Académique Documents
Professionnel Documents
Culture Documents
Routers y Firewalls
Tabla de Contenidos 4. Routers y Firewalls....................................................................................................................................... 2 4.1 Routers ............................................................................................................................................. 2 Pila de protocolos TCP/IP............................................................................................................... 2 Paquetes de datos........................................................................................................................ 3 Comunicacin entre ordenadores en una red ....................................................................................... 4 Cmo unciona un router................................................................................................................ ! Componentes "#sicos de un router.................................................................................................... $ Tipos de routers.......................................................................................................................... % Protocolos de enrutamiento............................................................................................................ & 4.2 Firewalls........................................................................................................................................... 1' (a red de microso t windows.......................................................................................................... 11 )cti*ando el corta ue+os de ,indows 2''' ........................................................................................ 13 Con i+urando los ser*icios de red.................................................................................................... 14 -tili.ando el Re+istro de /e+uridad.................................................................................................. 1$ 0a"ilitando los mensa1es IC2P........................................................................................................ 1% Creando un irewall con ipta"les..................................................................................................... 21 3u4 es ipta"les.......................................................................................................................... 21 Prote+er la propia m#quina........................................................................................................... 22 Firewall de una ()5 con salida a internet.......................................................................................... 26 Firewall de una ()5 con salida a internet con 728............................................................................... 32 Firewall de una ()5 con salida a internet y 9P5/................................................................................. 3% Firewall puro y duro entre redes..................................................................................................... 41 Firewall con pol:tica por de ecto 7R;P............................................................................................. 44 4.3 Introduccin a 5)T.............................................................................................................................. 4& Cmo Funciona 5)T.................................................................................................................... 6' )cti*acin de 5)T....................................................................................................................... 61
4. Routers y Firewalls.
4.1 Routers
-n ordenador solitario< sin cone=in con nin+>n otro< es una isla de in ormacin y de recursos que no resulta renta"le< especialmente cuando para el tra"a1o diario se precisa recurrir a di erentes uentes de datos. 7e esto se dieron cuenta muy pronto las empresas< que solicitaron a las compa?:as de desarrollo de @ardware y so tware un medio compartido de tra"a1o< en el que di erentes estaciones de tra"a1o< ser*idores e impresoras pudieran comunicarse entre ellos y compartir recursos. 7e este modo sur+ieron las primeras redes de ordenadores. -na red est# ormada por una serie de estaciones de tra"a1o unidas entre s: por medios de transmisin :sicos Aca"lesB o "asados en ondas Aredes inal#m"ricasB< coordinados por unas m#quinas especiales< denominadas ser*idores< y por una con1unto *aria"le de dispositi*os de tra"a1o< como impresoras< escaners< etc. )dem#s< e=isten di erentes dispositi*os que a?aden uncionalidades a las redes< como los routers< switc@es y @u"s. Pila de protocolos TCP/IP (as di erentes m#quinas que orman una red se comunican entre s: usando un medio compartido< pudiendo tener adem#s cada una de ellas caracter:sticas propias< como componentes de @ardware< sistemas operati*os y aplicaciones de usuario. Por sol*entar estas di erencias se @i.o necesaria la introduccin de una serie de re+las que controlaran el acceso al medio compartido y la orma correcta en que las m#quinas se de":an comunicar y transmitir los datos< sur+iendo con ello di erentes protocolos de comunicacin y control. Cn un principio< cada empresa desarrolladora implement un sistema propio de comunicacin de red< con una arquitectura y unos protocolos di erentes< por lo que no ue posi"le< cuando se necesit< unir redes de di erentes a"ricantes. /implemente< no se entend:an entre ellas< pues @a"la"an DidiomasD di erentes. Intentando solucionar este pro"lema< la I/; A;r+ani.acin Internacional de Cst#ndaresB cre un modelo de comunicacin para redes di*idido en una serie de ni*eles de tra"a1o< denominados capas< cada uno de los cuales se encar+ar:a de uno o m#s aspectos concretos de la comunicacin mediante una serie de protocolos espec: icos. Cste modelo se llam OSI AIntercomunicacin de /istemas )"iertosB y< lamenta"lemente< no lle+ a utili.arse en
la pr#ctica< de"ido a que cuando se pu"lic ya se @a":an desarrollado otros arquitecturas de comunicacin en redes que unciona"an m#s o menos "ien< y que ueron las que al inal se usaron y e=tendieron. 7e ellas< la m#s conocida y usada en la actualidad es la arquitectura TCP/IP< ormada por un e=tenso con1unto de protocolos< cada uno de los cuales se encar+a de un aspecto concreto de la comunicacin entre m#quinas en red. TCP/IP se "asa en un modelo de capas< al i+ual que ;/I< pero m#s reducido< actuando cada protocolo en una de las capas del mismo. Cl n>mero de capas en que se di*ide TCP/IP y el nom"re de las mismas *ar:a se+>n el autor Arecordemos que no es un est#ndar< si no una implementacin Dde actoDB< pero podemos considerar la si+uiente di*isinE Capa de )plicacinE encar+ada de dar soporte de red a las aplicaciones de usuario< con*irtiendo los datos de estas a un ormato est#ndar apropiado para su transmisin por red. Cn ella act>an protocolos como 0TTP Awe"B< FTP Atrans erencia de ic@erosB y /2TP Acorreo electrnicoB. Capa de TransporteE encar+ada de di*idir los datos en unidades de in ormacin de tama?o apropiado y de controlar la correcta transmisin l+ica de las mismas. /us principales protocolos son TCP y -7P. Capa de InternetE su misin principal es enrutar o diri+ir los datos de una m#quina a otra< usando para ello el protocolo IP< siendo el responsa"le principal del tr# ico de datos entre di erentes redes interconectadas.) Capa de Cnlace de datosE se ocupa de identi icar los datos transmitidos entre m#quinas de una misma red y de controlar la *alide. de los mismos tras su emisin y recepcin a tra*4s del medio :sico. Capa F:sicaE responsa"le de la con*ersin de los datos a transmitir en impulsos el4ctricos o en ondas y de su transmisin :sica. Cada capa tra"a1a independientemente de las otras< comunic#ndose entre ellas por medio de inter aces apropiadas. Paquetes de datos Cuando un @ost desea en*iar una serie de datos a otro< estos son con*ertidos a un ormato de red apropiado Acapa de )plicacinB y di*ididos en una serie de unidades< denominadas se+mentos Acapa de TransporteB< que son numerados para su correcto reensam"le en la m#quina destino. Posteriormente< son pasados a la capa de Internet< que les coloca las direcciones IP de la m#quina ori+en y de la m#quina destino. (as unidades as: o"tenidas se conocen con el nom"re de paquetes. Cntonces son pasados a la capa de Cnlace de 7atos< que les a?ade las direcciones 2)C de am"as m#quinas y un n>mero calculado para la *eri icacin posterior de errores en el en*:o< pasando entonces a denominarse tramas. Por >ltimo< las tramas son pasadas a la capa F:sica que las une en trenes de "its apropiados para su trans ormacin en impulsos el4ctricos o en ondas< que posteriormente son en*iados al medio.
Cuando los impulsos lle+an a la m#quina destino el proceso se in*ierte< o"teniendo la aplicacin receptora los datos en su ormato ori+inal. ) pesar de que lo que se transmite por el medio :sico son impulsos el4ctricos< se suele @a"lar de paquetes transmitidos< ya que son las unidades de in ormacin con entidad propia. Comunicacin entre ordenadores en una red Ima+inemos una red ormada por *arios @ost< como la representada en la si+uiente ima+enE
/i el @ost ) AIPF21'.23.6.14B se desea comunicar con el @ost C AIPF21'.23.6.2$B< construye sus paquetes de datos y la capa de Internet les coloca su direccin IP AemisorB y la de C AdestinatarioB< pas#ndolos a la capa de Cnlace de 7atos< que no sa"e la direccin 2)C de C. Para a*eri+uarla< en*:a un mensa1e a todos las m#quinas de la red< conocido como peticin )RP< pre+untando cu#l es la direccin 2)C correspondiente a la IP 21'.23.6.2$. (as peticiones )RP son de tipo "roadcast< es decir< peticiones que son en*iadas a todos y cada uno de los equipos en la red. (a pre+unta lle+a a todas las m#quinas< pero slo C contesta< en*iando una respuesta con su direccin 2)C. Cntonces< ) a?ade am"as direcciones 2)C a los paquetes y los pasa a la capa F:sica< que lo transmite al medio. Comunicacin entre ordenadores en dos redes. Routers. Ima+inemos a@ora que el @ost C AIPF1&'.2''.23.6B no se encuentra en la misma red que ) AIPF21'.23.6.14B. Cuando 4ste en*:e el "roadcast pre+untando la direccin 2)C de C nadie le responder#< por lo que< si no se @ace nada al respecto< la comunicacin entre am"as m#quinas resultar# imposi"le. (os encar+ados de solucionar este pro"lema son unos dispositi*os de red especiales< llamados routers< que conectan dos o m#s redes< sir*iendo de enlace entre ellas. (os routers tra"a1an en la capa de Internet< encar+#ndose de encaminar o enrutar paquetes de datos entre m#quinas de redes di erentes.
Para poder uncionar de esta orma de"en pertenecer a cada una de las redes que conectan< como si ueran un @ost m#s de las mismas. 7e esta orma< un router que conecte dos redes de"e tener una tar1eta de red di erente para cada una de las redes y< consecuentemente< dos direcciones 2)C di erentes. Tam"i4n de"e tener asi+nada una direccin IP en cada una de las dos redes< ya que si no ser:a imposi"le la comunicacin con las m#quinas de las mismas. Cl esquema de dos redes conectadas por un router podr:a ser el representado en la si+uiente ima+enE
)@ora< cuando un @ost en*:a una peticin )RP para a*eri+uar la direccin 2)C correspondiente a una IP dada y no es respondido por nin+>n equipo de su red< en*:a los paquetes correspondientes a un router que tiene con i+urado para este tipo de en*:os< denominado +ateway por de ecto. -na *e. que el router reci"e los paquetes de datos utili.a un par#metro especial< denominado m#scara de red< que sumado l+icamente a la direccin IP destino le da la red a la que pertenece el @ost "uscado. Pasa entonces los paquetes a la red a la que pertenece C< @aciendo una nue*a peticin de "roadcast pre+untando la 2)C de C. Cste le responde< y entonces el router le en*:a los paquetes directamente. /i C desea responder a )< el proceso se in*ierte. Cste proceso es necesario reali.arlo slo una *e.< ya que en esta tanto los @ost ) y C como el router anotan las pare1as de direcciones 2)CGIP en unas ta"las especiales< denominadas ta"las de enrutamiento< que usar#n en en*:os de datos posteriores para enrutar los paquetes directamente. Resumiendo< los routers son los principales responsa"les de la correcta comunicacin entre m#quinas de di erentes redes< encar+#ndose en este proceso de enrutar correctamente los paquetes de datos.
Cmo unciona un router (os routers son dispositi*os de red que raramente se encuentran aislados entre s:. )l contrario< suelen estar interconectados< ormando una especie de Dtelara?aD que @ace posi"le el tr# ico de datos entre redes separadas :sicamente. Tomando como e1emplo la Red de redes< Internet< cuando un ordenador en*:a una serie de paquetes de datos a otro situado en otra ciudad o pa:s< estos son encaminados de router a router a lo lar+o del camino entre am"as m#quinas. Cada paso de un paquete de un router a otro se denomina DsaltoD< y el principal o"1eti*o de todos y cada uno de los routers que inter*ienen en la trans erencia del paquete es que 4ste lle+ue a su destino en el menor n>mero posi"le de saltos< por la me1or ruta posi"le. Para poder reali.ar esta tarea< los routers se comunican constantemente entre s:< in orm#ndose de las rutas "loqueadas< de las m#quinas intermedias que se encuentran ca:das o saturadas de tr# ico< aprendiendo con ello cu#l es el router idneo para en*iarle los paquetes reci"idos. /i consideramos a@ora el caso de un router se+mentando una red local A()5B< aunque a@ora no de"e en*iar los paquetes a otro router< s: que tiene que sa"er por qu4 puerto de"e en*iar los datos para que lle+uen a la m#quina local destino. Csta @a"ilidad de Dsa"erD a dnde tienen que en*iar los paquetes de datos que reci"en la consi+uen almacenando en su interior una ta"la especial< conocida como ta"la de ruteo< en la que *an anotando las direcciones IP de las m#quinas que se comunican con 4l y el puerto por el que est# accesi"le esa m#quina. )s:< cuando a un router lle+a un paquete< mira en su ta"la de ruteo. /i est# en ella re erenciada la direccin IP de la m#quina destino< tam"i4n lo estar# el puerto por el que 4sta es accesi"le< con lo que en*:a por 4l el paquete. Cn caso de no estar la IP en la ta"la< manda una peticin de respuesta por todos los puertos< pre+untando en cu#l de ellos se encuentra la m#quina destino< y una *e. o"tenido el puerto de acceso< in+resa la nue*a pare1a IP/P-CRT; en su ta"la de ruteo< con lo que los pr=imos paquetes para esa m#quina los en*iar# directamente. Podemos "uscar una an#lo+:a del uncionamiento de los routers con el de las o icinas de correos. Cuando en*iamos una carta desde 24rida AHada1o.B a (inares AIa4nB< 4sta lle+a en primer lu+ar a la o icina local de 24rida< que la reen*:a a la de Hada1o.< que a su *e. la manda a la de Ia4n< que la remite a la o icina de (inares< que @ace la entre+a. /i la o icina de correos de Ia4n est# cerrada por o"ras< la de Hada1o. la en*iar# a la de 2adrid< que la remitir# a la de )ndu1ar< que a su *e. se encar+ar# de mandarla a la de (inares< @aciendo 4sta de nue*o la entra+a. Cierre la o icina que cierre< siempre se encontrar# un camino para entre+ar la carta. Para e*itar mantener en su ta"la direcciones IP que @ayan quedado o"soletas< cada cierto tiempo "orra aquellas que no tienen acti*idad y las que< tras en*iarles paquetes< no @an respondido. Csto lo consi+uen manteniendo Dcon*ersacionesD entre ellos< en unos len+ua1es especiales denominados Dprotocolos de enrutamientoD.
Componentes b!sicos de un router H#sicamente< podemos considerar un router como un ordenador especial que unciona solo en las tres primeras capas de la arquitectura TCP/IP< al que se la @an eliminado una serie de componentes :sicos y uncionalidades l+icas que no necesita para su tra"a1o< mientras que se le @an a?adido otros componentes de @ardware y de so tware que le ayudan en su tra"a1o de enrutamiento. Como todo ordenador< un router necesita un sistema de arranque A"ootstrapB< encar+ado de reali.ar un c@equeo del resto de los componentes antes de pasar el control a un sistema operati*o ACisco I;/< en el caso de los routers CiscoB. Cl sistema de arranque se almacena en una memoria R;2 ARead ;nly 2emoryF2emoria de /olo (ecturaB< 1unto con una parte "#sica del sistema operati*o< la que toma el control inicialmente< mientras que el cuerpo principal de 4ste se almacena en una memoria especial< de tipo F()/0< que se puede "orrar y repro+ramar< permitiendo con ello las actuali.aciones necesarias. Cl contenido de la memoria Flas@ se conser*a en caso de cortes de ener+:a o durante los reinicios del router. Por otra parte< las uncionalidades operati*as de los routers son con i+ura"les mediante una serie de
instrucciones escritas en un ic@ero de te=to< denominado arc@i*o de con i+uracin< que se almacena en un mdulo de memoria de tipo 59R)2 A5o 9olatil R)2B< cuyo contenido se conser*a durante un corte de ener+:a o si se reinicia el equipo. -na *e. iniciali.ado un router< el ic@ero de con i+uracin es car+ado en una memoria R)2 ARandom )ccess 2emoryF2emoria de )cceso )leatorioB< desde la que se *a e1ecutando el con1unto de rdenes en 4l contenido. Tam"i4n se almacenan en esta memoria las ta"las de enrutamiento< encar+adas de almacenar los puertos del router por los que son accesi"les las di erentes m#quinas. Por >ltimo< el router posee una serie de puertos o inter aces :sicas< puntos de cone=in del mismo con las di erentes redes a las que est# unido< y a tra*4s de los cuales se produce la entrada y salida de datos al equipo. Cl n>mero de inter aces depende del tipo y uncionalidades del router Ay de su precio< claroB.
Tipos de routers (os tipos de router a usar en una red *ar:an dependiendo del tipo de 4sta< del n>mero de usuarios y de la uncin o unciones que de"a desempe?ar< pudiendo *ariar muc@o la comple1idad y el precio de ellos en uncin del tipo ele+ido. /i queremos se+mentar nuestra red en di erentes su"redes< nos @ar# alta un router de se+mentacin< con tantos puertos Ct@ernet como su"redes queremos crear Am#s los de enlace con otros routersB< siendo siempre con*eniente que nos so"ren puertos< con *ista a uturas ampliaciones en la red. Cada su"red utili.ar# lue+o un @u" concentrador o un switc@ para dar acceso a sus clientes indi*iduales. Podemos desear un anc@o de "anda dedicado para un n>mero ele*ado de equipos indi*iduales< prescindiendo as: de los @u"s. 5ecesitaremos entonces un routers de concentracin< que precisa a>n m#s puertos Ct@ernet< aunque no suele ser necesario que sean de alta *elocidad de transmisin. Para conectar una red corporati*a a Internet necesitaremos un router de rontera< que actuar# como +ateway de la red interna< reco+iendo todos aquellos paquetes de datos destinados a m#quinas e=ternas. Cn caso de tener que conectar dos redes ,)5 o dos se+mentos de red en sucursales o campus di erentes< necesitaremos un routers de "acJ"one< que proporciona transporte ptimo entre nodos de la red< con inter aces de alta *elocidad que proporcionan un ele*ado anc@o de "anda. Keneralmente estar#n "asados en tecnolo+:a de i"ra ptica. Por >ltimo< tam"i4n es posi"le al acceso a redes inal#m"rico a redes mediante routers con tecnolo+:a wireless< un medio pr#ctico de li"erar los equipos de las limitaciones de los ca"les :sicos.
Protocolos de enrutamiento 0emos *isto antes que los routers mantienen unas ta"las de enrutamiento< en las que *an anotando las direcciones IP de las m#quinas destino y los puertos adecuados para darles salida de orma ptima. (os routers suelen encontrarse interconectados entre ellos< pas#ndose los paquetes de datos de uno a otro< @asta lle+ar a la m#quina destino. Como cada router tan solo es responsa"le de las m#quinas directamente conectadas a 4l Aincluyendo los routers *ecinosB< se @ace necesario un mecanismo que permita a los routers comunicarse entre s:< para e*itar que cada uno ten+a en sus ta"las re+istros in*#lidos. Csto se consi+ue por medio de una serie de protocolos de enrutamiento< responsa"les de que los di erentes routers manten+an sus ta"las de enrutamiento acordes< o"teni4ndose una red con*er+ente. Con ello se consi+ue< por e1emplo< que si un ordenador o un ser*idor se apa+a en una red< los routers sepan que ya no est# accesi"le< e*itando el en*:o de datos que no lle+ar#n a su destino< y disminuyendo con ello el tr# ico de red. Para mantener las ta"las de enrutamiento actuali.adas< un router pueden mandar a los routers *ecinos una copia de su ta"la cada determinado periodo de tiempo Aenrutamientos por *ector de distanciaB y tam"i4n cuando al+una m#quina en su red su re al+>n cam"io Aenrutamiento por estado de enlaceB. 7epende del protocolo de enrutamiento con que uncione. C=isten di erentes protocolos de comunicacin entre routers< cada uno de los cuales utili.a mecanismos propios para conse+uir la con*er+encia en la red y para determinar el me1or camino que puede se+uir un paquete de datos en su *ia1e @asta la m#quina destino< y cada uno utili.a un sistema de determinacin de me1or ruta Am4tricaB di erente. /e+>n su misin en una red podemos di erenciar dos tipos principales de protocolos de enrutamientoE los protocolos de +ateway interior AIKPB< encar+ados de la comunicacin entre routers de una misma red< entre los que destacan RIP e IKRP< y los protocolos de +ateway e=terior ACKPB o de rontera< encar+ados de la comunicacin entre routers de redes di erentes. Cntre los m#s importantes protocolos de enrutamiento podemos destacar los si+uientesE
RIP AProtocolo de In ormacin de CnrutamientoB< es un protocolo de enrutamiento por *ector de distancia que calcula las distancias @acia la m#quina destino en uncin de cu#ntos routers de"e atra*esar un paquete para lle+ar a su destino AsaltosB< en*iando cada paquete de datos por el camino que en cada momento muestre una menor distancia. RIP actuali.a las ta"las de enrutamiento a inter*alos pro+rama"les< +eneralmente cada 3' se+undos. Cs un "uen protocolo de enrutamiento< pero necesita que constantemente se conecten los routers *ecinos< +ener#ndose con ello una +ran cantidad de tr# ico de red.
I"RP AProtocolo de Cnrutamiento de Kateway InteriorB< desarrollado por Cisco /ystem< es un protocolo de enrutamiento por *ector de distancia que usa una m4trica compuesta "asada en di erentes *aria"les de red< como anc@o de "anda< unidades m#=imas de transmisin A2T-B< con ia"ilidad< etc. Cn*:a actuali.aciones de las ta"las de enrutamiento cada &' se+undos.
#I"RP AProtocolo de Cnrutamiento de Kateway Interior 2e1oradoB< protocolo mi=to "asado en IKRP< "asado en una m4trica de *ector distancia< pero que manda actuali.aciones de las entradas de las ta"las que @an cam"iado por @a"er sido alterado el estado de al+una m#quina de su red.
OSPF< protocolo puro de entado de enlace< que calcula las rutas m#s cortas y accesi"les mediante la construccin de un mapa de la red y el mantenimiento unas "ases de datos con in ormacin so"re su sistema local y so"re los *ecinos. Cuando una m#quina de su sistema cam"ia< se en*:a esa entrada de la ta"la a los routers *ecinos.
Cl protocolo de enrutamiento a ele+ir en cada caso depende del tipo de red A()5< ,)5< etc.B< de su topolo+:a y del uso de la misma< siendo posi"le en la mayor:a de los casos con i+urar *arios protocolos en un mismo router.
4.2 Firewalls
-n sistema "#sico de se+uridad< que de"emos utili.ar para nuestra cone=in a Internet< es la instalacin de un Firewall o corta ue+os. -n irewall es un sistema de de ensa que se "asa en la instalacin de una D"arreraD entre tu PC y la Red< por la que circulan todos los datos. Cste tr# ico entre la Red y tu PC es autori.ado o dene+ado por el irewall Ala D"arreraDB< si+uiendo las instrucciones que le @ayamos con i+urado. Cl uncionamiento de 4ste tipo de pro+ramas se "asa en el D iltrado de paquetesD. Todo dato o in ormacin que circule entre nuestro PC y la Red es anali.ado por el pro+rama A irewallB con la misin de permitir o dene+ar su paso en am"as direcciones AInternetGGLPC PCGGGLInternetB. Cl comprender esto >ltimo es muy importante< ya que si autori.amos un determinado ser*icio o pro+rama< el irewall no *a a decirnos que es correcto o incorrecto< o incluso< que siendo correcto los paquetes que est#n entrando o saliendo< 4stos contienen datos perniciosos para nuestro sistema o la Red< por lo que @ay que tener "uen cuidado en
las autori.aciones que otor+uemos. Como e1emplo de esto >ltimo podemos poner el Correo Clectrnico. /i autori.amos en nuestro irewall a que determinado pro+rama de correo acceda a Internet< y al reci"ir nuestro correo< en un mensa1e reci"ido *iene un ad1unto con un *irus< por e1emplo tipo +usano< el irewall no nos *a a de ender de ello< ya que le @emos autori.ado a que ese pro+rama acceda a la Red. (o que si *a a @acer es que si al e1ecutar el ad1unto< el +usano intenta acceder a la Red por al+>n puerto que no est4 pre*iamente aceptado por nosotros< no lo *a a de1ar propa+arse. )@ora "ien< si @ace uso por e1emplo del mismo cliente de correo< si *a a propa+arse. (a misin del irewall es la de aceptar o dene+ar el tra ico< pero no el contenido del mismo. Cn 4ste caso< la misin de prote+ernos es Aadem#s del sentido com>n de no e1ecutar sin m#s un ad1untoB de un pro+rama )nti*irus. $a red de microso t windows Para que @aya comunicacin por la red es necesario que en am"os ordenadores @aya un pro+rama capa. de entenderse con el del otro lado. Pues "ien< el propio windows es ese pro+rama< y tiene la capacidad que puede ser m#s per1udicial para nosotrosE la de compartir ic@eros. (a mayoria de *osotros @a"reis *isto al+una *e. como se comporta una red de windows &6 o &%E marcamos la carpeta que queremos compartir Aaparece la mano de"a1o de ellaB y autom#ticamente los ic@eros de esa carpeta pueden ser leidos o incluso modi icados o eliminados desde cualquier otro ordenador de la red< y si estamos conectados a internet< eso equi*ale a cualquier ordenador del mundo. /i+uiendo el s:mil de las casas y los *ecindarios< esto equi*ale a de1ar todas las puertas a"iertas de par en par< lo que @acen los ladrones es "uscar directamente las empresas con el o"1eti*o de o"tener al+>n "ene icio. Cn el caso de ,indows 5T< 2''' o MP< se+uimos teniendo un sistema potencialmente peli+roso ya que la capacidad para compartir ic@eros en red continua siendo in@erente al sistema operati*o< pero al contrario que en &6G &%< a@ora cualquier recurso de la red se puede prote+er con contrase?a< con lo que los ladrones al menos se encuentran con las puertas cerradas. Cso s:< los usuarios poco @a"ituados tienden a de1ar las contrase?as en "lanco. Csto es especialmente peli+roso en el caso del usuario N)dministradorO< ya que si un pirata se encuentra al entrar en nuestro sistema con que el administrador no tiene contrase?a< podr# @acer y des@acer a sus anc@as sin que podamos remediarlo.... ser# como tener una puerta cerrada y entre+arle la lla*e en mano. Como @emos dic@o antes< el sistema de contrase?as es solo una primera "arrera< pero no puede considerarse un se+uro< ya que de todos son conocidos los m>ltiples a+u1eros que en los sistemas operati*os de 2icroso t son descu"iertos a diario< por lo que de"emos "uscar otras soluciones. -n irewall unciona< en principio< 7C5CK)57; cualquier tr# ico que se produ.ca cerrando todos los puertos de nuestro PC. Cn el momento que un determinado ser*icio o pro+rama intente acceder a Internet o a nuestro PC nos lo @ar# sa"er. Podremos en ese momento aceptar o dene+ar dic@o tr# ico< pudiendo asimismo @acer Apara no tener que repetir la operacin cada *e.B DpermanenteD la respuesta @asta que no cam"iemos nuestra pol:tica de aceptacin.
-na "uena pol:tica de"er:a ser< ante la duda< no aceptar nunca cualquier acceso @asta compro"ar que es necesario para un correcto uncionamiento del ser*icio que pretendamos usar y no es potencialmente peli+roso para el sistema. /i dene+amos el acceso y nuestro sistema si+ue uncionando "ien< no nos es necesario por lo que lo de"emos dene+ar. Con la instalacin de un irewall conse+uiremos @acer nuestro sistema muc@o menos *ulnera"le a intrusiones< as: que< manos a la o"ra y *amos a *er los pasos< de orma pr#ctica< para instalarlo. 9amos a mostrar un irewall para ,indows y otro para -ni=. C=isten 2 tipos de irewalls o corta ue+os< los de @ardware AaparatosB y los de so tware Apro+ramasB. )m"os uncionan de la misma manera. Cn esta +u:a os ense?aremos como con i+urarlos ya que cada corta ue+os tiene su propia manera de uncionar y de con i+urarse< os ayudar#n a mo*eros por ellos y entender como actuan. -n irewall es como un muro que ponemos delante de la puerta de nuestra casa< de manera que< aunque ten+amos la puerta a"ierta de par en par nadie pueda entrar en ella. (o que @ace un irewall N iltrarO Ano permitirB el paso de in ormacin a tra*4s de una determinada direccin ip o un determinado puerto. 7e esta manera< aunque en nuestro ordenador @aya un troyano instalado escuc@ando< si el irewall no de1a pasar la in ormacin a tra*4s de ese puerto< no tenemos de que preocuparnos. Pueden restrin+ir la comunicacin entrante Aordenadores de uera que intentan acceder al nuestroB o saliente Anuestro ordenador intentando acceder a otros e=ternosB. H#sicamente el iltrado se reali.a de 2 manerasE por direcciones o por puertos. Cn am"os casos< cuando se con i+ura un irewall se suelen esta"lecer re+las ArulesB . -na re+la dice por e1emploE no de1es salir nin+una in ormacin @acia la direccin 21$.23.63.23 . no de1es entrar nin+una in ormacin desde la direccin 216.23.!3.23 no de1es salir nin+una in ormacin a tra*4s del puerto %'.
o inclusoE no de1es entrar nin+una in ormacin de nin+una direccin por nin+>n puerto.
pero tam"i4n re+las positi*asE s: de1a salir la in ormacin a tra*4s del puerto 21.
(as re+las se ordenan se+>n su import#ncia< y el irewall las *a aplicando por orden< ya que las >ltimas pueden @acer cosas contrarias a las primeras. Por e1emplo< podemos poner estas dos re+las en nuestro irewall< y 4l primero aplicar# la primera y lue+o la se+undaE no de1es salir nin+una in ormacin @acia nin+una direccin. pero s: de1a salir la in ormacin @acia la direccin 216.23.!3.23
Teniendo claros estos conceptos podremos con i+urar la mayor:a de los irewalls. Cn ,indows 2''' encontramos en las propiedades del protocolo TCP/IP las opciones N/e+uridad IPO y NFiltrado IPO< donde podremos de inir nuestras re+las a modo de irewall. Cn ,indows 2'''< esta opcin se @a trans ormado en N/er*idor de se+uridad para cone=in a internetO que unciona a la in*ersa< de"emos marcar de una lista las aplicaciones que deseamos que puedan transmitir in ormacin @acia en e=terior y Nse suponeO que ,indows cerrar# el resto de puertos e=istentes. %cti&ando el corta ue'os de (indows )*** Para acti*ar el D/er*idor de /e+uridad de Cone=in a InternetD "astar# con ir a las propiedades de la cone=in de red que queramos prote+er Aque puede ser de red local< =7/(< Ca"le< acceso tele nico< irewire< etcB y en la pesta?a D)*an.adasD acti*ar DProte+er mi equipo y mi red limitando o impidiendo el acceso a 4l desde InternetD. ) partir de entonces el corta ue+os prote+er# nuestro equipo. /in em"ar+o< es posi"le que la con i+uracin por de ecto inter iera con al+unos pro+ramas que act>en de ser*idores. /i ser*imos un sitio we" desde nuestro ordenador< o creamos en un 1ue+o una partida a la que esperamos que se unan 1u+adores< podemos encontrarnos en esta situacin.
Para que el irewall permita acceder a esos ser*icios de"eremos con i+urarlo. Para ello< en la misma *entana donde @emos acti*ado el corta ue+os tenemos un "otn de con i+uracin< que una *e. pulsado nos a"rir# una *entana con tres pesta?asE /er*icios< Re+istro de /e+uridad y IC2P. Con i'urando los ser&icios de red 7e"eremos a?adir a la ta"la del corta ue+os aquellos ser*icios que se e1ecuten en nuestra red. /upon+amos que tenemos un ser*idor we" con nuestra p#+ina personal en nuestro ordenador< que tra"a1a en el puerto %'. Para permitir que se pueda acceder a la we" desde el e=terior< de"eremos marcar la opcin D/er*idor ,e" A0TTPBD en la pesta?a )*an.adasE
Cn la *entana que aparece slo se nos da opcin a introducir el nom"re del ordenador que est# e1ecutando el ser*idor. Csto se de"e a que el ser*icio no tiene por qu4 e1ecutarse en nuestra propia m#quina< sino que puede estar en cualquier otro ordenador de una red local que acceda a tra*4s del nuestro a Internet. /i somos nosotros mismos escri"ir:amos nuestro nom"re< o Dlocal@ostD Asin las comillasB. /i tu*i4ramos una red con *arios ordenadores y se e1ecutara en uno que se llame Dser*idorPwe"D pondr:amos ese nom"re en la casilla. 7e esta orma< indicamos a donde tiene que lle*ar las peticiones que se @a+an al ser*idor we" desde Internet en caso de que no se e1ecute en la m#quina que corre el corta ue+os.
/upon+amos adem#s que @a"itualmente utili.amos un so tware de mensa1eria instant#nea< y que transmitimos por Internet. /i creamos con*ersaciones compartidas a las que se de"e unir +ente< el so tware de mensa1er:a act>a como un ser*idor< por lo que tam"i4n de"eremos a?adirlo a la ta"la del corta ue+os. Para ello de"eremos sa"er en que puerto tra"a1a. /upon+amos que @emos mirado en la ayuda y 4sta nos indica que utili.a el puerto !112 -7P. Pulsando en el "otn )+re+ar nos aparecer# una *entana como la anterior< pero con todas las opciones por rellenar. (o primero ser:a poner la descripcin del ser*icio Apor e1emploE c@arlas en redB y en el si+uiente campo el nom"re del ordenador que e1ecuta el so tware Asi somos nosotros mismos escri"iremos de nue*o Dlocal@ostD sin las comillasB. ) continuacin pondremos el puerto e=terno del ser*icio< es decir< el puerto desde el que ser# *isi"le la partida desde InternetQ y el puerto interno< que de"e ser el que est4 escuc@ando el ser*idor. Cn nuestro caso< tanto el e=terno como el interno de"e ser el !112. Cl primero porque es el que utili.an los clientes para conectarse desde Internet< y el se+undo porque es el que escuc@a el ser*idor de la con*ersacin compartida. Por >ltimo< tendremos que indicar el protocolo utili.ado< que en este caso ser# -7P. -na *e. aceptados los par#metros< el 1ue+o correctamente. uncionar#
+tili,ando el Re'istro de Se'uridad Cl corta ue+os de ,indows 2''' no muestra mensa1es de a*iso cuando se produce una incidencia. Teniendo en cuenta la cantidad de alertas que podemos reci"ir cuando estamos conectados a Internet< ser:a demasiado molesto. 0ay que tener en cuenta que un simple scan de puertos con el in de compro"ar cuales tenemos a"iertos podr:a pro*ocar decenas de incidencias de se+uridad en el corta ue+os. Para e*itar los molestos mensa1es de a*iso se lle*a un control de sucesos so"re arc@i*o< que por de ecto est# situado en DcERwindowsRp irewall.lo+D. Podemos cam"iar la ruta y el nom"re de arc@i*o desde la pesta?a DRe+istro de /e+uridadD y limitar el tama?o m#=imo del mismo. )dem#s podemos re+istrar tam"i4n las cone=iones correctas con el in de descu"rir posi"les puntos de entrada que se nos @ayan ol*idado prote+er de"idamente. Hastar# con un "re*e *ista.o de orma peridica para identi icar accesos no deseados por troyanos y pro+ramas similares.
-abilitando los mensa.es IC/P Cl protocolo IC2P Ade inido en el documento RFC $&2 de especi icaciones de redB es utili.ado para noti icar errores en la cone=in< como por e1emplo que parte de la in ormacin en*iada a una m#quina se @a perdido por el camino< o que no podemos lle+ar a la m#quina con la que queremos esta"lecer la cone=in. /in em"ar+o< uno de los mensa1es m#s utili.ados de este protocolo es el eco entrante< utili.ado para @acer pin+ y sa"er si una m#quina est# conectada.
Por de ecto el irewall e*ita el en*:o de estos mensa1es a la red. 7e esta orma permaneceremos ocultos ante cualquier usuario que @a+a pin+ a nuestra m#quina. /in em"ar+o< si nos interesa que responda a esta peticin de"eremos marcar la opcin Dpermitir solicitud de eco entranteD en la pesta?a IC2P. Csto puede ser >til para compro"ar desde otro lu+ar que el ordenador donde tenemos *arios ser*icios e1ecutando si+ue respondiendo correctamente. 7e la misma orma< acti*aremos el resto de mensa1es IC2P que nos puedan interesar. /eleccionando cada uno de ellos aparecer# una peque?a descripcin en la parte in erior de la *entana que ayudar# a entender el propsito de cada uno.
Ipta"les Atam"ien conocido como net ilterB nos permite con i+urar un Firewall de orma que ten+amos controlado quien entra< sale y/o enruta a tra*es de nuestra maquina -ni=.
Precisamente estas son las tres re+las "asicas de todo FirewallE I5P-T< ;-TP-T y F;R,)R7. )unque con ipta"les podremos @acer muc@as mas cosas comoE 5)T A5etworJ )ddress TranslationB< 2asquerin+< Control de anc@o "anda< Control se+un la 2)C< e*itar ataques 7o/< Control Cstado Aesta es una de las principales no*edades respecto a ipc@ainB< etc... IPta"les es un sistema de irewall *inculado al Jernel de linu= que se @a e=tendido enormemente a partir del Jernel 2.4 de este sistema operati*o. )l i+ual que el anterior sistema ipc@ains< un irewall de ipta"les no es como un ser*idor que lo iniciamos o detenemos o que se pueda caer por un error de pro+ramacinAesto es una peque?a mentira< @a tenido al+una *ulnera"ilidad que permite 7o/< pero nunca tendr# tanto peli+ro como las aplicaciones que escuc@an en determinado puerto TCPBE ipta"les esta inte+rado con el Jernel< es parte del sistema operati*o. SCmo se pone en marc@aT Realmente lo que se @ace es aplicar re+las. Para ellos se e1ecuta el comando ipta"les< con el que a?adimos< "orramos< o creamos re+las. Por ello un irewall de ipta"les no es sino un simple script de s@ell en el que se *an e1ecutando las re+las de irewall. 5otasE "ueno< para los m#s +eeJs y tocapelotas. 9ale< se puede implementar un script de inicio en / etc/rc.d/I5IT.d Ao /etc/I5IT.d B con el que @a+amos que ipta"les se Dinicie o pareD como un ser*idor m#s. (o podemos @acer nosotros o es pro"a"le que *en+a en la distri"ucin Acomo en red@at por e1emploB. Tam"i4n se pueden sal*ar las re+las aplicadas con el comando ipta"lesGsa*e en un ic@ero y +estionar ese ic@ero con una aplicacin o rontGend desde la M o desde we"min. 9ale< tenemos una m#quina linu= con soporte para ipta"les< tiene re+las aplicadas y empie.an a lle+ar/salir/pasar paquetes. 5o nos liemosE ol*idemos cuantas tar1etas de red @ay< que direcciones ip tiene la m#quina y ol*idemos si el paquete entra o sale. (as re+las de irewall est#n a ni*el de Jernel< y al Jernel lo que le lle+a es un paquete Adi+amos< un marrn QB B y tiene que decidir que @acer con 4l. Cl Jernel lo que @ace es< dependiendo si el paquete es para la propia maquina o para otra maquina< consultar las re+las de irewall y decidir que @acer con el paquete se+>n mande el irewall. Cste es el camino que se+uir:a un paquete en el JernelE
Cuando un paquete u otra comunicacin lle+a al Jernel con ipta"les se si+ue este camino. Como se *e en el +r# ico< "#sicamente se mira si el paquete esta destinado a la propia maquina o si *a a otra. Para los paquetes Ao data+ramas< se+>n el protocoloB que *an a la propia maquina se aplican las re+las I5P-T y ;-TP-T< y para iltrar paquetes que *an a otras redes o maquinas se aplican simplemente re+las F;R,)R7. I5P-T<;-TP-T y F;R,)R7 son los tres tipos de re+las de iltrado. Pero antes de aplicar esas re+las es posi"le aplicar re+las de 5)TE estas se usan para @acer redirecciones de puertos o cam"ios en las IPs de ori+en y destino. 9eremos e1emplos. C incluso antes de las re+las de 5)T se pueden meter re+las de tipo 2)5K(C< destinadas a modi icar los paquetesQ son re+las poco conocidas y es pro"a"le que no las usen. Por tanto tenemos tres tipos de re+las en ipta"lesE 2)5K(C 5)TE re+las PRCR;-TI5K< P;/TR;-TI5K FI(TCRE re+las I5P-T< ;-TP-T< F;R,)R7.
Creando un irewall con iptables 9amos al +rano y empe.amos a *er con i+uraciones de irewall con ipta"les< empe.ando desde la m#s "#sica a las m#s comple1as< en las que se esta"lece la dene+acin como pol:tica por de ecto. 5otaE se recomienda encarecidamente ir practicando estas re+las en al+una maquina linu= disponi"le< y especialmente @acer uso de la @erramienta iptra para depurar y compro"ar el uncionamiento de ipta"les. Con iptra podemos compro"ar si las cone=iones TCP/IP se lle+an a esta"lecer o no. -na cone=in tcp/ip empie.a con el t@reeG wayG@ands@aJeE (a maquina que desea conectarse a otra en*ia un paquete con lan /U5 /i la otra maquina acepta< en*ia un /U5/)CV Cntonces la m#quina esta"lece la cone=in.
/i el irewall esta dene+ando la cone=in< con iptra *eremos que la maquina ori+en solo manda paquetes con el lan / Ade /U5B< y que del otro lado no sale nada. /a"er usar iptra nos ayudar# muc@o. 0u1 es iptables IPta"les es un sistema de irewall *inculado al Jernel de linu= que se @a e=tendido enormemente a partir del Jernel 2.4 de este sistema operati*o. )l i+ual que el anterior sistema ipc@ains< un irewall de ipta"les no es como un ser*idor que lo iniciamos o detenemos o que se pueda caer por un error de pro+ramacinAesto es una peque?a
mentira< @a tenido al+una *ulnera"ilidad que permite 7o/< pero nunca tendr# tanto peli+ro como las aplicaciones que escuc@an en determinado puerto TCPBE ipta"les esta inte+rado con el Jernel< es parte del sistema operati*o. SCmo se pone en marc@aT Realmente lo que se @ace es aplicar re+las. Para ellos se e1ecuta el comando ipta"les< con el que a?adimos< "orramos< o creamos re+las. Por ello un irewall de ipta"les no es sino un simple script de s@ell en el que se *an e1ecutando las re+las de irewall. 5otasE "ueno< para los m#s +eeJs y tocapelotas. 9ale< se puede implementar un script de inicio en / etc/rc.d/I5IT.d Ao /etc/I5IT.d B con el que @a+amos que ipta"les se Dinicie o pareD como un ser*idor m#s. (o podemos @acer nosotros o es pro"a"le que *en+a en la distri"ucin Acomo en red@at por e1emploB. Tam"i4n se pueden sal*ar las re+las aplicadas con el comando ipta"lesGsa*e en un ic@ero y +estionar ese ic@ero con una aplicacin o rontGend desde la M o desde we"min. 9ale< tenemos una m#quina linu= con soporte para ipta"les< tiene re+las aplicadas y empie.an a lle+ar/salir/pasar paquetes. 5o nos liemosE ol*idemos cuantas tar1etas de red @ay< que direcciones ip tiene la m#quina y ol*idemos si el paquete entra o sale. (as re+las de irewall est#n a ni*el de Jernel< y al Jernel lo que le lle+a es un paquete Adi+amos< un marrn QB B y tiene que decidir que @acer con 4l. Cl Jernel lo que @ace es< dependiendo si el paquete es para la propia maquina o para otra maquina< consultar las re+las de irewall y decidir que @acer con el paquete se+>n mande el irewall. Prote'er la propia m!quina 2uy "ien< tenemos una m#quina -ni= pinc@ada en internet y queremos prote+erla con su propio irewall. (o >nico que tenemos que @acer es crear un script de s@ell en el que se *an aplicando las re+las.
esquema de firewall entre red local e internet con zona DMZ para servidores expuestos.
los scripts de ipta"les pueden tener este aspectoE /aludo a la a icin Aec@oB Horrado de las re+las aplicadas actualmente A lus@B )plicacin de pol:ticas por de ecto para I5P-T< ;-P-T< F;R,)R7 (istado de re+las ipta"les.
O.o con el orden de las re'las23 WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW indetec Iose mar:a 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB
/s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT W ) un conocido le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp Gdport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT W U el resto< lo cerramos ipta"les G) I5P-T Gp tcp GGdport 2'E21 G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 22 G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Cn in< ya se *e< un script de los m#s simple< con unas pocas re+las con las que cerramos puertos al p>"lico a los que no tienen porque tener acceso< sal*o el %'. Pero cualquiera con al+o de o1o se @a"r# dado cuenta de que ni se iltra el -7P ni el IC2P. )postar:a cualquier cosa a que el sistema tiene al+>n puerto udp a"ierto< y adem#s peli+roso como el /52P. Como @e dic@o anteriormente< en este tipo de irewall es recorda"le @acer un netstat para *er que puertos est#n en estado de escuc@a Aa"iertosB< y sal*e que un rootJit nos @aya modi icado los "inarios< netstat nos dar# la in ormacin precisa que necesitamos. 0ay +ente que se decanta por @acerse un nmap as: mismos. CuidadoE dependiendo de cmo lo e1ecutemos qui.# no nos muestre todos los puertos< ya que suele mirar los "ien conocidos. Ima+inemos que @emos dado un repaso a nuestro sistema< y a@ora si que tenemos me1or identi icados los puertos tcp y udp a"iertos. Pero por si acaso nos curamos en salud y al inal del script cerraremos el ran+o de puertos del 1 al 1'24< los reser*ados tanto para tcp como udp. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8
ipta"les Gt nat GF WW Csta"lecemos pol:tica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT W ) un conocido le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp Gdport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT W Cerramos ran+o de los puertos pri*ile+iados. Cuidado con este tipo de W "arreras< antes @ay que a"rir a los que si tienen acceso. ipta"les G) I5P-T Gp tcp GGdport 1E1'24 ipta"les G) I5P-T Gp udp GGdport 1E1'24 W Cerramos otros puertos que estan a"iertos ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ipta"les G) I5P-T Gp udp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script )@ora "asta con @acer copyGpaste de estas re+las y aplicarlas y a1ustarlas en su sistema Aqui.#s uses Post+re/3(B. /i tiene miedo de perder el control de una m#quina remota< prue"e el script en una m#quina local y ase+>rese de que aplica lo que usted quiere. Todo esto y muc@o mas< lo podemos consultar en la a"undante ayuda y documentacion relati*a al ipta"les en Internet. Firewall de una $%4 con salida a internet S3u4 es lo que @ace altaT ;"*iamente< una re+la que @a+a 5)T @acia uera Aenmascaramiento en ipta"lesB< con
lo que se @ar:a dos *eces 5)T en el irewall y en el router. Cntre el router y el irewall lo normal es que @aya una red pri*ada A1&2.1!%.1.1 y 1&2.1!%.1.2 por e1emploB< aunque dependiendo de las necesidades puede que los dos ten+an IP p>"lica. Cl router se supone que @ace un 5)T completo @acia dentro Aqui.# sal*o puerto 23B< o sea que desde el e=terior no se lle+a al router si no que de orma transparente se Dc@ocaD contra el irewall. (o normal en este tipo de irewalls es poner la pol:tica por de ecto de F;R,)R7 en dene+ar A7R;PB< pero eso lo *emos m#s adelante. 9eamos como ser:a este irewallG+atewayE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW WW indetec Iose maria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE
W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Pero tenemos que conse+uir que los empleados solamente puedan na*e+ar por internet< dene+ando el acceso a un so tware de P2P para descar+ar arc@i*os. Csta ser:a una con i+uracin simple pero e ecti*a. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW con iltro para que solo se pueda na*e+ar. WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7
W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT W U dene+amos el resto. /i se necesita al+uno< ya a*isaran ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script /upon+amos que este irewall tiene al+una uncin adicionalE es un ser*idor pro=y y adem#s es un ser*idor de correo. 7arle uncionalidades de este tipo a un irewall no es recomenda"le< porque si no se prote+en "ien esos puertos o si no est# actuali.ado el so tware pueden entrar en el irewall a "ase de =ploits comprometiendo T;7) la red local. 7e todas ormas muc@as empresas no se pueden permitir o no quieren tener una m#quina para cada cosa< "astante les cuesta a muc@as poner un irewall. Por tantoE si se a?aden ser*icios que de"en estar a"iertos al p>"lico en el propio irewall< nos la estamos 1u+ando< y se recomienda pasar el ser*icio a otra m#quina y ponerla en la 728. /upon+amos tam"i4n que la empresa tiene comerciales en ruta y que se conectan a internet desde su port#til y con una ip din#mica. /upon+amos tam"i4n que el 1e e de la empresa quiere acceder a la red local desde casa con una cone=in )7/(. )@ora en el irewall de"ieramos tener instalado un ser*idor /2TP< pop3< y un PPTP7. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet
WW con ser*icios a"iertos de puerto 26< 11'< y 1$23 WW indetec Iose 2aria 2olina WW www.indetec.tJG 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )"rimos el acceso a puertos de correo W )"rimos el puerto 26< @ay que con i+urar "ien el relay del ser*idor /2TP ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 26 G1 )CCCPT W )"rimos el pop3 ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 11' G1 )CCCPT W U a"rimos el puerto pptpd para la ip del adsl de casa del 1e e ipta"les G) I5P-T Gs 211.46.1$!.24 Gp tcp GGdport 1$23 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7 W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT
W U dene+amos el resto. /i se necesita al+uno< ya a*isaran ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1'''' G1 7R;P W U cerramos el puerto del ser*icio PPTP7< solo a"ierto para el 1e e. ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1$23 G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script )@ora queremos compartir al+>n ser*icio pero de un ser*idor que tenemos dentro de la red local< por e1emplo el II/ de un ser*idor windows2'''< y adem#s permitir la +estin remota por terminal ser*er para esta m#quina para una empresa e=terna. Cn este caso lo que @ay que @acer es un redireccin de puerto. )ntes de ipta"les esto se pod:a @acer #cilmente con un ser*idor como rinet. Rinet lo que @ace es simplemente a"rir un puerto en el irewall y al conectarse a 4l te lle*a @asta el puerto de otra m#quina< como una tu"er:a. Con Ipta"les podemos @acer redirecciones con una *enta1aE no perdemos la in ormacin de IP ori+en< cosa que con rinet s: ocurr:a. Cn in< *eamos la con i+uracin< con las nue*as re+las de 75)TE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW con ser*icios a"iertos de puerto 26< 11'< y 1$23 WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8
ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW RC7IRCCCI;5C/ W Todo lo que *en+a por el e=terior y *aya al puerto %' lo rediri+imos W a una maquina interna ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport %' G1 75)T GGto 1&2.1!%.1'.12E%' W (os accesos de un ip determinada a Terminal ser*er se rediri+en e esa W maquina ipta"les Gt nat G) PRCR;-TI5K Gs 221.23.124.1%1 Gi et@' Gp tcp GGdport 33%& G1 75)T GGto 1&2.1!%.1'.12E33%& WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )"rimos el acceso a puertos de correo W )"rimos el puerto 26< @ay que con i+urar "ien el relay del ser*idor /2TP ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 26 G1 )CCCPT W )"rimos el pop3 ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 11' G1 )CCCPT W U a"rimos el puerto pptpd para la ip del adsl de casa del 1e e ipta"les G) I5P-T Gs 211.46.1$!.24 Gp tcp GGdport 1$23 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7 W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT W U dene+amos el resto. /i se necesita al+uno< ya a*isaran
ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1'''' G1 7R;P W U cerramos el puerto del ser*icio PPTP7< solo a"ierto para el 1e e. ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1$23 G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Hueno ya tenemos montada la red< pero con*iene insistir en que esta >ltima con i+uracin< con las redirecciones y los ser*icios de correo uncionando en el irewall es "astante inse+ura. S3u4 ocurre si @acJean el ser*idor II/ de la red localT Pues que el irewall no sir*e de +ran cosa< lo poco que podr:a @acer una *e. se @a entrado en la red local es e*itar escaneos @acia el e=terior desde la m#quina atacada< aunque para ello el irewall de"iera tener una "uena con i+uracin con dene+acin por de ecto. /i necesitamos ese ser*idor II/< "asta con comprar una tar1eta de red por ![ o dolares y crear una 728. Firewall de una $%4 con salida a internet con 5/6 Hueno< esto se *a complicando. Ima+inemos que tenemos una red parecida a la anterior pero a@ora @acemos las cosas "ien y colocamos ese ser*idor II/ en una 728
esquema de irewall entre red local e internet con .ona 728 para ser*idores e=puestos.
Cn este tipo de irewall @ay que permitirE )cceso de la red local a internet. )cceso p>"lico al puerto tcp/%' y tcp/443 del ser*idor de la 728 )cceso del ser*idor de la 728 a una HH77 de la ()5 ;"*iamente "loquear el resto de acceso de la 728 @acia la ()5.
S3u4 tipo de re+las son las que @ay que usar para iltrar el tr# ico entre la 728 y la ()5T /olo pueden ser las F;R,)R7< ya que estamos iltrando entre distintas redes< no son paquetes destinados al propio irewall. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT
ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Todo lo que *en+a por el e=terior y *aya al puerto %' lo rediri+imos W a una maquina interna ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport %' G1 75)T GGto 1&2.1!%.3.2E%' W (os accesos de un ip determinada 0TTP/ se rediri+en e esa W maquina ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport 443 G1 75)T GGto 1&2.1!%.3.2E443 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.3.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW Permitimos el paso de la 728 a una HH77 de la ()5E ipta"les G) F;R,)R7 Gs 1&2.1!%.3.2 Gd 1&2.1!%.1'.6 Gp tcp GGdport 6432 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.6 Gd 1&2.1!%.3.2 Gp tcp GGsport 6432 G1 )CCCPT WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3.2 Gp tcp GGsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 1&2.1!%.3.2 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 1&2.1!%.3.'/24 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P
ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script 9amos a *erE si las m#quinas de la 728 tienen una ip p>"lica @ay que tener muc@:simo cuidado de no permitir el F;R,)R7 por de ecto. /i en la 728 @ay ip p>"lica 5; C/ 5CCC/)RI; 0)CCR RC7IRCCCI;5C/ de puerto< sino que "asta con rutar los paquetes para lle+ar @asta la 728. Cste tipo de necesidades sur+en cuando por e1emplo tenemos dos m#quinas con ser*idor we" Aun apac@e y un II/BQ S) cu#l de las dos le rediri+imos el puerto %'T 5o @ay manera de sa"erlo A5o< con ser*idores *irtuales tampoco< pi4nsaloB< por eso se de"en asi+nar IPs p>"licas o en su de ecto usar puertos distintos. Por tanto @ay que prote+er con*enientemente toda la 728. Tampoco @ar:a alta enmascarar la salida @acia el e=terior de la 728< si tiene una ip p>"lica ya tiene una pata puesta en internetQ o"*iamente @ay que decirle al router como lle+ar @asta esa ip p>"lica. )s: podr:a ser esta redE
esquema de irewall entre red local e internet con .ona 728 para ser*idores e=puestos usando IPs p>"licas.
U este podr:a ser un irewall adecuadoE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW pero con IPs p>"licas. WW indetec Iose 2ar:a 2olina
WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW Permitimos el acceso desde el e=terior a los puertos %' y 443 de 728 ipta"les G) F;R,)R7 Gd 212.1&4.%&.162 Gp tcp Gdport %' G1 )CCCPT ipta"les G) F;R,)R7 Gd 212.1&4.%&.162 Gp tcp Gdport 443 G1 )CCCPT ipta"les G) F;R,)R7 Gd 212.1&4.%&.16'/3' G1 7R;P WW Permitimos el paso de la 728 a una HH77 de la ()5E ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.6 Gp tcp GGdport 6432 G1 )CCCPT W en el otro sentido lo mismo ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.6 Gd 212.1&4.%&.162 Gp tcp GGsport 6432 G1 )CCCPT WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 212.1&4.%&.162 Gp tcp GGsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT
W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 212.1&4.%&.162 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script %T#4CI74 2erece la pena pararse a e=plicar esta parte del irewallE WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 212.1&4.%&.162 Gp tcp Gsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 G1 7R;P (o que nos lle*a a dos cuestionesE 1. SPor qu4 @ay que e=plicitar la a"ertura en uno y otro sentidoT Porque la tercera re+la cierra todo lo que *a de la 728 a la red local. Para a"rir el puerto 33%& de tcp es imprescindi"le que un paquete de ida sea capa. de lle+ar @asta la 728 y que a su *e. pueda *ol*er a la ()5. Csto de tener que especi icar la a"ertura en uno y otro sentido ser# el pan de cada d:a en un ipta"les con pol:tica 7R;P por de ectoE me1or proteccin pero m#s tra"a1o. 2. SPor qu4 se e=plicita el puerto de ori+en/destino 1'24E!6636 en la primera y se+unda re+laT Ima+inemos que un @acJer lo+ra acceso a la m#quina de la 728. /i no especi icamos el puerto de destino en esas dos re+las< el @acJer puede a"rir C-)(3-ICR puerto de la ()5 siempre que pueda esta"lecer como puerto ori+en suyo el tcp/33%&< cosa #cil para un @acJer que sepa al+o de C o que ten+a el pro+rama pertinente a
mano. 7e todas ormas el @acJer tendr:a que sa"er que e=iste ese tipo de re+las< si es listo pro"ara con puertos de +estin o con puertos net"ios. Cl pro"lema es que se de1a un *:nculo con la ()5 "ien para administrarlo remotamente o para esta"lecer relaciones de con ian.a y a@: es donde reside el peli+ro. Cn las cone=iones Dle+alesD no se usa como puerto ori+en nada por de"a1o del 1'24Q cuando al+uien se conecta a otro puerto en su e=tremo a"re un puerto por encima del 1'24. Cspeci ic#ndolo en la re+la de irewall prote+eremos un poco me1or la ()5< aunque los puertos por encima de 1'24 estar#n en peli+ro. Firewall de una $%4 con salida a internet y 8P4S Cn principio este caso no nos tendr:a que dar mayor pro"lema< aunque la primera *e. que lo montemos< el enmascaramiento nos 1u+ar# una mala pasada. Por eso con*iene ec@ar un *ista.o en este caso.
esquema de irewall entre red local e internet con .ona 728 y dele+aciones que acceden a 728.
/upon+amos que entre los routers ya se @a esta"lecido un tunel Acon Ciscos se @aria creando un inter a. TunnelB< y que si el irewall nos de1a podr:amos lle+ar de la central a las dele+aciones y *ice*ersa usando las IPs pri*adas. 9aya que se puede @acer un pin+ desde la central a 1&2.1!%.3'.= y nos responde. Para ello es imprescindi"le que el router de la central ten+a una ruta metida para lle+ar a 1&2.1!%.1'.'/24 y por supuesto cada una ruta para cada dele+acin. )ntes de meterse en el irewall @ay que ase+urar la *isi"ilidad entre los routers y poder lle+ar a sus IPs pri*adas @aciendo pin+.
/upon+amos tam"i4n que en la central esta el ser*idor de correo que l+icamente de"e tener el puerto 26 accesi"le desde internet< y de"e ser accesi"le desde las dele+aciones para puerto 26< 11' Apop3B o 143AimapB. (a salida a internet Awe"< tp< etc..B cada uno la @ace por su lado. 9eamos una posi"le con i+uracin para este caso. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW y dele+aciones. (as dele+aciones de"en tener acceso al correo de la 728 WW WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Todo lo que *en+a por el e=terior y *aya al puerto 26 lo rediri+imos W a la maquina de la 728 ipta"les Gt nat G) PRCR;-TI5K Gi et@' R Gp tcp GGdport 26 G1 75)T GGto 1&2.1!%.3.2E26 W Todo lo que *en+a por el inter a. del routerAet@'B y *aya al 11' W siempre que sea una dele+acion se acepta y rediri1e ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.2'.'/24 Gi et@' R Gp tcp GGdport 11' G1 75)T GGto 1&2.1!%.3.2E11' ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.3'.'/24 Gi et@' R Gp tcp GGdport 11' G1 75)T GGto 1&2.1!%.3.2E11' W Todo lo que *en+a por el inter a. del routerAet@'B y *aya al 11' W siempre que sea una dele+acion se acepta y rediri1e
ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.2'.'/24 Gi et@' R Gp tcp GGdport 143 G1 75)T GGto 1&2.1!%.3.2E143 ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.3'.'/24 Gi et@' R Gp tcp GGdport 143 G1 75)T GGto 1&2.1!%.3.2E143 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB W Cuidado con este enmascaramiento. ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.3.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward W Para que desde la red local se sal+a @acia uera @ay que C52)/C)R)R W pero que pasa con las dele+aciones tam"ien estan uera U 5; 0)U 3-C W C52)/C)R)R< de"emos meter una re+la F;R,)R7 e=plicita para que no enmascare W porque si no una peticin de la ()5 a otra dele+acion no se meteria W en el tunel. ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.2'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.2'.'/24 Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3'.'/24 Gd 1&2.1!%.1'.'/24 G1 )CCCPT W )"rimos el acceso para que se pueda aceder a la 728 desde la ()5 W a puertos de correo W Cn principio lo que *a de ()5 GL 728 se acepta ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3.'/24 G1 )CCCPT W (uedo desde la 728 a la ()5 solo se acepta 26<11'<143 ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 26 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 143 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 143 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT W Cerramos el acceso de la 728 a la ()5
ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 1&2.1!%.3.'/24 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script /e @an remarcado las re+las F;R,)R7 entre IPs pri*adas de dele+aciones< ya que sin esas re+las y con el
enmascaramiento de por medio no se podr:a acceder a las dele+aciones. Ca"e resaltar que entre dele+aciones no @ay *isi"ilidad total< solamente la central *er:a a todas las dem#s< y las dele+aciones solamente la central. (a dele+aciones acceder:an al ser*idor de correo con una redireccin< o sea que ellos se con i+urar:an el ser*idor de correo como 1&2.1!%.1'.1< mientras que desde la ()5 se acceder:a directamente. /e puede @acer de distintas maneras. (o interesante ser:a poner ese irewall con 7R;P por de ecto< se tratar# de mostrar esa con i+uracin al inal. Firewall puro y duro entre redes Cn este caso ol*id4monos de redes locales y de 5)T. )qu: solo tendremos re+las de iltrado I5P-T y F;R,)R7. Pon+amos que tenemos el si+uiente escenarioE
Cn el irewall de"emos indicar una serie de re+las para prote+er los equipos que est#n al otro lado de este dispositi*o< todos ellos de la red 211.34.14&.'/24 Cada uno de ellos da un ser*icio determinado< y puede estar +estionado desde distintas IPs< lo que si+ni ica que @a"r# que dar acceso a determinados puertos de +estin A22< 33%&< etc..B. Cste podr:a ser el aspecto del script del irewallE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redes. WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM
ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W ) nuestro irewall tenemos acceso total desde la nuestra IP ipta"les G) I5P-T Gs 21'.1&6.66.16 G1 )CCCPT W Para el resto no @ay acceso al irewall ipta"les G) I5P-T Gs '.'.'.'/' G1 7R;P WW )@ora podemos ir metiendo las re+las para cada ser*idor WW Como ser#n paquetes con destino a otras m#quinas se aplica F;R,)R7 WW /er*idor ,CH 211.34.14&.2 W )cceso a puerto %' ipta"les G) F;R,)R7 Gd 211.34.14&.2 Gp tcp GGdport %' G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.2 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.2 G1 7R;P WW /er*idor 2)I( 211.34.14&.3 W )cceso a puerto 26< 11' y 143 ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 143 G1 )CCCPT W )cceso a +estion /52P ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp udp GGdport 1!& G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.3 G1 7R;P WW /er*idor IRC 211.34.14&.4 W )cceso a puertos IRC ipta"les G) F;R,)R7 Gd 211.34.14&.4 Gp tcp GGdport !!!!E!!!% G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.4 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar
ipta"les G) F;R,)R7 Gd 211.34.14&.4 G1 7R;P WW /er*idor 5C,/ 211.34.14&.6 W )cceso a puerto news ipta"les G) F;R,)R7 Gd 211.34.14&.6 Gp tcp GGdport news G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 213.1&4.!%.116 Gd 211.34.14&.6 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.6 G1 7R;P WW /er*idor H2H 211.34.14&.! W )cceso a puerto 443 ipta"les G) F;R,)R7 Gd 211.34.14&.! Gp tcp GGdport 443 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs %1.34.12&.6! Gd 211.34.14&.! Gp tcp GGdport 33%& G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.! G1 7R;P WW /er*idor CITRIM 211.34.14&.$ W )cceso a puerto 14&4 ipta"les G) F;R,)R7 Gd 211.34.14&.$ Gp tcp GGdport 14&4 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 33%& G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 1434 G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp udp GGdport 1433 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.$ G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Con esta irewall y so"retodo +racias a las re+las de 7R;P que metemos tras especi icar lo que de1amos a"iertos< prote+eremos de manera e ica. todos lo puertos a"iertos de las m#quinas. Firewall con pol9tica por de ecto 5ROP )qu: lle+a la seccin para los aut4nticos administradores de pelo en pec@o. S3u4 supone el @ec@o de esta"lecer como pol:tica por de ecto la dene+acinT /e de"e e=plicitar cada cone=in permitida en los dos sentidos.
/e de"e conocer per ectamente qu4 de"e estar a"ierto y qu4 no. Cs muc@os m#s di :cil de mantener y si se @ace con*iene @acerlo desde el principio. 5o todo es m#s tra"a1oE tam"i4n supone un irewall muc@o m#s se+uro. Cn el e1emplo de la 728 ya se presenta"a esta situacin en las re+las orward de una a otra red. Para ilustrar el
7R;P por de ecto< *amos a mostrar la con i+uracin del e1emplo anterior de irewall entre redes pero con pol:tica por de ecto 7R;P. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redes con 7R;P por de ecto WW indetec Iose 2aria 2olina uentes
## www.indetec.tk jmmolinafuentes@wanadoo.es
ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ectoE 7R;PXXX ipta"les GP I5P-T 7R;P ipta"les GP ;-TP-T 7R;P ipta"les GP F;R,)R7 7R;P WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W ) nuestro irewall tenemos acceso total desde la nuestra IP ipta"les G) I5P-T Gs 21'.1&6.66.16 G1 )CCCPT ipta"les G) ;-TP-T Gd 21'.1&6.66.16 G1 )CCCPT W Para el resto no @ay acceso al irewall W Cn principio esta de m#s< pero si re"a1amos los permisos temporalmente W nos cu"re las espaldas ipta"les G) I5P-T Gs '.'.'.'/' G1 7R;P WW )@ora podemos ir metiendo las re+las para cada ser*idor WW Como ser#n paquetes con destino a otras m#quinas se aplica F;R,)R7 WW /er*idor ,CH 211.34.14&.2 W )cceso a puerto %' ipta"les G) F;R,)R7 Gd 211.34.14&.2 Gp tcp GGdport %' G1 )CCCPT
ipta"les G) F;R,)R7 Gs 211.34.14&.2 Gp tcp GGsport %' G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.2 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.2 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor 2)I( 211.34.14&.3 W )cceso a puerto 26< 11' y 143 ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 143 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 143 G1 )CCCPT W )cceso a +estion /52P ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp udp GGdport 1!& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gd 21'.1&6.66.16 Gp udp GGsport 1!& G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor IRC 211.34.14&.4 W )cceso a puertos IRC ipta"les G) F;R,)R7 Gd 211.34.14&.4 Gp tcp GGdport !!!!E!!!% G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.4 Gp tcp GGsport !!!!E!!!% G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.4 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.4 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor 5C,/ 211.34.14&.6 W )cceso a puerto news ipta"les G) F;R,)R7 Gd 211.34.14&.6 Gp tcp GGdport news G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.6 Gp tcp GGsport news G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 213.1&4.!%.116 Gd 211.34.14&.6 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.6 Gd 213.1&4.!%.116 Gp tcp GGsport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.6 G1 7R;P WW /er*idor H2H 211.34.14&.! W )cceso a puerto 443 ipta"les G) F;R,)R7 Gd 211.34.14&.! Gp tcp GGdport 443 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.! Gp tcp GGsport 443 G1 )CCCPT
W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs %1.34.12&.6! Gd 211.34.14&.! Gp tcp GGdport 33%& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.! Gd %1.34.12&.6! Gp tcp GGsport 33%& G1 )CCCPT WW /er*idor CITRIM 211.34.14&.$ W )cceso a puerto 14&4 ipta"les G) F;R,)R7 Gd 211.34.14&.$ Gp tcp GGdport 14&4 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gp tcp GGsport 14&4 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 33%& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp tcp GGsport 33%& G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 1434 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp tcp GGsport 1434 G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp udp GGdport 1433 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp udp GGsport 1433 G1 )CCCPT ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Ua esta< @emos le*antado un *erdadero muro entre internet y el con1unto de ser*idores que esta Tras el irewall. 5o se puede ni @acer un pin+ a las m#quinas< sal*o que se @aya dado acceso total a una ip. /i quisieramos dar acceso al pin+< pondr:amos al+o as:E Cs m#s lle*adero aplicar el 7R;P por de ecto cuando el irewall es para la propia m#quina. Cl primer escenario de esta manual trata"a so"re este caso< a@ora lo re*isamos con la pol:tica por de ecto drop. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW con pol:tica por de ecto 7R;P WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF
WW Csta"lecemos politica por de ecto ipta"les GP I5P-T 7R;P ipta"les GP ;-TP-T 7R;P ipta"les GP F;R,)R7 7R;P WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT ipta"les G) ;-TP-T Go lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT ipta"les G) ;-TP-T Gd 1&6.!6.34.234 G1 )CCCPT W ) un cole+a le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT ipta"les G) ;-TP-T Gd 231.46.134.23 Gp tcp GGsport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp GGdport 2'E21 G1 )CCCPT ipta"les G) ;-TP-T Gd %'.3$.46.1&4 Gp tcp GGsport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT ipta"les G) ;-TP-T Gp tcp GGsport %' G1 )CCCPT W )qu: est#n las re+las de cerrar. Como @emos comentado en la con i+uracin W anterior con*iene tener esto escrito por si en al+>n momento se rela1a el W irewall y s cam"ia a de 7R;P a )CCCPT por de ecto W Cerramos ran+o de los puertos pri*ile+iados. Cuidado con este tipo de W "arreras< antes @ay que a"rir a los que si tienen acceso. ipta"les G) I5P-T Gp tcp GGdport 1E1'24 ipta"les G) I5P-T Gp udp GGdport 1E1'24 W Cerramos otros puertos que estan a"iertos ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ipta"les G) I5P-T Gp udp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Cmo depurar el uncionamiento del irewall
Programas tiles
IPTRAF. Sin duda alguna uno de los programas ms prcticos para depurar el firewall es iptables, ya que con el podemos observar si la cone iones se establecen o no! es un programa de consola que es aconsejable controlar ya que muestra en tiempo real el trfico que atraviesa nuestra mquina con todo lujo de detalles" origen#destino de ips y puertos, trfico total o trfico total seg$n el interfa% de red, etc& Si vemos muc'as cone iones simultaneas y nos perdemos, e iste la posibilidad de aplicar filtros para captar solo aquello que nos interesa. NMAP. (a 'erramienta para escanear puertos por e celencia, rec'ace imitaciones. )s una 'erramienta de consola rpida, efectiva y con multitud de opciones. *odemos usarla desde mquinas ajenas a nuestra red para comprobar si realmente el firewall esta filtrando correctamente y en cierta manera para 'acernos una idea de que +visi,n+ pueden tener los 'ackers de nuestro sistema. SHELL. )n el propio script del firewall podemos a-adir algunas opciones para descubrir fallos de sinta is en las reglas. .laro, imaginemos que tenemos un firewall de /0 lineas y una de ellas falla cuando ejecutamos el script. 1.ul es& )s probable que el mensaje de error no aclare lo suficiente, por eso se puede a-adir algo as2 al final de cada regla"
... ipta"les G) I5P-T Gs 1&6.66.234.2 G1 )CCCPT \\ ec@o D re+laG21 oJD ipta"les G) I5P-T Gs 213.!2.%&.146 G1 )CCCPT \\ ec@o D re+laG22 oJD ... /i la re+la se e1ecuta "ien mostrar# el mensa1ito de oJ. ;tra opcin al+o mas cutre ser:a ir eliminando o comentando re+las @asta dar con la re+la que tiene la sinta=is incorrecta. Ca"e rese?ar que puede allar una re+la< pero a partir de ella el resto se e1ecutan con normalidad.
4.
!ntrodu""i#n $ %$&
(a Traduccin de 7irecciones de Red< o 5)T ANetwork Address TranslationB< es un sistema que se utili.a para asi+nar una red completa Ao *arias redesB a una sola direccin IP. 5)T es necesario cuando la cantidad de direcciones
IP que nos @aya asi+nado nuestro pro*eedor de Internet sea in erior a la cantidad de ordenadores que queramos que accedan a Internet. 5)T nos permite apro*ec@ar los "loques de direcciones reser*adas que se descri"en en el RFC 1&1%. Keneralmente< una red interna se suele con i+urar para que use uno o m#s de estos "loques de red. Cstos "loques sonE
-n sistema -5IM< ,indows< (inu= o 2ac;/ con i+urado para 5)T tendr# como m:nimo dos adaptadoras de red< una para Internet y la otra para la red interna. 5)T se encar+ar# de traducir los requerimientos desde la red interna< de modo que pare.ca que todos pro*ienen del sistema de ori+en en el que se encuentra con i+urado 5)T. Cmo Funciona 4%T Cuando un cliente en la red interna contacta con un m#quina en Internet< en*:a paquetes IP destinados a esa m#quina. Cstos paquetes contienen toda la in ormacin de direccionamiento necesaria para que puedan ser lle*ados a su destino. 5)T se encar+a de estas pie.as de in ormacinE 7ireccin IP de ori+en Apor e1emplo< 1&2.1!%.1.36B Puerto TCP o -7P de ori+en Apor e1emplo< 2132B
Cuando los paquetes pasan a tra*4s de la pasarela de 5)T< son modi icados para que pare.ca que se @an ori+inado y pro*ienen de la misma pasarela de 5)T. (a pasarela de 5)T re+istra los cam"ios que reali.a en su ta"la de estado< para as: poderE aB in*ertir los cam"ios en los paquetes de*ueltos< y "B ase+urarse de que los paquetes de*ueltos pasen a tra*4s del corta ue+os y no sean "loqueados. Por e1emplo< podr:an ocurrir los si+uientes cam"iosE IP de ori+enE sustituida con la direccin e=terna de la pasarela Apor e1emplo< 24.6.'.6B Puerto de ori+enE sustituido con un puerto no en uso de la pasarela< esco+ido aleatoriamente Apor e1emplo< 6313!B 5i la m#quina interna ni el an itrin de Internet se dan cuenta de estos pasos de traduccin. Para la m#quina interna< el sistema 5)T es simplemente una pasarela a Internet. Para el an itrin de Internet< los paquetes parecen *enir directamente del sistema 5)TQ ni siquiera se da cuenta de que e=iste la estacin interna. Cuando el an itrin de Internet responde a los paquetes internos de la m#quina< los direcciona a la IP e=terna de la pasarela de 5)T A24.6.'.6B y a su puerto de traduccin A6313!B. (a pasarela de 5)T "usca entonces en la ta"la de estado para determinar si los paquetes de respuesta concuerdan con al+una cone=in esta"lecida. Cntonces encontrar# una >nica concordancia "asada en la com"inacin de la direccin IP y el puerto< y esto indica a PF que los paquetes pertenecen a una cone=in iniciada por la m#quina interna 1&2.1!%.1.36. )cto se+uido PF reali.a los cam"ios
opuestos a los que reali. para los paquetes salientes< y reen*:a los paquetes de respuesta a la m#quina interna. (a traduccin de paquetes IC2P ocurre de orma parecida< pero sin la modi icacin del puerto de ori+en. %cti&acin de 4%T Para acti*ar 5)T en una pasarela de -ni=< (inu= o 2ac;/< adem#s de acti*ar PF< tam"i4n @ay que acti*ar el reen*:o de paquetes IP AIP forwardingBE
net.inet.ip.forwardin !1 net.inet6.ip6.forwardin !1
Cstas l:neas ya e=isten en la instalacin determinada< pero como comentarios Apre i1adas con #B. 0ay que quitar el si+no # y +uardar el ic@ero. Cl reen*:o de IP se acti*ar# cuando se reinicie la m#quina. Uo di*idir:a 5)T en dos di erentes tiposE Source 4%T A/5)T< por ori+enB< y 5estination 4%T A75)T< por destinoB. Source NAT es cuando alteramos el ori+en del primer paqueteE esto es< estamos cam"iando el lu+ar de donde *iene la cone=in. Source NAT siempre se @ace despu4s del encaminamiento< 1usto antes de que el paquete sal+a por el ca"le. Cl enmascaramiento es una orma especiali.ada de /5)T. Destination NAT es cuando alteramos la direccin de destino del primer paqueteE esto es< cam"iamos la direccin a donde se diri+e la cone=in. 75)T siempre se @ace antes del encaminamiento< cuando el paquete entra por el ca"le. Cl port orwardin+ Areen*:o de puertoB< el "alanceo de car+a y el pro=y transparente son ormas de 75)T.