Académique Documents
Professionnel Documents
Culture Documents
Enrique Brotons
8. Cortafuegos (Firewall).
8.1. Introduccin
En la unidad anterior hemos visto como implementar un servidor proxy con el que
podamos controlar los accesos a Internet. Ahora veremos como con un firewall tambin
conocido como muro de fuego, o cortafuegos, controlaremos las redes conectadas
permitiendo o denegando las comunicaciones entre dichas redes. Tambin un firewall es
considerado un filtro que controla el trafico de varios protocolos como T!"#$!"I%! que
pasan por l para permitir o denegar alg&n servicio, el firewall examina la petici'n y
dependiendo de este, la puede bloquear o permitirle el acceso. #n firewall puede ser un
dispositivo de tipo (ardware como por e)emplo un router, o software que se instala entre
la conexi'n a Internet y las redes conectadas en el lugar.
Firewall en Linux.
En *inux existe gran variedad de herramientas que nos permite controlar nuestro
firewall desde un servidor que este conectado a Internet y a la red local. *a m+s potente y
difundida que suele venir por defecto en las distribuciones *inux es ita!les ,antes
llamada ic"ains-. Aunque tambin existen otras herramientas como #"orewall que es
una herramienta muy flexible, r+pida y sencilla que permite crear reglas iptables usando
archivos, o ufw que es un herramienta que nos permite crear reglas iptables de una forma
muy simple dentro de distribuciones debian, ubuntu y derivados.
%+s informaci'n de .horewall y #fw/
http/""www.shorewall.net"
http/""doc.ubuntu0es.org"#12
1
Redes, servidores y seguridad informtica en Linux . CEP Indalo. Enrique Brotons
$%& ($eli'itari(ed (one).
#n firewall con configuraci'n $%3 indica que va tener una 4ona $esmilitari4ada o
red perimetral, es una red local en la cual se encuentra dentro de una organi4aci'n. !ara
poder ser una 4ona tipo $%3 deben haber servidores ofreciendo servicios de 222, 1T!,
$5., .amba, etc, esto permite ofrecer servicios de una red local hacia el exterior. $entro
de esta 4ona se podr+ tener acceso desde la red local e Internet y firewall controlara los
accesos a los servicios que se encuentren alo)ados dentro de la $%3.
%as inform+ci'n/
http/""es.wi6ipedia.org"wi6i"3ona7desmilitari4ada789:inform8;8A<tica89=
8.). Concetos Ita!les.
Antes de poder administrar nuestro firewall tendremos que saber para que nos
sirve cada de una de las tablas que usa iptables para sus reglas y algunos conceptos
m+s.
8.).1. *a!las.
uando nosotros enviamos un paquete o una solicitud de servicio este pasa por
tres tipos de tablas que debemos conocer.
*a!la +,*.
Esta tabla que debe ser usada cuando se desea hacer los paquetes sean
enrutados a una m+quina cliente dentro de una red local o $%3, pero tambin podremos
enmascarar un red local y tener salida hacia Internet. $entro de esta tabla tenemos las
siguientes opciones/
2
Redes, servidores y seguridad informtica en Linux . CEP Indalo. Enrique Brotons
P-#*.-/*I+0. !ermite establecer las comunicaciones desde la red
interna al exterior. !or e)emplo, para hacer que la red interna tenga
Internet.
P.E.-/*I+0. !ermite establecer las comunicaciones desde la red
externa a la red interna. !or e)emplo, se utili4a para que desde el exterior
se tenga acceso a un servidor interno.
$+,*1 Este par+metro se emplea cuando tenemos casos en donde se tiene un I!
!ublica y el servicio se encuentra dentro de la red local o $%3 y el firewall el
encargado de redirigir esta petici'n a la m+quina en donde se encuentre el servicio.
#+,*1 Esta opci'n se ocupa cuando queremos esconder nuestra I! de red local o
$%3, cambi+ndola dentro del firewall con la I! p&blica proporcionada por nuestro
proveedor de Internet.
%,#2/E.,$E1 (ace lo mismo que .5AT, pero %A.>#E?A$E
autom+ticamente convierte nuestra I! de la red local o $%3 a I! publica y se
recomienda tener esta configuraci'n cuando en nuestra red asignamos I! de forma
$(!.
*a!le %,+0LE.
Esta tabla se usa principalmente para modificar paquetes. $entro de esta tabla
tenemos las siguientes opciones/
*-#1 Es usado para definir o cambiar el tipo de servicio de un paquete que puede
ser usado para configurar pol@ticas en la red considerando a ser enrutados los
paquetes, no debemos usarlo para paquetes que vayan hacia Internet.
**L1 Es usado para cambiar el campo tiempo de vida de un paquete y con ello
conseguir un TT* especifico.
%,.31 .e usa para marca los paquetes con valores espec@ficos, con estas
marcas podremos limitar el ancho de banda y generar colas.
*a!la FIL*E..
Esta esta la tabla principal para el filtrado de paquetes donde vemos el tipo de
paquete que podemos comparar y filtrar dentro del firewall. $entro de esta tabla tenemos
las siguientes tipos de paquetes/
I+P/*1 !aquetes de entrada hacia nuestro firewall.
F-.4,.$1 !aquetes enrutados por medio del firewall a otra m+quina.
-/*P/*1 !aquetes de salida de nuestro firewall.
3
Redes, servidores y seguridad informtica en Linux . CEP Indalo. Enrique Brotons
8.).). Estados.
*os estados en realidad son los seguimientos de conexiones dentro del firewall.
!ara esto tenemos las siguiente opciones/
E#*,BLI#5E$1 El paquete seleccionado se asocia con otros paquetes en una
conexi'n establecida.
I+6,LI$1 El paquete seleccionado no puede ser asociado hacia ninguna conexi'n
conocida.
+E41 El paquete seleccionado esta creando una nueva conexi'n o bien forma
parte de una conexi'n de dos caminos.
.EL,*E$1 El paquete seleccionado esta iniciando una nueva conexi'n en alg&n
punto de la conexi'n existente.
!odemos tomar decisiones a partir del estado del paquete por medio del modulo state
con el parametro 78' state9, se refiere a la posibilidad de mantener informaci'n sobre el
estado de la conexi'n en memoria. El seguimiento de conexiones se reali4a en cadenas
P.E.-/*I+0 : -/*P/*, el numero m+ximo de conexiones esta guardada en
;roc;s:s;net;i<=;i>conntrac?>'ax.
8.).@. Protocolos.
Todos los servicios mane)an protocolos para su comunicaciones, por lo cual
iptables podremos administrar servicios dentro de los protocolos/
*CP1 !rotocolo de ontrol de Transmisi'n, este protocolo es mas utili4ado por los
servicios ofrecidos por alg&n servidor y en general en todo Internet y redes locales.
http://es.wikipedia.org/wiki/Transmission_Control_Protocol
/$P1 !rotocolo de $atagrama de #suario, sirve para el env@a de datagrama pero
debe existir una conexi'n establecida.
http://es.wikipedia.org/wiki/Udp
IC%P1 !rotocolo de %ensa)es de ontrol y Error de Internet, este protocolo
solamente lo utili4amos cuando hacemos env@o de paquetes de un m+quina a otra
como al hacer ping.
http://es.wikipedia.org/wiki/Internet_Control_Message_Protocol
!ara poder utili4ar estos protocolos podremos usar el par+metro 789.
8.).=. -!Aeti<os;,cciones.
uando nosotros creamos una regla iptables tenemos varias acciones b+sicas en
las cuales podremos indicar al firewall que hacer con ellas. Estas acciones son/
,CCEP*1 Acepta los paquete que pase por el firewall.
$.-P1 $eniega los paquete que pase por el firewall, cortando la comunicaci'n.
.EBEC*1 1unciona b+sicamente igual que el ob)etivo $?A!, aunque en este caso
se devuelve un mensa)e de error al host que env@o el paquete bloqueado.