Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Docente
Javier Guzmn
Ingeniero de sistemas
CONTENTS
I.
Introduccin
II.
Firewall
II-A. Tipos de Firewall..
II-B. Disposiciones...
II-C. Funciones..
II-D. Limitaciones..
2
2
3
5
8
III.
IV.
Iptables
IV-A. Estructura
IV-B. Funcionamiento.
IV-C. El comando Iptables.
V.
Administracin Grfica
15
V-A. X-Window 15
V-B. Webmin 18
VI.
Conclusiones y
recomendaciones
References
10
11
12
12
20
21
__________________
________________
I.
INTRODUCCIN
la
la
de
un
II. FIREWALL
El Firewall es un mdulo que puede
ser un paquete de software o un
dispositivo de hardware comnmente
utilizado en las redes de computadores
para controlar (bloquear, modificar, etc)
el trfico de datos entre ellas de
acuerdo a polticas previamente
establecidas.
A. Tipos de Firewall
Bsicamente hay 3 tipos de Firewall:
1. De filtrado de paquetes.
Trabaja en capa 3 del modelo
OSI4 o capa de red filtrando los
paquetes IP5. Estos filtros se
aplican a la direccin de origen,
direccin de destino. Trabaja en
capa 2 filtrando direcciones MAC
(direccin de la tarjeta de Red) o
en capa 4 filtrando puertos de
origen y destino. Tambin se
presentan mezclas de filtros.
________________
4 Modelo OSI. El modelo de referencia de
Interconexin de Sistemas Abiertos (OSI, Open
System Interconnection) lanzado en 1984 fue el
modelo de red descriptivo creado por ISO; esto es,
un marco de referencia para la definicin de
arquitecturas de interconexin de sistemas de
comunicaciones. [3]
5 Protocolo IP. Protocolo de Internet (IP, de sus
siglas en ingls Internet Protocol) es un protocolo no
orientado a conexin usado tanto por el origen como
por el destino para la comunicacin de datos a
2. De capa de aplicacin.
En el modelo OSI, trabaja en la
capa 7 o capa de aplicacin. Un
ejemplo sera el filtro de trfico
HTTP como lo hace un servidor
Proxy que filtra las URL o
direcciones de las pginas que se
desean visitar.
3. Personales
Son aplicativos instalados en
computadores de punto final o de
usuario. Estos firewalls sirven de
filtro para las comunicaciones
entre dicho computador y la red.
B. Disposiciones de un Firewall
PROXY
Como hemos visto en las diferentes
configuraciones de red, lo ms
comn es tener una salida a internet
para toda la red. Un servidor proxy,
es un servidor que sirve como
puente para resolver las solicitudes
de los diferentes usuarios en la red,
as en vez de configurar un acceso a
internet para cada usuario en la red,
se configura el acceso para un
servidor proxy y se configuran todos
los equipos de la red como clientes
de dicho servidor.
10
Figura 8. QOS
Balanceo de Carga
En ciertas redes empresariales, hay
ms de un canal de salida a
Internet, el servicio de balanceo de
carga, se encarga de establecer
cual canal utilizar para mantener
todos los canales en un mismo nivel
de ocupacin y previene que
ocurran negaciones de servicio al
enviar paquetes a un canal ocupado
mientras hay otro disponible.
D. LIMITACIONES DE UN FIREWALL
11
transporte,
enrutamiento
y
seguridad. Fue creada en Estados
Unidos en 1986.
Es una institucin formada
bsicamente por tcnicos en
Internet e informtica cuya misin
es velar porque la arquitectura de
la red y los protocolos tcnicos
que unen a millones de usuarios
de todo el mundo funcionen
correctamente. Es la organizacin
que se considera con ms
autoridad
para
establecer
modificaciones de los parmetros
tcnicos bajo los que funciona la
red7.
El RFC-2979 define las caractersticas
de comportamiento y cules son los
requerimientos de interoperabilidad de
los Firewall o en Internet. [1]
Los firewall actan como protocolo de
punto final y puente, como por ejemplo,
en los casos de protocolos de correo
electrnico, tambin funcionan como
filtro de paquetes o una combinacin.
Cuando el firewall funciona como
protocolo debe implementar una
versin segura del mismo, debe
realizar pruebas de validez, debe
reducir al mnimo las probabilidades de
fallo, debe correr en un ambiente
seguro y aislado o debe usar una
combinacin de estas tcnicas en
paralelo.
A. Caractersticas de un Firewall
Los firewall que funcionen como filtro
de paquetes no son visibles como los
___________________
12
13
no sean respuesta
saliente legtimo.
trfico
2. Extensiones SMTP10
El protocolo SMTP original no
tena
un
mecanismo
para
extensiones de protocolos de
negociacin.
Cuando
fueron
agregadas, se agreg el comando
EHLO11 al firewall dentro de la
lista de comandos aceptados. En
algunos casos el firewall no
entenda el comando causando
una falla en el protocolo SMTP.
D. Requisitos de aplicacin
Los protocolos de aplicacin DEBEN
ser diseados para facilitar su
operacin a travs de los firewall de
manera que estos diseos no impacten
adversamente la aplicacin de alguna
otra
manera.
Adems,
las
especificaciones de protocolos de
aplicacin PUEDEN incluir material
que defina los requerimientos que
debe cumplir un firewall para manejar
apropiadamente el protocolo de
aplicacin.
E. Consideraciones de Seguridad
Una buena seguridad ocasionalmente
puede resultar en problemas de
_______________
IV. IPTABLES
Iptables, tambin conocido como
Netfilter [2], es un conjunto de
funciones de punto de entrada, o
como se denominarn en el resto del
captulo, hooks, que vienen incluidas
en el ncleo o Kernel versiones 2.4.x,
2.6.x de Linux. Entonces, cada funcin
captura y manipula los paquetes de
Red. Para Iptables, los hooks
trabajan cuando llega un paquete IP
que cumpla con la condicin de
entrada, puede ser la direccin IP de
origen o destino, el nmero de puerto,
etc, hace que se ejecute esa funcin y
el paquete es manipulado.
Entonces, en Linux, el Firewall hace
parte de su ncleo y est conformado
por un conjunto de hooks encargados
de realizar las funciones de filtrado de
paquetes, NAT y algunos que proveen
compatibilidad con reglas de versiones
anteriores como Ipchains12.
14
Tabla NAT:
Permite configurar el protocolo
NAT. Al recibirse una conexin
TCP,
se toman el grupo de
paquetes que llega y se le aplican
las operaciones de NAT o de
enmascaramiento. Esta tabla tiene
3 cadenas para aplicar reglas:
1.
2.
3.
A.
Estructura
Tabla Filter
Es la tabla que cumple la funcin
esencial de Iptables, el filtrado de
paquetes. Tambin aplica 3
Reglas:
1.
2.
3.
B.
15
En la Figura 11 se encuentra el
esquema del flujo que siguen los
paquetes en iptables.
Tabla
IP
Cadena
Accin
Paquete en
5
6
C.
internet
El paquete llega a
la interfaz de red
del firewall, puede
ser eth0
Si cumple con
alguna condicin
Mangle Prerouting
de mangle,
realiza la accin
que indicada
Si cumple con
alguna condicin
NAT
Prerouting
de NAT, realiza la
accin que
indicada
Revisa el
enrutamiento
Enva el paquete
Filter
Input
a la red local
La aplicacin o
servicio de
destino recibe el
paquete para
procesarlo.
Tabla 2. Camino de un paquete externo
con destino en el firewall
El Comando Iptables
16
comando
Descripcin
Inserta una regla al final de
una cadena.
Inserta una regla al inicio de
una cadena.
Reemplaza una regla de una
cadena
Elimina una regla de una
cadena.
Lista las reglas de una cadena
Vaca una cadena (elimina las
reglas)
Resetea las variables de una
cadena
Crea una cadena nueva sin
reglas
Elimina una cadena vaca
Cambia la poltica por defecto
Descripcin
Dominio, ip, rango de ip de origen
Dominio, ip rango de ip de destino
Interfaz o tarjeta de red de entrada
Interfaz o tarjeta de red de salida
Especifica el protocolo del paquete
Paquetes fraccionados de acuerdo
al MTU [9]
Puerto TCP de origen
Puerto TCP de destino
Compara las Banderas TCP del
paquete contra una mscara.
(SYN,ACK,FIN,RST,URG,PSH,
ALL O NONE)
Revisa que la bandera SYN est
en 1 y ACK y FIN sean 0
Puerto UDP de origen
Puerto UDP de destino
Identifica el tipo de mensaje ICMP
Especifica la direccin MAC,
valido solo en INPUT y
FORWARD
Descripcin
Acepta el paquete
Desecha el paquete con una
respuesta ICMP (Host
Unreachable)
Desecha el paquete
silenciosamente
Redirige el comando
Crea un log de la operacin
para su futuro anlisis
17
##Filtros
## IP desde la cual se administra
## el firewall 10.1.1.24
iptables A INPUT s 10.1.1.24 j
ACCEPT
iptables A OUTPU d 10.1.1.24 j
ACCEPT
## Se restringe el acceso al
## firewall al resto de la red
iptables A INPUT s 0.0.0.0/0 j
DROP
_________________
13 En informtica, un script es un guin o conjunto
de instrucciones. Permiten la automatizacin de
tareas creando pequeas utilidades. Es muy
utilizado para la administracin de sistemas UNIX.
Son ejecutados por un intrprete de lnea de
rdenes y usualmente son archivos de texto.
Tambin un script puede considerarse una
alteracin o accin a una determinada plataforma
[11].
18
j ACCEPT
## Reglas para servidor de correo
## en DMZ 190.135.21.5
# Acceso puerto 25
iptables A FORWARD d 190.135.21.5
-p tcp dport 25 j ACCEPT
iptables A FORWARD s 190.135.21.5
-p tcp sport 25 j ACCEPT
# Acceso puerto 110
iptables A FORWARD d 190.135.21.5
-p tcp dport 110 j ACCEPT
iptables A FORWARD s 190.135.21.5
-p tcp sport 110 j ACCEPT
# Acceso puerto 143
iptables A FORWARD d 190.135.21.5
-p tcp dport 143 j ACCEPT
iptables A FORWARD s 190.135.21.5
-p tcp sport 143 j ACCEPT
## Permiso a IP para administrar el
## servidor de correo 10.1.1.24 por
## SSH
Iptables A FORWARD s 10.1.1.24 d
190.135.21.5 -p tcp dport 22
j ACCEPT
Iptables A FORWARD s 190.135.21.5
d 10.1.1.24 -p tcp sport 22
j ACCEPT
# Fin del Script
V.
Administracin Grfica
A.
19
X-Window
1. Configuracin en modo grfico
con el gestor de escritorio
GNome en Red Hat Enterprise
server versin 5.
20
21
22
Webmin
____________________
16. Web Enabled. Habilitado para usar mediante
una pgina Web. [14]
23
Qu es Webmin?
Webmin es una interfaz Web para
administrar
sistemas
Unix17.
Mediante el uso de cualquier
navegador web, usted puede
configurar cuentas de usuario,
Apache,
DNS,
archivos
compartidos y mucho ms.
Webmin quita la necesidad de
editar manualmente los archivos
de configuracin de Unix como
/etc/passwd, y le permite manejar
el sistema desde la consola o
remotamente. [15]
Webmin fue desarrollado por el
australiano Jamie Cameron y liberado
bajo
licencia
BSD18.
Incluye
numerosos mdulos que permiten
configurar y administrar gran variedad
de sistemas operativos incluyendo
Windows aunque de una manera
limitada.
24
La implementacin, configuracin y
puesta en marcha de un servidor
de seguridad para una red es un
proceso de mucho cuidado, se
debe realizar una planificacin y
una documentacin previa para
evitar que las vulnerabilidades de
la red interna sean explotadas.
La implementacin de un Firewall
basado en iptables requiere un
usuario avanzado, puesto que su
administracin
es
compleja,
requiere conocimientos en temas
variados y adems debe cumplir
con la regla de transparencia sin
poner en peligro la seguridad.
La debilidad ms grande de
iptables es, al mismo tiempo, una
de sus mayores fortalezas. Cuanto
ms detallado sea el proceso de
creacin de cadenas y reglas, ms
seguro va a ser el firewall.
Las
siguientes
son
algunas
recomendaciones sobre el tema.
Aunque es ms costoso de
administrar, se propone que el
firewall que tenga como poltica por
defecto DENEGAR.
25
http://es.wikipedia.org/wiki/Entorno_de
_escritorio
[13] YaST. Wikipedia [Online] 2004
[Citado en Marzo de 2009]. Disponible
en Internet:
http://es.wikipedia.org/wiki/YaST
[14] Web Enabled. The Free Dictionary
by Farlex [Online] 2009 [Citado en
Marzo de 2009]. Disponible en Internet:
http://encyclopedia2.thefreedictionary.c
om/Web+enabled
26