Google
Web dns.bdat.net

Cortafuegos para redes. Filtrado de paquetes

Abstract

Introducción a los cortafuegos e iptables por Pedro Pablo Fábrega Martínez


Tabla de contenidos
Introducción
Cortafuegos e iptables
Esquemas de filtrado
Manipulación de filtros
Seguimiento de conexiones
Cortafuegos básicos
Manipulación de paquetes

Introducción

Características

Por cortafuegos vamos a entender un filtro de paquetes en una determinada máquina. Un filtro de paquetes es un componente de software con la capacidad para examinar las cabeceras de los paquetes que lo atraviesan y de tomar decisiones, según esas cabecera, sobre el destino de cada uno de los paquetes.

Un filtro puede tomar tres decisiones sobre un paquete, aceptarlo, rechazarlo o descartarlo. Además el cortafuegos puede realizar cierto tipo de manipulación de paquetes. Esto tendremos que especificarlo en cada regla.

El tráfico sobre el que puede actuar un cortafuegos puede ser el propio tráfico que llega o sale de la propia máquina y el tráfico de "paso", el que la máquina tiene que enrutar, cuando actúa como pasarela o gateway entre redes.

Como un gateway recoge todo el tráfico entre redes otra posibilidad que nos brinda es poder modificar el ancho de banda que puede utilizar cada cliente. Para que la red sea justa con todos podemos prevenir el caso de que unos pocos saturen el ancho de banda disponible, lo que en sí puede constituir un ataque DOS (Denial Of Service) involuntario.

En este capítulo tratamos de describir que se puede hacer con un paquete que llega a un equipo destino o que atraviesa una máquina que actúa como gateway entre redes.

Motivos de un filtro

Los motivos básicos para establecer un filtro son la regulación y control del tráfico de de una máquin o red.

La regulación se entiende como la decisión del tráfico que se permite y el que se prohíbe en función de los orígenes y destinos de los paquetes circulantes, información que figura en las cabeceras de los paquetes y que como indicamos anteriormente, el filtro se encarga de analizar. Por ejemplo podremos pertir todo el tráfico para sel servidor web y sin embargo restringir el envío de correo electrónico. O también impedir el acceso a unas determinadas máquinas de la red, locales o sobre internet.

El control lo entendemos como la posibilidad de analizar y manipular las cabeceras de los paquetes para que se adapten a nuestras necesidades. Por ejemplo, este control nos permite el enmascaramiento de paquetes lo que permite que varias máquinas en una red local con direcciones privadas puedan acceder a internet con una única dirección IP válida. Para hacer esto tendremos que manipular el paquete y sustituir la dirección privada por una dirección pública. La manipulación de paquetes permite otras posibilidades como mantener servidores públicos con direcciones IP privadas que están detrás del cortafuegos.

Los objetivos de la regulación y control se pueden resumir en dos características básica: seguridad y rendimiento. Seguridad porque podemos decidir todo sobre el acceso a los servicios y rendimiento porque podremos mejorar ciertas prestaciones de la red y reducir tráfico innecesario.

Sí hay que tener en cuenta que la configuración de un cortafuegos no es una tarea trivial. Una regla de filtrado mal puesta puede inhabilitar las conexiones de red de una máquina. Es necesario conocer en detalle las características de los paquetes IP, los mecanismos para establecer una conexión TCP, el significado de cada protocolo, las características de cada servicio, el esquema de filtrado y otras más. Digo esto porque con las prisas por empezar a introducir órdenes, son muchos los que se saltan la parte de "literatura" del documento si darse cuenta de que puede perder detalles importantes y después las cosas no funcionen como se esperaba. No olvidemos que las computadoras son máquinas que hacen lo que le decimos no lo que queremos.