iptables
Páginas: 11 (2648 palabras)
Publicado: 15 de septiembre de 2014
IPTABLES
Iptables es una herramienta de administración utilizada en sistemas GNU/Linux para filtrar, modificar y redireccionar paquetes basados en IPv4.
Iptables está integrado dentro del propio sistema operativo y se utiliza principalmente para implementar firewalls a nivel de núcleo, ya que esta aplicación se encarga de darle una serie de órdenes o reglas al kernel para que las ejecute,y este último, es el que realmente realiza el filtrado.
Un firewall es un dispositivo hardware o software que filtra tráfico entre redes.
En el siguiente esquema clásico de ubicación de un firewall dentro de una red corporativa. En dicha figura puede observarse que la red de la empresa está ubicada en dos subredes. Por un lado está la red de área local (LAN), en donde se encuentran losequipos personales de los empleados; y a su vez, se tiene otra área aislada que se denomina zona desmilitarizada (DMZ), en donde se sitúan los servidores de la empresa. Esta última es la única parte de la red visible al exterior.
El motivo de realizar esta división se debe a que los servidores son las maquinas más vulnerables dentro de una red, ya que se encuentran expuestas a cualquier tipo deataque externo por tener sus servicios accesibles desde internet. Si los servidores de la red corporativa estuviesen ubicados en el mismo segmento de red que los computadores de LAN, una vez que un atacante externo consiguiera infiltrarse en uno de estos servidores debido a una vulnerabilidad del sistema, el acceso a cualquiera de los ordenadores personales de la empresa no le llevaría mucho mástiempo. Por lo tanto y siguiendo el esquema, aunque alguna máquina de la DMZ fuese atacada, los computadores de la LAN seguirían estando protegidos por el firewall.
En GNU/Linux existen un gran número de firewalls basados en Iptables, como por ejemplo Firewall Builder [Fir08] o Guarddog [Gua07]. Este tipo de programas posee una interfaz gráfica donde el usuario solo tiene que introducir lasreglas que quiere que tenga el firewall, y a continuación, todas estas ordenes son traducidas a comandos para Iptables, ya que será este el que realmente le diga al nucleo que políticas de filtrado se quieren establecer.
El kernel leera las cabeceras del paquete y analizara si se trata de un paquete derigido a la propia maquina o hacia otra. En función de esto y de una serie de reglas previamenteestablecidas, lo dejara o no pasar, o incluso le llegara a modificar ciertos parámetros de dichas cabeceras antes de volver a enrutarlo.
FUNCIONAMIENTO DEL FILTRADO EN EL NUCLEO
Iptables tiene tres tipos de reglas, también conocidas como tablas, que son NAT, FILTER y MANGLE. Esta ultima regla es la encargada de modificar las cabeceras de los paquetes y no será estudiada en el presente libro.NAT: permite cambiar las direcciones origen y destino de los paquetes que pasan a través de ella. Esta clase de reglas se dividen a su vez en dos tipos de grupos: SNAT (se utilizan para modificar las direcciones origen de los paquetes) y DNAT (se emplean para cambiar las direcciones y/o puertos destino de los paquetes)
FILTER: permite aceptar o dnegar paquetes en base a unas determinadasreglas de filtrado (dirección, puerto, servicio, etc.).
A su vez, el kernel tiene varias listas o cadenas de reglas que son las que recorren los paquetes que atraviesan la maquina o tiene como origen esta misma:
PREROUTING: cuando el paquete llega al interfaz físico de la maquina (tarjeta de red) entra a continuación en la lista PREROUTING. Esta cadena solo puede contener reglas de tipo DNAT.INPUT: si el paquete que llega tiene como dirección destino la propia maquina, después de pasar por la cadena PREROUTING recorrerá la lista INPUT. Esta lista solo puede contener reglas tipo FILTER.
FORWARD: si el paquete que llega no tiene como dirección destino la propia maquina, después de pasar por la cadena PREROUTING recorrerá la lista FORWARD. Esta lista solo puede contener reglas FILTER....
Iptables es una herramienta de administración utilizada en sistemas GNU/Linux para filtrar, modificar y redireccionar paquetes basados en IPv4.
Iptables está integrado dentro del propio sistema operativo y se utiliza principalmente para implementar firewalls a nivel de núcleo, ya que esta aplicación se encarga de darle una serie de órdenes o reglas al kernel para que las ejecute,y este último, es el que realmente realiza el filtrado.
Un firewall es un dispositivo hardware o software que filtra tráfico entre redes.
En el siguiente esquema clásico de ubicación de un firewall dentro de una red corporativa. En dicha figura puede observarse que la red de la empresa está ubicada en dos subredes. Por un lado está la red de área local (LAN), en donde se encuentran losequipos personales de los empleados; y a su vez, se tiene otra área aislada que se denomina zona desmilitarizada (DMZ), en donde se sitúan los servidores de la empresa. Esta última es la única parte de la red visible al exterior.
El motivo de realizar esta división se debe a que los servidores son las maquinas más vulnerables dentro de una red, ya que se encuentran expuestas a cualquier tipo deataque externo por tener sus servicios accesibles desde internet. Si los servidores de la red corporativa estuviesen ubicados en el mismo segmento de red que los computadores de LAN, una vez que un atacante externo consiguiera infiltrarse en uno de estos servidores debido a una vulnerabilidad del sistema, el acceso a cualquiera de los ordenadores personales de la empresa no le llevaría mucho mástiempo. Por lo tanto y siguiendo el esquema, aunque alguna máquina de la DMZ fuese atacada, los computadores de la LAN seguirían estando protegidos por el firewall.
En GNU/Linux existen un gran número de firewalls basados en Iptables, como por ejemplo Firewall Builder [Fir08] o Guarddog [Gua07]. Este tipo de programas posee una interfaz gráfica donde el usuario solo tiene que introducir lasreglas que quiere que tenga el firewall, y a continuación, todas estas ordenes son traducidas a comandos para Iptables, ya que será este el que realmente le diga al nucleo que políticas de filtrado se quieren establecer.
El kernel leera las cabeceras del paquete y analizara si se trata de un paquete derigido a la propia maquina o hacia otra. En función de esto y de una serie de reglas previamenteestablecidas, lo dejara o no pasar, o incluso le llegara a modificar ciertos parámetros de dichas cabeceras antes de volver a enrutarlo.
FUNCIONAMIENTO DEL FILTRADO EN EL NUCLEO
Iptables tiene tres tipos de reglas, también conocidas como tablas, que son NAT, FILTER y MANGLE. Esta ultima regla es la encargada de modificar las cabeceras de los paquetes y no será estudiada en el presente libro.NAT: permite cambiar las direcciones origen y destino de los paquetes que pasan a través de ella. Esta clase de reglas se dividen a su vez en dos tipos de grupos: SNAT (se utilizan para modificar las direcciones origen de los paquetes) y DNAT (se emplean para cambiar las direcciones y/o puertos destino de los paquetes)
FILTER: permite aceptar o dnegar paquetes en base a unas determinadasreglas de filtrado (dirección, puerto, servicio, etc.).
A su vez, el kernel tiene varias listas o cadenas de reglas que son las que recorren los paquetes que atraviesan la maquina o tiene como origen esta misma:
PREROUTING: cuando el paquete llega al interfaz físico de la maquina (tarjeta de red) entra a continuación en la lista PREROUTING. Esta cadena solo puede contener reglas de tipo DNAT.INPUT: si el paquete que llega tiene como dirección destino la propia maquina, después de pasar por la cadena PREROUTING recorrerá la lista INPUT. Esta lista solo puede contener reglas tipo FILTER.
FORWARD: si el paquete que llega no tiene como dirección destino la propia maquina, después de pasar por la cadena PREROUTING recorrerá la lista FORWARD. Esta lista solo puede contener reglas FILTER....
Leer documento completo
Regístrate para leer el documento completo.