Академический Документы
Профессиональный Документы
Культура Документы
Instructor
MAURICIO ORTIZ
Medellín 2018
Introducción
Durante esta práctica, se mostrará el proceso de instalación de un UTM, también
conocido como appliance, específicamente, instalaremos y configuraremos Endian,
un UTM de código abierto basad en Linux.
Procedimientos
En primer lugar, vamos a descargar la ISO de Endian, un UTM open source basado
en Linux.
Enlaces de descarga.
Objetivo
Aprender a manejar un UTM, como herramienta de profundización del dispositivo
ASA Cisco, que nos permiten aplicar reglas NAT dentro de un firewall, teniendo una
DMZ, una LAN y una WAN.
UTM
Un producto UTM generalmente incluye funciones como antivirus, antispyware,
antispam, firewall de red, prevención y detección de intrusiones, filtrado de
contenido y prevención de fugas. Algunas unidades también ofrecen servicios como
enrutamiento remoto, traducción de direcciones de red (NAT, network address
translation) y compatibilidad para redes privadas virtuales (VPN, virtual private
network).
https://www.endian.com/community/download-list/
https://sourceforge.net/projects/efw/files/Development/EFW-3.3.0/
Iniciamos con la instalación del firewall Endian en VMware, en este caso lo tenemos
en una imagen ISO para instalar en una máquina virtual.
En este paso damos clic en “Customize Hardware” para agregar la ISO del
firewall. Y clic en “Finish”.
Asignamos 1 GB de RAM y montamos la imagen ISO.
Windows 10 (LAN)
Servidor CentOS 7
Endian
Ahora asignamos una IP estática en el rango de la IP del DMZ, la cual es la
192.168.20.3/24, la puerta de enlace será la IP de Endian y el DNS el que
nos provee el ISP UNE.
Aplicamos la configuración.
Fin de la configuración.
Configuramos las Reglas DNAT
Para ello damos clic en la superior en “Firewall” y luego damos clic en “Add
a new Port forwarding/Destination NAT rule”
Agregamos la regla DNAT, para permitir el acceso del servicio HTTP desde
la WAN a la DMZ, resaltado en rojo tenemos la IP pública y en verde tenemos
la IP de nuestro servidor CentOS 7 y damos clic en “crear regla”.
Aquí damos clic en “aplicar”.
Aquí queda en la lista, la regla HTTP, de WAN a DMZ, borramos “Allow with
IPS from:”
Nota: estas reglas son DNAT porque todas tienen la misma IP de destino,
solo cambia el parámetro “puerto”.
Pruebas DNAT: de WAN a DMZ
Prueba HTTP, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública.
Prueba FTP, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública.
Prueba SSH, la realizaremos del equipo físico hacia el servidor web a través
de la IP pública. Para esto vamos a utilizar el programa “Putty”.
Ahora, vamos a configurar las reglas SNAT
Para esto damos clic en “source NAT” y luego clic en “Add a new source NAT
rule”
Lista de reglas.
En primer paso vamos a realizar la prueba con la LAN la cual puede dar ping
a la DMZ y a la WAN (Internet) y que efectivamente también puede navegar.
Primera prueba con éxito ya que la WAN por ningún motivo debe establecer
conexión con nuestra LAN.
Segunda prueba con éxito ya que la WAN no establece conexión con la DMZ,
pero si puede ver los servicios que están publicando.