• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Firewall
 

Firewall

on

  • 1,327 views

 

Statistics

Views

Total Views
1,327
Views on SlideShare
1,326
Embed Views
1

Actions

Likes
0
Downloads
46
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Firewall Firewall Presentation Transcript

    • FIREWALL FILTRADO IP
    • IPTABLES • Es la herramienta que nos permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4 (en 2.2 era ipchains). Con esta herramienta, podremos crearnos un firewall adaptado a nuestras necesidades.
    • IPTABLES PAQUETES ACCIONES BASICAS IPTABLES REGLAS ACEPTAR REGLA-1 REGLA-2 ACCIONES ELIMINAR REGLA-N RECHAZAR CONTINUA
    • REGLAS • Se aplican reglas, especificando cada una de ellas unas determinadas características que debe cumplir un paquete. • Para cada regla se especifica una acción o “target”. • Cuando se recibe o se envía un paquete, las reglas se recorren en orden, hasta que las condiciones que pide una de ellas se cumplen , se realiza acción que le haya sido especificada.
    • PAQUETES QUE SE IPTABLES REFIEREN A NUESTRO TABLAS EQUIPO NAT MANGLE FILTER INPUT Paquetes recibidos OUTPUT Paquetes enviados(generados) FORWARD Paquetes enrutados por nuestro equipo CHAINS
    • CHAINS CHAINS TARGETS INPUT ACCEPT DROP OUTPUT REJECT FORWARD POLITICA POR DEFECTO
    • CONSIDERACIONES • Permitir realizar conexiones TCP hacia afuera (realizar peticiones) • NO permitir conexiones TCP desde fuera • Permitir el tráfico de paquetes TCP en ambas direcciones. (que no establezcan conexiones) • Prohibir el tráfico UDP desde afuera de nuestra máquina(solo DNS UDP 53) • NO aplicar restricciones a la red local.(para usar SSH por ej.)
    • SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION # iptables -A INPUT -j ACCEPT Con –A se agrega una regla que acepta todos los paquetes que llegan al host.Generalmente esta es la politica por defecto.-
    • SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION AGREGA -A INPUT LISTA -L OUTPUT INSERTA -I FORWARD ELIMINA -D CREADAS FLUSH -F
    • SINTAXIS BASICA # iptables -opcion CHAIN -j ACCION EXISTEN ELIMINA DROP MAS ACCIONES,C RECHAZA REJECT OMO LOG,MIRRO ELIMINA ACCEPT R ETC.
    • AFINANDO.... • -p Protocolo al que pertenece el paquete. • -s dirección de origen del • -d dirección destino • -i Especificación del interfaz por el que se recibe el paquete. • -o Interfaz por el que se va a enviar el paquete.
    • REJECT • icmp-net-unreachable • icmp-host-unreachable • icmp-port-unreachable • icmp-proto-unreachable • icmp-net-prohibited • icmp-host-prohibited.
    • AHORA A LA PRACTICA ARMANDO UN FIREWALL CON IPTABLES
    • PASO UNO • Permitir culaquier trafico desde la direccion de loopback local(lo): iptables -A INPUT -i lo -j ACCEPT
    • PASO DOS • Permitiremos todo el tráfico que provenga de nuestro interfaz de red interna. •iptables -A INPUT -i eth0 -j ACCEPT
    • PASO TRES • No permitir paquetes TCP del exterior que intenten establecer una conexión • iptables -A INPUT -p tcp --syn -j REJECT --reject-with icmp-port- unreachable   • Los paquetes que intentan establecer una conexión se reconocen por las flags SYN y ACK y FIN
    • PASO CUATRO Permitir recibir las respuestas DNS . Las respuestas provienen del puerto 53,y son paquetes UDP. ¿Lo piensan? iptables -A INPUT -p udp --source-port 53 -j ACCEPT
    • PASO CINCO • No permitir el resto del trafico UDP.- iptables -A INPUT -p udp -j REJECT --reject-with icmp- port-unreachable
    • PASO SEIS • VERIFICAR: iptables -L -v Chain INPUT (policy ACCEPT 3444 packets, 1549K bytes)   pkts bytes target prot opt in out source destination  11312 3413K ACCEPT all -- lo any anywhere anywhere   0 0 ACCEPT all -- eth0 any anywhere anywhere   0 0 REJECT tcp -- any any anywhere anywhere tcp flags:SYN,RST,ACK/SYN reject-with icmp-port-unreachable   0 0 ACCEPT udp -- any any anywhere anywhere udp spt:domain   0 0 REJECT udp -- any any anywhere anywhere reject- with icmp-port-unreachable
    • CONFIGURACION PERSISTENTE • La politica por defecto de las “chain” INPUT es ACCEPT • iptables-save –c > “nombre archivo” • iptables-restore –c < “nombre archivo” • Se debe colocar en las scripts de inicalizacion del sistema
    • TAREA • Investigue acerca de FIREWALL+PROXY