BULMA: Como montar un firewall paso a paso (I)


Bergantells Usuaris de GNU/Linux de Mallorca i Afegitons \| Bisoños Usuarios de GNU/Linux de Mallorca y Alrededores

CONTENIDOS
. Jornadas de software libre . Version para PDA . Enlaces breves . La asociacion . Los mas leidos . Autores [Actividad] . Ultimos Comentarios . Todos los titulares! . Estadisticas . Guia de estilo . ¿Sugerencias? . Wiki . [Ayuda]
Listas de correo
. Archivos bulmailing
. Archivos BulmaGes
Radio libre :-)
. Des de la Xarxa (Archivos)
. Mallorca en Xarxa
Busquedas



+ Enlaces Linux

Ultimos kernels
(01/08/2010 05:10:59)

Como montar un firewall paso a paso (I) (44178 lectures)
Por Celso González
PerroVerd (http://mitago.net)
Creado el 09/08/2002 15:37 modificado el 09/08/2002 15:37

Este es el primero de una serie de artículos en los que iré explicando una serie de mecanismos útiles para proteger una máquina conectada a una red. El proposito de esta serie no es conseguir un firewall que funcione para todo el mundo, sino ir explicando las diferentes opciones y soluciones para ir resolviendo problemas.

Pagina1/1

Aunque la mayor parte de este tutorial se va a centrar en iptables, la herramienta de filtrado de los kernels 2.4, vamos a empezar con una serie de cosas para las que no será necesario recompilar el kernel y son muy fáciles de probar.
Supongo que la gente tiene unos conocimientos básicos de redes, sabe hacer un script sencillo y manejar archivos de configuración.

Los kernels 2.4 permiten modificar determinados parámetros y variables dinamicamente a través del sistema de archivos /proc
Para poder cambiar estos valores tenemos que tener el kernel compilado con la opción CONFIG_SYSCTL, pero lo más probable es que si lo tengamos ya que viene marcada por defecto.

Para los ejemplos utilizaré esta configuración
Mi maquina firewall dispone de 2 tarjetas de red eth0 y eth1. eth0 es una red local a la que estan conectadas otras maquinas de mi oficina (en las que se supone que confio :), eth1 es la encargada de las comunicaciones con el exterior (internet) y en la que las restricciones son mayores. Las direcciones IP de estas tarjetas seran 192.168.0.1 para eth0 y una direccion 10.42.0.100 para eth1

Evitar el spoofing

El spoofing consiste en modificar la dirección origen de un paquete de forma que la máquina que recibe el paquete se crea que proviene de una maquina de confianza, normalmente se usa 127.0.0.1
Por ejemplo, si yo soy un malo maloso y quiero atacar el firewall que estamos montando una forma de hacerlo sería haciendome pasar por uno de los equipos de la oficina de forma que utilizaría una dirección de tipo 192.168.0.x, como no estoy en la oficina esta petición entrará por eth1 y no por eth0, que es por donde debería venir como me muestra la tabla de rutas.

firewall:/# route
Kernel IP routing table
Destination  Gateway Genmask         Flags Metric Ref Use Iface
127.0.0.0      *     255.255.255.0   U     0      0     0 lo
192.168.0.0    *     255.255.255.0   U     0      0     0 eth0
10.42.0.0      *     255.255.0.0     U     0      0     0 eth1
default        *     0.0.0.0         U     0      0     0 eth1

El kernel de linux viene con un mecanismo de protección que implementa lo especificado en el RFC1812, para habilitarlo haremos lo siguiente:

firewall:/# for x  in /proc/sys/net/ipv4/conf/*; do
>              echo "1" > $x/rp_filter
>              done

Esta opción es muy recomendable

Activar o desactivar el reenvío de paquetes

La decisión depende del uso que vayamos a dar a nuestra máquina:
Si la máquina va a servir de router para dar acceso a varios ordenadores de nuestra red local, por ejemplo, debemos activar el reenvio de paquetes.

firewall:/# echo "1" > /proc/sys/net/ipv4/ip_forward

Si nuestra máquina está sola debemos desactivar el reenvío de paquetes ya que nos estamos exponiendo a servir de puente para otras maquinas.

firewall:/# echo "0" > /proc/sys/net/ipv4/ip_forward

Esta opción es muy recomendable

Desactivar source routed packets

Un paquete source routed (no se como traducir esto) es un paquete IP que especifica la ruta que debe usar el paquete por la red. De esta forma se puede intentar hacer creer que el paquete procede de una red de confianza. En fin, un rollo, los detalles los podeis ver en esta página.
Lo importante de esto es que este tipo de paquetes no se suelen utilizar nunca excepto para malos propósitos :)

firewall:/# echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

Esta opción es recomendable

Desactivar ICMP redirigidos

Un ICMP redirido se emplea para avisar al receptor que tiene que omitir algo de su tabla de rutas. Normalmente se emplea para informar que una ruta no es optima y cual es la nueva ruta a seguir. Esta opción posibilita a un atacante alterar la tabla de rutas del firewall a sus necesidades.

firewall:/# echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

Esta opción es recomendable

Habilitar protección contra mensajes erróneos

Esta opcion se emplea normalmente para evitar llenar los logs con mensajes inutiles. Algunos routers envian respuestas "extrañas" a la hora de responder a broadcasts y pueden llegar a aburrirnos con una gran cantidad de logs registrados.

firewall:/# echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Esta opción es indiferente

Evitar actuar de amplificador en un ataque Smurf

Esta opción se emplea para evitar responder a peticiones de broadcast. Si respondemos a estas peticiones podemos ser utilizados para generar un ataque de denegación de servicio contra otra máquina.

firewall:/# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Esta opción es recomendable

Decidir si logeamos a los marcianos

Los marcianos son paquetes que no pueden venir de este mundo, normalmente paquetes spoofeados o erroneos. Puede ser útil guardar un registro de estos paquetes pero pasa lo mismo que con los bogus que podemos cansarnos de verlos en los logs.

firewall:/# echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

Esta opción es indiferente

Y con esto terminamos por hoy, únicamente indicar que en la mayoría de distribuciones hay scripts que asignan estos valores de forma automatica en el arranque (/etc/sysctl.conf y /etc/network/options)

Para el que quiera ampliar esto puede mirar en:
/usr/src/linux/Documentation/sysctl/README
y en
/usr/src/linux/Documentation/networking/ip-sysctl.txt

Version para
imprimir

Version
PDF

Comentarios
Es posible que se hayan omitido algunos comentarios considerados poco constructivos

1. Lo mismo en FreeBSD (09/08/2002 19:26, #7616)
Por: Yo mismo

Buenas.

Primero de todo, felicidades por el artículo y animo para las siguientes entregas.

Uso linux y FreeBSD para programar, especialmente FreeBSD.
Es por este motivo que me he preguntado si todo esto se puede hacer con FreeBSD. Aquí estan los resultados de la busqueda:

Evitar el spoofing
(http://www.bsdtoday.com/2000/December/rc.firewall.current)
#Prevent spoofing of your loopback
/sbin/ipfw add deny log all from any to 127.0.0.0/8

#Stop spoofing of your internal network range
/sbin/ipfw add deny log ip from $inwr to any in via $oif

#Stop spoofing from inside your private ip range
/sbin/ipfw add deny log ip from not $inwr to any in via $iif

$iif y $oif son las tarjetas de red.

Esto es lo mismo que el caso de linux?

Activar o desactivar el reenvío de paquetes
(http://www.freebsd.org/doc/en_US.ISO8859-1/books/ppp-primer/x237.html)

Por defecto FreeBSD no hace forward de los paquetes, para activarlo se debe poner

gateway_enable="YES" en /etc/rc.conf

Esta configuración me funciona para compartir el modem entre dos PC's.

Desactivar source routed packets

(http://www.cis.ohio-state.edu/~rowland/FreeBSD/natd.html)

Se debe poner las siguiente configuración en /etc/rc.conf

forward_sourceroute="NO" # do source routing (only if gateway_enable is s
et to "YES")
accept_sourceroute="NO" # accept source routed packets to us

Desactivar ICMP redirigidos

Esto es casi lo mismo que a LINUX.

sysctl -w net.inet.icmp.drop_redirect=1

Habilitar protección contra mensajes erróneos

Evitar actuar de amplificador en un ataque Smurf

sysctl -w net.inet.icmp.bmcastecho=0

Decidir si logeamos a los marcianos

Para eso se tiene que modificar el FireWall con:

01500 deny ip from 192.168.0.0/16 to any in recv EXT_IF
01500 deny ip from any to 192.168.0.0/16 out xmit EXT_IF
01500 deny ip from 172.16.0.0/12 to any in recv EXT_IF
01500 deny ip from any to 172.16.0.0/12 out xmit EXT_IF
01500 deny ip from 10.0.0.0/8 to any in recv EXT_IF
01500 deny ip from any to 10.0.0.0/8 out xmit EXT_IF

Para terminar, si a alguien le interessa montar firewalls en FreeBSD:

http://renaud.waldura.com/doc/freebsd/firewall/

Las 6 tiras de Oreilly (onlamp.com) de "Securing Small Networks with OpenBSD". Excelentes artículos.

http://www.onlamp.com/pub/a/bsd/2002/02/28/openbsd.html

Para suerte mia, veo que puedo estar igual de seguro con FreeBSD que con Linux.

Espero vuestros comentarios.

Saludos.

2. Re: Lo mismo en FreeBSD (10/08/2002 21:43, #7638)
Por: PerroVerd

Muy bueno, tanto que pienso que debería ir en un artículo aparte :)
Espero que sigas adaptando las próximas entregas de esta serie a FreeBSD, aunque no estoy seguro de que puedas adaptar el state-firewall de Linux :-?

3. Me sigo quedando con FreeBSD (13/08/2002 19:11, #7680)
Por: Yo mismo

Veo que te interesa mi opinión.

Me comprometo a buscar el equivalente para FreeBSD a todos los ejemplos que pongas de LINUX, siempre es bueno comparar.

Qué no puedo adaptar el state-firewall en FreeBSD ? Has visto el manual de ipfw (firewall freebsd).
Por aquí encontraràs:

keep-state
Upon a match, the firewall will create a dynamic rule, whose default behaviour is to matching bidirectional traffic between source and destination IP/port using the same protocol. The rule has a limited lifetime (con trolled by a set of sysctl(8) variables), and the life time is refreshed every time a matching packet is found.

check-state
Checks the packet against the dynamic ruleset. If a match is found then the search terminates, otherwise we move to the next rule. If no check-state rule is found, the dynamic ruleset is checked at the first keep-state rule.

O sea, que puedo mantener el estado de las conexiones i chequearlas.
Todos los comentarios que he hecho del firewall de FreeBSD se pueden aplicar de igual forma en OpenBSD. Ya debes saber qual es su eslogan:

¡Un agujero de seguridad remoto en la instalación predeterminada en casi 6 años!

Hace poco se les colo un pequeño buq, que es explotable, en la implementación de SSH.
Visto esto, en qual FireWall confiarías más?
Nunca esta de más una lectura a las siete artículos de Oreilly de FireWalls con OpenBSD. Me gustaria que los ojearas y me dieses tu opinión.

<ironia ? >
De hecho ya debes saber que los primeros firwall de linux provienen de un port que Alan Cx hizo de FreeBSD, por algun motivo será ...
</ironia ? >
Mi intención es comparar objetivamente (con pequeños toques de ironía) las dos implementaciones/familias de firewalls. Y quien tenga la necesidad de configurar un firewall tenga más de una opción.

Estoy esperando tu artículo.

Saludos

4. Re: Lo mismo en FreeBSD (10/12/2002 01:54, #10599)
Por: El cobarde anónimo

El equivalente en openbsd?

5. Re: Como montar un firewall paso a paso (I) (11/08/2002 03:35, #7643)
Por: Luciano (http://www.creatios.cl)

Está muy bueno el articulo!!.

Mi pregunta es, esta configuración sirve para un firewall que protege a varios servidores (mail, web, juegos, etc) o para este uso debe tener caracteristicas especiales???

Desde Chile
Luciano

6. Re: Como montar un firewall paso a paso (I) (04/03/2003 23:14, #12585)
Por: el novato interesado?

soy usuario nuevo de linux bla bla bla..... mi pregunta es con respecto a los firewalls como accedo a mi firewall ? uso red hat 8 y lo ke veo es solo la conf. desde Xwindow ke es la sig: nivel de seguridad: -Alto -Medio -Ninguno lo puse alto pero como puedo conf. a mi manera? se puede? please.. ayudenmde =(

7. Re: Como montar un firewall paso a paso (I) (31/03/2004 12:00, #20456)
Por: Anónimo

yo estoy de practicas en empresa y tb uso la 8.0,me tengo que encargar de hacer el cortafuegos y la verdad es que no se muy bien como va.Has conseguido aprender algo? donde exactamente tengo que poner las ordenes del firewall? Ya lo siento ,ando un poco flojo a la hora de situarme como va la estructura de linux. un saludo

8. Re: Como montar un firewall paso a paso (I) (03/05/2003 01:05, #14144)
Por: Alejandro

Hola, Veo con gran interes, que tanto FreeBSD y Linux son buenos, y los felicito por tan buena defensa que ejercen cada uno a su respectivo Sistema Operativo. Me gustaría que alguno me informara, si en Linux o FreeBSD puedo hacer la siguiente aplicación: Tengo 2 conexiones a Internet por modem, quiero manejar todo el tráfico de email (puerto 25 & 110) por un modem, y todo el tráfico restante con el otro modem. Gracias por su interes y espero me orienten con sus respuestas.

9. Re: Como montar un firewall paso a paso (I) (16/05/2003 20:53, #14456)
Por: rafa c.c.

hola a todos:

soy un chico español que intenta conectar dos ordenadores,ya le ise la ip le puse en el disco duro compartir, en fin de todo pero siempre falla.

le agradeceria a alguien me mandara un correo con algo del tema de coneccion de redes.

o que me explique paso a paso lo que debo de hacer para conectar un una torre a un portatil, o torre a torre que sera lo mismo,digo yo.
bueno saludos a todos.

gracias.

10. (17/06/2003 06:12, #15243)
Por: El cobarde anónimo

bueno te explico un poco comp lograr conectar uno con el otro en ambos tenes que ponerle el mismo grupo de trabajo y despues le pones propiedades de red, vas a tcp/ip y le pones las siguientes , 192.168.0.1 con la mascara de subred 255.255.255.0 eso a uno y al otro lo mismo pero de esta manera 192.168.0.2 mascara de sub red 255.255.255.0 y ya esta y si tenes internet y queres tenerlo en ambos tb podes aunque te conectes con un modem de marcado telefonico

11. Re: Como montar un firewall paso a paso (I) (26/11/2004 03:54, #24475)
Por: Anónimo

consiga cable truncado en xp configurar red domestica diga en mimo grupo de trabajo y listo

12. Re: Como montar un firewall paso a paso (I) (08/07/2003 22:26, #15765)
Por: la implacable

Me gusta tu artículo, me parece comprensible, pero sabes? yo soy nueva en Linux y deseo tener más conocimientos acerca de su manejo. Así que me gustaría más información de como se configuran los firewall. Si pudieras dar más información sería buenísimo.....

13. Re: Como montar un firewall paso a paso (I) (15/07/2003 11:00, #15891)
Por: novato sin conocimientos pero lo necesito

Hola por favor me gustaria saver como desactivar mi firewall pero eske no tengo ni idea de como entrar ni en el ni donde esta ni como se llaman los archivos.... por favor ayudaa..jejej asias!

14. Re: Como montar un firewall paso a paso (I) (11/11/2005 17:30, #29369)
Por: girl

hola a todos, estuvo muy buena la comparacion de Freebsd.

Ahora necesito su ayuda. necesito montar un firewall en Freebsd, me han dicho que este sistema operativo es seguro desde su kernel, alguien podria decirme en que se basa su seguridad y tambien comparaciones con linux..

Gracias..

15. Re: ¿como hacer una coneccion de red local? (12/07/2006 20:31, #33703)
Por: Anónimo (http://bulma.net/enviarcomentario.phtml?nIdNoticia=1441&nIdPage=1&bVerTodos=0)

Nececito ayuda hace tiempo instale linux i no puedo conectarme a internet por la red local ni por pppoe nececito ¡¡¡¡¡¡¡¡¡¡¡¡AYUDA!!!!!!!!!!!

16. COMO DESCONECTAR TODOS LOS FIREWALLS? (15/07/2006 23:31, #33760)
Por: eva

hola no tengo ni idea de ordenadores,pero desactive el firewall iendo a seguridad y todo ,la baje,y tambien la desconecte no recuerdo como.el caso es que no puedo entrar en gamingpeak.com y creo que es por firewall? hay firewalla escondidos?como los quito? porfavooro ayuda