17
Javier del Moral Calzada (1º ASI Diurno) I.E.S. Pablo Serrano Febrero 2009 - 1 - Configuración de políticas de acceso y de valores de DMZ Objetivos de la práctica: - Iniciar la sesión en un dispositivo multifunción y ver los valores de seguridad - Configurar políticas de acceso a Internet basadas en una aplicación y una dirección IP - Configurar una zona desmilitarizada (DMZ) para un servidor de acceso abierto con una dirección IP estática. - Configurar el reenvío de puertos para limitar la accesibilidad de los puertos a HTTP solamente. - Utilizar las funciones de ayuda del dispositivo Linksys WRT300N. Preparación Para la realización de esta práctica necesitamos: - Un router linksys - 3 equipos con Microsoft Windows XP, 2 de ellos con un servidor web instalado - Una tarjeta inalámbrica USB - Acceso a la red del aula Instalación de un servidor web en un equipo Si no tenemos instalado un servidor web en 2 de los equipos (que serán el host B y el host externo, y que más adelante explicamos cual es cada uno), los instalaremos ahora. Necesitaremos el CD de instalación de Windows XP. Introducimos el CD en la unidad reproductora, y nos vamos a: Inicio > Panel de Control > Agregar o quitar programas > Agregar o quitar componentes de windows, y en esta ventana buscamos Servicios de Internet Information Server (ISS) Marcamos la opción que hemos dicho antes, y pulsamos en el botón “Detalles” para ver los subcomponentes que tiene. En esta ventana que se abre, vamos a marcar la opción “Servicio de Protocolo de transferencia de archivos (FTP)” para instalar además el servidor FTP, y el resto de opciones las dejaremos como estén.

Configuracion DMZ

Embed Size (px)

Citation preview

Page 1: Configuracion DMZ

Javier del Moral Calzada (1º ASI Diurno)

I.E.S. Pablo Serrano

Febrero 2009

- 1 -

Configuración de políticas de acceso y de valores de DMZ Objetivos de la práctica:

- Iniciar la sesión en un dispositivo multifunción y ver los valores de seguridad - Configurar políticas de acceso a Internet basadas en una aplicación y una dirección IP - Configurar una zona desmilitarizada (DMZ) para un servidor de acceso abierto con una

dirección IP estática. - Configurar el reenvío de puertos para limitar la accesibilidad de los puertos a HTTP

solamente. - Utilizar las funciones de ayuda del dispositivo Linksys WRT300N.

Preparación Para la realización de esta práctica necesitamos:

- Un router linksys - 3 equipos con Microsoft Windows XP, 2 de ellos con un servidor web instalado - Una tarjeta inalámbrica USB - Acceso a la red del aula

Instalación de un servidor web en un equipo Si no tenemos instalado un servidor web en 2 de los equipos (que serán el host B y el host externo, y que más adelante explicamos cual es cada uno), los instalaremos ahora. Necesitaremos el CD de instalación de Windows XP. Introducimos el CD en la unidad reproductora, y nos vamos a: Inicio > Panel de Control > Agregar o quitar programas > Agregar o quitar componentes de windows, y en esta ventana buscamos Servicios de Internet Information Server (ISS)

Marcamos la opción que hemos dicho antes, y pulsamos en el botón “Detalles” para ver los subcomponentes que tiene. En esta ventana que se abre, vamos a marcar la opción “Servicio de Protocolo de transferencia de archivos (FTP)” para instalar además el servidor FTP, y el resto de opciones las dejaremos como estén.

Page 2: Configuracion DMZ

- 2 -

Aceptamos, y le damos a siguiente para que empiece con la instalación. Si por algún motivo al hacer la instalación nos sale algún mensaje diciendo que no ha encontrado el CD, desde esa ventana entramos en el CD y buscamos una carpeta que se llama “I386”. La seleccionamos y continuamos con la instalación. Si más adelante nos ocurre lo mismo, repetiremos este mismo paso. Cuando termine, ya tendremos instalado el IIS (Internet Information Server), el servidor web, y repetiremos todos estos pasos para instalarlo en el otro equipo. Servicios Una vez que ya hemos instalado los servidores en los equipos, nos vamos a: Inicio > Panel de control > Herramientas administrativas > Servicios, y en esta ventana que aparece buscamos el servicio “Publicación en World Wide Web”

Este es el servicio que corresponde al servidor web. Hacemos doble clic en el y pinchamos en el botón “Iniciar” (si no estaba en marcha). La forma de que se inicie el servicio la podemos poner de forma manual por lo que tendremos que ser nosotros quienes lo activemos, o de forma automática que se iniciara el solo. Ahora tenemos que averiguar en que ubicación tenemos que poner nuestras páginas web. Para ello vamos a: Inicio > Configuración > Panel de control > Herramientas administrativas y pinchamos en "Servicios de Internet Information Server”. En el explorador de la izquierda hacemos clic con el botón derecho en “Sitio web predeterminado” y le damos a propiedades. En esta ventana de propiedades encontraremos la ubicación de la carpeta donde se deben poner las páginas web, y encontraremos también una opción para indicar el orden de las páginas (es recomendable que la pagina de inicio se llame index.htm). Para la práctica que vamos a realizar, necesitaremos también activar el servicio telnet. Para ello hacemos lo mismo que hemos hecho con el servicio anterior:

Page 3: Configuracion DMZ

- 3 -

Inicio > Panel de control > Herramientas administrativas > Servicios, y buscamos el servicio que se llama “Telnet”. Hacemos doble clic sobre el, y en la ventana que aparece, pulsamos el botón “Iniciar” (si no estuviera ya en marcha) y “Aceptar”, y ya tendríamos el servicio telnet activado. Una detalle a tener en cuenta es que, para poder acceder por telnet al equipo, debemos tener creado un usuario de windows con contraseña, o no podremos entrar. En nuestro caso vamos a crear un usuario en windows con contraseña que solo vamos a utilizar para conectar por telnet. Para esto tenemos que ir a: Inicio > Panel de control > Cuentas de usuario y pinchamos en “Crear una cuenta nueva”. Escribimos un nombre para la cuenta y la creamos. Cuando ya la tengamos creada, en la misma ventana de “Cuentas de usuario”, pinchamos sobre la cuenta que acabamos de crear y pulsamos en la opción “crear una contraseña”. Introducimos la contraseña y la confirmación, y listo. Este usuario y esta contraseña son las que utilizaremos cuando queramos acceder por telnet a este equipo. Conexión entre los elementos La forma de conexionar los distintos elementos será la siguiente: El host A estará conectado al router mediante una tarjeta inalámbrica, y el host B lo conectamos al router mediante un cable de red. El router lo conectamos a la red del aula por la boca de Internet y el host externo lo conectamos a la red del aula. En nuestro caso, el host externo hará también la función de servidor, de este modo podemos simular el servidor y el host externo con un solo equipo. El esquema quedaría como el que se muestra en el dibujo, recordando que en nuestro caso, el servidor externo y el host externo son el mismo equipo.

Debemos comprender que vamos a hacer NAT (Network Address Translation). Al realizar una conexión, las direcciones privadas de la red interna (la de el host A y el host B) se transformarán en una IP pública que será siempre la misma (la IP externa del router, 192.168.2.242). De este modo la red interna sería invisible en Internet. Ahora tenemos que configurar el router y los equipos para que cada uno esté en la red que le corresponde. El router por defecto viene con la dirección IP 192.168.1.1. Recordamos que para poder acceder a la página de configuración del router debemos de estar en su misma red, por lo que tenemos que cambiar nuestra dirección IP. Para cambiar la dirección IP, Inicio > Panel de control > conexiones de red, seleccionamos el dispositivo con el que nos hemos conectado al router, le damos al botón derecho y propiedades, Protocolo Internet (TCP/IP) > Propiedades. Una vez que hemos cambiado nuestra IP a una de la misma red a la que pertenece el router, accedemos mediante nuestro navegador a la página de configuración (recordamos que para acceder

Page 4: Configuracion DMZ

- 4 -

al router, se debe poner su dirección IP en la URL del navegador, y deberemos introducir el usuario y contraseña, que en nuestro caso es “admin”). La dirección de la red interna del router será 192.168.3.1, y la dirección IP estática externa será 192.168.2.242. Le ponemos al router como gateway la dirección IP del router del instituto para poder tener salida a Internet. Por último configuramos el DHCP para que reparta IPs de la 192.168.3.50 a la 192.168.3.100.

En la imagen que se muestra, faltaría de poner una DNS, ya que aunque tengamos salida a Internet al tener como gateway la IP del router del instituto, no nos mostraría páginas externas ya que no sería capaz de resolver los nombres de dominio con las direcciones IP. Una vez hecho esto, conectamos la tarjeta inalámbrica al host A y comprobamos la dirección IP (192.168.3.51) y la puerta de enlace (192.168.3.1, la del router) que se le ha asignado por DHCP

Page 5: Configuracion DMZ

- 5 -

Al host B, le asignamos una IP estática (192.168.3.13) ya que hace la función de servidor también, y como puerta de enlace le ponemos también la del router (192.168.3.1). El host-servidor externo tendrá una IP estática que estará dentro de la red del aula (192.168.2.30). Para simular que este host sea Internet, como puerta de enlace no le pondremos la IP externa del router (192.168.2.242), ya que si lo hiciéramos, cualquier petición del host externo hacia el servidor o host interno sería mandada a su puerta de enlace (que sería el router, la 192.168.2.242),y como el router está en la misma red que los host internos, habría acceso entre ellos, cosa que en Internet no ocurriría. Una vez que ya tenemos todo configurado, probamos que funciona todo correctamente. Los resultados son: El host A y el host B se comunican entre ellos porque están en la misma red, y también se comunican con el host externo, ya que salen a través del router a la red del aula. Ping del host A (192.168.3.51) al host B (192.168.3.13) y al host externo (192.168.2.30) y lo mismo ocurriría con el host B al host A y al host externo.

Page 6: Configuracion DMZ

- 6 -

Intentamos ver la página web del host B y del host externo a través del navegador del host A (poniendo las direcciones IPs en el navegador) y el resultado es bueno, conseguimos verlas.

Page 7: Configuracion DMZ

- 7 -

En cambio, el host externo no puede hacer ping a los host internos porque estamos haciendo NAT y por el asunto de la puerta de enlace que hemos comentado anteriormente, ni evidentemente puede acceder a ningún servicio del host B. Ping del host externo (192.168.2.30) al host A (192.168.3.51), y lo mismo pasaría con el host B

Ahora intentamos hacer ping al router desde el host externo para ver si tienen comunicación y vemos que no nos deja. Ping del host externo (192.168.2.30) al router (IP externa 192.168.2.242)

Esto ocurre por una opción de seguridad que tiene el router para evitar un posible ataque. La opción que evita que un host externo pueda hacer ping al router es la siguiente: entramos a través del navegador en el router, y vamos a Security > Firewall y ahí encontraremos una opción que es “Block anonymous Internet Requests”. Si esta opción no esta activada, podremos hacer ping al router desde el host externo. Si por el contrario esta activada, no podremos.

Page 8: Configuracion DMZ

- 8 -

Firewall y restricciones Aprovechando la imagen anterior, comentamos que la opción de Firewall Protection, que encontraremos en Security > Firewall, es independiente de las opciones que aparecen debajo, es decir, aunque tengamos la opción Firewall Protection desactivada, las opciones que aparecen debajo seguirán funcionando o no, dependiendo de si están activadas o no. Esta opción de Firewall Protection lo que hace es activar el firewall del router, cuyas restricciones podemos configurar en la opción Access Restrictions. Todas las restricciones que hagamos esta opción solamente funcionarán si esta activada la opción Firewall Protection que hemos visto antes.

Page 9: Configuracion DMZ

- 9 -

La imagen muestra la pantalla correspondiente a la opción Access Restriction. Vamos a ir viendo las partes que tiene y comentado para que sirve cada una de ellas.

En esta primera imagen, aparece una lista donde podemos encontrar hasta 10 políticas de restricciones que hemos tenido que configurar previamente. Cada política la distinguiremos por el nombre que le asignamos (ahora veremos como). Para eliminar una política ya creada, lo haremos mediante el botón “Delete”. Cada política es independiente una de otra, cada una puede tener configuraciones distintas.

Ahora comenzamos a configurar las restricciones que va a tener nuestra política. En la opción “Status” indicaremos si la política esta activa o no y en “Enter Policy Name” indicaremos el nombre que queramos para identificarla. En la lista de los pc’s (“Edit list of PCs”), permitiremos o denegaremos (según lo que tengamos marcado,si deny o allow) el acceso, los días y horas que tengamos marcados.

Page 10: Configuracion DMZ

- 10 -

La imagen de arriba muestra la ventana que corresponde a “Edit list of PCs”. Aquí podemos añadir los host que queramos, por su MAC, por su IP, o también podemos especificar un rango de IPs. Para el resto de pc’s que no estén en la lista, no tendrán ningún tipo de acceso, ya que no estan en la lista. Permitirá todos los servicios, excepto los que deneguemos en la opción blocked services

En la opción Website Blocking by URL Address, podemos restringir el acceso a las páginas que indiquemos (la dirección sería sin el http delante, Ej: www.google.es). Y desde la opción Website Blocking by Keyword, restringiremos el acceso a las páginas web que tengan las palabras que indiquemos aquí. Para comprobar esto, hacemos la siguiente prueba: como hemos visto antes, el host A y el host B tenían acceso a la página web del servidor externo. En esta pantalla de Access Restriction, añadimos a la lista de pc’s la IP del host A, marcamos “allow”, le ponemos un nombre a la política (“nagacion” en este caso), ponemos el status en “enable”. Intentamos de nuevo acceder al servidor externo a través de los host internos, y solo permite la conexión desde el pc cuya IP hemos puesto en la lista. Ahora, en la opción “Blocked Services”, le indicamos que bloqueamos la salida por http, por el puerto 80. Ahora, intentamos conectarnos desde el host A (recordamos que éste está en la lista de

Page 11: Configuracion DMZ

- 11 -

pc’s) al servidor mediante http, y no lo conseguimos (por lo que acabamos de hacer), pero si intentamos acceder a través de telnet, veremos que si que podemos. Probamos también las restricciones “Website Blocking by URL Address” y “Website Blocking by Keyword” y vemos que impiden el acceso a las páginas que hemos puesto, y a las que contengan las pablaras aquí indicadas. Zona desmilitarizada (DMZ) Cuando ya hemos terminado de probar las anteriores restricciones, pasamos a crear una zona desmilitarizada (DMZ). La idea de crear una DMZ es que, cualquier servicio que se pida a la IP del router, éste, automáticamente lo mande al host B (que hace la función de servidor también) para que responda al servicio. Para configurar una DMZ, deberemos acceder al router, e ir a: Applications & Gaming > DMZ

En esta pantalla indicaremos si el DMZ está activado o no (“Enable” o “Disable”), y además, indicaremos la IP del equipo al que queremos que el router envíe las peticiones que le llegue (en nuestro caso será el host B 192.168.3.13). Ahora, cualquier petición que llegue al router (por la parte externa, 192.168.2.242) será enviada al host B. Vamos a comprobarlo. A través del host externo, mediante un navegador, ponemos la dirección IP del router, y automáticamente el router manda la petición al host B y muestra su página web.

Page 12: Configuracion DMZ

- 12 -

Si probamos con una petición ftp o telnet, ocurre lo mismo, la petición es contestada por el host B. Cabe destacar que el DMZ permite todos los servicios y puertos que se necesiten. Mapeo de puertos Para permitir únicamente que se conteste a determinadas peticiones, se hace mediante el mapeo de puertos. Para eso, desactivamos el DMZ, y vamos a: Applications & Gaming > Port Range Forward

En esta pantalla, en “Application” indicaremos el nombre con el que identificaremos el servicio, en “Start” to “End” indicaremos los puertos que abarca, el protocolo, la dirección IP del equipo que queramos que responda a esta petición y marcaremos la casilla “Enable” para activarlo. En este caso vamos a permitir únicamente que, al solicitar un servicio http al router (192.168.2.242), el encargado de responder a esta petición será el host B (192.168.3.13). Como nombre para

Page 13: Configuracion DMZ

- 13 -

identificarlo, ponemos web, a través del puerto 80 y la IP del host B. Ahora desde el host externo, ponemos en el navegador la dirección del router, y nos muestra la página web del host B. Probamos ahora a hacer otra petición, en este caso ftp, y vemos que no podemos.

En el mapeo de puertos, no es necesario que un solo equipo sea el encargado de responder a todas las peticiones que configuremos, puede haber otros equipos que se encarguen de dar servicio.

En este caso, vamos a hacer que el encargado de dar servicio web sea el host B (192.168.3.13) y el host A (192.168.3.51) sea el encargado del telnet. Si no tenemos activado el servicio telnet en el host A, lo activaremos como hemos visto al principio. El usuario que vamos a añadir en el host A, le pondremos un nombre de usuario diferente al que hay en el host B. El motivo de poner un usuario diferente lo veremos ahora.

Page 14: Configuracion DMZ

- 14 -

Vamos a realizar una última prueba con el DMZ, vamos a dejar el mapeo de puertos activado, y vamos a activar el DMZ. Si observamos, se está produciendo una contradicción ya que, en el DMZ estamos diciendo que el encargado de dar servicio a todo va a ser el host B (192.168.3.13), y en el mapeo de puertos indicamos que el encargado de dar servicio telnet sea el host A (192168.3.51). Desde el host externo vamos a conectarnos a través de telnet al router a ver que ocurre. Al intentar conectarnos, solo nos permite acceder al host A (192.168.3.51) con su usuario y contraseña (por eso hemos creado los usuarios con diferente nombre, para tener claro a que host conectamos, aparte de comprobarlo con el ipconfig /all para ver la ip), con lo que llegamos a la conclusión de que el mapeo de puertos prevalece sobre el DMZ. Acceso remoto al router A continuación vamos a configurar el router para poder acceder a él de forma remota. Para ello, desde el host B, accedemos al router y vamos a: Administration > Management

Page 15: Configuracion DMZ

- 15 -

Veamos cada una de las opciones que aparecen en la imagen. Las dos primeras opciones (“Router Password” y “Re-enter to confirm”) corresponden a la contraseña de entrada al router. Las dos siguientes (“Access Server” y “Wíreless Access Web”) corresponden a la entrada al router desde la red interna. En “Access Server” elegimos si conectamos a través de http, o de https. Las tres últimas corresponden al acceso remoto al router. En “Remote Management” indicaremos si activamos o no el acceso remoto, en “Management Port” el puerto por el que accederemos y “Use https” si queremos hacerlo a través de https. En nuestro caso, vamos a activar el acceso remoto por el puerto 8080. Un detalle a tener en cuenta es que, al activar el acceso remoto, nos aparece una ventana pidiendo que cambiemos la contraseña. Esto ocurre por motivos de seguridad, ya que, al ser la contraseña conocida, podría acceder cualquiera con la contraseña que viene por defecto. Ahora, desde el host externo, ponemos en el navegador la dirección del router (192.168.2.242), pero además, debemos especificar el puerto. La dirección a poner en el navegador seria la siguiente: 192.168.2.242:8080 y vemos que accedemos con la nueva contraseña.

Page 16: Configuracion DMZ

- 16 -

Ahora marcamos la opción https para conectarnos de forma segura, y lo probamos.

Hay que tener en cuenta que la dirección a poner en el navegador del host externo ahora será: https://192.168.2.242:8080. Fijarse que empieza por https, no por http.

Page 17: Configuracion DMZ

- 17 -

Realizaremos una última prueba con el acceso remoto al router. En la opción “Management Port”, ponemos el puerto 80. Ahora activamos el mapeo de puertos para que el host B (192.168.3.13) se encargue de dar servicio http (repetir la configuración de mapeo de puertos que hemos visto antes). Lo que ahora ocurrirá es lo siguiente: Tendremos el mapeo de puertos configurado para que las peticiones http que lleguen al router, éste las envíe al host B para que les de servicio (recordamos que el puerto de http es el 80), y además tendremos activado el acceso remoto al router también a través del puerto 80. Si intentamos ahora acceder al router (192.168.2.242:80, que sería la dirección con el puerto que hemos configurado), como es una petición por el puerto 80, automáticamente por el mapeo de puertos, nos mostraría la página web del host B, por lo que ya no tendríamos acceso al router de forma remota. Conclusiones

- Todas las restricciones que configuremos en “Access Restrictions” solo funcionarán si esta activado el firewall (opción “Firewall Protection”)

- Si hemos creado una lista de equipos, las restricciones afectarán a los equipos que estén en esa lista, y el resto de equipos tendrán restringido todo.

- Al activar el DMZ, todas las peticiones que lleguen al router serán enviadas al host que habremos indicado. El DMZ permite todo tipo de peticiones

- El mapeo de puertos solo permite las peticiones a los puertos que tengamos configurados, y equipos diferentes pueden ocuparse de distintos servicios

- Si tenemos activado el DMZ y el mapeo de puertos, prevalece el mapeo de puertos sobre el DMZ.

- Si al configurar el acceso remoto al router, ponemos un puerto que ya esta siendo utilizado, al intentar acceder al router a través de ese puerto (Ej: puerto 80), nos aparecerá el servicio en lugar de acceder al router (nos apareceria la página web del host que estuviera dando servicio http).