Abrir y cerrar puertos desde netscreen
Mi nombre es Raúl Apaza, y tengo un firewall netscreen, necesito abrir y cerrar determinados puertos y no se como hacerlo, ¿me puedes echar una manito? Muchas gracias. Seguramente es una bicoca, pero mis conociemitos en redes con muy mínimos.
1 Respuesta
Respuesta de xmorueco
1
Como no sé seguro la versión de NetScreen que puedes tener, te doy una pequeña guía de iniciación para que sepas de que estamos hablando.
La primera parte es entrar vía web, ya que te será más fácil al principio para administrar el firewall... una vez introducido usuario y password entraras a un interfaz de administración muy intuitivo... ya verás que no tiene complicación.
Las partes que necesitas conocer para abrir y cerrar puertos son:
Lists->Address
En esta parte puedes introducir hosts o grupos de hosts, tanto los que pertenecen a tu parte interna de la red (Trusted) como los que son externos a tu red o en los que no puedes confiar (Untrusted)
Una vez añadido aquí los hosts o grupos de hosts que necesites, puedes empezar a crear reglas en:
Network->Policy
Aquí crearás reglas de inbound o Outbound. Debes tener en cuenta que la mejor forma de administrar un firewall desde mi punto de vista es denegar todo acceso y permitir sólo aquello que necesites. Debes también conocer y tener conceptos básicos de protocolos para saber si un puerto solamente hace falta que sea de entrada o también es necesario permitir mediante reglas outbound para que el host interno conteste.
Como no sé muy bien que reglas quieres añadir, te aconsejo que mires la ayuda que hay online en el interfaz del firewall, parece una tontería pero normalmente es útil incluso para recordar cosas... ;)
Si tienes alguna duda me lo comentas...
La primera parte es entrar vía web, ya que te será más fácil al principio para administrar el firewall... una vez introducido usuario y password entraras a un interfaz de administración muy intuitivo... ya verás que no tiene complicación.
Las partes que necesitas conocer para abrir y cerrar puertos son:
Lists->Address
En esta parte puedes introducir hosts o grupos de hosts, tanto los que pertenecen a tu parte interna de la red (Trusted) como los que son externos a tu red o en los que no puedes confiar (Untrusted)
Una vez añadido aquí los hosts o grupos de hosts que necesites, puedes empezar a crear reglas en:
Network->Policy
Aquí crearás reglas de inbound o Outbound. Debes tener en cuenta que la mejor forma de administrar un firewall desde mi punto de vista es denegar todo acceso y permitir sólo aquello que necesites. Debes también conocer y tener conceptos básicos de protocolos para saber si un puerto solamente hace falta que sea de entrada o también es necesario permitir mediante reglas outbound para que el host interno conteste.
Como no sé muy bien que reglas quieres añadir, te aconsejo que mires la ayuda que hay online en el interfaz del firewall, parece una tontería pero normalmente es útil incluso para recordar cosas... ;)
Si tienes alguna duda me lo comentas...
Hola, no estoy seguro si te llego mi respuesta, pues me pareció un poco rara la pantalla posterior a mi envío, de todas formas nuevamente te agradezco el haber respondido mi pregunta.
Te comentaba que en mi trabajo tenemos un firewall netscreen cuya administración temporalmente estará a mi cargo (tenía que tocarle a quien menos conoce de estos bichos) pero bueno, en primer lugar hemos creado los grupos de usuarios dentro de la empresa, y tenemos que habilitarles horarios de uso, es decir, cierto grupo deberá poder acceder a internet en la mañana, otros en la tarde y otros todo el día. Por otro lado, cierto grupo deberá tener acceso a msn messenger y otro no, ahí es donde estoy perdido con esto de los puertos pues me dijeron que necesito eso para bloquear msn verdad. Por otro lado mi "querido" jefe quiere tener además acceso total, supuestamente para usar software p2p como edonkey, kazaa, imesh y qué se yo qué más quiere instalarse, ya le explique los riesgos, pero aún así lo quiere. Obviamente para todo el resto de usuarios debe estar bloqueado. Por mi cuenta, requiero habilitar ciertos puertos (ya me los dieron) para acceder a cpanel (para controlar nuestro hosting) pero ahí surge mi otra duda, no se a que se refieren los puertos de origen y los de destino, cual su diferencia, y en cuál rango debo incluir los puertos que me indicaron que habilite.
Perdón por pedir tanta aclaración, pero realmente mis conocimientos al respecto son muy limitantes.
Gracias por todo.
Raul Apaza
Te comentaba que en mi trabajo tenemos un firewall netscreen cuya administración temporalmente estará a mi cargo (tenía que tocarle a quien menos conoce de estos bichos) pero bueno, en primer lugar hemos creado los grupos de usuarios dentro de la empresa, y tenemos que habilitarles horarios de uso, es decir, cierto grupo deberá poder acceder a internet en la mañana, otros en la tarde y otros todo el día. Por otro lado, cierto grupo deberá tener acceso a msn messenger y otro no, ahí es donde estoy perdido con esto de los puertos pues me dijeron que necesito eso para bloquear msn verdad. Por otro lado mi "querido" jefe quiere tener además acceso total, supuestamente para usar software p2p como edonkey, kazaa, imesh y qué se yo qué más quiere instalarse, ya le explique los riesgos, pero aún así lo quiere. Obviamente para todo el resto de usuarios debe estar bloqueado. Por mi cuenta, requiero habilitar ciertos puertos (ya me los dieron) para acceder a cpanel (para controlar nuestro hosting) pero ahí surge mi otra duda, no se a que se refieren los puertos de origen y los de destino, cual su diferencia, y en cuál rango debo incluir los puertos que me indicaron que habilite.
Perdón por pedir tanta aclaración, pero realmente mis conocimientos al respecto son muy limitantes.
Gracias por todo.
Raul Apaza
Como es bastante complicado explicarte toda la teoría por aquí. Te voy a dar guías para que puedas formarte sobre el tema. Puedes buscar manuales de TCP/IP en la Web que te permitirán aprender más el concepto de IPs y PUERTOS, y como estos identifican una conexión concreta.
Te paso un link como inicio y base, aunque hay más y mejores, aunque también más extensos y que requieren más tiempo.
http://www.saulo.net/pub/tcpip/
Esto respecto a TCP/IP y la base. Ahora vamos a NetScreen, no sé muy bien que versión tendrás, pero es posible que no puedas hacer lo que me dices para permitir acceso a nivel de usuarios, ya que necesitarías tener algún servidor de RADIUS o algo similar y esto complica las cosas... como me has comentado que no tienes muchos conocimientos sobre el tema, te voy a dar una solución más sencilla.
Puedes crear grupos en el firewall NetScreen, dentro de estos grupos tendrás que incluir direcciones IP de máquinas de tu red, así puedes segmentar por grupos:
Usuarios, Usuarios_Avanzados, Dirección, Programadores, etc... según quieras dividir y en cada grupo asignar las máquinas que pertenecen, después deberás asignar a que puertos han de tener acceso para salir ... lo de los puertos no es más que los servicios que han de acceder, por ejemplo HTTP->80
HTTPS->443
SMTP->25
DNS->53
FTP->21
TELNET->23
IMAP->143
POP3->110
Puedes ver todos los servicios y sus puertos asociados en cualquier fichero services de cualquier UNIX (/etc/services) o Windows(C:\%SystemROOT%\system32\drivers\etc\services)
Con esto no tendrás 100% seguridad de accesos, ya que si alguien se pone en otra máquina tendrá acceso a lo que aquella IP esté configurado, pero por lo menos es una solución sencilla de administrar y que te servirá para comenzar.
Espero haberte ayudado y no te preocupes por preguntar...
AH! Y tranquilo por el nuevo reto... recuerda que no hay mal que por bien no venga y todo esto es cultura e información que te servirá en un futuro, tanto como para currículo como en experiencia...
Te paso un link como inicio y base, aunque hay más y mejores, aunque también más extensos y que requieren más tiempo.
http://www.saulo.net/pub/tcpip/
Esto respecto a TCP/IP y la base. Ahora vamos a NetScreen, no sé muy bien que versión tendrás, pero es posible que no puedas hacer lo que me dices para permitir acceso a nivel de usuarios, ya que necesitarías tener algún servidor de RADIUS o algo similar y esto complica las cosas... como me has comentado que no tienes muchos conocimientos sobre el tema, te voy a dar una solución más sencilla.
Puedes crear grupos en el firewall NetScreen, dentro de estos grupos tendrás que incluir direcciones IP de máquinas de tu red, así puedes segmentar por grupos:
Usuarios, Usuarios_Avanzados, Dirección, Programadores, etc... según quieras dividir y en cada grupo asignar las máquinas que pertenecen, después deberás asignar a que puertos han de tener acceso para salir ... lo de los puertos no es más que los servicios que han de acceder, por ejemplo HTTP->80
HTTPS->443
SMTP->25
DNS->53
FTP->21
TELNET->23
IMAP->143
POP3->110
Puedes ver todos los servicios y sus puertos asociados en cualquier fichero services de cualquier UNIX (/etc/services) o Windows(C:\%SystemROOT%\system32\drivers\etc\services)
Con esto no tendrás 100% seguridad de accesos, ya que si alguien se pone en otra máquina tendrá acceso a lo que aquella IP esté configurado, pero por lo menos es una solución sencilla de administrar y que te servirá para comenzar.
Espero haberte ayudado y no te preocupes por preguntar...
AH! Y tranquilo por el nuevo reto... recuerda que no hay mal que por bien no venga y todo esto es cultura e información que te servirá en un futuro, tanto como para currículo como en experiencia...
Realmente te agradezco mucho por la información brindada y por tus buenos deseos, me pondré ahora mismo a estudiar sobre el tema y en cualquier momento te vuelvo a molestar. Deseo que te vaya muy bien también en todas tus actividades.
