Tallafocs: Protecció de Xarxes i Seguretat Informàtica
Clasificado en Informática
Escrito el en 
catalán con un tamaño de 7,64 KB
Què és un Tallafocs (Firewall)?
Un tallafocs o firewall és una aplicació o dispositiu dissenyat per a bloquejar comunicacions no autoritzades, permetent al mateix temps les que sí que ho estan. La utilització d’un tallafocs és necessària quan es vol protegir certes zones d’una xarxa o certs hosts, d’amenaces que provenen de l’exterior, o inclús, de la pròpia xarxa.
Característiques Fonamentals
- Filtrat de paquets de xarxa: Inspecció d’adreces MAC, IP o port d’origen i destí, permetent un filtrat segons les aplicacions associades a aquest port.
- Filtrat per aplicació: Permet especificar les aplicacions i regles específiques per a cada una d’elles.
- Les diferents regles de filtrat s’apliquen sobre el tràfic de sortida o d’entrada en una determinada interfície de xarxa.
- Registre o logs de filtrat de paquets.
Tipus de Tallafocs
El tallafocs personal és un component de SW que implementa la funcionalitat de tallafocs i que protegeix exclusivament al sistema en el que s'instal·la a través de tècniques de filtratge de les connexions locals amb l’exterior.
El tallafocs domèstic o SOHO (Small Office Home Office) és un dispositiu de xarxa que filtra les connexions d’una xarxa domèstica (un o més equips) amb l’exterior.
El tallafocs corporatiu és un dispositiu o sistema integrat que protegeix mitjançant diverses tècniques de filtrat a tota una xarxa o varis dels seus segments.
Un WAF (Web Application Firewall) és un dispositiu físic que investiga en el tràfic web entre el servidor web intern, publicat a l’exterior, i Internet per a analitzar les dades rebudes en el servidor web procedents de l’activitat de l’usuari i protegir al servidor de diferents atacs de SW com SQL injection, Cross Site Scripting, Remote and Local File Inclusion, Buffer Overflows, Cookie Poisoning, etc.
Arquitectures més Implementades
- Screening router: Frontera entre la xarxa privada i la xarxa pública, es troba en un router que realitza tasques de filtrat.
- Dual Homed-Host: Frontera en un equip servidor realitzant tasques de filtrat i enrutament mitjançant dues targetes de xarxa.
- Screened Host: Un router fronterer exterior més un servidor proxy que filtrarà i autoritzarà afegir regles de filtrat en les aplicacions més utilitzades.
- Screened-subnet: Creació d'una subxarxa intermèdia, denominada DMZ (zona desmilitaritzada), entre una xarxa externa i una xarxa privada interna, permet dos nivells de seguretat. Poden haver-hi diferents dissenys de DMZ.
DMZ (Zones Desmilitaritzades)
- És important determinar quins equips ofereixen serveis de caràcter públic i per tant seran accessibles des de l'exterior de la nostra xarxa.
- La resta d'equips de la nostra xarxa han de ser invisibles a l'exterior per a poder mantenir cert nivell de seguretat en les comunicacions internes.
Tipus de DMZ
- DMZ protegida: Utilitza un tallafocs compartit per a la DMZ i la xarxa interna, és el model més bàsic i més econòmic.
- DMZ exposada: Només es protegeix la xarxa interna sense protegir la DMZ. No dedica recursos a protegir els servidors públics de la DMZ.
- DMZ perimètrica: Utilitza dos tallafocs, on la DMZ està situada entre els dos tallafocs. Un connecta la xarxa interna a la DMZ i l'altre a la xarxa externa. Ajuda a prevenir configuracions errònies accidentals.
Exemples de Configuració amb iptables
Exemple 1
# Mostra les regles de les taules
sudo iptables -L
# S'eliminen regles prèvies i cadenes definides per l'usuari
iptables -F iptables -X
# S'estableixen polítiques "dures" per defecte (opció -P): rebutjar entrada, sortida i redireccionament. Només el que s'autoritzi explícitament podrà ingressar o sortir de l'equip.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# A la interfície lo (localhost) se li permet tot tant d'entrada (INPUT) com de sortida (OUTPUT)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# A la taula filter, la cadena input filtra els paquets amb protocol tcp que entren pel port 23 (port assignat a telnet) i aquests són rebutjats (DROP) sense cap notificació.
iptables -A INPUT -p tcp -dport 23 -j DROP
Exemple 2
# Borrant/inicialitzant el Firewall
iptables -F iptables -X iptables -Z
# Política per defecte tot tancat
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Obint ports
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
# Convertint el Firewall a mode Forward # Això fa que sigui un servidor NAT amb IPs locals, privades # de la xarxa LAN 10.0.0.0, es redireccionen a la interfície eth0 # que tindrà la IP pública (sortida a internet) a la que es tradueix
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
# Obint ports per a FORWARD
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
Neteja Inicial de les Taules
iptables –F iptables –X iptables –Z iptables –t nat –F
iptables –P INPUT DROP
iptables –P OUTPUT DROP
iptables –P FORWARD DROP
Les regles 1 a 4 netegen les taules i els comptadors de tràfic. Les regles 5 a 7 estableixen la política de destí per defecte (la seva target), que estableixen en DROP, és a dir, per defecte es denegarà en les taules INPUT, OUTPUT i FORWARD tot el tràfic que no estigui expressament permès. Les taules 8 i 9 fan la mateixa operació però a la taula NAT per a les cadenes.
Permetre Telnet cap a FW des de PC-Admin
iptables –A INPUT –s 10.0.0.1 –p tcp --dport 23 –j ACCEPT
iptables –A OUTPUT –d 10.0.0.1 –p tcp --sport 23 –j ACCEPT
Prevenció de Suplantacions
iptables –A INPUT -i eth1 -s 192.168.100.0/24 -j DROP
iptables –A INPUT -i eth1 -s 10.0.0.0/24 -j DROP
Anàlisi del Tràfic DNS
iptables –A FORWARD -s 10.0.0.0/24 -d 192.168.100.1 –p udp --dport 53 -j ACCEPT
iptables –A FORWARD -s 192.168.100.1 -d 10.0.0.0/24 –p udp --sport 53 -j ACCEPT