Para una completa explicación de las capacidades de ipchains ver el IPCHAINS- HOWTO que viene incluido en la documentación del paquete.

Transcripción

1 INTRODUCCIÓN Cuando utilizas un sistema Linux apra conectar tu red local a Internet, tienes la posibilidad de permitir o no cierto tipo de tráfico. Las cabeceras de los paquetes IP contienen información sobre el destino (de forma que se puede prevenir el acceso a ciertos sitios de internet), el origen (se pueden evitar conexiones desde sitios concretos de Internet). Otra información que se obtiene de las cabeceras es el protocolo utilizado (ICMP, UDP, TCP) y el puerto. Normalmente los protocolos de alto nivel utilizan para sus conexiones puertos determinados (también llamados well known sockets). De esa forma, la mayor parte de las peticiones de documentos html se harán a destinos de Internet por el puerto 80, el envío de correo se hará por el puerto 25, o las conexiones vía telnet se harán usando el puerto 23. Para más información echa un vistazo en /etc/services. Mediante el programa ipchains, se puede filtrar el tráfico por una gran variedad de criterios, mediante reglas (algo así como sentencias si condición entonces acción). Las reglas se integran en tres grupos diferenciados, reglas de entrada (para paquetes que llegan al router), reglas de encaminamiento (decisión sobre encaminar paquetes o no), y reglas de salida (paquetes que salen del router por algún interfaz). Este programa es tan versátil que nos permite indicar en cada regla, la cadena (entrada, encaminamiento, salida) el protocolo, interfaz, direcciónes de origen y destino, y el puerto utilizado en la conexión, así como la acción a tomar (denegar, rechazar, aceptar o aceptar y enmascarar) caso que determinado paquete cumpla la regla. Para una completa explicación de las capacidades de ipchains ver el IPCHAINS- HOWTO que viene incluido en la documentación del paquete.

2 SEGURIDAD EN LINUX Enmascaramiento (masquerading), cortafuegos (firewall) y Kerberos constituyen los fundamentos de una red segura en la que el tráfico de datos se encuentra bajo control. La SSH, (Secure Shell), ofrece al usuario la oportunidad de realizar una conexión codificada con un ordenador remoto. redes de Linux se están volviendo más y más común, pero la seguridad es a menudo un problema pasa por alto. Por desgracia, en el entorno actual de todas las redes son objetivos potenciales de piratas informáticos, de redes de investigación de alto secreto militar para redes LAN pequeña casa. Linux Red de Seguridad se centra en la obtención de Linux en un entorno de red, donde la seguridad de toda la red debe tenerse en cuenta no sólo las máquinas aisladas. Utiliza una mezcla de teoría y técnicas prácticas para enseñar a los administradores cómo instalar y utilizar aplicaciones de seguridad, así como la forma de trabajo de las aplicaciones y por qué son necesarios. A partir de la necesidad de seguridad y la comprensión del problema, el libro enseña a los administradores acerca de filtrado de paquetes (firewalls) con iptables, endurecimiento de servicios como Apache, BIND, Sendmail, FTP y MySQL para prevenir los ataques, el análisis de redes, criptografía, seguridad local, Ataques de denegación, y los rootkits. CORTAFUEGOS Y ENMASCARAMIENTO Para poder construir un cortafuegos IP con Linux, es necesario disponer de un nucleo compilado con soporte de cortafuegos de IP y de la utilidad de configuracion adecuada. En todos los nucleos anteriores a la serie 2.2 se usaba la utilidad ipfwadm. Los nucleos 2.2.x supusieron el lanzamiento de la tercera generacion de cortafuegos de IP para Linux que se denominio 'IP Caías'. 'IP Caín' utiliza un programa similar a ipfwadm que se llama ipchains. Los nucleos de Linux y siguientes soportan la cuarta generación de cortafuegos de IP de Linux que se denomina netfilter. El código de netfilter es el resultado de un gran rediseño del flujo en el manejo de paquetes en Linux. Netfilter es una criatura con múltiples caras, pues proporciona un soporte compatible hacia atrás tanto con ipfwadm como con ipchains además de una nueva orden alternativa que se llama iptables. Son muchas las empresas que no pueden controlar el tráfico de su red corporativa y fruto de ello se producen continuos abusos en el uso de los recursos dentro de horario laboral, lo que se traduce en una perdida de productividad muy elevada. No hace falta recordar que España está a la cabeza de la baja productividad en Europa. No se trata de bloquear con un cortafuegos de forma indiscriminada, desde mi punto de vista se trata en primer lugar de asegurar la red de una forma más eficaz para evitar 2

3 ataques e infecciones y en segundo lugar solo para compañías donde hay mucha gente trabajando para limitar el acceso total o en rangos horarios a determinados sitios. Aunque lo mejor es notificar que se puede hacer y que no, ya que ya somos todos mayorcitos para saber como tenemos que trabajar. Ante la falta de respuesta o la indiferencia siempre nos quedarán los cortafuegos con duras reglas de filtrado. Por ejemplo en nuestro caso no está permitido el uso de software P2P, las descargas no autorizadas, la instalación de software sin autorización de informática, el uso de mensajería instantánea (hay excepciones), y poco más. Ya que nunca hemos tenido problemas por un abuso de Internet en el trabajo. A lo que vamos, para montar un cortafuegos con Linux tenemos muchas soluciones de seguridad realmente útiles y relativamente sencillas de montar. En lugar de comprar un caro hardware que al final quedará obsoleto, tenemos que buscar un equipo antiguo que no utilizemos para montar Linux y convertirlo en un más que potente firewall corporativo. Estas son las opciones que Firewall debería tener para garantizar la seguridad y control de tu red en el hogar, empresa o colegio/universidad:. Cortafuegos con inspección de estados.. Soporte antivirus HTTP y FTP.. Filtro de Contenido Web.. Soporte para antivirus POP3,SMTP, Anti-Phishing y Antispam.. Servidor DHCP, para asignación automática de Ips. A mi me gusta también poder definir que IP tiene cada equipo, si se puede hacer por la MAC del equipo mejor que mejor.. Servidor NTP, para mantener el horario sincronizado al mundo.. Sistema de detección de Intrusos. Realmente importante en la seguridad de tu red.. Soporte para router ADSL.. Creación de VPN de forma sencilla y rápida.. Que disponga de una interfaz gráfica para simplificar nuestra lucha diaria con las configuraciones. El enmascaramiento es similar al concepto de una a muchas, si una máquina conectada al Internet está usando Linux (usando cualquier método: ppp, ethernet, etc), el enmascaramiento hace que una máquina desde una red interna (también conectada con cualquier método) pueda tener acceso a Internet; y esto se logra sin que la máquina interna tenga un IP definido para Internet. El enmascaramiento (MASQ) hace que las máquinas internas permanezcan invisibles en Internet, así el trafico saliente solo tendrá una IP, que será el de la máquina que está sirviendo como gateway (enmascarando), esto logra que la seguridad sea más eficiente pues además de esta excelente característica, también podemos poner un firewall lo que hace más robusto el sistema de seguridad. Masquerading es la adaptación a Linux de NAT (Network Address Translation), la traducción de direcciones de red. El principio en el que se sustenta es bastante sencillo: Su enrutador tiene más de una interfaz de red, que por regla general suelen ser una tarjeta de red y un módem (o una interfaz RDSI). Vd. se conecta con el exterior por 3

4 medio de una de estas interfaces; otra u otras conectan su ordenador con otros ordenadores en su misma red. Por ejemplo, se debe conectar al exterior vía RDSI y la interfaz de red exterior es ippp0. Vd. tiene más de un ordenador en la red local conectados con la tarjeta de red de su enrutador Linux, que en este ejemplo es eth0. Los ordenadores de la red reenvían todos los paquetes que no son para la propia red al enrutador o pasarela predeterminados. FILTRADO DE PAQUETES En Linux, el filtrado de paquetes está programado en el núcleo (como módulo o como componente estático), y hay algunas cosas curiosas que podemos hacer con los paquetes, pero aún sigue ahí el principio general de mirar las cabeceras para decidir la suerte del paquete. El filtrado nos ofrece en Linux un Control. Seguridad. Vigilancia. Control: Cuando está usando una máquina Linux para conectar su red interna a otra (por ejemplo, Internet), tiene la oportunidad de permitir ciertos tipos de tráfico, y restringir otros. Por ejemplo, la cabecera de un paquete contiene la dirección de destino del paquete, de manera que puede evitar que salgan los que van a cierto sitio fuera de la red. Otro ejemplo: yo uso le Netscape para acceder a los archivos de Dilbert. Hay anuncios de doubleclick.net en la página, y Netscape malgasta mi tiempo bajándoselos alegremente. Diciéndole a mi filtro de paquetes que no permita que ningún paquete vaya de o hacia las direcciones de doubleclick.net resuelve el problema (hay mejores maneras de hacer esto, sin embargo: vea el Junkbuster). Seguridad: Cuando su máquina Linux es lo único entre el caos de Internet y su bonita y ordenada red, es bueno saber que puede restringir lo que llega aporreando su puerta. Por ejemplo, podríamos permitir todo lo que salga de la red, pero puede que esté preocupado por el bien conocido «Ping de la Muerte» que puede llegar de gente maliciosa del exterior. En otro ejemplo, podría ser que no quisiera que la gente de fuera pueda hacer telnet a su máquina Linux, incluso aunque todas sus cuentas tengan clave. Quizá quiera (como la mayoría) ser un observador en Internet, y no un servidor (). Simplemente, no quiere dejar que nadie se conecte, haciendo que el filtro de paquetes rechace los paquetes entrantes que se usan para establecer conexiones. Vigilancia: Algunas veces, una máquina mal configurada de la red local puede decidir vomitar paquetes al mundo exterior. Es bueno decirle al filtro de paquetes que le avise si ocurre algo anormal; quizá usted pueda hacer algo al respecto, o puede que sencillamente sea curioso por naturaleza. PROCESO DE FILTRADO EN LINUX Los núcleos de Linux han tenido capacidades de filtrado de paquetes de desde la serie 1.1. La primera generación, basada en el ipfw de BSD, fue adaptada por Alan Cox a finales de Fue mejorada por Jos Vos y otros para Linux 2.0; la herramienta 4

5 «ipfwadm», ejecutada en espacio de usuario, controlaba las reglas de filtrado del núcleo. A mediados de 1998, rehíce en gran medida esa parte del núcleo, con la ayuda de Michael Neuling, e introduje la herramienta «ipchains». Finalmente, a mediados de 1999 hubo otra reescritura del núcleo, y la herramienta de cuarta generación, «iptables», para Linux 2.4. Es en esta iptables en la que se centra este COMO. Neceista un núcelo que contenga la infraestructura netfilter. Netfilter es un área de trabajo general dentro del núcleo, a la que pueden conectarse otras cosas (como el módulo de iptables). Esto significa que necesitará un núcleo o más nuevo, y responder «Y» a CONFIG_NETFILTER en la configuración del núcleo. La herramienta iptables se comunica con el núcleo y le dice qué paquetes filtrar. A menos que sea programador, o muy curioso, es ésta la manera en que controlará el filtrado de paquetes. SUSEFIREWALL2 Susefirewall2 puede configurarse con gran flexibilidad, lo que le hace muy apropiado para la construcción de complejos filtros. Mediante esta solución de filtro de paquetes y por medio de masquerading, un ordenador Linux puede actuar como enrutador para unir una red interna a una única dirección IP visible desde el exterior a través de una línea telefónica o dedicada. El masquerading se lleva a cabo con ayuda de las normas del filtrado de paquetes. Susefirewall2 es un guión que lee las variables establecidas en /etc/sysconfig/susefirewall2 para generar un juego de reglas de iptables. Se definen tres zonas de seguridad, aunque solamente se consideran la primera y la segunda en el siguiente ejemplo de configuración: Zona externa: Debido a que no existe ninguna manera de controlar lo que sucede en la red externa, el host necesita estar protegido de dicha red. En la mayoría de los casos, la red externa es Internet, pero también podría tratarse de otra red insegura, como por ejemplo una red WLAN. Zona interna: Hace referencia a la red privada, en la mayoría de los casos una red LAN. Si los hosts de esta red utilizan direcciones IP de rango privado, habilita la conversión de direcciones de red (NAT), de forma tal que los hosts de la red interna puedan acceder a la red externa. Zona desmilitarizada (DMZ): Mientras que se puede llegar a los hosts que se ubican en esta zona tanto desde la red externa como interna, dichos hosts no pueden acceder a la red interna. Esta configuración puede emplearse para incluir una línea adicional de defensa ante la red interna, debido a que los sistemas DMZ están aislados de la red interna. 5

6 Todo tipo de tráfico de red no permitido de forma expresa por la regla de filtrado se suprime por la acción de las iptables. Por lo tanto, cada una de las interfaces con tráfico de entrada deben ubicarse en una de las tres zonas. Se definen los servicios o protocolos permitidos para cada una de las zonas. La regla que se establezca se aplica solamente a los paquetes procedentes de hosts remotos. Los paquetes generados en la zona local no son capturados por el cortafuegos. La configuración se puede realizar con YaST. También se puede llevar a cabo de forma manual en el archivo /etc/sysconfig/susefirewall2 PROCEDEMIENTOS DE CONFIGURACIÓN En la opción de Centro de Control Yast vemos en el modulo de seguridad y usuarios, el parámetro cortafuegos allí podemos observar los diferentes cambios que se deben tener cuenta para configurar nuestro servicio de seguridad. Figura 1. Figura 1. 6

7 Como primer parámetro nos muestra si queremos activar nuestros cortafuegos o desactivarlo, según sea la necesidad. Figura 2. Figura 2. Otros parámetros a tener en cuenta son los servicios autorizados, allí ingresamos, puertos, IP, que pueden llegar a ser de alto riesgo en nuestro sistema. Figura 3. Figura 3 7

8 La configuración de difusión nos indica el tema a ingresar dentro de la red local mediante paquetes UDP, así mismo de configurar automáticamente los puertos necesarios. Figura 4 Figura 4. Al terminar de configurar con nuestro asistente, de cortafuegos en yast, nos saldrá una tabla resumiendo los detalles configurados, en el sistema, resaltando los ítems mencionados y visitos en las figuras anteriores. Figura 5 Figura 5 8

9 CONCLUCION Uno de los puntos más destacables de este revolucionario sistema operativo radica en la seguridad, ya que con GNU/Linux el usuario podrá prescindir por completo de programas de antivirus. Asimismo, las actualizaciones constantes del sistema permiten que el software esté permanentemente protegido. El utilizar cortafuegos nos da una guía de ventajas importantes en la cotidianidad como, establecer perímetros confiables, proteger intrusiones, el acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet, protección de información privada, permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios, optimización de acceso, identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad, si lo trabajamos en un sistema operativo que realmente nos garantice esta estabilidad lograremos entender de una forma sencilla y aceptable, el sistema. 9