Seguridad perimetral con routers y NetFilter
•Descargar como PPT, PDF•
2 recomendaciones•601 vistas
Este documento describe varios conceptos relacionados con la seguridad perimetral, incluyendo routers, filtros de paquetes NetFilter y iptables. Los routers permiten encaminar paquetes entre redes y aplicar listas de control de acceso para filtrar el tráfico. NetFilter es el módulo del núcleo Linux que implementa filtros de paquetes, y iptables es el conjunto de comandos para configurar las tablas, cadenas y reglas de filtrado de NetFilter.
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (15)
Destacado
Destacado (20)
Similar a Seguridad perimetral con routers y NetFilter
Similar a Seguridad perimetral con routers y NetFilter (20)
Más de Juan Antonio Gil Martínez-Abarca
Más de Juan Antonio Gil Martínez-Abarca (15)
Último
Último (19)
Seguridad perimetral con routers y NetFilter
- 3. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral “Un router es un dispositivo de internetworking que pasa paquetes de datos entre redes basándose en direcciones de capa 3, y tiene capacidad de tomar decisiones sobre la ruta óptima para entregar la información al destino” Necesidad de interconectar redes locales. Nivel de funcionalidad que implica encaminamiento Surgen para segmentar redes con separación entre dominios de difusión y colisión diferentes. Se suelen utilizar para soportar múltiples pilas de protocolo, cada una de ellas con su propios protocolos de encaminamiento, permitiendo que todos ellos trabajen en paralelo. Los routers actuales además de permitir encaminamiento también proporcionan bridging. Filtran, mediante ACL, los paquetes dirigidos entre las distintas redes. Routers Routers Server 1 Red 1 Red 2 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3
- 4. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Los filtros se realizan a nivel 2 y 3 (IP y TCP/UP) Son más transparentes para el usuario que los que se aplican a nivel de aplicación. Se utilizan para implantar una política de seguridad. Los filtros se colocan entre uno o más segmentos de red. Filtros de paquetes NetFilter Dos segmentos de red, uno externos y otro interno. La filtración se realiza para restringir el tráfico para los servicios que se oferten
- 5. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Los routers con filtros de paquetes: Los criterios para filtrar paquetes se guardan en ACLs Cuando un paquete llega, se analizan los encabezados IP, UDP y TCP Se aplican las reglas ACL en función del orden en el que han sido guardadas Si una regla bloquea la transmisión o recepción de un paquete, éste no es permitido Si una regla permite la transmisión o recepción de un paquete, se permite. Importancia del orden de las ACLs. Existen reglas por defecto: Todo aquello que no está permitido explícitamente, está prohibido Todo aquello que no está prohibido explícitamente, está permitido Filtros de paquetes NetFilter
- 6. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo: Filtros de paquetes NetFilter Nº ACCION Host O Port O Host D Port D 1 Bloquear * * hacker * 2 Permitir gwCorreo 25 * * 3 Permitir * * gwCorreo 25 DATOS,#SECUENCIA ACK=1,#ACK Origen Destino t t Transmisión entre cliente-servidor
- 7. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Además se puede usar información de nivel de transporte para los filtros: ACK RST También filtros según el protocolo (ICMP, IPX, Netbeui, OSPF, …) Según la interface de llegada/salida. Filtros de paquetes NetFilter
- 8. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Las acciones que puede realizar un router son: Enviar el paquete Eliminar el paquete, sin avisar al destinatario (drop) Rechazar el paquete y devolver un error Guardar el suceso acerca del paquete Activar una alarma Modificar el paquete, por ejemplo para hacer NAT Modificar reglas de filtro para, por ejemplo, denegar el tráfico que llegue de sitios hostiles. En la actualidad, los filtros de paquetes son capaces de analizar el contenido de los paquetes para tomar decisiones. Filtros de paquetes NetFilter
- 9. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ventajas: Protección de la red Son muy eficientes Prácticamente todos los routers disponen de filtros. Han evolucionado hacia IPS (Sistemas de prevención de intrusión) • iptables: soporta filtrado de contenido • Proyecto fwsnort: integra reglas Snort dentro de iptables Desventajas Reducen el rendimiento del router Dificultad en la configuración No permiten filtros por usuario (iptables sí) Filtros de paquetes NetFilter
- 10. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos Instalación del paquete iptables. (http//www.netfilter.org) Configuración del núcleo iptables NetFilter
- 11. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral iptables NetFilter CONFIG_PACKET: Permite a ciertos programas trabajar directamente con la interfaz de red. CONFIG_NETFILTER: Opción necesaria para utilizar la máquina como cortafuegos y/o router. CONFIG_IP_NF_FILTER: Habilita el uso de la tabla FILTER. CONFIG_IP_NF_NAT: Habilita el uso de la tabla de NAT. CONFIG_IP_NF_IPTABLES: Opción necesaria para utilizar iptables. CONFIG_IP_NF_CONNTRACK: Opción necesaria para usar NAT y enmascaramiento (seguimiento de conexiones). CONFIG_IP_NF_TARGET_MASQUERADE: opción necesaria para trabajar con NAT cuando la IP de conexión a Internet es dinámica. CONFIG_IP_NF_FTP: Opción necesaria para poder hacer seguimiento de conexiones a servidores ftp a través del cortafuegos. CONFIG_IP_NF_MATCH_LIMIT: Esta opción permite limitar en el tiempo el número de paquetes que casan con una cierta regla. Se utiliza para limitar ataques DOS por sobrecarga. CONFIG_IP_NF_MATCH_MAC: Permite el uso de direcciones MAC (Ethernet) en las reglas de filtrado. CONFIG_IP_NF_MATCH_STATE: Es una de las principales novedades respecto a ipchains, pues permite hacer filtrado a partir del estado de una conexión TCP (por ejemplo ESTABLISHED…). CONFIG_IP_NF_MATCH_OWNER: Es un módulo recientemente incorporado a iptables, con el podemos filtrar paquetes en función del usuario que es dueño (UID). CONFIG_IP_NF_TARGET_LOG: Permite registrar en ficheros .log el disparo de las reglas. Se utiliza para observar situaciones extrañas en la configuración o posibles ataques.
- 12. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos Instalación del paquete iptables. (http//www.netfilter.org) Configuración del núcleo Compilación núcleo NetFilter Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel (opciones anteriores): Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install
- 13. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores. Requerimientos Instalación del paquete iptables. (http//www.netfilter.org) Configuración del núcleo Compilación núcleo NetFilter Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
- 14. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Conceptos REGLAS: órdenes que indican qué hacer con un paquete CADENAS: estructura que contiene REGLAS TABLAS: Contienen cadenas. Existen 3 tipos: filter, nat y mangle (+ una nueva:raw). • Filter: se encarga de filtrar los paquetes. Tiene 3 cadenas: INPUT, OUTPUT y FORWARD • Nat: se encarga de la traslación de direcciones. Tiene 3 cadenas: PREROUTING, OUTPUT y POSTROUTING • Mangle: se encarga de la modificación de los paquetes y sus cabeceras. Tiene 2 cadenas: PREROUTING y OUTPUT. Cada tabla tiene cadenas propias. Podemos crear las nuestras. iptables NetFilter
- 15. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Flujo de procesamiento: iptables NetFilter
- 16. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Lo que podemos hacer: Control de acceso a los equipos y/o red Monitorizar tráfico Detectar posibles usos fraudulentos Lo que NO podemos hacer: No evita gusanos/virus/troyanos y demás fauna No detecta intrusos Gestión de los filtros: iptables iptables NetFilter
- 17. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Sintaxis: iptables [–t tabla] –A cadena opciones –j objetivo Objetivo: ACCEPT, DROP, LOG, REJECT Opciones: -m módulo: -m limit, -m state (ESTABLISHED, NEW, RELATED, INVALID) -p protocolo (tcp, udp, icmp, all, …,/etc/protocols) -i interfaz de entrada -o interfaz de salida -d IP destino -s IP origen -dport, sport Puerto destino/origen --tcp-flags máscara. Ejemplo: SYN, ACK, ACK SYN -P política (DROP, ACCEPT) -F -> Vacía la tabla -Z Pone a 0 los contadores -L mostrar las reglas de las tablas iptables NetFilter
- 18. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permitir navegación Web: iptables -A FORWARD -i eth0 –s red_local -p tcp --dport 80 -j ACCEPT Permitiremos las consultas al DNS: iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT Permitimos que el administrador se conecte al equipo: iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT iptables NetFilter
- 19. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permitir navegación Web: iptables -A FORWARD -i eth0 –s red_local -p tcp --dport 80 -j ACCEPT Permitiremos las consultas al DNS: iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT Permitimos que el administrador se conecte al equipo: iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT iptables NetFilter
- 20. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter Iptables –F INPUT DROP Iptables –F OUTPUT DROP Iptables –F FORWARD DROP
- 21. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT
- 22. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo iptables NetFilter Iptables –F INPUT DROP Iptables –F OUTPUT DROP Iptables –F FORWARD DROP iptables –A INPUT –s IPs –d IPd –j ACCEPT iptables –A OUTPUT –s IPd –d IPs –j ACCEPT iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access “ iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP iptables -A FORWARD -p tcp –syn -m recent –set iptables -A FORWARD -i eth0 -p tcp –syn -m recent –update –second 5 – hitcount 20 -DROP iptables -A INPUT -i eth0 -p icmp –icmp-type echo_request -m hashlimit --hashlimit-name ping --hashlimit-above 1/s –hashlimit-burts 2 –hashlimit- mode srcip -j REJECT
- 23. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Cambiar la IP de origen o destino por otra. Objetivo: optimizar el uso de Ips usando ips privadas y que, aun así, se pueda salir(entrar) a Internet. Puede ser estática o dinámica. Ventajas: Economiza direcciones IP Ayudan a restringir el tráfico de entrada y de salida. Ocultan la configuración interna de la red. Desventajas NAT dinámico exige información de estado que no siempre está disponible. Direcciones IP embebidas pueden presentar problemas con NAT (ftp, por ejemplo, está resuelto) NAT interfiere con algunos sistemas de encriptación y autenticación NAT interfiere con el sistema de LOG NAT de puertos puede interferir con el filtrado de paquetes. NAT NAT
- 24. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Ejemplo Iptables+nat NAT Exportar servicio HTTP fuera de LAN privada iptables –t nat –A PREROUTING -p tcp –dport 80 –j DNAT –to-destination 192.168.16.226 Permitiendo salida iptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d any –j MASQ
- 25. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Aplicaciones especializadas que, ante requerimientos de los usuarios sobre servicios de Internet, reenvían estas peticiones al servicio. Se utilizan de intermediarias para: Por una parte controlar los usuarios a los que se les da permiso Por otra para que hagan el traslado de petición desde una red con IP privadas a Internet (IPs públicas) Ventajas: Control por usuario Buen control de registros Puede proporcionar mecanismos de caché Permite filtros inteligentes Inconvenientes: Las aplicaciones clientes deben modificarse para que realicen la petición al servidor proxy Es dependiente del servicio SOCKS: sistema, en funcionamiento igual, salvo que no depende del servicio. ¿Proxy vs NAT? Proxy Proxy
- 28. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Firewall: sistema que implanta una política de control de accesos entre redes mediante el bloqueo o autorización del tráfico entre ellas. Host bastión: computador determinante para la seguridad de la red. Host de base dual: computadores con 2 NICs. Red perimetral: red añadida entre una red protegida y una externa para proporcionar mayor seguridad. Definiciones Firewalls
- 29. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Screening Router Dispone de un router de selección para la conexión a Internet. Son sistemas muy baratos y fáciles de implementar Router realiza el filtrado de paquetes necesario. No es flexible: se permite o deniega paquetes por número de puerto, pero no por tipo de operaciones Si se viola la seguridad del router, la red queda sin ninguna seguridad. Arquitecturas Firewalls Red 1 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3 Router
- 30. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host de base dual Se trata de un host (bastión) con dos tarjetas de red, conectadas a redes diferentes, capaz de encaminar paquetes entre las 2 redes, pero la función debe estar deshabilitada. En esta configuración, el bastión puede filtrar hasta capa de aplicación. Son sistemas muy baratos y fáciles de implementar No son proporcionan alto rendimiento El host de base dual es un punto único de fallo. Arquitecturas Firewalls Red 1 Red 3 Red 4 Server 2 Server 4 PC 23 Server 3
- 31. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Características: Debe inhabilitarse la capacidad de enrutamiento (ipforwading) La única ruta entre los segmentos de red es a través de una función de capa de aplicación La seguridad recae en el dual-homed host Eliminar programas con SUID y SGID. Control de los usuarios (mejor que no haya) Eliminar los servicios de red no necesarios Uso apropiado para: Cuando hay poco tráfico a Internet Cuando el tráfico a Internet no es crítico La red protegida no contiene datos valiosos No se proporcionan servicios para usuarios de Internet. Arquitecturas Firewalls
- 32. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host bastión seleccionado (Screened hosts) Configuración en la que un router de selección filtra todo el tráfico excepto el dirigido a un host bastión. Soporta servicios mediante proxy (bastión) Soporta filtrado de paquetes (router) No es complicado de implementar Si el atacante entra en el bastión, no hay ninguna seguridad Arquitecturas Host Bastión Red 3 Red 1Server 2 Server 3 Router Firewalls
- 33. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Host bastión seleccionado (Screened hosts) Proporciona servicios desde la red interna, usando un router de selección para filtrar el tráfico El host bastión necesita mantener un alto grado de seguridad Los filtros del router permiten que el host bastión sólo opere con los paquete permitidos según la política de seguridad que haya implementado en el router. Los filtros del router deben permitir • Abrir conexiones permitidas de hosts internos a hosts externos • Deshabilitar todas las conexiones desde hosts internos, forzando a que éstos usen los servicios proxy ofertados por el host bastión. Se pueden realizar mezclas en las que determinadas conexiones se realicen directamente y otras se fuercen a pasar por el proxy. Proporciona más seguridad y usabilidad que la arquitecturas anteriores. Por el contrario, tanto el router como el host bastión son punto únicos de fallo Inapropiadas para servicios con alto riesgo. Arquitectura apropiada para: • Proteger redes con host relativamente seguros • Pocas conexiones desde Internet. Arquitecturas Firewalls
- 34. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral DMZ (Zonas desmilitarizadas) Router de selección más host bastión con 2 NIC No se puede evitar el host bastión modificando la tabla de rutas del router Existen diversas variantes de esta configuración Arquitecturas Router Host Bastión Red Interna Firewalls
- 35. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Subredes seleccionadas Creación de un perímetro de red con la incorporación de un router interior. El router no es ya un punto único de fallo Cualquier violación en la seguridad del host bastión, no supone la pérdida total de seguridad de la red interna, ya que debe saltar el router interior. Los routers se sitúan en el perímetro de red, uno cara a la red interna, el otro cara a Internet. Arquitecturas Router Exterior Host Bastión Red Interna Router Interior Firewalls
- 36. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Subredes seleccionadas Los servicios que el router interior permite entre el host bastion y la red interna pueden NO ser los mismos que los que permite entre Internet y la red interna Se debe limitar los servicios entre la red interna y el host bastión Arquitecturas Firewalls
- 37. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Múltiples subredes seleccionadas Proporciona defensa en profundidad, protegiendo tanto los routers como el host. Host de base dual proporciona un control fino de los filtros. Útil para: • Redes con uso intensivo de la red. • Redes en las que se usen protocolos inseguros (NetBEUI) • Para redes que necesiten alta seguridad, particularmente para proporcionar servicios de Internet. Arquitecturas Router Exterior Dual-homed host Red Interna Router Interior Red de perímetro 1 Red de perímetro 2 Firewalls
- 38. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Solo los servicios necesarios, los usuarios necesarios,... Acceso al sistema Cómo ser root: grupo wheel, sudo, su PAM Sudo: /etc/sudoers PAM: pam_securetty: ttys donde acceder root pam_limits: sobre contraseñas pam_cracklib: longitud de contraseña, #caracteres distintos, no palídromos pam_tally2: bloquear usuarios con X sesiones erróneas /etc/login.defs: máximos reintentos,.. /etc/sshd_config: no permitir root, acceso ciertos usuarios, horario Hardening: para proteger al host bastion Tcp-wrappers
- 39. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Permisos: RWX Especiales Atributos ACLS Especiales: s/S, t/T: setuid, setgid y sticky Atributos: inmutable (i), añadir (a): chattr +i fichero ACL: rwx por usuario Necesita módulos del núcleo. hardening: para proteger al host bastion Tcp-wrappers
- 40. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Software de control de acceso que permite Registrar solicitudes para servicios Proporciona un mecanismo para controlas el acceso a dichos servicios La información de control de acceso se guarda en los ficheros /etc/hosts.allow Lista de hosts a los que se permite el acceso al servicio /etc/hosts.deny Lista de hosts a los que se deniega el servicio. Primero se revisa /etc/hosts.allow y, si no existe una coincidencia, se revisa /etc/hosts.deny TCP-WRAPPERS Tcp-wrappers
- 41. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral Formato de los ficheros: servicios: lista hosts [:cmd shell] Ejemplos: httpd, sshd: 172.20.40.3, 172.16 smtpd: ALL ALL:ALL LOCAL: cualquier host de la red local ALL: cualquier servicio o host TCP-WRAPPERS Tcp-wrappers
- 42. Routers NetFilter NAT Proxy Firewalls Tcp-wrappers Bibliografía Contenido Seguridad perimetral D. Bremt Chapman y Elizabeth D. Zwicky, Building Internet Firewalls, O’Reilly http://www.linuxguruz.com/iptables/howto/ipt ables-HOWTO-3.html TCP-WRAPPERS Bibliografía
Notas del editor
- Con el diseño visto podemos establecer reglas para filtrar el tráfico a varios niveles: 1.- Para permitir sólo el dirigido a la red propia en los routers de selección que sirven de puerta de entrada a la red 1, 2 y 3 respectivamente. 2.- Para establecer controles a nivel de “empresa” de toda nuestra red aplicables a la entrada y salida en las que intervengan cualquier elemento de nuestra red. Con sistemas linux, también se puede controlar a nivel del destinatario, sin necesidad de ser un router. Cortafuegos Un cortafuegos consiste en una arquitectura formada por uno o varios equipos que se sitúan entre la red interna y la red externa [2]; el cortafuego analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con los criterios establecidos de antemano [1]. En su versión más simple el cortafuego consiste únicamente en un router en el que se han configurado diversos filtros impidiendo o limitando el acceso a determinadas direcciones de red o el tráfico de ciertas aplicaciones o una combinación de ambos criterios. Dado que los usuarios siguen teniendo conexión directa a nivel de red con el exterior esta solución no es muy fiable; además las posibilidades de definir filtros en los routers son limitadas y el rendimiento se resiente de forma considerable si al router se le carga con una tarea de filtrado compleja.
- El Sistema de Dominio de Nombres (DNS) es básicamente una base de datos distribuida de computadoras que forman parte de una red. Esto facilita el control local de la totalidad de segmentos de la base de datos, lo que permite, que cada segmento esté disponible a través de la red por un esquema de cliente-servidor (client server). El Servidor de Nombres (name server) es un programa que forma la parte servidor del mecanismo cliente-servidor del DNS. Los Servidores de Nombres contienen información sobre un determinado segmento de la base de datos y la hace disponible para clientes (clients), denominados Resolver. Los Resolvers muchas veces consisten sólo en rutinas de librerías, que crean interrogaciones y las mandan a través de la red a un Servidor de Nombre. La estructura de la base de datos del DNS es mostrada en figura 2. La totalidad de la base de datos se muestra como un árbol (tree) invertido con la raíz (root) en la punta. El nombre de la raíz es la etiqueta NULL, pero se escribe con un solo punto ("."). Cada nudo del árbol representa tanto una partición de la totalidad de la base de datos, como un Dominio (domain) del Sistema de Dominio de Nombre. En adelante cada dominio puede ser dividido en particiones que se llaman Subdominios (subdomains), que son derivados como niños de sus nudos paternales.
- Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel: Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
- Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel: Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
- Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel: Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
- Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src. Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2 Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linux Cuarto Paso: Configurar el kernel: Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev Con X-Windows: make xconfig Texto: make config Quinto Paso: Compilación del kernel e instalación de los módulos: make dep clean make bzImage make modules modules_install Sexto Paso: copia la imagen al directorio boot cp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2 y creamos el mapa de la imagen instalando primero mkinitrd-tools: apt-get install mkinitrd-tools mkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/ Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vim vim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas: title Mi Nuevo kernel root (hd0,1) kernel /boot/kernel-2.6.15.2 root=/dev/hda2 ro initrd /boot/kernel-2.6.15.2.img savedefault boot
- El Sistema de Dominio de Nombres (DNS) es básicamente una base de datos distribuida de computadoras que forman parte de una red. Esto facilita el control local de la totalidad de segmentos de la base de datos, lo que permite, que cada segmento esté disponible a través de la red por un esquema de cliente-servidor (client server). El Servidor de Nombres (name server) es un programa que forma la parte servidor del mecanismo cliente-servidor del DNS. Los Servidores de Nombres contienen información sobre un determinado segmento de la base de datos y la hace disponible para clientes (clients), denominados Resolver. Los Resolvers muchas veces consisten sólo en rutinas de librerías, que crean interrogaciones y las mandan a través de la red a un Servidor de Nombre. La estructura de la base de datos del DNS es mostrada en figura 2. La totalidad de la base de datos se muestra como un árbol (tree) invertido con la raíz (root) en la punta. El nombre de la raíz es la etiqueta NULL, pero se escribe con un solo punto ("."). Cada nudo del árbol representa tanto una partición de la totalidad de la base de datos, como un Dominio (domain) del Sistema de Dominio de Nombre. En adelante cada dominio puede ser dividido en particiones que se llaman Subdominios (subdomains), que son derivados como niños de sus nudos paternales.
- El Sistema de Dominio de Nombres (DNS) es básicamente una base de datos distribuida de computadoras que forman parte de una red. Esto facilita el control local de la totalidad de segmentos de la base de datos, lo que permite, que cada segmento esté disponible a través de la red por un esquema de cliente-servidor (client server). El Servidor de Nombres (name server) es un programa que forma la parte servidor del mecanismo cliente-servidor del DNS. Los Servidores de Nombres contienen información sobre un determinado segmento de la base de datos y la hace disponible para clientes (clients), denominados Resolver. Los Resolvers muchas veces consisten sólo en rutinas de librerías, que crean interrogaciones y las mandan a través de la red a un Servidor de Nombre. La estructura de la base de datos del DNS es mostrada en figura 2. La totalidad de la base de datos se muestra como un árbol (tree) invertido con la raíz (root) en la punta. El nombre de la raíz es la etiqueta NULL, pero se escribe con un solo punto ("."). Cada nudo del árbol representa tanto una partición de la totalidad de la base de datos, como un Dominio (domain) del Sistema de Dominio de Nombre. En adelante cada dominio puede ser dividido en particiones que se llaman Subdominios (subdomains), que son derivados como niños de sus nudos paternales.
- El Sistema de Dominio de Nombres (DNS) es básicamente una base de datos distribuida de computadoras que forman parte de una red. Esto facilita el control local de la totalidad de segmentos de la base de datos, lo que permite, que cada segmento esté disponible a través de la red por un esquema de cliente-servidor (client server). El Servidor de Nombres (name server) es un programa que forma la parte servidor del mecanismo cliente-servidor del DNS. Los Servidores de Nombres contienen información sobre un determinado segmento de la base de datos y la hace disponible para clientes (clients), denominados Resolver. Los Resolvers muchas veces consisten sólo en rutinas de librerías, que crean interrogaciones y las mandan a través de la red a un Servidor de Nombre. La estructura de la base de datos del DNS es mostrada en figura 2. La totalidad de la base de datos se muestra como un árbol (tree) invertido con la raíz (root) en la punta. El nombre de la raíz es la etiqueta NULL, pero se escribe con un solo punto ("."). Cada nudo del árbol representa tanto una partición de la totalidad de la base de datos, como un Dominio (domain) del Sistema de Dominio de Nombre. En adelante cada dominio puede ser dividido en particiones que se llaman Subdominios (subdomains), que son derivados como niños de sus nudos paternales.
- El Sistema de Dominio de Nombres (DNS) es básicamente una base de datos distribuida de computadoras que forman parte de una red. Esto facilita el control local de la totalidad de segmentos de la base de datos, lo que permite, que cada segmento esté disponible a través de la red por un esquema de cliente-servidor (client server). El Servidor de Nombres (name server) es un programa que forma la parte servidor del mecanismo cliente-servidor del DNS. Los Servidores de Nombres contienen información sobre un determinado segmento de la base de datos y la hace disponible para clientes (clients), denominados Resolver. Los Resolvers muchas veces consisten sólo en rutinas de librerías, que crean interrogaciones y las mandan a través de la red a un Servidor de Nombre. La estructura de la base de datos del DNS es mostrada en figura 2. La totalidad de la base de datos se muestra como un árbol (tree) invertido con la raíz (root) en la punta. El nombre de la raíz es la etiqueta NULL, pero se escribe con un solo punto ("."). Cada nudo del árbol representa tanto una partición de la totalidad de la base de datos, como un Dominio (domain) del Sistema de Dominio de Nombre. En adelante cada dominio puede ser dividido en particiones que se llaman Subdominios (subdomains), que son derivados como niños de sus nudos paternales.