Title: IP Filter
1IP Filter
- Soraya Guamán
- Verónica Maldonado
- Ximena Pinos
- Gianella Saetama
2Introducción
- IP Filter es un cortafuegos disponible para
muchos clones de Unix (Solaris, IRIX, FreeBSD,
NetBSD, HP-UX...) se trata de un software
gratuito y sus excelentes características
técnicas lo han convertido en una solución muy
interesante para entornos medios donde otros
cortafuegos como Firewall-1 no resultan
apropiados. - Permite filtrar el tráfico en función de
diferentes campos de la cabecera IP de una trama,
como las clases de seguridad, las direcciones
origen y destino y el protocolo o diferentes bits
de estado. - Es posible utilizarlo como redirector de tráfico
para configurar proxies transparentes, efectuar
NAT e IP Accounting. - IP Filter soporta además IPv6.
3Introducción
- No todo es positivo por lo que el argumento más
utilizado por los detractores de IP Filter no es
técnico sino jurídico, tratándose del tipo de
licencia, o de la interpretación de la misma, que
hace el autor del software (el australiano Darren
Reed), y que aunque distribuye el código fuente
de forma gratuita, no permite efectuar
modificaciones sobre el mismo. - Esta postura choca frontalmente con la filosofía
de diferentes sistemas Unix para los que el
producto está disponible, lo que ha generado
problemas de distribución y utilización del mismo
como es el de OpenBSD, que por indicación
expresa de Theo de Raadt eliminó IP Filter de sus
distribuciones en Mayo de 2001 y comenzó desde
entonces el desarrollo de pf, similar al anterior
pero liberado bajo otro tipo de licencia.
4Instalación
5Pasos a seguir
- anita/var/tmp gzip -dc ip-fil3.4.17.tar.gz
tar xf anita/var/tmp cd ip_fil3.4.17
anita/var/tmp/ip_fil3.4.17 /usr/xpg4/bin/make
solaris anita/var/tmp/ip_fil3.4.17 cd SunOS5
anita/var/tmp/ip_fil3.4.17/SunOS5
/usr/xpg4/bin/make package
6pkginfo
- anita/var/tmp pkginfo -l ipf
- PKGINST ipf NAME IP Filter
- CATEGORY system ARCH i386 VERSION 3.4.17
VENDOR Darren Reed - DESC This package contains tools for building a
firewall - INSTDATE Apr 06 2001 1910
- EMAIL darrenr_at_pobox.com
- STATUS completely installed
- FILES 80 installed pathnames
- 12 shared pathnames
- 1 linked files
- 24 directories
- 11 executables
- 21441 blocks used (approx) anita/var/tmp
7- Definir las reglas de filtrado y NAT en los
archivos correspondientes y una vez hecho esto ya
podremos inicializar nuestro firewall con la
orden - /etc/init.d/ipfboot start,
8- Shellscript define los ficheros en los que se
guardarán las reglas a instalar, tanto para
filtrado como para traducción de direcciones. Se
trata de simples archivos ASCII ubicados por
defecto en el directorio /etc/opt/ipf/ - Utilizar cómodos interfaces gráficos como
fwbuilder capaces de generar reglas también para
IP Filter.
9GESTION
- toma su configuración - su política - de simples
ficheros ASCII.
10DIFERENCIAS CON OTROS CORTAFUEGOS
- Esta orientado a un archivo un script de
arranque de IP Filter que instala políticas
leídas del fichero correspondiente, que posee una
cierta sintaxis, mientras que Iptables ejecuta
línea a línea órdenes que conforman la política a
implantar. - El orden de procesamiento de las reglas de IP
Filter, completamente diferente
a Firewall-1,ipchains o iptables. En todos
estos firewalls se analizan en orden las reglas
instaladas hasta que una coincide con el tipo de
tráfico sobre el que actuar (como se dice
habitualmente, hasta que hace match) en ese
momento ya no se analizan más reglas, sino que se
aplica la acción determinada por la regla
coincidente. procesar todas las reglas definidas
en nuestra configuración, desde la primera a la
última, y se aplica la última coincidente con el
tipo de tráfico sobre el que se va a actuar.
11EJEMPLO
12SINTAXIS
13El Sistema de log
- Como cualquier sistema cortafuegos, IP Filter es
capaz de generar registros cuando una determinada
trama hace match con una regla que así lo indica
la forma de indicarlo, es mediante la directiva
log'
block in log quick on elxl0 from any to any port
79
- De esta forma se genera un registro, para lo cual
se utiliza la utilidad ipmon, inicializada en el
mismo script que hemos visto antes para cargar la
política de seguridad.
14El Sistema de log
Por defecto, ipmon registra eventos con tipo
local0' y las siguientes prioridades
predeterminadas
- info Paquetes que son sólo registrados, no
aceptados o denegados. - notice Paquetes registrados en una regla pass'.
- warning Paquetes registrados en una regla
block'. - error Paquetes cortos que pueden evidenciar un
ataque basado en fragmentación de tramas IP
15El Sistema de log
Si necesitamos un registro más fino podemos
especificar, mediante la directiva level', el
tipo y la prioridad con que deseamos que una
determinada regla registre las tramas que hacen
match con ella. Así, en el caso de la regla
anterior, si queremos que cuando alguien trate de
acceder al servicio finger de una máquina el
tráfico se bloquee y además se registre un evento
con tipo auth' y prioridad alert' (en lugar de
local0' y warning', que serían los que le
corresponderían por defecto), debemos reescribir
la regla de una forma similar a
block in log level auth.alert quick on elxl0 from
any to any port 79
16El Sistema de log
Cuando la regla haga match, se generará en el
fichero correspondiente una entrada de esta forma
anita/ tail -1 /var/log/syslog 025904 anita
ipmon7043 ID 702911 auth.alert
025904.700386 elxl0 \ _at_02 b 62.42.102.18,4897
-gt 192.168.0.3,79 PR tcp len 20 48 -S IN anita/
Para ver donde se registran los mensajes podemos
echar un vistazo a /etc/syslogd.conf
Aparte de generar eventos a través de syslog, la
herramienta ipmon permite monitorizar en tiempo
real las tramas que generan registros mediante
opciones como -o' o -a', en línea de comandos.
17Referencia
- 1 Seguridad de la subred. En línea.
Disponible en http//www.rediris.es/cert/doc/unix
sec/node20.html