Seguridad en Redes Locales Pgina 1 de 11

Seguridad en Redes Locales

1. Seguridad en la red .........................................................................................................................2
1.1. Seguridad perimetral o zona desmilitarizada (DMZ) .......................................................... 2
1.2. Cortafuegos o Firewall .................................................................................................................3
1.3. Enriptai!n de las omuniaiones en la red ........................................................................ 4
1.". Filtrado de p#ginas we$ ...............................................................................................................4
1.%. Cerrar puertos del router ............................................................................................................4
1.&. Cortafuegos ipta$les ..................................................................................................................... 5
1.&.1. 'a estrutura de un omando ipta$les ................................................................................... 6
1.&.2. E(emplos de uso del ortafuegos ipta$les ............................................................................... 7
1.&.3. )*+, +radui!n de Direiones de -ed ................................................................................9
2. Fuentes de informai!n. ............................................................................................................. 11
Autor: Ramn Jos Martnez Cuevas
Esta obra est bajo una licencia de Creative Commons.
Seguridad en Redes Locales Pgina 2 de 11
1. Seguridad en la red
Con la interconexin de equipos informticos en la red, la especializacin de algunos de ellos en
determinados servicios, y la conexin de estos a Internet para ofrecerlos a cualquier usuario; ha surgido la
necesidad de proteger las redes privadas ante posiles intentos de infiltracin externos e internos!
"ara proteger el trfico de la red se pueden tomar las siguientes medidas preventivas:
Dise.ar / onfigurar una zona desmilitarizada #$%&' o seguridad perimetral!
Configurai!n de un ortafuegos #puede incluir la configuracin de la $%&'
Enriptai!n de las omuniaiones en la red, por e(emplo con open))*!
Filtrado de ontenidos, restringir el acceso a determinadas pginas +e potencialmente
peligrosas!
Cerrar puertos en el router, solo dees de(ar aiertos los puertos de servidores de red que
quieres que sean accesiles desde el exterior #normalmente Internet'!
1.1. Seguridad perimetral o zona desmilitarizada (DMZ)
,na de las principales tareas preventivas en la red es el dise-o y configuracin de la seguridad
perimetral o zona desmilitarizada (DMZ), red local que se uica entre la red interna de una
organizacin y una red externa, generalmente Internet #aunque puede referirse a cualquier red externa'! .l
o(etivo de una $%& es proteger a la red local interna de ataques producidos desde el exterior!
/ormalmente en la $%& se incluye los servidores que quieres que sean accesiles desde el exterior, por
e(emplo un servidor de pginas +e de la empresa, un servidor 01" o de correo!
"osile dise-o de una $%&:
"or lo general, la pol2tica de seguridad para la $%& es la siguiente:
El tr#fio desde la red e0terna 1aia la DMZ est# autorizado #por e(emplo si tienes un servidor de
correo o de pginas +e uicado en la $%&, dees permitir que desde Internet cualquiera pueda
visitar la pgina +e de tu empresa o acceder al servidor de correo'
El tr#fio desde la red e0terna 1aia la red interna est# pro1i$ido #dees impedir que desde el
exterior o Internet alguien a(eno a tu red accede a los ordenadores de la red local y acceden a las
carpetas y archivos compartidos en la red local por e(emplo'
El tr#fio desde la red interna 1aia la DMZ est# autorizado #si no fuera as2, ser2a imposile
acceder a los servidores de red de la $%& desde la red local'
El tr#fio desde la red interna a la red e0terna est# autorizado #por e(emplo puedes acceder a
cualquier pgina +e de Internet, consultar el correo o a(arte la 3ltima versin de ,untu desde un
servidor 01"'
El tr#fio desde la DMZ 1aia la red interna est# pro1i$ido #se dee garantizar esto para impedir
que desde la red externa se pueda acceder a la red interna a trav4s de la $%&'
El tr#fio desde la DMZ 1aia la red e0terna est# denegado #en la $%& no tiene sentido por
e(emplo arir una pgina +e, ya que los ordenadores uicados en la $%& son normalmente solo
servidores'
Seguridad en Redes Locales Pgina 3 de 11
$e esta manera, la $%& posee un nivel de seguridad intermedio, el cual no es lo suficientemente
alto para almacenar datos imprescindiles de la compa-2a!
.n resumen, el o!etivo de una "M# es $ue las cone%iones desde la red interna & la e%terna 'acia
la "M# estn (ermitidas) mientras $ue las cone%iones desde la "M# slo se (ermitan 'acia la red
e%terna ** los e$ui(os +'osts, en la "M# no (ueden conectar con la red interna! .sto permite que los
equipos #hosts' de la $%& puedan dar servicios a la red externa a la vez que protegen la red interna en el
caso de que intrusos comprometan la seguridad de los equipos #host' situados en la zona desmilitarizada!
"ara cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un calle(n sin salida!
$ee oservarse que es posile instalar las $%& en forma interna para aislar la red interna con
niveles de proteccin variados y as2 evitar intrusiones internas!
,na $%& se crea a menudo a trav4s de las opciones de configuracin del cortafuegos, donde cada
red se conecta a un puerto distinto de 4ste! .sta configuracin se llama cortafuegos en tr2pode #three5
legged fire+all'! ,n planteamiento ms seguro es usar dos cortafuegos, donde la $%& se sit3a en medio
y se conecta a amos cortafuegos, uno conectado a la red interna y el otro a la red externa! .sta
configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red
externa a la interna! .ste tipo de configuracin tami4n es llamado cortafuegos de sured monitoreada
#screened5sunet fire+all'!
1.2. Cortafuegos o Firewall
,n cortafuegos o firewall es una parte de un sistema o una red que est dise-ada para loquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas! )e trata de un
dispositivo o con(unto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre
los diferentes mitos sore la ase de un con(unto de normas y otros criterios!
6os cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet, especialmente intranets! 1odos los mensa(es que
entren o salgan de la intranet pasan a trav4s del cortafuegos, que examina cada mensa(e y loquea
aquellos que no cumplen los criterios de seguridad especificados! 1ami4n es frecuente conectar al
cortafuegos a una tercera red, llamada &ona desmilitarizada o $%&, en la que se uican los servidores de
la organizacin que deen permanecer accesiles desde la red exterior! ,n cortafuegos correctamente
configurado a-ade una proteccin necesaria a la red, pero que en ning3n caso dee considerarse
suficiente! 6a seguridad informtica aarca ms mitos y ms niveles de traa(o y proteccin!
'os ortafuegos pueden estar $asados en la om$inai!n de un 1ardware / un software
espeializado, constituyendo 7ca(as8 preparadas para realizar esa funcin, como por e(emplo los -o.ia
/P, los Cisco P/0 o las ca(as de StoneSo1t! 9tros, sin emargo, estn construidos sore un sistema
operativo de propsito general, que se linda y prepara para funcionar como cortafuegos! .n el :ernel o
n3cleo de 6inux existe implementado un cortafuegos: i(tales, en ;indo+s <ista, ;indo+s = y
;indo+s >" #a partir del service "ac: ?' incluye un cortafuegos!
,n cortafuegos puede controlar el trfico de una o varias redes de ordenadores, en este caso se
denomina ortafuegos de red, estos cortafuegos suelen estar uicados en servidores de red #servidor
proxy, http, etc!!!' o en un router o encaminador!
Cuando el cortafuegos protege solamente a la propia mquina en la que se e(ecuta, se denomina
ortafuegos personal!
Seguridad en Redes Locales Pgina 2 de 11
"ara un corta1uegos de red, podemos utilizar distriuciones especializadas, que incorporan
facilidades de administracin por medio de navegador, integran (ro%&s y utilidades adicionales! "or
e(emplo: Smoot'3all +4445smoot'4all5org, o /PCo( +4445i(co(5 org,! .l proceso a seguir consiste en
descargarse la imagen I)9 de la distriucin, graar el C$ e instalarlo! ;indo+s ?@@A )erver y ?@@B
)erver pueden hacer uso del cortafuegos de red I)A )erver, que puede actuar tami4n como proxy cach4!
"ara cualquier versin de ;indo+s hay cortafuegos como Cerio ;inroute 0ire+all: 4445.erio5com
.n un corta1uegos (ersonal, traa(amos con nuestra distriucin favorita y se configura i(tales
para a-adir seguridad! )in emargo, el traa(ar directamente con iptales puede ser muy engorroso y
existen interfaces grficos que nos permiten la configuracin y el traa(o de forma ms fcil! "or
e(emplo: 6uard"og +'tt(788simonzone5com8so1t4are8guardog,) 9irestarter +'tt(7881irestarter5source1orge5net' o
9ire4all :uilder +'tt(788 44451ire4alluilder5org ,5 "ara instalar 9irestarter en ;untu7 < a(t*get install
1irestarter5
.nlaces:
Cortafuegos de ;indo+s >": Dun verdadero cortafuegosE
Cortafuegos en modo grfico para 6inux: 0irestarter
1.3. Encriptacin de las comunicaciones en la red
"or e(emplo con 9pen))*! /o siempre ser necesario aplicar encriptacin en la red, por e(emplo,
no es lo mismo una pgina +e de un anco que permita transferencias de dinero #esto conlleva ms
seguridad que deer realizarse con el protocolo https' que una pgina +e que pulicita los productos
de una empresa que no necesita tanta seguridad y asta con el protocolo http!
1.4. Filtrado de pginas web
.l servidor proxy puede hacer un filtrado de pginas +e o contenidos asndose en criterios de
restriccin estalecidos por el administrador dependiendo valores y caracter2sticas de lo que no se
permite, creando una restriccin cuando sea necesario! .sto impide que los usuarios de una red local
puedan acceder a pginas +e potencialmente peligrosas! .n 6inux est el servidor proxy )quid #filtrado
que act3a en nuestra red #a trav4s de 9elisco: FG?!FHB!F!?@@' de los ciclos de 0" de nuestros instituto, y
que afecta a nuestra clase: aula FF@' y a partir de ;indo+s ?@@@ server: I)A server
1.5. Cerrar puertos del router
.n el mismo router que da acceso a Internet dees cerrar todos los puertos innecesarios #que no
sean utilizados', por e(emplo si en tu red local dispones de un servidor +e #accesile desde Internet'
deers arir el puerto B@ del router, para que acceden a las pginas +e que sirve tu servidor +e desde
el exterior #Internet', es decir, permitir que se estalezcan conexiones de red por el puerto B@ iniciadas
desde el exterior! "or lo que los todos los puertos excepto el B@ deern permanecer cerrados! .sto
significa que, solo tendrs que arir los puertos del router de aquellos servidores de red que quieras que
sean accesile desde Internet, por e(emplo si quiero tener un servidor +e y 01" p3lico tendr4 que arir
los puertos B@ y ?F del router!
D"orqu4 entonces si tengo cerrado el puerto B@ del router, puedo navegar por InternetE! .sto es
posile ya que cerrar el puerto B@ significa que no podrn acceder a mi servidor de pginas +e #uicado
en la red del router' ya que no se podr estalecer conexiones de red por el puerto B@ desde el exterior,
pero si que se podrn estalecer conexiones de red por el puerto B@ desde mi propia red, por lo que podr4
visitar una pgina +e! .l concepto de arir o cerrar puertos del router, se refiere a que la red local a la
que est conectada el router sea accesile o no desde el exterior #Internet normalmente'!
.s muy peligroso activar la DMZ 1ost de tu router, esto significar que tienes todos los puertos
aiertos o accesiles desde Internet! .sto se realiza a veces por comodidad, por e(emplo al configurar
ciertos (uegos o aplicaciones como el e%ule #donde solo ser2a necesario arir dos puertos'!
Seguridad en Redes Locales Pgina = de 11
1.6. Cortafuegos iptables
Como se ha comentado anteriormente, la principal herramienta de cortafuegos para 6inux a partir
de los .ernels 252 #incluido el actual .ernel 25>' , es i(tales! /(tales reemplaza al anterior i(c'ains de
los .ernels de la versin 252 y a i(14adm de los .ernels 25?! 6a funcin de i(tales es la de estalecer,
mantener e inspeccionar las reglas de filtrado de paquetes I" en el n@cleo de 6inux!
Iptales decide qu4 paquete de informacin puede pasar, seg3n unos criterios que se almacenan en
unas talas! 6as talas se componen de reglas con un orden determinado, donde la 3ltima regla
introducida ser la 3ltima regla en aplicarse!
Cuando un paquete llega, se mira en qu4 tala dee aplicarse! .n esa tala se empieza por la
primera regla! )i la regla no es aplicale al paquete, se pasa a la siguiente regla! Cuando una regla es
aplicale, se e(ecuta la accin que haya sido definida en la regla #descartar el paquete, aceptarlo,
enrutarlo, etc'! .n el siguiente diu(o se que puede seguir el camino de un paquete utilizando iptales:
Cuando i(tales recie el paquete #F', se compruea si el destino final es nuestra propia mquina
o es otra, porque estemos funcionando como router8gate4a& o corta1uegos! Para los (a$uetes $ue van a
la (ro(ia m$uina +(a$uetes reciidos a travs de una inter1az de red, se a(lican las reglas de la cadena
INPUT +2, & (ara (a$uetes $ue van a otras redes o m$uinas +(a$uetes reciidos en una inter1az de red
& enviados en otra, se a(lican las reglas de la cadena FORWARD +2,5 Las reglas de de la cadena
OUTPUT +3, se a(lican cuando un (a$uete es enviado desde nuestra m$uina al e%terior +(a$uetes
enviados (or medio de la misma inter1az de red $ue recii los (a$uetes,5
.xisten 3 tipos de ta$las o listas de reglas:
filter7 la tala por defecto para el filtrado de paquetes de red!
nat: usada para alterar paquetes que crean una nueva conexin: se refiere a las conexiones que
sern modificadas por el 1ire4all7 enmascarar conexiones, realizar redirecciones de puertos, etc!!!
mangle: es parecido a nat, pero tiene la posiilidad de modificar ms valores del paquete!
INPUT, OUTPUT / FORWARD son los tres tipos de reglas de filtrado o adenas de la ta$la
filter! *ntes de apliar esas reglas es posi$le apliar reglas de las ta$las nat / mangle.
Los 3 tipos de reglas o cadenas para la tabla nat son las sigientes! PR"ROUTIN# +antes del
encaminamiento,7 altera (a$uetes reciidos (or medio de una inter1az de red cuando llegan) antes de tomar la
decisin de enrutamiento5 An el caso de PRARB;C/-6 (odremos modi1icar los datos destino de la cone%in
seg@n nos interese & antes de tomar la decisin de enrutamiento5 Ds (odremos desviar (a$uetes $ue va&an
destinados al 'ost local 'acia otro 'ost & viceversa5 Slo tiene sentido en el inter1az de entrada5 PO$TROUTIN#
+des(us del encaminamiento,7 altera (a$uetes antes de $ue sean enviados (or medio de una inter1az de red5
Cuando utilizamos la cadena PBSCRB;C/-6 (odremos modi1icar los (a$uetes !usto antes de devolverlos a la
red5 Podremos modi1icar los datos de origen) (or$ue el destino &a se 'a decidido en una de las cadenas (revias
9BR3DR" o B;CP;C de la tala 1ilter5 OUTPUT7 altera (a$uetes generados localmente antes de $ue sean
dirigidos (or medio de una inter1az de red5
Seguridad en Redes Locales Pgina > de 11
1.6.1. La estructura de un comando iptables
iptables %t EtalaF %Eo(cionesF EreglaF EcriterioF %& EaccinF
)ignificado de cada elemento :
%t EtalaF .sta parte del comando especifica cul es la tala en la que aplicamos la regla! #1ilter) nat y
mangle,, siendo 1ilter la tala por defecto si se omite esta parte del comando!
*Eo(cionesF 6as opciones sicas del comando son las siguientes:
A para a-adir #D((end ' una regla!
L es para listar #List' las reglas de la tala!
F es para orrar #0lush' todas las reglas de la tala o en el caso de que I/",1, 09I;AI$ o
9,1",1 sean dados como argumento, se orrarn las reglas asociadas a esa cadena!
P estalece la pol2tica #Polic&' por defecto del 1ire4all! "or defecto es aceptar todas las conexiones!
' EcadenaF Juita los contadores de ytes de la cadena especificado! Juita todos los contadores de
ytes si no se especifica ninguna cadena!
N cadena Crea una nueva cadena especificada por el usuario!
> cadena .limina la cadena especificada definida por el usuario!
EreglaF Ieglas o cadenas vlidas son I/",1, 09I;AI$ y 9,1",1 para la tala 1ilter
EcriterioF Aqu2 es donde se especificarn las caracter2sticas del paquete que casarn con esta regla!
Algunos e(emplos son:
%s : direccin de origen #source'! "uede ser una direccin I" o una red! *s 1G251>H515?822
%d : direccin de destino! *d H25=>5I353
%p : tipo de protocolo #1C", ,$", IC%"'! *( CCP
%%sport : puerto de origen
%%dport : puerto de destino **d(ort 23
%i J in*inter1ace 7 el interfaz por el que se entra #se usa con reglas I/",1 y 09I;AI$' *i et'?
%o J out*inter1ace7 el interfaz por el que se sale #se usa con reglas 09I;AI$ y 9,1",1' *o (((?
%& EaccinF Aqu2 estalecemos qu4 es lo que hay que hacer con el paquete7
A(("PT7 aceptar el paquete!
R")"(T o DROP7 desechar el paquete! 6a diferencia entre ellos reside en que "RBP
descartar el paquete silenciosamente y RAJACC emitir un paquete /CMP, indicando que est
cerrado el puerto!
R"DIR"(T 7 redirigir el paquete a donde se indique en el criterio del comando!
LO# 7 archiva el paquete para su posterior anlisis!
*ay dos maneras de implementar un 1ire4all, seg3n la pol2tica por defecto que especifiquemos:
1.Poltica (or de1ecto DCAPCDR7 )e aceptan por defecto todos los paquetes! )lo se denegar lo que se
diga expl2citamente! .l equivalente ser2a la pol2tica de acceso a un ingo: pueden entrar todas las
personas, excepto aquellas cuyo $/I aparezca en la lista de acceso prohiido!
2.Poltica (or de1ecto "A-A6DR7 1odo est denegado, y slo se permitir pasar por el 1ire4all aquello
que se permita expl2citamente! .l equivalente ser2a el acceso a la cmara de ca(as de seguridad de un
anco! .l acceso est prohiido a todo el mundo y se hailita una lista de personas autorizadas a entrar!
"ara un cortafuegos, se recomienda aplicar esta pol2tica por defecto!
Seguridad en Redes Locales Pgina I de 11
1.6.2. Ejemplos de uso del cortafuegos iptables
2ara 3er las reglas de filtrado de la ta$la filter,
// la tabla por defecto es la tabla filter
ramon@AMD:~$ sudo iptables -nL
Chain INPUT (policy ACCEPT)
ar!" pro op sourc" d"sinaion
Chain #$%&A%D (policy ACCEPT)
ar!" pro op sourc" d"sinaion
Chain $UTPUT (policy ACCEPT)
ar!" pro op sourc" d"sinaion
2ara 3er las reglas de filtrado de la ta$la nat,
ramon@AMD:~$ sudo iptables t nat -nL
Chain P%E%$UTIN' (policy ACCEPT)
ar!" pro op sourc" d"sinaion
Chain $UTPUT (policy ACCEPT)
ar!" pro op sourc" d"sinaion
Chain P$(T%$UTIN' (policy ACCEPT)
ar!" pro op sourc" d"sinaion
- egla 4ue aepta one0iones al puerto del ser3iio *** (normalmente 56) de nuestro e4uipo,
# iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT
6lamada al comando con los argumentos siguientes:
%A Append, opcin para a-adir la regla
INPUT aplicale a los paquetes que entran a nuestra mquina
%i et+, por el interfaz de red eth@
%s ,-,-,-,., direccin de origen del paquete! .n este caso, cualquier direccin!
%p T(P tipo de protocolo! .n este caso 1C"!
%%dport *** puerto de destino! )e especifica 444, que en 8etc8services es el puerto n3mero B@!
%& A(("PT qu4 accin se realiza sore el paquete! )e acepta!
7 tro e(emplo,
8 iptables %A INPUT %p tcp %i et+, %m state %%state N"W,"$TA/LI$0"D %%dport 11 %& A(("PT
2 iptables %A INPUT %p all %i et+, %m state %%state N"W,IN3ALID %& DROP
6a primera regla de(a pasar los paquetes con destino a nuestra mquina #I/",1', por protocolo
tc(, que entren por el interfaz et'? con destino al puerto ??! 6a opcin *m state indica que tiene que
cargar el mdulo de inspeccin de estado! .s decir, va a escudri-ar el interior del paquete, no slo su
filtrado: esto se conoce como inspei!n de estado! Ahora ya es aplicale la opcin **state -A3)
ASCD:L/SKA", que indica que pueden pasar los paquetes que aren una nueva conexin #-A3' o
pertenecen a una conexin ya estalecida #ASCD:L/SKA"'!
6a segunda regla descarta #dro(' todas las conexiones entrantes #/-P;C' de todos los protocolos
#*( all', que intenten arir una nueva conexin #/.;' o no pertenezcan a una conexin ya estalecida
#/-LDL/"' desde la interfaz et'?!
9uardar informai!n de ipta$les
6as reglas creadas con el comando i(tales son almacenadas en memoria! )i el sistema es
reiniciado despu4s de configurar la reglas de i(tales) se perdern! "ara que las reglas de filtrado de red
persistan despu4s de un reinicio del sistema, estas necesitan ser guardadas! "ara hacerlo escria:
< iptables%sa4e
"ara saer ms: M man i(tales M man i(tales*save
"ara evitar perder las reglas tami4n se pueden e(ecutar cada vez que arranque la mquina
mediante un script, por e(emplo en ,untu desde el fichero .etc.rc-local
'impiar las reglas de filtrado / )*+ del ortafuegos ipta$les
2 iptables %%fls+ (similar a => ipa)l"s *#)
2 iptables %t nat %%fls+ (similar a => ipa)l"s * na *#)
Seguridad en Redes Locales Pgina H de 11
2roteger la propia m#4uina ,
*ay una mquina 6inux conectada a internet con un servidor de pginas +e accedido desde el
exterior y se dee proteger el equipo con su propio fire+all! "ara conseguir esto, se crear un script de
shell en el que se van aplicando las reglas!
+,-)in-sh
# Ojo con el orden de las reglas!
## Borrado de las reglas aplicadas actualmente => FLU!
ipa)l"s *# -- )orrar odas las r"!las d" la a)la .il"r
ipa)l"s */ -- in"nar0 )orrar odas las cad"nas no incorporadas "n la a)la
ipa)l"s *1 -- Pon"r a c"ro los conador"s d" pa2u""s y )y"s "n odas las cad"nas
ipa)l"s * na *# -- )orrar odas las r"!las d" la a)la na
## "stablecer pol#tica por defecto de aceptar
ipa)l"s *P INPUT ACCEPT --ac"par odos los pa2u""s 2u" ll"!an a nu"sro ord"nador
ipa)l"s *P $UTPUT ACCEPT --ac"par odos los pa2u""s 2u" sal"n d" nu"sro ord"nador
+ ac"par odos los pa2u""s 2u" ll"!an a nu"sro PC por una in"r.a3 r"d y son "n4iados por ora disina
ipa)l"s *P #$%&A%D ACCEPT
ipa)l"s * na *P P%E%$UTIN' ACCEPT -- ac"par odos los pa2u""s an"s d" s"r "nruados
ipa)l"s * na *P P$(T%$UTIN' ACCEPT -- ac"par odos los pa2u""s d"spu5s d" s"r "nruados
## "mpe$ar a filtrar
+ Ac"par odos "l r0.ico 2u" ll"!a d"sd" la in"r.a3 loop)ac6 (pru")a "n )ucl")
ipa)l"s *A INPUT *i lo *7 ACCEPT
+ Ac"par odos los pa2u""s 2u" ll"!an d"sd" la IP "sp"ci.icada
ipa)l"s 8A INPUT 8s 9:;<=;<>?<@>? 87 ACCEPT
+ A un col"!a l" d"7amos "nrar al mys2l para 2u" man"n!a la AADD
ipa)l"s 8A INPUT 8s @>9<?;<9>?<@> 8p cp 8*dpor >>B= 87 ACCEPT
+ A un dis"Cador l" d"7amos usar "l #TP
ipa)l"s 8A INPUT 8s DB<>E<?;<9:? 8p cp 8dpor @B:@9 87 ACCEPT
# %ceptar el tr&fico entrante dirigido al ser'idor (eb
ipa)l"s *A INPUT *p cp **dpor DB *7 ACCEPT
# )errar el rango de los puertos pri'ilegiados* )uidado con este tipo de
# barreras+ antes ,a- .ue abrir a los .ue si tienen acceso*
ipa)l"s *A INPUT *p cp **dpor 9:9B@? *7 D%$P
ipa)l"s *A INPUT *p udp **dpor 9:9B@? *7 D%$P
# )erramos otros puertos .ue estan abiertos
ipa)l"s *A INPUT *p cp **dpor >>B= *7 D%$P
ipa)l"s *A INPUT *p cp **dpor 9BBBB *7 D%$P
ipa)l"s *A INPUT *p udp **dpor 9BBBB *7 D%$P
"cho F$G < H"ri.i2u" 2u" lo 2u" s" aplica con: ipa)l"s *I *nF
+ #in d"l scrip
Si se 4uiere re1azar todo el tr#fio 4ue pro3iene de la interfaz et11,
.sta regla se suele aplicar al final del todo, cuando las reglas de permitir han sido aplicadas antes!
# /odos los pa.uetes de la red local .ue se dirigen a la red por et,0
# .ue no ,a-an sido aceptados antes son rec,a$ados
ipa)l"s *A #$%&A%D *i "h9 *s B<B<B<B-B *7 D%$P
ipa)l"s *A INPUT *i "h9 *s B<B<B<B-B *7 D%$P
Seguridad en Redes Locales Pgina G de 11
1.6.3. NAT: Traduccin de Direcciones de Red
NAT + N et4or. A ddress T ranslation,7 Craduccin de "ireccin de Red, es un mecanismo utilizado
por routers I" para intercamiar paquetes entre dos redes que se asignan mutuamente direcciones
incompatiles! Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes
transportados! 1ami4n es necesario editar los paquetes para permitir la operacin de protocolos que
incluyen informacin de direcciones dentro de la conversacin del protocolo!
+ipos de )*+ ,
$NAT + $ ource N at,7 altera el origen del primer paquete, es decir, camia el lugar de donde viene
la conexin! Source -DC siempre se hace despu4s del encaminamiento, (usto antes de que el
paquete salga por el cale! .l enmascaramiento IP es una forma especializada de S-DC!
DNAT + D estination N at,7 altera la direccin de destino del primer paquete, es decir, camia la
direccin a donde se dirige la conexin! "-DC siempre se hace antes del encaminamiento, cuando
el paquete entra por el cale! .l (ort 1or4arding +reenvo de (uerto,) el alanceo de carga & el
(ro%& trans(arente son formas de "-DC!
DNAT local! se aplica a paquetes que se env2an desde el propio ordenador y no provienen del
exterior #funciona de manera similar a $/A1'
Uso de $NAT! 6o ms com3n, es que una red local de ordenadores para navegar por Internet con una
3nica direccin I" p3lica, disponga de un router que utilice S-DC! Cuando desde un "C de la red local
se quiere acceder a Internet, el paquete de datos se enviar al servidor Linu% +router, ya que es la (uerta
de enlace! .l so1t4are S-DC del servidor camiar en el paquete de datos la direccin I" de origen del "C
de la red local por la direccin I" p3lica del servidor y lanzar el paquete de datos hacia Internet! .n una
tala interna almacenar el puerto de salida del paquete (unto con la I" del "C de la red local con la
finalidad de que cuando llegue la respuesta desde Internet, realizar el proceso inverso y poder redirigirlo
hacia el "C que lanz la peticin!
)i nuestro servidor Linu%, dispone adems de servidor "KCP5 6as configuracin de las
direcciones I", la puerta de enlace y los servidores "-S, podr ser estalecida automticamente por el
servidor $*C"!
Seguridad en Redes Locales Pgina 1? de 11
(omo acti4ar el enmascaramiento IP en n roter Lin5 con iptables!
.l propsito del Anmascaramiento /P #/P Mas$uerading' es permitir que mquinas con
direcciones I" privadas no enrutales de una red accedan a Internet a trav4s de la mquina que realiza el
enmascaramiento +ti(o de S-DC,! .l trfico que sale de su red privada es, por consiguiente,
KenmascaradoL dando la sensacin de que se ha originado en la mquina ,untu que hace de (uerta de
enlace +gate4a&,5
.sto se puede conseguir con una sola regla de i(tales, que puede variar ligeramente en funcin
de la configuracin de su red:
M iptables %t nat %A PO$TROUTIN# %s 1G251>H5?5?81> %o (((? %& 6A$7U"RAD"
6a orden anterior supone que su espacio de direcciones privadas es 1G251>H5?5?81> y que el
dispositivo que conecta con Internet es (((? #interfaz del mdem del tel4fono'! 6a sintaxis se
descompone de la siguiente forma:
%t nat la regla es para ir a la tala nat
%A PO$TROUTIN# a-adir #5A' la regla "9)1I9,1I/N #despu4s de encaminar'
%s 891-8:;-,-,.8: la regla se aplica al trfico originado desde la direccin espec2fica
%o ppp, la regla se aplica al trfico programado para ser enrutado a trav4s del dispositivo de red
especificado
%& 6A$7U"RAD" el trfico que se a(uste a esta regla KsaltarL #K(umpL, 5(' al destino
MDSN;ARD"A para ser manipulado como se descrii anteriormente #enmascaramiento /P'
Cada regla o cadena en la tala de 1iltrado #la tala predeterminada, y donde ocurren la mayor2a
de los filtrados de paquetes' tiene una pol2tica predeterminada de ACC."1, pero si est creando un
1ire4all adems de un dispositivo de pasarela, deer2a estalecer las pol2ticas a $I9" o I.O.C1, en
cuyo caso necesitar hailitar su trfico enmascarado a trav4s de la cadena 09I;AI$ para que la regla
anterior funcione:
2 iptables %A FORWARD %s 1G251>H5?5?81> %o (((? %& A(("PT
2 iptables %A FORWARD %d 1G251>H5?5?81> %m state %%state "$TA/LI$0"D,R"LAT"D %i (((? %& A(("PT
6as rdenes anteriores permitirn todas las conexiones que vayan de su red local a Internet, as2
como el retorno a la mquina que las inici de todo el trfico relacionado con esas conexiones!
:mportante: /o olvide que para que las reglas de filtrado de red persistan despu4s de un reinicio del
sistema, estas necesitan ser guardadas! "ara hacerlo escria: < iptables%sa4e
Uso de DNAT! *asta ahora hemos visto como act3a el soft+are de )/A1 para permitir que un "C de una
red privada pueda acceder a Internet y reciir respuestas! .l mecanismo que utiliza )/A1 para las
asociaciones entre I" p3lica y I" privada es una tala #tala de /A1' en la que guarda una entrada por
cada conexin! Cuando un host de la red local inicia una conexin hacia el exterior, el soft+are de )/A1
asigna una entrada en la tala, para que a partir de ahora, todo lo que llegue perteneciente a esa conexin
sepa traducirlo hacia la I" privada que inici la conexin!
"ero Dqu4 pasa si la conexin se inicia desde el exteriorE "or e(emplo, si montamos en nuestra red
local un servidor +e, lo que queremos es que se puedan iniciar conexiones hacia 4l! "ara poder hacer
esto se utiliza $/A1 #$estination5/A1'!
Cuando iniciamos una conexin desde la red local, se creaa automticamente una entrada en la
tala de /A1 para que todo lo que perteneciera a esa conexin fuera dirigido hacia el "C correspondiente!
"ero si la conexin se inicia desde fuera Dcomo y cuando se crea esa entrada en la tala de /A1E 6a
respuesta es que si queremos permitir conexiones desde el exterior a un "C de nuestra red local, hemos de
a-adir una entrada fi(a en la tala de /A1, indicando que todo el trfico que llegue y vaya a determinado
puerto, sea dirigido al "C en cuestin! .l puerto es el 3nico elemento que tenemos para 7distinguir8
conexiones, ya que todo llegar a la I" del router, pero tendrn un puerto de destino seg3n sea una
conexin u otra! As2 que, en nuestro e(emplo, deer2amos crear una entrada fi(a en la tala de /A1 en la
que indicramos que lo que llegue al puerto B@ #+e' sea dirigido al "C en el que corre el servidor +e!
Seguridad en Redes Locales Pgina 11 de 11
.sto es lo que se conoce haitualmente como 7a$rir puertos8 en el router! Al arir puertos,
simplemente estamos a-adiendo una entrada a la tala de /A1 del router para que sepa hacer la
traduccin y sepa a qu4 "C enviar los paquetes! Pa que desde el exterior, aunque nuestra red tenga varios
"Cs, se ver como si slo fuera uno #solo se conoce la I" del router, 4ste lo traduce todo' y necesitamos
que 4ste router al que le llega todo el trfico sepa a qui4n ha de entregrselo!
.(emplo: si se desea arir el puerto B@ de nuestra mquina para que sea accesile desde Internet el
servidor de pginas +e Apache, hay que a-adir la siguiente regla de iptales:
+ Todo lo 2u" 4"n!a por "l "J"rior y 4aya al pu"ro DB lo r"diri!imos a una ma2uina in"rna
iptables -t nat -% 12"2OU/345 -i et,6 -p tcp --dport 76 -j 84%/ --to 09:*0;7*06*0:<76
Una alternati4a a $ NAT! podr2a ser instalar en el servidor un (ro%& como s<id, de esa forma las pginas
accedidas por los clientes ser2an cacheadas en el servidor con lo cual se acelerar2a la conexin a Internet,
especialmente cuando son muchos los clientes que acceden a los mismos sitios! ,n proxy facilita tami4n
el control de la conexin impidi4ndola o restringi4ndola a medida de nuestras necesidades! .l
inconveniente de compartir una conexin a Internet con un proxy es que traa(a a nivel de aplicacin y
por tanto del protocolo de cada aplicacin #*11", 01", )%1", etc!!!'! .sto oliga a configurar las
aplicaciones #navegador, clientes de correo, clientes ftp, etc!!!' para que utilicen el proxy, cosa que no es
necesario hacer cuando se dispone de un router ya que el router -DC traa(a a nivel de red 1C"QI" y es
totalmente transparente a las aplicaciones! .n un (ro%& s$uid se puede corregir esto, configurndolo como
un (ro%& trans(arente!
2. Fuentes de informacin.
'i$ro: 7Seguridad en sistemas o(erativos 3indo4s & Linu%8! .ditorial Iama! Autor: Oulio Nmez!
Enlaes:
)eguridad informtica en la +i:ipedia!
$%& en la +i:ipedia
Cortafuegos en la +i:ipedia
So1t4are Lire & Aducacin7 servicios de red) gestores de contenidos & seguridad Redes CCP8/P 5
Oos4 Angel Rernal, 0ernando Nordillo, *ugo )antander y "aco <illegas! 0echa:FS de ferero de
?@@S
D&uda de ;untu I51?7 6ua del servidor ;untu
Curso7Servidores con 6-;8L/-;0 en un Centro educativo5 A!)aor2n
6ua de administracin de red de "eian 5 6-;8Linu% 5 Oorge Ouan Chico
T((chicoUimse!cnm!esV "aulino IuizWdeWClavi(o <zquez TpaulinoUimse!cnm!esV ! <ersin @!X
#A (ulio ?@@?'
http:QQ+++!adslayuda!comQNenerico5nat!html
http:QQlinux!die!netQmanQBQiptales