06 airc firewalls

Seguridad perimetral

FIREWALLS

RoutersNetFilter

NATProxy

FirewallsTcp-wrappers

Bibliografía

Contenido

Routers

Routers


RoutersNetFilter

NATProxy


Bibliografía

Contenido


“Un router es un dispositivo de internetworking que pasa paquetes de datos entre redes basándose en direcciones de capa 3, y tiene capacidad de tomar decisiones sobre la ruta óptima para entregar la información al destino”

Necesidad de interconectar redes locales. Nivel de funcionalidad que implica encaminamiento

Surgen para segmentar redes con separación entre dominios de difusión y colisión diferentes.

Se suelen utilizar para soportar múltiples pilas de protocolo, cada una de ellas con su propios protocolos de encaminamiento, permitiendo que todos ellos trabajen en paralelo.Los routers actuales además de permitir encaminamiento también proporcionan bridging.

Filtran, mediante ACL, los paquetes dirigidos entre las distintas redes.

Routers

Routers

Server 1

Red 1

Red 2Red 3

Red 4

Server 2

Server 4

PC 23

Server 3

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Los filtros se realizan a nivel 2 y 3 (IP y TCP/UP)Son más transparentes para el usuario que los que se aplican a nivel de aplicación.Se utilizan para implantar una política de seguridad.Los filtros se colocan entre uno o más segmentos de red.

Filtros de paquetes

NetFilter Dos segmentos de red, uno externos y otro interno. La filtración se realiza para restringir el tráfico para los servicios que se oferten

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Los routers con filtros de paquetes: Los criterios para filtrar paquetes se guardan

en ACLs Cuando un paquete llega, se analizan los

encabezados IP, UDP y TCP Se aplican las reglas ACL en función del orden

en el que han sido guardadas Si una regla bloquea la transmisión o

recepción de un paquete, éste no es permitido

Si una regla permite la transmisión o recepción de un paquete, se permite.

Importancia del orden de las ACLs.Existen reglas por defecto: Todo aquello que no está permitido

explícitamente, está prohibido Todo aquello que no está prohibido

explícitamente, está permitido

Filtros de paquetes

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Ejemplo:

Filtros de paquetes

NetFilter

Nº ACCION Host O Port O Host D Port D

1 Bloquear * * hacker *

2 Permitir gwCorreo 25 * *

3 Permitir * * gwCorreo 25

DATOS,#SECUENCIA

ACK=1,#ACK

Origen Destino

t t

Transmisión entre cliente-servidor

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Además se puede usar información de nivel de transporte para los filtros: ACK RST

También filtros según el protocolo (ICMP, IPX, Netbeui, OSPF, …)Según la interface de llegada/salida.

Filtros de paquetes

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Las acciones que puede realizar un router son: Enviar el paquete Eliminar el paquete, sin avisar al

destinatario (drop) Rechazar el paquete y devolver un error Guardar el suceso acerca del paquete Activar una alarma Modificar el paquete, por ejemplo para

hacer NAT Modificar reglas de filtro para, por

ejemplo, denegar el tráfico que llegue de sitios hostiles.

En la actualidad, los filtros de paquetes son capaces de analizar el contenido de los paquetes para tomar decisiones.

Filtros de paquetes

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido

Seguridad perimetralVentajas: Protección de la red Son muy eficientes Prácticamente todos los routers disponen

de filtros. Han evolucionado hacia IPS (Sistemas de

prevención de intrusión)• iptables: soporta filtrado de contenido• Proyecto fwsnort: integra reglas Snort

dentro de iptablesDesventajas Reducen el rendimiento del router Dificultad en la configuración No permiten filtros por usuario (iptables

sí)

Filtros de paquetes

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores.Requerimientos Instalación del paquete iptables.

(http//www.netfilter.org) Configuración del núcleo

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido

Seguridad perimetraliptables

NetFilter

CONFIG_PACKET: Permite a ciertos programas trabajar directamente con la interfaz de red.CONFIG_NETFILTER: Opción necesaria para utilizar la máquina como cortafuegos y/o router.CONFIG_IP_NF_FILTER: Habilita el uso de la tabla FILTER.CONFIG_IP_NF_NAT: Habilita el uso de la tabla de NAT.CONFIG_IP_NF_IPTABLES: Opción necesaria para utilizar iptables.CONFIG_IP_NF_CONNTRACK: Opción necesaria para usar NAT y enmascaramiento(seguimiento de conexiones).CONFIG_IP_NF_TARGET_MASQUERADE: opción necesaria para trabajar con NAT cuando laIP de conexión a Internet es dinámica.CONFIG_IP_NF_FTP: Opción necesaria para poder hacer seguimiento de conexiones aservidores ftp a través del cortafuegos.CONFIG_IP_NF_MATCH_LIMIT: Esta opción permite limitar en el tiempo el número depaquetes que casan con una cierta regla. Se utiliza para limitar ataques DOS por sobrecarga.CONFIG_IP_NF_MATCH_MAC: Permite el uso de direcciones MAC (Ethernet) en las reglas defiltrado.CONFIG_IP_NF_MATCH_STATE: Es una de las principales novedades respecto a ipchains, puespermite hacer filtrado a partir del estado de una conexión TCP (por ejemploESTABLISHED…).CONFIG_IP_NF_MATCH_OWNER: Es un módulo recientemente incorporado a iptables, con elpodemos filtrar paquetes en función del usuario que es dueño (UID).CONFIG_IP_NF_TARGET_LOG: Permite registrar en ficheros .log el disparo de las reglas. Seutiliza para observar situaciones extrañas en la configuración o posibles ataques.

RoutersNetFilter

NATProxy


Bibliografía

Contenido




Compilación núcleo

NetFilter

Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src.Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linuxCuarto Paso: Configurar el kernel (opciones anteriores):

Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev

Con X-Windows: make xconfigTexto: make config

Quinto Paso: Compilación del kernel e instalación de los módulos:make dep cleanmake bzImagemake modules modules_install

RoutersNetFilter

NATProxy


Bibliografía

Contenido




Compilación núcleo

NetFilter

Sexto Paso: copia la imagen al directorio bootcp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2y creamos el mapa de la imagen instalando primero mkinitrd-tools:

apt-get install mkinitrd-toolsmkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/

Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vimvim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas:

title Mi Nuevo kernelroot (hd0,1)kernel /boot/kernel-2.6.15.2 root=/dev/hda2 roinitrd /boot/kernel-2.6.15.2.imgsavedefaultboot

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Conceptos REGLAS: órdenes que indican qué hacer

con un paquete CADENAS: estructura que contiene

REGLAS TABLAS: Contienen cadenas. Existen 3

tipos: filter, nat y mangle (+ una nueva:raw).

• Filter: se encarga de filtrar los paquetes. Tiene 3 cadenas: INPUT, OUTPUT y FORWARD

• Nat: se encarga de la traslación de direcciones. Tiene 3 cadenas: PREROUTING, OUTPUT y POSTROUTING

• Mangle: se encarga de la modificación de los paquetes y sus cabeceras. Tiene 2 cadenas: PREROUTING y OUTPUT.

Cada tabla tiene cadenas propias. Podemos crear las nuestras.

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Flujo de procesamiento:iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Lo que podemos hacer: Control de acceso a los equipos

y/o red Monitorizar tráfico Detectar posibles usos

fraudulentosLo que NO podemos hacer: No evita gusanos/virus/troyanos y

demás fauna No detecta intrusosGestión de los filtros: iptables

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Sintaxis:iptables [–t tabla] –A cadena opciones –j objetivo

Objetivo: ACCEPT, DROP, LOG, REJECTOpciones:

-m módulo: -m limit, -m state (ESTABLISHED, NEW, RELATED, INVALID)

-p protocolo (tcp, udp, icmp, all,…,/etc/protocols)

-i interfaz de entrada-o interfaz de salida-d IP destino-s IP origen-dport, sport Puerto destino/origen--tcp-flags máscara. Ejemplo: SYN, ACK, ACK

SYN-P política (DROP, ACCEPT)-F -> Vacía la tabla-Z Pone a 0 los contadores-L mostrar las reglas de las tablas

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Permitir navegación Web:iptables -A FORWARD -i eth0 –s red_local -p

tcp --dport 80 -j ACCEPT

Permitiremos las consultas al DNS:

iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT

Permitimos que el administrador se conecte al equipo:

iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT

iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Permitir navegación Web:iptables -A FORWARD -i eth0 –s red_local -p

tcp --dport 80 -j ACCEPT

Permitiremos las consultas al DNS:

iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT

iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT

Permitimos que el administrador se conecte al equipo:

iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT

iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT

iptables

NetFilter

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Ejemplo

iptables

NetFilter

Iptables –F INPUT DROP

Iptables –F OUTPUT DROP

Iptables –F FORWARD DROP

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Ejemplo

iptables

NetFilter

iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT

Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Ejemplo

iptables

NetFilter

Iptables –F INPUT DROP

Iptables –F OUTPUT DROP

Iptables –F FORWARD DROP

iptables –A INPUT –s IPs –d IPd –j ACCEPT

iptables –A OUTPUT –s IPd –d IPs –j ACCEPT

iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT

Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT

iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP

iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access “

iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP

iptables -A FORWARD -p tcp –syn -m recent –set

iptables -A FORWARD -i eth0 -p tcp –syn -m recent –update –second 5 –hitcount 20 -DROP

iptables -A INPUT -i eth0 -p icmp –icmp-type echo_request -m hashlimit --hashlimit-name ping --hashlimit-above 1/s –hashlimit-burts 2 –hashlimit-mode srcip -j REJECT

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Cambiar la IP de origen o destino por otra.Objetivo: optimizar el uso de Ips usando ips privadas y que, aun así, se pueda salir(entrar) a Internet.Puede ser estática o dinámica.Ventajas: Economiza direcciones IP Ayudan a restringir el tráfico de entrada y de

salida. Ocultan la configuración interna de la red.

Desventajas NAT dinámico exige información de estado que no

siempre está disponible. Direcciones IP embebidas pueden presentar

problemas con NAT (ftp, por ejemplo, está resuelto) NAT interfiere con algunos sistemas de

encriptación y autenticación NAT interfiere con el sistema de LOG NAT de puertos puede interferir con el filtrado de

paquetes.

NAT

NAT

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Ejemplo

Iptables+nat

NAT Exportar servicio HTTP fuera de LAN privadaiptables –t nat –A PREROUTING -p tcp –dport 80 –j DNAT –to-destination 192.168.16.226Permitiendo salidaiptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d any –j MASQ

RoutersNetFilter

NATProxy


Bibliografía

Contenido

Seguridad perimetralAplicaciones especializadas que, ante requerimientos de los usuarios sobre servicios de Internet, reenvían estas peticiones al servicio.

Se utilizan de intermediarias para:

Por una parte controlar los usuarios a los que se les da permiso

Por otra para que hagan el traslado de petición desde una red con IP privadas a Internet (IPs públicas)

Ventajas:

Control por usuario

Buen control de registros

Puede proporcionar mecanismos de caché

Permite filtros inteligentes

Inconvenientes:

Las aplicaciones clientes deben modificarse para que realicen la petición al servidor proxy

Es dependiente del servicio

SOCKS: sistema, en funcionamiento igual, salvo que no depende del servicio.

¿Proxy vs NAT?

Proxy

Proxy

RoutersNetFilter

NATProxy


Bibliografía

Contenido

servidor proxy

Navegador Web

Cliente

Servidor Proxy

Servidor Web

Pág.HTM

L

Proxy

RoutersNetFilter

NATProxy


Bibliografía

Contenido

Firewalls


Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Firewall: sistema que implanta una política de control de accesos entre redes mediante el bloqueo o autorización del tráfico entre ellas.

Host bastión: computador determinante para la seguridad de la red.

Host de base dual: computadores con 2 NICs.

Red perimetral: red añadida entre una red protegida y una externa para proporcionar mayor seguridad.

Definiciones

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Screening Router

Dispone de un router de selección para la conexión a Internet.

Son sistemas muy baratos y fáciles de implementar

Router realiza el filtrado de paquetes necesario.

No es flexible: se permite o deniega paquetes por número de puerto, pero no por tipo de operaciones

Si se viola la seguridad del router, la red queda sin ninguna seguridad.

Arquitecturas

Firewalls

Red 1

Red 3

Red 4

Server 2

Server 4

PC 23

Server 3

Router

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Host de base dual Se trata de un host

(bastión) con dos tarjetas de red, conectadas a redes diferentes, capaz de encaminar paquetes entre las 2 redes, pero la función debe estar deshabilitada.

En esta configuración, el bastión puede filtrar hasta capa de aplicación.

Son sistemas muy baratos y fáciles de implementar

No son proporcionan alto rendimiento

El host de base dual es un punto único de fallo.

Arquitecturas

Firewalls

Red 1

Red 3

Red 4

Server 2

Server 4

PC 23

Server 3

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Características:

Debe inhabilitarse la capacidad de enrutamiento (ipforwading)

La única ruta entre los segmentos de red es a través de una función de capa de aplicación

La seguridad recae en el dual-homed host

Eliminar programas con SUID y SGID.

Control de los usuarios (mejor que no haya)

Eliminar los servicios de red no necesarios

Uso apropiado para:

Cuando hay poco tráfico a Internet

Cuando el tráfico a Internet no es crítico

La red protegida no contiene datos valiosos

No se proporcionan servicios para usuarios de Internet.

Arquitecturas

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Host bastión seleccionado (Screened hosts) Configuración en la

que un router de selección filtra todo el tráfico excepto el dirigido a un host bastión.

Soporta servicios mediante proxy (bastión)

Soporta filtrado de paquetes (router)

No es complicado de implementar

Si el atacante entra en el bastión, no hay ninguna seguridad

Arquitecturas

Host Bastión

Red 3

Red 1Server 2

Server 3

Router

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Host bastión seleccionado (Screened hosts) Proporciona servicios desde la red interna, usando un router de selección

para filtrar el tráfico El host bastión necesita mantener un alto grado de seguridad Los filtros del router permiten que el host bastión sólo opere con los paquete

permitidos según la política de seguridad que haya implementado en el router.

Los filtros del router deben permitir• Abrir conexiones permitidas de hosts internos a hosts externos• Deshabilitar todas las conexiones desde hosts internos, forzando a que éstos

usen los servicios proxy ofertados por el host bastión. Se pueden realizar mezclas en las que determinadas conexiones se realicen directamente y otras se fuercen a pasar por el proxy.

Proporciona más seguridad y usabilidad que la arquitecturas anteriores. Por el contrario, tanto el router como el host bastión son punto únicos de fallo

Inapropiadas para servicios con alto riesgo. Arquitectura apropiada para:

• Proteger redes con host relativamente seguros• Pocas conexiones desde Internet.

Arquitecturas

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


DMZ (Zonas desmilitarizadas)

Router de selección más host bastión con 2 NIC

No se puede evitar el host bastión modificando la tabla de rutas del router

Existen diversas variantes de esta configuración

Arquitecturas

Router

Host Bastión

Red Interna

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Subredes seleccionadas

Creación de un perímetro de red con la incorporación de un router interior.

El router no es ya un punto único de fallo

Cualquier violación en la seguridad del host bastión, no supone la pérdida total de seguridad de la red interna, ya que debe saltar el router interior.

Los routers se sitúan en el perímetro de red, uno cara a la red interna, el otro cara a Internet.

Arquitecturas

Router Exterior

Host Bastión

Red Interna

Router Interior

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Subredes seleccionadas

Los servicios que el router interior permite entre el host bastion y la red interna pueden NO ser los mismos que los que permite entre Internet y la red interna

Se debe limitar los servicios entre la red interna y el host bastión

Arquitecturas

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Múltiples subredes seleccionadas

Proporciona defensa en profundidad, protegiendo tanto los routers como el host.

Host de base dual proporciona un control fino de los filtros.

Útil para:

• Redes con uso intensivo de la red.

• Redes en las que se usen protocolos inseguros (NetBEUI)

• Para redes que necesiten alta seguridad, particularmente para proporcionar servicios de Internet.

Arquitecturas

Router Exterior

Dual-homed host

Red Interna

Router Interior

Red de perímetro 1

Red de perímetro 2

Firewalls

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Solo los servicios necesarios, los usuarios necesarios,...

Acceso al sistema

Cómo ser root: grupo wheel, sudo, su

PAM

Sudo: /etc/sudoers

PAM:

pam_securetty: ttys donde acceder root

pam_limits: sobre contraseñas

pam_cracklib: longitud de contraseña, #caracteres distintos, no palídromos

pam_tally2: bloquear usuarios con X sesiones erróneas

/etc/login.defs: máximos reintentos,..

/etc/sshd_config: no permitir root, acceso ciertos usuarios, horario

Hardening: para proteger al host bastion

Tcp-wrappers

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Permisos:

RWX

Especiales

Atributos

ACLS

Especiales: s/S, t/T: setuid, setgid y sticky

Atributos: inmutable (i), añadir (a): chattr +i fichero

ACL:

rwx por usuario

Necesita módulos del núcleo.

hardening: para proteger al host bastion

Tcp-wrappers

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Software de control de acceso que permite

Registrar solicitudes para servicios

Proporciona un mecanismo para controlas el acceso a dichos servicios

La información de control de acceso se guarda en los ficheros

/etc/hosts.allow Lista de hosts a los que se permite el acceso al servicio

/etc/hosts.deny Lista de hosts a los que se deniega el servicio.

Primero se revisa /etc/hosts.allow y, si no existe una coincidencia, se revisa /etc/hosts.deny

TCP-WRAPPERS

Tcp-wrappers

RoutersNetFilter

NATProxy


Bibliografía

Contenido


Formato de los ficheros:

servicios: lista hosts [:cmd shell]

Ejemplos:

httpd, sshd: 172.20.40.3, 172.16

smtpd: ALL

ALL:ALL

LOCAL: cualquier host de la red local

ALL: cualquier servicio o host

TCP-WRAPPERS

Tcp-wrappers

RoutersNetFilter

NATProxy


Bibliografía

Contenido


D. Bremt Chapman y Elizabeth D. Zwicky, Building Internet Firewalls, O’Reilly

http://www.linuxguruz.com/iptables/howto/iptables-HOWTO-3.html

TCP-WRAPPERS

Bibliografía