Beruflich Dokumente
Kultur Dokumente
TECSUP
Introduccin
Actualmente, muchas empresas disponen de un acceso a
Internet para buscar informacin y publicar datos
relacionados a su negocio. Adicional a la implementacin
de un servidor Proxy se requiere la instalacin de un
Firewall el cual complementa las funciones realizadas por
el servidor Proxy.
Durante esta exposicin se tratar los conceptos y modos
de utilizar el servidor Firewall.
Redes II
TECSUP
Objetivos
Al completar este tema, el alumno estar en la capacidad
de realizar las siguientes tareas:
Identificar los componentes bsicos que conforman el servicio
Firewall.
Describir el funcionamiento del servicio Firewall.
Realizar la implementacin del servicio Firewall.
Contenido
En el presente texto se desarrollar los siguientes temas:
Definicin del servicio Firewall
Componentes del servicio Firewall
Instalacin y configuracin del servicio Firewall en GNU/Linux.
Redes II
TECSUP
Conocimiento Previo
Componentes del servicio Firewall
Tipos de Firewall
Filtrado IP, NAT, Stateful Packet Inspection
Implementacin del Firewall
Computadora genrica
Computadora especializada: appliance
Conexiones
Dos NICs
Tres NiCs
Firewall en Linux
Redes II
TECSUP
Equipo Firewall
Estructura
SOFTWARE
-Sistema
Operativo
-Aplicaciones
Control de
paquetes
INTERNET
HARDWARE
Tarjeta
RED
CPU
-Procesador
-Memoria
-Disco
Tarjeta
RED
7
Iptables
Software de Linux para implementar un Firewall de
Paquetes:
http://www.netfilter.org/
Caractersticas:
Iptables est integrado con el kernel y forma parte del sistema
operativo.
Software que permite generar las reglas de restricciones.
Soporte de NAT.
iptables firewall se incluye por defecto en Centos 6.4
Redes II
TECSUP
Composicin de Iptables
Estructura de la composicin del Iptables. Cada circulo
representa un control.
Las flechas indican el camino por donde circulara un
paquete y que control pasara.
PREROUTING
FORWARD
POSTROUTING
ROUTING
DECISION
INPUT
OUTPUT
PROCESO LOCAL
9
Acciones al Firewall
Los sentidos INPUT, OUTPUT, FORWARD
relacionado principalmente con acciones al Firewall.
esta
FORWARD
POSTROUTING
ROUTING
DECISION
INPUT
OUTPUT
PROCESO LOCAL
10
Redes II
TECSUP
Acceso a Servicios
Los
sentidos
PREROUTING,
FORWARD,
POSTROUTING, son usados para permitir o bloquear
acciones de ENTRADA o SALIDA de la RED.
EJEMPLO: Permitiendo salir a servicio Web (Puerto 80) o bloquear
el acceso a Messenger (Puerto 1863).
FORWARD
PREROUTING
POSTROUTING
ROUTING
DECISION
SERVIDORES
OUTPUT
INPUT
PROCESO LOCAL
11
Redes II
TECSUP
Parmetros de IPtables
El comando iptables puede utilizar diversos parmetros:
iptables -t [tabla] -[AIRDLFZNXP] [regla] [criterio] -j [accin]
Parmetros de IPTABLES
-t [tabla]
-[AIRDLFZNXP]
[regla]
[criterio]
Aqu es donde se especificarn las caractersticas del tipo de paquete que casar con
esta regla. Para establecer reglas sencillas (reglas stateless), puede operar con las
siguientes opciones : -s (ip/red fuente), -d (ip/red destino), --sport (puerto fuente),
--dport (puerto destino), y -p (protocolo).
iptables -A FORWARD -p [protocolo] -s [ip/red fuente] --sport [puerto
fuente] -d [ip/red destino] --dport [puerto destino] -j DROP
-j [action]
Aqu se indica que es lo que hay que hacer con el paquete. Las posibles opciones
son : ACCEPT, REJECT, DROP, REDIRECT, LOG (existen ms, pero estas son las
bsicas).
ACCEPT aceptar el paquete.
REJECT o DROP lo desecharn, la diferencia entre ellos reside en que DROP
descartar el paquete silenciosamente y REJECT emitir un paquete ICMP Port
Unreachable, indicando que est cerrado.
REDIRECT redirigir el paquete a donde se indique en el criterio del comando.
LOG lo registrar (log) para su posterior anlisis.
14
Redes II
TECSUP
Implementacin
Requisitos para la implementacin:
Interfaces de Red.
Asignacin de IP a las tarjetas de red.
Forwardeo.
Configuracin de Polticas
15
Tarjetas de Red
Para proteger a la Red de la Empresa, el Firewall constar
de 2 tarjetas:
ESQUEMA
DE RED
eth0
eth1
RED PUBLICA
(INTERNET)
MODULOS
TARJETA RED
RED PRIVADA
(EMPRESA)
Archivo (modules.con
o modprobe.conf)
16
Redes II
TECSUP
Por recomendacin
opte este mtodo de
configuracin de los
parmetros de Red
17
Esquema de red
La configuracin
de los parmetros,
se llevar a cabo
en el Firewall (FW)
18
Redes II
TECSUP
Forwardeo
El FORWARDEO es la propiedad de los EQUIPOS de
comunicaciones de enviar los paquetes de una RED a otra
RED.
FORWARD
INPUT
OUTPUT
OUTPUT
eth1
eth0
INPUT
FORWARD
ARCHIVO DE
CONFIGURACION
19
Archivo de Polticas
El ingreso de comandos de Iptables es por consola.
Para generar un conjunto de polticas lo recomendable es
generar un SCRIPT con el contenido de las polticas a
usar:
GENERANDO
ARCHIVO DE
POLITICAS
REGISTRANDO EL
ARCHIVO DE POLITICAS
PARA CARGARSE AL
INICIO
20
10
Redes II
TECSUP
21
Predeterminado Polticas
IPTABLES, segn la lista de polticas podr tomar dos
acciones que se tendr que especificar:
ACCEPT = Aceptar paquete
DROP = Rechazar paquete
iptables -P [accion]
Con la accin de
limpieza no borra la
accin
predeterminada.
Predeterminaremos la
accin de ACCEPT
22
11
Redes II
TECSUP
Visualizando Polticas
Visualizando la informacin del contenido de las tablas
nos asegurar la informacin ingresada con Iptables.
23
SERVIDORES
ATACANTE
FIREWALL
ESTACIONES
24
12
Redes II
TECSUP
SERVIDORES
ATACANTE
FIREWALL
ESTACIONES
25
iptables -A INPUT -i lo
i = Interface
-j
ACCEPT
lo = Alias de la
interface loopback
FIREWALL
26
13
Redes II
TECSUP
ATACANTE
ESTACIONES
FIREWALL
27
Enmascaramiento
El ENMASCARAMIENTO
realiza el proceso de
reemplazar la IP ORIGEN de los PAQUETES de la RED
LOCAL por la IP EXTERNA (192.168.90.113) que
pertenece al ENMASCARADOR (FIREWALL).
192.168.90.113
192.168.20.1
FIREWALL
iptables
-t nat -A
POSTROUTING -s
192.168.20.5
ESTACIONES
[RED_PRIV]/[mascara] -j
MASQUERADE
28
14
Redes II
TECSUP
Permiso DNS
Autorizar salida de trfico DNS
SINTAXIS
iptables -t nat -A
--sport 1024:65535
ESTACIONES
DNS
TRANSPORTE=UDP
PUERTO=53
FIREWALL
192.168.20.5
APLICACION
Es importante el
de informarnos
del protocolo de
transporte y
puerto que el
Servicio usa
29
Permiso WEB
Autorizar salida de protocolo HTTP
SINTAXIS
iptables -t nat -A
--sport 1024:65535
ESTACIONES
WEB
FIREWALL
TRANSPORTE=TCP
PUERTO=80
192.168.20.5
APLICACIN
30
15
Redes II
TECSUP
31
NAT
Network Address Traslation: Traslacin de Direccin de
RED.
Realiza el traslado o cambio de direcciones IP o puertos.
Se usa en las redes privadas para cambiar sus direcciones IP
privadas por direcciones IP publicas.
El cliente
accede a la IP
publica que es
representado
por el Firewall
El proceso de NAT
permite que la IP origen
sea remplazada por la IP
publica del Firewall
El cliente
interno solicita
una conexin
con su IP
interna
El proceso de
NAT aplicado en el
Firewall, permite
que la conexin
recibida por el
Firewall sea
encaminada al
Servidor Interno
32
16
Redes II
TECSUP
IPTABLES: NAT
Iptables soporta los tipos de NAT:
DNAT: Traslacin de IP y puerto destino a otra IP y puerto destino.
SNAT: Traslacin de IP y puerto origen a otra IP y puerto origen.
MASQUERADE: Traslacin de un grupo de IP origen por otra IP
origen.
REDIRECT: No realiza cambio al paquete, redirecciona el paquete
segn la IP o puerto destino, por ejemplo el de direccionar el
trfico Web a un Proxy Server.
MASQUERADE
DNAT
REDIRECT
33
SNAT
IP de Servidores
Los Firewall asumirn las IP pblicas de los Servidores
ubicados en la red interna.
Con funciones de NAT realizarn posteriormente el
traslado de la conexin que llega al Firewall enviando
hacia el Servidor Interno.
CASO:
La IP 192.168.90.116
representara al Servidor WEB
FIREWALL
192.168.90.113
192.168.90.116
192.168.20.1
SERVIDOR
WEB
192.168.20.5
34
17
Redes II
TECSUP
DNAT
Traslacin para el ingreso a un Servicio WEB:
OBJETIVO
POLITICA DE DNAT
35
SNAT
Asignar una IP Pblica fija al Servidor para el envi de
datos a la Red Pblica:
CASO:
Asignar una IP fija Pblica a los datos que
enven el Servidor de Correo a la Red Pblica.
FIREWALL
SERVIDOR
CORREO
192.168.90.113
192.168.90.116
eth0
192.168.20.1
192.168.20.5
POLITICA DE SNAT
36
18
Redes II
TECSUP
REDIRECT
Redirecciona el trfico de WEB al Servicio de Proxy:
PROXY
SQUID
CASO:
Los requerimientos de conexiones WEB de los
Clientes ser redireccionado al Servicio
PROXY que esta instalado en el FIREWALL.
8080
TCP
CLIENTE
192.168.90.113
192.168.90.116
eth1
eth0
192.168.20.10
192.168.20.1
FIREWALL
POLITICA DE REDIRECT
37
Log
Los eventos permiten obtener estadsticas de eventos de
intentos de acciones no autorizadas.
En cada bloque (INPUT, OUTPUT, PREROUTING,
POSTOUTING) puede activarse los eventos.
APLICANDO SOPORTE DE EVENTOS
VISUALIZANDO EVENTOS
# tail -f /var/log/messages
Jun 19 17:34:11 localhost kernel: IN=eth0 OUT= MAC=00:50:da:ea:ab:58:00:50:da:e9:df:09:08:00
SRC=200.100.10.120 DST=200.100.10.168 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80
DPT=1113 WINDOW=5792 RES=0x00 ACK SYN URGP=0
38
19
Redes II
TECSUP
Ejemplo:
iptables F INPUT
iptables F OUTPUT
iptables F FORWARD
iptables t nat F PREROUTING
iptables t nat F POSTROUTING
iptables t nat F OUTPUT
//Todas las tablas estn en ACCEPT
iptables P INPUT DROP
iptables P OUTPUT DROP
iptables L
Iptables L nat
39
Ejemplo de un script:
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables
iptables
iptables
iptables
iptables
iptables
40
20
Redes II
TECSUP
41
Sntesis
Iptables est incorporado en el Kernel de Linux, lo trae
todas las distribuciones de Linux.
Para realizar las polticas el orden es bloquear todo y
luego generar las autorizaciones.
Iptables trae el soporte de NAT.
42
21
Redes II
TECSUP
Cuestionario
En que capas trabaja el FIREWALL?
Qu sentido del FIREWALL (INPUT, OUTPUT,
FORWARD, POSTROUTING, PREROUTING) bloquea a
los usuarios acceder a los servidores Web ubicados en
Internet?
Qu es el servicio NAT?
Cules son las desventajas de un Firewall?
43
Enlaces
Tutoriales de IPTables
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/dociptables-firewall-html/
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
44
22