SEGURIDAD INFORMATICA

Transcripción

1 SEGURIDAD INFORMATICA Felipe Andrés Corredor. Esp. Msc. Tel: (8) Ext. 124 Fax: (8) Ext /10/11 TIBETS - Bucaramanga 3/11/11

2 SSH y SCP Problemas asociados con Telnet,ftp,rexec,etc. Estándar ssh. Diferentes implementaciones ssh.

3 Problemas con telnet, ftp, rexec, rsh, rcp *Autenticación basada en contraseña Texto plano Vulnerable a sniffing *Autenticación basada en dirección IP Usa /etc/hosts.equiv o $HOME/.rhosts Vulnerable a suplantación

4 Protocolo SSH *Un programa servidor:sshd *Dos programas clientes:ssh y scp *Elimina la necesidad de telnet,ftp,rexec,rsh,y rcp *Usa cifrado para proteger datos Varios métodos de cifrado Ataques sniffing ya no son prácticos *Usa algoritmos de clave pública para autenticación de máquina

5 *Windows Implementaciones = SSH Communications Security Corp. *Linux:

6 Instalacion de OpenSSL *Fuentes: *Binario: rpm -ivh openssl-0.9.6c-29.rpm dpkg -i openssl-0.9.6c-29.deb apt-get install openssl

7 Instalacion de OpenSSH *Fuentes: *Binario: rpm -ivh openssh-3.0.2p-108.rpm apt-get install openssh-3.0.2p-108.deb

8 Usando ssh *ssh maquina [comando ] *-l:login *-c:cifrador *-p:puerto *$HOME/.ssh/config */etc/ssh/ssh_config

9 Usando scp *scp origen destino scp /ruta_local

10 El servidor sshd *Iniciado por el script /etc/rc.d/sshd *Puerto 22 *Configuración en /etc/ssh/sshd_config *Lee la clave RSA de /etc/ssh/ssh_host_key *Crea una clave de sesión especifica RSA *La clave de sesión es negociada con el cliente *Todas las comunicaciones son cifradas con la clave de sesión

11 Autenticacion de host *Cada Servidor ssh necesita generar un par de claves Clave privada almacenada en /etc/ssh/ssh_host_key Clave publica almacenada en /etc/ssh/ssh_host_key.pub *Durante la primera conexión la clave publica es transferida al cliente El usuario recibe una advertencia La clave publica del servidor es almacenada en $HOME/.ssh/known_hosts *Cuando la opción StrictHostKeyChecking es establecida solo se podrán establecer conexiones a servidores que tengan su clave publica almacenada en /etc/ssh/known_hosts o $HOME/.ssh/known_host.

12 Autenticacion de usuario *.rhost normalmente deshabilitada *.rhost con autenticación DSA *DSA *Password

13 Autenticacion DSA *El usuario genera su par de claves DSA con ssh-keygen Clave privada es almacenada en $HOME/.ssh/identity Clave publica es almacenada en $HOME/.ssh/identity.pub *Puede ser protegida con una contraseña *Transferir la clave publica al servidor y adicionarla en $HOME/.ssh/authorized_keys *El usuario puede ingresar sin contraseña

14 Consideraciones Adicionales *El cliente ssh usa un puerto dinámico *El servidor usa el puerto TCP (22) *En el firewall se deberán establecer las siguientes reglas si se desea permitir conexiones entrantes desde internet #iptables -A INPUT -i eth0 -p tcp sport 1024: d j ACCEPT #iptables -A OUTPUT -i eth0 -p tcp -s dport 1024: j ACCEPT

15 Firewall #iptables -A INPUT -i eth0 -p tcp sport 1024: d j ACCEPT #iptables -A OUTPUT -i eth0 -p tcp -s dport 1024: j ACCEPT Estación #ssh -P Estacion $ssh-keygen -t dsa $cd.ssh $ls -la $cat id_dsa $cat id_dsa.pub Consideraciones Adicionales $scp id_dsa.pub $ssh -l root

16 . ACLARACIÓN DE DUDAS

17 PROXY RFC 2616 *El cliente inicia la conexión al puerto del servidor PROXY El cliente envía la petición al servidor PROXY utilizando la forma normal de HTTP El servidor PROXY hace la conexión con el servidor http a nombre propio Los datos resultado dicha conexión son enviados al cliente inicial

18 Ventajas y Desventajas *Ventajas El servidor PROXY hace la resolución DNS Logging Control de acceso granular (usuario,ip del cliente,ip del servidor,tipo de documento, expresiones regulares,etc.) Servidor PROXY puede hacer cache *Desventajas Solo trabaja para protocolos específicos Generalmente es mas lento que NAT

19 Servidores Proxy para Linux *Apache: Soporta PROXY para http/ftp en un modulo separado Muy útil cuando se quiere combinar servidor de web y PROXY *Squid: PROXY para http,ftp,isp,gopher Muy ajustable *TIS: Varios servidores PROXY para telnet,ftp,gopher

20 Instalacion y Configuracion de SQUID *Cambiar el archivo de configuración en /etc/squid.conf CONFIGURACION DE ACL'S */etc/rc.d/squid start

21 Instalacion y Configuracion de SQUID *http_port 3128 *cache_mem 8 MB # ACCESS CONTROLS acl palabras url_regex "/etc/squid/palabras.bad" acl msn req_mime_type -i ^application/x-msn-messenger$ acl msn-gat url_regex i gateway.dll? acl macduros arp "/etc/squid/duros.mac" acl salaa src "/etc/squid/salaa.ips" acl salab src "/etc/squid/salab.ips" acl salac src "/etc/squid/salac.ips" acl salad src "/etc/squid/salad.ips" acl dominios dstdomain "/etc/squid/dominios.bad"

22 Instalacion y Configuracion de SQUID PERMISOS http_access allow manager localhost http_access allow manager #**************************************************************** **************************************** http_access allow macduros http_access deny palabras http_access deny msn http_access allow msn-gat http_access deny dominios #*********-----FILTROS ********************* http_access allow salaa

23 Instalacion y Configuracion de SQUID FIREWALL #))************FIREWALL EXT**************************(( up iptables -F #up iptables -t filter -A OUTPUT -o eth0 -s j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT #up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT up iptables -A INPUT -i lo -j ACCEPT #up iptables -A INPUT -i eth0 -j DROP up iptables -A OUTPUT -o eth0 -j DROP

24 iface eth1 inet static address netmask Instalacion y Configuracion de SQUID #))****************FIREWALL BY FELI***********************+(( #up iptables -F up iptables -t filter -A INPUT -i eth1 -s /24 -p tcp --dport j ACCEPT up iptables -t filter -A INPUT -s /24 -p tcp --dport 22 -j LOG --logprefix " Acceso SSH -> " --log-level 4 up iptables -t filter -A INPUT -s /24 -p tcp --dport 22 -j ACCEPT up iptables -t filter -A INPUT -s /24 -p tcp --dport 80 -j ACCEPT up iptables -t filter -A INPUT -s /24 -p tcp --dport j ACCEPT ##up iptables -t filter -A OUPUT -p tcp --sport 80 -j ACCEPT up iptables -A INPUT -i lo -j ACCEPT up iptables -A INPUT -i eth1 -j DROP

25 Consideracion con DNS *No brindar información interna a usuarios de internet Pueden ser hackers Pueden contener direcciones ip reservadas *Permitir a los usuarios internos recuperar información de servidores DNS en internet Necesitado cuando se usa NAT o SOCKS No necesitado cuando se usa PROXY *Asegurar que las consultas regulares y reversas DNS hacen correspondencia *No permitir actualizaciones dinámicas *No permitir transferencias grandes a cualquiera Puede ser utilizado en ataques DOS

26 Consideraciones con Nombres para Maquinas *DNS nunca fue diseñado para ser usado en un firewall *Haga clara distinción entre sus máquinas en la intranet y los servidores públicos * 2 dominios? Uno para la intranet y otro para internet?

27 Servidor DNS *Dos servidores *Servidor en la DMZ Resuelve consultas hechas desde internet Solo contiene información de la DMZ en sus bases de datos *Servidor en la intranet Resuelve consultas hechas desde la intranet Para resolver consultas de servidores internos reenvía la consulta al servidor en la DMZ * Una sola maquina? Cada uno escucha en una interfaz 2 demonios independientes

28 Reglas ipchain s/iptables complementarias #ipchains -A input -i eth0 -p tcp -s any/0 1024: d j ACCEPT #ipchains -A output -i eth0 -p tcp -s d any/0 1024: j ACCEPT #ipchains -A input -i eth0 -p udp -s any/0 1024: d j ACCEPT #ipchains -A output -i eth0 -p udp -s d any/0 1024: j ACCEPT

30 WEB PAQUETES QUE INSTALA EL APACHE *apache2.2-common Next generation, scalable, extendable web server *apache2-mpm-worker High speed threaded model for Apache HTTPD 2.1 *apache2-utils utility programs for webservers

31 INSTALANDO EL APACHE2.2.3 INICIAR EL SERVICIO VERIFICAR INICIO SOPORTE SSL Proceso #openssl req -new -x509 -days nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem DAR PERMISO 600 AL CERTIFICADO GENERADO HABILITAR EL PUERTO HTTPS HABILITAR EL MODULO SSL CREAR UN DOMINIO VIRTUAL SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem

32 .

33 .

34 . Error en la resolución del nombre [Common Name]

36 POSTGRESQL 8 Servidor de Base de Datos CONFIGURAR ARCHIVO /etc/postgresql/8.1/main/postgresql.conf /etc/postgresql/8.1/main/pg_hba.conf #listen_addresses = 'x.x.x.x'/'localhost' # what IP address(es) to listen on; # comma-separated list of addresses; # defaults to 'localhost', '*' = all port = 5432 max_connections = 100

37 Servidor de Base de Datos Seguridad a nivel de SGMDBR template1=# create user felipe with password '*******'; CREATE ROLE template1=# select * from pg_user; usename usesysid usecreatedb usesuper usecatupd passwd valuntil useconfig postgres 10 t t t ******** felipe f f f ********

38 Direccionamiento IP las direcciones IP se describen en RFC Números de Internet. InterNIC(Internet Network Information Center) C/Host -> ID 32 bits (128 bits) Formato Direccion IP [IPv4] [IPv6] [Rango de Direcciones IPv4] = IPv5(RFC 1819) -> experimental orientado al flujo de streaming que intentaba soportar voz, video y audio. [Rango de Direcciones IPv6] = , 340 sextillones

39 Ref. unidades

40 Autoridades Direccionamiento IP Internet Corporation for Assigned Names and Numbers since 1998 max. Auth. The Internet Assigned Numbers Authority (IANA) is responsible for the global coordination of the DNS Root, IP addressing, and other Internet protocol resources. N/RIR (National/Regional Internet Registries for.co).

41 Autoridades Direccionamiento IP The Internet Society is an independent international nonprofit organisation founded in 1992 to provide leadership in Internet related standards, education, and policy around the world Applying the principles of stewardship, ARIN, a nonprofit corporation, allocates Internet Protocol resources; develops consensus-based policies; and facilitates the advancement of the Internet through information and educational outreach.

42 Asignacion de Direcciones IP La asignación de direcciones IP gestionada IANA (Internet Assigned Number Authority) a través del Information Sciences Institute de la Universidad de California. Posee para ello un contrato con DARPA (Defense Advanced Research Project Agency) que la habilita para ello. IANA asigna bloques de números a registros regionales:

43 Ubicación de Direcciones IP ARIN WHOIS DATABASE SERVER ( LACNIC WHOIS DATABASE SERVER ( OTRAS: AfriNIC Africa - APNIC Asia Pacific - LACNIC Latin American and Caribbean RIPE - Réseaux IP Européens (RIPE, French for "European IP Networks") InterNIC - Public Information Regarding Internet Domain Name Registration Services -

44 Rastreo de Direcciones IP

45 Rastreo de Direcciones IP

46 WHOIS DATABASES # ARIN WHOIS database, last updated :10 # Enter? for additional hints on searching ARIN's WHOIS database. OrgName: Latin American and Caribbean IP address Regional Registry OrgID: LACNIC Address: Rambla Republica de Mexico 6125 City: Montevideo StateProv: PostalCode: Country: UY ReferralServer: whois://whois.lacnic.net NetRange: CIDR: /8 NetName: LACNIC-200 NetHandle: NET Parent: NetType: Allocated to LACNIC NameServer: NS.LACNIC.NET NameServer: TINNIE.ARIN.NET NameServer: NS- SEC.RIPE.NET NameServer: SEC3.APNIC.NET NameServer: NS2.DNS.BR NameServer: NS3.AFRINIC.NET Comment: This IP address range is under LACNIC responsibility for further Comment: allocations to users in LACNIC region. Comment: Please see for further details, or check the Comment: WHOIS server located at RegDate: Updated: % Copyright LACNIC lacnic.net % The data below is provided for information purposes % and to assist persons in obtaining information about or % related to AS and IP numbers registrations % By submitting a whois query, you agree to use this data % only for lawful purposes. % :07:23 (BRT -03:00) inetnum: /16 status: allocated owner: COLOMBIA TELECOMUNICACIONES S.A. ESP ownerid: CO-CTSE-LACNIC responsible: Administradores Internet address: Transversal, 49, address: N - BOGOTA - country: CO phone: [1539] owner-c: JRJ tech-c: JRJ abuse-c: JRJ inetrev: /16 nserver: DNS5.TELECOM.COM.CO nsstat: AA nslastaa: nserver: DNS.TELECOM.COM.CO nsstat: AA nslastaa: created: changed: nic-hdl: JRJ person: Jairo Rojas Jurado jairo.rojas@telecom.net.co address: Trv 49, 105, 84 address: 1 - Bogotá, D.C. - Cu country: CO phone: [1775] created: changed:

47 CLASES. Las direcciones de clase A usan 7 bits para el número de red permitiendo 126 posibles. Los restantes 24 bits... Las direcciones de clase B usan 14 bits para el número de red, y 16 bits para el de host. Las direcciones de clase C usan 21 bits para el número de red y 8 para el de host. Las direcciones de clase D se reservan para multicasting o multidifusión,. Las direcciones de clase E son reservadas.

48 CLASES.

49 Direcciones IP Especiales Todos los bits a 0 id host (direcciones IP con <número de host=0) o id. red (direcciones IP con <número de red=0) y sólo se usa cuando el valor real no se conoce. Ej Todos los bits a 1 "todas" las redes o "todos" los hosts. Ej El número de red de clase A con todos los bits a 1, Se reserva para la dirección de loopback. No debe encaminarse a través de la red, sino directamente del controlador de salida al de entrada.

50 Unicasting, Broadcasting y Multicasting UNICAST. La mayoría de las direcciones IP se refieren a un sólo destinatario: Se denomina direcciones de MÚLTIPLES DESTINATARIOS. Las direcciones de broadcast y de multicast. Cualquier protocolo N.O.C. puede enviar mensajes de broadcast o de multicast, además de los unicast.

51 Direccionamiento Intranet. En RFC 1918 / Dirección Asignación para Internets privadas; Rangos de direcciones IP privadas para la utilización de la red. Clase A B C Redes hasta hasta hasta

52 Direcciones Reservadas (ICANN) /8 CIDR Descripción Red actual (solo válido como dirección de origen) RFC 1700 Referencia /8 Red Privada RFC /8 Red de datos públicos RFC /8 Reservado RFC /8 Anfitrión local (localhost) RFC /16 Reservado /16 Red Privada (Zeroconf) RFC /12 Red Privada RFC /24 Red de pruebas RFC /24 Retransmisión desde IPv6 hacia IPv4 RFC /16 Red Privada RFC /15 Pruebas de desempeño de red RFC / / /4 Reservado Multidifusión (Multicast, antes red Clase D) Reservado (Antes red Clase E) RFC 3330 RFC 3171 RFC 1700

53 Direccionamiento Ip Metodos de Asignación Dinámicamente la asignación de direcciones IP mediante (DHCP): Puede configurar un servidor DHCP para que el servidor DHCP puede asignar automáticamente direcciones IP a clientes DHCP y una serie de opciones, tales como: Las direcciones de servidores DNS y los servidores WINS Gateway direcciones TCP / IP.

54 Direccionamiento Ip Metodos de Asignación Direccionamiento IP Estático Se produce bajo las siguientes condiciones: Cuando no existen configurados los servidores DHCP en la red y la red tienen múltiples segmentos de red. Cuando se está configurando un ordenador como servidor DHCP, que le puede asignar una computadora direcciones IP estáticas. Cuando se configura como importante servidores de red, tales como controladores de dominio, o servidores DNS; asignar manualmente la dirección IP para estos equipos.

55 Resumen de Caracteristicas de Clases Red Clase A: Red de clase B: Red Clase C: Principal patrón de bits: 0 Rango primer byte de la dirección de red: Número máximo de redes: 126 Máxima de nodos por red: Principal patrón de bits: 10 Rango primer byte de la dirección de red: Número máximo de redes: Máxima de nodos por red: Principal patrón de bits: 110 Rango primer byte de la dirección de red: Número máximo de redes: Máxima de nodos por red: 254

56 VLSM (Variable Length Subnet Mask En RFC-1009 se autoriza la construcción de redes donde la longitud de la máscara es variable dentro de la red. La limitación de utilizar siempre la misma máscara de subred es que se está limitado a un número fijo de direcciones de subred. Conceptualmente una red es dividida en subredes, cada subred es dividida en subredes y así sucesivamente. Esto puede reducir sustancialmente las tablas de ruta de los routers. El protocolo de routing OSPF soporta VLSM; el algoritmo que lo permite se denomina "longest match".

57 IPCALC ipcalc takes an IP address and netmask and calculates the resulting broadcast, network, Cisco wildcard mask, and host range. By giving a second netmask, you can design sub- and supernetworks. It is also intended to be a teaching tool and presents the results as easy-to understand binary values. -n Dont display ANSI color codes -b Suppress the bitwise output -c Just print bit-count-mask of given address -h Display results as HTML #ipcalc h > /web/fcbi/ips.html

58 Subnetting RFC Internet Registry IP Allocation Guidelines RFC Address Allocation for Private Internets RFC On the Assignment of Subnet Numbers RFC Internet standard subnetting procedure RFC Toward an Internet standard scheme for subnetting RFC Subnetwork addressing scheme RFC Internet subnets

59 Caso de Analisis 1-Subnetting Un supermercado tiene una red LAN, donde se interconectan 27 equipos de empleados del area administrativa(incluye la oficina de sistemas), 17 del area de ventas, 21 del area inventario y 15 de contabilidad. Se pretende separar las redes. Se le solicita a ud. como jefe de la oficina de sistemas que diseñe la nueva organización de la nueva red (indicando las ips para cada area), teniendo en cuenta que la red que existe actualemente es la /24.

60 Red: /( Subnet Mask: Dirección de red : Dirección de broadcast: Número de Subredes: Número de host/subred: Por cada subred SUBRED RANGO HOSTS DIR. GATEWAY DIR. DIFUSIÓN

61 Caso de Analisis 2- Subnetting 1. Para la siguiente red complete la información de subnetting, e informe cuantas direcciones no pueden ser asignadas a NICs. Red: / ( ) Subnet Mask: Dirección de red : Dirección de broadcast: Número de Subredes: Número de host/subred:

62

63

64 Filtrado IP *Basado en criterios como: Interface de red Protocolo (UDP,TCP,ICMP) Dirección Ip fuente y/o destino Puerto fuente y/o destino Sentido del establecimiento de la conexión TCP Tipo de paquete ICMP

65 Filtrado IP *Acciones posibles ACCEPT -> ok DROP -> (no ICMP) REJECT -> (ICMP) LOG -> log del kernel Una regla es una sentencia que combina un conjunto de criterios y una acción a tomar

66 Netfilter - IPTables *El filtro ip esta construido en el kernel *La configuración del filtro se hace mediante una aplicación de usuario Kernel :ipfwadm Kernel 2.2:ipchains Kernel :iptables *Compatibilidad hacia atrás *Características adicionales Log Estadísticas

67 IPTABLES *Modos de operación Eliminación de todas las reglas Establecer política predeterminada para un flujo de paquetes Agregar,Insertar,reemplazar,eliminar reglas Listar reglas Listar,reiniciar estadísticas *iptables-save e iptables-restore Guarda o restaura todas las reglas en/de un archivo

68 Flujos de Paquetes (Chains) *Un chain es un conjunto de reglas que son chequeadas para un Paquete *Un paquete puede ser examinado por varios chains *Chains predeterminados input:para paquetes enviados a éste host output:para paquetes enviados desde éste host forward:para paquetes enviados a través de éste host

69 Flujos de Paquetes (Chains) *Las reglas son chequeadas en orden *Cuando el paquete cumple con el criterio de la regla,la acción es aplicada y no se encaminan las demás reglas *Si el paquete no cumple los criterios de ninguna regla,se le aplica la regla predeterminada del chain SE DEBE PRIORIZAR EL ACCESO A LOS SERVICIOS, COLOCANDO LAS REGLAS DE ACUERDO A LOS NIVELES DE CONCURRENCIA

70 Flujos de Paquetes (Chains).

71 Conjuntos de Flujos (tables) *A un conjunto de chains se le llama table * Tables predeterminados CONJUNTOS DE FLUJOS filter nat mangle

72 Herramientas Firewalling Sygate Firewall Zone alarm Symantec Windows Firewall NetFilter Firestarter (gtk) Shoreline Firewall (Shorewall) Firewall Builder ipcopfirewall Bastion-firewall

73 Sintaxis de IPtables *-L:listar todas las reglas *-F:limpiar todas las reglas *-A:agrega una regla *-I:Inserta una regla *-P:acción predeterminada para un chain *-i:interface *-p:protocolo *-s/-d:ip-fuente/ip-destino *--sport/--dport:puerto-origen/puerto-destino

74 Sintaxis de IPtables CHAIN + CRITERIO DE FILTRADO + POLITICA iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -s /24 -p tcp --dport 80 -j ACCEPT iptables -t filter -A INPUT -p tcp --dport j ACCEPT iptables -t filter -A INPUT -s /24 -p tcp --dport j ACCEPT iptables -t filter -A INPUT -m mac --mac-source 00:11:85:17:7B:0E -p tcp --sport j ACCEPT

75 Sintaxis de IPtables CHAIN + CRITERIO DE FILTRADO + POLITICA iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -s p tcp --dport 22 -j ACCEPT iptables -t filter -A INPUT -m mac --mac-source 00:0F:FE:34:8C:E9 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -j LOG --log-prefix "ACCESO OTROS" --log-level 4 iptables -t filter -A INPUT -p tcp --dport j LOG --log-prefix "ACCESO SSH" --log-level 4 LOG FOR IPTABLES (/etc/syslog.conf -> /var/log/messages - /var/log/syslog) kern.warning /var/log/iptables.log

76 Servidor de Registro de logs Configuracion de LOGS Servidor de Generación de logs #/etc/syslog.conf (No debian) local3.* /var/log/remoto.log r #/etc/syslog.conf #/etc/default/syslogd (En debian ) SYSLOGD="-r #/etc/syslog.conf local3.* /var/log/remoto.log #logger -p local3.info "prueba de web server remoto # echo "Nuevo mensaje de prueba con el netcat" netcat -q 0 -u # ps -ef grep syslog # netstat -a grep syslog #grep "prueba de web server" /var/log/* Configuro el firewall

77 Contexto del Firewall.

78 Configuracion Inicial #iptables -X #iptables -F #iptables -P INPUT DROP #iptables -P OUTPUT REJECT #iptables -P FORWARD REJECT #iptables -A INPUT -i lo -j ACCEPT #iptables -A OUTPUT -i lo -j ACCEPT #iptables -A INPUT -i eth0 -j ACCEPT #iptables -A OUTPUT -i eth0 -j ACCEPT #iptables -A INPUT -i eth1 -d! j DROP #iptables -A OUTPUT -i eth1 -s! j DROP

79 Filtrando Mensajes ICMP #iptables -A OUTPUT -i eth1 -p icmp -s d /0 -j ACCEPT #iptables -A INPUT -i eth1 -p icmp -s /0 0 -d j ACCEPT #iptables -A INPUT -i eth1 -p icmp -s /0 8 -d j ACCEPT #iptables -A OUTPUT -i eth1 -p icmp -s d /0 -j ACCEPT Aceptar mensajes icmp 3,4,11,12?

80 Configuracion de conexiónes Salientes TCP/UDP #iptables -A OUTPUT -i eth1 -p tcp #iptables -P input DROP #iptables -P output REJECT #iptables -P forward REJECT #iptables -A input -i lo -j ACCEPT #iptables -A output -i lo -j ACCEPT #iptables -A input -i eth0

81 SNAT (Source NAT) *Hecha (tipicamente)en un router *Reemplaza la dirección IP de origen con la dirección IP del router *Hace seguimiento de las conexiones para paquetes de vuelta *También trabaja para UDP e ICMP Windows Server > nuevo Internet Connection Sharing (ICS),

82 *Hecho mediante la tabla NAT *3 chains PREROUTING POSTROUTING OUTPUT *Acciones MASQUERADE DNAT SNAT REDIRECT *Ejemplo Configuracion de NAT #iptables -t nat -I POSTROUTING -d! /24 -j SNAT to-source

83 SITUACIONES ESPECIALES CON NAT *El soporte puede extenderse mediante módulos en el kernel *Para FTP ip_nat_ftp,ip_conntrack_ftp *Para IRC ip_nat_irc,ip_conntrack_irc *etc.

84 Administracion de Reglas iptables-save >iptables.reglas *less iptables.reglas *iptables-restore <iptables.reglas Antes iptables -F,iptables -X