INFORME DE LABORATORIO No.

FIREWALL

FACULTAD DE INGENIERIA

DEPARTAMENTO DE AUTOMATICA Y ELECTRONICA

José Estrada González Código: 2070704

Carlos Andrés Aguilar Código: 2066340

Introducción firewall examina si la comunicación es

entrante o saliente y dependiendo de su
En este trabajo se buscara familiarizarse
dirección puede permitirla o no.
con la configuración del servicio firewall,
en este caso especifico emplearemos una
solución de software libre y de fácil Marco Teórico
acceso llamada shorewall, esta es una
Shorewall (Shoreline Firewall): Es una
herramienta robusta y extensible de alto
robusta y extensible herramienta de alto
nivel para la configuración de muros
nivel para la configuración de muros
cortafuegos, Shorewall no permanece en
cortafuegos. Shorewall solo necesita se le
memoria como un demonio; lee su
proporcionen algunos datos en algunos
configuración, la valida y efectúa los
ficheros de texto simple y éste creará las
cambios necesarios en Netfilter para
reglas de cortafuegos correspondientes a
desaparecer después. A continuación
través de iptables. Shorewall puede
daremos información importante para
permitir utilizar un sistema como muro
entender el funcionamiento del firewall.
cortafuegos dedicado, sistema de
Firewall: es simplemente un filtro que múltiples funciones como puerta de
controla todas las comunicaciones que enlace, dispositivo de encaminamiento y
pasan de una red a la otra y en función servidor.
de lo que sean permite o deniega su
Iptables: es el nombre de la herramienta
paso. Para permitir o denegar una
de espacio de usuario (User Space, es
comunicación el firewall examina el tipo
decir, área de memoria donde todas las
de servicio al que corresponde, como
aplicaciones, en modo de usuario,
pueden ser el web, el correo o el IRC.
pueden ser intercambiadas hacia
Dependiendo del servicio el firewall
memoria virtual cuando sea necesario) a
decide si lo permite o no de acuerdo a las
través de la cual los administradores
especificaciones que se le dan en el
crean reglas para cada filtrado de
archivo de configuración. Además, el
paquetes y módulos de NAT. Iptables es
la herramienta estándar de todas las
distribuciones modernas de GNU/Linux.
Netfilter: es un conjunto de ganchos
(Hooks, es decir, técnicas de
programación que se emplean para crear
cadenas de procedimientos como
manejador) dentro del núcleo de
GNU/Linux y que son utilizados para
interceptar y manipular paquetes de red.
El componente mejor conocido es el
cortafuegos, el cual realiza procesos de
filtración de paquetes. Los ganchos son
también utilizados por un componente
que se encarga del NAT (acrónimo de
Network Address Translation o Existe una clasificación de acuerdo a la
Traducción de dirección de red). Estos
componentes son cargados como
módulos del núcleo.
NAT (acrónimo de Network Address
Translation o Traducción de dirección de
red): también conocido como
enmascaramiento de IP, es una técnica
mediante la cual las direcciones de
origen y/o destino de paquetes IP son
reescritas mientras pasan a través de un
dispositivo de encaminamiento (router) o
muro cortafuegos. Se utiliza para
permitir a múltiples anfitriones en una
Red Privada con direcciones IP para Red
Privada para acceder hacia una Internet
utilizando una sola dirección IP pública.
DNAT (acrónimo de Destination
Network Address Translation o
traducción de dirección de red de
destino): es una técnica mediante la cual
se hace público un servicio desde una
Red Privada. Es decir permite redirigir
puertos hacia direcciones IP de Red
Privada. El uso de esta técnica puede
permitir a un usuario en Internet alcanzar
un puerto en una Red Privada (dentro de
una LAN) desde el exterior a través de un
encaminados (router) o muro
cortafuegos donde ha sido habilitado un
NAT.
Shorewall necesita de un demonio para
su arranque:
• # service shorewall start
Tipos de Firewall
forma como es implementado:
Hardware – dispositivo físico (host) con
un sistema operativo especial (reducido)
que posee dos o más interfaces de red
servidor y en el cual se implementan las
directivas de seguridad de la red.
Generalmente el equipo, posee una
interfaz gráfica (GUI) para la
configuración de las reglas de manera
remota.
Software – programa especial que se
instala en un servidor para la
implementación de las directivas de
seguridad de la red. Las reglas de
seguridad se pueden configurar usando
una interfaz gráfica o la línea de
comandos (shell script). Además, el
programa se puede configurar como un
servicio.

Existe una configuración especial
considerando su ubicación en la red:
Muro Cortafuegos – host que se
encuentra entre la LAN e Internet,
habitualmente posee 2 interfaces de red
y se dedica únicamente al filtrado de
paquetes. Se le denomina también
bastión de seguridad.
Gateway – (Pasarela) todo el tráfico de
red - interno y externo, debe realizarse a
través de él.
Firewall Proxy – se implementa como
una aplicación independiente para cada
servicio, y en este caso es él quien
establece la conexión con el servidor
remoto en lugar del cliente.
Ventajas del fiewall
• Administran los accesos provenientes
de Internet hacia la red privada. Sin un
firewal, cada uno de los servidores
propios del sistema se exponen al ataque
de otros servidores en el Internet. Por
ello la seguridad en la red privada
depende de la "dureza" con que el
firewall cuente.
• Administran los accesos provenientes
de la red privada hacia el Internet.
• Permite al administrador de la red
mantener fuera de la red privada a los
usuarios no-autorizados (tal, como,
hackers, crakers y espías), prohibiendo
potencialmente la entrada o salida de
datos.
• Ayuda a simplificar los trabajos de
administración, una vez que se consolida
la seguridad auditando el uso del
Internet. De esta manera el
administrador de red justifica el gasto
que implica la conexión a Internet,
localizando con precisión los cuellos de
botella potenciales del ancho de banda.
• El firewall ofrece la posibilidad de
monitorear la seguridad y si aparece
alguna actividad sospechosa, generará
una alarma ante la posibilidad de que
ocurra un ataque, reduciendo el riesgo
de que se produzca un ataque.
• El firewall crea una bitácora en donde
se registra el tráfico más significativo que
pasa a través el.
• Concentra la seguridad Centraliza los
accesos
• Al poseer un firewall disminuimos la
posibilidad de tener los siguientes
ataques.
Denegación de servicio (Denial of Service
- DoS)
Sondeo y exploración de los puertos
lógicos.
Acceso a sitios y servicios no deseables.
Acceso a información confidencial. está desactivado, solo basta cambiar No
por Yes.

Desarrollo
Para iniciar la instalación del shorewall el
primer paso es descargar el rpm desde la
página http://www.shorewall.net/,
después de esto se debe proceder con la
instalación, esta se lleva a cabo con la
línea.
rpm –ivh shorewall-4.4.rpm
Dejamos todos los parámetros de
instalación por defecto, esto nos quiere
decir que los archivos de configuración
quedan en la ruta /etc/shorewall.
STARTUP_ENABLED=Yes
CLAMPMSS se utiliza en conexiones tipo
PPP (PPTP o PPPoE) y sirve para limitar el
MSS (acrónimo de Maximum Segment
Size que significa Máximo Tamaño de
Segmento). Cambiando el valor No por
Yes, Shorewall calculará el MSS más
apropiado para la conexión. Si se es
osado, puede también especificarse un
número en paquetes SYN. La
recomendación es establecer Yes si se
cuenta con un enlace tipo PPP.

CLAMPMSS=Yes
Para la configuración del servicio de
firewall hay que modificar algunos
parámetros que se encuentran en los
archivos de configuración, el primero de
estos archivos es el shorewall.conf que se
encuentra ubicado en la ruta
etc/shorewall/sorewall.conf.

En este archivo se modificaran 2

parametros, el STARTUP_ENABLED y el
CLAMPMSS. Figura 1. Configuración del archivo
shorewall.conf.

STARTUP_ENABLED se utiliza para

activar Shorewall. De modo predefinido
Para continuar con la configuración se
guardan los cambios realizados y se
procede a acceder al archivo zones
ubicado en la misma ruta que el archivo
anterior (/etc/shorewall).

Este archivo se utiliza para definir las

zonas que se administrarán con
Shorewall y el tipo de zona (firewall,
ipv4). La zona fw está presente en el
fichero /etc/shorewall.conf como
configuración predefinida.
Figura 2. Configuración del archivo
zones.
En este caso se crean nuevas zonas
llamadas net y loc, que son de tipo ipv4.
Se guardan los cambios y se procede a
modificar el archivo interfaces que se
encuentra ubicado en la ruta /etc/
shorewall.
Figura 3. Configuración del archivo
interfaces.
En esta configuración se agrega la
interfaz eth0 para la zona loc y se agrega
la interfaz eth1 para la zona net, creadas
anteriormente en el archivo zones,
además de esto en la parte de broadcast
se pone detect para que se calcule
automáticamente la dirección de
transmisión (broadcast) y en la parte de
OPTIONS se especifica la dirección de red
con la máscara de subred.
Se guardan los cambios realizados y se
procede a modificar el fichero policy,
este se encuentra en la ruta
etc/shorewall, y en él se definen las
políticas por defecto para paquetes que
viajan entre una zona hacia otra.

En el archivo interfaces se establecen las

interfaces de las zonas a ser tomadas en
cuenta por el firewall.

Figura 4. Configuración del archivo
policy.
En el archivo policy implementamos la
política de seguridad de denegar todo de
manera predeterminada y aceptar el
paso de paquetes seleccionados de
manera explícita.
Se guardan los cambios y se procede a
configurar el archivo rules ubicado en la
misma ruta de los archivos anteriores,
este archivo es el más importante a la
hora de configurar shorewall ya que aquí
se definen las reglas que permitirán o
bloquearan el acceso a servicios o
puertos desde y hacia zonas o el firewall.
Antes de configurarlo hay que tener en
cuenta que las políticas por defecto son
DROP, por lo tanto nada pasa a ningún
lugar, no se podrá navegar ni siquiera el
mismo fw, por lo tanto tenemos que ir a
abriendo y permitiendo el acceso a varios
puertos según como sean los
requerimientos.
En Shorewall no solo se puede configurar
con las numeraciones de los puertos,
Shorewall nos permite también
configurar los puertos según sea su
nombre o servicio que ofrece (DNS, FTP,
POP3, MySQL, SSH, VNC, Whois, Emule,
BitTorrent, etc).
Figura 5. Configuración del archivo rules.
Teniendo en cuenta la modificación en el
arhivo politicy de negar todo en este
archivo debemos darle acceso a la zona
que queremos pase sin ser bloqueada
por el firewall, esto se hace agragando
una nueva línea en el archivo en cuestión
en la cual se pone en los campos los
siguientes parametros, en ACTION se
pone ACCEPT si se va a permitir o REJECT
si se va a nega, en SOURCE se pone la
zona de origen, , en DEST se pone la zona
de destino, en PROTO se consigna el
protocolo por el cual se establece la
conexión (tcp o udp), y en PORT se
escribe el número del puerto del
Conclusión

El firewall es muy práctico y útil ya que

nos permite agregar seguridad a nuestros
equipos y redes por medio de la
imposición de políticas de seguridad.

Los firewall’s no son una buena

herramienta si no se tienen bien
configurados, por el contrario una mala
configuración daría una sensación de
protección cuando en realidad se está
vulnerable, es por esto que se aconseja
poner la política de negar todo, y agregar
reglas para dejar pasar a las excepciones
que se consideren pertinentes según el
entorno.

Bibliografía

Presentación firewall
http://augusta.uao.edu.co/moodle/mod/
resource/view.php?id=40814

Practica firewall
http://augusta.uao.edu.co/moodle/mod/
resource/view.php?id=40815

http://www.linuxparatodos.net/portal/st
aticpages/index.php?page=como-
shorewall-3-interfaces-red

http://www.desarrolloweb.com/articulos
/513.php

http://www.shorewall.net/

http://www.racsa.co.cr/consejos_navega
cion/proteccion/firewalls/index.html