Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Red de computadoras

Reglas en el Firewall

Anuncio 
Concepto de Seguridad de Alto Nivel:
• A lo largo del curso hemos establecido protecciones en los equipos
y en la información que almacenan e intercambian.
• En este último capítulo vamos a abordar los sistemas de protección
activa que complementan a los anteriores y los amplían.
• Se trata de mecanismos que se interponen entre nuestros sistemas
y el acceso externo, que carecen de interés para los intrusos y es el
1er obstáculo que deben salvar.
• Técnicamente se pueden organizar como recursos a nivel Software y
recursos a nivel Hardware.
• Estudiaremos dos elementos: el Cortafuegos y el Proxy.
¿Qué son? ¿Para qué?
• Cortafuegos: La acepción forestal de este término es muy gráfica.
• Firewall (Muro de fuego): Acepción física  Muro ignífugo.
• Cortafuegos Informático: Mecanismo de seguridad que protege al
sistema informático de cualquier amenaza que pueda provenir del
exterior de nuestra red o que trate de salir de ella.
• Objetivo: Evitar conexiones no deseadas desde / hacia nuestra red.
• Características más importantes:
➢Filtra los paquetes de la red a partir de unas reglas.
➢Implementación por Software o por Hardware.
➢La función primaria delimita una zona segura detrás del firewall
de la zona no segura correspondiente al exterior.
➢Ampliación de funciones: Zona Desmilitarizada (DMZ).
Arquitectura Básica:
• En los ambientes domésticos es suficente.
• Establece la separación física de nuestra red y el exterior.
• Los Router de acceso a Internet incorporan esta funcionalidad.
Arquitectura Empresarial:
• Una empresa suele tener una serie de equipos donde es necesaria
su visibilidad desde el exterior.
• Tenemos Servidores Web, Ftp, Servidor de correo (SMTP), DNS...
• Se admite cualquier arquitectura mixta: equipos accesibles a medias.
Servicios de un Cortafuegos:
• El servicio principal se basa en el filtrado de paquetes.
• Bloquear tráfico no autorizado: restringe servicios de Internet,
tráfico de un rango de IPs, bloquea páginas Web...
• Ocultar equipos de la red: si los equipos no son visibles, no pueden
ser detectado por los atacantes.
• Registrar el tráfico de entrada y salida.
• Redirigir el tráfico entrante hacia la DMZ.
• Limitar el ancho de banda según el tipo de tráfico.
• Monitorizar los ataques posibles: el análisis del tráfico de la red
posibilita la detección de situaciones de riesgo.
Cortafuegos integrado en Windows 7:
• La configuración del Cortafuegos de Windows 7
se realiza a través del Panel de Control.
• Activación / Desactivación:
Se puede activar
cada ubicación de
la red de forma
independiente.
Cortafuegos integrado en Windows 7:
• Programas Permitidos: Establece los programas o características de
Windows que se permiten en cada ubicación de red.
• Conexiones Entrantes: Cuando el Firewall está activado se pueden
bloquear todas las conexiones entrantes, o se puede configurar las
conexiones que deseamos permitir estableciendo reglas.
• Conexiones Salientes: Solo admite configurar las conexiones que
deseamos bloquear (no permite bloquear todas).
• Configuración Avanzada: Acceso a la configuración personalizada
del Firewall según las reglas de filtrado que se establezcan.
➢ Reglas de entrada: Filtra el tráfico hacia nuestro equipo
➢ Reglas de salida: Filtra el tráfico hacia fuera del equipo
Asistente de Creación de Reglas de Filtrado:
• Tipo de Regla: Programa, Puerto, Predefinida y Personalizada.
• Establecer Programa y/o Protocolo y/o Puerto.
➢ Regla de entrada: Indica el Puerto Local.
➢ Regla de salida: Indica el Puerto Remoto.
• Acción: Permitir (Regla Entrante) o Bloquear (Regla Saliente).
Se puede configurar Permitir si la conexión es segura (avanzado).
• Perfil: Escenario de aplicación (Dominio – Público – Privado).
• Nombre y Descripción de la Regla.
Gestión de Reglas de Filtrado:
•
•
•
•
•
Visualizar las reglas ordenadas por nombre, grupo, perfil, estado.
Filtrar las reglas por nombre, grupo, perfil, estado.
Habilitar / Deshabilitar Reglas.
Crear – Eliminar Reglas.
Modificar Propiedades de una Regla:
➢ Pestaña General: Estado, Nombre, Acción.
➢ Programas y Servicios: Establece el objeto sobre el que aplica.
➢ Protocolos y Puertos: Configura sobre qué protocolos y puertos
se va a regir la regla de filtrado.
➢ Ambito: Establece direcciones IP concretas (locales o remotas).
➢ Usuarios / Equipos: En las conexiones seguras se puede indicar
usuarios y equipos autorizados.
Ejemplos de Creación de Reglas básicas:
• Regla 1: Crear la Regla "Navegación Web" que prohiba navegar por
cualquier página de Internet.
• Regla 2: Crear la Regla "Navegación Intranet" que complementa la
regla anterior de forma que sí permita las direcciones de la subred.
• Regla 3: Comprueba si tu equipo es visible en nuestra LAN.
➢ Para ello debes hacer un ping a tu equipo y ver que sí responde.
➢ Localiza la regla que habilita la respuesta y desactívala.
➢ Comprueba que tu equipo ahora no responde: Está "oculto" a
los ping del resto de la clase.
➢ Vuelve a habilitar la regla que habías desactivado.
• Regla 4: Deshabilita la regla que permite lanzar comandos "ping"
desde tu equipo.
Reglas de Filtrado en Linux: IPTABLES
• El filtrado por IPTABLES está presente en las distribuciones de Linux
dentro del framework o arquitectura Netfilter.
• Además de realizar labores de Firewall (filtrado de paquetes), puede
también realizar las tareas de un NAT (Network Address Translation)
o guardar registros de log.
• Las reglas de filtrado constituyen una tabla de condiciones donde
hay un orden establecido.
• Se consulta la tabla secuencialmente y cuando un paquete de red
satisface una condición se le asigna la acción que tenga asociada:
permitir o denegar su paso hacia el destino indicado.
Ejemplo de una tabla teórica:
• Permite el tráfico desde la red 154.44.0.0.
• Impide el tráfico hacia puerto 21 del equipo 193.55.0.2 (FTP).
• Permite el tráfico hacia el equipo 194.22.10.1, pero no hacia
el resto de equipos de la red 194.22.10.0 / 24.
Sintaxis del Comando IPTABLES:
• Formato: # iptables - COMMAND [CHAIN [OPTIONS] ACTION]
➢ Cadena (Chain): INPUT, OUTPUT o FORWARD.
➢ Comando: -L (Listar), -P (Regla para toda la cadena: Política de
cadena), -A (Añadir Regla), -D (Borrar Regla).
➢ Acción: DROP (Bloquear), ACCEPT (Permitir).
➢ Opciones: Indican restricciones a la regla, como puede ser el
protocolo, puerto, origen o destino.
-p PROTO: Establece el protocolo. -j: Sigue la búsqueda.
-s IP_ORIGEN: -s 10.1.2.3, -s 10.1.2.3/255.0.0.0, -s 10.1.2.3/8
-d IP_DESTINO: Dirección IP destino.
-- sport PORT: Puerto TCP origen.
-- dport PORT: Puerto TCP destino.
Ejemplos del Comando IPTABLES:
• Comando para prohibir la navegación:
# iptables -P OUTPUT DROP
• Comandos para cortar el tráfico de una IP:
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 192.168.100.100 -j DROP
# iptables -A OUTPUT -s 192.168.100.100 -j DROP
• Comando para cerrar el tráfico entrante salvo el SSH:
# iptables -P INPUT DROP
# iptables -A INPUT -p tcp - -dport ssh -j ACCEPT
• Guardar las reglas en un fichero:
# iptables-save > FICHERO
Arquitecturas de Red con Cortafuegos:
• Dual-Homed Host:
El equipo que hace de frontera se denomina bastión, dispone de al
menos dos interfaces de red y todo el tráfico pasa por el firewall.
• Screened Host:
Combina el uso de un Router con un Bastión, de modo que será el
Router quien filtre los paquetes, de modo que el tráfico entrante se
redirige hacia el bastión.
• Screened Subnet:
En esta configuración dos Router delimitan la zona DMZ, donde se
ubican los bastiones de nuestra organización. El Router externo se
encarga del tráfico procedente del exterior y el Router interno se
ocupa de gestionar el tráfico de la red interna.
Arquitecturas de Red con Cortafuegos:
Dual-Hommed Host
Screened Subnet
Screened Host
Documentos relacionados
Práctica NAT Debian
Práctica NAT Debian
Soluciones IT
Soluciones IT
Firewall de una LAN con salida a internet Ahora vamos a ver una
Firewall de una LAN con salida a internet Ahora vamos a ver una
Configurar un firewall con iptables sin romperse la cabeza
Configurar un firewall con iptables sin romperse la cabeza
Alta Disponibilidad de Cortafuegos en Linux
Alta Disponibilidad de Cortafuegos en Linux
CortaFuegos (Firewall) - Universidad de Antioquia
CortaFuegos (Firewall) - Universidad de Antioquia
Descargar IpTables Cortafuegos
Descargar IpTables Cortafuegos
IPTABLES (Firewall)
IPTABLES (Firewall)
Document
Document
Seguridad en Redes
Seguridad en Redes
Descargar Archivo 2
Descargar Archivo 2
Firewall - knoppix-SO3
Firewall - knoppix-SO3
Presentacion
Presentacion
Configuración y parámetros básicos
Configuración y parámetros básicos
Práctica 5: Seguridad perimetral Filtrado de paquetes File
Práctica 5: Seguridad perimetral Filtrado de paquetes File
Manual de Iptables. Networking basics.
Manual de Iptables. Networking basics.
Seguridad Basica para Linux
Seguridad Basica para Linux
Imprimir este artículo
Imprimir este artículo
Descargar - Monografias.com
Descargar - Monografias.com
iptables, un manual sencillo - PLEDIN 3.0
iptables, un manual sencillo - PLEDIN 3.0
Taller de NETFILTER iptables
Taller de NETFILTER iptables
Tema: Firewall basado en IPTABLES.
Tema: Firewall basado en IPTABLES.
Descargar
Anuncio
Anuncio