Netfilter (IPTables) [ II parte ] - Firewalling
Monografía creado por Juan Carlos Inostroza. Extraido de: http://www.tux.cl/doku.php?id=articulos:redes:netfilter_iptables_ii_parte
03 de Marzo de 2006
Firewall
4 - Firewalling
Suena algo extraña la palabra ;) (eh, primer smiley en el documento).
NOTA : Esta parte del documento es meramente teórica.
Al momento de crear las reglas para Firewalls, existen dos formas de abordar el problema
- Cerrar todo, luego permitir
- Permitir todo, luego cerrar
Si bien ambos métodos son simples de entender, muchas veces es solamente aplicable uno de los dos métodos, ya que es más fácil que el otro.
Por ejemplo, si se desea permitir la conexión por SSH solamente
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT# iptables -P INPUT DROP
(Cerrar todo, permitir después)
o bien
# iptables -P INPUT ACCEPT# iptables -A INPUT -p tcp --dport 22 -j ACCEPT# iptables -A INPUT -p tcp --dport 80 -j DROP# iptables -A INPUT -p tcp --dport 110 -j DROP# iptables -A INPUT -p tcp --dport 500 -j DROP ...
(Permitir todo, luego cerrar)
Creo que quedo clara la idea. :D
4.1 Seguridad
En seguridad informática, cualquier dispositivo que ayude a incrementar la seguridad además minimiza los riesgos que eventualmente pudieran ocurrir (intrusiones, por ejemplo). Y debe cumplir ambos objetivos al mismo tiempo.
El asunto del costo que implica tener un dispositivo de seguridad (tiempo y recursos) se reduce de manera importante al usar soluciones FLOSS, ya que es posible usar un humilde 486DX/16 MB Ram para construir un cortafuego (otra cosa es el funcionamiento óptimo, que se incrementa a medida que aumenta el poder de proceso y almacenamiento), sobre Linux o sobre alguna variante de BSD.
(Esta parte es teoría pura. En la tercera parte, se aborda un script completo para cortafuegos).
Otro problema es “transparencia”. Es decir, las comunicaciones deben realizarse de manera simple, sin que los dispositivos de seguridad intervengan de manera de crear un problema, en vez de resolverlo. Es decir, es innecesario tener un cortafuego que no permita todas las comunicaciones desde la LAN hacia Internet. O bien, que simplemente no funcione. Sale más económico tirar del cable que tener un firewall.
Otro concepto importante es la necesidad de tener un dispositivo de seguridad. En el artículo anterior, se vio que es necesario para:
- Control de Trafico Entrante y Saliente, restringiendo que debe entrar y salir, así como también determinar qué es tráfico innecesario
- Seguridad de Servicios de Red, permitiendo que conexiones no autorizadas tengan acceso a recursos que no corresponden
- Observación del Trafico actual, para determinar el estado del tráfico y para la detección de anomalías de conexión
Cualquier configuración necesaria debe ajustarse a cada una de las necesidades de organizaciones o personas. Además, el nivel de seguridad requerido depende de los activos que se quiera proteger.
Valora este capítulo:
Autor y licencia de 'Netfilter (IPTables) [ II parte ] - Firewalling'
|
Opiniona sobre 'Netfilter (IPTables) [ II parte ] - Firewalling' (0)
Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.
Opina sobre este monografía |
Wikis relacionados con 'Netfilter (IPTables) [ II parte ] - Firewalling'
No se han encontrado cursos relacionados con '
Netfilter (IPTables) [ II parte ] - Firewalling'
