Firewalls

Qu es un firewall?
Un firewall es un dispositivo o software que filtra el trfico entre redes, como mnimo dos. A traves de reglas de filtrado con las que se decide si una conexin determinada puede establecerse o no.

El firewall puede estar implementado: Por hardware. Un software sobre un sistema operativo.

Funciones de un Firewall moderno

Hoy en da un firewall filtra el trfico TCP/UDP/ICMP/IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos interfaces (ej: placas de red).
Topologa de un Firewall

Incluso puede realizar modificaciones sobre los paquetes como NAT (Network Address Translation) y otros.

Ubicacin del Firewall

La ubicacon del Firewall dentro de la red esta fuertemente vinculada al uso que se le da a dicha red, la organizacin de la cual depende y su personal

Casos tpicos
LAN con salida a Internet

En este caso no existe ningn servicio que esta red brinde al exterior y el personal que maneja la red es del mismo mbito. El firewall es ubicado entre la LAN y el gateway para filtrar trfico malicioso de internet a la red local y restringir el acceso de la LAN a algunos servicios o sitios de internet que se desee impedir al personal

LAN con salida a Internet y servidores

En este case es necesario exponer algn servidor a internet (como es el caso de un servidor web, un servidor de correo, etc..) Se debe aceptar conexin externas a ellos. Se situa el/los servidor en un lugar aparte de la red, al que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres interfaces de red.

Dependiendo de las necesidades de cada red, puede ponerse uno o ms firewalls para establecer distintos permetros de seguridad en torno a un sistema. Con esta arquitectura, permitimos: . Que el servidor sea accesible desde internet Si es atacado y se gana acceso a l, la red local sigue protegida por otro firewall.

Esta estructura de DMZ puede hacerse tambin con un doble firewall.

Firewall puro y duro entre redes

Este esquema puede se puede presentar en una organizacin cuyo personal puede tener intereses contrapuestos.

El firewall entre redes limita ciertos acceso de una parte de la red a otra.

Los dos firewalls que se ven en el esquema pueden convertirse en uno solo con tres interfaces.

IPTABLES
(Linux)

En Linux, el kernel tiene todo el manejo de paquetes TCP/IP metido dentro de l, no es algo aparte como lo es en otros sistemas operativos, por lo tanto todos los paquetes que van destinados a un Linux, o lo atraviesan, son manejados por el mismo kernel. IPTables es un conjunto de comandos que permiten decirle al kernel del Linux qu hacer con ciertos paquetes que cumplan con ciertas caractersticas. Un firewall de iptables no es mas que script de shell en el que se van ejecutando las reglas de firewall. Decimos que IPTables es un filtro IP, esto implica que IPTables actua en la capa IP. Sin embargo IPTables, tambin es capaz de filtrar paquetes de acuerdo a las cabeceras: TCP UDP ICMP Y tambin a traves de la MAC

Camino que sigue un paquete en el kernel

Paquete
Desicin de encaminamiento

FORWARD

Salida

INPUT

Proceso Local

OUTPUT

Se mira si el paquete esta destinado a la propia mquina o si va a otra. Para los pquetes que van a la propia mquina se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o mquinas se aplican simplemente reglas FORWARD. INPUT, OUTPUT y FORWARD son los tres tipos de reglas de filtrado.

Ejemplo para entender como funciona IPTables

Como dijimos, cuando hacemos un Firewall con IPTables debemos hacer un script en Linux que le vaya diciendo al Kernel que hacer con los paquetes que van llegando. El siguiente es un script en pseudocodigo.

Poltica por defecto: DENEGAR Todo lo que venga de mi IP al firewall ACEPTAR Todo lo que venga de la IP de mi casa al puerto 22 acceptar Todo lo que sale del firewall a mi IP ACCEPTAR Todo lo que sale de la red local por el puerto 80 a Internet ACEPTAR Todo lo que sale de la red local a internet ENMASCARAR Toda conexin ya creada desde internet a la red local ACEPTAR Etc....etc....etc

IPTables se maneja con tres tablas (Actualmente con 4) Tabla FILTER: En esta tabla se aaden todas la reglas relativas al filtrado de los paquetes Tabla NAT: En esta se aaden todas las reglas para hacer NAT (network address translation). Se puede hacer: SNAT (Source NAT): Permite cambiar la direccin IP origen de los paquetes que se especifique. DNAT (Destination Nat) Permite cambiar la direccin IP destino de los paquetes que se especifique. MASQUERADE: Similar a SNAT pero para esquemas con IP dinmico Tabla MANGLE: Con esta tabla es posible modificar en los paquetes los campos: TOS (Type of Service) TTL (Time to live) y tambin es posible hacerles marcas para luego hacer un ruteo mas organizado con iproute2.

Dentro de cada una de las tablas que describimos anteriormente existe un conjunto de cadenas En cada cadena existe un conjunto de reglas. Cada cadena tiene un propsito especfico Los paquetes atraviesan cada una de las cadenas de las tablas y son modificados o descartados de acuerdo a las reglas de las cadenas que atraviesan. Existen un conjunto de cadenas que existen en IPTables por defecto Quin esta creando el Firewall (el script del Firewall), puede crear sus propias cadenas para agrupar un conjunto de reglas.

Orden en que los paquetes atraviesan las distintas cadenas de las tablas
RED
Mangle PREROUTING

Mangle INPUT Filter INPUT Proceso Local

Decisin de ruteo

Nat PREROUTING

Decisin de ruteo

Mangle Mangle PREROU FORWARD TING

Decisin de ruteo Mangle POSTROUTIN G Nat POSTROUTING

Filter FORWARD

Mangle OUTPUT Filter OUTPUT

RED

Cadenas especificadas por el usuario

Creacin de reglas
Estructura bsica de una regla:

Iptables [-t tabla] comando [match] [target/jump]

Cada regla que creamos es una linea que el kernel usa para decidir que hacer con el paquete

Tablas
Con -t especificamos sobre que tabla se esta trabajando. Estas pueden ser: NAT MANGLE FILTER

Para ver una descripcin detallada del modo de uso de IPTables, consultar el manual