firewall de libre disponibilidad para la apnindex-of.co.uk/infosec/fw-instalacion-v4.0.pdf ·...

Firewall de Libre Disponibilidad para la APN

Firewall de libredisponibilidad

para la APN

Coordinación de Emergencias en RedesTeleinformáticas

Administración Pública Nacional – República [email protected]

Oficina Nacional de Tecnologías de la InformaciónSubsecretaría de la Gestión PúblicaJefatura de Gabinete de Ministros

página 1

lferreyro

ArCERT

lferreyro

New Stamp

2


Copyright © 2002, 2003,2004,2005,2006 ArCERT, ONTI - SGP El software referido en el presente manual se encuentra bajo licencia GPL. Junto con la distribución del software podrá encontrar una copiade la licencia en doc/gpl.txt. La distribución y los paquetes originalespueden encontrarse en http://leaf.sourceforge.net/Contiene software desarrollado por ArCERT para la ONTI - SGP. Este software es gratuito, y es distribuido con la intención de que seaútil, pero sin ninguna garantía. Ni ArCERT y sus consultores, la ONTI ola Subsecretaría de la Gestión Pública aceptan ninguna responsabilidadpor los daños de cualquier clase que su uso pudiera causar.

página 2

lferreyro

New Stamp


Índice General 1 Introducción.........................................................................................4

1.1 Cambios.........................................................................................42 Requerimientos....................................................................................43 Actualización........................................................................................54 Instalación............................................................................................6

4.1 Preparación....................................................................................64.1.1 Planificación de la red............................................................64.1.2 Datos para tener a mano.........................................................6

4.2 Instalación del Hardware..............................................................74.3 Consideraciones.............................................................................74.4 Inicialización..................................................................................84.5 Reinicio........................................................................................13

5 Configuración.....................................................................................145.1 Ingreso.........................................................................................145.2 El editor.......................................................................................145.3 Menús de configuración..............................................................155.4 Configuración de Red..................................................................165.5 Configuración del Firewall..........................................................16

5.5.1 Zones.....................................................................................185.5.2 Interfaces..............................................................................195.5.3 Hosts.....................................................................................205.5.4 Params..................................................................................215.5.5 Policy.....................................................................................215.5.6 Rules.....................................................................................235.5.7 Maclist..................................................................................265.5.8 Masq......................................................................................285.5.9 Blacklist................................................................................30

6 Configuración avanzada.....................................................................306.1 IP Aliases.....................................................................................306.2 Rutas estáticas.............................................................................31

7 Mantenimiento y Monitoreo...............................................................317.1 Backup.........................................................................................317.2 Actualización del firewall...........................................................317.3 Monitoreo de logs........................................................................31

8 Futuro.................................................................................................329 Licencia..............................................................................................32Anexo1: Grabado del CD........................................................................32Anexo2: Preguntas Frecuentes..............................................................32

página 3

lferreyro

New Stamp


1 Introducción El Firewall de Libre Disponibilidad para la APN es un conjunto deprogramas que ha compilado el grupo ArCERT para lograr unadistribución basada en LEAF (Linux Embedded Appliance Firewall,distribución Bering http://leaf.sourceforge.net/bering-uclibc/ ) queutiliza Kernel Linux v2.4, Netfileter/Iptables y Shorewall como soportebase del producto.

1.1 Cambios.

1.0 01/06/2003Versión inicial pública del Firewall. 2.0 10/09/2004Migración a uClibc. Sincronización con LeafBering uClibc 2.2.3.0 17/05/2005Actualización de paquetes y del kernel. Ampliacióndel soporte de placas de red 4.0 18/12/2006 Actualización de paquetes y del kernel.

2 Requerimientos El Firewall ArCERT funciona sobre cualquier PC x86 o clon con lassiguientes características mínimas:

• Procesador Pentium II o superior • 32 Mb. RAM (64 Mb. Recomendado) • 2 placas Ethernet PCI (recomendado 3)

Las placas Ethernet soportadas son las siguientes:• chipset winbond 840 • chipset realtek 8139, 82596, 8390 • ne 2000 compatibles PCI • ni 5010, 52, 65 • Compatibles Tulip (Linksys EtherFast) • (*)Intel Etherexpress Pro 100/1000 • (*)3com 3c50x, 3c59x, 3c900 y 3c905 (3com XL) (*) recomendadas por razones de rendimiento y confiabilidad.

• Disco rígido IDE de 2 Gb. o más (instalado como disco 0 de la controladora 0)

• CDRom IDE ATAPI con capacidad de bootear CDs con norma ElTorito. (Si puede bootear un CD de instalación de Linux,entonces sirve).

• Diskettera 3½” • Placa de video, monitor y teclado para la configuración inicial • Un diskette 3½ “ donde se guardarán las configuraciones

página 4

lferreyro

Note

MigrationNone set by lferreyro

lferreyro

Note

MigrationNone set by lferreyro

lferreyro

Note

Marked set by lferreyro

lferreyro

Note

Accepted set by lferreyro

lferreyro

Note


lferreyro

Note


lferreyro

Note


lferreyro

Note


lferreyro

Note


lferreyro

Note

MigrationConfirmed set by lferreyro

lferreyro

Note

MigrationConfirmed set by lferreyro

lferreyro

Note


lferreyro

New Stamp


Para la configuración Remota se deberá contar con una estación detrabajo dentro de la red interna con un cliente SSH instalado (SSH,putty, etc.).Es necesario que la persona encargada de realizar esta instalaciónposea conocimientos básicos de redes TCP/IP.

3 Actualización Si usted está actualizando el software de Firewall, deberá tomar los siguientes recaudos: 1.0 a 2.0: • Antes de cambiar el CD del Firewall por la nueva versión deberá

editar el archivo de configuración de interfaces de red (accesibledesde el sistema de menús). Se deberán reemplazar las entradas quecontengan la palabra “masklen” por “netmask”, con el correspondiente cambio del valor asociado. Por ejemplo, la línea:

masklen 21deberá ser reemplazada por:

netmask 255.255.248.0Una vez concluido este cambio, se deberá proceder a guardar laconfiguración en diskette.

• Posteriormente al cambio de CD, deberá ingresar al sistema por la consola. Automáticamente se actualizarán las claves SSH. Este cambio le será anunciado la siguiente vez que utilice ssh paraacceder al firewall, y deberá proceder según las instrucciones delcliente para aceptar los cambios.

página 5

lferreyro

New Stamp


4 Instalación

4.1 Preparación

4.1.1 Planificación de la red Antes de comenzar a instalar el hardware y software debemosplanificar la topología de la red. En el caso más simple (que trataremosen este manual), definiremos dos redes: Interna (donde se encuentranlas estaciones de trabajo y servicios internos, como un FileServer), yDMZ (donde se ubicarán los servidores que provean servicios alexterior).El esquema básico del Firewall para este caso será como el que se veen la Figura 1

Figura 1

4.1.2 Datos para tener a mano Será importante tener a mano los siguientes datos:

• IP y Máscara de red del router. • IP asignado al Firewall para conectarse al router (eth0) • IP y Máscara de red asignado al Firewall en la red interna (eth1) • IP y Máscara de red asignado al Firewall en la DMZ (eth2)

página 6

lferreyro

New Stamp


4.2 Instalación del Hardware Se deberán instalar las placas ethernet teniendo en cuenta que sedetectarán en el siguiente orden:

• Realtek 8390 • NE2000 PCI • Realtek 8139 • Winbond 840 • 3Com 59x • Intel EtherExpress Pro 100 • Compatibles Tulip

Y si hay dos que correspondan al mismo driver, se ordenarán por slotPCI. El orden de detección de las placas es el que determinará el nombre decada interface, que a partir de ahora llamaremos eth0, eth1, etc.Se deberá configurar el BIOS de la PC teniendo en cuenta:

• La máquina deberá bootear únicamente del CD • Se deberá habilitar el password del BIOS para proteger las

modificaciones de la configuración• Se deshabilitarán todos los dispositivos y puertos innecesarios

(paralelo, serial2, mouse PS2, usb). • En caso de existir la opción, seleccionar “O/S sin soporte PnP”

Ahora ya podemos insertar el CD correspondiente a la distribución, y undiskette que deberá estar formateado en formato vfat, 1440 kbytes.Esconveniente chequear el diskete para asegurarse que no tenga errores.

4.3 Consideraciones A partir de este momento estamos listos para comenzar con laconfiguración inicial del software. Deberemos tener en cuenta lossiguientes detalles:

• El disco rígido será reparticionado y formateado, por lo que no se podrá recuperar ninguna informaciónpreexistente en él.

• Muchas de las máscaras de red que se utilizan en este documento y la instalación del Firewall se refieren al “masklength” o longitud de la máscara. Por ejemplo, una máscaraigual a 255.255.255.0 tiene longitud 24, y se nota como “/24”.Para más información sobre esta notación se puede consultarla RFC1878 http://www.ietf.org/rfc/rfc1878.txt.

• Se necesitarán al menos dos interfaces ethernet. En todos los casos, la segunda placa (eth1) será utilizada para conectarse a

página 7

http://www.ietf.org/rfc/rfc1878.txt

lferreyro

New Stamp


la red interna.

La instalación del Firewall de Libre Disponibilidad para la APN norequiere conocimientos avanzados de Linux o IPTables, pero sí requiereconocimientos básicos de redes TCP/IP.

página 8

lferreyro

New Stamp


4.4 Inicialización Para comenzar con la configuración inicial debemos asegurarnos que seencuentren insertados el CD del Firewall y el diskette en blanco.Durante el proceso de booteo veremos correr los mensajes habitualesde Linux. Al finalizar este proceso, se verá una pantalla similar a la dela Figura 2

Figura 2

El usuario que se deberá utilizar para configurar el firewall será siempre root, que inicialmente no tendrá password. Una vez ingresado,podremos ver el cartel de bienvenida de la Figura 3 y seguidamente laidentificación de las placas ethernet detectadas como puede verse en laFigura 4.

página 9

lferreyro

New Stamp


Figura 3

Figura 4

Es recomendable tomar nota de esta información y resguardarla en un

página 10

lferreyro

New Stamp


lugar seguro y accesible.A continuación se pedirá ingresar (dos veces) un nuevo password parael usuario root (Figura 5). Al igual que cualquier otra password, sedeberá tener especial cuidado al elegir un password efectivo para nocomprometer la seguridad del sistema.

Figura 5

El firewall está configurado por defecto con la dirección IP192.168.1.254/255.255.255.0 asignada a la interface de la red interna(eth1). Si desea cambiar esta configuración, responda Sí a la pregunta de la Figura 6.

página 11

lferreyro

New Stamp


Figura 6

Una vez concluido este paso, necesitará decidir si desea guardar loslogs del firewall en el disco rígido (Figura 7). Esta alternativa esaltamente recomendable, ya que en caso contrario los logs se perderánal rebootear el firewall, perdiendo toda posibilidad de análisis posterior.Recuerde que debe tener instalado un disco rígido IDE como primariode la controladora 0 para realizar esta operación y que todo elcontenido de dicho disco será borrado, y no podrá ser recuperado.

página 12

lferreyro

New Stamp


Figura 7

Figura 8

página 13

lferreyro

New Stamp


Una vez finalizada (o cancelada) la inicialización del disco rígido, elfirewall procederá a generar un par de claves DSA para poder ingresar vía ssh a la interfase de configuración. Tome nota del fingerpint de la clave tal como se ve en la última línea de la Figura 8. Cuando se intenteconectar remotamente al firewall, podrá utilizarla para verificar laautenticidad del mismo. Por último, asegúrese de que se encuentre insertado el diskette dondese guardará la configuración, y presione OK (Figura 9).

Figura 9

IMPORTANTE: Si ocurre algún error al grabar el diskette, paraconservar la configuración recién ingresada se deberá utilizar elmenú principal de configuración (Ver “Menús de configuración”)

4.5 Reinicio Una vez finalizada la inicialización del firewall, y guardada laconfiguración en el diskette, deberemos reiniciar el equipo utilizando laopción “Reiniciar el equipo” del menú principal.

página 14

lferreyro

New Stamp


5 Configuración

5.1 Ingreso Una vez finalizada la inicialización del firewall, dispondremos de dosmétodos para acceder al menú de configuración: desde la consola y víassh. Para utilizar ssh se deberá ingresar desde la red interna cuyo IP seconfiguró en la etapa de inicialización. No olvidar que la red internadeberá conectarse en la interface eth1 como se observa en la figura.

5.2 El editor En varias de las opciones de configuración se utiliza el editor internodefirewall. Esta es la lista de comandos disponibles:

Ctrl-Q N Salir sin grabar los Ctrl-<SPACE> Comenzar la cambios selección utilizando las teclas de

Ctrl-Q S Salir grabando los cursor. Finaliza con<ENTER> cambios Ctrl-A Seleccionar todo

Ctrl-S Grabar los cambios Ctrl-X Cortar Ctrl-L# Moverse a la línea # Ctrl-C Copiar Ctrl-F Buscar Ctrl-V Pegar Ctrl-R Buscar y Reemplazar Ctrl-U Deshacer Ctrl-G Repetir el último Ctrl-F

o Ctrl-R

página 15

lferreyro

New Stamp


5.3 Menús de configuración

Figura 10

El menú general de configuración describe las siguientes opciones(Figura 10)

• Configuración de red. Aquí se podrán configurar los parámetros referentes a las interfaces de red.

• Configuración del Firewall. Aquí se configuran las reglas que regirán el paso de paquetes IP a través del Firewall

• Configuraciones Generales. Configuraciones extra del host, como idioma del teclado y cambio de password del administrador.

• Check de configuración del Firewall. Aquí podremos verificar que los cambios hechos en la configuración del firewall no tienenerrores de sintaxis.

• Reiniciar el Firewall. Aquí se reinicializarán las reglas del Firewall. Este paso es necesario para aplicar los cambios que sehubiesen realizado en las reglas del firewall.

• Guardar la configuración. Hace permanentes los cambiosrealizados, guardándolos en el diskette.

• Ver log del Firewall. Muestra los paquetes IP rechazados por el firewall más los logueados específicamente por las reglasconfiguradas en el firewall.

página 16

lferreyro

New Stamp


• Reiniciar el equipo.Reinicia completamente el equipo. Este paso es necesario para hacer efectivos los cambios que no sean de lasreglas del firewall, como configuración IP, etc.

• Línea de comandos.Aquí se puede acceder a un shell de Linux. IMPORTANTE: Utilizar esta opción con suma precaución.

5.4 Configuración de Red Aquí tendremos 2 opciones. Configuración IP Interno nos llevará al mismo menú mediante el cual cambiamos el IP interno en la inicialización. Esta opción también ajustará los permisos de accesoremoto (ssh), por lo que es muy importante utilizarla siempre que sequiera cambiar el IP de la red local.El resto de los IPs podrán ser configurados mediante la opción Configuración IP/interfaces file. Aquí tenemos un ejemplo de cómoconfigurar la interface eth0 con dirección IP 200.0.1.2/255.255.255.248

auto eth0 iface eth0 inet static

address 200.0.1.2 netmask 255.255.255.248

Si esta fuese la interface externa y el router del proveedor de internettiene el ip 200.0.1.1/255.255.255.248, como se ve en la , deberemosagregar la siguiente línea para definir una ruta default:

auto eth0 iface eth0 inet static

address 200.0.1.2netmask 255.255.255.248

→ gateway 200.0.1.1 ←

La primer línea de estas configuraciones es la que indica que lainterface debe ser levantada dirante el proceso de booteo. Es muyimportante su presencia para que la interface funcione.

5.5 Configuración del Firewall Para generar la configuración del Firewall, deberemos definir primeroalgunos conceptos:

• Zona.Para configurar el comportamiento del Firewall ante el arribo de un paquete, partimos el mundo en zonas. Cada zona representará una porción con características similares. Porejemplo, una partición común es: Local, DMZ e Internet.Hay dos zonas que siempre están definidas: fw, que representa alos paquetes con origen o destino en el mismo firewall, y all, querepresenta cualquier dirección incluyendo las que pertenecen al

página 17

lferreyro

New Stamp


resto de las zonas. • Interface.Son las interfaces de red que posee el Firewall. Una

interface puede estar asociada uno a uno con una zona. Tambiénes posible que haya varias interfaces pertenecientes a una zona, ovarias zonas accesibles mediante la misma interface.

• Política.Es la acción por defecto que toma el Firewall cuando un paquete proveniente de una zona sale hacia otra.

• Reglas.Son las excepciones a las políticas. Por ejemplo, si la política entre las zonas Internet y DMZ es denegar todo eltráfico, una regla sería que las conexiones al port 80 del webserver sí pueden pasar.

página 18

lferreyro

New Stamp


En el menú de configuración del Firewall podremos acceder a lassiguientes secciones.

Figura 11

5.5.1 Zones Aquí se definen las “zonas” en las que se dividirá la red. Se define unalínea por cada zona, y las columnas son: • ZONA - nombre abreviado para la zona. Debe consistir en hasta 5

letras minúsculas o números. Los nombres deben comenzar con una letra. Las palabras all y fw están reservadas.

• DISPLAY - Nombre completo de la zona, que se mostrará en el inicio del firewall

• COMENTARIOS - Solo a título informativo. Serán ignorados por el Firewall.

La configuración estándar tiene definidas las siguientes zonas:

ZONA DISPLAY COMMENTARIOS net Net Internet loc Local Red Local (interna) dmz DMZ Zona de Servicios públicos

Se pueden agregar, quitar o modificar las zonas que se desee, siempreque quede al menos una definida. Hay que tener en cuenta que si serenombra o borra una zona, no alcanzará con reiniciar el firewall

página 19

lferreyro

New Stamp


solamente, sino que habrá que reiniciar la máquina para hacer efectivoslos cambios.Nota: El orden de definición de las zonas puede ser importante enalgunos casos (ver “Zonas anidadas y solapadas”).

5.5.2 Interfaces Aquí se define qué interface de red del firewall se asocia con cada zona.Habrá una línea para cada interface del Firewall. Las columnasdefinidas son: • ZONA - una de las zonas definidas en Zones. También se puede

especificar “-“, y se deberá especificar en Hosts a que zonas se conecta dicha interface.

• INTERFACE - el nombre de la interface (eth0, eth1, etc.). Cada interface debe ser incluida una única vez aquí, y nunca debeutilizarse la interface loopback (lo)

• BROADCAST - la dirección de broadcast de las redes conectadas a la interface. Se puede especificar la palabra detect en este campo.Para esto la interface debe estar conectada a una única red.

• OPCIONES - lista de opciones separada por comas. Se pueden usar las siguientes opciones:

o tcpflags- esta opción causa que el Firewall revise los flags TCPde los paquetes que ingresan por esta interface. Los testsincluyen Null flags, SYN+FIN, SYN+RST y FIN+URG+PSH;estas combinaciones son usualmente utilizadas para realizarport scans ocultos.

o blacklist– esta opción causa que los paquetes sean comparados con las direcciones ingresadas en Blacklist.

o norfc1918– los paquetes que ingresan por esta interface ytengan una dirección de origen reservada en la RFC1918 yotras RFCs serán descartados. (verhttp://www.ietf.org/rfc/rfc1918.txt)

o routefilter– invoca el servicio de “route filtering” (antispoofing) del kernel en esta interface. El kernel rechazará elingreso por esta interface de paquetes que tengan unadirección de origen que sería ruteada hacia fuera por otrainterface.

o multi– la interface tiene mas de una red IP, y se quiere que elFirewall rutee entre ellas. Por ejemplo: eth1 tiene dosdirecciones, una en cada una de las redes 192.168.1.0/24 y192.168.2.0/24 y se quiere que el firewall rutee entre estasredes.

o maclist- si se especifica esta opción, todos los pedidos deconexión serán verificados por MAC, utilizando laconfiguración de maclist.

página 20

lferreyro

New Stamp


Las opciones mas utilizadas son: • Interface externa -- tcpflags,blacklist,norfc1918,routefilter • Interface interna – nada

Esta es la configuración inicial incluida en el Firewall:

ZONA INTERFACE BROADCAST OPCIONES net eth0 detect routefilter,norfc1918 loc eth1 detect Dmz eth2 detect

página 21

lferreyro

New Stamp


5.5.3 Hosts Para la mayoría de los casos, especificar las zonas por medio de lasinterfaces de red es suficiente. Pueden existir casos donde sea necesario definir una zona de manera más general: este es el propósito de Hosts. Las columnas son:

• ZONE – una de las zonas definidas en Zones. • HOST(S) – el nombre de la interface de red, seguido por dos

puntos (“:”) y por:o Un IP (por ejemplo: eth3:192.168.1.3) o Una red en notación CIDR (ejemplo: eth3:192.168.2.0/22)

Los nombres de las interfaces de red deben coincidir con los enumerados en Interfaces.

• OPCIONES – opcionalmente se puede especificar maclist, en cuyo caso la MAC será verificada.

Si no se define ningún host para una zona, los hosts en la zona toma pordefecto el valor i0:0.0.0.0/0, i1:0.0.0.0/0, ... donde i0, i1, ... son lasinterfaces a la zona. Nota 1: Seguramente no se querrán especificar hosts para la zona deInternet, ya que estos serán los únicos que se podrán acceder sinespecificar reglas adicionales.Ejemplo:La interface local es eth1, y se tienen dos grupos de hosts que sequieren dividir en diferentes zonas: 192.168.1.0/25 y 192.168.1.128/25

Interfacesquedará así: ZONA INTERFACE BROADCAST OPCIONES net eth0 detect norfc1918 - eth1 detect

El “-“ en ZONE para eth1 indica que la interface eth1 se dividirá enmultiples zonas.

Hostsdebería quedar así: ZONE HOST(S) OPCIONES loc1 eth1:192.168.1.0/25 loc2 eth1:192.168.1.128/25

5.5.3.1 Zonas anidadas y solapadas Interfaces y Hosts permiten definir zonas anidadas o solapadas. ElFirewall procesa las zonas en el orden en que aparecen en Zones. Por lo tanto si hay zonas anidadas, la sub-zona deberá aparecer antes que la

página 22

lferreyro

New Stamp


súper-zona, y para las zonas solapadas, las reglas que se aplicarán a loshosts que pertenezcan a las dos estarán dadas por el orden de aparición en Zones. Los hosts que pertenezcan a mas de una zona pueden ser manejadospor las reglas de todas esas zonas. Esto se consigue con la políticaCONTINUE, definida más adelante en “Política CONTINUE”.

5.5.4 Params Aquí se podrán definir variables para ser usadas en el resto de laconfiguración. Se sugiere que se utilicen letras mayúsculas paradiferenciarlas de las variables internas del firewall.Por ejemplo,NET_OPTIONS=norfc1918,routefilterPodrá luego ser referenciada simplemente como $NET_OPTIONS.

5.5.5 Policy Aquí se describen las políticas del firewall sobre el establecimiento deconexiones. El establecimiento de una conexión se describe a partir declientes que la inician, y servidores que reciben dichos pedidos deconexión. Las políticas definidas en Policy definen que zonas tienenpermitido establecer conexiones con otras zonas. Las políticas establecidas en Policy pueden verse como políticas por defecto. Si no hay ninguna regla en Rules que corresponda a un pedido de conexión en particular, entonces la política de Policy es utilizada. Hay cuatro políticas definidas:

• ACCEPT – la conexión es aceptada. • DROP – el pedido es ignorado. • REJECT – el pedido de conexión es rechazado con RST (TCP) o un

paquete ICMP “destination-unreachable”. • CONTINUE – puede ser usada cuando una o las dos zonas

nombradas en la entrada son sub-zonas de o tienen intersección con otra zona. Ver en .

Las entradas en Policy tienen cuatro columnas: • SOURCE – el nombre de la zona cliente definida en Zones, “fw” u

“all”. • DEST - el nombre de la zona destino definida en Zones, “fw” u

“all”. El firewall automáticamente acepta todo el trafico desde élhacia sí mismo, así que “fw” no puede estar en ambos campos a la vez.

• POLICY – política por defecto para los pedidos de conexiónoriginados en SOURCE y destinados a DEST.

• LOGLEVEL – Se deberá especificar “ULOG” en este campo para que los paquetes a los que se aplique esta política sean

página 23

lferreyro

New Stamp


logueados.La política instalada por defecto en el firewall es la siguiente:

SOURCE DEST POLICY LOGLEVEL net all DROP ULOG all all REJECT ULOG

Advertencia:El firewall procesa las políticas de arriba hacia abajo, y usa la primeraaplicable que encuentra.

página 24

lferreyro

New Stamp


5.5.5.1 Política CONTINUE Cuando las zonas están anidadas o solapadas, la política CONTINUEpermite a los hosts que pertenecen a múltiples zonas ser manejados porlas políticas de todas ellas. Por ejemplo:

Figura 12

Zones:ZONA DISPLAY COMMENTARIOS tom Tom Casa de Tom net Internet La Internet loc Loc Red Local

Interfaces:ZONA INTERFACE BROADCAST OPCIONES - eth0 detect norfc1918 loc eth1 detect

Hosts:ZONE HOST(S) OPCIONES net eth0:0.0.0.0/0 tom eth0:200.33.44.55

página 25

lferreyro

New Stamp


Notar que la máquina Tom pertenece a ambas zonas (net y tom). Esto significa que tom debe definirse antes que net en Zones. Recordemos que el orden de evaluación de las zonas esta dado por la definición en Zones.

Policy: SOURCE DEST POLICY LOGLEVEL loc net ACCEPT tom all CONTINUE net all DROP all all REJECT

La segunda línea de arriba dice que cuando Tom es el cliente, laconexión deberá ser procesada primero por las reglas donde la zona deorigen es tom, y si no hay acierto, entonces el pedido de conexióndeberá ser tratado por las reglas donde la zona de origen es net. Es importante que esta política esté especificada ANTES que la siguiente(net a all).

5.5.6 Rules Aquí se definen las excepciones a las políticas establecidas en Policy.El tráfico desde el firewall hacia sí mismo está habilitado vía lainterface loopback. No se puede modificar este tráfico, y las reglas quelo intenten generarán una advertencia y serán ignoradas.Las reglas tienen las siguientes columnas:

• ACTION – o ACCEPT, DROP o REJECT. Tienen aquí el mismo significado

que en Policy. o DNAT – causa que la conexión sea reenviada a la dirección

especificada en la columna DEST. DNAT significaDestination Network Address Translation, también conocido como “port forwarding”

• SOURCE – describe el host origen al que se aplica la regla. El contenido de este campo debe comenzar con el nombre de unazona definida en Zones, “fw” u “all”. Si el origen no es “all”,entonces puede ser restringido un poco mas agregando dospuntos (“:”) seguidos por una lista separada de opciones quepueden contener:

o El nombre de una interface – Refiere a las conexiones recibidas en una interface específica (por ejemplo, loc:eth1), opcionalmente seguida por dos puntos y un IP ored (por ejemplo, loc:eth1:192.168.1.5 o net:eth0:210.1.32.0/21).

o Un IP – especifica el origen de una conexión (por ejemplo,

página 26

lferreyro

New Stamp


net:10.1.1.1). Si ACTION es DNAT, este deberá ser un IP ennotación decimal, y no un nombre canónico.

o Una dirección MAC en el siguiente formato: ~AA-BB-CC-DD-EE-FF

o Una red – especifica el origen de una conexión en cualquierIP de la red (por ejemplo, net:10.0.0.0/16).

• DEST – describe el/los destinos a los que se aplica la regla. Puede tomar cualquiera de las formas de SOURCE, mas las siguientes:

o Un IP seguido por dos puntos (“:”) y un número de port (porejemplo, loc:192.168.1.1:80)

o Un número de port. Esta opción sólo está permitida siACTION es REDIRECT.

• PROTO – Protocolo. Puede ser un nombre de protocolo IP (ip, icmp, igmp, tcp, udp, ospf, ipip, entre otros), el número de dichoprotocolo u “all” . Este campo especifica el protocolo del pedidode conexión.

• DEST PORT(S) – Puerto o rango de puertos (xx:yy). Solo se puede especificar si el protocolo es tcp, udp o icmp. Para icmp, seinterpreta como el “icmp type”. Si no se quiere especificar elpuerto, pero se requiere utilizar las siguientes columnas, sepuede ingresar “-“ en esta columna. Se pueden especificar variospuertos o listas de puertos separados por comas.

• SOURCE PORTS(S) – Puede ser usado para restringir a un cliente en particular a un puerto o rango de puertos. Puede quedar vacíoo “-“

• ORIGINAL DEST – Esta columna puede utilizarse únicamente si ACTION es DNAT. Si se utiliza DNAT y esta columna se deja vacía,toda conexión que ingresa al firewall con origen SOURCE ycoincide con la regla será forwardeada. Esto suele ser correctocuando los pedidos de conexión provienen de Internet, y hay unsolo IP configurado en la interface externa. Cuando el firewalltiene varios IPs externos, o la conexión no proviene de Internet,usualmente desearemos que la regla se aplique solo a conexionesdirigidas a un IP específico. Puede especificarse una lista de IPsseparados por comas.El IP podrá opcionalmente ser seguido por “:” y un segundo IP. Esta dirección será utilizada como el origen de los paquetesforwardeados al servidor que corresponda. Esto es conocido como“Source NAT” o SNAT). Es aconsejable en este caso especificartambién el IP de origen de la conexión en este tipo de reglas.Ejemplo: DNAT loc:192.168.1.0/24 loc:192.168.1.3 tcp www -

206.124.146.179:192.168.1.3 Aquí todas las conexiones ar port 80/tcp originadas en la red

página 27

lferreyro

New Stamp


192.168.1.0/24 (red local) y destinados originalmente al IP206.124.146.179 serán redirigidos al IP 192.168.1.3. A su vez laúltima aparición del IP 192.168.1.3 indica que éste reemplazaráal IP origen del paquete.

Figura 13 DMZ sin NAT

Ejemplo 1: Queremos reenviar todas las conexiones ssh que provengande Internet al host local 192.168.1.5.

ACTION SOURCE DEST PROTO DEST PORT(S)

SOURCE PORT(S)

ORIGINAL DEST

DNAT net loc:192. 168.1.5

tcp ssh

Ejemplo 2: Queremos redirigir todas los pedidos de conexión WWWoriginados en la red local a un proxy transparente corriendo en el IP200.0.1.11 en el port 3128, excepto las dirigidas a nuestro propioservidor (200.0.1.10). Aquí vemos el uso de la columna ORIGINALDEST, que refiere al destino original del pedido de conexión. Notar el uso de “!” para notar complemento.


SOURCE PORT(S)

ORIGINAL DEST

DNAT loc dmz:200.0 .1.11:3128

tcp www - !200.0.1.10

página 28

lferreyro

New Stamp


Ejemplo 3:Queremos correr un web server con IP 200.0.1.10 en la DMZ y permitir el acceso local y remoto a ese servidor.


SOURCE PORT(S)

ORIGINAL DEST

ACCEPT net dmz:200.0. 1.10

tcp www

ACCEPT loc dmz:200.0. 1.10

tcp www

Ejemplo 4:Queremos permitir el acceso al servicio SMTP en todos los hosts que existan en la DMZ, desde todas las ZONAS.


SOURCE PORT(S)

ORIGINAL DEST

ACCEPT all dmz Tcp 25

Nota: Cuando se utiliza all como origen o destino, el tráfico intra-zonano se ve afectado. En este ejemplo si hubiese 2 interfaces en la zonaDMZ, las reglas detalladas mas arriba no implicarían el tráfico entreellas.

Ejemplo 5: Queremos correr un servicio FTP en el IP 10.0.2.2 en nuestra DMZ (usando Masquerade). El IP externo es 200.0.1.2 yqueremos que el servidor sea accesible desde Internet además de la redlocal. En la primera línea podemos dejar libre el campo ORIGINAL DEST, suponiendo que la interface externa del Firewall tiene un solo IP. En la segunda regla debemos especificarlo. En caso contrario, todas lasconexiones FTP originadas en la red local serán reenviadas al servidorde la DMZ, incluyendo las destinadas a todos los servidores FTP deInternet.


SOURCE PORT(S)

ORIGINAL DEST

DNAT net dmz:10.0.2.2 tcp ftp DNAT loc dmz:10.0.2.2 tcp ftp - 200.0.1.2

Ejemplo 6: Queremos que el host de la red interna con dirección MAC02:00:08:E3:FA:55 tenga acceso ilimitado a la DMZ.


SOURCE PORT(S)

ORIGINAL DEST

ACCEPT loc:~02-00-08-E3-FA-55

dmz All

página 29

lferreyro

New Stamp


5.5.7 Maclist Aquí definiremos la relación MAC – IP que se utilizará para filtrartráfico. Esta configuración se utilizará cada vez que se especifiquemaclist como opción en interfaces () o hosts (). Las columnas son:

• INTERFACE – el nombre de una interface previamente definida. • MAC – la MAC address de un dispositivo conectado a la misma

red que la interface. El formato a utilizar es el habitualAA:BB:CC:DD:EE:FF.

• IP Address – una lista (opcional) separada por comas de los IPs asociados a esta MAC.

Nota: tener en cuenta que si se especifica la opción maclist en una interface o una zona, solo las MACs especificadas en esta configuracióntendrán permitido cualquier tipo de tráfico.

página 30

lferreyro

New Stamp


Ejemplo: Queremos verificar las MACs de los servidores que seencuentran en la DMZ (Figura 13). La MAC del Web Server (200.0.1.10)es 00:11:22:33:44:55:66, y la del Proxy (200.0.1.11) es00:ee:dd:cc:bb:aa. Para el proxy solo vamos a verificar la MAC, pero noel IP. De esta manera dicha MAC podrá utilizar cualquier IP. Cualquier otra MAC tendrá denegado el tráfico.

Interfaces: ZONA INTERFACE BROADCAST OPCIONES net eth0 Detect routefilter,norfc1918 loc eth1 Detect dmz eth2 Detect Maclist

Maclist:INTERFACE MAC IP Address eth2 00:11:22:33:44:55:66 200.0.1.10 eth2 00:ee:dd:cc:bb:aa

5.5.8Masq Aquí se definen el clásico “IP Masquerading” y SNAT (Source NetworkAddress Translation). Se utiliza una entrada para cada red para la quese quiera utilizar maquerade. Las columnas son:

• INTERFACE – la interface de red que va a ocultar la red; esta es normalmente la interface conectada a Internet. Opcionalmente sepuede especificar un IP o una subred separándola con “:”. En estecaso solo a los paquetes cuyo destino concuerde con este IP osubred se les aplicará el masquerade.

• SUBNET – la red que queremos que sea ocultada tras INTERFACE. Puede utilizarse un IP, una red o el nombre de una interface. Opcionalmente la subnet puede estar seguida de “!” yuna lista separada por comas de direcciones o subnets que seráexcluidas del masquerading.

• ADDRESS – el IP de origen que se utilizará para los paquetes salientes. Esta columna es opcional, y si se deja en blanco el IPprimario de la interface será el utilizado. Especificar aquí ladirección IP hace más eficiente el procesamiento de reglas en elFirewall. Si el IP especificado no está configurado en la interfacecorrespondiente, este será configurado como alias en la misma.

Ejemplo 1: La interface eth0 esta conectada a Internet y eth1 a la redinterna 192.168.1.0/24. Todas las conexiones originadas en la redinterna son ocultadas tras el IP de la interface externa:

página 31

lferreyro

New Stamp


INTERFACE SUBNET ADDRESS eth0 192.168.1.0/24

Ejemplo 2: Queremos que el tráfico originado en el IP 192.168.9.10 yque salga hacia la red externa sea enmascarado con el IP 200.0.1.3, ytodo el resto del tráfico originado en la red interna utilize el IP principalde la interface eth0 para salir.

INTERFACE SUBNET ADDRESS eth0 192.168.9.10 200.0.1.10 eth0 eth1

5.5.9 Blacklist Cada línea contiene un IP, una red o una dirección MAC en el formato específico del Firewall. Los paquetes cuya dirección de origen coincida con esta lista serán descartados, pero solo cuando ingresen por lasinterfaces con la opción “blacklist” configurada.Las columnas de esta sección son:

• ADDRESS/SUBNET – como se especificó previamente. • PROTOCOL – opcional. Si se especifica, solo los paquetes de este

protocolo serán bloqueados. • PORTS – opcional. Solo puede ser especificado como una lista

separada por comas de ports si el protocolo es tcp, udp o icmp. Ejemplo: Queremos denegar todo el tráfico proveniente de la red210.10.10.0/24 porque nos ha atacado repetidamente, y queremosevitar recibir conexiones desde el port 25/tcp (SMTP) desde el IP210.11.11.1

ADDRESS PROTOCOL PORTS 210.10.10.0/24210.11.11.1 tcp 25

6 Configuración avanzada

6.1 IP Aliases Hay casos en los que el Firewall debe responder a varios IPs como sifuesen propios. Los casos más comunes son dos: Al realizar algunoscasos de DNAT, y al realizar Masquerading. Cuando realizamosMasquerading, los paquetes especificados salen del firewall con unadirección origen diferente a la original. Normalmente esta es ladirección principal del firewall, pero podría utilizarse una diferente.Este caso es manejado automáticamente por las reglas especificadas en

página 32

lferreyro

New Stamp


masq.Pero si el caso es un DNAT especificado en rules y el número IP destinooriginal no es el principal de esa interface del firewall, deberemosagregar uno a mano.Ingresar el Menú Configuración de Red/Configuración IP/interfaces file.Para agregar un IP a la interface agregar en la sección correspondientea la misma la siguiente línea:

auto eth1iface eth1 inet static

address 192.168.10.1netmask 255.255.255.248

→ up ip addr add 192.168.10.4/24 dev eth1 ←

Es necesario reiniciar el equipo para hacer efectivos estos cambios.

6.2 Rutas estáticas Normalmente, en una red simple no será necesario modificar el ruteodel Firewal. En el caso de que debamos agregar rutas a redesespecíficas, deberemos hacerlo en el menú Configuración de Red/Configuración IP/interfaces file. Allí agregaremos la siguiente línea:

auto eth1iface eth1 inet static

address 192.168.10.1netmask 255.255.255.248

→ up ip route add 10.2.0.0/24 via 192.168.10.5 ←

Es necesario reiniciar el equipo para hacer efectivos estos cambios.

7 Mantenimiento y Monitoreo Durante el uso normal del firewal, nos encontraremos con varias tareas de mantenimiento:

7.1 Backup Recuerde copiar periódicamente el diskette que guarda lasconfiguraciones. Este procedimiento puede relizarse bajo cualqueirsistema operativo. Incluso es suficiente con copiar el archivo quecontiene el diskette.

7.2 Actualización del firewall Es conveniente acualizar el CD cada vez que sea publicada una nuevaversión. El proceso consiste en cambiar el CD de la lectora, y reiniciarel equipo mediante la opción 8 del menú principal. Las nuevas

página 33

lferreyro

New Stamp


versiones serán publicadas en la página para miembros del ArCERT.

7.3 Monitoreo de logs Ante un evento del firewall que requiera especial atención, podemosutilizar la opción 7 del menú principal, para ver una bitácora de lospaquetes que se registrado . El formato de las líneas del log es elsiguiente:

<fecha> firewall Shorewall:<zonaorigen>2<zonadestino>:<acción tomada>IN=<interface de entrada> OUT=<interface de salida> MAC=<MAC origen ydestino del paquete> SRC=<IP origen del paquete> DST=<IP destino delpaquete> <opciones y datos extra> PROTO=<protocolo> SPT=<puerto origen>DPT=<puerto destino> LEN=<longitud>

Algunos de estos campos pueden variar según el protocolo del paquete.Para moverse en el log, utilize las flechas de cursor.

8 Futuro Esta es la última versión que ArCERT liberará de este producto. Si tienealguna sugerencia, por favor envíela a [email protected].

9 Licencia. El Firewall de Libre Distribución para la APN es una compilación deprogramas licenciados bajo la “GNU General Public License”, mas otrosdesarrollados por el ArCERT. Se incluye una copia de la GPL y unatraducción de la misma con la distribución. El ArCERT y la Subsecretaría de la Gestión Pública destribuyen estosprogramas esperando que sean útiles, pero sin NINGUNA GARANTÍA,ni siquiera la de buen funcionamiento o de cumplimiento de unpropósito en particular. Ni el ArCERT ni la SGP se hacen responsablespor cualquier daño de cualquier clase que el uso de los programas deesta distribución pudieran causar.

Anexo1: Grabado del CD El Firewall compilado por el ArCERT se distribuye en forma de imagenISO. Esta puede ser grabada en un CD Virgen con cualquier programade grabación (por ejemplo cdrecord para Linux). Se recomienda utilizarCDs regrabables, ya que de esa manera el mismo podrá ser reutilizadopara quemar versiones más nuevas en el futuro. Se recomienda,además, tener siempre una copia de seguridad del cd y del diskette conla configuración.

Anexo2: Preguntas Frecuentes Aquí enumeraremos una recopilación de preguntas frecuentes respecto

página 34

mailto:[email protected]

lferreyro

New Stamp


a la instalación y configuración del firewall. Háganos llegar las suyas [email protected]

1. ¿Cómo cambio el password de administración del firewall?

En el ítem 3 - Configuraciones Generales del menú principalencontrará la opción de cambio de password del administrador.

2. ¿Cómo se si tengo instalada la última versión del Firewal?

Las nuevas versiones del Firewall serán publicadas en la página delArCERT. Se deberá comparar la última versión publicada con elnúmero de versión que aparece en el título de la página principal delmenú de configuración.

página 35

mailto:[email protected]

lferreyro

New Stamp

firewall de libre disponibilidad para la apnindex-of.co.uk/infosec/fw-instalacion-v4.0.pdf ·...

Documents