Curso avanzado de GNU/Linux



Documentos relacionados
Cortafuegos (Firewalls) en Linux con iptables

66.69 Criptografía y Seguridad Informática FIREWALL

Iptables, herramienta para controlar el tráfico de un servidor

IPTABLES. Gonzalo Alvarez Flores

Cortafuegos (Firewalls) en Linux con iptables

Configuración del firewall en Linux con IPtables

Firewall en GNU/Linux netfilter/iptables

SEGURIDAD EN SISTEMAS INFORMÁTICOS

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

Charla de redes. Carlos Hernando ACM Facultad de Informática Universidad Politécnica de Madrid

IPTables: Filtrado de paquetes en Linux

Ejemplos iptables. Planificación y gestión de redes de ordenadores. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012

PRÁCTICA 5: USO DE CORTAFUEGOS

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

Aprendizajes esperados

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

Prevención Dinámica de Ataques con IPTables.

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos)

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

8. Cortafuegos (Firewall).

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Instalación de shorewall.

Seguridad Informática

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

Cortafuegos y Linux. Iptables

Filtrado de paquetes y NAT

Firewall Firestarter. Establece perímetros confiables.

Laboratorio 2 Filtrado de paquetes con Netfilter

Cortafuegos en Linux con iptables

Laboratorio de Redes de Computadores

nos interesa, analizaremos la solución de la empresa

Alta Disponibilidad de Cortafuegos en Linux. Pablo Neira Ayuso Proyecto Netfilter Universidad de Sevilla

Iptables: un cortafuegos TCP/IP

Aprendiendo a usar IPTABLES desde cero.

Curso de Introducción a la administración de servidores GNU/Linux Centro de Formación Permanente Universidad de Sevilla Abril-Junio 2010

Creación de reglas de Firewall con Webmin.

Introducción al concepto y puesta en marcha de una pared de fuego utilizando IPTables

PRACTICA NO. 17, FIREWALL -EJEMPLO REAL DE USO DEL FIREWALL BLOQUEAR O PERMITIR RED, EQUIPO, PUERTO. HACER NAT, ETC. Vielka Mari Utate Tineo

PARTE IV. Uso de shorewall. Shorewall Configuración de Shorewall

Lab 10. CortaFuegos (Firewall) Área de Telemática. Seguridad de la información Universidad de Antioquia

Firewalls, IPtables y Netfilter

HOW TO SOBRE FIREWALL

Configurar un router-firewall utilizando los simuladores correspondientes:

miércoles 7 de septiembre de 2011 Protección perimetral

Nombre: Misael Acosta Ayala ID: Asignatura: Sistemas Operativos III. Instructor: José Doñe. Tema: Firewall

Informe Final Experiencia 2 Configuración de Firewall, Router y Gateway

Prácticas de laboratorio de Telemática II

Julio Gómez López Universidad de Almería

CORTAFUEGOS HARDWARE. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 4 SAD

DHCP NAT. Redes WAN. DHCP y NAT. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 27 abr 2011

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Siendo un poco más específico, las características generales del framework Netfilter, tanto para IPv4 como para IPv6, son: [37]

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

Internet Firewalls Linux ipchains.

INSTITUTO TECNOLÓGICO DE CUAUTLA INGENIERIA EN SISTEMAS COMPUTACIONALES SEGURIDAD EN SISTEMAS DE INFORMACIÓN PRÁCITCA I:

Tema: Firewall basado en IPTABLES.

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Examen Parcial II de Sistemas Telemáticos para Medios Audiovisuales

HOWTO: Cómo configurar el acceso web en varios interfaces de Integra

Gestión de Registros Parte I: rsyslog

Lista de Control de Acceso (ACL) LOGO

UNIVERSIDAD DE ALCALÁ - DEPARTAMENTO DE AUTOMÁTICA Área de Ingeniería Telemática LABORATORIO DE COMUNICACIÓN DE DATOS (CURSO 2011/2012)

Redes I Soluciones de la Práctica 1: /etc/network/interfaces, tcpdump y wireshark

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software - info@solucionempresarial.com.

SERVICIOS. UF 1- Servidor DHCP

Este firewall trabaja en las cuatro primeras capa del modelo OSI. Los principales comandos de IPtables son los siguientes (argumentos de una orden):

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

Instalar Firewall en Linux Server con Shorewall

Manual de usuario del entorno admin. Iván Roldán

Introducción. Permiso predeterminado: Denegación predeterminada: Administración y Gestión de Redes 1

Revisión práctica de IDS. por Sacha Fuentes

Seguridad en Sistemas Informáticos Seguridad perimetral. Área de Ingeniería Telemática Dpto. Automática y Computación

Existe una solicitud disponible a tal efecto en la url:

Ejercicios DNS, NTP. Índice. Mónica Cortés Dpto. de Ingeniería de Sistemas Telemáticos UPM ! DNS ! NTP UPM

HOWTO: Cómo configurar SNAT

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

2. Diferencias respecto a IPCHAINS

Curso avanzado de GNU/Linux

Gestión de Registros Parte I: rsyslog

Arquitectura de Redes y Sistemas de Telecomunicación

ARP. Conceptos básicos de IP

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall

Protocolo ARP. Address Resolution Protocol

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

Configurar NAT Windows 2003

QoS para andar por casa. Introdución a calidad de servicio (QoS) y control del tráfico (TC) en GNU/Linux

Optimizando el Ancho de Banda: Quality of Service con Filtro de Contenido en Layer7

IPTables. Roberto Gómez Cárdenas Netfilter/IPTables

Instituto Tecnológico de Las América Materia. Temas. Facilitador. Sustentante. Matricula. Grupo. Fecha de entrega

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Características de una Red con Proxy: En el capítulo anterior se ha estudiado cómo un Firewall sirve de herramienta de seguridad a una empresa

Gestión de Logs. Carlos Vicente Servicios de Red Universidad de Oregon. Hervey Allen Network Startup Resource Center

Transcripción:

Netfilter Rafael Varela Pet Unidad de Sistemas Área de Tecnologías de la Información y Comunicaciones Universidad de Santiago de Compostela

Introducción: netfilter, iptables netfilter.org framework para las series 2.4 y 2.6 que permite manipular tráfico de red sucesor de iptables (kernel 2.2.x) e ipfwadm (kernel 2.0.x) componentes netfilter: puntos de enganche (hooks) en el subsistema de red del kernel iptables: herramienta para definir conjuntos de reglas de acceso otros: subsistema NAT, connection tracking.

netfilter: funciones Filtrado de paquetes con estado (stateful) o sin estado (stateless). Network Address and Port Translation (NAT/NAPT) Arquitectura extensible Sólo funciona con protocolo IP (IPv4 e IPv6)

Netfilter: terminología Destinos (targets): Acción que se le puede aplicar a un paquete: ACCEPT, DROP, REJECT, LOG,... Reglas (rules): define un criterio de selección de paquetes y qué destino se le va a dar a los que o cumplan. Cadenas (chains): conjunto de reglas que se aplican a un paquete. Cada cadena tiene un ámbito de aplicación específico. Existen cadenas predefinidas y cadenas de usuario

Netfilter: terminología Tablas: agrupan cadenas según un determinado propósito. Existen 4 tablas: filter nat mangle raw Cada tabla tiene un conjunto de cadenas predefinidas. La tabla filter tiene las cadenas INPUT, FORWARD, OUTPUT

Enfoque Vamos a centrarnos en el filtrado Usamos: tabla filter cadenas INPUT (se aplica a paquetes que entran a nuestro sistema) OUTPUT (paquetes que salen de nuestro sistema) FORWARD (paquetes en tránsito) Importante: Un paquete atraviesa sólo una cadena

Requisitos previos Disponer de soporte en el kernel > grep IP_NF /boot/config $(uname r) Cargar el módulo > modprobe ip_tables Herramientas en el espacio de usuario > aptitude install iptables

Definición de reglas Añadir regla: Especificamos tabla, cadena, definición de la regla y destino del paquete: iptables [ t tabla] A CADENA definicion_regla j TARGET [opciones target]

Match extensions Extensiones que amplían las capacidades de búsqueda de paquetes Se cargan implíticamente al usar la opción -p para especificar un determinado protocolo Se cargan explícitamente con la opción -m Algunos módulos estándar: connlimit conntrack icmp quota mac multiport...

Definición de reglas Ejemplo: Bloquear todo el tráfico entrante por la interfaz eth0 guardando un registro previamente: iptables t filter A INPUT i eth0 j LOG log prefix "prohibido " iptables t filter A INPUT i eth0 j REJECT Comprobar reglas aplicadas: iptables t filter L Ver /var/log/syslog o ejecutar 'dmesg' para observar los mensajes de netfilter

Definición de reglas Borrar regla: iptables [ t tabla] D CADENA definicion_regla También se puede especificar el número de regla a borrar: iptables t filter D prueba 2 Borrar todas las reglas: iptables t filter F (flush-vacía cadenas) iptables t filter X (Borra cadenas de usuario)

Logging Empleamos el target -j LOG para registrar eventos a través de syslog Una regla con ese destino no es terminal Si queremos hacer log y rechazar al mismo tiempo: Creamos una cadena propia con las dos reglas: iptables -N logdrop iptables -A logdrop LOG iptables -A logdrop DROP Cuando queramos registrar y rechazar, empleamos el target -j logdrop

Logging Ejemplo: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0e:83:ca:5d:cf:08:00 SRC=10.3.0.1 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=255 ID=65301 PROTO=UDP SPT=67 DPT=68 LEN=308 Notas: 08:00 Ethertype (protocolo IP) ff:ff:ff:ff:ff:ff - MAC destino (broadcast) 00:0e:83:ca:5d:cf - MAC origen

Política de las cadenas La política determina qué es lo que hay que hacer con un paquete si no se aplica ninguna regla Sólo las cadenas predefinidas pueden tener política Ejemplo: iptables t filter P INPUT DROP

Ejemplo para estación de trabajo Ver rc.iptables Para que se cargue al inicio del sistema: Copiar a /etc/rc.iptables Editar /etc/rc.local

Herramientas de alto nivel Construcción de reglas: firehol: herramienta de consola, ficheros de texto plano firewall builder: herramienta gráfica, ficheros XML Depurar reglas: sendip: permite generar paquetes IP arbitrarios Ejemplo: aptitude install sendip sendip v p ipv4 p udp ud 22222 d 0x12345678

Firehol aptitude install firehol Editar /etc/firehol/firehol.conf Ejecutar 'firehol reload'

Referencias http://www.netfilter.org/ http://iptables-tutorial.frozentux.net/iptables-tutorial.html http://www.earth.li/projectpurple/progs/sendip.html http://firehol.sourceforge.net/ http://en.wikipedia.org/wiki/ethertype

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback