PDF de programación - Firewalls - Proxys - AntiSpam

Firewalls –– Proxys
Firewalls

Proxys -- AntiSpam
AntiSpam

Filtro de información
Filtro de información

José Juan Cerpa Ortega
José Juan Cerpa Ortega

11

Firewalls
Firewalls

Dispositivo hardware o software
Dispositivo hardware o software
Filtra tráfico TCP/UDP/IP/ICMP…
Filtra tráfico TCP/UDP/IP/ICMP…
Protege una red de otra expuesta
Protege una red de otra expuesta
Inútil si el sistema donde se instala es
Inútil si el sistema donde se instala es
vulnerable
vulnerable
Necesario desactivar servicios innecesarios
Necesario desactivar servicios innecesarios
Se suele ubicar en el nivel más exterior
Se suele ubicar en el nivel más exterior

22

Firewalls
Firewalls

Los

Firewalls NO proporcionan seguridad
NO proporcionan seguridad

Los Firewalls
absoluta. Son un mecanismo más, y
absoluta. Son un mecanismo más, y
deben combinarse con otras medias de
deben combinarse con otras medias de
seguridad, tanto en redes como en
seguridad, tanto en redes como en
sistemas operativos, para hacer el sistema
sistemas operativos, para hacer el sistema
lo más seguro posible.
lo más seguro posible.
La única seguridad absoluta es aislar la
La única seguridad absoluta es aislar la
máquina.
máquina.

33

Firewalls
Firewalls

Un Un firewall

Los

firewall no detecta…
no detecta…
Ataques internos
Ataques internos
Formas de ataques desconocidas
Formas de ataques desconocidas
VirusVirus
Los firewalls
Filtros : bloquear selectivamente los paquetes
Filtros : bloquear selectivamente los paquetes
Nodos bastion
Nodos
seguros expuestos directamente a internet
internet..
seguros expuestos directamente a

firewalls se construyen a partir de…
se construyen a partir de…

bastion : Ordenadores altamente
: Ordenadores altamente

44

Firewalls
Firewalls

¿Cómo crear una política de seguridad?
¿Cómo crear una política de seguridad?
Describa para que es el servicio
Describa para que es el servicio
Describa el grupo de personas a las que va dirigido el
Describa el grupo de personas a las que va dirigido el
servicio
servicio
Describa a que servicio necesita acceder cada grupo
Describa a que servicio necesita acceder cada grupo
Describa para cada grupo de servicio como se puede
Describa para cada grupo de servicio como se puede
mantener seguro el servicio
mantener seguro el servicio
Redacte un informe en el que se considere violación
Redacte un informe en el que se considere violación
cualquier otro tipo de acceso
cualquier otro tipo de acceso

55

Firewalls
Firewalls

firewall ACEPTAR
ACEPTAR

Política por defecto ACEPTAR
Política por defecto ACEPTAR
Todo lo que venga de la red local al firewall
Todo lo que venga de la red local al
Todo lo que venga al puerto TCP 80 ACEPTAR
Todo lo que venga al puerto TCP 80 ACEPTAR
Todo lo que venga al puerto TCP 25 ACEPTAR
Todo lo que venga al puerto TCP 25 ACEPTAR
Todo lo que venga al puerto TCP 110 ACEPTAR
Todo lo que venga al puerto TCP 110 ACEPTAR
Todo lo que venga al puerto UDP 53 ACEPTAR
Todo lo que venga al puerto UDP 53 ACEPTAR
Todo lo que venga de la red local al exterior
Todo lo que venga de la red local al exterior
ENMASCARAR
ENMASCARAR
Todo lo que venga del puerto TCP 1 al 1024 DENEGAR
Todo lo que venga del puerto TCP 1 al 1024 DENEGAR
Todo lo que venga del puerto UDP 1 al 1024 DENEGAR
Todo lo que venga del puerto UDP 1 al 1024 DENEGAR

66

Firewalls
Firewalls

Hay 2 formas de implementar un firewall
firewall
Hay 2 formas de implementar un
Aceptar todo por defecto. Fácil de
Aceptar todo por defecto. Fácil de
implementar pero “peligrosa”.
implementar pero “peligrosa”.
Denegar todo por defecto. El firewall
Denegar todo por defecto. El
muro aunque más difícil de configurar.
muro aunque más difícil de configurar.
IMPORTANTE : El orden en que se
IMPORTANTE : El orden en que se
introducen las reglas es fundamental ya
introducen las reglas es fundamental ya
que las reglas se chequean por orden.
que las reglas se chequean por orden.

firewall es un
es un

77

Firewalls
Firewalls

Ipchains

son los firewalls
firewalls

Iptables son los

Ipchains e e Iptables
implementados en los núcleos de los sistemas
implementados en los núcleos de los sistemas
Linux..
Linux
Ipchains está en desuso y la que se implementa
está en desuso y la que se implementa
en versiones desde la 2.4 como un servicio es
en versiones desde la 2.4 como un servicio es
iptables..
iptables
Ejecutando iptables
linea de comandos
de comandos
introducimos reglas que indicarán acciones a
introducimos reglas que indicarán acciones a
tomar ante recepción de paquetes
tomar ante recepción de paquetes

Ipchains

Ejecutando

iptables en la

en la linea

88

Firewalls
Firewalls

Tres tipos de reglas:
Tres tipos de reglas:
Filtrado : INPUT, OUTPUT, FORWARD
Filtrado : INPUT, OUTPUT, FORWARD
Redirección : PREROUTING, POSTROUTING
Redirección : PREROUTING, POSTROUTING
Modificación de paquetes : MANGLE
Modificación de paquetes : MANGLE
Opciones para las reglas
Opciones para las reglas
--A A aaññadir una regla
adir una regla
-- I I inserta en una posici
inserta en una posicióón determinada
n determinada
--R R reemplazar en una posici
reemplazar en una posicióón determinada
n determinada
--D D eliminar una regla determinada
eliminar una regla determinada
Acciones
Acciones
Reject Aceptar
Aceptar
Reject
DropDrop Denegar
Denegar

99

Firewalls
Firewalls

Filtrado de paquetes
Filtrado de paquetes
Nº regla
Nº regla
Dirección
Dirección
Tipo : TCP/UDP…
Tipo : TCP/UDP…
IP Fuente
IP Fuente
Puerto Fuente
Puerto Fuente
IP Destino
IP Destino
Puerto Destino
Puerto Destino
Acción
Acción

1010

Firewalls
Firewalls

Netstat

Netstat ––an : Ver los servicios activos en
an : Ver los servicios activos en
el sistema para empezar a planificar el
el sistema para empezar a planificar el
firewall. También se puede usar nmap.
firewall. También se puede usar nmap.
Iptables ––L L ––n : verificar las reglas
n : verificar las reglas
aplicadas.
aplicadas.
IPtraf : programa práctico para chequear
: programa práctico para chequear
el el firewall
atraviesa la máquina.
atraviesa la máquina.

firewall mostrando el tráfico que
mostrando el tráfico que

Iptables

IPtraf

1111

Firewalls
Firewalls

1212

Firewalls
Firewalls

#!/#!/binbin//shsh
#Flush
iptables
iptables

#Flush de reglas
de reglas
iptables ––FF
iptables ––t t natnat ––FF

politica porpor defecto
defecto

##politica
iptables
iptables
iptables
iptables
iptables

iptables ––P INPUT ACCEPT
P INPUT ACCEPT
P OUTPUT ACCEPT
iptables ––P OUTPUT ACCEPT
iptables ––P FORWARD ACCEPT
P FORWARD ACCEPT
P PREROUTING ACCEPT
iptables ––t t natnat ––P PREROUTING ACCEPT
iptables ––t t natnat ––P POSTROUTING ACCEPT
P POSTROUTING ACCEPT

1313

Firewalls
Firewalls
por ejemplo para usar radmin
radmin

a una ipip por ejemplo para usar
A PREROUTING ––s 1.2.3.4
j DNAT ––to 192.168.0.5:4899
to 192.168.0.5:4899
localhost lo dejamos como esta
lo dejamos como esta

#Redirigir a una
#Redirigir
iptables ––t t natnat ––A PREROUTING
iptables
––dport
dport 4899
#El#El localhost
//Sbin/iptables
#A#A nuestra

nuestra ipip le permitimos todo eth0 va al

A INPUT ––i i ––lo lo ––j ACCEPT
j ACCEPT
le permitimos todo eth0 va al router

Sbin/iptables ––A INPUT

4899 ––j DNAT

s 1.2.3.4 ––i eth0

router y y

i eth0 ––p p tcptcp

eth1 a la LANLAN
eth1 a la
iptables ––A INPUT
#Filtrar el acceso a la red con FORWARD
el acceso a la red con FORWARD

A INPUT ––s 192.168.0.0/24

s 192.168.0.0/24 ––i eth1

i eth1 ––j ACCEPT
j ACCEPT

1414

Aceptamos accesos

iptables
#Filtrar
##Aceptamos
iptables ––A FORWARD
iptables
dport 80 80 ––j ACCEPT
––dport
j ACCEPT
iptables ––A FORWARD
iptables
––dport
dport 443
443 ––j ACCEPT
j ACCEPT

accesos a la web
a la web

A FORWARD ––s 192.168.0.0/24

s 192.168.0.0/24 ––i eth1

i eth1 ––p p tcptcp

A FORWARD ––s 192.168.0.0/24

s 192.168.0.0/24 ––i eth1

i eth1 ––p p tcptcp

Firewalls
Firewalls

s 0.0.0.0/0 ––p p tcptcp ––dport
s 0.0.0.0/0 ––p p tcptcp ––dport

dport 25 25 ––j ACCEPT
j ACCEPT
110 ––j ACCEPT
dport 110
j ACCEPT

s 1.2.3.4 ––p p tcptcp ––dport
A INPUT ––s 1.2.3.4
consultas al DNS
al DNS
A FORWARD ––s 192.168.0.0/24

s 192.168.0.0/24 ––i eth1

dport 1723

1723 ––j ACCEPT
j ACCEPT

i eth1 ––p p tcptcp ––dport

dport 53 53 ––j j

red privada

#Abrir el Puerto SMPT y POP3
el Puerto SMPT y POP3
iptables ––A INPUT
A INPUT ––s 0.0