Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porAndrés Hugo Torregrosa Suárez Modificado hace 7 años
1
“Firewalls”
2
Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos de una red interna Programa capaz de analizar paquetes con el propósito de modificarlos, bloquearlos o mandarlos a su destino Mecanismo para filtrar paquetes basado en la información de los encabezados
3
Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Firewall
4
Dos tipos de comportamiento (Política) Lo que no está expresamente prohibido está permitido –Default: permitir entrada –Usuarios Lo que no está expresamente permitido está prohibido –Default: negar entrada –Expertos El administrador decide
5
Hola que tal! En la red..... MAC Desti no MAC Orige n CRC Puert o Desti no Puert o Orige n Dato s IP Destin o IP Orige n
6
Tenemos acceso a: –Direcciones MAC: destino y origen –Direcciones IP: destino y origen –Puertos: destino y origen –Campos de encabezados Protocolo: TCP, UDP, ICMP, ARP Banderas, etc –Datos: aplicación MAC Destin o MAC Origen CRC IP Destin o IP Origen Puerto Destin o Puerto Origen Datos
7
Filtrado de tráfico Por dirección MAC –Bloquear/permitir máquinas individuales Por dirección IP –Bloquear/permitir direcciones individuales o grupos Por puerto –Permitir o bloquear servicios (http, ftp, smtp, etc.) Por protocolo –TCP, UDP, ICMP –ej: bloquear “ping”
8
Firewalls: Arquitectura Básica Red Interna Internet
9
Firewalls: Arquitectura con DMZ Red Interna Internet Zona DMZ
10
Firewalls: Arquitecura Dual con DMZ Red Interna Internet Zona DMZ
11
Tipos de Firewall Filtradores de paquetes Analizador de estados Proxy de aplicación Guardias (Guards) Personales
12
Filtrador de paquetes Simple Efectivo No ven “adentro” de los paquetes, sólo encabezados Filtran con base en direcciones –MAC, IP, Puerto Bloquear entrada o salida
13
Firewall personal Internet
14
Netfilter/Iptables Kernel 2.0 – ipfwadm Kernel 2.2 – ipchains Kernel 2.4 – netfilter/iptables –netfilter: parte del kernel –iptables: herramienta para crear reglas (funciones) y “engancharlas” en el kernel por medio de netfilter Reglas definen el manejo de los paquetes: Filtrar, NAT, manipular
15
Tablas Cada tabla define funcionalidades en forma amplia –Filtrado filter (default) –NAT nat –Modificación Mangle – Raw Las tablas se componen de cadenas – Integradas y definidas por el usuario
16
Cadenas (chains) Cadenas para filter – INPUT, OUTPUT, FORWARD Cadenas para nat – PREROUTING, OUTPUT, POSTROUTING Cadenas para mangle – PREROUTING, OUTPUT
17
Cadenas para filter INPUT –Para paquetes que van a la máquina local OUTPUT –Para paquetes que son generados por la máquina local FORWARD –Para paquetes que son “ruteados” por la máquina local –Conexión entre dos redes
18
Flujo a través de filter y nat
19
Tablas, cadenas, reglas, parámetros y targets
20
Funcionamiento Cada paquete que se recibe o envía está sujeto a por lo menos una tabla Una tabla contiene cadenas que procesan los paquetes en forma específica Las cadenas tienen reglas que se aplican a cada paquete Cada regla tiene una serie de parámetros (matches) que se comparan con datos del paquete En el momento en que un paquete cumple una regla, es decir la comparación parámetro por parámetro es verdadera se le aplica una acción (target)
21
Acciones (targets) ACCEPT, DROP, REJECT, LOG, RETURN Cada cadena tiene un política por default la cual se aplica en caso de que el paquete no cumpla ninguna regla – ACCEPT, DROP
22
Acciones (targets) ACCEPT –El paquete continua su camino DROP –Deshecha el paquete. no se sigue procesando. Como si el paquete nunca hubiese llegado (o enviado) LOG –Se escribe en la bitácora syslog REJECT –Deshecha el paquete y envía una respuesta adecuada RETURN –Continua procesando el paquete dentro de la cadena
23
Algunos parámetros -p --protocol –Protocolo usado: udp, tcp, icmp -s --source –Dirección IP origen -d --destination –Dirección IP destino -i --in-interface –Interfaz de entrada
24
Más parámetros --source-port --sport –Puerto origen del paquete --destination-port--dport –Puerto destino del paquete --tcp-flags – SYN, ACK, PSH, URG, FIN, RST, ALL -- icmp-type – Tipo de mensaje icmp – 0: echo-reply, 8: echo-request, 3: port unreachable
25
Algunos comandos -A(Append) –Agrega una regla al final de la cadena -Inúmero(Insert) –Inserta una regla, antes de la regla número -D número(Delete) –Borra la regla número -F cadena(Flush) –Borra todas las reglas de una cadena -Lcadena(List) –Lista las reglas de una cadena
26
Algunos comandos -N cadena(New) –Crea una nueva cadena -X cadena –Borra la cadena -P cadena target(Policy) –Crea un target por default, en caso de que ninguna regla se haya aplicado al paquete
27
Algunas opciones --line-numbers –Se usa con -- list para ver los números de las reglas -n –Se usa con -- list para que los puertos y las direcciones IP se desplieguen en forma numérica en lugar de nombres
28
Reglas iptables -A INPUT -s 10.16.54.243 -p tcp – destination-port telnet -j DROP iptables -A INPUT -p tcp –-dport 23 j DROP iptables -A INPUT -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j REJECT
29
Reglas iptables -A INPUT -s 10.17.43.235 -j DROP iptables -A INPUT -s atacante.losmalos.com -j DROP iptables -A INPUT -s 10.17.43.0/24 -j DROP iptables -A INPUT -s 10.17.43.0/255.255.255.0 -j DROP iptables -A INPUT -s 0/0 -j DROP iptables -A INPUT -j DROP
30
Comandos iptables -L – Lista todas las reglas activas de todas las tablas y sus cadenas iptables -L -n – Las reglas se despliegan con Ips y puertos en forma numérica, en lugar de nombres iptables -L -t filter – Despliega las reglas de una tabla específica. filter es el default iptables -L –line-numbers – Despliega las reglas numeradas. Util para posibles INSERT
31
Comandos iptables -F – Borra todas las reglas de las cadenas de la tabla filter iptables -F INPUT – Borra todas las reglas de la cadena INPUT de la tabla filter iptables -D INPUT 7 – Borra la séptima regla de la cadena INPUT de la tabla filter iptables -P INPUT DROP – Todos los paquetes que no satisfagan alguna regla en la entrada serán descartados, sin respuesta
32
Sesión iptables -F iptables -A INPUT -s 0/0 -p tcp –-dport 22 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp --sport 22 -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP Borrar todas las reglas de la tabla filter Aceptar entrada y salida de paquetes para conexión remota a través de ssh Poner la política de rechazar todos los paquetes de entrada y no permitir paquetes de salida. ¿Qué pasa si quitamos la última política? La máquina está completamente aislada de la red, con excepción de conexiones remotas desde cualquier máquina en Internet por medio de “secure shell”
33
Sesión iptables -A INPUT -s 0/0 -p tcp –-dport 80 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport 80 -j ACCEPT iptables -A INPUT -p tcp –-dport http -j ACCEPT iptables -A OUTPUT -p tcp –-sport http -j ACCEPT igual a: Dejamos que nuestro servidor de Web acepte peticiones y sirva páginas iptables -A INPUT -s 0/0 -p tcp –-dport 8080 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport 8080 -j ACCEPT
34
Sesión iptables -A INPUT -p icmp –icmp-type 8 -j REJECT iptables -A OUTPUT -p icmp –icmp-type 3 -j ACCEPT Rechazamos “pings” contestando con un mensaje adecuado “destination port unreachable”. En lugar de simplemente ignorar el paquete
35
Cambios permamentes Los cambios a las tablas (nuevas reglas) se activan en el mismo momento en que se escriben con iptables, pero se quedan en memoria iptables-save [>archivo] –Graba las tablas en archivo o /etc/sysconfig/iptables si no se especifica iptables-restore archivo –Escribe las tablas que están en archivo a memoria
36
Firewalls Pueden proteger una red si es que controlan el perímetro completo –Un usuario conectándose por modem o inalámbrica No protegen datos fuera del perímetro –Una vez en las afueras...... Son la parte más visible de una red y la más atractiva para ataques –No es conveniente depender de esta sola herramienta para protección (Defense in depth)
37
Firewalls Deben de estar correctamente configurados Actualizar configuraciones ante cualquier cambio en la red Revisión periódica de bitácoras (logs) Mantenerlo simple –Son blancos preferidos, hay que mantenerlos sencillos (sin muchas herramientas), en caso de un ataque El control sobre los datos es menor –Datos no correctos o código malicioso deben ser controlados por otros medios
38
Información www.netfilter.org man iptables
39
¿Es suficiente un firewall?
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.