Firewall

2,697 views

Published on

Iptables, DHCP, Squid, Pentesting, Security IT

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,697
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
66
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Firewall

  1. 1. MARAVENTO STUDIO | TEC N’ SEC This HowTO by Maravento is licensed under a Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional License. Creado a partir de la obra en maravento.com. Puede hallar permisos más allá de los concedidos con esta licencia en maravento.com MARAVENTO STUDIO FIREWALL
  2. 2. Firewall maravento.com/2013/03/firewall.html ACEPTAR O DENEGAR HTTPS En el artículo “Bloqueo de p2p, redes sociales y messengers” dimos algunas herramientas para que el Administrador IT pudiera bloquear las conexiones p2p y https en su red local, las cuales se centraban en afectar el archivo host, sin embargo el inconveniente es que algunos antivirus (Microsoft Essential Security, etc), eliminan estas modificaciones y restaura el host. También ofrecimos algunos archivos .reg para afectar registro de Windows de los clientes e impedir la ejecución de ciertos programas en sus terminales, como ares, ultrasurf, tor, utorrent, eMule, bittorrent y un largo etc, pero hay programas como Malwarebytes que eliminan estas modificaciones. Si bien puede surtir los efectos deseados en redes pequeñas y altamente controlables, esta alternativa aplica si los clientes de la red local son Windows. Con MacOS o Linux es virtualmente imposible. Esto sin mencionar los que acceden con sus smartphones, tabletas y demás dispositivos portables, con una variedad de sistemas operativos fuera del alcance del Administrador IT. Ante esta situación solo nos queda un camino: suicidarnos… Mejor usar a los superhéroes Batman y Robin: IPTABLES y SQUID entre nuestra red local e internet, para filtrar el contenido. Nota: Para los amantes de Windows Server, lamentamos informarles que Microsoft decidió usar servidores Linux para Skype. 8080 o 3128: ESA ES LA CUESTION Saltándonos la explicación de cómo funciona IPTABLES y SQUID, se presenta un gran dilema al aplicar las políticas restrictivas en un servidor proxy: Usamos un Proxy Cache No-Transparente (Todas las peticiones van al puerto 3128 por default) o un Proxy Cache Transparente (Redirección de todas las peticiones del 80 al puerto 8080 Transparent por default). Si elegimos un Proxy Cache (3128) sin la cláusula transparent o intercept (depende de la versión), Squid "filtrará" las peticiones HTTPS, que a fin de cuentas es el objetivo de este artículo y el látigo que azota a los Administrador IT, que intentan frenar a sus usuarios para que no se la pasen metidos en las redes sociales en horas laborales y dilapiden el preciado ancho de banda, pero esta configuración implica una carga laboral muy grande, ya que el Administrador IT tendría que configurar los navegadores web de todos los equipos de su red local para que apunten a la ip del proxy y al puerto, bien sea usando el protocolo WPAD (lo cual no es muy recomendado por su vulnerabilidad) o manualmente. 1/11
  3. 3. Esta selección se vuelve inmanejable si tenemos en cuenta que hay que configurar smartphones, tabletas y demás dispositivos portables, y a los visitantes ocasionales procedentes de otras redes con diferentes configuraciones. Si bien existen scripts que hacen este trabajo, no están diseñados o no funcionan bien fuera del entorno Windows. Caso contrario, si el Administrador IT se decanta por un Proxy Transparente, no tendría que hacer esta tediosa tarea, pero no puede filtrar las peticiones HTTPS (443) ya que SQUID no filtra HTTPS en modo transparente (aunque otros afirman lo contrario). Lo anterior se traduce en que cualquier novato puede saltarse la protección del proxy y ganar acceso al centro mundial del chisme (facebook) con solo ponerle una "S" al final de HTTP, o usar un túnel VPN, o los escurridizos Tor o Ultrasurf . Antes que lo considere, no pierda el tiempo redireccionando las peticiones del 443 al 8080, porque el navegador web no podría verificar los certificados de seguridad SSL procedentes de estas conexiones seguras y se presenta el típico error de certificado SSL. Y si piensan que la solución es crear certificados propios SSL o un man-in-the- middle, aparte del trabajo adicional que implica y de la ralentización del tráfico, es algo considerado por la comunidad como una invasión a la privacidad... En fín; otra pérdida de tiempo. Sin embargo hay algo que podemos hacer y es ofrecer lo mejor de ambos mundos y obtener un buen resultado bastante satisfactorio. En otras palabras, podemos establecer un Proxy Transparente y a la vez filtrar las peticiones HTTPS con una solución muy simple: agregando un par de líneas en el Firewall de Linux IPtables. ANTES DE COMENZAR Las siguientes técnicas están basadas en los principios de los NGFW (Next Generation Firewalls), con un esquema de seguridad en el cual solo lo legitimo y autorizado es permitido, bloqueando todo lo demás, sin embargo se ofrece la posibilidad de hacerlo a la inversa, o sea, permitir todo y bloquear urls o ips específicas, pero esta última no la recomendamos, por carecer de estándares básicos de seguridad, sin embargo queda a juicio del administrador TI usar una técnica u otra. Tenga en cuenta que el filtrado IP a través del firewall, que a continuación se describirá, demanda grandes cantidades de recursos de servidor. Uselo a discresión. El Firewall IPtables viene por defecto en muchas distribuciones de Linux, pero su ubicación puede variar. Para saberlo use los comandos 'which' o 'whereis'. ~$ which iptables /sbin/iptables Luego haga el script de IPtables con los datos aportados por los comandos y colóquelo en init.d, especificando la ruta del IPTables, tal y como aparece abajo. Sin importar la política por default que se aplique en iptables, se recomienda SIEMPRE, cerrar todo al final del script. Esto es con el objeto de cerrar algún puerto abierto declarado en alguna regla específica, pero no cerrado explícitamente para el resto.También se aclara que el iptables no agrega las reglas en el orden del script sino en su propio orden. Para mayor información, lea el Capítulo 3 de Iptables Turorial 1.1.19 Script de iptables #!/bin/bash ### BEGIN INIT INFO # Provides: iptables # Required-Start: $remote_fs $syslog $network # Required-Stop: $remote_fs $syslog $network # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: Start daemon at boot time # Description: iptables for gateproxy.com 2/11
  4. 4. # Written: Maravento.com and Novatoz.com # Ejecute root: chmod +x /etc/init.d/iptables.sh # Verifique con: iptables -L -n o iptables -nvL # verifique puertos: /etc/services ### END INIT INFO #------------------------------------------------------- echo IPTABLES FIREWALL START... ###################### ### FIREWALL RULES ### ###################### echo Load Firewall Rules... internet=eth0 lan=eth1 local=192.168.1.0 iptables=/sbin/iptables ip6tables=/sbin/ip6tables route=/etc/acl proxyport1=3128 proxyport2=8080 netmask=24 # reemplace los DNS por los de su ISP DNS1=8.8.8.8 DNS2=8.8.4.4 # reemplace la mac de administrador sysadmin="00:00:00:00:00:00" echo Apply Flush Rules... # Zero all packets and counters $iptables -F $iptables -X $iptables -t nat -F $iptables -t nat -X $iptables -t mangle -F $iptables -t mangle -X $iptables -t raw -F $iptables -t raw -X $iptables -t security -F $iptables -t security -X $iptables -Z $iptables -t nat -Z $iptables -t mangle -Z # Preload required kernel modules # modules (consulte con lsmod) modprobe=/sbin/modprobe arp=/usr/sbin/arp 3/11
  5. 5. # Adicional modules sysctl=/sbin/sysctl rmmod=/sbin/rmmod lsmod=/sbin/lsmod depmod=/sbin/depmod grep=/bin/grep awk=/usr/bin/awk # modprobe # ls /lib/modules/*/kernel/net/*/netfilter/ $modprobe ip_tables $modprobe iptable_nat $modprobe iptable_mangle $modprobe iptable_filter $modprobe ipt_REJECT $modprobe nf_nat $modprobe nf_conntrack $modprobe ip_conntrack_irc $modprobe nf_conntrack_ipv4 $modprobe nf_conntrack_ftp $modprobe xt_connlimit $modprobe ipt_recent $modprobe xt_NFLOG # Activar ip forward rules. Ponga el resto de las reglas en /etc/sysctl.conf # Para mayor informacion, visite https://klaver.it/linux/sysctl.conf echo 1 > /proc/sys/net/ipv4/ip_forward echo ok En la cabecera del script de colocan las siguientes variables: route: es la variable que sustituye la ruta en el IPtables donde el Administrador IT ubicará las ACLs internet: es eth0, la interfaz que recibe el internet del exterior lan es eth1, la interfaz que maneja la red local adminMAC: la variable que contiene la/s MAC/s de administración del IPtables, o de acceso a los puertos SSH/VNC/WEBMIN iptables: contiene la ubicación del IPtables proxyport: el puerto que define el proxy default. Ej: 8080 netmask: define la máscara de red. alias: una serie de símbolos que usaremos en la regla, para validarlos Es importante resaltar que las variables solo son para el script de IPTables. En el Squid no se usan, debido a que es un archivo de configuración, por tanto, para el caso de route hay que poner la ruta completa y no la variable. A continuación le podemos otorgar privilegios a sysadmin para los puertos SSH, Webmin, y VNC. Si hay más de un sysadmin debe colocar las macs en sysadmin, una después de las otras, separadas por un espacio. # PRIVILEGIOS SSH, WEBMIN, VNC PARA SYSADMIN $iptables -A INPUT -i $lan -m mac --mac-source $sysadmin -p tcp -m multiport --dports 22,10000,5900 -j ACCEPT Instalar Squid Para este procedimiento, instale Squid v2.x o v3.x, en dependencia de la versión de su distribución. 4/11
  6. 6. sudo apt-get install squid3 o sudo apt-get install squid Puerto del Proxy No se recomienda el uso puertos reservados para la configuración del Proxy (Ej: 80 (Internet), 53 (DNS), etc.) Puede consultar los puertos de servicios en /etc/services El puerto del Proxy debe ser predefinido por el Administrador IT al momento de la configuración. Squid usa por defecto el 3128, pero puede cambiarlo. Para activar el modo transparente (que no tengamos que configurar el navegador web) solo necesita agregarle al puerto la palabra "transparent" (para Squid 2.6 o superior) o "intercept" (Para Squid 3.1 o superior) después del puerto elegido (Vea Directiva http_port). Para los efectos de este artículo, usaremos el puerto 8080 en modo transparente y versión 3x de Squid. # Default Squid Listens to Port 3128 http_port 8080 intercept Diferencia entre distros de Linux IPtables difiere en cada versión de Linux. Lea el post de Nico Schottelius para solucionarlo. Tenga en cuenta a la hora de configurar su iptables, el error de squid3 No forward-proxy ports configured CONFIGURANDO IPTABLES Solo mencionaremos la parte del filtrado HTTPS y otras recomendaciones. Asumimos que ya tienen el script iptables.sh (Por seguridad cámbiele el nombre) ubicado en init.d y arrancado (puede usar webmin para arrancarlo automáticamente en cada inicio del sistema) y que SQUID e IPTABLES están configurados en modo TRANSPARENTE. Las siguientes políticas solo afectan las conexiones al puerto 443 (HTTPS) y no al resto de las conexiones (80, 53, 21, 8080, etc). Por tanto debe ubicarlas después de las reglas que hayan establecido por defecto. Ambos scripts son idénticos (ACCEPT Y DROP). Lo único que cambia es el nombre de la ACL a usar y su ruta, y la regla. PASOS 1. Cree dos ACLs cada una con las direcciones ip o rangos completos que vaya a bloquear o aceptar, según el caso y ubíquelas donde considere (establezca los permisos necesarios). Para los efectos de este instructivo las llamaremos httpspermitidos y httpsbloqueados y estarán en la ruta explicada en la variable $route de la cabecera del IPtables. 2. Edite el script iptables.sh en init.d (o como sea que lo haya nombrado) con privilegios root y después de las políticas de la red que haya determinado como prioridad, coloque lo siguiente (copie y pegue): Caso 1: ACEPTAR CONEXIÓN (Recomendado) Solo se aceptan las IPs incluidas en la ACL httpspermitidos. El resto de las peticiones https se rechazan. Caso 2: DENEGAR CONEXIÓN Solo se niegan las IPs incluidas en la ACL httpsbloqueados. El resto de las peticiones https se aceptan. El siguiente ejemplo es el clásico Caso 1: se aceptan solamente algunos sitios https (correos, etc) y el resto se bloquea. ########################## # LOCAL NETWORK POLICIES # ########################## echo Apply Local Network Policies... # SOLO PETICIONES LAN for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT done 5/11
  7. 7. $iptables -t mangle -A PREROUTING -i $lan -j DROP # ACCESO LAN AL PUERTO 443 (SOLO SE PERMITEN SITIOS ACL HTTPSPERMITIDOS) for ip in `sed '/#.*/d' $route/httpspermitidos`; do if echo $ip | grep "-" >/dev/null; then $iptables -A FORWARD -m iprange --dst-range "$ip" -j ACCEPT else $iptables -A FORWARD -d $ip -j ACCEPT fi done # ACCESO LAN AL PUERTO 443 (DENEGAR SITIOS ACL HTTPSBLOQUEADOS) #for ip in `sed '/#.*/d' $route/httpsbloqueados`; do # if echo $ip | grep "-" >/dev/null; then # $iptables -A FORWARD -m iprange --dst-range "$ip" -j DROP # else # $iptables -A FORWARD -d $ip -j DROP # fi #done echo ok Donde "route" es la ruta donde están las acls con las macs de la red local; y "macs-*" es el nombre con el que comienzan las acls con dichas macs (Ej: macs-permitidas). Si cambia el nombre de sus acls deberá hacerlo en el script. Para finalizar el script, debe asegurarse de que se encuentre el puerto 443. Si eligió el CASO 1 :ACEPTAR CONEXIÓN, la línea correspondiente a 443 debe estar comentada (con #) o eliminada (así se cierra el acceso a este puerto). Si eligió el CASO 2: DENEGAR CONEXIÓN, la línea debe estar descomentada (para abrir el puerto) ########################## ### PRESET CONNECTIONS ### ########################## echo Apply Preset Connections... # LAN ---> INTERNET # ACEPTAR CONEXIONES DE LA LAN A PUERTOS HTTP, FTP, DNS, POP3, SSH, SMTP !HTTPS $iptables -A FORWARD -s $local/$netmask -i $lan -p udp -m multiport --dports 25,53,110 -o $internet -j ACCEPT $iptables -A FORWARD -s $local/$netmask -i $lan -p tcp -m multiport --dports 80,8080,22,21 -o $internet -j ACCEPT # $iptables -A FORWARD -s $local/$netmask -i $lan -p tcp --dport 443 -o $internet -j ACCEPT # DENEGAR EL RESTO $iptables -A FORWARD -s $local/$netmask -i $lan -o $internet -j DROP echo ok Si quiere permitir algunos terminales dentro de su red local que tengan acceso al puerto 443 escriba la siguiente regla y póngala antes de la regla de aceptar o denegar conexión https, pero primero cree la ACL (la llamaremos macs-443) y coloque dentro todas las MACs que quiera que tengan acceso al 443. El siguiente ejemplo hemos permitido el acceso al 443 a una acl llamada macs-443, en el horario laboral (El horario se estableció previamente en la cabecera del iptables definido como hora actual - hora limitada). Después que finalice la hora laboral, se abre el puerto 443 para toda la red local. 6/11
  8. 8. # ACCESO AL PUERTO 443 (SOLO ALC MACS-443) if [ $hora_actual -lt $hora_ilimitada ]; then for mac in `sed '/#.*/d' $route/macs-443`; do $iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT done else $iptables -A FORWARD -p tcp --dport 443 -o $internet -j ACCEPT fi Pero si quiere bloquear el 443 de forma permanente (sin horarios) y dejarlo solamente para las macs-443, cambie la última línea por DROP # ACCESO PRIVILEGIADO AL PUERTO 443 (SOLO ALC MACS-443) for mac in `sed '/#.*/d' $route/macs-443`; do $iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT done $iptables -A FORWARD -p tcp --dport 443 -o $internet -j DROP Ahora, cada vez que un usuario visite https://www.facebook.com, el navegador quedará en suspenso hasta que se agote el tiempo y se cae la página como si no hubiese internet. En una política basada en el Caso 2, solamente se bloquearán las IPs que escriba en la ACL, pero como este caso abre el puerto 443, implica que cualquier usuario con acceso a nuestra red puede saltarse literalmente estas IPs bloqueadas con programas como Ultrasurf o Tor. En una política basada en el Caso 1, el puerto 443 está cerrado por defecto y solo se autorizan las IPs https contenidas en la ACL httpspermitidos, por lo que los programas como Tor o Ultrasurf y sus derivados, quedarán inservibles. Basados en ese análisis, consideramos que la mejor política es el Caso 1; o sea, aceptar solamente las conexiones https (443) procedentes de los correos electrónicos y messengers (Hotmail, Skype, gmail, yahoo, etc), bancos y uno que otro portal corporativo o institucional y denegar el resto del tráfico por ese puerto, e ir agregando sitios a medida que los de su red local lo soliciten y las políticas de seguridad de su empresa las valide. El resto del tráfico (Puerto 80) puede ser filtrado por el Squid. Otros métodos de bloqueo Iptables, de acuerdo a la documentación, solamente trabaja con IPs y puertos. Sin embargo una regla basada en aceptar o denegar urls es aceptada por Iptables. $iptables -A FORWARD -i $lan -o $internet -p tcp -d google.com --dport 443 -j ACCEPT $iptables -A FORWARD -i $lan -o $internet -p tcp -d facebook.com --dport 443 -j DROP Lo anterior se puede hacer debido a que Iptables "traduce" las urls a ips y las acepta o niega en dependencia de la regla, pero esto ralentiza el firewall, ya que cada vez que se corre debe realizar estas consultas, y el tiempo que demore lo determinará la cantidad de urls/ips a consultar. Es por esta razón que basamos nuestro método en IPs directamente. También existen otras reglas para bloquear sitios: $iptables -A FORWARD -p tcp --dport 443 -m string --string 'facebook.com' --algo bm -j DROP O para bloquear descargas de archivos con extensiones específicas: $iptables -A INPUT -p tcp -m string --string ".exe" --algo bm -j DROP 7/11
  9. 9. O para vigilar un puerto y bloquear tráfico sospechoso por ejemplo en el puerto 80 $iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access " $iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP Sin embargo aclaramos que las reglas basadas en "string" no corren con fluidez y ralentizan demasiado el firewall y la navegación en comparación con la validación por ip, sin embargo queda a criterio del administrador IT, utilizarlas o no. DONDE BUSCO LAS IPs PARA LAS ACLs? El Administrador IT debe saber cuáles sitios HTTPS debe aceptar o denegar. Para averiguarlo, con tan solo escribir en el terminal de linux la palabra host y seguido la URL del sitio a bloquear (Ej: host www.google.com), rápidamente obtiene la/s IP/s del sitio. También puede usar dig o nslookup. Ejemplo: nslookup google.com dig +short google.com host -t a google.com Es importante resaltar que los comandos host, dig y nslookup debe ejecutarlos como mínimo 3 veces (con www y sin www para cada dominio), ya que los resultados en cada ejecución puede ser diferentes. Otro método que arroja resultados más amplios es originAS. Para obtenerlo visite centralops.net/co/, busque el sitio de su preferencia (Ej: facebook.com) y en los resultados aparecerá el originAS. Luego ejecute en consola el siguiente comando: /usr/bin/whois -h whois.radb.net '!gAS32934' | tr ' ' 'n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep / Donde, por ejemplo, AS32934 es el originAS de facebook y seguido arrojará todos los rangos de ips de este dominio. Desafortunadamente no siempre se obtiene el originAS de un dominio, pero es bastante útil y ahorra tiempo en la recopilación de las IPs. El originAS también sirve para bloquear o aceptar rangos en el Iptables. Ejemplo de bloqueo de Ultrasurf por OriginAS (AS6939) # BLOCK ULTRASURF (solo bloquea los rangos de ips relacionados con el sitio web) for i in $(/usr/bin/whois -h whois.radb.net '!gAS6939' | tr ' ' 'n' | sort -n -k1,1 -k2,2 -k3,3 -k4,4 |grep /) do iptables -A FORWARD -d $i -j DROP done Aunque no es muy recomendable usarlo para este propósito (bloqueo o aceptar conexiones a un sitio), ya que si lo incluye en el Iptables, cada vez que corre, debe consultar la base de datos en internet para actualizar las tablas, lo cual ralentiza la ejecución del firewall. Si no se abusa de este comando puede usarse para casos de emergencia (ataques DDoS, etc) Otra herramienta excelente para determinar las ip que usan los programas, navegadores y demás para conectarse es Socketsniff. Es muy efectiva y simple. 8/11
  10. 10. Iniciamos el programa que queremos saber la ip a la cual se conecta (ej: Skype). Después de iniciado, arrancamos Sockersniff y elegimos Skype. Seguido ponemos el usuario y la contraseña en Skype y comienza la autenticación normal, y Sockersniff va registrando todos las ip a las que Skype intenta conectarse y otros datos como el puerto que usa, etc. Tomamos nota de las IPs y vamos a nuestra ACL correspondiente (bloquear o aceptar) y las validamos. Lo mismo con los sitios en Internet. Abrimos el navegador. Elegimos en Sockersniff el navegador a monitorear, y luego vamos a la página deseada, para que Sockersniff detecte la IP y el resto es el mismo procedimiento que con los programas. En ocasiones las IPs son similares, lo cual nos indica que hay un rango más amplio de IPs que usa nuestro programa o sitio web que queremos bloquear o aceptar. Para saberlo vamos a IP Adrdress Lockup, y buscamos las IPs, subiendo y bajando los octetos de valor decimal, para ir verificando el propietario o usuario de la IP, hasta completar el rango. También pueden usar Whois Lockup, o cualquier otra herramienta que gusten para determinar las IPs objetivo, siempre que brinden resultados confiables. Sin embargo, si conseguir todas las IPs que necesita para validar su entrada se convierte en algo tedioso, ya que pueden ser cientos, o tal vez miles de dominios, consulte el post Automatizando parámetros en Linux II. PUEDO USAR MI SERVIDOR PROXY CONFIGURADO COMO TRANSPARENTE Y NO TRANSPARENTE A LA MISMA VEZ? Por supuesto; así puede recibir peticiones de su red local, con configuración manual o automática del proxy en el navegador web de los usuarios. Ejemplo de Squid: # Default Squid Listens to Port 3128 http_port 3128 http_port 8080 intercept Para usar ambos en el Squid debe asegurarse tener abiertos los puertos que vaya a usar como transparente y no transparente en el IPtables y redireccionarlos al Squid. Ejemplo de Iptables # ACCESO LAN AL PROXY (LAN ---> PROXY ---> INTERNET) (DEFAULT 3128 Y NAT 8080) $iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-port $proxyport $iptables -A INPUT -i $lan -p tcp --dport 8080 -j ACCEPT $iptables -A INPUT -i $lan -p tcp --dport 3128 -j ACCEPT Donde internet=eth0 (que viene de internet) y lan=eth1 (que va a la red local) NOTA: Por seguridad se recomienda cambiar los puertos del proxy por defecto, o sea 8080 y 3128. Si los cambia, asegúrese que su reemplazo no sea el mismo para ambos tipos de configuraciones y colocar los nuevos en el iptables y squid BLOQUEO DE ANONIMIZADORES Para bloquear anonimizadores como Ultrasurf, etc, con Iptables, visite el proyecto blackstring. Para bloquear otros anonimizadores, como PrivateTunnel, Freegate, your-freedom, además de las reglas del proyecto Blackstring, debe cerrar el puerto 21 y filtrar el puerto 80 en el squid. Para las aplicaciones autohide (y familia hide-ip), y similares, solamente deberá filtrar el puerto 80 como medida adicional. Para filtrar el puerto 80, agregue la siguiente regla a su squid 9/11
  11. 11. acl blacklistweb dstdomain -i "/etc/acl/blacklistweb" http_access deny blacklistweb Para mayor información visite blacklistweb.com Para completar el filtrado, bloquee las peticiones a ips por el puerto 80 en el Squid (y solo permita peticiones urls de su red local y la acl httpspermitidos puede usarla también en squid). Lo anterior es debido a que ultrasurf, SecurityKiss Tunel, Easy Hide IP (y familia hide-ip), etc, hacen peticiones al puerto 80, y los Free o Anonymous Web proxy. # squid.conf Denegar todas las peticiones a ips (solo url) acl httpspermitidos src "/etc/acl/httpspermitidos" acl no_ip dstdom_regex ^[0-9]+.[0-9]+.[0-9]+.[0-9]+$ http_access deny no_ip !httpspermitidos Luego puede crear una acl para las macs de su red local que quiera permitirles el acceso a ciertos puertos (Ej: 443, 21, 22) # ACCESO PRIVILEGIADO A CIERTOS PUERTOS(ALC MACS-ESSENTIAL) for mac in `sed '/#.*/d' $route/macs-essential`; do $iptables -A FORWARD -m mac --mac-source $mac -p tcp -m multiport --dports 443,21,22 -o $internet -j ACCEPT done Autorice los puertos de trabajo de su red local (sin incluir los puertos autorizados arriba) y cierre. # LAN ---> INTERNET # ACEPTAR CONEXIONES A PUERTOS HTTP, FTP, DNS, POP3, SMTP !HTTPS, SSH, FTP $iptables -A FORWARD -s $local/$netmask -i $lan -p udp -m multiport --dports 25,53,110 -o $internet -j ACCEPT $iptables -A FORWARD -s $local/$netmask -i $lan -p tcp -m multiport --dports 80,8080 -o $internet -j ACCEPT # DENEGAR EL RESTO $iptables -A FORWARD -s $local/$netmask -i $lan -o $internet -j DROP Y después de poner todas las reglas de su preferencia, no olvide cerrar parcialmente el script echo Drop All... $iptables -A INPUT -s 0.0.0.0/0 -j DROP También puede bloquear los servicios de Google Translate Para mayor información sobre cómo usar Google como proxy visite el post visite el post Usar Google como un proxy para entrar a páginas censuradas Recomendaciones para el script de Iptables 1. Establecer en lo posible una política de cero tolerancia. por defecto DROP 2. Que tenga como política permitir solo las ips https autorizadas y bloquear el resto 3. No abusar de la regla "string" propuesta (incluyéndole otros hexadecimales en la acl blacklist-string para realizar bloqueos a sitios o descargas), ya que este tipo de reglas lo que hacen es capturar todo el tráfico (443) y revisar una por una las peticiones y respuestas, y si alguna coincide con los hexadecimales incluidos en la acl blacklist-string se aplica el DROP (caso contrario lo deja pasar). Dicha revisión es mucho más exhaustiva (en comparación con una regla que solamente valida si la ip https solicitada/recibida se encuentra en la acl https- permitidas), entonces si hay demasiados hexadecimales en la acl blacklist-string, su firewall se ralentizara al extremo que se puede detener. Medidas adicionales 10/11
  12. 12. Recomendamos proteger las peticiones a los puertos 80 y 443 con la siguiente regla que deberá ubicarse en el Iptables antes que la de https-permitidos y anti-ultrasurf y similares (active el módulo connlimit en la cabecera de su Iptables: modprobe xt_connlimit) # PROTECTION RULES # Permitir conexiones 443 (3 por host) $iptables -A INPUT -p tcp --syn --dport 443 -m connlimit --connlimit-above 3 -j DROP # Proteger el puerto 80 $iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 30 -j DROP RECOMENDACIONES FINALES 1. Si va a usar algún símbolo diferente en el script de IPTables, debe agregarlo en el 'alias'. 2. Puede tener ambas reglas dentro del mismo IPtables. Solo comente la que no va a usar 3. No abuse de este tipo de filtrado colocándole demasiadas ips o rangos de ips dentro de las ACLs, ya que ralentiza el Firewall. 4. No olvide configurar el SQUID para estas reglas 5. Pruebe su firewall 6. Visite el proyecto Gateproxy ...Continúa en Firewall II Paper PDF 11/11
  13. 13. Firewall II maravento.com/2013/03/firewall-ii.html En el post anterior Firewall explicamos la manera de bloquear las conexiones de tipo HTTPS no autorizadas usando una regla, sin embargo, ésta por sí sola no impide el acceso al HTTPs a usuarios no deseados, ya que su única función es validar o denegar las IPs contenidas dentro de ACL usada según el caso, pero no discrimina cuáles usuarios pueden hacer peticiones HTTPs y cuáles no. Puede ocurrir que un fulano de tal, no autorizado, haga peticiones (desde dentro o fuera de nuestra red local) a sitios HTTPs contenidos en la ACL citada en el artículo anterior, por lo tanto podrá navegar sin problemas. Peor aún; un hacker irrumpe en nuestra LAN, (ya sea por un ataque por fuerza bruta descifrando la clave del WIFI, usando software de penetración como Backtrack, Beini, WirelessKeyView, etc, o logra acceso físico a uno de los equipos de nuestra red o cibercafé y copie la clave WIFI en la configuración de red de los terminales Windows. En este caso el chico malo tendrá acceso a gmail, hotmail, yahoo o a cualquier IP registrada en la ACL https- permitidos, con tan solo agregarle una "s" a su petición http://. Para evitarlo hay que aplicar niveles de seguridad en el servidor; o sea blindar el firewall IPTABLES. TABLA MANGLES MANGLES es una de las tantas alternativas que existen para hacer más seguro el acceso a nuestra red. De acuerdo a la estructura misma del IPTABLES, lo primero que aparece es la tabla MANGLES. Esta se encarga de modificar los paquetes de Internet y es precisamente en este punto cuando podemos establecer los usuarios que vamos a autorizar a recibir o enviar paquetes dentro de nuestra red, sin importar que sus peticiones sean http o https, ftp, etc. Un filtrado con MANGLES se logra creando una simple regla que hace dos cosas: 1. Solo permite el acceso a Internet y a los recursos de nuestra LAN a las MACs previamente seleccionadas por el administrador TI, que registre en una ACL. 2. Denegar el resto de las conexiones (corta literalmente las comunicaciones al resto) De esta manera es más fácil controlar los equipos que hacen uso de nuestros recursos en la red y por ende el filtrado de HTTPs descrito en el post Firewall, sería más fácil de aplicar. NOTA: Consulte las variables de la cabecera del IPTables en Firewall Ejemplo del uso de MANGLES en el IPTABLES, visto en Firewall: # SOLO PETICIONES DE LA LAN for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT 1/3
  14. 14. done $iptables -t mangle -A PREROUTING -i $lan -j DROP Con esta regla limitamos el acceso a nuestra red a un puñado de MACs establecidas previamente en las ACLs creadas por el administrador TI. El resto de las MACs que logren entrar a nuestra red local, simplemente no tendrán conectividad ni acceso a ningún recurso. Pero a pesar de que esta regla es muy efectiva, solo considera las macs autorizadas, mas no realiza ningún "amarre" entre Host+IP+Mac. Para poder elevar el nivel de seguridad, lea nuestra próxima entrega Firewall III. ESTABLECIENDO HORARIOS Supongamos ahora que el administradores TI quiere hacer una discriminación. Un grupo de computadores de nuestra red tendrá acceso a Internet 24/7 y a los sitios establecidos en la ACL https-permitidos (o como quieran llamarle), sin embargo el otro grupo no tendrá Internet salvo en un horario predefinido y solo tendrá acceso a ciertos recursos de la red en ese horario (Ejemplo: carpetas compartidas desde el servidor, impresión, sistema de mensajería interna, etc). Para este grupo limitado, hay que poner de primero la regla MANGLES, antes que cualquier otra regla del IPTABLES e irle validando los puertos que queremos que tengan acceso y cerrarles el resto. El administrador TI es quien debe valorar qué recursos les otorga a sus usuarios (abriendo o cerrando puertos y bloqueando sitios y recursos) dentro de su red LAN. El siguiente ejemplo se abren solamente los puertos 53 (consulta DNS), 80 (internet), 8080 (proxy) 137, 138, 139 y 445 (samba - archivos compartidos con redes windows). Para efectos de este ejemplo llamaremos a la ACL macs-limitadas. Aquí se le aplicará un horario especial a esta ACL y las restricciones estarán sujetas a este horario. Las restricciones consisten en un bloqueo general y la validación de algunos puertos. Una vez terminado el horario, se levantarán las restricciones impuestas. Se recomienda que se programe esta tarea en el Crontab (/usb/bin/crontab) para que se ejecute de manera desatendida y automáticamente. También se incluyen especificaciones adicionales y las reglas descritas en la primera parte Firewall para una mayor comprensión de los pasos. Primero debe establecer en la cabecera del IPtables el horario (Ajústelo en dependencia de sus necesidades # horario (formato 24h) route=/etc/acl hora_actual=$(date +%H) hora_permitida=12 hora_ilimitada=16 Uso de MANGLES para aplicarle restricciones a un grupo de equipos de la red LAN en un horario determinado. # TABLA/CADENA: -t mangle -A PREROUTING (INTERNET-2-LOCALHOST) # BLOQUEAR HTTPS A MACS-LIMITADAS SI NO ES LA HORA PERMITIDA Y ABRIR PUERTO HTTP PARA ERROR (BLOQUEO SQUID) if [ $hora_actual -lt $hora_permitida ]; then echo bloqueando https para macs-limitadas for mac in `sed '/#.*/d' $route/macs-limitadas`; do $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -p tcp -m multiport --dports 80,3128,139,445 -j ACCEPT $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -p udp -m multiport --dports 53,137,138 -j ACCEPT $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j DROP done fi Otro ejemplo es cuando permite solo la entrada a las direcciones mac de nuestra red local, previamente seleccionadas 2/3
  15. 15. # SOLO PETICIONES DE LA LAN for mac in `sed '/#.*/d' $route/macs-* | tr '[A-Z]' '[a-z]' | sort -u`; do $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT done $iptables -t mangle -A PREROUTING -i $lan -j DROP O cuando las trabajamos con el DHCP (Se profundizará en este punto en entregas posteriores de Firewall) # SOLO PETICIONES DE LA LAN create_acl $mac2ip $iptables -t mangle -A PREROUTING -i $lan -j DROP MANGLES es de gran ayuda, pero no servirá de mucho si la política es demasiado flexible. Habría que implementar un nivel mucho más alto de seguridad y aplicar protecciones adicionales, que se describirán en el próximo capítulo. ... Continúa en Firewall III. 3/3
  16. 16. Firewall III maravento.com/2013/06/firewall-iii.html Last Update Feb 04/2015 En las entregas anteriores Firewall y Firewall II, explicamos cómo implementar un proxy transparente usando el firewall iptables de Linux y Squid, y aplicar una serie de políticas restrictivas para impedir que programas como Tor, Ultrasurf, Torrent y los túneles VPN salten las protecciones de nuestro Proxy y naveguen sin ningún control. También se ofrecieron ACLs que contenían rangos de Ips de diferentes sitios (Google, Yahoo, Microsoft, etc), que se pueden usar ya sea para denegar o autorizar sitios, los cuales facilitan la labor del Administrador TI. Sin embargo ninguna política descrita anteriormente impide que un intruso, con ciertos conocimientos, se haga con nuestra clave de red wifi o tenga acceso físico a un terminal de nuestra Lan y ejecute un scanner de red (Angry Ip Scanner, arp ping, etc) y logre obtener todas las Macs de los equipos autorizados de la Lan y clone alguna para hacer uso de los recursos de la red de datos o lanzar un túnel vpn para establecer contacto remoto con su propio servidor y comprometer la seguridad del entorno. Este es uno de los problemas más graves que enfrentan las redes locales actuales, como cibercafes internet, universidades, empresas, bancos, etc, sobre todo aquellas que tienen puntos de acceso WiFi, abiertas o no; el robo de direcciones mac. Como bien lo define Wikipedia, estas direcciones son únicas en cada dispositivo de red y no en cada computador (como muchos creen), ya que a un PC se le pueden conectar X cantidad de tarjetas de red, ya sea en su interior o via usb, aplicable también a tablets, smarthphones y otros dispositivos de comunicaciones. Sin embargo el hecho de que sean únicas no significa que no se puedan alterar y es por eso que se presenta este mal que tanto daño 1/14
  17. 17. causa. Existe una infinidad de aplicaciones, que en dos o tres pasos nos permiten alterar la mac de un adaptador de red. Incluso los sistemas operativos actuales permiten hacer esto. Las distribuciones de seguridad Wifiway, Wifislax, Kali, y otras, traen aplicaciones capaces de detectar y falsear el identificador de una tarjeta de red y luego navegar con nuestros recursos, ya sea normalmente o conectado a una VPN. Y en el mejor de los casos, el usuario no autorizado nos monta un Fake AP (Rogue AP) y revende nuestra señal o la usa para fines más lucrativos, como robar información financiera y venderla en el mercado negro, o simplemente reventar nuestra red por mera diversión o prestigio. La mayoría de arquitecturas y firewalls que se implementan en estas redes, son susceptibles a este tipo de ataques, sobre todo en las redes WIFI, que ya no es necesario estar físicamente conectado a la red mediante un cable ethernet para escanearla y determinar todas las ips con sus respectivas macs. QUÉ SUCEDE CUANDO UNA MAC ES CLONADA? Cuando dos PCs (o tablets, smarthphones, AP, etc) tienen la misma dirección mac, eventualmente uno de los dos podrá acceder a internet y a los recursos de la red local (no pueden acceder ambos al mismo tiempo) y las peticiones que hagan a internet puede llegar a cualquiera de los terminales clonados indistintamente; o sea si un PC se conecta a Gmail y el otro a Hotmail, eventualmente ambos pueden recibir la misma información, o no recibir nada. Obviamente esto genera cuellos de botella en la red y mal funcionamiento, ya que el proxy o router puede descartar paquetes o generar un exceso de reenvío, afectando directamente el ancho de banda de la red local. CÓMO SABER SI UNA MAC HA SIDO CLONADA? Lanzando un ARP ping a la IP sospechosa y si arroja más de una respuesta o hay diferencias entre una respuesta y otra, entonces se repite el proceso, pero esta vez con el equipo que tiene la mac clonada desconectado de la red local. Si se obtiene respuesta, definitivamente ha sido clonada. Hay que aclarar que no es un método 100% garantizado, ya que si hay problemas internos con la red local o los paquetes ICMP u otros están bloqueados a nivel de proxy o router, puede que no haya respuesta. EXISTE ALGUNA MANERA DE EVITARLO? Cómo dicen en un foro: ¿Existe alguna manera de evitar que algunos conductores manejen borrachos por las carreteras?.. No, pero no hacer nada y esperar que se estrellen, para que aprendan la lección, es un error, ya que lo más seguro es que se lleven por delante a muchos inocentes en el proceso. Lo mismo sucede con la seguridad de una red local. Nada puede evitar que un atacante pueda hacerse con las credenciales de nuestra Lan, corra un escáner sigiloso, obtenga todas las direcciones macs y clone algunas de ellas, ya que no tenemos control sobre el equipo del atacante, pero sí tenemos control sobre nuestra red local, y se pueden tomar algunas contramedidas para mitigar el problema. Pero es necesario aclarar que, al igual que sucede con el conductor borracho, no siempre las medidas que se toman están exentas de daños colaterales. Pero primero analicemos algunas propuestas hechas en los diferentes foros, desde las más simples hasta las avanzadas, con sus ventajas y desventajas. 1. Crear una tabla con las direcciones mac autorizadas en el router o servidor proxy y ponerles una ip a cada mac Esta medida es buena y es un primer paso al filtrado interno de la red local, pero no aplica en redes abiertas y tampoco evita que un atacante escanee la red y se haga con el juego Mac+IP, clone una Mac y le ponga una IP manual, diferente a la que tiene asignada la original, para evitar la colisión y las alertas de "ip duplicada en la red". Además, es necesario insistir que las direcciones IP trabajan en la Capa 3 del Modelo OSI y las direcciones MAC son identificadores de acceso al medio físico (adaptador de red) que trabajan en la capa 2 OSI, y normalmente se usan para direccionar paquetes dentro de la red Lan (broadcast), por tanto, operan en niveles diferentes y no se relacionan entre sí de forma directa y esto conlleva a que se pueda tener en una red local, dos equipos con la misma dirección mac, pero con una misma ip diferente. 2. Desactivar el servidor DHCP y poner las IPs manualmente; ocultar el SSID; establecer el/los rango/s de IP/s que se van a usar, reduciendo el pool de direcciones y bloquear el resto Funcional bien si tu red local es cerrada y tiene pocos equipos, pero de igual manera el atacante puede escanear la red y determinar el rango de IPs autorizadas y colocar la IP manual. Además, muchos escáneres de red detectan el tráfico de los AP, incluso si el punto de acceso está "escondido" (SSID oculto). 2/14
  18. 18. Se imaginan a un Administrador IT poniendo direcciones manuales en una red pública y mixta (con clientes dinámicos y estáticos), con más de 1000 terminales, muchos de ellos smarthphones, tablets, etc. Una auténtica locura. Además, hay que tener en cuenta el tipo de enrutamiento de la red local, desde y hacia el servidor o router. Lea el post Enrutamiento en Linux 3. Usar un servidor DNS propio Evita en parte el problema, pero el atacante puede colocar DNS manuales de su conveniencia y conectarse a una VPN propia para navegar. Se recomienda leer el post Tres tipos de ataques DNS y cómo lidiar con ellos . También puede usar la herramienta DNSSec-Check para diagnosticar su servidor DNS. 4. Usar un Servidor controlador de Dominio de Active Directory Obsoleto. Una tecnología exclusiva de Microsoft que tiene más de 20 años. Se puede implementar en linux pero es muy engorroso. No obstante para los nostálgicos, pueden leer el manual de instalación, aunque en la actualidad existen mejores y más versátiles soluciones. 5. Usar un Portal Cautivo (hotspot) con redirección a una web interna y credenciales de validación (Servidor Radius) Está de moda, pero no es tan seguro como creemos. Recomendamos la lectura del post Sobre Wifi, Robar y los portales cautivos 6. Cambiar los puertos por defecto del servidor, AP o router, ponerlos en modo "stealth"; y crear un honeypot Es una solución más avanzada, pero tampoco garantiza nada. Con respecto a la implementación de un honeypot, siempre que sea una solución local y no un escudo de red, puede disuadir bastante al atacante, ya que crea una serie de servicios inexistentes ideales para distraer al más concentrado atacante. Y si le agregamos una jaula Chroot, puede sumarle más distracción. Recomendamos las herramientas honeypot de distro LiveCD HoneyDrive 7. Usar una VPN y encriptar el tráfico de la red local Muy buena elección, pero más costosa, ya se aplica a nivel de servidor y no se justifica en redes locales pequeñas. Implementar una VPN con cifrado de datos eleva mucho el nivel de seguridad, y esta sería aún mayor si en lugar de una VPN implementáramos una Nube Virtual Segura SVC, sin embargo estos esquemas son mayormente corporativos y no aplican para redes Lan pequeñas. La lista de propuestas de los diferentes foros y portales especializados en seguridad informática es realmente extensa, muchas de estas "soluciones" concentradas en grandes redes de datos, y otras, más sencillas, orientadas al mundo de los cibercafes internet, escuelas, redes públicas. Como el esquema en cada caso no es el mismo, y es difícil encontrar una regla de oro para todos los casos, estos portales solo se limitan a dar pautas para contrarrestar intrusiones no deseadas, pero para casos específicos. Nuestro post tampoco les ofrecerá una solución "mágica", ya que no existe. Las intrusiones evolucionan todos los días y con ellas la seguridad informática. Es por esta razón que la panacea de hoy es el hazme reír del mañana, por tanto nos enfocaremos en una parte esencial de la seguridad de cualquier red: la protección del tráfico in/out. ESNIFANDO NUESTRA RED Lo primero que hay que hacer es escanear nuestra red local. Esto debe ser una tarea constante para cualquier administrador TI, usando las mismas herramientas exploratorias que utilizaría cualquier usurpador. Existen herramientas muy versátiles que hacen este trabajo, como Wireshark o Ettercap (Véalos en acción en Ataque MITM), pero en esta ocasión lo haremos a la antigua (por consola) y usaremos Nmap y nast, que son perfectas para el trabajo. Y como dice Oscar Wide "La mejor manera de librarse de una tentación es caer en ella", ejecuten en el terminal lo siguiente y verán los resultados: # Instalamos nmap y nast sudo apt-get install nmap nast 3/14
  19. 19. # Escaneamos la red local con el protocolo arp sudo nast -m # Determinar el gateway (con Yep! ya lo tenemos) sudo nast -g # si tienen varias interfaces en su PC, elijan una. Ej: wlan1 sudo nast -m -i wlan1 # Escaneo preliminar del target ej 192.168.1.1 sudo nast -S Nast V. 0.2.0 Port Scanner extremes Insert IP to scan : 192.168.1.1 Insert Port range : 1-65535 # Pero si quieres algo rápido y potente sudo nmap -sS -PN -T5 -p 1-65535 192.168.1.10 # y al estilo triniti sudo nmap -sS -O -v 192.168.1.10 Nota: Para más opciones de nmap, lea su cheatsheet. Consulte Nmap Warning, para establecer la restransmisión (T5, T4, T3, etc) y evitar mensaje como "nmap warning: giving up on port because retransmission cap hit (2)". Con esto ya establecemos las mac+ip asignadas en nuestra Lan, si hay alguna mac clonada con diferente ip (algo que hacen los atacantes para ocultar el llamativo mensaje de Windows "conflicto de ip") y de paso establecemos los puertos desprotegidos, gateway, etc, etc. Esta información es la misma que obtendría un atacante; y si bien es difícil ocultarla, es la primera que tenemos que proteger. AMARRAR MAC+IP CON DHCP+IPTABLES+SQUID Muchos dirán que este tipo de solución tiene vulnerabilidades, ya expuestas en el Punto No 1 de este post; y es cierto. El servidor ISC DHCP utiliza un Socket Internet de protocolo Raw en lugar de TCP o UDP, lo cual es una limitación para poder bloquear sus peticiones en el IPtables. Además, existen muchos ataques que involucran al servidor DHCP. Explicarlos todos (DHCP ACK Injection Attack , IP Spoofing Attacks, Discover DoS attacks, etc) y sus defensas (DHCP Snooping) podría tomarnos varios post. Es por eso que si quiere profundizar en la protección de su servidor DHCP y evitar ataques Man-in-the-Middle puede consultar el post Defensas frente a ataques DHCP y Bloqueo de servidores DHCP Falsos En resumen, DHCP literalmente hace lo que se le da la gana, y no respeta las reglas de IPtables, como las propuestas por este tutorial de Iptables $IPTABLES -t filter -A INPUT -p udp --sport 68 --dport 67 -j DROP o $IPTABLES -A INPUT -i LAN_IFACE -p udp --sport 67:68 --dport 67:68 -j ACCEPT o $IPTABLES -I INPUT -i $LAN_IFACE -p udp --dport 67:68 --sport 67:68 -j ACCEPT Sin embargo podemos aprovechar algunas de sus virtudes para establecer un nivel de protección, que por sí solo no es efectivo, pero si los parámetros establecidos previamente en el servidor DHCP son validados por el IPtables y el Squid, entonces estamos hablando de una protección decente en la entrada/salida de nuestra red local. Combinar un triple filtrado mac+IP en la entrada/salida de nuestra red local es un gran paso en la seguridad, sin importar su clasificación, categoría, esquema, protocolos, cifrado, etc. Desafortunadamente estas técnicas (no todas) solo se admiten en los routers más costosos. Es por eso que recomendamos usar un servidor proxy basado en Linux, que es mucho más económico y configurable que un router físico. Para lograrlo podemos utilizar varias herramientas muy conocidas, como son DHCP Server, Squid3 e IPtables y reforzamos el perímetro con Fail2ban, ARPon y script Anti-DDos (DDoS Deflate) y de ser posible con un proxy 4/14
  20. 20. inverso. Nota: Las defensas perimetrales como IDS/IPS (Snort), sistemas UTMs (Unified Threat Management) y MFA (Multi Functional Appliances), o WAF las explicaremos en otras entregas de la serie Firewall Adicionalmente instalaremos los programas de monitoreo Sarg, Sqstat e IPtraf; y para un análisis global de nuestra red local y detectar las vulnerabilidades, podemos implementar Nessus (opcional) (Vea el post Network Monitor) No se asusten si se mencionan demasiadas herramientas. Muchas de ellas trabajan automáticamente y las configuraciones son tan solo un par de líneas; y para el caso de IPtables, si consideran difícil manipularlo, puede echar mano de algún frontend disponible. PASOS Primero que todo debe configurar su Firewall IPtables de manera segura. Cada Firewall se construye de acuerdo a las necesidades de cada red, por tanto si es demasiado permisivo, estos controles no serán suficientes. En este orden de ideas, para que diseñe un Firewall seguro, acorde a sus necesidades, recomendamos en primera instancia la lectura de los artículos Configuración segura de Iptables, Detección, control y contención de tráfico innecesario con Iptables , Iptables like a pro, y nuestra serie Firewall (I, II, III, IV), así como conocer en detalles los comandos del Iptables Una vez configurado el script de Iptables, y el servidor DHCP instalado y corriendo en su servidor, ahora pasaremos a colocar la primera capa de reglas de filtrado Mac+IP en el archivo de configuración de DHCP. Nota: a. Nos parámetros propuestos, rangos de red, leases, dns, mac + ip, etc, son a modo de ejemplo. Puede modificarlos de acuerdo a sus necesidades. b. Jamás elijan la primera dirección IP (.01) para asignarla al servidor proxy, ya que los AP, Routers, etc, casi siempre traen por defecto esta dirección y si se la cambiemos, pero por alguna causa externa (voltaje, hackeo, etc) se desconfiguran, estos, una vez reinicien, automáticamente se reconfigurarán con los valores de fábrica, el cual incluye la IP terminada en 01, creando una colisión con nuestro servidor proxy. 1. DHCP Aquí se establece en el archivo de configuración del servidor DHCP una IP por cada Host y Mac de nuestra Lan. El procedimiento es sencillo. Asumiendo que tiene instalado DHCP (Tutorial), acceda a su archivo de configuración Configuración de red # solo para dhcp v4.x. Las versiones anteriores a 4.x no tienen este archivo sudo nano /etc/default/isc-dhcp-server # Defaults for dhcp initscript # sourced by /etc/init.d/dhcp # installed at /etc/default/isc-dhcp-server by the maintainer scripts # # This is a POSIX shell fragment # # On what interfaces should the DHCP server (dhcpd) serve DHCP requests? # Separate multiple interfaces with spaces, e.g. "eth0 eth1". # Poner el nombre de la tarjeta de red que usará para el dhcp. # Para determinarlo, ejecute en el terminal ifconfig o ipconfig (en dependencia de su SO). # Como ejemplo usaremos una tarjeta wifi. INTERFACES="wlan3" Configuracion del archivo dhcp.conf # en dependencia de su versión de dhcp sudo nano /etc/dhcp3/dhcpd.conf # para dhcpd v3.x 5/14
  21. 21. # o sudo nano /etc/dhcp/dhcpd.conf # para dhcpd v4.x Parametrizando dhcpd.conf # Establezca la autoridad de su servidor dhcp, descomentando authoritative # If this DHCP server is the official DHCP server for the local # network, the authoritative directive should be uncommented. authoritative; # Determine sus usuarios host CLIENTE1 { hardware ethernet e0:ca:94:a7:xx:xx; fixed-address 192.168.1.100; } host CLIENTE2 { hardware ethernet 00:14:d1:d5:xx:xx; fixed-address 192.168.1.101; } # Bloquer macs no autorizadas, que roban ips asignadas por DHCP class "macs-block" { match pick-first-value (option dhcp-client-identifier, hardware); } subclass "macs-block" 1:cc:af:78:a3:xx:xx; subclass "macs-block" 1:54:26:96:96:xx:xx; subclass "macs-block" 1:cc:55:ad:02:xx:xx; # Configurando los parámetros generales de su red local en el DHCP subnet 192.168.1.0 netmask 255.255.255.0 { option domain-name-servers 8.8.8.8 , 8.8.4.4; # Nunca elijan la IP 1 para evitar autoataque por desconfiguracion de un AP option routers 192.168.1.10; option broadcast-address 192.168.1.255; #option domain-name "tu.server.public"; default-lease-time 600; max-lease-time 7200; pool { deny members of "macs-block" ; range 192.168.1.160 192.168.1.199; } } Y guardamos el archivo de configuración y reiniciamos el servidor DHCP sudo service dhcp3-server restart o sudo service isc-dhcp-server restart Con esta configuración propuesta para el servidor DHCP evitamos tener que asignar IPs fijas (manuales) a cada terminal de nuestra red, y de paso nos quitamos de encima una tediosa y casi imposible tarea. El DHCP hace este 6/14
  22. 22. trabajo por nosotros y de paso quedan amarrados Mac+IP en un nivel. También bloqueamos las macs que no pertenecen a nuestra red local, para que no ocupen direcciones ips que ofrece el servidor DHCP. En el Webmin, en la sección "arrendamientos DHCP, marcamos las casillas de las macs indeseadas y pulsamos "Haz click en una dirección IP de arrendamiento de la lista superior para borrarla " y el servidor DHCP liberará la IP. También puede eliminarlas del archivo dhcpd.leases (donde también se puede obtener la información mac+IP del DHCP para luego ponerla en dhcpd.conf) /var/lib/dhcp/dhcpd.leases Nota: a. No declaren el rango (range) DHCP dos veces en el archivo de configuración ya que genera error. b. El amarre real se produce entre mac+ip, ya que a pesar de que se asigna un nombre de host en el DHCP, este no garantiza que pueda ser cambiado arbitrariamente. Diferencias de configuración DHCP en Webmin En las recientes versiones de DHCPd, en especial para Ubuntu 12.04 o superior, dhcp3-server (v3x) ya no se usa, y en su reemplazo llegó isc-dhcp-server (v4x). Las configuraciones en ambos son diferentes, y por supuesto también en el Webmin. Por lo anterior se recomienda encarecidamente que purgue cualquier configuración anterior de dhcp (dhcp3-server o isc-dhcp-server), y que instale el dhcpd directamente del administrador Webmin, PERO ANTES DE INSTARLO (ojo) primero modifique el módulo de dhcp en webmin, reemplazando dhcp3 por isc-dhcp- server, para que quede con los parámetros necesarios, ya que pueden presentarse conflictos en los archivos de configuración. Vea los siguientes ejemplos de las configuraciones de Webmin dhcp3-server vs isc-dhcp-server, para Ubuntu 10.04.03, Ubuntu 12.04.02 y Debian 7x Ruta al archivo de configuracion DHCP de Webmin sudo nano /etc/webmin/dhcpd/conf Configuración del servidor DHCPd versión 3.1.3 de ISC (dhcp3-server) para Ubuntu 10.04.03 (descontinuada) lease_file=/var/lib/dhcp3/dhcpd.leases display_max=100 lease_tz=0 interfaces_type=debian show_mac=0 stop_cmd=/etc/init.d/dhcp3-server stop dhcpd_conf=/etc/dhcp3/dhcpd.conf pid_file=/var/run/dhcp3-server/dhcpd.pid restart_cmd=/etc/init.d/dhcp3-server restart desc_name=0 dhcpd_nocols=5 dhcpd_path=/usr/sbin/dhcpd3 start_cmd=/etc/init.d/dhcp3-server start dhcpd_version=3.1.3 dhcpd_size=642480 group_name=0 lease_sort=0 show_ip=0 dhcpd_mtime=1369359529 Configuración del servidor dhcp3 DHCPd versión 4.1 de ISC para Ubuntu 12.04.02 LTS (isc-dhcp-server). Presenta problemas con Stop/Restart en Webmin. 7/14
  23. 23. lease_file=/var/lib/dhcp/dhcpd.leases display_max=100 lease_tz=0 interfaces_type=debian show_mac=0 stop_cmd=service isc-dhcp-server stop dhcpd_conf=/etc/dhcp/dhcpd.conf pid_file=/var/run/isc-dhcp-server/dhcpd.pid interfaces=wlan3 restart_cmd=service isc-dhcp-server restart desc_name=0 dhcpd_nocols=5 dhcpd_version=4.1 dhcpd_path=/usr/sbin/dhcpd start_cmd=service isc-dhcp-server start dhcpd_size=787816 group_name=0 lease_sort=0 show_ip=0 dhcpd_mtime=1378284459 add_file= lease_refresh= hostnet_list= version= Para solucionar el problema del Webmin, antes de instalar isc-dhcp-server desde webmin o desde el terminal, ingrese a "Configuración de Módulo", y reemplace dhcp3 por isc-dhcp-server, o entre directamente al archivo de configuración de Webmin y coloque los parámetros de la siguiente manera. lease_file=/var/lib/dhcp/dhcpd.leases display_max=100 lease_tz=0 interfaces_type=debian show_mac=0 stop_cmd=/etc/init.d/isc-dhcp-server stop dhcpd_conf=/etc/dhcp/dhcpd.conf pid_file=/var/run/dhcp-server/dhcpd.pid interfaces=wlan3 restart_cmd=/etc/init.d/isc-dhcp-server restart desc_name=0 dhcpd_nocols=5 dhcpd_version=4.1 dhcpd_path=/usr/sbin/dhcpd start_cmd=/etc/init.d/isc-dhcp-server start dhcpd_size=787816 group_name=0 lease_sort=0 show_ip=0 dhcpd_mtime=1378284459 add_file= 8/14
  24. 24. lease_refresh= hostnet_list= version= Para configurarlos en Debian 7x consulte Configurar Webmin para isc-dhcp-server (4.x). Por lo anterior se recomienda tener la última versión de DHCP instalada. 2. SCRIPT IPTABLES Nada de lo anterior es suficiente para completar el "amarre" ip+mac, y las subclass del DHCP lo único que hacen es impedir que el DHCP le asigne más direcciones IP a estas macs bloqueadas. El bloqueo real se produce en Iptables. En este orden de ideas, el próximo paso (tal y como lo explicamos en el post Firewall), es definir cuales direcciones mac accederán a nuestra red local, para evitar que si el atacante logra burlar la seguridad del punto WiFi, no llegará más lejos. A continuación, el IPTables, va a leer las macs asociadas a las ips, previamente escritas en el dhcpd.conf, y creará dos ACLs, una con el nombre de macs_dhcp (donde pondrá todas las macs en orden) y otra llamada ips_dhcp (donde hará lo mismo con las ips). Lo siguiente que hará la regla es autorizar solamente a estas macs con sus respectivas ips a pasar por el firewall y accesar a la red local y sus recursos. Aquellas que no coincidan serán rechazadas. Filtrado MAC+IP por IPtables #--------------------------------------------------------- # FRAGMENTO DE IPTABLES SCRIPT BY MARAVENTO STUDIO # v1.0 Mar 17/2014 # Written by: # Alej Calero administrador@maravento.com # Jhonathan Sneider sneider2002@gmail.com # # Special Thanks to: # Ruslan Abuzant ruslan@abuzant.com # Pello Xabier Altadill Izura pello@pello.info # Suzdal http://www.hacktimes.com/author/suzdal # Oskar Andreasson blueflux@koffein.net # Koratsuki http://blog.desdelinux.net/ # Vincent Renardias http://www.linuxfocus.org/ # # Licencia Creative Commons Atribución-Compartir # http://www.netfilter.org/documentation/ # Ejecute: chmod +x /etc/init.d/iptables.sh # Verifique con: iptables -L -n # ------------------------------------------------------ ################## # FIREWALL RULES # ################## echo IPTABLES FIREWALL START... adminMAC="48:5a:b6:55:xx:xx" internet=eth0 lan=eth1 local=192.168.1.0 iptables=/sbin/iptables 9/14
  25. 25. route=/etc/acl proxyport=8080 netmask=255.255.255.0 ############### # FLUSH RULES # ############### echo Apply Flush Rules... # Delete all $iptables -F $iptables -t nat -F $iptables -t mangle -F $iptables -X $iptables -t nat -X $iptables -t mangle -X # Zero all packets and counters. $iptables -Z $iptables -t nat -Z $iptables -t mangle -Z # CREANDO ACL MACS/IPS # RUTA dhcpd.conf #dhcp_conf=/etc/dhcp3/dhcpd.conf # para dhcp v3.x dhcp_conf=/etc/dhcp/dhcpd.conf # para dhcp v4.x # mac2ip=$(sed -n '/^s+hardware|^s+fixed/ s:hardware ethernet |fixed-address ::p' $dhcp_conf | sed 's/;//') # RUTA ips_dhcp/macs_dhcp path_ips=/etc/acl/ips_dhcp path_macs=/etc/acl/macs_dhcp create_acl() { ips="# ips" macs="# macs" while [ "$1" ]; do mac="$1" shift ip="$1" shift $iptables -t mangle -A PREROUTING -i $lan -m mac --mac-source $mac -s $ip -j ACCEPT ips="$ipsn$ip" macs="$macsn$mac" done # Para versiones anteriores a Debian 7 y Ubuntu 12x # echo $ips > $path_ips # echo $macs > $path_macs 10/14
  26. 26. # Para Debian 7x y Ubuntu 12x o superior echo -e $ips > $path_ips echo -e $macs > $path_macs } echo ok ##################### ### KERNEL RULES ### ##################### echo Load Kernel Rules... # Activar ip forward rules echo 1 > /proc/sys/net/ipv4/ip_forward echo OK #################### # DEFAULT POLICIES # #################### echo Apply Default Policies... # LOOPBACK $iptables -A INPUT -i lo -j ACCEPT $iptables -A OUTPUT -o lo -j ACCEPT echo ok ########################## # LOCAL NETWORK POLICIES # ########################## echo Apply Local Network Policies... # SOLO PETICIONES DE LA LAN create_acl $mac2ip $iptables -t mangle -A PREROUTING -i $lan -j DROP Muy Importante Este script es válido para Debian 7, Ubuntu 12x o superior. Para versiones anteriores (Ubuntu 10x, Debian 6) hay que suprimir la "-e" del script. Esto se debe a la incompatibilidad de versiones del comando "echo". Para mayor información visite Etherlabs El siguiente paso es definir qué hacer con estas "macs" generadas por el DHCP y convertidas en ACLs por el IPtables. O sea, determinar qué privilegios le otorgará dentro de nuestra red local. Para esto, puede consultar el post anterior Firewall. Nota: El duo DHCP+IPtables solo puede darle conectividad a una Mac (la real o la clonada), pero no a las dos al mismo tiempo, por tanto uno de los dos terminales se quedaría sin acceso a Internet al momento de navegar y 11/14
  27. 27. eventualmente el usuario real puede alertar al Administrador TI sobre este comportamiento anormal, y sería otro indicador para tomar medidas. Medidas Opcionales Si ya aplicó las reglas explicadas anteriormente (que solo pueden acceder a su red local las macs que estableció previamente en las acls, o las establecidas manualmente en el dhcpd.conf), la siguiente regla no es necesaria. Solo la mostramos a modo de ejemplo, para que nuestros lectores puedan ver las posibilidades de iptables. Tenga en cuenta que si la aplica y son demasiadas ips a bloquear, puede generar una sobrecarga en el firewall, por tanto recomendamos más efectivo filtrarlas en el squid. En el siguiente ejemplo, creamos dos ACLs: blacklist-macs (para bloquear las macs no autorizadas o clonadas) y blacklist-ips (Para las ips o rangos de ips falsificados, de la LAN o de internet) y las ubicamos en la ruta de las ACLs (route) y las bloqueamos. # blacklist-macs for mac in `sed '/#.*/d' $route/blacklist-macs`; do $iptables -t mangle -A PREROUTING -m mac --mac-source $mac -j DROP $iptables -A FORWARD -i $lan -m mac --mac-source $mac -p tcp -j DROP done # blacklist-ips for ips in `sed '/#.*/d' $route/blacklist-ips`; do if echo $ips | grep "-" >/dev/null; then $iptables -A FORWARD -m iprange --dst-range "$ips" -j DROP else $iptables -t mangle -A PREROUTING -i $ips -j DROP $iptables -A FORWARD -d $ips -j DROP $iptables -A INPUT -s $ips -j DROP $iptables -A OUTPUT -s $ips -j DROP fi done 3. TODO POR EL SQUID El hecho de que el servidor sea transparente no significa que el tráfico de internet no pase por Squid. Todo el tráfico de su red Lan debe pasar obligatoriamente por el Squid, si quiere evitarse dolores de cabeza. El Administrador TI deberá evitar a toda costa reglas en la cabecera del Iptables como la siguiente: #################### # ACCESO ILIMITADO # #################### for mac in `sed '/#.*/d'/etc/acl/macs-privilegiadas`; do $iptables -t nat -A PREROUTING -i $lan -m mac --mac-source $mac -j ACCEPT $iptables -A FORWARD -i $lan -m mac --mac-source $mac -p tcp -j ACCEPT done Donde la ACL "macs-privilegiadas" contiene un grupo de Macs (terminales) que no pasan por el Squid, ni por el iptables, por tanto no están sujetas a ningún tipo de supervisión ni su actividad en la red e internet sale en algún reporte. Esta regla es un ejemplo de lo que NO SE DEBE HACER en el Iptables. Hay administradores TI que usan esta regla (y otras similares) para que los jefes y los "amigos", hagan y deshagan, sin que nadie lo sepa. Grave error, ya que si un atacante o usuario no autorizado se hace con una de estas macs, con tan elevado nivel de privilegios, simplemente el Administrador TI jamás sabrá lo que sucede y los recursos de su red pueden dilapidarse en cuestión de segundos... y su contrato de soporte terminado por los mismos jefes y amigos a quienes les ofreció el cielo y la tierra con esta regla. 12/14
  28. 28. Esta regla en la cabecera se usa principalmente para mantenimiento. Cuando existe algún problema en la red local, en el squid o en el iptables, o no hay conectividad interna o algún otro problema derivado de las configuraciones, una buena manera de "descartar" si el problema es en la entrada de nuestra red (antes de aplicar filtrados) o en otro tramo de la misma, es colocando nuestra dirección mac en esta acl y saltándonos nuestras propias restricciones para acceder a internet y otros recursos. Es más viable abrir el puerto 443 bajo demanda, que otorgar privilegios ilimitados a un grupo reducido de Macs. Para abrirlo basta con colocar la misma acl y crear la siguiente regla en el IPtables ######################## ### Macs acceso 443 #### ######################## for mac in `sed '/#.*/d' $route/macs-privilegiadas`; do $iptables -A FORWARD -m mac --mac-source $mac -p tcp --dport 443 -o $internet -j ACCEPT done En el Squid filtraremos los accesos que no sean https (ya que está en modo transparente y Squid no filtra peticiones https en modo "transparent") y declaramos las acls (mencionadas en otros post de la serie Firewall), tales como, blacklist-web (contiene todos los sitios en internet a bloquear), blacklist-ips (contiene todas las ips que queremos banear), extensiones (para impedir que determinados archivos con un tipo específico de extensión sean descargados y dilapiden el ancho de banda. También se puede hacer por mime_type) y las diferentes acls que contienen los listados de las macs de nuestra red, clasificadas según el nivel de privilegios que les querramos otorgar y los horarios (explicados en el capítulo anterior Firewall II) y al final aceptarlas o bloquearlas Squid Config # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl blacklist-web dstdomain -i "/home/usuario/acl/blacklist-web" acl blacklist-ips src "/home/usuario/acl/blacklist-ips" acl extensiones url_regex "/home/usuario/acl/extensiones" acl archivos-bloqueados rep_mime_type -i "/home//usuario/acl/archivos-bloqueados" acl macs-443 arp "/home/usuario/acl/macs-443" acl macs-permitidas arp "/home/usuario/acl/macs-permitidas" acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] # reglas propias (bloqueando o aceptando) http_access allow localhost http_access allow facebook macs-443 http_access allow youtube macs-443 http_access allow vimeo macs-443 #http_reply_access allow macs-443 archivos-bloqueados http_access deny blacklist-web http_access deny blacklist-ips http_reply_access deny archivos-bloqueados http_access deny extensiones http_access allow macs-permitidas El filtrado por Squid con las conocidas SuperBlacklist, será abordado en la próxima entrega Firewall IV 4. MEDIDAS OPCIONALES Vigilancia ARP, puertos Podemos implementar una vigilancia estricta sobre las tablas ARP, para evitar su envenenamiento. Para esto podemos utilizar ARPWatch, ARPon o MACWatch (una variante mejorada de ARP Watch), siendo las dos últimas 13/14
  29. 29. las más recomendadas, en conjunto, y complementar con Port Knocking Lectura recomendada: ArpON Proteccion contra Spoofing/Poisoning y mas Cache DNS A medida que se van colocando filtros, esto puede ralentizar las peticiones. Colocar un servidor DNS, no es lo adecuado en muchos casos, ya que debe llevar una protección adicional para evitar ataques DNS, sin embargo podemos "cachear" las consultas DNS de los terminales de nuestra red local, para reducir la latencia creada por los diferentes filtros y la conexión de internet. Para esto podemos usar DNSmasq o djbdns, aunque el uso del primero es mucho más sencillo de implementar, siempre que no active el DHCP que trae por defecto, para que no entre en conflicto con nuestro DHCP3. Además, al no ser persistente, a su reinicio vacía la caché de consultas, lo cual es una ventaja para evitar un ataque DNS. Puede verlo en acción en Jam Blog y trabajando en combinación con la herramienta de cifrado DNSCrypt, ambos cortesía de Jesús Marin. Broadcast, Diagramación y Mapeo Las ips sin asignar generan problemas de broadcast. Una correcta diagramación de la red local puede significar la diferencia entre un flujo de tráfico transparente y un cuello de botella. Para mayor información, lea Subnetting y Redes con Subnetting Existen muchas herramientas que pueden ayudarnos a mapear nuestra red local y verificar (en intervalos) si los equipos están activos, o presentan cualquier anormalidad, (clonación, problemas de conectividad interna, etc), tales como JNetMap, (Official), Network Topology Mapper de Solarwinds, Nagios, entre otras. Si están en Windows pueden echar mano de la suite Net Tools, la cual contiene un sinnúmero de herramientas, para diagnosticas nuestra red, y poner a prueba nuestro sistema de seguridad. Protección Adicional Existe niveles más altos de seguridad. La encriptación de las comunicaciones cliente-servidor es una alternativa. Hay muchas técnicas y programas que logran muy buena seguridad como las soluciones tipo VPN, tales como OpenVPN (Howto GNU/Linux, Howto Android, Howto Ubuntu), PPTP, Openswan, etc. Contramedidas frente a ataques ARP y DHCP (Update Feb 4/2015) Nada de lo anterior nos protegerá de un ataque DHCP (rogue dhcp) o envenenamiento ARP, y filtrar los puertos dhcp 67 y 68 en el iptables es virtualmente imposible y las contramedidas para proteger la tabla ARP, como ArpOn, por sí solas son insuficientes. Por lo anterior recomendamos como alternativa realizar una protección adicional, implementando VACL (Vlan Access List), que controlan el trafico UDP dirigido a los puertos 68 y 67, y DHCP Snooping, una contramedida implementada en dispositivos Cisco. Para mayor información consulte el post Defensas frente ataques DHCP Y para proteger la tabla ARP, podemos utilizar Dynamic ARP Inspection (DAI), una medida de seguridad también disponible en switches Cisco que nos permite validar los paquetes ARP de la red, la cual utiliza la tabla de asociaciones IP-MAC generada por DHCP Snooping. Para mayor información consulte el post Defensas frente ataques ARP. Y para evitarlo en los clientes, utilice el script AntiArpSpoof (Descarga) ... Continúa en Firewall IV 14/14
  30. 30. Firewall IV maravento.com/2013/08/firewall-iv.html En los posts anteriores Firewall, Firewall II y Firewall III, abordamos temas relacionados con el control HTTPS usando el IPtables, para frenar el acceso a programas y sitios que usan el puerto de seguridad 443, conocido como puerto HTTPS. También explicamos el uso de la tabla MANGLES y restringir el acceso de equipos no autorizados a nuestra red local de datos, entre otras reglas, pero solucionar del filtrado HTTPS via IPTables, o amarrar IP+Host+Mac no significa que todo está resuelto. Hay mucho Black Traffic que circula por el puerto 80 (HTTP), el cual puede ser filtrado por el Squid. Squid es uno de los software tipo proxy más usados en la actualidad y es capaz de filtrar múltiples protocolos, pero, para el caso del proxy cache transparente, Squid no procesa peticiones al puerto de seguridad 443 en modo transparente (Vea Firewall); pero sí procesa el resto del tráfico por el puerto 80. Ver tutorial de instalación de Squid para Linux y Windows FILTRANDO BLACKTRAFFIC El Administrador TI debe determinar que sitios debe bloquear y cuales no y crear una ACL que contenga estos portales restringidos para su red local, sin embargo, (tal y como sucedía con las IPs de HTTPS en el artículo Firewall) son incontables los sitios de descargas, de contenido adulto xxx, etc, etc. Cómo bloquear millones de IPs y URLs con contenido no deseado... Si bien este trabajo es arduo para el Administrador TI, existen sitios que ofrecen ACLs Blacklists. Lo único que hay que hacer es descargarlas, colocarlas en una carpeta y agregarle al Squid las reglas de filtrado correspondiente, indicándole la ruta de las ACLs. Estas ACLs pueden representar el 80% de los portales e IPs que el Administrador TI necesita bloquear. El restante 20% serán aquellas específicas que el Administrador TI haya recopilado y que no se encuentren en las ACLs ofrecidas en estos "big packs blacklists". SUPERPACKS BLACKLISTS Estos sitios especializados ofrecen Packs de ACLs Blacklists con Black Traffic. La ventaja es que los creadores las actualizan permanentemente, lo cual es un ahorro de tiempo considerable para el Administrador TI. He aquí algunos de ellos: En Squidguard puede encontrar una relación de sitios que ofrecen las ACLs Blacklists Capitole.fr (Free): Puede elegir las ACLs Blacklists de manera individual y descargar la que necesite (o 1/8
  31. 31. descargarlas todas). SquidBlacklists (Pago): Ofrece ACLs Blacklists para diversos usos. URLBlacklists (Free y Pago): Descarga limitada. Viene configurado para dansguardian. Tiene un Script para hacer las actualizaciones automáticas. Puede descargarlo AQUI. Debe instalar Dansguardian primero. Shallalist (Free): Colección de listas de URLs, similar a las anteriores, con la ventaja que tiene un script para su instalación en el Squid. Ver Howto AQUI y DD AQUI MESD (Free): Un paquete de Blacklists más pequeño pero igual de efectivo. O visitar nuestro proyecto blacklistweb.com, que recopila todas estas listas negras públicas en una sola ACL Configurando Squid Supongamos que hemos descargado una ACL con URLs de sitios con contenido para adultos (porno) y otra de sitios prohibidos de descargas. Ahora vamos a ponerlas en el Squid y a activarlas. A modo de ejemplo las ubicaremos en una carpeta en la siguiente ruta: /home/usuario/acl/porno Sustituya usuario por tu-usuario. Editando squid.conf sudo /etc/squid/squid.conf o sudo /etc/squid3/squid.conf Inserte las siguientes reglas # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl webserver src 192.168.1.0/255.255.255.0 acl porno dstdomain "/home/usuario/acl/porno" acl descargas dstdomain "/home/usuario/acl/descargas" Y actívelas # Don't upgrade ShoutCast responses to HTTP acl apache rep_header Server ^Apache http_access allow manager localhost http_access allow manager webserver http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny porno http_access deny descargas http_access allow localhost http_access deny all upgrade_http0.9 deny shoutcast Pueden seguir agregando reglas de filtrado con ACLs, por ejemplo, que prohíban las descargas de archivos vía HTTP (exe, mp3, mp4...) y solo dejar pasar pdf, xls, doc, etc. También se puede exceptuar las reglas para determinado grupo privilegiados de terminales dentro de la red local, los cuales deben estar también dentro de una ACL (macs-privilegiadas). # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl archivos-bloqueados rep_mime_type -i "/home/usuario/acl/archivos-bloqueados" 2/8
  32. 32. acl extensiones url_regex "/home/usuario/acl/extensiones" Y luego... # Don't upgrade ShoutCast responses to HTTP http_reply_access allow macs-privilegiadas archivos-bloqueados http_access allow macs-privilegiadas extensiones http_reply_access deny archivos-bloqueados http_access deny extensiones EFECTO DOMINÓ Primero que todo hay que establecer que en un proxy server, que tenga Squid e Iptables "filtrando" el tráfico de nuestra red local, el tráfico primero llega al servidor y ahí se produce el filtrado, no antes ni después, por tanto no importará que tengamos el IPtables en DROP, ya que ante un ataque DDOS, al no haber nada protegiendo a nuestro Servidor Proxy, el ataque llegará y con toda seguridad el servidor caerá. Ante esto, muchos se preguntarán: ¿Si usamos un servidor para proteger nuestro servidor, quién protege al primer servidor y así sucesivamente?.. Un servidor tras otro, protegiendo siempre al anterior; y si "el último" es atacado, cae el resto como fichas de dominó. El hecho de tener muchos servidores, firewalls dedicados y otros equipos perimetrales protegiendo nuestro servidor proxy y bases de datos, no garantiza que un ataque no llegue al núcleo de nuestra red local. Todo radica en la estrategia de defensa y no en la cantidad de equipos. Existen varios tipos de ataques contra la infraestructura informática. En dependencia de su origen, tenemos los Externos (Outside), cuando vienen desde fuera de nuestra red local y los Internos (Inside), los se producen desde nuestra propia infraestructura, incluyendo nuestros servidores. También están los Directos e Indirectos (client-side attacks), basados en la forma del ataque. Puede leer sobre ellos en el portal thehackerway.com. El más popular de los "Externos" es el de 'Denegación de Servicios' o (DoS o su variante DDos). Hay mucha documentación en Internet sobre estos ataques. Entrar en detalles sería muy extenso, pero puede consultar su funcionamiento AQUI y verlo en acción en un video publicado por la revista Enter. Garantías... Ninguna. Hay que partir de la base que no existen soluciones 100% garantizadas. Todos son paños de agua tibia para un mal que crece cada día. Hay muchos "intentos", que van desde balancear las cargas con clusters (pool de servidores), rogarle a los ISP que ponga filtros para bloquear el Black Traffic, disminuir el tamaño de la pila TCP o un delay en el establecimiento de conexiones, hasta firewall dedicados por hardware o software, etc, etc... Sin embargo, si el ataque DDoS es superior a 1TB/s no lo para ni la NASA... (a no ser que apaguen los Backbones, Datacenters, Nodos, Botnet, Puntos Neutros, Tiers (Tier1 y Tier2) y demás puntos por donde circula el tráfico del ataque DDoS). Ejemplo de ataque DoS mediano: Una “botnet” tiene 3000 máquinas zombies. Cada máquina utiliza una conexión hogareña (generalmente xDSL) con un promedio de 128 Kib/s de ancho de banda de subida (upstream). 3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s, el cual es suficiente para hacer caer cualquier sistema de rango medio. Pero no debemos quedarnos con los brazos cruzados y ver cómo caen como moscas nuestro servidores. La mejor manera de protegernos hasta la fecha es aplicando un sistema de seguridad por capas (o niveles), que van desde la protección física primaria de la infraestructura informática, hasta el uso del sentido común. He aquí algunas soluciones: Gestión Unificada de Amenazas (UTM Unified Theat Management) Es un Firewall avanzado que engloba múltiples funcionalidades, tales como Firewall, UDP, VPN, Antiphishing, 3/8
  33. 33. Antispyware, Filtro de contenidos, Antivirus, Detección/Prevención de Intrusos (IDS/IPS), control de aplicaciones, acceso móvil, prevención de fuga de datos, información de la identidad, filtrado URL, Web, antibots, antispam & correo electrónico, read & clustering avanzados, software de emulación de amenazas, etc, etc, etc. Hay una variedad de empresas que suministran este tipo de soluciones integradas tales como IBM Firewall, Checkpoint Firewall o Stonesoft, (certificadas por ICSLABS), pero son productos muy costosos y requieren de soporte permanente. Hay alternativas Open Source, como Open UTM, pero aún está en fase de desarrollo. Lectura recomendada: Seguridad Perimetral, UTM Escudo de Red (NetShield o Network Shield) Es la primera línea de defensa de tipo perimetral. Se define como un conjunto de técnicas y herramientas (integradas o independientes), de hardware y software, que vinculadas (o por separado) brindan la primera protección a una infraestructura informática. Puede estar conformada por sistemas IDS/IPS, uno o varios servidores (clusters) y diferentes tipos de hardware de red y equipos de comunicaciones, Firewalls, UnitSystemBox, proxy inverso, etc, en dependencia del esquema de protección que se pretenda brindar. Su único objetivo es rechazar el Black traffic (Tráfico no deseado) hacia nuestras redes y solo dejar pasar el White Traffic (Tráfico solicitado), por lo que se convierte en un esquema ideal para blindar nuestros servidores locales de ataques, en especial los DDoS. He aquí algunos ejemplos de herramientas usadas en un Escudo de Red: DDOS Deflate: Un script de bash bastante efectivo para mitigar ataques DoS y DDoS pequeños y medianos, y muy útil en escenarios donde el servidor proxy solo se usa para filtrado de la red local y otros usos internos, y para pequeñas y medianas empresas y centros educativos. Requerimientos Conexión a internet para descargar el script y APF (si queremos usar que las IP´s sean baneadas a traves de APF). Este script se mantiene ejecutando en el servidor y puede detectar los ataques o conexiones originados desde múltiples direcciones IPs, mediante; netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n Instalación wget http://www.inetbase.com/scripts/ddos/install.sh chmod 0700 install.sh ./install.sh Desinstalación wget http://www.inetbase.com/scripts/ddos/uninstall.ddos chmod 0700 uninstall.ddos ./uninstall.ddos Configuración Edite el archivo de configuración: /usr/local/ddos/ddos.conf: Con los siguientes parámetros: FREQ= "aqui ponemos la frecuencia en la que el O.S ejecuta dicho script en minutos" //Default =1 4/8
  34. 34. NO_OF_CONNECTIONS= "conexiones límites para una IP entrante al servidor" //Default =150 APF_BAN= "Si es igual a uno (1) se usará APF, sino lo tienes instalado, cámbialo por cero (0) para usar iptables" //Default =1 KILL= "Deniega la conexión a IPS de lista Negra" //Default =1 EMAIL_TO= "aquí ponemos el email a donde se nos enviaran las ips atacantes" //Default =root BAN_PERIOD= "segundos de banneo tras realizar un ataque al servidor" //Default =600 Podría ser necesario cambiar la línea shebang de /bin/sh a /bin/bash en ddos.sh para que la primera línea quede como #!/bin/bash. Así mismo recomendamos instalar APF ya que es mucho mas preciso que mod_dosevasive/mod_evasive. Para excluir IPs, incluyalas en el archivo ignore.ip.list /usr/local/ddos/ignore.ip.list Luego agregue el servicio al cron sh /usr/local/ddos/ddos.sh -c La entrada del cron job se añade en /etc/cron.d con el nombre ddos.cron SHELL=/bin/sh 0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1 Si el script detecta una ip atacante nos enviará un e-mail root: administrador@maravento.com Asunto “IP addresses banned”, con los datos de la ip baneada (fecha, ip, número de conexiones) IP addresses banned on Mon Jan 25 10:30:09 CET 2014 Banned the following ip addresses on Mon Jan 25 10:30:09 CET 2014 xxx.xxx.xxx.xxx with 212 connections Para mayor información visite RinconLejano APF y BFD: También están los scripts APF (Políticas Avanzadas de Firewall) y BFD (Detección de Fuerza Bruta), que refuerzan a DDoS Deflate. Puede descargar el pack antiDDoS desde nuestra nube, el cual contiene DDos Deflate, APF y BFD. Para DDoS Deflate modifique el instalador para que busque los scripts dentro de una carpeta del pack antiDDoS. Puede ver su configuración AQUI Otros scripts para protegerse de ataques DDOS basado en IPTables es el de Ruslan Abuzant y el de Citadel (similar a DDoS Deflate) Reverse Proxy: Otra buena medida es un Proxy Inverso (Reverse Proxy). Un servidor proxy-caché pero "al revés". O sea, en lugar de permitir el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos. El Reverse Proxy, en vez de de bloquear las peticiones entrantes, trata consigo mismo. Esta estrategia ofrece una seguridad mucho más fuerte que un firewall tradicional, ya que un firewall comprueba la estructura del paquete de fuentes sospechosas de conexiones y lo deja pasar o lo rechaza, en dependencia de las reglas que tenga predeterminadas, pero el tráfico llega hasta el servidor y ahí se produce el filtrado; en cambio, el Proxy Inverso impide que la conexión no autorizada logre llegar al servidor de destino. Esto elimina cualquier posibilidad de un virus o spyware en el servidor. En este orden de ideas, un proxy-inverso protege a un proxy-caché (o a cualquier otro proxy que tengamos en la red local). Tutoriales Cómo configurar un Proxy Inverso con Apache, y Qué es Reverse Proxy y cuándo usarlo? Fail2ban y DenyHOST: De las mejores herramientas que han mostrado resultados efectivos en la prevención y supervisión de ataques por fuerza bruta (Tutorial Eng y Esp). Puede verlos juntos trabajando y con asterisk. ARPon: De las mejores herramientas para impedir ataques por envenenamiento de la caché ARP ( ARP 5/8
  35. 35. Spoofing/Flooding/Poisoning or (ARP Poison Routing)) y MITM. No necesita de conocimientos avanzados para su configuración. Vea el Tutorial de instalación en Ubuntu rkhunter: Un verificador de rootkits (mucho más completo y potente que chkrootkit). Se encarga de verificar el sistema de nuestro servidor por comparación de hashes MD5, búsqueda por archivos comunes usados por rootkits, permisos equivocados para binarios, búsqueda por cadenas de texto sospechosos en módulos LKM (Loadable Kernel Modules) y KLD (Kernel Loadable Device); búsqueda de archivos ocultos; opciones de escaneo dentro de archivos binarios y planos, etc. (Tutorial de instalación AQUI) Hay ataques más peligrosos que el DDoS, que se desencadenan en nuestra red local y servidores, ya sea originado por un malware, una aplicación, u otro tipo de amenazas, en ocasiones casi imposibles de controlar por la proximidad teórica con el núcleo de la red. Para blindar los puntos neurálgicos de la red local (servidores, bases de datos, etc) se debe contar con una protección adicional, más allá del Squid y el Iptables. En otras palabras, hay que evitar que el Black Traffic llegue a nuestro servidor principal, sin importar de donde venga. Para esto se pueden implementar medidas adicionales de seguridad perimetral. Dos de las más usadas son SELinux y AppArmor SELinux: (del inglés Security-Enhanced Linux, Linux con Seguridad Mejorada) (Wiki) es un proyecto de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y de la comunidad SELinux. Es una característica de seguridad de Linux que provee una variedad de políticas de seguridad, incluyendo controles de acceso a través del uso de módulos de Seguridad en el núcleo Linux. No es una distribución de Linux, sino un conjunto de modificaciones que puede ser aplicado a un sistema tipo Unix (como Linux y BSD). Por tanto activar este módulo es vital para proteger internamente nuestros servidores. AppArmor: Fue creado en parte como alternativa a SELinux, que era criticado por los administradores por ser demasiado difícil de instalar y mantener. Al contrario que SELinux, que se basa en añadir etiquetas a los archivos, AppArmor trabaja con las rutas de los ficheros. Según sus autores, AppArmor es menos complejo y más fácil de aprender a utilizar para un usuario medio que SELinux. Añaden además que AppArmor necesita realizar pocas modificaciones en el sistema de ficheros mientras que SELinux necesita un sistema de ficheros que soporte sus atributos extendidos, lo que implica que no pueda controlar el acceso a archivos montados vía NFS. Con AppArmor no importa en qué clase de sistema de ficheros estén montados los archivos. Lea los posts: Habilitando y Deshabilitando SELinux en Fedora, SELinux Teoría, Introducción a SELinux, Secure Ubuntu With AppArmor, Armado y protegido Hay otras alternativas que ayudan a proteger el núcleo de nuestra red; entre ellas: Systrace: Un sistema diseñado para "enjaular" las app que intenten correr en el servidor. Sandboxes o Entornos de prueba: Similar a Systrace, con la diferencia que prueba las aplicaciones en un entorno virtual antes de dejarla ejecutar en el entorno real. Secure Virtual Cloud (SVC es una plataforma completamente virtual (Open Source). Su función principal es correr todo tipo de tráfico cliente-servidor por la plataforma virtual en la nube, incluyendo sistemas operativos, aplicaciones, comunicaciones, transporte de datos, ejecutar archivos y programas, sistemas virtualizados, etc, con el objeto de que si se produce un daño por malware, ataques informáticos, aplicaciones corruptas, o factor humano (mal uso), simplemente se reemplaza el sistema completo (o el segmento virtual afectado), por otra plataforma en limpio, de manera transparente y transparente, sin que afecte ningún servicio, programas, ni comprometa los datos de la red local y usuarios. Esto se logra gracias a que tiene la capacidad de autoclonarse de manera incremental, según la programación del Administrador TI. Tampoco se afecta la seguridad, ya que posee un sistema de encriptación militar, siendo la encriptación de la capa de transporte la mejor alternativa en la actualidad. Si bien los sistemas actuales de encriptación y los números aleatorios has sido fuertemente cuestionados por tener supuestos backdoors (incluso Linux ha caído en desgracia ante la posibilidad de estar penetrado por la NSA) la batalla por la privacidad no está perdida. En el caso de los sistemas basados en SVC, se crean tramas de datos conocidas como "miel"; o sea de introduce dentro del tráfico habitual codificado un volumen considerable de "datos no relacionados con los reales", para que el atacante, en el supuesto caso que logre burlar la seguridad perimetral y entre al túnel, tarde años en "armar el rompecabezas", ya que la criptografía usada para proteger el tráfico real está basada en números aleatorios que se generan por una combinación de software y hardware (externo e interno), sin el patrón definido del chip y RDRand de Intel o la "piscina de entropía" de Linux. 6/8
  36. 36. EL FIN JUSTIFICA LOS MEDIOS La única manera de saber realmente si nuestro trabajo de protección sirve de algo es haciéndole una auditoria. En otras palabras, bombardear nuestra defensa perimetral con todo lo que tengamos, sin importar qué sea, hasta que se reviente o aguante la embestida... Es mejor hacerlo uno mismo que esperar a que otro lo haga. Existen muchas herramientas capaces de determinar qué tan sólida es nuestra defensa. Una muy buena es la Mega Suite Net Tools, que contiene casi todo lo necesario para probar una red. En GNU/Linux las más usadas para capturar y analizar el tráfico son Wireshark (Install, Manual), TCPDump, Nmap, IPTraf (Manual), Ettercap y NLAS, entre otras. Una descripción de estos programas puede encontrarla en Bloqueando IP atacante y Snifeando su proxy FOCA es otra herramienta muy recomendada, que realiza procesos de fingerprinting e information gathering en trabajos de auditoría web. La versión Free realiza búsqueda de servidores, dominios, URLs y documentos publicados, así como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extracción de metadatos en documentos públicos, pero hoy en día es mucho más que eso. También tenemos Suricata, Snort, Cutter, Metasploit, Anonymous High OrbitIon Cannon, Dawn of Darkness tool, Zap, DHCP ACK Injector, etc. Una gran cantidad de herramientas para pentest e instructivos pueden encontrarlos en los portales especializados SecurityByDefault e Informatica64 Podemos auto-ejecutarnos un ataque de DDoS contra nuestra propia infraestructura, de manera controlada. El objetivo es que el Administrador TI compruebe la capacidad de tráfico que sus servidores pueden soportar sin volverse inestables y afectar a los servicios que prestan, o sea, conocer la capacidad real de cada máquina. Puede utilizar Low Orbit Ion Cannon (LOIC), que es una aplicación del proyecto Chanology, la cual realiza un ataque de denegación de servicio del objetivo enviando una gran cantidad de paquetes TCP, paquetes UDP o peticiones HTTP con objeto de determinar cuál es la cantidad de peticiones por segundo que puede resolver la red objetivo antes de dejar de funcionar. También puede usar Turbinas, o Hping3, Ping Flooding o cualquier otra herramienta hacking para explotar las vulnerabilidades de su propia red. Ejemplo de ataque DDoS con Hping3 sudo apt-get install hping3 sudo hping3 --rand-source -p 80 -S --flood 192.168.1.1 o sudo hping3 -S 192.168.1.1 --flood --rand-source -d 5000 -p 80 Donde 192.168.1.1 es la ip de nuestro servidor proxy que pretendemos hacer caer, -p 80 es el puerto que elegimos atacar, -S activa el flag Syn, --flood le indica a hping que envíe los paquetes a la máxima velocidad posible, -- rand-source hace que se generan direcciones de origen ip al azar (para no saturar nuestra propia máquina con las respuestas (Spoofing) o también se puede usar -a ip_falsa (en reemplazo de --rand-source) para usar una ip diferente a la nuestra y finalmente -d, que indica el tamaño del cuerpo del paquete (expresado en bytes). Este valor puede variar. Al cabo de unos pocos segundos, el servidor se volverá inaccesible dada la cantidad de requests que el servidor tiene que procesar. Al intentar acceder al servidor o sitio atacado por el puerto 80, se obtiene un timeout dado que no puede responder a peticiones genuinas por estar saturado de paquetes malformados. Vea SYN Flood con Hping3 y Ataques coordinados DDos Distribuciones especializadas GNU/Linux Muchas de las tools descritas anteriormente se recogen en distros especializadas en seguridad perimetral, análisis forense, recuperación, penetración y filtrado. Una distro especializada y preconfigurada, no solo ahorra tiempo al Administrador TI, sino que garantiza que no pase por alto alguna protección esencial a la hora de la configuración. Una buena alternativa es Zeroshell. Es una distribución GNU/Linux casi desconocida, pero muy profesional. Especial para servidores y dispositivos integrados destinados a proporcionar los servicios de red principal de una LAN requiere. Está disponible en forma de Live CD o de imagen de Compact Flash y se puede configurar y administrar utilizando el navegador web. La ventaja es que no es un folk sino una distro genuina independiente, ideal para equilibrio de cargas, tráfico 3g, servidor radius, proxy inverso, portal cautivo, etc, etc. Existen muchas distribuciones de este tipo, tales como Backtrack, y su archicompetencia Kali Linux, Network 7/8
  37. 37. Security Toolkit (NST) (Basada en Fedora y equipada con herramientas de análisis de seguridad de redes, programas de validación y monitoreo); Pentoo (creada para pruebas de penetración y asesoría de seguridad. Basada en Gentoo); Helix (Basada en Ubuntu y diseñada para análisis de sistemas, recuperación de datos, auditoría de seguridad, y respuesta a incidentes); WiFiSlax (diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general); BackBox Linux (Basada en Ubuntu y diseñada específicamente para tareas vinculadas a seguridad de redes, análisis forense, ingeniería inversa, reportes, etc.) Beini, Operator, Inside Security Rescue Toolkit, Deft Linux, Fire, Local Area Security LAS, Phlak, nUbuntu (Network Ubuntu), entre otras. En el artículo Distros de Seguridad y Firewall encontrará las distribuciones servidor con múltiples funcionalidades incorporadas, relacionadas con seguridad. 8/8

×