PARTE IV.

Uso de shorewall
Shorewall
Configuracin de Shorewall

Shorewall
Shorewall (Shoreline Firewall) es una herramienta para
simplificar la construccin de sistemas cortafuegos que
hagan uso de NETFILTER
Shorewall no es un cortafuegos, es una herramienta de
alto nivel para configurar NETFILTER
Genera reglas NETFILTER en base a ficheros de
configuracin que describen red y polticas de filtrado
Funciona de modo puntual, no continuo
Configura las reglas NETFILTER del kernel, pero no
monitoriza el trfico en el firewall
Web del proyecto: http://shorewall.net/
Facilita la gestin de configuraciones de red complejas
La configuracin de Shorewall se basa en el concepto de
zonas (red interna, red externa, dmz, etc)
Las polticas de filtrado y acceso se definen en base a
esas zonas

Configuracin de Shorewall (I)

La configuracin de Shorewall se realiza mediante ficheros
de texto ubicados en /etc/shorewall
Fichero /etc/shorewall/zones
Shorewall estructura la red en un conjunto de zonas, definidas
en el fichero /etc/shorewall/zones
Existe una zona predefinida ($FW) asociada al propio firewall
Ejemplo (three-interfaces)
#ZONE
fw
net
loc
dmz

TYPE OPTIONS
firewall
ipv4
ipv4
ipv4

IN_OPTIONS

OUT_OPTIONS

Los equipos de la red (y los externos) estarn ubicados en una

de las zonas definidas.
Se especifica en los ficheros /etc/shorewall/interfaces y/o
/etc/shorewall/hosts
Las direcciones de los interfaces del firewall pertenecen a la zona
del firewall $FW.
3

Configuracin de Shorewall (II)

Fichero /etc/shorewall/interfaces
Indica que interfaz/interfaces de red del firewall estn
asociados con el trfico de cada zona
#ZONE
net
loc
dmz

INTERFACE
eth0
eth1
eth2

BROADCAST
detect
detect
detect

OPTIONS
dhcp,routefilter,norfc1918

Todas las mquinas (direcciones) conectadas a un interfaz

pertenecern a la zona correspondiente
Cuando varias zonas son servidas por un mismo interfaz se
indica el nombre de interfaz y se anula el campo ZONE con
- para indicar que no tiene zonas asignadas
Ser necesario especificar en el fichero /etc/shorewall/hosts las
mquinas concretas de cada zona

Ejemplos de opciones:
norfc1918: interfaz no admite trfico desde direcciones del rango
de IPs privadas)
blacklist: interfaz no admite mquinas de una lista negra de
4
mquinas prohibidas (/etc/shorewall/blacklist)

Configuracin de Shorewall (III)

Fichero /etc/shorewall/hosts
Indica que equipos estn asociados con cada zona (anlogo
a /etc/shorewall/interfaces)
#ZONE
local1
local2

HOST(S)
eth1:192.168.3.0/24
eth1:192.168.4.0/24

OPTIONS

La reglas de filtrado de trfico se expresan en trminos de

zonas, mediante 2 ficheros
Las polticas generales (por defecto) para las conexiones entre
zonas se especifican en /etc/shorewall/policy
Las excepciones a las polticas por defecto se indican en el
fichero /etc/shorewall/rules

Funcionamiento del firewall definido por Shorewall

Las peticiones de conexin son comprobadas contra las
reglas de /etc/shorewall/rules
Si ninguna regla encaja se toma la accin que indique el
fichero /etc/shorewall/policy

Configuracin de Shorewall (IV)

Fichero /etc/shorewall/policy
Especifica la accin por defecto para el trfico entre dos pares
de zonas (origen+destino) y el tipo de log
#SOURCE
loc
net
all

DEST
net
all
all

POLICY
ACCEPT
DROP
REJECT

LOG LEVEL

LIMIT:BURST

info
info

Polticas posibles: ACCEPT, DROP, REJECT, QUEUE,

NFQUEUE, CONTINUE,NONE
Las polticas por defecto pueden tener acciones adicionales
asociadas, definidas en /etc/shorewall/actions

Configuracin de Shorewall (V)

Fichero /etc/shorewall/rules
Controla el establecimiento de conexiones que supongan
excepciones a las definidas en /etc/shorewall/policy
Pueden definirse a nivel de zona o de direcciones dentro de
una zona (loc:192.168.100.23)
#ACTION
DNAT
REDIRECT
ACCEPT

SOURCE
net
loc
loc

DEST
loc:10.10.10.3
3128
$FW

PROTO
tcp
tcp
tcp

DEST-PORT
80
www
22

SOURCE-PORT
-

ORIGINAL-DEST
130.252.100.69
!192.168.2.2

Acciones posibles: ACCEPT, NONAT, DROP, REJECT, DNAT,

SAME, REDIRECT, CONTINUE, LOG, etc
Posibilidad de definir/utilizar MACROS (combinaciones de
ACCION+nums. de puertos) permite reglas ms compactas

No es necesario definir reglas para diferenciar entre el trfico

de establecimiento de conexiones y el trfico que es parte de
una conexin ya establecida o es trfico relacionado.
Shorewall gestiona el seguimiento y el estado de las
conexiones

Configuracin de Shorewall (VI)

Traduccin de direcciones (SNAT y DNAT)
El enmascaramiento de direcciones (SNAT: source-NAT) se
configura el fichero /etc/shorewall/masq
#INTERFACE
eth0
eth1

SOURCE
192.168.1.0/24
eth2

ADDRESS
206.124.146.176

Trfico con origen 192.168.0.0/24 se enmascarar al enviarlo por interfaz

eth0 usando la direccin 206.124.146.176 (SNAT)
Trfico con origen e eth2 se enmascarar al enviarlo por interfaz eth1
usando la dir. IP de ese interfaz (SNAT)
Si no se indica direccin se usa la asociada al interfaz
NOTA: Asegurarse que en /etc/shorewall/shorewall.conf tenga activada la
redireccin (IP_FORWARDING=On)

La redireccin de puertos (DNAT: destination-NAT) se

configura mediante reglas en /etc/shorewall/rules
#ACTION
DNAT

SOURCE
net

DEST
PROTO
dmz:10.10.10.23:80 tcp

DEST-PORT
80

Redireccin trfico web recibido hacia mquina 10.10.10.23 de DMZ 8

Configuracin de Shorewall (VII)

Otros aspectos:
Shorewall soporta el uso de diferentes mecanismos (IPSEc,
OpenVPN, etc) para establecer tneles/enlaces cifrados con
los que definir redes privadas virtuales (VPN).
Especificadas en fichero /etc/shorewall/tunnels
Define el tipo de VPN (IPsec, OpenVPN, ...) y si interfaz asociado

Depuracin y ejecucin del firewall

$ shorewall start/stop: arranca/para el firewall (no
elimina las reglas en el kernel)
$ shorewall clear: borra en memoria las reglas
NETFILTER
$ shorewall trace start: arranca el firewall emitiendo
traza de los pasos seguidos

La distribucin de Shorewall incluye conjuntos de ficheros de

configuracin de ejemplo, que sirven como punto de partida
para crear el firewall.
Veremos three-interface http://shorewall.net/three-interface.htm

PARTE V. Uso de OpenVPN

Redes privadas virtuales (VPN)
Configuracin y uso de OpenVPN

10

Redes Virtuales Privadas

VPN (Virtual Private Network): Conjunto de tecnologas
que permiten extender el alcance de una red local
(privada) sobre la infraestructura de una red pblica no
controlada, manteniendo la confidencialidad del trfico.
Hacen uso de enlaces cifrados para definir conexiones
protegidas entre porciones separadas de la propia red
Ejemplos tpicos:
Interconexin segura entre 2 delegaciones de una misma
organizacin usando una red pblica no segura (Internet) [VPN
punto a punto]
Conexin segura de un usuario a la red interna desde equipos
fuera de la red de la organizacin [VPN de acceso remoto]

Evitan el uso de lineas dedicadas

Tecnologas: IPSec, PPTP, L2TP, tneles SSH, OpenVPN

11

OpenVPN (I)
OpenVPN es una implementacion de VPN que usa el
protocolo SSL/TLS (Secure Socket Layer/Transport Layer
Security) para crear enlaces de red cifrados.
Usualmente emplea la implementacin OpenSSL
Web: http://www.openvpn.net

Permite 3 modos de operacin:

Host a Host: crea un enlace cifrado entre dos mquinas
independientes
Road Warrior: permite que un usuario se conecte al servidor
OpenVPN desde fuera de la red propia y pueda acceder a sus
recursos
Red a Red: permite que 2 redes separadas pueden
comunicarse para formar una sla red
Se crea la sensacin de que estn unidas por un enlace virtual
Trfico de comunicacin enviado sobre la red pblica va cifrado
12

OpenVPN (II)
Funcionamiento:
Se establece una conexin SSL cifrada entre los 2 extremos
usando la red pblica (por defecto usa el puerto UDP)
En los equipos conectados se crearn interfaces de red
virtuales (tun0, tun1, ...) para acceder a esa conexin
Funcionan como un interfaz de red convencional (ethX)
Tiene dir. IP asignada, participan en las reglas del firewall, etc

El trfico que reciban se enviar cifrado sobre la conexin SSL

13

OpenVPN (III)
OpenVPN soporta 2 modos de autenticacin/cifrado
Clave esttica: se genera una clave esttica que ser
compartida por los 2 extremos
Esquema sencillo de configurar e implantar
Exige un mecanismo seguro para el intercambio previo de la
clave y la proteccin de esa clave en ambos extremos

Modo SSL: hace uso del mecanismo de establecimiento de

sesiones SSL (basado en certificados digitales) para acordar
una clave de sesin temporal que se usar para cifrar cada
conexin concreta
Exige que ambos extremos tengan certificados digitales
firmados por una autoridad reconocida por ambos

Shorewall contempla la definicin de zonas VPN y el uso de

los enlaces virtuales cifrados creados por OpenVPN
14

Funcionamiento SSL/TLS
SSL: Secure Socket Layer
Desarrollo inicial por Netscape
Inicalmente para proteger trfico HTTP, aplicable en otros protocolos.

Actualmente es el estndar TLS: Transport Later Security

Protege el trfico empleando cifrado asimtrico, cifrado simtrico y
HMAC (autenticacin de mensajes con HASH + clave secreta), garantizando:
Autenticacin de las entidades (servidor y/o cliente): empleando
certificados digitales
Confidencialidad de los mensajes: empleando cifrado simtrico con claves
de cifrado negociadas/acordadas en cada conexin
Integridad y atenticidad de los mensajes: uso de HMAC con claves de
autenticacin negociadas/acordadas en cada conexin

Establecimiento de conexin:
Intercambio de certificados servidor y cliente (opcional)
Si son reconocidos: intercambio seguro de clave secreta maestra
(mediante cifrado asimtrico)
Trfico de mensajes: cifrados + autenticados con claves de sesin generadas
a partir de la clave secreta maestra
16