SAD04 Contenidos

23/2/2015
SAD04_Contenidos
Instalacinyconfiguracindecortafuegos.
Casoprctico
Despusdehabilitarlosserviciosdeaccesoremotoalared,Juanseestobsesionandoconlosposiblesintentosdeaccesoala
redporpartedeusuariossinautorizacin.
Estsseguradequenadiemsquenosotrospuedeaccederalared?
S,peroparaqueestsmstranquilovamosainstalarunfirewallquenosprotejaanms.
Peronotenamosunoparacadaequipo?
S,peromerefieroaunoquecontroletodaslasconexionesqueentrenysalgandenuestrared.
Hayquepagarms?
No,necesariamente,teloexplicar
MaralehablaraJuandelanecesidaddeuncortafuegosydelasdiferentesposibilidadesquehayensuinstalacin.
http://www3.gobiernodecanarias.org/medusa/eforma/campus/pluginfile.php/41224/mod_resource/content/0/SAD04/SAD04_Web/index.html
1/20
23/2/2015
SAD04_Contenidos
Utilizacindecortafuegos.
Casoprctico
Quesloquevaafiltrarelcortafuegos?Ammedejarconectarmeno?
Elcortafuegosfiltrartodoloqueseleespecifiquequefiltre.
Nadiepodrentoncesdaarlared.
Bueno,lascomunicacionesquenopasenporlnosepuedencontrolar.Peropodrsestarmstranquiloyrelajadoporquelared
serprcticamenteinvulnerable.
MaraleestdejandoclaroaJuanparaquseutilizauncortafuegos.
Ladefinicindecortafuegosdice:
Veredaanchaquesedejaenlossembradosymontesparaquenosepropaguenlosincendios.
Puestoqueunodelosmayoresdaosparaloscamposlopuedecausarelfuego,esunamedidaparaprotegeraloscamposdelpeligro.
Si se extrapola esta definicin a un sistema informtico, un cortafuegos en informtica es una medida para evitar daos en un sistema
informtico,aislndolodelospeligros.
Unfirewallocortafuegosesunmecanismoencargadodeprotegerunaredseguradeotraquenoloes,siguiendounapolticadeseguridad
establecida.
Losobjetivosprincipalesdeuncortafuegosson:
Filtrareltrficoqueentraysaledelaredcorporativa.
Permitirsolamenteeltrficodefinidoporlapolticadeseguridad.
El firewall solamente sirve como defensa perimetral de las redes, no puede combatir los ataques de un usuario que ya est dentro de la red que se quiere proteger o de
conexionesquenopasenporl.
Enelsiguientevdeopuedesverenquconsisteuncortafuegos.
Resumentextualalternativo
Autoevaluacin
UnusuariodelaredinternacorporativasedisponeaenviarunarchivopeligrosohaciaInternetElfirewallimpedirquelopuedahacer?
No,imposible.
SloimpedirporqueelfirewallfiltratodoeltrficoqueprovienedeInternet.
S,porqueunfirewallescapazdedetectartodoloqueocurreenlaredinterna.
No,porqueuncortafuegosnoanalizasielcontenidoespeligroso.
S.Filtraeltrficoentraysaledelaredanalizandoelorigenyeldestino.
2/20
23/2/2015
SAD04_Contenidos
Filtradodepaquetesdedatos.
Casoprctico
Cmoconsiguefiltrarelcortafuegoslasconexiones?
Todoselodebealformatodelospaquetesdedatos,delamismamaneraqueterescapazdeextraerdatosdeunacarta
delcorreo,elcortafuegosanalizalosdatosqueviajanenlospaquetesdedatosytomadecisiones.
Cmouncartero?
Noexactamenteperobueno,teloexplicar.
MaraexplicaraJuanenquconsisteelfiltradodedatosdeuncortafuegos,enlneasgenerales.
El trfico a travs de una red viaja en forma de paquetes de datos, cada paquete tiene la informacin suficiente como para que los
dispositivos que forman parte de la red, sean capaces de encontrar la mejor ruta para ellos, conociendo de donde vienen y a donde
quierenllegar.
Al igual que un filtro de caf tiene la capacidad de separar el grano molido y caf lquido, un filtro de paquetes es un software que
analizalapartedelospaquetesquetieneinformacinsobreelorigen,eldestino,yeltipodeprotocoloutilizadoporcadapaquete.
Enbaseaesteanlisis,elfirewallpuedeadoptartresposturasrespectoalpasodelpaqueteporelfiltro:
Aceptar.
Rechazar.
Denegar.
Siseacepta,elpaquetepasarporelsoftwaredefiltrosinproblemas.Siporelcontrario,elpaqueteserechazaosedeniega,nosercapazdeatravesarelfiltro.Ladiferencia
entrerechazarydenegarestenquecuandounpaqueteserechaza,seinformaalemisordelrechazoysisedenieganoseemiteningnmensajeinformativo.
Enelsiguientevdeopuedesaprendermscosassobreelfirewallyotroscomponentesdelared.
3/20
23/2/2015
SAD04_Contenidos
Tiposdecortafuegos.
Casoprctico
Estclaroquelovamosainstalar,ahoradebemoselegirlaclasedecortafuegosquequeremos.
Elmsbarato!
Primeroteexplicarlostiposydespushablamossobreeldinero.
Juan no sabe todava que una de las claves en seguridad es escoger cada medida de acuerdo a las necesidades. Mara le
harverlostiposdecortafuegosentrelosquepodrescoger.
Losprincipiosdediseodeloscortafuegostienencomoobjetivosacumplirque:
EltrficodelaredinternaquesalgaaInternetdebepasarporelfirewall.
Solamenteeltrficopermitidoenlapolticadeseguridaddebesercapazdeatravesarelcortafuegos.
Elcontroldeaccesossehacemedianteelcontroldeservicios,direccionesyusuarios.
Loscortafuegosdiseadosparacumplirconestosobjetivossepuedenclasificarsegnlatecnologautilizadaenlossiguientes:
Defiltradodepaquetes.
Deniveldeaplicacin.
Hbridos.
Deinspeccindeestado.
Losfirewalldefiltradodepaquetesactanenelnivel3delaarquitecturaOSIysebasanenfiltrarlospaquetessegnsusencabezados(IP
origen y destino), un router bsico es un ejemplo de firewall de este tipo. Los cortafuegos de nivel de aplicacin se ayudan de un
proxy
para gestionar el trfico y los hbridos utilizan las dos tecnologas, proxy para el establecimiento y filtro de paquetes en la transferencia de
datos.
Los cortafuegos con inspeccin de estado comprueban las direcciones origen y destino, los puertos, el protocolo utilizado, el estado de la
conexinylacantidaddetrfico.
Sisetomacomocriterioelreadeinfluencia,loscortafuegossepuedenclasificaren:
Personales(paraPC).
Depequeasoficinas(
Corporativos.
SOHO).
LosfirewallpersonalessonlosincluidosporlosPCensussistemasoperativosenformadesoftware,estetipodecortafuegoscontrolaeltrficoqueentraysaledelequipo.
En pequeas redes locales se utilizan productos denominados SOHO, entre ellos, se utilizan cortafuegos que incorporan herramientas adicionales como antivirus, filtrado IP,
filtradodecontenidosweb,odeteccindeintrusos.
Los cortafuegos corporativos son los encargados de controlar las conexiones de la red de una organizacin, por lo que deben soportar miles de conexiones. Su potencia y
capacidaddeprocesodebensermayoresquelasdelasinstalacionespersonalesodepequeasoficinas.
4/20
23/2/2015
SAD04_Contenidos
Caractersticas.
Lostiposdefirewallsepuedenclasificardeacuerdoasutecnologaysureadeinfluenciaendiferentesgrupos,peroenresumensepuededecirquetodosellossepodran
dividiren:
Firewalldeniveldered.
Firewalldeniveldeaplicacin.
Lascaractersticasprincipalesdeuncortafuegosdenivelderedson:
TrabajacondireccionesIPorigenydestinoqueextraedelacabeceradelatramaIP.
Identificalospuertosorigenydestinoincluidosenlacomunicacin.
EscapazdeanalizarlacabeceraIPanivel3enlosprotocolosTCP,UDPeICMP.
Reconocesielpaqueteesdeiniciodeunapeticindeconexinono.
Lascaractersticasprincipalesdeuncortafuegosdeniveldeaplicacinson:
EscapazdeinspeccionardatosqueutilizanlosprotocolosFTP,HTTPySMTP,comolatransferenciadeficheros,laspginasweboloscorreos electrnicos.
Ejecutasoftwaredeservidorproxy.
Unfirewalldenivelderedesmenosseguroqueunodeniveldeaplicacinperotienelacualidaddesermstransparentealusuario,esmsfcildeutilizar.
5/20
23/2/2015
SAD04_Contenidos
Funcionesprincipales.
LatareaprincipaldeunfirewallescontrolareltrficodedatosentrelaredlocaleInternet.Elcontrolsobreeltrficopermitedecidirqutipodetrficosepermiteosedeniega
deacuerdoalapolticadeseguridadexistente.Parallevaracaboestecontroldebesercapazderealizarlassiguientesfunciones:
Establecerunaproteccinbasadaennormas,bloqueaeltrficonodeseadoporlapolticadeseguridad.
Filtrareltrficodeentradaatravsdesistemasmsconfiables.
Establecermecanismosdeautenticacinmsfuertes.
Ocultarinformacinsobrelaredquesequiereproteger.
Crearregistros
LOGdeinformacin.
En la imagen se puede ver el aspecto que tendra un archivo de tipo LOG de un cortafuegos. Como se puede esperar podemos ver direcciones IP y palabras como deny
(denegar),elarchivoLOGrecogeregistrostalescomoconexionesrechazadasalsistema.
Autoevaluacin
UnarchivodetipoLOG:
ProtegelaDMZdeataquesexteriores.
Segenerasolamentecuandohahabidointentosdeconexindainos.
Ensnoprotegedenada,debeiracompaadodeunantivirus.
Noesunelementoqueprotejaperosiproporcionainformacinmuyvaliosaparalaseguridad.
S,elarchivologreflejalasincidenciasquehahabidoypuedeayudarasubsanarloserroresfuturos.
6/20
23/2/2015
SAD04_Contenidos
Instalacindecortafuegos.
Casoprctico
Juan,deberamosreordenarunpocolasituacindenuestrosequipos.
Porqu?
Porquedebemosescogerelsitioadecuadoparainstalarelfirewall.
Puescercadelservidorno?
No,siempre.
La situacin de un firewall es determinante para poder establecer unas reglas de seguridad que garanticen la mxima fiabilidad del
sistema.Unainstalacindefirewallpuedetenervariasalternativas.
Lainstalacindeuncortafuegosesdeterminanteenlaseguridaddelared,paraquetengaxitosedebe:
Tenertodalainformacinposiblesobrelaredquesequiereproteger.
Tenerclaroslosobjetivosplanteadosporlapolticadeseguridad.
Conocerelsitiodondesealojarnlosserviciosaccesiblesdesdeelexterior.
La informacin sobre la red nos debe aportar los requisitos necesarios de hardware, software y de perfil de usuario. Adems es imprescindible conocer en que sitio se
establecernlosserviciosaccesiblesdesdeelexterior(generalmenteserndeltiposervidorweb,correooftp).Estosserviciossesuelencolocarfueradelaredinternaydetrs
delfirewall,peropuedehabervariasvariantes.
Con toda la informacin anterior, se analizar la viabilidad de la poltica de seguridad que se pretende seguir. Tras este anlisis se determinar el tipo de firewall, modo de
instalacinyubicacindelmismo.
Para los cortafuegos software la instalacin en la mayor parte de los casos es intuitiva, no as la configuracin. Algunos sistemas operativos como Linux ofrecen la
funcionalidaddecortafuegosconherramientascomo
iptables,peroenlamayoradeloscasosexistesoftwaredescargableconinterfazgrficoyunentornomsamigable
paralaconfiguracin,ejemplosdeestosltimossonlossiguientes:
Firestarter
JeticoPersonalFirewall
PCToolsFirewall
ZorpGPL
Turtle
LutelWall
Autoevaluacin
Unfirewall:
SolamenteesnecesarioenWindows.
PuedeserunordenadorconsistemaoperativoLinux.
EstdiseadoparasistemasLinux,sonlosnicosconestapropiedad.
Seconfiguraconiptables.
UnsistemaoperativoLinuxconfiguradoadecuadamentepuedeserunfirewallparaelsistema.
7/20
23/2/2015
SAD04_Contenidos
Ubicacin.
El mecanismo de filtrado del trfico, debe intercalarse fsicamente entre la red a proteger y el resto de los dispositivos. Las distintas opciones de ubicacin de un firewall
respectoalospermetrosinterioryexterior,hacequeseanposiblesdiferentesarquitecturas:
DualHomedHost.
ScreenedHost.
ScreenedSubnet.
EnladisposicinDualHomedHost,elfirewall(HostBastin)seinterponeentrelaredexteriorylaredinterior,deformaquetodaslasconexionesdebenpasarporelmismo.
Elfirewallactadeproxyentrelaredinternaylaredexterna.
EnlacombinacinScreenedHost(tambinseladenomina
queseencargadefiltrarlospaquetes(routerochoke).
Chokegate),seutilizaunequipoqueseencargadehacerlasfuncionesdeproxy(HostBastin)yotroequipo
LatopologaScreenedSubnet,utilizaademsunazonaDMZoredintermedia.
Enestasituacin,seutilizandosrouters,unointerioryotroexterior.Elexteriorfiltraeltrficoentrelaredinternaylaredexterna.Elinteriorfiltraeltrficoentrelaredinternay
la DMZ. La utilizacin de esta tcnica descarga de responsabilidades al Host Bastin, puesto que si un atacante se salta su seguridad tendr todava que atravesar la red
internaosemeterenlaDMZqueesdeaccesopblico.
8/20
23/2/2015
SAD04_Contenidos
Reglasdefiltradodecortafuegos.
Casoprctico
Bueno,hepensadoqueunabuenaopcinesuncortafuegosbasadoenLinux.
Tendremosquecambiarelsistemaoperativodetodoslosequipos?
No,voyaconfigurarunequipocomofirewallyusarelsistemaLinux,esgratis.
Meparecemuybuenaidea.
Al escoger esta opcin es necesario configurar el cortafuegos estableciendo reglas en muchos casos mediante lnea de comandos.
Veamoscmosonesasreglas.
Uncortafuegosesunconjuntodereglasdefiltradoqueactansobreeltrficodepaquetesqueloatraviesan,modificandoonosutrayectoriaenbasealresultadodeaplicar
dichasreglassobrelosdatosincluidosenlacabeceradelosmismos.Estasreglassepuedenimplementarenhardwareoensoftware.
Elfiltradodeunpaqueteatravsdeunfirewallestsujetobsicamenteatrestiposdereglas:
Deentrada(INPUT).
Desalida(OUTPUT).
Dereenvo(FORWARD).
Como se puede adivinar, las reglas INPUT filtran paquetes que llegan al firewall, las reglas OUTPUT filtran los paquetes que salen de nuestro dispositivo y las reglas
FORWARDlospaquetesquevandirigidosaotrodispositivo.
Alentraralfirewall,elpaqueteexperimentaunfiltradoquenospermitemodificardatoscomoladireccindedestinooelpuerto.
Unavezqueelpaquetepasaelprefiltro(PREROUTING),selepreguntasivadirigidoalpropioequipo(pasaraalasreglasINPUT)oporelcontrariovadirigidoaotramquina
(reglas FORWARD). Las reglas de salida (POSTROUTING) pueden cambiar los datos del origen, y hacer que el paquete salga con datos relativos a su direccin de origen
diferentes.
SielpaquetepasaporlasreglasINPUTsedirigehacaelprocesoquelosolicitysiesteloquiereenviarhaciaelexterior,loenviarhacialasreglasOUTPUT.
Autoevaluacin
Qutiposdeprotocolossoncapacesdefiltrarlosfirewall?
SolamenteTCPeIP.
TCP,IP,UDP,PPTP,ICMP.
nicamentelosdelacapadetransportecomoTCP,UDP.
SolamenteIP,UDPeICMP.
S.Cualquierprotocoloutilizadoenunaconexinentrelaredinternaylaexterna.
9/20
23/2/2015
SAD04_Contenidos
Sintaxisdelasreglas.
La sintaxis de las reglas de filtrado es til cuando se utilizan cortafuegos configurables por medio de rdenes, por ejemplo, cuando se utiliza iptables en Linux. Una regla de
iptablespuedetenerelsiguienteaspecto:
iptablesAINPUTieth0s0.0.0.0/0pTCPdportwwwjACCEPT
Donde:
iptableseselcomandoutilizadoparaejecutariptables.
Aeselmodificadorutilizadoparaaadirunaregla.
INPUTseutilizaparaespecificarqueelpaqueteesdeentrada.
ieselmodificadorqueeligelainterfazderedsobrelaqueseacta.Enestecasoeth0.
sseutilizaparapoderescogerladireccindeacceso,enelejemploseracualquierdireccin.
pespecificaeltipodepuerto.EnelejemploTCP.
dportseutilizaparareferirsealpuertodedestino.
jACCEPindicaqueelpaqueteseacepta.
Elresumendelaordensera:Aceptarlospaquetesqueentrenporlainterfazeth0concualquierdireccindeorigenquesedirijanhaciaelpuertowww(80).
Entrelasopcionesdeiptablesseencuentran:
iptablesF:Eliminarlasreglasenejecucin.
iptablesL:Listarlasreglasactuales.
iptablesA:Aadirunaregla.
iptablesD:Borrarunaregla.
Cuandosequiereconfiguraruncortafuegosmediantereglas,secomienzaestableciendoreglaspordefectorestrictivasymuybsicas,
paradespusirdepurndolasms.
ParaestablecerlasreglaspordefectoseutilizaelmodificadorP:
Conestastresrdenessedeniegapordefectocualquierpaquetedeentradaosalida,ascomopaquetesredirigidos.
iptablesPINPUTDROP
iptablesPOUTPUTDROP
iptablesPFORWARDDROP
Parasaberms
Enelsiguienteenlacepodrsaprendermscosassobreiptablesyademsverunejemplodecortafuegosimplementadoconestasreglas.
iptables.
Autoevaluacin
Quesloquehacelasiguientelneadecomandos?
root@linuxtomas#iptablesAINPUTptcpdportXXXXjDROP
Paraespecificarlainterfazdonderealizamoslaspruebasdefuncionamiento.
Nopermitimosqueelpuertoespecificadodeotramquinarecibapaquetesconelprotocoloespecificadodesdenuestramquina.
Nopermitimospaquetesquetengandichopuertocomodestinodesdenuestramquinaalexterior.
Cerramoselaccesoalpuertoespecificadodenuestramquina.
S.UtilizandolosmodificadoresINPUT,portparaelpuertoyDROP.
10/20
23/2/2015
SAD04_Contenidos
Pruebasdefuncionamiento.
Casoprctico
Yaestfuncionando.
Cmosepuedeversifunciona?
Puesintentandoconectarconlaredutilizandopuertosqueenteoraheblindado.
Cmo?
Existenvariasherramientas.
Para poder probar el funcionamiento del firewall Mara utilizar varias herramientas que permiten comprobar el estado de
puertosyserviciosenunsistemaobjetivo.
El funcionamiento de un firewall se puede probar de manera sencilla, comprobando que puertos o servicios estn habilitados. Para ello existen herramientas conocidas y en
muchoscasosincluidasenlospropiossistemasoperativoscomoping,yotrasunpocomscomplejasentrelasquesepuedenencontrar:
netstat
nmap
hping2
Laherramientanetstatvieneincluidaenalgunossistemasoperativosytienevariosmodificadoresdecomandoqueayudanaanalizar
mejorlainformacin.
Enlaimagensehaempleadolaordennetstatconelmodificadorb,conestoseconsigueverelejecutableasociadoalpuertoqueest
abierto(
Skypeenestecaso).
Parasaberms
Enelsiguienteenlacepodrsaprendermscosassobrenetstatylosdiferentesmodificadoresquepuedeemplear.
netstat
Laherramientanmappermiterastrearpuertosabiertos,ascomoserviciosqueseestnejecutandoenesemomento.
Enlaimagensepuedeverelresultadodeejecutarlaordennmapconelmodificadoropensobreelpropioequipo.Lapantallamuestrael
nmerodepuerto,elprotocoloyelserviciodelospuertosabiertosenesemomento.
Parasaberms
Enelsiguienteenlacepodrsaprendermscosassobrenmap.
nmap
11/20
23/2/2015
SAD04_Contenidos
Sondeo.
El sondeo de un firewall va dirigido a testear el estado de los puertos (cerrado, abierto o filtrado). Una herramienta disponible para poder hacerlo es hping. Esta herramienta
puedeutilizarprotocoloscomoTCPenlugardeICMPparaenviarpaquetesyestudiarlasrespuestas.
Sepuedeenviarunpaquetealpuerto21deundeterminadodestinoparaversiestelservidorFTPactivado:
root@linuxtomas:/home/tomas#hping2c5Sp21t3www.infoalisal.com
Donde:
c:Indicaelnmerodepaquetesqueseenviarncontraelpuerto(5enestecaso).
S:Indicaeltipodesealqueactivar,enestecasoconSYNindicalaintencindeiniciarunanuevaconexin.
p:Especificaelnmerodepuertodedestino(enlaordenanterior21).
t:Indicaelvalorde
TTL.
Enlaimagensevelarespuestaemitidadespusdeejecutarhping.
De esta respuesta se puede extraer que el puerto est activo puesto que hay respuesta, y adems ha sido exitosa la comunicacin tal y como indica la variable
(SA=
SYN+
ACK),sielvalorfueraRA,elpuertoestaracerrado(
RST+ACK).Sielpuertoestuvierafiltrado,noserecibiranada.
flags
EstasflagsestnenlascabecerasdelospaquetesTCP,sonvariablesde1bitquepuedenestaractivados(1)odesactivados(0).
LosvaloresposiblessonSYN,AKC,RST,
PSH,
URG,
FIN.
Conhpingsepuedevariarelnmerodepuertosobreelqueselanzanlospaquetes,elvalordelasflagsyobservar,ademsdesiestactivoono,lavariablelenoTTL.Si
estasvariablestienendiferentesvaloresparadistintospuertos,sepuedendeducirconclusionescomo:
Unpuertopuedeestarprotegidoporunfirewall.
Unpuertopuedeestarredirigidoaunhostinternodelaredodeotrared.
Parapoderprobarlospuertosquefiltraunfirewallseutilizanlosflagsenlospaquetesqueseenvan,dependiendodeltipodesondeoquesequierahacer:
S:parasabersiunpuertoestabierto,todaslasconexionesdebencomenzarconSYN.
A:paraindicarsielequipoestdisponible,seenvaenelpaqueteACK.
F:paradeducirsielpuertoestcerrado,usandoelpaqueteFINyanalizandolarespuestasepuedededucirsielpuertoestcerrado(respuesta RST/ACK) o
estabierto(nohayrespuesta).
12/20
23/2/2015
SAD04_Contenidos
Registrosdesucesosdeuncortafuegos.
Casoprctico
Ysiemprequequeramosversifuncionadebemosutilizaresasherramientas?
Noesnecesario,sepuedehacerquetodoslosincidentesqueseproduzcansereflejenenunarchivo.
Comosifueraundiariodelfirewall?
Efectivamente.
Se pueden configurar los firewall para que graben en un fichero todas las incidencias que creamos conveniente reflejar como
consecuenciadelosfiltradoshechosporelcortafuegos.Aesosarchivosselesdenominalogs.
Los registros de sucesos graban en un fichero todas las entradas y salidas del cortafuegos. Dependiendo del tipo de cortafuegos, el archivo donde se guardan este tipo de
sucesospuedevariardenombreyubicacin.EndistribucionesLinux,cuandoseutilizaiptables,elregistroseoriginaintroduciendoenlasreglasdefiltradoelmodificador:
jlog
Ademsdeestemodificadorsepuedeemplearlogprefixparapoderinterpretarmejorlosregistrosdellog.
sudoiptablesAINPUTmstatestateNEWptcpdport80jLOGlogprefix"NEW_HTTP_CONN:"
Conlaordenanteriorunapeticinalpuerto80desdelamquinalocalgenerarunregistroendmesgconelsiguienteaspecto:
[4304885.870000]NEW_HTTP_CONN:IN=loOUT=MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00src=127.0.0.1DST=127.0.0.1LEN=60TOS=0x00
PREC=0x00TTL=64ID=58288DFPROTO=TCPSPT=53981DPT=80WINDOW=32767RES=0x00SYNURGP=0
El registro anterior tambin aparecer en /var/log/messages, /var/log/syslog y /var/log/kern.log. Este comportamiento se puede cambiar editando apropiadamente el archivo
/etc/syslog.conf, o instalando y configurando ulogd y utilizando el objetivo ULOG en lugar del LOG. El demonio ulogd es un servidor en espacio de usuario, que escucha las
instruccionesderegistroqueprovienendelncleoyqueseanespecficamenteparafirewalls,ypuederegistrarcualquierarchivoquedesee.
Enelarchivosyslog.conf,aadiendounalneadecdigocomo:
kern.warning/var/log/iptables.log
Se consigue que todos los mensajes del kernel con un nivel superior o igual al de un mensaje tipo warning, se graben en el fichero
iptables.log
Enestaimagensevecomoconlaprimerareglaseestaceptandosolamentealaip192.168.10.10,siescualquierotraip,segrabael
eventoconelmensaje'INTENTODEACCESOASSH'en/var/log/iptables.log.AntesdeintentarunaconexinSSHelficheroiptables
estvaco(resultadodecatiptables.log)ydespusdehacerunintentodeconexinapareceelmensajedelintentodeaccesofallido.
13/20
23/2/2015
SAD04_Contenidos
Cortafuegosintegradosenlossistemasoperativos.
Casoprctico
Mara,hoyhevistounfolletodepublicidadenelquesevendaunordenadorconantivirusyfirewall.
Qufirewall?
Nos,ponaquevenaincluido.Porqunuestrosistemaoperativonolotiene?
Stieneunointegradoperonoessuficienteparapodercontrolartodalared.
Algunossistemasoperativosllevanunfirewallintegradoyotrosincorporanunfirewallpreinstalado,ajenoalsistemaoperativo,
sondoscosasdiferentes.
Enlaactualidadlamayora,pornodecirtodoslossistemasoperativosincluyenunfirewallconelsoftwarebsico.
Ejemplosdecortafuegosintegradosensistemasoperativosson:
IptablesenLinux.
IpfirewallenFreeBSD.
MacOSxfirewallensistemasAppleMacintosh.
FirewalldeWindowsenMicrosoftWindows.
Autoevaluacin
Ladiferenciaentreuncortafuegosintegradoyunoinstaladoenelsistemaoperativoesque...
Nohaydiferencia.
Elintegradopuedevalerparatodaslasdemsplataformasyelinstaladosolamenteesvlidoparaelsistemaenelqueestinstalado.
Noexisteelconceptodecortafuegosintegrado.
Elintegradoespartedelsistemaoperativo.
S,muybien,mientrasqueelinstaladoesunaaplicacinqueseinstalasobreelsistemaoperativo.
14/20
23/2/2015
SAD04_Contenidos
Cortafuegoslibresypropietarios.
Casoprctico
PorqupodemosutilizarelcortafuegosdeLinuxynonecesitamoslicencia?
Puesporqueessoftwarelibre.
Gratis?
No,libre,queesdistinto.
Una de las ventajas del software libre es que se puede modificar y no tiene porqu ser gratis, los cortafuegos tambin se
beneficiandeesto.
Ladiferenciaentresoftwarelibreysoftwarepropietarioestenlalibertaddelosusuariosparautilizar,copiar,distribuirymodificarelsoftwarelibre,mientrasqueenelcasodel
softwarepropietarioestasaccionesestnsujetasadiferenteslneasdepermisos,establecidosmediantelicencias.Porotraparte,cualquieradelosdostiposdesoftwarepuede
sergratisono.
Elsoftwarelibrenotienequeserobligatoriamentegratuito.
Elsoftwarepropietariopuedesergratuito.
Uncortafuegoslibretienecomoventajasobreuncortafuegospropietario,laposibilidaddecrearreglasdefiltradoamedidadelsistemaquesequiereproteger.
Los cortafuegos propietarios por el contrario estn predefinidos y no admiten cambios significativos en su configuracin. Por otra parte tienen la ventaja de que su manejo e
interfazsuelesermuchomsamigablequeladeuncortafuegoslibrecomoiptables.
15/20
23/2/2015
SAD04_Contenidos
Distribucioneslibresparaimplementarcortafuegosenmquinasdedicadas.
Casoprctico
Puedehaberequiposconfiguradosconsoftwarelibrequetengancomonicafuncinladesercortafuegos?
S,Juan.Sellamanmquinasdedicadas.
Las mquinas dedicadas basadas en Linux se utilizan para poder implementar cortafuegos, estas mquinas solamente se
utilizanparaestafuncin.
MaravaaensearaJuanalgnsoftwareutilizadoparaestepropsito.
Una de las soluciones que se pueden adoptar en cuanto a la seguridad de un sistema es utilizar una mquina con la funcin especfica firewall, una mquina dedicada. Las
distribucionesdesoftwarelibremsusadasen
mquinasdedicadassonlasbasadasensistemasUnix/Linux,entreotras:
IPCop.
SmoothWall.
Zentyal.
ClearOS.
UnasolucinfirewallenunamquinadedicadasepuedeimplementarinclusoarrancandolamquinadesdeunCD.Unavezarrancadalamquinasepuedenquitartodoslos
perifricos,inclusoelmonitorycontrolarelfirewallaccediendoaldesdeotramquina,comoenelcasodeIPCop,porejemplo,escribiendoladireccinhttps://ipcop:445enel
navegador.
Parasaberms
EnelsiguienteenlacepodrsconocermscosassobreIPCop.
IPCop
Autoevaluacin
SienmiequipodetrabajotengoconfiguradouncortafuegosLinuxintegrado...
Estoyutilizandouncortafuegoslibreenunamquinadedicada.
Miequipodetrabajoesunamquinadedicada.
Elcortafuegosnopuedeserlibre.
Elcortafuegospuedeseriptables.
S,iptablesesuncortafuegosintegradoenLinux.
16/20
23/2/2015
SAD04_Contenidos
Cortafuegoshardware.
Casoprctico
Nohayalgndispositivoquesepongaalaentradadelaredyhagadecortafuegossinnecesidaddeconfigurarlo?
Dispositivos,perohayqueconfigurarloigualmentesiqueremosquetengaunbuenrendimiento.
Peroesunfirewallono?
S,sellamancortafuegoshardware.
La diferencia entre cortafuegos hardware o software es bsicamente la manera en la que se accede a su configuracin, y la
aparienciaexterna.Lasreglasdefiltradoylaadministracinsonmuysimilares.
La mayora de los cortafuegos utilizados son soluciones software que adems vienen integradas en paquetes que ofrecen otras funcionalidades, (antivirus, antispam,
antitroyanos),perotambinexisteninstalacionesqueporsutamaooporsusrequerimientosfuncionales,utilizancortafuegosimplementadosenhardware.
Uncortafuegoshardwareesundispositivoinstaladoenunaredparahacerlasfuncionesdefirewall,paraaccederalseutilizarnlosmismosmecanismosqueparaaccedera
cualquier otro dispositivo (a travs de su direccin de red). La apariencia de estos dispositivos es similar a otros utilizados en las redes, con conexiones para poder
administrarlos(Aux,Console)yconexionesparadarservicioalared(Ethernet).
La configuracin de un cortafuegos hardware no difiere de la de uno software, depende ms del fabricante que de si est implementado en hardware o software. La nica
diferenciaestenelmododeacceso,(aunfirewallporhardwareseaccedeatravsdeunaconexinenreddesdeotroequipo).
Enelsiguientevdeopuedesvercomosehaceunaconfiguracindeunfirewallporhardware.
Autoevaluacin
Unrouterquehacedecortafuegos:
Esuncortafuegoshardware.
Esuncortafuegoshardwareconsoftwarerouter.
Esunrouterconfiguradocomofirewall.
Noesposible,nopuededesempearlasdosfunciones.
S.Muchosrouterstienensoftwarequepermitenqueelenrutadoractecomounfirewall,filtrandodirecciones.
17/20
23/2/2015
SAD04_Contenidos
Anexo.ArchivodeLicencias.
LicenciasderecursosutilizadosenlaUnidaddeTrabajo.
Recurso(1)
Datosdelrecurso(1)
Recurso(2)
Datosdelrecurso(2)
Autora:CsarGarc
aPont
Autora:MrVJTop
Licencia:CCby
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/cgpont/406129534/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/mrvjtod/406327788/sizes/m/in/p
Autora:RicardoRicoteRodriguez
Autora:puuikibeach
Licencia:CCby
Licencia:CCby
Procedencia:
http://www.flickr.com/photos/ricote/4515613985/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/puuikibeach/5721942294/sizes/m
Autora:holycalamity
Autora:ToniBirrer
Licencia:CCbysa
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/toyochin/2193158110/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/tonibirrer/93654864/sizes/m/in/p
Autora:Tophost
Autora:zolierdos
Licencia:CCbysa
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/tophost/2246966480/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/zoliblog/2362195212/sizes/m/in/
Autora:Jemimus
Autora:ClonedMilkmen
Licencia:CCby
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/jemimus/4464232067/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/clonedmilkmen/4356147087/size
Autora:CristianBorghello
Licencia:Copyright(cita)
Procedencia:http://www.seguinfo.com.ar/firewall/dualhomed.htm
Procedencia:http://www.seguinfo.com.ar/firewall/screened.h
Procedencia:http://www.seguinfo.com.ar/firewall/screenedsubnet.htm
Autora:TomsFernndezEscudero
Licencia:Usoeducativoynocomercial
Autora:LudovicHirlimann
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/lhirlimann/5502046309/sizes/m/i
Autora:Salichamidjitch
Licencia:CCbysa
Procedencia:CapturadepantallahechaconLinuxUbuntu
Procedencia:
http://www.flickr.com/photos/salichamidjitch/390506483/sizes
Procedencia: Captura de pantalla hecha con el intrprete de comandos de

WindowsXPpropiedaddeMicrosoft.
Procedencia: Captura de pantalla hecha con el intrprete de

Ubuntu
Autora:Spree2010
Licencia:CCby

LinuxUbuntu
Procedencia:
http://www.flickr.com/photos/spree2010/4960433593/sizes/m
Autora:Wiros
Licencia:CCbysa

LinuxUbuntu
Procedencia:
http://www.flickr.com/photos/wiros/2238189745/sizes/m/in/ph
Autora:JavierAroche
Autora:JHogg9144
Licencia:CCby
Licencia:CCbysa
Procedencia:
http://www.flickr.com/photos/j_aroche/709468580/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/softballer9144/405315385/sizes/
Autora:Sentinel
Autora:Alistairmcmillan
18/20
23/2/2015
SAD04_Contenidos
Licencia:CCbysa
Licencia:CCbysa
Procedencia:
http://es.wikipedia.org/wiki/Archivo:Mapa_conceptual_del_software_libre.svg
Procedencia:
http://www.flickr.com/photos/alistairmcmillan/2171303438/siz
Autora:zigazou76
Licencia:CCby
Procedencia:
http://www.flickr.com/photos/zigazou76/3622235298/sizes/m/in/photostream/
Procedencia:http://www.ipcop.org/2.0.0/en/admin/html/home
Autora:PeteProdoehl
Autora:ChrisDag
Licencia:CCby
Licencia:CCby
Procedencia:
http://www.flickr.com/photos/raster/5625273307/sizes/m/in/photostream/
Procedencia:
http://www.flickr.com/photos/chrisdag/5212583486/sizes/m/in
19/20
23/2/2015
SAD04_Contenidos
20/20

SAD04 Contenidos

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SAD04 Contenidos

Transféré par

Droits d'auteur :

Formats disponibles

23/2/2015

Procedencia: Captura de pantalla hecha con el intrprete de comandos de

Procedencia: Captura de pantalla hecha con el intrprete de

Procedencia: Captura de pantalla hecha con el intrprete de comandos de

Procedencia: Captura de pantalla hecha con el intrprete de comandos de

Vous aimerez peut-être aussi