rober
/
blog-robertops
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
You cannot select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
main
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'b2ecde215b'
${ noResults }
blog-robertops/content/post/cortafuegos3/index.md

11 KiB
Raw Blame History

title date draft image categories tags
Cortafuegos III: perimetral sobre escenario 2023-03-02T23:19:45+01:00 false featured.png
documentación
Seguridad y Alta Disponibilidad
Cortafuegos
iptables

El escenario es el siguiente

Escenario

Y las interfaces de alfa son las siguientes:

  • ens3: Salida a internet
  • ens8: DMZ
  • br-intra: LAN

Enunciado

Sobre el escenario creado en el módulo de servicios con las máquinas Alfa (Router), Bravo (DMZ), Charlie y Delta (LAN) y empleando iptables o nftables, configura un cortafuegos perimetral en la máquina Alfa de forma que el escenario siga funcionando completamente teniendo en cuenta los siguientes puntos:

Política por defecto DROP para las cadenas INPUT, FORWARD y OUTPUT.

Antes de añadir la política por defecto voy a añadir reglas para permitir el acceso por ssh

iptables -A INPUT -s 172.22.0.0/16 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 172.22.0.0/16 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Estas reglas sirve para acceder desde la misma red, además añado las siguientes para acceder a través de la VPN

iptables -A INPUT -s 172.29.0.0/16 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -d 172.29.0.0/16 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Y permito el acceso al resto de máquinas

iptables -A OUTPUT -d 192.168.0.0/24 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 172.16.0.0/16 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

(Este paso lo ejecuto después de crear las reglas ssh)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

El cortafuego debe cumplir al menos estas reglas:

La máquina Alfa tiene un servidor ssh escuchando por el puerto 22, pero al acceder desde el exterior habrá que conectar al puerto 2222.

Desde Delta y Bravo se debe permitir la conexión ssh por el puerto 22 a la máquina Alfa

de alfa a charlie/delta

sudo iptables -A OUTPUT -o br-intra -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i br-intra -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Prueba antes y después de crear la regla

Escenario

de alfa a bravo

sudo iptables -A OUTPUT -o ens8 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i ens8 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Escenario

La máquina Alfa debe tener permitido el tráfico para la interfaz loopback

iptables -A INPUT -i lo -p icmp -j ACCEPT
iptables -A OUTPUT -o lo -p icmp -j ACCEPT

Pruebo que funciona, antes y después de aplicar la regla:

loopback

A la máquina Alfa se le puede hacer ping desde la DMZ, pero desde la LAN se le debe rechazar la conexión (REJECT) y desde el exterior se rechazará de manera silenciosa.

iptables -A INPUT -s 172.16.0.200/16 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -d 172.16.0.200/16 -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

Ahora el reject a la LAN

iptables -A INPUT -s 192.168.1.0/24 -p icmp -m icmp --icmp-type echo-request -j REJECT
iptables -A OUTPUT -d 192.168.1.0/24 -p icmp -m icmp --icmp-type echo-reply -j REJECT

ping desde bravo:

ping desde bravo

ping desde charlie:

ping desde charlie

La máquina Alfa puede hacer ping a la LAN, la DMZ y al exterior.

iptables -A OUTPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

A la LAN:

ping a la LAN

A la DMZ:

ping a la DMZ

Al exterior:

ping al exterior

Desde la máquina Bravo se puede hacer ping y conexión ssh a las máquinas de la LAN.

iptables -A FORWARD -s 172.16.0.200/32 -d 192.168.0.0/24 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -d 172.16.0.200/32 -s 192.168.0.0/24 -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

iptables -A FORWARD -s 172.16.0.200/32 -d 192.168.0.0/24 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 172.16.0.200/32 -s 192.168.0.0/24 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Prueba de ping desde bravo a charlie:

ping desde bravo a charlie

Prueba de ssh desde bravo a charlie:

ssh desde bravo a charlie

Desde cualquier máquina de la LAN se puede conectar por ssh a la máquina Bravo.

iptables -A FORWARD -s 192.168.0.0/24 -d 172.16.0.200/32 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 172.16.0.200/32 -d 192.168.0.0/24 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

Pruebo a acceder desde charlie:

ssh desde charlie a bravo

Configura la máquina Alfa para que las máquinas de LAN y DMZ puedan acceder al exterior

DMZ a exterior:

iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o ens3 -j MASQUERADE
iptables -A FORWARD -i ens8 -o ens3 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i ens3 -o ens8 -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

LAN a exterior:

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens3 -j MASQUERADE
iptables -A FORWARD -i br-intra -o ens3 -p icmp -m icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i ens3 -o br-intra -p icmp -m icmp --icmp-type echo-reply -j ACCEPT

Prueba de ping desde bravo a google:

ping desde bravo a google

Prueba de ping desde charlie a google:

ping desde charlie a google

Las máquinas de la LAN pueden hacer ping al exterior y navegar

El ping lo he configurado en el punto anterior. Ahora la navegación:

iptables -A FORWARD -i br-intra -o ens3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens3 -o br-intra -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i br-intra -o ens3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens3 -o br-intra -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Prueba de navegación desde charlie (no tengo el comando curl, asi que uso nc):

navegación desde charlie

La máquina Bravo puede navegar

iptables -A FORWARD -i ens8 -o ens3 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens3 -o ens8 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i ens8 -o ens3 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens3 -o ens8 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

Prueba de navegación desde bravo:

navegación desde bravo

Configura la máquina Alfa para que los servicios web y ftp sean accesibles desde el exterior

iptables -t nat -A PREROUTING -p tcp -i ens3 --dport 80 -j DNAT --to 172.16.0.200
iptables -A FORWARD -i ens3 -o ens8 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens8 -o ens3 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i ens3 --dport 21 -j DNAT --to 172.16.0.200
iptables -A FORWARD -i ens3 -o ens8 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens8 -o ens3 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

Prueba de navegación desde el exterior (La página es de un taller de Django):

navegación desde el exterior

El servidor web y el servidor ftp deben ser accesibles desde la LAN y desde el exterior

iptables -A FORWARD -i br-intra -o ens8 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens8 -o br-intra -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A FORWARD -i br-intra -o ens8 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens8 -o br-intra -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

Prueba de navegación desde charlie, sale un error porque estoy usando el comando nc, pero aun asi se ve que responde rocky con wsgi, que es lo que hay desplegado en bravo:

navegación desde charlie

El servidor de correos sólo debe ser accesible desde la LAN

iptables -A FORWARD -i br-intra -o ens8 -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ens8 -o br-intra -p tcp --sport 25 -m state --state ESTABLISHED -j ACCEPT

En la máquina Charlie instala un servidor mysql si no lo tiene aún. A este servidor se puede acceder desde la DMZ, pero no desde el exterior.

Evita ataques DoS por ICMP Flood, limitando el número de peticiones por segundo desde una misma IP.

El ping está bloqueado desde el exterior y desde la LAN, por lo que voy a evitar los ataques desde la DMZ, limitando a 1 peticion por segundo(primero hay que borrar la regla anterior):

iptables -A INPUT -i ens8 -p icmp -m state --state NEW --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT

ping desde la DMZ

En la captura se ve como el 100% de los paquetes han sido rechazados

Evita ataques DoS por SYN Flood.

iptables -t raw -D PREROUTING -p tcp -m tcp --syn -j CT --notrack
iptables -D INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
iptables -D INPUT -m conntrack --ctstate INVALID -j DROP

Evita que realicen escaneos de puertos a Alfa.

iptables -N antiscan
iptables -A antiscan -j DROP

Debemos implementar que el cortafuegos funcione después de un reinicio de la máquina.

Para hacer la instalación persistente, he utilizado el paquete iptables-persistent

apt install iptables-persistent

Para que funcione, tras crear todas las reglas, ejecuto el siguiente comando:

sudo iptables-save > /etc/iptables/rules.v4

Tras ejecutar eso, las reglas son persistentes. El fichero tiene el siguiente contenido:

iptables-save