ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE

ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE
SERVIDOR DE MURO CORTAFUEGOS (FIREWALL) SHOREWALL IPTABLES Dictado por: Ing. Carlos Alcalá Helguero Consultas:

SERVIDOR DE FIREWALL Introducción a Shorewall y conceptos de Firewall.
TOPICOS CLASE 8: SERVIDOR DE FIREWALL SHOREWALL IPTABLES Introducción a Shorewall y conceptos de Firewall. Instalación de paquetes necesarios. Administración de las zonas restringidas e interfaces de red. Generación de reglas y politicas por defecto del Firewall. Inicio del servicio de firewall. Comprobación del servicio de Firewall - Shorewall. Solución de problemas frecuentes.

SERVIDOR DE FIREWALL ¿Qué es Servidor de Firewall Muro Cortafuegos?
INTRODUCCION ¿Qué es Servidor de Firewall Muro Cortafuegos? Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para prevenir algunos tipos de comunicaciones prohibidos según las políticas de red que se hayan definido en función de las necesidades de la organización responsable de la red. Su modo de funcionar es definido por la recomendación RFC 2979, la cual define las características de comportamiento y requerimientos de interoperabilidad. La idea principal de un cortafuegos es crear un punto de control de la entrada y salida de tráfico de una red. Un cortafuegos correctamente configurado es un sistema adecuado para añadir protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

SERVIDOR DE FIREWALL Tipos de cortafuegos
INTRODUCCION Tipos de cortafuegos Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC. Cortafuegos de capa de aplicación Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a internet de una forma controlada.

SERVIDOR DE FIREWALL Qué es un firewall
INTRODUCCION Qué es un firewall Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexión determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones sobre las comunicaciones, como el NAT. Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica de un firewall:

SERVIDOR DE FIREWALL INTRODUCCION Topologia basica de Firewall
Esquema típico de firewall para proteger una red local conectada a internet a través de un router. El firewall debe colocarse entre el router (con un único cable) y la red local (conectado al switch o al hub de la LAN)

SERVIDOR DE FIREWALL INTRODUCCION Topologia de Firewall con DMZ
Dependiendo de las necesidades de cada red, puede ponerse uno o más firewalls para establecer distintos perímetros de seguridad en torno a un sistema. Es frecuente también que se necesite exponer algún servidor a internet (como es el caso de un servidor web, un servidor de correo, etc..), y en esos casos obviamente en principio se debe aceptar cualquier conexión a ellos. Lo que se recomienda en esa situación es situar ese servidor en lugar aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas:

SERVIDOR DE FIREWALL INTRODUCCION
Topologia de Firewall con DMZ complejo En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a él, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse también con un doble firewall (aunque como se ve se puede usar un único dispositivo con al menos tres interfaces de red). Sería un esquema como este:

SERVIDOR DE FIREWALL INTRODUCCION Los firewalls se pueden usar en cualquier red. Es habitual tenerlos como protección de internet en las empresas, aunque ahí también suelen tener una doble función: controlar los accesos externos hacia dentro y también los internos hacia el exterior; esto último se hace con el firewall o frecuentemente con un proxy (que también utilizan reglas, aunque de más alto nivel). También, en empresas de hosting con muchos servidores alojados lo normal es encontrarnos uno o más firewalls ya sea filtrando toda la instalación o parte de ella: (Figura a continuación)

SERVIDOR DE FIREWALL

SERVIDOR DE FIREWALL INTRODUCCION
Sea el tipo de firewall que sea, generalmente no tendrá mas que un conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, también los udp, los icmp, los gre y otros protocolos vinculados a vpns. Este podría ser (en pseudo-lenguaje) un el conjunto de reglas de un firewall del primer gráfico: Ejemplo de políticas de red Política por defecto ACEPTAR. Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR Todo lo que venga de la red local y vaya al exterior ENMASCARAR Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto tcp 3389 DENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR

SERVIDOR DE FIREWALL INTRODUCCION En definitiva lo que se hace es:
Habilita el acceso a puertos de administración a determinadas IPs privilegiadas Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de la LAN sale al exterior con la ip pública), para poder salir a internet Deniega el acceso desde el exterior a puertos de administración y a todo lo que este entre 1 y 1024. Hay dos maneras de implementar un firewall: Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente. 2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente. IMPORTANTE El orden en el que se ponen las reglas de firewall es determinante. Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le afecta (match), y se hace lo que dicte esta regla (aceptar o denegar); después de eso NO SE MIRARÁN MÁS REGLAS para ese paquete. ¿Cuál es el peligro? Si ponemos reglas muy permisivas entre las primeras del firewall, puede que las siguientes no se apliquen y no sirvan de nada.

SERVIDOR DE FIREWALL CONFIGURACION SHOREWALL
Shorewall es una robusta y extensible herramienta de alto nivel para la configuración de muros cortafuego. Shorewall solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewall puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema multifunciones puerta de enlace/ruteador/servidor. REQUISITOS. Un sistema Linux con todos los parches de seguridad correspondientes aplicados. Shorewall o versiones posteriores. Tres interfaces de red. Interfaz para acceso hacia Internet Interfaz para acceso hacia una DMZ, tras la cual se podrán colocar servidores Interfaz para acceso hacia la LAN

SERVIDOR DE FIREWALL CONFIGURACION SHOREWALL
¿Qué es una zona des-militarizada? Una zona des-militarizada (DMZ), es parte de una red que no está dentro de la red interna (LAN) pero tampoco está directamente conectada hacia Internet. Podría resumirse como una red que se localiza entre dos redes. En términos más técnicos se refiere a un área dentro del cortafuegos donde los sistemas que la componen tienen acceso hacia las redes interna y externa, sin embargo no tienen acceso completo hacia la red interna y tampoco acceso completamente abierto hacia la red externa. Los cortafuegos y ruteadores protegen esta zona con funcionalidades de filtrado de tráfico de red.

SERVIDOR DE FIREWALL CONFIGURACION SHOREWALL ¿Que es una Red Privada?
Una Red Privada es aquella que utiliza direcciones IP establecidas en el RFC Es decir, direcciones IP reservadas para Redes Privadas dentro de los rangos /8 (desde hasta ), /12 (desde hasta ) y /16 (desde hasta ). ¿Qué es un NAT? NAT (Network Address Translation o Traducción de dirección de red), también conocido como enmascaramiento de IP, es una técnica mediante la cual las direcciones de origen y/o destino de paquetes IP son reescritas mientras pasan a través de un ruteador o muro cortafuegos. Se utiliza para permitir a múltiples anfitriones en una Red Privada con direcciones IP para Red Privada para acceder hacia una Internet utilizando una sola dirección IP pública. ¿Qué es un DNAT? DNAT, (Destination Network Address Translation o traducción de dirección de red de destino) es una técnica mediante la cual se hace público un servicio desde una Red Privada. Es decir permite redirigir puertos hacia direcciones IP de Red Privada. El uso de esta técnica puede permitir a un usuario en Internet alcanzar un puerto en una Red Privada (dentro de una LAN) desde el exterior a través de un ruteador o cortafuegos donde ha sido habilitado un NAT.

SERVIDOR DE FIREWALL CONFIGURACION SHOREWALL PROCEDIMIENTOS.
Instalación del software necesario. iptables shorewall Shorewall puede descargarse en formato RPM desde y puede ser instalado a través de yum si se tiene configurados los repositorios. yum -y install shorewall Instalacion mediante rpm rpm –ivh shorewall noarch.rpm Fichero de configuración /etc/shorewall/shorewall.conf En éste se definen, principalmente, dos parámetros. STARTUP_ENABLED y CLAMPMSS. STARTUP_ENABLED se utiliza para activar shorewall. De modo predefinido está desactivado, solo basta cambiar No por Yes. STARTUP_ENABLED=Yes CLAMPMSS se utiliza en conexiones tipo PPP (PPTP o PPPoE) y sirve para limitar el MSS o Máximo Tamaño de Segmento. Cambiando el valor No por Yes, Shorewall calculará el MSS más apropiado para la conexión. Si se es osado, puede también especificarse un número en paquetes SYN. La recomendación es establecer Yes si se cuenta con un enlace tipo PPP. CLAMPMSS=Yes

Fichero de configuración /etc/shorewall/zones Este fichero se utiliza para definir las zonas que se administrarán con Shorewall y el tipo de zona (firewall, ipv4 o ipsec). La zona fw ya está implicitá como una variable en shorewall.conf. En el siguiente ejemplo se registrarán las zonas de Internet (net), Red Local (loc) y Zona Des-militarizada (dmz): #ZONE DISPLAY COMMENTS net ipv4 loc ipv4 dmz ipv4

Fichero de configuración /etc/shorewall/interfaces En éste se establecen cuales serán las interfaces para las tres diferentes zonas. Se establecen las interfaces que corresponden a la Internet, Zona Des-militarizada DMZ y Red Local. En el siguiente ejemplo, se cuenta con una interfaz ppp0 para acceder hacia Internet, una interfaz eth0 para acceder hacia la LAN y una interfaz eth1 para acceder hacia la DMZ, y en todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast): #ZONE INTERFACE BROADCAST OPTIONS GATEWAY net ppp0 detect loc eth0 detect dmz eth1 detect En el siguiente ejemplo, se cuenta con una interfaz eth0 para acceder hacia Internet, una interfaz eth1 para acceder hacia la LAN y una interfaz eth2 para acceder hacia la DMZ, y en todas se solicita se calcule automáticamente la dirección de transmisión (Broadcast): net eth0 detect loc eth1 detect dmz eth2 detect Hay una cuarta zona implícita que corresponde al cortafuegos mismo y que se denomina fw.

Fichero de configuración /etc/shorewall/policy En este fichero se establece como se accederá desde una zona hacia otra y hacia la zona de Internet. #SOURCE DEST POLICY LOG LIMIT:BURST loc net ACCEPT dmz net ACCEPT fw net ACCEPT net all DROP info all all REJECT info Lo anterior hace lo siguiente: La zona de la red local puede acceder hacia la zona de Internet. La zona de la DMZ puede acceder hacia la zona de Internet. El cortafuegos mismo puede acceder hacia la zona de Internet. Se impiden conexiones desde Internet hacia el resto de las zonas. Se establece una política de rechazar conexiones para todo lo que se haya omitido.

Fichero de configuración /etc/shorewall/masq Se utiliza para definir que a través de que interfaz o interfaces se habilitará enmascaramiento, o NAT, y para que interfaz o interfaces o redes se aplicará dicho enmascaramiento. En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz ppp0 para las redes que acceden desde las interfaces eth0 y eth1: #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC ppp0 eth0 ppp0 eth1 En el siguiente ejemplo, se realizará enmascaramiento a través de la interfaz eth0 para las redes /24 y /24: eth /24 eth /24

También es posible hacer NAT solamente hacia una IP en particular y para un solo protocolo en particular. En el siguiente ejemplo se hace NAT a través de la interfaz ppp0 para la dirección que accede desde la interfaz eth1 y solo se le permitirá hacer NAT de los protocolos smtp y pop3. Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services. #INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC ppp0 eth tcp 25,110 Fichero de configuración /etc/shorewall/rules Todos los puertos están cerrados de modo predefinido, y es en este fichero donde se habilitan los puertos necesarios. Hay diversas funciones que pueden realizarse. ACCEPT La acción ACCEPT se hace para especificar si se permiten conexiones desde o hacia una(s) zona (s) un protocolo(s) y puerto(s) en particular. En el siguiente ejemplo se permiten conexiones desde Internet hacia el puerto 80 (www), 25 (smtp) y 110 (pop3). Los nombres de los servicios se asignan de acuerdo a como estén listados en el fichero /etc/services. #ACTION SOURCE DEST PROTO DEST # PORT ACCEPT net fw tcp 80,25,110

SERVIDOR DE FIREWALL CONFIGURACION SHOREWALL PROCEDIMIENTOS. REDIRECT
La acción REDIRECT permite redirigir peticiones hacia un puerto en particular. Muy útil cuando se quieren redirigir peticiones para puerto 80 (www) y se quiere que estas pasen a través de un proxy-cache como Squid. En el siguiente ejemplo las peticiones hechas desde la red local y desde la DMZ serán redirigidas hacia el puerto 8080 del cortafuegos, en donde hay un proxy-cache configurado como proxy transparente. #ACTION SOURCE DEST PROTO DEST REDIRECT loc tcp 80 REDIRECT dmz tcp 80 DNAT La acción DNAT se utiliza para reenviar peticiones desde un puerto del cortafuegos hacia una IP y puerto en particular tanto en la red local como en la DMZ. Cabe destacar que para que el DNAT funcioné se necesita que: Esté habilitado el reenvío de paquetes en /etc/sysconfig/sysctl.cfg y /etc/shorewall/shorewall.conf Los equipos hacia los que se esté haciendo DNAT utilicen como puerta de enlace al cortafuegos desde sus correspondientes zonas.

En el siguiente ejemplo, se hace DNAT desde la zona de Internet para los puertos 25 (smtp), 110 (pop3), 80 (www) y 53 (dns) por tcp hacia la IP localizada en la zona de la Red Local. #ACTION SOURCE DEST PROTO DEST DNAT net dmz: tcp 80,25,110,53 Ejemplos diversos de reglas. Permitir a la zona de Red Local el acceso hacia el puerto 22 (ssh) de cualquier equipo dentro de la DMZ: #ACTION SOURCE DEST PROTO DEST ACCEPT loc dmz tcp 22 Permitir solo a la dirección de zona de Red Local el acceso hacia el puerto 22 (ssh) de cualquier equipo dentro de la DMZ: #ACTION SOURCE DEST PROTO DEST ACCEPT loc: dmz tcp 22

Permitir solo a la dirección de zona de Red Local el acceso hacia el puerto 22 (ssh) de la dirección que está dentro de la DMZ: #ACTION SOURCE DEST PROTO DEST ACCEPT loc: dmz: tcp 22 Hacer DNAT desde la zona de Internet para los servicios de HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ: #ACTION SOURCE DEST PROTO DEST DNAT net dmz: tcp 80 DNAT net dmz: tcp 25,110 DNAT net dmz: tcp 53

Hacer DNAT desde la zona de la Red Local para los servicios de HTTP (puerto 80), SMTP (puerto 25), POP3 (puerto 110) y DNS (puerto 53) hacia diversos servidores localizados DMZ: #ACTION SOURCE DEST PROTO DEST DNAT loc dmz: tcp 80 DNAT loc dmz: tcp 25,110 DNAT loc dmz: tcp 53 Iniciar el cortafuegos y añadirlo a los servicios de arranque del sistema Para ejecutar por primera vez el servicio, ejecute: /sbin/service shorewall start Para hacer que los cambios hechos a la configuración surtan efecto, ejecute: /sbin/service shorewall restart Para detener el cortafuegos, ejecute: /sbin/service shorewall stop Para añadir Shorewall al arranque del sistema, ejecute: /sbin/chkconfig shorewall on

ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE

Presentaciones similares

Presentación del tema: "ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE

Presentaciones similares

Presentación del tema: "ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback