Exploration 4. Capitulo 5.

Firewalls. Filtrado de paquetes. ACL

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Cortafuegos (Firewalls)
Dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que deben y los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Crea un permetro de se uridad y defensa de la or anizaci!n que prote e. "l definir un permetro, el sistema cortafue os normalmente opera tambi#n como $"% ($et&or' "ddress %raslation) y como (roxy (servidor multipasarela).
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Tipos de firewalls
)iltrado de paquetes b*sico )iltrado con Inspecci!n de estados (+(I) "pplication ,evel )ire&alls o "pplication ,evel filter (",-)

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes. ACL (Listas de control de acceso)

+on una t#cnica de filtrado de paquetes, que consiste en una lista de !rdenes o re las e.ecutadas secuencialmente a la entrada y/o salida de cada paquete en las interfaces de un router, con las opciones de permitir o bloquear. (permit o deny en Cisco, accept o drop en ,inux) Con ello permitimos o dene amos la entrada o salida de paquetes en funci!n de las direcciones I( (a nivel 0) o en funci!n del puerto (a nivel 1) o cualquier otro campo de estas cabeceras (nivel 0 o nivel 1) +e traba.a con polticas por defecto 2.emplos3 IPTables en Linux ACL s ! ACL s extendidas en Cisco ACL s de otros fabricantes de "outers

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes b#sico

4enta.as3 $isponible en casi cualquier router ! en %uc&os siste%as operati'os (frece un alto rendi%iento para redes con una carga de tr#fico ele'ada Inconvenientes3 al procesarse los paquetes de for%a independiente) no se guarda ninguna informaci!n de contexto (no se al%acenan &ist*ricos de cada paquete)) ni se puede anali+ar a nivel de capa de aplicaci!n) dado que est# i%ple%entado en los routers. ,on dif-ciles de seguir en e.ecuci*n
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Puertos

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Pol-ticas por defecto

+e parte de 5 premisas totalmente opuestas3 (ro6ibir todo lo que no esta especficamente permitido.
,e deniega el acceso por defecto ! el ad%inistrador debe especificar las conexiones que est#n per%itidas. Pero esta soluci*n ta%bi/n tiene sus proble%as0

,i un cliente inicia una sesi*n TCP a un ser'icio externo) escoger# un puerto no reser'ado (12345)) con lo cual cuando conteste el ser'idor al cliente utili+ando su puerto) el cortafuegos pueda i%pedir (si s*lo per%ite la entrada a puertos conocidos) la entrada a dic&o puerto 6desconocido7 (el que escogi* el cliente).

(ermitir todo el tr*fico excepto el especficamente dene ado

8sta propuesta es %#s flexible ! los usuarios disponen de %a!or n9%ero de ser'icios) pero no es %u! efecti'a0

8l n9%ero de puertos conocidos es grande ! crece r#pida%ente) ! esto requiere que el ad%inistrador este continua%ente actuali+ando la lista. :uc&o tr#fico de Internet no se dirige a un puerto conocido) es decir) %uc&os progra%adores pueden elegir el puerto que deseen para sus aplicaciones cliente ser'idor. La lista de puertos de ser'icios conocidos) de.a al firewall 'ulnerable frente al tunneling.

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Cortafuegos de Inspecci*n de estados (,PI)

%ambien llamados +tateful fire&all o +tateful 7ultilayer inspection o stateful pac'et inspection (+(I) o stateful inspection
;n ,tateful Firewall es un tipo de firewall que %antiene un segui%iento del estado de las conexiones de red (co%o los paquetes TCP) que pasan a tra'/s de /l. 8st# progra%ado para conocer que paquetes leg-ti%os pertenecen a los diferentes tipos de conexiones. ,olo los paquetes que concuerdan con un estado de conexi*n conocido estar#n per%itidos para atra'esar del firewall Interna%ente se define una tabla de sesiones per%itidas (tanto TCP co%o ;$P)) donde el paquete de conexi*n inicial (por e.e%plo en TCP el pri%er seg%ento se en'-a con bit AC<=3 ! ,>?=2) se co%prueba contra las reglas) ! si est# per%itido se apunta en la tabla de sesiones ! tras ello) los paquetes siguientes de la %is%a sesi*n se de.an pasar.
8.e%plo0 apertura de FTP en %odo Acti'o

8n la practica) se suele encontrar co%o una funcionalidad a@adida a los routers de filtrado de paquetes. Por e.e%plo) el siste%a iptables incorpora esta funci*n.
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Application Le'el Firewalls (ALA). Proxies

%ambi#n conocido como "plication ,evel -ate&ay (",-) o "pplication -ate&ay o 8astiones 9ost. 2stos fire&all son capaces inspeccionar 6asta el nivel de aplicaci!n. 2s considerado como el m*s se uro. %odas las conexiones se realizan a trav#s del fire&all. 4enta.as3
?o per%ite conexiones directas (es decir %antiene en secreto la identidad de los interlocutores) ,oporta autenticaci*n a ni'el de usuario. Anali+a los co%andos de la aplicaci*n dentro de la carga del paquete (pa!load) :antiene bit#coras extensas de tr#fico ! acti'idad espec-fica.

Desventa.as3
,on %#s lentos (tienen que anali+ar todo) por lo tanto se requiere %as cantidad de Bardware para anali+ar el tr#fico del canal. Pueden no soportar ciertos tipos de conexi*n.
Rogelio Montaana Juan Carlos Nuo Febrero 2014

"ed con $:C

Internet

:;.<.<.< D$+, 7ail "ed interna (fuerte%ente protegida)

:;.<.<.5 )%(

:;.<.<.0 9%%(

Cona des%ilitari+ada o $:C (red D3.2.2.3E4F)

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

Las ACL o Listas de control de acceso son el %/todo utili+ado por Cisco para reali+ar filtrado de paquetes) es decir) para actuar de cortafuegos. Pueden actuar a ni'el de direcciones) protocolos ! puertos0 capas 5 ! F. Cada "C, es un con.unto de sentencias (accessGlist) que especifican que paquetes se deben filtrar 2l con.unto de sentencias (access= roup) se aplica sobre una interface ) distinguiendo tanto el sentido de entrada co%o de salida ,as "C, se deben definir por protocolo. 8n otras palabras) es necesario definir una ACL para cada protocolo &abilitado en una cierta interface si desea controlar el flu.o de tr#fico para esa interface. Por e.e%plo) si la interfa+ de router estu'iera configurada para I(, "pple%al' e I(>) ser-a necesario definir al %enos tres ACL.

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

8n este %ecanis%o de filtrado de Cisco) la poltica que se usa por defecto es la de dene ar todos los paquetes. $ebido a esto) en una ACL debe existir alguna sentencia 6per%itir7) !a que de lo contrario) se bloquea todo el trafico en la interface donde se aplique. Los pasos a seguir para crear una "C, son0 2.G $efini%os la lista de sentencias que for%aran un grupo accessGlist n9%ero .....sentencia.. accessGlist n9%ero .....sentencia.. La 9lti%a sentencia i%pl-cita%ente es negar ( den! an! ) 4.G Luego aplica%os dic&a ACL sobre una o 'arias interfaces en el sentido deseado con ip accessGgroup n9%ero (inEout) "ecorde%os que las ACL se pueden aplicar a distintos protocolos0 IP) AppleTalH) IPI. 8sto explica que el co%ando sea0 ip accessGgroup....

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

La sintaxis concreta para la definici*n de las sentencias que co%ponen una ACL es (desde el %odo de configuraci*n global)0 access-list acl_number {deny | permit} protocol source [sourcewildcard] destination [destination-wildcard] [log] $onde0
aclJnu%ber es el nu%ero de acl) co%prendido entre 233 ! 2KK o bien entre 4333 ! 4LKK den! M per%it es la acci*n a reali+ar si el paquete cu%ple las condiciones protocol. ?o%bre o nu%ero de protocolo IP. Puede ser las palabras0 ei rp, re, icmp, i mp, i rp, ip, ipinip, nos, ospf, pim, tcp, or udp ) o un entero del rango 3 a 4NN. Para &acer coincidir cualquier protocolo de Internet (inclu!endo IC:P) TCP ! ;$P) se usa la palabra clave ip. $ependiendo del protocolo elegido) se pueden utili+ar nue'os ca%pos en la sentencia. Oildcard. Palor in'erso de la %ascara

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

,i el protocolo es IC:P0

access-list acl-number {deny | permit} icmp source sourcewildcard destination destination-wildcard [icmp-type] [tos tos] [log | log-input]
,i el protocolo es TCP0

access-list acl-number {deny | permit} tcp source sourcewildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [tos tos] [log | log-input]
,i el protocolo es ;$P0

access-list acl-number {deny | permit} udp source sourcewildcard [operator [port]] destination destination-wildcard [operator [port]] [tos tos] [log | log-input]
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

$onde operator es0
eq (equal)) neq (no equal)) it (lessGt&an)) gt (greaterGt&an)

2.emplo0 $enegar las conexiones Telnet que se produ+can desde una deter%inada subred
access-list 110 deny tcp 172 1! " 1# 0 0 0 2$$ any e% 2# access-list 110 permit ip any any &access-list 110 deny any' inter(ace )a0*0 ip access-group 110 out

acl 110

Aplicamos acl 110 a eth0 sentido salida

Any solo puede indicar direccin ! de destino. !or tanto eq "# se re$iere a puerto destino. %i se hu&iera querido indicar un puerto ori'en () de&er*amos poner+ 1,".1-.4.1# 0.0.0."55 eq "1 any eq "#
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Co%odines0 8.e%plos de an! ! &ost

8xisten dos co%odines0

any. "epresenta cualquier direcci*n ip. 8qui'alente a 3.3.3.3

4NN.4NN.4NN.4NN 8.e%plo0 access-list 1 permit 0 0 0 0 2$$ 2$$ 2$$ 2$$ ,e puede poner co%o access-list 1 permit any

6ost. "epresenta un 9nica %aquina. 8qui'ale a I.I.I.I 3.3.3.3) es decir)

un E54 8.e%plo0 access-list 1 permit 172 #0 1! 2+ 0 0 0 0 ,e puede poner co%o access-list 1 permit host 172 #0 1! 2+
Rogelio Montaana Juan Carlos Nuo Febrero 2014

Oildcard (:ascara)
2n las direcciones I( especificadas, para cada bit de la direcci!n se especifica con una m*scara si se comprueba o no dic6o bit3
3 indica bit a c&equear 2 indica bit a ignorar ,u significado es .usto la in'ersa de los bits en las %#scaras de las subredes.

2.emplo3
Quere%os especificar el rango de direcciones 2R4.53.2L.3 E43 (desde 2R4.2L.2L.2 &asta 2R4.2L.52.4NF) La %ascara de red es 4NN.4NN.4F3.3 La wildcard expresa los bits que &a! que 'erificar0 """" """"."""" """"."""" BBBB.BBBB BBBB Ba! que 'erificar los 43 pri%eros bits. 8n la wildcard se expresan con un 637 3.3.2N.4NN

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Filtrado de paquetes en Cisco. ACL

8l co%ando que nos per%ite asignar una ACL a una deter%inada interface es0 ,1&con(ig-i('- ip access-group {acl-number | name} {in | out} Pe%os que se puede especificar el nu%ero de ACL o bien un no%bre) porque las ACL s se pueden no%brar) co%o 'ere%os a continuaci*n ,e puede especificar si afecta al trafico en sentido entrada (in) o salida (out). Por defecto es salida (out) Para de.ar de aplicar una ACL a una interface0 no ip access-group {access-list-number | name}{in | out}

Rogelio Montaana Juan Carlos Nuo Febrero 2014

Funciona%iento de ACL ! enruta%iento

AccesGgroup en sentido I$. I%portante0 ,e aplica antes de enrutar el paquete

AccesGgroup en sentido ?@%. I%portante0 ,e aplica despu/s de enrutar el paquete

Rogelio Montaana Juan Carlos Nuo Febrero 2014

8.e%plo
8.e%plo0 $enegar acceso a una subred especifica0
access-list 2 deny 172 1! " 1# 0 0 2$$ 2$$ access-list 2 permit any &access-list 2 deny any' inter(ace )a0*1 ip access-group 2 out Creamos acl. La ultima l*nea siempre se a.ade por de$ecto. La mascara se interpreta 0usto en sentido in1erso a ms2 con1encional 34ildcard5. Aplicamos acl a Fa0/1 en sentido salida

8.e%plo0 $enegar acceso a un &ost especifico0

access-list 1 deny 172 1! " 1# 0 0 0 0 (o bien) access-list 1 deny host 172 1! " 1# (similar anterior) access-list 1 permit any &access-list 1 deny any' inter(ace ethernet )a0*0 ip access-group 1 out Creamos acl. La ultima l*nea siempre se a.ade por de$ecto. La pol*tica por de$ecto es dene'ar

Aplicamos acl a Fa0/0 en sentido salida

Rogelio Montaana Juan Carlos Nuo Febrero 2014

8.e%plo
"
5;.;.<.<

$escartar todo el tr#fico con origen el &ost A ! cu!o destino sea cualquier ser'icio de Internet. A debe poder co%unicar con C ! $
fa; fa<
<

8
5;.;.<.5

+; Aed 5;.;.<.;/51 C
5;.;.5.<

Internet

D
5;.;.5.5

,outer-con(igure terminal ,outer&con(ig'- access-list 1 deny 20 0 1 1 0 0 0 0 ,outer&con(ig'- access-list 1 permit any ,outer&con(ig'- inter(ace .0 ,outer&con(ig-i('- ip access-group 1 out

Aed 5;.;.5.;/51

8fecto0 $escarta paquetes con IP origen 43.3.2.2 que salgan por ,3. Per%ite todo lo de%#s

Rogelio Montaana Juan Carlos Nuo Febrero 2014

8.e%plo
"
5;.;.<.<

$escartar todo el tr#fico con origen el &ost A ! cu!o destino sea cualquier ser'icio de Internet. A debe poder co%unicar con C ! $ ((tra 'ersi*n)
fa; fa<
<;; <;<

8
5;.;.<.5

+; Aed 5;.;.<.;/51 C
5;.;.5.<

Internet

D
5;.;.5.5

,outer-con(igure /erminal ,outer&con(ig'- access-list ,outer&con(ig'- access-list ,outer&con(ig'- access-list ,outer&con(ig'- access-list

100 100 101 101

deny ip 20 0 1 1 0 0 0 0 any permit ip any any deny ip any 20 0 1 1 0 0 0 0 permit ip any any

Aed 5;.;.5.;/51

,outer&con(ig'- inter(ace .0 ,outer&con(ig-i('- ip access-group 100 0ut ,outer&con(ig-i('- ip access-group 101 1n

8fecto0 $escarta paquetes IP con IP origen 43.3.2.2 que salgan por ,3 ! paquetes con IP destino 43.3.2.2 que entren por ,3 . Per%ite todo lo de%#s

Rogelio Montaana Juan Carlos Nuo Febrero 2014

8.e%plo0 Filtro antiGspoofing ("FC 44LR)

Para pre'enir falseo de la direcci*n IP de origen. Aplicado &abitual%ente por todos los I,Ps
$o aceptar paquetes entrantes con I( ori en <1B.<CD.;.;/<D $o aceptar paquetes entrantes con I( ori en <1B.<CD.;.;/<D
<;<

Aed <1B.<CD.;.;/<D

<;;

fa;

+;

Internet

,outer-con(igure terminal ,outer&con(ig'- access-list 100 permit ip 1"7 1$! 0 0 0 0 2$$ 2$$ any ,outer&con(ig'- access-list 100 deny ip any any ,outer&con(ig'- access-list 101 deny ip 1"7 1$! 0 0 0 0 2$$ 2$$ any ,outer&con(ig'- access-list 101 permit ip any any ,outer&con(ig'- inter(ace (a0 ,outer&con(ig-i('- ip access-group 100 in ,outer&con(ig-i('- inter(ace .0 ,outer&con(ig-i('- ip access-group 101 in

8fecto0 $escarta paquetes IP que entren por fa3 con IP origen 2FR.2NL.3.3E2L. $escarta paquetes que entren por ,3 con IP origen 2FR.2NL.3.3.E2L. Per%ite todo lo de%#s

Rogelio Montaana Juan Carlos Nuo Febrero 2014