iSeries
Copyright International Business Machines Corporation 2000,2001. Reservados todos los derechos.
Contenido
Parte 1. Reglas de paquete (filtros y NAT) . . . . . . . . . . . . . . . . . . . 1
Captulo 1. Novedades de la versin V5R1. . . . . . . . . . . . . . . . . . . . . . . 3 Captulo 2. Imprimir este tema . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Captulo 3. Ejemplos de reglas de paquete . . . . . . . . . Ejemplo: correlacionar las direcciones IP (NAT esttica). . . . . . Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP . Ejemplo: combinacin de NAT y filtros IP . . . . . . . . . . . Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) . . Captulo 4. Conceptos de reglas de paquete . . . Trminos de reglas de paquete . . . . . . . . . Conversin de direcciones de red (NAT) . . . . . . Funcin de NAT esttica (de correlacin) . . . . . Funcin de NAT de enmascaramiento (de ocultacin) Funcin de NAT de enmascaramiento (de correlacin Filtros IP. . . . . . . . . . . . . . . . . . Cabecera de paquete IP . . . . . . . . . . . Organizar las reglas de NAT con reglas de filtro IP . . Organizar varias reglas de filtro IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . de puerto) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 . 7 . 8 . 10 . 12 . . . . . . . . . . 15 15 16 16 17 18 19 20 20 21
Captulo 5. Planificar las reglas de paquete . . . . . . . . . . . . . . . . . . . . . . 23 Las reglas de paquete frente a otras soluciones de seguridad . . . . . . . . . . . . . . . . 23 Captulo 6. Configurar las reglas de paquete . . . . Requisitos del sistema para las reglas de paquete . . . Acceder a las funciones de reglas de paquete . . . . . Definir direcciones y servicios . . . . . . . . . . . Poner comentarios en las reglas de NAT y de filtro IP . . Crear reglas de conversin de direcciones de red (NAT) . Crear reglas de filtro IP . . . . . . . . . . . . . Incluir archivos en las reglas de paquete . . . . . . . Definir interfaces de filtro IP . . . . . . . . . . . Verificar las reglas de NAT y de filtro IP . . . . . . . Guardar, activar y desactivar reglas de NAT y de filtro IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 25 25 26 27 27 28 29 29 30 30 33 33 34 34 35
Captulo 7. Gestionar las reglas de paquete. . . . . . Ver las reglas de NAT y de filtro IP . . . . . . . . . . Editar las reglas de NAT y de filtro IP . . . . . . . . . Crear una copia de seguridad de las reglas de NAT y de filtro Registrar por diario y auditar las acciones de las reglas . .
. . . . . . IP . . .
iii
iv
Para ver o bajar la versin PDF, seleccione Reglas de paquete (aproximadamente 448 KB o 41 pginas). Para guardar un archivo PDF en la estacin de trabajo para poder verlo o imprimirlo: 1. Abra el archivo PDF en el navegador (pulse en el enlace anterior). 2. En el men del navegador, pulse en Archivo. 3. Pulse en Guardar como... 4. Sitese en el directorio en el que desea guardar el archivo PDF. 5. Pulse en Guardar.
10.10.1.1
10.10.1.0
Internet
RZAJB504-0
Solucin Podra utilizar la funcin de NAT esttica. sta asigna una direccin (privada) original a una direccin registrada. El iSeries correlaciona esta direccin registrada con la direccin privada. La direccin (pblica) registrada permite que la direccin privada se comunique con Internet. Bsicamente, constituye un puente entre ambas redes. Las comunicaciones pueden iniciarse desde cualquiera de las dos. La utilizacin de NAT esttica permite conservar todas las direcciones IP internas actuales y acceder igualmente a Internet. Ser necesario tener una direccin IP registrada por cada direccin privada que acceda a Internet. Por ejemplo, si tiene 12 usuarios, necesita 12 direcciones IP para correlacionar las 12 direcciones privadas. En la ilustracin anterior, la direccin de NAT 192.12.3.1 espera el regreso de informacin y mientras tanto resulta inservible, como si de un shell se tratase. Cuando la informacin vuelve, NAT correlaciona a la inversa la direccin con el PC. Si la funcin de NAT esttica est activa, el trfico de entrada que vaya destinado de forma directa a la direccin 192.12.3.1 no llegar nunca a esa interfaz porque tal direccin es nicamente una representacin de la direccin interna. El destino real es la direccin privada 10.10.1.1, aunque (para el mundo que est fuera del iSeries) parezca que la direccin IP deseada es 192.12.3.1. Configuracin de ejemplo
ADDRESS PC01 IP=10.10.1.1 TYPE=TRUSTED ADDRESS SHELL IP=192.12.3.1 TYPE=BORDER MAP PC01 TO SHELL LINE = TRNLINE JRN = OFF
Nota: la lnea de Token-Ring definida en la configuracin anterior (LINE=TRNLINE) debe ser la lnea utilizada por 192.12.3.1. La funcin de NAT esttica no tendr efecto si 10.10.1.1 utiliza la lnea de Token-Ring definida en la configuracin anterior. Siempre que utilice NAT, tambin debe habilitar el reenvo IP. En el apartado Resolucin de problemas de las reglas de paquete hallar informacin detallada al respecto.
Qu mtodos utiliza?
Antes Despus
Ethernet
Ethernet
Token-ring
Red privada
Internet
Red privada
Internet
Solucin Los filtros de paquete IP permiten establecer reglas que expliquen cul es la informacin que desea permitir. Establezca reglas de filtro IP que permitan al trfico HTTP, FTP y Telnet (de entrada y de salida) llegar al servidor Web, que es el iSeries en este caso. La direccin pblica del servidor es 192.54.5.1 y la direccin IP privada es 10.1.2.3. Configuracin de ejemplo
###Los 2 filtros siguientes permitirn el trfico HTTP (navegador Web) de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 80 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 80 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = * SRCADDR = % * DSTADDR = * PROTOCOL = ICMP TYPE = * CODE = * FRAGMENTS = % NONE JRN = OFF ###Los 4 filtros siguientes permitirn el trfico FTP de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 21 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 21 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = 10.1.2.3 PROTOCOL = TCP DSTPORT = 20 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.2.3 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 20 FRAGMENTS = NONE JRN = OFF % % %
###Los 2 filtros siguientes permitirn el trfico Telnet de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = 192.54.5.1 PROTOCOL = TCP DSTPORT = 23 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 192.54.5.1 DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT % = 23 FRAGMENTS = NONE JRN = OFF %
###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz fsica correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules
10
10.1.1.252
10.1.1.251
10.1.1.253
Empresa A 10.1.1.*
10.1.1.254 NAT 10.1.1.251 hasta 10.1.1.254 ocultar tras 192.27.1.1 10.1.1.250:5000 ocultar tras 192.27.1.1:80
iSeries As02 FILTRO Permite el trfico de entrada hacia NAT y el trfico de salida haciaInternet 192.27.1.1
Internet
RZAJB501-0
Solucin Decide utilizar de forma conjunta filtros de paquete IP y NAT. Ser necesario hacer lo siguiente: 1. Utilizar la funcin de NAT de ocultacin para permitir a las direcciones privadas el acceso a Internet. 2. Utilizar la funcin de NAT con correlacin de puerto para permitir a las redes externas el acceso al servidor Web. 3. Filtrar la totalidad del trfico de entrada y de salida desde las direcciones privadas (10.1.1.x). NAT permite ocultar las direcciones IP a la vista de las redes externas, como Internet, y los filtros permiten controlar el trfico de entrada y de salida. En este ejemplo, slo se permite al trfico HTTP el acceso a la red. Le interesa utilizar la funcin de NAT de enmascaramiento con correlacin de puerto. sta permite que la otra empresa inicie la conversacin con el servidor en una de las interfaces definidas en el iSeries. Mediante la funcin de NAT con correlacin de puerto, se puede permitir una direccin IP y un nmero de puerto determinados. En este ejemplo, el servidor Web al que le interesa acceder est situado en otra mquina, que utiliza el puerto 5000, que se halla detrs del iSeries. NAT slo convertir la direccin de entrada 192.27.1.1 del puerto 80. Si el trfico iniciado externamente no coincide exactamente con esta direccin y este nmero de puerto, NAT no la convertir. Configuracin de ejemplo
11
###La regla de NAT siguiente ocultar los PC detrs de una direccin pblica para que, as, puedan acceder a Internet. ADDRESS pcs IP = 10.1.1.251 THROUGH 10.1.1.254 TYPE = TRUSTED ADDRESS public IP = 192.27.1.1 TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF
###La regla de NAT con correlacin de puerto siguiente ocultar la direccin y el nmero de puerto del servidor Web detrs de una direccin y un nmero de puerto pblicos. Observar que ambas reglas de NAT estn ocultas tras una direccin IP comn. Esto es aceptable siempre y cuando las direcciones que vaya a ocultar no se solapen. Esta regla de NAT con correlacin de puerto slo permitir que acceda al sistema el trfico iniciado externamente del puerto 80. ADDRESS Web250 IP = 10.1.1.250 TYPE = TRUSTED ADDRESS public IP = 192.27.1.1 TYPE = BORDER HIDE Web250:5000 BEHIND Public:80 TIMEOUT = 16 MAXCON = 64 JRN = OFF ###Los 2 filtros siguientes, junto con la sentencia HIDE, permitirn que el trfico de entrada que vaya destinado a la red privada llegue hasta NAT y que el trfico de salida llegue a Internet. No obstante, NAT slo permitir que entre en el servidor el trfico iniciado externamente del puerto 80. No convertir el trfico iniciado externamente que no coincida con la regla de NAT con correlacin de puerto. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR= * DSTADDR = 10.1.1.* PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = 10.1.1.* DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF ###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz fsica correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules ### ESTA COMPILACIN DENIEGA DE MANERA AUTOMTICA CUALQUIER TRFICO QUE NO EST PERMITIDO DE FORMA ESPECFICA.
12
Internet
Servicios TCP/IP Ethernet (AS/400IP1) 10.1.1.1 Red privada PC03 10.1.1.4 PC02 10.1.1.3
RZAJB502-0
PC01 10.1.1.2
Solucin Oculte un rango de direcciones de PC detrs de la direccin HIDE01. Podra ejecutar los servicios TCP/IP desde la direccin 10.1.1.1. La funcin de NAT de rango (que oculta un rango de direcciones internas) proteger los PC contra las comunicaciones que se inicien desde fuera de la red. Recuerde que para que comience la funcin de NAT de rango, el trfico debe iniciarse internamente. Sin embargo, la funcin de NAT de rango no proteger la interfaz de iSeries. Ser necesario filtrar el trfico para proteger el iSeries contra la recepcin de informacin sin convertir. Configuracin de ejemplo
ADDRESS pcs IP = 10.1.1.1 THROUGH 10.1.1.4 TYPE = TRUSTED ADDRESS public IP = 192.20.12.1 TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF
13
14
15
16
informacin externa. Con ello se garantiza que la informacin interna permanece fuera del alcance de alguien cuyas intenciones pudieran ser atacar los sistemas. En la lista siguiente se destacan las caractersticas de NAT esttica: v Correlacin biunvoca v El inicio puede tener lugar en la red interna y en la externa v La direccin con la que se establece asociacin o correlacin puede ser cualquiera v La direccin con la que se establece asociacin o correlacin ya no puede utilizarse como interfaz IP v No utiliza NAT de nmero de puerto Atencin Proceda con cautela si decide correlacionar un PC con la direccin conocida pblicamente del iSeries. Esta direccin es la direccin IP que est reservada para la mayor parte del trfico de Internet e intranet. Si realiza la correlacin con esta direccin IP, NAT convertir todo el trfico y lo enviar a la direccin privada interna. Dado que esta interfaz estar reservada para NAT, el iSeries y la interfaz quedarn inutilizados. En Ejemplo: correlacionar las direcciones IP hallar un caso prctico sacado de la vida real y una ilustracin de la funcin de NAT esttica.
17
no pueden iniciar trfico hacia la red. Como resultado, la red gana en proteccin contra un ataque del exterior. Asimismo, slo es necesario comprar una nica direccin IP pblica para varios usuarios internos. En la lista siguiente se destacan las caractersticas de NAT de enmascaramiento: v La direccin IP privada o el rango de direcciones IP estn vinculados detrs de una direccin IP pblica en la mquina de NAT v El inicio slo puede tener lugar en la red interna v Los nmeros de puerto se asocian con nmeros de puerto aleatorios. Esto significa que tanto la direccin como el nmero de puerto estn ocultos a la vista de Internet. v La direccin registrada que consta en la mquina de NAT puede utilizarse como interfaz fuera de NAT Atencin v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al nmero de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendr dos conversaciones activas. En este caso, ser necesario establecer MAXCON de manera que d cabida a varias conversaciones para cada PC. Habr que decidir cuntas conversaciones concurrentes interesa permitir en la red. El valor por omisin es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la funcin de NAT de ocultacin funcione correctamente, debe haber una conversacin interna en curso. El valor de TIMEOUT indica al cdigo cunto debe esperar a que se produzca una respuesta a esta conversacin interna. El valor por omisin es 16. v La funcin de NAT de enmascaramiento slo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvo IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES. Consulte el caso prctico y la ilustracin presentados en Ocultar las direcciones IP (NAT de enmascaramiento), donde hallar un ejemplo de NAT de enmascaramiento u ocultacin.
18
En la lista siguiente se destacan las caractersticas de NAT de enmascaramiento con correlacin de puerto: v Relacin biunvoca v El inicio puede tener lugar en la red interna y en la externa v La direccin registrada tras la que nos ocultamos debe estar definida en el iSeries que realiza las operaciones de NAT. v La direccin registrada puede utilizarse para el trfico IP fuera de las operaciones de NAT. No obstante, si esta direccin intenta utilizar un nmero de puerto que coincide con el puerto oculto de la regla de NAT, el trfico se convertir. La interfaz quedar inutilizada. v Normalmente los nmeros de puerto se correlacionan con nmeros de puerto conocidos pblicamente, por lo que no se necesita informacin adicional. Por ejemplo, puede ejecutar un servidor HTTP enlazado al puerto 5123 y, a continuacin, ejecutar ste con la direccin IP pblica y el puerto 80. En caso contrario, si desea ocultar un nmero de puerto interno detrs de otro nmero de puerto (no comn), es necesario indicar fsicamente al cliente cul es el valor del nmero de puerto de destino. Si no, es difcil que la comunicacin tenga lugar. Atencin v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al nmero de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendr dos conversaciones activas. Ser necesario establecer MAXCON de manera que d cabida a varias conversaciones para cada PC. El valor por omisin es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la funcin de NAT de ocultacin funcione correctamente, debe haber una conversacin interna en curso. El valor de TIMEOUT indica al cdigo cunto debe esperar a que se produzca una respuesta a esta conversacin interna. El valor por omisin es 16. v La funcin de NAT de enmascaramiento slo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvo IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES.
Filtros IP
En su calidad de segundo componente de las reglas de paquete, los filtros de paquete permiten controlar la clase de trfico IP que est permitido en la red. Aunque las reglas de paquete de iSeries en s no son un cortafuegos totalmente funcional, proporcionan un slido componente que puede filtrar los paquetes para el iSeries. Puede utilizar este componente de filtros de paquetes IP para proteger el sistema. La manera en que el componente de filtros IP protege el sistema es filtrando los paquetes en funcin de la reglas que usted defina. Las reglas se basan en la informacin de cabecera de paquete. Estas reglas de filtro se pueden aplicar a varias lneas; tambin se pueden aplicar varias reglas a una misma lnea. Las reglas de filtro estn asociadas con lneas, por ejemplo de Token-Ring (trnline), y no con interfaces lgicas ni direcciones IP. El sistema coteja cada paquete con cada una de las reglas asociadas con una lnea. El proceso de cotejo con las reglas es secuencial. Una vez que el sistema encuentra una coincidencia del paquete con una regla, detiene el proceso y aplica la regla coincidente. Cuando el sistema aplica la regla coincidente, en realidad lleva a cabo la accin que especifica la regla. El iSeries da soporte a 3 acciones (V4R4 y siguientes): 1. permit permite que el datagrama contine 2. deny descarta el datagrama 3. IPSec enva el datagrama mediante una conexin de VPN (que se indica en la regla de filtro)
19
Nota: en este caso, IPSec es una accin que se puede definir en las reglas de filtro. Aunque en este tema dedicado a las reglas de paquete no se habla de IPSec, es importante destacar que los filtros y la red privada virtual (VPN) estn estrechamente relacionados a la hora de definir filtros. Si desea obtener ms informacin sobre VPN, consulte iSeries Red privada virtual (VPN). Una vez aplicada la regla, el sistema reanuda la comparacin secuencial de reglas y paquetes y asigna acciones a todas las reglas correspondientes. Si no encuentra una regla coincidente para un paquete concreto, el sistema lo descarta de forma automtica. La regla de denegacin por omisin del sistema garantiza que el sistema descartar de manera automtica cualquier paquete que no coincida con una regla de filtro.
Cabecera de paquete IP
Se pueden crear reglas de filtro que hagan referencia a las diversas partes de las cabeceras IP, TCP, UDP e ICMP. En la lista siguiente se incluyen los campos a los que se hace referencia en una regla de filtro: v Direccin IP de origen v Protocolo (por ejemplo, TCP, UDP) v Direccin IP de destino v Puerto de origen v Puerto de destino v Sentido del datagrama IP (de entrada, de salida o ambos) v Bit SYN TCP Por ejemplo, puede crear y activar una regla que filtre un paquete tomando como base la direccin IP de destino, la de origen y el sentido (de entrada). En este caso, el sistema empareja todos los paquetes de entrada (en funcin de las direcciones de origen y de destino) con las reglas correspondientes. A continuacin, emprende la accin especificada en la regla. Descartar cualquier paquete que no est permitido en las reglas de filtro. Esta actuacin recibe el nombre de regla de denegacin por omisin. Nota: el sistema aplica la regla de denegacin por omisin a los datagramas slo si la interfaz fsica tiene activa por lo menos una regla. Esta regla puede ser definida por el cliente o generada por Operations Navigator. Si en la interfaz fsica no existe una regla de filtro activa, la regla de denegacin por omisin no funcionar.
20
Al utilizar reglas de IPSec, es importante agrupar las reglas de filtro en tres conjuntos como mnimo: preipsec, IPSec y otro. El conjunto preipsec contiene todas las reglas que tienen lugar antes de que se pueda producir VPN. El conjunto IPSec contiene todas las reglas de VPN y el otro conjunto contiene todos los filtros varios (de permiso y denegacin). Esto le permite ahorrarse mucho tiempo y evitarse todos los problemas que pueden surgir cuando sus filtros se fusionan con las reglas generadas por Operations Navigator. Una vez ms, esto slo es vlido al utilizar las reglas de filtro de IPSec. A continuacin figura un ejemplo de cmo se utilizan tres conjuntos distintos.
FILTER_INTERFACE LINE = ETHLINE SET = preipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = ipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = other_rules ###Lnea Ethernet ETHLINE
21
22
23
Si es necesario proteger las comunicaciones entre el sistema iSeries y otros sistemas, debe explorar otras soluciones de seguridad en Internet de iSeries con objeto de ampliar la proteccin. Debe plantearse varias lneas de defensa. Por ejemplo, podra interesarle utilizar certificados digitales y SSL o Red privada virtual (VPN) para proporcionar comunicaciones seguras. Si tiene previsto conectar el iSeries o la red a Internet, debe leer el tema IBM SecureWay: iSeries y la Internet. En l hallar amplia informacin sobre los riesgos y las soluciones que deben tenerse en cuenta a la hora de utilizar Internet. Si desea obtener ms informacin sobre lo que se puede hacer para mejorar la seguridad del iSeries, consulte el tema dedicado a consejos y herramientas para proteger el iSeries
24
25
Para acceder a las funciones de reglas de paquete (con un sistema que tenga la versin V5R1), siga estos pasos: 1. En el panel izquierdo de la ventana de Operations Navigator, expanda Mis conexiones. 2. Expanda el sistema iSeries en el que desea establecer las reglas de paquete. 3. Expanda Red. 4. Expanda Polticas de IP. 5. Pulse el botn derecho del ratn en Reglas de paquete. 6. Seleccione Configuracin. Aparecer la ventana Reglas de paquete. En ella se puede crear nuevas reglas y gestionar las existentes. Una vez que haya accedido a las reglas de paquete, el primer paso es definir direcciones y servicios.
26
27
Una vez creadas las reglas de NAT, vaya al siguiente paso para crear reglas de filtro IP.
28
Para crear filtros, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. Si ha de cambiar el orden de la reglas una vez definidas, puede ir a la vista Todas las reglas de seguridad. En ella, utilice el mtodo de arrastrar y soltar para cambiar el orden de las reglas. Una vez creados los filtros, vaya al siguiente paso para estudiar la posibilidad de incluir archivos.
29
Para definir interfaces de filtro, utilice la ayuda para tareas de las reglas de paquete de la interfaz de Operations Navigator. no se olvide de aadir comentarios siempre que sea posible. Puede hacerlo en el campo Descripcin a la vez que define la interfaz de filtro. Una vez definidas las interfaces de filtro, vaya al siguiente paso para verificar las reglas de NAT y de filtro IP.
2. 3. 4. 5. 6.
30
Adems de verificar las reglas, debe guardarlas para poder activarlas. En el momento de verificar un archivo de reglas, el sistema le brindar la opcin de guardar el archivo. Cuando seleccione la funcin de verificacin, aparecer una ventana de confirmacin. Si pulsa en Aceptar, aparecer otra ventana. Aqu es donde debe especificar el nombre del archivo que desea verificar. Una vez elegido el archivo que desea verificar, puede optar por cancelar o guardar. Si pulsa en Guardar, el sistema guardar el archivo y proceder al proceso de verificacin. Si intenta activar las reglas sin guardarlas, el sistema le pedir que las guarde. Activar las reglas de filtro Slo puede activar las reglas que est viendo actualmente. Para activar las reglas de filtro, siga estos pasos: 1. Dentro del dilogo de reglas de paquete, pulse en el men Archivo. 2. Seleccione Activar. El sistema visualizar un dilogo en el que se le preguntar si desea activar estas reglas en una interfaz especfica o en todas las interfaces. 3. Pulse en Aceptar. El sistema visualizar una dilogo en el que le pide que confirme que desea verificar las reglas a medida que las active. 4. Pulse en S en el dilogo. Si no ha guardado con anterioridad el archivo de reglas, el sistema visualizar el dilogo Guardar reglas como. 5. Especifique el nombre del archivo de reglas y pulse en Aceptar para guardar las reglas. Si el sistema puede verificar las reglas, las activar. Si hay errores en las reglas, aparecern en la parte inferior de la ventana. Puede corregirlos antes de intentar de nuevo activar las reglas. Si las reglas de filtro no se aplican a una interfaz (por ejemplo, si slo se utilizan reglas de NAT y no de filtro), aparecer un aviso (TCP5AFC). No se trata de un error. Tan slo verifica que utilizar una interfaz es necesario y que es lo que usted tiene previsto. Fjese siempre en el ltimo mensaje. Si en l se dice que la activacin es satisfactoria, entonces los mensajes anteriores son todos ellos avisos. Nota: si se activan reglas nuevas en todas las interfaces, stas sustituirn a todas las reglas anteriores en todas las interfaces fsicas. Aunque una interfaz fsica no se mencione en las reglas nuevas, ser sustituida. Sin embargo, si se elige activar las reglas nuevas en una interfaz especfica, las reglas slo sustituirn a las reglas de esa interfaz en concreto. Las reglas existentes en las dems interfaces no se tocarn. Desactivar las reglas de filtro Si, por algn motivo, desea desactivar las reglas de filtro, siga los pasos anteriores de activacin de reglas. Pero, en lugar de seleccionar Activar, seleccione Desactivar. A continuacin, pulse en S. Con esto, el sistema ser ms vulnerable a los intrusos. Una vez configuradas las reglas de paquete para proteger el sistema, le interesa asegurarse de que el sistema sigue estando protegido. Para ello, debe saber cmo se utiliza la administracin de NAT y de filtros IP.
31
32
33
3. 4. 5. 6.
34
Nota: el iSeries copia la informacin en el disco del sistema, no en un disquete. Los archivos de reglas se almacenan en el sistema de archivos IFS dentro del iSeries, no en un PC. Tal vez le interese emplear un mtodo de proteccin de disco como medio de proteger los datos almacenados en el disco del sistema. Si se utiliza un iSeries, debe planificarse una estrategia de copia de seguridad y recuperacin. En Back up and Recovery hallar ms informacin sobre la recuperacin y las copias de seguridad de los archivos. Vuelva a Administracin de NAT y de filtros IP .
Si el registro por diario est activo, se generar una entrada de diario para cada regla que se aplique a un datagrama (de NAT o de filtro). Las nicas reglas para las que no se crea una entrada de diario son las de denegacin por omisin. stas no quedan nunca registradas por diario porque las crea el sistema. Al utilizar estos diarios, se crea un archivo general en el iSeries. La informacin que consta en los diarios del sistema sirve para determinar cmo se utiliza el sistema. Esto puede servir de ayuda a la hora de decidirse a cambiar los diversos aspectos de la seguridad. Si la funcin de registro por diario est establecida en OFF, el sistema no crear una entrada de diario para la regla. Aunque se puede elegir esta opcin, puede que no resulte ser la mejor. Si no tiene experiencia en la creacin de reglas de NAT y de filtro, le interesa utilizar FULL (anotaciones) segn convenga. De este modo, podr utilizar los archivos de anotaciones como herramientas de resolucin de problemas. No obstante, debe ser selectivo con lo que decide registrar por diario. El registro por diario supone una carga pesada para los recursos del sistema. Procure concentrase en las reglas que controlan el trfico intenso. Para ver los diarios, haga lo siguiente: 1. En una solicitud de mandatos del iSeries, entre: DSPJRN JRN(QIPNAT), si se trata de diarios de NAT, o DSPJRN JRN(QIPFILTER), si se trata de diarios de filtros IP.
35
36
v Eliminar todas las reglas es la mejor manera de restablecer el sistema y borrar todos los errores. En el iSeries, emita el mandato siguiente: RMVTCPTBL (Eliminar tabla TCP/IP). Si se queda bloqueado fuera de la aplicacin Operations Navigator, este mandato sirve tambin para volver y reparar las reglas. Nota: en la versin V5R1, el mandato Eliminar tabla TCP/IP tambin inicia los servidores VPN (slo si los servidores VPN (IKE y ConMgr) estaban ejecutndose antes). v Permitir el reenvo de datagramas IP en la configuracin TCP/IP del iSeries es esencial si se utiliza NAT. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvo de datagramas IP est establecido en YES. v Verificar las rutas de retorno por omisin es la manera de asegurarse de que la direccin con la que se realiza la correlacin o tras la que se efecta la ocultacin es correcta. Para que NAT pueda deshacer la conversin, esta direccin debe ser direccionable en la ruta de retorno al iSeries y debe pasar por la lnea correcta. Nota: si el iSeries tiene ms de una red, o lnea, conectada a l, debe tener especial cuidado con el direccionamiento del trfico de entrada. ste se maneja en cualquier lnea en la que entre, que puede no ser la lnea correcta que est a la espera de deshacer la conversin. v Ver los mensajes de error y de aviso del archivo EXPANDED.OUT. Al verificar y activar un conjunto de filtros, estos filtros se fusionan con las reglas generadas por Operations Navigator. El proceso de combinacin genera las reglas fusionadas en un archivo nuevo denominado EXPANDED.OUT, que se coloca en el mismo directorio que contiene sus reglas (por lo general /QIBM). Los mensajes de aviso y de error hacen referencia a este archivo. Para ver este archivo, debe abrirlo en la interfaz de reglas de paquete. Para ver los mensajes, siga los pasos que se indican a continuacin dentro de la interfaz de reglas de paquete: 1. Seleccione Archivo> Abrir.
Copyright IBM Corp. 2000,2001
37
2. Vaya al directorio indicado en los mensajes, que contiene el archivo EXPANDED.OUT. 3. En el men, seleccione Todos los archivos (*.*). Aparecer el archivo EXPANDED.OUT. 4. Seleccione este archivo y pulse en Abrir. Aparecer el archivo abierto en la ventana de la derecha. Cada una de las lneas de este archivo tiene una etiqueta con el nmero de lnea para facilitar la visualizacin del aviso o error. Nota: Cuando abra el archivo EXPANDED.OUT, los mensajes de error originales se cerrarn. Deber corregir un error cada vez o anotar los nmeros de lnea.
38
Impreso en Espaa