1
00:00:04,719 --> 00:00:32,770
Al puerto. Y luego en cuanto a la IP origen o destino, lo mismo, D o S para indicar detrás la IP. Por último, la acción a ejecutar, la hemos dicho, era DROP, se me ha olvidado decir LOG también para los registros, y REGET, que sería el caso de rechazar un paquete, pero con información de las tres vías.

2
00:00:32,770 --> 00:00:38,750
vimos que podíamos rechazarlo, bloquear un paquete sin enviar ningún tipo de información,

3
00:00:39,229 --> 00:00:41,770
bloquearlo enviándosela o aceptarlo.

4
00:00:43,539 --> 00:00:49,240
Aquí tenemos las operaciones habituales y aquí están marcadas a añadir y borrar.

5
00:00:49,479 --> 00:00:50,740
Y aquí más.

6
00:00:51,259 --> 00:00:55,500
También es importante el guión N que crea una nueva regla asociada a un nombre.

7
00:00:57,079 --> 00:00:58,020
¿Y para qué sirve eso?

8
00:00:58,020 --> 00:01:17,980
En cuanto a reglas de filtrado, aquí tenemos hacer, permitir, drop, descartar y reject, que sería rechazar. En cuanto a log, lo que va a hacer es registrar, vimos, para establecer auditoría o análisis posterior, se utiliza log.

9
00:01:17,980 --> 00:01:39,299
Y los return detienen el procesamiento de reglas cuando se hace una cadena personalizada. Aquí tenemos un ejemplo de return y es que aquí hemos creado, cuando creamos nosotros una cadena personalizada con un nombre, si queremos salir de esa cadena personalizada y volver a la cadena principal, se realiza con el return.

10
00:01:42,400 --> 00:01:51,200
Aquí tenemos el ejemplo de la cadena personalizada en el que cómo se hace en IPTibus se indica con el guión N y se pone el nombre, por ejemplo, filtro barra baja HTTP.

11
00:01:51,780 --> 00:01:59,340
Aquí cuando generas las IPTibus con ese nombre, veis, ha generado una regla aquí y luego una regla con el retorno.

12
00:01:59,340 --> 00:02:07,640
Lo único que está diciendo por la primera regla es que acepta las conexiones del puerto 80 solo desde esta dirección IP, desde esta fuente, source,

13
00:02:07,640 --> 00:02:15,060
y después que la segunda regla nos dice que sería para devolver el control a la cadena principal

14
00:02:15,060 --> 00:02:17,639
si no coincide ningún paquete con esta regla.

15
00:02:18,520 --> 00:02:23,439
Entonces, cuando llamas a la cadena, cuando está en la cadena, cuando llamas en la cadena principal

16
00:02:23,439 --> 00:02:28,879
y llamas a filtro HTTP, como tenemos aquí, pues ¿qué sucede?

17
00:02:29,000 --> 00:02:33,099
Pues que si esto no lo cumple, daría un return y pasaría a la siguiente regla en la cadena principal.

18
00:02:33,099 --> 00:02:53,909
En cuanto a las acciones en IP tables, hemos visto, pues, vamos a ver DNAT, SNAT, MASKERATE y REDIRECT. En cuanto a DNAT, es utilizada, por lo tanto, en la cadena PREROOTING y es para modificar una dirección IP destino, ¿vale? Y para esto se utiliza el TODESTINATION.

19
00:02:53,909 --> 00:03:06,590
En cuanto a SNAT, es utilizada para el Process Routing y para modificar la dirección IP origen si tiene una dirección IP estática, porque si fuera una dirección IP dinámica estaríamos hablando de otro tipo de SNAT, que sería el Mesh Crate.

20
00:03:07,590 --> 00:03:16,689
Y el Redirect, utilizada en la cadena Process Routing, es para modificar la dirección IP a la que tenga la interfaz de red de entrada. Lo veremos con el 2Ports.

21
00:03:16,689 --> 00:03:33,810
Aquí tenemos ejemplos de reglas. No me paro porque son iguales que las que hemos visto anteriormente. En cuanto a NAT, el Network Address Translation, es un proceso que permite modificar las direcciones IP de los paquetes.

22
00:03:33,810 --> 00:03:51,069
Entonces, lo que haces es traducir direcciones privadas a públicas con NAT. Entonces, o redirigir puertos o mascarado de direcciones IP. Entonces, vamos a ver en NAT, vamos a tener dos tipos en IP títulos, que sean SNAT y DNAT.

23
00:03:51,069 --> 00:03:57,289
en el temario lo habéis visto pues en esta dirección IP estaba mal

24
00:03:57,289 --> 00:04:00,590
entonces bueno aquí en la presentación pues la he cambiado a la correcta

25
00:04:00,590 --> 00:04:09,430
ese NAT sería pues cuando se impide origen de un paquete por la dirección IP externa del equipo

26
00:04:09,430 --> 00:04:14,030
que hace la función NAT y se utiliza para compartir una dirección IP pública

27
00:04:14,030 --> 00:04:16,250
entre varios equipos de una red privada

28
00:04:16,250 --> 00:04:22,310
entonces aquí tenemos esta red privada y lo que queremos es que traduzca pues esta dirección

29
00:04:22,310 --> 00:04:29,410
la traduzca pues a la dirección pública. Entonces, ese dispositivo tendrá dos interfaces

30
00:04:29,410 --> 00:04:34,370
de red, la interfaz de red local, que sería pues la que acabo de decir, la 100.1, y luego

31
00:04:34,370 --> 00:04:39,410
la interfaz hacia Internet, que sería la otra. Entonces, ¿qué es lo que va a hacer

32
00:04:39,410 --> 00:04:50,569
NAT? Nos va a traducir pues esa dirección a la dirección pública. También tenemos,

33
00:04:50,569 --> 00:05:08,949
Entonces, bueno, pues aquí, si lo veis aquí, esta situación se resuelve en IP tribus usando lo que se conoce como el, cuando tenemos que la dirección, pues claro, cuando la dirección es estática, pues se realiza a través de ese NAT.

34
00:05:08,949 --> 00:05:20,430
Pero cuando tenemos que la IP es dinámica, pues entonces la regla IP tribus no será posible indicarle qué IP debe poner porque puede cambiar con el tiempo. Entonces, para eso se utiliza el masquerade.

35
00:05:20,569 --> 00:05:42,509
Aquí lo veremos en dos ejemplos. En el ejercicio que aparece en el libro, en el aula, vemos el ejemplo que lo que quiere hacer aquí es enunciar las reglas y objetivos que tendrían que aplicarse para que el equipo, este es el equipo, el 192.168.1.0.24, puedan tener acceso a Internet.

36
00:05:42,509 --> 00:06:05,129
Entonces, te está diciendo que la IP externa es estática y, por tanto, podemos aplicar ese NAT. Si veis aquí la propia IPTailbox, lo que hace es que aplica primero la tabla con el guion TNAT. Lógicamente, como va a ser ese NAT, será de postrouting y le aplica añadir la de postrouting desde la dirección que estamos diciendo.

37
00:06:05,129 --> 00:06:29,290
A través del protocolo 80, o sea, del puerto 80 y con el protocolo TCP, cuyo origen es la interfaz ETH1. Aquí en el dibujo, esta es la ETH1, la ETH... creo que recordar que esta es la ETH... sí, iría ETH1, ETH0 y ETH2.

38
00:06:29,290 --> 00:06:42,870
Entonces, lo que hace es que con ese NAT queremos traducir esta dirección, que sería esta de aquí, desde el origen de la ETH1 a la dirección pública estática que sería la 858.1.14.

39
00:06:42,870 --> 00:07:13,019
Si la IP externa fuese dinámica, pues ahora utilizamos el masquerade. La propia IP tables es exactamente igual, lo único que cambia es el masquerade y que ahora, lógicamente, como la dirección IP no es estática, no se puede ahora poner en la propia regla IP tables.

40
00:07:13,019 --> 00:07:16,379
Entonces, todo sería exactamente igual, salvo eso.

41
00:07:21,149 --> 00:07:23,689
En The NAT, ¿qué daría The NAT?

42
00:07:25,310 --> 00:07:30,149
The NAT, lo hemos visto anteriormente, que sería el proceso inverso.

43
00:07:30,410 --> 00:07:35,310
Sería el proceso inverso y, por tanto, ahora no podríamos hablar de post-routing, sino que hablaríamos de pre-routing.

44
00:07:35,930 --> 00:07:39,490
Ahora tendríamos que, como en el ejemplo que aparece en el aula virtual,

45
00:07:39,490 --> 00:07:41,810
si se quiere que el servidor web

46
00:07:41,810 --> 00:07:43,810
del DMZ, cuya IP es esta

47
00:07:43,810 --> 00:07:45,629
que sería por la 168.2.3

48
00:07:45,629 --> 00:07:47,329
sea accesible desde Internet

49
00:07:47,329 --> 00:07:49,850
¿vale? Ahora, ¿qué arreglas IP de IP se utilizaríamos?

50
00:07:49,930 --> 00:07:51,870
Ahora utilizaríamos un PRouting y utilizaríamos

51
00:07:51,870 --> 00:07:53,329
DENAT

52
00:07:53,329 --> 00:07:55,430
en el que, bueno, claro, la dirección

53
00:07:55,430 --> 00:07:57,589
ahora el paso, si antes íbamos

54
00:07:57,589 --> 00:07:59,529
de aquí a aquí, ahora iríamos de aquí

55
00:07:59,529 --> 00:08:01,750
a aquí, y entonces la dirección

56
00:08:01,750 --> 00:08:03,970
a la que de destino

57
00:08:03,970 --> 00:08:05,569
o DENAT sería por la

58
00:08:05,569 --> 00:08:07,689
192.168.2.3 que es la que

59
00:08:07,689 --> 00:08:08,269
ponemos aquí

60
00:08:08,269 --> 00:08:21,149
Bueno, aquí he puesto esto para que veáis las direcciones bien y esto es la resolución del DNAT para que lo leáis, ¿vale?

61
00:08:22,350 --> 00:08:28,649
Entonces, resumen, tenemos SNAT que modifica una dirección IP de origen de los paquetes salientes, ¿vale?

62
00:08:28,649 --> 00:08:37,529
Entonces, se utiliza para traducir desde una red interna, pues traducir una dirección privada o una pública, ¿vale?

63
00:08:37,529 --> 00:08:46,769
El SNAT, hemos visto que la regla cambia la IP de origen de los paquetes salientes. Hablamos de que es por routing.

64
00:08:47,710 --> 00:08:56,970
El DNAT ahora modifica los paquetes entrantes y se utiliza para redirigir el tráfico que llega a una IP pública hacia un servidor interno.

65
00:08:56,970 --> 00:09:07,690
El proceso inverso del que hemos visto, el hecho de la primera letra de SNAT, de source fuente y de NAT destino, ¿vale?

66
00:09:08,250 --> 00:09:11,750
En cuanto al ejemplo de NAT, el que hemos visto anteriormente.

67
00:09:14,299 --> 00:09:25,039
El masquerade era un SNAT, pero especial, ¿cuándo? Cuando la IP o la dirección IP pública no era estática, sino que era dinámica.

68
00:09:25,039 --> 00:09:51,320
Entonces, se utilizaría más que nada. La regla es exactamente igual, es por routing y se realizaría sin indicar, pues claro, lógicamente, la dirección IP pública. Por último, tenemos el redireccionamiento de puertos, que se refiere a redirigir el tráfico que llega a un puerto específico a otro puerto en una máquina distinta. Aquí tenemos un ejemplo de cómo redirige el tráfico entrante en el puerto 8080 hacia el puerto 80 en la misma máquina.

69
00:09:54,789 --> 00:09:58,409
Aquí, pues, poco más decir. Esto sería un repaso de lo que hemos visto.

70
00:09:59,029 --> 00:10:08,690
Y aquí ejemplos que son los mismos o ejemplos muy parecidos a los que acabamos de ver, tanto de masquerade como de NAT y SNAT.

71
00:10:10,960 --> 00:10:20,240
En cuanto a ver las reglas NAT en Iptible, se utiliza, pues, a través de poniendo su tabla, guión de NAT y luego, pues, el guión L, guión N y guión U.

72
00:10:23,379 --> 00:10:33,159
Estos serían de nuevo ejemplos, os los miráis, que repite lo mismo y explica un poco cada una de las partes de las IPT2.

73
00:10:36,169 --> 00:10:42,549
Más ejemplos y empezaríamos ahora en cuanto a mejorar el funcionamiento de un cortafuegos con seguimiento de conexión.

74
00:10:42,549 --> 00:10:51,549
Ahora vamos a hablar de añadir seguimiento a la conexión. De esta parte aparece en la práctica.

75
00:10:51,549 --> 00:10:57,149
la práctica. Beneficios de seguir la conexión, pues que permite analizar si los paquetes

76
00:10:57,149 --> 00:11:01,029
pertenecen a una conexión establecida, si están relacionados con una conexión previa

77
00:11:01,029 --> 00:11:07,529
o incluso con una conexión nueva. Utilizan un módulo de estado de la conexión en IPTVOS.

78
00:11:07,769 --> 00:11:16,370
Aquí vemos que para establecer los estados de seguimiento de una conexión podemos tener

79
00:11:16,370 --> 00:11:21,750
cuatro posibles estados, que son los que acabo de anunciar antes. Estableced, Related, New

80
00:11:21,750 --> 00:11:25,669
e invalid. Establecería aquellos paquetes que pertenecen a una conexión

81
00:11:25,669 --> 00:11:29,710
ya establecida, related, que son paquetes

82
00:11:29,710 --> 00:11:33,669
relacionados con la conexión existente. New serían los paquetes que forman

83
00:11:33,669 --> 00:11:37,649
parte de una conexión nueva e invalid serían aquellos que forman parte de una conexión que no es

84
00:11:37,649 --> 00:11:41,889
válida. Todo esto, como lo vamos a utilizar en la IP table, se utiliza

85
00:11:41,889 --> 00:11:45,789
a través de esta arquitectura, que sería el guión

86
00:11:45,789 --> 00:11:49,690
m state y luego doble guión state y el propio estado

87
00:11:49,690 --> 00:11:54,889
de uno de los cuatro que hemos definido anteriormente. El M-State activa el módulo de estado, el

88
00:11:54,889 --> 00:11:59,610
State especifica el estado del paquete que se desea filtrar y Estado es uno de los estados

89
00:11:59,610 --> 00:12:06,350
definidos que serían Estable, Related, New o Invalid. Aquí tenemos tres ejemplos. En

90
00:12:06,350 --> 00:12:14,909
el primero, veis, añade la regla Input, o sea, de entrada al cortafuegos y luego añade

91
00:12:14,909 --> 00:12:22,049
toda la parafernalia o arquitectura del Estado para decir y, por último, con la opción de aceptarlo.

92
00:12:22,049 --> 00:12:31,090
¿Qué está haciendo? Está aceptando el tráfico entrante que pertenece a una conexión que ha sido establecida

93
00:12:31,090 --> 00:12:40,169
o relacionada con otra conexión que ya existe. Aquí aceptaría todo el tráfico de salida para las conexiones nuevas

94
00:12:40,169 --> 00:12:48,409
y aquí bloquea paquetes que no correspondan a ninguna conexión válida, todas las que sean inválidas.

95
00:12:50,330 --> 00:12:56,690
Aquí hay un ejercicio sobre esto, que si se quiere permitir que los equipos de la red LAN puedan hacer consultas al servidor DNS

96
00:12:56,690 --> 00:13:04,129
situado en la red DMZ y cuya IP es esta, ¿qué reglas y objetivos tendrías que crear usando el módulo para el seguimiento de la conexión?

97
00:13:04,730 --> 00:13:11,370
Pues aquí lo está estableciendo, las conexiones que tendría para consultar al DNS desde un cliente de nuestra red local,

98
00:13:11,370 --> 00:13:17,149
pues sería esta de aquí, en la que estaríamos añadiendo tanto las nuevas como las establecidas.

99
00:13:17,889 --> 00:13:29,149
Nos está indicando que se va a añadir una regla forward para todos los paquetes que pasan a través de la red con el protocolo UDP

100
00:13:29,149 --> 00:13:40,549
y a través del puerto 53, que iría desde la interfaz ET0 a la ET2.

101
00:13:41,370 --> 00:13:53,529
con la IP fuente que sería la 192.168.1, porque estamos hablando desde la LAN que irá hasta el servicio DNS que estará en la DMC.

102
00:13:54,309 --> 00:14:02,870
En el segundo caso, respuesta del servidor DNS será que cuando el estado está establecido, que acepta el paquete si cumple con estas condiciones.

103
00:14:02,870 --> 00:14:28,080
En cuanto a los registros de sucesos en el cortafuegos, cómo guardar, hacer persistente todas estas reglas, se pueden guardar, lo puse también en el foro, tanto guardados a través de un script, aquí tenéis cómo realizar el script o usar el comando iptl-shade y con la ruta donde lo va a guardar.

104
00:14:28,080 --> 00:14:44,230
Aquí tenemos cortafuegos integrados en los sistemas operativos. Bueno, lo leéis. Aquí estarían todas las máquinas dedicadas o distribuciones software libre que podemos usar.

105
00:14:44,230 --> 00:14:59,710
Esta les he anunciado y he hablado un poquito antes de ellas, tampoco me voy a parar aquí. Y luego, en cuanto a los cortofuegos hardware, tan solo decir que no difiere de un software y que realmente la única diferencia está en el modo de acceso.

106
00:14:59,710 --> 00:15:04,710
O sea, un firewall por hardware se accede a través de una conexión en red desde otro equipo.

107
00:15:06,210 --> 00:15:22,570
En cuanto nos metemos ya en la introducción de la seguridad perimetral y los IDS, vimos que la estrategia más utilizada de seguridad perimetral se basa en un cortafuegos, pero a veces tiene un problema, que una mala configuración puede hacer que el cortafuegos sea ineficaz.

108
00:15:22,570 --> 00:15:35,649
Entonces, a esto le podemos añadir sistemas de detección de intrusos con los IDS, que vigilan la red buscando comportamientos sospechosos, detectan actividad inadecuada, incorrecta o anómala y que complementan los cortafuegos detectando lo que estos no bloquean.

109
00:15:37,549 --> 00:15:53,090
Entonces, ¿por qué usar un IDS si ya hay un cortafuegos? Pues precisamente por eso, porque solo bloquean accesos o permiten tráfico, pero no se encargan de todo lo que puede realizar, por ejemplo, un detector de intrusos.

110
00:15:53,950 --> 00:16:01,029
Aquí tenemos técnicas de detección de extrusos, pueden detectar patrones anómalos y en detección de firmas.

111
00:16:01,409 --> 00:16:09,029
En detección de patrones anómalos podría analizar tanto el ancho de banda, protocolos y puertos utilizados, actividad de usuarios, aplicaciones y consumo de recursos.

112
00:16:09,029 --> 00:16:17,309
Y en detección de firmas basada en patrones predefinidos de ataques pasados, pues examina paquetes en la red en busca de huellas de herramientas o métodos de hacking.

113
00:16:17,309 --> 00:16:37,580
Ahí podemos hablar de NITS y de IPS. NITS sería un sistema de detección de intrusos basado en red, principalmente decir que va a detectar accesos no autorizados a la red, pero decir que es pasivo, que es pasivo, no va a interferir con la operación normal de la red.

114
00:16:38,220 --> 00:16:41,240
Este se puede implantar en el SNOR cuando se opera como NITS.

115
00:16:41,240 --> 00:16:46,340
En cambio, IPS o sistemas de prevención de intrusos,

116
00:16:46,440 --> 00:16:51,200
pues entendemos que este sí va a ser activo y sí va a actuar directamente sobre el tráfico para prevenir ataques.

117
00:16:52,139 --> 00:16:56,639
Este va a inspeccionar el tráfico de red para detectar intrusiones

118
00:16:56,639 --> 00:16:59,799
y bloquear o interrumpir paquetes sospechosos antes de que lleguen a su destino.

119
00:17:02,730 --> 00:17:06,609
También decir que este puede ser implantado en el SNOR cuando se opera con IPS.

120
00:17:07,289 --> 00:17:17,990
Por último, ya hablar más que de Snore, que es un sistema de detección de intrusos basado en RedNits, pero que también puede actuar como IPS, que es de licencia gratuita y que es compatible tanto en Windows como en Linux.

121
00:17:19,089 --> 00:17:28,710
En cuanto a sus componentes principales, son los que aparecen aquí en el propio, y que tendrá una captura de paquetes que recolecta todo el tráfico de la red para su análisis.

122
00:17:28,710 --> 00:17:34,690
Luego tiene un decodificador, que lo que hace es que estructura los datos capturados y identifica los protocolos presentes en los paquetes.

123
00:17:34,690 --> 00:17:50,369
Luego estarían los preprocesadores, que analizan los paquetes en busca de anomalías o ataques. Y ya por último nos quedaría el motor de detección. Este evalúa los paquetes basados en las reglas definidas y detecta instrucciones y ataques específicos.

124
00:17:51,250 --> 00:17:57,789
El archivo de reglas, lógicamente este es el que va a tener todas las reglas que se van a utilizar para identificar los ataques.

125
00:17:58,309 --> 00:18:05,250
Los glúteos de detección que complementan a todo el motor de SNOT.

126
00:18:05,809 --> 00:18:11,750
Y por último, el modo de salida que define cómo se van a registrar las alertas, los archivos de texto, la consola, la base de datos, etc.