UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA
ESCUELA UNIVERSITARIA DE INFORMATICA
INGENIERIA TECNICA EN INFORMATICA
TECNOLOGIA DE EQUIPOS Y SISTEMAS DE TRANSMISION DE DATOS
CURSO 06/07
PRÁCTICA 5
PUESTA EN MARCHA DE UN CORTAFUEGOS CON IPTABLES
Como todos sabemos Internet es una red abierta donde todo el mundo tiene cabida.
Además es de notorio conocimiento publico que los protocolos sobre los que subyace
(TCP/IP fundamentalmente) fueron diseñados siguiendo criterios de sencillez y
eficiencia, presuponiendo que la red que se diseñaba (ARPA, embrión de la Internet
actual) iba a ser utilizada con unos criterios de utilización basados en la buena fe de
los usuarios.
De esta forma nos encontramos con que en la actualidad los protocolos TCP/IP no son
seguros frente a posibles comportamientos de no muy buena fe por parte de algunos
elementos de la propia red. En la mayoría de los casos dichos comportamientos tienen
un afán no destructivo pero no se puede asegurar que así sea en la totalidad de los
casos.
Por dicho motivo la seguridad es un aspecto relevante en la actualidad de forma que
cualquier red que se conecte a Internet debe hacerlo teniendo en cuenta estos
aspectos, integrando pues sistemas de defensa adecuados para poder hacer frente a
posibles ataques maliciosos provenientes de la red.
En la actualidad estos mecanismos de defensa se basan en tres grandes apartados:
- Utilización de aplicaciones seguras
- Utilización de tecnología de cifrado
- Utilización de cortafuegos
Es objetivo de la asignatura contemplar estos aspectos tanto de un punto de vista
teórico, como practico.
La presente practica tiene como objetivo la implementación de un cortafuegos como
primer mecanismo de defensa de nuestra red.
Dada la disponibilidad de material del Laboratorio de Redes, donde realizamos las
practicas, solo es posible implementar un cortafuegos a través de mecanismos de
filtrado y arquitectura "dual-homed host".
Como herramienta se utilizara iptables que viene integrada en la distribución del
sistema operativo que utilizamos en los sistemas informáticos instalados en el
Laboratorio y que es de reconocida validez en el mundo Linux.
Las características que debe cumplir el cortafuegos son las siguientes:
UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA
ESCUELA UNIVERSITARIA DE INFORMATICA
INGENIERIA TECNICA EN INFORMATICA
TECNOLOGIA DE EQUIPOS Y SISTEMAS DE TRANSMISION DE DATOS
CURSO 06/07
1. Llevar a cabo la política de "Denegación por defecto" todos los servicios e ir
añadiendo servicios bajo petición y estudio.
2. Activar los siguientes servicios con las siguientes especificaciones
IP-SPOOFING
Evitar SPOOFING de nuestras direcciones de red
ICMP
Denegar Echo Request a máquinas internas
Telnet:
Solo hacia fuera
Ftp:
Solo hacia fuera
Pop3:
Solo hacia fuera por enlace ethernet. Ambos sentidos
por enlaces ppp
http:
Solo hacia afuera y a través del servidor proxy
proxy.ulpgc.es (193.145.133.12), u otro equivalente.
SMTP:
Solo hacia afuera con la maquina 172.16.1.1 que actúa
como relaying de correo.
DNS
Ambos sentidos pero solo con la maquina 172.16.1.1
que actuara de forwarder
Documentación:
Páginas Man
iptables
Nota: IP-SPOOFING es el proceso mediante el cual se falsifica la dirección IP de
origen de un paquete IP transmitido.
0
