Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y
GNU/Linux
Seguridad en Informática 2
Francisco Medina López —
paco.medina@comunidad.unam.mx
Facultad de Contadur´ıa y Administración
Universidad Nacional Autónoma de México
2014-2

Agenda
1 Introducci´on
2 Firewalls en GNU/Linux con iptables

Introducción
1 Introducción
Conceptos Previos
Diseño y Arquitectura
Tipos de Firewall
Fabricantes

Introducci´on
Conceptos Previos
1 Introducci´on
Conceptos Previos
Tipos de Firewall
Fabricantes

Introducción
Conceptos Previos
¿Qué es un Firewall?
Definición
Sistema o una combinación de sistemas que impone una barrera
entre dos o más redes que por lo regular forman una división entre
un ambiente seguro y una abierto, como Internet.
Figura : El Firewall y los ambientes de seguridad
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Introducción
Conceptos Previos
Antecedentes
Es imposible determinar quién acuñó por primera vez el concepto
de firewall.
W. Cheswick y S. Bellovin desarrollaron la tecnolog´ıa de
filtrado de paquetes.
M. Ranun sintetizó el firewall como producto.
Nir Zuk trabajó en el concepto de firewall tal como lo
conocemos hoy.
Pacheco, Federico. Hackers al decubierto, USERS P 167.

Introducci´on
Conceptos Previos
Visi´on global de los sistemas de seguridad
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.

Introducción
Conceptos Previos
Visión global de los sistemas de seguridad (2)
Un Firewall es considerado la primera l´ınea de defensa para
proteger la información privada

Introducci´on
1 Introducci´on
Conceptos Previos
Tipos de Firewall
Fabricantes

Introducci´on
Dise˜no

Introducci´on
Network Address Translation
Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 560.

Introducción
Redes privadas
El RFC 1918 define tres rangos de redes privadas:
192.168.0.0/192.168.255.255
172.16.0.0/172.31.255.255
10.0.0.0/10.255.255.255
La tecnolog´ıa NAT permite a un firewall o router actuar como
un intermediario entre la Internet y la red local.
El firewall permite a una red privada, a través de una sola
dirección ip públca, tener acceso a Internet.

Introducci´on
Arquitecturas comunes
1 Bastion Host
2 Dual-Homed Firewall
3 Screened Host
4 Screened Subnet

Introducción
Bastion Host
Definición
Es un equipo correctamente asegurado (hardened), en el cual los
servicios innecesarios se encuentran desactivados, el sistema
operativo cuenta con las últimas actualizaciones y parches y solo
están activas las cuentas de sistema necesarias para el correcto
funcionamiento del equipo.
Usualmente esta expuesto en la red ya que es la primera l´ınea
de defensa.
No esta ligado a las actividades de un firewall de software.
Cualquier sistema en la DMZ deber´ıa ser instalado en un
Bastion Host

Introducción
Dual-Homed Firewall
Definición
Es un equipo o dispositivo que cuenta con dos interfaces de red:
una configurada en la red externa y otra a la red interna.
Multihomed Significa que un equipo o dispositivo tiene
multiples interfaces de red (NIC).
Estos dispositivos son usados comúnmente en pequeñas
oficinas u hogares (SOHO).

Introducción
Screened Host
Definición
Configuración en la que el firewall se comunica directamente con el
router y la red interna.

Introducción
Screened Subnet
Definición
Añade un nivel de seguridad situando una subred (DMZ) entre las
redes externa e interna, de forma que se consiguen reducir los
efectos de un ataque exitoso al host bastión
También conocida como red perimétrica o De-Militarized
Zone (DMZ) o twotiered

Introducci´on
Tipos de Firewall
Taxonom´ıa
Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.

Introducci´on
Tipos de Firewall
Tipos de Firewall de Red
1 Filtros a nivel paquete (Packet Filters)
2 Firewall a nivel circuito (Circuit Level Firewalls)
3 Firewall a nivel aplicaci´on (Application Layer Firewalls)
4 Stateful Inspection

Introducci´on
Tipos de Firewall
Filtros a nivel paquete (Packet Filters)

Introducción
Tipos de Firewall
Filtros a nivel paquete (Packet Filters)
Funciona a nivel de red (nivel 3) de la pila de protocolos
(TCP/IP) como filtro de paquetes IP.
En este nivel se pueden realizar filtros según los distintos
campos de los paquetes IP: dirección IP origen, dirección IP
destino.
A menudo en este tipo de Firewall se permiten filtrados según
campos de nivel de transporte (nivel 4) como el puerto origen
y destino, o a nivel de enlace de datos (nivel 2), como la
dirección MAC.

Introducci´on
Tipos de Firewall
Firewall a nivel circuito (Circuit Level Firewalls)

Introducción
Tipos de Firewall
Firewall a nivel circuito (Circuit Level Firewalls)
Una vez que la conexión se establece, los paquetes pueden ir y
venir entre las computadoras sin tener que ser revisados cada
vez.
El Firewall mantiene una tabla de conexiones válidas y
permite que los paquetes de la red pasen a través de ella si
corresponden a algún registro de la tabla.
Una vez terminada la conexión, la tabla se borra y la
transmisión de información entre las dos computadoras se
cierra.

Introducci´on
Tipos de Firewall
Firewall a nivel aplicaci´on (Application Layer Firewalls)

Introducción
Tipos de Firewall
Firewall a nivel aplicación (Application Layer Firewalls)
Trabaja en el nivel de aplicación (nivel 7) de manera que los
filtrados se pueden adaptar a caracter´ısticas propias de los
protocolos de este nivel. Por ejemplo, si se trata de tráfico
HTTP se pueden realizar filtrados según la URL a la que se
está intentando acceder.
Un Firewall a nivel 7 de tráfico HTTP es normalmente
denominado Proxy y permite que los computadores de una
organización entren a internet de una forma controlada.
Pertenece a la tercera generación de Firewalls.
Examina la información de todos los paquetes de la red y
mantiene el estado de la conexión y la secuencia de la
información.
En este tipo de tecnolog´ıa también se pueden validar claves de
acceso y algunos tipos de solicitudes de servicios.

Introducci´on
Tipos de Firewall
Stateful Inspection

Introducción
Tipos de Firewall
Stateful Inspection
Guarda registros de conexión usando una tabla de estado que
almacena todos los niveles de comunicación.

Introducci´on
Tipos de Firewall
Ejemplos de Implementaci´on

Introducción
Tipos de Firewall
UTM
Definición
UTM (en inglés: Unified Threat Management) o Gestión Unificada
de Amenazas, son firewalls de red que engloban múltiples
funcionalidades en una misma caja.1
El término fue utilizado por primera vez por Charles Kolodgy,
de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro de
contenidos, Antivirus, Detección/Prevención de Intrusos
(IDS/IPS)
1
http://es.wikipedia.org/wiki/Unified Threat Management

Introducción
Tipos de Firewall
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solo
facilitando su gestión
Desventajas:
Se crea un punto único de fallo y un cuello de botella, es decir
si falla este sistema la organización queda desprotegida
totalmente.
Tiene un costo fijo periódico.

Introducci´on
Fabricantes
1 Introducci´on
Conceptos Previos
Tipos de Firewall
Fabricantes

Introducci´on
Fabricantes
Algunos fabricantes de Firewalls
Juniper Networks
3Com/H3C
Astaro
Check Point Software Technologies
Cisco
Fortinet
McAfee
NETASQ
phion
Palo Alto Networks
SonicWALL

Introducci´on
Fabricantes
Magic Quadrant for Enterprise Network Firewalls

Introducci´on
Fabricantes
Magic Quadrant for Uniﬁed Threat Management

Firewalls en GNU/Linux con iptables
1 Introducción
Definición y conceptos previos
Componentes de iptables
Ejemplos de reglas de iptables

1 Introducci´on

Netfilter
Definición
Componente del núcleo Linux (desde la versión 2.4) encargado de
la manipulación de paquetes de red.
Permite:
filtrado de paquetes.
traducción de direcciones (NAT).
modificación de paquetes.

iptables
Herramienta que permite construir y configurar firewalls
Desarrollado por el proyecto Netfilter
(http://www.netfilter.org)
Liberado para el kernel 2.4 en Enero del 2001.
Usos:
Control de Trafico (o Flujo de Red)
Seguridad (de Servicios de Red)
Observación (del Trafico actual)

1 Introducci´on

Tablas y Cadenas
1 TABLAS
2 CADENAS

Tablas
Definición
Distintos tipos de procesamiento que se puede aplicar sobre los
paquetes.
1 filter: Controla decisiones de filtrado de paquetes
(aceptar/denegar)
Cadenas: INPUT, OUTPUT, FORWARD
2 nat: Controla la traducción de direcciones.
Cadenas: PREROUTING, POSTROUTING
3 mangle: Controla los procesos de modificación del contenido
y las opciones de los paquetes.
Cadenas: INPUT, OUTPUT, FORWARD,PREROUTING,
POSTROUTING
Las reglas de cada tabla se organizan en cadenas que se
consultarán en momentos concretos del flujo de los paquetes.

Cadenas
Definición
Contienen las listas de reglas a aplicar sobre los paquetes.
INPUT: reglas a aplicar sobre los paquetes destinados a la
propia máquina.
OUTPUT: reglas a aplicar sobre los paquetes originados en la
propia máquina. Usada para controlar las salidas del propio
equipo.
FORWARD: reglas a aplicar sobre los paquetes que
atraviesan la máquina con destino a otras (paquetes en
tránsito reenviados).

Cadenas (2)
PREROUTING: reglas a aplicar sobre paquetes justo antes
de enviarlos a la red. Usada para DNAT (destination NAT)
[redirección de puertos].
POSTROUTING: reglas a aplicar sobre paquetes (propios o
ajenos) recibidos de la red (antes de decidir a dónde tutearlos
[local o reenvio]). Usada para SNAT (source NAT).
Se pueden crear cadenas definidas por el usuario (iptables -N
cadena).

Funcionamiento
Para cada paquete, en función del procesamiento que vaya a
sufrir, se consulta la cadena que corresponda.
Dentro de cada cadena las reglas se inspeccionan
secuencialmente. El orden de las reglas es importante.
Si el paquete encaja con las condiciones de una regla, se
ejecuta la acción correspondiente y se abandona la cadena.
Si el paquete no encaja con ninguna regla, se le aplica la
pol´ıtica por defecto que se haya asignado a esa cadena.
por defecto las cadenas predeterminadas están inicializadas con
una pol´ıtica ACCEPT.
al agotar las cadenas definidas por el usuario, se retorna a la
cadena predeterminada que la activó.

Flujo de paquetes a trav´es de la tabla FILTER
Gregor N. Purdy. Linux Iptables Pocket Reference, O’Reilly, P 3.

Flujo de paquetes a trav´es de la tabla NAT

Flujo de paquetes a trav´es de la tabla MANGLE

1 Introducci´on

Reset iptables ﬁrewall rules
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
http://www.seavtec.com/en/content/soporte/documentacion/
iptables-howto-ejemplos-de-iptables-para-sysadmins

Ver el estado del ﬁrewall y listar reglas
iptables -L -n -v
iptables -n -L -v --line-numbers
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --line-numbers

Eliminar reglas de Firewall
iptables -L INPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep
202.54.1.1
Se puede eliminar por n´umero de regla:
iptables -D INPUT 4
O especiﬁcar una regla que coincida
iptables -D INPUT -s 202.54.1.1 -j DROP

Reglas para eliminar todo el tr´aﬁco
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -L -v -n

Sólo bloquear el tráfico entrante
Para eliminar todos los paquetes entrantes / enviado, pero permitir
el tráfico saliente, escriba:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -L -v -n

Bloquear direcciones IP espec´ıficas
Eliminar direcciones de red privada en la interfaz pública
(Suponiendo eth0 como interfaz pública)
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j
DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
Bloquear direcciones IP:
iptables -A INPUT -s 192.168.1.5 -j DROP
iptables -A INPUT -s 192.114.71.13 -j DROP

Guardar y restaurar reglas
Guardar reglas:
iptables-save > /root/iptables.fw
Grabar las reglas en CentOS / RHEL / Fedora Linux:
service iptables save
Restaurar reglas:
iptables-restore < /root/iptables.fw
Restaurar reglas en CentOS / RHEL / Fedora Linux:
service iptables restart

Permitir todo el tráfico de loopback, y eliminar todo el tráfico
a 127/8 que no usa lo0:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
Eliminar cualquier paquete TCP que no se ha iniciado con el
Flag SYN activo:
iptables -A INPUT -p tcp ! --syn -m state --state
NEW -j DROP
Aceptar todas las conexiones entrantes establecidas:
iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
Eliminar cualquier paquete inválido que no pueda ser
identificado:
iptables -A INPUT -m state --state INVALID -j DROP
Bloquear todo el tráfico TELNET entrante:
iptables -I INPUT -p tcp --dport 23 -j DROP

Bloquear todo el tráfico WEB entrante:
iptables -I OUTPUT -p tcp --dport 80 -j DROP
Bloquear todo el tráfico dirigido a 192.168.0.1:
iptables -I OUTPUT -p tcp --dest 192.168.0.1 -j
DROP
Permitir tráfico Web:
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
Permitir tráfico al puerto 2003 para localhost:
iptables -I INPUT -s 12.0.0.1 -p tcp --dport 2003
-j ACCEPT
Permitir tráfico HTTPS desde la dirección ip 10.2.2.4:
iptables -I INPUT -s 10.2.2.4 -p tcp -m tcp
--dport 443 -j DROP
Negar tráfico de salida a 192.2.4.0-192.2.4.255:
iptables -I OUTPUT -d 192.2.4.6.0/24 -j DROP

Permitir conexiones FTP (puerto 21) desde la dirección IP
11.22.33.44:
iptables -A INPUT -p tcp -m state --state NEW
--dport 21 --source 11.22.33.44
Permitir todo el tráfico entrante SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m
state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m
state --state ESTABLISHED -j ACCEPT
Permitir SSH saliente:
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m
iptables -A INPUT -i eth0 -p tcp --sport 22 -m

Permitir tráfico HTTP:
Permitir tráfico HTTPS:

Combinar reglas con multipuerto
iptables -A INPUT -i eth0 -p tcp -m multiport
--dports 22,80,443 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m multiport
--sports 22,80,443 -m state --state ESTABLISHED
-j ACCEPT

Reglas para bloquear tr´aﬁco
Bloquear todas las conexiones al puerto 21:
iptables -A INPUT -p tcp -m state --state NEW
--dport 21 -j DROP
Eliminar la primera regla de entrada:
iptables -D INPUT 1
Bloquear solicitudes ICMP (ping):
iptables -A INPUT -p icmp --icmp-type echo-request
-j DROP
iptables -A INPUT -i eth1 -p icmp --icmp-type
echo-request -j DROP

S´olo aceptar cierto tipo limitado de peticiones ICMP
iptables -A INPUT -p icmp --icmp-type echo-reply
-j ACCEPT
iptables -A INPUT -p icmp --icmp-type
destination-unreachable -j ACCEPT
time-exceeded -j ACCEPT
echo-request -j ACCEPT

Permitir tr´aﬁco DNS saliente
iptables -A OUTPUT -p udp -o eth0 --dport 53 -j
ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j
ACCEPT

Abrir un rango de puertos de entrada
iptables -A INPUT -m state --state NEW -m tcp -p
tcp --dport 7000:7010 -j ACCEPT

Abrir un rango de IPs
iptables -A INPUT -p tcp --destination-port 80 -m
iprange --src-range 192.168.1.100-192.168.1.200
-j ACCEPT

Limitar el número de conexiones
Se puede utilizar el módulo connlimit para crear estas restricciones.
Permitir 3 conexiones SSH por cliente:
iptables -A INPUT -p tcp --syn --dport 22 -m
connlimit --connlimit-above 3 -j REJECT
Limitar el número de conexiones HTTP a 20
iptables -p tcp --syn --dport 80 -m connlimit
--connlimit-above 20 --connlimit-mask 24 -j DROP
Donde:
--connlimit-above 3 : Match if the number of existing
connections is above 3.
--connlimit-mask 24 : Group hosts using the prefix length.
For IPv4, this must be a number between (including) 0 and
32.

Eliminar o aceptar paquetes desde una MAC Address
iptables -A INPUT -m mac --mac-source
00:0F:EA:91:04:08 -j DROP
iptables -A INPUT -p tcp --destination-port 22 -m
mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Prevenir ataques DoS
iptables -A INPUT -p tcp --dport 80 -m limit
--limit 25/minute --limit-burst 100 -j ACCEPT
Donde:
-Limit 25/minute : Limita a sólo 25 conexiones por minuto.
-Limit-burst 100: Indica que el valor de limit/minute
será forzado sólo después del número de conexiones en este
nivel.

Permitir redirecci´on de puertos
Ejemplo puerto 422 redirigimos al 22, con lo que podemos tener
conexiones al puerto 22 y al puerto 422 por ssh.
iptables -t nat -A PREROUTING -p tcp -d
192.168.102.37 --dport 422 -j DNAT --to
192.168.102.37:22

Guardar eventos en bit´acora
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG
--log-prefix ’’IP SPOOF A:’’
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Referencias Bibliogr´aﬁcas I

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Más contenido relacionado

La actualidad más candente

Destacado

Similar a Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Más de Francisco Medina

Último

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux