Documente Academic
Documente Profesional
Documente Cultură
O
Cortafuegos
Firewalls
Un firewall es un dispositivo que filtra el tráfico entre redes,
como mínimo dos .
Puede ser
Hardware : Cisco, Netscreen, Chcekpoint
Copyright Felipe Cervantes R.
Software. :
Microsoft : ISA SERVER / T.M.G.
Linux : iptables : Kernel 2.4.x
ipchains : Kernel 2.2.x
ipfwadm: Kernel 2.0.x
. l.gob.pe
Cortafuegos
Firewalls
Establece
. l.gob.pe
Cortafuegos Lamina
QUE ES INTERNET ?
Servidor Servidor dato
LAN Información LAN
Satélite
PC PC Informa- Router
dato
ción
Router
Router
PC PC dato Router Router
datoRouter dato dato
PC
dato
Router dato
PC PC
dato ServidorLAN Quien hace
dato Routerdato Informa- posible esto
ción
PC PC
Felipe Cervantes Ruiz e
Esquema de firewall típico entre red local e internet
Copyright Felipe Cervantes R.
Firewall entre red local e internet con zona DMZ para servidores expuestos usando IPs públicas
Copyright Felipe Cervantes R.
Cortafuegos
Tipos de Firewalls
Por filtrado de paquetes :
. l.gob.pe
Cortafuegos
Conocimientos Previos
-Modelo OSI : Comunicaciones
. l.gob.pe
Estructura de un Datagrama IPV4
• IPv4 es la versión 4 del Protocolo de Internet (IP o Internet Protocol) y
constituye la primera versión de IP que es implementada de forma
extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del
Modelo TCP/IP para Internet. Fue descrito inicial mente en el RFC 791
elaborado por la Grupo de Trabajo en Ingeniería de Internet (IETF o
Internet Engineering Task Force) en Septiembre de 1981, documento que
dejó obsoleto al RFC 760 de Enero de 1980.
TCP/IP 5 Aplicación
4 Transporte
3 Red
2 Enlace
1 Físico.
Copyright Felipe Cervantes R.
OSI 7 Aplicación
6 Presentación
5 Sesión
4 Transporte
3 Red
2 Enlace de datos
1 Físico
Cortafuegos)
¿Qué ofrece TCP ?
enviar.
TCP proporciona un servicio full duplex a las
aplicaciones: independiente en cada dirección.
. l.gob.pe
Cortafuegos
TCP ofrece un servicio flujo de
A través de una conexión TCP se intercambia flujos.
Copyright
.
Cortafuegos
.
Cortafuegos
Acuse de recibo (ACK) - Retransmisión
Emisor Mensaje en Receptor
la red
Envío del segmento 1
X Debería llegar segmento 1
Debería enviar ACK 1
Debería recibir ACK
Las aplicaciones más comunes que hacen uso de este tipo de protocolo son
DNS, aplicaciones de transmisión de medios, voz sobre IP (VoIP), TFTP y
juegos en línea.
el Nivel de Transporte para determinar donde
corresponden los protocolos ARP y RARP.
er
Copyright
va
nt
Cortafuegos
Concepto de puertos
Para identificar a las diferentes aplicaciones
el protocolo TCP/IP envía cada paquete con un
número conocido como puerto.
Idea de puerto
Aplica- Aplica-
ción A ción A
1 2 n 1 2 n
Cervantes R.
pe
Los protocolos UDP o TCP.
Cortafuegos
Concepto importante-Socket
1234 55
Copyright Felipe Cervantes R.
Conexión
IP= 201.37.130.50
28 Socket define
los puntos extremos
de una conversación
Escenario de Configuración
Política por Defecto
• Permite
• a.- Filtrar
• a.1.- INPUT
• a.2.- OUTPUT
• a.3.- FORWARD
• b.- Enmascarar
Copyright Felipe Cervantes R.
• b.1- PREROUTING
• b.2- POSTROUTING
•
Cortafuegos
IPTABLES - SINTAXIS
• -Z -i interfase de entrada
• -X -o interfase de salida
• -P Política -t nat
Cortafuegos
IPTABLES – LIMPIEZA
• Nota :
• El orden en que se establecen las reglas es
importante
• El paquete entrante es comparado con las
reglas del firewall hasta que se encuentra una
(MATCH) y hace lo que dicte esta regla
Copyright Felipe Cervantes R.
(ACCEPT / DROP).
• Luego no se miran más reglas para ese paquete
.
Cortafuegos
IPTABLES – BORRADO DE REGLAS
• Opción -D
• Ejemplo
• # iptables -D OUPTUP 2
• salida
BLOQUEO AL FIREWALL
• Firewall Atacante
Copyright Felipe Cervantes R.
• De salida
• # iptables –A OUTPUT –o ethx –j ACCEPT
PERMISO a nuestro IP
– # iptables –A INPUT –s Dir_IP –j ACCEPT
• Considerar
Firewalls
Un firewall consta de lista de reglas de
- Aceptación
- Denegación
- Enmascarán
Usan Campos del encabezado del paquete (Datagrama)
.
Cortafuegos
Firewalls
Se basa en :
- Interfase y dirección IP del Host
- Dirección Origen y Destino
- Puertos TCP y UDP
- Indicadores de conexión TCP
- Tipos de mensaje ICMP
Copyright Felipe Cervantes R.
.
Cortafuegos
Firewalls
.
Cortafuegos
Paquete
Colección de datos en diferentes tamaños y
Formatos
A la salida del emisor se fragmentan los datos
Los paquetes se utilizan para transportar datos per
Algunos protocolos usan los paquetes de forma
especial.
TCP utiliza un paquete SYN (sin datos) para iniciar
Sesión entre sistemas
Copyright Felipe Cervantes R.
.
Cortafuegos
Forwardeo
Propiedad e los equipos de comunicación de enviar
paquetes de una red a otra.
net.ipv4.ip_forward=1
Otra forma
TIPOS
PREROUTING / DNAT
Dirección Red Pública ---€ Privada
POSTROUTING / SNAT
Copyright Felipe Cervantes R.
. l.gob.pe
Bloqueo de Entrada - Salida Enmascaramiento
DROP DROP
Internet
Copyright Felipe Cervantes R.
Estaciones
# iptables –t nat –P POSTROUTING DROP
Enmascaramiento POSTROUTING SNAT
Firewall Estaciones
Internet
Copyright Felipe Cervantes R.
Para permitir que una IP de la Red Privada salga con una determinada
IP Pública independiente de la Ip que se esta utilizando , realizar lo
siguiente
Firewall 192.168.31.3
192.168.12.5 192.168.31.1
192.168.12.6
Correo
Internet
Copyright Felipe Cervantes R.
eth0
192.168.31.2
192.168.12.5 192.168.31.1
192.168.12.6
Internet
Copyright Felipe Cervantes R.
eth0 192.168.31.3
Correo
# ifconfig eth0:0 192.168.12.6 netmask 255.255.255.0
Firewall 192.168.1.1
192.168.2.1 192.168.1.2
Router
eth0 eth1
LAN 1 192.168.3.0 /24
Internet
Copyright Felipe Cervantes R.
200.20.54.1
WEB eth2
F.T.P. DNS WEBMIN
.2 .3 SMTP .5 .6
.4
200.20.54.0 / 24
D.M.Z:
Configuración de Firewalls
-Limpiado de Reglas
. l.gob.pe
FIREWALL - ESCENARIO
IPTABLES – LIMPIEZA
• .
• # iptables -F INPUT
• # iptables -F OUTPUT
• # iptables -F FORWARD
• # iptables -t nat –F PREROUTING
Copyright Felipe Cervantes R.
Ejemplo
- Para WEB SERVER : puerto 80
Copyright Felipe Cervantes R.