Practicas Tema4 Cortafuegos

TEMA4-
PRACTICAS
“InstalacIón y confIguracIón de
cortafuegos”
Esperanza elipe jimenez 2º asir
1
PRACTICAS-4“Instalación y configuración de cortafuegos”-Esperanza
INDICE
1.CONFIGURACIÓN ROUTER-FIREWAL
2. ACL (CISCO)
3-Router Frontera
4.IPTABLES (LINUX)
5.DMZ
6. CORTAFUEGOS SOFTWARE.
7. CORTAFUEGOS HARDWARE
1. CONFIGURACIÓN ROUTER-FIREWALL
Configura un router-firewall utilizando los simuladores correspondientes:
a) Router DLINK:
http://support.dlink.com/emulators/di604_reve
En la pestaña de advanced , configuramos los firewall y ponemos que lo activamos el

firewall , entonces se pone enabled , luego el nombre de sitio que sera nuestro nombre.
En la opción de Action le ponemos a Deny que denegamos a lo siguiente.
Que desde la red de lan con la ip 192.168.2.155 hasta la dirección 192.168.2.70 , estos no
puedan conectar a la wan de 80.96.78.15 hasta la 30.96.78.30.
Tambien lo configuramos para que siempre este esta opción asi activada , tenemos
también la opción de ponerlo por días y horas.
b) Router LINKSYS:
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
En la pestaña de Security dentro de ella se encuentra Firewall en esa misma pantalla

tenemos que configurarlo , este router es mas sencillo que el otro y no pide tantas reglas
como el anterior este básicamente con poner enable y configurar lo que quieres ya esta.
c) Router TP-LINK:
http://www.tp-link.com/Resources/simulator/WR842ND(UN)1.0/index.htm
En este router es tambien mas sencillo que el primero , porque este solo nos da la opcion
de activarlo o desactivarlo.
Un resumen de los tres routers el mas complejos es el router primero porque es el que
nos pide mas configuracion.
2. ACL (CISCO)
El escenario es el siguiente.
Mis router en vez de llamarlos Norte y Sur los he llamado MEMBRILLA Y MANZANARES
, membrilla hace como el norte y manzanares como el sur.
ACL ESTANDAR
1) Elige el router adecuado para que los paquetes del PC1 no sean
transmitido por la red 10.XX.0.0. Comprobar que si se permite los
paquetes enviados por el PC2.
Comprobamos que desde el equipo pc01 no podemos salir a la 10.3.0.0.

Y comprobamos desde el pc02 y este si puede salir a la 10.3.0.0
2) Configurar en la red 192.3.0.0/24 un filtro “anti-spoofing” para que no sea

enviado ningún paquete por la red 10.XX.0.0 que no coincida con su dirección
de origen. Realizarlo también para la red 196.3.0.2
Comprobamos desde el servidor de la red 192 y vemos que no puede enviar

ningún paquete.
3) Borrar las ACLs definidas anteriormente.
Primero borramos las ACLs para la primera Acl para la del ejercicio 1.
Y luego borramos la otra acl para la del ejercicio 2
Uso de ACL COMPLEJA
4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no

pueda utilizar el resto de servicios de dicho servidor.
Comprobamos a conectarnos con ftp en el cual no nos deja conectarnos .
Ahora comprobamos a conectarnos desde http y vemos que perfectamente si nos

deja conectarnos.
5) Permitir que el equipo PC1 pueda utilizar el servidor FTP de SERVSUR y el PC2 no
pueda utilizarlo dicho servicio.
Comprobamos que con el equipo pc02 NO podemos conectarnos al ftp.

Mientras con el equipo PC01 si podemos conectarnos al FTP.
6) No permitir que el PC2 pueda comunicarse con el PC4.

Este lo hacemos desde el router de membrilla.
Comprobamos que el Pc02 NO Puede hacer ping con el Pc4
Y comprobamos que desde el equipo Pc4 tampoco puede hacer ping con el Pc2.
7) Borrar las ACLs anteriores
Borramos todas las acls que hemos creado anteriormente.
8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los

ordenadores de la red 196.XX.0.
En el router de manzanares hacemos lo siguiente.
Y comprobamos desde el pc04 que no se puede ni hacer ping a ninguno de la red.
9) Borrar las ACL definidas anteriormente.

10)Impedir cualquier tráfico ICMP entrante excepto el “Destino Unreachable”

y el “Echo Reply” en el router RNORT.
Y desde el pc2 intentamos acceder a un pc que no tenemos en la red y este nos

sale que es unreachable .
ROUTER FRONTERA
b) Resolución escenario UD3-2.a. Router Frontera
Nos creamos las siguientes acl en el router de manzanares , porque seguimos con
el mismo escenario anterior.
Y comprobamos hacer ping en un equipo de la red de isp a un equipo de la red de

empresa y comprobamos que si hace ping.
Y luego comprobamos desde un equipo que esta en la red de empresa hacia la

otra red y comprobamos que no hace ping.
3. IPTABLES (LINUX)
a) Resolución de ejercicio
Para este apartado voy a utilizar dos equipos Ubuntu , uno con la dirección
192.168.3.10 y otro con la dirección 192.168.3.9.
1º) Ver la versión de Iptables:
2º) Borrado de todas las reglas
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se
originan desde la dirección 192.168.3.10
Y comprobamos.
4º) Eliminar todos los paquetes que entren.
5º) Permitir la salida de paquetes.
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que
se originan desde la dirección 192.168.0.155.
se originan desde la dirección de red 192.168.3.0.
se originan desde la dirección 192.168.0.9 y enviar un mensaje de error icmp.
9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.

10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).
11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
12ª) Permitimos a la máquina con IP 192.168.0.9 conectarse a nuestro equipo a

través de SSH.
13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro

equipo a través de Telnet.
14º) Rechazamos las conexiones que se originen de la máquina con la

dirección física 00:db:f0:34:ab:78.
15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24
desde una red remota, como Internet, a través de la interfaz eth0.
16º) Cerramos el rango de puerto bien conocido desde cualquier origen:

17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web

(puerto 80):
18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:
19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten
los DNS, y denegamos todo el resto a nuestra red:
20º) Permitimos enviar y recibir e-mail a todos:
21º) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN
192.168.2.0/24:
22º) Permitimos el paso de un equipo específico 192.168.3.5 a un servicio

(puerto 5432) que ofrece un equipo específico (192.168.0.5) y su respuesta:
23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es

nueva pero está relacionada a una conexión ya establecida.
4. DMZ.
(Este Punto Por mas vueltas que le dado no sé hacerlos)
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a.
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b.
5.Cortafuego integrado en Windows.

Instalación de software de cortafuegos en Windows y Linux:
i) Instalar y configura el cortafuegos Kerio Winroute Firewall

(Windows/Linux).
http://www.kerio.com/
Nos descargamos el programa de internet y lo instalamos según el asistente.
Mientras la instalación nos sale una ventana la cual nos dice que se van a
deshabilitar algunos servicios porque no son compatibles.
En el siguiente paso nos indica que nos cremos la cuenta de usuario lo

hacemos con el usuario espe y la contraseña inves.
Despues de seguir el asistente empieza la instalación del programa.
Y terminada la instalación del programa ahora vamos a darle su

correspondiente funcionamiento.
Al iniciar el programa nos sale la siguiente ventana para que nos logeemos ,
ponemos nuestra cuenta de usuario y contraseña.
Y al entrar al programa nos sale un asistente para configurar las reglas.
Seguidamente nos pide el tipo de conexión de internet y elegimos la mas

adecuada para nosotros.
Lo realizamos con la dirección de internet entonces en la próxima pantalla que

sale lo dejemos como viene por defecto la dirección.
En la siguiente pantalla nos aparece todos los servicios los cuales dejaremos
todos activados.
En la siguiente pantalla lo dejamos como viene por defecto.

Hacemos clic en el http y le damos a siguiente.
Y ya esta perfectamente finalizado y configurado.

Entramos en el programa y en la pestaña de configuración , reglas de trafico

observamos como se a quedado todo el trafico según hemos configurado.
Sobre trafico de Firewall pulsamos y le damos donde están todos los servicios
como dns , ftp etc etc… pulsamos sobre ellos y nos sale una ventana donde
nos da la opción de agregar o quitar servicios , nosotros quitamos el servicio de
https.
Comprobamos desde el navegador , con el https://gruposantander.es y

comprobamos que al ser segura no nos dentra entrar a ella.
Ahora vamos a probar con una pagina normal , y probamos con el tuenti que es
una pagina NADA segura y comprobamso que si podemos acceder a ella
perfectamente.
Comprobamos que el ancho de banda tambien se lo podemos configurar en la

pestaña de configuraciones este tambien esta.
Tambien tenemos otra opción que es de políticas de http que en ella se ven las
reglas y tienen varias pestañas que se pueden ver varias cosas.
En la pestaña prohibida tambien se puede tener palabras que no queremos que

estén permitidas para la web y se ponen ahí.
En este programa podemos observar varias funciones de los servicios , con

Dns, dhcp etc etc..
Tambien podemos ver la tabla de enrutamiento.
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en

la empresa:
Microsoft Forefront es una completa línea de productos de seguridad que permite una
mayor protección y control por medio de una excelente integración con su infraestructura
de TI actual y una operación más sencilla de
implantación, gestión y análisis. La línea de productos de seguridad Microsoft Forefront
ofrece protección para las máquinas cliente, aplicaciones de servidor y la red perimetral.
Su completo conjunto de productos de seguridad, que se integran entre sí y con la
infraestructura informática de su empresa, puede complementarse e interoperar con
soluciones de terceros.
Tiene todos estos productos.
Microsoft Forefront ofrece una familia de productos de seguridad completa e integrada,

que brindan protección para cliente, servidor y perímetro, de modo que su empresa esté a
salvo de las amenazas que constantemente van evolucionando:
 Microsoft Forefront Client Security
 Microsoft Forefront Server for Exchange Server
 Microsoft Forefront Server for SharePoint®
 Microsoft Forefront Security for Office Communications Server Messaging).
 Microsoft Internet Security and Acceleration (ISA) Server 2006
 Intelligent Application Gateway (IAG) 2007
 Forefront Server Security Management Console.
Funcionalidades y ventajas
Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales
de la competencia que podemos resumir en:
Protección para sistemas operativos
Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece

detección en tiempo real, programado o a demanda así como eliminación de virus,
spyware, rootkits y otras amenazas emergentes.
Protección de aplicaciones de servidores críticas
Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una

estrategia de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e
inspección de datos específicos de protocolo y de aplicaciones.
Acceso seguro y controlado
Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así
como funcionalidades de administración de identidades que ayudan a asegurar que sólo
los usuarios autorizados tengan acceso a los datos y recursos de TI especificados.
Protección de datos confidenciales

Los productos Forefront resguardan los datos confidenciales y protegen la propiedad

intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada
aplicación en toda la red, como también tecnologías que garantizan la confidencialidad y
autenticidad de los datos valiosos para su empresa.
Integración desde el diseño
Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda
lograr una mayor eficiencia y control en términos de seguridad de la red.
Integración con aplicaciones
Los productos anti-malware y de seguridad de acceso Microsoft Forefront están

especialmente diseñados para proteger e integrarse con aplicaciones de servidores de
misión crítica tales como Exchange, Outlook® Web Access y SharePoint.
Integración con la infraestructura informática
Esta infraestructura unificadora permite administrar sin inconvenientes la implementación,

distribución, configuración y aplicación de los productos de seguridad, y permite hacerlo
con un nivel de control detallado y minucioso.
Integración en Forefront
Los productos Forefront están diseñados para poder operar juntos, de modo que se
puedan aprovechar sus funcionalidades y lograr una mayor cobertura de seguridad.
Administración simplificada y centralizada
Los productos Microsoft Forefront están diseñados de forma tal que permiten simplificar la
implementación, configuración, administración, generación de informes y análisis. De esta
forma, su empresa tiene mayor confiabilidad en cuanto a una excelente protección.
Implementación simplificada
Los utilitarios como ISA Server Best Practices Analyzer Tool y los asistentes de
configuración ayudan a establecer una base sólida para una instalación de seguridad
contundente. La integración de Forefront con Active Directory y los sistemas de
actualizaciones como Systems Management Server proporcionan los cimientos comunes
para la administración de configuraciones y cambios. Tanto los usuarios como los
administradores se benefician con la distribución centralizada de configuraciones y
políticas actualizadas así como de actualizaciones de sistemas operativos o antivirus para
clientes y servidores.
Unificación de generación de informes y análisis

Forefront centraliza la recopilación y el análisis de la información de administración de

seguridad, dado que toda la información de seguridad se almacena en un único
repositorio SQL Server™, que puede utilizar los servicios de generación de informes y
análisis (SQL Server Reporting and Análisis Services) para identificar e interpretar los
eventos de seguridad.
Administración simplificada
La administración y la generación de informes de seguridad están centralizadas en

Forefront. Sus componentes se integran plenamente con los sistemas de administración
existentes, incluyendo Microsoft Operations Manager, Microsoft Systems Management
Server y Windows Server™ Update Services. Las consolas de administración integradas
de Forefront ofrecen las conocidas interfaces de Microsoft y son, además, fáciles de
utilizar; por otra parte, reducen el tiempo de capacitación necesaria y ayudan a controlar
los costes.
Énfasis en la capacidad de "aseguramiento"

Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración
y la administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront
ayuda a su empresa a:
 Centralizar la administración de la seguridad.
 Evitar los errores en la configuración.
 Implementar la seguridad en toda la red.
 Obtener una visión unificada de la seguridad de la red.
b) Distribuciones libres para implementar cortafuegos en

máquinas dedicadas.
i) Instalación y configuración del cortafuegos “Firewall Zentyal”.
Dentro del panel de configuración en cortafuegos nos encontramos con

el filtrado de paquetes.
Una vez localizado todas esas pantallas nos vamos a crear la

configuración de las reglas , que nos crearemos una regla para la LAN.
Lo voy a realizar con Ftp Porque es una de las cosas mas fáciles de
comprobar.
Comprobamos al Ftp y vemos que podemos acceder perfectamente.
Sobre el servicio de Ftp , le damos a editar y editamos y le damos a

denegar.
Y ahora comprobamos desde el cliente de Windows Xp e intentamos

conectar y nos dice que no es conocido es decir que no se conecta.
ii) Instalación y configuración del cortafuegos “Firewall IpCop”
Este se tiene que instalar arrancando con el Cd pero por mas que lo intento
nada.Como no he conseguido poder instalar desde el Cd , entonces pongo
aquí un manual de su instalación y configuración.
IPCop tiene como objetivos ser un cortafuegos sencillo, con pocos requerimientos
hardware orientado a usuarios domésticos o a pequeñas empresas, administrado a través
de una interfaz web, con funcionalidades básicas y avanzadas, yendo (a manera de

ejemplo) desde el simple filtrado de paquetes hasta la asignación de ancho de banda fijo
a cada puesto de trabajo o la configuración de redes virtuales VPN. IPCop se actualiza
desde el Interfaz Web de manera muy sencilla.
Nos será muy útil en el caso de que no podemos acceder a un firewall por hardware,
podremos configurarlo en un equipo con escasos recursos de hardware o incluso
configurarlo sin problemas en una red virtual,
IPCop es gratuito por lo tanto lo primero que deberemos de hacer es acceder a su
pagina web y descargarnos su ultima versión en formato ISO preparada para grabar a un
CD,
Introducimos el CD donde hemos grabado la ISO de IPCop y iniciamos el equipo

asegurándonos de que la unidad de inicio sea el CD-ROM, pulsamos “ENTER” para
iniciar la instalación,
Elegimos nuestro idioma,

Pulsamos “OK”,
Seleccionamos nuestro origen de datos para la instalación, en este caso el CDROM,
Hay que asegurarse de que lo instalamos en una partición sin ningún tipo de datos, ya
que estos serán destruidos por la instalación,
Esperamos a que el programa de instalación, configure el disco y copie los archivos

necesarios,
En el caso de que no fuese nuestra primera instalación de IPCop, de tener una

configuración guardada, este seria el momento de cargarla,
Pulsamos sobre Prueba para que nos detecte las tarjetas de red que tenemos instaladas
en nuestro equipo,
Nos detectara las tarjetas instaladas, en este caso como queremos una zona verde
(nuestra red interna) y una zona roja (red que nos dará acceso a internet y otros recursos)
necesitaremos dos tarjetas de red,
Configuraremos la IP que tendrá el cortafuegos dentro de nuestra red,
Pulsamos “OK” para iniciar la configuración,
Elegimos nuestro idioma,
Nuestra zona horaria,

El nombre del equipo,
El nombre del Dominio,
Podremos configurar una línea RDSI, en nuestro caso no disponemos de ninguna así que
inhabilitamos esta opcion,
Entramos en el Tipo de Configuración de Red,

Seleccionamos el tipo de configuración, en nuestro caso GREEN + RED,
Seleccionamos “Controladores y tarjetas asignadas”,
Pulsamos “OK” para terminar de configurar nuestras tarjetas,

Asignamos la tarjeta de red libre a nuestro interfaz rojo
Iremos ahora a la configuración de direcciones,
Nuestro Interfaz Verde ya esta configurado en un paso anterior,
En el interfaz Rojo asignaremos el tipo de asignación de IP que utilizaremos, en nuestro

caso será DHCP,
Configuraremos las opciones de DNS y Gateway,
Pulsamos sobre Acabado,
Introduciremos las contraseñas para los distintos usuarios,

Pulsamos “OK” para reiniciar el sistema,
una vez iniciado, comprobaremos mediante un ifconfig si la configuración de los dos

interfaces es correcto,
Ahora nos iremos a uno de los equipos que están dentro de nuestra red y accederemos al
interfaz web mediante la ip de nuestro cortafuegos.
Podremos configurar las típicas opciones de un firewall en un interfaz sencillo. Reglas,
VPN, restricción de ancho de banda, y muchas otras configuraciones serán muy intuitivas
y fáciles de configurar.
6. CORTAFUEGOS HARDWARE.
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX
(Private Internet Exchange) y la tecnología ASA de Cisco.Comenta en
detalle algún producto Cisco PIX.
PIX es el acrónimo de Private Internet EXchange.

Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de
equipos Cortafuegos (FireWalls).
Se trata de un firewall completamente hardware: a diferencia de otros sistemas
cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema
operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más
a un router que a un sistema Unix clásico.
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security

Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes
externas que tienen como origen una red protegida) se le aplica este algoritmo antes de
dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de
estado de la conexión (PIX es stateful) en memoria; para ello, a cada interfaz del firewall
se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura,
externa) y 100 (la más segura, interna). La filosofía de funcionamiento del Adaptive
Security Algorithm se basa en estas reglas:
 Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.

 Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino
(outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso.
 Cualquier conexión que tiene como origen una interfaz o red de menor seguridad
que su destino (inbound) es denegada, si no se permite explícitamente mediante
listas de acceso.
 Los paquetes ICMP son detenidos a no ser que se habilite su tráfico
explícitamente.
 Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de
alerta es enviado a syslog.
 Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con
menor nivel de seguridad que su destino, el firewall le aplica el adaptive security
algorithm para verificar que se trata de una trama válida, y en caso de que lo sea
comprobar si del host origen se ha establecido una conexión con anterioridad; si no
había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de
estados en la que se incluyen los datos necesarios para identificar a la conexión.
El dispositivo adaptable de seguridad de la serie Cisco
ASA 5500 es una plataforma modular que brinda servicios de seguridad y VPN de
próxima generación para una amplia gama de entornos, desde oficinas pequeñas o en el
hogar y empresas en crecimiento hasta grandes empresas. La serie Cisco ASA 5500
ofrece a las empresas un completo portafolio de servicios que se personalizan mediante
ediciones de productos que se adaptan específicamente para firewall, prevención de
intrusiones (IPS), anti-X y VPN.
Estas ediciones permiten brindar una protección superior al proporcionar los servicios
adecuados en el lugar necesario.
Cada edición combina un conjunto específico de servicios Cisco ASA a fin de satisfacer
las necesidades de determinados entornos en la red empresarial. A su vez, al satisfacer
las
necesidades de seguridad de cada sitio, se eleva la postura de seguridad general de la
red.
La serie Cisco ASA 5500 permite la normalización en una misma plataforma con el fin de
reducir el costo operativo global de la seguridad. Un entorno común para la configuración
simplifica la administración y reduce los costos de capacitación del personal, en tanto que
la plataforma común de hardware de la serie reduce los costos de repuestos.
Cada edición satisface necesidades específicas del entorno empresarial:
Edición Firewall: permite a las empresas implementar aplicaciones y redes fundamentales
con seguridad y confiabilidad. El diseño modular exclusivo brinda una
importante protección de la inversión y a su vez reduce los costos operativos.
Edición IPS: protege la infraestructura y los servidores fundamentales de la empresa
contra los gusanos, hackers y otras amenazas mediante servicios combinados de firewall,
seguridad de aplicaciones y prevención de intrusiones.
b) Elabora un informe sobre productos comerciales que implemente

Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat
Management).
La serie USG2000 de Huawei Symantec (en adelante, "el USG2000") es un gateway de

seguridad unificado de diseño propio que se orienta a la seguridad de las redes de las
organizaciones pequeñas y medianas. Al estar basado en una arquitectura de software y
hardware líder en la industria, el USG2000 cuenta con capacidades de seguridad sólidas,
escalables y sostenibles gracias al soporte de la tecnología IPv6 y diversas funciones de
seguridad, tales como firewall, antivirus (AV), prevención de intrusiones, control de las
aplicaciones, filtro de URL, VPN y antispam (AS). Así, el USG2000 ha sido ampliamente
aplicado por el gobierno, el sector financiero, las empresas proveedoras de energía, de
las telecomunicaciones, del petróleo, de la educación y por el sector industrial.
La serie USG2100 está compuesta por los modelos USG2130 y USG2160, que son
dispositivos modulares no estándar de 1 U. La configuración estándar del USG2130
cuenta con 1 interfaz WAN + 8 interfaces LAN, 1 interfaz USB y 1 ranura de expansión
para MIC, que soporta diversos módulos de interfaz. La configuración estándar del
USG2160 cuenta con 1 interfaz WAN + 8 interfaces LAN, 1 interfaz USB y 2 ranuras de
expansión para MIC, que permite alojar diversos módulos de interfaz.
La serie USG2200 está compuesta por el USG2210, USG2220, USG2230 y USG2250,
que son dispositivos modulares de 1 U. El USG2250 soporta tanto alimentación CA como
CC. La configuración estándar de la serie USG2200 cuenta con dos pares de interfaces
GE ópticas/eléctricas (excluyentes entre sí), dos interfaces USB, cuatro ranuras de
expansión para MIC y dos para FIC, que soportan diversos módulos de interfaz.
Las necesidades de ancho de banda de las redes crecen día a día debido a la aparición
de tecnologías tales como Triple Play, Web 2.0 y banda ancha de alta definición. Hay
muchos switches y routers que cuentan con interfaces de 10 gigabits. A su vez, las
grandes empresas se ven obligadas a integrar sus servicios y expandir sus redes. Así, es
inevitable que los firewalls tradicionales se conviertan en cuellos de botella, ya que no son
compatibles con las redes de alta velocidad.
Para responder a estas necesidades, Huawei Symantec ha lanzado el dispositivo
Secospace USG9100, un gateway de seguridad profesional de 10 Gigabits que cuenta
con una arquitectura multinúcleo + ATCA de avanzada.
Debido al deterioro de la seguridad de las redes, los usuarios se ven afectados por una
creciente cantidad de arraigados problemas relacionados con las aplicaciones y los
servicios. Entre ellos, las intrusiones maliciosas, el fraude electrónico en los sitios web, los
virus troyanos y la saturación de tráfico P2P, que perjudican la eficacia de las redes y
generan graves amenazas. Es por esto que Huawei Symantec ha concentrado sus
esfuerzos en el suministro de soluciones integradas de seguridad para los usuarios de
redes. Gracias a la vasta experiencia del equipo designado para el análisis de los
protocolos líderes de la industria y a la amplitud de su base de conocimiento sobre
protocolos, Huawei Symantec brinda a los usuarios sólidos servicios de soporte técnico
para contrarrestar las diversas amenazas que afectan la seguridad. El USG5000 es un
gateway de seguridad unificada de nueva generación lanzado por Huawei Symantec.
Ofrece diversas funciones de seguridad sumamente ventajosas (entre ellas, firewall, VPN,
un Sistema de Prevención de Intrusiones [IPS], antivirus [AV] y funciones de filtrado de
URL) que permiten proteger la totalidad de la red y garantizar su eficiencia.
Gracias a una ventajosa arquitectura multinúcleo integrada y a la experiencia acumulada
por las áreas de diseño, investigación y desarrollo en el campo de las comunicaciones y
redes, el USG5000 cumple con diversos y estrictos estándares internacionales de
autenticación y ofrece un alto nivel de confiabilidad. Mediante la implementación de las
tecnologías avanzadas de AV e IPS desarrolladas por Symantec y de una extensa base
de datos de firmas, el USG5000 logra una tasa de detección superior al 99% y ofrece un
significativo nivel de seguridad con configuración cero.
El USG5000 cuenta con infalibles funciones de firewall, defensa contra los ataques, VPN,
NAT de extensión infinita, control de IM y restricción de tráfico P2P sobre la base de un
hardware de excelente rendimiento, confiabilidad y densidad de interfaces, y un software
de gran madurez, estabilidad y modularización. Ciertas funciones avanzadas (tales como
el filtrado de IPS, AV y URL) están disponibles sólo si se adquieren las licencias
correspondientes.
Huawei Symantec ha lanzado el dispositivo USG9300, un gateway profesional de

seguridad que combina un chip de procesamiento de red (NP) profesional con una
plataforma distribuida de hardware. Es decir, está compuesto por un NP de avanzada y
una arquitectura distribuida de múltiples sistemas.
El USG9300 posee firewalls con elevado rendimiento de Red Privada Virtual (VPN), lo
que permite satisfacer los requerimientos de los usuarios en cuanto a alta confiabilidad y
rendimiento. Este producto ha demostrado que los requerimientos de seguridad de las
aplicaciones de alta gama (tales como las redes de alta velocidad de las operadoras, los
centros de datos financieros de gran escala, los sitios web de gran escala, entidades
gubernamentales y redes verticales de grandes empresas) se pueden satisfacer sin
realizar grandes inversiones de capital.

Practicas Tema4 Cortafuegos

Cargado por

Copyright:

Formatos disponibles

Practicas Tema4 Cortafuegos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Practicas Tema4 Cortafuegos

Cargado por

Copyright:

Formatos disponibles

TEMA4-

En la pestaña de advanced , configuramos los firewall y ponemos que lo activamos el

En la opción de Action le ponemos a Deny que denegamos a lo siguiente.

En la pestaña de Security dentro de ella se encuentra Firewall en esa misma pantalla

Comprobamos que desde el equipo pc01 no podemos salir a la 10.3.0.0.

Y comprobamos desde el pc02 y este si puede salir a la 10.3.0.0

2) Configurar en la red 192.3.0.0/24 un filtro “anti-spoofing” para que no sea

Comprobamos desde el servidor de la red 192 y vemos que no puede enviar

3) Borrar las ACLs definidas anteriormente.

Y luego borramos la otra acl para la del ejercicio 2

Uso de ACL COMPLEJA

4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no

Comprobamos a conectarnos con ftp en el cual no nos deja conectarnos .

Ahora comprobamos a conectarnos desde http y vemos que perfectamente si nos

Comprobamos que con el equipo pc02 NO podemos conectarnos al ftp.

Mientras con el equipo PC01 si podemos conectarnos al FTP.

6) No permitir que el PC2 pueda comunicarse con el PC4.

Comprobamos que el Pc02 NO Puede hacer ping con el Pc4

7) Borrar las ACLs anteriores

Borramos todas las acls que hemos creado anteriormente.

8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los

En el router de manzanares hacemos lo siguiente.

Y comprobamos desde el pc04 que no se puede ni hacer ping a ninguno de la red.

9) Borrar las ACL definidas anteriormente.

10)Impedir cualquier tráfico ICMP entrante excepto el “Destino Unreachable”

Y desde el pc2 intentamos acceder a un pc que no tenemos en la red y este nos

b) Resolución escenario UD3-2.a. Router Frontera

Y comprobamos hacer ping en un equipo de la red de isp a un equipo de la red de

Y luego comprobamos desde un equipo que esta en la red de empresa hacia la

1º) Ver la versión de Iptables:

2º) Borrado de todas las reglas

4º) Eliminar todos los paquetes que entren.

5º) Permitir la salida de paquetes.

9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.

10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).

11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).

12ª) Permitimos a la máquina con IP 192.168.0.9 conectarse a nuestro equipo a

13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro

14º) Rechazamos las conexiones que se originen de la máquina con la

16º) Cerramos el rango de puerto bien conocido desde cualquier origen:

17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web

18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:

20º) Permitimos enviar y recibir e-mail a todos:

22º) Permitimos el paso de un equipo específico 192.168.3.5 a un servicio

23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es

5.Cortafuego integrado en Windows.

i) Instalar y configura el cortafuegos Kerio Winroute Firewall

Nos descargamos el programa de internet y lo instalamos según el asistente.

En el siguiente paso nos indica que nos cremos la cuenta de usuario lo

Despues de seguir el asistente empieza la instalación del programa.

Y terminada la instalación del programa ahora vamos a darle su

Y al entrar al programa nos sale un asistente para configurar las reglas.

Seguidamente nos pide el tipo de conexión de internet y elegimos la mas

Lo realizamos con la dirección de internet entonces en la próxima pantalla que

En la siguiente pantalla lo dejamos como viene por defecto.

Hacemos clic en el http y le damos a siguiente.

Y ya esta perfectamente finalizado y configurado.

Entramos en el programa y en la pestaña de configuración , reglas de trafico

Comprobamos desde el navegador , con el https://gruposantander.es y