Cortafuegos - PowerPoint PPT Presentation

1 / 14
About This Presentation
Title:

Cortafuegos

Description:

Rule de tipo forward. se aplica en pasar el paquete de un interfaz a ... IP firewall forward rules, default policy: deny. type prot source destination ports ... – PowerPoint PPT presentation

Number of Views:170
Avg rating:3.0/5.0
Slides: 15
Provided by: peterb147
Category:
Tags: cortafuegos | fwd

less

Transcript and Presenter's Notes

Title: Cortafuegos


1
Cortafuegos
  • Bloqueo al nivel IP
  • en linux, aplicado al nivel del kernel
  • no se necesita ninguna aplicación adicional
  • El objetivo es denegar el acceso a ciertas clases
    de direcciones IP
  • a la maquina con cortafuego
  • desde la maquina con cortafuego
  • mediante la maquina con cortafuego

2
Unos libros
  • Building Internet Firewalls
  • D. Chapman E. Zwicky. O' Reilly
  • Firewalls Internet Security
  • W. Cheswick S. Bellovin. Addison Wesley

3
Tipos de Ataque
  • Acceso no autorizado
  • uso de recursos/servicios locales por la gente
    exterior
  • Explotacion de vulnerabilidades en aplicaciones
  • rlogin, rexec, etc.
  • Denegación de servicio
  • mantener el servidor ocupado, o tambi?n bajarlo
  • Spoofing
  • usar dirreciones IP falsos en los paquetes
  • Escuchar
  • leer paquetes en la red

4
Sitio del cortafuego
  • Entre la red privada y la red publica
  • Entre distintos secciones de una red local
  • Cortafuegos de perimetro
  • varios maquinas cobrando todos las entradas y
    salidas
  • perimetro interior y perimetro exterior
  • con servidorers http, nfs, ftp, etc entre los dos
    perimetros
  • Tipicamente una sola maquina!

5
Filtraje IP
  • Tipo de protocolo
  • TCP, UDP, ICMP, etc.
  • Numero de la puerta
  • unicamente TCP/UDP
  • Tipo de datagram
  • SYN/ACK, data, ICMP Echo Request, etc.
  • Dirección fuente del paquete
  • Dirección destinaria del paquete

6
Que es el filtraje?
  • Funciona al nivel de la red
  • No sabe nada de aplicaciones, usuarios, ...
  • Se puede bloquea la puerta normal de telnet, pero
  • no impidera que los usuarios usan telnet en una
    puerta distinto
  • Se puede poner servidores "proxy" en cada puerta
    abierta
  • Los proxy entienden el protocolo supuestamente en
    la puerta, y bloquearen el paso de protocolos
    distintas
  • Controlado por un ruleset en el kernel

7
Rulesets (conjuntos de reglas)
  • Ejemplo no permitir acceso de usuarios locales a
    la internet excepto para mirar paginas de web
  • ruleset
  • por defecto denegar forwarding de paquetes a
    cualquier destino
  • permitir forwarding a cualquier destino local
  • permitir forwarding a cualquier destino remoto en
    la puerta 80
  • nota que hay que pensar en como puede el
    destinario remoto contestarnos

8
Herramientas de configuración
  • kernel con supporte para IP Firewall
  • Configuración con
  • Ipfwadm
  • linux 2.0
  • Ipchains
  • linux 2.2
  • Iptables
  • linux 2.4

9
La ruta de un paquete
  • Entrando
  • El IP datagram esta recibido por el driver de
    ethernet
  • Esta examinado para ver si es para esta maquina
  • Si lo es, se lo procesa en la pila TCP/UDP local
  • Si no lo es, la tabla de rutas esta examinado
    para determinar a que interfaz hay que
    forwardearlo, y si no hay ninguna, esta
    descartado
  • Saliendo
  • El IP datagram esta pasado al interfaz apropriado
    despues de examinarlo por determinar la ruta
    adecuada. Si no hay ruta, se lo descarta
  • Se lo envia por el interfaz correcta

10
Conceptos basicas de reglas
  • Rule de tipo Input
  • se aplica en recibir el paquete en (despues de)
    la tarjeta red
  • Rule de tipo forward
  • se aplica en pasar el paquete de un interfaz a
    otro
  • Rule de tipo output
  • se aplica en emitir el paquete por (justo antes
    de) la tarjeta red

11
Ejemplo acceso al exterior en la puerta 80 y
nada ams
  • ipfwadm -F -f
  • descartar (flush) las reglas de forwarding
    actuales
  • ipfwadm -F -p deny
  • el por defecto es no permitir forwarding
  • ipfwadm -F -a accept -P tcp -S 163.117/16 -D 0/0
    80
  • permitir forwarding desde aqui hasta cualquier
    sitio por la puerta 80
  • ipfwadm -F -a accept -P tcp -S 0/0 80 -D
    163.117/16
  • permitir respuestas hacia aqui desde cualquier
    sitio
  • ipfwadm -F -a accept -S 163.117/16 -D 163.117/16
  • permitir cualquier comunicacion interna en la red

12
Otras reglas
  • Bidireccional
  • ipfwadm -F -a accept -P tcp -S 163.117/0 -D 0/0
    -b
  • remplaza dos reglas unidireccionales
  • SYN (petición conexión) ataques/bloqueos
  • las reglas acuales permiten la entrada de
    paquetes SYN por la puerta 80 desde cualquier
    lugar, pero solo queremos paquetes http. SYN
    paquetes permiteran la conexion a nuetras
    maquinas se el otra lado usa la puerta 80.
  • ipfwadm -F -a deny -P tcp -S 0/0 80 -D 163.117/16
    -y
  • -y significa "paquetes SYN".
  • Hay que poner esta regla antes de lo de "accept"

13
Patron generico de una regla
  • - F (Regla de forwarding), - I (in), - O (out)
  • -a (añadir), -i (insertar), -d (delete) accept,
    deny
  • -P (protocolo) tcp, udp, icmp
  • -S (fuente) 123.456.789.123/24
  • -D (destino) 0/0 80 (puerta opcional)
  • -b (bidireccional)

14
Listear el ruleset actual
  • Ipfwadm -F -l
  • IP firewall forward rules, default policy deny
  • type prot source destination
    ports
  • acc tcp anywhere 163.117.0.0/16
    www -gt any
  • acc tcp 163.117.0.0/16 anywhere
    any -gt www
  • Para ver más, usa ipfwadm -F -l -e
Write a Comment
User Comments (0)
About PowerShow.com