1. SeguretatSeguretat
Seguretat de XarxaSeguretat de XarxaV2011/02V2011/02
Carles Mateu – Cèsar Fernández – Ramon Bèjar – Enric GuitartCarles Mateu – Cèsar Fernández – Ramon Bèjar – Enric Guitart
Departament d'Informàtica i Enginyeria IndustrialDepartament d'Informàtica i Enginyeria Industrial
Universitat de LleidaUniversitat de Lleida
16. Profit
● Fer el que voliem fer:
● Robar dades
● Enviar SPAM
● Phishing
● ...
● DoS/DDoS
17. The function of a strong position is to make the forces holding it
practically unassailable.
On War, Carl Von Clausewitz
On the day that you take up your command, block the frontier passes,
destroy the official tallies, and stop the passage of all emissaries.
The Art of War, Sun Tzu
18. Seguretat Perimetral
● La finalitat de la seguretat perimetral és establir
un perímetre (un contorn) de confiança.
● És a dir: definir un àrea segura, aixecar barreres
que l'envoltin, definir mecanismes d'ingrés i
sortida de la zona, mecanismes de vigilancia de
la zona.
● La finalitat és que dins de l'àrea poguem confiar
en el trànsit i en que els hosts són segurs.
19. Eines per seguretat perimetral
● Firewalls
● Proxys
● Bandwidth managers
● Passive Sniffers / Packet Screening
● Port Access Control
● IDS de xarxa
● VPNs
● Honeypots
20. ● Un firewall (tallafocs) és una barrera que tot el
trànsit de xarxa (bidireccional) ha de traspassar.
● El firewall permetrà o denegarà aquest pas en
funció de la definició de polítiques de
l'organització.
● Un firewall pot operar a nivell IP (packet
screening) o a nivell d'aplicació (application
proxy).
21. ● Del firewall individual a la xarxa moderna:
● Múltiples xarxes interconnectades
● Accés remot des del domicili
● Accés en roaming
● Múltiples serveis de xarxa
● Connectivitat a Internet
● Múltiples serveis en xarxa
22. ● Técniques de control de trànsit:
● Control de trànsit: En funció del servei emprat
(port) es permet o no, o es redirecciona el trànsit.
● Control d'usuaris: requerint validació per cada accés
a un servei.
● Control de comportament: revisa patrons
d'utilització per permetre/denegar serveis.
● Control horàri/entorn: només permet trànsit en
funció de paràmetres externs (horaris, etc.).
23. Bondats/Febleses
● Únic punt de control:
● Facilita implantació i gestió
● SPOF
● Cost raonable
● Altres usos:
● Monitorització d'events de seguretat
● NAT/PAT/etc.
● Túnels/IPSec/VPN/etc.
24. Bondats/Febleses
● Només protegeix contra problemes trànsit:
● No controla altres connexions (modem, mòbils,
wifi, etc.).
● No proporciona seguretat interna.
● No controla continguts.
● No “agrada” als usuaris
● Complica disseny de xarxa
27. Packet Screening
● Packet-Screening Router
● Equipament de xarxa, nivell 3
● Inspecciona TOTS els packets de xarxa
● En funció de dades de packet pren decisions:
– IP Origen
– IP Destinació
– Port/Servei
– Interfície
29. Packet Screening
● Simples → Fàcils de mantenir/montar
● No examinen payload:
● Sensibles a contingut maliciós
● Logging limitat:
● Paquets
● “connexió”/fluxe
● Sobre-logging
● No disponibles esquemes autenticació
30. Packet Screening
● Vulnerables a enganys de falsejament IP
(spoofing, source routing, fragmentation)
● Sensibles a DoS/DDos:
● Limitats en capacitat
● Decisió sobre dades no correlades
● Fàcil fer una mala configuració.
● Tendència a donar sensació d'invulnerabilitat.
31. Stateful Inspection Firewalls
● Evolució dels packet screening.
● Mantenen informació sobre connexions
establertes i en curs.
● Relacionen diverses connexions (ex: FTP).
● Poden revisar part del payload del paquet (FTP,
H.323, etc.).
● Permet crear regles realistes:
● Permetre FTP cap a hosts externs.
32. Application Gateway
● (Application proxy)
● L'accés a aplicacions de xarxa no és directe:
● Accedeixes al gateway no a l'aplicació
● Més segurs.
● Fàcils de configurar.
● Dificulten evolució/creixement.
● Molesten als usuaris.
33. Circuit Gateway
● (Circuit proxy)
● L'accés a aplicacions de xarxa no és directe però
tampoc accedeixes al gateway.
● Més segurs.
● Fàcils de configurar.
● Dificulten evolució/creixement (no tant com
appl.)
● Molesten als usuaris (no tant com appl.)
● Bon suport en alguns casos (p.e. HTTP)
34. Bastió
● Sistema particularment segur:
● Tot el que s'ha explicat a seguretat de sistemes.
● Executa gateways.
● Pot requerir autenticació als gateways.
● Filtres als gateways:
● Destinacions, prestacions, etc.
● Juntament amb packet screening:
● Molt bona seguretat.
35. Configuració IPTABLES
● Firewall de LINUX (Kernel level)
● Evolució de IPCHAINS
● Permet definir cadenes i taules de
processament i inspecció de paquets.
● Permet definir regles d'inspecció de paquets.
36. Configuració IPTABLES
● Una cadena és una llista de regles “programa”.
● Cada regla pot aplicar una acció als paquets (si
hi ha matching).
● Una acció pot ser:
● DROP
● DENY
● ACCEPT
● xNAT
● Saltar a un altra cadena
37. Seqüencia processament IP
PAS TAULA CADENA Processament
1
2 mangle PREROUTING
3 nat PREROUTING Desfer DNAT.
4 ROUTING
5 mangle INPUT
6 INPUT Filtratge de paquets entrants.
Nivell Físic: Ethernet, etc.
Modificacions de paquets
(TOS, TTL, MARK)
“mangoneo”
Modificacions de paquets
entrants.
filter
● Destinació host local
38. Seqüencia processament IP
PAS TAULA CADENA Processament
1 ROUTING
2 mangle OUTPUT
3 nat OUTPUT
4 OUTPUT Filtratge de paquets sortints
5 mangle POSTROUTING
6 nat POSTROUTING SNAT paquets enviats
Modificacions de paquets
sortints (no filtrat)
NAT als paquets originats
firewall
filter
Modificacions de paquets
sortints (nostres i forward)
● Origen host local
39. Seqüencia processament IP
1 mangle PREROUTING Canvis TOS, etc.
2 nat PREROUTING DNAT (Destinació)
3 ROUTING
4 mangle FORWARD Modificacions de paquets
5 FORWARD
6 mangle POSTROUTING Modificacions de paquets
7 nat POSTROUTING
filter Filtrat de TOTS els paquets
reenviats
SNAT (Source)
● A través de host local
41. Seqüencia processament IP
● Taula mangle:
● Modificació de paquets:
– TTL
– TOS
– MARK
● MARK assigna “marques” reconegudes per IPR2 i
CBQ
– Routing basat en marques
– Qualitat de servei
42. Seqüencia processament IP
● Taula nat:
● Modificació adreces de paquets.
● DNAT: Destination NAT
● SNAT: Source NAT
● MASQUERADE: n -> 1 NAT
43. Seqüencia processament IP
● Taula filter:
● Taula bàsica de filtrat
● Regles de DROP, ACCEPT, REJECT, REDIRECT, etc.
● Aquí s'aplica tot el filtrat.
44. Una Regla
● Una regla:
iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j
ACCEPT
● -A --append: Afegir a una cadena.
● -D --delete
● -R --replace
● -I --insert
● -L --list
● -F --flush
● -N --new-chain
● -P --policy
45. Una Regla
● Una regla:
iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j
ACCEPT
● -s --src --source : Origen IP o màscara
● -d --dst --destination: Destinació IP o màscara
● -p --protocol: Protocol (tcp, udp, icmp, all)
● -i --in-interface: I/F xarxa entrada
● -o --out-interface: I/F xarxa sortida
Soporten (!) per negació
46. Una Regla
● Una regla:
iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j
ACCEPT
● --sport --source-port : Port origen
● --dport --destination-port: Port destinació
Soporten rangs de ports: 22:80
47. Una Regla
● Una regla:
iptables -A INPUT -s 231.45.134.23 -i eth0 -p tcp --dport 3306 -j
ACCEPT
● -j CADENA:
● Salta a <CADENA>
● Cadena pot ser acció o nova cadena:
– ACCEPT, DROP, MASQUERADE
48. Una Regla
● Podem a més comparar:
● Flags TCP:
– --tcp-flags
– --syn
● Opcions TCP:
– --tcp-option
● Tipus ICMP:
– --icmp-type
49. Una Regla
● Vía “moduls” (-m ) podem controlar més coses:
● -m limit
– --limit <lim>: Limitem el nombre de matchings màxim
(p.e. 3 per dia, etc.)
– --limit-burts <n> : Nombre màxim de paquets (en –limit)
● -m mac
– MAC orígen i destinació (--mac-source –mac-destination)
● -m mark
– Marques (que podem posar amb iptables).
50. Una Regla
● Vía “moduls” (-m ) podem controlar més coses:
● -m owner
– UID “propietàri” del paquet
● -m state
– Estat de la connexió:
● RELATED, ESTABLISHED, NEW, INVALID
● -m tos
– TCP TOS
● -m ttl
– TCP TTL
51. Exemple
## FLUSH
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## DEFAULT POLICY
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## FILTRES
## eth0: ETHERNET CAP AL ROUTER
## eth1: ETHERNET A XARXA
# LOCALHOST (simple)
iptables -A INPUT -i lo -j ACCEPT
# SSH del firewall desde xarxa local
iptables -A INPUT -s 192.168.1.0/24 -i eth1 --dport 22 -j ACCEPT
(cont)
52. Exemple
(cont)
#
# Fem NAT, Obrim a l'exterior el port 80 d'un servidor intern
#
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.12:80
#
# Permetem accedir al MYSQL del servidor de l'empresa a només el servidor web
# que tenim hostatjat al ISP
#
iptables -t nat -A PREROUTING -s 2.3.4.5 -i eth0 -p tcp --dport 3306 -j DNAT --to
192.168.1.12:3306
#
# Només deixem accedir al correu (25) al server del ISP
iptables -A FORWARD -s 192.168.1.0/24 -d 2.3.4.5 -i eth1 -p tcp --dport 25 -j
ACCEPT
(cont)
53. Exemple
(cont)
# Consulta de DNS
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
# Permetem navegació WEB
# (i HTTPS)
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# Xat XMPP (jabber/google talk)
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 5222 -j ACCEPT
# TOTA LA RESTA DENEGADA
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -j DROP
## Ara ve el MASQ (NAT n->1)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Linux, per defecte, no fa Forwarding de paquets.
# S'ha d'activar
echo 1 > /proc/sys/net/ipv4/ip_forward