Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux.

Slides:



Advertisements
Presentaciones similares
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Advertisements

Que es y su funcionamiento básico
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
FIREWALL.
Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
66.69 Criptografía y Seguridad Informática FIREWALL.
LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
1 Firewalls – Proxys - AntiSpam Filtro de información José Juan Cerpa Ortega.
©2009 Sistemas TGR S.A. Reservados todos los derechos a Sistemas TGR y Endian firewall. Las anteriores son marcas comerciales o marcas registradas de sus.
FIREWALL SOBRE GNU/LINUX Políticas de Acceso Expositores Alex Llumiquinga Paulo Oñate Ana Ramos.
DISPOSITIVOS DE INTERCONEXIÓN DE REDES
FIREWALL.
Iptables Introduccion Comandos Basicos Ejemplos.
Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.
UT7. SEGURIDAD PERIMETRAL
Capa de Acceso de Red (Network Access Layer). Definición: Es la primera capa del modelo TCP/IP. Ofrece la capacidad de acceder a cualquier red física,
Redes en gnuLinex Sniffers y cortafuegos Antonio Durán.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.
Port knocking Antonio Mario Molina Saorín 13 de Julio de 2011 TC Caldum.
Laboratorio firewalls. Servicios firewalls ● NAT ● DMZ ● Reglas de filtrado ● Squid ● DNS ● DHCP ● SSH ● OpenVPN ● RSync.
Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.
Capa de Red OSI Integrantes Carlos Mario Estrada Puerta Alejandra Barragán Santiago Ramírez Santa.
“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.
RESUMEN M2-UF2 UF0855: Verificació i resolució d'incidències en una xarxa d'àrea local.
Seguridad Informática. Índice ● Métodos de protección – Protección local ● Antivirus – ¿Qué es? – ¿Qué hace? – Protección perimetral ● Firewall – ¿Qué.
NAT Y PAT ANALISIS Y DISEÑO DE REDES. ING. CESAR ARELLANO SALAZAR.
DOCENTE: Lic. Juan Araujo Herencia.  El punto de acceso es un dispositivo de capa 2, por intermedio de estos dispositivos, las estaciones Wireless.
Tema: Análisis de una red trocal multiservicio para encriptación de información sobre MPLS basada en el estándar IETF con el protocolo GETVPN Autor:
UF0854: Instalación y configuración de los nodos de una red local.
INTRODUCCIÓN A SISTEMAS FIREWALL
Conmutación de Ethernet
Capítulo 5: Capa Enlace de Datos IV
Definición de un Sistema Distribuido
Rodrigo Mallo, Victoria Martín. Software Sistema operativo de red Software de aplicación Hardware Concentradores MAU Hubs Switch Componentes Tarjeta de.
Rodrigo Mallo, Victoria Martín. Software Sistema operativo de red Software de aplicación Hardware Concentradores MAU Hubs Switch Componentes Tarjeta de.
TELEMATICA Cuestionario de videos
ARP - Address Resolution Protocol
Firewalls COMP 417.
PREGUNTAS Y RESPUESTAS BÁSICAS
Capa de Red: comunicación de host a host  La Capa de red o Capa 3 de OSI: Provee servicios para intercambiar secciones de datos individuales a través.
Redes.
Sistemas de Seguridad Informática
CONFIG URACIÓN DE UN ROUTER. DEFINICIÓN: Un router también conocido como enrutador, es un dispositivo que proporciona conectividad a nivel de red. Su.
66.69 Criptografía y Seguridad Informática FIREWALL.
Virtualizando de forma segura Julio César Ardita, CISM
1 Capítulo 14. IP: Direcciones en Internet Protocol ICD-327: Redes de Computadores Agustín J. González.
Introducción a las Redes Informáticas
REDES Video 7.
Eslared 2006 Seguridad Informática
Tema 1 – Adopción de pautas de seguridad informática
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
“Seguridad en Aplicaciones Web” -Defensa en Profundidad-
Implementación del enrutamiento entre VLAN
Modelo de TCP - IP.
¿ Qué es Wamp Server? Es un entorno de desarrollo web que nos va a permitir tener nuestro propio servidor o host local (instalado en nuestro ordenador).
POLÍTICAS DE SEGURIDAD Alumno: Aguilar Gallardo Carlos.
INTRODUCCION A CISCO IOS Morelia Montilla Reyes
2 Es el dispositivo digital lógico de interconexión de equipos que opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos.
FIREWALLS. ASPECTOS PROBLEMATICOS DE LA SEGURIDAD  Los virus y su constante desarrollo  Los troyanos  En general no detectados por antivirus  Las.
INTRODUCCIÓN A LAS REDES DE DATOS Una red de datos es un sistema que enlaza dos o más puntos (terminales) por un medio físico, el cual sirve para enviar.
Analizador de trafico de Red. Analizador de Tráfico de Red  En informática es un programa especializado en monitoreo y análisis, que captura tramas o.
Por: Onaldo Quintana Grupo Edistel, C.A.. ¿Qué es PfSense? Pfsense es una distribución basada en FreeBSD adaptada para ser usada como cortafuegos (Firewall)
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
Curso Redes (IS20) -Capítulo 5 1 Redes (IS20) Ingeniería Técnica en Informática de Sistemas Práctica 3- Estudio de tráfico sobre LAN
1 Capítulo 14. IP: Direcciones en Internet Protocol ICD-327: Redes de Computadores Agustín J. González.
NGFW – Next Generation Firewall Firewall de siguiente generación.
Transcripción de la presentación:

Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

1) Introducción a Firewall ¿Qué es un Firewall? Objetivos de un Firewall Tipos de Firewall 2) Netfilter/Iptables ¿Qué es Netfilter/Iptables? ¿Qué se puede hacer con Iptables? Políticas por defecto Cadenas Temario

2)...Netfilter/Iptables Tablas Acciones Básicas NAT 3) Ejemplos Prácticos Compartir internet Firewall para una red corporativa Firewall como servicio en Debian GNU/Linux Temario

Introducción a Firewall

● ¿Qué es un Firewall? – Un cortafuegos o firewall es un elemento de hardware o software que se utiliza para aumentar la seguridad de redes informáticas.

Introducción a Firewall ● Objetivos de un Firewall – Establecer seguridad entre diferentes zonas de confianza. ● Internet --> confianza nula. ● DMZ --> Zona desmilitarizada, confianza mayor que internet. ● LAN --> red local, usuarios, zona de alta confianza.

Introducción a Firewall ●...Objetivos de un Firewall – Proteger una red o host de intrusiones o accesos ilícitos. – Redirigir paquetes a una máquina en una red interna. – Otorgar acceso (ssh por ejemplo) solo desde sitios conocidos.

Tipos de Firewall ● Por Hardware – Cisco, Pix, etc. ● Por software – Firewall de Capa de Red (internet) ● Stateless ● Statefull – Firewall de Capa de Aplicación

Netfilter/Iptables ● ¿Qué es Netfilter/Iptables? – Netfilter corresponde a la infraestructura que posee un sistema GNU/Linux para realizar diferentes operaciones en el manejo y control de tráfico de paquetes. – Iptables es una estructura genérica de tablas para la definición de reglas.

Netfilter/Iptables ●...¿Qué es Netfilter/Iptables? – Las dos estructuras mencionadas se encuentran dentro del kernel linux de las ramas 2.4.x y 2.6.x. – Existe una implementación similar para ramas anteriores como la 2.2.x, la cual posee ipchains, y la 2.0.x que posee ipfwadm. – Netfilter, Iptables, connection tracking y el subsistema NAT constituyen el framework completo.

¿Qué se puede hacer con iptables? ● Filtrado de paquetes ● Redirección de paquetes ● Cambiar fuente de los paquetes ● Cambiar destino de los paquetes

Políticas por defecto ● Permitir todo, denegar algunos puertos, protocolos y/o redes...mala idea...siempre quedará algo abierto de más, es inseguro. ● Denegar todo (entradas y lo que pasa a través de las interfaces), y luego permitir lo estrictamente necesario. ¡Sí, esto lo lo mejor!

Políticas por defecto ● Dejar salir todo (algunos maniáticos filtran la salida...). ● Si dentro del firewall, un determinado tráfico de paquetes no hace match con ninguna regla en particular, entonces se aplica la política por defecto que corresponda.

Cadenas ● Input – El tráfico de paquetes que entra, independientemente de la interfaz por la cual lo hace. ● Output – El tráfico de paquetes que sale, independientemente de la interfaz por la cual lo hace.

Cadenas ● Forward – Corresponde al tráfico de paquetes que pasa desde una interfaz a otra. ● Prerouting – En esta instancia se modifica el destino de los paquetes (IP). ● Postrouting – En esta instancia se modifica la fuente de los paquetes (IP).

Esquema

Tablas ● Filter – Tabla por defecto. – Cumple funciones de filtrado. – Opciones: ● INPUT cadena ● OUTPUT cadena ● FORWARD cadena

Tablas ● NAT – Traduce direcciones IP. – Se puede traspasar el tráfico entrante hacia otro destino, Prerouting, DNAT. – Los paquetes salientes pasan a través de esta cadena antes de salir, se modifica su fuente (IP), SNAT. – Opciones ● PREROUTING cadena ● POSTROUTING cadena ● OUTPUT cadena

Tablas ● Mangle – Reglas Marcianas o_O – Es utilizada para manejar opciones de paquetes, como quality of service. – Posee todas las posibles cadenas predefinidas. ● PREROUTING cadena ● INPUT cadena ● FORWARD cadena ● OUTPUT cadena ● POSTROUTING cadena

Acciones Básicas ● ACCEPT – Acepta el paquete. – Tiene sentido en la cadena en donde se está utilizando. – Si es accept en la cadena INPUT, entonces se está aceptando a recibir paquetes desde un host. – Si es accept en la cadena FORWARD, entonces se está permitiendo el ruteo del paquete a través del host.

Acciones Básicas ● DROP – El paquete es eliminado sin realizar ningun tipo de procesamiento. – El paquete desaparece sin dar ninguna indicación a la aplicación que lo está enviando que ha sido eliminado. – El remitente finalmente se entera por timeout.

Acciones Básicas ● REJECT – El efecto es similar al de DROP, salvo que en este caso se da aviso al remitente que el paquete ha sido rechazado. ● LOG – Se utiliza para logear los paquetes que hacen match en una determinada cadena. – Puede ser usado en cualquier cadena y en cualquier tabla. – Se usa generalmente para debugging.

Acciones Básicas ● DNAT – Hace que la dirección de destino del paquete (y opcionalmente el puerto) sea reescrito/modificado por NAT. – Es válido solamente en las cadenas OUTPUT y PREROUTING de la tabla nat.

Acciones Básicas ● SNAT – Causa que la dirección fuente (y opcionalmente el puerto) sea reescrito/modificado por NAT. – Es válido solo en la cadena POSTROUTING en la tabla nat.

Acciones Básicas ● MASQUERADE – Es una forma especial y restringida de SNAT. – Se utiliza generalmente cuando el tráfico saliente de un gateway tiene una IP obtenida en forma dinámica. – Generalmente para compartir internet desde un router que está conectado a internet por módem o *DSL.

Ejemplos Prácticos ● Para compartir internet (router): – Ingredientes: ● Un tarro con GNU/Linux, kernel 2.4.x/2.6.x. ● Que el tarro tenga 2 tarjetas de red. ● Una de la interfaces de red está conectada a internet. ● La otra interfaz de red está configurada en una red local. Es este mismo segmento estarán los equipos que saldrán a internet. ● Un cable cruzado, hub o switch.

Ejemplos Prácticos ● Para compartir internet (router): – Script: – #touch firewall – #vim firewall (sí, soy vimero, ¿y qué?) – Script (ver en consola)

Ejemplos Prácticos ● Considerando una red corporativa, con LAN y DMZ – Condiciones: ● Se tiene los siguientes servicios en la DMZ: – SMTP, IMAP – HTTP – DNS – VPN ● En el gateway se tiene un proxy-caché. ● Se debe aceptar las conexiones al puerto 22 (ssh).

Ejemplos Prácticos ● Considerando una red corporativa, con LAN y DMZ – Condiciones: ● La LAN debe acceder a los servicios de la DMZ. ● La LAN debe salir a internet y se posee IP fija. – Script (ver en consola)

Ejemplos Prácticos ● Cómo dejar el script con las reglas para que inicie en forma automática en Debian GNU/Linux: ● Copia tu script a /etc/init.d – #cp firewall /etc/init.d ● Puedes dejarlo que se inicie y detenga en los runlevels por defecto: – #update-rc.d firewall defaults

Observaciones ● Detalles a considerar: – Si se tiene una LAN con un DNS de caché en la DMZ para la LAN, ¡tiene que ser con vistas! – Un firewall no asegura que no crackearán tu máquina. – Si tienes abiertos algunos puertos para acceso a servicios, ¡estos deben estar bien asegurados! – Si tienes un DNS de caché o primario/secundario, ¡que no sea recursivo para internet!

Observaciones ● Detalles a considerar: – Olvídate de POP-3... – Asegura tu kernel...

Para estudiar y probar ● Hardened Debian ● Bastille Linux, herramienta para endurecer la seguridad de sistemas con kernel linux (disponibles en varias distros). ● Nessus, herramienta de escaneo y detección de vulnerabilidades de máquinas en red. ● Selinux, herramientas y políticas para enducer la seguridad de un sistema.

Preguntas ● Vamos despertando... ● Saludos varios... ● ¡Gracias!

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.