Arg-Wireless - El Primer Foro de Wireless de Argentina...

Tema 4. Medidas de seguridad en red
Administración de Sistemas y Redes II
Julio López Albín
xulio@dec.usc.es

Índice
1. Cortafuegos 3
1.1. Tecnologías de cortafuegos . . . . . . . . . . . . . . . . . . . . 4
1.1.1. Encaminadores con ltrado de paquetes . . . . . . . . . 4
1.1.2. Pasarelas a nivel de circuito . . . . . . . . . . . . . . . 4
1.1.3. Pasarelas de aplicación . . . . . . . . . . . . . . . . . . 5
1.2. Arquitecturas de cortafuegos . . . . . . . . . . . . . . . . . . . 6
1.2.1. Dual-Homed Host . . . . . . . . . . . . . . . . . . . . . 6
1.3. Zona Desmilitarizada (DMZ) . . . . . . . . . . . . . . . . . . . 6
1.4. Características adicionales de los cortafuegos . . . . . . . . . . 9
2. IPTABLES 9
2.1. Concepto básicos de IPtables . . . . . . . . . . . . . . . . . . 10
2.2. NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.3. Control de conexiones . . . . . . . . . . . . . . . . . . . . . . 11
2.4. Tablas de IPTABLES . . . . . . . . . . . . . . . . . . . . . . . 15
2.5. Flujo de paquetes . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.5.1. Paquetes con destino el host local . . . . . . . . . . . . 17
2.5.2. Paquetes con origen el host local . . . . . . . . . . . . 17
2.5.3. Paquetes redirigidos . . . . . . . . . . . . . . . . . . . 18
2.6. Denición de reglas . . . . . . . . . . . . . . . . . . . . . . . . 18
2.7. Comparaciones . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.7.1. Genéricas . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.7.2. Protocolo TCP . . . . . . . . . . . . . . . . . . . . . . 21
2.7.3. Protocolo UDP . . . . . . . . . . . . . . . . . . . . . . 21
2.7.4. Protocolo ICMP . . . . . . . . . . . . . . . . . . . . . 22
1
2.7.5. Comparaciones explícitas . . . . . . . . . . . . . . . . . 22
2.7.5.1. length . . . . . . . . . . . . . . . . . . . . . . 22
2.7.5.2. limit . . . . . . . . . . . . . . . . . . . . . . . 22
2.7.5.3. mark . . . . . . . . . . . . . . . . . . . . . . . 23
2.7.5.4. owner . . . . . . . . . . . . . . . . . . . . . . 23
2.7.5.5. state . . . . . . . . . . . . . . . . . . . . . . . 23
2.8. Objetivos y Saltos . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.8.1. ACCEPT . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.8.2. DROP . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.8.3. REJECT . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.8.4. LOG . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.8.5. SNAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.8.6. MASQUERADE . . . . . . . . . . . . . . . . . . . . . 26
2.8.7. DNAT . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.8.8. NOTRACK . . . . . . . . . . . . . . . . . . . . . . . . 26
2.8.9. TTL . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.8.10. MARK . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.8.11. CLASSIFY . . . . . . . . . . . . . . . . . . . . . . . . 27
2.8.12. NFQUEUE . . . . . . . . . . . . . . . . . . . . . . . . 27
2.8.13. Otros objetivos . . . . . . . . . . . . . . . . . . . . . . 28
2.9. L7-lter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.10. IP Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.11. Port Knock . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.11.1. knockd . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3. VPN 31
3.1. Ventajas de una VPN . . . . . . . . . . . . . . . . . . . . . . . 31
3.1.1. Desventajas de una VPN . . . . . . . . . . . . . . . . . 31
3.2. Protocolos VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.3. OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.3.1. Ejemplo de uso de OpenVPN entre dos pasarelas . . . 33
3.4. IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.4.1. Modos IPSec . . . . . . . . . . . . . . . . . . . . . . . 35
3.4.2. Protocolos de manipulación de paquetes IPSEC . . . . 35
3.4.2.1. AH . . . . . . . . . . . . . . . . . . . . . . . . 35
3.4.2.2. ESP . . . . . . . . . . . . . . . . . . . . . . . 36
3.4.2.3. IPCOMP . . . . . . . . . . . . . . . . . . . . 36
3.4.3. Security Associations (SA) . . . . . . . . . . . . . . . . 36
3.4.4. Security Policies . . . . . . . . . . . . . . . . . . . . . . 37
3.4.5. Procesado del Tráco entrante y saliente . . . . . . . . 37
3.4.6. Intercambio de Claves . . . . . . . . . . . . . . . . . . 37
2
3.4.7. Otras características de IPSec . . . . . . . . . . . . . . 38
3.4.8. IPsec-Tools . . . . . . . . . . . . . . . . . . . . . . . . 38
3.4.8.1. Conguración manual: modo transporte . . . 39
3.4.8.2. Conguración manual: modo túnel . . . . . . 40
3.4.8.3. Conguración automática: claves precompartidas
. . . . . . . . . . . . . . . . . . . . . . . 41
3.4.8.4. Conguración automática: certicados X.509 . 42
3.4.8.5. Generación de certicados . . . . . . . . . . . 43
3.4.8.6. Opciones del cortafuegos . . . . . . . . . . . . 43
4. IDS 44
4.1. Tipos de IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2. Situación del NIDS . . . . . . . . . . . . . . . . . . . . . . . . 44
4.3. Tripwire: un HIDS . . . . . . . . . . . . . . . . . . . . . . . . 45
4.4. Snort: un NDIS . . . . . . . . . . . . . . . . . . . . . . . . . . 46
4.4.1. Modos de Uso de Snort . . . . . . . . . . . . . . . . . . 47
4.4.2. Modo Snier . . . . . . . . . . . . . . . . . . . . . . . 47
4.4.3. Modo Packet Logger . . . . . . . . . . . . . . . . . . . 47
4.4.4. Modo NDIS . . . . . . . . . . . . . . . . . . . . . . . . 48

DOWNLOAD PDF
http://www.ac.usc.es/docencia/ASRII/Tema_4print.pdf (http://www.ac.usc.es/docencia/ASRII/Tema_4print.pdf)

Hola, se que el post es de hace 4 años, pero por favor, el que tenga este manual, podría resubirlo? Gracias!