Cortafuegos doble pila en Linux
IPv4 & IPv6

Arturo Borrero Gonzalez <aborrero@cica.es>
Centro Informático Científico de A...
Recordatorio IPv4 & IPv6
Tamaño:
IPv4 → 232 direcciones
IPv6 → 2128 direcciones
Del tipo:
IPv4 → 192.168.1.1 - 150.214.5.8...
Recordatorio cortafuegos Linux

· Proyecto Netfilter <netfilter.org>
· Desde Linux ~ 2.4
· Evolución del framework:
ipchai...
Dual stack IPv4 & IPv6
· Descrito en RFC-4213
· Método recomendado para despliegue IPv6 (vs tunel y otros)
· Basado en DNS...
Dual stack IPv4 & IPv6
Idealmente, todo el direccionamiento es doble

CICA - 2013
Junta de Andalucía

Arturo Borrero Gonzá...
Dual stack, consideraciones
¡Gestión por duplicado de la red!
• 2x direccionamientos para gestionar
• 2x tablas de enrutam...
Dual stack, consideraciones
¿2 cortafuegos?
• Netfilter no trabajar en dual stack :-(
• Dos familias distintas: iptables v...
El problema del cortafuegos
Elige sólo una opción:
• No usar cortafuegos para IPv6 (no hay tráfico)
• No usar cortafuegos ...
La propuesta de CICA
Condiciones previas:
• Red dual stack IPv4 & IPv6 basada en DNS al 99.99%
• Queremos usar Linux y Net...
La propuesta de CICA
fw-admin
• Herramienta CLI, escrita en shell
• Pequeña capa de abstracción sobre iptables/ip6tables
•...
fw-admin
¿Que situaciones soporta?
• Reglas de iptables con y sin dual stack
• Resoluciones múltiples en DNS, tipo www.goo...
fw-admin
workflow básico
1.

Declarar variables
root@debian:~# fw-admin -a www.cica.es

2.

Usarlas
$IPT -A FORWARD -d $WW...
fw-admin
Comprobaciones y recarga de reglas

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
fw-admin
Declaración de reglas usando variables

Toda la funcionalidad de Netfilter es accesible directamente

CICA - 2013...
fw-admin
Formato ip[6]tables-save

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
fw-admin
Ficheros de datos en texto plano

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
fw-admin
Varias opciones, flexibilidad

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
fw-admin

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
fw-admin
¿puntos fuertes?
• ¡Documentado!
• Muy flexible
• Desarrollo muy abierto a mejoras y nuevas funciones
¿puntos déb...
¡Justo lo que estaba buscando!

Contáctame a <aborrero@cica.es> y te ayudo a implementarlo
CICA - 2013
Junta de Andalucía
...
!Lo quiero ya!
Código: https://github.com/aborrero/fw-admin

Paquete DEB o RPM: <aborrero@cica.es>

CICA - 2013
Junta de A...
GRACIAS
¿Preguntas?

CICA - 2013
Junta de Andalucía

Arturo Borrero González <aborrero@cica.es>
Upcoming SlideShare
Loading in …5
×

cortafuegos_doble_pila_linux

2,580
-1

Published on

Charla sobre cortafuegos en doble pila en linux para redes IPv4 e IPv6.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,580
On Slideshare
0
From Embeds
0
Number of Embeds
29
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

cortafuegos_doble_pila_linux

  1. 1. Cortafuegos doble pila en Linux IPv4 & IPv6 Arturo Borrero Gonzalez <aborrero@cica.es> Centro Informático Científico de Andalucía – CICA Consejería de Economía, Innovación, Ciencia y Empleo Junta de Andalucía La licencia de este documento es CC-BY-SA. Noviembre 2013
  2. 2. Recordatorio IPv4 & IPv6 Tamaño: IPv4 → 232 direcciones IPv6 → 2128 direcciones Del tipo: IPv4 → 192.168.1.1 - 150.214.5.83 IPv6 → fc00::1:1 - 2a00:9ac0:c1ca:6::83 En DNS: IPv4 → Registro tipo A IPv6 → Registro tipo AAAA CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  3. 3. Recordatorio cortafuegos Linux · Proyecto Netfilter <netfilter.org> · Desde Linux ~ 2.4 · Evolución del framework: ipchains → iptables → nftables · Actualmente: iptables -A FORWARD -m conntrack –ctstate ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT ip6tables -A FORWARD -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  4. 4. Dual stack IPv4 & IPv6 · Descrito en RFC-4213 · Método recomendado para despliegue IPv6 (vs tunel y otros) · Basado en DNS: → Un FQDN (www.cica.es) tiene doble resolución www.cica.es IN IN A AAAA 150.214.5.137 2a00:9ac0:c1ca:6::137 → El cliente obtiene ambos registros y decide qué protocolo usar CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  5. 5. Dual stack IPv4 & IPv6 Idealmente, todo el direccionamiento es doble CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  6. 6. Dual stack, consideraciones ¡Gestión por duplicado de la red! • 2x direccionamientos para gestionar • 2x tablas de enrutamiento • 2x registros en DNS • 2x cortafuegos ← !! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  7. 7. Dual stack, consideraciones ¿2 cortafuegos? • Netfilter no trabajar en dual stack :-( • Dos familias distintas: iptables vs ip6tables • Hay que escribir el cortafuegos 2 veces: root@debian:~# iptables -A FORWARD -p tcp -j ACCEPT root@debian:~# ip6tables -A FORWARD -p tcp -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  8. 8. El problema del cortafuegos Elige sólo una opción: • No usar cortafuegos para IPv6 (no hay tráfico) • No usar cortafuegos para IPv6 (se acepta todo) • Gestionar 2 cortafuegos, 2 rulesets ¡El cortafuegos puede ser un gran problema en IPv6! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  9. 9. La propuesta de CICA Condiciones previas: • Red dual stack IPv4 & IPv6 basada en DNS al 99.99% • Queremos usar Linux y Netfilter • No queremos demasiada abstracción a Netfilter • No queremos escribir 2 rulesets • Queremos software libre, a prueba de NSA ;-) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  10. 10. La propuesta de CICA fw-admin • Herramienta CLI, escrita en shell • Pequeña capa de abstracción sobre iptables/ip6tables • Ruleset válido para ambas familias • Algunos extras • Software libre! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  11. 11. fw-admin ¿Que situaciones soporta? • Reglas de iptables con y sin dual stack • Resoluciones múltiples en DNS, tipo www.google.es • No todo es filtrado: NAT, ipset, etc... • Cortafuegos en alta disponibilidad (otra historia...) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  12. 12. fw-admin workflow básico 1. Declarar variables root@debian:~# fw-admin -a www.cica.es 2. Usarlas $IPT -A FORWARD -d $WWW_CICA_ES -p tcp --dport 80 -j ACCEPT 3. Aplicar el ruleset root@debian:~# fw-admin --start rules CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  13. 13. fw-admin Comprobaciones y recarga de reglas CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  14. 14. fw-admin Declaración de reglas usando variables Toda la funcionalidad de Netfilter es accesible directamente CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  15. 15. fw-admin Formato ip[6]tables-save CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  16. 16. fw-admin Ficheros de datos en texto plano CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  17. 17. fw-admin Varias opciones, flexibilidad CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  18. 18. fw-admin CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  19. 19. fw-admin ¿puntos fuertes? • ¡Documentado! • Muy flexible • Desarrollo muy abierto a mejoras y nuevas funciones ¿puntos débiles? • Poco extendido (quizás nada) • Demasiado enfocado al entorno CICA (evidente) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  20. 20. ¡Justo lo que estaba buscando! Contáctame a <aborrero@cica.es> y te ayudo a implementarlo CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  21. 21. !Lo quiero ya! Código: https://github.com/aborrero/fw-admin Paquete DEB o RPM: <aborrero@cica.es> CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  22. 22. GRACIAS ¿Preguntas? CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>

×