Seguridad perimetral
FIREWALLS
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Routers
Routers
Seguridad perimetral
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
“Un router es un dispositivo de internetworking que pasa paquetes de datos entre redes basándose en direcciones de capa 3, y tiene capacidad de tomar decisiones sobre la ruta óptima para entregar la información al destino”
Necesidad de interconectar redes locales. Nivel de funcionalidad que implica encaminamiento
Surgen para segmentar redes con separación entre dominios de difusión y colisión diferentes.
Se suelen utilizar para soportar múltiples pilas de protocolo, cada una de ellas con su propios protocolos de encaminamiento, permitiendo que todos ellos trabajen en paralelo.Los routers actuales además de permitir encaminamiento también proporcionan bridging.
Filtran, mediante ACL, los paquetes dirigidos entre las distintas redes.
Routers
Routers
Server 1
Red 1
Red 2Red 3
Red 4
Server 2
Server 4
PC 23
Server 3
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Los filtros se realizan a nivel 2 y 3 (IP y TCP/UP)Son más transparentes para el usuario que los que se aplican a nivel de aplicación.Se utilizan para implantar una política de seguridad.Los filtros se colocan entre uno o más segmentos de red.
Filtros de paquetes
NetFilter Dos segmentos de red, uno externos y otro interno. La filtración se realiza para restringir el tráfico para los servicios que se oferten
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Los routers con filtros de paquetes: Los criterios para filtrar paquetes se guardan
en ACLs Cuando un paquete llega, se analizan los
encabezados IP, UDP y TCP Se aplican las reglas ACL en función del orden
en el que han sido guardadas Si una regla bloquea la transmisión o
recepción de un paquete, éste no es permitido
Si una regla permite la transmisión o recepción de un paquete, se permite.
Importancia del orden de las ACLs.Existen reglas por defecto: Todo aquello que no está permitido
explícitamente, está prohibido Todo aquello que no está prohibido
explícitamente, está permitido
Filtros de paquetes
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Ejemplo:
Filtros de paquetes
NetFilter
Nº ACCION Host O Port O Host D Port D
1 Bloquear * * hacker *
2 Permitir gwCorreo 25 * *
3 Permitir * * gwCorreo 25
DATOS,#SECUENCIA
ACK=1,#ACK
Origen Destino
t t
Transmisión entre cliente-servidor
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Además se puede usar información de nivel de transporte para los filtros: ACK RST
También filtros según el protocolo (ICMP, IPX, Netbeui, OSPF, …)Según la interface de llegada/salida.
Filtros de paquetes
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Las acciones que puede realizar un router son: Enviar el paquete Eliminar el paquete, sin avisar al
destinatario (drop) Rechazar el paquete y devolver un error Guardar el suceso acerca del paquete Activar una alarma Modificar el paquete, por ejemplo para
hacer NAT Modificar reglas de filtro para, por
ejemplo, denegar el tráfico que llegue de sitios hostiles.
En la actualidad, los filtros de paquetes son capaces de analizar el contenido de los paquetes para tomar decisiones.
Filtros de paquetes
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetralVentajas: Protección de la red Son muy eficientes Prácticamente todos los routers disponen
de filtros. Han evolucionado hacia IPS (Sistemas de
prevención de intrusión)• iptables: soporta filtrado de contenido• Proyecto fwsnort: integra reglas Snort
dentro de iptablesDesventajas Reducen el rendimiento del router Dificultad en la configuración No permiten filtros por usuario (iptables
sí)
Filtros de paquetes
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores.Requerimientos Instalación del paquete iptables.
(http//www.netfilter.org) Configuración del núcleo
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetraliptables
NetFilter
CONFIG_PACKET: Permite a ciertos programas trabajar directamente con la interfaz de red.CONFIG_NETFILTER: Opción necesaria para utilizar la máquina como cortafuegos y/o router.CONFIG_IP_NF_FILTER: Habilita el uso de la tabla FILTER.CONFIG_IP_NF_NAT: Habilita el uso de la tabla de NAT.CONFIG_IP_NF_IPTABLES: Opción necesaria para utilizar iptables.CONFIG_IP_NF_CONNTRACK: Opción necesaria para usar NAT y enmascaramiento(seguimiento de conexiones).CONFIG_IP_NF_TARGET_MASQUERADE: opción necesaria para trabajar con NAT cuando laIP de conexión a Internet es dinámica.CONFIG_IP_NF_FTP: Opción necesaria para poder hacer seguimiento de conexiones aservidores ftp a través del cortafuegos.CONFIG_IP_NF_MATCH_LIMIT: Esta opción permite limitar en el tiempo el número depaquetes que casan con una cierta regla. Se utiliza para limitar ataques DOS por sobrecarga.CONFIG_IP_NF_MATCH_MAC: Permite el uso de direcciones MAC (Ethernet) en las reglas defiltrado.CONFIG_IP_NF_MATCH_STATE: Es una de las principales novedades respecto a ipchains, puespermite hacer filtrado a partir del estado de una conexión TCP (por ejemploESTABLISHED…).CONFIG_IP_NF_MATCH_OWNER: Es un módulo recientemente incorporado a iptables, con elpodemos filtrar paquetes en función del usuario que es dueño (UID).CONFIG_IP_NF_TARGET_LOG: Permite registrar en ficheros .log el disparo de las reglas. Seutiliza para observar situaciones extrañas en la configuración o posibles ataques.
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores.Requerimientos Instalación del paquete iptables.
(http//www.netfilter.org) Configuración del núcleo
Compilación núcleo
NetFilter
Primer Paso: Descarga de fuentes (http://www.kernel.org) y las guardaremos en el directorio /usr/src.Segundo Paso: Ahora hay que descomprimir y desempaquetar el kernel: Extensión tgz o tar.gz: tar zxvf linux-2.6.15.2.tar.gz Extensión tar.bz2 :tar jxvf linux-2.6.15.2.tar.bz2Tercer Paso: Crear el enlace símbolico linux: ln -s linux-2.6.15.2 linux Después: cd linuxCuarto Paso: Configurar el kernel (opciones anteriores):
Con ncurses: make menuconfig Si no están instaladas: apt-get install libncurses5-dev
Con X-Windows: make xconfigTexto: make config
Quinto Paso: Compilación del kernel e instalación de los módulos:make dep cleanmake bzImagemake modules modules_install
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Conjunto de comandos para establecer filtros en Linux con núcleos 2.4 o superiores.Requerimientos Instalación del paquete iptables.
(http//www.netfilter.org) Configuración del núcleo
Compilación núcleo
NetFilter
Sexto Paso: copia la imagen al directorio bootcp /usr/src/linux/arch/i386/boot/bzImage /boot/kernel-2.6.15.2y creamos el mapa de la imagen instalando primero mkinitrd-tools:
apt-get install mkinitrd-toolsmkinitrd -o /boot/kernel-2.6.15.2.img /lib/modules/2.6.15.2/
Séptimo Paso: Editamos el GRUB, abrimos el archivo de configuración del GRUB con un editor de texto por ejemplo el vimvim /boot/grub/menu.lst después de la linea que dice ## ## End Default Options ## colocamos las siguientes lineas:
title Mi Nuevo kernelroot (hd0,1)kernel /boot/kernel-2.6.15.2 root=/dev/hda2 roinitrd /boot/kernel-2.6.15.2.imgsavedefaultboot
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Conceptos REGLAS: órdenes que indican qué hacer
con un paquete CADENAS: estructura que contiene
REGLAS TABLAS: Contienen cadenas. Existen 3
tipos: filter, nat y mangle (+ una nueva:raw).
• Filter: se encarga de filtrar los paquetes. Tiene 3 cadenas: INPUT, OUTPUT y FORWARD
• Nat: se encarga de la traslación de direcciones. Tiene 3 cadenas: PREROUTING, OUTPUT y POSTROUTING
• Mangle: se encarga de la modificación de los paquetes y sus cabeceras. Tiene 2 cadenas: PREROUTING y OUTPUT.
Cada tabla tiene cadenas propias. Podemos crear las nuestras.
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Flujo de procesamiento:iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Lo que podemos hacer: Control de acceso a los equipos
y/o red Monitorizar tráfico Detectar posibles usos
fraudulentosLo que NO podemos hacer: No evita gusanos/virus/troyanos y
demás fauna No detecta intrusosGestión de los filtros: iptables
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Sintaxis:iptables [–t tabla] –A cadena opciones –j objetivo
Objetivo: ACCEPT, DROP, LOG, REJECTOpciones:
-m módulo: -m limit, -m state (ESTABLISHED, NEW, RELATED, INVALID)
-p protocolo (tcp, udp, icmp, all,…,/etc/protocols)
-i interfaz de entrada-o interfaz de salida-d IP destino-s IP origen-dport, sport Puerto destino/origen--tcp-flags máscara. Ejemplo: SYN, ACK, ACK
SYN-P política (DROP, ACCEPT)-F -> Vacía la tabla-Z Pone a 0 los contadores-L mostrar las reglas de las tablas
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Permitir navegación Web:iptables -A FORWARD -i eth0 –s red_local -p
tcp --dport 80 -j ACCEPT
Permitiremos las consultas al DNS:
iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT
Permitimos que el administrador se conecte al equipo:
iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Permitir navegación Web:iptables -A FORWARD -i eth0 –s red_local -p
tcp --dport 80 -j ACCEPT
Permitiremos las consultas al DNS:
iptables -A FORWARD -i eth0 -s $red_local -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD –i eth0 -s $red_local -p udp --dport 53 -j ACCEPT
Permitimos que el administrador se conecte al equipo:
iptables -A INPUT -i eth0 -s IPadmin –d rtFiltros -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -i eth0 –s rtFiltros –d IPadmin -p tcp –sport 22 -j ACCEPT
iptables
NetFilter
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Ejemplo
iptables
NetFilter
Iptables –F INPUT DROP
Iptables –F OUTPUT DROP
Iptables –F FORWARD DROP
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Ejemplo
iptables
NetFilter
iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT
Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Ejemplo
iptables
NetFilter
Iptables –F INPUT DROP
Iptables –F OUTPUT DROP
Iptables –F FORWARD DROP
iptables –A INPUT –s IPs –d IPd –j ACCEPT
iptables –A OUTPUT –s IPd –d IPs –j ACCEPT
iptables –A INPUT–p tcp –d 193.145.234.194 –dport 80 –j ACCEPT
Iptables –A OUTPUT –p tcp –s 193.145.234.194 –sport 80 –J ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -m time --timestart 09:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP
iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j LOG --log-ip-options --log-tcp-options --log-prefix "passwd access “
iptables -A INPUT -p tcp --dport 80 -m string --string "/etc/passwd" --algo kmp -j DROP
iptables -A FORWARD -p tcp –syn -m recent –set
iptables -A FORWARD -i eth0 -p tcp –syn -m recent –update –second 5 –hitcount 20 -DROP
iptables -A INPUT -i eth0 -p icmp –icmp-type echo_request -m hashlimit --hashlimit-name ping --hashlimit-above 1/s –hashlimit-burts 2 –hashlimit-mode srcip -j REJECT
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Cambiar la IP de origen o destino por otra.Objetivo: optimizar el uso de Ips usando ips privadas y que, aun así, se pueda salir(entrar) a Internet.Puede ser estática o dinámica.Ventajas: Economiza direcciones IP Ayudan a restringir el tráfico de entrada y de
salida. Ocultan la configuración interna de la red.
Desventajas NAT dinámico exige información de estado que no
siempre está disponible. Direcciones IP embebidas pueden presentar
problemas con NAT (ftp, por ejemplo, está resuelto) NAT interfiere con algunos sistemas de
encriptación y autenticación NAT interfiere con el sistema de LOG NAT de puertos puede interferir con el filtrado de
paquetes.
NAT
NAT
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Ejemplo
Iptables+nat
NAT Exportar servicio HTTP fuera de LAN privadaiptables –t nat –A PREROUTING -p tcp –dport 80 –j DNAT –to-destination 192.168.16.226Permitiendo salidaiptables –t nat –A POSTROUTING –s 192.168.10.0/24 –d any –j MASQ
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetralAplicaciones especializadas que, ante requerimientos de los usuarios sobre servicios de Internet, reenvían estas peticiones al servicio.
Se utilizan de intermediarias para:
Por una parte controlar los usuarios a los que se les da permiso
Por otra para que hagan el traslado de petición desde una red con IP privadas a Internet (IPs públicas)
Ventajas:
Control por usuario
Buen control de registros
Puede proporcionar mecanismos de caché
Permite filtros inteligentes
Inconvenientes:
Las aplicaciones clientes deben modificarse para que realicen la petición al servidor proxy
Es dependiente del servicio
SOCKS: sistema, en funcionamiento igual, salvo que no depende del servicio.
¿Proxy vs NAT?
Proxy
Proxy
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
servidor proxy
Navegador Web
Cliente
Servidor Proxy
Servidor Web
Pág.HTM
L
Proxy
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Firewalls
Seguridad perimetral
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Firewall: sistema que implanta una política de control de accesos entre redes mediante el bloqueo o autorización del tráfico entre ellas.
Host bastión: computador determinante para la seguridad de la red.
Host de base dual: computadores con 2 NICs.
Red perimetral: red añadida entre una red protegida y una externa para proporcionar mayor seguridad.
Definiciones
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Screening Router
Dispone de un router de selección para la conexión a Internet.
Son sistemas muy baratos y fáciles de implementar
Router realiza el filtrado de paquetes necesario.
No es flexible: se permite o deniega paquetes por número de puerto, pero no por tipo de operaciones
Si se viola la seguridad del router, la red queda sin ninguna seguridad.
Arquitecturas
Firewalls
Red 1
Red 3
Red 4
Server 2
Server 4
PC 23
Server 3
Router
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Host de base dual Se trata de un host
(bastión) con dos tarjetas de red, conectadas a redes diferentes, capaz de encaminar paquetes entre las 2 redes, pero la función debe estar deshabilitada.
En esta configuración, el bastión puede filtrar hasta capa de aplicación.
Son sistemas muy baratos y fáciles de implementar
No son proporcionan alto rendimiento
El host de base dual es un punto único de fallo.
Arquitecturas
Firewalls
Red 1
Red 3
Red 4
Server 2
Server 4
PC 23
Server 3
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Características:
Debe inhabilitarse la capacidad de enrutamiento (ipforwading)
La única ruta entre los segmentos de red es a través de una función de capa de aplicación
La seguridad recae en el dual-homed host
Eliminar programas con SUID y SGID.
Control de los usuarios (mejor que no haya)
Eliminar los servicios de red no necesarios
Uso apropiado para:
Cuando hay poco tráfico a Internet
Cuando el tráfico a Internet no es crítico
La red protegida no contiene datos valiosos
No se proporcionan servicios para usuarios de Internet.
Arquitecturas
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Host bastión seleccionado (Screened hosts) Configuración en la
que un router de selección filtra todo el tráfico excepto el dirigido a un host bastión.
Soporta servicios mediante proxy (bastión)
Soporta filtrado de paquetes (router)
No es complicado de implementar
Si el atacante entra en el bastión, no hay ninguna seguridad
Arquitecturas
Host Bastión
Red 3
Red 1Server 2
Server 3
Router
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Host bastión seleccionado (Screened hosts) Proporciona servicios desde la red interna, usando un router de selección
para filtrar el tráfico El host bastión necesita mantener un alto grado de seguridad Los filtros del router permiten que el host bastión sólo opere con los paquete
permitidos según la política de seguridad que haya implementado en el router.
Los filtros del router deben permitir• Abrir conexiones permitidas de hosts internos a hosts externos• Deshabilitar todas las conexiones desde hosts internos, forzando a que éstos
usen los servicios proxy ofertados por el host bastión. Se pueden realizar mezclas en las que determinadas conexiones se realicen directamente y otras se fuercen a pasar por el proxy.
Proporciona más seguridad y usabilidad que la arquitecturas anteriores. Por el contrario, tanto el router como el host bastión son punto únicos de fallo
Inapropiadas para servicios con alto riesgo. Arquitectura apropiada para:
• Proteger redes con host relativamente seguros• Pocas conexiones desde Internet.
Arquitecturas
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
DMZ (Zonas desmilitarizadas)
Router de selección más host bastión con 2 NIC
No se puede evitar el host bastión modificando la tabla de rutas del router
Existen diversas variantes de esta configuración
Arquitecturas
Router
Host Bastión
Red Interna
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Subredes seleccionadas
Creación de un perímetro de red con la incorporación de un router interior.
El router no es ya un punto único de fallo
Cualquier violación en la seguridad del host bastión, no supone la pérdida total de seguridad de la red interna, ya que debe saltar el router interior.
Los routers se sitúan en el perímetro de red, uno cara a la red interna, el otro cara a Internet.
Arquitecturas
Router Exterior
Host Bastión
Red Interna
Router Interior
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Subredes seleccionadas
Los servicios que el router interior permite entre el host bastion y la red interna pueden NO ser los mismos que los que permite entre Internet y la red interna
Se debe limitar los servicios entre la red interna y el host bastión
Arquitecturas
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Múltiples subredes seleccionadas
Proporciona defensa en profundidad, protegiendo tanto los routers como el host.
Host de base dual proporciona un control fino de los filtros.
Útil para:
• Redes con uso intensivo de la red.
• Redes en las que se usen protocolos inseguros (NetBEUI)
• Para redes que necesiten alta seguridad, particularmente para proporcionar servicios de Internet.
Arquitecturas
Router Exterior
Dual-homed host
Red Interna
Router Interior
Red de perímetro 1
Red de perímetro 2
Firewalls
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Solo los servicios necesarios, los usuarios necesarios,...
Acceso al sistema
Cómo ser root: grupo wheel, sudo, su
PAM
Sudo: /etc/sudoers
PAM:
pam_securetty: ttys donde acceder root
pam_limits: sobre contraseñas
pam_cracklib: longitud de contraseña, #caracteres distintos, no palídromos
pam_tally2: bloquear usuarios con X sesiones erróneas
/etc/login.defs: máximos reintentos,..
/etc/sshd_config: no permitir root, acceso ciertos usuarios, horario
Hardening: para proteger al host bastion
Tcp-wrappers
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Permisos:
RWX
Especiales
Atributos
ACLS
Especiales: s/S, t/T: setuid, setgid y sticky
Atributos: inmutable (i), añadir (a): chattr +i fichero
ACL:
rwx por usuario
Necesita módulos del núcleo.
hardening: para proteger al host bastion
Tcp-wrappers
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Software de control de acceso que permite
Registrar solicitudes para servicios
Proporciona un mecanismo para controlas el acceso a dichos servicios
La información de control de acceso se guarda en los ficheros
/etc/hosts.allow Lista de hosts a los que se permite el acceso al servicio
/etc/hosts.deny Lista de hosts a los que se deniega el servicio.
Primero se revisa /etc/hosts.allow y, si no existe una coincidencia, se revisa /etc/hosts.deny
TCP-WRAPPERS
Tcp-wrappers
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
Formato de los ficheros:
servicios: lista hosts [:cmd shell]
Ejemplos:
httpd, sshd: 172.20.40.3, 172.16
smtpd: ALL
ALL:ALL
LOCAL: cualquier host de la red local
ALL: cualquier servicio o host
TCP-WRAPPERS
Tcp-wrappers
RoutersNetFilter
NATProxy
FirewallsTcp-wrappers
Bibliografía
Contenido
Seguridad perimetral
D. Bremt Chapman y Elizabeth D. Zwicky, Building Internet Firewalls, O’Reilly
http://www.linuxguruz.com/iptables/howto/iptables-HOWTO-3.html
TCP-WRAPPERS
Bibliografía
Top Related