Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Instalación y configuración de cortafuegos. Parte 2 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 30 de enero de 2025 por Francisco J. G.

39 visualizaciones

Instalación y configuración de cortafuegos. Parte 2

Más información Transcripción

Descargar la transcripción

Al puerto. Y luego en cuanto a la IP origen o destino, lo mismo, D o S para indicar detrás la IP. Por último, la acción a ejecutar, la hemos dicho, era DROP, se me ha olvidado decir LOG también para los registros, y REGET, que sería el caso de rechazar un paquete, pero con información de las tres vías. 00:00:04
vimos que podíamos rechazarlo, bloquear un paquete sin enviar ningún tipo de información, 00:00:32
bloquearlo enviándosela o aceptarlo. 00:00:39
Aquí tenemos las operaciones habituales y aquí están marcadas a añadir y borrar. 00:00:43
Y aquí más. 00:00:49
También es importante el guión N que crea una nueva regla asociada a un nombre. 00:00:51
¿Y para qué sirve eso? 00:00:57
En cuanto a reglas de filtrado, aquí tenemos hacer, permitir, drop, descartar y reject, que sería rechazar. En cuanto a log, lo que va a hacer es registrar, vimos, para establecer auditoría o análisis posterior, se utiliza log. 00:00:58
Y los return detienen el procesamiento de reglas cuando se hace una cadena personalizada. Aquí tenemos un ejemplo de return y es que aquí hemos creado, cuando creamos nosotros una cadena personalizada con un nombre, si queremos salir de esa cadena personalizada y volver a la cadena principal, se realiza con el return. 00:01:17
Aquí tenemos el ejemplo de la cadena personalizada en el que cómo se hace en IPTibus se indica con el guión N y se pone el nombre, por ejemplo, filtro barra baja HTTP. 00:01:42
Aquí cuando generas las IPTibus con ese nombre, veis, ha generado una regla aquí y luego una regla con el retorno. 00:01:51
Lo único que está diciendo por la primera regla es que acepta las conexiones del puerto 80 solo desde esta dirección IP, desde esta fuente, source, 00:01:59
y después que la segunda regla nos dice que sería para devolver el control a la cadena principal 00:02:07
si no coincide ningún paquete con esta regla. 00:02:15
Entonces, cuando llamas a la cadena, cuando está en la cadena, cuando llamas en la cadena principal 00:02:18
y llamas a filtro HTTP, como tenemos aquí, pues ¿qué sucede? 00:02:23
Pues que si esto no lo cumple, daría un return y pasaría a la siguiente regla en la cadena principal. 00:02:29
En cuanto a las acciones en IP tables, hemos visto, pues, vamos a ver DNAT, SNAT, MASKERATE y REDIRECT. En cuanto a DNAT, es utilizada, por lo tanto, en la cadena PREROOTING y es para modificar una dirección IP destino, ¿vale? Y para esto se utiliza el TODESTINATION. 00:02:33
En cuanto a SNAT, es utilizada para el Process Routing y para modificar la dirección IP origen si tiene una dirección IP estática, porque si fuera una dirección IP dinámica estaríamos hablando de otro tipo de SNAT, que sería el Mesh Crate. 00:02:53
Y el Redirect, utilizada en la cadena Process Routing, es para modificar la dirección IP a la que tenga la interfaz de red de entrada. Lo veremos con el 2Ports. 00:03:07
Aquí tenemos ejemplos de reglas. No me paro porque son iguales que las que hemos visto anteriormente. En cuanto a NAT, el Network Address Translation, es un proceso que permite modificar las direcciones IP de los paquetes. 00:03:16
Entonces, lo que haces es traducir direcciones privadas a públicas con NAT. Entonces, o redirigir puertos o mascarado de direcciones IP. Entonces, vamos a ver en NAT, vamos a tener dos tipos en IP títulos, que sean SNAT y DNAT. 00:03:33
en el temario lo habéis visto pues en esta dirección IP estaba mal 00:03:51
entonces bueno aquí en la presentación pues la he cambiado a la correcta 00:03:57
ese NAT sería pues cuando se impide origen de un paquete por la dirección IP externa del equipo 00:04:00
que hace la función NAT y se utiliza para compartir una dirección IP pública 00:04:09
entre varios equipos de una red privada 00:04:14
entonces aquí tenemos esta red privada y lo que queremos es que traduzca pues esta dirección 00:04:16
la traduzca pues a la dirección pública. Entonces, ese dispositivo tendrá dos interfaces 00:04:22
de red, la interfaz de red local, que sería pues la que acabo de decir, la 100.1, y luego 00:04:29
la interfaz hacia Internet, que sería la otra. Entonces, ¿qué es lo que va a hacer 00:04:34
NAT? Nos va a traducir pues esa dirección a la dirección pública. También tenemos, 00:04:39
Entonces, bueno, pues aquí, si lo veis aquí, esta situación se resuelve en IP tribus usando lo que se conoce como el, cuando tenemos que la dirección, pues claro, cuando la dirección es estática, pues se realiza a través de ese NAT. 00:04:50
Pero cuando tenemos que la IP es dinámica, pues entonces la regla IP tribus no será posible indicarle qué IP debe poner porque puede cambiar con el tiempo. Entonces, para eso se utiliza el masquerade. 00:05:08
Aquí lo veremos en dos ejemplos. En el ejercicio que aparece en el libro, en el aula, vemos el ejemplo que lo que quiere hacer aquí es enunciar las reglas y objetivos que tendrían que aplicarse para que el equipo, este es el equipo, el 192.168.1.0.24, puedan tener acceso a Internet. 00:05:20
Entonces, te está diciendo que la IP externa es estática y, por tanto, podemos aplicar ese NAT. Si veis aquí la propia IPTailbox, lo que hace es que aplica primero la tabla con el guion TNAT. Lógicamente, como va a ser ese NAT, será de postrouting y le aplica añadir la de postrouting desde la dirección que estamos diciendo. 00:05:42
A través del protocolo 80, o sea, del puerto 80 y con el protocolo TCP, cuyo origen es la interfaz ETH1. Aquí en el dibujo, esta es la ETH1, la ETH... creo que recordar que esta es la ETH... sí, iría ETH1, ETH0 y ETH2. 00:06:05
Entonces, lo que hace es que con ese NAT queremos traducir esta dirección, que sería esta de aquí, desde el origen de la ETH1 a la dirección pública estática que sería la 858.1.14. 00:06:29
Si la IP externa fuese dinámica, pues ahora utilizamos el masquerade. La propia IP tables es exactamente igual, lo único que cambia es el masquerade y que ahora, lógicamente, como la dirección IP no es estática, no se puede ahora poner en la propia regla IP tables. 00:06:42
Entonces, todo sería exactamente igual, salvo eso. 00:07:13
En The NAT, ¿qué daría The NAT? 00:07:21
The NAT, lo hemos visto anteriormente, que sería el proceso inverso. 00:07:25
Sería el proceso inverso y, por tanto, ahora no podríamos hablar de post-routing, sino que hablaríamos de pre-routing. 00:07:30
Ahora tendríamos que, como en el ejemplo que aparece en el aula virtual, 00:07:35
si se quiere que el servidor web 00:07:39
del DMZ, cuya IP es esta 00:07:41
que sería por la 168.2.3 00:07:43
sea accesible desde Internet 00:07:45
¿vale? Ahora, ¿qué arreglas IP de IP se utilizaríamos? 00:07:47
Ahora utilizaríamos un PRouting y utilizaríamos 00:07:49
DENAT 00:07:51
en el que, bueno, claro, la dirección 00:07:53
ahora el paso, si antes íbamos 00:07:55
de aquí a aquí, ahora iríamos de aquí 00:07:57
a aquí, y entonces la dirección 00:07:59
a la que de destino 00:08:01
o DENAT sería por la 00:08:03
192.168.2.3 que es la que 00:08:05
ponemos aquí 00:08:07
Bueno, aquí he puesto esto para que veáis las direcciones bien y esto es la resolución del DNAT para que lo leáis, ¿vale? 00:08:08
Entonces, resumen, tenemos SNAT que modifica una dirección IP de origen de los paquetes salientes, ¿vale? 00:08:22
Entonces, se utiliza para traducir desde una red interna, pues traducir una dirección privada o una pública, ¿vale? 00:08:28
El SNAT, hemos visto que la regla cambia la IP de origen de los paquetes salientes. Hablamos de que es por routing. 00:08:37
El DNAT ahora modifica los paquetes entrantes y se utiliza para redirigir el tráfico que llega a una IP pública hacia un servidor interno. 00:08:47
El proceso inverso del que hemos visto, el hecho de la primera letra de SNAT, de source fuente y de NAT destino, ¿vale? 00:08:56
En cuanto al ejemplo de NAT, el que hemos visto anteriormente. 00:09:08
El masquerade era un SNAT, pero especial, ¿cuándo? Cuando la IP o la dirección IP pública no era estática, sino que era dinámica. 00:09:14
Entonces, se utilizaría más que nada. La regla es exactamente igual, es por routing y se realizaría sin indicar, pues claro, lógicamente, la dirección IP pública. Por último, tenemos el redireccionamiento de puertos, que se refiere a redirigir el tráfico que llega a un puerto específico a otro puerto en una máquina distinta. Aquí tenemos un ejemplo de cómo redirige el tráfico entrante en el puerto 8080 hacia el puerto 80 en la misma máquina. 00:09:25
Aquí, pues, poco más decir. Esto sería un repaso de lo que hemos visto. 00:09:54
Y aquí ejemplos que son los mismos o ejemplos muy parecidos a los que acabamos de ver, tanto de masquerade como de NAT y SNAT. 00:09:59
En cuanto a ver las reglas NAT en Iptible, se utiliza, pues, a través de poniendo su tabla, guión de NAT y luego, pues, el guión L, guión N y guión U. 00:10:10
Estos serían de nuevo ejemplos, os los miráis, que repite lo mismo y explica un poco cada una de las partes de las IPT2. 00:10:23
Más ejemplos y empezaríamos ahora en cuanto a mejorar el funcionamiento de un cortafuegos con seguimiento de conexión. 00:10:36
Ahora vamos a hablar de añadir seguimiento a la conexión. De esta parte aparece en la práctica. 00:10:42
la práctica. Beneficios de seguir la conexión, pues que permite analizar si los paquetes 00:10:51
pertenecen a una conexión establecida, si están relacionados con una conexión previa 00:10:57
o incluso con una conexión nueva. Utilizan un módulo de estado de la conexión en IPTVOS. 00:11:01
Aquí vemos que para establecer los estados de seguimiento de una conexión podemos tener 00:11:07
cuatro posibles estados, que son los que acabo de anunciar antes. Estableced, Related, New 00:11:16
e invalid. Establecería aquellos paquetes que pertenecen a una conexión 00:11:21
ya establecida, related, que son paquetes 00:11:25
relacionados con la conexión existente. New serían los paquetes que forman 00:11:29
parte de una conexión nueva e invalid serían aquellos que forman parte de una conexión que no es 00:11:33
válida. Todo esto, como lo vamos a utilizar en la IP table, se utiliza 00:11:37
a través de esta arquitectura, que sería el guión 00:11:41
m state y luego doble guión state y el propio estado 00:11:45
de uno de los cuatro que hemos definido anteriormente. El M-State activa el módulo de estado, el 00:11:49
State especifica el estado del paquete que se desea filtrar y Estado es uno de los estados 00:11:54
definidos que serían Estable, Related, New o Invalid. Aquí tenemos tres ejemplos. En 00:11:59
el primero, veis, añade la regla Input, o sea, de entrada al cortafuegos y luego añade 00:12:06
toda la parafernalia o arquitectura del Estado para decir y, por último, con la opción de aceptarlo. 00:12:14
¿Qué está haciendo? Está aceptando el tráfico entrante que pertenece a una conexión que ha sido establecida 00:12:22
o relacionada con otra conexión que ya existe. Aquí aceptaría todo el tráfico de salida para las conexiones nuevas 00:12:31
y aquí bloquea paquetes que no correspondan a ninguna conexión válida, todas las que sean inválidas. 00:12:40
Aquí hay un ejercicio sobre esto, que si se quiere permitir que los equipos de la red LAN puedan hacer consultas al servidor DNS 00:12:50
situado en la red DMZ y cuya IP es esta, ¿qué reglas y objetivos tendrías que crear usando el módulo para el seguimiento de la conexión? 00:12:56
Pues aquí lo está estableciendo, las conexiones que tendría para consultar al DNS desde un cliente de nuestra red local, 00:13:04
pues sería esta de aquí, en la que estaríamos añadiendo tanto las nuevas como las establecidas. 00:13:11
Nos está indicando que se va a añadir una regla forward para todos los paquetes que pasan a través de la red con el protocolo UDP 00:13:17
y a través del puerto 53, que iría desde la interfaz ET0 a la ET2. 00:13:29
con la IP fuente que sería la 192.168.1, porque estamos hablando desde la LAN que irá hasta el servicio DNS que estará en la DMC. 00:13:41
En el segundo caso, respuesta del servidor DNS será que cuando el estado está establecido, que acepta el paquete si cumple con estas condiciones. 00:13:54
En cuanto a los registros de sucesos en el cortafuegos, cómo guardar, hacer persistente todas estas reglas, se pueden guardar, lo puse también en el foro, tanto guardados a través de un script, aquí tenéis cómo realizar el script o usar el comando iptl-shade y con la ruta donde lo va a guardar. 00:14:02
Aquí tenemos cortafuegos integrados en los sistemas operativos. Bueno, lo leéis. Aquí estarían todas las máquinas dedicadas o distribuciones software libre que podemos usar. 00:14:28
Esta les he anunciado y he hablado un poquito antes de ellas, tampoco me voy a parar aquí. Y luego, en cuanto a los cortofuegos hardware, tan solo decir que no difiere de un software y que realmente la única diferencia está en el modo de acceso. 00:14:44
O sea, un firewall por hardware se accede a través de una conexión en red desde otro equipo. 00:14:59
En cuanto nos metemos ya en la introducción de la seguridad perimetral y los IDS, vimos que la estrategia más utilizada de seguridad perimetral se basa en un cortafuegos, pero a veces tiene un problema, que una mala configuración puede hacer que el cortafuegos sea ineficaz. 00:15:06
Entonces, a esto le podemos añadir sistemas de detección de intrusos con los IDS, que vigilan la red buscando comportamientos sospechosos, detectan actividad inadecuada, incorrecta o anómala y que complementan los cortafuegos detectando lo que estos no bloquean. 00:15:22
Entonces, ¿por qué usar un IDS si ya hay un cortafuegos? Pues precisamente por eso, porque solo bloquean accesos o permiten tráfico, pero no se encargan de todo lo que puede realizar, por ejemplo, un detector de intrusos. 00:15:37
Aquí tenemos técnicas de detección de extrusos, pueden detectar patrones anómalos y en detección de firmas. 00:15:53
En detección de patrones anómalos podría analizar tanto el ancho de banda, protocolos y puertos utilizados, actividad de usuarios, aplicaciones y consumo de recursos. 00:16:01
Y en detección de firmas basada en patrones predefinidos de ataques pasados, pues examina paquetes en la red en busca de huellas de herramientas o métodos de hacking. 00:16:09
Ahí podemos hablar de NITS y de IPS. NITS sería un sistema de detección de intrusos basado en red, principalmente decir que va a detectar accesos no autorizados a la red, pero decir que es pasivo, que es pasivo, no va a interferir con la operación normal de la red. 00:16:17
Este se puede implantar en el SNOR cuando se opera como NITS. 00:16:38
En cambio, IPS o sistemas de prevención de intrusos, 00:16:41
pues entendemos que este sí va a ser activo y sí va a actuar directamente sobre el tráfico para prevenir ataques. 00:16:46
Este va a inspeccionar el tráfico de red para detectar intrusiones 00:16:52
y bloquear o interrumpir paquetes sospechosos antes de que lleguen a su destino. 00:16:56
También decir que este puede ser implantado en el SNOR cuando se opera con IPS. 00:17:02
Por último, ya hablar más que de Snore, que es un sistema de detección de intrusos basado en RedNits, pero que también puede actuar como IPS, que es de licencia gratuita y que es compatible tanto en Windows como en Linux. 00:17:07
En cuanto a sus componentes principales, son los que aparecen aquí en el propio, y que tendrá una captura de paquetes que recolecta todo el tráfico de la red para su análisis. 00:17:19
Luego tiene un decodificador, que lo que hace es que estructura los datos capturados y identifica los protocolos presentes en los paquetes. 00:17:28
Luego estarían los preprocesadores, que analizan los paquetes en busca de anomalías o ataques. Y ya por último nos quedaría el motor de detección. Este evalúa los paquetes basados en las reglas definidas y detecta instrucciones y ataques específicos. 00:17:34
El archivo de reglas, lógicamente este es el que va a tener todas las reglas que se van a utilizar para identificar los ataques. 00:17:51
Los glúteos de detección que complementan a todo el motor de SNOT. 00:17:58
Y por último, el modo de salida que define cómo se van a registrar las alertas, los archivos de texto, la consola, la base de datos, etc. 00:18:05
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado básico
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado medio
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
39
Fecha:
30 de enero de 2025 - 14:05
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
18′ 12″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
365.46 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid