IP Filter

1
IP Filter

• Soraya Guamán
• Verónica Maldonado
• Ximena Pinos
• Gianella Saetama

2
Introducción

• IP Filter es un cortafuegos disponible para
  muchos clones de Unix (Solaris, IRIX, FreeBSD,
  NetBSD, HP-UX...) se trata de un software
  gratuito y sus excelentes características
  técnicas lo han convertido en una solución muy
  interesante para entornos medios donde otros
  cortafuegos como Firewall-1 no resultan
  apropiados.
• Permite filtrar el tráfico en función de
  diferentes campos de la cabecera IP de una trama,
  como las clases de seguridad, las direcciones
  origen y destino y el protocolo o diferentes bits
  de estado.
• Es posible utilizarlo como redirector de tráfico
  para configurar proxies transparentes, efectuar
  NAT e IP Accounting.
• IP Filter soporta además IPv6.

3
Introducción

• No todo es positivo por lo que el argumento más
  utilizado por los detractores de IP Filter no es
  técnico sino jurídico, tratándose del tipo de
  licencia, o de la interpretación de la misma, que
  hace el autor del software (el australiano Darren
  Reed), y que aunque distribuye el código fuente
  de forma gratuita, no permite efectuar
  modificaciones sobre el mismo.
• Esta postura choca frontalmente con la filosofía
  de diferentes sistemas Unix para los que el
  producto está disponible, lo que ha generado
  problemas de distribución y utilización del mismo
  como es el de OpenBSD, que por indicación
  expresa de Theo de Raadt eliminó IP Filter de sus
  distribuciones en Mayo de 2001 y comenzó desde
  entonces el desarrollo de pf, similar al anterior
  pero liberado bajo otro tipo de licencia.

4
Instalación
5
Pasos a seguir

• anita/var/tmp gzip -dc ip-fil3.4.17.tar.gz
  tar xf anita/var/tmp cd ip_fil3.4.17
  anita/var/tmp/ip_fil3.4.17 /usr/xpg4/bin/make
  solaris anita/var/tmp/ip_fil3.4.17 cd SunOS5
  anita/var/tmp/ip_fil3.4.17/SunOS5
  /usr/xpg4/bin/make package

6
pkginfo

• anita/var/tmp pkginfo -l ipf
• PKGINST ipf NAME IP Filter
• CATEGORY system ARCH i386 VERSION 3.4.17
  VENDOR Darren Reed
• DESC This package contains tools for building a
  firewall
• INSTDATE Apr 06 2001 1910
• EMAIL darrenr_at_pobox.com
• STATUS completely installed
• FILES 80 installed pathnames
• 12 shared pathnames
• 1 linked files
• 24 directories
• 11 executables
• 21441 blocks used (approx) anita/var/tmp

7

• Definir las reglas de filtrado y NAT en los
  archivos correspondientes y una vez hecho esto ya
  podremos inicializar nuestro firewall con la
  orden
• /etc/init.d/ipfboot start,

8

• Shellscript define los ficheros en los que se
  guardarán las reglas a instalar, tanto para
  filtrado como para traducción de direcciones. Se
  trata de simples archivos ASCII ubicados por
  defecto en el directorio /etc/opt/ipf/
• Utilizar cómodos interfaces gráficos como
  fwbuilder capaces de generar reglas también para
  IP Filter.

9
GESTION

• toma su configuración - su política - de simples
  ficheros ASCII.

10
DIFERENCIAS CON OTROS CORTAFUEGOS

• Esta orientado a un archivo un script de
  arranque de IP Filter que instala políticas
  leídas del fichero correspondiente, que posee una
  cierta sintaxis, mientras que Iptables ejecuta
  línea a línea órdenes que conforman la política a
  implantar. 
• El orden de procesamiento de las reglas de IP
  Filter, completamente diferente
  a Firewall-1,ipchains o iptables. En todos
  estos firewalls se analizan en orden las reglas
  instaladas hasta que una coincide con el tipo de
  tráfico sobre el que actuar (como se dice
  habitualmente, hasta que hace match) en ese
  momento ya no se analizan más reglas, sino que se
  aplica la acción determinada por la regla
  coincidente.  procesar todas las reglas definidas
  en nuestra configuración, desde la primera a la
  última, y se aplica la última coincidente con el
  tipo de tráfico sobre el que se va a actuar. 

11
EJEMPLO
12
SINTAXIS
13
El Sistema de log

• Como cualquier sistema cortafuegos, IP Filter es
  capaz de generar registros cuando una determinada
  trama hace match con una regla que así lo indica
  la forma de indicarlo, es mediante la directiva
  log'

block in log quick on elxl0 from any to any port
79

• De esta forma se genera un registro, para lo cual
  se utiliza la utilidad ipmon, inicializada en el
  mismo script que hemos visto antes para cargar la
  política de seguridad.

14
El Sistema de log
Por defecto, ipmon registra eventos con tipo
local0' y las siguientes prioridades
predeterminadas

• info Paquetes que son sólo registrados, no
  aceptados o denegados.
• notice Paquetes registrados en una regla pass'.
• warning Paquetes registrados en una regla
  block'.
• error Paquetes cortos que pueden evidenciar un
  ataque basado en fragmentación de tramas IP

15
El Sistema de log
Si necesitamos un registro más fino podemos
especificar, mediante la directiva level', el
tipo y la prioridad con que deseamos que una
determinada regla registre las tramas que hacen
match con ella. Así, en el caso de la regla
anterior, si queremos que cuando alguien trate de
acceder al servicio finger de una máquina el
tráfico se bloquee y además se registre un evento
con tipo auth' y prioridad alert' (en lugar de
local0' y warning', que serían los que le
corresponderían por defecto), debemos reescribir
la regla de una forma similar a
block in log level auth.alert quick on elxl0 from
any to any port 79
16
El Sistema de log
Cuando la regla haga match, se generará en el
fichero correspondiente una entrada de esta forma
anita/ tail -1 /var/log/syslog 025904 anita
ipmon7043 ID 702911 auth.alert
025904.700386 elxl0 \ _at_02 b 62.42.102.18,4897
-gt 192.168.0.3,79 PR tcp len 20 48 -S IN anita/
Para ver donde se registran los mensajes podemos
echar un vistazo a /etc/syslogd.conf
Aparte de generar eventos a través de syslog, la
herramienta ipmon permite monitorizar en tiempo
real las tramas que generan registros mediante
opciones como -o' o -a', en línea de comandos.
17
Referencia

• 1 Seguridad de la subred. En línea.
  Disponible en http//www.rediris.es/cert/doc/unix
  sec/node20.html