Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose...

Administraciòn y Mantenimiento de redes en Administraciòn y Mantenimiento de redes en LinuxLinux

Profesor: Lic. Albino Profesor: Lic. Albino Petlacalco RuizPetlacalco Ruiz

M.C. Jose David Alanis M.C. Jose David Alanis UrquietaUrquieta

CORTAFUEGOS CON

SHOREWALL


1MIZRAIN CANO CHICO

Un Firewall es un dispositivo que filtra el tráfico Un Firewall es un dispositivo que filtra el tráfico entre redes y es aquel que garantiza la seguridad entre redes y es aquel que garantiza la seguridad de los equipos de cómputo ante los peligros de los equipos de cómputo ante los peligros cibernéticos de la red área local (LAN) o bien cibernéticos de la red área local (LAN) o bien mantener al margen contra ataques en Internet. mantener al margen contra ataques en Internet. Puede ser un dispositivo físico o un software Puede ser un dispositivo físico o un software sobre un sistema operativo. sobre un sistema operativo.

Es decir es un firewall es un hardware especifico Es decir es un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. pasa, se modifica, se convierte o se descarta.

Muro de Cortafuegos


2MIZRAIN CANO CHICO

El siguiente dibujo es un esquema de firewall El siguiente dibujo es un esquema de firewall entre red local e internetentre red local e internet

Los firewalls se pueden usar en cualquier red y Los firewalls se pueden usar en cualquier red y contienen un conjunto de reglas en las que se contienen un conjunto de reglas en las que se examina el origen y destino de los paquetes examina el origen y destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos probable que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, también los udp.tipos de ellos, no solo los tcp, también los udp.


3MIZRAIN CANO CHICO

El conjunto de reglas de un firewall son:El conjunto de reglas de un firewall son: Politica por defecto ACEPTAR.Politica por defecto ACEPTAR. Todo lo que venga de la red local al firewall ACEPTARTodo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 Todo lo que venga de la ip de mi casa al puerto tcp 22

ACEPTARACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp Todo lo que venga de la ip de casa del jefe al puerto tcp

1723 ACEPTAR1723 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 Todo lo que venga de hora.rediris.es al puerto udo 123

ACEPTARACEPTAR Todo lo que venga de la red local y vaya al exterior Todo lo que venga de la red local y vaya al exterior

ENMASCARARENMASCARAR Todo lo que venga del exterior al puerto tcp 1 al 1024 Todo lo que venga del exterior al puerto tcp 1 al 1024

DENEGARDENEGAR Todo lo que venga del exterior al puerto tcp 3389 Todo lo que venga del exterior al puerto tcp 3389

DENEGARDENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 Todo lo que venga del exterior al puerto udp 1 al 1024

DENEGARDENEGAR


4MIZRAIN CANO CHICO

En definitiva lo que se hace es:En definitiva lo que se hace es:

Habilita el acceso a puertos de Habilita el acceso a puertos de administración a determinadas IPs administración a determinadas IPs privilegiadasprivilegiadas

Enmascara el trafico de la red local hacia Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de el exterior (NAT, una petición de un pc de la LAN sale al exterior con la ip pública), la LAN sale al exterior con la ip pública), para poder salir a internetpara poder salir a internet

Deniega el acceso desde el exterior a Deniega el acceso desde el exterior a puertos de administración y a todo lo que puertos de administración y a todo lo que este entre 1 y 1024.este entre 1 y 1024.


5MIZRAIN CANO CHICO

Existen dos maneras de implementar un Existen dos maneras de implementar un firewall:firewall:

Política por defecto ACEPTAR: en principio todo Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente.solo se denegará lo que se diga explícitamente.

Política por defecto DENEGAR: todo esta Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente.firewall aquellos que se permita explícitamente.

La primera política facilita mucho la gestión del La primera política facilita mucho la gestión del firewall, ya que simplemente protegemos firewall, ya que simplemente protegemos aquellos puertos o direcciones que sabemos aquellos puertos o direcciones que sabemos que nos interesa; el resto no importa tanto y se que nos interesa; el resto no importa tanto y se deja pasar. deja pasar.


6MIZRAIN CANO CHICO

Si la política por defecto es DENEGAR, a no ser Si la política por defecto es DENEGAR, a no ser que lo permitamos explícitamente, el firewall se que lo permitamos explícitamente, el firewall se convierte en un auténtico MURO infranqueable. convierte en un auténtico MURO infranqueable.

Es importante mencionar que el orden en el que Es importante mencionar que el orden en el que se ponen las reglas de firewall es determinante. se ponen las reglas de firewall es determinante. Normalmente cuando hay que decidir que se Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que regla del firewall hasta que se encuentra una que le afecta y se hace lo que dicte esta regla le afecta y se hace lo que dicte esta regla (aceptar o denegar).(aceptar o denegar).

Es importante mencionar que es necesario Es importante mencionar que es necesario comprender los siguientes conceptos para comprender los siguientes conceptos para entender lo términos de configuración de el Muro entender lo términos de configuración de el Muro cortafuegos.cortafuegos.


7MIZRAIN CANO CHICO

Shorewall (Shoreline Firewall):Shorewall (Shoreline Firewall): Es una Es una herramienta de alto nivel para la configuración de herramienta de alto nivel para la configuración de muros cortafuego. muros cortafuego.

Iptables:Iptables: Es el nombre de la herramienta de espacio Es el nombre de la herramienta de espacio de usuario (User Space, es decir, área de memoria de usuario (User Space, es decir, área de memoria donde todas las aplicaciones, en modo de usuario, donde todas las aplicaciones, en modo de usuario, pueden ser intercambiadas hacia memoria virtual pueden ser intercambiadas hacia memoria virtual cuando sea necesario) a través de la cual los cuando sea necesario) a través de la cual los administradores crean reglas para cada filtrado de administradores crean reglas para cada filtrado de paquetes y módulos de NAT cabe mencionar que una paquetes y módulos de NAT cabe mencionar que una NAT (acrónimo de Network Address Translation o NAT (acrónimo de Network Address Translation o Traducción de dirección de red), también conocido Traducción de dirección de red), también conocido como enmascaramiento de IP, es una técnica como enmascaramiento de IP, es una técnica mediante la cual las direcciones de origen y destino mediante la cual las direcciones de origen y destino de paquetes IP son reescritas mientras pasan a través de paquetes IP son reescritas mientras pasan a través de un dispositivo de encaminamiento (router) o muro de un dispositivo de encaminamiento (router) o muro cortafuegos. cortafuegos.


8MIZRAIN CANO CHICO

IprouteIproute:: Es una colección de herramientas (ifcfg, Es una colección de herramientas (ifcfg, ip, rtmon y tc) para GNU/Linux que se utilizan ip, rtmon y tc) para GNU/Linux que se utilizan para controlar el establecimiento de la red para controlar el establecimiento de la red TCP/IP, así como también el control de tráfico. TCP/IP, así como también el control de tráfico.

iptables:

Controla el código del núcleo de GNU/Linux para filtración de paquetes de red.

iproute:

Conjunto de utilidades diseñadas para utilizar las capacidades avanzadas de gestión de redes del núcleo de GNU/Linux.

shorewall:

Shoreline Firewall.


9MIZRAIN CANO CHICO

Ahora para proteger una maquina linux pinchada Ahora para proteger una maquina linux pinchada en internet , lo único que se tiene que hacer es en internet , lo único que se tiene que hacer es crear un script de shell en el que se aplican las crear un script de shell en el que se aplican las reglas.reglas.

Los scripts de iptables pueden tener este aspecto:Los scripts de iptables pueden tener este aspecto:Saludo a la afición (echo)Saludo a la afición (echo)Borrado de las reglas aplicadas actualmente (flush)Borrado de las reglas aplicadas actualmente (flush)Aplicación de políticas por defecto para INPUT, Aplicación de políticas por defecto para INPUT, OUPUT, FORWARDOUPUT, FORWARDListado de reglas iptables.Listado de reglas iptables.


10MIZRAIN CANO CHICO

#!/bin/sh#!/bin/sh

## SCRIPT de IPTABLES - ejemplo del manual de iptables## SCRIPT de IPTABLES - ejemplo del manual de iptables

## Ejemplo de script para proteger la propia máquina## Ejemplo de script para proteger la propia máquina

## Mizrain cano chico## Mizrain cano chico

## www.mizrain.info - [email protected]## www.mizrain.info - [email protected]

echo -n Aplicando Reglas de Firewall...echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas## FLUSH de reglas

iptables -Fiptables -F

iptables -Xiptables -X

iptables -Ziptables -Z

iptables -t nat -Fiptables -t nat -F



## Establecemos politica por defecto## Establecemos politica por defectoiptables -P INPUT ACCEPTiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P POSTROUTING ACCEPTiptables -t nat -P POSTROUTING ACCEPT## Empezamos a filtrar## Empezamos a filtrar# El localhost se deja (por ejemplo # El localhost se deja (por ejemplo

conexiones locales a mysql)conexiones locales a mysql)/sbin/iptables -A INPUT -i lo -j ACCEPT/sbin/iptables -A INPUT -i lo -j ACCEPT# A nuestra IP le dejamos todo# A nuestra IP le dejamos todoiptables -A INPUT -s 195.65.34.234 -j ACCEPTiptables -A INPUT -s 195.65.34.234 -j ACCEPT



# A un colega le dejamos entrar al mysql para que mantenga # A un colega le dejamos entrar al mysql para que mantenga la BBDDla BBDD

iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j ACCEPTACCEPT

# A un diseñador le dejamos usar el FTP# A un diseñador le dejamos usar el FTPiptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j iptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j

ACCEPTACCEPT# El puerto 80 de www debe estar abierto, es un servidor # El puerto 80 de www debe estar abierto, es un servidor

web.web.iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPT# Y el resto, lo cerramos# Y el resto, lo cerramosiptables -A INPUT -p tcp --dport 20:21 -j DROPiptables -A INPUT -p tcp --dport 20:21 -j DROPiptables -A INPUT -p tcp --dport 3306 -j DROPiptables -A INPUT -p tcp --dport 3306 -j DROPiptables -A INPUT -p tcp --dport 22 -j DROPiptables -A INPUT -p tcp --dport 22 -j DROPiptables -A INPUT -p tcp --dport 10000 -j DROPiptables -A INPUT -p tcp --dport 10000 -j DROPecho " OK . Verifique que lo que se aplica con: iptables -L -n"echo " OK . Verifique que lo que se aplica con: iptables -L -n"# Fin del script# Fin del script

Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose...

Documents

Transcript of Administraciòn y Mantenimiento de redes en Linux Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose...