FIREWALL

Administracin de la seguridad Dr. Eduardo de la Cruz Gmez

Ali Miguel Daz Salgado Guillermo Arellane s Garca Eduardo Ortiz Galeana

10/10/2011

NDICE

INTRODUCCIN3 MARCO TEORICO...................................................................4 METODOLOGA8 DESARROLLO.9 RESULTADOS.18 CONCLUSIN.23 BIBLIOGRAFIA...24

INTRODUCCIN El objetivo es demostrar la implementacin de los iptables para configurar un firewall, en el se muestra cada uno de los pasos que se realizaron, as como tambin las pruebas que se hicieron en el que se comprueba la implementacin exitosa del mismo. Es necesario definir unos conceptos bsicos que se manejaran en el transcurso de la prctica, lo que har de manera ms fcil su entendimiento. Un cortafuego (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs de los cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar a los cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuego correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

MARCO TERICO Un cortafuego (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuego a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuego correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin, figura 1.1.

Figura 1.1 Implementacin de un firewall.

Historia de los cortafuegos El trmino "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Ms adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehculo o una aeronave de la cabina. La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenan a las redes separadas unas de otras. La visin de Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn. Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un atacante. En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi una nota por correo electrnico a sus colegas que deca: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. Servicios Bsicos Bloqueo de trfico entrante basado en su direccin origen o destino Bloqueo de trfico saliente basado en su direccin origen o destino Bloqueo del trfico de la red basado en su contenido Asignar disponibilidad de recursos internos Permitir conexiones VPN Reporte de actividades

Servicios Avanzados Mapeo de direcciones estticas Filtrado de contenidos Deteccin de intrusiones Cach de Datos Balanceo de Cargas Encriptacin Tipos de cortafuegos Nivel de aplicacin de pasarela Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Circuito a nivel de pasarela Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC. Cortafuegos de capa de aplicacin Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder.

Un cortafuego a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuego personal Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. Limitaciones de un cortafuego Las limitaciones se desprenden de la misma definicin del cortafuego: filtro de trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el cortafuego (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos: Un cortafuego no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El cortafuego no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El cortafuego no puede prohibir a espas corporativos copiar datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. El cortafuego no puede proteger contra los ataques de ingeniera social. El cortafuego no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuego no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

Polticas del cortafuego Hay dos polticas bsicas en la configuracin de un cortafuego que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin: Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuego obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar la empresa y organismos gubernamentales.

Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. Esta aproximacin la suelen utilizar universidades, centros de investigacin y servicios pblicos de acceso a internet. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin. METODOLOGA Para hacer esta practica utilianmos la siguientes herramientas: linux Centos 5.5. windows xp. apache. vstfpd. ssh. Iptables.

Para realizar nuestra practica empleamos la siguiente metodologa en lo que fue las direcciones ip.

DESARROLLO
Configuracin del servidor. Configuracin de las IPs del Firewall

Asignamos la direccin IP esttica para la primera tarjeta de red eth0.

Asignamos la direccin IP esttica a la segunda tarjeta de red eth0

Ahora verificamos las configuraciones del firewall

Una vez que se configuraron correctamente las IPs del firewall se procede a crear las reglas para establecer los diferentes permisos entre los clientes y el servidor.Para lo cual abrimos el iptables para observar las reglas con la que actualmente cuenta el firewall.

Ahora creamos reglas para establecer la comunicacin entre el servidor y el cliente por medio del servidor web, fttp y telnet seguro.

10

Descripcin de las reglas: Establece las iptables a ACCEPT es decir permite todo tipo de entradas y salidas. Niega todas las entradas a excepcin de las reglas. Niega todas la salidas a excepcin de la reglas. Acepta los filtros de datos Acepta la entrada cuyo protocolo sea el icmp, cuya direccin origen sea la 127.0.0.1 y cuya direccin destino sea 127.0.0.1. Acepta la salida cuyo protocolo sea el icmp, cuya direccin origen sea la 127.0.0. y cuya direccin destino sea 127.0.0.1. Acepta la entrada cuyo protocolo sea el icmp, cuya direccin origen sea la 192.168.1.1 y cuya direccin destino sea 192.168.1.1. Acepta la salida cuyo protocolo sea el icmp, cuya direccin origen sea la 192.168.1.1 y cuya direccin destino sea 192.168.1.1 Acepta la entrada cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.3 y cuya direccin destino sea 192.168.8.3. Acepta la salida cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.3 y cuya direccin destino sea 192.168.8.3. Acepta la entrada cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.1.7 y cuya direccin destino sea 192.168.1.1. Acepta la salida cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.1.1 y cuya direccin destino sea 192.168.1.7. Acepta la entrada cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.1.1 y cuya direccin destino sea 192.168.1.7. Acepta la salida cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.1.7 y cuya direccin destino sea 192.168.1.1. Acepta la entrada cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.40 y cuya direccin destino sea 192.168.8.3. Acepta la salida cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.3 y cuya direccin destino sea 192.168.8.40. Acepta la entrada cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.3 y cuya direccin destino sea 192.168.8.40.

11

Acepta la salida cuyo protocolo sea el icmp cuya direccin origen sea la 192.168.8.40 y cuya direccin destino sea 192.168.8.3. Acepta la salida cuyo protocolo sea el tcp cuya direccin origen sea la 192.168.8.40 y cuya direccin destino sea cualquiera y cuyo puerto destino sea el 80. Acepta la entrada cuyo protocolo sea el tcp cuya direccin origen sea cualquiera y cuya direccin destino sea 192.168.8.40 y cuyo puerto origen sea el 80. Acepta la salida cuyo protocolo sea el tcp cuya direccin origen sea la 192.168.8.40 y cuya direccin destino sea cualquiera y cuyo puerto destino sea el 21. Acepta la entrada cuyo protocolo sea el tcp cuya direccin origen sea cualquiera y cuya direccin destino sea 192.168.8.40 y cuyo puerto origen sea el 21. Acepta la salida cuyo protocolo sea el tcp cuya direccin origen sea la 192.168.8.40 y cuya direccin destino sea 192.168.1.7 y cuyo puerto destino sea el 22. Acepta la entrada cuyo protocolo sea el tcp cuya direccin origen sea 192.168.1.7 y cuya direccin destino sea 192.168.8.40 y cuyo puerto origen sea el 22.

Configuracion y comprobacion de los servicios en la maquina cliente con Windows XP

Configuracion de area local (ethernet).

12

Comprobacion comunicacin direccion 192.168.1.1

Comprobacion comunicacin direccion 192.168.8.40

Comprobacion servicio web (http).

13

Comprobacin servicio de archivos (ftp).

Comprobacin servicio telnet seguro (ssh).

14

Configuracin de los servicios ftp, http y telnet seguro. Activando el arranque de los servicios de archivos (ftp) y web (http).

Configuracion del servicio ftp.

15

Configurando la direccion ip del servidor ftp.

Ping a las direcciones ips del firewall (cortafuegos)

16

Cambiando los parametros de configuracion para el telnet seguro (ssh).

17

RESULTADOS Captura del trfico con Wireshark

ICMP: subprotocolo de control y notificacin de errores del protocolo de internet. Indicando por ejemplo que un servicio determinado no est disponible o un host no se puede localizar.

ARP: este protocolo permite que se conozca la direccin fsica de una tarjeta de interfaz de la red correspondiente a una direccin ip.

SSDP: protocolo para buscar servicio en la red, consiste en un http que requiere una instruccin de notificacin.

18

NBNS: tambin conocido cono netbios, se utiliza para resolver nombres sobre una tcp en la red.

FTP: cuando un usuario inicia una sesin de control en el puerto 21, y es un protocolo de transferencia de archivos entre sistemas conectados a una red tcp, basados en la arquitectura cliente servidor y proporciona una conexin fiable entre los extremos.

HTTP: mtodo ms comn de intercambio de informacin en el www (worldwide web), mtodo mediante el cual se transfiere la pgina web de un ordenador.

19

BROWSER: es una aplicacin que opera a travs de internet interpretando la informacin de archivos y sitios web para que podamos ser capaces de leerlos.

SSH: protocolo que facilita la comunicacin segura entre dos sistemas usando la arquitectura cliente-servidor y que permite a los usuarios conectarse a un host remotamente.

TCP: es el protocolo de la capa de transporte de modelo TCP/IP, es un protocolo de comunicaciones orientado a conexiones fiables del nivel de tranporte.

20

CUESTIONARIO Cul es la funcin de un DMZ?

La funcin DMZ Host (Host DMZ) permite que se pueda acceder a un nico ordenador local desde Internet. En seguridad informtica, una zona desmilitarizada (DMZ, de militarize de zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada.

Qu diferencia existe entre una direccin IP pblica y una privada?

IP Pblica: Se denomina IP pblica a aquella direccin IP que es visible desde Internet. Suele ser la que tiene tu router o modem. Es la que da la cara a Internet. Esta IP suele ser proporcionada por tu ISP (empresa que te da acceso a internet: Telefnica, Ya.com, Tele2, etc). IP Privada: La direccin IP privada es aquella que pertenece a una red privada. Suele ser la IP de la tarjeta de red de tu ordenador, de una impresora de red, del router de tu red, etc Hay unos rangos de IP reservados para este tipo de red: 1. De 10.0.0.0 a 10.255.255.255 2. De 172.16.0.0 a 172.31.255.255 3. De 192.168.0.0 a 192.168.255.255 Es posible modificar un encabezado IP para suplantar la identidad de un usuario vlido por la IP de un atacante?
Si, por ipspoofing que es una tcnica de suplantacin de identidad con uso malicioso o malas intenciones para otros fines.

21

En qu consiste la tcnica de ataque IPspoofing? Consiste en hacer creer a la maquina en la que estamos interesados creer que somos alguien que no somos (alguna otra mquina en la que confan). Lo que haramos es pasar por otra identidad de un "trusted" host o direccin IP. Para poder llevar a cabo un ataque con IP-spoofing hace falta encontrar una direccin IP de un host en el que confi la maquina que ser atacada. Despus el atacador deber modificar las cabeceras para que parezca que los paquetes proceden de el host de confianza (y su puerto). La solucin propuesta se seguridad iptables es capaz de evitar un ataque por Dos? En este momento no, ya que nos falto habilitar el enmascaramiento y tambin lo que fue las tablas NAT para redireccionar lo que son los ataques a los puertos abiertos que en este caso son http 80, ftp 21 y shh 22 ya que si hubiramos aplicado esto hubiramos sido capaces de evitar la denegacin de servicios.

22

CONCLUSIN El Firewall le proporcionara la mayora de las herramientas para complementar su seguridad en la red, mediante la imposicin de polticas de seguridad, en el acceso a los recursos de la red y hacia la red externa, es importante establecer que un monitoreo constante de el registro base, nos permitir detectar un posible intruso y as proteger la informacin. Los firewalls distribuidos ofrecen en muchos casos una alternativa eficiente y flexible a las soluciones tradicionales basadas en las limitaciones impuestas por la topologa de una red, pero tambin pueden complementar y aumentar el nivel de seguridad logrado con un firewall de permetro ya que pueden ser desplegados sobre una variedad de arquitecturas, incluso sobre una arquitectura de seguridad sin afectar su desempeo.

23

BIBLIOGRAFA

http://www.viared.cl/seguridad.htm Obtenido de la red Mundial (El da 24 de septiembre del 2001) Viared Computacin LTDA. Huelen 222 Oficina 11, Providencia - CP: 6640340

[Bellovin] Distributed Firewalls, por Steven M. Bellovin, Noviembre 1999. [Chap-Zwi] Building Internet Firewalls, por D. Brent Chapman & Elizabeth D. Zwicky; ISBN 1-56592-124-0, Primera Edicion, Noviembre 1995

[Ches-Bell] Firewalls and Internet Security: Repelling the Wily Hacker , por William R. Cheswick and Steven M. Bellovin Addison-Wesley, Reading, MA, 1994.

[DistF.com ] Distributed Firewalls.com, Sponsored by Network-1 Security Solutions, Inc.

[FIPS 46-3] Specifications for the DATA ENCRYPTION STANDARD (DES), Federal Information Processing Standards Publication 46-3, 1999 October 25.

[FIPS 186-2] Specifications for the DIGITAL SIGNATURE STANDARD (DSS), Federal Information Processing Standards Publication 186-2, 2000 January 27

24