You are on page 1of 9

FIREWALL es indicado por la recomendacin RFC 2979 (Octubre 2000) de la IETF Los FIREWALLS POR HARDWARE son los

utilizados en entorno profesionales Los FIREWALLS POR SOFTWARE pueden ser gratuitos o comerciales IPTABLES es un sistema firewall vinculado al kernel de LINUX que se ha extendido a partir de las versiones 2.4x y 2.6x IPFW - IPFWADM IPCHAINS Las tablas en IPTABLES se dividen en cuatro: FILTER, NAT, MANGLE y RAW FILTER - es donde se encuentran todas las cadenas que pueden contener reglas que hagan filtrado Las reglas estn contenidas dentro de cadenas y las cadenas estn dentro de las tablas. INPUT, OUTPUT y FORWARD Cuando un paquete entra a una interfaz de red, el ncleo examina primero el destino del paquete y decide que ruta tomar (INPUT o FORWARD). Si por el contrario el paquete lo genera algn proceso de la mquina, la cadena a examinar ser OUTPUT. Luego el paquete es examinado en la cadena, en donde la decisin de desechar (DROP) o aceptar (ACCEPT) el paquete es tomada. Si la decisin es aceptar (ACCEPT), el paquete contina hacia el destino, siendo recibido por algn proceso local (demonio). Bloquear todo - # iptables P INPUT DROP # iptables P OUTPUT DROP # iptables P FORWARD DROP

Filter filtrado de paquetes, es la tabla por defecto. Nat Manipulacin de direcciones y puertos Mangle Alteracin especializada Raw Evitar seguimiento de conexiones Targets ACCEPT - Este target hace que netfilter acepte el paquete. DROP - Este target hace que netfilter descarte el paquete sin ningn otro tipo de procesamiento. REJECT- Este target tiene el mismo efecto que DROP, salvo que enva un paquete de error a quien envi originalmente.

---------------------------------------------------o------------------------------------------------Filtrado de Paquetes Cada regla especifica un conjunto de condiciones que un paquete debe cumplir Forma de filtrar un PING. - iptables A INPUT s 127.0.0.1 p icmp j DROP Borrar Regla - iptables D INPUT 1 -F para vaciar (flush) todas las cadenas. -X Borrar la cadena definida-por-usuario (opcional) especificada. -Z Poner a cero (Zero) los contadores de bytes y paquetes de todas las cadenas.

Para Aceptar ssh o cualquier otro puerto Iptables A INPUT p tcp dport 22 j ACCEPT

-----------------------------------------------------o--------------------------------------------ZONA DESMILITARIZADA (DMZ) Red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa - los hosts en la DMZ no pueden conectar con la red interna. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la DMZ se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera (Web, DNS) DMZ = Anfitrion Bastion Actuan como puesto de avanzada en compaa. Politica de seguridad de DMZ El trfico de la red externa a la DMZ est autorizado. El trfico de la red externa a la red interna est prohibido. El trfico de la red interna a la DMZ est autorizado. El trfico de la red interna a la red externa est autorizado. El trfico de la DMZ a la red interna est prohibido. El trfico de la DMZ a la red externa est denegado.

DMZ posee un nivel de seguridad intermedio, el cual no es lo suficientemente alto para almacenar datos imprescindibles de la compaa ----------------------------------------------------------o------------------------------------------Conceptos bsicos criptoanalisis, tipos de cifradores M= Texto C= Texto Encripado Funcion de Encriptacin E(M) =C Desencriptacin es una funcin D en la que D(C) = M. Las funciones E y D son implementadas por un ALGORITMO CRIPTOGRFICO Clave K Clave Debil CRIPTOANLISIS (Ataque a la seguridad) es la ciencia de recuperar el mensaje original sin tener acceso a la clave. Slo texto cifrado slo se conoce el algoritmo/ texto cifrado. Conoce texto plano conoce/sospecha texto plano y texto cifrado. Texto plano elegido selecciona texto plano y obtiene texto cifrado para atacar el cifrador. Texto cifrado elegido selecciona texto cifrado y obtiene texto plano para atacar el cifrador. Texto elegido selecciona ya sea texto plano o cifrado para encriptar o desencriptar y atacar el cifrador.

Criptografa simtrica y Asimtrica Resuelven los problemas de confidencialidad e integridad, mientras que con la segunda se resuelven los de autenticidad y no rechazo. La principal diferencia en la simtrica la clave de cifrar y descifrar es la misma, mientras que en la asimtrica se tiene una clave para cifrar y otra diferente para descifrar. Criptografa asimtrica hay dos claves, una pblica y otra privada. Clave privada no se obtiene de la clave pblica, y la pblica se comparte con cualquier persona. Criptografa simtrica pertenecen los cifradores de bloques, los cifradores de flujo y las funciones de hash Cifradores de flujo se denominan as porque cifran bit por bit o byte por byte ej: RC4 Cifradores de bloques cifran de bloque en bloque de, digamos, 64 bits DES TRIPLE DES ---------------------------------------------------o----------------------------------------Cifrado simetrico, cifrado simetrico con openssl y gpg Encriptacin simtrica es utilizada una clave nica (clave privada) tanto para encriptar como para desencriptar Requerimientos para encriptacin Simetrica: Un algoritmo de encriptacin fuerte y Emisor y receptor deben haber obtenido copias de la clave secreta en forma segura Algunos algoritmos de cifrado simtrico son: DES, 3DES, Blowfish, AES y CAST.

El algoritmo de cifrado DES usa una clave de 56 bits, lo que significa que hay 256 claves posibles 3DES, Blowfish e IDEA usan todos claves de 128 bits, lo que significa que existen 2128 claves posibles OpenSSL permite encriptacin simtrica de datos a travs de varios algoritmos OpenSSL soporta varios algoritmos de clave simtrica como: DES, 3DES, Blowfish, AES y CAST En la encriptacin simtrica es utilizada una clave nica (privada) tanto para encriptar como para desencriptar. openssl enc [operacin] [cifrador] -in file.input -out file.output [campo clave] [campo salt] [otras opciones] Operacin hace referencia a encriptar (-e) y desencriptar (-d). Cifrador permite seleccionar el algoritmo a usar para la encriptacin. In file.input es el archivo a encriptar (texto claro). Out file.output es el resultado de la encriptacin (texto cifrado).
# openssl enc -e -aes-128-cbc -in archivo.txt -out archivo.aes ______ ____________ _______________ ______________________ cifrar alg de cifrado archivo texto claro archivo cifrado # openssl enc -d -aes-128-cbc -in texto.aes -out archivo.txt ______ ____________ _________________ _____________________ descifrar alg. de cifrado archivo cifrado archivo texto claro

Cifrado simetrico con GPG gpg -c archivo (-c simetrico) gpg -d archivo.gpg

-------------------------------------------------o-----------------------------------------------

Cifrado asimetrico, cifrado asimetrico con openssl ,funciones de hash, resumenes ,hash con openssl CIFRADORES ASIMTRICOS o cifradores de claves pblicas involucran una clave pblica, que puede ser libremente distribuida, y una clave privada. Estas claves siempre son generadas en parejas. - La clave pblica es usada para encriptar los datos y la clave privada se usa para desencriptar los datos. - La clave pblica encripta, pero NO puede ser utilizada para desencriptar. Slo la clave privada puede desencriptar los datos. Algoritmos cifrado asimtrico son: RSA, DSA, Diffie-Hellman.

openssl genrsa por defecto (512) openssl genrsa 1024 openssl genrsa -out private.key 1024 generar clave privada RSA de 1024 bits en el archivo private-key openssl rsa -in private.key -pubout -out public.key Para extraer una clave pblica al archivo publica.key

FUNCIN HASH como aquella que reduce el mensaje a un conjunto de datos, denominado resumen (128 o 254 bits) Las funciones de hash generan un cifrado unidireccional e irreversible Funciones de hash ms populares podemos encontrar: MD2, MD4, MD5, SHA, SHA1. MD5 (Maneja bloques de 512 bits) es la ltima versin de algoritmos de hash de RSA, maneja optimizacin para procesadores de 32 bits ms rpido que SHA ( Familia de los HASH 128 bits) La descripcin de los tres algoritmos se encuentra documentada en los RFCs 1319, 1320 y 1321. Los resmenes (o digests) de mensajes (o archivos) son usados para asegurar que un mensaje (o archivo) es vlido. La orden list-message-digest-commands de OpenSSL muestra una lista de tipos de resmenes disponibles Para obtener un resumen MD5 de un archivo llamado fichero.txt: # openssl dgst md5 fichero.txt Resumen SHA1 # openssl dgst -sha1 fichero.txt Podemos almacenar el resumen de un archivo usando la opcin out de OpenSSL # openssl dgst -sha1 -out fichero.sha1 fichero.txt Cifra una contrasea con MD5 # echo contrasea | openssl passwd -stdin -1 Generar una contrasea con crypt # echo contrasea | openssl passwd -stdin -crypt

You might also like