Scribd Logo
Importer

Bienvenue sur Scribd !

  • Firewalls

    Transféré par

    David Perez
    16 vues18 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    16 vues18 pages

    Firewalls

    Transféré par

    David Perez

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 18

    Curso avanzado de GNU/Linux

    Netfilter

    Rafael Varela Pet Unidad de Sistemas rea de Tecnologas de la Informacin y Comunicaciones Universidad de Santiago de Compostela
    Curso avanzado de GNU/Linux

    Introduccin: netfilter, iptables

    netfilter.org

    framework para las series 2.4 y 2.6 que permite manipular trfico de red sucesor de iptables (kernel 2.2.x) e ipfwadm (kernel 2.0.x) netfilter: puntos de enganche (hooks) en el subsistema de red del kernel iptables: herramienta para definir conjuntos de reglas de acceso otros: subsistema NAT, connection tracking.
    Curso avanzado de GNU/Linux

    componentes

    netfilter: funciones

    Filtrado de paquetes con estado (stateful) o sin estado (stateless). Network Address and Port Translation (NAT/NAPT) Arquitectura extensible Slo funciona con protocolo IP (IPv4 e IPv6)

    Curso avanzado de GNU/Linux

    Netfilter: terminologa

    Destinos (targets): Accin que se le puede aplicar a un paquete: ACCEPT, DROP, REJECT, LOG, ... Reglas (rules): define un criterio de seleccin de paquetes y qu destino se le va a dar a los que o cumplan. Cadenas (chains): conjunto de reglas que se aplican a un paquete.

    Cada cadena tiene un mbito de aplicacin especfico. Existen cadenas predefinidas y cadenas de usuario
    Curso avanzado de GNU/Linux

    Netfilter: terminologa

    Tablas: agrupan cadenas segn un determinado propsito. Existen 4 tablas:


    filter nat mangle raw

    Cada tabla tiene un conjunto de cadenas predefinidas. La tabla filter tiene las cadenas INPUT, FORWARD, OUTPUT
    Curso avanzado de GNU/Linux

    Enfoque

    Vamos a centrarnos en el filtrado Usamos:


    tabla filter cadenas


    INPUT (se aplica a paquetes que entran a nuestro sistema) OUTPUT (paquetes que salen de nuestro sistema) FORWARD (paquetes en trnsito)

    Importante: Un paquete atraviesa slo una cadena

    Curso avanzado de GNU/Linux

    Requisitos previos

    Disponer de soporte en el kernel


    >grepIP_NF/boot/config$(unamer)

    Cargar el mdulo
    >modprobeip_tables

    Herramientas en el espacio de usuario


    >aptitudeinstalliptables

    Curso avanzado de GNU/Linux

    Definicin de reglas

    Aadir regla:

    Especificamos tabla, cadena, definicin de la regla y destino del paquete: iptables[ttabla] ACADENA definicion_regla jTARGET[opcionestarget]

    Curso avanzado de GNU/Linux

    Match extensions

    Extensiones que amplan las capacidades de bsqueda de paquetes Se cargan implticamente al usar la opcin -p para especificar un determinado protocolo Se cargan explcitamente con la opcin -m Algunos mdulos estndar:

    connlimit quota

    conntrack mac

    icmp multiport ...

    Curso avanzado de GNU/Linux

    Definicin de reglas

    Ejemplo: Bloquear todo el trfico entrante por la interfaz eth0 guardando un registro previamente:

    iptablestfilterAINPUTieth0jLOG logprefix"prohibido" iptablestfilterAINPUTieth0j REJECT iptablestfilterL

    Comprobar reglas aplicadas:

    Ver /var/log/syslog o ejecutar 'dmesg' para observar los mensajes de netfilter


    Curso avanzado de GNU/Linux

    Definicin de reglas

    Borrar regla:
    iptables[ttabla] DCADENAdefinicion_regla

    Tambin se puede especificar el nmero de regla a borrar:


    iptablestfilterDprueba2

    Borrar todas las reglas:


    iptablestfilterF(flush-Vaca cadenas) iptablestfilterX(Borra cadenas de usuario)
    Curso avanzado de GNU/Linux

    Logging

    Empleamos el target -j LOG para registrar eventos a travs de syslog Una regla con ese destino no es terminal Si queremos hacer log y rechazar al mismo tiempo:

    Creamos una cadena propia con las dos reglas:


    iptables -N logdrop iptables -A logdrop LOG iptables -A logdrop DROP

    Cuando queramos registrar y rechazar, empleamos el target -j logdrop


    Curso avanzado de GNU/Linux

    Logging

    Ejemplo:
    IN=eth0OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:83:ca:5d:cf:08:00 SRC=10.3.0.1DST=255.255.255.255 LEN=328TOS=0x00PREC=0x00TTL=255ID=65301 PROTO=UDPSPT=67DPT=68LEN=308

    Notas:

    08:00 Ethertype (protocolo IP) ff:ff:ff:ff:ff:ff - MAC destino (broadcast) 00:0e:83:ca:5d:cf - MAC origen
    Curso avanzado de GNU/Linux

    Poltica de las cadenas

    La poltica determina qu es lo que hay que hacer con un paquete si no se aplica ninguna regla Slo las cadenas predefinidas pueden tener poltica Ejemplo:

    iptablestfilterPINPUTDROP

    Curso avanzado de GNU/Linux

    Ejemplo para estacin de trabajo


    Ver rc.iptables Para que se cargue al inicio del sistema:


    Copiar a /etc/rc.iptables Editar /etc/rc.local

    Curso avanzado de GNU/Linux

    Herramientas de alto nivel

    Construccin de reglas:

    firehol: herramienta de consola, ficheros de texto plano firewall builder: herramienta grfica, ficheros XML sendip: permite generar paquetes IP arbitrarios Ejemplo:

    Depurar reglas:

    aptitudeinstallsendip sendipvpipv4pudpud22222d 0x12345678


    Curso avanzado de GNU/Linux

    Firehol

    aptitude install firehol Editar /etc/firehol/firehol.conf Ejecutar 'firehol reload'

    Curso avanzado de GNU/Linux

    Referencias

    http://www.netfilter.org/ http://iptables-tutorial.frozentux.net/iptables-tutorial.html http://www.earth.li/projectpurple/progs/sendip.html http://firehol.sourceforge.net/ http://en.wikipedia.org/wiki/EtherType

    Curso avanzado de GNU/Linux

    Vous aimerez peut-être aussi