Tcpipas 400

iSeries
Seguridad de la red Reglas de paquete
iSeries
Seguridad de la red Reglas de paquete
Copyright International Business Machines Corporation 2000,2001. Reservados todos los derechos.
Contenido
Parte 1. Reglas de paquete (filtros y NAT) . . . . . . . . . . . . . . . . . . . 1
Captulo 1. Novedades de la versin V5R1. . . . . . . . . . . . . . . . . . . . . . . 3 Captulo 2. Imprimir este tema . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Captulo 3. Ejemplos de reglas de paquete . . . . . . . . . Ejemplo: correlacionar las direcciones IP (NAT esttica). . . . . . Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP . Ejemplo: combinacin de NAT y filtros IP . . . . . . . . . . . Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) . . Captulo 4. Conceptos de reglas de paquete . . . Trminos de reglas de paquete . . . . . . . . . Conversin de direcciones de red (NAT) . . . . . . Funcin de NAT esttica (de correlacin) . . . . . Funcin de NAT de enmascaramiento (de ocultacin) Funcin de NAT de enmascaramiento (de correlacin Filtros IP. . . . . . . . . . . . . . . . . . Cabecera de paquete IP . . . . . . . . . . . Organizar las reglas de NAT con reglas de filtro IP . . Organizar varias reglas de filtro IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . de puerto) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 . 7 . 8 . 10 . 12 . . . . . . . . . . 15 15 16 16 17 18 19 20 20 21
Captulo 5. Planificar las reglas de paquete . . . . . . . . . . . . . . . . . . . . . . 23 Las reglas de paquete frente a otras soluciones de seguridad . . . . . . . . . . . . . . . . 23 Captulo 6. Configurar las reglas de paquete . . . . Requisitos del sistema para las reglas de paquete . . . Acceder a las funciones de reglas de paquete . . . . . Definir direcciones y servicios . . . . . . . . . . . Poner comentarios en las reglas de NAT y de filtro IP . . Crear reglas de conversin de direcciones de red (NAT) . Crear reglas de filtro IP . . . . . . . . . . . . . Incluir archivos en las reglas de paquete . . . . . . . Definir interfaces de filtro IP . . . . . . . . . . . Verificar las reglas de NAT y de filtro IP . . . . . . . Guardar, activar y desactivar reglas de NAT y de filtro IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 25 25 26 27 27 28 29 29 30 30 33 33 34 34 35
Captulo 7. Gestionar las reglas de paquete. . . . . . Ver las reglas de NAT y de filtro IP . . . . . . . . . . Editar las reglas de NAT y de filtro IP . . . . . . . . . Crear una copia de seguridad de las reglas de NAT y de filtro Registrar por diario y auditar las acciones de las reglas . .
. . . . . . IP . . .
Captulo 8. Resolucin de problemas de las reglas de paquete . . . . . . . . . . . . . . 37
Copyright IBM Corp. 2000,2001
iii
iv
iSeries: Seguridad de la red Reglas de paquete
Parte 1. Reglas de paquete (filtros y NAT)

Las reglas de paquete abarcan los filtros de protocolo de Internet (IP) y la conversin de direcciones de red (NAT). Con estos dos componentes se gestiona el trfico TCP/IP. Los filtros IP y NAT funcionan como un cortafuegos con el fin de proteger las direcciones IP internas contra posibles intrusos. En los enlaces que figuran ms abajo se explica el por qu, el qu y el cmo de las reglas de paquete en TCP/IP. Para poder utilizar las reglas de paquete, es necesario tener instalado TCP/IP en el iSeries 400. Novedades de la versin V5R1 Destaca las modificaciones y mejoras efectuadas en las reglas de paquete en la versin V5R1. Imprimir este tema Imprima este tema para tener una copia en papel de las reglas de paquete. Casos prcticos de reglas de paquete Proporciona casos prcticos e ilustraciones para describir los filtros IP y NAT. Cada uno de los casos prcticos va seguido de una configuracin de ejemplo. Conceptos de reglas de paquete Describe los conceptos de los filtros IP y NAT. Se incluyen temas tales como la correlacin y la ocultacin de direcciones. Asimismo, incluye un breve diccionario con la terminologa especfica del iSeries. Planificar las reglas de paquete La planificacin es sumamente importante para determinar cules son los recursos que es necesario proteger y contra quin. Tambin compara las reglas de paquete con otras opciones de seguridad a fin de ayudarle a tomar una decisin, partiendo de una base slida, sobre lo que es ms conveniente para sus necesidades de seguridad concretas. Configurar las reglas de paquete Le ayuda a definir las reglas de filtro y controlar el trfico TCP/IP mediante las reglas de paquete. En funcin del plan de seguridad, se pueden utilizar reglas de NAT (de ocultacin o correlacin), reglas de filtro IP o de ambos tipos. Gestionar las reglas de paquete Le ayuda a gestionar las reglas de filtro. Entre otras funciones, se incluye el registro por diario, la edicin y la visualizacin de las reglas. Resolucin de problemas de las reglas de paquete No olvide ocuparse de las reas de posibles problemas. Adems de la informacin incluida en estas pginas, puede consultar la ayuda en lnea disponible en las reglas de paquete. La ayuda en lnea de Operations Navigator le ofrece consejos y tcnicas para obtener el mximo rendimiento de las reglas de paquete. Entre esta ayuda se encuentra la informacin de Qu es esto?, informacin sobre procedimientos y ejemplos de negocios ampliados. Si necesita obtener ms informacin acerca de filtros o NAT, tambin puede consultar TCP/IP Tutorial and Technical Overview y V4 TCP/IP for AS/400: More Cool Things Than Ever en el tema Libros rojos de Information Center.
Captulo 1. Novedades de la versin V5R1

La lista siguiente muestra los cambios tcnicos efectuados en las reglas de paquete en la versin V5R1. Carga y descarga de reglas en interfaces individuales Anteriormente era necesario cargar y descargar todas las reglas en cada una de las interfaces mediante un archivo de reglas. En la versin V5R1, puede cargar y descargar las reglas en una interfaz concreta. ID de filtro PPP Puede utilizar identificadores de filtro PPP para asociar un conjunto de filtros a una direccin IP asignada dinmicamente y a un grupo de usuarios PPP especfico. Esto le permite crear reglas para un ID de usuario especfico que llama al servidor. A cada usuario que llama se le aplica un conjunto exclusivo de reglas de filtro, en funcin de las reglas aplicadas a su ID de filtro especfico. Soporte de OPC Anteriormente no haba soporte para filtros o VPN en una interfaz ptica (*OPC). Esta interfaz habitualmente se utiliza para una conexin LPAR. En la versin V5R1, el iSeries 400 tiene soporte de OPC para filtros y VPN. No existe soporte de OPC para NAT. Nombres de sistema principal Puede utilizar varios nombres de sistema principal para definir direcciones IP. Antes se tena que especificar una mquina por direccin IP. Ahora slo se necesita el nombre de sistema principal, como por ejemplo empresa.com. Paquetes ICMP generados Por ejemplo, si se descarta un datagrama que no es ICMP debido a una regla de filtro, el sistema enviar un mensaje ICMP para indicar que el datagrama se ha eliminado. Junto con el mensaje se proporcionar un cdigo de tipo y un cdigo de razn.
Captulo 2. Imprimir este tema

Existe una versin PDF de este documento que puede ver o bajar si desea imprimirlo. Para poder ver archivos PDF, debe tener instalado el programa Adobe Acrobat Reader. Puede obtener una copia en el sitio Web de Adobe Acrobat .
Para ver o bajar la versin PDF, seleccione Reglas de paquete (aproximadamente 448 KB o 41 pginas). Para guardar un archivo PDF en la estacin de trabajo para poder verlo o imprimirlo: 1. Abra el archivo PDF en el navegador (pulse en el enlace anterior). 2. En el men del navegador, pulse en Archivo. 3. Pulse en Guardar como... 4. Sitese en el directorio en el que desea guardar el archivo PDF. 5. Pulse en Guardar.
Captulo 3. Ejemplos de reglas de paquete

Las reglas de paquete actan igual que un cortafuegos para proteger el sistema. La conversin de direcciones de red (NAT) y los filtros IP suelen utilizarse de manera conjunta, pero tambin pueden utilizarse por separado. Los casos prcticos presentados a continuacin sirven para explicar cmo se puede utilizar NAT y los filtros IP para proteger la red. Cada uno de los ejemplos incluye una configuracin de ejemplo. v Ejemplo: correlacionar las direcciones IP (NAT esttica) v Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP v Ejemplo: combinacin de NAT y filtros IP v Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) Nota: en cada uno de los casos prcticos, las direcciones IP 192.x.x.x representan direcciones IP pblicas. Todas las direcciones utilizadas lo son nicamente a ttulo de ejemplo. En estos casos prcticos se analizan algunos de los usos habituales de las reglas de paquete. Si estos casos prcticos le resultan familiares, tal vez desee comparar NAT y los filtros con otras opciones de seguridad. La planificacin de la seguridad de la red es muy importante. En Las reglas de paquete frente a otras soluciones de seguridad hallar informacin que le servir de ayuda para trazar el plan de seguridad que ms le convenga.
Ejemplo: correlacionar las direcciones IP (NAT esttica)

Situacin Usted es propietario de una empresa y decide montar una red privada. Sin embargo, nunca ha registrado ninguna direccin IP pblica ni ha adquirido un permiso para utilizarla. Todo va bien hasta que desea acceder a Internet. Resulta que el rango de direcciones de la empresa est registrado a nombre de otro, y por ello piensa que la configuracin actual que tiene est obsoleta. La necesidad de permitir a los usuarios pblicos el acceso al servidor Web es imperiosa. Qu debe hacer?
10.10.1.1
10.10.1.0
10.10.1.1 se correlaciona con 192.12.3.1
Internet
RZAJB504-0
Solucin Podra utilizar la funcin de NAT esttica. sta asigna una direccin (privada) original a una direccin registrada. El iSeries correlaciona esta direccin registrada con la direccin privada. La direccin (pblica) registrada permite que la direccin privada se comunique con Internet. Bsicamente, constituye un puente entre ambas redes. Las comunicaciones pueden iniciarse desde cualquiera de las dos. La utilizacin de NAT esttica permite conservar todas las direcciones IP internas actuales y acceder igualmente a Internet. Ser necesario tener una direccin IP registrada por cada direccin privada que acceda a Internet. Por ejemplo, si tiene 12 usuarios, necesita 12 direcciones IP para correlacionar las 12 direcciones privadas. En la ilustracin anterior, la direccin de NAT 192.12.3.1 espera el regreso de informacin y mientras tanto resulta inservible, como si de un shell se tratase. Cuando la informacin vuelve, NAT correlaciona a la inversa la direccin con el PC. Si la funcin de NAT esttica est activa, el trfico de entrada que vaya destinado de forma directa a la direccin 192.12.3.1 no llegar nunca a esa interfaz porque tal direccin es nicamente una representacin de la direccin interna. El destino real es la direccin privada 10.10.1.1, aunque (para el mundo que est fuera del iSeries) parezca que la direccin IP deseada es 192.12.3.1. Configuracin de ejemplo
ADDRESS PC01 IP=10.10.1.1 TYPE=TRUSTED ADDRESS SHELL IP=192.12.3.1 TYPE=BORDER MAP PC01 TO SHELL LINE = TRNLINE JRN = OFF
Nota: la lnea de Token-Ring definida en la configuracin anterior (LINE=TRNLINE) debe ser la lnea utilizada por 192.12.3.1. La funcin de NAT esttica no tendr efecto si 10.10.1.1 utiliza la lnea de Token-Ring definida en la configuracin anterior. Siempre que utilice NAT, tambin debe habilitar el reenvo IP. En el apartado Resolucin de problemas de las reglas de paquete hallar informacin detallada al respecto.
Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP

Situacin Desea proporcionar aplicaciones Web, pero el cortafuegos actual hace horas extraordinarias y no desea aadirle ms carga. Un colega le sugiere que ejecute las aplicaciones fuera del cortafuegos. Sin embargo, le interesa que, desde Internet, slo pueda acceder al servidor Web iSeries el trfico HTTP, FTP y Telnet.
Qu mtodos utiliza?
Antes Despus
Ethernet
Ethernet
Cortafuegos Direccionador Cortafuegos Token-ring Direccionador
Token-ring
Red privada
Internet
Red privada
Internet
Solucin Los filtros de paquete IP permiten establecer reglas que expliquen cul es la informacin que desea permitir. Establezca reglas de filtro IP que permitan al trfico HTTP, FTP y Telnet (de entrada y de salida) llegar al servidor Web, que es el iSeries en este caso. La direccin pblica del servidor es 192.54.5.1 y la direccin IP privada es 10.1.2.3. Configuracin de ejemplo
###Los 2 filtros siguientes permitirn el trfico HTTP (navegador Web) de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 80 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 80 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = * SRCADDR = % * DSTADDR = * PROTOCOL = ICMP TYPE = * CODE = * FRAGMENTS = % NONE JRN = OFF ###Los 4 filtros siguientes permitirn el trfico FTP de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 21 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 21 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 20 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 20 FRAGMENTS = NONE JRN = OFF % % %
###Los 2 filtros siguientes permitirn el trfico Telnet de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = 192.54.5.1 PROTOCOL = TCP DSTPORT = 23 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 192.54.5.1 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT % = 23 FRAGMENTS = NONE JRN = OFF %
###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz fsica correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules
Ejemplo: combinacin de NAT y filtros IP

Situacin La empresa cuenta con una red interna de tamao moderado y con un iSeries. Usted desea transferir la totalidad del trfico Web del iSeries pasarela a otro servidor situado detrs del iSeries. El servidor Web externo se ejecuta en el puerto 5000. Usted desea ocultar todos los PC privados y el servidor Web detrs de una direccin de la interfaz AS02. Tambin desea permitir a otras empresas el acceso al servidor Web. Qu mtodos utiliza?
10
10.1.1.252
10.1.1.251
10.1.1.253
Empresa A 10.1.1.*
Servidor Web 10.1.1.250
10.1.1.254 NAT 10.1.1.251 hasta 10.1.1.254 ocultar tras 192.27.1.1 10.1.1.250:5000 ocultar tras 192.27.1.1:80
iSeries As02 FILTRO Permite el trfico de entrada hacia NAT y el trfico de salida haciaInternet 192.27.1.1
Internet
iSeries AS03 Empresa B Red interna
RZAJB501-0
Solucin Decide utilizar de forma conjunta filtros de paquete IP y NAT. Ser necesario hacer lo siguiente: 1. Utilizar la funcin de NAT de ocultacin para permitir a las direcciones privadas el acceso a Internet. 2. Utilizar la funcin de NAT con correlacin de puerto para permitir a las redes externas el acceso al servidor Web. 3. Filtrar la totalidad del trfico de entrada y de salida desde las direcciones privadas (10.1.1.x). NAT permite ocultar las direcciones IP a la vista de las redes externas, como Internet, y los filtros permiten controlar el trfico de entrada y de salida. En este ejemplo, slo se permite al trfico HTTP el acceso a la red. Le interesa utilizar la funcin de NAT de enmascaramiento con correlacin de puerto. sta permite que la otra empresa inicie la conversacin con el servidor en una de las interfaces definidas en el iSeries. Mediante la funcin de NAT con correlacin de puerto, se puede permitir una direccin IP y un nmero de puerto determinados. En este ejemplo, el servidor Web al que le interesa acceder est situado en otra mquina, que utiliza el puerto 5000, que se halla detrs del iSeries. NAT slo convertir la direccin de entrada 192.27.1.1 del puerto 80. Si el trfico iniciado externamente no coincide exactamente con esta direccin y este nmero de puerto, NAT no la convertir. Configuracin de ejemplo
11
###La regla de NAT siguiente ocultar los PC detrs de una direccin pblica para que, as, puedan acceder a Internet. ADDRESS pcs IP = 10.1.1.251 THROUGH 10.1.1.254 TYPE = TRUSTED ADDRESS public IP = 192.27.1.1 TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF
###La regla de NAT con correlacin de puerto siguiente ocultar la direccin y el nmero de puerto del servidor Web detrs de una direccin y un nmero de puerto pblicos. Observar que ambas reglas de NAT estn ocultas tras una direccin IP comn. Esto es aceptable siempre y cuando las direcciones que vaya a ocultar no se solapen. Esta regla de NAT con correlacin de puerto slo permitir que acceda al sistema el trfico iniciado externamente del puerto 80. ADDRESS Web250 IP = 10.1.1.250 TYPE = TRUSTED ADDRESS public IP = 192.27.1.1 TYPE = BORDER HIDE Web250:5000 BEHIND Public:80 TIMEOUT = 16 MAXCON = 64 JRN = OFF ###Los 2 filtros siguientes, junto con la sentencia HIDE, permitirn que el trfico de entrada que vaya destinado a la red privada llegue hasta NAT y que el trfico de salida llegue a Internet. No obstante, NAT slo permitir que entre en el servidor el trfico iniciado externamente del puerto 80. No convertir el trfico iniciado externamente que no coincida con la regla de NAT con correlacin de puerto. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR= * DSTADDR = 10.1.1.* PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.1.* DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF ###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz fsica correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules ### ESTA COMPILACIN DENIEGA DE MANERA AUTOMTICA CUALQUIER TRFICO QUE NO EST PERMITIDO DE FORMA ESPECFICA.
Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento)

Situacin Usted tiene una pequea empresa que desea montar el servicio HTTP en el iSeries. Va a permitir a sus empleados que realicen bsquedas en Internet, pero no va a permitir que se produzca un inicio externo de trfico en la red. Ha pedido un modelo 170e con una tarjeta Ethernet. Tiene tres PC. El suministrador de servicios Internet (ISP) le proporciona una conexin DSL y un mdem DSL. Tambin le ha asignado las direcciones IP siguientes: 192.20.12.1 y 192.20.12.2. Todos los PC tienen una direccin 10.1.1.x. Desea ocultar todas las direcciones de los PC detrs de una de las direcciones del iSeries que le ha proporcionado el ISP. Si tiene muchos PC que ocultar, podra ocultar la mitad de ellos detrs de una direccin y la otra mitad detrs de la direccin proporcionada por el ISP. Qu debe hacer?
12
Internet
Ocultar = HIDE01 (192.20.12.1) Lnea DSL= PUBIP01 (192.20.12.2)
Servicios TCP/IP Ethernet (AS/400IP1) 10.1.1.1 Red privada PC03 10.1.1.4 PC02 10.1.1.3
RZAJB502-0
PC01 10.1.1.2
Solucin Oculte un rango de direcciones de PC detrs de la direccin HIDE01. Podra ejecutar los servicios TCP/IP desde la direccin 10.1.1.1. La funcin de NAT de rango (que oculta un rango de direcciones internas) proteger los PC contra las comunicaciones que se inicien desde fuera de la red. Recuerde que para que comience la funcin de NAT de rango, el trfico debe iniciarse internamente. Sin embargo, la funcin de NAT de rango no proteger la interfaz de iSeries. Ser necesario filtrar el trfico para proteger el iSeries contra la recepcin de informacin sin convertir. Configuracin de ejemplo
ADDRESS pcs IP = 10.1.1.1 THROUGH 10.1.1.4 TYPE = TRUSTED ADDRESS public IP = 192.20.12.1 TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF
13
14
Captulo 4. Conceptos de reglas de paquete

Las reglas de paquete comprenden la conversin de direcciones de red (NAT) y los filtros de protocolo de Internet (IP). Estos dos componentes tienen lugar en la capa IP del protocolo TCP/IP. Ayudan a proteger el sistema contra los riesgos potenciales asociados al trfico TCP/IP. La seguridad IP abarca las reglas de paquete e IPSec (V4R4-V5R1). En este tema de Information Center slo se describe NAT y los filtros. Si desea obtener ms informacin sobre VPN, consulte iSeries Red privada virtual (VPN) en Information Center. En los enlaces que figuran ms abajo se da la descripcin de cada uno de los componentes que forman las reglas de paquete. Tambin existe un enlace que lleva a un diccionario que sirve de ayuda para aclarar algunos de los trminos especficos de iSeries que se utilizan en este tema. v Trminos de reglas de paquete v Conversin de direcciones de red (NAT) v Filtros IP v Organizar las reglas de NAT con reglas de filtro IP v Organizar varias reglas de filtro IP
Trminos de reglas de paquete

En la lista que figura a continuacin se definen los trminos especficos de iSeries utilizados en este tema sobre NAT y filtros de Information Center. Frontera o direccin de tipo BORDER Es una direccin pblica que hace de frontera entre una red de confianza y otra que no lo es. Con este trmino se describe la direccin IP como si se tratase de una interfaz real en el iSeries. El sistema necesita saber cul es el tipo de direccin que se define. Por ejemplo, la direccin IP del PC es de confianza, pero la direccin IP pblica del servidor es la frontera. Cortafuegos Es una barrera lgica que rodea a los sistemas de una red. Consta de hardware, de software y de una poltica de seguridad que controla el acceso y el flujo de informacin entre los sistemas seguros o de confianza y los que no lo son. MAXCON Es el nmero mximo de conversaciones que pueden estar activas a la vez. El sistema pide que se defina este nmero cuando se configuran las reglas de enmascaramiento de NAT. El valor por omisin es 128. Maxcon slo es pertinente para las reglas de NAT de enmascaramiento. Conversacin de NAT Es una relacin existente entre cualquiera de las direcciones IP y los nmeros de puerto siguientes: v Direccin IP de origen y nmero de puerto de origen privados (sin NAT) v Direccin IP de origen (NAT) pblica y nmero de puerto de origen (NAT) pblico v Direccin IP y nmero de puerto de destino (una red externa) TIMEOUT (tiempo de espera) Controla el tiempo que puede durar una conversacin. Si se establece un tiempo de espera demasiado corto, la conversacin se detiene con excesiva rapidez. El valor por omisin es 16.
15
Conversin de direcciones de red (NAT)

Las direcciones IP se estn agotando con rapidez debido al amplio crecimiento de Internet. Las organizaciones utilizan redes privadas, lo que les permite seleccionar las direcciones IP que deseen. Sin embargo, si dos empresas tienen direcciones IP duplicadas, tendrn problemas. Para poder comunicarse en Internet, se debe tener una direccin exclusiva y registrada. La conversin de direcciones de red (NAT) permite acceder a Internet de una forma segura y sin tener que cambiar las direcciones IP de la red. Como su nombre indica, NAT es un mecanismo que convierte una direccin IP en otra. Las reglas de paquete contienen tres mtodos de NAT. Normalmente se utiliza NAT para correlacionar direcciones (NAT esttica) u ocultar direcciones (NAT de enmascaramiento). En los enlaces siguientes hallar informacin ms detallada sobre las diversas formas de NAT: v Funcin de NAT esttica (de correlacin) v Funcin de NAT de enmascaramiento (de ocultacin) v Funcin de NAT de enmascaramiento u ocultacin (de correlacin de puerto) Gracias a la ocultacin o a la correlacin de las direcciones, NAT resuelve los diversos problemas que stas plantean. En los ejemplos que se dan a continuacin se explican varios problemas que puede resolver NAT. Ejemplo 1: ocultar las direcciones IP internas a la vista de los dems Va a configurar un iSeries como servidor Web pblico. Sin embargo, no desea que las redes externas sepan cules son las direcciones IP internas reales del servidor. Puede crear reglas de NAT que conviertan las direcciones privadas en direcciones pblicas que tengan acceso a Internet. En este caso, la direccin verdadera del servidor queda oculta, lo que hace que el servidor resulte menos vulnerable a un ataque. Ejemplo 2: convertir una direccin IP de un sistema principal interno en una direccin IP diferente Desea que las direcciones IP privadas de la red interna se comuniquen con sistemas principales de Internet. Para disponerlo as, puede convertir la direccin IP de un sistema principal interno en una direccin IP diferente. Para comunicarse con los sistemas principales de Internet, debe utilizar direcciones IP pblicas. Por lo tanto, utilizar NAT para convertir las direcciones IP privadas en direcciones pblicas. Con ello se asegura de que el trfico IP procedente del sistema principal interno se direcciona por Internet. Ejemplo 3: compatibilizar las direcciones IP de dos redes distintas Desea permitir que un sistema principal de otra red, como por ejemplo la de una empresa suministradora, se comunique con un sistema principal concreto de la red interna. Sin embargo, ambas redes utilizan direcciones privadas (10.x.x.x), lo que plantea un posible conflicto de direcciones a la hora de direccionar el trfico entre ambos sistemas principales. Para evitarlo, puede utilizar NAT para convertir la direccin del sistema principal interno en una direccin IP distinta.
Funcin de NAT esttica (de correlacin)

NAT esttica o de correlacin es una correspondencia biunvoca entre direcciones IP privadas y direcciones IP pblicas. Permite correlacionar una direccin IP de la red interna con una direccin IP que se desea hacer pblica. La funcin de NAT esttica permite que las comunicaciones se inicien desde la red interna o desde una red externa, como por ejemplo Internet. Resulta especialmente til si dentro de la red interna hay un servidor al que desea permitir el acceso de usuarios pblicos. En este caso, le interesa crear una regla de NAT que correlacione la direccin real del servidor con una direccin pblica. sta pasar a ser
16
informacin externa. Con ello se garantiza que la informacin interna permanece fuera del alcance de alguien cuyas intenciones pudieran ser atacar los sistemas. En la lista siguiente se destacan las caractersticas de NAT esttica: v Correlacin biunvoca v El inicio puede tener lugar en la red interna y en la externa v La direccin con la que se establece asociacin o correlacin puede ser cualquiera v La direccin con la que se establece asociacin o correlacin ya no puede utilizarse como interfaz IP v No utiliza NAT de nmero de puerto Atencin Proceda con cautela si decide correlacionar un PC con la direccin conocida pblicamente del iSeries. Esta direccin es la direccin IP que est reservada para la mayor parte del trfico de Internet e intranet. Si realiza la correlacin con esta direccin IP, NAT convertir todo el trfico y lo enviar a la direccin privada interna. Dado que esta interfaz estar reservada para NAT, el iSeries y la interfaz quedarn inutilizados. En Ejemplo: correlacionar las direcciones IP hallar un caso prctico sacado de la vida real y una ilustracin de la funcin de NAT esttica.
Funcin de NAT de enmascaramiento (de ocultacin)

La funcin de NAT de enmascaramiento u ocultacin permite impedir que el mundo exterior (el que est fuera del iSeries) sepa cul es la direccin real del PC. El trfico se direcciona del PC al iSeries, lo que bsicamente convierte al iSeries en la pasarela del PC. He aqu como funciona. La funcin de NAT de enmascaramiento permite convertir varias direcciones IP en una sola direccin IP. Sirve para ocultar una o varias direcciones IP de la red interna detrs de una direccin IP que se desea hacer pblica. sta es la direccin que se obtiene de la conversin y debe ser una interfaz definida del servidor iSeries. Para ser una interfaz definida, debe definirse la direccin pblica como direccin BORDER. Ocultar varias direcciones Para ocultar varias direcciones, hay que especificar un rango de direcciones que NAT debe convertir por medio del servidor iSeries. El proceso general es el siguiente: 1. La direccin IP convertida sustituye a la direccin IP de origen. Esto sucede en la cabecera IP del paquete IP. 2. El nmero de puerto de origen IP (si lo hay) que figura en una cabecera TCP o UDP es sustituido por un nmero de puerto temporal. 3. Una conversacin existente es la relacin que hay entre la nueva direccin de origen IP y el nuevo nmero de puerto. 4. La conversacin existente permite al servidor de NAT deshacer la conversin de los datagramas IP desde la mquina externa. Para ver cmo es una cabecera de datagrama IP, vaya a Cabecera de paquete IP. Nota: para que NAT funcione correctamente, la direccin resultante de la conversin debe ser de tipo BORDER. Cuando se utiliza la funcin de NAT de enmascaramiento, el trfico lo inicia un sistema interno. Cuando esto sucede, NAT convierte el datagrama IP a medida que pasa por el servidor de NAT de iSeries. La funcin de NAT de enmascaramiento es una magnfica opcin porque los sistemas principales externos
17
no pueden iniciar trfico hacia la red. Como resultado, la red gana en proteccin contra un ataque del exterior. Asimismo, slo es necesario comprar una nica direccin IP pblica para varios usuarios internos. En la lista siguiente se destacan las caractersticas de NAT de enmascaramiento: v La direccin IP privada o el rango de direcciones IP estn vinculados detrs de una direccin IP pblica en la mquina de NAT v El inicio slo puede tener lugar en la red interna v Los nmeros de puerto se asocian con nmeros de puerto aleatorios. Esto significa que tanto la direccin como el nmero de puerto estn ocultos a la vista de Internet. v La direccin registrada que consta en la mquina de NAT puede utilizarse como interfaz fuera de NAT Atencin v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al nmero de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendr dos conversaciones activas. En este caso, ser necesario establecer MAXCON de manera que d cabida a varias conversaciones para cada PC. Habr que decidir cuntas conversaciones concurrentes interesa permitir en la red. El valor por omisin es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la funcin de NAT de ocultacin funcione correctamente, debe haber una conversacin interna en curso. El valor de TIMEOUT indica al cdigo cunto debe esperar a que se produzca una respuesta a esta conversacin interna. El valor por omisin es 16. v La funcin de NAT de enmascaramiento slo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvo IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES. Consulte el caso prctico y la ilustracin presentados en Ocultar las direcciones IP (NAT de enmascaramiento), donde hallar un ejemplo de NAT de enmascaramiento u ocultacin.
Funcin de NAT de enmascaramiento (de correlacin de puerto)

La funcin de NAT con correlacin de puerto es una variante de NAT de enmascaramiento u ocultacin. Cul es la diferencia? En la primera se puede especificar tanto la direccin IP como el nmero de puerto que se ha de convertir. Esto permite al PC interno y a la mquina externa iniciar el trfico IP. Esto sirve en el caso de que la mquina externa (o cliente) desee acceder a mquinas o servidores que estn dentro de una red. Slo tendr acceso el trfico IP que coincida con la direccin IP y el nmero de puerto. He aqu como funciona: Inicio interno En el momento en que el PC interno que tiene la Direccin 1: Puerto 1 inicia el trfico hacia una mquina externa, el cdigo de conversin comprobar si en el archivo de reglas de NAT figura la Direccin 1: Puerto 1. Si la direccin IP de origen (Direccin 1) y el nmero de puerto de origen (Puerto 1) coinciden con la regla de NAT, NAT da comienzo a la conversacin y lleva a cabo la conversin. Los valores especificados en la regla de NAT sustituyen a la direccin IP de origen y al nmero de puerto de origen. La Direccin 1: Puerto 1 es sustituida por la Direccin 2: Puerto 2. Inicio externo Una mquina externa inicia el trfico IP utilizando la Direccin 2 como direccin IP de destino. El nmero de puerto de destino es el Puerto 2. El servidor de NAT deshar la conversin del datagrama con o sin una conversacin existente. Dicho de otra manera, NAT crear de forma automtica una conversacin si no existe una todava. La Direccin 2: Puerto 2 pasa a ser la Direccin 1: Puerto 1.
18
En la lista siguiente se destacan las caractersticas de NAT de enmascaramiento con correlacin de puerto: v Relacin biunvoca v El inicio puede tener lugar en la red interna y en la externa v La direccin registrada tras la que nos ocultamos debe estar definida en el iSeries que realiza las operaciones de NAT. v La direccin registrada puede utilizarse para el trfico IP fuera de las operaciones de NAT. No obstante, si esta direccin intenta utilizar un nmero de puerto que coincide con el puerto oculto de la regla de NAT, el trfico se convertir. La interfaz quedar inutilizada. v Normalmente los nmeros de puerto se correlacionan con nmeros de puerto conocidos pblicamente, por lo que no se necesita informacin adicional. Por ejemplo, puede ejecutar un servidor HTTP enlazado al puerto 5123 y, a continuacin, ejecutar ste con la direccin IP pblica y el puerto 80. En caso contrario, si desea ocultar un nmero de puerto interno detrs de otro nmero de puerto (no comn), es necesario indicar fsicamente al cliente cul es el valor del nmero de puerto de destino. Si no, es difcil que la comunicacin tenga lugar. Atencin v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al nmero de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendr dos conversaciones activas. Ser necesario establecer MAXCON de manera que d cabida a varias conversaciones para cada PC. El valor por omisin es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la funcin de NAT de ocultacin funcione correctamente, debe haber una conversacin interna en curso. El valor de TIMEOUT indica al cdigo cunto debe esperar a que se produzca una respuesta a esta conversacin interna. El valor por omisin es 16. v La funcin de NAT de enmascaramiento slo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvo IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES.
Filtros IP
En su calidad de segundo componente de las reglas de paquete, los filtros de paquete permiten controlar la clase de trfico IP que est permitido en la red. Aunque las reglas de paquete de iSeries en s no son un cortafuegos totalmente funcional, proporcionan un slido componente que puede filtrar los paquetes para el iSeries. Puede utilizar este componente de filtros de paquetes IP para proteger el sistema. La manera en que el componente de filtros IP protege el sistema es filtrando los paquetes en funcin de la reglas que usted defina. Las reglas se basan en la informacin de cabecera de paquete. Estas reglas de filtro se pueden aplicar a varias lneas; tambin se pueden aplicar varias reglas a una misma lnea. Las reglas de filtro estn asociadas con lneas, por ejemplo de Token-Ring (trnline), y no con interfaces lgicas ni direcciones IP. El sistema coteja cada paquete con cada una de las reglas asociadas con una lnea. El proceso de cotejo con las reglas es secuencial. Una vez que el sistema encuentra una coincidencia del paquete con una regla, detiene el proceso y aplica la regla coincidente. Cuando el sistema aplica la regla coincidente, en realidad lleva a cabo la accin que especifica la regla. El iSeries da soporte a 3 acciones (V4R4 y siguientes): 1. permit permite que el datagrama contine 2. deny descarta el datagrama 3. IPSec enva el datagrama mediante una conexin de VPN (que se indica en la regla de filtro)
19
Nota: en este caso, IPSec es una accin que se puede definir en las reglas de filtro. Aunque en este tema dedicado a las reglas de paquete no se habla de IPSec, es importante destacar que los filtros y la red privada virtual (VPN) estn estrechamente relacionados a la hora de definir filtros. Si desea obtener ms informacin sobre VPN, consulte iSeries Red privada virtual (VPN). Una vez aplicada la regla, el sistema reanuda la comparacin secuencial de reglas y paquetes y asigna acciones a todas las reglas correspondientes. Si no encuentra una regla coincidente para un paquete concreto, el sistema lo descarta de forma automtica. La regla de denegacin por omisin del sistema garantiza que el sistema descartar de manera automtica cualquier paquete que no coincida con una regla de filtro.
Cabecera de paquete IP
Se pueden crear reglas de filtro que hagan referencia a las diversas partes de las cabeceras IP, TCP, UDP e ICMP. En la lista siguiente se incluyen los campos a los que se hace referencia en una regla de filtro: v Direccin IP de origen v Protocolo (por ejemplo, TCP, UDP) v Direccin IP de destino v Puerto de origen v Puerto de destino v Sentido del datagrama IP (de entrada, de salida o ambos) v Bit SYN TCP Por ejemplo, puede crear y activar una regla que filtre un paquete tomando como base la direccin IP de destino, la de origen y el sentido (de entrada). En este caso, el sistema empareja todos los paquetes de entrada (en funcin de las direcciones de origen y de destino) con las reglas correspondientes. A continuacin, emprende la accin especificada en la regla. Descartar cualquier paquete que no est permitido en las reglas de filtro. Esta actuacin recibe el nombre de regla de denegacin por omisin. Nota: el sistema aplica la regla de denegacin por omisin a los datagramas slo si la interfaz fsica tiene activa por lo menos una regla. Esta regla puede ser definida por el cliente o generada por Operations Navigator. Si en la interfaz fsica no existe una regla de filtro activa, la regla de denegacin por omisin no funcionar.
Organizar las reglas de NAT con reglas de filtro IP

NAT y filtros funcionan de manera independiente. A pesar de ello, es posible utilizar NAT junto con filtros IP. Si opta por aplicar slo reglas de NAT, el sistema efectuar nicamente la conversin de direcciones. Si aplica ambos tipos de reglas, el sistema convertir y filtrar las direcciones. Cuando se utiliza NAT y filtros juntos, ambos actan siguiendo un orden concreto. En el caso del trfico de entrada, primero se procesan las reglas de NAT. En el caso del trfico de salida, primero se procesan las reglas de filtro. Tal vez le interese estudiar la posibilidad de utilizar archivos aparte para crear las reglas de NAT y las de filtro. Aunque no es necesario, con ello se simplifica la lectura y la resolucin de problemas de las reglas. De cualquier manera (tanto si las reglas estn en un mismo archivo como en archivos aparte), se reciben los mismos errores. Si decide utilizar archivos aparte para las reglas de NAT y las de filtro, igualmente podr activar ambos conjuntos de reglas. Asegrese de que las reglas no se estorban entre s. Para activar a la vez las reglas de NAT y las de filtro, es necesario utilizar la funcin de inclusin. Supongamos, por ejemplo, que ha creado el Archivo A para las reglas de filtro y el Archivo B para las reglas de NAT. Puede incluir el contenido del Archivo B en el Archivo A sin reescribir todas las reglas. En Incluir archivos en las reglas de paquete hallar ms informacin.
20
Organizar varias reglas de filtro IP

Al crear reglas de filtro, un filtro hace referencia a una sentencia de regla. Un conjunto hace referencia a un grupo de filtros. Los filtros, dentro de un conjunto, se procesan en orden fsico de arriba abajo. De igual modo, varios conjuntos se procesan en orden fsico dentro de una sentencia FILTER_INTERFACE. A continuacin figura un ejemplo en el que un conjunto contiene tres sentencias de filtro. Cada vez que se haga referencia a este conjunto, se incluirn las tres reglas. Normalmente es ms sencillo incluir todas las reglas de filtro en un conjunto.
FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = * PROTOCOL = TCP/STARTING DSTPORT = * SRCPORT = * FRAGMENTS = HEADERS JRN = FULL FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE % JRN = OFF FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = * PROTOCOL = ICMP TYPE = * CODE = * FRAGMENTS = NONE JRN % = OFF FILTER_INTERFACE LINE = ETHLINE SET = all ###Lnea Ethernet ETHLINE % % % %
Al utilizar reglas de IPSec, es importante agrupar las reglas de filtro en tres conjuntos como mnimo: preipsec, IPSec y otro. El conjunto preipsec contiene todas las reglas que tienen lugar antes de que se pueda producir VPN. El conjunto IPSec contiene todas las reglas de VPN y el otro conjunto contiene todos los filtros varios (de permiso y denegacin). Esto le permite ahorrarse mucho tiempo y evitarse todos los problemas que pueden surgir cuando sus filtros se fusionan con las reglas generadas por Operations Navigator. Una vez ms, esto slo es vlido al utilizar las reglas de filtro de IPSec. A continuacin figura un ejemplo de cmo se utilizan tres conjuntos distintos.
FILTER_INTERFACE LINE = ETHLINE SET = preipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = ipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = other_rules ###Lnea Ethernet ETHLINE
21
22
Captulo 5. Planificar las reglas de paquete

Constituyen NAT y los filtros IP una proteccin suficiente? Para responder a esta pregunta, debe trazar un plan de seguridad y conocer cules son los riesgos de seguridad. En el plan debe detallarse lo siguiente: v La configuracin de la red v Qu recursos desea proteger v Contra qu y contra quines desea proteger los recursos Qu debo saber sobre la seguridad en Internet? Una vez sepa contra qu y contra quines desea proteger los recursos, debe estudiar las diferentes opciones de seguridad. En los temas indicados a continuacin, hallar ms informacin sobre los riesgos de seguridad en Internet y las soluciones de seguridad de iSeries, informacin que le servir de ayuda a la hora de elaborar un plan de seguridad: v Conectarse a Internet v Las reglas de paquete frente a otras soluciones de seguridad Cmo se elabora un plan? El proceso de planificacin permite acotar las necesidades de seguridad. Si se decide a utilizar las reglas de paquete para proteger el iSeries, lleve a cabo las tareas siguientes con el fin de elaborar un plan de configuracin de la seguridad de paquete: v Dibuje una representacin de la red y las conexiones v Especifique cules son los direccionadores y las direcciones IP que va a utilizar v Elabore una lista de reglas que desee utilizar para controlar el trfico TCP/IP que pasa por los sistemas. Necesitar esta lista a modo de ayuda para configurar las reglas de filtro de paquete IP. En cada una de las reglas de la lista se debe describir los aspectos siguientes del flujo del trfico TCP/IP: el tipo de servicio que desea permitir o denegar (por ejemplo, HTTP, FTP, etc.) el nmero de puerto conocido pblicamente correspondiente a dicho servicio el sentido en el que circula el trfico si el trfico es de respuesta o de inicio las direcciones IP del trfico (origen y destino) v Especifique cules son las direcciones IP que desea correlacionar con otras o bien ocultar detrs de otras. (Esta lista es necesaria slo si se decide que es necesario utilizar la conversin de direcciones de red). Una vez trazado el plan de seguridad, puede crear y activar las reglas de paquete.
Las reglas de paquete frente a otras soluciones de seguridad

El iSeries tiene integrados diversos componentes de seguridad que pueden proteger el sistema contra varios tipos de riesgos. En funcin de cmo utilice el servidor iSeries, puede que necesite medidas adicionales de seguridad. NAT y los filtros IP permiten proteger el sistema de forma econmica. En algunos casos, estos componentes de seguridad pueden proporcionar todo lo necesario sin tener que efectuar desembolsos adicionales. Sin embargo, la seguridad del sistema debe ser ms importante que los costes. En situaciones de alto riesgo, como por ejemplo al intentar proteger un sistema de produccin, debe utilizar algo ms que nicamente los componentes de seguridad integrados del sistema operativo del iSeries.
23
Si es necesario proteger las comunicaciones entre el sistema iSeries y otros sistemas, debe explorar otras soluciones de seguridad en Internet de iSeries con objeto de ampliar la proteccin. Debe plantearse varias lneas de defensa. Por ejemplo, podra interesarle utilizar certificados digitales y SSL o Red privada virtual (VPN) para proporcionar comunicaciones seguras. Si tiene previsto conectar el iSeries o la red a Internet, debe leer el tema IBM SecureWay: iSeries y la Internet. En l hallar amplia informacin sobre los riesgos y las soluciones que deben tenerse en cuenta a la hora de utilizar Internet. Si desea obtener ms informacin sobre lo que se puede hacer para mejorar la seguridad del iSeries, consulte el tema dedicado a consejos y herramientas para proteger el iSeries
24
Captulo 6. Configurar las reglas de paquete

Para crear y aplicar reglas de NAT y de filtro de paquete IP, realice las tareas que figuran en esta lista de comprobacin: __ 1. Examine los requisitos del sistema para las reglas de paquete. __ 2. Utilice Operations Navigator para acceder a las reglas de paquete. __ 3. Defina direcciones y servicios con el fin de crear apodos para aquellas direcciones y aquellos servicios para los que tiene previsto crear varias reglas. Deber definir direcciones si desea crear reglas de NAT. __ 4. Ponga comentarios en las reglas a medida que las vaya creando. __ 5. Cree reglas de NAT. Lleve a cabo esta tarea slo si tiene previsto utilizar NAT. __ 6. Cree reglas de filtro. __ 7. Incluya los archivos adicionales que desee aadir al nuevo archivo de reglas. Lleve a cabo esta tarea slo si tiene archivos de reglas que desee reutilizar en este archivo. __ 8. Defina las interfaces a las que desea aplicar las reglas. __ 9. Verifique los archivos de reglas con el fin de asegurarse de que no contienen errores. __ 10. Guarde el archivo de reglas y actvelo. Para asegurarse de que las reglas de filtro funcionan como esperaba, debe repasar peridicamente los diarios de seguridad de paquete. De esta manera, podr identificar las pautas de paquetes denegados, que podran ser indicacin de posibles intentos de ataque. Una vez repasado el resultado del registro por diario, tal vez sea necesario cambiar las reglas. Si las necesidades de seguridad cambian, debe editar los archivos de reglas con el fin de modificar la manera en que el sistema maneja el trfico TCP/IP. Tambin puede ser necesario realizar otras tareas de mantenimiento de la seguridad del sistema. Para garantizar la seguridad del iSeries, los mtodos de administracin de NAT y filtros IP deben utilizarse con eficiencia y eficacia.
Requisitos del sistema para las reglas de paquete

Las reglas de paquete son una parte integrante del sistema operativo del iSeries desde la versin V4R3 hasta la V5R1. En la versin V5R1, la seguridad IP incluye las reglas de paquete e IPSec. En Operations Navigator, las reglas de paquete estn formadas por NAT y filtros IP. En este tema de Information Center slo se describe NAT y los filtros. Si desea obtener ms informacin sobre VPN, consulte iSeries Red privada virtual (VPN) en Information Center. Antes de proceder a configurar e iniciar las reglas de paquete, debe tener como mnimo la versin V4R3 de OS/400. Adems, debe cumplir los requisitos siguientes: 1. Instalar el programa TCP/IP (5769-TC1) 2. Instalar Operations Navigator Una vez cumplidos estos requisitos, debe planificar las necesidades de reglas de paquete antes de configurar cualquier regla de paquete. Nota: si no entiende algn concepto sobre TCP/IP, redes o direcciones IP, consulte TCP/IP Tutorial and Technical Overview y V4 TCP/IP for AS/400: More Cool Things Than Ever en el tema Libros rojos de Information Center.
Acceder a las funciones de reglas de paquete

A las reglas de paquete de iSeries se accede a travs de Operations Navigator, la interfaz grfica que permite trabajar con los recursos de iSeries.
25
Para acceder a las funciones de reglas de paquete (con un sistema que tenga la versin V5R1), siga estos pasos: 1. En el panel izquierdo de la ventana de Operations Navigator, expanda Mis conexiones. 2. Expanda el sistema iSeries en el que desea establecer las reglas de paquete. 3. Expanda Red. 4. Expanda Polticas de IP. 5. Pulse el botn derecho del ratn en Reglas de paquete. 6. Seleccione Configuracin. Aparecer la ventana Reglas de paquete. En ella se puede crear nuevas reglas y gestionar las existentes. Una vez que haya accedido a las reglas de paquete, el primer paso es definir direcciones y servicios.
Definir direcciones y servicios

Cuando se crean reglas de paquete, es preciso especificar las direcciones TCP/IP y los servicios a los que se desea aplicar las reglas. Estas reglas deben necesariamente aplicarse a un mismo conjunto de servicios o direcciones. Las reglas de paquete permiten definir apodos para las direcciones y los alias de los servicios. Con ello resulta ms fcil crear reglas de NAT y de filtro IP. Cuando cree las reglas, haga referencia al apodo de las direcciones o al alias de los servicios en lugar de a los detalles concretos de las direcciones o los servicios. La utilizacin de apodos y alias en las reglas de filtro ofrece dos ventajas: 1. Minimiza el riesgo de cometer errores tipogrficos. 2. Minimiza el nmero de reglas de filtro que es necesario crear. Supongamos, por ejemplo, que en la red hay 31 usuarios que necesitan tener acceso a Internet. Sin embargo, desea que estos usuarios tengan nicamente acceso Web. En esta situacin, tiene dos opciones en cuanto a la manera de crear las reglas de filtro necesarias: 1. Definir una regla de filtro para la direccin IP de cada uno de los usuarios. 2. Crear, definiendo una direccin, un apodo para todo el conjunto de direcciones que representa a los usuarios. Con la primera opcin, aumentan las probabilidades de cometer errores tipogrficos, as como el grado de mantenimiento que se efecta en el archivo de reglas. Si se utiliza la segunda opcin, tan slo es necesario crear dos reglas de filtro. Basta con utilizar un apodo en cada regla para hacer referencia a la totalidad del conjunto de direcciones al que se aplica la regla. Tambin se pueden crear apodos para los servicios y utilizarlos de la misma forma que los apodos de las direcciones. Los alias de los servicios definen los criterios TCP, UDP e ICMP que se desea seleccionar. Se selecciona el puerto de origen y el de destino que se desea utilizar. Nota: recuerde que debe definir direcciones si desea crear reglas de NAT. Las reglas de NAT sealan nicamente a apodos de direccin. Para definir direcciones, alias de servicio y servicios ICMP, utilice la ayuda de las reglas de paquete que se encuentra en la interfaz de Operations Navigator. Los servicios ICMP permiten reutilizar conjuntos de servicios ICMP en tantos filtros como se desee. La definicin de servicios ICMP sirve tambin para recordar el propsito de las diferentes definiciones de servicio. El siguiente paso de este proceso es saber cmo y por qu se han de poner comentarios en las reglas de NAT y de filtro IP.
26
Poner comentarios en las reglas de NAT y de filtro IP

Poner comentarios en los archivos de reglas es muy importante. Interesa dejar constancia de cmo se espera que funcionen las reglas. Por ejemplo, interesa dejar constancia de qu es lo que una determinada regla permite o deniega. Este tipo de informacin le ahorrar mucho tiempo en el futuro. Si alguna vez ha de reparar con rapidez una filtracin de informacin confidencial, necesitar los comentarios para refrescar su memoria. Tal vez no disponga de tiempo para desentraar el significado de las reglas, as que ponga comentarios en abundancia. En cada uno de los dilogos asociados con la creacin y la activacin de las reglas de paquete hay un campo Descripcin. ste es el campo que est reservado para los comentarios. El sistema hace caso omiso de lo que se escriba en este campo. Puede interesarle el utilizar el campo de comentarios en cada uno de los pasos del proceso de creacin de reglas. Con ello puede reducir las probabilidades de olvidarse de poner un comentario significativo. Es mejor poner comentarios cuando an se tiene fresco en la memoria el proceso al que se refieren. No obstante, tambin se puede esperar hasta que se haya acabado de crear todas las reglas. Para poner comentarios una vez que haya acabado de crear y aplicar las reglas de filtro, utilice la ayuda de las reglas de paquete de la interfaz de Operations Navigator. Si opta por poner comentarios en las reglas a medida que las va creando, vaya al siguiente paso para crear reglas de conversin de direcciones de red (NAT). En caso contrario, puede poner comentarios sobre todas las reglas en general al final.
Crear reglas de conversin de direcciones de red (NAT)

Si llega a la conclusin de que es necesario utilizar NAT, deber definir apodos para las direcciones IP que tiene previsto utilizar. No puede crear reglas de NAT con la notacin estndar de direcciones de 32 bits. En lugar de especificar una direccin real como 193.112.14.90, debe hacer referencia a 193.112.14.90 por medio de un nombre, como por ejemplo PC. El sistema asociar el nombre que usted defina con las direcciones correspondientes y lo convertir segn convenga. Por lo tanto, debe definir las direcciones para que el sistema pueda aplicarles reglas de NAT. Si va a ocultar un rango de direcciones, debe definirlas con un nombre de direccin tal y como se explica en el apartado Definir direcciones. Se pueden crear dos tipos de reglas de NAT. Uno de ellos permite ocultar las direcciones, mientras que el otro permite correlacionarlas. Ocultar direcciones Se debe optar por esta posibilidad si se desea que las direcciones privadas queden ocultas a la vista de los dems. Las reglas de direcciones ocultas permiten ocultar varias direcciones internas detrs de una nica direccin IP pblica. Este tipo de regla permite utilizar la funcin de NAT de enmascaramiento. Para ocultar las direcciones privadas, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. Correlacionar direcciones Se recomienda correlacionar direcciones cuando se desee direccionar el trfico procedente de una nica direccin IP pblica a una nica direccin interna. Este tipo de regla permite utilizar la funcin de NAT esttica. Para establecer la correlacin y comunicarse con un sistema incompatible, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. Si correlaciona la direccin (NAT esttica) o utiliza la funcin de NAT con correlacin de puerto, debe definir la lnea utilizada por la direccin correlacionada o con puerto.
27
Una vez creadas las reglas de NAT, vaya al siguiente paso para crear reglas de filtro IP.
Crear reglas de filtro IP

Cuando se crea un filtro, se especifica una regla que rige el trfico TCP/IP que circula hacia dentro y hacia afuera del sistema. Las reglas que se definen especifican si el sistema debe permitir o denegar el acceso a los paquetes que intentan acceder al sistema. El sistema dirige los paquetes IP tomando como base el tipo de informacin que figura en las cabeceras de los mismos. Tambin los dirige a la accin que tenga especificado que se debe aplicar. Asimismo, descarta cualquier paquete que no coincida con una regla concreta. Esta regla de descartar automticamente se denomina regla de denegacin por omisin. La regla de denegacin por omisin, que se encuentra al final del archivo, se activa automticamente cada vez que un paquete no definido pasa por todas las reglas anteriores. Para que la regla de denegacin por omisin est activa, debe haber como mnimo una regla de filtro activada. Para poder crear las reglas que rigen los filtros, debe determinar si es necesario utilizar la conversin de direcciones de red (NAT). Si utiliza reglas de NAT, debe definir direcciones y servicios. NAT es la nica funcin que necesita forzosamente este proceso de definicin, pero puede utilizarse tambin para otras funciones. Si define las direcciones y los servicios, puede reducir el nmero de reglas que deben definirse, as como la posibilidad de cometer errores tipogrficos. He aqu otras maneras de minimizar los errores y maximizar el grado de eficiencia a la hora de crear reglas de filtro: v Defina las reglas de filtro de una en una. Por ejemplo, cree todos los permisos para Telnet a la vez. As podr agrupar las reglas cada vez que haga referencia a ellas. v Las reglas de filtro se procesan en el mismo orden en que figuran en el archivo. A medida que cree las reglas, colquelas en el orden en que tenga pensado que se apliquen. Si el orden es incorrecto, el sistema ser vulnerable a un ataque ya que los paquetes no se procesarn de la manera que tena prevista. Para simplificar la cuestin, tome en consideracin las siguientes acciones voluntarias: 1. Coloque los nombres de los conjuntos de filtro dentro de la sentencia FILTER_INTERFACE en el mismo orden exacto en el que estn definidos fsicamente en el archivo. 2. Coloque todas las reglas de filtro en un solo conjunto para evitar problemas con el orden de los conjuntos salvo que utilice las reglas de IPSec. Si utiliza las reglas de IPSec, cree tres conjuntos de filtros distintos. En el apartado Organizar varias reglas de filtro IP puede ver un ejemplo. v Verifique la sintaxis de cada una de las reglas a medida que avance. Es ms fcil y rpido que depurarlas todas a la vez. v Cree nombres de conjunto para los grupos de archivos que estn asociados lgicamente entre s. Esto es importante porque slo puede haber activo un archivo de reglas en todo momento. Vea el ejemplo dado ms abajo. v Escriba reglas de filtro slo para los datagramas que desee permitir. Todo lo dems quedar descartado por la regla de denegacin automtica. v Escriba primero las reglas que correspondan al trfico intenso. Ejemplo: lea el consejo Cree nombres de conjunto anterior. Tal vez le interese dar acceso Telnet a varios usuarios internos, pero no a todos ellos. Para gestionar con mayor facilidad las reglas, puede asignar a cada una de ellas TelnetOK como nombre de conjunto. Un segundo criterio puede permitir Telnet a travs de una interfaz concreta y bloquear el trfico Telnet procedente de las dems. En este caso, es necesario crear un segundo conjunto de reglas que bloqueen por completo el acceso Telnet. Puede asignar a estas reglas TelnetNever como nombre de conjunto. La creacin de nombres de conjunto hace que resulte ms fcil reconocer la finalidad de la regla. Tambin es ms sencillo determinar cules son las interfaces a las que desea que se apliquen los conjuntos en concreto. Siga todos los consejos anteriores para simplificar el proceso de creacin de filtros.
28
Para crear filtros, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. Si ha de cambiar el orden de la reglas una vez definidas, puede ir a la vista Todas las reglas de seguridad. En ella, utilice el mtodo de arrastrar y soltar para cambiar el orden de las reglas. Una vez creados los filtros, vaya al siguiente paso para estudiar la posibilidad de incluir archivos.
Incluir archivos en las reglas de paquete

Se puede crear ms de un archivo de reglas de seguridad de paquete. La utilizacin de varios archivos hace que resulte mucho ms fcil trabajar con las reglas, sobre todo si se precisa un nmero elevado de ellas para controlar el trfico en varias interfaces. Por ejemplo, podra interesarle utilizar un grupo de reglas en varias interfaces. Puede crear este grupo dentro de un archivo individual. En lugar de volver a escribir las reglas cada vez que desee utilizarlas en otros archivos, puede incluirlas en el archivo maestro. El archivo maestro es el nico archivo que puede haber activo en todo momento. Basta con utilizar la funcin de inclusin para aadirlas al archivo maestro. A la hora de crear archivos de inclusin, quizs le interese tener separadas las reglas de NAT correspondientes a una interfaz de las reglas de filtro de dicha interfaz. Sin embargo, slo puede haber un nico archivo activo en todo momento. Cuando vaya a crear un nuevo archivo de reglas, puede incluir como parte del mismo cualquier archivo ya existente. Para ello, primero debe crear las nuevas reglas de filtro que desea utilizar. Siempre que cree reglas, debe archivarlas (agruparlas) por tipo. As no tendr que volver a crear reglas que haya utilizado con anterioridad. Bastar con que las incluya o elimine segn convenga. Para incluir un archivo existente dentro de los archivos de reglas actuales, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. Los archivos incluidos pueden editarse; para ello, hay que pulsar dos veces en el nombre que figura en pantalla o seleccionar Explorar en el men de contexto. El men en cascada de reglas nuevas permite aadir reglas al archivo. Para modificar una regla, seleccione Propiedades. Una vez incluidos todos los archivos adicionales de reglas que desee utilizar, vaya al siguiente paso para definir las interfaces de filtro IP.
Definir interfaces de filtro IP

Se deben definir interfaces de filtro para establecer cules son las reglas de filtro que se desea que aplique el sistema y a qu interfaces. Para poder definir interfaces de filtro, primero es necesario crear los filtros que se tiene pensado que el sistema aplique a las diversas interfaces. Si se opta por definir las direcciones (cuando se definen las interfaces), se har referencia a las mismas por su nombre. Si se opta por no definir las direcciones (cuando se definen las interfaces), se har referencia a las mismas por la direccin IP. Al crear filtros, puede incluir varios filtros en un conjunto. El conjunto despus se incluye en la sentencia FILTER_INTERFACE. El nombre de conjunto utilizado en esta sentencia debe coincidir con el nombre de conjunto de una sentencia de filtro. Por ejemplo, tiene un nombre de filtro definido como todo. Incluira todo en la sentencia de interfaz de filtro. No slo tiene varios filtros en un conjunto, sino que tambin puede tener varios conjuntos en una sentencia FILTER_INTERFACE. Antes de definir las interfaces, debe incluir los archivos adicionales que desee utilizar. A continuacin, ya puede definir las interfaces. Recuerde que los conjuntos de filtros se aplican en el mismo orden en que estn especificados en la sentencia FILTER_INTERFACE. As pues, las reglas de filtro deben figurar en la sentencia FILTER_INTERFACE en el mismo orden exacto en el que los conjuntos estn definidos fsicamente en el archivo.
29
Para definir interfaces de filtro, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. no se olvide de aadir comentarios siempre que sea posible. Puede hacerlo en el campo Descripcin a la vez que define la interfaz de filtro. Una vez definidas las interfaces de filtro, vaya al siguiente paso para verificar las reglas de NAT y de filtro IP.
Verificar las reglas de NAT y de filtro IP

Antes de utilizar la funcin de verificacin, debe imprimir y ver las reglas de filtro para comprobar si existen errores visibles. No pueden activarse las reglas que contengan errores sintcticos. La funcin de verificacin comprueba si existen errores de naturaleza sintctica. El sistema no puede verificar si las reglas estn ordenadas correctamente. Debe comprobarse manualmente si el orden de las reglas es correcto. Las reglas de seguridad de paquete son dependientes del orden. Debe poner las reglas en el orden en que desee que se apliquen. Si las ordena de forma incorrecta, no obtendr el resultado previsto. Antes de activar las reglas, asegrese de que son correctas y de que estn colocadas en el orden en que desea que se apliquen. Para poder verificar un archivo de reglas, debe estar abierto. Para verificar el archivo de reglas abierto actualmente, siga estos pasos: 1. Abra el archivo que desea verificar. Nota: si va a verificar el archivo en el que est actualmente, puede saltarse este paso. La verificacin est siempre activa mientras se edita un archivo. Dentro del dilogo de reglas de paquete, pulse en el men Archivo. Seleccione Verificar. Pulse en Guardar. Rellene los campos visualizados en el dilogo Filtro nuevo: General y en el dilogo Filtro nuevo: Servicios. Pulse en Aceptar. Si necesita ms informacin para rellenar los campos, pulse en Ayuda. Nota: se recomienda que verifique la sintaxis de cada una de las reglas a medida que avance. Es ms fcil que depurarlas todas a la vez. Mensajes de aviso: cada vez que active las reglas de filtro, el sistema las verificar de manera automtica. Pueden generarse diversos mensajes de error y de aviso. Los mensajes de aviso son simplemente informativos y no detienen el proceso de verificacin. Lea detenidamente todos los mensajes. Aparecer uno en el que se dice que la verificacin o la activacin ha sido satisfactoria. Este ltimo mensaje tambin podra indicar que la regla no se ha cargado satisfactoriamente si hay errores graves. Una vez realizado el proceso de verificacin, ya puede guardar, activar y desactivar las reglas de NAT y de filtro IP.
2. 3. 4. 5. 6.
Guardar, activar y desactivar reglas de NAT y de filtro IP

Activar las reglas de filtro creadas es el ltimo paso para implementar el proceso de reglas de paquete. Antes de guardar y activar las reglas, debe verificar que son correctas. Intente siempre resolver los problemas que haya antes de guardar y activar las reglas de filtro. Si activa reglas que tienen errores o que no estn colocadas en el orden correcto, el sistema estar en una situacin de riesgo. El sistema cuenta con una funcin de verificacin a la que se llama de manera automtica cada vez que se activan las reglas. Dado que esta funcin automtica comprueba nicamente si existen errores sintcticos de envergadura, no debe fiarse de ella. Compruebe siempre manualmente si existen errores en las reglas. Guardar las reglas de filtro
30
Adems de verificar las reglas, debe guardarlas para poder activarlas. En el momento de verificar un archivo de reglas, el sistema le brindar la opcin de guardar el archivo. Cuando seleccione la funcin de verificacin, aparecer una ventana de confirmacin. Si pulsa en Aceptar, aparecer otra ventana. Aqu es donde debe especificar el nombre del archivo que desea verificar. Una vez elegido el archivo que desea verificar, puede optar por cancelar o guardar. Si pulsa en Guardar, el sistema guardar el archivo y proceder al proceso de verificacin. Si intenta activar las reglas sin guardarlas, el sistema le pedir que las guarde. Activar las reglas de filtro Slo puede activar las reglas que est viendo actualmente. Para activar las reglas de filtro, siga estos pasos: 1. Dentro del dilogo de reglas de paquete, pulse en el men Archivo. 2. Seleccione Activar. El sistema visualizar un dilogo en el que se le preguntar si desea activar estas reglas en una interfaz especfica o en todas las interfaces. 3. Pulse en Aceptar. El sistema visualizar una dilogo en el que le pide que confirme que desea verificar las reglas a medida que las active. 4. Pulse en S en el dilogo. Si no ha guardado con anterioridad el archivo de reglas, el sistema visualizar el dilogo Guardar reglas como. 5. Especifique el nombre del archivo de reglas y pulse en Aceptar para guardar las reglas. Si el sistema puede verificar las reglas, las activar. Si hay errores en las reglas, aparecern en la parte inferior de la ventana. Puede corregirlos antes de intentar de nuevo activar las reglas. Si las reglas de filtro no se aplican a una interfaz (por ejemplo, si slo se utilizan reglas de NAT y no de filtro), aparecer un aviso (TCP5AFC). No se trata de un error. Tan slo verifica que utilizar una interfaz es necesario y que es lo que usted tiene previsto. Fjese siempre en el ltimo mensaje. Si en l se dice que la activacin es satisfactoria, entonces los mensajes anteriores son todos ellos avisos. Nota: si se activan reglas nuevas en todas las interfaces, stas sustituirn a todas las reglas anteriores en todas las interfaces fsicas. Aunque una interfaz fsica no se mencione en las reglas nuevas, ser sustituida. Sin embargo, si se elige activar las reglas nuevas en una interfaz especfica, las reglas slo sustituirn a las reglas de esa interfaz en concreto. Las reglas existentes en las dems interfaces no se tocarn. Desactivar las reglas de filtro Si, por algn motivo, desea desactivar las reglas de filtro, siga los pasos anteriores de activacin de reglas. Pero, en lugar de seleccionar Activar, seleccione Desactivar. A continuacin, pulse en S. Con esto, el sistema ser ms vulnerable a los intrusos. Una vez configuradas las reglas de paquete para proteger el sistema, le interesa asegurarse de que el sistema sigue estando protegido. Para ello, debe saber cmo se utiliza la administracin de NAT y de filtros IP.
31
32
Captulo 7. Gestionar las reglas de paquete

Una vez creadas y activadas las reglas de filtro que rigen las reglas de paquete, debe gestionarlas. Esto permite realizar el mantenimiento de la seguridad del sistema. Para gestionar las reglas de filtro, puede hacer lo siguiente: v Ver las reglas de filtro cuando sea necesario resolver errores. v Editar las reglas de filtro existentes cuando sea necesario cambiar la manera en que el trfico TCP/IP circula hacia dentro y hacia fuera del sistema. v Guardar, activar y desactivar las reglas de filtro existentes cuando sea necesario detener o reiniciar las reglas de NAT y de filtro. Si desactiva las reglas, la red quedar desprotegida. v Crear una copia de seguridad de las reglas de NAT y de filtro IP para estar a cubierto de una prdida de archivos. v Registrar por diario y auditar las acciones de las reglas con objeto de elaborar un archivo de anotaciones de las reglas de filtro. Esto sirve de ayuda para depurar las reglas. Debe emplear todos los medios a su alcance para gestionar con eficiencia y eficacia las reglas. La seguridad del sistema depende de que las reglas sean precisas y estn actualizadas. Si necesita ayuda para resolver un problema, vuelva a la pgina principal de Reglas de paquete (filtros y NAT).
Ver las reglas de NAT y de filtro IP

Ver las reglas de filtro creadas permite comprobar si existen errores visibles. Puede interesarle ver las reglas de filtro no slo antes de proceder a activarlas y a probarlas sino antes de imprimirlas y crear una copia de seguridad de ellas. El ver las reglas no es la nica manera que existe de comprobar si hay errores. No obstante, es una forma til de minimizar o eliminar los errores antes de realizar pruebas. El sistema cuenta tambin con una funcin de verificacin, pero no debe basarse exclusivamente en ella. Debe tomar las medidas oportunas para corregir todos los errores manualmente. Con ello ahorrar tiempo y recursos. Para ver las reglas inactivas, es necesario abrir el archivo de reglas de filtro. Para ver las reglas activas actualmente, siga estos pasos: 1. Abra el dilogo de reglas de paquete. En este dilogo se visualizan las reglas que estn cargadas actualmente y en qu interfaz estn activas. 2. Pulse en Ver y seleccione Reglas activas. Aparece un recuadro de dilogo en el que se le pregunta si desea ver las reglas que estn cargadas actualmente en una interfaz especfica o las interfaces que tienen reglas cargadas actualmente. 3. Seleccione la opcin que desee y pulse en Aceptar. 4. Segn la opcin que seleccione, en el marco derecho del dilogo aparecer la lista correspondiente de todas las reglas. Nota: dado que se trata de una vista especial, no se pueden editar las reglas desde este dilogo. Para editarlas, se debe abrir el archivo de reglas con el men Archivo. Para poder revisar las reglas de filtro, imprima el archivo de reglas que ha creado. Esto le permitir detectar las equivocaciones visibles y verificar que ha incluido todos los archivos de reglas creados con anterioridad que deseaba aadir. No debe activar las reglas de filtro sin haberlas visto antes para verificar que son correctas. Vuelva a Administracin de NAT y de filtros IP.
33
Editar las reglas de NAT y de filtro IP

A medida que vayan cambiando las necesidades, debe editar las reglas para garantizar la seguridad del sistema. Para poder editar una regla, debe crear las reglas que desea aplicar. Antes de su activacin, debe intentar corregir los errores que haya y realizar los cambios precisos en las reglas. Es la mejor manera de evitar complicaciones con las reglas de filtro. Debe utilizar Operations Navigator para acceder al dilogo de reglas de paquete que permite proceder a la edicin. Para editar una regla de filtro, siga estos pasos: 1. Pulse en el men Archivo de la barra de mens y seleccione Abrir. Aparecer el dilogo estndar Abrir archivo. Nota: por omisin, el sistema aplica la extensin .I3P. Es la que usted debe utilizar si tiene previsto activar el archivo. 2. Seleccione el archivo que desea editar en la lista del dilogo y pulse en Abrir. El archivo de reglas que seleccione aparecer en el panel derecho de la ventana de reglas de paquete. Nota: en la ventana de reglas de paquete se visualiza el nombre del archivo de reglas activo. Si desea editar el archivo de reglas activo, seleccinelo en la lista del dilogo. Seleccione la regla que desea cambiar y pulse en ella con el botn derecho del ratn para visualizar un men. Seleccione Propiedades para visualizar la ventana de propiedades. Efecte los cambios en la regla y pulse en Aceptar. Guarde el archivo de reglas despus de realizar los cambios. Nota: si no guarda el archivo de reglas, el sistema le pedir que lo haga. Una vez realizado el proceso de edicin, es necesario efectuar los pasos siguientes dentro del proceso de creacin de reglas de filtro: 1. Verifique las reglas de NAT y de filtro IP. 2. Guarde y active las reglas de NAT y de filtro IP. A continuacin, vuelva a Administracin de NAT y de filtros IP.
3. 4. 5. 6.
Crear una copia de seguridad de las reglas de NAT y de filtro IP

En principio puede parecer que no resulta necesario, pero crear una copia de seguridad de los archivos de reglas siempre es una buena idea. En caso de producirse una prdida, las copias de seguridad ahorran el tiempo y el esfuerzo que sera necesario invertir para volver a crear los archivos partiendo de cero. Estos consejos de carcter general pueden servirle para asegurarse de que cuenta con una forma fcil de reemplazar los archivos perdidos: Imprima los archivos de reglas. Podr guardar los impresos all donde estn ms seguros y volver a entrar la informacin segn convenga. Los impresos resultan tambin tiles si es necesario buscar un error en una regla de filtro. Copie la informacin en un disco. La copia en disco ofrece una ventaja sobre los impresos: en lugar de tener que volver a entrar la informacin manualmente, sta existe en formato electrnico. Constituye un mtodo directo de transportar informacin de una fuente en lnea a otra.
34
Nota: el iSeries copia la informacin en el disco del sistema, no en un disquete. Los archivos de reglas se almacenan en el sistema de archivos IFS dentro del iSeries, no en un PC. Tal vez le interese emplear un mtodo de proteccin de disco como medio de proteger los datos almacenados en el disco del sistema. Si se utiliza un iSeries, debe planificarse una estrategia de copia de seguridad y recuperacin. En Back up and Recovery hallar ms informacin sobre la recuperacin y las copias de seguridad de los archivos. Vuelva a Administracin de NAT y de filtros IP .
Registrar por diario y auditar las acciones de las reglas

Las reglas de paquete incluyen una funcin de registro por diario. El registro por diario permite resolver problemas de NAT y de filtros. Puede utilizarlo para crear un archivo de anotaciones de las acciones de las reglas. Esto le permitir depurar y revisar las reglas con ms facilidad. Consultando estos diarios o anotaciones del sistema, tambin podr auditar el trfico que circula hacia dentro y hacia fuera del sistema. La funcin de registro por diario se utiliza de manera individualizada para cada regla. A la hora de crear una regla de NAT o de filtro, las opciones de registro por diario son las siguientes: FULL y OFF. En la tabla que figura a continuacin hallar informacin ms detallada.
OPCIN FULL OFF DEFINICIN Se anotan todos y cada uno de los paquetes convertidos. No se realiza registro por diario alguno.
Si el registro por diario est activo, se generar una entrada de diario para cada regla que se aplique a un datagrama (de NAT o de filtro). Las nicas reglas para las que no se crea una entrada de diario son las de denegacin por omisin. stas no quedan nunca registradas por diario porque las crea el sistema. Al utilizar estos diarios, se crea un archivo general en el iSeries. La informacin que consta en los diarios del sistema sirve para determinar cmo se utiliza el sistema. Esto puede servir de ayuda a la hora de decidirse a cambiar los diversos aspectos de la seguridad. Si la funcin de registro por diario est establecida en OFF, el sistema no crear una entrada de diario para la regla. Aunque se puede elegir esta opcin, puede que no resulte ser la mejor. Si no tiene experiencia en la creacin de reglas de NAT y de filtro, le interesa utilizar FULL (anotaciones) segn convenga. De este modo, podr utilizar los archivos de anotaciones como herramientas de resolucin de problemas. No obstante, debe ser selectivo con lo que decide registrar por diario. El registro por diario supone una carga pesada para los recursos del sistema. Procure concentrase en las reglas que controlan el trfico intenso. Para ver los diarios, haga lo siguiente: 1. En una solicitud de mandatos del iSeries, entre: DSPJRN JRN(QIPNAT), si se trata de diarios de NAT, o DSPJRN JRN(QIPFILTER), si se trata de diarios de filtros IP.
Captulo 7. Gestionar las reglas de paquete
35
36
Captulo 8. Resolucin de problemas de las reglas de paquete

En este apartado se dan una serie de consejos para resolver problemas planteados por las reglas de paquete. v La posibilidad de rastrear las comunicaciones de iSeries permite ver la totalidad del trfico de datagramas de una interfaz determinada. Para reunir la informacin e imprimirla, utilice los mandatos Arrancar rastreo de comunicaciones (STRCMNTRC) e Imprimir rastreo de comunicaciones (PRTCMNTRC). v El orden de las reglas de NAT y de filtro IP determina el modo en que se procesan las reglas. stas se procesan en el mismo orden en que figuran en el archivo. Si el orden no es correcto, los paquetes no se procesarn de la manera que tena prevista. Con esto, el sistema ser vulnerable a los ataques. Coloque los nombres de filtro dentro de la sentencia FILTER_INTERFACE en el mismo orden exacto en el que los conjuntos estn definidos fsicamente en el archivo. Nota: si no utiliza las reglas de IPSec, es ms fcil colocar todas las reglas de filtro en un solo conjunto para evitar problemas con el orden de los conjuntos. Sin embargo, si utiliza las reglas de IPSec, debe tener como mnimo tres conjuntos distintos. En Organizar varias reglas de filtro IP puede ver un ejemplo. Consulte el apartado Crear reglas de filtro IP de este tema si necesita ms ayuda para escribir reglas de filtro correctas. Recuerde el proceso que se muestra en la tabla siguiente.
Proceso del trfico de entrada 1. Reglas de NAT 2. Reglas de filtro IP Proceso del trfico de salida 1. Reglas de filtro IP 2. Reglas de NAT
v Eliminar todas las reglas es la mejor manera de restablecer el sistema y borrar todos los errores. En el iSeries, emita el mandato siguiente: RMVTCPTBL (Eliminar tabla TCP/IP). Si se queda bloqueado fuera de la aplicacin Operations Navigator, este mandato sirve tambin para volver y reparar las reglas. Nota: en la versin V5R1, el mandato Eliminar tabla TCP/IP tambin inicia los servidores VPN (slo si los servidores VPN (IKE y ConMgr) estaban ejecutndose antes). v Permitir el reenvo de datagramas IP en la configuracin TCP/IP del iSeries es esencial si se utiliza NAT. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES. v Verificar las rutas de retorno por omisin es la manera de asegurarse de que la direccin con la que se realiza la correlacin o tras la que se efecta la ocultacin es correcta. Para que NAT pueda deshacer la conversin, esta direccin debe ser direccionable en la ruta de retorno al iSeries y debe pasar por la lnea correcta. Nota: si el iSeries tiene ms de una red, o lnea, conectada a l, debe tener especial cuidado con el direccionamiento del trfico de entrada. ste se maneja en cualquier lnea en la que entre, que puede no ser la lnea correcta que est a la espera de deshacer la conversin. v Ver los mensajes de error y de aviso del archivo EXPANDED.OUT. Al verificar y activar un conjunto de filtros, estos filtros se fusionan con las reglas generadas por Operations Navigator. El proceso de combinacin genera las reglas fusionadas en un archivo nuevo denominado EXPANDED.OUT, que se coloca en el mismo directorio que contiene sus reglas (por lo general /QIBM). Los mensajes de aviso y de error hacen referencia a este archivo. Para ver este archivo, debe abrirlo en la interfaz de reglas de paquete. Para ver los mensajes, siga los pasos que se indican a continuacin dentro de la interfaz de reglas de paquete: 1. Seleccione Archivo> Abrir.
37
2. Vaya al directorio indicado en los mensajes, que contiene el archivo EXPANDED.OUT. 3. En el men, seleccione Todos los archivos (*.*). Aparecer el archivo EXPANDED.OUT. 4. Seleccione este archivo y pulse en Abrir. Aparecer el archivo abierto en la ventana de la derecha. Cada una de las lneas de este archivo tiene una etiqueta con el nmero de lnea para facilitar la visualizacin del aviso o error. Nota: Cuando abra el archivo EXPANDED.OUT, los mensajes de error originales se cerrarn. Deber corregir un error cada vez o anotar los nmeros de lnea.
38
Impreso en Espaa

Tcpipas 400

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Tcpipas 400

Diunggah oleh

Hak Cipta:

Format Tersedia

iSeries

Seguridad de la red Reglas de paquete

Seguridad de la red Reglas de paquete

Captulo 8. Resolucin de problemas de las reglas de paquete . . . . . . . . . . . . . . 37

Copyright IBM Corp. 2000,2001

iSeries: Seguridad de la red Reglas de paquete

Parte 1. Reglas de paquete (filtros y NAT)

Copyright IBM Corp. 2000,2001

iSeries: Seguridad de la red Reglas de paquete

Captulo 1. Novedades de la versin V5R1

Copyright IBM Corp. 2000,2001

iSeries: Seguridad de la red Reglas de paquete

Captulo 2. Imprimir este tema

Copyright IBM Corp. 2000,2001

iSeries: Seguridad de la red Reglas de paquete

Captulo 3. Ejemplos de reglas de paquete

Ejemplo: correlacionar las direcciones IP (NAT esttica)

10.10.1.1 se correlaciona con 192.12.3.1

Copyright IBM Corp. 2000,2001

Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP

iSeries: Seguridad de la red Reglas de paquete

Cortafuegos Direccionador Cortafuegos Token-ring Direccionador

Captulo 3. Ejemplos de reglas de paquete

Ejemplo: combinacin de NAT y filtros IP

iSeries: Seguridad de la red Reglas de paquete

Servidor Web 10.1.1.250

iSeries AS03 Empresa B Red interna

Captulo 3. Ejemplos de reglas de paquete

Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento)

iSeries: Seguridad de la red Reglas de paquete

Ocultar = HIDE01 (192.20.12.1) Lnea DSL= PUBIP01 (192.20.12.2)

Captulo 3. Ejemplos de reglas de paquete

iSeries: Seguridad de la red Reglas de paquete

Captulo 4. Conceptos de reglas de paquete

Trminos de reglas de paquete

Copyright IBM Corp. 2000,2001

Conversin de direcciones de red (NAT)

Funcin de NAT esttica (de correlacin)

iSeries: Seguridad de la red Reglas de paquete

Funcin de NAT de enmascaramiento (de ocultacin)

Captulo 4. Conceptos de reglas de paquete

Funcin de NAT de enmascaramiento (de correlacin de puerto)

iSeries: Seguridad de la red Reglas de paquete

Captulo 4. Conceptos de reglas de paquete

Organizar las reglas de NAT con reglas de filtro IP

iSeries: Seguridad de la red Reglas de paquete

Organizar varias reglas de filtro IP

Captulo 4. Conceptos de reglas de paquete

iSeries: Seguridad de la red Reglas de paquete

Captulo 5. Planificar las reglas de paquete

Las reglas de paquete frente a otras soluciones de seguridad

Copyright IBM Corp. 2000,2001

iSeries: Seguridad de la red Reglas de paquete

Captulo 6. Configurar las reglas de paquete

Requisitos del sistema para las reglas de paquete

Acceder a las funciones de reglas de paquete

Copyright IBM Corp. 2000,2001

Definir direcciones y servicios

iSeries: Seguridad de la red Reglas de paquete

Poner comentarios en las reglas de NAT y de filtro IP

Crear reglas de conversin de direcciones de red (NAT)

Crear reglas de filtro IP

iSeries: Seguridad de la red Reglas de paquete