3 Codsp Hardening Pfsense

Certified Offensive and Defensive Security Professional
(CODSP)
Hardening de Dispositivos de red

(Firewalls)
© www.dsteamseguridad.com
(CODSP)
Defensa – Seguridad en Redes: «Hardening de Firewalls»
Hardening.
Definición: Es un termino bastante asociado con la tecnologías de la
información, y en especial con todo lo referente a terminología
relacionada con seguridad Informática.
También entendido como Endurecimiento o Fortalecimiento, el
Hardening consiste en fortalecer a unos niveles (En ocasiones
Paranoicos), los niveles de seguridad y protección de un sistema de
información, y/o sus respectivos componentes, con el propósito de
minimizar el nivel de exposición y riesgos frente a amenazas informáticas.
http://en.wikipedia.org/wiki/Hardening_%28computing%29
(CODSP)
Hardening de Dispositivos de Red.
Teniendo presente y de forma secuencial lo que es el concento de
Hardening, Hardening de Dispositivos de red se refiere al proceso de
aplicar y aumentar los niveles de seguridad de un dispositivos de red.
Entre Algunas de las tareas y/o labores clasificadas como Hardening a
Dispositivos de red, se encuentran:
 Aplicación de Parches-Actualizaciones
 Revisión Configuraciones por defecto
 Control de servicios
 Versiones antiguas de S.O y Servicios de red
 Revisión de Firmware
 Control de acceso
 Contraseñas Seguras
 Copias de seguridad © www.dsteamseguridad.com
(CODSP)
Prueba de Concepto: Instalación y Hardening de un Firewall Perimetral.
Para poder entender de una forma mas adecuado el termino de Hardening de
Firewalls, la siguiente prueba de concepto ilustra un ejemplo claro de
Hardening.
De forma secuencial ,las siguientes son las actividades para ejecutar la prueba
de concepto y/o Ejemplo Practico.
 Seleccionando el Software-Hardware
 Planeación y necesidades
 Arquitectura de red
 Instalación y puesta en marcha
 Hardening de Firewalls
(CODSP)
Seleccionando el Software-Hardware: La primera actividad de la prueba de
conceptos, es la elección del Hardware y Software. Para el caso de este
ejemplo, se hace un énfasis representativo en el Software, ya que el tema de
Hardware es virtualizados, sin embargo se mencionan algunos tips
(recomendaciones) para la elección del Hardware.
El Software seleccionado como Firewall Perimetral dedicado, e s la solución
Firewall PFSENSE.
https://www.pfsense.org/
(CODSP)
Seleccionando el Software-Hardware- Porque PFSENSE: Una solución
Firewall mas profesional, compacta, y que tenga valores agrados que las
soluciones Firewall de la versión CODSP del curso no tienen.
(CODSP)
Qué es PFSENSE: Es una solución dedicada Firewall –Hardware de red, el cual
esta soportado en el sistema operativo FreeBSD.
Algunas de las características de esta solución, se encuentran:
 De forma nativa es un Firewall- VPN Server Dedicado a nivel Hardware

 Pueden incluirse paqueteas adicional de terceras partes, lo cual lo
convierte en un servidor de red, UTM, entre otros
 Tiene una versión Gratuita y otra comercial
 La versión gratuita es muy potente
 Similar administración al Firewall Monowall
 Libre para la descarga y uso, no requiere licencia
(CODSP)
PFSENSE- características Generales:
Las características y el soporte técnico de la

solución Firewall, dependen en gran
porcentaje, de si la solución de comercial o
versión Gratuita.
Fuente:
https://www.pfsense.org/about-
pfsense/features.html#and-more
(CODSP)
PFSENSE- características especificas y Módulos: A nivel Firewall y VPN Server
(CODSP)
PFSENSE- características especificas y Módulos: A nivel de Servicios
(CODSP)
PFSENSE- Características especificas y Módulos: A nivel de Monitoreo y
Diagnósticos
(CODSP)
Defensa – Seguridad en Redes: «Hardening de Firewalls» 190.2.2.2
SRV2. SRV 3 Servidor Correo
SRV1. 192.168.X.5
192.168.X.20 192.168.X.250 (TCP-8090) 3
(8090) FW-Pfsense
Modem DSL-
Empresarial-
4 Bridge
1
WAN-
201.232.2.2/24 VPN
GW-
192.168.X.1
Nube-
Static x220-240 Internet
IP Se recibe por
Director
DHCP
Informática
192.168.40.100-
200 192.168.X.40
Director
Operaciones
Financieras
Interfaces FW: Red Lan 192.168.X.12
1- LAN 192.168.40.0/24
2-WAN © www.dsteamseguridad.com Usuario (s)
Atacante
3-Administracion Tener presente indicaciones VMWARE-Interfases Legitimo
(CODSP)
Defensa – Seguridad en Redes: «Hardening de Firewalls» 190.2.2.2
Servidor Correo
SRV1. SRV2. SRV 3
92.168.40.222 192.168.55.7 192.168.55.9 3
FW-Pfsense
Modem DSL-
Empresarial-
4 Bridge
1
WAN-
201.232.2.2/24
GW-
192.168.X.1
Nube-
Static x220-240 Internet
IP Se recibe por
Director
DHCP
Informática
192.168.X.100-
200 192.168.40.25
Director
Operaciones
Financieras
Interfaces FW: Red Lan 192.168.22.122
1- LAN 192.168.55.0/2
2-WAN 4 © www.dsteamseguridad.com Usuario (s)
Atacante
3-Administracion Tener presente indicaciones VMWARE-Interfases Legitimo
(CODSP)
Planeación y Necesidades: Respecto a las necesidades, y por consecuente a la
planeación de la instalación, se tiene lo siguiente:
 Se tiene un servidor de correo interno (SRV1), el cual presta el servicio de correo
interno y externo. (2003-2008)
 Los usuarios de la red local solo deben de enviar y recibir correo por el servidor
interno (SRV1).
 El DNS server (SRV1), es el único autorizado a resolver al exterior, el resto de
usuarios lo hacen al propio server (SRV1)
 Los usuarios de la red local, solo pueden salir a internet a servicios de
navegación y (Navegación segura).
 Los usuarios de la red (static X-220-240) pueden tener correo electrónico con el
servidor de correo externo 190.2.2.2) Correo, y correo seguro, a nivel de POP3,
SMTP, e IMAP, webmail)--Seguros
 (SRV1), se le permite trafico SMTP a cualquier destino
(CODSP)
Planeación y Necesidades: respecto a las necesidades, y por consecuente a la
planeación de la instalación, se tiene lo siguiente:
 IP Director de Informática 192.168.X.25, tiene salida a puertos especiales
(3389,22,23,5900)
 IP Director de operaciones financieras 192.168.X.122, tiene salida a puertos
especiales (8080 DIAN Muisca)
 (SRV1) debe de tener publicado el puerto 25-SMTP (desde cualquier lugar) y el
3389-RDP-------megatron
 (SRV2, debe de tener publicado el puerto 21, y el 3389 (Otra Puerto-3390).--2008
 (SRV3), debe de tener publicado el puerto 80 desde la IP 190.2.2.9(192.168.1.55)-
2008
 IP Director de operaciones financieras 192.168.40.26, tiene entrada a puerto
5900, (Soporte remoto VNC) ---Metasploitable .
(CODSP)
Instalando PFSENSE: …Manos a la Obra
 Se recomienda instalar el
paquete vm-tools en PF-sense.
 Colocarle al Firewall los DNS de
Google 8.8.8.8 8.8.4.4
 El usuario root esta
sincronizado con el usuario
admin de pfsense, que es el que
administre el firewall por web
Regla que viene por defecto en pfsense: La regla de denegar

todo, esta prácticamente invisible al final de todas las reglas.
(CODSP)
Labores de Hardening: Una vez se tenga instalado el Firewall, según las
necesidades del cliente, estas son las actividades propias de endurecimiento
(Hardening) del Firewall
 Asegurar que desde una IP especifica se realice la administración del Firewall
 Cambiar puerto por defecto de Administración del Firewall-4443-tcp
 Hacer una copia de seguridad del Firewall (Cifrada y Con Hash)-El cifrado puede
ser interno, externo, o ambos.—Ojo con los ataques al backup sin cifrar
 Poner una contraseña al acceso físico a la consola
 Asignar una contraseña fuerte al usuario admin
 Hacer un disable a la redirección del puerto 80 al puerto SSL por pfsense
 Validación de versión del PFSENSE---
 Optimizar los logs
 Borrado (disable) de reglas por defecto
 Habilitar o tener asegurado el protocolos SNMP para temas de monitoreo y
disponibilidad
(CODSP)
Labores de Hardening: Una vez se tenga instalado el Firewall, según las
necesidades del cliente, estas son las actividades propias de endurecimiento
(Hardening) del Firewall
 Validar que las reglas del firewall sean las adecuadas
 Validar puertos abiertos en la WAN-LAN (Si son los adecuados)
 Borrado de los states existentes. Los states son las conexiones activas de clientes
con el firewall (Esto aplica para cuando se modifica o adecua una nueva regla).
 Deshabilitar el usuario «admin» por defecto
 Crear un nuevo usuario de administración, con privilegios similares al del usuario
admin
 Habilitar SYSLOG
 Habilitar y Asegurar el acceso SSH (puerto Diferente)

3 Codsp Hardening Pfsense

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

3 Codsp Hardening Pfsense

Hochgeladen von

Copyright:

Verfügbare Formate

Certified Offensive and Defensive Security Professional

Hardening de Dispositivos de red

 De forma nativa es un Firewall- VPN Server Dedicado a nivel Hardware

Las características y el soporte técnico de la

Regla que viene por defecto en pfsense: La regla de denegar

Das könnte Ihnen auch gefallen