Redes de Computadoras y Cortafuegos con GNU/Linux

Transcripción

1 Redes de Computadoras y Cortafuegos con GNU/Linux Dr. Luis Gerardo de la Fraga Departamento de Computación Cinvestav Correo-e: fraga@cs.cinvestav.mx 13 de noviembre de 2006 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 1/41

2 Contenido 1. Redes usando TCP/IP 2. Redes con el sistema GNU/Linux 3. Configuración de una puerta 4. Consideaciones básicas de seguridad en redes 5. Cortafuegos con iptables 6. Zonas desmilitarizadas y redireccionamiento de servicios. 7. Monitoreo de los archivos de auditoría 8. Hot Spots: autenticación de usuarios para redes inalámbricas 9. Redes virtuales (VPNs) 10. Medición del rendimiento de un cortafuegos Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 2/41

3 Comunicación entre dos computadoras Mensaje Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 3/41

4 Formación de paquetes Fuente Destino Mensaje Fuente: :8750 Destino: : Paquete Servicio WEB, puerto 80 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 4/41

5 Por qué usamos redes de computadoras? Para eficientar el uso de los recursos Para establecer un medio de comunicación Como entretenimiento Debe de haber una justificación para el uso de redes Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 5/41

6 Internet Internet nació en 1969 Se definió el uso del protocolo TCP/IP para el intercambio de paquetes El concepto es switcheo de paquetes, inventado por Paul Baran. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 6/41

7 TCP/IP. El encabezado de IP VER LAR.E Tipo servicio Largo total Identificación band. Compesación fragmento. Dirección IP fuente Dirección IP destino Opciones IP Relleno Datos Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 7/41

8 TCP/IP. El encabezado de TCP Puerto fuente Puerto destino Número de Secuencia Número de acuse Lar.Enc. Reserv. Bits de control Suma de chequeo Ventana Puntero urgente Opciones Relleno Datos Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 8/41

9 Ventajas de usar TCP/IP TCP/IP permite plataformas-entrelazadas o administración de redes. TCP/IP también tiene las siguientes características: Buena recuperación de las fallas Habilidad de añadir redes sin interrumpir los servicios ya existentes. Manejo de alto porcentaje de errores Independencia de la plataforma Bajos gastos indirectos de información. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 9/41

10 Capas TCP/IP Aplicaciones TCP/UDP (Transporte) IP (Red) Interfaz de red (Liga de datos) Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 10/41

11 Fluejo de paquetes en TCP TCP, el Protocolo de Control de Transmisión, provee una entrega fiable del flujo y el servicio de conexión a las aplicaciones 1. Huésped A SYN(ISN) Huésped B 2. Huésped A SYN(ISN+1)/ACK Huésped B 3. Huésped A ACK Huésped B Esto no sucede con los paquetes de UDP, los cuales se consideras no fiables y no intentan corregir los errores ni negociar una conexión antes del envio a un huésped remoto. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 11/41

12 Configuración de una red TCP/IP Dirección IP Máscara de red Número de red Número de huésped.21 Dirección de Red Dirección de Difusión Direcciones IP inválidas son las especificadas en el RFC1918 para diseñar redes privadas o intranets, y son las recomendadas para usarse cuando se experimenta con redes. Estas direcciones son 10..., 172, ,31.. y 192, Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 12/41

13 Seguridad en redes con TCP/IP Podemos bloquear los inicios de conexión Podemos bloquear por direcciones IP y redes Podemos bloquear por servicios Podemos bloquear por protocolo Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 13/41

14 El Problema (1/3) Lab 1 Lab 2 Linux Linux Laboratorio Windows Internet Lab 3 Macintosh Lab 4 Inalámbrica DNS Servidor WEB Servidor de Correo Lab 5 Multimedia Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 14/41

15 El Problema (2/3) En total son unas cincuenta computadoras fijas con unas dos docenas de computadoras que accesan la red inalámbrica. Tenemos que dar servicio acerca de 80 estudiantes de posgrado, 12 investigadores y a varios servidores generales (correo, WEB, nombres, etc.) Y algunos de nuestros estudiantes están trabajando en sus tesis con redes y servicios experimentales (IPv6, p.e), monitoreo de redes y redes inalámbricas. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 15/41

16 El Problema (3/3) En este escenario existen dos preocupaciones básicas: 1. La seguridad y 2. la facilidad de mantenimiento de toda nuestra red. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 16/41

17 Seguridad (1/3) Internet Lab 1 Lab 2 Laboratorio Linux Linux Windows / / /24 Lab 3 Macintosh /24 Lab 4 Inalámbrica / /24 DNS /24 Servidor WEB Servidor de Correo / /24 Lab 5 Multimedia Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 17/41

18 Seguridad (2/3) En la red anterior (IPs registrados para todas las máquinas) nos generan los siguientes problemas: 1. Los estudiantes en su trabajo de tesis se les asigna una computadora propia. Ellos instalaban servidores propios, como chat o música, que consumían todo el ancho de banda de la red. 2. Fallos de los estudiantes al empezar a trabajar en redes TCP/IP (afectan a toda la red). 3. Los ataques provenientes de Internet nos pone en una actitud defensiva. 4. Virus Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 18/41

19 Seguridad (3/3) Lab 1 Lab 2 Laboratorio Linux Linux Windows x/24 Internet Cortafuegos /24 Lab 3 Macintosh Red 4 Inalámbrica x/ /24 DNS /24 Servidor WEB /24 Servidor de Correo Cortafuegos /24 Cortafuegos /24 Red 5 Multimedia x/24 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 19/41

20 Red Militarizada Cortafuegos Etherswitch Cliente4 Internet eth /24 eth /24 Cliente1 Cliente2 Cliente / / /24 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 20/41

21 Interfaces de Red TRASPASO ENTRADA SALIDA eth0 eth1 ENTRADA SALIDA Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 21/41

22 Script para realizar una puerta con IPtables #!/bin/sh PATH=/sbin INTERFAZ_EXT=eth0 IPADDR= REDLOCAL= /24 # # INTERFAZ_INT=eth1 REDINTERNA= /24 # # Limpiamos las reglas actuales # iptables -F iptables -F -t nat # Quitamos cadenas definidas por usuarios iptables -X # # Establecer la política por defecto # Permitir entrada # Denegar el transpaso # Permitir salida # iptables -P INPUT ACCEPT iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT ############################################## # Permitimos la salida a la red interna # iptables -A FORWARD -m state --state NEW,ESTABLISHED \ -i $INTERFAZ_INT -s $REDINTERNA -j ACCEPT # Permitimos que regresen los paquetes asociados # a estas conexiones # iptables -A FORWARD -m state --state ESTABLISHED,RELATED \ -i $INTERFAZ_EXT -s! $REDINTERNA -j ACCEPT # Todo el tráfico interno es enmascarado externamente # iptables -A POSTROUTING -t nat -o $INTERFAZ_EXT -j MASQUERADE Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 23/41

23 Instalación del script 1. #./puerta # /sbin/iptables-save > iptables # cp iptables /etc/sysconfig normalsize 2. Se pueden configurar el script como parte de los servicos de arranque Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 25/41

24 Red Desmilitarizada Etherswitch DNS Internet eth0 eth1 Cortafuegos transparente /24 S. Correo Servidor WEB / /24 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 26/41

25 Reglas en los cortafuegos /1024: : /1024: :80 Internet eth0 eth1 Cortafuegos transparente Servidor WEB /1024: : /1024: :22 TRASPASO /24 ENTRADA SALIDA Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 27/41

26 Solución de Seguridad Zona desmilitarizada Servidor de nombres Ruteador Etherswitch Servidor WEB Servidor de correo Internet Cortafuegos con NAT Cortafuegos con NAT... Cortafuegos con NAT Laboratorio 1 Zona militarizada Laboratorio... Laboratorio 2 n Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 28/41

27 Servidor NOCAT para la red inalámbrica Autenticación Internet Servidor LDAP Cortafuegos Etherswitch eth /24 eth Punto de Acceso DHCP DNS Punto de Acceso M. Kershaw, Linux-Powered Wireless Hot Spots, Linux Journal, 133, Sep Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 29/41

28 Facilidad en el Mantenimiento La administración de muchas máquinas cliente se vuelve fatigosa Se desea que un usuario pueda conectarse desde cualquier máquina (que vea siempre sus mismos archivos). Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 30/41

29 1a. Solución: Compartición del espacio en disco Cortafuegos Etherswitch Servidor NFS Internet eth0 eth /24 Cliente1 Cliente2 Cliente / / /24 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 31/41

30 Problemas con la compartición de disco Solución OK con discos duros pequeños ( < 4 GB ). Con discos más grandes se desperdicia espacio en ellos. Aún se debe instalar paquetes nuevos en todas las máquinas cliente. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 32/41

31 2a. Solución: Arranque en red Etherswitch Cortafuegos Internet eth0 eth Servidor NFS PXE DHCP TFTP /24 Cliente1 Cliente2 Cliente / / /24 Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 33/41

32 Solución que se quiere: Zona desmilitarizada Servidor de nombres Ruteador Etherswitch Servidor WEB Servidor de correo Internet Cortafuegos con NAT Cortafuegos con NAT... Cortafuegos con NAT Laboratorio 1 Zona militarizada Laboratorio 2... Laboratorio n Servidor de AFS Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 34/41

33 Cuántas conexiones soporta un cortafuegos? Opciones: Medir los recursos que consume una conexión Configurar una red para producir un ataque por denegación de servicio Usar una computadora con pocos recursos Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 35/41

34 Por qué AFS? Uso de cache a nivel cliente, el cual evita accesos frecuentes al servidor. Seguridad de envío de password, al usarse kerberos para encriptar el pasword que viaja en la red. Independencia en ruta, al evitarse que cada máquina cliente necesite saber la localización del servidor. Escalabilidad, al permitir transparentemente agregar clientes y servidores sin tener que detener el servicio. Servicio para LAN y WAN, donde la relación número de clientes por servidor puede llegar a ser de 200 clientes a 1. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 36/41

35 Seguridad en Redes El CERT/CC publica que un sitio ideal en seguridad debe contar con: 1. Estar al día en parches 2. Usar cortafuegos 3. Debe monitorearse la red 4. Deben deshabilitarse los servicios y características que no son necesarios 5. Tener un software de antivirus instalado, configurado y actualizado 6. Una poĺıtica para la realización de respaldos 7. Un equipo entrenado y con capacidad de respuesta a incidentes Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 37/41

36 Esquema de un sistema para detección de virus en el correo electrónico Internet Correo entrante Script que usa el escaner de virus Si virus? Cuarentena No Servidor de correo Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 38/41

37 Conclusiones (1/2) 1. Hemos visto una introducción a las redes TCP/IP y porqué son inseguras. 2. Se han expuesto las soluciones implantadas en la red del Departamento de Computación del Cinvestav 2.1 Contar con una red segura. Hemos usando cortafuegos para dividir la red en zonas desmilitarizadas, donde se encuentran nuestros servidores generales, y zonas militarizadas para los laboratorios de estudiantes y laboratorios experimentales. 2.2 Optimizar el uso de recursos. Se ha implantado el arranque en red y la centralización del uso de disco duro. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 39/41

38 Conclusiones (2/2) Para los cortafuegos hemos usado computadoras personales simples, que pueden ser máquinas viejas de baja velocidad, con el sistema operativo GNU/Linux. Nosotros hemos usado la distribución de RedHat. Actualmente usamos el arranque remoto vía PXE en la máquinas cliente con tarjetas madre nuevas y se arranca en CDROM usando Etherboot para las máquinas sin PXE interconstruido. Se usa NFS para centralizar el uso de disco duro. AFS se usará en el futuro. Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 40/41

39 El contenido de esta charla puede obtenerse en fraga/ La página WEB del Departamento de Computación: Dr. Luis Gerardo de la Fraga IEEE CETES 2006 UCC & UV Redes de Computadoras y Cortafuegos con GNU/Linux 41/41