SlideShare a Scribd company logo

cortafuegos_doble_pila_linux

C
cercer

El documento describe fw-admin, una herramienta de línea de comandos para administrar cortafuegos duales IPv4 e IPv6 en Linux de forma unificada. Fw-admin usa variables para declarar direcciones y aplicar reglas a iptables e ip6tables simultáneamente, evitando tener que mantener dos conjuntos de reglas separados.

Technology
1 of 22
Download to read offline
Cortafuegos doble pila en Linux IPv4 & IPv6 Arturo Borrero Gonzalez <aborrero@cica.es> Centro Informático Científico de Andalucía – CICA Consejería de Economía, Innovación, Ciencia y Empleo Junta de Andalucía La licencia de este documento es CC-BY-SA. Noviembre 2013
Recordatorio IPv4 & IPv6 Tamaño: IPv4 → 232 direcciones IPv6 → 2128 direcciones Del tipo: IPv4 → 192.168.1.1 - 150.214.5.83 IPv6 → fc00::1:1 - 2a00:9ac0:c1ca:6::83 En DNS: IPv4 → Registro tipo A IPv6 → Registro tipo AAAA CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Recordatorio cortafuegos Linux · Proyecto Netfilter <netfilter.org> · Desde Linux ~ 2.4 · Evolución del framework: ipchains → iptables → nftables · Actualmente: iptables -A FORWARD -m conntrack –ctstate ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT ip6tables -A FORWARD -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack IPv4 & IPv6 · Descrito en RFC-4213 · Método recomendado para despliegue IPv6 (vs tunel y otros) · Basado en DNS: → Un FQDN (www.cica.es) tiene doble resolución www.cica.es IN IN A AAAA 150.214.5.137 2a00:9ac0:c1ca:6::137 → El cliente obtiene ambos registros y decide qué protocolo usar CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack IPv4 & IPv6 Idealmente, todo el direccionamiento es doble CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack, consideraciones ¡Gestión por duplicado de la red! • 2x direccionamientos para gestionar • 2x tablas de enrutamiento • 2x registros en DNS • 2x cortafuegos ← !! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
Dual stack, consideraciones ¿2 cortafuegos? • Netfilter no trabajar en dual stack :-( • Dos familias distintas: iptables vs ip6tables • Hay que escribir el cortafuegos 2 veces: root@debian:~# iptables -A FORWARD -p tcp -j ACCEPT root@debian:~# ip6tables -A FORWARD -p tcp -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
El problema del cortafuegos Elige sólo una opción: • No usar cortafuegos para IPv6 (no hay tráfico) • No usar cortafuegos para IPv6 (se acepta todo) • Gestionar 2 cortafuegos, 2 rulesets ¡El cortafuegos puede ser un gran problema en IPv6! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
La propuesta de CICA Condiciones previas: • Red dual stack IPv4 & IPv6 basada en DNS al 99.99% • Queremos usar Linux y Netfilter • No queremos demasiada abstracción a Netfilter • No queremos escribir 2 rulesets • Queremos software libre, a prueba de NSA ;-) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
La propuesta de CICA fw-admin • Herramienta CLI, escrita en shell • Pequeña capa de abstracción sobre iptables/ip6tables • Ruleset válido para ambas familias • Algunos extras • Software libre! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin ¿Que situaciones soporta? • Reglas de iptables con y sin dual stack • Resoluciones múltiples en DNS, tipo www.google.es • No todo es filtrado: NAT, ipset, etc... • Cortafuegos en alta disponibilidad (otra historia...) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin workflow básico 1. Declarar variables root@debian:~# fw-admin -a www.cica.es 2. Usarlas $IPT -A FORWARD -d $WWW_CICA_ES -p tcp --dport 80 -j ACCEPT 3. Aplicar el ruleset root@debian:~# fw-admin --start rules CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Comprobaciones y recarga de reglas CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Declaración de reglas usando variables Toda la funcionalidad de Netfilter es accesible directamente CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Formato ip[6]tables-save CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Ficheros de datos en texto plano CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin Varias opciones, flexibilidad CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
fw-admin ¿puntos fuertes? • ¡Documentado! • Muy flexible • Desarrollo muy abierto a mejoras y nuevas funciones ¿puntos débiles? • Poco extendido (quizás nada) • Demasiado enfocado al entorno CICA (evidente) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
¡Justo lo que estaba buscando! Contáctame a <aborrero@cica.es> y te ayudo a implementarlo CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
!Lo quiero ya! Código: https://github.com/aborrero/fw-admin Paquete DEB o RPM: <aborrero@cica.es> CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
GRACIAS ¿Preguntas? CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>

Recommended

Thunderbolt QNAP
Thunderbolt QNAPThunderbolt QNAP
Thunderbolt QNAPFernando Barrientos
 
Ivaric_proyecto
Ivaric_proyectoIvaric_proyecto
Ivaric_proyectoIván López
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Fundación Proydesa
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
TS-531P Brochure
TS-531P BrochureTS-531P Brochure
TS-531P BrochureFernando Barrientos
 
Capitulo1 Nat Dhcp
Capitulo1 Nat DhcpCapitulo1 Nat Dhcp
Capitulo1 Nat DhcpMarcia Lorena Contento Tenezaca
 
Comoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgComoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgBartOc3
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 

Recommended

Thunderbolt QNAP
Thunderbolt QNAPThunderbolt QNAP
Thunderbolt QNAPFernando Barrientos
 
Ivaric_proyecto
Ivaric_proyectoIvaric_proyecto
Ivaric_proyectoIván López
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Fundación Proydesa
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
TS-531P Brochure
TS-531P BrochureTS-531P Brochure
TS-531P BrochureFernando Barrientos
 
Capitulo1 Nat Dhcp
Capitulo1 Nat DhcpCapitulo1 Nat Dhcp
Capitulo1 Nat DhcpMarcia Lorena Contento Tenezaca
 
Comoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgComoconstruimos bogota mesh.org
Comoconstruimos bogota mesh.orgBartOc3
 
Nat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaNat (network address translation) qué es y cómo funciona
Nat (network address translation) qué es y cómo funcionaqueches
 
Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SEducática
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter@ otsuka752
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGPPaulo Colomés
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmapCarlos Antonio Leal Saballos
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Educática
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
Taller hacking
Taller hackingTaller hacking
Taller hackingЛеонардо Ильяньеса
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesNETGEAR Iberia
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La CiberguerraAlejandro Ramos
 
IPv6
IPv6IPv6
IPv6Luxandra
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarseEducática
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaNETGEAR Iberia
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoJack Daniel Cáceres Meza
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0Victor Garcia Vara
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.timmaujim
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?Educática
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Jhoni Guerrero
 
Citrix Secure Gateway
Citrix Secure GatewayCitrix Secure Gateway
Citrix Secure GatewayJoaquin Herrero
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegosRaquel Carretero
 

More Related Content

What's hot

Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoPaulo Colomés
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SEducática
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter@ otsuka752
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGPPaulo Colomés
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Educática
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesNETGEAR Iberia
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarseEducática
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaNETGEAR Iberia
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoJack Daniel Cáceres Meza
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0Victor Garcia Vara
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.timmaujim
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?Educática
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Jhoni Guerrero
 

What's hot (20)

Implementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers CiscoImplementación de NAT/PAT en routers Cisco
Implementación de NAT/PAT en routers Cisco
 
IPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&SIPv6 en la certificación CCNA R&S
IPv6 en la certificación CCNA R&S
 
a little more about CaptureFilter
a little more about CaptureFiltera little more about CaptureFilter
a little more about CaptureFilter
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGP
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6Asignación de bloques de direcciones IPv6
Asignación de bloques de direcciones IPv6
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidores
 
Taller hacking
Taller hackingTaller hacking
Taller hacking
 
TV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendacionesTV y video multicast en redes LAN. Trucos y recomendaciones
TV y video multicast en redes LAN. Trucos y recomendaciones
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
 
IPv6
IPv6IPv6
IPv6
 
IPv6 llegó para quedarse
IPv6 llegó para quedarseIPv6 llegó para quedarse
IPv6 llegó para quedarse
 
Mantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en formaMantén el ReadyNAS siempre en forma
Mantén el ReadyNAS siempre en forma
 
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteoCurso: Redes y telecomunicaciones: 10 Protocolos de ruteo
Curso: Redes y telecomunicaciones: 10 Protocolos de ruteo
 
6sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_06sos instalacion ipv6_windows_v4_0
6sos instalacion ipv6_windows_v4_0
 
8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.8.2.5.4 lab identifying i pv6 addresses.
8.2.5.4 lab identifying i pv6 addresses.
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
¿Estás preparado para IPv6?
¿Estás preparado para IPv6?¿Estás preparado para IPv6?
¿Estás preparado para IPv6?
 
Práctica despliegue i pv6 0
Práctica despliegue i pv6 0Práctica despliegue i pv6 0
Práctica despliegue i pv6 0
 

Viewers also liked

Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2UVM
 
Antivirus y cortafuegos
Antivirus y cortafuegosAntivirus y cortafuegos
Antivirus y cortafuegosticdevirginia
 
Qué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funcionaQué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funcionaandy1244
 
Seguridad en redes tcp
Seguridad en redes tcpSeguridad en redes tcp
Seguridad en redes tcpElim Aqp
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 

Viewers also liked (17)

Citrix Secure Gateway
Citrix Secure GatewayCitrix Secure Gateway
Citrix Secure Gateway
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegos
 
Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2Cortafuegos (fiewall) equipo 2
Cortafuegos (fiewall) equipo 2
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
 
Antivirus y cortafuegos
Antivirus y cortafuegosAntivirus y cortafuegos
Antivirus y cortafuegos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Qué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funcionaQué es unos cortafuegos y cómo funciona
Qué es unos cortafuegos y cómo funciona
 
Seguridad en redes tcp
Seguridad en redes tcpSeguridad en redes tcp
Seguridad en redes tcp
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLES
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Seguridad2007
Seguridad2007Seguridad2007
Seguridad2007
 
Java OO: Introducción
Java OO: IntroducciónJava OO: Introducción
Java OO: Introducción
 
JAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOSJAVA OO - TEMA 01 - CLASES Y OBJETOS
JAVA OO - TEMA 01 - CLASES Y OBJETOS
 
Java Lambda
Java LambdaJava Lambda
Java Lambda
 
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBCSEMINARIO: ACCESO A BASE DE DATOS CON JDBC
SEMINARIO: ACCESO A BASE DE DATOS CON JDBC
 

Similar to cortafuegos_doble_pila_linux

Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 
voip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredovoip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredoVOIP2DAY
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-pptLuis Granados
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpananadiedrichs
 
La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125Educática
 
Firewall iptables
Firewall iptablesFirewall iptables
Firewall iptablescercer
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetesRenè Grillet
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetestioe
 
La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125Educática
 

Similar to cortafuegos_doble_pila_linux (20)

Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 
voip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredovoip2day 2012 - Voipv6 alberto sagredo
voip2day 2012 - Voipv6 alberto sagredo
 
208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt208830161 migracion-i pv4-a-ipv6-ppt
208830161 migracion-i pv4-a-ipv6-ppt
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Los motivos de i pv6 2016
Los motivos de i pv6 2016Los motivos de i pv6 2016
Los motivos de i pv6 2016
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
 
VozIPV6
VozIPV6VozIPV6
VozIPV6
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpan
 
La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125La Certificación CCNA R&S 200-125
La Certificación CCNA R&S 200-125
 
Firewall iptables
Firewall iptablesFirewall iptables
Firewall iptables
 
TVS-871T Brochure
TVS-871T BrochureTVS-871T Brochure
TVS-871T Brochure
 
QNAP Presentación 2016
QNAP Presentación 2016QNAP Presentación 2016
QNAP Presentación 2016
 
La Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAPLa Nueva Serie X73 AMD de QNAP
La Nueva Serie X73 AMD de QNAP
 
Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6Naveguemos por Internet con IPv6
Naveguemos por Internet con IPv6
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
 
Cacti desde-paquetes
Cacti desde-paquetesCacti desde-paquetes
Cacti desde-paquetes
 
La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125La Certificación CCNA - CCNA R&S 200-125
La Certificación CCNA - CCNA R&S 200-125
 
Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6Topera: Evadiendo Snort con IPv6
Topera: Evadiendo Snort con IPv6
 

More from cercer

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICAcercer
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadcercer
 
Iptables
IptablesIptables
Iptablescercer
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeezecercer
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3cercer
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackcercer
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7cercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfcercer
 

More from cercer (9)

Alta Disponibilidad - CICA
Alta Disponibilidad - CICAAlta Disponibilidad - CICA
Alta Disponibilidad - CICA
 
Firewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidadFirewall en cluster de alta disponibilidad
Firewall en cluster de alta disponibilidad
 
Iptables
IptablesIptables
Iptables
 
Tutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian SqueezeTutorial Rsyslog Debian Squeeze
Tutorial Rsyslog Debian Squeeze
 
Memoria sobre Squid3
Memoria sobre Squid3Memoria sobre Squid3
Memoria sobre Squid3
 
How to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stackHow to install Open Atrium over LAMP stack
How to install Open Atrium over LAMP stack
 
Documentacion cap2 windows 7
Documentacion cap2 windows 7Documentacion cap2 windows 7
Documentacion cap2 windows 7
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 
Documentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdfDocumentacion cap2 windows 7 arturo pdf
Documentacion cap2 windows 7 arturo pdf
 

Recently uploaded

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 

Recently uploaded (10)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 

cortafuegos_doble_pila_linux

  • 1. Cortafuegos doble pila en Linux IPv4 & IPv6 Arturo Borrero Gonzalez <aborrero@cica.es> Centro Informático Científico de Andalucía – CICA Consejería de Economía, Innovación, Ciencia y Empleo Junta de Andalucía La licencia de este documento es CC-BY-SA. Noviembre 2013
  • 2. Recordatorio IPv4 & IPv6 Tamaño: IPv4 → 232 direcciones IPv6 → 2128 direcciones Del tipo: IPv4 → 192.168.1.1 - 150.214.5.83 IPv6 → fc00::1:1 - 2a00:9ac0:c1ca:6::83 En DNS: IPv4 → Registro tipo A IPv6 → Registro tipo AAAA CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 3. Recordatorio cortafuegos Linux · Proyecto Netfilter <netfilter.org> · Desde Linux ~ 2.4 · Evolución del framework: ipchains → iptables → nftables · Actualmente: iptables -A FORWARD -m conntrack –ctstate ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp –dport 22 -m conntrack –ctstate NEW -j ACCEPT ip6tables -A FORWARD -p udp –dport 53 -m conntrack –ctstate NEW -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 4. Dual stack IPv4 & IPv6 · Descrito en RFC-4213 · Método recomendado para despliegue IPv6 (vs tunel y otros) · Basado en DNS: → Un FQDN (www.cica.es) tiene doble resolución www.cica.es IN IN A AAAA 150.214.5.137 2a00:9ac0:c1ca:6::137 → El cliente obtiene ambos registros y decide qué protocolo usar CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 5. Dual stack IPv4 & IPv6 Idealmente, todo el direccionamiento es doble CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 6. Dual stack, consideraciones ¡Gestión por duplicado de la red! • 2x direccionamientos para gestionar • 2x tablas de enrutamiento • 2x registros en DNS • 2x cortafuegos ← !! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 7. Dual stack, consideraciones ¿2 cortafuegos? • Netfilter no trabajar en dual stack :-( • Dos familias distintas: iptables vs ip6tables • Hay que escribir el cortafuegos 2 veces: root@debian:~# iptables -A FORWARD -p tcp -j ACCEPT root@debian:~# ip6tables -A FORWARD -p tcp -j ACCEPT CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 8. El problema del cortafuegos Elige sólo una opción: • No usar cortafuegos para IPv6 (no hay tráfico) • No usar cortafuegos para IPv6 (se acepta todo) • Gestionar 2 cortafuegos, 2 rulesets ¡El cortafuegos puede ser un gran problema en IPv6! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 9. La propuesta de CICA Condiciones previas: • Red dual stack IPv4 & IPv6 basada en DNS al 99.99% • Queremos usar Linux y Netfilter • No queremos demasiada abstracción a Netfilter • No queremos escribir 2 rulesets • Queremos software libre, a prueba de NSA ;-) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 10. La propuesta de CICA fw-admin • Herramienta CLI, escrita en shell • Pequeña capa de abstracción sobre iptables/ip6tables • Ruleset válido para ambas familias • Algunos extras • Software libre! CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 11. fw-admin ¿Que situaciones soporta? • Reglas de iptables con y sin dual stack • Resoluciones múltiples en DNS, tipo www.google.es • No todo es filtrado: NAT, ipset, etc... • Cortafuegos en alta disponibilidad (otra historia...) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 12. fw-admin workflow básico 1. Declarar variables root@debian:~# fw-admin -a www.cica.es 2. Usarlas $IPT -A FORWARD -d $WWW_CICA_ES -p tcp --dport 80 -j ACCEPT 3. Aplicar el ruleset root@debian:~# fw-admin --start rules CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 13. fw-admin Comprobaciones y recarga de reglas CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 14. fw-admin Declaración de reglas usando variables Toda la funcionalidad de Netfilter es accesible directamente CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 15. fw-admin Formato ip[6]tables-save CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 16. fw-admin Ficheros de datos en texto plano CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 17. fw-admin Varias opciones, flexibilidad CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 18. fw-admin CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 19. fw-admin ¿puntos fuertes? • ¡Documentado! • Muy flexible • Desarrollo muy abierto a mejoras y nuevas funciones ¿puntos débiles? • Poco extendido (quizás nada) • Demasiado enfocado al entorno CICA (evidente) CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 20. ¡Justo lo que estaba buscando! Contáctame a <aborrero@cica.es> y te ayudo a implementarlo CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 21. !Lo quiero ya! Código: https://github.com/aborrero/fw-admin Paquete DEB o RPM: <aborrero@cica.es> CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>
  • 22. GRACIAS ¿Preguntas? CICA - 2013 Junta de Andalucía Arturo Borrero González <aborrero@cica.es>