CC50P
Sebastin Castro A.
Primavera 2006
septiembre de 2006
Firewall
Cmo funcionan
Filtros de paquetes
ACL
Seguridad
Control de uso de recursos (traffic shapping)
Configuracin tpica
septiembre de 2006
Firewall
Cmo funcionan
septiembre de 2006
Firewall
Cmo funcionan
septiembre de 2006
Firewall
Para que se usan
Seguridad
z
Restringir trfico
Indeseable
Innecesario
No permitido
septiembre de 2006
Firewall
Configuracin
Tpica
Tres interfaces de
red: una para
Internet, una para la
DMZ y otra para la
red interna.
septiembre de 2006
Internet
DMZ
Red
Interna
Firewall
Configuracin Tpica
Tres o ms interfaces de
red, para separar reas
que tienen polticas de
seguridad diferentes.
Se puede implementar
algo parecido usando
otro mtodo?
septiembre de 2006
Administracin
y Finanzas
Desarrollo
Produccin
NAT
Qu es
Cmo funciona
Para que sirve
Tipos: NAT y NAPT
Usos tpicos
septiembre de 2006
NAT
Qu es
septiembre de 2006
NAT
Cmo funciona
septiembre de 2006
10
NAT
Cmo funciona
NAT Esttico
Internet
10.0.0.1
171.69.58.1
I nside
septiembre de 2006
Out side
11
NAT
Cmo funciona
NAT Dinmico
10.0.0.1
171.69.58.20
Internet
10.0.0.130
171.69.58.21
Out side
I nside
septiembre de 2006
12
NAT
Cmo funciona
NAPT o Masquerading
10.0.0.1,4578
171.69.58.20,63221
Internet
10.0.0.130,6699
171.69.58.20,63222
Out side
I nside
septiembre de 2006
13
NAT
Para qu sirve
septiembre de 2006
14
NAT
Cmo funciona
septiembre de 2006
15
Statefull Firewall
Descripcin
septiembre de 2006
16
Experiencia en laboratorio
Vamos a experimentar en el laboratorio los
diversos conceptos asociados a firewall,
utilizando IPTables en Linux.
Revisaremos
Filtros de entrada
Filtros de salida
Control de uso de recursos
NAT, DNAT, SNAT.
septiembre de 2006
17
IPTables
Definicin
Caractersticas
septiembre de 2006
18
IPTables
La definicin de reglas para iptables est
definida usando comandos.
septiembre de 2006
19
IPTables
Tablas:
Filter
z
NAT
z
Mangle
PREROUTING, OUTPUT (2.4.17).
z INPUT, FORWARD, POSTROUTING (2.4.18)
z
septiembre de 2006
20
IPTables
Cmo se examinan las cadenas [Tabla Filter]
Incoming
Outgoing
Routing
Decision
Input
septiembre de 2006
Forward
Local Process
Output
21
IPTables
Cmo se examinan las cadenas [Tabla NAT]
Incoming
Prerouting
DNAT
Outgoing
Routing
Decision
Postrouting
SNAT
Local
Process
septiembre de 2006
22
IPTables
Comandos:
-A, append
-D, delete
-I, insert
-L, list
-F, flush
septiembre de 2006
23
IPTables
Reglas
z
z
z
z
septiembre de 2006
24
IPTables
Sintaxis
septiembre de 2006
25
IPTables
Ejemplos de ACL en un router
#
# Reglas que autoriza entrada de cualquier paquete que se origine
# como repuestas a una comunicacin interior
#
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# Autorizo el ICMP a la red
iptables -A FORWARD -d 200.27.115.0/24 -p icmp -j ACCEPT
# Autorizo accesos a whois.nic.cl TCP (43) UDP (43)
iptables -A FORWARD -d 200.1.123.2 -p tcp -m tcp --dport 43 -j ACCEPT
# Autorizo accesos a www.nic.cl TCP (80,443,5555)
iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 443 -j ACCEPT
iptables -A FORWARD -d 200.1.123.3 -p tcp -m tcp --dport 5555 -j ACCEPT
# Rechazo algunos accesos
iptables -A FORWARD -p tcp -m tcp --dport 1:21 -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 23:24 -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 26:42 -j DROP
septiembre de 2006
26
IPTables
Ejemplos en un host final
# Evitamos que los mails salgan
iptables -A OUTPUT -o eth0 -p tcp --dport
# Aceptamos los ICMP
iptables -A INPUT -p icmp --icmp-type any
# Aceptamos los accesos al sitio Web
iptables -A INPUT -m state --state NEW -m
# Rechazamos todo el resto
iptables -A INPUT -j REJECT --reject-with
septiembre de 2006
25 -j DROP
-j ACCEPT
tcp -p tcp --dport 80 -j ACCEPT
icmp-host-prohibited
27
IPTables
Ejemplos de NAT
#
# Configuracion DNAT
#
iptables -t nat -A PREROUTING -d 200.4.121.6 -p tcp -m tcp --dport 6666 -j DNAT
--to-destination 192.168.10.1
iptables -t nat -A PREROUTING -d 200.4.121.7 -p tcp -m tcp --dport 6667 -j DNAT
--to-destination 192.168.10.11
#
# Configuro
#
iptables -t
-o
# eth0
iptables -t
-o
septiembre de 2006
28