Diseo e implementacin de un sistema de seguridad perimetral

ZENTYAL

Henry Alexander Pearanda Mora cod 1150111

Byron Falla cod

Universidad Francisco de Paula Santander

Febrero de 2013

Introduccin

En este documento se evidencia la instalacin y configuracin del sistema de seguridad

perimetral zentyal, en el cual se especifica la configuracin y montaje para el firewall, el
servidor proxy y con autenticacin no transparente, y la conectividad entre las subredes Lan y
DMZ que corresponder a la zona desmilitarizada.

1. Configurar los adaptadores de red.

2. Ingresar a la maquina zentyal

3. Instalacin y configuracin de paquetes.

Seleccionamos Gateway que trae por defecto firewall y proxy, seguido a esto aceptamos las
confirmaciones, y configuramos las interfaces como se ve en las imgenes.

Establecemos la configuracin inicial para las inferfacez.

Definimos un nombre de dominio para nuestra maquina zentyal.

4. Una vez instalados los paquetes, vamos a la pestaa interfaces y configuramos cada una de
ellas
para
asegurar
una
correcta
conectividad.

Una vez configurada la ruta esttica para eth0 debemos definir una puerta de enlace que
garantice la conectividad con internet.

5. En la interfaz de componentes podemos incluir los componentes que no estaban incluidos

en el paquete, pero que podemos llegar a necesitar, como por ejemplo dhcp.

6. Verificamos los mdulos que estn ejecutndose, para esto vamos a la pestaa de
configuracin
de
estado
de
los
mdulos.

Ahora seguimos con la creacin de objetos, estos sern 3, uno para la red lan, otro para la dmz
y otro para la wan, en cada uno debemos configurar los miembros, estos son los host o
direcciones presentes en cada red, en el caso de la red wan, ser la puerta de enlace.

7. Una vez creados los objetos, procedemos a aadir los servicios que vallamos a utilizar,
estos son web (tcp 80), https(tcp 443), entre otros. En la imagen se ilustra como configurar
el servicio smtp, en todos los casos el procedimiento es el mismo.

Al final veremos una lista de servicios coom la siguiente

8. Es muy importante para garantizar la correcta conectividad, asignar direcciones estticas y

configurar las puertas de enlace en los equipos pertenecientes a la red lan y a la red dmz.
Las configuraciones de red lan y dmz(respectivamente) se ve a continuacin.

9. Para verificar la conexin podemos usar la pestaa herramientas de zentyal, y desde los
equipos,
realizar
ping
para
probar
la
correcta
conectividad.

Ping desde lan a dmz.

Ping desde dmz a lan.

10. Ahora procedemos a configurar el filtrado de paquetes del firewall, el cual nos da varias
opciones de filtrado, que se ven adelante.

Las redes de filtrado internas hacia zentyal deben quedar como se muestra a continuacin,
para esto aadimos algunas reglas en donde especificbamos el objeto de origen ( red-lan ) y
el servicio que se filtrara.

Tambien aplicamos filtrado para las redes internas.

Con esta configuracin, solo estamos permitiendo el acceso a internet para los ordenadores
que formen parte de la red lan, restringiendo este acceso para toda la dmz.

11. Se configurara el proxy no transparente configurado a objetos, y posteriormente con

autenticacin de usuarios.
Primero verificamos el puerto y bloqueamos los anuncios http

El siguiente paso es crear y configurar los perfiles de filtrado, en este caso sern 2, uno para
lan y otro para dmz, en el perfil lan se bloqueara el acceso a servidores como Facebook.com y
Hotmail.com.

Una ves tengamos creados los perfiles, procedemos a la creacin de reglas de filtrado.

Al final tendremos las siguientes reglas definidas ( aun no se ha configurado la autenticacion

de usuarios)

Para poder verificar que estas reglas se estn cumpliendo, vamos a una mquina de la red lan y
configuramos el proxy del navegador con la direccin de zentyal y el puerto del proxy. Al
intentar acceder a un sitio previamente restringido se visualizara un mensaje como el
siguiente.

12. Configurar proxy con autenticacin de usuarios.

Primero debemos crear los usuarios, para ello vamos a la pestaa usuarios y creamos algunos,
en este caso tenemos usu1 y usu2 con contraseas 1234.

Tambin podemos definir grupos

Una vez creados usuarios y grupos, reemplazaremos las reglas de acceso anteriores, por reglas
de acceso con autenticacin de usuario.

Y ya est, cuando queramos acceder a internet desde un equipo cuyo ordenador este
configurado con este proxy, el navegador solicitara autenticacin para poder establecer la
conexin a internet, y en caso de intentar ingresar a algn dominio previamente bloqueado, se
denegara su acceso.