La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.

Publicada porRaquel Fidalgo Cano Modificado hace 7 años

Presentaciones similares

Presentación del tema: "Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter."— Transcripción de la presentación:

1 Linux como Firewall

2 Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.

3 Historia ● Largo soporte del subsistema de redes, desde sus principios. ● ipfw de BSD, primer Firewall, construido por Alan Cox en 1994. ● Kernel de GNU/Linux 2.0.x trae ipfw. ● Kernel de GNU/Linux 2.2.x trae ipchains. ● Kernel de GNU/Linux 2.4.x trae netfilter, asociado con iptables.

4 Netfilter ● Framework de filtrado de paquetes. ● Presente en kernel 2.4.x y 2.6.x ● Rediseñado y reescrito totalmente, no hereda nada de sus predecesores. ● Conjunto de hooks que através de modulos, recibe respuestas de los paquetes que cruzan el network stack.

5 Características(1/2) ● Soporta filtrado de paquetes stateless para IPv4 e IPv6. ● Soporta filtrado de paquetes stateful para IPv4 e IPv6. ● Soporta todos los tipos de direcciones de red y puertos de comunicación solo para IPv4.(NAT/NAPT)

6 Características(2/2) ● API de múltiples capas. ● Largo número de plug-ins y módulos. ● Infraestructura flexible y extensible.

7 Filtrado ● Filtro se realiza basado en las cabeceras de los paquetes. ● Opciones para hacer MATCH. – dirección src/dst. – puerto src/dst. – MAC address. – owner(uid,guid,..)

8 Filtrado ● Opciones para definir una regla. – DROP. – REJECT. – LOG. – ACCEPT. ● CHAIN's de reglas. – Relacionadas con la parte del stack donde se aplica. – Se pueden crear chains propios.

9 Filtrado ● Connection tracking o stateful firewall. – Permiten crear un filtrado más inteligente.

10 NAT/NAPT ● Implementa una estructura completa de NAT/NAPT. – src/dst NAT. – ports/hosts NAPT. – MASQUERADING. ● Soporta NAT de procolos complicados. – FTP. – IRC.

11 Network Stack ● Cada paquete de información proveniente de la red se almacena en la estructura de datos sk_buf. ● sk_buf contiene información de: – Información de capa de enlace (IEEE 802.3). – Información de capa de red (IP, y todos sus headers; src,dst, etc.). – Información extra, como el dueño o quien creo el paquete. – Además de todos los DATOS.

12 Estructura Netfilter ● Fases por las que atraviesa un paquete en IPv4.

13 Estructura Netfilter ● Puede mira sk_buf, alterarlo y decidir el futuro del paquete. – NF_ACCEPT: continúa. – NF_DROP: desaparece. – NF_STOLEN: roba el paquete (desaparece). – NF_QUEUE: encolar el paquete. – NF_REPEAT: llamar al hook nuevamente.

14 Estructura Netfilter + iptables ● Netfilter solo provee los hooks. ● iptables provee la estructura de Firewall/NAT/NAPT. ● Los hooks, son llamados en orden. ● Filter y NAT no estan en todos los hooks. ● Connection tracking.

15 Administración de iptables ● Componentes de iptables. – Tables. ● Filter, nat, mangle. – Chains. ● Para cada una de las tablas. ● Indican en que parte de la estructura esta el paquete. – Matchs. ● Identifican ciertos paquetes en una regla. – Targets. ● Deciden el futuro de un paquete en una regla.

16 iptables : tables + chains ● ¿ Por qué iptables? – ip(tables), implementación de firewall/NAT ha sido separada en tablas. ● iptables define 3 tablas de contexto. – filter: todas las reglas de filtraje. – nat: todas las reglas de nat. – mangle: reglas de manejo especial de alteración de paquetes.

17 iptables : tables + chains ● Cada tabla tiene sus chains predefinidos. – filter ● INPUT, FORWARD,OUTPUT. – nat ● PREROUTING, POSTROUTING, OUTPUT. – mangle ● POSTROUTING, OUTPUT.

18 iptables : matchs y targets ● Matchs. – Se realizan mediante la observación de uno o más headers de sk_buf. ● Targets. – Decidir que hacer con el paquete si cumple la regla. – Targets predefinidos. ● ACCEPT. ● DROP. ● QUEUE. ● RETURN.

19 iptables : matchs y targets ● Extensiones. – Generalmente ya viene incluidos cuando se configura e instala netfilter. – Ejemplos de extensiones. ● match state: stateful firewall. ● target REJECT: DROP, con un ICMP de vuelta.

20 Creando un Firewall con iptables Ejemplo: Desde la Red 1 (10.1.0.0/24) negar el acceso al host 10.2.0.10 iptables -A FORWARD -s 10.1.0.0/24 -d 10.2.0.10 -j DROP iptables -L

21 Preguntas y Respuestas

Descargar ppt "Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter."

Presentaciones similares

Carlos Armas Roundtrip Networks Hervey Allen NSRC.

Carlos Armas Roundtrip Networks Hervey Allen NSRC.
Introducción a los principales servicios de red. Enfoque práctico.

Introducción a los principales servicios de red. Enfoque práctico.
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Introducción al sistema operativo RouterOS Mikrotik

Introducción al sistema operativo RouterOS Mikrotik
Introducción al sistema operativo RouterOS Mikrotik

Introducción al sistema operativo RouterOS Mikrotik
Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red
Parte III Implementación

Parte III Implementación
Comunicación de Datos I

Comunicación de Datos I
Capa 3 La capa de red.

Capa 3 La capa de red.
“ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R. 1.

“ANÁLISIS, DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA PARA EVITAR ATAQUES AL PROTOCOLO ARP EN REDES DE ÁREA LOCAL” Andre Ortega A. Xavier Marcos R. 1.
FIREWALL.

FIREWALL.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.

Virtual Private Network CaFeLUG Briefing Trimestral Bco. Credicoop Abril 2003 Conceptos e Implementación.
Daniel E. Coletti CaFeLUG / LUGAr GNU/Linux y ``La Banda Ancha'' 1era Conferencia Abierta de GNU/Linux CaFeLUG – Capital Federal GNU/Linux Users Group.

Daniel E. Coletti CaFeLUG / LUGAr GNU/Linux y ``La Banda Ancha'' 1era Conferencia Abierta de GNU/Linux CaFeLUG – Capital Federal GNU/Linux Users Group.
DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.

DIDACTIFICACION DE IPv6 3.2 Stateless. Introducción a IPv6 RFC 4862: Stateless Address Autoconfiguration (SLAC) En la configuración stateless los equipos.
Práctica 9 – Configuraciones de ayuda a la seguridad.

Práctica 9 – Configuraciones de ayuda a la seguridad.
Tecnología de la información Unidad: 5 Redes Profesor: Fernando J. Martini.

Tecnología de la información Unidad: 5 Redes Profesor: Fernando J. Martini.
66.69 Criptografía y Seguridad Informática FIREWALL.

66.69 Criptografía y Seguridad Informática FIREWALL.
LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.

LOS SERVIDORES DHCP. Acerca del protocolo DHCP DHCP (acrónimo de Dynamic Host Configuration Protocol, que se traduce Protocolo de configuración dinámica.

Presentaciones similares

Anuncios Google