Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
Cortafuegos con software libre. Diez años de PF
Master oficial en Software Libre
Miguel Vidal
http://gsyc.urjc.es/~mvidal
Twitter: @mvidallopez
17 de noviembre de 2011
1 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
c 2011 Miguel Vidal
This work is licensed under
a Creative Commons Attribution 3.0 License
http://creativecommons.org/licenses/by/3.0
2 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Cortafuegos y filtrado de paquetes TCP/IP
3 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Tabla de contenidos
1 Cortafuegos y filtrado de paquetes TCP/IP
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
2 Diez años de Packet Filter (PF)
¿Qué es PF?
Antes de PF
Origen y adopción de PF
Funcionalidades de PF
3 Conjuntos de reglas con PF
Conjuntos de reglas (rulesets)
4 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
¿Qué es un cortafuegos?
Un equipo protegido y fiable que funciona como punto de
regulación entre un grupo de redes (normalmente una red
privada y una red pública).
Todo el tráfico de red entre las redes involucradas se
encamina a través del cortafuegos.
En grandes corporaciones incluso puede haber cortafuegos
dentro de la red corporativa para aislar las zonas importantes
de la organización.
Crear cortafuegos es un arte: exige comprender muy bien la
tecnología de red subyacente, pero también la filosofía de
diseño de cortafuegos.
5 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
¿Qué es un cortafuegos?
Firewall (FW): término usado para referirse a cosas muy
dispares en los últimos años.
Se llama igual al FW casero que ponen en tu línea ADSL o al
que le cuesta miles de dólares a una empresa.
¿Qué diferencias hay?
Funcionalidades que ofrece.
Hardware en el que corre.
Robustez y fiabilidad de su software.
6 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
¿Qué es un cortafuegos?
Un cortafuegos se configura mediante un conjunto de reglas
que determina qué tráfico puede pasar y cuál será bloqueado
(con respuesta) o desechado (sin respuesta).
Los cortafuegos pueden situarse de formas distintas:
La forma más simple (e insegura) es un solo equipo que
además proporciona otros servicios.
La forma más sofisticada son las DMZ (o red perimetral), que
puede involucrar a varios equipos cortafuegos.
7 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Tabla de contenidos
1 Cortafuegos y filtrado de paquetes TCP/IP
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
2 Diez años de Packet Filter (PF)
¿Qué es PF?
Antes de PF
Origen y adopción de PF
Funcionalidades de PF
3 Conjuntos de reglas con PF
Conjuntos de reglas (rulesets)
8 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Diseño de cortafuegos con un solo firewall
9 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Diseño de cortafuegos con 2 firewalls (DMZ)
10 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Tabla de contenidos
1 Cortafuegos y filtrado de paquetes TCP/IP
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
2 Diez años de Packet Filter (PF)
¿Qué es PF?
Antes de PF
Origen y adopción de PF
Funcionalidades de PF
3 Conjuntos de reglas con PF
Conjuntos de reglas (rulesets)
11 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Tipos de procesado de paquetes
Filtrado: decidir en distintos momentos del flujo si un paquete
pasa o es bloqueado.
Modificación: modificación mientras se mueve el flujo de
paquetes
Traducción (NAT): permite redirigir el tráfico de forma
transparente mediante la modificación de la fuente, el destino
o los puertos.
12 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
¿Qué es el filtrado IP?
El filtrado IP consiste en decidir qué paquetes se procesarán y
cuáles serán rechazados. Algunos criterios posibles para filtrar:
Tipo de protocolo: TCP, UDP, ICMP, etc.
Número de puerto (para TCP/UDP)
Tipo de paquete: SYN/ACK, datos, petición de eco ICMP...
Origen del paquete
Destino del paquete
Los conjuntos de reglas (rulesets) se componen mediante
combinación de algunos de estos criterios.
13 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
¿Qué es el filtrado de IP?
El filtrado IP es una utilidad de capa de red (layer-3).
No conoce nada de las aplicaciones que usan las conexiones
de red.
Por ejemplo, si filtramos por puerto, ese mismo servicio podría
ejecutarse en otro puerto y el firewall no lo impediría.
Para solucionar esto, se usan servidores proxy, que gestionan
la conexión y sí comprenden el servicio.
14 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Conceptos básicos
default accept versus default deny.
Inspección de paquetes: Stateful vs stateless
En los FW de primera generación no habia estado, lo que
facilitaba el spoofing.
La inspección de estado guarda registros de todas las
conexiones de red que pasan por el cortafuegos.
Establecimiento de la comunicación TCP en tres pasos
(Three-way handshake):
SYN packet: solicitud de sincronización
SYN+ACK packet: sincronización y acuse de recibo del
servidor
ACK packet: acuse de recibo (acknowledgment) del cliente.
15 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Filtrado de paquetes
Un firewall avanzado puede hacer más cosas además de
bloquear.
Realiza otras funcionalidades importantes: enmascaramiento,
NAT, auditorías, gestión de ancho de banda, balanceo de
carga, filtrado por criterios específicos, redundancia...
16 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es un cortafuegos?
Diseños de cortafuegos
Procesado y filtrado de paquetes
Herramientas libres para filtrado de paquetes
iptables: Linux
ipfilter: *Solaris, illumos, FreeBSD, NetBSD, Linux,
HP-UX, IRIX
PF (Packet Filter): OpenBSD (nativo), FreeBSD,
NetBSD, DragonFly.
Comparativa:
http://en.wikipedia.org/wiki/Comparison_of_firewalls
17 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es PF?
Antes de PF
Origen y adopción de PF
Funcionalidades de PF
Diez años de Packet Filter (PF)
18 / 54
Miguel Vidal
Cortafuegos con software libre. Diez años de PF
Cortafuegos y filtrado de paquetes TCP/IP
Diez años de Packet Filter (PF)
Conjuntos de reglas con PF
¿Qué es PF?
Antes de PF
Origen y adopción de PF
Funcionalidades de PF
¿Qué es PF?
Es un filtro de paquetes (o firewall) de tráfico TCP/IP basado
en configuración dinámica (stateful rules).
Considerado el mejor software libre para cortafuegos, balanceo
de carga y gestión de tráfico de red.
Comparable en funcionalidad a las soluciones privativas más
caras (Cisco, Juniper, etc., > 50K dólares).
Desarrollado y mantenido por el equipo de desarrollo de
OpenBSD (po
Comentarios de: Cortafuegos con software libre. Diez años de PF (0)
No hay comentarios