Tema 4 SAD CONFIGURACIÓN ROUTER-FIREWALL Vicente Sánchez Patón I.E.S Gregorio Prieto Tema 4 SAD Configura un router-firewall utilizando los simuladores correspondientes: a) Router DLINK: http://support.dlink.com/emulators/di604_reve La interfaz del router es la siguiente. Para configurar el firewall es este router nos dirigimos a la pestaña “advanced” (parte superior de la apantalla), una vez allí le daremos a la pestaña “firewall” (parte izquierda de la pantalla). En la anterior pantalla vemos 6 partes, las explicaremos a continuación, la configuración firewall de este router se base en ACL’s: La 1º parte corresponde a un botón de radio el cual marcaremos “enable” para activar la ACL y un cuadro de teto donde pondremos el nombre de la misma. La 2º parte son dos botones de radio, los cuales marcan la acción que tomara la ACL, es decir si permitimos (allow) o denegamos (deny) la configuración de la ACL. En la 3º parte configuraremos la interfaz a la que aplicamos al ACL, así como las IP’s que están involucradas, el protocolo y los puertos que se usan en la comunicación, todo esto tanto en origen como en destino. En la 4º parte podemos configurar, si lo habilitamos, opciones de tiempo, como que días y a qué horas aplicar las ACL’s. Para guardar la ACL están la 5º parte donde vemos los botones de “apply” (guardar), “cancel” (cancelar) y “help” (ayuda). Y la ultima parte es la lista de las ACL’s configuradas en el router. b) Router LINKSYS: http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm La interfaz por defecto es la siguiente. Tenemos dos pestañas para configurar firewall en este router, la primera es la pestaña “security” situada en la parte superior de la ventana anterior, en esta nueva pestaña encontraremos dos opciones “firewall” o “vpn”, elegimos la pestaña de firewall, allí veremos varias opciones, las cuales son: 1º Firewall Protection Activar o desactivar el cortafuegos SPI. 2º Block WAN Request Al habilitar la función Bloquear WAN Request, usted puede evitar que su red sea "pinged", o detectado, los usuarios de internet. La función Bloquear WAN Request también refuerza la seguridad de su red al ocultar los puertos de red. Ambas funciones de la función Bloquear solicitud de WAN que sea más difícil para los usuarios externos para trabajar su camino en la red. Esta función está activada de forma predeterminada. Desmarque para desactivar esta función. 3º Filter Multicast Active esta opción si no desea recibir tráfico multicast que se envían a veces por su ISP. 4º Filter Internet NAT Redirection Esta función utiliza el reenvío de puertos para impedir el acceso a los servidores locales desde ordenadores de la red local. 5º Filter IDENT (Port 113) Prevents outside intruders from attacking the router through the internet using service port 113. Select Enable to prevent attack through this service port. However, some applications may require this service port to be available. If needed, uncheck to allow those applications to work. Otra ventana para la configuración de firewall de este router es la que corresponde a la pestaña “Access Restrntions” (ACL’s). Esta ventana está dividida en nueve partes, explicaremos cada una de ellas. 1º Internet Access Policy Puede definir hasta 10 políticas de acceso. Haga clic en Eliminar para eliminar una política o Resumen para ver un resumen de la póliza. 2º Status Activar o desactivar una directiva. 3º Enter Policy Name Puede asignar un nombre a la política. 4º Policy type Elija de acceso a Internet o el tráfico entrante. En esta opción al darle al botón saldrá una nueva ventana. En la pantalla Lista de PCs, PCs especificar la dirección IP o dirección MAC. Introduzca las direcciones IP correspondientes a los campos IP. Si usted tiene un rango de direcciones IP para filtrar, complete los campos IP adecuadas área de distribución. Introduzca las direcciones MAC correspondientes en los campos MAC. 5º Days Escoja el día de la semana que le gustaría que su política a aplicar. 6º Times Ingrese la hora del día en que le gustaría que su política de aplicar. 7º Blocked services Usted puede optar por bloquear el acceso a determinados servicios. Haga clic en Agregar / Editar servicios de modificar estos ajustes. 8º Website Blocking by URL Puede bloquear el acceso a ciertos sitios web introduciendo su URL. 9º Website Blocking by keyword Puede bloquear el acceso a determinado sitio web por las palabras clave que figuran en su página web. c) Router TP-LINK: http://www.tp-link.com/Resources/simulator/WR842ND(UN)1.0/index.htm La interfaz por defecto del router es la siguiente. Para configurar el firewall en este roter nos dirigimos a la pestaña “Security”, “Advance security”, nos encontraremos en la siguiente ventana. Esta seguridad es para proteger el router de ser atacado por TCP-SYN Flood, UDP e ICMP Flood. El significado de cada una de las configuraciones es la siguiente. 1º Packets Statistics Interval El valor por defecto es 10. Seleccione un valor entre 5 y 60 segundos en la lista desplegable. La Estadística paquetes valor de intervalo indica el intervalo de tiempo de la estadística de los paquetes. El resultado de la estadística para el análisis de SYN Flood, UDP e ICMP Flood. 2º DoS Protection Activar o desactivar la función de protección DoS. Sólo cuando está activada, los filtros de inundación esté habilitado. 3º Enable ICMP-FLOOD Attack Filtering ICMP-FLOOD Umbral de Paquetes (5 ~ 3600) - El valor predeterminado es 50. Introduzca un valor entre 5 ~ 3600. Cuando la corriente ICMP-FLOOD Packets es el número más allá del valor configurado, el router se inicio la función de bloqueo inmediatamente. 4º Enable UDP-FLOOD Filtering UDP-FLOOD Umbral de Paquetes (5 ~ 3600) - El valor predeterminado es 500. Introduzca un valor entre 5 ~ 3600. Cuando la corriente UPD-FLOOD Packets es el número más allá del valor configurado, el router se inicio la función de bloqueo inmediatamente. 5º Enable TCP-SYN-FLOOD Attack Filtering TCP-SYN-FLOOD paquetes Threshold (5 ~ 3600) - El valor predeterminado es 50. Introduzca un valor entre 5 ~ 3600. Cuando los actuales TCP-SYN- FLOOD Packets números está más allá del valor configurado, el router se inicio la función de bloqueo inmediatamente. 6º Ignore Ping Packet From WAN Port Activar o Desactivar ignorar paquetes Ping desde el puerto WAN. La configuración por defecto está desactivada. Si se activa, el paquete de ping de Internet no se puede acceder al router. 7º Forbid Ping Packet From LAN Port Activar o Desactivar Ping Packet Forbid Desde el puerto LAN. La configuración por defecto está desactivada. Si se activa, el paquete de ping de LAN no puede acceder al router. (Protege contra algunos virus). Este router también permite configurar ACL’s, están están ubicadas en la pestaña “Parental Control”. 1º Control Parental Seleccione Activar si desea que esta función tenga efecto, de lo contrario comprobar Desactivar. 2º Dirección MAC del PC Parental En este campo, introduzca la dirección MAC de la PC de control, o puede utilizar el botón Copiar a continuación. 3º Dirección MAC de su PC Este campo muestra la dirección MAC del PC que va a administrar este router. Si la dirección MAC de su adaptador está registrado, puede hacer clic en el botón Copiar a arriba para llenar esta dirección a la dirección MAC del PC Parental campo anterior. 4º Sitio Web Descripción Descripción de la página web permitida para el PC controlado. 5º Programa El período de tiempo permitido para el PC controla para acceder a Internet. Para más información, por favor diríjase a Control de Acceso> Programación. 6º Activar Active esta opción para habilitar una entrada específica. 7º Modificar Aquí se puede editar o borrar una entrada existente.