iseries Seguridad de la red Reglas de paquete

Transcripción

1 iseries Seguridad de la red Reglas de paquete

2

3 iseries Seguridad de la red Reglas de paquete

4 Copyright International Business Machines Corporation 2000,2001. Reservados todos los derechos.

5 Contenido Parte 1. Reglas de paquete (filtros y NAT) Capítulo 1. Novedades de la versión V5R Capítulo 2. Imprimir este tema Capítulo 3. Ejemplos de reglas de paquete Ejemplo: correlacionar las direcciones IP (NAT estática) Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP Ejemplo: combinación de NAT y filtros IP Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) Capítulo 4. Conceptos de reglas de paquete Términos de reglas de paquete Conversión de direcciones de red (NAT) Función de NAT estática (de correlación) Función de NAT de enmascaramiento (de ocultación) Función de NAT de enmascaramiento (de correlación de puerto) Filtros IP Cabecera de paquete IP Organizar las reglas de NAT con reglas de filtro IP Organizar varias reglas de filtro IP Capítulo 5. Planificar las reglas de paquete Las reglas de paquete frente a otras soluciones de seguridad Capítulo 6. Configurar las reglas de paquete Requisitos del sistema para las reglas de paquete Acceder a las funciones de reglas de paquete Definir direcciones y servicios Poner comentarios en las reglas de NAT y de filtro IP Crear reglas de conversión de direcciones de red (NAT) Crear reglas de filtro IP Incluir archivos en las reglas de paquete Definir interfaces de filtro IP Verificar las reglas de NAT y de filtro IP Guardar, activar y desactivar reglas de NAT y de filtro IP Capítulo 7. Gestionar las reglas de paquete Ver las reglas de NAT y de filtro IP Editar las reglas de NAT y de filtro IP Crear una copia de seguridad de las reglas de NAT y de filtro IP Registrar por diario y auditar las acciones de las reglas Capítulo 8. Resolución de problemas de las reglas de paquete Copyright IBM Corp. 2000,2001 iii

6 iv iseries: Seguridad de la red Reglas de paquete

7 Parte 1. Reglas de paquete (filtros y NAT) Las reglas de paquete abarcan los filtros de protocolo de Internet (IP) y la conversión de direcciones de red (NAT). Con estos dos componentes se gestiona el tráfico TCP/IP. Los filtros IP y NAT funcionan como un cortafuegos con el fin de proteger las direcciones IP internas contra posibles intrusos. En los enlaces que figuran más abajo se explica el por qué, el qué y el cómo de las reglas de paquete en TCP/IP. Para poder utilizar las reglas de paquete, es necesario tener instalado TCP/IP en el iseries 400. Novedades de la versión V5R1 Destaca las modificaciones y mejoras efectuadas en las reglas de paquete en la versión V5R1. Imprimir este tema Imprima este tema para tener una copia en papel de las reglas de paquete. Casos prácticos de reglas de paquete Proporciona casos prácticos e ilustraciones para describir los filtros IP y NAT. Cada uno de los casos prácticos va seguido de una configuración de ejemplo. Conceptos de reglas de paquete Describe los conceptos de los filtros IP y NAT. Se incluyen temas tales como la correlación y la ocultación de direcciones. Asimismo, incluye un breve diccionario con la terminología específica del iseries. Planificar las reglas de paquete La planificación es sumamente importante para determinar cuáles son los recursos que es necesario proteger y contra quién. También compara las reglas de paquete con otras opciones de seguridad a fin de ayudarle a tomar una decisión, partiendo de una base sólida, sobre lo que es más conveniente para sus necesidades de seguridad concretas. Configurar las reglas de paquete Le ayuda a definir las reglas de filtro y controlar el tráfico TCP/IP mediante las reglas de paquete. En función del plan de seguridad, se pueden utilizar reglas de NAT (de ocultación o correlación), reglas de filtro IP o de ambos tipos. Gestionar las reglas de paquete Le ayuda a gestionar las reglas de filtro. Entre otras funciones, se incluye el registro por diario, la edición y la visualización de las reglas. Resolución de problemas de las reglas de paquete No olvide ocuparse de las áreas de posibles problemas. Además de la información incluida en estas páginas, puede consultar la ayuda en línea disponible en las reglas de paquete. La ayuda en línea de Operations Navigator le ofrece consejos y técnicas para obtener el máximo rendimiento de las reglas de paquete. Entre esta ayuda se encuentra la información de Qué es esto?, información sobre procedimientos y ejemplos de negocios ampliados. Si necesita obtener más información acerca de filtros o NAT, también puede consultar TCP/IP Tutorial and Technical Overview y V4 TCP/IP for AS/400: More Cool Things Than Ever en el tema Libros rojos de Information Center. Copyright IBM Corp. 2000,2001 1

8 2 iseries: Seguridad de la red Reglas de paquete

9 Capítulo 1. Novedades de la versión V5R1 La lista siguiente muestra los cambios técnicos efectuados en las reglas de paquete en la versión V5R1. Carga y descarga de reglas en interfaces individuales Anteriormente era necesario cargar y descargar todas las reglas en cada una de las interfaces mediante un archivo de reglas. En la versión V5R1, puede cargar y descargar las reglas en una interfaz concreta. ID de filtro PPP Puede utilizar identificadores de filtro PPP para asociar un conjunto de filtros a una dirección IP asignada dinámicamente yaungrupo de usuarios PPP específico. Esto le permite crear reglas para un ID de usuario específico que llama al servidor. A cada usuario que llama se le aplica un conjunto exclusivo de reglas de filtro, en función de las reglas aplicadas a su ID de filtro específico. Soporte de OPC Anteriormente no había soporte para filtros o VPN en una interfaz óptica (*OPC). Esta interfaz habitualmente se utiliza para una conexión LPAR. En la versión V5R1, el iseries 400 tiene soporte de OPC para filtros y VPN. No existe soporte de OPC para NAT. Nombres de sistema principal Puede utilizar varios nombres de sistema principal para definir direcciones IP. Antes se tenía que especificar una máquina por dirección IP. Ahora sólo se necesita el nombre de sistema principal, como por ejemplo empresa.com. Paquetes ICMP generados Por ejemplo, si se descarta un datagrama que no es ICMP debido a una regla de filtro, el sistema enviará un mensaje ICMP para indicar que el datagrama se ha eliminado. Junto con el mensaje se proporcionará un código de tipo y un código de razón. Copyright IBM Corp. 2000,2001 3

10 4 iseries: Seguridad de la red Reglas de paquete

11 Capítulo 2. Imprimir este tema Existe una versión PDF de este documento que puede ver o bajar si desea imprimirlo. Para poder ver archivos PDF, debe tener instalado el programa Adobe Acrobat Reader. Puede obtener una copia en el sitio Web de Adobe Acrobat. Para ver o bajar la versión PDF, seleccione Reglas de paquete (aproximadamente 448 KB o 41 páginas). Para guardar un archivo PDF en la estación de trabajo para poder verlo o imprimirlo: 1. Abra el archivo PDF en el navegador (pulse en el enlace anterior). 2. En el menú del navegador, pulse en Archivo. 3. Pulse en Guardar como Sitúese en el directorio en el que desea guardar el archivo PDF. 5. Pulse en Guardar. Copyright IBM Corp. 2000,2001 5

12 6 iseries: Seguridad de la red Reglas de paquete

13 Capítulo 3. Ejemplos de reglas de paquete Las reglas de paquete actúan igual que un cortafuegos para proteger el sistema. La conversión de direcciones de red (NAT) y los filtros IP suelen utilizarse de manera conjunta, pero también pueden utilizarse por separado. Los casos prácticos presentados a continuación sirven para explicar cómo se puede utilizar NAT y los filtros IP para proteger la red. Cada uno de los ejemplos incluye una configuración de ejemplo. v Ejemplo: correlacionar las direcciones IP (NAT estática) v Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP v Ejemplo: combinación de NAT y filtros IP v Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) Nota: en cada uno de los casos prácticos, las direcciones IP 192.x.x.x representan direcciones IP públicas. Todas las direcciones utilizadas lo son únicamente a título de ejemplo. En estos casos prácticos se analizan algunos de los usos habituales de las reglas de paquete. Si estos casos prácticos le resultan familiares, tal vez desee comparar NAT y los filtros con otras opciones de seguridad. La planificación de la seguridad de la red es muy importante. En Las reglas de paquete frente a otras soluciones de seguridad hallará información que le servirá de ayuda para trazar el plan de seguridad que más le convenga. Ejemplo: correlacionar las direcciones IP (NAT estática) Situación Usted es propietario de una empresa y decide montar una red privada. Sin embargo, nunca ha registrado ninguna dirección IP pública ni ha adquirido un permiso para utilizarla. Todo va bien hasta que desea acceder a Internet. Resulta que el rango de direcciones de la empresa está registrado a nombre de otro, y por ello piensa que la configuración actual que tiene está obsoleta. La necesidad de permitir a los usuarios públicos el acceso al servidor Web es imperiosa. Qué debe hacer? se correlaciona con Internet RZAJB504-0 Copyright IBM Corp. 2000,2001 7

14 Solución Podría utilizar la función de NAT estática. Ésta asigna una dirección (privada) original a una dirección registrada. El iseries correlaciona esta dirección registrada con la dirección privada. La dirección (pública) registrada permite que la dirección privada se comunique con Internet. Básicamente, constituye un puente entre ambas redes. Las comunicaciones pueden iniciarse desde cualquiera de las dos. La utilización de NAT estática permite conservar todas las direcciones IP internas actuales y acceder igualmente a Internet. Será necesario tener una dirección IP registrada por cada dirección privada que acceda a Internet. Por ejemplo, si tiene 12 usuarios, necesita 12 direcciones IP para correlacionar las 12 direcciones privadas. En la ilustración anterior, la dirección de NAT espera el regreso de información y mientras tanto resulta inservible, como si de un shell se tratase. Cuando la información vuelve, NAT correlaciona a la inversa la dirección con el PC. Si la función de NAT estática está activa, el tráfico de entrada que vaya destinado de forma directa a la dirección no llegará nunca a esa interfaz porque tal dirección es únicamente una representación de la dirección interna. El destino real es la dirección privada , aunque (para el mundo que está fuera del iseries) parezca que la dirección IP deseada es Configuración de ejemplo ADDRESS PC01 IP= TYPE=TRUSTED ADDRESS SHELL IP= TYPE=BORDER MAP PC01 TO SHELL LINE = TRNLINE JRN = OFF Nota: la línea de Token-Ring definida en la configuración anterior (LINE=TRNLINE) debe ser la línea utilizada por La función de NAT estática no tendrá efecto si utiliza la línea de Token-Ring definida en la configuración anterior. Siempre que utilice NAT, también debe habilitar el reenvío IP. En el apartado Resolución de problemas de las reglas de paquete hallará información detallada al respecto. Ejemplo: establecer reglas de filtro que permitan HTTP, Telnet y FTP Situación Desea proporcionar aplicaciones Web, pero el cortafuegos actual hace horas extraordinarias y no desea añadirle más carga. Un colega le sugiere que ejecute las aplicaciones fuera del cortafuegos. Sin embargo, le interesa que, desde Internet, sólo pueda acceder al servidor Web iseries el tráfico HTTP, FTP y Telnet. 8 iseries: Seguridad de la red Reglas de paquete

15 Qué métodos utiliza? Antes Después Ethernet Ethernet Cortafuegos Token-ring Direccionador Token-ring Cortafuegos Direccionador Red privada Internet Red privada Internet Solución Los filtros de paquete IP permiten establecer reglas que expliquen cuál es la información que desea permitir. Establezca reglas de filtro IP que permitan al tráfico HTTP, FTP y Telnet (de entrada y de salida) llegar al servidor Web, que es el iseries en este caso. La dirección pública del servidor es y la dirección IP privada es Configuración de ejemplo ###Los 2 filtros siguientes permitirán el tráfico HTTP (navegador Web) de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 80 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 80 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = * SRCADDR = % * DSTADDR = * PROTOCOL = ICMP TYPE = * CODE = * FRAGMENTS = % NONE JRN = OFF ###Los 4 filtros siguientes permitirán el tráfico FTP de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 21 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 21 FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 20 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = % 20 FRAGMENTS = NONE JRN = OFF Capítulo 3. Ejemplos de reglas de paquete 9

16 ###Los 2 filtros siguientes permitirán el tráfico Telnet de entrada y de salida en el sistema. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR % = * DSTADDR = PROTOCOL = TCP DSTPORT = 23 SRCPORT % = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR % = DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT % = 23 FRAGMENTS = NONE JRN = OFF ###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz física correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules Ejemplo: combinación de NAT y filtros IP Situación La empresa cuenta con una red interna de tamaño moderado y con un iseries. Usted desea transferir la totalidad del tráfico Web del iseries pasarela a otro servidor situado detrás del iseries. El servidor Web externo se ejecuta en el puerto Usted desea ocultar todos los PC privados y el servidor Web detrás de una dirección de la interfaz AS02. También desea permitir a otras empresas el acceso al servidor Web. Qué métodos utiliza? 10 iseries: Seguridad de la red Reglas de paquete

17 Empresa A * Servidor Web NAT hasta ocultar tras :5000 ocultar tras : iseries As02 FILTRO Permite el tráfico de entrada hacia NAT y el tráfico de salida haciainternet Internet iseries AS03 Empresa B Red interna RZAJB501-0 Solución Decide utilizar de forma conjunta filtros de paquete IP y NAT. Será necesario hacer lo siguiente: 1. Utilizar la función de NAT de ocultación para permitir a las direcciones privadas el acceso a Internet. 2. Utilizar la función de NAT con correlación de puerto para permitir a las redes externas el acceso al servidor Web. 3. Filtrar la totalidad del tráfico de entrada y de salida desde las direcciones privadas ( x). NAT permite ocultar las direcciones IP a la vista de las redes externas, como Internet, y los filtros permiten controlar el tráfico de entrada y de salida. En este ejemplo, sólo se permite al tráfico HTTP el acceso a la red. Le interesa utilizar la función de NAT de enmascaramiento con correlación de puerto. Ésta permite que la otra empresa inicie la conversación con el servidor en una de las interfaces definidas en el iseries. Mediante la función de NAT con correlación de puerto, se puede permitir una dirección IP y un número de puerto determinados. En este ejemplo, el servidor Web al que le interesa acceder está situado en otra máquina, que utiliza el puerto 5000, que se halla detrás del iseries. NAT sólo convertirá la dirección de entrada del puerto 80. Si el tráfico iniciado externamente no coincide exactamente con esta dirección y este número de puerto, NAT no la convertirá. Configuración de ejemplo Capítulo 3. Ejemplos de reglas de paquete 11

18 ###La regla de NAT siguiente ocultará los PC detrás de una dirección pública para que, así, puedan acceder a Internet. ADDRESS pcs IP = THROUGH TYPE = TRUSTED ADDRESS public IP = TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF ###La regla de NAT con correlación de puerto siguiente ocultará la dirección y el número de puerto del servidor Web detrás de una dirección y un número de puerto públicos. Observará que ambas reglas de NAT están ocultas tras una dirección IP común. Esto es aceptable siempre y cuando las direcciones que vaya a ocultar no se solapen. Esta regla de NAT con correlación de puerto sólo permitirá que acceda al sistema el tráfico iniciado externamente del puerto 80. ADDRESS Web250 IP = TYPE = TRUSTED ADDRESS public IP = TYPE = BORDER HIDE Web250:5000 BEHIND Public:80 TIMEOUT = 16 MAXCON = 64 JRN = OFF ###Los 2 filtros siguientes, junto con la sentencia HIDE, permitirán que el tráfico de entrada que vaya destinado a la red privada llegue hasta NAT y que el tráfico de salida llegue a Internet. No obstante, NAT sólo permitirá que entre en el servidor el tráfico iniciado externamente del puerto 80. No convertirá el tráfico iniciado externamente que no coincida con la regla de NAT con correlación de puerto. FILTER SET external_rules ACTION = PERMIT DIRECTION = INBOUND SRCADDR= * DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF FILTER SET external_rules ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = * DSTADDR = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE JRN = OFF ###La sentencia siguiente enlaza (asocia) el conjunto de filtros "external_rules" con la interfaz física correcta. FILTER_INTERFACE LINE = TRNLINE SET = external_rules ### ESTA COMPILACIÓN DENIEGA DE MANERA AUTOMÁTICA CUALQUIER TRÁFICO QUE NO ESTÉ PERMITIDO DE FORMA ESPECÍFICA. Ejemplo: ocultar las direcciones IP (NAT de enmascaramiento) Situación Usted tiene una pequeña empresa que desea montar el servicio HTTP en el iseries. Va a permitir a sus empleados que realicen búsquedas en Internet, pero no va a permitir que se produzca un inicio externo de tráfico en la red. Ha pedido un modelo 170e con una tarjeta Ethernet. Tiene tres PC. El suministrador de servicios Internet (ISP) le proporciona una conexión DSL y un módem DSL. También le ha asignado las direcciones IP siguientes: y Todos los PC tienen una dirección x. Desea ocultar todas las direcciones de los PC detrás de una de las direcciones del iseries que le ha proporcionado el ISP. Si tiene muchos PC que ocultar, podría ocultar la mitad de ellos detrás de una dirección y la otra mitad detrás de la dirección proporcionada por el ISP. Qué debe hacer? 12 iseries: Seguridad de la red Reglas de paquete

19 Internet Ocultar = HIDE01 ( ) Línea DSL= PUBIP01 ( ) Ethernet (AS/400IP1) Servicios TCP/IP Red privada PC PC PC RZAJB502-0 Solución Oculte un rango de direcciones de PC detrás de la dirección HIDE01. Podría ejecutar los servicios TCP/IP desde la dirección La función de NAT de rango (que oculta un rango de direcciones internas) protegerá los PC contra las comunicaciones que se inicien desde fuera de la red. Recuerde que para que comience la función de NAT de rango, el tráfico debe iniciarse internamente. Sin embargo, la función de NAT de rango no protegerá la interfaz de iseries. Será necesario filtrar el tráfico para proteger el iseries contra la recepción de información sin convertir. Configuración de ejemplo ADDRESS pcs IP = THROUGH TYPE = TRUSTED ADDRESS public IP = TYPE = BORDER HIDE pcs BEHIND public TIMEOUT =16 MAXCON=64 JRN = OFF Capítulo 3. Ejemplos de reglas de paquete 13

20 14 iseries: Seguridad de la red Reglas de paquete

21 Capítulo 4. Conceptos de reglas de paquete Las reglas de paquete comprenden la conversión de direcciones de red (NAT) y los filtros de protocolo de Internet (IP). Estos dos componentes tienen lugar en la capa IP del protocolo TCP/IP. Ayudan a proteger el sistema contra los riesgos potenciales asociados al tráfico TCP/IP. La seguridad IP abarca las reglas de paquete e IPSec (V4R4-V5R1). En este tema de Information Center sólo se describe NAT y los filtros. Si desea obtener más información sobre VPN, consulte iseries Red privada virtual (VPN) en Information Center. En los enlaces que figuran más abajo se da la descripción de cada uno de los componentes que forman las reglas de paquete. También existe un enlace que lleva a un diccionario que sirve de ayuda para aclarar algunos de los términos específicos de iseries que se utilizan en este tema. v Términos de reglas de paquete v Conversión de direcciones de red (NAT) v Filtros IP v Organizar las reglas de NAT con reglas de filtro IP v Organizar varias reglas de filtro IP Términos de reglas de paquete En la lista que figura a continuación se definen los términos específicos de iseries utilizados en este tema sobre NAT y filtros de Information Center. Frontera o dirección de tipo BORDER Es una dirección pública que hace de frontera entre una red de confianza y otra que no lo es. Con este término se describe la dirección IP como si se tratase de una interfaz real en el iseries. El sistema necesita saber cuál es el tipo de dirección que se define. Por ejemplo, la dirección IP del PC es de confianza, pero la dirección IP pública del servidor es la frontera. Cortafuegos Es una barrera lógica que rodea a los sistemas de una red. Consta de hardware, de software y de una política de seguridad que controla el acceso y el flujo de información entre los sistemas seguros o de confianza y los que no lo son. MAXCON Es el número máximo de conversaciones que pueden estar activas a la vez. El sistema pide que se defina este número cuando se configuran las reglas de enmascaramiento de NAT. El valor por omisión es 128. Maxcon sólo es pertinente para las reglas de NAT de enmascaramiento. Conversación de NAT Es una relación existente entre cualquiera de las direcciones IP y los números de puerto siguientes: v Dirección IP de origen y número de puerto de origen privados (sin NAT) v Dirección IP de origen (NAT) pública y número de puerto de origen (NAT) público v Dirección IP y número de puerto de destino (una red externa) TIMEOUT (tiempo de espera) Controla el tiempo que puede durar una conversación. Si se establece un tiempo de espera demasiado corto, la conversación se detiene con excesiva rapidez. El valor por omisión es 16. Copyright IBM Corp. 2000,

22 Conversión de direcciones de red (NAT) Las direcciones IP se están agotando con rapidez debido al amplio crecimiento de Internet. Las organizaciones utilizan redes privadas, lo que les permite seleccionar las direcciones IP que deseen. Sin embargo, si dos empresas tienen direcciones IP duplicadas, tendrán problemas. Para poder comunicarse en Internet, se debe tener una dirección exclusiva y registrada. La conversión de direcciones de red (NAT) permite acceder a Internet de una forma segura y sin tener que cambiar las direcciones IP de la red. Como su nombre indica, NAT es un mecanismo que convierte una dirección IP en otra. Las reglas de paquete contienen tres métodos de NAT. Normalmente se utiliza NAT para correlacionar direcciones (NAT estática) u ocultar direcciones (NAT de enmascaramiento). En los enlaces siguientes hallará información más detallada sobre las diversas formas de NAT: v Función de NAT estática (de correlación) v Función de NAT de enmascaramiento (de ocultación) v Función de NAT de enmascaramiento u ocultación (de correlación de puerto) Gracias a la ocultación o a la correlación de las direcciones, NAT resuelve los diversos problemas que éstas plantean. En los ejemplos que se dan a continuación se explican varios problemas que puede resolver NAT. Ejemplo 1: ocultar las direcciones IP internas a la vista de los demás Va a configurar un iseries como servidor Web público. Sin embargo, no desea que las redes externas sepan cuáles son las direcciones IP internas reales del servidor. Puede crear reglas de NAT que conviertan las direcciones privadas en direcciones públicas que tengan acceso a Internet. En este caso, la dirección verdadera del servidor queda oculta, lo que hace que el servidor resulte menos vulnerable a un ataque. Ejemplo 2: convertir una dirección IP de un sistema principal interno en una dirección IP diferente Desea que las direcciones IP privadas de la red interna se comuniquen con sistemas principales de Internet. Para disponerlo así, puede convertir la dirección IP de un sistema principal interno en una dirección IP diferente. Para comunicarse con los sistemas principales de Internet, debe utilizar direcciones IP públicas. Por lo tanto, utilizará NAT para convertir las direcciones IP privadas en direcciones públicas. Con ello se asegura de que el tráfico IP procedente del sistema principal interno se direcciona por Internet. Ejemplo 3: compatibilizar las direcciones IP de dos redes distintas Desea permitir que un sistema principal de otra red, como por ejemplo la de una empresa suministradora, se comunique con un sistema principal concreto de la red interna. Sin embargo, ambas redes utilizan direcciones privadas (10.x.x.x), lo que plantea un posible conflicto de direcciones a la hora de direccionar el tráfico entre ambos sistemas principales. Para evitarlo, puede utilizar NAT para convertir la dirección del sistema principal interno en una dirección IP distinta. Función de NAT estática (de correlación) NAT estática o de correlación es una correspondencia biunívoca entre direcciones IP privadas y direcciones IP públicas. Permite correlacionar una dirección IP de la red interna con una dirección IP que se desea hacer pública. La función de NAT estática permite que las comunicaciones se inicien desde la red interna o desde una red externa, como por ejemplo Internet. Resulta especialmente útil si dentro de la red interna hay un servidor al que desea permitir el acceso de usuarios públicos. En este caso, le interesa crear una regla de NAT que correlacione la dirección real del servidor con una dirección pública. Ésta pasará a ser 16 iseries: Seguridad de la red Reglas de paquete

23 información externa. Con ello se garantiza que la información interna permanece fuera del alcance de alguien cuyas intenciones pudieran ser atacar los sistemas. En la lista siguiente se destacan las características de NAT estática: v Correlación biunívoca v El inicio puede tener lugar en la red interna y en la externa v La dirección con la que se establece asociación o correlación puede ser cualquiera v La dirección con la que se establece asociación o correlación ya no puede utilizarse como interfaz IP v No utiliza NAT de número de puerto Atención Proceda con cautela si decide correlacionar un PC con la dirección conocida públicamente del iseries. Esta dirección es la dirección IP que está reservada para la mayor parte del tráfico de Internet e intranet. Si realiza la correlación con esta dirección IP, NAT convertirá todo el tráfico y lo enviará a la dirección privada interna. Dado que esta interfaz estará reservada para NAT, el iseries y la interfaz quedarán inutilizados. En Ejemplo: correlacionar las direcciones IP hallará un caso práctico sacado de la vida real y una ilustración de la función de NAT estática. Función de NAT de enmascaramiento (de ocultación) La función de NAT de enmascaramiento u ocultación permite impedir que el mundo exterior (el que está fuera del iseries) sepa cuál es la dirección real del PC. El tráfico se direcciona del PC al iseries, lo que básicamente convierte al iseries en la pasarela del PC. He aquí como funciona. La función de NAT de enmascaramiento permite convertir varias direcciones IP en una sola dirección IP. Sirve para ocultar una o varias direcciones IP de la red interna detrás de una dirección IP que se desea hacer pública. Ésta es la dirección que se obtiene de la conversión y debe ser una interfaz definida del servidor iseries. Para ser una interfaz definida, debe definirse la dirección pública como dirección BORDER. Ocultar varias direcciones Para ocultar varias direcciones, hay que especificar un rango de direcciones que NAT debe convertir por medio del servidor iseries. El proceso general es el siguiente: 1. La dirección IP convertida sustituye a la dirección IP de origen. Esto sucede en la cabecera IP del paquete IP. 2. El número de puerto de origen IP (si lo hay) que figura en una cabecera TCP o UDP es sustituido por un número de puerto temporal. 3. Una conversación existente es la relación que hay entre la nueva dirección de origen IP y el nuevo número de puerto. 4. La conversación existente permite al servidor de NAT deshacer la conversión de los datagramas IP desde la máquina externa. Para ver cómo es una cabecera de datagrama IP, vaya a Cabecera de paquete IP. Nota: para que NAT funcione correctamente, la dirección resultante de la conversión debe ser de tipo BORDER. Cuando se utiliza la función de NAT de enmascaramiento, el tráfico lo inicia un sistema interno. Cuando esto sucede, NAT convierte el datagrama IP a medida que pasa por el servidor de NAT de iseries. La función de NAT de enmascaramiento es una magnífica opción porque los sistemas principales externos Capítulo 4. Conceptos de reglas de paquete 17

24 no pueden iniciar tráfico hacia la red. Como resultado, la red gana en protección contra un ataque del exterior. Asimismo, sólo es necesario comprar una única dirección IP pública para varios usuarios internos. En la lista siguiente se destacan las características de NAT de enmascaramiento: v La dirección IP privada o el rango de direcciones IP están vinculados detrás de una dirección IP pública en la máquina de NAT v El inicio sólo puede tener lugar en la red interna v Los números de puerto se asocian con números de puerto aleatorios. Esto significa que tanto la dirección como el número de puerto están ocultos a la vista de Internet. v La dirección registrada que consta en la máquina de NAT puede utilizarse como interfaz fuera de NAT Atención v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al número de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendrá dos conversaciones activas. En este caso, será necesario establecer MAXCON de manera que dé cabida a varias conversaciones para cada PC. Habrá que decidir cuántas conversaciones concurrentes interesa permitir en la red. El valor por omisión es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la función de NAT de ocultación funcione correctamente, debe haber una conversación interna en curso. El valor de TIMEOUT indica al código cuánto debe esperar a que se produzca una respuesta a esta conversación interna. El valor por omisión es 16. v La función de NAT de enmascaramiento sólo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvío IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvío de datagramas IP está establecido en YES. Consulte el caso práctico y la ilustración presentados en Ocultar las direcciones IP (NAT de enmascaramiento), donde hallará un ejemplo de NAT de enmascaramiento u ocultación. Función de NAT de enmascaramiento (de correlación de puerto) La función de NAT con correlación de puerto es una variante de NAT de enmascaramiento u ocultación. Cuál es la diferencia? En la primera se puede especificar tanto la dirección IP como el número de puerto que se ha de convertir. Esto permite al PC interno yalamáquina externa iniciar el tráfico IP. Esto sirve en el caso de que la máquina externa (o cliente) desee acceder a máquinas o servidores que están dentro de una red. Sólo tendrá acceso el tráfico IP que coincida con la dirección IP y el número de puerto. He aquí como funciona: Inicio interno En el momento en que el PC interno que tiene la Dirección 1: Puerto 1 inicia el tráfico hacia una máquina externa, el código de conversión comprobará si en el archivo de reglas de NAT figura la Dirección 1: Puerto 1. Si la dirección IP de origen (Dirección 1) y el número de puerto de origen (Puerto 1) coinciden con la regla de NAT, NAT da comienzo a la conversación y lleva a cabo la conversión. Los valores especificados en la regla de NAT sustituyen a la dirección IP de origen y al número de puerto de origen. La Dirección 1: Puerto 1 es sustituida por la Dirección 2: Puerto 2. Inicio externo Una máquina externa inicia el tráfico IP utilizando la Dirección 2 como dirección IP de destino. El número de puerto de destino es el Puerto 2. El servidor de NAT deshará la conversión del datagrama con o sin una conversación existente. Dicho de otra manera, NAT creará de forma automática una conversación si no existe una todavía. La Dirección 2: Puerto 2 pasa a ser la Dirección 1: Puerto iseries: Seguridad de la red Reglas de paquete

25 En la lista siguiente se destacan las características de NAT de enmascaramiento con correlación de puerto : v Relación biunívoca v El inicio puede tener lugar en la red interna y en la externa v v v La dirección registrada tras la que nos ocultamos debe estar definida en el iseries que realiza las operaciones de NAT. La dirección registrada puede utilizarse para el tráfico IP fuera de las operaciones de NAT. No obstante, si esta dirección intenta utilizar un número de puerto que coincide con el puerto oculto de la regla de NAT, el tráfico se convertirá. La interfaz quedará inutilizada. Normalmente los números de puerto se correlacionan con números de puerto conocidos públicamente, por lo que no se necesita información adicional. Por ejemplo, puede ejecutar un servidor HTTP enlazado al puerto 5123 y, a continuación, ejecutar éste con la dirección IP pública y el puerto 80. En caso contrario, si desea ocultar un número de puerto interno detrás de otro número de puerto (no común), es necesario indicar físicamente al cliente cuál es el valor del número de puerto de destino. Si no, es difícil que la comunicación tenga lugar. Atención v El valor de MAXCON debe ser lo suficientemente alto para dar cabida al número de conversaciones que se desea utilizar. Por ejemplo, si se utiliza FTP, el PC tendrá dos conversaciones activas. Será necesario establecer MAXCON de manera que dé cabida a varias conversaciones para cada PC. El valor por omisión es 128. v El valor de TIMEOUT (una sentencia de regla HIDE) debe ser lo suficientemente alto para dar tiempo a que finalicen las conversaciones entre los PC. Para que la función de NAT de ocultación funcione correctamente, debe haber una conversación interna en curso. El valor de TIMEOUT indica al código cuánto debe esperar a que se produzca una respuesta a esta conversación interna. El valor por omisión es 16. v La función de NAT de enmascaramiento sólo da soporte a los protocolos siguientes: TCP, UDP e ICMP. v Siempre que utilice NAT, debe habilitar el reenvío IP. Utilice el mandato CHGTCPA (Cambiar atributos TCP/IP) para verificar que el reenvío de datagramas IP está establecido en YES. Filtros IP En su calidad de segundo componente de las reglas de paquete, los filtros de paquete permiten controlar la clase de tráfico IP que está permitido en la red. Aunque las reglas de paquete de iseries en sí no son un cortafuegos totalmente funcional, proporcionan un sólido componente que puede filtrar los paquetes para el iseries. Puede utilizar este componente de filtros de paquetes IP para proteger el sistema. La manera en que el componente de filtros IP protege el sistema es filtrando los paquetes en función de la reglas que usted defina. Las reglas se basan en la información de cabecera de paquete. Estas reglas de filtro se pueden aplicar a varias líneas; también se pueden aplicar varias reglas a una misma línea. Las reglas de filtro están asociadas con líneas, por ejemplo de Token-Ring (trnline), y no con interfaces lógicas ni direcciones IP. El sistema coteja cada paquete con cada una de las reglas asociadas con una línea. El proceso de cotejo con las reglas es secuencial. Una vez que el sistema encuentra una coincidencia del paquete con una regla, detiene el proceso y aplica la regla coincidente. Cuando el sistema aplica la regla coincidente, en realidad lleva a cabo la acción que especifica la regla. El iseries da soporte a 3 acciones (V4R4 y siguientes): 1. permit permite que el datagrama continúe 2. deny descarta el datagrama 3. IPSec envía el datagrama mediante una conexión de VPN (que se indica en la regla de filtro) Capítulo 4. Conceptos de reglas de paquete 19

26 Nota: en este caso, IPSec es una acción que se puede definir en las reglas de filtro. Aunque en este tema dedicado a las reglas de paquete no se habla de IPSec, es importante destacar que los filtros y la red privada virtual (VPN) están estrechamente relacionados a la hora de definir filtros. Si desea obtener más información sobre VPN, consulte iseries Red privada virtual (VPN). Una vez aplicada la regla, el sistema reanuda la comparación secuencial de reglas y paquetes y asigna acciones a todas las reglas correspondientes. Si no encuentra una regla coincidente para un paquete concreto, el sistema lo descarta de forma automática. La regla de denegación por omisión del sistema garantiza que el sistema descartará de manera automática cualquier paquete que no coincida con una regla de filtro. Cabecera de paquete IP Se pueden crear reglas de filtro que hagan referencia a las diversas partes de las cabeceras IP, TCP, UDP e ICMP. En la lista siguiente se incluyen los campos a los que se hace referencia en una regla de filtro: v Dirección IP de origen v Protocolo (por ejemplo, TCP, UDP) v Dirección IP de destino v Puerto de origen v Puerto de destino v Sentido del datagrama IP (de entrada, de salida o ambos) v Bit SYN TCP Por ejemplo, puede crear y activar una regla que filtre un paquete tomando como base la dirección IP de destino, la de origen y el sentido (de entrada). En este caso, el sistema empareja todos los paquetes de entrada (en función de las direcciones de origen y de destino) con las reglas correspondientes. A continuación, emprende la acción especificada en la regla. Descartará cualquier paquete que no esté permitido en las reglas de filtro. Esta actuación recibe el nombre de regla de denegación por omisión. Nota: el sistema aplica la regla de denegación por omisión a los datagramas sólo si la interfaz física tiene activa por lo menos una regla. Esta regla puede ser definida por el cliente o generada por Operations Navigator. Si en la interfaz física no existe una regla de filtro activa, la regla de denegación por omisión no funcionará. Organizar las reglas de NAT con reglas de filtro IP NAT y filtros funcionan de manera independiente. A pesar de ello, es posible utilizar NAT junto con filtros IP. Si opta por aplicar sólo reglas de NAT, el sistema efectuará únicamente la conversión de direcciones. Si aplica ambos tipos de reglas, el sistema convertirá y filtrará las direcciones. Cuando se utiliza NAT y filtros juntos, ambos actúan siguiendo un orden concreto. En el caso del tráfico de entrada, primero se procesan las reglas de NAT. En el caso del tráfico de salida, primero se procesan las reglas de filtro. Tal vez le interese estudiar la posibilidad de utilizar archivos aparte para crear las reglas de NAT y las de filtro. Aunque no es necesario, con ello se simplifica la lectura y la resolución de problemas de las reglas. De cualquier manera (tanto si las reglas están en un mismo archivo como en archivos aparte), se reciben los mismos errores. Si decide utilizar archivos aparte para las reglas de NAT y las de filtro, igualmente podrá activar ambos conjuntos de reglas. Asegúrese de que las reglas no se estorban entre sí. Para activar a la vez las reglas de NAT y las de filtro, es necesario utilizar la función de inclusión. Supongamos, por ejemplo, que ha creado el Archivo A para las reglas de filtro y el Archivo B para las reglas de NAT. Puede incluir el contenido del Archivo B en el Archivo A sin reescribir todas las reglas. En Incluir archivos en las reglas de paquete hallará más información. 20 iseries: Seguridad de la red Reglas de paquete

27 Organizar varias reglas de filtro IP Al crear reglas de filtro, un filtro hace referencia a una sentencia de regla. Un conjunto hace referencia a un grupo de filtros. Los filtros, dentro de un conjunto, se procesan en orden físico de arriba abajo. De igual modo, varios conjuntos se procesan en orden físico dentro de una sentencia FILTER_INTERFACE. A continuación figura un ejemplo en el que un conjunto contiene tres sentencias de filtro. Cada vez que se haga referencia a este conjunto, se incluirán las tres reglas. Normalmente es más sencillo incluir todas las reglas de filtro en un conjunto. FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR % = * PROTOCOL = TCP/STARTING DSTPORT = * SRCPORT = * FRAGMENTS % = HEADERS JRN = FULL FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR % = * PROTOCOL = TCP DSTPORT = * SRCPORT = * FRAGMENTS = NONE % JRN = OFF FILTER SET all ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR % = * PROTOCOL = ICMP TYPE = * CODE = * FRAGMENTS = NONE JRN % = OFF FILTER_INTERFACE LINE = ETHLINE SET = all ###Línea Ethernet ETHLINE Al utilizar reglas de IPSec, es importante agrupar las reglas de filtro en tres conjuntos como mínimo: preipsec, IPSec y otro. El conjunto preipsec contiene todas las reglas que tienen lugar antes de que se pueda producir VPN. El conjunto IPSec contiene todas las reglas de VPN y el otro conjunto contiene todos los filtros varios (de permiso y denegación). Esto le permite ahorrarse mucho tiempo y evitarse todos los problemas que pueden surgir cuando sus filtros se fusionan con las reglas generadas por Operations Navigator. Una vez más, esto sólo es válido al utilizar las reglas de filtro de IPSec. A continuación figura un ejemplo de cómo se utilizan tres conjuntos distintos. FILTER_INTERFACE LINE = ETHLINE SET = preipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = ipsec_rules FILTER_INTERFACE LINE = ETHLINE SET = other_rules ###Línea Ethernet ETHLINE Capítulo 4. Conceptos de reglas de paquete 21

28 22 iseries: Seguridad de la red Reglas de paquete

29 Capítulo 5. Planificar las reglas de paquete Constituyen NAT y los filtros IP una protección suficiente? Para responder a esta pregunta, debe trazar un plan de seguridad y conocer cuáles son los riesgos de seguridad. En el plan debe detallarse lo siguiente: v La configuración de la red v Qué recursos desea proteger v Contra qué y contra quiénes desea proteger los recursos Qué debo saber sobre la seguridad en Internet? Una vez sepa contra qué y contra quiénes desea proteger los recursos, debe estudiar las diferentes opciones de seguridad. En los temas indicados a continuación, hallará más información sobre los riesgos de seguridad en Internet y las soluciones de seguridad de iseries, información que le servirá de ayuda a la hora de elaborar un plan de seguridad: v Conectarse a Internet v Las reglas de paquete frente a otras soluciones de seguridad Cómo se elabora un plan? El proceso de planificación permite acotar las necesidades de seguridad. Si se decide a utilizar las reglas de paquete para proteger el iseries, lleve a cabo las tareas siguientes con el fin de elaborar un plan de configuración de la seguridad de paquete: v Dibuje una representación de la red y las conexiones v v v Especifique cuáles son los direccionadores y las direcciones IP que va a utilizar Elabore una lista de reglas que desee utilizar para controlar el tráfico TCP/IP que pasa por los sistemas. Necesitará esta lista a modo de ayuda para configurar las reglas de filtro de paquete IP. En cada una de las reglas de la lista se debe describir los aspectos siguientes del flujo del tráfico TCP/IP: el tipo de servicio que desea permitir o denegar (por ejemplo, HTTP, FTP, etc.) el número de puerto conocido públicamente correspondiente a dicho servicio el sentido en el que circula el tráfico si el tráfico es de respuesta o de inicio las direcciones IP del tráfico (origen y destino) Especifique cuáles son las direcciones IP que desea correlacionar con otras o bien ocultar detrás de otras. (Esta lista es necesaria sólo si se decide que es necesario utilizar la conversión de direcciones de red). Una vez trazado el plan de seguridad, puede crear y activar las reglas de paquete. Las reglas de paquete frente a otras soluciones de seguridad El iseries tiene integrados diversos componentes de seguridad que pueden proteger el sistema contra varios tipos de riesgos. En función de cómo utilice el servidor iseries, puede que necesite medidas adicionales de seguridad. NAT y los filtros IP permiten proteger el sistema de forma económica. En algunos casos, estos componentes de seguridad pueden proporcionar todo lo necesario sin tener que efectuar desembolsos adicionales. Sin embargo, la seguridad del sistema debe ser más importante que los costes. En situaciones de alto riesgo, como por ejemplo al intentar proteger un sistema de producción, debe utilizar algo más que únicamente los componentes de seguridad integrados del sistema operativo del iseries. Copyright IBM Corp. 2000,

30 Si es necesario proteger las comunicaciones entre el sistema iseries y otros sistemas, debe explorar otras soluciones de seguridad en Internet de iseries con objeto de ampliar la protección. Debe plantearse varias líneas de defensa. Por ejemplo, podría interesarle utilizar certificados digitales y SSL o Red privada virtual (VPN) para proporcionar comunicaciones seguras. Si tiene previsto conectar el iseries o la red a Internet, debe leer el tema IBM SecureWay : iseries y la Internet. En él hallará amplia información sobre los riesgos y las soluciones que deben tenerse en cuenta a la hora de utilizar Internet. Si desea obtener más información sobre lo que se puede hacer para mejorar la seguridad del iseries, consulte el tema dedicado a consejos y herramientas para proteger el iseries. 24 iseries: Seguridad de la red Reglas de paquete

31 Capítulo 6. Configurar las reglas de paquete Para crear y aplicar reglas de NAT y de filtro de paquete IP, realice las tareas que figuran en esta lista de comprobación: 1. Examine los requisitos del sistema para las reglas de paquete. 2. Utilice Operations Navigator para acceder a las reglas de paquete. 3. Defina direcciones y servicios con el fin de crear apodos para aquellas direcciones y aquellos servicios para los que tiene previsto crear varias reglas. Deberá definir direcciones si desea crear reglas de NAT. 4. Ponga comentarios en las reglas a medida que las vaya creando. 5. Cree reglas de NAT. Lleve a cabo esta tarea sólo si tiene previsto utilizar NAT. 6. Cree reglas de filtro. 7. Incluya los archivos adicionales que desee añadir al nuevo archivo de reglas. Lleve a cabo esta tarea sólo si tiene archivos de reglas que desee reutilizar en este archivo. 8. Defina las interfaces a las que desea aplicar las reglas. 9. Verifique los archivos de reglas con el fin de asegurarse de que no contienen errores. 10. Guarde el archivo de reglas y actívelo. Para asegurarse de que las reglas de filtro funcionan como esperaba, debe repasar periódicamente los diarios de seguridad de paquete. De esta manera, podrá identificar las pautas de paquetes denegados, que podrían ser indicación de posibles intentos de ataque. Una vez repasado el resultado del registro por diario, tal vez sea necesario cambiar las reglas. Si las necesidades de seguridad cambian, debe editar los archivos de reglas con el fin de modificar la manera en que el sistema maneja el tráfico TCP/IP. También puede ser necesario realizar otras tareas de mantenimiento de la seguridad del sistema. Para garantizar la seguridad del iseries, los métodos de administración de NAT y filtros IP deben utilizarse con eficiencia y eficacia. Requisitos del sistema para las reglas de paquete Las reglas de paquete son una parte integrante del sistema operativo del iseries desde la versión V4R3 hasta la V5R1. En la versión V5R1, la seguridad IP incluye las reglas de paquete e IPSec. En Operations Navigator, las reglas de paquete están formadas por NAT y filtros IP. En este tema de Information Center sólo se describe NAT y los filtros. Si desea obtener más información sobre VPN, consulte iseries Red privada virtual (VPN) en Information Center. Antes de proceder a configurar e iniciar las reglas de paquete, debe tener como mínimo la versión V4R3 de OS/400. Además, debe cumplir los requisitos siguientes: 1. Instalar el programa TCP/IP (5769-TC1) 2. Instalar Operations Navigator Una vez cumplidos estos requisitos, debe planificar las necesidades de reglas de paquete antes de configurar cualquier regla de paquete. Nota: si no entiende algún concepto sobre TCP/IP, redes o direcciones IP, consulte TCP/IP Tutorial and Technical Overview y V4 TCP/IP for AS/400: More Cool Things Than Ever en el tema Libros rojos de Information Center. Acceder a las funciones de reglas de paquete A las reglas de paquete de iseries se accede a través de Operations Navigator, la interfaz gráfica que permite trabajar con los recursos de iseries. Copyright IBM Corp. 2000,