Fortalecimiento de la Seguridad transparent HTTP proxy with authentication

Perimetral en Infraestructuras policies.

GNU/Linux Mediante la
Implementación de Endian Firewall The methodology is based on console-based
administrative practices, ensuring traceability and
(EFW)
control over exposed services in corporate
environments. The results demonstrate how EFW
Autor: substantially improves security, allowing for
Jefferson Guillermo Méndez Rincón replicability in educational and business scenarios.
[email protected]
I. Introducción
Universidad Nacional Abierta y a
Distancia (UNAD) – Garantizar la seguridad perimetral en redes
computacionales se ha convertido en un objetivo
primordial en la administración moderna de
Resumen sistemas. Las amenazas cibernéticas, la exposición
de servicios críticos y la movilidad de usuarios
El presente artículo documenta la obligan a adoptar arquitecturas segmentadas,
implementación de un sistema de seguridad seguras y con monitoreo constante. Endian Firewall
perimetral utilizando la distribución (EFW), una distribución GNU/Linux especializada,
GNU/Linux Endian Firewall (EFW) dentro de permite implementar soluciones de seguridad
una arquitectura de red segmentada en completas que incluyen firewall, NAT, DMZ y proxy
zonas Verde (LAN), Naranja (DMZ) y Roja con autenticación.
(WAN). La solución propuesta integra reglas
de firewall, NAT, gestión de tráfico interzonal, En este trabajo se presenta la implementación de
bloqueo de protocolos y control de acceso a EFW sobre una infraestructura virtualizada,
través de un proxy HTTP no transparente con segmentando la red en zonas verde, naranja y roja,
políticas de autenticación. La metodología se y aplicando reglas específicas para permitir y
basa en prácticas administrativas desde restringir tráfico. El objetivo es demostrar la eficacia
consola, asegurando trazabilidad y control de EFW como herramienta de formación,
sobre los servicios expuestos en entornos administración y protección en entornos reales y
corporativos. Los resultados demuestran educativos.
cómo EFW mejora sustancialmente la
seguridad, permitiendo replicabilidad en
escenarios educativos y empresariales. II. Metodología
Palabras clave— Endian Firewall, seguridad
perimetral, proxy, DMZ, GNU/Linux, Se realizó una implementación paso a paso
autenticación, NAT. utilizando VirtualBox como entorno de virtualización.
La instalación y configuración de Endian Firewall
incluyó:
Abstract
1. Asignación de tarjetas de red: una por zona
This article documents the implementation of a (verde, naranja, roja).
perimeter security system using the GNU/Linux
Endian Firewall (EFW) distribution within a La asignación de tarjetas de red con un color por
network architecture segmented into Green zona (verde, naranja, roja) es una práctica común en
(LAN), Orange (DMZ), and Red (WAN) zones. la configuración de redes, especialmente en
The proposed solution integrates firewall rules, entornos que requieren seguridad o separación de
NAT, inter-zone traffic management, protocol tráfico. La tarjeta de red asignada a la zona verde
blocking, and access control through a non- generalmente se utiliza para la red local o intranet,

1
mientras que la tarjeta de la zona roja se utiliza para
la conexión a Internet o a redes externas. La zona
naranja puede ser utilizada para fines específicos,
como la red de invitados o para la separación de
tráfico de voz. [1]

El significado de los colores en la

asignación de tarjetas de red:[1]

Verde: Represents the local network or

Ilustración 2.interfaz de inicio de
intranet.[1]
instalaciòn del sistema Linux.
Fuente. Autoridad propia.
Naranja: Can be used for specific purposes
like guest networks or voice traffic
3. Aplicación de reglas NAT y políticas de
separation.[1]
firewall.
Roja: Represents the connection to the
internet or external networks.[1] ¿Qué es NAT (Network Address
Translation)?
Observe en la imagen las partes de una
tarjeta de red.[1] NAT es un mecanismo que traduce direcciones
IP privadas a direcciones IP públicas, y
viceversa. Es común en redes LAN cuando
múltiples dispositivos acceden a Internet a través
de una única IP pública.

Tipos de NAT:

• SNAT (Source NAT): Modifica la IP de

origen (típicamente usada para dar acceso
a Internet).
• DNAT (Destination NAT): Modifica la IP
Ilustración 1. Targeta de red.[2] de destino (típicamente usada para
publicar servicios internos, como un
2. Instalación básica del sistema desde ISO servidor web).
oficial. • Masquerading: Variante de SNAT
dinámica, común en conexiones con IP
Para llevar a cabo la instalación básica de dinámica.
un sistema operativo desde un archivo ISO
oficial, el primer paso es crear un medio de
Ejemplos:
arranque (USB o DVD) utilizando dicho
archivo. Después, se debe reiniciar el
• SNAT (salida a Internet):
equipo y configurar el arranque desde ese
medio en el menú de inicio. Una vez hecho
esto, solo queda seguir las instrucciones
que aparecen en pantalla para completar el 192.168.1.100 → 200.31.23.2 (traducción
proceso de instalación. al salir de la red).

A continuación observe la figura donde se

evidencia la instalación del sistema.

2
• DNAT (publicación de servicios):

200.31.23.2:80 → 192.168.1.100:80
(redirecciona una petición externa a un
servidor interno).

¿Qué son las políticas de firewall?

Un firewall es un sistema que controla el

tráfico de red según reglas de seguridad Ilustración 3.Configuración de proxy.
definidas. Las políticas de firewall Fuente. Autoridad propia.
determinan qué tráfico está permitido y cuál
está bloqueado, según:
5. Verificación de reglas con comandos de
• Dirección (entrada/salida) consola y herramientas de diagnóstico.
• IPs origen/destino
• Puertos y protocolos (TCP, UDP,
ICMP)
• Interfaces de red

Tipos de políticas comunes:

• Permitir acceso HTTP/HTTPS

desde LAN a Internet.
• Bloquear todo tráfico entrante
excepto servicios publicados (como
SSH, HTTP). Ilustración 4.Verificación de reglas con
• Permitir tráfico VPN cifrado. comandos de consola y herramientas de
diagnóstico.

4. Configuración de proxy HTTP con listas Fuente. Autoridad propia.

negras.
Cada fase fue documentada desde la
Para configurar un proxy es necesario terminal de GNU/Linux, utilizando
seguir el proceso de la ilustración 3. comandos como `iptables`, `ping`, `wget` y
revisión de archivos de log. Se garantizó
que no se usaran interfaces gráficas, como
lo exige la guía metodológica del curso.

3
III. Resultados. intrusiones (IDS/IPS), proxy, VPN y
herramientas de monitoreo, todo en un
Los resultados obtenidos evidencian una entorno unificado y gestionable.
adecuada segmentación de red y una
aplicación eficaz de políticas de seguridad. Las Una de las fortalezas más destacables de
pruebas mostraron: EFW radica en su flexibilidad de
administración. La posibilidad de gestionar la
- Segmentación funcional en las tres zonas. plataforma tanto mediante una interfaz web
intuitiva y accesible como a través de la
- NAT activa permitiendo navegación de LAN y consola mediante línea de comandos otorga
DMZ hacia WAN. una ventaja significativa para diferentes
perfiles de usuario. Esta característica dual
- Bloqueo efectivo del protocolo ICMP desde permite que tanto administradores
DMZ. experimentados como aprendices puedan
interactuar con la herramienta de acuerdo a
- Filtrado web mediante proxy HTTP y su nivel de competencia, facilitando su
autenticación de usuarios. adopción en contextos tanto empresariales
como académicos.
Cada resultado fue respaldado con evidencia
de consola, capturas de pantalla y registros del En entornos empresariales, EFW ofrece una
sistema. plataforma sólida para establecer políticas de
seguridad consistentes, implementar
segmentación lógica de redes, y controlar el
acceso a recursos internos y externos
mediante filtros de tráfico altamente
configurables. La estabilidad del sistema,
junto con su soporte para actualizaciones
periódicas, lo posiciona como una solución
sostenible para medianas y pequeñas
empresas que requieren una capa de
seguridad sin recurrir a costosas licencias de
software propietario.
Ilustración 5. Conexión LAN del
Desde una perspectiva académica, Endian
sistema.[2]
Firewall constituye una herramienta
pedagógica de gran valor para la formación
en ciberseguridad, redes y administración de
IV. análisis de resultados. sistemas. Su estructura abierta y el acceso al
backend mediante consola permiten a los
estudiantes interactuar directamente con los
mecanismos de control y protección,
Endian Firewall (EFW) se ha consolidado
comprender el funcionamiento interno de
como una solución robusta, escalable y
servicios críticos, y aplicar buenas prácticas
altamente confiable para la gestión integral
en la configuración de firewalls, gestión de
de la seguridad perimetral en entornos
tráfico y autenticación de usuarios.
heterogéneos. Su diseño modular le
permite adaptarse a diversas topologías y
necesidades operativas, proporcionando Además, el soporte para la definición de
múltiples zonas de red (Green, Orange, Blue,
Red) y la implementación de servicios como
funcionalidades avanzadas que integran
el proxy HTTP con autenticación integrada
cortafuegos, detección y prevención de

4
proporcionan un entorno idóneo para simular a la seguridad por zonas, proporciona una
escenarios reales de seguridad. Esto base sólida para la segmentación de redes, lo
enriquece el proceso de aprendizaje y que resulta esencial para mantener un entorno
permite a los participantes adquirir controlado y confiable.
competencias directamente transferibles al
ámbito profesional. Uno de los principales logros alcanzados ha
sido la correcta configuración de las zonas de
En conclusión, la implementación de EFW red (Green, Orange, Blue y Red), las cuales
no solo ha demostrado ser técnicamente permiten establecer barreras lógicas entre
viable y funcional, sino que también ha segmentos con diferentes niveles de seguridad
evidenciado su valor como recurso y exposición. Esta segmentación facilita tanto
educativo de alto nivel. Su adopción en el aislamiento de servicios internos como la
laboratorios de formación, así como su creación de políticas de acceso diferenciadas,
aplicación en entornos productivos, asegurando que los recursos sensibles se
refuerza su posicionamiento como una mantengan protegidos frente a accesos no
solución integral, eficiente y alineada con autorizados o amenazas externas.
los principios del software libre, la
trazabilidad operativa y la seguridad
informática contemporánea.
Referencias

La posibilidad de segmentar servicios • Endian Team. Endian UTM 3.2 Manual.

críticos en una DMZ aislada refuerza la http://docs.endian.com/3.2/utm/index.ht
protección de activos y reduce el riesgo de ml
intrusión. Además, el uso de políticas de • https://www.virtualbox.org/manual/
acceso mediante proxy permite controlar el • Debian Project. Manual del
comportamiento de los usuarios dentro de la administrador de Debian.
red. https://www.debian.org/releases/stable/a
md64/index.es.html
Los hallazgos del presente trabajo sugieren • LPI. Linux Essentials Tema 102.
que el uso de herramientas open source, https://learning.lpi.org/es/learning-
cuando se implementan con metodologías materials/101-500/102/
sólidas, puede alcanzar estándares de • Canonical. Ubuntu Server
seguridad comparables a soluciones Documentation. https://help.ubuntu.com/
comerciales.

V. Conclusiones

Se concluye que:

La implementación de Endian Firewall en un

entorno GNU/Linux ha permitido demostrar la
eficacia de las soluciones de seguridad
perimetral basadas en software libre. A través
de su interfaz intuitiva y su arquitectura
modular, esta distribución facilita la
administración centralizada de múltiples
servicios críticos para la protección de redes
corporativas o educativas. Su capacidad de
gestión, combinada con un enfoque orientado