. Parte 3 – Configuración de firewall en VLAN 20

6
hace 2 años
por hnoguera en 1.912 visitas

En esta parte del tutorial de configuración del firewall de Vyatta vamos a crear las reglas de firewall necesarias para poder llevar a cabo la política de conexiones diseñada en la parte 1 y que implica a la parte de la VLAN 20 (departamento de Marketing según el esquema ejemplo) gestionada por la interfaz virtual bond0.20 de Vyatta. A modo de resumen:

  • Departamento de Marketing (VLAN 20):

    • Al igual que el departamento de Ventas, el de Marketing, en cuanto al tráfico local que será gestionado por la maquina Vyatta le vamos a permitir las consultas DHCP de cliente (puerto 68 TCP y UDP), las consultas DNS (puerto 53 TCP y UDP), este tráfico será local (con destino a la propia maquina Vyatta y administrado por ella), con lo que tendremos que crear un grupo de reglas con las conexiones permitidas para asignar a la interfaz VLAN 10 (bond0.10) como tráfico local.

    • Acceso permitido a los servidores de la empresa (VLAN 80) solo para los servicios http (puerto 80), https (puerto 443), Microsoft SQL (puerto 1433 TCP), MySQL (puerto 3306 TCP).

    • Permitiremos también que tengan acceso a servidores de correo seguros POP, SMTP e IMAP (puertos 995, 465 y 993 TCP) de cualquier sitio de

    Más >
Ir arriba