EDICIN: 1 SEGURIDAD DE REDES DOCENTE: BYRON CARRIN RAMREZ NMERO DE ESTUDIANTES POR EQUIPO O PRCTICA: 2 o 3 DEPENDE DEL # TOTAL Fecha: 07/05/2014
Tema: IMPLEMENTACION DE FIREWALL EN SOFTWARE, UTILIZANDO IPTABLES COMO FIREWALL EL CUAL APLICARA FILTRADO DE PAQUETES.
Objetivo:
- Comprender como un firewall puede aplicar las reglas de filtrado de paquetes Objetivo especifico:
- Implementar los distintos servidores que van a simular los servidores de una empresa como servidores WEB y servidores DB, adems tambin el ISP que para el caso implementara un servidor DNS. - Implementar un firewall utilizando una herramienta disponible en distribuciones Linux como lo es iptables. - Establecer reglas de filtrado de paquetes para una red o redes de una empresa. - Verificar que las leyes se cumplan y comprobar su funcionamiento en un ambiente de produccin.
Marco Terico:
Cuando hablamos de filtrado de paquetes podemos entender que son reglas que van a permitir o no el paso de paquetes de informacin a travs de la red.
Empezaremos diciendo que es un firewall, porque es necesario entender este trmino.
Que es un firewall
Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El firewall puede ser un dispositivo fsico o un software sobre un sistema operativo. En general debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexin determinada puede establecerse o no. Incluso puede ir ms all y realizar modificaciones sobre las comunicaciones, como el NAT.
Esa sera la definicin genrica, hoy en dia un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el trfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta sera la tipologa clsica de un firewall:
En definitiva lo que se hace es: Habilita el acceso a puertos de administracin a determinadas IPs privilegiadas Enmascara el trfico de la red local hacia el exterior (NAT, una peticin de un pc de la LAN sale al exterior con la ip pblica), para poder salir a internet Deniega el acceso desde el exterior a puertos de administracin y a todo lo que este entre 1 y 1024.
Hay dos maneras de implementar un firewall: 1) Poltica por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegar lo que se diga explcitamente. 2) Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el firewall aquellos que se permita explcitamente.
Que es iptables IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programacin (esto es una pequea mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendr tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables est integrado con el kernel, es parte del sistema operativo. Cmo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que aadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.
Presentacin del caso:
Queremos implementar un firewall para una empresa siguiendo el esquema de la Figura 1. Como se puede ver, se ha utilizado un solo firewall para delimitar una red perimetral (198.51.100.0/24) y una red interna (203.0.113.0/24).
La organizacin utiliza una poltica de denegacin por defecto:
1. Servidor Web 198.51.100.1: se debe permitir el acceso desde Internet a servicios de HTTP y HTTPS. Los usuarios de la red interna no pueden acceder a este servidor. 2. Servidor Web 203.0.113.1: Usuarios de la red interna han de poder acceder a este servidor a servicios de HTTP y HTTPS. 3. Servidor BD 198.51.100.2: Tanto el servidor web 198.51.100.1 como el 203.0.113.1 pueden acceder a este servidor. Se trata de un servidor PostgreSQL que utiliza el puerto TCP 5432. 4. Servidor BD 203.0.113.2: solo el servidor web 203.0.113.1 puede acceder a este servidor. Se trata de un servidor MySQL que utiliza el puerto TCP 3306. 5. SSH: se permiten conexiones SSH nicamente entre los servidores (tanto de red interna como perimetral). 6. DNS: La empresa utiliza los servidores pblicos de Google 8.8.8.8 y 8.8.4.4. Tanto los usuarios de la red interna como los equipos de la red perimetral deben utilizar los servidores de DNS pblicos de Google.
Anlisis del caso:
Primero hay que establecer una poltica de seguridad y para este caso la poltica perfecta seria denegar todo el trfico que pase por el router Vyatta, el cual tiene las reglas de iptables, para que as el router tambin acte como un firewall que impida o no el paso de paquetes.
Segundo establecer reglas de filtrado desde los ms detallado hasta lo ms general y en un orden adecuado para que as se respeten todas. Hay que saber si establecemos una regla general primero las otras reglas especficas no funcionaran.
Presentacin de la solucin:
A continuacin se presenta las capturas de la configuracin del router Vyatta con las reglas en iptables
Conclusiones Pues hay que tener cuidado cuando se implementan las reglas y al escoger la poltica de seguridad ya que las reglas pueden cambiar segn como se escoja la poltica si es que decidimos aceptar todo o denegar todo o aceptar todo solo en entrada