Seguridad con herramientas Opensource

SHO4501

Experiencia de Aprendizaje 1
Configuracin bsica de firewall Iptables
 Unidad de Aprendizaje N2
Reduccin de Riesgos

Aprendizajes Esperados

Implementar un entorno de trabajo en redes de comunicaciones basado en

las polticas de la organizacin
Demostrar tolerancia a la frustracin durante el desarrollo del problema
planteado
Desarrollar el autoaprendizaje en los desafos planteados en la asignatura
Reconocer las necesidades de una organizacin y sus sistemas para
implementar restricciones y accesos fsicos como lgicos
Controles de Seguridad
 Definicin

Controles de Seguridad:

Se entiende por cualquier mecanismo o accin que ayude

a resguardar los atributos de la Informacin (CDI).

Se entiende que la informacin esta bajo amenazas que

pueden afectar sus atributos, en funcin de su criticidad
se decide o no la aplicacin de controles.
 Tipos de controles
Administrativos
Estn involucrados con procedimientos, polticas o entrenamiento, no
involucran tecnologa.
Ej: poltica de seguridad.
Tcnicos:
Son aquellos que involucran tecnologa para cumplir su funcin, ya sea
de control de acceso o proteccin de la informacin.
Ej: autenticacin, cifrado.
Fsicos:
Son aquellos que controlan el acceso fsico de usuarios a la
informacin.
Ej: cmaras de vigilancia, bvedas de seguridad.
 Controles de seguridad para redes
Los principales controles de Seguridad para redes existentes en la actualidad
son:
Firewalls: permiten filtrar paquetes IP por direccin o puerto, se utiliza
principalmente para controlar los accesos a las redes
IDS: permiten monitorear el trfico anmalo en una red LAN o a un
host especfico (HIDS)
IPS: permiten bloquear trfico anmalo en uno o varios segmentos de
redes LAN
ACL: permite controlar el acceso de redes en funcin de los
parmetros de cabecera IP
NAC: controla el acceso a la red a nivel de L2 y genera zonas de
cuarentena
VPN: permite cifrar el trfico de informacin confidencial
 Definicin

Qu es un Firewall o Cortafuego?
Definicin:
Dispositivos de comunicaciones que permite o no la
conexin de red a travs de l.
Funcionan como dispositivos de control de seguridad al
restringir el acceso a redes.
Su configuracin se basa en reglas de acceso de TCP/IP y
acciones de permitir o no el trfico.
Hoy en da tienen funciones adicionales por razones
comerciales.
Una de las tecnologas ms usadas
Arquitectura de un Firewall
 Breve resea histrica

Fue creado en el ao 1988 por los laboratorios DEC en EEUU.

(filtrado de paquetes).
En 1990 evoluciona al Firewall de estado en los laboratorios
AT&T Bell que tiene la capacidad de mantener las tablas de
sesiones.
En 1994 aparece el primer Firewall comercial de la historia, de
la compaa israel Checkpoint, que destacaba por su
configuracin grfica.
Durante la ltima dcada del siglo pasado se incorporan
nuevas caractersticas a los firewalls.
 Breve resea histrica

En el ao 1999 aparece el primer firewall por hardware,

denominado appliance de la compaa americana
Netscreen.
En el ao 2002 nace el concepto de UTM (Unified Threath
Manager) impulsado por la compaa de origen chino,
Fortinet.
Durante la ltima dcada las compaas fabricantes de
firewall se han dedicado a complementar sus productos con
herramientas de apoyo, gestin y reportes.
Diagrama
 Diagrama

Puede Interconectar 2 o ms redes

 Controles de seguridad para redes
Tipos de firewall: dependiendo de cual es su capa de aplicacin y sus
capacidades, existen en la actualidad tres tipos de firewall:
Filtro de paquetes: este tipo de firewall solo tiene la capacidad de
filtrar paquetes IP por puerto o direccin y no tiene la capacidad de
mantener el estado de una sesin.
Firewall stateful inspection: tambin tiene la capacidad de filtrar por
direcciones IP y puertos, adems tiene la capacidad de mantener el
estado de las sesiones, evitando as ataques de spoofing.
Firewall proxy: este tipo de firewall intercepta las sesiones entre
cliente y servidor, una vez terminado el handshake permite la
conexin hacia el servidor.
Firewall de filtrado de paquetes
Firewall Stateful Inspection
Firewall proxy o aplicativo
 Funciones adicionales

Cifrado
Deteccin de Intrusos
AntiSpam
Anti-relay
Traslacin de direcciones (NAT)
Antivirus de red
Etc.
 Tipos de Firewall

Los FIREWALLS tradicionales son de hardware, es

decir, un dispositivo especfico instalado en una red
para levantar una defensa y proteger a la red del
exterior.
 Tipos de Firewall

Los FIREWALLS POR HARDWARE son los utilizados

en entorno profesionales: el administrador de red
define una serie de reglas para permitir el acceso y
detiene los intentos de conexin no permitidos.
 Tipos de Firewall

Los FIREWALLS POR SOFTWARE pueden ser gratuitos

o comerciales.
Un FIREWALL gratuito es un software que se puede
instalar y utilizar libremente, o no, en la
computadora. Son tambin llamados desktop
firewall o software firewall.
Tipos de Firewall
Tipos de Firewall
 Tipos de Firewalls

Un FIREWALL comercial funciona de la misma forma

que uno gratuito (como el de Windows), pero
normalmente incluye protecciones extra y mucho
ms control sobre su configuracin y
funcionamiento.
Operacin de un Firewall UTM
Market share UTM

Fuente: IDC 2013

El mercado UTM segn Gartner
Operacin de un FW Next Generation
El mercado de FW NG segn Gartner
 Beneficios de un firewall

Control de acceso entre redes, a travs del filtrado de

paquetes.
Punto de control para intento de accesos no
autorizados.
Permite reducir el nmero de direcciones IP pblicas
necesarias.
Permite medir el uso del trfico hacia Internet.
 Filtrado de paquete

Examina la cabecera del paquete IP para tomar una accin:

 Filtrado de paquetes
Estructura de un paquete IP Header
Direccin IP origen Direccin IP destino Puerto Data

Poltica

Direccin IP origen Direccin IP destino Puerto Accin

Las acciones posibles son:

- Accept (permite la conexin)
- Reject (no permite la conexin)
- Drop (no permite la conexin sin avisar)
 Ejemplo de filtrado de paquetes

Aceptar la siguiente conexin:

Red de origen: 192.168.20.0/24
Red de destino: 200.27.23.5/32
Puerto: 80

Poltica

192.168.20.0/24 200.27.23.5/32 80 Accept

 Ejemplo de filtrado de paquetes

Las polticas se pueden encadenar:

Poltica 1
192.168.20.0/24 200.27.23.5/32 80 Accept
Poltica 2
192.168.30.0/24 200.27.23.6/32 21 Accept
Poltica 3
0.0.0.0/0 200.27.23.6 Any Drop

Se ejecutan en forma secuencial

Deben ir de la mas restrictiva a las mas general.
 Ejemplo de filtrado de paquetes

Lo que no se debe hacer !!!!

Poltica 1
192.168.20.0/24 200.27.23.5/32 80 Accept
Poltica 2
192.168.20.1/32 200.27.23.5/32 80 Drop
Poltica 3
0.0.0.0/0 200.27.23.6 Any Drop
 IPTables
Solucin de seguridad firewall de estado, que permite filtrar el trfico hacia y
desde un servidor.

Esta incorporado en todas las distribuciones Linux y tiene licencia GNU

Se configuran sus reglas en base a cadenas pre-definidas:
Para filtrado de paquetes IP
FORWARD
INPUT
OUTPUT
Para NAT
POSTROUTING
PREROUTING
 Iptables

Por lo tanto, para ponerlo en marcha, simplemente

hay que aplicar unas reglas con el comando
IPTABLES.
Ya que las reglas estn al nivel del kernel, y al kernel
le llegan los paquetes, es el que decide lo que tiene
que hacer con ellos, dependiendo de los parmetros
que le hayamos especificado.
 Funcionamiento de Iptables

IPTABLES est basado en el uso de TABLAS, dentro

de las tablas, CADENAS, formadas por agrupacin de
REGLAS, parmetros que relativizan las reglas y
finalmente una ACCION, que es la encargada de decir
qu destino tiene el paquete.
 Funcionamiento de Iptables

Ms detalladamente, el ncleo parte con una tabla

que contiene tres listas bsicas de reglas llamadas
"cadenas". Estas son INPUT, OUTPUT y FORWARD,
respectivamente (Entrada, Salida y Reenvo).
Cuando un paquete entra a una interfaz de red, el
ncleo examina primero el destino del paquete y
decide que ruta tomar (INPUT o FORWARD).
 Funcionamiento de Iptables

Si por el contrario el paquete lo genera algn proceso

de la mquina, la cadena a examinar ser OUTPUT.
Luego el paquete es examinado en la cadena, en
donde la decisin de desechar (DROP) o aceptar
(ACCEPT) el paquete es tomada.
Si la decisin es aceptar (ACCEPT), el paquete
contina hacia el destino, siendo recibido por algn
proceso local (demonio).
 Funcionamiento de Iptables

En cambio, si la decisin es desechar (DROP), el

paquete es descartado completamente.
 Polticas de Seguridad

Permitir todo:
Filtra lo explcitamente especificado.
Fcil de administrar.
Bajo control de puertos abiertos.
Denegar todo:
Deja pasar solo lo indicado.
Administracin un poco ms compleja.
Mayor control de qu est abierto y porqu.
 Polticas de Seguridad

Los administradores orientados a la seguridad

usualmente eligen descartar todos los paquetes
como una poltica y solamente permiten paquetes
especficos basados en el caso.
Las reglas siguientes bloquean todo los paquetes
entrantes y salientes en una puerta de enlace de red.
Arquitectura de una solucin IPTables
 Utilizacin de Iptables

Comandos

Agregar (-A) Flush (-F)

Reemplazar (-R) Listar (-L)
Insertar (-I) Poltica (-P)
Delete (-D) Nueva (-N)
 Filtrado de Paquetes

Iptables F (Borra las reglas)

# ping c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.2/0.2/0.2 ms

# iptables A INPUT s 127.0.0.1 p icmp j DROP

# ping c 1 127.0.0.1
PING 127.0.0.1 (127.0.0.1): 56 data bytes
--- 127.0.0.1 ping statistics ---
1 packets transmitted, 0 packets received, 100% packet loss
#
 Configuracin de reglas

Nomenclatura de reglas en IPTables

# iptables F (borra todas las reglas)
# iptables P INPUT DROP (borra todas las reglas de la cadena
INPUT)
# iptables A INPUT s 192.168.30.1 j DROP (impide el ingreso
de trfico desde la IP 192.168.30.1)
# iptables A INPUT i eth0 p tcp --dport 22 j ACCEPT (permite
el acceso via ssh)
# iptables A OUTPUT o eth1 p udp --dport 53 j ACCEPT
(permite una consulta DNS hacia Internet)
 Configuracin de reglas
Nomenclatura de reglas en IPTables:
# iptables A FORWARD i eth0 -d 192.168.30.0/24 j ACCEPT (permite el
trfico a travs del servidor hacia la red 192.168.30.0/24)
# iptables A FORWARD i eth0 s 192.168.30.0/24 d 192.168.45.1 p tcp --
dport 3306 j ACCEPT (permite la conexin SQL al servidor 192.168.45.1)
# iptables t nat A PREROUTING p tcp d 192.168.203.7 --dport 8080 j
DNAT --to 192.168.203.7:80 (traslacin de puertos)
# iptables A FORWARD p tcp s 200.23.5.6 j DROP (niega el trfico desde
la IP 200.23.5.6)
 Resumen

Controles de Seguridad
Clasificacin de la informacin
Tipos de controles
Firewall
Definicin
Funcionalidades de un firewall
Filtrado de paquetes
Firewall UTM
Firewall Next Generation
IPtables
 Pregunta 1

Cul de las siguientes caractersticas corresponde a un

firewall de estado (stateful)?

A.- Puede analizar el trafico a nivel de aplicacin

B.- Permite el trfico solo en un sentido y el de retorno
debe ser permitido en forma explcita
C.- Soporta autenticacin de usuarios
D.- Permite el trfico de retorno, solo si existe una
sesin iniciada
 Pregunta 2

Cul de las siguientes caractersticas corresponde a

una solucin UTM?

A.- Antivirus de red

B.- VPN
C.- Autenticacin
D.- Control anti-spoofing
 Pregunta 3

De qu forma se ejecutan las reglas de un

firewall?

A.- Alternada
B.- Secuencial
C.- Aleatoria
D.- Indexada
 Pregunta 4

Para que un Firewall Next Generation pueda

revisar el contenido de Facebook debe operar
en la capa de:

A.- Transporte
B.- Red
C.- Aplicacin
D.- Sesin