FireWall, en i-Router 1104-W (parte 1)

FireWall, en i-Router 1104-W (parte 1)

Configuracion del Firewall,

1234@irouter>$ firewalls

 Permite definir y visualizar la configuración actual  de firewall. Dicho elemento controla el trafico de paquetes  que entra  y sale en una  determinada conexión de red. Cada  interfaz  podrá disponer de un conjunto  diferente  de reglas de filtrado  para  determinados flujos de paquetes  objetivo.

Firewall

1234@irouter>firewalls$ add name <value> interface <value> type <value>

 La siguiente  tabla  muestra información  sobre los diferentes  conjuntos  de reglas de filtrado  que se llevaran  a cabo  en el sistema.  Además permite  la creación de nuevos  conjuntos  de reglas  de filtrado.

Nombre

Se trata del  nombre  que  identificará a al  conjunto  de  reglas  de  filtrado  que  afectarán a  una determinada interfaz.

Interfaz

Define la interfaz  sobre  la que se aplicara  el conjunto  de reglas de filtrado.  Debe tratarse de una interfaz  previamente definida.

all  Establece  que el conjunto  de reglas de filtrado  afectará a toda  las interfaces  del router.

Tipo

Define si el conjunto  de reglas de filtrado  afecta al trafico de paquetes  entrante o saliente  para la interfaz  previamente establecida.

in  El conjunto  de reglas de filtrado  afecta  al trafico de paquetes  entrante para  la interfaz  previamente  definida.

out El conjunto  de reglas de filtrado  afecta al trafico de paquetes  saliente  para  la interfaz  previamente  definida.

Configuración de  Información  de  firewall

1234@irouter>firewalls$ firewall <value>

Permite configurar  el conjunto  de reglas de filtrado  que realizarán la función de firewall en el sistema.  Básicamente permite  añadir nuevas  reglas de filtrado  para  una determinada interfaz.

Nombre

1234@irouter>firewalls>firewall1$ name <value>

 Se trata del nombre  que identificará al conjunto  de reglas  de filtrado  para  una  determinada interfaz.

Configuración

1234@irouter>firewalls>firewall1$ set-firewall interface <value> type <value>

Interfaz

Define la interfaz  sobre  la que se aplicar´a  el conjunto  de reglas de filtrado.  Debe tratarse de una interfaz  previamente definida.

all  Establece  que el conjunto  de reglas de filtrado  afectar´a a toda las interfaces  del router.

Tipo

Define si el conjunto  de reglas de filtrado  afecta al trafico de paquetes  entrante o saliente  para la interfaz  definida.

in  El conjunto  de reglas de filtrado  afecta  al trafico de paquetes  entrante para  la interfaz  previa- mente  definida.

out El conjunto  de reglas de filtrado  afecta al trafico de paquetes  saliente  para  la interfaz  previa- mente  definida.

Accion por defecto

1234@irouter>firewalls>firewall1$ default-action <value>

 Define la acción por defecto  en caso de que no exista  ninguna  regla de filtrado  definida  para un determinado trafico de paquetes.  Básicamente se pueden  seleccionar dos acciones por defecto, aceptar los paquetes  (opción Permit) o bien rechazarlos  (opción Drop).

drop La  acción  por  defecto  es rechazar  los paquetes   para  los que  no  exista  ninguna  regla  de filtrado.

permit La acción  por  defecto  es aceptar los paquetes  para  los que  no exista  ninguna  regla  de filtrado.

Reglas

1234@irouter>firewalls>firewall1$ add rule <value>

 Añade una nueva regla de filtrado no nula al firewall. La evaluación de las reglas es descendente.

Nombre

Se trata del nombre  que deseemos asignar  a una determinada regla de filtrado.  A continuacion podremos configurar los diferentes atributos que defininan el comportamiento de la regla de filtrado. Se recomienda  un  nombre  explicativo  que permita identificar  claramente el tipo  de filtrado  que realiza.

Configuracion de  Regla

1234@irouter>firewalls>firewall1$ rule <value>

Permite la configuración  de la regla de filtrado  definida por dicho nombre.  La configuracion de

dicha regla consistirá en definir los siguientes  atributos: protocolo,  tipo de acción, tipo de rechazo,tipo de ICMP,  dirección IP actual,  mascara  origen, puerto  inicial de origen, puerto  de origen final, dirección ip destino,  mascara  destino,  puerto  inicial de destino,  puerto  final de destino y si se desea habilitar dicha regla.

Regla de  configuracion

1234@irouter>firewalls>firewall1>rule1$ set-rule protocol <value> action <value>reject-type <value>

Protocolo

Define el protocolo que se verá afectado por la regla de filtrado definida. La regla de filtrado puede afectar  a Any (afecta  a todos),  ICMP  (Internet Control  Message Protocol), TCP  (Transmission

Control  Protocol), UDP  (User Datagram Protocol) y TCP-UDP.

any La regla definida afecta  a todos los protocolos icmp La regla definida afecta  al protocolo ICMP tcp La regla definida afecta  al protocolo  TCP

udp La regla definida afecta  al protocolo  UDP

tcp-udp La regla definida afecta  al protocolo  TCP-UDP

Acción

Permite definir la acción que llevará a cabo la regla de filtrado sobre el trafico de paquetes  objetivo.

La regla de filtrado puede permitir dicho flujo de paquetes  (PERMIT), rechazarlo  (REJECT), o bien descartarlo (DROP).

drop El valor Drop establece  que la acción de la regla de filtrado  consiste en descartar el flujo de paquetes  definido en la regla.

permit El  valor  Permit establece  que  la  acción de  la  regla  de  filtrado  es permitir el flujo de paquetes  definido en la regla.

reject El valor Reject establece que la acción de la regla de filtrado consiste en rechazar  el flujo de paquetes  definidos en la regla.

A diferencia de la opción Drop, esta opción permite  establecer un  tipo  de rechazo:  

icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-port-unreachable, icmp-net-prohibited, icmp-host-prohibited y tcp-reset

Tipo de  rechazo

Permite seleccionar el tipo de rechazo que sufre el flujo de paquetes  objetivo  cuando  la accion de la regla de filtrado  se trata de Reject.  

Los tipos de rechazo posibles son los siguientes: icmp-net- unreachable (red  inaccesible),  icmp-host-unreachable (host  inaccesible),  icmp-proto-unreachable (protocolo   inaccesible),  icmp-port-unreachable (puerto  inaccesible),  icmp-net-prohibited,  icmp- host-prohibited y tcp-reset

icmp-net-unreachable  Envía un icmp de red inalcanzable.

icmp-host-unreachable Envía un icmp de host inalcanzable.

icmp-proto-unreachable Envía un icmp de protocolo  inalcanzable.

icmp-port-unreachable Envía un icmp de puerto  inalcanzable.

icmp-net-prohibited Enváa un icmp de red prohibida.

icmp-host-prohibited Envía un icmp de host prohibido.

tcp-reset Envía un RST de tcp.

Tipo de  ICMP

1234@irouter>firewalls>firewall1>rule1$ icmp-type <value>

Establece  el tipo  de ICMP.  El  Protocolo  de Mensajes  de Control  de Internet o ICMP  (por sus  siglas  de  Internet Control  Message  Protocol) es el sub  protocolo  de  control  y  notificacion de errores  del Protocolo  de Internet (IP).  Como  tal,  se usa  para  enviar  mensajes  de error,  in- dicando  por  ejemplo  que un  servicio determinado no est´a  disponible  o que un  router  o host  no puede  ser  localizado.  El  sistema  permite   seleccionar  los  siguientes  tipos  de  ICMP:  any,  echo- reply, destination-unreachable, network-unreachable, host-unreachable, protocol-unreachable, port- unreachable, fragmentation-needed, source-route-failed, network-unknown, host-unknown, network prohibited, host-prohibited, TOS-network-unreachable, TOS-host-unreachable, comunication-prohibited, host-precedence-violation, precedence-cutoff,  source-quench,  redirect,  network-redirect, host-redirect, TOS-network-redirect, TOS-Host-redirect, echo-request, router-advertisement,  router-solicitation, time-exceeded, ttl-zero-during-transit,  ttl-zero-during-reassembly, parameter-problem, ip-header- bad, required-option-missing, timestamp-request, timestamp-reply, address-mask-request y address- mask-reply.

any

Establece  como tipo de ICMP  cualquiera.

echo-reply

Establece  como tipo de ICMP  echo-reply.  Echo Reply (Respuesta de Eco) en el protocolo ICMP  suele ser un mensaje  generado  como contestación a un mensaje  Echo Request (peticion  de Eco).

destination-unreachable

Establece  como  tipo  de  ICMP  destination-unreachable.  El  mensaje significa que el router  considera  inalcanzable  el destino.

network-unreachable

Establece  como tipo de ICMP  network-unreachable. El mensaje  significa que la red actualmente es inalcanzable.

host-unreachable

Establece  como tipo  de ICMP  host-unreachable. El mensaje  significa que el host es actualmente inalcanzable.

protocol-unreachable

Establece  como tipo de ICMP  protocol-unreachable. El mensaje significa que el protocolo  utilizado  (tcp,  udp…)  es inalcanzable.

port-unreachable

Establece  como tipo  de ICMP  port-unreachable. El mensaje  significa que el puerto  es actualmente inalcanzable.

fragmentation-needed

Establece  como tipo  de ICMP  fragmentation-needed. El mensaje  significa que el paquete  necesita  ser fragmentado, pero  el bit  de -No fragmentar- se encuentra activo.

source-route-failed

Establece  como tipo  de ICMP  source-route-failed. Ha fallado el encamina- miento exigido en origen: se ha especificado el camino/enrutado que deben seguir los paquetes y uno de los puntos  de la ruta  no est´a disponible

network-unknown

Establece  como tipo  de ICMP  network-unknown. Dirección de destino  desconocida. El mensaje  significa que no existe una ruta  para  una determinada red.

host-unknown

Establece  como tipo  de  ICMP  host-unknown. Host  de  destino  desconocido  El mensaje  significa que no existe una ruta  para  un determinado host.

network-prohibited

Establece  como tipo de ICMP  network-prohibited. El mensaje significa que no dispone de permiso para  el envío de paquetes  a la red.

host-prohibited

Establece  como tipo de ICMP  host-prohibited. El mensaje significa que no dispone de permiso para  el envío de paquetes  al host.

TOS-network-unreachable

Establece  como tipo de ICMP  TOS-network-unreachable. El men- saje  significa que  la red  fue inalcanzable  debido  a una  mala  configuración del TOS  en el paquete. Los bits del campo de tipo de servicio (TOS)  son un conjunto  de cuatro  indicadores de un bit de la cabecera de IP. Si uno de estos indicadores  de bit vale 1, un encaminador pue-de manipular el datagrama de forma diferente  del caso en el que ningún indicador  valiera  1. Cada  uno de los cuatro  bits tiene un proposito  diferente  y sólo uno de los bits de TOS puede valer 1 al mismo tiempo,  es decir, las combinaciones  no están permitidas. Estos  indicadores de bit se denominan de tipo de servicio porque permiten  que la aplicación que transmite los datos  informe a la red del tipo de servicio de red que requiere.  Las clases de servicios de red disponibles  son: Demora  mínima, Rendimiento máximo, Fiabilidad máxima y Coste mínimo

TOS-host-unreachable

Establece  como tipo  de ICMP  TOS-host-unreachable. El mensaje  significa que el host fue inalcanzable  debido al TOS en el paquete.

communication-prohibited

Establece  como tipo de ICMP  communication-prohibited. El mensaje significa que la comunicación  se encuentra prohibida debido al filtrado  (firewall).

host-precedence-violation

Establece  como tipo de ICMP host-precedence-violation. El mensaje significa que el valor de precedencia  en el campo Tipo de servicio no está permitido.

precedence-cutoff

Establece  como  tipo  de  ICMP  precedence-cutoff.   El  mensaje  significa  que valor de precedencia  (prioridad) es más bajo que el mínimo permitido en la red.

source-quench

Establece  como tipo  de ICMP  source-quench.  El router  realiza  una  petición al emisor para  que reduzca  la tasa  de envío de paquetes.

redirect

Establece  como tipo  de ICMP  redirect.  Significa que se reenvíe el paquete  en una  ruta alternativa . Permite enviar  información sobre enrutado.

network-redirect

Establece  como tipo de ICMP  networl-redirect. Significa que se reenvíe el paquete  en una ruta  alternativa para  alcanzar  la red..

host-redirect

Establece  como tipo de ICMP  host-redirect. Significa que se reenvíe el paquete  en una ruta  alternativa par alcanzar  el host.

TOS-network-redirect

Establece  como tipo  de ICMP  TOS-network-redirect. Significa que  se reenvíe el paquete  en una ruta  alternativa para alcanzar  la red y con otro TOS al establecido.

TOS-host-redirect

Establece  como tipo de ICMP  TOS-host-redirect. Significa que se reenvíe el paquete  en una ruta  alternativa para  alcanzar  el host debido y con otro TOS al establecido.

echo-request

Establece  como tipo de ICMP  echo-request. El Echo Request  (Petición eco) es un mensaje  de control  que se envía a un host con la expectativa de recibir de ´el un Echo Reply (Respuesta eco).

router-advertisement 

Establece  como tipo de ICMP  router-advertisement. Se trata de un mensaje que avisa sobre la existencia  del enrutador

router-solicitation

Establece  como tipo  de ICMP  router-solicitation. Se trata de una  solicitud de existencia  del enrutador

time-exceeded

Establece  como tipo de ICMP time-exceeded. Indica que el tiempo se ha excedido.

ttl-zero-during-transit

Establece  como  tipo  de  ICMP  ttl-zero-during-transit. TTL  igual  a  0 durante el transito, por  lo que  al  paquete   se le ha  acabado  su  tiempo  de  vida  antes  de alcanzar  su destino

ttl-zero-during-reassembly

Establece como tipo de ICMP ttl-zero-during-reassembly. TTL igual a 0 durante el reensamblado. Si un paquete  ha sido fragmentado y durante su reensamblaje el TTL  llega a 0, se genera este error

parameter-problem

Establece  como tipo de ICMP  parameter-problem. Indica  que existen  problemas en los parámetros.

ip-header-bad

Establece  como tipo  de ICMP  ip-header-bad. Significa que la cabecera  IP se encuentra errónea.

required-option-missing

Establece  como tipo  de ICMP  required-option-missing. Faltan  opciones requeridas

timestamp-request

Establece  como tipo  de ICMP  timestamp-request. Realiza  una  petición de la hora en origen.

timestamp-reply

Establece  como tipo  de ICMP  timestamp-reply. Se trata de la respuesta  a la peticion  de hora

 

address-mask-request

Establece  como tipo de ICMP address-mask-request. Petición de máscara de red. Efectúa una peticion  para  saber qué máscara de red debe utilizar

address-mask-reply

Establece  como tipo de ICMP  address-mask-reply. Respuesta a la petición de mascara  de red.

Más en el la siguiente entrada….