PDF de programación - Taller - firewall

SISTEMA OPERATIVO GNU/LINUX AVANZADO II

JOSE ARRIETA NARVAEZ

GUSTAVO CARO
JESUS GARCIA

NILXON VUELVAS

TALLER

FIREWALL

ING. LUIS GARCIAS

FACULTAD DE CIENCIAS BASICAS E INGENIERIAS

DEPARTAMENTO DE INGENIERIA DE SISTEMAS Y TELECOMUNICACIONES

UNIVERSIDA DE CORDOBA

MONTERIA-COLOMBIA

2010

1.

Introducción

Termilogia:

Paquete: estructura de datos con información que viaja a través de una red.

 El filtrado de paquetes es una herramienta para monitorear y controlar todas las

conexiones que pasan a traves de una interfase de red.

 El filtrado de paquetes se utiliza para determinar (en base al encabezado del mismo,

en la mayoría de los casos) qué hacer con un paquete de red.

 El filtrado de paquetes es una herramienta para monitorear y controlar todas las

conexiones que pasan a traves de una interfase de red.

 El filtrado de paquetes se utiliza para determinar (en base al encabezado del mismo,

en la mayoría de los casos) qué hacer con un paquete de red.

Conceptos
Reglas: Las reglas son órdenes escritas que intentan ser lo más detallistas posibles. Estas
son las que determinan qué hacer con un paquete en base a su encabezado (de dónde
viene, a dónde va, etc., .etc)
Cadenas: Las cadenas contiene reglas
Tablas: Las tablas contienen cadenas

Tablas y Cadenas
Tablas: Existen 3 (tres)
filter (se encarga del filtrado)
nat (se encarga de cambiar el encabezado del paquete)
Mangle (acá se pueden cambiar otros campos de los paquetes)
Cadenas: Cada tabla contiene cadenas propias y es posible crear cadenas personalizadas

Orden de verificación
Las reglas se van verificando una a una de arriba hacia abajo.
A diferencia de ipchains, en iptables no todos los paquetes atraviesan input.
Las tablas no son verificadas en orden.
El orden es determinado en base al origen y destino de cada paquete en particular.

¿Qué es un firewall?
Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos.
Puede ser un dispositivo físico o un software sobre un sistema operativo.
En general debemos verlo como una caja con DOS o mas interfaces de red en la que se
establecen una reglas de filtrado con las que se decide si una conexión determinada puede
establecerse o no.
Incluso puede ir más allá y realizar modificaciones sobre las comunicaciones, como el NAT.
Hoy en día es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico
TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta.
Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red.

Conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo
tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de
ellos, no solo los tcp, también los udp, los icmp, los gre y otros protocolos vinculados a vpns.
Bien, pues casi sin analogías, eso es un firewall en términos de sistemas computacionales.
Un cortafuegos, es un sistema informático, simple o compuesto que actúa como punto de
conexión segura entre otros dos o más sistemas informáticos.

Figura 1 Sistema complejo con diversos Cortafuegos

Descendiendo en la abstracción, un cortafuego se sitúa entre dos o más redes con la
intención de hacer cumplir unas determinadas directivas de seguridad sobre la comunicación
entre ellas. Por ello, un cortafuego, puede ser desde un simple router, un PC2 antiguo o una
subred de servidores SOLARIS.

2. Cortafuegos de filtrado de paquetes, IPFW

El documento presente, no pretende ser un estudio sobre la infinidad de familias y
variedades de los firewalls, seremos menos abstractos, y nos centraremos en el estudio de
un modelo de cortafuegos mas concreto, la familia de los firewalls de filtrado de paquetes
sobre la pila de protocolos TCP/IP, los llamados IPFW.
Los IPFW funcionan como indican las dos primeras letras sobre paquetes IP, es decir, en el
nivel de transporte y red de TCP/IP.

Figura 2 Niveles ISO/OSI vs TCP/IP

Los cortafuegos de filtrado de paquetes IP, suelen implementarse dentro del sistema
operativo y funcionan en las capas de transporte y red, trabajando sobre la información de
las cabeceras de los paquetes IP, es decir, que no analizarán el área de datos3, sino que
únicamente utilizan la información que puede obtenerse de una cabecera IP.
Como ya habíamos dicho, habitualmente, un cortafuego se sitúa entre dos o más redes, lo
que implica que tiene al menos dos interfaces de red. A pesar de que el cortafuegos separa
dos redes cualquiera entre si, lo habitual, es que separe redes propietarias distintos. Es decir,
aunque pueden utilizarse cortafuegos dentro de una misma red, filtrando las comunicaciones
entres las distintas subredes internas, lo habitual, es que el cortafuego forme parte de una
red propia4 y sea él quien vigile las comunicaciones con otra red o redes ajenas en las que
no se confía5, por ejemplo y sobre todo Internet.

3. Introducción a iptables.
Bien, como ya se ha comentado, el objetivo del documento, es centrarse en el estudio de una
herramienta concreta. Concretamente, el sistema a estudiar, será la herramienta de
cortafuegos iptables sobre un sistema operativo Linux.
¿Por qué Linux? Como todo sistema operativo UNIX tiene entre sus objetivos la seguridad,
además es FREEWARE.
De cualquier forma, en lo que a la configuración de IPTables concierne, las diferencias son
prácticamente inexistentes entre los distintos Linux. Lo único necesario es que la distribución
Linux elegida cuente con una versión de Kernel superior a la 2.4.
Iptables es como se conoce al módulo Netfilter, la herramienta estándar actual de
cortafuegos bajo el sistema operativo estándar Linux de cortafuegos.

3.1. Un poco de historia.
La primera pila IP para Linux la desarrolló Ross Biro (NET-1). Al mismo tiempo, Orest
Zborowski y Laurence Culthane trabajaban en la API sockets y en los controladores SLIP. Sin
embargo, la verdadera integración de Linux a la red llegó de la mano de Alan Cox con NET-2
y NET-3. Esta última, es la actual pila de protocolos TCP/IP en la que además de Cox
participaron muchos otros como Donnald Becker, etc…
El sistema operativo Linux, ha contado con herramientas de filtrado de paquetes (IPFW)
incorporadas en su núcleo desde la versión del kernel 1.1.
Esta primera versión con filtrado, contaba con una adaptación de la herramienta ipfw del
sistema operativo BSD llevada a cabo Alan Cox por el año 94.
El holandés Jos Vos junto a otras personas, mejoró el sistema de filtrado para las series 2.0
del kernel, e introdujo la utilidad de configuración ipfwadm.
A mediados de 1998, de la mano de Michael Neuling y Rusty Russell aparece la herramienta
ipchains, incorporada en los kernels de la serie 2.2 y que todavía hoy es utilizada en gran
parte de los sistemas Linux, aunque sólo se asegurará su compatibilidad en el núcleo hasta
el año 2003. ¿Por qué solo hasta el 2003?
La respuesta llega a mediados de 1999. Cuando de nuevo Rusty Russell aparece en escena
con una nueva herramienta de filtrado iptables. Como lo fue ipchains sobre ipfw, iptables es
una modificación que permite la construcción de reglas más precisas y un mejor
aprovechamiento de los recursos.

3.2. Novedades de iptables. NAT.

Además de realizar un mejor aprovechamiento de los recursos del sistema, la principal
novedad del módulo netfilter-iptables, es la integración de las herramientas de filtrado (el
cortafuegos propiamente dicho), de NAT y de manipulación (MANGLING). Aunque lo
trataremos con más profundidad posteriormente, creo que debemos deternos un momento
para explicar lo que es NAT. NAT es el acrónimo de Network Addres Translation. Lo que hace
NAT básicamente es alterar las cabeceras de los paquetes IP, (principalmente las
direcciones) y mantener un “registro de entrada y salida” de los paquetes modificados, para
poder alterar los paquetes respuesta de igual forma. Las aplicaciones de NAT son
muchísimas, aunque actualmente, la aplicación más conocida del NAT, es lo que se conoce
como enmascaramiento o masquerading. El enmascaramiento, se utiliza principalmente para
dos cosas:
- La conexión de varios equipos a través de una sola dirección IP. Como ejemplos, las
pequeñas LAN domésticas, un CyberCafé, y en general cualquier red con más equipos que
IPs. En lugar de instalar un servidor proxy y configurar las distintas aplicaciones para que
hagan uso del mismo, se instala NAT, y no hay necesidad de configurar las aplicaciones, ya
que al trabajar en un nivel más bajo de la pila, resulta totalmente transparente.
No debe confundirse el NAT con un “proxy”, aunque tengan aplicaciones parecidas.
NAT no es un proxy, los proxies trabajan en un nivel superior de la pila de protocolos, bien en
el nivel de TCP/UDP o incluso en el nivel de aplicación, lo que implica que los clientes deben
configurarse para hacer uso del servicio. Por el contrario, NAT, al igual que el filtrado, trabaja
en un nivel más bajo, a nivel IP, por lo que es “transparente”. ¿Por qué se confunden muchas
veces el NAT y un proxy? La respuesta puede deberse a que tanto el uso de un proxy como
el uso de NAT se emplean actualmente11 para “compartir una conexión a Internet”.

-El balanceo de carga. Para explicarlo, lo mejor es ofrecer un ejemplo. Imaginemos que
tenemos una máquina en la que corre un servidor HTTP, una de las páginas que ofrece el
servidor, tiene un número de visitas diarias tremendamente elevado, (por ejemplo
www.millonesdevisitas.zzz). El servidor, está conectado a Internet con un ancho de banda
suficientemente importante y está disponible para todo el mundo. El problema, es que dada
la sobrecarga de peticiones a las que se ve sometido el servidor, la máquina se sobrecarga y
las las p