ZeroShell    Forum
   Feed Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      ¿Qué es esto?
      Imágenes
      Licencia
      Anuncios
      Lista de correo
      Forum
      Documentación
      FAQ
      Hardware
      Download
      Actualización on-line
      Kerberos Tutorial  
      Aviso legal
      Contacto


  Más detalladamente:
      Gráficos
      Net Balancer
      Router UMTS
      Antivirus proxy
      Punto de acceso WiFi
      OpenVPN cliente
      Servidor OpenVPN
      QoS
      OpenDNS
      Kerberos 5
      NIS y LDAP
      Certificados X.509
      RADIUS
      Portal Cautivo
      VPN
      Firewall





Firewall SPI y filtrado de paquetes

Zeroshell, mediante el Netfilter y iptables de Linux, puede ser configurado para actuar como un servidor de seguridad (Firewall) protege la red de ataques y escaneos de puertos desde la WAN. Zeroshell puede funcionar tanto como un filtro de paquetes, es decir, el filtrado basado en las condiciones (reglas) situado en la cabecera del paquete, y como Stateful Packet Inspection (SPI) es decir, el filtrado de los paquetes en base a su correlación con las conexiones ya abierto u otros paquetes ya transitado .

Las normas se recogen en las listas de llamadas CHAIN. Las chain preestablecidos incluyen la chain INPUT cuyas reglas se aplican a los paquetes de entrada en el cuadro de Zeroshell y dirigida a sus procesos locales, lachain OUTPUT, la normativa en que se aplican a la salida de los paquetes por la caja y generados por los procesos locales, lachain FORWARD que se aplica a los paquetes en tránsito en el cuadro y por lo tanto destinado a sufrir de enrutamiento o bridge. Cabe señalar que en este último caso es posible establecer si el Estado sólo debe aplicarse a los paquetes de enrutamiento, sólo a los paquetes en lo bridge o indistintamente a uno y otro. Con el fin de hacer la programación de las reglas del firewall más modular, nuevas listas (las chains definidas por el usuario) puede ser creado que puede ser el destino de los preestablecidos u otros definidos por el administrador.

Posible target, es decir, las acciones que se llevarán a cabo en un paquete donde se encuentra con los criterios definidos en las normas, son:

  • ACCEPT: el paquete pasa por el firewall y sigue en dirección a su destino;
  • DROP: el paquete se descarta y por lo tanto nunca llega a su destino. El remitente no se envía un mensaje que indica una falta de entrega;
  • REJECT: en forma de gota, sólo el remitente recibirá un mensaje ICMP seleccionados por la advertencia del administrador de la falta de entrega;
  • CHAIN: en este caso una chain definida por el usuario se especifica que tendrá el control. Si el paquete no cumple con los criterios de cualquier norma, el control vuelve a lachain de llamada;
  • RETURN: devuelve el control a la chain de llamada o si la devolución se invoca por una chain de preselección, el paquete sigue la política por defecto.

Para las chain de programar la llamada Directiva predeterminada se establece que puede ser ACCEPT o DROP y se aplica a los paquetes que no cumplen con ninguna regla.

El paquete de criterios de filtro tipo incluyen:

  • Input: representa la interfaz de red desde la que el paquete entra en el servidor de seguridad. Puede ser una interfaz Ethernet, VPN, punto a punto (ppp), un bridge, un bond o una VLAN 802.1Q aplicado a una de las interfaces anteriores;
  • Output: representa la interfaz de red desde la que el paquete sale del cortafuegos. Puede ser una interfaz Ethernet, VPN, punto a punto, un bridge, un bond o una VLAN 802.1Q aplicado a una de las interfaces anteriores;
  • IP de origen: representa la dirección IP de origen del paquete. Se puede expresar en la forma de la única dirección IP, subred o intervalo;
  • IP de destino: representa la dirección IP de destino del paquete. Se puede expresar en la forma de la única dirección IP, subred o intervalo;
  • Fragmentos: indica que se trata del segundo fragmento o posteriores de un paquete IP;
  • MAC de origen: indica la dirección MAC de origen del paquete;
  • Protocolo de transporte: estos son los filtros en la capa 4 (transporte) y en función del protocolo seleccionado. En particular en el caso de TCP que se incluyen: el puerto de origen, puerto de destino, las opciones y las banderas de conexión (SYN, ACK, FIN, RST, URG, PSH);
  • Tiempo: representa el tiempo y el día de la semana en que se aplica el filtro.

Stateful Packet Inspection criterios incluyen:

  • NEW: se trata de un paquete que pertenece a una nueva conexión en la capa 4;
  • ESTABLISHED: se trata de un paquete que pertenece a una conexión ya establecida;
  • RELATED: se trata de un paquete de correlación con una conexión ya establecida; Por lo general, es un ICMP;
  • INVALID: este es un paquete bien formados;

Cabe señalar que cada criterio se puede negar y que los criterios de filtrado de paquetes pueden funcionar al mismo tiempo, como criterios de SPI, por lo que las reglas de firewall muy flexible.




    Copyright (C) 2005-2012 by Fulvio Ricciardi