tema 3. firewalls y proxies con openbsd y gnu/linux

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Tema 3. Firewalls y Proxies con OpenBSD YGNU/Linux

Seguridad en Informatica 2

Francisco Medina Lopez —paco.medina@comunidad.unam.mx

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

2014-2

Agenda

1 Introduccion

2 Firewalls en GNU/Linux con iptables

Introduccion

1 IntroduccionConceptos PreviosDiseno y ArquitecturaTipos de FirewallFabricantes

Introduccion

Conceptos Previos

Introduccion

Conceptos Previos

¿Que es un Firewall?

Definicion

Sistema o una combinacion de sistemas que impone una barreraentre dos o mas redes que por lo regular forman una division entreun ambiente seguro y una abierto, como Internet.

Figura : El Firewall y los ambientes de seguridad

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Introduccion

Conceptos Previos

Antecedentes

Es imposible determinar quien acuno por primera vez el conceptode firewall.

W. Cheswick y S. Bellovin desarrollaron la tecnologıa defiltrado de paquetes.

M. Ranun sintetizo el firewall como producto.

Nir Zuk trabajo en el concepto de firewall tal como loconocemos hoy.

Pacheco, Federico. Hackers al decubierto, USERS P 167.

Introduccion

Conceptos Previos

Vision global de los sistemas de seguridad

Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.

Introduccion

Conceptos Previos

Vision global de los sistemas de seguridad (2)

Un Firewall es considerado la primera lınea de defensa paraproteger la informacion privada

Introduccion

Diseno y Arquitectura

Introduccion

Diseno

Introduccion

Network Address Translation

Harris, Shon. CISSP All-In-One Exam Guide, McGraw-Hill Professional, P 560.

Introduccion

Redes privadas

El RFC 1918 define tres rangos de redes privadas:

192.168.0.0/192.168.255.255

172.16.0.0/172.31.255.255

10.0.0.0/10.255.255.255

La tecnologıa NAT permite a un firewall o router actuar comoun intermediario entre la Internet y la red local.

El firewall permite a una red privada, a traves de una soladireccion ip publca, tener acceso a Internet.

Introduccion

Arquitecturas comunes

1 Bastion Host

2 Dual-Homed Firewall

3 Screened Host

4 Screened Subnet

Introduccion

Bastion Host

Definicion

Es un equipo correctamente asegurado (hardened), en el cual losservicios innecesarios se encuentran desactivados, el sistemaoperativo cuenta con las ultimas actualizaciones y parches y soloestan activas las cuentas de sistema necesarias para el correctofuncionamiento del equipo.

Usualmente esta expuesto en la red ya que es la primera lıneade defensa.

No esta ligado a las actividades de un firewall de software.

Cualquier sistema en la DMZ deberıa ser instalado en unBastion Host

Introduccion

Dual-Homed Firewall

Definicion

Es un equipo o dispositivo que cuenta con dos interfaces de red:una configurada en la red externa y otra a la red interna.

Multihomed Significa que un equipo o dispositivo tienemultiples interfaces de red (NIC).

Estos dispositivos son usados comunmente en pequenasoficinas u hogares (SOHO).

Introduccion

Screened Host

Definicion

Configuracion en la que el firewall se comunica directamente con elrouter y la red interna.

Introduccion

Screened Subnet

Definicion

Anade un nivel de seguridad situando una subred (DMZ) entre lasredes externa e interna, de forma que se consiguen reducir losefectos de un ataque exitoso al host bastion

Tambien conocida como red perimetrica o De-MilitarizedZone (DMZ) o twotiered

Introduccion

Tipos de Firewall

Taxonomıa

Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.

Introduccion

Tipos de Firewall

Tipos de Firewall de Red

1 Filtros a nivel paquete (Packet Filters)

2 Firewall a nivel circuito (Circuit Level Firewalls)

3 Firewall a nivel aplicacion (Application Layer Firewalls)

4 Stateful Inspection

Introduccion

Tipos de Firewall

Filtros a nivel paquete (Packet Filters)

Introduccion

Tipos de Firewall

Filtros a nivel paquete (Packet Filters)

Funciona a nivel de red (nivel 3) de la pila de protocolos(TCP/IP) como filtro de paquetes IP.

En este nivel se pueden realizar filtros segun los distintoscampos de los paquetes IP: direccion IP origen, direccion IPdestino.

A menudo en este tipo de Firewall se permiten filtrados seguncampos de nivel de transporte (nivel 4) como el puerto origeny destino, o a nivel de enlace de datos (nivel 2), como ladireccion MAC.

Introduccion

Tipos de Firewall

Firewall a nivel circuito (Circuit Level Firewalls)

Introduccion

Tipos de Firewall

Firewall a nivel circuito (Circuit Level Firewalls)

Una vez que la conexion se establece, los paquetes pueden ir yvenir entre las computadoras sin tener que ser revisados cadavez.

El Firewall mantiene una tabla de conexiones validas ypermite que los paquetes de la red pasen a traves de ella sicorresponden a algun registro de la tabla.

Una vez terminada la conexion, la tabla se borra y latransmision de informacion entre las dos computadoras secierra.

Introduccion

Tipos de Firewall

Firewall a nivel aplicacion (Application Layer Firewalls)

Introduccion

Tipos de Firewall

Firewall a nivel aplicacion (Application Layer Firewalls)

Trabaja en el nivel de aplicacion (nivel 7) de manera que losfiltrados se pueden adaptar a caracterısticas propias de losprotocolos de este nivel. Por ejemplo, si se trata de traficoHTTP se pueden realizar filtrados segun la URL a la que seesta intentando acceder.

Un Firewall a nivel 7 de trafico HTTP es normalmentedenominado Proxy y permite que los computadores de unaorganizacion entren a internet de una forma controlada.

Pertenece a la tercera generacion de Firewalls.

Examina la informacion de todos los paquetes de la red ymantiene el estado de la conexion y la secuencia de lainformacion.

En este tipo de tecnologıa tambien se pueden validar claves deacceso y algunos tipos de solicitudes de servicios.

Introduccion

Tipos de Firewall

Stateful Inspection

Introduccion

Tipos de Firewall

Stateful Inspection

Guarda registros de conexion usando una tabla de estado quealmacena todos los niveles de comunicacion.

Introduccion

Tipos de Firewall

Ejemplos de Implementacion

Introduccion

Tipos de Firewall

Definicion

UTM (en ingles: Unified Threat Management) o Gestion Unificadade Amenazas, son firewalls de red que engloban multiplesfuncionalidades en una misma caja.1

El termino fue utilizado por primera vez por Charles Kolodgy,de International Data Corporation (IDC), en 2004.

Algunas funcionalidades:

VPN, Antispam, Antiphishing, Antispyware Filtro decontenidos, Antivirus, Deteccion/Prevencion de Intrusos(IDS/IPS)

1http://es.wikipedia.org/wiki/Unified Threat Management

Introduccion

Tipos de Firewall

UTM (2)

Ventajas:

Se pueden sustituir varios sistemas independientes por uno solofacilitando su gestion

Desventajas:

Se crea un punto unico de fallo y un cuello de botella, es decirsi falla este sistema la organizacion queda desprotegidatotalmente.Tiene un costo fijo periodico.

Introduccion

Fabricantes

Introduccion

Fabricantes

Algunos fabricantes de Firewalls

Juniper Networks

3Com/H3C

Astaro

Check Point Software Technologies

Fortinet

McAfee

NETASQ

Palo Alto Networks

SonicWALL

Introduccion

Fabricantes

Magic Quadrant for Enterprise Network Firewalls

Introduccion

Fabricantes

Magic Quadrant for Unified Threat Management

Firewalls en GNU/Linux con iptables

1 Introduccion

2 Firewalls en GNU/Linux con iptablesDefinicion y conceptos previosComponentes de iptablesEjemplos de reglas de iptables

Definicion y conceptos previos

1 Introduccion

Netfilter

Definicion

Componente del nucleo Linux (desde la version 2.4) encargado dela manipulacion de paquetes de red.

Permite:

filtrado de paquetes.

traduccion de direcciones (NAT).

modificacion de paquetes.

iptables

Herramienta que permite construir y configurar firewalls

Desarrollado por el proyecto Netfilter(http://www.netfilter.org)

Liberado para el kernel 2.4 en Enero del 2001.

Control de Trafico (o Flujo de Red)Seguridad (de Servicios de Red)Observacion (del Trafico actual)

Componentes de iptables

1 Introduccion

Tablas y Cadenas

1 TABLAS

2 CADENAS

Tablas

Definicion

Distintos tipos de procesamiento que se puede aplicar sobre lospaquetes.

1 filter: Controla decisiones de filtrado de paquetes(aceptar/denegar)

Cadenas: INPUT, OUTPUT, FORWARD

2 nat: Controla la traduccion de direcciones.Cadenas: PREROUTING, POSTROUTING

3 mangle: Controla los procesos de modificacion del contenidoy las opciones de los paquetes.

Cadenas: INPUT, OUTPUT, FORWARD,PREROUTING,

POSTROUTING

Las reglas de cada tabla se organizan en cadenas que seconsultaran en momentos concretos del flujo de los paquetes.

Cadenas

Definicion

Contienen las listas de reglas a aplicar sobre los paquetes.

INPUT: reglas a aplicar sobre los paquetes destinados a lapropia maquina.

OUTPUT: reglas a aplicar sobre los paquetes originados en lapropia maquina. Usada para controlar las salidas del propioequipo.

FORWARD: reglas a aplicar sobre los paquetes queatraviesan la maquina con destino a otras (paquetes entransito reenviados).

Cadenas (2)

PREROUTING: reglas a aplicar sobre paquetes justo antesde enviarlos a la red. Usada para DNAT (destination NAT)[redireccion de puertos].

POSTROUTING: reglas a aplicar sobre paquetes (propios oajenos) recibidos de la red (antes de decidir a donde tutearlos[local o reenvio]). Usada para SNAT (source NAT).

Se pueden crear cadenas definidas por el usuario (iptables -N

cadena).

Funcionamiento

Para cada paquete, en funcion del procesamiento que vaya asufrir, se consulta la cadena que corresponda.

Dentro de cada cadena las reglas se inspeccionansecuencialmente. El orden de las reglas es importante.

Si el paquete encaja con las condiciones de una regla, seejecuta la accion correspondiente y se abandona la cadena.

Si el paquete no encaja con ninguna regla, se le aplica lapolıtica por defecto que se haya asignado a esa cadena.

por defecto las cadenas predeterminadas estan inicializadas conuna polıtica ACCEPT.al agotar las cadenas definidas por el usuario, se retorna a lacadena predeterminada que la activo.

Flujo de paquetes a traves de la tabla FILTER

Gregor N. Purdy. Linux Iptables Pocket Reference, O’Reilly, P 3.

Flujo de paquetes a traves de la tabla NAT

Flujo de paquetes a traves de la tabla MANGLE

Ejemplos de reglas de iptables

1 Introduccion

Reset iptables firewall rules

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

iptables -F

iptables -t nat -F

http://www.seavtec.com/en/content/soporte/documentacion/

iptables-howto-ejemplos-de-iptables-para-sysadmins

Ver el estado del firewall y listar reglas

iptables -L -n -v

iptables -n -L -v --line-numbers

iptables -L INPUT -n -v

iptables -L OUTPUT -n -v --line-numbers

Eliminar reglas de Firewall

iptables -L INPUT -n --line-numbers

iptables -L OUTPUT -n --line-numbers

iptables -L OUTPUT -n --line-numbers | less

iptables -L OUTPUT -n --line-numbers | grep

202.54.1.1

Se puede eliminar por numero de regla:

iptables -D INPUT 4

O especificar una regla que coincida

iptables -D INPUT -s 202.54.1.1 -j DROP

Reglas para eliminar todo el trafico

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -L -v -n

Solo bloquear el trafico entrante

Para eliminar todos los paquetes entrantes / enviado, pero permitirel trafico saliente, escriba:

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state

NEW,ESTABLISHED -j ACCEPT

iptables -L -v -n

Bloquear direcciones IP especıficas

Eliminar direcciones de red privada en la interfaz publica(Suponiendo eth0 como interfaz publica)

iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j

iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP

Bloquear direcciones IP:

iptables -A INPUT -s 192.168.1.5 -j DROP

iptables -A INPUT -s 192.114.71.13 -j DROP

Guardar y restaurar reglas

Guardar reglas:

iptables-save > /root/iptables.fw

Grabar las reglas en CentOS / RHEL / Fedora Linux:

service iptables save

Restaurar reglas:

iptables-restore < /root/iptables.fw

Restaurar reglas en CentOS / RHEL / Fedora Linux:

service iptables restart

Permitir todo el trafico de loopback, y eliminar todo el traficoa 127/8 que no usa lo0:

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

Eliminar cualquier paquete TCP que no se ha iniciado con elFlag SYN activo:

iptables -A INPUT -p tcp ! --syn -m state --state

NEW -j DROP

Aceptar todas las conexiones entrantes establecidas:

iptables -A INPUT -m state --state

ESTABLISHED,RELATED -j ACCEPT

Eliminar cualquier paquete invalido que no pueda seridentificado:

iptables -A INPUT -m state --state INVALID -j DROP

Bloquear todo el trafico TELNET entrante:

iptables -I INPUT -p tcp --dport 23 -j DROP

Bloquear todo el trafico WEB entrante:

iptables -I OUTPUT -p tcp --dport 80 -j DROP

Bloquear todo el trafico dirigido a 192.168.0.1:

iptables -I OUTPUT -p tcp --dest 192.168.0.1 -j

Permitir trafico Web:

iptables -I INPUT -p tcp --dport 80 -j ACCEPT

Permitir trafico al puerto 2003 para localhost:

iptables -I INPUT -s 12.0.0.1 -p tcp --dport 2003

-j ACCEPT

Permitir trafico HTTPS desde la direccion ip 10.2.2.4:

iptables -I INPUT -s 10.2.2.4 -p tcp -m tcp

--dport 443 -j DROP

Negar trafico de salida a 192.2.4.0-192.2.4.255:

iptables -I OUTPUT -d 192.2.4.6.0/24 -j DROP

Permitir conexiones FTP (puerto 21) desde la direccion IP11.22.33.44:

iptables -A INPUT -p tcp -m state --state NEW

--dport 21 --source 11.22.33.44

Permitir todo el trafico entrante SSH

iptables -A INPUT -i eth0 -p tcp --dport 22 -m

state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m

state --state ESTABLISHED -j ACCEPT

Permitir SSH saliente:

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m

iptables -A INPUT -i eth0 -p tcp --sport 22 -m

Permitir trafico HTTP:

Permitir trafico HTTPS:

Combinar reglas con multipuerto

iptables -A INPUT -i eth0 -p tcp -m multiport

--dports 22,80,443 -m state --state

NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m multiport

--sports 22,80,443 -m state --state ESTABLISHED

-j ACCEPT

Reglas para bloquear trafico

Bloquear todas las conexiones al puerto 21:

iptables -A INPUT -p tcp -m state --state NEW

--dport 21 -j DROP

Eliminar la primera regla de entrada:

iptables -D INPUT 1

Bloquear solicitudes ICMP (ping):

iptables -A INPUT -p icmp --icmp-type echo-request

-j DROP

iptables -A INPUT -i eth1 -p icmp --icmp-type

echo-request -j DROP

Solo aceptar cierto tipo limitado de peticiones ICMP

iptables -A INPUT -p icmp --icmp-type echo-reply

-j ACCEPT

iptables -A INPUT -p icmp --icmp-type

destination-unreachable -j ACCEPT

time-exceeded -j ACCEPT

echo-request -j ACCEPT

Permitir trafico DNS saliente

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j

ACCEPT

iptables -A INPUT -p udp -i eth0 --sport 53 -j

ACCEPT

Abrir un rango de puertos de entrada

iptables -A INPUT -m state --state NEW -m tcp -p

tcp --dport 7000:7010 -j ACCEPT

Abrir un rango de IPs

iptables -A INPUT -p tcp --destination-port 80 -m

iprange --src-range 192.168.1.100-192.168.1.200

-j ACCEPT

Limitar el numero de conexiones

Se puede utilizar el modulo connlimit para crear estas restricciones.

Permitir 3 conexiones SSH por cliente:

iptables -A INPUT -p tcp --syn --dport 22 -m

connlimit --connlimit-above 3 -j REJECT

Limitar el numero de conexiones HTTP a 20

iptables -p tcp --syn --dport 80 -m connlimit

--connlimit-above 20 --connlimit-mask 24 -j DROP

Donde:

--connlimit-above 3 : Match if the number of existingconnections is above 3.

--connlimit-mask 24 : Group hosts using the prefix length.For IPv4, this must be a number between (including) 0 and32.

Eliminar o aceptar paquetes desde una MAC Address

iptables -A INPUT -m mac --mac-source

00:0F:EA:91:04:08 -j DROP

iptables -A INPUT -p tcp --destination-port 22 -m

mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

Prevenir ataques DoS

iptables -A INPUT -p tcp --dport 80 -m limit

--limit 25/minute --limit-burst 100 -j ACCEPT

Donde:

-Limit 25/minute : Limita a solo 25 conexiones por minuto.

-Limit-burst 100: Indica que el valor de limit/minutesera forzado solo despues del numero de conexiones en estenivel.

Permitir redireccion de puertos

Ejemplo puerto 422 redirigimos al 22, con lo que podemos tenerconexiones al puerto 22 y al puerto 422 por ssh.

iptables -t nat -A PREROUTING -p tcp -d

192.168.102.37 --dport 422 -j DNAT --to

192.168.102.37:22

Guardar eventos en bitacora

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG

--log-prefix ’’IP SPOOF A:’’

iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Referencias Bibliograficas I

tema 3. firewalls y proxies con openbsd y gnu/linux

firewalls y proxies

internet y

router y

cheswick y

openbsd y gnulinux tema

openbsd y gnulinux agenda

firewalls en gnulinux

ultimas actualizaciones

Education

firewalls. themen 1.sicherheitspolitik 2.angriffstypen...

openbsd mail server

openbsd server

le, ei, profesor ramón castro liceaga universidad latina...

proxy servers & firewalls. what is proxy ? what is proxy ?...

openbsd faq

openbsd: a crash course · what is openbsd? welcome to...

the openbsd culture

dns en openbsd

openbsd: a crash course - nyc*bug · what is openbsd?...

openbsd vmm/vmd update -...

high availability firewalls using openbsd pf, pfsync and...

firewalls cs432. overview what are firewalls? types of...

robust firewalls with openbsd and pf... · the basics...

15. firewalls unter unix - hu-berlin.de · 2012. 1. 24. ·...

securing financially sensitive environments with openbsd ·...

install oamp openbsd

secure internet servers/firewalls with - ftp.openbsd.org ·...

university of texas at austin - classification of firewalls...

pledge in openbsd