Escolar Documentos
Profissional Documentos
Cultura Documentos
TRABAJO DE INVESTIGACION
Herramienta de proteccin y filtrado (Firewalls)
software libre (Linux)
Objetivo del trabajo:
Investigar herramientas basadas en software para la proteccin de de
accesos no autorizados.
El participante debe investigar una herramienta que cumpla como
sistema de proteccin de accesos y filtrados (firewall) basado en software libre.
1.- Contenido mnimo de la documentacin:
Un firewall o cortafuegos es un sistema o conjunto de sistemas, ubicado entre dos redes.
Tiene como finalidad principal ejercer una poltica de seguridad establecida por un usuario o
administrador de IT, proveyendo un control del flujo de la informacin en ambos sentidos de
la comunicacin, separando la intranet (red privada), de la Internet (red pblica). Un firewall
trabaja a nivel de red del modelo OSI (capa 3). Este puede ser implementado mediante un
software especfico, sobre un host o embebido en dispositivos fsicos como routers y switchs.
Netfilter es un framework disponible en el ncleo Linux que permite interceptar y manipular
paquetes de red. Dicho framework permite realizar el manejo de paquetes en diferentes
estados del procesamiento. Netfilter es tambin el nombre que recibe el proyecto que se
encarga de ofrecer herramientas libres para cortafuegos basados en Linux.
El componente ms popular construido sobre Netfilter es iptables, una herramienta de
cortafuegos que permite no solamente filtrar paquetes, sino tambin realizar traduccin de
direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no slo
ofrece componentes disponibles como mdulos del ncleo sino que tambin ofrece
herramientas de espacio de usuario y libreras.
Iptables es el nombre de la herramienta de espacio de usuario mediante la cual el
administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre
iptables se utiliza frecuentemente de forma errnea para referirse a toda la infraestructura
ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas
independientes de iptables tales como el connection tracking system o sistema de
seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde
Proteccin contra la invasin por falsificacin (si puede pasar, que no pueda salir).
Capacidad de ocultar todos los puertos para que su equipo sea indetectable en los
barridos de puertos.
Proteccin de arranque inicial, inicindose antes que cualquier otro servicio del SO.
Ventajas
Pueden bloquear fcilmente los ataques de reconocimiento, tales como los barridos de
puertos o el escaneo IP, si se los programa para tal propsito.
Pueden ofrecer servicio de NAT. En los ltimos aos en Internet debido al fenmeno
de vaciamiento, se han agotado las direcciones IPv4, esto ha causado que las
intranets adopten direcciones sin clase (claseless), las cuales para conectarse a
Internet deben pasar por un traductor de direcciones, el cual se aloja generalmente
en el firewall.
Los firewall tambin son importantes desde el punto de vista de llevar las estadsticas
del ancho de banda utilizado por el trafico de la red, y que procesos han influido ms
en ese trafico. De esta manera el administrador de la red puede restringir el uso de
estos procesos y reduciendo el uso y economizando el ancho de banda disponible de
la conexin.
Desventajas
# Permitir ping
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Registrar todas las llamadas denegadas por iptables (accesar va el comando 'dmesg')
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Rechazar todo el otro trfico de entrada - de manera predetermianda a menos de que
exista una poltica que lo permita:
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT
con ctrl + x guardaremos el archivo con el nombre mencionado arriba (rules.v4)
ahora activaremos la nueva regla creada
# iptables-restore < /etc/iptables/rules.v4
ahora nuevamente comprobaremos las reglas
# iptables -L
nos tendra que tirar un resultado muy parecido a eso..
Con iptables podemos implementar un firewall que nos permite realizar filtro de
paquetes, traduccin de direcciones y mantener registros de log
iptables trabaja a nivel 3 y 4, por tanto los criterios para filtrar un paquete no pueden
incluir condiciones de nivel de aplicacin. Sera necesario usar un servidor proxy para,
por ejemplo, filtrar cierto contenido web
Cortafuegos
FIREWALL
FIREWALL
Tipos de Firewall
de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP)
como filtro de paquetes IP. A este nivel se pueden realizar filtros
segn los distintos campos de los paquetes IP: direccin IP origen,
direccin IP destino. A menudo se permiten filtrados segn campos
de nivel de transporte (nivel 4) como el puerto origen y destino, o a
nivel de enlace de datos (nivel 2) como la direccin MAC
de capa de aplicacin
Trabaja en el nivel de aplicacin (nivel 7), por ejemplo, si se trata
de trfico HTTP se pueden realizar filtrados segn la URL a la que
se est intentando acceder. En este caso es denominado Proxy.
personal
Se instala como software en un computador, filtrando las
comunicaciones entre dicho computador y el resto de la red y
viceversa.
FIREWALL
Tipos de Firewall
APLICACIN
De capa de
aplicacin
URL de HTTP
PRESENTACIN
SESIN
TRANSPORTE
protocolo + puerto
RED
IP
ENLACE
MAC
De filtrado de
paquetes
FISICA
OSI
FIREWALL
10.0.0.2
FIREWALL
10.0.0.2
FIREWALL
10.0.0.2
FIREWALL
HTTP
HTTP
FIREWALL
FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
1) ACEPTAR
REGLAS
2) DENEGAR
FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
IPTABLES
(LINUX)
FIREWALL
IPtables
= NETFILTER
LINUX
Kernel
IPTables
Filtrado de paquetes
Connection tracking
NAT
FIREWALL
Funcionamiento de IPtables
paquete IP
regla1
regla2
regla3
cadena 1
INPUT
cadenas bsicas
OUTPUT
FORWARD
...
Funcionamiento de IPtables
paquete IP
regla1
regla2
regla3
...
cadena 1
regla1
regla2
regla3
...
cadena 2
... enlace a otra cadena
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear
DESTINO
ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear
DESTINO
protocolo
IP origen
IP destino
puerto destino
puerto origen
flags TCP
...
ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario
FIREWALL
Funcionamiento de IPtables
paquete IP
...
cadena 1
...
cadena 2
...
cadena N
.
.
.
TABLA
FIREWALL
Funcionamiento de IPtables
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas
cadenas predefinidas :
FILTER TABLE
NAT TABLE
MANGLE TABLE
cadenas predefinidas
INPUT
OUTPUT
FORWARD
FIREWALL
Funcionamiento de IPtables
FIREWALL
FIREWALL
FIREWALL
Implementacin (escenario 1)
REGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
Implementacin (escenario 2)
VPN
L1
L2
PaP
L3
FIREWALL