Está en la página 1de 20

23/2/2015

SAD04_Contenidos

Instalacinyconfiguracindecortafuegos.
Casoprctico

Despusdehabilitarlosserviciosdeaccesoremotoalared,Juanseestobsesionandoconlosposiblesintentosdeaccesoala
redporpartedeusuariossinautorizacin.
Estsseguradequenadiemsquenosotrospuedeaccederalared?
S,peroparaqueestsmstranquilovamosainstalarunfirewallquenosprotejaanms.
Peronotenamosunoparacadaequipo?
S,peromerefieroaunoquecontroletodaslasconexionesqueentrenysalgandenuestrared.
Hayquepagarms?
No,necesariamente,teloexplicar
MaralehablaraJuandelanecesidaddeuncortafuegosydelasdiferentesposibilidadesquehayensuinstalacin.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

1/20

23/2/2015

SAD04_Contenidos

Utilizacindecortafuegos.
Casoprctico

Quesloquevaafiltrarelcortafuegos?Ammedejarconectarmeno?
Elcortafuegosfiltrartodoloqueseleespecifiquequefiltre.
Nadiepodrentoncesdaarlared.
Bueno,lascomunicacionesquenopasenporlnosepuedencontrolar.Peropodrsestarmstranquiloyrelajadoporquelared
serprcticamenteinvulnerable.
MaraleestdejandoclaroaJuanparaquseutilizauncortafuegos.

Ladefinicindecortafuegosdice:
Veredaanchaquesedejaenlossembradosymontesparaquenosepropaguenlosincendios.
Puestoqueunodelosmayoresdaosparaloscamposlopuedecausarelfuego,esunamedidaparaprotegeraloscamposdelpeligro.
Si se extrapola esta definicin a un sistema informtico, un cortafuegos en informtica es una medida para evitar daos en un sistema
informtico,aislndolodelospeligros.
Unfirewallocortafuegosesunmecanismoencargadodeprotegerunaredseguradeotraquenoloes,siguiendounapolticadeseguridad
establecida.
Losobjetivosprincipalesdeuncortafuegosson:

Filtrareltrficoqueentraysaledelaredcorporativa.
Permitirsolamenteeltrficodefinidoporlapolticadeseguridad.
El firewall solamente sirve como defensa perimetral de las redes, no puede combatir los ataques de un usuario que ya est dentro de la red que se quiere proteger o de
conexionesquenopasenporl.
Enelsiguientevdeopuedesverenquconsisteuncortafuegos.

Resumentextualalternativo

Autoevaluacin

UnusuariodelaredinternacorporativasedisponeaenviarunarchivopeligrosohaciaInternetElfirewallimpedirquelopuedahacer?
No,imposible.
SloimpedirporqueelfirewallfiltratodoeltrficoqueprovienedeInternet.
S,porqueunfirewallescapazdedetectartodoloqueocurreenlaredinterna.
No,porqueuncortafuegosnoanalizasielcontenidoespeligroso.
S.Filtraeltrficoentraysaledelaredanalizandoelorigenyeldestino.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

2/20

23/2/2015

SAD04_Contenidos

Filtradodepaquetesdedatos.
Casoprctico

Cmoconsiguefiltrarelcortafuegoslasconexiones?
Todoselodebealformatodelospaquetesdedatos,delamismamaneraqueterescapazdeextraerdatosdeunacarta
delcorreo,elcortafuegosanalizalosdatosqueviajanenlospaquetesdedatosytomadecisiones.
Cmouncartero?
Noexactamenteperobueno,teloexplicar.
MaraexplicaraJuanenquconsisteelfiltradodedatosdeuncortafuegos,enlneasgenerales.

El trfico a travs de una red viaja en forma de paquetes de datos, cada paquete tiene la informacin suficiente como para que los
dispositivos que forman parte de la red, sean capaces de encontrar la mejor ruta para ellos, conociendo de donde vienen y a donde
quierenllegar.
Al igual que un filtro de caf tiene la capacidad de separar el grano molido y caf lquido, un filtro de paquetes es un software que
analizalapartedelospaquetesquetieneinformacinsobreelorigen,eldestino,yeltipodeprotocoloutilizadoporcadapaquete.
Enbaseaesteanlisis,elfirewallpuedeadoptartresposturasrespectoalpasodelpaqueteporelfiltro:

Aceptar.
Rechazar.
Denegar.
Siseacepta,elpaquetepasarporelsoftwaredefiltrosinproblemas.Siporelcontrario,elpaqueteserechazaosedeniega,nosercapazdeatravesarelfiltro.Ladiferencia
entrerechazarydenegarestenquecuandounpaqueteserechaza,seinformaalemisordelrechazoysisedenieganoseemiteningnmensajeinformativo.
Enelsiguientevdeopuedesaprendermscosassobreelfirewallyotroscomponentesdelared.

Resumentextualalternativo

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

3/20

23/2/2015

SAD04_Contenidos

Tiposdecortafuegos.
Casoprctico

Estclaroquelovamosainstalar,ahoradebemoselegirlaclasedecortafuegosquequeremos.
Elmsbarato!
Primeroteexplicarlostiposydespushablamossobreeldinero.
Juan no sabe todava que una de las claves en seguridad es escoger cada medida de acuerdo a las necesidades. Mara le
harverlostiposdecortafuegosentrelosquepodrescoger.

Losprincipiosdediseodeloscortafuegostienencomoobjetivosacumplirque:
EltrficodelaredinternaquesalgaaInternetdebepasarporelfirewall.
Solamenteeltrficopermitidoenlapolticadeseguridaddebesercapazdeatravesarelcortafuegos.
Elcontroldeaccesossehacemedianteelcontroldeservicios,direccionesyusuarios.
Loscortafuegosdiseadosparacumplirconestosobjetivossepuedenclasificarsegnlatecnologautilizadaenlossiguientes:
Defiltradodepaquetes.
Deniveldeaplicacin.
Hbridos.
Deinspeccindeestado.
Losfirewalldefiltradodepaquetesactanenelnivel3delaarquitecturaOSIysebasanenfiltrarlospaquetessegnsusencabezados(IP
origen y destino), un router bsico es un ejemplo de firewall de este tipo. Los cortafuegos de nivel de aplicacin se ayudan de un
proxy
para gestionar el trfico y los hbridos utilizan las dos tecnologas, proxy para el establecimiento y filtro de paquetes en la transferencia de
datos.
Los cortafuegos con inspeccin de estado comprueban las direcciones origen y destino, los puertos, el protocolo utilizado, el estado de la
conexinylacantidaddetrfico.
Sisetomacomocriterioelreadeinfluencia,loscortafuegossepuedenclasificaren:

Personales(paraPC).
Depequeasoficinas(
Corporativos.

SOHO).

LosfirewallpersonalessonlosincluidosporlosPCensussistemasoperativosenformadesoftware,estetipodecortafuegoscontrolaeltrficoqueentraysaledelequipo.
En pequeas redes locales se utilizan productos denominados SOHO, entre ellos, se utilizan cortafuegos que incorporan herramientas adicionales como antivirus, filtrado IP,
filtradodecontenidosweb,odeteccindeintrusos.
Los cortafuegos corporativos son los encargados de controlar las conexiones de la red de una organizacin, por lo que deben soportar miles de conexiones. Su potencia y
capacidaddeprocesodebensermayoresquelasdelasinstalacionespersonalesodepequeasoficinas.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

4/20

23/2/2015

SAD04_Contenidos

Caractersticas.
Lostiposdefirewallsepuedenclasificardeacuerdoasutecnologaysureadeinfluenciaendiferentesgrupos,peroenresumensepuededecirquetodosellossepodran
dividiren:

Firewalldeniveldered.
Firewalldeniveldeaplicacin.

Lascaractersticasprincipalesdeuncortafuegosdenivelderedson:
TrabajacondireccionesIPorigenydestinoqueextraedelacabeceradelatramaIP.
Identificalospuertosorigenydestinoincluidosenlacomunicacin.
EscapazdeanalizarlacabeceraIPanivel3enlosprotocolosTCP,UDPeICMP.
Reconocesielpaqueteesdeiniciodeunapeticindeconexinono.
Lascaractersticasprincipalesdeuncortafuegosdeniveldeaplicacinson:
EscapazdeinspeccionardatosqueutilizanlosprotocolosFTP,HTTPySMTP,comolatransferenciadeficheros,laspginasweboloscorreos electrnicos.
Ejecutasoftwaredeservidorproxy.
Unfirewalldenivelderedesmenosseguroqueunodeniveldeaplicacinperotienelacualidaddesermstransparentealusuario,esmsfcildeutilizar.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

5/20

23/2/2015

SAD04_Contenidos

Funcionesprincipales.
LatareaprincipaldeunfirewallescontrolareltrficodedatosentrelaredlocaleInternet.Elcontrolsobreeltrficopermitedecidirqutipodetrficosepermiteosedeniega
deacuerdoalapolticadeseguridadexistente.Parallevaracaboestecontroldebesercapazderealizarlassiguientesfunciones:

Establecerunaproteccinbasadaennormas,bloqueaeltrficonodeseadoporlapolticadeseguridad.
Filtrareltrficodeentradaatravsdesistemasmsconfiables.
Establecermecanismosdeautenticacinmsfuertes.
Ocultarinformacinsobrelaredquesequiereproteger.
Crearregistros
LOGdeinformacin.
En la imagen se puede ver el aspecto que tendra un archivo de tipo LOG de un cortafuegos. Como se puede esperar podemos ver direcciones IP y palabras como deny
(denegar),elarchivoLOGrecogeregistrostalescomoconexionesrechazadasalsistema.

Autoevaluacin

UnarchivodetipoLOG:
ProtegelaDMZdeataquesexteriores.
Segenerasolamentecuandohahabidointentosdeconexindainos.
Ensnoprotegedenada,debeiracompaadodeunantivirus.
Noesunelementoqueprotejaperosiproporcionainformacinmuyvaliosaparalaseguridad.
S,elarchivologreflejalasincidenciasquehahabidoypuedeayudarasubsanarloserroresfuturos.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

6/20

23/2/2015

SAD04_Contenidos

Instalacindecortafuegos.
Casoprctico

Juan,deberamosreordenarunpocolasituacindenuestrosequipos.
Porqu?
Porquedebemosescogerelsitioadecuadoparainstalarelfirewall.
Puescercadelservidorno?
No,siempre.
La situacin de un firewall es determinante para poder establecer unas reglas de seguridad que garanticen la mxima fiabilidad del
sistema.Unainstalacindefirewallpuedetenervariasalternativas.

Lainstalacindeuncortafuegosesdeterminanteenlaseguridaddelared,paraquetengaxitosedebe:
Tenertodalainformacinposiblesobrelaredquesequiereproteger.
Tenerclaroslosobjetivosplanteadosporlapolticadeseguridad.
Conocerelsitiodondesealojarnlosserviciosaccesiblesdesdeelexterior.
La informacin sobre la red nos debe aportar los requisitos necesarios de hardware, software y de perfil de usuario. Adems es imprescindible conocer en que sitio se
establecernlosserviciosaccesiblesdesdeelexterior(generalmenteserndeltiposervidorweb,correooftp).Estosserviciossesuelencolocarfueradelaredinternaydetrs
delfirewall,peropuedehabervariasvariantes.
Con toda la informacin anterior, se analizar la viabilidad de la poltica de seguridad que se pretende seguir. Tras este anlisis se determinar el tipo de firewall, modo de
instalacinyubicacindelmismo.
Para los cortafuegos software la instalacin en la mayor parte de los casos es intuitiva, no as la configuracin. Algunos sistemas operativos como Linux ofrecen la
funcionalidaddecortafuegosconherramientascomo
iptables,peroenlamayoradeloscasosexistesoftwaredescargableconinterfazgrficoyunentornomsamigable
paralaconfiguracin,ejemplosdeestosltimossonlossiguientes:
Firestarter
JeticoPersonalFirewall
PCToolsFirewall
ZorpGPL
Turtle
LutelWall

Autoevaluacin

Unfirewall:
SolamenteesnecesarioenWindows.
PuedeserunordenadorconsistemaoperativoLinux.
EstdiseadoparasistemasLinux,sonlosnicosconestapropiedad.
Seconfiguraconiptables.
UnsistemaoperativoLinuxconfiguradoadecuadamentepuedeserunfirewallparaelsistema.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

7/20

23/2/2015

SAD04_Contenidos

Ubicacin.
El mecanismo de filtrado del trfico, debe intercalarse fsicamente entre la red a proteger y el resto de los dispositivos. Las distintas opciones de ubicacin de un firewall
respectoalospermetrosinterioryexterior,hacequeseanposiblesdiferentesarquitecturas:
DualHomedHost.
ScreenedHost.
ScreenedSubnet.
EnladisposicinDualHomedHost,elfirewall(HostBastin)seinterponeentrelaredexteriorylaredinterior,deformaquetodaslasconexionesdebenpasarporelmismo.
Elfirewallactadeproxyentrelaredinternaylaredexterna.

EnlacombinacinScreenedHost(tambinseladenomina
queseencargadefiltrarlospaquetes(routerochoke).

Chokegate),seutilizaunequipoqueseencargadehacerlasfuncionesdeproxy(HostBastin)yotroequipo

LatopologaScreenedSubnet,utilizaademsunazonaDMZoredintermedia.
Enestasituacin,seutilizandosrouters,unointerioryotroexterior.Elexteriorfiltraeltrficoentrelaredinternaylaredexterna.Elinteriorfiltraeltrficoentrelaredinternay
la DMZ. La utilizacin de esta tcnica descarga de responsabilidades al Host Bastin, puesto que si un atacante se salta su seguridad tendr todava que atravesar la red
internaosemeterenlaDMZqueesdeaccesopblico.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

8/20

23/2/2015

SAD04_Contenidos

Reglasdefiltradodecortafuegos.
Casoprctico

Bueno,hepensadoqueunabuenaopcinesuncortafuegosbasadoenLinux.
Tendremosquecambiarelsistemaoperativodetodoslosequipos?
No,voyaconfigurarunequipocomofirewallyusarelsistemaLinux,esgratis.
Meparecemuybuenaidea.
Al escoger esta opcin es necesario configurar el cortafuegos estableciendo reglas en muchos casos mediante lnea de comandos.
Veamoscmosonesasreglas.

Uncortafuegosesunconjuntodereglasdefiltradoqueactansobreeltrficodepaquetesqueloatraviesan,modificandoonosutrayectoriaenbasealresultadodeaplicar
dichasreglassobrelosdatosincluidosenlacabeceradelosmismos.Estasreglassepuedenimplementarenhardwareoensoftware.
Elfiltradodeunpaqueteatravsdeunfirewallestsujetobsicamenteatrestiposdereglas:
Deentrada(INPUT).
Desalida(OUTPUT).
Dereenvo(FORWARD).
Como se puede adivinar, las reglas INPUT filtran paquetes que llegan al firewall, las reglas OUTPUT filtran los paquetes que salen de nuestro dispositivo y las reglas
FORWARDlospaquetesquevandirigidosaotrodispositivo.
Alentraralfirewall,elpaqueteexperimentaunfiltradoquenospermitemodificardatoscomoladireccindedestinooelpuerto.
Unavezqueelpaquetepasaelprefiltro(PREROUTING),selepreguntasivadirigidoalpropioequipo(pasaraalasreglasINPUT)oporelcontrariovadirigidoaotramquina
(reglas FORWARD). Las reglas de salida (POSTROUTING) pueden cambiar los datos del origen, y hacer que el paquete salga con datos relativos a su direccin de origen
diferentes.
SielpaquetepasaporlasreglasINPUTsedirigehacaelprocesoquelosolicitysiesteloquiereenviarhaciaelexterior,loenviarhacialasreglasOUTPUT.

Autoevaluacin

Qutiposdeprotocolossoncapacesdefiltrarlosfirewall?
SolamenteTCPeIP.
TCP,IP,UDP,PPTP,ICMP.
nicamentelosdelacapadetransportecomoTCP,UDP.
SolamenteIP,UDPeICMP.
S.Cualquierprotocoloutilizadoenunaconexinentrelaredinternaylaexterna.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

9/20

23/2/2015

SAD04_Contenidos

Sintaxisdelasreglas.
La sintaxis de las reglas de filtrado es til cuando se utilizan cortafuegos configurables por medio de rdenes, por ejemplo, cuando se utiliza iptables en Linux. Una regla de
iptablespuedetenerelsiguienteaspecto:
iptablesAINPUTieth0s0.0.0.0/0pTCPdportwwwjACCEPT
Donde:

iptableseselcomandoutilizadoparaejecutariptables.
Aeselmodificadorutilizadoparaaadirunaregla.
INPUTseutilizaparaespecificarqueelpaqueteesdeentrada.
ieselmodificadorqueeligelainterfazderedsobrelaqueseacta.Enestecasoeth0.
sseutilizaparapoderescogerladireccindeacceso,enelejemploseracualquierdireccin.
pespecificaeltipodepuerto.EnelejemploTCP.
dportseutilizaparareferirsealpuertodedestino.
jACCEPindicaqueelpaqueteseacepta.
Elresumendelaordensera:Aceptarlospaquetesqueentrenporlainterfazeth0concualquierdireccindeorigenquesedirijanhaciaelpuertowww(80).
Entrelasopcionesdeiptablesseencuentran:
iptablesF:Eliminarlasreglasenejecucin.
iptablesL:Listarlasreglasactuales.
iptablesA:Aadirunaregla.
iptablesD:Borrarunaregla.
Cuandosequiereconfiguraruncortafuegosmediantereglas,secomienzaestableciendoreglaspordefectorestrictivasymuybsicas,
paradespusirdepurndolasms.
ParaestablecerlasreglaspordefectoseutilizaelmodificadorP:
Conestastresrdenessedeniegapordefectocualquierpaquetedeentradaosalida,ascomopaquetesredirigidos.

iptablesPINPUTDROP
iptablesPOUTPUTDROP
iptablesPFORWARDDROP

Parasaberms

Enelsiguienteenlacepodrsaprendermscosassobreiptablesyademsverunejemplodecortafuegosimplementadoconestasreglas.
iptables.

Autoevaluacin

Quesloquehacelasiguientelneadecomandos?
root@linuxtomas#iptablesAINPUTptcpdportXXXXjDROP
Paraespecificarlainterfazdonderealizamoslaspruebasdefuncionamiento.
Nopermitimosqueelpuertoespecificadodeotramquinarecibapaquetesconelprotocoloespecificadodesdenuestramquina.
Nopermitimospaquetesquetengandichopuertocomodestinodesdenuestramquinaalexterior.
Cerramoselaccesoalpuertoespecificadodenuestramquina.
S.UtilizandolosmodificadoresINPUT,portparaelpuertoyDROP.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

10/20

23/2/2015

SAD04_Contenidos

Pruebasdefuncionamiento.
Casoprctico

Yaestfuncionando.
Cmosepuedeversifunciona?
Puesintentandoconectarconlaredutilizandopuertosqueenteoraheblindado.
Cmo?
Existenvariasherramientas.
Para poder probar el funcionamiento del firewall Mara utilizar varias herramientas que permiten comprobar el estado de
puertosyserviciosenunsistemaobjetivo.

El funcionamiento de un firewall se puede probar de manera sencilla, comprobando que puertos o servicios estn habilitados. Para ello existen herramientas conocidas y en
muchoscasosincluidasenlospropiossistemasoperativoscomoping,yotrasunpocomscomplejasentrelasquesepuedenencontrar:
netstat
nmap
hping2
Laherramientanetstatvieneincluidaenalgunossistemasoperativosytienevariosmodificadoresdecomandoqueayudanaanalizar
mejorlainformacin.
Enlaimagensehaempleadolaordennetstatconelmodificadorb,conestoseconsigueverelejecutableasociadoalpuertoqueest
abierto(
Skypeenestecaso).

Parasaberms

Enelsiguienteenlacepodrsaprendermscosassobrenetstatylosdiferentesmodificadoresquepuedeemplear.
netstat

Laherramientanmappermiterastrearpuertosabiertos,ascomoserviciosqueseestnejecutandoenesemomento.
Enlaimagensepuedeverelresultadodeejecutarlaordennmapconelmodificadoropensobreelpropioequipo.Lapantallamuestrael
nmerodepuerto,elprotocoloyelserviciodelospuertosabiertosenesemomento.

Parasaberms

Enelsiguienteenlacepodrsaprendermscosassobrenmap.
nmap

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

11/20

23/2/2015

SAD04_Contenidos

Sondeo.
El sondeo de un firewall va dirigido a testear el estado de los puertos (cerrado, abierto o filtrado). Una herramienta disponible para poder hacerlo es hping. Esta herramienta
puedeutilizarprotocoloscomoTCPenlugardeICMPparaenviarpaquetesyestudiarlasrespuestas.
Sepuedeenviarunpaquetealpuerto21deundeterminadodestinoparaversiestelservidorFTPactivado:
root@linuxtomas:/home/tomas#hping2c5Sp21t3www.infoalisal.com
Donde:
c:Indicaelnmerodepaquetesqueseenviarncontraelpuerto(5enestecaso).
S:Indicaeltipodesealqueactivar,enestecasoconSYNindicalaintencindeiniciarunanuevaconexin.
p:Especificaelnmerodepuertodedestino(enlaordenanterior21).
t:Indicaelvalorde
TTL.
Enlaimagensevelarespuestaemitidadespusdeejecutarhping.
De esta respuesta se puede extraer que el puerto est activo puesto que hay respuesta, y adems ha sido exitosa la comunicacin tal y como indica la variable
(SA=
SYN+
ACK),sielvalorfueraRA,elpuertoestaracerrado(
RST+ACK).Sielpuertoestuvierafiltrado,noserecibiranada.

flags

EstasflagsestnenlascabecerasdelospaquetesTCP,sonvariablesde1bitquepuedenestaractivados(1)odesactivados(0).
LosvaloresposiblessonSYN,AKC,RST,

PSH,

URG,

FIN.

Conhpingsepuedevariarelnmerodepuertosobreelqueselanzanlospaquetes,elvalordelasflagsyobservar,ademsdesiestactivoono,lavariablelenoTTL.Si
estasvariablestienendiferentesvaloresparadistintospuertos,sepuedendeducirconclusionescomo:
Unpuertopuedeestarprotegidoporunfirewall.
Unpuertopuedeestarredirigidoaunhostinternodelaredodeotrared.
Parapoderprobarlospuertosquefiltraunfirewallseutilizanlosflagsenlospaquetesqueseenvan,dependiendodeltipodesondeoquesequierahacer:
S:parasabersiunpuertoestabierto,todaslasconexionesdebencomenzarconSYN.
A:paraindicarsielequipoestdisponible,seenvaenelpaqueteACK.
F:paradeducirsielpuertoestcerrado,usandoelpaqueteFINyanalizandolarespuestasepuedededucirsielpuertoestcerrado(respuesta RST/ACK) o
estabierto(nohayrespuesta).

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

12/20

23/2/2015

SAD04_Contenidos

Registrosdesucesosdeuncortafuegos.
Casoprctico

Ysiemprequequeramosversifuncionadebemosutilizaresasherramientas?
Noesnecesario,sepuedehacerquetodoslosincidentesqueseproduzcansereflejenenunarchivo.
Comosifueraundiariodelfirewall?
Efectivamente.
Se pueden configurar los firewall para que graben en un fichero todas las incidencias que creamos conveniente reflejar como
consecuenciadelosfiltradoshechosporelcortafuegos.Aesosarchivosselesdenominalogs.

Los registros de sucesos graban en un fichero todas las entradas y salidas del cortafuegos. Dependiendo del tipo de cortafuegos, el archivo donde se guardan este tipo de
sucesospuedevariardenombreyubicacin.EndistribucionesLinux,cuandoseutilizaiptables,elregistroseoriginaintroduciendoenlasreglasdefiltradoelmodificador:
jlog
Ademsdeestemodificadorsepuedeemplearlogprefixparapoderinterpretarmejorlosregistrosdellog.
sudoiptablesAINPUTmstatestateNEWptcpdport80jLOGlogprefix"NEW_HTTP_CONN:"
Conlaordenanteriorunapeticinalpuerto80desdelamquinalocalgenerarunregistroendmesgconelsiguienteaspecto:
[4304885.870000]NEW_HTTP_CONN:IN=loOUT=MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00src=127.0.0.1DST=127.0.0.1LEN=60TOS=0x00
PREC=0x00TTL=64ID=58288DFPROTO=TCPSPT=53981DPT=80WINDOW=32767RES=0x00SYNURGP=0
El registro anterior tambin aparecer en /var/log/messages, /var/log/syslog y /var/log/kern.log. Este comportamiento se puede cambiar editando apropiadamente el archivo
/etc/syslog.conf, o instalando y configurando ulogd y utilizando el objetivo ULOG en lugar del LOG. El demonio ulogd es un servidor en espacio de usuario, que escucha las
instruccionesderegistroqueprovienendelncleoyqueseanespecficamenteparafirewalls,ypuederegistrarcualquierarchivoquedesee.
Enelarchivosyslog.conf,aadiendounalneadecdigocomo:
kern.warning/var/log/iptables.log
Se consigue que todos los mensajes del kernel con un nivel superior o igual al de un mensaje tipo warning, se graben en el fichero
iptables.log
Enestaimagensevecomoconlaprimerareglaseestaceptandosolamentealaip192.168.10.10,siescualquierotraip,segrabael
eventoconelmensaje'INTENTODEACCESOASSH'en/var/log/iptables.log.AntesdeintentarunaconexinSSHelficheroiptables
estvaco(resultadodecatiptables.log)ydespusdehacerunintentodeconexinapareceelmensajedelintentodeaccesofallido.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

13/20

23/2/2015

SAD04_Contenidos

Cortafuegosintegradosenlossistemasoperativos.
Casoprctico

Mara,hoyhevistounfolletodepublicidadenelquesevendaunordenadorconantivirusyfirewall.
Qufirewall?
Nos,ponaquevenaincluido.Porqunuestrosistemaoperativonolotiene?
Stieneunointegradoperonoessuficienteparapodercontrolartodalared.
Algunossistemasoperativosllevanunfirewallintegradoyotrosincorporanunfirewallpreinstalado,ajenoalsistemaoperativo,
sondoscosasdiferentes.

Enlaactualidadlamayora,pornodecirtodoslossistemasoperativosincluyenunfirewallconelsoftwarebsico.

Ejemplosdecortafuegosintegradosensistemasoperativosson:

IptablesenLinux.
IpfirewallenFreeBSD.
MacOSxfirewallensistemasAppleMacintosh.
FirewalldeWindowsenMicrosoftWindows.

Autoevaluacin

Ladiferenciaentreuncortafuegosintegradoyunoinstaladoenelsistemaoperativoesque...
Nohaydiferencia.
Elintegradopuedevalerparatodaslasdemsplataformasyelinstaladosolamenteesvlidoparaelsistemaenelqueestinstalado.
Noexisteelconceptodecortafuegosintegrado.
Elintegradoespartedelsistemaoperativo.
S,muybien,mientrasqueelinstaladoesunaaplicacinqueseinstalasobreelsistemaoperativo.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

14/20

23/2/2015

SAD04_Contenidos

Cortafuegoslibresypropietarios.
Casoprctico

PorqupodemosutilizarelcortafuegosdeLinuxynonecesitamoslicencia?
Puesporqueessoftwarelibre.
Gratis?
No,libre,queesdistinto.
Una de las ventajas del software libre es que se puede modificar y no tiene porqu ser gratis, los cortafuegos tambin se
beneficiandeesto.

Ladiferenciaentresoftwarelibreysoftwarepropietarioestenlalibertaddelosusuariosparautilizar,copiar,distribuirymodificarelsoftwarelibre,mientrasqueenelcasodel
softwarepropietarioestasaccionesestnsujetasadiferenteslneasdepermisos,establecidosmediantelicencias.Porotraparte,cualquieradelosdostiposdesoftwarepuede
sergratisono.
Elsoftwarelibrenotienequeserobligatoriamentegratuito.
Elsoftwarepropietariopuedesergratuito.

Uncortafuegoslibretienecomoventajasobreuncortafuegospropietario,laposibilidaddecrearreglasdefiltradoamedidadelsistemaquesequiereproteger.
Los cortafuegos propietarios por el contrario estn predefinidos y no admiten cambios significativos en su configuracin. Por otra parte tienen la ventaja de que su manejo e
interfazsuelesermuchomsamigablequeladeuncortafuegoslibrecomoiptables.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

15/20

23/2/2015

SAD04_Contenidos

Distribucioneslibresparaimplementarcortafuegosenmquinasdedicadas.
Casoprctico

Puedehaberequiposconfiguradosconsoftwarelibrequetengancomonicafuncinladesercortafuegos?
S,Juan.Sellamanmquinasdedicadas.
Las mquinas dedicadas basadas en Linux se utilizan para poder implementar cortafuegos, estas mquinas solamente se
utilizanparaestafuncin.
MaravaaensearaJuanalgnsoftwareutilizadoparaestepropsito.

Una de las soluciones que se pueden adoptar en cuanto a la seguridad de un sistema es utilizar una mquina con la funcin especfica firewall, una mquina dedicada. Las
distribucionesdesoftwarelibremsusadasen
mquinasdedicadassonlasbasadasensistemasUnix/Linux,entreotras:
IPCop.
SmoothWall.
Zentyal.
ClearOS.
UnasolucinfirewallenunamquinadedicadasepuedeimplementarinclusoarrancandolamquinadesdeunCD.Unavezarrancadalamquinasepuedenquitartodoslos
perifricos,inclusoelmonitorycontrolarelfirewallaccediendoaldesdeotramquina,comoenelcasodeIPCop,porejemplo,escribiendoladireccinhttps://ipcop:445enel
navegador.

Parasaberms

EnelsiguienteenlacepodrsconocermscosassobreIPCop.
IPCop

Autoevaluacin

SienmiequipodetrabajotengoconfiguradouncortafuegosLinuxintegrado...
Estoyutilizandouncortafuegoslibreenunamquinadedicada.
Miequipodetrabajoesunamquinadedicada.
Elcortafuegosnopuedeserlibre.
Elcortafuegospuedeseriptables.
S,iptablesesuncortafuegosintegradoenLinux.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

16/20

23/2/2015

SAD04_Contenidos

Cortafuegoshardware.
Casoprctico

Nohayalgndispositivoquesepongaalaentradadelaredyhagadecortafuegossinnecesidaddeconfigurarlo?
Dispositivos,perohayqueconfigurarloigualmentesiqueremosquetengaunbuenrendimiento.
Peroesunfirewallono?
S,sellamancortafuegoshardware.
La diferencia entre cortafuegos hardware o software es bsicamente la manera en la que se accede a su configuracin, y la
aparienciaexterna.Lasreglasdefiltradoylaadministracinsonmuysimilares.

La mayora de los cortafuegos utilizados son soluciones software que adems vienen integradas en paquetes que ofrecen otras funcionalidades, (antivirus, antispam,
antitroyanos),perotambinexisteninstalacionesqueporsutamaooporsusrequerimientosfuncionales,utilizancortafuegosimplementadosenhardware.
Uncortafuegoshardwareesundispositivoinstaladoenunaredparahacerlasfuncionesdefirewall,paraaccederalseutilizarnlosmismosmecanismosqueparaaccedera
cualquier otro dispositivo (a travs de su direccin de red). La apariencia de estos dispositivos es similar a otros utilizados en las redes, con conexiones para poder
administrarlos(Aux,Console)yconexionesparadarservicioalared(Ethernet).
La configuracin de un cortafuegos hardware no difiere de la de uno software, depende ms del fabricante que de si est implementado en hardware o software. La nica
diferenciaestenelmododeacceso,(aunfirewallporhardwareseaccedeatravsdeunaconexinenreddesdeotroequipo).
Enelsiguientevdeopuedesvercomosehaceunaconfiguracindeunfirewallporhardware.

Resumentextualalternativo

Autoevaluacin

Unrouterquehacedecortafuegos:
Esuncortafuegoshardware.
Esuncortafuegoshardwareconsoftwarerouter.
Esunrouterconfiguradocomofirewall.
Noesposible,nopuededesempearlasdosfunciones.
S.Muchosrouterstienensoftwarequepermitenqueelenrutadoractecomounfirewall,filtrandodirecciones.

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

17/20

23/2/2015

SAD04_Contenidos

Anexo.ArchivodeLicencias.
LicenciasderecursosutilizadosenlaUnidaddeTrabajo.
Recurso(1)

Datosdelrecurso(1)

Recurso(2)

Datosdelrecurso(2)

Autora:CsarGarc
aPont

Autora:MrVJTop

Licencia:CCby

Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/cgpont/406129534/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/mrvjtod/406327788/sizes/m/in/p

Autora:RicardoRicoteRodriguez

Autora:puuikibeach

Licencia:CCby

Licencia:CCby

Procedencia:
http://www.flickr.com/photos/ricote/4515613985/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/puuikibeach/5721942294/sizes/m

Autora:holycalamity

Autora:ToniBirrer

Licencia:CCbysa

Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/toyochin/2193158110/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/tonibirrer/93654864/sizes/m/in/p

Autora:Tophost

Autora:zolierdos

Licencia:CCbysa

Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/tophost/2246966480/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/zoliblog/2362195212/sizes/m/in/

Autora:Jemimus

Autora:ClonedMilkmen

Licencia:CCby

Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/jemimus/4464232067/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/clonedmilkmen/4356147087/size

Autora:CristianBorghello

Autora:CristianBorghello

Licencia:Copyright(cita)

Licencia:Copyright(cita)

Procedencia:http://www.seguinfo.com.ar/firewall/dualhomed.htm

Procedencia:http://www.seguinfo.com.ar/firewall/screened.h

Autora:CristianBorghello
Licencia:Copyright(cita)
Procedencia:http://www.seguinfo.com.ar/firewall/screenedsubnet.htm

Autora:TomsFernndezEscudero
Licencia:Usoeducativoynocomercial

Autora:LudovicHirlimann
Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/lhirlimann/5502046309/sizes/m/i

Autora:Salichamidjitch
Licencia:CCbysa

Procedencia:CapturadepantallahechaconLinuxUbuntu

Procedencia:
http://www.flickr.com/photos/salichamidjitch/390506483/sizes

Autora:TomsFernndezEscudero

Autora:TomsFernndezEscudero

Licencia:Usoeducativoynocomercial

Licencia:Usoeducativoynocomercial

Procedencia: Captura de pantalla hecha con el intrprete de comandos de


WindowsXPpropiedaddeMicrosoft.

Procedencia: Captura de pantalla hecha con el intrprete de


Ubuntu

Autora:TomsFernndezEscudero

Autora:Spree2010

Licencia:Usoeducativoynocomercial

Licencia:CCby

Procedencia: Captura de pantalla hecha con el intrprete de comandos de


LinuxUbuntu

Procedencia:
http://www.flickr.com/photos/spree2010/4960433593/sizes/m

Autora:TomsFernndezEscudero

Autora:Wiros

Licencia:Usoeducativoynocomercial

Licencia:CCbysa

Procedencia: Captura de pantalla hecha con el intrprete de comandos de


LinuxUbuntu

Procedencia:
http://www.flickr.com/photos/wiros/2238189745/sizes/m/in/ph

Autora:JavierAroche

Autora:JHogg9144

Licencia:CCby

Licencia:CCbysa

Procedencia:
http://www.flickr.com/photos/j_aroche/709468580/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/softballer9144/405315385/sizes/

Autora:Sentinel

Autora:Alistairmcmillan

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

18/20

23/2/2015

SAD04_Contenidos
Licencia:CCbysa

Licencia:CCbysa

Procedencia:
http://es.wikipedia.org/wiki/Archivo:Mapa_conceptual_del_software_libre.svg

Procedencia:
http://www.flickr.com/photos/alistairmcmillan/2171303438/siz

Autora:zigazou76
Licencia:CCby

Autora:TomsFernndezEscudero
Licencia:Copyright(cita)

Procedencia:
http://www.flickr.com/photos/zigazou76/3622235298/sizes/m/in/photostream/

Procedencia:http://www.ipcop.org/2.0.0/en/admin/html/home

Autora:PeteProdoehl

Autora:ChrisDag

Licencia:CCby

Licencia:CCby

Procedencia:
http://www.flickr.com/photos/raster/5625273307/sizes/m/in/photostream/

Procedencia:
http://www.flickr.com/photos/chrisdag/5212583486/sizes/m/in

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

19/20

23/2/2015

SAD04_Contenidos

http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html

20/20