Seguridad Perimetral de Servidores Acls e IPTablesAMANDA MEJÍA-ADMINISTRACIÓN DE SISTEMAS

Servidor Acls

Se configura en un router para controlar el flujo de trafico de equipos en red

Permite o deniega un paquete basado en una lista de condicioneso Dirección de Origen

o Dirección de Destino

o Puertos TCP & UDP

Distingue tráfico interesante importante para activar o mantener una conexión

Seguridad Perimetral

Establece un punto de control en la conexión entre la red corporativa e internet

Utiliza varios filtros para aplicaciones específicas de internet

Ventajas

La seguridad en un entorno corporativo se puede considerar organizada en capas

Restringe el acceso a sitos web inapropiados

La utilización de programas no autorizados

Componentes

Firewall Puede ser un sistema (software o hardware), un dispositivo físico

que se conecta entre la red y el cable de la conexión a Internet

Un programa que se instala en el sistema que tiene la interface que conecta con Internet,

Routers “apantallados”

Analiza el paquete de información al detalle

establece si puede ser enviado a su destino en función de las políticas de seguridad del sistema.

IPTables

IPTables es una aplicación en línea de comandos

Gestiona el filtrado de paquetes en sistemas Linux

En base a las reglas que se definen en el sistema.

IPTables -t [tabla] -[ALFP] [regla] [criterio] -j [acción]

-t es la tabla a modificar, que pueden ser NAT para las conexiones que serán modificadas por el firewall como el enmascaramiento de IP. FILTER que son las relaciones de los filtros que aplicará el firewall.

-ALFP estas cuatro opciones básicas son para: A es para añadir una de las siguientes reglas INPUT,

FORDWARD y OUPUT. L es para listar las reglas. F para borrar las reglas y P para establecer las reglas por defecto.

 

[criterio] aquí es donde se especifica el tipo de paquete que será restringido por esta regla del firewall.

 

- j aquí se define qué es lo que se va hacer con el paquete, las opciones son: ACCEPT aceptara el paquete. DROP o REJECT rechazará el paquete. REDIRECT lo redirige hacia donde indique el criterio y por ultimo LOG lo registrará para analizarlo más tarde.

Es importante habilitar la opción del Kernel que permite el forward de IP para que NAT funcione:

echo 1 > /proc/sys/net/ipv4/ip_forward

Políticas La restrictiva (todo será negado):

iptables -P (INPUTFORWARD OUTPUT) DROP

● La permisiva (todo será aceptado):

iptables -P(INPUT FORWARD OUTPUT) ACCEPT