Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Instalación y configuración de cortafuegos. Parte1 - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 30 de enero de 2025 por Francisco J. G.

54 visualizaciones

Instalación y configuración de cortafuegos. Parte1

Más información Transcripción

Descargar la transcripción

Bien, en este tema no vamos a introducir en la instalación y configuración de cortafuegos. 00:00:05
Decir que la presentación contiene casi toda la información que aparece en el aula virtual, a excepción de los sondeos, que eso lo tenéis en el aula, 00:00:15
y la parte del final de Snort, en el que toda la parte de comandos de cómo utilizarlo me lo ha ahorrado. 00:00:27
Es que si no, se hacía excesivamente extensa y no nos da tiempo. 00:00:34
Entonces, cortafuegos. 00:00:38
Básicamente, ¿para qué sirve un cortafuegos? 00:00:42
Está diseñado para proteger una red segura de otra que no lo es. 00:00:43
¿Cómo lo hacemos? 00:00:48
Mediante una política de seguridad y sus principales objetivos serían filtrar el tráfico en transdisaliente, permitir conexiones seguras y minimizar las vulnerabilidades dentro del sistema. 00:00:49
El cortafuegos, por lo tanto, va a controlar y monitorear las conexiones que ingresen y salgan de la red, protegerá sistemas internos de ataques externos y de todo lo que no esté autorizado. 00:00:59
Y luego, en los cortafuegos, veremos que el cortafuegos a veces se va a quedar un poquito corto y que se puede complementar con otros sistemas de seguridad, como son los IDS e IPS. 00:01:19
En cuanto al filtrado del tráfico, ¿qué va a hacer? Va a analizar cada paquete de datos para decidir si realmente ese paquete le va a permitir o le va a bloquear. Va a definir un control de acceso en cuanto a qué usuarios o sistemas tienen permiso. 00:01:29
Y podemos luego, gracias al cortafuegos, podemos hacer un registro de eventos. Todas las acciones que realice o en cuanto a los permisos, a quién deja pasar, a quién no, etcétera, se puede obtener a través de auditoría o análisis posteriores. 00:01:57
Es decir, que también los cortafuegos tienen una serie de limitaciones inherentes. Esas limitaciones, pues que no van a proteger de amenazas internas, que no pueden analizar ni bloquear conexiones que no pasen a través de ellos, a todo lo que no pase a través de ellos, ni lo han visto ni lo conocen y no podrán hacer absolutamente nada, y que son más efectivos cuando hay otros mecanismos de seguridad, como hemos visto, pues en detección de intrusos, IDS, IPS, etc. 00:02:17
Bien, en cuanto al concepto y funcionamiento, en el tráfico de redes, ¿qué tipo de información va a obtener? 00:02:49
Pues, lógicamente, de esos paquetes va a tener la información tanto de las IPs de origen y destino, de qué tipo de protocolo está basado ese paquete o el envío del paquete y el número de puerto involucrado en la conexión. 00:03:01
Bien, en cuanto a establecer una protección basada en normas, filtrar el tráfico de entrada o establecer mecanismos de utilización más fuertes serían las funciones principales de un cortafuegos. 00:03:17
También podremos añadir, ocultar información que tenemos en la red y que no queremos que sea conocida y, como he dicho antes, crear registros de todo esto que está realizando el cortafuegos, de todas las cortapisas que está poniendo o quien debe entrar y quien debe salir, pues registrarlo a través de auditorías o a través de logs o lo que sea. 00:03:39
En cuanto a los paquetes, el contrafuegos tiene tres opciones. Puede realizar una acción de aceptarlo, puede realizar una acción de rechazarlo o puede denegarlo. En cuanto a aceptarlo, está claro, nada más que permite el paso del paquete y ya está. 00:04:05
En cuanto a rechazar y denegar, sería prácticamente lo mismo, pero no es igual. Rechazar sería bloquear el paquete, pero notifica al emisor de por qué, de la causa del bloqueo, mientras que denegar lo va a hacer. Bloquear el paquete igual, lo que pasa es que no va a enviar ninguna notificación. 00:04:22
En clasificación de los cortafuegos tenemos varios tipos de cortafuegos. Aquí hemos puesto cuatro y luego hay otros tres que ahora veremos, pero principalmente tenemos estos cuatro, que serían el de filtrado de paquetes, el de circuito a nivel de pasarela, el de inspección de estado y el de capa de aplicación próxima. 00:04:42
El desfiltrado de paquetes es el que le llega al paquete, lo evalúa individualmente según las reglas que hayas puesto en cuanto a IPs, puertos, protocolos, etc. 00:05:03
El circuito a nivel de pasarela establece la conexión segura y luego, una vez que ha establecido la conexión, va a confiar en el tráfico posterior. 00:05:19
En cuanto a la inspección de estado, se basa en si el paquete pertenece a una sesión válida o no. Y, por último, el de capa de aplicación, o proxy, sería el que monitorea y filtra el tráfico en función de protocolos y de servicios HTTP o FTP. 00:05:26
Luego habría otros, otro tipo de clasificación de contrafuegos, que es donde englobo estos que serían personales, SOHO, Small Office, Home Office y los corporativos. 00:05:47
Los personales serían los que van integrados dentro de los sistemas operativos, como Windows Defender, como las IP tables en Linux, y el de SOHO sería diseñado para pequeñas oficinas. 00:06:00
En cambio, los corporativos serían los que están adaptados a grandes redes. 00:06:11
¿Qué pasos hay que hacer para una instalación exitosa en cuanto a una instalación de un cortafuegos? 00:06:19
Primero, lógicamente, recolectar información sobre la red que tenemos, todos los detalles, los servicios que están expuestos, 00:06:25
qué necesidades tenemos de seguridad con respecto a nuestra red. 00:06:33
Una vez que tenemos toda esa información, entonces vamos a definir una a una las políticas de seguridad que vamos a establecer. 00:06:38
Establecer qué está permitido, qué no está permitido, si queremos hacerlo muy permisivo o restrictivo. Recordar, permisivo sería cuando se permite todo salvo. En cambio, restrictivo sería cuando se restringe todo salvo. Veis la diferencia. 00:06:44
Entonces, el tercer paso sería la selección del tipo de cortafuegos, elegir bien sea de tipo hardware, de software, puede ser un híbrido, etc. Por último ya sería implementar el cortafuegos y configurar las reglas replicadas si es necesario. Si veis, pues casi todo esto es lo que, parte de ello es lo que habéis hecho en la práctica. 00:07:03
Y luego, por el barrio de funcionamiento, verificar que efectivamente está funcionando el contrafondo y de la manera que vosotros habéis configurado y con las reglas que habéis configurado. 00:07:22
Una configuración típica sería establecimiento de políticas, lo que he dicho antes, restrictivas o permisivas, definición de las reglas basadas en IPs, en puertos y protocolos y el registro de eventos siempre. 00:07:34
activar los logs para ver, pues, auditar todo lo que está sucediendo, que estemos enterados de lo que sucede tras decir del cortafuegos. 00:07:49
En cuanto a la regla de filtrado, tenemos tanto input, output y forward, la vamos a ver a lo largo de toda la presentación. 00:07:58
Aquí lo denuncio por pena a la vez, pero vamos, que serán reglas en las que se aplica un tráfico, el tráfico que es dirigido al cortafuegos. 00:08:07
El output sería el que sale del cortafuegos y el forward es cuando está atravesando el cortafuegos. Aquí viene un ejemplo de IP tables, luego vamos a ver muchas más, entonces, bueno, esta también aparece, entonces tampoco me detengo hasta que tengamos, habíamos visto cómo se enuncia una regla IP tables, etc. 00:08:16
En cuanto a los módulos comunes, tenemos varios modelos. Aquí tenemos tres de ellos, que serían el Choke Point, el Skin Subnet con DMZ y la subred con protegida fuerte. 00:08:33
La primera es aquella en la que, si veis, es la que aparece aquí abajo, que sería la que tiene un único punto de filtrado, que es este, el Choke Nut. 00:08:50
La segunda sería la que ya está separando la zona privada de los servicios públicos, el DMZ, que sería una subred débil. 00:08:59
Y luego la fuerte, que sería esta de aquí, que sería la subnet fuerte, es la que ya ahora tiene dos puntos, dos capas de protección. Una que aísla tanto la LAN como la DMZ y otra que también si sucede algún problema con este punto de acceso, que era el que teníamos aquí, pues sigue sin estar afectada la red interna. 00:09:11
En cambio aquí al tener doble, aunque fallara este, tendríamos todavía la red interna aislada. 00:09:35
El checkpoint utiliza un único punto de filtrado, lógicamente es la más económica y menos segura y simplemente está basado en aprovechar algunos routers como bloquear o filtrar plaquetes y poco más. 00:09:43
Con respecto a la segunda, con DMZ, esta sería menos barata, va a ser un poquito más segura y aquí lo que utiliza es el llamado bastión, que sería este de aquí, en el que va a ejecutar muchos servicios con un router, 00:09:55
pero lo que va a hacer es que va a proteger aquí, va a aislar a la DMZ de la LAN. 00:10:18
Pero cuidado porque si este falla, pues entonces la LAN estaría expuesta. 00:10:28
Entonces, aporta un nivel de seguridad aceptable, pero no hay un número de protección máximo 00:10:33
como sucedería con el tercero, que sería la protección fuerte, en el que tendríamos ahora ya dos capas de protección. 00:10:41
En esta disposición, pues el cortafuegos externo bloquea y controla el tráfico no deseado desde la red externa a la DMZ. En cambio, el cortafuegos interno, el externo le llama al de acceso y el de interno el de contención, bloquea y controla el tráfico no deseado de la DMZ a la red interna. 00:10:47
A diferencia de las otras, tenemos que un fallo en el bastión, lógicamente, no afectará o desprotege la red. 00:11:06
Aquí tenemos las pruebas de funcionamiento de herramientas, NETSTAT, NEMAP, HPIN, saber que NETSTAT verifica órdenes desactivas y puertos en uso, 00:11:17
que NEMAP escanea puertos abiertos y servicios y que HPIN realiza pruebas de conectividad y seguridad. 00:11:27
En esto no me voy a meter en la presentación, lo tenéis en el aula. 00:11:35
Configuración de logs, más que hablar, ya hemos dicho que era muy importante registrar los eventos que van sucediendo. 00:11:41
Entonces, con la idea de poder identificar tanto intentos de accesos y comportamientos anómalos y de analizar el historial de conexiones y filtrados. 00:11:48
Aquí tenemos una regla IP tables en la que lo que hace es que genera un registro con un prefijo indicado que sería este de aquí. 00:12:01
Luego veremos cómo enunciamos estas reglas. 00:12:08
En cuanto a soluciones de software libre, aunque luego al final también hablo, pues tenemos estas tres, que es IPCOP, WebSense y Cential. 00:12:14
He añadido aquí UFW para compararlo con ellos y puesto que alguno me establecía, algún alumno me establecía una duda en la… 00:12:23
Y bueno, pues aquí tenéis una tabla de diferencia de nivel de complejidad, de bajo, alto y medio, si es un firewall básico o es un poquito más complejo y luego pues para qué entorno ideal está, qué entorno sería el más factible para usar. 00:12:32
Pues en el IPECO, para ser más bajo, puedes utilizar redes domésticas o pequeñas. En cambio, Cential, pues, utiliza, pues, que es de nivel medio, utilizará medianas y, lógicamente, el que es de nivel alto será para empresas, pues, o redes más complejas. 00:12:51
Y con esto decir que el cortafuegos es un componente crítico en cualquier estrategia de seguridad, que su efectividad vendrá dada por sus pruebas regulares y el uso de herramientas complementarias, como dije al principio. 00:13:06
En cuanto a lo que es el cortafuegos, me paro aquí, realmente he resumido todo lo que aparece en el tema y nos metemos con las reglas de filtrado de cortafuegos. 00:13:24
Que sean los tipos de reglas, que son las IP tables, que es un sistema Firewall integrado en el kernel de Linux, que está formado por tres tablas de reglas y serían estas tres. 00:13:37
Tenemos aquí Filter, NAT y Mangle. En cuanto a Filter, que es el que vamos a ver en principio, vamos a ver todas, el hecho de tener una tabla u otra, pues hay que enunciarlo en la propia IPTVOS. 00:13:49
En cuanto a Filter, pues ofrece las funciones de Input, Output y Forward, que ya lo hemos visto, cuando entra, la regla se aplica de filtrado cuando entra en el cortafuegos, cuando sale o cuando lo atraviesa. 00:14:03
En cuanto a NAT, ofrece funciones de enmascaramiento de direcciones IP y de redirección de paquetes. Tenemos el prerouting, el postrouting y el out. Prerouting, preroutado, pues va a permitir realizar una acción previa a la entrada del paquete. Postrouting, pues sería posteriormente al enrutado. Y el output, salida, son reglas para aplicar paquetes que tienen como origen el equipo que tiene instalado las IPT. 00:14:16
Luego tenemos Mangle, que sería usado para alterar el estado de un paquete. Aquí tenemos las reglas de filtrado, que serían Input, Output y Forward, un poquito más desarrollado que lo que hemos visto al principio. Input llegan, Output salen y Forward cuando se retransmiten. 00:14:39
Y aquí tenemos ejemplos de ellas. Si os fijáis en el primer ejemplo, ¿qué es lo que nos está diciendo? Nos está diciendo que, bueno, ahora vamos a ver cómo es una IPTelvos, cuáles son sus partes, ¿vale? Este sería, pues, para añadir una regla, que sería, pues, de entrada, input. Este sería el protocolo, el guión P indica el protocolo sobre el que se va a actuar. Este sería el puerto de destino. 00:14:59
Cuando tengáis una D delante del port Destiny y cuando ese es de source, de fuente, 00:15:21
se va a aplicar sobre el porto 22, luego tendrá que ver con las conexiones SSH. 00:15:28
Aquí lo que nos está indicando con el menos J, el guión J nos está indicando que se acepten con acepto. 00:15:34
Aquí está la acción que va a realizar. 00:15:40
Entonces, se está diciendo que la primera regla permite conexiones SSH al porto 22 solo desde esta dirección IP. 00:15:43
A continuación, la segunda regla te está bloqueando el resto de conexiones, o sea que estas dos reglas nos están diciendo que permite la conexión SSH a través de esta IP fuente, pero el resto de conexiones las bloquea. El drop nos está indicando que bloquea las direcciones. 00:15:50
En cuanto al output aquí tenemos otro que sería pues en el que bueno pues esta ya sería pues una regla pues de saliente hacia, nos está diciendo que permite el tráfico saliente pues al puerto, hacia el puerto 80. 00:16:11
con respecto a los demás 00:16:23
sean bloqueados 00:16:26
todas las demás 00:16:29
y aquí en el último que sea en cuanto al forward 00:16:29
nos está indicando pues que 00:16:32
la primera regla 00:16:34
nos está diciendo pues que permite el tráfico 00:16:36
desde 00:16:39
este sería pues 00:16:39
in y out indica 00:16:42
y este sería por la interfaz 00:16:44
entonces nos está indicando desde esta interfaz 00:16:45
a esta interfaz está aceptado 00:16:48
en cambio también está aceptado 00:16:49
en la 00:16:51
de manera bidireccional en el otro sentido y luego bloquea el resto de tráfico para todo lo demás. 00:16:53
En cuanto a reglas adicionales, tenemos las reglas NAT, que ya hemos dicho que eran las de perroutine y postroutine, 00:17:04
y las reglas mango, que era cuando se modificaba el estado de aparatos. 00:17:10
Entonces, las veremos una a una, pero antes de ello, y esto viene en el aula virtual, 00:17:17
Es un resumen de la secuencia de aplicación de las reglas. He aplicado las tres situaciones que hay, o lo he indicado en este cuadro azul, de cuáles son las tres situaciones. 00:17:24
Las tres situaciones serían la primera, la que va desde el pre-routing, o sea, el paquete llega al cortafuegos, se le aplica un pre-routing y luego se produce el enrutamiento. 00:17:34
Una vez que se ha producido el enrotamiento, pues como el paquete no va dirigido al cortafuegos, pues lo atravesará con el forward y se podrán aplicar después regulares de pre-routing. 00:17:44
La segunda situación sería cuando llega al cortafuegos, se le aplica el pre-routing antes de entrar, se toma la decisión de encaminamiento y en este caso, si va a dirigirse al propio cortafuegos, entonces a través de las reglas input entra y termina el proceso. 00:17:55
En cambio, el último sería la situación en la que parte en el mismo portafuegos, en un proceso local, y pues saldrá, entonces se le aplicarán las reglas de output. Se produce el encaminamiento y luego, pues lógicamente, pues tendrá las reglas de, se le aplicarán las reglas de post-routine. 00:18:19
Esta sería las tres tipos de situaciones de secuencia de aplicación de reglas. Aquí hay un resumen de esas tres situaciones. Situación 1, prerouting, forward, postrouting. Situación 2, prerouting e input. Y situación 3, output y postrouting. 00:18:39
En cuanto a la sintaxis de IPTables, no me he metido muy lleno antes. En cuanto a estas dos sintaxis, en los corchetes ya sabéis que lo que está diciendo es que puede ser algo opcional, no es necesario ponerlo siempre. 00:19:01
Entonces, aquí lo divide en una primera parte que sería la tabla, acordaos, tres tipos de tablas, la de filter, mango y la de nata. Y luego tenemos las opciones, opciones son las que determinan el tipo de operación que se va a producir. 00:19:17
O sea, si vamos a añadir una regla, si la vamos a listar, si vamos a borrar una regla, etc. La cadena, que sería la cadena, en este caso, como son tablas de filtro, si pongamos tabla de filtro, pues sería filtrado, input, output, forward. 00:19:35
La condición especifica el tráfico o los paquetes a los que se aplicará la regla. Aquí vamos a poder meter direcciones IP, puertos, protocolos, recordar protocolos con el guión P, puertos con el port o ese port y luego direcciones IP, que veremos luego también cómo se mete. 00:19:52
Y luego, por último, tenemos la acción. La acción a realizar sobre los paquetes. Y hay tres acciones. Las vimos al principio. O aceptamos, o rechazamos, o denegamos. Veremos cuáles son esas. Serán ACCEPT, que sería el caso de que las aceptamos. DROP, que sería el caso en el que se rechazan. Y luego tendríamos el caso de REGET, que lo veremos en un ejemplo. 00:20:11
Aquí tenemos un ejemplo cuando queremos añadir una regla. He puesto aquí tipo de operación para iniciar, pues ya hemos visto que el primer contenido era el tipo de operación, pues con el guión A nos está diciendo que vamos a añadir una regla. 00:20:35
La cadena de filtrado, que sería en este caso input, y luego con respecto al tráfico de paquetes, ¿qué le aplicamos? Pues le aplicamos que sea del protocolo TCP. A continuación, ya ponemos la acción a realizar y decimos que todo lo que enuncie la A se va a hacer. Esto se hace a través del guión J. 00:20:55
Entonces, que esta regla que está diciendo que el tráfico TCP, todo el tráfico en el puerto 80 de tipo TCP hacia el cortafuegos, por todo lo que es input, pues será aceptado. 00:21:14
La segunda sería eliminar una regla. No varían con respecto a la anterior. Lo único que varía es que ponemos en verde menos A de ADD, añadir D de delete, de borrar. 00:21:30
Entonces, decimos que todo lo contrario. Si antes añadíamos la regla, ahora la eliminamos. ¿Qué más? Menos L. El guión L nos indicaría que podemos listar las reglas configuradas. Limpiar reglas o borrar todas las reglas con el guión F. Guardar reglas. Para guardar reglas actuales en el sistema, dependiendo del sistema operativo, podemos utilizar el IPTables Save. 00:21:40
Aquí tenemos todos los parámetros de IPTL. Este sería lo que hemos, estas cuatro de aquí, sería cuando estábamos hablando de lo que es el tipo de operación. 00:22:06
Entonces, el tipo de operación A, añadir una regla, D, eliminar una regla, L, listar todas las reglas, y F sería borrar todas las reglas. 00:22:21
En cuanto pasamos a P de port, S port y S, estamos hablando de los paquetes a los que se aplicará la regla. 00:22:28
Es decir, que aunque pongamos cada uno de los componentes en distinto orden, no pasa nada. 00:22:39
Mientras todos los componentes que sean necesarios para arreglar IP tables se cumplan, no podemos alterar el orden de los mismos. 00:22:45
Entonces, aquí tenemos que para indicar el protocolo o especificarlo, bien sea TCP, UDP y CMP, pues se le tiene que poner delante el guión. 00:22:52
En cuanto al tipo de especificar el puerto, puede ser tanto de destino como de origen, destiny, source. 00:23:03
Y aquí tenemos varios ejemplos en cuanto a... 00:23:09
Idioma/s:
es
Materias:
Informática
Niveles educativos:
▼ Mostrar / ocultar niveles
  • Formación Profesional
    • Ciclo formativo de grado básico
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado medio
      • Primer Curso
      • Segundo Curso
    • Ciclo formativo de grado superior
      • Primer Curso
      • Segundo Curso
Autor/es:
Francisco J. González Constanza
Subido por:
Francisco J. G.
Licencia:
Todos los derechos reservados
Visualizaciones:
54
Fecha:
30 de enero de 2025 - 13:32
Visibilidad:
Público
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
23′ 13″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
416.24 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid