La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta CORTAFUEGOS CON SHOREWALL.

Presentaciones similares


Presentación del tema: "Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta CORTAFUEGOS CON SHOREWALL."— Transcripción de la presentación:

1 Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta CORTAFUEGOS CON SHOREWALL

2 Administraciòn y Mantenimiento de redes en Linux 1 MIZRAIN CANO CHICO Un Firewall es un dispositivo que filtra el tráfico entre redes y es aquel que garantiza la seguridad de los equipos de cómputo ante los peligros cibernéticos de la red área local (LAN) o bien mantener al margen contra ataques en Internet. Puede ser un dispositivo físico o un software sobre un sistema operativo. Es decir es un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Muro de Cortafuegos

3 Administraciòn y Mantenimiento de redes en Linux 2 MIZRAIN CANO CHICO El siguiente dibujo es un esquema de firewall entre red local e internet Los firewalls se pueden usar en cualquier red y contienen un conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, también los udp.

4 Administraciòn y Mantenimiento de redes en Linux 3 MIZRAIN CANO CHICO El conjunto de reglas de un firewall son: Politica por defecto ACEPTAR. Politica por defecto ACEPTAR. Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR Todo lo que venga de la red local y vaya al exterior ENMASCARAR Todo lo que venga de la red local y vaya al exterior ENMASCARAR Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto tcp 3389 DENEGAR Todo lo que venga del exterior al puerto tcp 3389 DENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR

5 Administraciòn y Mantenimiento de redes en Linux 4 MIZRAIN CANO CHICO En definitiva lo que se hace es: Habilita el acceso a puertos de administración a determinadas IPs privilegiadas Habilita el acceso a puertos de administración a determinadas IPs privilegiadas Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de la LAN sale al exterior con la ip pública), para poder salir a internet Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de la LAN sale al exterior con la ip pública), para poder salir a internet Deniega el acceso desde el exterior a puertos de administración y a todo lo que este entre 1 y Deniega el acceso desde el exterior a puertos de administración y a todo lo que este entre 1 y 1024.

6 Administraciòn y Mantenimiento de redes en Linux 5 MIZRAIN CANO CHICO Existen dos maneras de implementar un firewall: Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente. Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente. Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente. Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente. La primera política facilita mucho la gestión del firewall, ya que simplemente protegemos aquellos puertos o direcciones que sabemos que nos interesa; el resto no importa tanto y se deja pasar.

7 Administraciòn y Mantenimiento de redes en Linux 6 MIZRAIN CANO CHICO Si la política por defecto es DENEGAR, a no ser que lo permitamos explícitamente, el firewall se convierte en un auténtico MURO infranqueable. Es importante mencionar que el orden en el que se ponen las reglas de firewall es determinante. Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le afecta y se hace lo que dicte esta regla (aceptar o denegar). Es importante mencionar que es necesario comprender los siguientes conceptos para entender lo términos de configuración de el Muro cortafuegos.

8 Administraciòn y Mantenimiento de redes en Linux 7 MIZRAIN CANO CHICO Shorewall (Shoreline Firewall): Es una herramienta de alto nivel para la configuración de muros cortafuego. Iptables: Es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de paquetes y módulos de NAT cabe mencionar que una NAT (acrónimo de Network Address Translation o Traducción de dirección de red), también conocido como enmascaramiento de IP, es una técnica mediante la cual las direcciones de origen y destino de paquetes IP son reescritas mientras pasan a través de un dispositivo de encaminamiento (router) o muro cortafuegos.

9 Administraciòn y Mantenimiento de redes en Linux 8 MIZRAIN CANO CHICO Iproute: Es una colección de herramientas (ifcfg, ip, rtmon y tc) para GNU/Linux que se utilizan para controlar el establecimiento de la red TCP/IP, así como también el control de tráfico. iptables: Controla el código del núcleo de GNU/Linux para filtración de paquetes de red. iproute: Conjunto de utilidades diseñadas para utilizar las capacidades avanzadas de gestión de redes del núcleo de GNU/Linux. shorewall: Shoreline Firewall.

10 Administraciòn y Mantenimiento de redes en Linux 9 MIZRAIN CANO CHICO Ahora para proteger una maquina linux pinchada en internet, lo único que se tiene que hacer es crear un script de shell en el que se aplican las reglas. Los scripts de iptables pueden tener este aspecto: Saludo a la afición (echo) Borrado de las reglas aplicadas actualmente (flush) Aplicación de políticas por defecto para INPUT, OUPUT, FORWARD Listado de reglas iptables.

11 Administraciòn y Mantenimiento de redes en Linux 10 MIZRAIN CANO CHICO #!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para proteger la propia máquina ## Mizrain cano chico ## - echo -n Aplicando Reglas de Firewall... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F

12 Administraciòn y Mantenimiento de redes en Linux 11 MIZRAIN CANO CHICO ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT # A nuestra IP le dejamos todo iptables -A INPUT -s j ACCEPT

13 Administraciòn y Mantenimiento de redes en Linux 12 MIZRAIN CANO CHICO # A un colega le dejamos entrar al mysql para que mantenga la BBDD iptables -A INPUT -s p tcp --dport j ACCEPT # A un diseñador le dejamos usar el FTP iptables -A INPUT -s p tcp -dport 20:21 -j ACCEPT # El puerto 80 de www debe estar abierto, es un servidor web. iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Y el resto, lo cerramos iptables -A INPUT -p tcp --dport 20:21 -j DROP iptables -A INPUT -p tcp --dport j DROP iptables -A INPUT -p tcp --dport 22 -j DROP iptables -A INPUT -p tcp --dport j DROP echo " OK. Verifique que lo que se aplica con: iptables -L -n" # Fin del script


Descargar ppt "Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta CORTAFUEGOS CON SHOREWALL."

Presentaciones similares


Anuncios Google