Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Filtros de Firewall, Sistema de deteccin de intrusin a la red (NIDS), Traslacin de direcciones de red (NAT)
Filtros de firewall
El filtrado de firewall es una herramienta para filtrar trfico Esto consiste de una serie de reglas que tienen la secuencia de reglas tipo: SI-ENTONCES 0) SI <condicin(es)> ENTONCES <acccin> 1) SI <condicin(es)> ENTONCES <accin> 2) SI <condicin(es)> ENTONCES <accin> Si el paquete no cumple con todas las condiciones de la regla, este es enviado a la siguiente regla. Si el paquete cumple todas las condiciones de la regla, la accin especificada es aplicada.
4
Monitoreo de Conexiones
El sistema Connection Tracking (o Conntrack) es el corazn del firewall, este recopila y maneja todas las conexiones activas. Deshabilitando el Connection Tracking el sistema pierde su capacidad de ofrecer NAT asi como la mayor parte de las condiciones de filtrado y marcado. Cada entrada de la tabla representa un intercambio bidireccional de datos Usa muchos recursos de CPU (deshabilitalo si no ests usando firewall o nat)
9
10
Conntrack en Winbox
11
12
Estado de Conexin
13
14
Cadena Input
Proteger el ruteador permitir solamente los servicios necesarios desde fuentes confiables.
Mantenimiento de firewall
Escribe comentarios en cada regla, para hacer a tu ruteador/firewall mas manejable Checa los contadores de cada regla, para que determines la actividad de cada regla Cuida la posicin de la regla, esto es muy importante Usa la accin passthrough para determinar la cantidad de trafico antes de aplcar cualquier accin
17
Accin log
18
Servicios RouterOS
19
20
IMPORTANTE
Los filtros de firewall no filtran comunicaciones a nivel de MAC Debes deshabilitar las funcionalidades MACTELNET y MAC-WINBOX al menos desde la interface publica Debes deshabilitar la funcionalides de descubrimiento y el ruteador no se descubrir por si solo nunca mas (/ip neighbor discovery menu)
21
MAC-telnet y MAC-winbox
22
Cadena Forward
Proteccin de nuestra red a virus y ataques desde Internet y proteccin de Internet de ataques desde nuestra red
25
Bogon IPs
Hay alrededor de ~4,3 miles de millones de direcciones IPv4 Hay algunos rangos restringidos para uso en la red publica. Hay muchos rangos de IP's reservados (no usados al momento) para propsitos especficos Hay muchsimos rangos de direcciones IP no usados
27
28
Knock Port
Usando listas de acceso por tiempo, podemos implamentar un sistema mas seguro para entrar a nuestros equipos desde direcciones inseguras o publicas. Se genera una regla para que cuando el equipo reciba una peticin por un puerto conocido alto (ejemplo: 12789) que la direccion origen la meta a una lista de direcciones (lista_segura) durante un tiempo de... 1 minuto.
Enseguida una regla de filtrado en input por el puerto de servicio (winbox tcp port 8291) donde solo se permita la generacin de nueva conexin a la lista (lista_segura). Tenemos un minuto para entrar a partir de que hicimos el knock. Una vez dentro, ya no nos sacar. Ese procedimiento tendra que hacerse cada vez que se quisiera entrar.
29
Knock Port
Ejemplo:
30
Knock Port
Ejemplo...
31
Knock Port
Ejemplo...
32
Knock Port
Con estas reglas, para poder entrar va winbox a nuestro equipo, primero hay que hacer un knock al puerto 12789 haciendo desde nuestra laptop: telnet <ip_de_nuestro_router> 12789
A partir de esto tenemos un minuto para entrar via winbox a nuestro equipo, si pasa ese tiempo tenemos que repetir el knock.
33
Protocolo ICMP
Protocolo de mensajes de Control de Internet (ICMP) es bsicamente una herramienta de anlisis y reparacin de una red, debe ser permitido pasar a travs del firewall Un tpico ruteador usa solo 5 tipos de mensajes ICMP (tipo:cdigo) Para PING - mensajes 0:0 y 8:0 Para TRACEROUTE mensajes 11:0 y 3:3 Para Path MTU discovery mensaje 3:4 Cualquier otro tipo de mensajes de ICMP debera ser bloqueado
36
37
39
Ataque de DoS
Ataque de DDoS
40
Ping Flood
Ping flood usalmente consiste de un volumen de mensajes aleatorios de ICMP Con la condicin limit es posible ajustar una regla para que se cumpla con cierto lmite Esta accion usualmente es usada junto con una regla igual anterior pero con accin log
41
Escaneo de puertos
Es una prueba secuencial buscando puertos abiertos TCP (UDP) PSD (Deteccin de escaneo de puertos) solo es posible con el protocolo TCP Puertos Bajos De 0 al 1023
Puertos Altos
Del 1024 al 65535
42
Ataques de DoS
El objetivo principal de un ataque DoS es consumir los recursos del sistema (CPU o ancho de banda), al punto que los servicios estandar obtienen una denegacin de servicio Usualmente el ruteador es atacado con paquetes de requisicin de conexiones TCP/SYN causando que el servidor responda con un paquete TCP/SYN-ACK y esperando por un paquete TCP/ACK.
44
45
46
Ataques de DDoS
Un ataque distribuido de denegacin de servicio es similar a un ataque de DoS solo que este ocurre desde muchos sistemas de manera coordinada. Lo unico que puede ayudarnos en esto es usar la opcin TCPSyn Cookie en connection tracking
48