La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux.

Publicada porGerardo Núñez Maidana Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux."— Transcripción de la presentación:

1 Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

2 1) Introducción a Firewall ¿Qué es un Firewall? Objetivos de un Firewall Tipos de Firewall 2) Netfilter/Iptables ¿Qué es Netfilter/Iptables? ¿Qué se puede hacer con Iptables? Políticas por defecto Cadenas Temario

3 2)...Netfilter/Iptables Tablas Acciones Básicas NAT 3) Ejemplos Prácticos Compartir internet Firewall para una red corporativa Firewall como servicio en Debian GNU/Linux Temario

4 Introducción a Firewall

5 ● ¿Qué es un Firewall? – Un cortafuegos o firewall es un elemento de hardware o software que se utiliza para aumentar la seguridad de redes informáticas.

6 Introducción a Firewall ● Objetivos de un Firewall – Establecer seguridad entre diferentes zonas de confianza. ● Internet --> confianza nula. ● DMZ --> Zona desmilitarizada, confianza mayor que internet. ● LAN --> red local, usuarios, zona de alta confianza.

7 Introducción a Firewall ●...Objetivos de un Firewall – Proteger una red o host de intrusiones o accesos ilícitos. – Redirigir paquetes a una máquina en una red interna. – Otorgar acceso (ssh por ejemplo) solo desde sitios conocidos.

8 Tipos de Firewall ● Por Hardware – Cisco, Pix, etc. ● Por software – Firewall de Capa de Red (internet) ● Stateless ● Statefull – Firewall de Capa de Aplicación

9 Netfilter/Iptables ● ¿Qué es Netfilter/Iptables? – Netfilter corresponde a la infraestructura que posee un sistema GNU/Linux para realizar diferentes operaciones en el manejo y control de tráfico de paquetes. – Iptables es una estructura genérica de tablas para la definición de reglas.

10 Netfilter/Iptables ●...¿Qué es Netfilter/Iptables? – Las dos estructuras mencionadas se encuentran dentro del kernel linux de las ramas 2.4.x y 2.6.x. – Existe una implementación similar para ramas anteriores como la 2.2.x, la cual posee ipchains, y la 2.0.x que posee ipfwadm. – Netfilter, Iptables, connection tracking y el subsistema NAT constituyen el framework completo.

11 ¿Qué se puede hacer con iptables? ● Filtrado de paquetes ● Redirección de paquetes ● Cambiar fuente de los paquetes ● Cambiar destino de los paquetes

12 Políticas por defecto ● Permitir todo, denegar algunos puertos, protocolos y/o redes...mala idea...siempre quedará algo abierto de más, es inseguro. ● Denegar todo (entradas y lo que pasa a través de las interfaces), y luego permitir lo estrictamente necesario. ¡Sí, esto lo lo mejor!

13 Políticas por defecto ● Dejar salir todo (algunos maniáticos filtran la salida...). ● Si dentro del firewall, un determinado tráfico de paquetes no hace match con ninguna regla en particular, entonces se aplica la política por defecto que corresponda.

14 Cadenas ● Input – El tráfico de paquetes que entra, independientemente de la interfaz por la cual lo hace. ● Output – El tráfico de paquetes que sale, independientemente de la interfaz por la cual lo hace.

15 Cadenas ● Forward – Corresponde al tráfico de paquetes que pasa desde una interfaz a otra. ● Prerouting – En esta instancia se modifica el destino de los paquetes (IP). ● Postrouting – En esta instancia se modifica la fuente de los paquetes (IP).

16 Esquema

17 Tablas ● Filter – Tabla por defecto. – Cumple funciones de filtrado. – Opciones: ● INPUT cadena ● OUTPUT cadena ● FORWARD cadena

18 Tablas ● NAT – Traduce direcciones IP. – Se puede traspasar el tráfico entrante hacia otro destino, Prerouting, DNAT. – Los paquetes salientes pasan a través de esta cadena antes de salir, se modifica su fuente (IP), SNAT. – Opciones ● PREROUTING cadena ● POSTROUTING cadena ● OUTPUT cadena

19 Tablas ● Mangle – Reglas Marcianas o_O – Es utilizada para manejar opciones de paquetes, como quality of service. – Posee todas las posibles cadenas predefinidas. ● PREROUTING cadena ● INPUT cadena ● FORWARD cadena ● OUTPUT cadena ● POSTROUTING cadena

20 Acciones Básicas ● ACCEPT – Acepta el paquete. – Tiene sentido en la cadena en donde se está utilizando. – Si es accept en la cadena INPUT, entonces se está aceptando a recibir paquetes desde un host. – Si es accept en la cadena FORWARD, entonces se está permitiendo el ruteo del paquete a través del host.

21 Acciones Básicas ● DROP – El paquete es eliminado sin realizar ningun tipo de procesamiento. – El paquete desaparece sin dar ninguna indicación a la aplicación que lo está enviando que ha sido eliminado. – El remitente finalmente se entera por timeout.

22 Acciones Básicas ● REJECT – El efecto es similar al de DROP, salvo que en este caso se da aviso al remitente que el paquete ha sido rechazado. ● LOG – Se utiliza para logear los paquetes que hacen match en una determinada cadena. – Puede ser usado en cualquier cadena y en cualquier tabla. – Se usa generalmente para debugging.

23 Acciones Básicas ● DNAT – Hace que la dirección de destino del paquete (y opcionalmente el puerto) sea reescrito/modificado por NAT. – Es válido solamente en las cadenas OUTPUT y PREROUTING de la tabla nat.

24 Acciones Básicas ● SNAT – Causa que la dirección fuente (y opcionalmente el puerto) sea reescrito/modificado por NAT. – Es válido solo en la cadena POSTROUTING en la tabla nat.

25 Acciones Básicas ● MASQUERADE – Es una forma especial y restringida de SNAT. – Se utiliza generalmente cuando el tráfico saliente de un gateway tiene una IP obtenida en forma dinámica. – Generalmente para compartir internet desde un router que está conectado a internet por módem o *DSL.

26 Ejemplos Prácticos ● Para compartir internet (router): – Ingredientes: ● Un tarro con GNU/Linux, kernel 2.4.x/2.6.x. ● Que el tarro tenga 2 tarjetas de red. ● Una de la interfaces de red está conectada a internet. ● La otra interfaz de red está configurada en una red local. Es este mismo segmento estarán los equipos que saldrán a internet. ● Un cable cruzado, hub o switch.

27 Ejemplos Prácticos ● Para compartir internet (router): – Script: – #touch firewall – #vim firewall (sí, soy vimero, ¿y qué?) – Script (ver en consola)

28 Ejemplos Prácticos ● Considerando una red corporativa, con LAN y DMZ – Condiciones: ● Se tiene los siguientes servicios en la DMZ: – SMTP, IMAP – HTTP – DNS – VPN ● En el gateway se tiene un proxy-caché. ● Se debe aceptar las conexiones al puerto 22 (ssh).

29 Ejemplos Prácticos ● Considerando una red corporativa, con LAN y DMZ – Condiciones: ● La LAN debe acceder a los servicios de la DMZ. ● La LAN debe salir a internet y se posee IP fija. – Script (ver en consola)

30 Ejemplos Prácticos ● Cómo dejar el script con las reglas para que inicie en forma automática en Debian GNU/Linux: ● Copia tu script a /etc/init.d – #cp firewall /etc/init.d ● Puedes dejarlo que se inicie y detenga en los runlevels por defecto: – #update-rc.d firewall defaults

31 Observaciones ● Detalles a considerar: – Si se tiene una LAN con un DNS de caché en la DMZ para la LAN, ¡tiene que ser con vistas! – Un firewall no asegura que no crackearán tu máquina. – Si tienes abiertos algunos puertos para acceso a servicios, ¡estos deben estar bien asegurados! – Si tienes un DNS de caché o primario/secundario, ¡que no sea recursivo para internet!

32 Observaciones ● Detalles a considerar: – Olvídate de POP-3... – Asegura tu kernel...

33 Para estudiar y probar ● Hardened Debian http://www.debian-hardened.org/http://www.debian-hardened.org/ ● Bastille Linux, herramienta para endurecer la seguridad de sistemas con kernel linux (disponibles en varias distros). ● Nessus, herramienta de escaneo y detección de vulnerabilidades de máquinas en red. ● Selinux, herramientas y políticas para enducer la seguridad de un sistema.

34 Preguntas ● Vamos despertando... ● Saludos varios... ● ¡Gracias!

Descargar ppt "Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux."

Presentaciones similares

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Que es y su funcionamiento básico

Que es y su funcionamiento básico
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
FIREWALL.

FIREWALL.
Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.

Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
66.69 Criptografía y Seguridad Informática FIREWALL.

66.69 Criptografía y Seguridad Informática FIREWALL.
LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.

LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.

Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
1 Firewalls – Proxys - AntiSpam Filtro de información José Juan Cerpa Ortega.

1 Firewalls – Proxys - AntiSpam Filtro de información José Juan Cerpa Ortega.
©2009 Sistemas TGR S.A. Reservados todos los derechos a Sistemas TGR y Endian firewall. Las anteriores son marcas comerciales o marcas registradas de sus.

©2009 Sistemas TGR S.A. Reservados todos los derechos a Sistemas TGR y Endian firewall. Las anteriores son marcas comerciales o marcas registradas de sus.
FIREWALL SOBRE GNU/LINUX Políticas de Acceso Expositores Alex Llumiquinga Paulo Oñate Ana Ramos.

FIREWALL SOBRE GNU/LINUX Políticas de Acceso Expositores Alex Llumiquinga Paulo Oñate Ana Ramos.
DISPOSITIVOS DE INTERCONEXIÓN DE REDES

DISPOSITIVOS DE INTERCONEXIÓN DE REDES
FIREWALL.

FIREWALL.
Iptables Introduccion Comandos Basicos Ejemplos.

Iptables Introduccion Comandos Basicos Ejemplos.
Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.

Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.
UT7. SEGURIDAD PERIMETRAL

UT7. SEGURIDAD PERIMETRAL
Capa de Acceso de Red (Network Access Layer). Definición: Es la primera capa del modelo TCP/IP. Ofrece la capacidad de acceder a cualquier red física,

Capa de Acceso de Red (Network Access Layer). Definición: Es la primera capa del modelo TCP/IP. Ofrece la capacidad de acceder a cualquier red física,
Redes en gnuLinex Sniffers y cortafuegos Antonio Durán.

Redes en gnuLinex Sniffers y cortafuegos Antonio Durán.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.

Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.
Port knocking Antonio Mario Molina Saorín 13 de Julio de 2011 TC Caldum.

Port knocking Antonio Mario Molina Saorín 13 de Julio de 2011 TC Caldum.

Presentaciones similares

Anuncios Google