Professional Documents
Culture Documents
Uso de shorewall
Shorewall
Configuracin de Shorewall
Shorewall
Shorewall (Shoreline Firewall) es una herramienta para
simplificar la construccin de sistemas cortafuegos que
hagan uso de NETFILTER
Shorewall no es un cortafuegos, es una herramienta de
alto nivel para configurar NETFILTER
Genera reglas NETFILTER en base a ficheros de
configuracin que describen red y polticas de filtrado
Funciona de modo puntual, no continuo
Configura las reglas NETFILTER del kernel, pero no
monitoriza el trfico en el firewall
Web del proyecto: http://shorewall.net/
Facilita la gestin de configuraciones de red complejas
La configuracin de Shorewall se basa en el concepto de
zonas (red interna, red externa, dmz, etc)
Las polticas de filtrado y acceso se definen en base a
esas zonas
TYPE OPTIONS
firewall
ipv4
ipv4
ipv4
IN_OPTIONS
OUT_OPTIONS
INTERFACE
eth0
eth1
eth2
BROADCAST
detect
detect
detect
OPTIONS
dhcp,routefilter,norfc1918
Ejemplos de opciones:
norfc1918: interfaz no admite trfico desde direcciones del rango
de IPs privadas)
blacklist: interfaz no admite mquinas de una lista negra de
4
mquinas prohibidas (/etc/shorewall/blacklist)
HOST(S)
eth1:192.168.3.0/24
eth1:192.168.4.0/24
OPTIONS
DEST
net
all
all
POLICY
ACCEPT
DROP
REJECT
LOG LEVEL
LIMIT:BURST
info
info
SOURCE
net
loc
loc
DEST
loc:10.10.10.3
3128
$FW
PROTO
tcp
tcp
tcp
DEST-PORT
80
www
22
SOURCE-PORT
-
ORIGINAL-DEST
130.252.100.69
!192.168.2.2
SOURCE
192.168.1.0/24
eth2
ADDRESS
206.124.146.176
SOURCE
net
DEST
PROTO
dmz:10.10.10.23:80 tcp
DEST-PORT
80
10
OpenVPN (I)
OpenVPN es una implementacion de VPN que usa el
protocolo SSL/TLS (Secure Socket Layer/Transport Layer
Security) para crear enlaces de red cifrados.
Usualmente emplea la implementacin OpenSSL
Web: http://www.openvpn.net
OpenVPN (II)
Funcionamiento:
Se establece una conexin SSL cifrada entre los 2 extremos
usando la red pblica (por defecto usa el puerto UDP)
En los equipos conectados se crearn interfaces de red
virtuales (tun0, tun1, ...) para acceder a esa conexin
Funcionan como un interfaz de red convencional (ethX)
Tiene dir. IP asignada, participan en las reglas del firewall, etc
13
OpenVPN (III)
OpenVPN soporta 2 modos de autenticacin/cifrado
Clave esttica: se genera una clave esttica que ser
compartida por los 2 extremos
Esquema sencillo de configurar e implantar
Exige un mecanismo seguro para el intercambio previo de la
clave y la proteccin de esa clave en ambos extremos
Funcionamiento SSL/TLS
SSL: Secure Socket Layer
Desarrollo inicial por Netscape
Inicalmente para proteger trfico HTTP, aplicable en otros protocolos.
Establecimiento de conexin:
Intercambio de certificados servidor y cliente (opcional)
Si son reconocidos: intercambio seguro de clave secreta maestra
(mediante cifrado asimtrico)
Trfico de mensajes: cifrados + autenticados con claves de sesin generadas
a partir de la clave secreta maestra
16