Vous êtes sur la page 1sur 51

Seguridad en Redes TCP/IP

Routers y Firewalls

Tabla de Contenidos 4. Routers y Firewalls....................................................................................................................................... 2 4.1 Routers ............................................................................................................................................. 2 Pila de protocolos TCP/IP............................................................................................................... 2 Paquetes de datos........................................................................................................................ 3 Comunicacin entre ordenadores en una red ....................................................................................... 4 Cmo unciona un router................................................................................................................ ! Componentes "#sicos de un router.................................................................................................... $ Tipos de routers.......................................................................................................................... % Protocolos de enrutamiento............................................................................................................ & 4.2 Firewalls........................................................................................................................................... 1' (a red de microso t windows.......................................................................................................... 11 )cti*ando el corta ue+os de ,indows 2''' ........................................................................................ 13 Con i+urando los ser*icios de red.................................................................................................... 14 -tili.ando el Re+istro de /e+uridad.................................................................................................. 1$ 0a"ilitando los mensa1es IC2P........................................................................................................ 1% Creando un irewall con ipta"les..................................................................................................... 21 3u4 es ipta"les.......................................................................................................................... 21 Prote+er la propia m#quina........................................................................................................... 22 Firewall de una ()5 con salida a internet.......................................................................................... 26 Firewall de una ()5 con salida a internet con 728............................................................................... 32 Firewall de una ()5 con salida a internet y 9P5/................................................................................. 3% Firewall puro y duro entre redes..................................................................................................... 41 Firewall con pol:tica por de ecto 7R;P............................................................................................. 44 4.3 Introduccin a 5)T.............................................................................................................................. 4& Cmo Funciona 5)T.................................................................................................................... 6' )cti*acin de 5)T....................................................................................................................... 61

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

4. Routers y Firewalls.

4.1 Routers

-n ordenador solitario< sin cone=in con nin+>n otro< es una isla de in ormacin y de recursos que no resulta renta"le< especialmente cuando para el tra"a1o diario se precisa recurrir a di erentes uentes de datos. 7e esto se dieron cuenta muy pronto las empresas< que solicitaron a las compa?:as de desarrollo de @ardware y so tware un medio compartido de tra"a1o< en el que di erentes estaciones de tra"a1o< ser*idores e impresoras pudieran comunicarse entre ellos y compartir recursos. 7e este modo sur+ieron las primeras redes de ordenadores. -na red est# ormada por una serie de estaciones de tra"a1o unidas entre s: por medios de transmisin :sicos Aca"lesB o "asados en ondas Aredes inal#m"ricasB< coordinados por unas m#quinas especiales< denominadas ser*idores< y por una con1unto *aria"le de dispositi*os de tra"a1o< como impresoras< escaners< etc. )dem#s< e=isten di erentes dispositi*os que a?aden uncionalidades a las redes< como los routers< switc@es y @u"s. Pila de protocolos TCP/IP (as di erentes m#quinas que orman una red se comunican entre s: usando un medio compartido< pudiendo tener adem#s cada una de ellas caracter:sticas propias< como componentes de @ardware< sistemas operati*os y aplicaciones de usuario. Por sol*entar estas di erencias se @i.o necesaria la introduccin de una serie de re+las que controlaran el acceso al medio compartido y la orma correcta en que las m#quinas se de":an comunicar y transmitir los datos< sur+iendo con ello di erentes protocolos de comunicacin y control. Cn un principio< cada empresa desarrolladora implement un sistema propio de comunicacin de red< con una arquitectura y unos protocolos di erentes< por lo que no ue posi"le< cuando se necesit< unir redes de di erentes a"ricantes. /implemente< no se entend:an entre ellas< pues @a"la"an DidiomasD di erentes. Intentando solucionar este pro"lema< la I/; A;r+ani.acin Internacional de Cst#ndaresB cre un modelo de comunicacin para redes di*idido en una serie de ni*eles de tra"a1o< denominados capas< cada uno de los cuales se encar+ar:a de uno o m#s aspectos concretos de la comunicacin mediante una serie de protocolos espec: icos. Cste modelo se llam OSI AIntercomunicacin de /istemas )"iertosB y< lamenta"lemente< no lle+ a utili.arse en

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

la pr#ctica< de"ido a que cuando se pu"lic ya se @a":an desarrollado otros arquitecturas de comunicacin en redes que unciona"an m#s o menos "ien< y que ueron las que al inal se usaron y e=tendieron. 7e ellas< la m#s conocida y usada en la actualidad es la arquitectura TCP/IP< ormada por un e=tenso con1unto de protocolos< cada uno de los cuales se encar+a de un aspecto concreto de la comunicacin entre m#quinas en red. TCP/IP se "asa en un modelo de capas< al i+ual que ;/I< pero m#s reducido< actuando cada protocolo en una de las capas del mismo. Cl n>mero de capas en que se di*ide TCP/IP y el nom"re de las mismas *ar:a se+>n el autor Arecordemos que no es un est#ndar< si no una implementacin Dde actoDB< pero podemos considerar la si+uiente di*isinE Capa de )plicacinE encar+ada de dar soporte de red a las aplicaciones de usuario< con*irtiendo los datos de estas a un ormato est#ndar apropiado para su transmisin por red. Cn ella act>an protocolos como 0TTP Awe"B< FTP Atrans erencia de ic@erosB y /2TP Acorreo electrnicoB. Capa de TransporteE encar+ada de di*idir los datos en unidades de in ormacin de tama?o apropiado y de controlar la correcta transmisin l+ica de las mismas. /us principales protocolos son TCP y -7P. Capa de InternetE su misin principal es enrutar o diri+ir los datos de una m#quina a otra< usando para ello el protocolo IP< siendo el responsa"le principal del tr# ico de datos entre di erentes redes interconectadas.) Capa de Cnlace de datosE se ocupa de identi icar los datos transmitidos entre m#quinas de una misma red y de controlar la *alide. de los mismos tras su emisin y recepcin a tra*4s del medio :sico. Capa F:sicaE responsa"le de la con*ersin de los datos a transmitir en impulsos el4ctricos o en ondas y de su transmisin :sica. Cada capa tra"a1a independientemente de las otras< comunic#ndose entre ellas por medio de inter aces apropiadas. Paquetes de datos Cuando un @ost desea en*iar una serie de datos a otro< estos son con*ertidos a un ormato de red apropiado Acapa de )plicacinB y di*ididos en una serie de unidades< denominadas se+mentos Acapa de TransporteB< que son numerados para su correcto reensam"le en la m#quina destino. Posteriormente< son pasados a la capa de Internet< que les coloca las direcciones IP de la m#quina ori+en y de la m#quina destino. (as unidades as: o"tenidas se conocen con el nom"re de paquetes. Cntonces son pasados a la capa de Cnlace de 7atos< que les a?ade las direcciones 2)C de am"as m#quinas y un n>mero calculado para la *eri icacin posterior de errores en el en*:o< pasando entonces a denominarse tramas. Por >ltimo< las tramas son pasadas a la capa F:sica que las une en trenes de "its apropiados para su trans ormacin en impulsos el4ctricos o en ondas< que posteriormente son en*iados al medio.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Cuando los impulsos lle+an a la m#quina destino el proceso se in*ierte< o"teniendo la aplicacin receptora los datos en su ormato ori+inal. ) pesar de que lo que se transmite por el medio :sico son impulsos el4ctricos< se suele @a"lar de paquetes transmitidos< ya que son las unidades de in ormacin con entidad propia. Comunicacin entre ordenadores en una red Ima+inemos una red ormada por *arios @ost< como la representada en la si+uiente ima+enE

/i el @ost ) AIPF21'.23.6.14B se desea comunicar con el @ost C AIPF21'.23.6.2$B< construye sus paquetes de datos y la capa de Internet les coloca su direccin IP AemisorB y la de C AdestinatarioB< pas#ndolos a la capa de Cnlace de 7atos< que no sa"e la direccin 2)C de C. Para a*eri+uarla< en*:a un mensa1e a todos las m#quinas de la red< conocido como peticin )RP< pre+untando cu#l es la direccin 2)C correspondiente a la IP 21'.23.6.2$. (as peticiones )RP son de tipo "roadcast< es decir< peticiones que son en*iadas a todos y cada uno de los equipos en la red. (a pre+unta lle+a a todas las m#quinas< pero slo C contesta< en*iando una respuesta con su direccin 2)C. Cntonces< ) a?ade am"as direcciones 2)C a los paquetes y los pasa a la capa F:sica< que lo transmite al medio. Comunicacin entre ordenadores en dos redes. Routers. Ima+inemos a@ora que el @ost C AIPF1&'.2''.23.6B no se encuentra en la misma red que ) AIPF21'.23.6.14B. Cuando 4ste en*:e el "roadcast pre+untando la direccin 2)C de C nadie le responder#< por lo que< si no se @ace nada al respecto< la comunicacin entre am"as m#quinas resultar# imposi"le. (os encar+ados de solucionar este pro"lema son unos dispositi*os de red especiales< llamados routers< que conectan dos o m#s redes< sir*iendo de enlace entre ellas. (os routers tra"a1an en la capa de Internet< encar+#ndose de encaminar o enrutar paquetes de datos entre m#quinas de redes di erentes.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Para poder uncionar de esta orma de"en pertenecer a cada una de las redes que conectan< como si ueran un @ost m#s de las mismas. 7e esta orma< un router que conecte dos redes de"e tener una tar1eta de red di erente para cada una de las redes y< consecuentemente< dos direcciones 2)C di erentes. Tam"i4n de"e tener asi+nada una direccin IP en cada una de las dos redes< ya que si no ser:a imposi"le la comunicacin con las m#quinas de las mismas. Cl esquema de dos redes conectadas por un router podr:a ser el representado en la si+uiente ima+enE

)@ora< cuando un @ost en*:a una peticin )RP para a*eri+uar la direccin 2)C correspondiente a una IP dada y no es respondido por nin+>n equipo de su red< en*:a los paquetes correspondientes a un router que tiene con i+urado para este tipo de en*:os< denominado +ateway por de ecto. -na *e. que el router reci"e los paquetes de datos utili.a un par#metro especial< denominado m#scara de red< que sumado l+icamente a la direccin IP destino le da la red a la que pertenece el @ost "uscado. Pasa entonces los paquetes a la red a la que pertenece C< @aciendo una nue*a peticin de "roadcast pre+untando la 2)C de C. Cste le responde< y entonces el router le en*:a los paquetes directamente. /i C desea responder a )< el proceso se in*ierte. Cste proceso es necesario reali.arlo slo una *e.< ya que en esta tanto los @ost ) y C como el router anotan las pare1as de direcciones 2)CGIP en unas ta"las especiales< denominadas ta"las de enrutamiento< que usar#n en en*:os de datos posteriores para enrutar los paquetes directamente. Resumiendo< los routers son los principales responsa"les de la correcta comunicacin entre m#quinas de di erentes redes< encar+#ndose en este proceso de enrutar correctamente los paquetes de datos.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Cmo unciona un router (os routers son dispositi*os de red que raramente se encuentran aislados entre s:. )l contrario< suelen estar interconectados< ormando una especie de Dtelara?aD que @ace posi"le el tr# ico de datos entre redes separadas :sicamente. Tomando como e1emplo la Red de redes< Internet< cuando un ordenador en*:a una serie de paquetes de datos a otro situado en otra ciudad o pa:s< estos son encaminados de router a router a lo lar+o del camino entre am"as m#quinas. Cada paso de un paquete de un router a otro se denomina DsaltoD< y el principal o"1eti*o de todos y cada uno de los routers que inter*ienen en la trans erencia del paquete es que 4ste lle+ue a su destino en el menor n>mero posi"le de saltos< por la me1or ruta posi"le. Para poder reali.ar esta tarea< los routers se comunican constantemente entre s:< in orm#ndose de las rutas "loqueadas< de las m#quinas intermedias que se encuentran ca:das o saturadas de tr# ico< aprendiendo con ello cu#l es el router idneo para en*iarle los paquetes reci"idos. /i consideramos a@ora el caso de un router se+mentando una red local A()5B< aunque a@ora no de"e en*iar los paquetes a otro router< s: que tiene que sa"er por qu4 puerto de"e en*iar los datos para que lle+uen a la m#quina local destino. Csta @a"ilidad de Dsa"erD a dnde tienen que en*iar los paquetes de datos que reci"en la consi+uen almacenando en su interior una ta"la especial< conocida como ta"la de ruteo< en la que *an anotando las direcciones IP de las m#quinas que se comunican con 4l y el puerto por el que est# accesi"le esa m#quina. )s:< cuando a un router lle+a un paquete< mira en su ta"la de ruteo. /i est# en ella re erenciada la direccin IP de la m#quina destino< tam"i4n lo estar# el puerto por el que 4sta es accesi"le< con lo que en*:a por 4l el paquete. Cn caso de no estar la IP en la ta"la< manda una peticin de respuesta por todos los puertos< pre+untando en cu#l de ellos se encuentra la m#quina destino< y una *e. o"tenido el puerto de acceso< in+resa la nue*a pare1a IP/P-CRT; en su ta"la de ruteo< con lo que los pr=imos paquetes para esa m#quina los en*iar# directamente. Podemos "uscar una an#lo+:a del uncionamiento de los routers con el de las o icinas de correos. Cuando en*iamos una carta desde 24rida AHada1o.B a (inares AIa4nB< 4sta lle+a en primer lu+ar a la o icina local de 24rida< que la reen*:a a la de Hada1o.< que a su *e. la manda a la de Ia4n< que la remite a la o icina de (inares< que @ace la entre+a. /i la o icina de correos de Ia4n est# cerrada por o"ras< la de Hada1o. la en*iar# a la de 2adrid< que la remitir# a la de )ndu1ar< que a su *e. se encar+ar# de mandarla a la de (inares< @aciendo 4sta de nue*o la entra+a. Cierre la o icina que cierre< siempre se encontrar# un camino para entre+ar la carta. Para e*itar mantener en su ta"la direcciones IP que @ayan quedado o"soletas< cada cierto tiempo "orra aquellas que no tienen acti*idad y las que< tras en*iarles paquetes< no @an respondido. Csto lo consi+uen manteniendo Dcon*ersacionesD entre ellos< en unos len+ua1es especiales denominados Dprotocolos de enrutamientoD.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Componentes b!sicos de un router H#sicamente< podemos considerar un router como un ordenador especial que unciona solo en las tres primeras capas de la arquitectura TCP/IP< al que se la @an eliminado una serie de componentes :sicos y uncionalidades l+icas que no necesita para su tra"a1o< mientras que se le @an a?adido otros componentes de @ardware y de so tware que le ayudan en su tra"a1o de enrutamiento. Como todo ordenador< un router necesita un sistema de arranque A"ootstrapB< encar+ado de reali.ar un c@equeo del resto de los componentes antes de pasar el control a un sistema operati*o ACisco I;/< en el caso de los routers CiscoB. Cl sistema de arranque se almacena en una memoria R;2 ARead ;nly 2emoryF2emoria de /olo (ecturaB< 1unto con una parte "#sica del sistema operati*o< la que toma el control inicialmente< mientras que el cuerpo principal de 4ste se almacena en una memoria especial< de tipo F()/0< que se puede "orrar y repro+ramar< permitiendo con ello las actuali.aciones necesarias. Cl contenido de la memoria Flas@ se conser*a en caso de cortes de ener+:a o durante los reinicios del router. Por otra parte< las uncionalidades operati*as de los routers son con i+ura"les mediante una serie de

instrucciones escritas en un ic@ero de te=to< denominado arc@i*o de con i+uracin< que se almacena en un mdulo de memoria de tipo 59R)2 A5o 9olatil R)2B< cuyo contenido se conser*a durante un corte de ener+:a o si se reinicia el equipo. -na *e. iniciali.ado un router< el ic@ero de con i+uracin es car+ado en una memoria R)2 ARandom )ccess 2emoryF2emoria de )cceso )leatorioB< desde la que se *a e1ecutando el con1unto de rdenes en 4l contenido. Tam"i4n se almacenan en esta memoria las ta"las de enrutamiento< encar+adas de almacenar los puertos del router por los que son accesi"les las di erentes m#quinas. Por >ltimo< el router posee una serie de puertos o inter aces :sicas< puntos de cone=in del mismo con las di erentes redes a las que est# unido< y a tra*4s de los cuales se produce la entrada y salida de datos al equipo. Cl n>mero de inter aces depende del tipo y uncionalidades del router Ay de su precio< claroB.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Tipos de routers (os tipos de router a usar en una red *ar:an dependiendo del tipo de 4sta< del n>mero de usuarios y de la uncin o unciones que de"a desempe?ar< pudiendo *ariar muc@o la comple1idad y el precio de ellos en uncin del tipo ele+ido. /i queremos se+mentar nuestra red en di erentes su"redes< nos @ar# alta un router de se+mentacin< con tantos puertos Ct@ernet como su"redes queremos crear Am#s los de enlace con otros routersB< siendo siempre con*eniente que nos so"ren puertos< con *ista a uturas ampliaciones en la red. Cada su"red utili.ar# lue+o un @u" concentrador o un switc@ para dar acceso a sus clientes indi*iduales. Podemos desear un anc@o de "anda dedicado para un n>mero ele*ado de equipos indi*iduales< prescindiendo as: de los @u"s. 5ecesitaremos entonces un routers de concentracin< que precisa a>n m#s puertos Ct@ernet< aunque no suele ser necesario que sean de alta *elocidad de transmisin. Para conectar una red corporati*a a Internet necesitaremos un router de rontera< que actuar# como +ateway de la red interna< reco+iendo todos aquellos paquetes de datos destinados a m#quinas e=ternas. Cn caso de tener que conectar dos redes ,)5 o dos se+mentos de red en sucursales o campus di erentes< necesitaremos un routers de "acJ"one< que proporciona transporte ptimo entre nodos de la red< con inter aces de alta *elocidad que proporcionan un ele*ado anc@o de "anda. Keneralmente estar#n "asados en tecnolo+:a de i"ra ptica. Por >ltimo< tam"i4n es posi"le al acceso a redes inal#m"rico a redes mediante routers con tecnolo+:a wireless< un medio pr#ctico de li"erar los equipos de las limitaciones de los ca"les :sicos.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Protocolos de enrutamiento 0emos *isto antes que los routers mantienen unas ta"las de enrutamiento< en las que *an anotando las direcciones IP de las m#quinas destino y los puertos adecuados para darles salida de orma ptima. (os routers suelen encontrarse interconectados entre ellos< pas#ndose los paquetes de datos de uno a otro< @asta lle+ar a la m#quina destino. Como cada router tan solo es responsa"le de las m#quinas directamente conectadas a 4l Aincluyendo los routers *ecinosB< se @ace necesario un mecanismo que permita a los routers comunicarse entre s:< para e*itar que cada uno ten+a en sus ta"las re+istros in*#lidos. Csto se consi+ue por medio de una serie de protocolos de enrutamiento< responsa"les de que los di erentes routers manten+an sus ta"las de enrutamiento acordes< o"teni4ndose una red con*er+ente. Con ello se consi+ue< por e1emplo< que si un ordenador o un ser*idor se apa+a en una red< los routers sepan que ya no est# accesi"le< e*itando el en*:o de datos que no lle+ar#n a su destino< y disminuyendo con ello el tr# ico de red. Para mantener las ta"las de enrutamiento actuali.adas< un router pueden mandar a los routers *ecinos una copia de su ta"la cada determinado periodo de tiempo Aenrutamientos por *ector de distanciaB y tam"i4n cuando al+una m#quina en su red su re al+>n cam"io Aenrutamiento por estado de enlaceB. 7epende del protocolo de enrutamiento con que uncione. C=isten di erentes protocolos de comunicacin entre routers< cada uno de los cuales utili.a mecanismos propios para conse+uir la con*er+encia en la red y para determinar el me1or camino que puede se+uir un paquete de datos en su *ia1e @asta la m#quina destino< y cada uno utili.a un sistema de determinacin de me1or ruta Am4tricaB di erente. /e+>n su misin en una red podemos di erenciar dos tipos principales de protocolos de enrutamientoE los protocolos de +ateway interior AIKPB< encar+ados de la comunicacin entre routers de una misma red< entre los que destacan RIP e IKRP< y los protocolos de +ateway e=terior ACKPB o de rontera< encar+ados de la comunicacin entre routers de redes di erentes. Cntre los m#s importantes protocolos de enrutamiento podemos destacar los si+uientesE

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

RIP AProtocolo de In ormacin de CnrutamientoB< es un protocolo de enrutamiento por *ector de distancia que calcula las distancias @acia la m#quina destino en uncin de cu#ntos routers de"e atra*esar un paquete para lle+ar a su destino AsaltosB< en*iando cada paquete de datos por el camino que en cada momento muestre una menor distancia. RIP actuali.a las ta"las de enrutamiento a inter*alos pro+rama"les< +eneralmente cada 3' se+undos. Cs un "uen protocolo de enrutamiento< pero necesita que constantemente se conecten los routers *ecinos< +ener#ndose con ello una +ran cantidad de tr# ico de red.

I"RP AProtocolo de Cnrutamiento de Kateway InteriorB< desarrollado por Cisco /ystem< es un protocolo de enrutamiento por *ector de distancia que usa una m4trica compuesta "asada en di erentes *aria"les de red< como anc@o de "anda< unidades m#=imas de transmisin A2T-B< con ia"ilidad< etc. Cn*:a actuali.aciones de las ta"las de enrutamiento cada &' se+undos.

#I"RP AProtocolo de Cnrutamiento de Kateway Interior 2e1oradoB< protocolo mi=to "asado en IKRP< "asado en una m4trica de *ector distancia< pero que manda actuali.aciones de las entradas de las ta"las que @an cam"iado por @a"er sido alterado el estado de al+una m#quina de su red.

OSPF< protocolo puro de entado de enlace< que calcula las rutas m#s cortas y accesi"les mediante la construccin de un mapa de la red y el mantenimiento unas "ases de datos con in ormacin so"re su sistema local y so"re los *ecinos. Cuando una m#quina de su sistema cam"ia< se en*:a esa entrada de la ta"la a los routers *ecinos.

Cl protocolo de enrutamiento a ele+ir en cada caso depende del tipo de red A()5< ,)5< etc.B< de su topolo+:a y del uso de la misma< siendo posi"le en la mayor:a de los casos con i+urar *arios protocolos en un mismo router.

4.2 Firewalls

-n sistema "#sico de se+uridad< que de"emos utili.ar para nuestra cone=in a Internet< es la instalacin de un Firewall o corta ue+os. -n irewall es un sistema de de ensa que se "asa en la instalacin de una D"arreraD entre tu PC y la Red< por la que circulan todos los datos. Cste tr# ico entre la Red y tu PC es autori.ado o dene+ado por el irewall Ala D"arreraDB< si+uiendo las instrucciones que le @ayamos con i+urado. Cl uncionamiento de 4ste tipo de pro+ramas se "asa en el D iltrado de paquetesD. Todo dato o in ormacin que circule entre nuestro PC y la Red es anali.ado por el pro+rama A irewallB con la misin de permitir o dene+ar su paso en am"as direcciones AInternetGGLPC PCGGGLInternetB. Cl comprender esto >ltimo es muy importante< ya que si autori.amos un determinado ser*icio o pro+rama< el irewall no *a a decirnos que es correcto o incorrecto< o incluso< que siendo correcto los paquetes que est#n entrando o saliendo< 4stos contienen datos perniciosos para nuestro sistema o la Red< por lo que @ay que tener "uen cuidado en

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

las autori.aciones que otor+uemos. Como e1emplo de esto >ltimo podemos poner el Correo Clectrnico. /i autori.amos en nuestro irewall a que determinado pro+rama de correo acceda a Internet< y al reci"ir nuestro correo< en un mensa1e reci"ido *iene un ad1unto con un *irus< por e1emplo tipo +usano< el irewall no nos *a a de ender de ello< ya que le @emos autori.ado a que ese pro+rama acceda a la Red. (o que si *a a @acer es que si al e1ecutar el ad1unto< el +usano intenta acceder a la Red por al+>n puerto que no est4 pre*iamente aceptado por nosotros< no lo *a a de1ar propa+arse. )@ora "ien< si @ace uso por e1emplo del mismo cliente de correo< si *a a propa+arse. (a misin del irewall es la de aceptar o dene+ar el tra ico< pero no el contenido del mismo. Cn 4ste caso< la misin de prote+ernos es Aadem#s del sentido com>n de no e1ecutar sin m#s un ad1untoB de un pro+rama )nti*irus. $a red de microso t windows Para que @aya comunicacin por la red es necesario que en am"os ordenadores @aya un pro+rama capa. de entenderse con el del otro lado. Pues "ien< el propio windows es ese pro+rama< y tiene la capacidad que puede ser m#s per1udicial para nosotrosE la de compartir ic@eros. (a mayoria de *osotros @a"reis *isto al+una *e. como se comporta una red de windows &6 o &%E marcamos la carpeta que queremos compartir Aaparece la mano de"a1o de ellaB y autom#ticamente los ic@eros de esa carpeta pueden ser leidos o incluso modi icados o eliminados desde cualquier otro ordenador de la red< y si estamos conectados a internet< eso equi*ale a cualquier ordenador del mundo. /i+uiendo el s:mil de las casas y los *ecindarios< esto equi*ale a de1ar todas las puertas a"iertas de par en par< lo que @acen los ladrones es "uscar directamente las empresas con el o"1eti*o de o"tener al+>n "ene icio. Cn el caso de ,indows 5T< 2''' o MP< se+uimos teniendo un sistema potencialmente peli+roso ya que la capacidad para compartir ic@eros en red continua siendo in@erente al sistema operati*o< pero al contrario que en &6G &%< a@ora cualquier recurso de la red se puede prote+er con contrase?a< con lo que los ladrones al menos se encuentran con las puertas cerradas. Cso s:< los usuarios poco @a"ituados tienden a de1ar las contrase?as en "lanco. Csto es especialmente peli+roso en el caso del usuario N)dministradorO< ya que si un pirata se encuentra al entrar en nuestro sistema con que el administrador no tiene contrase?a< podr# @acer y des@acer a sus anc@as sin que podamos remediarlo.... ser# como tener una puerta cerrada y entre+arle la lla*e en mano. Como @emos dic@o antes< el sistema de contrase?as es solo una primera "arrera< pero no puede considerarse un se+uro< ya que de todos son conocidos los m>ltiples a+u1eros que en los sistemas operati*os de 2icroso t son descu"iertos a diario< por lo que de"emos "uscar otras soluciones. -n irewall unciona< en principio< 7C5CK)57; cualquier tr# ico que se produ.ca cerrando todos los puertos de nuestro PC. Cn el momento que un determinado ser*icio o pro+rama intente acceder a Internet o a nuestro PC nos lo @ar# sa"er. Podremos en ese momento aceptar o dene+ar dic@o tr# ico< pudiendo asimismo @acer Apara no tener que repetir la operacin cada *e.B DpermanenteD la respuesta @asta que no cam"iemos nuestra pol:tica de aceptacin.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

-na "uena pol:tica de"er:a ser< ante la duda< no aceptar nunca cualquier acceso @asta compro"ar que es necesario para un correcto uncionamiento del ser*icio que pretendamos usar y no es potencialmente peli+roso para el sistema. /i dene+amos el acceso y nuestro sistema si+ue uncionando "ien< no nos es necesario por lo que lo de"emos dene+ar. Con la instalacin de un irewall conse+uiremos @acer nuestro sistema muc@o menos *ulnera"le a intrusiones< as: que< manos a la o"ra y *amos a *er los pasos< de orma pr#ctica< para instalarlo. 9amos a mostrar un irewall para ,indows y otro para -ni=. C=isten 2 tipos de irewalls o corta ue+os< los de @ardware AaparatosB y los de so tware Apro+ramasB. )m"os uncionan de la misma manera. Cn esta +u:a os ense?aremos como con i+urarlos ya que cada corta ue+os tiene su propia manera de uncionar y de con i+urarse< os ayudar#n a mo*eros por ellos y entender como actuan. -n irewall es como un muro que ponemos delante de la puerta de nuestra casa< de manera que< aunque ten+amos la puerta a"ierta de par en par nadie pueda entrar en ella. (o que @ace un irewall N iltrarO Ano permitirB el paso de in ormacin a tra*4s de una determinada direccin ip o un determinado puerto. 7e esta manera< aunque en nuestro ordenador @aya un troyano instalado escuc@ando< si el irewall no de1a pasar la in ormacin a tra*4s de ese puerto< no tenemos de que preocuparnos. Pueden restrin+ir la comunicacin entrante Aordenadores de uera que intentan acceder al nuestroB o saliente Anuestro ordenador intentando acceder a otros e=ternosB. H#sicamente el iltrado se reali.a de 2 manerasE por direcciones o por puertos. Cn am"os casos< cuando se con i+ura un irewall se suelen esta"lecer re+las ArulesB . -na re+la dice por e1emploE no de1es salir nin+una in ormacin @acia la direccin 21$.23.63.23 . no de1es entrar nin+una in ormacin desde la direccin 216.23.!3.23 no de1es salir nin+una in ormacin a tra*4s del puerto %'.

o inclusoE no de1es entrar nin+una in ormacin de nin+una direccin por nin+>n puerto.

pero tam"i4n re+las positi*asE s: de1a salir la in ormacin a tra*4s del puerto 21.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

(as re+las se ordenan se+>n su import#ncia< y el irewall las *a aplicando por orden< ya que las >ltimas pueden @acer cosas contrarias a las primeras. Por e1emplo< podemos poner estas dos re+las en nuestro irewall< y 4l primero aplicar# la primera y lue+o la se+undaE no de1es salir nin+una in ormacin @acia nin+una direccin. pero s: de1a salir la in ormacin @acia la direccin 216.23.!3.23

Teniendo claros estos conceptos podremos con i+urar la mayor:a de los irewalls. Cn ,indows 2''' encontramos en las propiedades del protocolo TCP/IP las opciones N/e+uridad IPO y NFiltrado IPO< donde podremos de inir nuestras re+las a modo de irewall. Cn ,indows 2'''< esta opcin se @a trans ormado en N/er*idor de se+uridad para cone=in a internetO que unciona a la in*ersa< de"emos marcar de una lista las aplicaciones que deseamos que puedan transmitir in ormacin @acia en e=terior y Nse suponeO que ,indows cerrar# el resto de puertos e=istentes. %cti&ando el corta ue'os de (indows )*** Para acti*ar el D/er*idor de /e+uridad de Cone=in a InternetD "astar# con ir a las propiedades de la cone=in de red que queramos prote+er Aque puede ser de red local< =7/(< Ca"le< acceso tele nico< irewire< etcB y en la pesta?a D)*an.adasD acti*ar DProte+er mi equipo y mi red limitando o impidiendo el acceso a 4l desde InternetD. ) partir de entonces el corta ue+os prote+er# nuestro equipo. /in em"ar+o< es posi"le que la con i+uracin por de ecto inter iera con al+unos pro+ramas que act>en de ser*idores. /i ser*imos un sitio we" desde nuestro ordenador< o creamos en un 1ue+o una partida a la que esperamos que se unan 1u+adores< podemos encontrarnos en esta situacin.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Para que el irewall permita acceder a esos ser*icios de"eremos con i+urarlo. Para ello< en la misma *entana donde @emos acti*ado el corta ue+os tenemos un "otn de con i+uracin< que una *e. pulsado nos a"rir# una *entana con tres pesta?asE /er*icios< Re+istro de /e+uridad y IC2P. Con i'urando los ser&icios de red 7e"eremos a?adir a la ta"la del corta ue+os aquellos ser*icios que se e1ecuten en nuestra red. /upon+amos que tenemos un ser*idor we" con nuestra p#+ina personal en nuestro ordenador< que tra"a1a en el puerto %'. Para permitir que se pueda acceder a la we" desde el e=terior< de"eremos marcar la opcin D/er*idor ,e" A0TTPBD en la pesta?a )*an.adasE

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Cn la *entana que aparece slo se nos da opcin a introducir el nom"re del ordenador que est# e1ecutando el ser*idor. Csto se de"e a que el ser*icio no tiene por qu4 e1ecutarse en nuestra propia m#quina< sino que puede estar en cualquier otro ordenador de una red local que acceda a tra*4s del nuestro a Internet. /i somos nosotros mismos escri"ir:amos nuestro nom"re< o Dlocal@ostD Asin las comillasB. /i tu*i4ramos una red con *arios ordenadores y se e1ecutara en uno que se llame Dser*idorPwe"D pondr:amos ese nom"re en la casilla. 7e esta orma< indicamos a donde tiene que lle*ar las peticiones que se @a+an al ser*idor we" desde Internet en caso de que no se e1ecute en la m#quina que corre el corta ue+os.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

/upon+amos adem#s que @a"itualmente utili.amos un so tware de mensa1eria instant#nea< y que transmitimos por Internet. /i creamos con*ersaciones compartidas a las que se de"e unir +ente< el so tware de mensa1er:a act>a como un ser*idor< por lo que tam"i4n de"eremos a?adirlo a la ta"la del corta ue+os. Para ello de"eremos sa"er en que puerto tra"a1a. /upon+amos que @emos mirado en la ayuda y 4sta nos indica que utili.a el puerto !112 -7P. Pulsando en el "otn )+re+ar nos aparecer# una *entana como la anterior< pero con todas las opciones por rellenar. (o primero ser:a poner la descripcin del ser*icio Apor e1emploE c@arlas en redB y en el si+uiente campo el nom"re del ordenador que e1ecuta el so tware Asi somos nosotros mismos escri"iremos de nue*o Dlocal@ostD sin las comillasB. ) continuacin pondremos el puerto e=terno del ser*icio< es decir< el puerto desde el que ser# *isi"le la partida desde InternetQ y el puerto interno< que de"e ser el que est4 escuc@ando el ser*idor. Cn nuestro caso< tanto el e=terno como el interno de"e ser el !112. Cl primero porque es el que utili.an los clientes para conectarse desde Internet< y el se+undo porque es el que escuc@a el ser*idor de la con*ersacin compartida. Por >ltimo< tendremos que indicar el protocolo utili.ado< que en este caso ser# -7P. -na *e. aceptados los par#metros< el 1ue+o correctamente. uncionar#

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

+tili,ando el Re'istro de Se'uridad Cl corta ue+os de ,indows 2''' no muestra mensa1es de a*iso cuando se produce una incidencia. Teniendo en cuenta la cantidad de alertas que podemos reci"ir cuando estamos conectados a Internet< ser:a demasiado molesto. 0ay que tener en cuenta que un simple scan de puertos con el in de compro"ar cuales tenemos a"iertos podr:a pro*ocar decenas de incidencias de se+uridad en el corta ue+os. Para e*itar los molestos mensa1es de a*iso se lle*a un control de sucesos so"re arc@i*o< que por de ecto est# situado en DcERwindowsRp irewall.lo+D. Podemos cam"iar la ruta y el nom"re de arc@i*o desde la pesta?a DRe+istro de /e+uridadD y limitar el tama?o m#=imo del mismo. )dem#s podemos re+istrar tam"i4n las cone=iones correctas con el in de descu"rir posi"les puntos de entrada que se nos @ayan ol*idado prote+er de"idamente. Hastar# con un "re*e *ista.o de orma peridica para identi icar accesos no deseados por troyanos y pro+ramas similares.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

-abilitando los mensa.es IC/P Cl protocolo IC2P Ade inido en el documento RFC $&2 de especi icaciones de redB es utili.ado para noti icar errores en la cone=in< como por e1emplo que parte de la in ormacin en*iada a una m#quina se @a perdido por el camino< o que no podemos lle+ar a la m#quina con la que queremos esta"lecer la cone=in. /in em"ar+o< uno de los mensa1es m#s utili.ados de este protocolo es el eco entrante< utili.ado para @acer pin+ y sa"er si una m#quina est# conectada.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Por de ecto el irewall e*ita el en*:o de estos mensa1es a la red. 7e esta orma permaneceremos ocultos ante cualquier usuario que @a+a pin+ a nuestra m#quina. /in em"ar+o< si nos interesa que responda a esta peticin de"eremos marcar la opcin Dpermitir solicitud de eco entranteD en la pesta?a IC2P. Csto puede ser >til para compro"ar desde otro lu+ar que el ordenador donde tenemos *arios ser*icios e1ecutando si+ue respondiendo correctamente. 7e la misma orma< acti*aremos el resto de mensa1es IC2P que nos puedan interesar. /eleccionando cada uno de ellos aparecer# una peque?a descripcin en la parte in erior de la *entana que ayudar# a entender el propsito de cada uno.

Configurando Un Firewall Para Unix (iptables)

Ipta"les Atam"ien conocido como net ilterB nos permite con i+urar un Firewall de orma que ten+amos controlado quien entra< sale y/o enruta a tra*es de nuestra maquina -ni=.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Precisamente estas son las tres re+las "asicas de todo FirewallE I5P-T< ;-TP-T y F;R,)R7. )unque con ipta"les podremos @acer muc@as mas cosas comoE 5)T A5etworJ )ddress TranslationB< 2asquerin+< Control de anc@o "anda< Control se+un la 2)C< e*itar ataques 7o/< Control Cstado Aesta es una de las principales no*edades respecto a ipc@ainB< etc... IPta"les es un sistema de irewall *inculado al Jernel de linu= que se @a e=tendido enormemente a partir del Jernel 2.4 de este sistema operati*o. )l i+ual que el anterior sistema ipc@ains< un irewall de ipta"les no es como un ser*idor que lo iniciamos o detenemos o que se pueda caer por un error de pro+ramacinAesto es una peque?a mentira< @a tenido al+una *ulnera"ilidad que permite 7o/< pero nunca tendr# tanto peli+ro como las aplicaciones que escuc@an en determinado puerto TCPBE ipta"les esta inte+rado con el Jernel< es parte del sistema operati*o. SCmo se pone en marc@aT Realmente lo que se @ace es aplicar re+las. Para ellos se e1ecuta el comando ipta"les< con el que a?adimos< "orramos< o creamos re+las. Por ello un irewall de ipta"les no es sino un simple script de s@ell en el que se *an e1ecutando las re+las de irewall. 5otasE "ueno< para los m#s +eeJs y tocapelotas. 9ale< se puede implementar un script de inicio en / etc/rc.d/I5IT.d Ao /etc/I5IT.d B con el que @a+amos que ipta"les se Dinicie o pareD como un ser*idor m#s. (o podemos @acer nosotros o es pro"a"le que *en+a en la distri"ucin Acomo en red@at por e1emploB. Tam"i4n se pueden sal*ar las re+las aplicadas con el comando ipta"lesGsa*e en un ic@ero y +estionar ese ic@ero con una aplicacin o rontGend desde la M o desde we"min. 9ale< tenemos una m#quina linu= con soporte para ipta"les< tiene re+las aplicadas y empie.an a lle+ar/salir/pasar paquetes. 5o nos liemosE ol*idemos cuantas tar1etas de red @ay< que direcciones ip tiene la m#quina y ol*idemos si el paquete entra o sale. (as re+las de irewall est#n a ni*el de Jernel< y al Jernel lo que le lle+a es un paquete Adi+amos< un marrn QB B y tiene que decidir que @acer con 4l. Cl Jernel lo que @ace es< dependiendo si el paquete es para la propia maquina o para otra maquina< consultar las re+las de irewall y decidir que @acer con el paquete se+>n mande el irewall. Cste es el camino que se+uir:a un paquete en el JernelE

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Cuando un paquete u otra comunicacin lle+a al Jernel con ipta"les se si+ue este camino. Como se *e en el +r# ico< "#sicamente se mira si el paquete esta destinado a la propia maquina o si *a a otra. Para los paquetes Ao data+ramas< se+>n el protocoloB que *an a la propia maquina se aplican las re+las I5P-T y ;-TP-T< y para iltrar paquetes que *an a otras redes o maquinas se aplican simplemente re+las F;R,)R7. I5P-T<;-TP-T y F;R,)R7 son los tres tipos de re+las de iltrado. Pero antes de aplicar esas re+las es posi"le aplicar re+las de 5)TE estas se usan para @acer redirecciones de puertos o cam"ios en las IPs de ori+en y destino. 9eremos e1emplos. C incluso antes de las re+las de 5)T se pueden meter re+las de tipo 2)5K(C< destinadas a modi icar los paquetesQ son re+las poco conocidas y es pro"a"le que no las usen. Por tanto tenemos tres tipos de re+las en ipta"lesE 2)5K(C 5)TE re+las PRCR;-TI5K< P;/TR;-TI5K FI(TCRE re+las I5P-T< ;-TP-T< F;R,)R7.

Creando un irewall con iptables 9amos al +rano y empe.amos a *er con i+uraciones de irewall con ipta"les< empe.ando desde la m#s "#sica a las m#s comple1as< en las que se esta"lece la dene+acin como pol:tica por de ecto. 5otaE se recomienda encarecidamente ir practicando estas re+las en al+una maquina linu= disponi"le< y especialmente @acer uso de la @erramienta iptra para depurar y compro"ar el uncionamiento de ipta"les. Con iptra podemos compro"ar si las cone=iones TCP/IP se lle+an a esta"lecer o no. -na cone=in tcp/ip empie.a con el t@reeG wayG@ands@aJeE (a maquina que desea conectarse a otra en*ia un paquete con lan /U5 /i la otra maquina acepta< en*ia un /U5/)CV Cntonces la m#quina esta"lece la cone=in.

/i el irewall esta dene+ando la cone=in< con iptra *eremos que la maquina ori+en solo manda paquetes con el lan / Ade /U5B< y que del otro lado no sale nada. /a"er usar iptra nos ayudar# muc@o. 0u1 es iptables IPta"les es un sistema de irewall *inculado al Jernel de linu= que se @a e=tendido enormemente a partir del Jernel 2.4 de este sistema operati*o. )l i+ual que el anterior sistema ipc@ains< un irewall de ipta"les no es como un ser*idor que lo iniciamos o detenemos o que se pueda caer por un error de pro+ramacinAesto es una peque?a

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

mentira< @a tenido al+una *ulnera"ilidad que permite 7o/< pero nunca tendr# tanto peli+ro como las aplicaciones que escuc@an en determinado puerto TCPBE ipta"les esta inte+rado con el Jernel< es parte del sistema operati*o. SCmo se pone en marc@aT Realmente lo que se @ace es aplicar re+las. Para ellos se e1ecuta el comando ipta"les< con el que a?adimos< "orramos< o creamos re+las. Por ello un irewall de ipta"les no es sino un simple script de s@ell en el que se *an e1ecutando las re+las de irewall. 5otasE "ueno< para los m#s +eeJs y tocapelotas. 9ale< se puede implementar un script de inicio en / etc/rc.d/I5IT.d Ao /etc/I5IT.d B con el que @a+amos que ipta"les se Dinicie o pareD como un ser*idor m#s. (o podemos @acer nosotros o es pro"a"le que *en+a en la distri"ucin Acomo en red@at por e1emploB. Tam"i4n se pueden sal*ar las re+las aplicadas con el comando ipta"lesGsa*e en un ic@ero y +estionar ese ic@ero con una aplicacin o rontGend desde la M o desde we"min. 9ale< tenemos una m#quina linu= con soporte para ipta"les< tiene re+las aplicadas y empie.an a lle+ar/salir/pasar paquetes. 5o nos liemosE ol*idemos cuantas tar1etas de red @ay< que direcciones ip tiene la m#quina y ol*idemos si el paquete entra o sale. (as re+las de irewall est#n a ni*el de Jernel< y al Jernel lo que le lle+a es un paquete Adi+amos< un marrn QB B y tiene que decidir que @acer con 4l. Cl Jernel lo que @ace es< dependiendo si el paquete es para la propia maquina o para otra maquina< consultar las re+las de irewall y decidir que @acer con el paquete se+>n mande el irewall. Prote'er la propia m!quina 2uy "ien< tenemos una m#quina -ni= pinc@ada en internet y queremos prote+erla con su propio irewall. (o >nico que tenemos que @acer es crear un script de s@ell en el que se *an aplicando las re+las.

esquema de irewall t:pico entre red local e internet.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

esquema de firewall entre red local e internet con zona DMZ para servidores expuestos.

los scripts de ipta"les pueden tener este aspectoE /aludo a la a icin Aec@oB Horrado de las re+las aplicadas actualmente A lus@B )plicacin de pol:ticas por de ecto para I5P-T< ;-P-T< F;R,)R7 (istado de re+las ipta"les.

O.o con el orden de las re'las23 WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW indetec Iose mar:a 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

/s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT W ) un conocido le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp Gdport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT W U el resto< lo cerramos ipta"les G) I5P-T Gp tcp GGdport 2'E21 G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 22 G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Cn in< ya se *e< un script de los m#s simple< con unas pocas re+las con las que cerramos puertos al p>"lico a los que no tienen porque tener acceso< sal*o el %'. Pero cualquiera con al+o de o1o se @a"r# dado cuenta de que ni se iltra el -7P ni el IC2P. )postar:a cualquier cosa a que el sistema tiene al+>n puerto udp a"ierto< y adem#s peli+roso como el /52P. Como @e dic@o anteriormente< en este tipo de irewall es recorda"le @acer un netstat para *er que puertos est#n en estado de escuc@a Aa"iertosB< y sal*e que un rootJit nos @aya modi icado los "inarios< netstat nos dar# la in ormacin precisa que necesitamos. 0ay +ente que se decanta por @acerse un nmap as: mismos. CuidadoE dependiendo de cmo lo e1ecutemos qui.# no nos muestre todos los puertos< ya que suele mirar los "ien conocidos. Ima+inemos que @emos dado un repaso a nuestro sistema< y a@ora si que tenemos me1or identi icados los puertos tcp y udp a"iertos. Pero por si acaso nos curamos en salud y al inal del script cerraremos el ran+o de puertos del 1 al 1'24< los reser*ados tanto para tcp como udp. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les Gt nat GF WW Csta"lecemos pol:tica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT W ) un conocido le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp Gdport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT W Cerramos ran+o de los puertos pri*ile+iados. Cuidado con este tipo de W "arreras< antes @ay que a"rir a los que si tienen acceso. ipta"les G) I5P-T Gp tcp GGdport 1E1'24 ipta"les G) I5P-T Gp udp GGdport 1E1'24 W Cerramos otros puertos que estan a"iertos ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ipta"les G) I5P-T Gp udp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script )@ora "asta con @acer copyGpaste de estas re+las y aplicarlas y a1ustarlas en su sistema Aqui.#s uses Post+re/3(B. /i tiene miedo de perder el control de una m#quina remota< prue"e el script en una m#quina local y ase+>rese de que aplica lo que usted quiere. Todo esto y muc@o mas< lo podemos consultar en la a"undante ayuda y documentacion relati*a al ipta"les en Internet. Firewall de una $%4 con salida a internet S3u4 es lo que @ace altaT ;"*iamente< una re+la que @a+a 5)T @acia uera Aenmascaramiento en ipta"lesB< con

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

lo que se @ar:a dos *eces 5)T en el irewall y en el router. Cntre el router y el irewall lo normal es que @aya una red pri*ada A1&2.1!%.1.1 y 1&2.1!%.1.2 por e1emploB< aunque dependiendo de las necesidades puede que los dos ten+an IP p>"lica. Cl router se supone que @ace un 5)T completo @acia dentro Aqui.# sal*o puerto 23B< o sea que desde el e=terior no se lle+a al router si no que de orma transparente se Dc@ocaD contra el irewall. (o normal en este tipo de irewalls es poner la pol:tica por de ecto de F;R,)R7 en dene+ar A7R;PB< pero eso lo *emos m#s adelante. 9eamos como ser:a este irewallG+atewayE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW WW indetec Iose maria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Pero tenemos que conse+uir que los empleados solamente puedan na*e+ar por internet< dene+ando el acceso a un so tware de P2P para descar+ar arc@i*os. Csta ser:a una con i+uracin simple pero e ecti*a. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW con iltro para que solo se pueda na*e+ar. WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT W U dene+amos el resto. /i se necesita al+uno< ya a*isaran ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script /upon+amos que este irewall tiene al+una uncin adicionalE es un ser*idor pro=y y adem#s es un ser*idor de correo. 7arle uncionalidades de este tipo a un irewall no es recomenda"le< porque si no se prote+en "ien esos puertos o si no est# actuali.ado el so tware pueden entrar en el irewall a "ase de =ploits comprometiendo T;7) la red local. 7e todas ormas muc@as empresas no se pueden permitir o no quieren tener una m#quina para cada cosa< "astante les cuesta a muc@as poner un irewall. Por tantoE si se a?aden ser*icios que de"en estar a"iertos al p>"lico en el propio irewall< nos la estamos 1u+ando< y se recomienda pasar el ser*icio a otra m#quina y ponerla en la 728. /upon+amos tam"i4n que la empresa tiene comerciales en ruta y que se conectan a internet desde su port#til y con una ip din#mica. /upon+amos tam"i4n que el 1e e de la empresa quiere acceder a la red local desde casa con una cone=in )7/(. )@ora en el irewall de"ieramos tener instalado un ser*idor /2TP< pop3< y un PPTP7. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

WW con ser*icios a"iertos de puerto 26< 11'< y 1$23 WW indetec Iose 2aria 2olina WW www.indetec.tJG 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )"rimos el acceso a puertos de correo W )"rimos el puerto 26< @ay que con i+urar "ien el relay del ser*idor /2TP ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 26 G1 )CCCPT W )"rimos el pop3 ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 11' G1 )CCCPT W U a"rimos el puerto pptpd para la ip del adsl de casa del 1e e ipta"les G) I5P-T Gs 211.46.1$!.24 Gp tcp GGdport 1$23 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7 W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

W U dene+amos el resto. /i se necesita al+uno< ya a*isaran ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1'''' G1 7R;P W U cerramos el puerto del ser*icio PPTP7< solo a"ierto para el 1e e. ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1$23 G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script )@ora queremos compartir al+>n ser*icio pero de un ser*idor que tenemos dentro de la red local< por e1emplo el II/ de un ser*idor windows2'''< y adem#s permitir la +estin remota por terminal ser*er para esta m#quina para una empresa e=terna. Cn este caso lo que @ay que @acer es un redireccin de puerto. )ntes de ipta"les esto se pod:a @acer #cilmente con un ser*idor como rinet. Rinet lo que @ace es simplemente a"rir un puerto en el irewall y al conectarse a 4l te lle*a @asta el puerto de otra m#quina< como una tu"er:a. Con Ipta"les podemos @acer redirecciones con una *enta1aE no perdemos la in ormacin de IP ori+en< cosa que con rinet s: ocurr:a. Cn in< *eamos la con i+uracin< con las nue*as re+las de 75)TE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet WW con ser*icios a"iertos de puerto 26< 11'< y 1$23 WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW RC7IRCCCI;5C/ W Todo lo que *en+a por el e=terior y *aya al puerto %' lo rediri+imos W a una maquina interna ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport %' G1 75)T GGto 1&2.1!%.1'.12E%' W (os accesos de un ip determinada a Terminal ser*er se rediri+en e esa W maquina ipta"les Gt nat G) PRCR;-TI5K Gs 221.23.124.1%1 Gi et@' Gp tcp GGdport 33%& G1 75)T GGto 1&2.1!%.1'.12E33%& WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT WW )"rimos el acceso a puertos de correo W )"rimos el puerto 26< @ay que con i+urar "ien el relay del ser*idor /2TP ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 26 G1 )CCCPT W )"rimos el pop3 ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp GGdport 11' G1 )CCCPT W U a"rimos el puerto pptpd para la ip del adsl de casa del 1e e ipta"les G) I5P-T Gs 211.46.1$!.24 Gp tcp GGdport 1$23 G1 )CCCPT WW )@ora con re+la F;R,)R7 iltramos el acceso de la red local WW al e=terior. Como se e=plica antes< a los paquetes que no *an diri+idos al WW propio irewall se les aplican re+las de F;R,)R7 W )ceptamos que *ayan a puertos %' ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport %' G1 )CCCPT W )ceptamos que *ayan a puertos @ttps ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 443 G1 )CCCPT W )ceptamos que consulten los 75/ ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp tcp GGdport 63 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 Gp udp GGdport 63 G1 )CCCPT W U dene+amos el resto. /i se necesita al+uno< ya a*isaran

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gi et@1 G1 7R;P W )@ora @acemos enmascaramiento de la red local W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1'''' G1 7R;P W U cerramos el puerto del ser*icio PPTP7< solo a"ierto para el 1e e. ipta"les G) I5P-T Gs '.'.'.'/' Gi et@' Gp tcp GGdport 1$23 G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Hueno ya tenemos montada la red< pero con*iene insistir en que esta >ltima con i+uracin< con las redirecciones y los ser*icios de correo uncionando en el irewall es "astante inse+ura. S3u4 ocurre si @acJean el ser*idor II/ de la red localT Pues que el irewall no sir*e de +ran cosa< lo poco que podr:a @acer una *e. se @a entrado en la red local es e*itar escaneos @acia el e=terior desde la m#quina atacada< aunque para ello el irewall de"iera tener una "uena con i+uracin con dene+acin por de ecto. /i necesitamos ese ser*idor II/< "asta con comprar una tar1eta de red por ![ o dolares y crear una 728. Firewall de una $%4 con salida a internet con 5/6 Hueno< esto se *a complicando. Ima+inemos que tenemos una red parecida a la anterior pero a@ora @acemos las cosas "ien y colocamos ese ser*idor II/ en una 728

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

esquema de irewall entre red local e internet con .ona 728 para ser*idores e=puestos.

Cn este tipo de irewall @ay que permitirE )cceso de la red local a internet. )cceso p>"lico al puerto tcp/%' y tcp/443 del ser*idor de la 728 )cceso del ser*idor de la 728 a una HH77 de la ()5 ;"*iamente "loquear el resto de acceso de la 728 @acia la ()5.

S3u4 tipo de re+las son las que @ay que usar para iltrar el tr# ico entre la 728 y la ()5T /olo pueden ser las F;R,)R7< ya que estamos iltrando entre distintas redes< no son paquetes destinados al propio irewall. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Todo lo que *en+a por el e=terior y *aya al puerto %' lo rediri+imos W a una maquina interna ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport %' G1 75)T GGto 1&2.1!%.3.2E%' W (os accesos de un ip determinada 0TTP/ se rediri+en e esa W maquina ipta"les Gt nat G) PRCR;-TI5K Gi et@' Gp tcp GGdport 443 G1 75)T GGto 1&2.1!%.3.2E443 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.3.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW Permitimos el paso de la 728 a una HH77 de la ()5E ipta"les G) F;R,)R7 Gs 1&2.1!%.3.2 Gd 1&2.1!%.1'.6 Gp tcp GGdport 6432 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.6 Gd 1&2.1!%.3.2 Gp tcp GGsport 6432 G1 )CCCPT WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3.2 Gp tcp GGsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 1&2.1!%.3.2 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 1&2.1!%.3.'/24 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script 9amos a *erE si las m#quinas de la 728 tienen una ip p>"lica @ay que tener muc@:simo cuidado de no permitir el F;R,)R7 por de ecto. /i en la 728 @ay ip p>"lica 5; C/ 5CCC/)RI; 0)CCR RC7IRCCCI;5C/ de puerto< sino que "asta con rutar los paquetes para lle+ar @asta la 728. Cste tipo de necesidades sur+en cuando por e1emplo tenemos dos m#quinas con ser*idor we" Aun apac@e y un II/BQ S) cu#l de las dos le rediri+imos el puerto %'T 5o @ay manera de sa"erlo A5o< con ser*idores *irtuales tampoco< pi4nsaloB< por eso se de"en asi+nar IPs p>"licas o en su de ecto usar puertos distintos. Por tanto @ay que prote+er con*enientemente toda la 728. Tampoco @ar:a alta enmascarar la salida @acia el e=terior de la 728< si tiene una ip p>"lica ya tiene una pata puesta en internetQ o"*iamente @ay que decirle al router como lle+ar @asta esa ip p>"lica. )s: podr:a ser esta redE

esquema de irewall entre red local e internet con .ona 728 para ser*idores e=puestos usando IPs p>"licas.

U este podr:a ser un irewall adecuadoE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW pero con IPs p>"licas. WW indetec Iose 2ar:a 2olina

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB /s"in/ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward WW Permitimos el acceso desde el e=terior a los puertos %' y 443 de 728 ipta"les G) F;R,)R7 Gd 212.1&4.%&.162 Gp tcp Gdport %' G1 )CCCPT ipta"les G) F;R,)R7 Gd 212.1&4.%&.162 Gp tcp Gdport 443 G1 )CCCPT ipta"les G) F;R,)R7 Gd 212.1&4.%&.16'/3' G1 7R;P WW Permitimos el paso de la 728 a una HH77 de la ()5E ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.6 Gp tcp GGdport 6432 G1 )CCCPT W en el otro sentido lo mismo ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.6 Gd 212.1&4.%&.162 Gp tcp GGsport 6432 G1 )CCCPT WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 212.1&4.%&.162 Gp tcp GGsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 212.1&4.%&.162 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script %T#4CI74 2erece la pena pararse a e=plicar esta parte del irewallE WW permitimos a"rir el Terminal ser*er de la 728 desde la ()5 ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 212.1&4.%&.162 Gp tcp Gsport 1'24E!6636 GGdport 33%& G1 )CCCPT W T @ay que @acerlo en uno y otro sentido T ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 Gp tcp GGsport 33%& GGdport 1'24E!6636 G1 )CCCPT W T por que lue+oE W Cerramos el acceso de la 728 a la ()5 ipta"les G) F;R,)R7 Gs 212.1&4.%&.162 Gd 1&2.1!%.1'.'/24 G1 7R;P (o que nos lle*a a dos cuestionesE 1. SPor qu4 @ay que e=plicitar la a"ertura en uno y otro sentidoT Porque la tercera re+la cierra todo lo que *a de la 728 a la red local. Para a"rir el puerto 33%& de tcp es imprescindi"le que un paquete de ida sea capa. de lle+ar @asta la 728 y que a su *e. pueda *ol*er a la ()5. Csto de tener que especi icar la a"ertura en uno y otro sentido ser# el pan de cada d:a en un ipta"les con pol:tica 7R;P por de ectoE me1or proteccin pero m#s tra"a1o. 2. SPor qu4 se e=plicita el puerto de ori+en/destino 1'24E!6636 en la primera y se+unda re+laT Ima+inemos que un @acJer lo+ra acceso a la m#quina de la 728. /i no especi icamos el puerto de destino en esas dos re+las< el @acJer puede a"rir C-)(3-ICR puerto de la ()5 siempre que pueda esta"lecer como puerto ori+en suyo el tcp/33%&< cosa #cil para un @acJer que sepa al+o de C o que ten+a el pro+rama pertinente a

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

mano. 7e todas ormas el @acJer tendr:a que sa"er que e=iste ese tipo de re+las< si es listo pro"ara con puertos de +estin o con puertos net"ios. Cl pro"lema es que se de1a un *:nculo con la ()5 "ien para administrarlo remotamente o para esta"lecer relaciones de con ian.a y a@: es donde reside el peli+ro. Cn las cone=iones Dle+alesD no se usa como puerto ori+en nada por de"a1o del 1'24Q cuando al+uien se conecta a otro puerto en su e=tremo a"re un puerto por encima del 1'24. Cspeci ic#ndolo en la re+la de irewall prote+eremos un poco me1or la ()5< aunque los puertos por encima de 1'24 estar#n en peli+ro. Firewall de una $%4 con salida a internet y 8P4S Cn principio este caso no nos tendr:a que dar mayor pro"lema< aunque la primera *e. que lo montemos< el enmascaramiento nos 1u+ar# una mala pasada. Por eso con*iene ec@ar un *ista.o en este caso.

esquema de irewall entre red local e internet con .ona 728 y dele+aciones que acceden a 728.

/upon+amos que entre los routers ya se @a esta"lecido un tunel Acon Ciscos se @aria creando un inter a. TunnelB< y que si el irewall nos de1a podr:amos lle+ar de la central a las dele+aciones y *ice*ersa usando las IPs pri*adas. 9aya que se puede @acer un pin+ desde la central a 1&2.1!%.3'.= y nos responde. Para ello es imprescindi"le que el router de la central ten+a una ruta metida para lle+ar a 1&2.1!%.1'.'/24 y por supuesto cada una ruta para cada dele+acin. )ntes de meterse en el irewall @ay que ase+urar la *isi"ilidad entre los routers y poder lle+ar a sus IPs pri*adas @aciendo pin+.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

/upon+amos tam"i4n que en la central esta el ser*idor de correo que l+icamente de"e tener el puerto 26 accesi"le desde internet< y de"e ser accesi"le desde las dele+aciones para puerto 26< 11' Apop3B o 143AimapB. (a salida a internet Awe"< tp< etc..B cada uno la @ace por su lado. 9eamos una posi"le con i+uracin para este caso. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redGlocal e internet con 728 WW y dele+aciones. (as dele+aciones de"en tener acceso al correo de la 728 WW WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT ipta"les Gt nat GP PRCR;-TI5K )CCCPT ipta"les Gt nat GP P;/TR;-TI5K )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W Todo lo que *en+a por el e=terior y *aya al puerto 26 lo rediri+imos W a la maquina de la 728 ipta"les Gt nat G) PRCR;-TI5K Gi et@' R Gp tcp GGdport 26 G1 75)T GGto 1&2.1!%.3.2E26 W Todo lo que *en+a por el inter a. del routerAet@'B y *aya al 11' W siempre que sea una dele+acion se acepta y rediri1e ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.2'.'/24 Gi et@' R Gp tcp GGdport 11' G1 75)T GGto 1&2.1!%.3.2E11' ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.3'.'/24 Gi et@' R Gp tcp GGdport 11' G1 75)T GGto 1&2.1!%.3.2E11' W Todo lo que *en+a por el inter a. del routerAet@'B y *aya al 11' W siempre que sea una dele+acion se acepta y rediri1e

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.2'.'/24 Gi et@' R Gp tcp GGdport 143 G1 75)T GGto 1&2.1!%.3.2E143 ipta"les Gt nat G) PRCR;-TI5K Gs 1&2.1!%.3'.'/24 Gi et@' R Gp tcp GGdport 143 G1 75)T GGto 1&2.1!%.3.2E143 W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT W )l irewall tenemos acceso desde la red local ipta"les G) I5P-T Gs 1&2.1!%.1'.'/24 Gi et@1 G1 )CCCPT W )@ora @acemos enmascaramiento de la red local y de la 728 W para que puedan salir @aca uera W y acti*amos el HIT 7C F;R,)R7I5K Aimprescindi"leXXXXXB W Cuidado con este enmascaramiento. ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.1'.'/24 Go et@' G1 2)/3-CR)7C ipta"les Gt nat G) P;/TR;-TI5K Gs 1&2.1!%.3.'/24 Go et@' G1 2)/3-CR)7C W Con esto permitimos @acer orward de paquetes en el irewall< o sea W que otras m#quinas puedan salir a tra*es del irewall. ec@o 1 L /proc/sys/net/ip*4/ipP orward W Para que desde la red local se sal+a @acia uera @ay que C52)/C)R)R W pero que pasa con las dele+aciones tam"ien estan uera U 5; 0)U 3-C W C52)/C)R)R< de"emos meter una re+la F;R,)R7 e=plicita para que no enmascare W porque si no una peticin de la ()5 a otra dele+acion no se meteria W en el tunel. ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.2'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.2'.'/24 Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3'.'/24 Gd 1&2.1!%.1'.'/24 G1 )CCCPT W )"rimos el acceso para que se pueda aceder a la 728 desde la ()5 W a puertos de correo W Cn principio lo que *a de ()5 GL 728 se acepta ipta"les G) F;R,)R7 Gs 1&2.1!%.1'.'/24 Gd 1&2.1!%.3.'/24 G1 )CCCPT W (uedo desde la 728 a la ()5 solo se acepta 26<11'<143 ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 26 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 143 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gp tcp GGsport 143 R Gd 1&2.1!%.1'.'/24 G1 )CCCPT W Cerramos el acceso de la 728 a la ()5

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G) F;R,)R7 Gs 1&2.1!%.3.'/24 Gd 1&2.1!%.1'.'/24 G1 7R;P WW Cerramos el acceso de la 728 al propio irewall ipta"les G) I5P-T Gs 1&2.1!%.3.'/24 Gi et@2 G1 7R;P WW U a@ora cerramos los accesos indeseados del e=teriorE W 5otaE '.'.'.'/' si+ni icaE cualquier red W Cerramos el ran+o de puerto "ien conocido ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1E1'24 G1 7R;P ipta"les G) I5P-T Gs '.'.'.'/' Gp udp Gdport 1E1'24 G1 7R;P W Cerramos un puerto de +estinE we"min ipta"les G) I5P-T Gs '.'.'.'/' Gp tcp Gdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script /e @an remarcado las re+las F;R,)R7 entre IPs pri*adas de dele+aciones< ya que sin esas re+las y con el

enmascaramiento de por medio no se podr:a acceder a las dele+aciones. Ca"e resaltar que entre dele+aciones no @ay *isi"ilidad total< solamente la central *er:a a todas las dem#s< y las dele+aciones solamente la central. (a dele+aciones acceder:an al ser*idor de correo con una redireccin< o sea que ellos se con i+urar:an el ser*idor de correo como 1&2.1!%.1'.1< mientras que desde la ()5 se acceder:a directamente. /e puede @acer de distintas maneras. (o interesante ser:a poner ese irewall con 7R;P por de ecto< se tratar# de mostrar esa con i+uracin al inal. Firewall puro y duro entre redes Cn este caso ol*id4monos de redes locales y de 5)T. )qu: solo tendremos re+las de iltrado I5P-T y F;R,)R7. Pon+amos que tenemos el si+uiente escenarioE

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

esquema de irewall entre redes< en la que solo se iltra y no se @ace 5)T.

Cn el irewall de"emos indicar una serie de re+las para prote+er los equipos que est#n al otro lado de este dispositi*o< todos ellos de la red 211.34.14&.'/24 Cada uno de ellos da un ser*icio determinado< y puede estar +estionado desde distintas IPs< lo que si+ni ica que @a"r# que dar acceso a determinados puertos de +estin A22< 33%&< etc..B. Cste podr:a ser el aspecto del script del irewallE WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redes. WW indetec Iose 2aria 2olina WW www.indetec.tJ G 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ecto ipta"les GP I5P-T )CCCPT ipta"les GP ;-TP-T )CCCPT ipta"les GP F;R,)R7 )CCCPT WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W ) nuestro irewall tenemos acceso total desde la nuestra IP ipta"les G) I5P-T Gs 21'.1&6.66.16 G1 )CCCPT W Para el resto no @ay acceso al irewall ipta"les G) I5P-T Gs '.'.'.'/' G1 7R;P WW )@ora podemos ir metiendo las re+las para cada ser*idor WW Como ser#n paquetes con destino a otras m#quinas se aplica F;R,)R7 WW /er*idor ,CH 211.34.14&.2 W )cceso a puerto %' ipta"les G) F;R,)R7 Gd 211.34.14&.2 Gp tcp GGdport %' G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.2 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.2 G1 7R;P WW /er*idor 2)I( 211.34.14&.3 W )cceso a puerto 26< 11' y 143 ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 143 G1 )CCCPT W )cceso a +estion /52P ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp udp GGdport 1!& G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.3 G1 7R;P WW /er*idor IRC 211.34.14&.4 W )cceso a puertos IRC ipta"les G) F;R,)R7 Gd 211.34.14&.4 Gp tcp GGdport !!!!E!!!% G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.4 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G) F;R,)R7 Gd 211.34.14&.4 G1 7R;P WW /er*idor 5C,/ 211.34.14&.6 W )cceso a puerto news ipta"les G) F;R,)R7 Gd 211.34.14&.6 Gp tcp GGdport news G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 213.1&4.!%.116 Gd 211.34.14&.6 Gp tcp GGdport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.6 G1 7R;P WW /er*idor H2H 211.34.14&.! W )cceso a puerto 443 ipta"les G) F;R,)R7 Gd 211.34.14&.! Gp tcp GGdport 443 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs %1.34.12&.6! Gd 211.34.14&.! Gp tcp GGdport 33%& G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.! G1 7R;P WW /er*idor CITRIM 211.34.14&.$ W )cceso a puerto 14&4 ipta"les G) F;R,)R7 Gd 211.34.14&.$ Gp tcp GGdport 14&4 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 33%& G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 1434 G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp udp GGdport 1433 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.$ G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Con esta irewall y so"retodo +racias a las re+las de 7R;P que metemos tras especi icar lo que de1amos a"iertos< prote+eremos de manera e ica. todos lo puertos a"iertos de las m#quinas. Firewall con pol9tica por de ecto 5ROP )qu: lle+a la seccin para los aut4nticos administradores de pelo en pec@o. S3u4 supone el @ec@o de esta"lecer como pol:tica por de ecto la dene+acinT /e de"e e=plicitar cada cone=in permitida en los dos sentidos.

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

/e de"e conocer per ectamente qu4 de"e estar a"ierto y qu4 no. Cs muc@os m#s di :cil de mantener y si se @ace con*iene @acerlo desde el principio. 5o todo es m#s tra"a1oE tam"i4n supone un irewall muc@o m#s se+uro. Cn el e1emplo de la 728 ya se presenta"a esta situacin en las re+las orward de una a otra red. Para ilustrar el

7R;P por de ecto< *amos a mostrar la con i+uracin del e1emplo anterior de irewall entre redes pero con pol:tica por de ecto 7R;P. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para irewall entre redes con 7R;P por de ecto WW indetec Iose 2aria 2olina uentes

## www.indetec.tk jmmolinafuentes@wanadoo.es
ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF WW Csta"lecemos politica por de ectoE 7R;PXXX ipta"les GP I5P-T 7R;P ipta"les GP ;-TP-T 7R;P ipta"les GP F;R,)R7 7R;P WW Cmpe.amos a iltrar WW 5otaE et@' es el inter a. conectado al router y et@1 a la ()5 W ) nuestro irewall tenemos acceso total desde la nuestra IP ipta"les G) I5P-T Gs 21'.1&6.66.16 G1 )CCCPT ipta"les G) ;-TP-T Gd 21'.1&6.66.16 G1 )CCCPT W Para el resto no @ay acceso al irewall W Cn principio esta de m#s< pero si re"a1amos los permisos temporalmente W nos cu"re las espaldas ipta"les G) I5P-T Gs '.'.'.'/' G1 7R;P WW )@ora podemos ir metiendo las re+las para cada ser*idor WW Como ser#n paquetes con destino a otras m#quinas se aplica F;R,)R7 WW /er*idor ,CH 211.34.14&.2 W )cceso a puerto %' ipta"les G) F;R,)R7 Gd 211.34.14&.2 Gp tcp GGdport %' G1 )CCCPT

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

ipta"les G) F;R,)R7 Gs 211.34.14&.2 Gp tcp GGsport %' G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.2 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.2 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor 2)I( 211.34.14&.3 W )cceso a puerto 26< 11' y 143 ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 26 G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 11' G1 )CCCPT ipta"les G) F;R,)R7 Gd 211.34.14&.3 Gp tcp GGdport 143 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gp tcp GGsport 143 G1 )CCCPT W )cceso a +estion /52P ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp udp GGdport 1!& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gd 21'.1&6.66.16 Gp udp GGsport 1!& G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.3 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.3 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor IRC 211.34.14&.4 W )cceso a puertos IRC ipta"les G) F;R,)R7 Gd 211.34.14&.4 Gp tcp GGdport !!!!E!!!% G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.4 Gp tcp GGsport !!!!E!!!% G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 21'.1&6.66.16 Gd 211.34.14&.4 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.4 Gd 21'.1&6.66.16 Gp tcp GGsport 22 G1 )CCCPT WW /er*idor 5C,/ 211.34.14&.6 W )cceso a puerto news ipta"les G) F;R,)R7 Gd 211.34.14&.6 Gp tcp GGdport news G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.6 Gp tcp GGsport news G1 )CCCPT W )cceso a nuestra ip para +estionarlo ipta"les G) F;R,)R7 Gs 213.1&4.!%.116 Gd 211.34.14&.6 Gp tcp GGdport 22 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.6 Gd 213.1&4.!%.116 Gp tcp GGsport 22 G1 )CCCPT W Cl resto< cerrar ipta"les G) F;R,)R7 Gd 211.34.14&.6 G1 7R;P WW /er*idor H2H 211.34.14&.! W )cceso a puerto 443 ipta"les G) F;R,)R7 Gd 211.34.14&.! Gp tcp GGdport 443 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.! Gp tcp GGsport 443 G1 )CCCPT

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs %1.34.12&.6! Gd 211.34.14&.! Gp tcp GGdport 33%& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.! Gd %1.34.12&.6! Gp tcp GGsport 33%& G1 )CCCPT WW /er*idor CITRIM 211.34.14&.$ W )cceso a puerto 14&4 ipta"les G) F;R,)R7 Gd 211.34.14&.$ Gp tcp GGdport 14&4 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gp tcp GGsport 14&4 G1 )CCCPT W )cceso a una ip para +estionarlo ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 33%& G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp tcp GGsport 33%& G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp tcp GGdport 1434 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp tcp GGsport 1434 G1 )CCCPT W acceso a otro puerto qui.a de HH77 ipta"les G) F;R,)R7 Gs 1&6.66.234.2 Gd 211.34.14&.$ Gp udp GGdport 1433 G1 )CCCPT ipta"les G) F;R,)R7 Gs 211.34.14&.$ Gd 1&6.66.234.2 Gp udp GGsport 1433 G1 )CCCPT ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Ua esta< @emos le*antado un *erdadero muro entre internet y el con1unto de ser*idores que esta Tras el irewall. 5o se puede ni @acer un pin+ a las m#quinas< sal*o que se @aya dado acceso total a una ip. /i quisieramos dar acceso al pin+< pondr:amos al+o as:E Cs m#s lle*adero aplicar el 7R;P por de ecto cuando el irewall es para la propia m#quina. Cl primer escenario de esta manual trata"a so"re este caso< a@ora lo re*isamos con la pol:tica por de ecto drop. WX/"in/s@ WW /CRIPT de IPT)H(C/ G e1emplo del manual de ipta"les WW C1emplo de script para prote+er la propia m#quina WW con pol:tica por de ecto 7R;P WW indetec Iose 2aria 2olina WW www.indetec.tJ Y 1mmolina uentesZwanadoo.es ec@o Gn )plicando Re+las de Firewall... WW F(-/0 de re+las ipta"les GF ipta"les GM ipta"les G8 ipta"les Gt nat GF

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

WW Csta"lecemos politica por de ecto ipta"les GP I5P-T 7R;P ipta"les GP ;-TP-T 7R;P ipta"les GP F;R,)R7 7R;P WW Cmpe.amos a iltrar W Cl local@ost se de1a Apor e1emplo cone=iones locales a mysqlB ipta"les G) I5P-T Gi lo G1 )CCCPT ipta"les G) ;-TP-T Go lo G1 )CCCPT W ) nuestra IP le de1amos todo ipta"les G) I5P-T Gs 1&6.!6.34.234 G1 )CCCPT ipta"les G) ;-TP-T Gd 1&6.!6.34.234 G1 )CCCPT W ) un cole+a le de1amos entrar al mysql para que manten+a la HH77 ipta"les G) I5P-T Gs 231.46.134.23 Gp tcp GGdport 33'! G1 )CCCPT ipta"les G) ;-TP-T Gd 231.46.134.23 Gp tcp GGsport 33'! G1 )CCCPT W ) un dise?ador le de1amos usar el FTP ipta"les G) I5P-T Gs %'.3$.46.1&4 Gp tcp GGdport 2'E21 G1 )CCCPT ipta"les G) ;-TP-T Gd %'.3$.46.1&4 Gp tcp GGsport 2'E21 G1 )CCCPT W Cl puerto %' de www de"e estar a"ierto< es un ser*idor we". ipta"les G) I5P-T Gp tcp GGdport %' G1 )CCCPT ipta"les G) ;-TP-T Gp tcp GGsport %' G1 )CCCPT W )qu: est#n las re+las de cerrar. Como @emos comentado en la con i+uracin W anterior con*iene tener esto escrito por si en al+>n momento se rela1a el W irewall y s cam"ia a de 7R;P a )CCCPT por de ecto W Cerramos ran+o de los puertos pri*ile+iados. Cuidado con este tipo de W "arreras< antes @ay que a"rir a los que si tienen acceso. ipta"les G) I5P-T Gp tcp GGdport 1E1'24 ipta"les G) I5P-T Gp udp GGdport 1E1'24 W Cerramos otros puertos que estan a"iertos ipta"les G) I5P-T Gp tcp GGdport 33'! G1 7R;P ipta"les G) I5P-T Gp tcp GGdport 1'''' G1 7R;P ipta"les G) I5P-T Gp udp GGdport 1'''' G1 7R;P ec@o D ;V . 9eri ique que lo que se aplica conE ipta"les G( GnD W Fin del script Cmo depurar el uncionamiento del irewall

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

Programas tiles

IPTRAF. Sin duda alguna uno de los programas ms prcticos para depurar el firewall es iptables, ya que con el podemos observar si la cone iones se establecen o no! es un programa de consola que es aconsejable controlar ya que muestra en tiempo real el trfico que atraviesa nuestra mquina con todo lujo de detalles" origen#destino de ips y puertos, trfico total o trfico total seg$n el interfa% de red, etc& Si vemos muc'as cone iones simultaneas y nos perdemos, e iste la posibilidad de aplicar filtros para captar solo aquello que nos interesa. NMAP. (a 'erramienta para escanear puertos por e celencia, rec'ace imitaciones. )s una 'erramienta de consola rpida, efectiva y con multitud de opciones. *odemos usarla desde mquinas ajenas a nuestra red para comprobar si realmente el firewall esta filtrando correctamente y en cierta manera para 'acernos una idea de que +visi,n+ pueden tener los 'ackers de nuestro sistema. SHELL. )n el propio script del firewall podemos a-adir algunas opciones para descubrir fallos de sinta is en las reglas. .laro, imaginemos que tenemos un firewall de /0 lineas y una de ellas falla cuando ejecutamos el script. 1.ul es& )s probable que el mensaje de error no aclare lo suficiente, por eso se puede a-adir algo as2 al final de cada regla"
... ipta"les G) I5P-T Gs 1&6.66.234.2 G1 )CCCPT \\ ec@o D re+laG21 oJD ipta"les G) I5P-T Gs 213.!2.%&.146 G1 )CCCPT \\ ec@o D re+laG22 oJD ... /i la re+la se e1ecuta "ien mostrar# el mensa1ito de oJ. ;tra opcin al+o mas cutre ser:a ir eliminando o comentando re+las @asta dar con la re+la que tiene la sinta=is incorrecta. Ca"e rese?ar que puede allar una re+la< pero a partir de ella el resto se e1ecutan con normalidad.

4.

!ntrodu""i#n $ %$&

(a Traduccin de 7irecciones de Red< o 5)T ANetwork Address TranslationB< es un sistema que se utili.a para asi+nar una red completa Ao *arias redesB a una sola direccin IP. 5)T es necesario cuando la cantidad de direcciones

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

IP que nos @aya asi+nado nuestro pro*eedor de Internet sea in erior a la cantidad de ordenadores que queramos que accedan a Internet. 5)T nos permite apro*ec@ar los "loques de direcciones reser*adas que se descri"en en el RFC 1&1%. Keneralmente< una red interna se suele con i+urar para que use uno o m#s de estos "loques de red. Cstos "loques sonE

10.0.0.0/8 172.16.0.0/12 192.168.0.0/16

(10.0.0.0 - 10.255.255.255) (172.16.0.0 - 172.31.255.255) (192.168.0.0 - 192.168.255.255)

-n sistema -5IM< ,indows< (inu= o 2ac;/ con i+urado para 5)T tendr# como m:nimo dos adaptadoras de red< una para Internet y la otra para la red interna. 5)T se encar+ar# de traducir los requerimientos desde la red interna< de modo que pare.ca que todos pro*ienen del sistema de ori+en en el que se encuentra con i+urado 5)T. Cmo Funciona 4%T Cuando un cliente en la red interna contacta con un m#quina en Internet< en*:a paquetes IP destinados a esa m#quina. Cstos paquetes contienen toda la in ormacin de direccionamiento necesaria para que puedan ser lle*ados a su destino. 5)T se encar+a de estas pie.as de in ormacinE 7ireccin IP de ori+en Apor e1emplo< 1&2.1!%.1.36B Puerto TCP o -7P de ori+en Apor e1emplo< 2132B

Cuando los paquetes pasan a tra*4s de la pasarela de 5)T< son modi icados para que pare.ca que se @an ori+inado y pro*ienen de la misma pasarela de 5)T. (a pasarela de 5)T re+istra los cam"ios que reali.a en su ta"la de estado< para as: poderE aB in*ertir los cam"ios en los paquetes de*ueltos< y "B ase+urarse de que los paquetes de*ueltos pasen a tra*4s del corta ue+os y no sean "loqueados. Por e1emplo< podr:an ocurrir los si+uientes cam"iosE IP de ori+enE sustituida con la direccin e=terna de la pasarela Apor e1emplo< 24.6.'.6B Puerto de ori+enE sustituido con un puerto no en uso de la pasarela< esco+ido aleatoriamente Apor e1emplo< 6313!B 5i la m#quina interna ni el an itrin de Internet se dan cuenta de estos pasos de traduccin. Para la m#quina interna< el sistema 5)T es simplemente una pasarela a Internet. Para el an itrin de Internet< los paquetes parecen *enir directamente del sistema 5)TQ ni siquiera se da cuenta de que e=iste la estacin interna. Cuando el an itrin de Internet responde a los paquetes internos de la m#quina< los direcciona a la IP e=terna de la pasarela de 5)T A24.6.'.6B y a su puerto de traduccin A6313!B. (a pasarela de 5)T "usca entonces en la ta"la de estado para determinar si los paquetes de respuesta concuerdan con al+una cone=in esta"lecida. Cntonces encontrar# una >nica concordancia "asada en la com"inacin de la direccin IP y el puerto< y esto indica a PF que los paquetes pertenecen a una cone=in iniciada por la m#quina interna 1&2.1!%.1.36. )cto se+uido PF reali.a los cam"ios

Curso de Administrador de Servidores Internet / Extranet / Intranet

Seguridad en Redes TCP/IP

opuestos a los que reali. para los paquetes salientes< y reen*:a los paquetes de respuesta a la m#quina interna. (a traduccin de paquetes IC2P ocurre de orma parecida< pero sin la modi icacin del puerto de ori+en. %cti&acin de 4%T Para acti*ar 5)T en una pasarela de -ni=< (inu= o 2ac;/< adem#s de acti*ar PF< tam"i4n @ay que acti*ar el reen*:o de paquetes IP AIP forwardingBE

# sysctl -w net.inet.ip.forwardin !1 # sysctl -w net.inet6.ip6.forwardin !1 (si se usa IPv6)


Para que este cam"io sea permanente< @ay que a?adir las si+uientes l:neas al ic@ero /etc/sysctl.confE

net.inet.ip.forwardin !1 net.inet6.ip6.forwardin !1
Cstas l:neas ya e=isten en la instalacin determinada< pero como comentarios Apre i1adas con #B. 0ay que quitar el si+no # y +uardar el ic@ero. Cl reen*:o de IP se acti*ar# cuando se reinicie la m#quina. Uo di*idir:a 5)T en dos di erentes tiposE Source 4%T A/5)T< por ori+enB< y 5estination 4%T A75)T< por destinoB. Source NAT es cuando alteramos el ori+en del primer paqueteE esto es< estamos cam"iando el lu+ar de donde *iene la cone=in. Source NAT siempre se @ace despu4s del encaminamiento< 1usto antes de que el paquete sal+a por el ca"le. Cl enmascaramiento es una orma especiali.ada de /5)T. Destination NAT es cuando alteramos la direccin de destino del primer paqueteE esto es< cam"iamos la direccin a donde se diri+e la cone=in. 75)T siempre se @ace antes del encaminamiento< cuando el paquete entra por el ca"le. Cl port orwardin+ Areen*:o de puertoB< el "alanceo de car+a y el pro=y transparente son ormas de 75)T.

Curso de Administrador de Servidores Internet / Extranet / Intranet