M A N U A L D E P R O C E D I M I E N T O

CARRERA: INGENIERÍA DE SISTEMAS PRÁCTICA: 3

EQUIPO:Paola PintadoCarlos Sigua

Responsable /Equipo.:Carlos Sigua

Accesorios:GNS3 y maquinas virtuales linux

CÁTEDRA O MATERIA RELACIONADA

REVISIÓN N°: 1

EDICIÓN: 1SEGURIDAD DE REDES

DOCENTE:BYRON CARRIÓN RAMÍREZ

NÚMERO DE ESTUDIANTES POR EQUIPO O PRÁCTICA:2 o 3 DEPENDE DEL # TOTAL

Fecha: 07/05/2014

Tema: IMPLEMENTACION DE FIREWALL EN SOFTWARE, UTILIZANDO IPTABLES COMO FIREWALL EL CUAL APLICARA FILTRADO DE PAQUETES.

Objetivo:

- Comprender como un firewall puede aplicar las reglas de filtrado de paquetesObjetivo especifico:

- Implementar los distintos servidores que van a simular los servidores de una empresa como servidores WEB y servidores DB, además también el ISP que para el caso implementara un servidor DNS.

- Implementar un firewall utilizando una herramienta disponible en distribuciones Linux como lo es iptables.

- Establecer reglas de filtrado de paquetes para una red o redes de una empresa.- Verificar que las leyes se cumplan y comprobar su funcionamiento en un

ambiente de producción.

Marco Teórico:

Cuando hablamos de filtrado de paquetes podemos entender que son reglas que van a permitir o no el paso de paquetes de información a través de la red.

Empezaremos diciendo que es un firewall, porque es necesario entender este término.

Que es un firewall

Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexión determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones sobre las

comunicaciones, como el NAT.

Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica de un firewall:

En definitiva lo que se hace es: Habilita el acceso a puertos de administración a determinadas IPs privilegiadas Enmascara el tráfico de la red local hacia el exterior (NAT, una petición de un pc

de la LAN sale al exterior con la ip pública), para poder salir a internet Deniega el acceso desde el exterior a puertos de administración y a todo lo que

este entre 1 y 1024.

Hay dos maneras de implementar un firewall:1) Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall

se acepta y solo se denegará lo que se diga explícitamente.2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por

el firewall aquellos que se permita explícitamente.

Que es iptablesIPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programación (esto es una pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables está integrado con el kernel, es parte del sistema operativo. ¿Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall.

Presentación del caso:

Queremos implementar un firewall para una empresa siguiendo el esquema de la Figura 1. Como se puede ver, se ha utilizado un solo firewall para delimitar una red perimetral (198.51.100.0/24) y una red interna (203.0.113.0/24).

La organización utiliza una política de denegación por defecto:

1. Servidor Web 198.51.100.1: se debe permitir el acceso desde Internet a servicios de HTTP y HTTPS. Los usuarios de la red interna no pueden acceder a este servidor.

2. Servidor Web 203.0.113.1: Usuarios de la red interna han de poder acceder a este servidor a servicios de HTTP y HTTPS.

3. Servidor BD 198.51.100.2: Tanto el servidor web 198.51.100.1 como el 203.0.113.1 pueden acceder a este servidor. Se trata de un servidor PostgreSQL que utiliza el puerto TCP 5432.

4. Servidor BD 203.0.113.2: solo el servidor web 203.0.113.1 puede acceder a este servidor. Se trata de un servidor MySQL que utiliza el puerto TCP 3306.

5. SSH: se permiten conexiones SSH únicamente entre los servidores (tanto de red interna como perimetral).

6. DNS: La empresa utiliza los servidores públicos de Google 8.8.8.8 y 8.8.4.4. Tanto los usuarios de la red interna como los equipos de la red perimetral deben utilizar los servidores de DNS públicos de Google.

Análisis del caso:

Primero hay que establecer una política de seguridad y para este caso la política perfecta seria denegar todo el tráfico que pase por el router Vyatta, el cual tiene las reglas de iptables, para que así el router también actúe como un firewall que impida o no el paso de paquetes.

Segundo establecer reglas de filtrado desde los más detallado hasta lo más general y en un orden adecuado para que así se respeten todas. Hay que saber si establecemos una regla general primero las otras reglas específicas no funcionaran.

Presentación de la solución:

A continuación se presenta las capturas de la configuración del router Vyatta con las reglas en iptables

ConclusionesPues hay que tener cuidado cuando se implementan las reglas y al escoger la política de seguridad ya que las reglas pueden cambiar según como se escoja la política si es que decidimos aceptar todo o denegar todo o aceptar todo solo en entrada

Bibliografía: