UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA ESCUELA UNIVERSITARIA DE INFORMATICA INGENIERIA TECNICA EN INFORMATICA TECNOLOGIA DE EQUIPOS Y SISTEMAS DE TRANSMISION DE DATOS CURSO 06/07 PRÁCTICA 5 PUESTA EN MARCHA DE UN CORTAFUEGOS CON IPTABLES Como todos sabemos Internet es una red abierta donde todo el mundo tiene cabida. Además es de notorio conocimiento publico que los protocolos sobre los que subyace (TCP/IP fundamentalmente) fueron diseñados siguiendo criterios de sencillez y eficiencia, presuponiendo que la red que se diseñaba (ARPA, embrión de la Internet actual) iba a ser utilizada con unos criterios de utilización basados en la buena fe de los usuarios. De esta forma nos encontramos con que en la actualidad los protocolos TCP/IP no son seguros frente a posibles comportamientos de no muy buena fe por parte de algunos elementos de la propia red. En la mayoría de los casos dichos comportamientos tienen un afán no destructivo pero no se puede asegurar que así sea en la totalidad de los casos. Por dicho motivo la seguridad es un aspecto relevante en la actualidad de forma que cualquier red que se conecte a Internet debe hacerlo teniendo en cuenta estos aspectos, integrando pues sistemas de defensa adecuados para poder hacer frente a posibles ataques maliciosos provenientes de la red. En la actualidad estos mecanismos de defensa se basan en tres grandes apartados: - Utilización de aplicaciones seguras - Utilización de tecnología de cifrado - Utilización de cortafuegos Es objetivo de la asignatura contemplar estos aspectos tanto de un punto de vista teórico, como practico. La presente practica tiene como objetivo la implementación de un cortafuegos como primer mecanismo de defensa de nuestra red. Dada la disponibilidad de material del Laboratorio de Redes, donde realizamos las practicas, solo es posible implementar un cortafuegos a través de mecanismos de filtrado y arquitectura "dual-homed host". Como herramienta se utilizara iptables que viene integrada en la distribución del sistema operativo que utilizamos en los sistemas informáticos instalados en el Laboratorio y que es de reconocida validez en el mundo Linux. Las características que debe cumplir el cortafuegos son las siguientes: UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA ESCUELA UNIVERSITARIA DE INFORMATICA INGENIERIA TECNICA EN INFORMATICA TECNOLOGIA DE EQUIPOS Y SISTEMAS DE TRANSMISION DE DATOS CURSO 06/07 1. Llevar a cabo la política de "Denegación por defecto" todos los servicios e ir añadiendo servicios bajo petición y estudio. 2. Activar los siguientes servicios con las siguientes especificaciones IP-SPOOFING Evitar SPOOFING de nuestras direcciones de red ICMP Denegar Echo Request a máquinas internas Telnet: Solo hacia fuera Ftp: Solo hacia fuera Pop3: Solo hacia fuera por enlace ethernet. Ambos sentidos por enlaces ppp http: Solo hacia afuera y a través del servidor proxy proxy.ulpgc.es (193.145.133.12), u otro equivalente. SMTP: Solo hacia afuera con la maquina 172.16.1.1 que actúa como relaying de correo. DNS Ambos sentidos pero solo con la maquina 172.16.1.1 que actuara de forwarder Documentación: Páginas Man iptables Nota: IP-SPOOFING es el proceso mediante el cual se falsifica la dirección IP de origen de un paquete IP transmitido.