El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
HOME Els meus cursos Finalitzats
◄ Anterior

Firewalls i Sistemes de Detecció d'Intrusos (IDS/IPS)

Següent ►

Introducció

En aquest tema, explorarem dos components essencials de la seguretat en xarxes: els firewalls i els sistemes de detecció d'intrusos (IDS) i prevenció d'intrusos (IPS). Aquests elements són fonamentals per protegir les xarxes contra atacs i amenaces.

  1. Firewalls

1.1. Què és un Firewall?

Un firewall és un sistema de seguretat de xarxa que controla i filtra el trànsit de xarxa entrant i sortint basant-se en regles de seguretat predefinides. Els firewalls poden ser implementats tant en maquinari com en programari.

1.2. Tipus de Firewalls

  1. Firewalls de filtratge de paquets:

    • Filtren el trànsit de xarxa basant-se en la informació dels paquets, com ara adreces IP, ports i protocols.
    • Són ràpids però tenen limitacions en la inspecció profunda del trànsit.

  2. Firewalls de passarel·la a nivell d'aplicació (proxy):

    • Actuen com a intermediaris entre els usuaris i els serveis de xarxa.
    • Ofereixen una inspecció més detallada del trànsit a nivell d'aplicació.

  3. Firewalls d'inspecció d'estat:

    • Monitoritzen l'estat de les connexions de xarxa i permeten o bloquegen el trànsit basant-se en l'estat de la connexió.
    • Combinen la velocitat dels firewalls de filtratge de paquets amb una inspecció més profunda.

  4. Firewalls de nova generació (NGFW):

    • Integren funcions avançades com la inspecció profunda de paquets (DPI), la prevenció d'intrusos (IPS) i la filtració de contingut.
    • Ofereixen una protecció més completa contra amenaces modernes.

1.3. Configuració Bàsica d'un Firewall

# Exemple de regles de firewall en un sistema Linux utilitzant iptables

# Bloquejar tot el trànsit per defecte
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Permetre el trànsit de la xarxa local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Permetre connexions establertes i relacionades
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permetre trànsit HTTP i HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

1.4. Avantatges i Desavantatges dels Firewalls

Avantatges Desavantatges
Protegeixen contra atacs externs No poden detectar atacs interns
Filtren el trànsit no desitjat Poden ser complexos de configurar
Poden registrar activitats sospitoses Poden afectar el rendiment de la xarxa

  1. Sistemes de Detecció d'Intrusos (IDS) i Prevenció d'Intrusos (IPS)

2.1. Què són els IDS i IPS?

  • IDS (Sistemes de Detecció d'Intrusos): Monitoritzen el trànsit de xarxa per detectar activitats sospitoses i generar alertes.
  • IPS (Sistemes de Prevenció d'Intrusos): No només detecten activitats sospitoses, sinó que també poden prendre mesures per prevenir-les, com bloquejar el trànsit maliciós.

2.2. Tipus d'IDS/IPS

  1. Basats en xarxa (NIDS/NIPS):

    • Monitoritzen el trànsit de xarxa en temps real.
    • Són ideals per detectar atacs que es propaguen a través de la xarxa.

  2. Basats en host (HIDS/HIPS):

    • Monitoritzen l'activitat en un host específic.
    • Són útils per detectar atacs dirigits a sistemes específics.

2.3. Funcionament dels IDS/IPS

  • Detecció per signatura: Compara el trànsit amb una base de dades de signatures d'atacs coneguts.
  • Detecció per anomalia: Identifica desviacions del comportament normal de la xarxa.

2.4. Configuració Bàsica d'un IDS

# Exemple de configuració bàsica de Snort, un IDS popular

# Definir la xarxa local
var HOME_NET 192.168.1.0/24

# Definir la xarxa externa
var EXTERNAL_NET any

# Regles de detecció
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Possible atac HTTP"; sid:1000001;)

2.5. Avantatges i Desavantatges dels IDS/IPS

Avantatges Desavantatges
Detecten activitats sospitoses Poden generar falsos positius
Poden prevenir atacs en temps real Poden ser complexos de configurar
Proporcionen informació detallada Poden afectar el rendiment de la xarxa

Exercicis Pràctics

Exercici 1: Configuració d'un Firewall

  1. Configureu un firewall en un sistema Linux utilitzant iptables per permetre només el trànsit HTTP i HTTPS.
  2. Bloquegeu tot el trànsit entrant i sortint per defecte, excepte el trànsit de la xarxa local.

Solució:

# Bloquejar tot el trànsit per defecte
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Permetre el trànsit de la xarxa local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Permetre connexions establertes i relacionades
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permetre trànsit HTTP i HTTPS
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT

Exercici 2: Configuració d'un IDS

  1. Configureu Snort per detectar intents d'atac HTTP a la vostra xarxa local.
  2. Definiu la xarxa local com 192.168.1.0/24 i la xarxa externa com any.

Solució:

# Definir la xarxa local
var HOME_NET 192.168.1.0/24

# Definir la xarxa externa
var EXTERNAL_NET any

# Regles de detecció
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Possible atac HTTP"; sid:1000001;)

Conclusió

En aquesta secció, hem après sobre els firewalls i els sistemes de detecció i prevenció d'intrusos (IDS/IPS). Hem vist els diferents tipus de firewalls i IDS/IPS, com funcionen i com configurar-los bàsicament. Aquests components són essencials per protegir les xarxes contra atacs i amenaces de seguretat. En el proper tema, explorarem la seguretat en sistemes operatius.

◄ Anterior
Següent ►
El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
© Copyright 2024. Tots els drets reservats