Cortafuegos

1
Cortafuegos

• Bloqueo al nivel IP
• en linux, aplicado al nivel del kernel
• no se necesita ninguna aplicación adicional
• El objetivo es denegar el acceso a ciertas clases
  de direcciones IP
• a la maquina con cortafuego
• desde la maquina con cortafuego
• mediante la maquina con cortafuego

2
Unos libros

• Building Internet Firewalls
• D. Chapman E. Zwicky. O' Reilly
• Firewalls Internet Security
• W. Cheswick S. Bellovin. Addison Wesley

3
Tipos de Ataque

• Acceso no autorizado
• uso de recursos/servicios locales por la gente
  exterior
• Explotacion de vulnerabilidades en aplicaciones
• rlogin, rexec, etc.
• Denegación de servicio
• mantener el servidor ocupado, o tambi?n bajarlo
• Spoofing
• usar dirreciones IP falsos en los paquetes
• Escuchar
• leer paquetes en la red

4
Sitio del cortafuego

• Entre la red privada y la red publica
• Entre distintos secciones de una red local
• Cortafuegos de perimetro
• varios maquinas cobrando todos las entradas y
  salidas
• perimetro interior y perimetro exterior
• con servidorers http, nfs, ftp, etc entre los dos
  perimetros
• Tipicamente una sola maquina!

5
Filtraje IP

• Tipo de protocolo
• TCP, UDP, ICMP, etc.
• Numero de la puerta
• unicamente TCP/UDP
• Tipo de datagram
• SYN/ACK, data, ICMP Echo Request, etc.
• Dirección fuente del paquete
• Dirección destinaria del paquete

6
Que es el filtraje?

• Funciona al nivel de la red
• No sabe nada de aplicaciones, usuarios, ...
• Se puede bloquea la puerta normal de telnet, pero
• no impidera que los usuarios usan telnet en una
  puerta distinto
• Se puede poner servidores "proxy" en cada puerta
  abierta
• Los proxy entienden el protocolo supuestamente en
  la puerta, y bloquearen el paso de protocolos
  distintas
• Controlado por un ruleset en el kernel

7
Rulesets (conjuntos de reglas)

• Ejemplo no permitir acceso de usuarios locales a
  la internet excepto para mirar paginas de web
• ruleset
• por defecto denegar forwarding de paquetes a
  cualquier destino
• permitir forwarding a cualquier destino local
• permitir forwarding a cualquier destino remoto en
  la puerta 80
• nota que hay que pensar en como puede el
  destinario remoto contestarnos

8
Herramientas de configuración

• kernel con supporte para IP Firewall
• Configuración con
• Ipfwadm
• linux 2.0
• Ipchains
• linux 2.2
• Iptables
• linux 2.4

9
La ruta de un paquete

• Entrando
• El IP datagram esta recibido por el driver de
  ethernet
• Esta examinado para ver si es para esta maquina
• Si lo es, se lo procesa en la pila TCP/UDP local
• Si no lo es, la tabla de rutas esta examinado
  para determinar a que interfaz hay que
  forwardearlo, y si no hay ninguna, esta
  descartado
• Saliendo
• El IP datagram esta pasado al interfaz apropriado
  despues de examinarlo por determinar la ruta
  adecuada. Si no hay ruta, se lo descarta
• Se lo envia por el interfaz correcta

10
Conceptos basicas de reglas

• Rule de tipo Input
• se aplica en recibir el paquete en (despues de)
  la tarjeta red
• Rule de tipo forward
• se aplica en pasar el paquete de un interfaz a
  otro
• Rule de tipo output
• se aplica en emitir el paquete por (justo antes
  de) la tarjeta red

11
Ejemplo acceso al exterior en la puerta 80 y
nada ams

• ipfwadm -F -f
• descartar (flush) las reglas de forwarding
  actuales
• ipfwadm -F -p deny
• el por defecto es no permitir forwarding
• ipfwadm -F -a accept -P tcp -S 163.117/16 -D 0/0
  80
• permitir forwarding desde aqui hasta cualquier
  sitio por la puerta 80
• ipfwadm -F -a accept -P tcp -S 0/0 80 -D
  163.117/16
• permitir respuestas hacia aqui desde cualquier
  sitio
• ipfwadm -F -a accept -S 163.117/16 -D 163.117/16
• permitir cualquier comunicacion interna en la red
  

12
Otras reglas

• Bidireccional
• ipfwadm -F -a accept -P tcp -S 163.117/0 -D 0/0
  -b
• remplaza dos reglas unidireccionales
• SYN (petición conexión) ataques/bloqueos
• las reglas acuales permiten la entrada de
  paquetes SYN por la puerta 80 desde cualquier
  lugar, pero solo queremos paquetes http. SYN
  paquetes permiteran la conexion a nuetras
  maquinas se el otra lado usa la puerta 80.
• ipfwadm -F -a deny -P tcp -S 0/0 80 -D 163.117/16
  -y
• -y significa "paquetes SYN".
• Hay que poner esta regla antes de lo de "accept"

13
Patron generico de una regla

• - F (Regla de forwarding), - I (in), - O (out)
• -a (añadir), -i (insertar), -d (delete) accept,
  deny
• -P (protocolo) tcp, udp, icmp
• -S (fuente) 123.456.789.123/24
• -D (destino) 0/0 80 (puerta opcional)
• -b (bidireccional)

14
Listear el ruleset actual

• Ipfwadm -F -l
• IP firewall forward rules, default policy deny
• type prot source destination
  ports
• acc tcp anywhere 163.117.0.0/16
  www -gt any
• acc tcp 163.117.0.0/16 anywhere
  any -gt www
• Para ver más, usa ipfwadm -F -l -e