Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

06 airc firewalls

386 visualizaciones

Publicado el

Firewalls - Administración de Redes de Computadores

Publicado en: Internet
  • Sé el primero en comentar

06 airc firewalls

  1. 1. Seguridad perimetral FIREWALLS
  2. 2. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Routers Routers Seguridad perimetral
  3. 3. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral “Un router es un dispositivo de internetworking que pasa paquetes de datos entre redes basándose en direcciones de capa 3, y tiene capacidad de tomar decisiones sobre la ruta óptima para entregar la información al destino” Necesidad de interconectar redes locales. Nivel de funcionalidad que implica encaminamiento Surgen para segmentar redes con separación entre dominios de difusión y colisión diferentes. Se suelen utilizar para soportar múltiples pilas de protocolo, cada una de ellas con su propios protocolos de encaminamiento, permitiendo que todos ellos trabajen en paralelo. Los routers actuales además de permitir encaminamiento también proporcionan bridging. Filtran, mediante ACL, los paquetes dirigidos entre las distintas redes. Routers Routers Server 1 Red 1 Red 2 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3
  4. 4. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Los filtros se realizan a nivel 2 y 3 (IP y TCP/UP) Son más transparentes para el usuario que los que se aplican a nivel de aplicación. Se utilizan para implantar una política de seguridad. Los filtros se colocan entre uno o más segmentos de red. Filtros de paquetes NetFilter Dos segmentos de red, uno externos y otro interno. La filtración se realiza para restringir el tráfico para los servicios que se oferten
  5. 5. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Los routers con filtros de paquetes:  Los criterios para filtrar paquetes se guardan en ACLs  Cuando un paquete llega, se analizan los encabezados IP, UDP y TCP  Se aplican las reglas ACL en función del orden en el que han sido guardadas  Si una regla bloquea la transmisión o recepción de un paquete, éste no es permitido  Si una regla permite la transmisión o recepción de un paquete, se permite. Importancia del orden de las ACLs. Existen reglas por defecto:  Todo aquello que no está permitido explícitamente, está prohibido  Todo aquello que no está prohibido explícitamente, está permitido Filtros de paquetes NetFilter
  6. 6. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo: Filtros de paquetes NetFilter Nº ACCION Host O Port O Host D Port D 1 Bloquear * * hacker * 2 Permitir gwCorreo 25 * * 3 Permitir * * gwCorreo 25 DATOS,#SECUENCIA ACK=1,#ACK Origen Destino t t Transmisión entre cliente-servidor
  7. 7. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Además se puede usar información de nivel de transporte para los filtros:  ACK  RST También filtros según el protocolo (ICMP, IPX, Netbeui, OSPF, …) Según la interface de llegada/salida. Filtros de paquetes NetFilter
  8. 8. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Las acciones que puede realizar un router son:  Enviar el paquete  Eliminar el paquete, sin avisar al destinatario (drop)  Rechazar el paquete y devolver un error  Guardar el suceso acerca del paquete  Activar una alarma  Modificar el paquete, por ejemplo para hacer NAT  Modificar reglas de filtro para, por ejemplo, denegar el tráfico que llegue de sitios hostiles.  En la actualidad, los filtros de paquetes son capaces de analizar el contenido de los paquetes para tomar decisiones. Filtros de paquetes NetFilter
  9. 9. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ventajas:  Protección de la red  Son muy eficientes  Prácticamente todos los routers disponen de filtros.  Han evolucionado hacia IPS (Sistemas de prevención de intrusión) • iptables: soporta filtrado de contenido • Proyecto fwsnort: integra reglas Snort dentro de iptables Desventajas  Reducen el rendimiento del router  Dificultad en la configuración  No permiten filtros por usuario (iptables sí) Filtros de paquetes NetFilter
  10. 10. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos  Instalación del paquete iptables. (http//www.netfilter.org)  Configuración del núcleo iptables NetFilter
  11. 11. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral iptables NetFilter CONFIG_PACKET: Permite a ciertos programas trabajar directamente con la interfaz de red. CONFIG_NETFILTER: Opción necesaria para utilizar la máquina como cortafuegos y/o router. CONFIG_IP_NF_FILTER: Habilita el uso de la tabla FILTER. CONFIG_IP_NF_NAT: Habilita el uso de la tabla de NAT. CONFIG_IP_NF_IPTABLES: Opción necesaria para utilizar iptables. CONFIG_IP_NF_CONNTRACK: Opción necesaria para usar NAT y enmascaramiento (seguimiento de conexiones). CONFIG_IP_NF_TARGET_MASQUERADE: opción necesaria para trabajar con NAT cuando la IP de conexión a Internet es dinámica. CONFIG_IP_NF_FTP: Opción necesaria para poder hacer seguimiento de conexiones a servidores ftp a través del cortafuegos. CONFIG_IP_NF_MATCH_LIMIT: Esta opción permite limitar en el tiempo el número de paquetes que casan con una cierta regla. Se utiliza para limitar ataques DOS por sobrecarga. CONFIG_IP_NF_MATCH_MAC: Permite el uso de direcciones MAC (Ethernet) en las reglas de filtrado. CONFIG_IP_NF_MATCH_STATE: Es una de las principales novedades respecto a ipchains, pues permite hacer filtrado a partir del estado de una conexión TCP (por ejemplo ESTABLISHED…). CONFIG_IP_NF_MATCH_OWNER: Es un módulo recientemente incorporado a iptables, con el podemos filtrar paquetes en función del usuario que es dueño (UID). CONFIG_IP_NF_TARGET_LOG: Permite registrar en ficheros .log el disparo de las reglas. Se utiliza para observar situaciones extrañas en la configuración o posibles ataques.
  12. 12. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos  Instalación del paquete iptables. (http//www.netfilter.org)  Configuración del núcleo Compilación núcleo NetFilter Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel (opciones anteriores): Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install
  13. 13. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos  Instalación del paquete iptables. (http//www.netfilter.org)  Configuración del núcleo Compilación núcleo NetFilter Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
  14. 14. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conceptos  REGLAS: órdenes que indican qué hacer con un paquete  CADENAS: estructura que contiene REGLAS  TABLAS: Contienen cadenas. Existen 3 tipos: filter, nat y mangle (+ una nueva:raw). • Filter: se encarga de filtrar los paquetes. Tiene 3 cadenas: INPUT, OUTPUT y FORWARD • Nat: se encarga de la traslación de direcciones. Tiene 3 cadenas: PREROUTING, OUTPUT y POSTROUTING • Mangle: se encarga de la modificación de los paquetes y sus cabeceras. Tiene 2 cadenas: PREROUTING y OUTPUT. Cada tabla tiene cadenas propias. Podemos crear las nuestras. iptables NetFilter
  15. 15. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Flujo de procesamiento: iptables NetFilter
  16. 16. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Lo que podemos hacer:  Control de acceso a los equipos y/o red  Monitorizar tráfico  Detectar posibles usos fraudulentos Lo que NO podemos hacer:  No evita gusanos/virus/troyanos y demás fauna  No detecta intrusos Gestión de los filtros: iptables iptables NetFilter
  17. 17. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Sintaxis: iptables [–t tabla] –A cadena opciones –j objetivo Objetivo: ACCEPT, DROP, LOG, REJECT Opciones: -m módulo: -m limit, -m state (ESTABLISHED, NEW, RELATED, INVALID) -p protocolo (tcp, udp, icmp, all, …,/etc/protocols) -i interfaz de entrada -o interfaz de salida -d IP destino -s IP origen -dport, sport  Puerto destino/origen --tcp-flags máscara. Ejemplo: SYN, ACK, ACK SYN -P política (DROP, ACCEPT) -F -> Vacía la tabla -Z  Pone a 0 los contadores -L  mostrar las reglas de las tablas iptables NetFilter
  18. 18. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permitir navegación Web: iptables -A FORWARD -i eth0 –s red_local -p tcp --dport 80 -j ACCEPT Permitiremos las consultas al DNS: iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT Permitimos que el administrador se conecte al equipo: iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT iptables NetFilter
  19. 19. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permitir navegación Web: iptables -A FORWARD -i eth0 –s red_local -p tcp --dport 80 -j ACCEPT Permitiremos las consultas al DNS: iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT Permitimos que el administrador se conecte al equipo: iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT iptables NetFilter
  20. 20. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter Iptables –F INPUT DROP Iptables –F OUTPUT DROP Iptables –F FORWARD DROP
  21. 21. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT
  22. 22. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter Iptables –F INPUT DROP Iptables –F OUTPUT DROP Iptables –F FORWARD DROP iptables –A INPUT –s IPs –d IPd –j ACCEPT iptables –A OUTPUT –s IPd –d IPs –j ACCEPT iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access “ iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP iptables -A FORWARD -p tcp –syn -m recent –set iptables -A FORWARD -i eth0 -p tcp –syn -m recent –update –second 5 – hitcount 20 -DROP iptables -A INPUT -i eth0 -p icmp –icmp-type echo_request -m hashlimit --hashlimit-name ping --hashlimit-above 1/s –hashlimit-burts 2 –hashlimit- mode srcip -j REJECT
  23. 23. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Cambiar la IP de origen o destino por otra. Objetivo: optimizar el uso de Ips usando ips privadas y que, aun así, se pueda salir(entrar) a Internet. Puede ser estática o dinámica. Ventajas:  Economiza direcciones IP  Ayudan a restringir el tráfico de entrada y de salida.  Ocultan la configuración interna de la red. Desventajas  NAT dinámico exige información de estado que no siempre está disponible.  Direcciones IP embebidas pueden presentar problemas con NAT (ftp, por ejemplo, está resuelto)  NAT interfiere con algunos sistemas de encriptación y autenticación  NAT interfiere con el sistema de LOG  NAT de puertos puede interferir con el filtrado de paquetes. NAT NAT
  24. 24. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo Iptables+nat NAT Exportar servicio HTTP fuera de LAN privada iptables –t nat –A PREROUTING -p tcp –dport 80 –j DNAT –to-destination 192.168.16.226 Permitiendo salida iptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d any –j MASQ
  25. 25. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Aplicaciones especializadas que, ante requerimientos de los usuarios sobre servicios de Internet, reenvían estas peticiones al servicio. Se utilizan de intermediarias para:  Por una parte controlar los usuarios a los que se les da permiso  Por otra para que hagan el traslado de petición desde una red con IP privadas a Internet (IPs públicas) Ventajas:  Control por usuario  Buen control de registros  Puede proporcionar mecanismos de caché  Permite filtros inteligentes Inconvenientes:  Las aplicaciones clientes deben modificarse para que realicen la petición al servidor proxy  Es dependiente del servicio SOCKS: sistema, en funcionamiento igual, salvo que no depende del servicio. ¿Proxy vs NAT? Proxy Proxy
  26. 26. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido servidor proxy Navegador Web Cliente Servidor Proxy Servidor Web Pág. HTM L Proxy
  27. 27. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Firewalls Seguridad perimetral Firewalls
  28. 28. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Firewall: sistema que implanta una política de control de accesos entre redes mediante el bloqueo o autorización del tráfico entre ellas. Host bastión: computador determinante para la seguridad de la red. Host de base dual: computadores con 2 NICs. Red perimetral: red añadida entre una red protegida y una externa para proporcionar mayor seguridad. Definiciones Firewalls
  29. 29. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Screening Router  Dispone de un router de selección para la conexión a Internet.  Son sistemas muy baratos y fáciles de implementar  Router realiza el filtrado de paquetes necesario.  No es flexible: se permite o deniega paquetes por número de puerto, pero no por tipo de operaciones  Si se viola la seguridad del router, la red queda sin ninguna seguridad. Arquitecturas Firewalls Red 1 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3 Router
  30. 30. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host de base dual  Se trata de un host (bastión) con dos tarjetas de red, conectadas a redes diferentes, capaz de encaminar paquetes entre las 2 redes, pero la función debe estar deshabilitada.  En esta configuración, el bastión puede filtrar hasta capa de aplicación.  Son sistemas muy baratos y fáciles de implementar  No son proporcionan alto rendimiento  El host de base dual es un punto único de fallo. Arquitecturas Firewalls Red 1 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3
  31. 31. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Características:  Debe inhabilitarse la capacidad de enrutamiento (ipforwading)  La única ruta entre los segmentos de red es a través de una función de capa de aplicación La seguridad recae en el dual-homed host  Eliminar programas con SUID y SGID.  Control de los usuarios (mejor que no haya)  Eliminar los servicios de red no necesarios Uso apropiado para:  Cuando hay poco tráfico a Internet  Cuando el tráfico a Internet no es crítico  La red protegida no contiene datos valiosos  No se proporcionan servicios para usuarios de Internet. Arquitecturas Firewalls
  32. 32. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host bastión seleccionado (Screened hosts)  Configuración en la que un router de selección filtra todo el tráfico excepto el dirigido a un host bastión.  Soporta servicios mediante proxy (bastión)  Soporta filtrado de paquetes (router)  No es complicado de implementar  Si el atacante entra en el bastión, no hay ninguna seguridad Arquitecturas Host Bastión Red 3 Red 1Server 2 Server 3 Router Firewalls
  33. 33. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host bastión seleccionado (Screened hosts)  Proporciona servicios desde la red interna, usando un router de selección para filtrar el tráfico  El host bastión necesita mantener un alto grado de seguridad  Los filtros del router permiten que el host bastión sólo opere con los paquete permitidos según la política de seguridad que haya implementado en el router.  Los filtros del router deben permitir • Abrir conexiones permitidas de hosts internos a hosts externos • Deshabilitar todas las conexiones desde hosts internos, forzando a que éstos usen los servicios proxy ofertados por el host bastión. Se pueden realizar mezclas en las que determinadas conexiones se realicen directamente y otras se fuercen a pasar por el proxy.  Proporciona más seguridad y usabilidad que la arquitecturas anteriores.  Por el contrario, tanto el router como el host bastión son punto únicos de fallo  Inapropiadas para servicios con alto riesgo.  Arquitectura apropiada para: • Proteger redes con host relativamente seguros • Pocas conexiones desde Internet. Arquitecturas Firewalls
  34. 34. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral DMZ (Zonas desmilitarizadas)  Router de selección más host bastión con 2 NIC  No se puede evitar el host bastión modificando la tabla de rutas del router  Existen diversas variantes de esta configuración Arquitecturas Router Host Bastión Red Interna Firewalls
  35. 35. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Subredes seleccionadas  Creación de un perímetro de red con la incorporación de un router interior.  El router no es ya un punto único de fallo  Cualquier violación en la seguridad del host bastión, no supone la pérdida total de seguridad de la red interna, ya que debe saltar el router interior.  Los routers se sitúan en el perímetro de red, uno cara a la red interna, el otro cara a Internet. Arquitecturas Router Exterior Host Bastión Red Interna Router Interior Firewalls
  36. 36. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Subredes seleccionadas Los servicios que el router interior permite entre el host bastion y la red interna pueden NO ser los mismos que los que permite entre Internet y la red interna Se debe limitar los servicios entre la red interna y el host bastión Arquitecturas Firewalls
  37. 37. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Múltiples subredes seleccionadas  Proporciona defensa en profundidad, protegiendo tanto los routers como el host.  Host de base dual proporciona un control fino de los filtros.  Útil para: • Redes con uso intensivo de la red. • Redes en las que se usen protocolos inseguros (NetBEUI) • Para redes que necesiten alta seguridad, particularmente para proporcionar servicios de Internet. Arquitecturas Router Exterior Dual-homed host Red Interna Router Interior Red de perímetro 1 Red de perímetro 2 Firewalls
  38. 38. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Solo los servicios necesarios, los usuarios necesarios,... Acceso al sistema  Cómo ser root: grupo wheel, sudo, su  PAM Sudo: /etc/sudoers PAM:  pam_securetty: ttys donde acceder root  pam_limits: sobre contraseñas  pam_cracklib: longitud de contraseña, #caracteres distintos, no palídromos  pam_tally2: bloquear usuarios con X sesiones erróneas  /etc/login.defs: máximos reintentos,..  /etc/sshd_config: no permitir root, acceso ciertos usuarios, horario Hardening: para proteger al host bastion Tcp-wrappers
  39. 39. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permisos:  RWX  Especiales  Atributos  ACLS Especiales: s/S, t/T: setuid, setgid y sticky Atributos: inmutable (i), añadir (a): chattr +i fichero ACL:  rwx por usuario  Necesita módulos del núcleo. hardening: para proteger al host bastion Tcp-wrappers
  40. 40. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Software de control de acceso que permite  Registrar solicitudes para servicios  Proporciona un mecanismo para controlas el acceso a dichos servicios La información de control de acceso se guarda en los ficheros  /etc/hosts.allow Lista de hosts a los que se permite el acceso al servicio  /etc/hosts.deny Lista de hosts a los que se deniega el servicio. Primero se revisa /etc/hosts.allow y, si no existe una coincidencia, se revisa /etc/hosts.deny TCP-WRAPPERS Tcp-wrappers
  41. 41. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Formato de los ficheros: servicios: lista hosts [:cmd shell] Ejemplos: httpd, sshd: 172.20.40.3, 172.16 smtpd: ALL ALL:ALL LOCAL: cualquier host de la red local ALL: cualquier servicio o host TCP-WRAPPERS Tcp-wrappers
  42. 42. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral D. Bremt Chapman y Elizabeth D. Zwicky, Building Internet Firewalls, O’Reilly http://www.linuxguruz.com/iptables/howto/ipt ables-HOWTO-3.html TCP-WRAPPERS Bibliografía

×