firewall
Upcoming SlideShare
Loading in...5
×
 

firewall

on

  • 1,957 views

linux y firewall

linux y firewall

Statistics

Views

Total Views
1,957
Views on SlideShare
1,953
Embed Views
4

Actions

Likes
0
Downloads
143
Comments
0

1 Embed 4

http://www.slideshare.net 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

firewall firewall Presentation Transcript

  •  
    • Un Firewall es un hardware específico con un sistema operativo que filtra el tráfico TCP/UDP/ICMP y decide si un paquete pasa, se modifica, se convierte o se descarta.
    • Para que un Firewall entre redes funcione como tal debe tener al menos dos tarjetas de red.
    • ipfwadm - Jos Vos (1996)
    • Ya en el espacio de usuario
    • ipchains - Paul "Rusty" Russel et al (1998)
    • iptables - Paul "Rusty" Russel (1999)
    • iptables mejorado - Paul "Rusty“ (2003)
  •  
  •  
  • QUE PUEDE HACER UN FIREWALL?
  • QUE NO PUEDE HACER UN FIREWALL?
  • ESTRATEGIAS DE SEGURIDAD
  • COMO IMPLEMENTAR UN FIREWALL
  • NIVELES TCP/IP - TIPOS DE FIREWALL.
  •  
  •  
  •  
    • Registro eficiente de conexiones
    • Capacidad de filtrado inteligente/caching.
    • Autenticación de usuarios.
    • Protección automática para debilidades en la implementación
    • Los servicios PROXY son más lentos que los servicios no PROXY
    • Los servicios PROXY por lo general requieren de modificaciones a los clientes, a los procedimientos o a ambos
    • Los servicios PROXY no lo protegen de todas las debilidades de los protocolos
  • FIREWALL - FILTRADO DE PAQUETES
  • FIREWALL - FILTRADO DE PAQUETES
  • CRITERIOS DE FILTRADO
  •  
  • CONFIGURACION DE UN FILTRADO DE PAQUETES
    • política de seguridad Definir qué se permite y qué se prohíbe, y, el tráfico al que debe darse paso y el que debe cortarse.
    • definición de reglas Debe especificarse qué paquetes son permisibles por medio de expresiones lógicas función de los campos de dichos paquetes.
    • escritura de reglas Traducir las especificaciones al lenguaje que el software de filtrado soporta
    • netfilter: es un componente del núcleo Linux (desde la versión 2.4) encargado de la manipulación de paquetes de red, que permite:
    • Filtrado de paquetes
    • Traducción de direcciones (NAT)
    • Modificación de paquetes
    NETFILTER/IPTABLES
  • FLUJO DE PAQUETES A TRAVÉS DE NETFILTER
  • FUNCIONAMIENTO
    • Para cada paquete, en función del procesamiento que vaya a sufrir, se consulta la cadena que corresponda a su situación dentro de netfilter.
    • Dentro de cada cadena las reglas se inspeccionan secuencialmente [orden de reglas importante]
    • Si el paquete encaja con las condiciones de una regla, se ejecuta la acción correspondiente y se abandona la cadena.
    • Si el paquete no encaja con ninguna regla, se le aplica la política por defecto que se haya asignado a esa cadena.
  • NETFILTER/IPTABLES
    • iptables: es una herramienta/aplicaci´on (forma parte del proyecto net-filter) que hace uso de la infraestructura que ofrece netfilter para construir y configurar firewalls
    • Permite definir políticas de filtrado, de NAT y realizar logs remplaza a herramientas anteriores: ifwadmin, ipchains
    • Puede usar las capacidades de seguimiento de conexiones net-filter para definir firewalls con estado
  • IPTABLES
    • La definición de reglas para iptables está definida usando comandos.
    • Estructura general de cada comando:
    • Tabla
    • Comando
    • Cadena
    • Regla
  • IPTABLES-TABLAS
    • TABLAS. Se corresponden con los distintos tipos de procesamiento que se pueden aplicar sobre los paquetes.
    • Tablas disponibles:
  • IPTABLES-CADENAS
    • CADENAS: Contienen las listas de reglas a aplicar sobre los paquetes
    • Cadenas predeterminadas:
  • CÓMO SE EXAMINAN LAS CADENAS [TABLA FILTER]
  • CÓMO SE EXAMINAN LAS CADENAS [TABLA NAT]
  • IPTABLES-OPCIONES DE COMANDOS
    • -A  Añade la regla iptables al final de la cadena especificada. Este es el comando utilizado para simplemente añadir una regla cuando el orden de las reglas en la cadena no importa.
    • -C  Verifica una regla en particular antes de añadirla en la cadena especificada por el usuario. Este comando puede ser de ayuda para construir reglas iptables complejas pidiéndole que introduzca parámetros y opciones adicionales.
    • -D  Borra una regla de una cadena en particular por número (como el 5 para la quinta regla de una cadena). Puede también teclear la regla entera e iptables borrará la regla en la cadena que corresponda.
    • -E  Renombra una cadena definida por el usuario. Esto no afecta la estructura de la tabla.
    • -F  Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica ninguna cadena, este comando libera cada regla de cada cadena.
  • IPTABLES-OPCIONES DE COMANDOS
    • -h  Proporciona una lista de estructuras de comandos, así como también un resumen rápido de parámetros de comandos y opciones.
    • -I  Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Si no se especifica ningún número, iptables colocará el comando en el tope de la cadena.
    • -L  Lista todas las reglas de la cadena especificada tras el comando. Para ver una lista de todas las reglas en todas las cadenas en la tabla por defecto filter, no especifique ninguna cadena o tabla.
    • -N  Crea una nueva cadena con un nombre especificado por el usuario.
    • -P  Configura la política por defecto para una cadena en particular, de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, serán enviados a un objetivo en particular, como puedan ser ACCEPT o DROP.
  • PARAMETROS PRINCIPALES
    • -p  protocolo del paquete. Puede tomar los valores tcp,udp,icmp o all (ip).
    • -s  origen del paquete. Puede ser un nombre de máquina, una IP, una red completa especificada como dirección/máscara, etc.
    • --sport  puerto origen, se puede especificar el puerto de origen del paquete, o un rango de puertos puertoinicio-puertofinal siendo los valores por defecto para estos 0 y 65535 (=2e16 -1)
    • -d  destino del paquete. Exactamente igual que en el caso anterior
    • --dport  análogo a sport para el puerto destino.
    • -i  interfaz por el que el paquete es recibido, para paquetes en la cadena de entrada
    • -o  interfaz de salida del paquete en el caso de las cadena de salida o de redireccionamiento (forward).
  • ACCIONES O TARGETS
    • ACCEPT (aceptar)
    • Este destino hace que Iptables acepte el paquete.
    • DROP (descartar)
    • Este destino hace que Iptables descarte el paquete sin ningún otro tipo de procesamiento. El paquete simplemente desaparece sin indicación de que fue descartado al ser entregado a la terminal de envío o a una aplicación.
    • REJECT (rechazo)
    • Este destino tiene el mismo efecto que 'DROP', salvo que envía un paquete de error a quien envió originalmente. Se usa principalmente en las cadenas de ENTRADA y de REDIRECCIÓN de la tabla de filtrado.
  • SINTAXIS
    • Iptables–t tabla comando cadena definicion_regla –j target
    • Tabla puede ser nat , filter o mangle ;
    • Comando puede ser –A, -D, -L, -F, -I;
    • Cadena puede ser INPUT, OUTPUT, FORWARD;
    • target puede ser ACCEPT o DROP.
    • #!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables ## Ejemplo de script para proteger la propia máquina ## Pello Xabier Altadill Izura ## www.pello.info - pello@pello.info
    • echo -n Aplicando Reglas de Firewall...
    • ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F
    • ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
    • ## Empezamos a filtrar
    • # El localhost se deja (por ejemplo conexiones locales a mysql) /sbin/iptables -A INPUT -i lo -j ACCEPT
    • # A nuestra IP le dejamos todo iptables -A INPUT -s 195.65.34.234 -j ACCEPT
    • # A un colega le dejamos entrar al mysql para que mantenga la BBDD iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j ACCEPT
    • # A un diseñador le dejamos usar el FTP iptables -A INPUT -s 80.37.45.194 -p tcp -dport 20:21 -j ACCEPT
    • # El puerto 80 de www debe estar abierto, es un servidor web. iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    • # Cerramos rango de los puertos privilegiados. Cuidado con este tipo de # barreras, antes hay que abrir a los que si tienen acceso. iptables -A INPUT -p tcp --dport 1:1024 -j DROP iptables -A INPUT -p udp --dport 1:1024 -j DROP
    • # Cerramos otros puertos que estan abiertos iptables -A INPUT -p tcp --dport 3306 -j DROP iptables -A INPUT -p tcp --dport 10000 -j DROP iptables -A INPUT -p udp --dport 10000 -j DROP
    • NetworkAddressTranslation
    • Consiste en cambiar la dirección de origen y/o destino de un datagramaIP, al pasar por un elemento de red (router, firewall, switch, host, etc).
    • La motivación para el cambio viene de diversas fuentes: necesidad, diseño y/o seguridad
    • Estático: Una dirección tiene asociada otra dirección fija que siempre se usará al cambiar.
    • Dinámica: Una dirección no tiene asociación fija, por tanto seráreemplazada por otra elegida dinámicamente.
    • Masquerading: También conocido como NAPT, se asigna dinámicamente una dirección y puerto para realizar el cambio.
  •  
  •  
  •  
    • Necesidad: Se tiene un número insuficiente de direcciones IP públicas, por lo que se deben asociar un varias direcciones privadas a unas pocas direcciones públicas.
    • Diseño : Se quiere ocultar la topología local de una red, enmascarándola a través de NAT.
    • Seguridad: Mediante el uso de NAT se puede tener un control implícito de que tráfico de “entrada” está permitido.
    • Direcciones de origen (SNAT).
    • Direcciones de destino (DNAT).
    • PREROUTING (DNAT)
    • OUTPUT (DNAT)
    • POSTROUTING (SNAT)
    • SNAT: Traducción de direcciones privadas a direcciones públicas de Internet.
    • DNAT: Redirección.
    • Direcciones IP estáticas
    • iptables –t nat –A POSTROUTING –o $PUB – j SNAT –to 200.33.44.5
    • Direcciones IP dinámicas
    • iptables –t nat –A POSTROUTING –o $PUB – j MASQUERADE
    • iptables –t nat –A PREROUTING –i $PUB
    • – p tcp –d 200.33.44.5 --dport 80
    • – j DNAT --to 10.0.0.5 # HTTP
    • iptables –t nat –A PREROUTING –i $PUB
    • – p tcp –d 200.33.44.5 --dport 25
    • – j DNAT --to 10.0.0.8 # SMTP
    • iptables –t nat –A PREROUTING –i $PUB
    • – p tcp –d 200.33.44.5 --dport 53
    • – j DNAT --to 10.0.0.2 # DNS
  • IPFWADM
    • Se utiliza para mantener, configurar e inspeccionar el firewall y las normas de cuenta en el Kernel de linux. Estas normas pueden dividirse en 4 categorias:
    • Cuenta de paquetes de IP
    • Firewall de entrada de IP
    • Firewall de salida de IP
    • Firewall de envio de IP
  • SINTAXIS BASICA
    • ifwadm {rule_category} {policy_action} {policy} {interface} {target}
    • Rule_category: Tipo de norma que esta definiendo.
    • Policy_action: E s lo que quiere hacer con ésta(insertar,adjuntar, o borrar)
    • Policy: Es lo que quiere hacer con el tráfico especificado(aceptarlo,negarlo o rechazarlo)
    • Interface: Interfaz de la red a la que quiero aplicar estas normas
    • Target: El objetivo es la direccion IP(o puerto).
  • CATEGORÍA DE NORMAS
    • -A [direction]  Para especificar las normas de cuenta de IP. Direction puede ser in, out.
    • -F  Para especificar las normas de envío, o normas de las rutas corrientes de Internet.
    • -I  Para especificar las normas de filtrado de entrada.
    • -M  Para las normas de enmascaramiento de IP
    • -O  Para especificar las normas de filtrado de salida.
  • COMANDOS IPFWADM
    • -a [normativa]  Para adjuntar una normativa.
    • -d [normativa]  Para borrar una normativa.
    • -f  Para limpiar todas las normativas.
    • -h  Para conseguir ayuda.
    • -i [normativa]  Para insertar una normativa.
    • -I  Para enumerar todas las normativas
    • -p  Para cambiar las normativas por defecto.
    • accept  Esta es la acción por defecto y lo que hace es “aceptar” el paquete.
    • reject  Esta acción “rechaza” el paquete (envía un paquete de “rechazo”
    • al origen)
    • deny  Esta acción “deniega” el paquete (no envía nada al origen)
    • -D [direccion]  Para especificar la dirección de destino.
    • -P [protocolo]  Para especificar el protocolo.
    • -S [dirección]  Para especificar la dirección fuente.
    • -W [interfaz]  Para especificar la interfaz de red a la que aplica la normativa.
    • -b  Para aplicar la normativa actual al tráfico entrante o saliente.
    • -e  Para obtener una salida más extensa.
    • -m  Para especificar que los paquetes bajo la normativa estaran enmascarados.
    • -n  Para mostrar toda la información en formato numérico.
    • -o  Para activar el loggin Kernel
    • -r [puerto]  Para redirigir los paquetes hacia un socket local.
    • -v  para obtener salida ampulosa.
    • Especificar las normas en el script inicial rc.local
    • ipfwadm –I –p deny
    • ipfwadm –O –p deny
    • ipfwadm –F –p deny
    • ipfwadm –I –a accept –V 172.16.0.1 –S 0.0.0.0./0 -D 0.0.0.0/0
    • ipfwadm –O –a accept –V 172.16.0.1 –S 0.0.0.0./0 -D 0.0.0.0/0
    • A medida que define sus normas, ipfwadm las asignará a varios archivos en /proc/net, incluidos los siguientes.
    • -rw-r--r-- 1 root root 0 Nov 29 09:03 ip_acct
    • -rw-r--r-- 1 root root 0 Nov 29 09:03 ip_forward
    • -rw-r--r-- 1 root root 0 Nov 29 09:03 ip_input
    • -r--r--r-- 1 root root 0 Nov 29 09:03 ip_masq_app
    • -r--r--r-- 1 root root 0 Nov 29 09:03 ip_masquerade
    • -rw-r--r-- 1 root root 0 Nov 29 09:03 ip_output
    • Mediante la utilidad ipchains , se puede manipular el conjunto de reglas de filtrado, que residen en una tabla del kernel. Las reglas están agrupadas en cadenas (chains) , que son simplemente conjuntos de reglas que están lógicamente relacionadas.
    • Por defecto, existen tres juegos de reglas:
    • input : Se activan a la entrada de un paquete en un interfaz
    • output : Se activan a la salida de un paquete de un interfaz
    • forward : Se activan al tomar decisiones de enrutado (masquerading).
  • COMANDOS IPCHAINS
    • -A[normativa]  Para agregar una norma a la cadena.
    • -D [normativa]  Para borrar una norma de una cadena.
    • -F  Para limpiar todas las normas de una cadena.
    • -R  Para reemplazar una norma en una cadena.
    • -I [normativa]  Para insertar una norma en una cadena.
    • -L  Para listar todas las normas de una cadena.
    • -P  Para cambiar las normativas por defecto.
    • ACCEPT  Esta es la acción por defecto y lo que hace es “aceptar” el paquete
    • REJECT  Esta acción “rechaza” el paquete (envía un paquete de “rechazo” al origen)
    • DENY  Esta acción “deniega” el paquete (no envía nada al origen)
    • REDIRECT ((puerto))  Esta acción redirecciona el paquete a otro puerto (no a otra dirección)
    • MASQ  Esta acción “enmascara” el paquete cambiándole la dirección origen o destino del paquete (dependiendo de donde y hacia donde va) y solo se puede aplicar en la cadena de FORWARD.
    • -v : Esta opción te permite ver con más detalle las reglas,.
    • -n : Esta opción muestra los números de IP de cada regla y no trata de hacer la traducción a nombres consultando un DNS.
    • – line-numbers : Muestra los números de línea de cada regla.
    • -l : Esta opción genera que cada vez que un paquete coincida con la regla que tiene un “-l”, se guarde en los archivos del syslog una línea indicando toda la información del paquete que coincidió con la regla y el número de regla con la que coincidió.
    • -b : Esta opción genera que se armen dos reglas en vez de una, la segunda regla se agrega automáticamente intercambiando la dirección origen por la destino y viceversa.
    • política Queremos que la red pueda recibir correo (puerto 25), aunque solamente a través de la pasarela de correo (relay.mired.com). El correo desde spammers.com debe ser bloqueado siempre.
    • reglas La siguiente tabla resumiría la situación
    • escritura de reglas Traducidas para ipchains, tendríamos algo como esto
    • ipchains -A input -j DENY -p TCP -s spammers.com -d 156.35.0.0/16
    • ipchains -A input -j ACCEPT -p TCP -s 0/0 -d relay smtp
    • Una forma aparente de implementar la política “todos los hosts internos pueden enviar correo al exterior” podría ser esta:
    • Sin embargo, no tenemos control sobre el uso que del puerto 25 puedan hacer hosts externos subvirtiendo nuestra política cuidadosamente consignada. Con una notación mejor esto se solventa:
    • Se soportan cadenas arbitrarias, incluso cadenas de construcción que tienen nombres completos en lugar de flags (ej. `input ' en lugar de ` -I ').
    • La opción ` -k ' ha desaparecido: use `! -y '.
    • La opción ` -b ' realmente inserta/adiciona/borra dos reglas, en lugar de una sola regla 'bidireccional'.
    • La opción ` -b ' puede pasarse a ` -C ' para hacer dos chequos (uno en cada dirección).
    • La opción ` -x ' para ` -l ' se ha reemplazado por ` -v '.
    • Múltiples puertos de orígen y destino no son soportados más. Pudiendo negar un rango de puertos que puede hacer mas que eso.
    • Las interfaces sólo pueden ser especificadas por nombre (no por dirección).
    • Los fragmentos son examinados, no se permiten que crucen automáticamente.
    • Los protocolos arbitrarios por encima de IP pueden probarse.
    • El viejo comportamiento de los emparejamientos de SYN y ACK (previamente ignorados para paquetes NO-TCP) ha cambiado. la opción de SYN no es válida para las reglas que no especificas de TCP.
    • Los contadores son ahora de 64 bits en máquinas de 32 bits, no de 32 bits.
    • Se soportan opciones inversas ahora.
    • Códigos ICMP son ahora soportados.
    • Bajo iptables, cada paquete filtrado se procesa únicamente usando las reglas de una cadena solamente, en lugar de hacerse con múltiples. Por ejemplo, un paquete FORWARD que llega al sistema usando ipchains tendrá que pasar por las cadenas INPUT, FORWARD, y OUTPUT para llegar a su destino. Sin embargo, iptables sólo envía paquetes a la cadena INPUT si su destino es el sistema local y tan sólo los envía a la cadena OUTPUT si el sistema local es quien genera los paquetes. Por esta razón, es importante que coloque la regla designada para capturar un paquete particular dentro de la regla que en verdad maneja el paquete.
    • El objetivo DENY ha sido cambiado a DROP. En ipchains, los paquetes que coincidan una regla en una cadena podrían ser dirigidos al objetivo DENY. Este objetivo debe ser cambiado a DROP bajo iptables.
    • El orden es importante cuando se esten colocando opciones en una regla. Anteriormente, con ipchains, el orden de las opciones de una regla no importaba. El comando iptables usa una sintaxis más estricta. En comandos iptables, el protocol (ICMP, TCP o UDP) debe ser especificado antes del puerto fuente o destino.
    • Cuando especificamos las interfaces de red que vamos a usar en una regla, deberemos utilizar sólo interfaces de entrada (opción -i) con cadenas INPUT o FORWARD y las de salida (opción -o) con cadenas FORWARD o OUTPUT. Esto es necesario debido al hecho de que las cadenas OUTPUT no se utilizan más con las interfaces de entrada, y las cadenas INPUT no son vistas por los paquetes que se mueven hacia las interfaces de salida.
    • Es una herramienta simple que sirve para monitorear y controlar el tráfico que llega por la red. Esta herramienta ha sido utilizada exitosamente en la protección de sistemas y la detección de actividades ilícitas. Fue desarrollada por Wietze Zweitze Venema y esta basada en el concepto de Wrapper; es una herramienta de seguridad libre y muy útil.
    • Un Wrapper es un programa para controlar el acceso a un segundo programa. El Wrapper literalmente cubre la identidad del segundo programa, obteniendo con esto un más alto nivel de seguridad
      • Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles y simples de validar.
      • Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser actualizado sin necesidad de cambiar el Wrapper.
      • Debido a que los Wrappers llaman al programa protegido mediante la llamada al sistema estándar exec(), se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger.
    • tcpd: Es el demonio del TCP-Wrappers.
    • tcpdmatch: Predice como el tcpd manejaría una petición en específico.
    • tcpdchk: Verifica las reglas de control de acceso contenidas en los archivos /etc/hosts.allow y /etc/hosts.deny.
    • safe-finger: Versión de finger para implementar el finger reversivo.
    • try-from : Programa que permite probar si el sistema es capaz de reconocer qué máquina la esta contactando.
  • Operador Descripción ALL . Si este comodin aparece en la lista de demonios dentro de una regla de control de acceso, entonces coincide con cualquier nombre de demonios de red del sistema. Si aparece en la lista de clientes, entonces coincide con cualquier nombre o dirección de máquinas cliente. LOCAL . Este comodín coincide con cualquier cadena que no contenga el carácter ".", su principal uso se encuentra en la lista de clientes. EXCEPT . EXCEPT funciona como un operador que tiene un uso esperado de la siguiente forma: lista_1 EXCEPT lista_2; lo cual coincide todo lo que se encuentre en la lista_1 a menos de que se encuentre en la lista_2.
    • %a . Estos caracteres se expanden a la dirección de la máquina cliente.
    • %h . Estos caracteres se expanden al nombre de la máquina cliente (o la dirección si el nombre no está disponible).
    • %d . Estos caracteres se expanden al nombre del demonio del servicio de red correspondiente a la petición.
    • %p . Estos caracteres se expanden al identificador del proceso del demonio del servicio de red correspondiente
    • %c . Este caracter se expande a la información del cliente ya sea el nombre de la cuenta junto con la dirección o nombre de la máquina cliente, dependiendo de cuánta información esté disponible.
    • El tcpd revisa que servicio está siendo solicitado y desde donde con base a reglas de control de acceso que se encuentran en los siguientes archivos (normalmente ubicados bajo el directorio /etc):
      • hosts.allow . Contiene las reglas que especifican las máquinas y servicios que están autorizados
      • hosts.deny . Contiene las reglas que especifican las máquinas y servicios que NO están autorizados
    • list-daemons : list-hosts [ : comando-shell ]
    list-daemons Lista de los nombres de los demonios (servicios). list-hosts Lista de nombres, direcciones, o patrones de hosts que serán comparados con el nombre o dirección del host cliente que realiza la petición del servicio. Esta comparación se realiza de manera secuencial, línea por línea empezando por el archivo hosts.allow y terminando por el archivo hosts.deny. La búsqueda se suspende cuando una regla de control de acceso es activada. comando-shell Comando que podemos ejecutar, normalmente se utiliza para implementar anzuelos.
    • /etc/host.deny
    • # Niega todos los servicios a todas las maquinas cliente a menos de que
    • # estén especificadas en el archivo hosts.allow
    • ALL:ALL
    • /etc/hosts.allow
    • # En la primera regla se permite el acceso a los servicios de finger y ftp
    • # solamente al dominio .dominio.mx
    • in.fingerd, in.ftpd:.dominio.mx
    • # En la segunda regla se permite el acceso a todos los servicios de red
    • # solamente a máquinas que van desde la 132.111.222.8 a la 132.111.222.255
    • ALL:132.111.222.
    • Archivo tcpd.log
    • Sep 25 20:57:04 server in.fingerd[1698]: connect from 132.111.222.3
    • Sep 25 20:59:24 server in.telnetd[1706]: refused connect from 132.111.222.3
    • Sep 25 21:02:38 server in.fingerd[1721]: connect from 132.111.222.8
    • Sep 25 21:03:50 server in.fingerd[1727]: refused connect from otro.dominio.mx
    • /etc/hosts.deny
    • # Niega todos los servicios a todos las máquinas excepto a una en específico: 132.111.222.8
    • ALL:ALL EXCEPT 132.111.222.8
    • Archivo tcpd.log
    • Sep 22 13:35:44 server in.fingerd[18227]: refused connect from 132.111.222.9
    • Sep 22 13:37:39 server in.fingerd[18235]: connect from 132.111.222.8
    • /etc/hosts.deny
    • # No se permite el acceso a los hosts que van desde la
    • # dirección 132.111.222.0 hasta la 132.111.222.7
    • ALL:132.111.222.0/255.255.255.248
    •  
    • Archivo tcpd.log
    • Nov 24 16:04:33 server in.ftpd[28591]: refused connect from 132.111.222.3
    • Nov 24 16:05:04 server in.ftpd[28595]: connect from 132.111.222.21
    • /etc/hosts.allow
    • # Se permite el acceso a todo mundo menos a las máquinas de la red local
    • ALL:ALL EXCEPT LOCAL
    • Archivo tcpd.log
    • Aug 16 23:59:42 server in.telnetd[13347]: refused connect from hwisk
    • Integrantes:
    • Carlos Zambrano
    • Elena Cárdenas
    • Irma Naranjo
    • Dick Vera