M A N U A L D E P R O C E D I M I E N T O

CARRERA: INGENIERA DE SISTEMAS PRCTICA: 3

EQUIPO:
Paola Pintado
Carlos Sigua

Responsable /Equipo.:
Carlos Sigua

Accesorios:
GNS3 y maquinas virtuales linux


CTEDRA O MATERIA
RELACIONADA
REVISIN N: 1


EDICIN: 1
SEGURIDAD DE REDES
DOCENTE:
BYRON CARRIN RAMREZ
NMERO DE ESTUDIANTES
POR EQUIPO O PRCTICA:
2 o 3 DEPENDE DEL # TOTAL
Fecha: 07/05/2014

Tema: IMPLEMENTACION DE FIREWALL EN SOFTWARE, UTILIZANDO IPTABLES COMO
FIREWALL EL CUAL APLICARA FILTRADO DE PAQUETES.

Objetivo:

- Comprender como un firewall puede aplicar las reglas de filtrado de paquetes
Objetivo especifico:

- Implementar los distintos servidores que van a simular los servidores de una empresa como
servidores WEB y servidores DB, adems tambin el ISP que para el caso implementara un
servidor DNS.
- Implementar un firewall utilizando una herramienta disponible en distribuciones Linux como lo
es iptables.
- Establecer reglas de filtrado de paquetes para una red o redes de una empresa.
- Verificar que las leyes se cumplan y comprobar su funcionamiento en un ambiente de
produccin.

Marco Terico:

Cuando hablamos de filtrado de paquetes podemos entender que son reglas que van a permitir o no
el paso de paquetes de informacin a travs de la red.

Empezaremos diciendo que es un firewall, porque es necesario entender este trmino.

Que es un firewall

Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El firewall puede ser
un dispositivo fsico o un software sobre un sistema operativo. En general debemos verlo como una
caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se
decide si una conexin determinada puede establecerse o no. Incluso puede ir ms all y realizar
modificaciones sobre las comunicaciones, como el NAT.

Esa sera la definicin genrica, hoy en dia un firewall es un hardware especifico con un sistema
operativo o una IOS que filtra el trfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica,
se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos
dos tarjetas de red. Esta sera la tipologa clsica de un firewall:



En definitiva lo que se hace es:
Habilita el acceso a puertos de administracin a determinadas IPs privilegiadas
Enmascara el trfico de la red local hacia el exterior (NAT, una peticin de un pc de la LAN
sale al exterior con la ip pblica), para poder salir a internet
Deniega el acceso desde el exterior a puertos de administracin y a todo lo que este entre 1 y
1024.

Hay dos maneras de implementar un firewall:
1) Poltica por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y
solo se denegar lo que se diga explcitamente.
2) Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el firewall
aquellos que se permita explcitamente.

Que es iptables
IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a
partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de
iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de
programacin (esto es una pequea mentira, ha tenido alguna vulnerabilidad que permite DoS, pero
nunca tendr tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables
est integrado con el kernel, es parte del sistema operativo. Cmo se pone en marcha? Realmente lo
que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que aadimos,
borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el
que se van ejecutando las reglas de firewall.


Presentacin del caso:

Queremos implementar un firewall para una empresa siguiendo el esquema de la Figura 1. Como se
puede ver, se ha utilizado un solo firewall para delimitar una red perimetral (198.51.100.0/24) y una
red interna (203.0.113.0/24).








La organizacin utiliza una poltica de denegacin por defecto:

1. Servidor Web 198.51.100.1: se debe permitir el acceso desde Internet a servicios de HTTP y
HTTPS. Los usuarios de la red interna no pueden acceder a este servidor.
2. Servidor Web 203.0.113.1: Usuarios de la red interna han de poder acceder a este servidor a
servicios de HTTP y HTTPS.
3. Servidor BD 198.51.100.2: Tanto el servidor web 198.51.100.1 como el 203.0.113.1 pueden
acceder a este servidor. Se trata de un servidor PostgreSQL que utiliza el puerto TCP 5432.
4. Servidor BD 203.0.113.2: solo el servidor web 203.0.113.1 puede acceder a este servidor. Se
trata de un servidor MySQL que utiliza el puerto TCP 3306.
5. SSH: se permiten conexiones SSH nicamente entre los servidores (tanto de red interna como
perimetral).
6. DNS: La empresa utiliza los servidores pblicos de Google 8.8.8.8 y 8.8.4.4. Tanto los
usuarios de la red interna como los equipos de la red perimetral deben utilizar los servidores
de DNS pblicos de Google.


Anlisis del caso:

Primero hay que establecer una poltica de seguridad y para este caso la poltica perfecta
seria denegar todo el trfico que pase por el router Vyatta, el cual tiene las reglas de
iptables, para que as el router tambin acte como un firewall que impida o no el paso de
paquetes.

Segundo establecer reglas de filtrado desde los ms detallado hasta lo ms general y en un
orden adecuado para que as se respeten todas. Hay que saber si establecemos una regla
general primero las otras reglas especficas no funcionaran.




Presentacin de la solucin:

A continuacin se presenta las capturas de la configuracin del router Vyatta con las reglas en
iptables

















Conclusiones
Pues hay que tener cuidado cuando se implementan las reglas y al escoger la poltica de seguridad
ya que las reglas pueden cambiar segn como se escoja la poltica si es que decidimos aceptar todo o
denegar todo o aceptar todo solo en entrada

Bibliografa: