HOW TO FIREWALL

Linux mandrake 8.0

CREDITOS

• ANÓNIMO Edición Especial Linux. Máxima seguridad PEARSON EDUCACIÓN, S.A, Madrid, 2000
• Grupo de noticias relevantes. Comp.security.firewalls
• http ://www.telstra.com.au/pub/docs/security/800-10/node52.html
• http://www.fwtk.org.

Que es un firewall?

Un firewall es un dispositivo que evita que entren extraños en su red, es un direccionador, una computadora autónoma con filtro de paquetes o software proxy.

Puede servir como punto de entrada único a su sitio, llamado punto de estrangulamiento. Solo se procesan las peticiones de conexión de los hosts autorizados, las otras peticiones serán rechazadas.

• Filtro y análisis de paquetes.
• Bloqueo de protocolo.
• Autenticación y encriptación de usuario, conexión y sesión.
• Quien puede entrar
• Que puede entrar
• Donde y como pueden entrar

FIREWALL A NIVEL DE RED

Al utilizar un firewall a nivel de red, puede dar o negar acceso a su sitio basándose en varias variables:

• Direccion de fuente
• Protocolo
• Numero de puerto
• Contenido
• Los firewall basados en direccionamiento pueden vencer al spoofing y a los DoS y convertir su red en invisible para el mundo exterior.

INSTALACIÓN DE FIREWALL

Los paquetes de firewall están en le CD 1 de mandrake 8.0 /mandrake/RPMS/

Verifique si esta instalado firewall: rpm –ql firewall

Instale firewall: rpm –Uvh firewall-* (sino esta instalado ningún paquete, este comando instalara los paquetes de firewall)

Actualice firewall: rpm –ivh firewall-* (este comando instala los paquetes faltantes)

Manual de firewall

Si desea encontrar mas información sobre firewall ejecute:man smb.conf

Proxy / pasarelas de aplicación

Las pasarelas de aplicaciones sustituyen a las conexiones entre los clientes externos y su red interna. durante este cambio nunca se envían los paquetes IP. En su lugar, se produce una especie de traducción, actuando la pasarela de conducto y de interprete.

Se obtiene mas control global sobre cada servicio individual y a veces puede mantener el estado del paquete. su deficiencia es que muchas de ellas requieren una implicación substancial por su parte porque debe configurar una aplicación proxy para cada servicio de la red(FTP, telnet, HTTP, correo, noticias, etc).

Una desventaja de las pasarelas de aplicación de aplicación es que en el caso de los protocolos cliente servidor como telnet, son necesarios dos pasos para conectar con las llegadas o con las salidas. Una pasarela de aplicación telnet no tiene que tener necesariamente que requerir un cliente telnet modificado, pero si necesitara una modificación al usuario, el usuario debe conectarse al firewall pero no hacer log in en vez de conectarse al host directamente. El firewall serviría como ruta hacia el sistema de destino y así interceptaría la conexión y daría pasos adicionales tan necesarios como pedir una contraseña de una vez.

Un buen ejemplo de un paquete de firewall de pasarela de aplicación es el Tool Kit(FWTK). Este paquete que es gratis para uso no comercial, incluye proxies para los siguientes servicio:

• Telnet
• FTP
• rlogin
• sendmail
• HTTP
• El sistema X Window

El FWTK obliga no solo a hacer proxy de cada aplicación, sino también de aplicar normas de acceso para cada una de ellas.

COMO SABER SI NECESITA UN FIREWALL

Hay muchos entornos en los que los firewall no son adecuados, ejemplos

Universidades: la investigación en las universidades a menudo la dirigen dos o mas departamentos en colaboración, estos departamentos ofrecen un acceso publico limitado a sus alumnos.

Proveedores de servicio de internet: los clientes ISP a menudo acceden a sus cuentas desde diferentes sitios.

Tcpd: tcp Wrappers

Las TCP Wrappers son unas de las herramientas más famosas del mundo para reforzar el control de acceso a la red.

Aplicación: tcpd.

Requiere: tcpd

Archivos de configuración: hosts, deny, host, allow

Los TCP Wrappers añaden un control de acceso a la red a través de un sencillo pero seguro mecanismo.

En los hosts que no tienen TCP Wrappers, inetd comienza en el cebador y comprueba varios servidores permitidos en /etc/inetd.conf.

Lo que especifica la entrada de fingerd:

• El servicio es finger
• El tipo de toma es STREAM
• El protocolo es TCP
• La instrucción nowait indica que inetd debería generar nuevos procesos fingerd cuando se necesiten
• La instrucción quest indica que fingerd debería ejecutarse como usuario quest
• La instrucción /usr/etc/fingerd indica la localización del programa

Cuando inetd recibe una petición de un cliente finger, comienza un finger, que después satisface la petición de finger y esto es porque es mas fácil ejecutar un demonio sencillo como inetd, que ejecutar permanentemente 12 o 20 servidores diferentes. Así solo se ejecuta el servidor que sea necesario.

Las ventajas de TCP Wrappers

• Logging de conexión
• Control de acceso a la red

TCP Wrappers y control de acceso a la red

Estos leen las normas del control de acceso a la red de dos archivos:

• /etc/hosts.allow. especifica los hosts autorizados
• /etc/hosts.deny. especifica los hosts no autorizados

COMO CONFIGURAR /ETC/HOSTS.DENY Y /ETC/HOSTS.ALLOW

Un lenguaje de control de acceso sencillo basado en los patrones del cliente (nombre de host/dirección, nombre de usuario) y del servidor (nombre del proceso, nombre del host/direccion)

Hosts_options soporta gran cantidad de características, y puede desarrollar normas complejas. Si una conexión cumple con esto ejecuta el comando shell, lo esencial y básico es:

Daemon_list : client_list

All : All niega el permiso a todo el mundo

Después introduce los hosts autorizados

Host_options permite entrar en detalles exhaustivos serios

COMODINES, OPERADORES Y FUNCIONES SHELL DE HOST_OPTIONS

• ALL
• KNOWN
• LOCAL
• PARANOID
• UNKNOWN
• EXCEPT

tcpdchk: comprobador de configuracion de TCP Wrappers

tcpdmatch: el oraculo de TCP Wrappers

tcpdmatch analiza su configuracion

• Mala sintaxis
• Malos nombres de ruta
• Malos nombres de hosts o direcciones de IP

Opciones de comandos

-a

-d

-i [inetd.conf]

-v

ipfwadm

es una herramienta de filtrado de paquetes para linos, se utiliza para mantener, configurar e inspeccionar el ferial y las normas de cuenta en el kernel de linux.

Sintaxis básica de ipfwadm:

Ipfwadm [rule_category] [policy_action] [policy] [interface] [target]

CATEGORIAS DE NORMAS IPFWADM

-A[DIRECCION]

-F

-I

-M

-O

COMANDOS

-a [normativa]

-d [normativa]

-f

-h

-i[normativa]

-I

-p

hay tres opciones para especificar la normativa real

• Accept
• Deny
• Reject

PARAMETROS

• -D[direccion]
• -P[protocolo]
• -S[direccion]
• -W[interfaz]

COMO CONFIGURAR IPFWADM

/etc/rc.d y especificar sus normas en el script inicial rc.local.

primero se niega todo ejemplo:

ipfwadm -I -p deny

ipfwadm –O –p deny

ipfwadm –F –P deny

IPCHAINS

Comandos, objetivos y predicadores

-A

-D

-F

-I

-L

-P

-R

objetivos

ACCEPT

DENY

MASQ

REDIRECT

REJECT

Predicado

-b

-d ! [direccion]

-i ! [interfaz]

-p ! [protocolo]

-s ! [direccion]

HERRAMIENTAS GRATIS DE FIREWALL

• Dante
• Ip_filter
• SINUS