Zonas desmilitarizadas y redes privadas virtuales

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Zonas desmilitarizadas y redes privadas virtuales"

Transcripción

1 Zonas desmilitarizadas y redes privadas virtuales CDA 2015/16 24 de noviembre de 2015 Índice 1. Entorno de prácticas Software de virtualización VirtualBOX Imágenes a utilizar Establecer el entorno virtualizado Ejercicio 1: Configuración de una DMZ (DeMilitarized Zone) usando el generador de firewalls ip-tables Shoreline Firewall (ShoreWall) Descripción Restriciones de acceso a implementar Pasos a seguir Pruebas a realizar Ejercicio 2: Uso de enlaces cifrados OpenVPN Parte 1: Creación de un enlace OpenVPN Creación de la CA y de los certificados de servidor y clientes Configuración y creación del enlace OpenVPN Parte 2: Integración del enlace OpenVPN con Shorewall Pasos a seguir Documentación a entregar Entorno de prácticas 1.1. Software de virtualización VirtualBOX En estas prácticas se empleará el software de virtualización VirtualBOX para simular pequeñas redes formadas por equipos GNU/Linux. Página principal: Más información: 1

2 1.2. Imágenes a utilizar 1. Script de instalación para GNU/Linux: ejercicio-dmz-openvpn.sh Ejecutar desde el directorio de descarga bash ejercicio-dmz-openvpn.sh para MS Windows : ejercicio-dmz-openvpn.ps1 Ejecutar desde el directorio de descarga Powershell.exe -executionpolicy bypass -file ejercicio-dmz-openvpn.ps1 NOTAS: a) Se pedirá un identificador (sin espacios) para poder reutilizar las versiones personalizadas de las imágenes creadas (usar por ejemplo el nombre del grupo de prácticas) b) En ambos scripts la variable $DIR_BASE especifica donde se descargarán las imágenes y se crearán las MVs. Por defecto en GNU/Linux será en $HOME/CDA1516 y en Windows en C:\\CDA1516 Puede modificarse antes de lanzar los scripts para hacer la instalación en otro directorio más conveniente (disco externo, etc) c) Es posible descargar las imágenes comprimidas manualmente (o intercambiarlas con USB), basta descargar los archivos con extensión.vdi.zip de y copiarlos en el directorio anterior ($DIR_BASE) para que el script haga el resto. 2. El script descargará las siguientes imágenes en el directorio DIR_BASE ($HOME/CDA1516 ó C:\\CDA1516) base_cda.vdi (0,8 GB comprimida, 2,8 GB descomprimida): Imagen genérica (común a todas las MVs) que contiene las herramientas a utilizar Contiene un sistema Debian 7.1 con herramientas gráficas y un entorno gráfico ligero LXDE (Lighweight X11 Desktop Environment) [LXDE]. Usuarios configurados. login password root purple usuario1 usuario1 swap1024.vdi: Disco de 1 GB formateado como espacio de intercambio (SWAP) 3. (Si no lo hacen desde el script anterior) se pueden arrancar las instancias VirtualBOX desde el interfaz gráfico de VirtualBOX o desde la línea de comandos. VBoxManage startvm DMZ_<id> VBoxManage startvm DENTRO_<id> VBoxManage startvm FUERA_<id> VBoxManage startvm FIREWALL3_<id> 1.3. Establecer el entorno virtualizado Una vez ejecutado el script se habrán definido las redes y los equipos virtualizados donde se realizarán los ejercicios: Red interna ( ): máquina dentro (eth0) + interfaz eth0 de firewall3 Red DMZ ( ): máquina dmz (eth0) + interfaz eth1 de firewall3 Red externa ( ): máquina fuera (eth0) + interfaz eth2 de firewall3 2

3 1. PREVIO 1: Loguearse en las máquinas como administrador con root/purple para realizar directamente a las tareas de administración como usuario normal con usuario1/usuario1 para realizar las tareas de administración mediante comandos sudo Nota 1: en los casos que sea necesario/conveniente, puede arrancarse el entorno gráfico con startx firewall3:~# startx Nota 2: Para permitir copiar y pegar desde entre anfitrión y máquina virtual, además de acceder al entorno gráfico del huésped, es preciso habilitar la opción Dispositivos->Portapapeles Compartido->Bidireccional desde el menú de la ventana de VirtualBOX. 2. PREVIO 2: Habilitar la redirección de tráfico en la máquina firewall3 [ , , ] firewall3:~# echo 1 > /proc/sys/net/ipv4/ip_forward 3. PREVIO 3: Arrancar los servicios a utilizar (el servidor ssh está activado por defecto). dentro:~# /etc/init.d/mysql start dentro:~# /etc/init.d/openbsd-inetd start dmz:~# /etc/init.d/apache2 start (servidor web [80]) dmz:~# /etc/init.d/postfix start (servidor smtp [25]) dmz:~# /etc/init.d/dovecot start (servidor pop3 [110]) 3

4 fuera:~# /etc/init.d/apache2 start fuera:~# /etc/init.d/openbsd-inetd start fuera:~# /etc/init.d/postfix start Nota: En la imagen común a todas las máquinas virtuales fue habilitado el acceso exterior al servidor MySQL (en principio sólo será relevante para la máquina dentro( )) dentro~# nano /etc/mysql/my.cnf (comentar la linea donde aparece bind-address ) # bind-address PREVIO 4: (a incluir en la memoria entregable) Escaneo de las máquinas del ejercicio para verificar los servicios accesibles inicialmente desde fuera: fuera:~# nmap -T [escaneo de firewall3 (unica máquina visible desde fuera)] fuera:~# nmap -T [escaneo de dentro (fallará)] fuera:~# nmap -T [escaneo de dmz (fallará)] desde dentro: dentro:~# nmap -T dentro:~# nmap -T dentro:~# nmap -T desde dmz: dmz:~# nmap -T dmz:~# nmap -T dmz:~# nmap -T desde firewall3: firewall3:~# nmap -T firewall3:~# nmap -T firewall3:~# nmap -T [escaneo de fuera] [escaneo de dmz] [escaneo de firewall3] [escaneo de fuera] [escaneo de dentro] [escaneo de firewall3] [escaneo de fuera] [escaneo de dentro] [escaneo de dmz] 2. Ejercicio 1: Configuración de una DMZ (DeMilitarized Zone) usando el generador de firewalls ip-tables Shoreline Firewall (ShoreWall) 2.1. Descripción Se desarrollará un ejercicio de configuración básica de un firewall con DMZ empleando el generador de reglas iptables Shorewall. Se usará un equipo con tres interfaces para hacer el papel de firewall. Web de Shoreline Firewall (Shorewall) : Resumen presentación Shorewall 2.2. Restriciones de acceso a implementar 1. Enmascaramiento (SNAT) de la red interna ( /24) y de la DMZ ( /24) 2. Redireccionamiento (DNAT) de los servicios públicos que ofrecerá la red hacia la máquina dentro ( ) de la DMZ a) peticiones WEB (http y https) b) tráfico de correo saliente (smtp) y entrante (pop3) 4

5 3. Control de tráfico con política denegar por defecto (DROP) a) desde la red externa sólo se permiten las conexiones hacia la DMZ contempladas en las redirecciones del punto anterior (http, https, smtp, pop3) b) desde la red interna hacia la red externa sólo se permite tráfico de tipo WEB y SSH c) desde la red interna hacia la DMZ sólo se permite tráfico WEB (http, https), (smtp, pop3), hacia los respectivos servidores, y tráfico SSH para tareas de administración en los equipos de la DMZ d) desde el servidor SMTP de la red DMZ (máquina dmz ( )) hacia el exterior se permite la salida de conexiones SMTP (para el reenvío del saliente) e) desde la máquina dmz ( ) se permiten conexiones MySQL única y exclusivamente hacia la máquina dentro ( ) de la red interna f ) se permite la salida a la red externa de las consultas DNS originadas en la red interna y en la DMZ g) firewall sólo admite conexiones SSH desde la red interna para tareas de administración 4. Registro (log) de intentos de acceso no contemplados desde red externa a firewall3 ( ) y a los equipos internos 2.3. Pasos a seguir Se usará el esquema three-interfaces incluido en la distribución estándar de Shorewall y descrito en interface.htm. La plantilla para configurar el firewall está en el directorio /usr/share/doc/shorewall/examples/three-interfaces/ Todas las tareas de configuración de Shorewall se realizarán en la máquina firewall3. 1. Copiamos y descomprimimos los ficheros de configuración en el directorio de configuración de Shorewall (/etc/shorewall/) firewall3:~# cd /etc/shorewall firewall3:/etc/shorewall# cp /usr/share/doc/shorewall/examples/three-interfaces/*. firewall3:/etc/shorewall# gunzip *.gz 2. Configurar las zonas (/etc/shorewall/zones) [lo dejaremos como está] Tendremos 4 zonas: el propio firewall (fw) la red externa (net) [accesible desde eth2] la red interna (loc) [accesible desde eth0] la dmz (dmz) [accesible desde eth1] firewall3:/etc/shorewall# leafpad zones & #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 dmz ipv4 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE 3. Configurar los interfaces (/etc/shorewall/interfaces) Ajustar los interfaces de red de cada zona para que se ajusten a nuestra configuración (en columna INTERFACE) firewall3:/etc/shorewall# leafpad interfaces & FORMAT 2 5

6 #ZONE INTERFACE OPTIONS net eth2 tcpflags,routefilter,norfc1918,nosmurfs,logmartians loc eth0 tcpflags,detectnets,nosmurfs dmz eth1 tcpflags,detectnets,nosmurfs #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 4. Definir las políticas (/etc/shorewall/policy) El fichero por defecto incluye todas las combinaciones posibles entre nuestras 3 zonas (loc, dmz, net) indicando una política ACCEPT para el tráfico de la zona loc y una política por defecto de rechazar (REJECT) y generando un LOG de los rechazo realizados. Esta política sólo tiene utilidad para depuración En nuestro caso fijaremos unas políticas restrictivas que descartarán por defecto todo el tráfico entre las zonas En el fichero /etc/shorewall/rules se ajustarán las excepciones pertinentes. firewall3:/etc/shorewall# leafpad policy & #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc all DROP info net all DROP info dmz all DROP info # THE FOLLOWING POLICY MUST BE LAST all all REJECT info #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE 5. Definir el enmascaramiento (/etc/shorewall/masq) En nuestro ejemplo enmascararemos (SNAT: source NAT ) el tráfico saliente de nuestras 2 redes internas (loc y dmz). firewall3:/etc/shorewall# leafpad masq & ############################################################################## #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth /24 eth /24 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE Indica que para el tráfico que pretenda salir de la red y a través del interface eth2 (red externa) se reescribirá su dirección origen con la dirección IP del interfaz eth2 (IP publica de firewall3 ( )) 6. Incluir las excepciones y redirecciones en /etc/shorewall/rules Mantendremos las excepciones (reglas) incluidas en el fichero rules de muestra. Definen el comportamiento de servicios básico como DNS, SSH hacia dmz y firewall, mensajes ICMP de PING, etc Nota: hace uso de macros como Ping(DROP), SSH(ACCEPT) (abrevian la notación ahorrando el escribir los puertos concretos) Implementaremos parte de las restricciones de tráfico descrita en el ejercicio 1: Se redireccionan todos los servicio públicos (http, https, smtp y pop3) que ofrecerá nuestra red hacia la DMZ (en nuestro caso a la máquina ) Se permite acceso del servidor web de la DMZ (en ) al servidor MySQL de la red interna (en ) Se permite el acceso desde la red interna a los servidores públicos (web y correo) alojados en la DMZ Añadiremos al final del fichero (antes de la línea #LAST LINE.) las reglas que las implementan. 6

7 firewall3:/etc/shorewall# leafpad rules & ##### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL # PORT PORT(S) DEST # Accept DNS connections from the firewall to the Internet ############### COMENTAR (no nos interesa) ################# # DNS(ACCEPT) $FW net ############################################################ # Accept SSH connections from the local network to the firewall and DMZ SSH(ACCEPT) loc $FW # Cubre parte de las restricciones 3c SSH(ACCEPT) loc dmz # Cubre parte de las restricciones 3c.. ## ## ANADIDOS para implementar reglas de filtrado ## ## Anadidos para 2a, 2b: redirec. puertos (servicios publicos: http, https, smtp, pop3) a DMZ DNAT net dmz: tcp 80,443 DNAT net dmz: tcp 25,110 ## Anadidos para 3b: acceso desde local a red externa (solo WEB y SSH) ACCEPT loc net tcp 80,443 ACCEPT loc net tcp 22 ## Anadidos para 3c: acceso desde local a servidores web y correo de DMZ y ssh a equipos DMZ ACCEPT loc dmz: tcp 80,443 ACCEPT loc dmz: tcp 25,110 ACCEPT loc dmz tcp 22 # No sería necesario, cubierto por una regla anterior ## Anadidos para 3d: acceso del servidor SMTP de DMZ a servidores SMTP externos para (re)envío de s ACCEPT dmz: net tcp 25 ## Anadidos para 3e: acceso del servidor web de DMZ al servidor mysql ACCEPT dmz: loc: tcp 3306 ## Anadidos para 3f: acceso al exterior para consultas DNS desde red interna y dmz DNS(ACCEPT) loc net DNS(ACCEPT) dmz net ######## NOTA: Reglas 3f equivalen a: #ACCEPT loc net tcp 53 #ACCEPT loc net udp 53 #ACCEPT dmz net tcp 53 #ACCEPT dmz net udp 53 #################################### #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 7. Ajustar el fichero de configuración de Shorewall (/etc/shorewall/shorewall.conf) Como mínimo debe establecerse la variable STARTUP ENABLED a yes, para que el compilador Shorewall procese los ficheros y genere las reglas iptables. También debe habilitarse el forwarding de paquetes: Asegurar que la variable IP FORWARDING está a on (o Keep si se garantiza que se habilita ip forwarding antes de iniciar el firewall) firewall3:/etc/shorewall# leafpad shorewall.conf & # S T A R T U P E N A B L E D STARTUP_ENABLED=Yes # F I R E W A L L O P T I O N S IP_FORWARDING=Yes 7

8 8. Arrancar Shorewall firewall3:~# shorewall start Pruebas a realizar 1. Comprobar la configuración actual de firewall3 firewall3:~# iptables -L -v firewall3:~# iptables -t nat -L -v ó firewall3:~# iptables-save > /tmp/volcado.txt 2. Revisar la estructura de las reglas generadas automáticamente por Shorewall. a) Identificar y describir las reglas iptables generadas que dan soporte al tráfico redireccionado hacia la DMZ. b) Identificar y describir las reglas iptables generadas que permiten el acceso al servidor MySQL desde la DMZ hacía la red interna. 3. Comprobar que se verifican las redirecciones y restriciones de tráfico desde las distintas máquinas (fuera, dentro, dmz) Puede hacerse empleando el escaner de puertos nmap, el generador de paquetes hping3, conexiones directas con telnet, nc ó socat, o conexiones directas empleando clientes de los propios protocolos implicados. fuera:~# nmap -T dentro:~# nmap -T dmz:~# nmap -T firewall3:~# nmap -T Para el caso del servidor WEB redireccionado a la DMZ, puede comprobarse el salto adicional introducido por el firewall empleando la herramienta tcptraceroute. Documentar las pruebas realizadas, los resultados obtenidos y las posibles discrepancias con las políticas de filtrado previstas. 3. Ejercicio 2: Uso de enlaces cifrados OpenVPN Se desarrollará un ejercicio de creación de enlaces OpenVPN, donde se creará un enlace cifrado OpenVPN desde un equipo de la red externa y se revisará su integración en el firewall con DMZ configurado con Shorewall Parte 1: Creación de un enlace OpenVPN Se creará un enlace cifrado OpenVPN desde la máquina externa fuera ( ) a la máquina firewall3 ( ). Se usará un esquema SSL completo Usaremos el modo de funcionamiento de OpenVPN roadwarrior, donde un servidor OpenVPN crea enlaces cifrados para equipos autorizados situados en redes externas. La autenticación se realizará mediante certificados digitales (la otra posibilidad sería emplear cifrado simétrico con claves secretas estáticas preacordadas) A las máquinas que se conecten por VPN se les asignarán direcciones IP del rango /24, donde la máquina firewall3 (el servidor OpenVPN) tendrá la IP

9 Certificados y claves necesarias: Para el servidor: certificado digital de la Autoridad Certificadora (CA) reconocida por ambos participantes: cacert.crt clave privada del servidor: firewall3.key certificado digital del servidos: firewall3.crt (emitido por la CA) parámetros para intercambio de clave Diffie-Hellam: dh1024.pem Para cada uno de los clientes que se conecten con OpenVPN: certificado digital de la Autoridad Certificadora reconocida por ambos participantes: cacert.crt clave privada del cliente: fuera.key certificado digital del servidor: fuera.crt (emitido por la CA) Creación de la CA y de los certificados de servidor y clientes La distribución de OpenVPN incluye un conjunto de scripts para implantar una CA básica 1. Crear la autoridad certificadora (CA) en el firewall Crear un directorio easy-rsa donde residirán los scripts y las claves de la CA firewall3:~# cd /etc/openvpn firewall3:/etc/openvpn/# cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 easy-rsa firewall3:/etc/openvpn/# cd easy-rsa Editar datos generales de nuestra red firewall3:/etc/openvpn/easy-rsa/# export KEY_COUNTRY=es export KEY_PROVINCE=ourense export KEY_CITY=ourense export KEY_ORG=cda export nano vars Inicializar la CA y generar su par de claves firewall3:/etc/openvpn/easy-rsa/# source vars firewall3:/etc/openvpn/easy-rsa/#./clean-all firewall3:/etc/openvpn/easy-rsa/#./build-ca Cuando se nos pregunte por COMMON NAME: poner en nombre de dominio completo del equipo (firewall3.esei.net) 2. Crear el certificado del equipo servidor OpenVPN firewall3:/etc/openvpn/easy-rsa/#./build-key-server firewall3 Cuando se nos pregunte por COMMON NAME: poner el nombre de dominio completo del servidor OpenVPN (en este caso, firewall3.esei.net) Se solicitará una contraseña para proteger el fichero con la clave privada. Dado que OpenVPN se iniciará como un script de arranque en /etc/init.d/ se dejará en blanco para que no se bloquee el inicio del servidor. Crear parámetros de intercambio de clave (Diffie-Hellmann) firewall3:/etc/openvpn/easy-rsa/#./build-dh 9

10 Las claves generadas (fichero con el certificado digital firmado por la CA [extensión.crt] + fichero con la respectiva clave privada [extensión.key]) se crean en el directorio /etc/openvpn/easy-rsa/keys/ 3. Crear el certificado del equipo cliente OpenVPN firewall3:/etc/openvpn/easy-rsa/#./build-key fuera Cuando se nos pregunte por COMMON NAME: poner el nombre de dominio completo del cliente OpenVPN (en este caso, fuera) Se solicitará una contraseña para proteger el fichero con la clave privada. Dado que OpenVPN se iniciará como un script de arranque en /etc/init.d/ se dejará en blanco para que no se bloquee el inicio del cliente. Otra alternativa a los scripts easy-rsa es usar la herramienta gráfica TinyCA que ofrece un interfaz gráfico sobre openssl para la gestion de autoridades de certificación y la generación de certificados digitales. firewall3:~# tinyca2 & Configuración y creación del enlace OpenVPN 1. Configuración del servidor: en la máquina firewall3 Copiar las claves/certificados necesarios al directorio /etc/openvpn : firewall3:~# cd /etc/openvpn firewall3:/etc/openvpn# cp easy-rsa/keys/ca.crt. firewall3:/etc/openvpn# cp easy-rsa/keys/firewall3.crt. firewall3:/etc/openvpn# cp easy-rsa/keys/firewall3.key. firewall3:/etc/openvpn# cp easy-rsa/keys/dh1024.pem. Crear el fichero de configuración del servidor: Se usará como base el ejemplo disponible en /usr/share/doc/openvpn/examples/sample-config-files/ firewall3:/etc/openvpn# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz. firewall3:/etc/openvpn# gunzip server.conf.gz Editar los parámetros concretos para nuestros túneles VPN: firewall3:/etc/openvpn# leafpad server.conf & Parámetros destacados (con se señalan los cambios efectuados para nuestro ejemplo): port 1194 /* puerto por defecto del servidor OpenVPN */ proto udp /* protocolo por defecto del servidor OpenVPN */ dev tun /* tipo de dispositivo de red virtual (= tarjeta de red "software") a través del cual se accederá al tunel cifrado establecido */ ca /etc/openvpn/ca.crt /* parametros de cifrado */ cert /etc/openvpn/firewall3.crt key /etc/openvpn/firewall3.key dh /etc/openvpn/dh1024.pem server /* rango de direcciones a asignar a los clientes OpenVPN que se vayan conectando*/ push "route " push "route " /* configuración de las rutas a establecer ("empujar") en los clientes para las conexiones cifradas que se vayan creando */ /* en nuestro caso son las rutas hacia las 2 redes (interna y dmz) gestionadas por firewall3 */ 2. Configuración de los clientes: en la máquina fuera ( ) Copiar (mediante copia segura sobre SSH con scp) las claves/certificados necesarios al directorio /etc/openvpn : fuera:~# cd /etc/openvpn fuera:/etc/openvpn# scp fuera:/etc/openvpn# scp fuera:/etc/openvpn# scp 10

11 Crear el fichero de configuración del cliente Se usará como base el ejemplo disponible en /usr/share/doc/openvpn/examples/sample-config-files/ fuera:/etc/openvpn# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf. Editar los parámetros concretos para nuestros túneles VPN fuera:/etc/openvpn# nano client.conf Parámetros destacados (con se señalan los cambios efectuados para nuestro ejemplo): client /* indica que es la configuración para un cliente */ dev tun /* tipo de dispositivo de red virtual (= tarjeta de red "software") a traves del cual se accederá al tunel cifrado establecido con el servidor */ remote /* dirección IP y puerto de escucha del servidor OpenVPN con el que se establecera el tunel cifrado */ ca /etc/openvpn/ca.crt /* parametros de cifrado */ cert /etc/openvpn/fuera.crt key /etc/openvpn/fuera.key 3. Crear el túnel OpenVPN Importante: antes de iniciar el tunel asegurar que en firewall3 está activado el IP forwading y desactivadas las reglas iptables de Shorewall. Si es necesario: firewall3:~# echo 1 > /proc/sys/net/ipv4/ip_forward OPCION 1: deshabilitar el firewall shorewall firewall3:~# shorewall stop firewall3:~# shorewall clear ó OPCION 2: reestablecer la configuración por defecto de NETFILTER/iptables (politica ACCEPT) firewall3:~# iptables -F firewall3:~# iptables -X firewall3:~# iptables -Z firewall3:~# iptables -t nat -F firewall3:~# firewall3:~# firewall3:~# iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT Inciar OpenVPN en servidor (firewall3), ejecutar /etc/init.d/openvpn start Inicar OpenVPN en cliente (fuera), ejecutar /etc/init.d/openvpn start En ambos extremos del túnel cifrado se crea un interfaz de red virtual /dev/tun0 por el que se accede al enlace cifrado que conforma la red privada virtual. Un interfaz tun (también los interfaces tap) simula un dispositivo de red ethernet, pero en lugar de enviar los datagramas Ethernet sobre un cable de red, los encapsula dentro de los paquetes de una conexión TCP/IP establecida. En nuestro caso se trata de una conexión SSL al puerto 1194 UDP de la máquina firewall3 El enlace OpenVPN definirá la red /24 El servidor tendrá la dir. IP A los clientes se les asignarán direcciones a partir de El gateway (puerta de enlace) de los clientes conectado por VPN será , que reenvía a Se puede comprobar la configura en ambos extremos con ifconfig -a En este caso las rutas hacia las dos redes internas (red dmz y red interna) se inyectan en el cliente VPN al crear el tunel 11

12 La ruta por defecto de los equipos internos usa como gateway a firewall3 que a su vez conoce la ruta hacia las máquinas clientes VPN Por ello, en este caso concreto no es necesario indicar rutas adicionales para que los equipos dentro y dmz respondan y se comuniquen con los clientes OpenVPN Para el equipo firewall3 tendremos 4 redes /24: red interna en el interfaz eth /24: red dmz en el interfaz eth /24: equipos externos conectados sobre VPN en el interfaz virtual tun0 red externa en el interfaz eth2 4. Comprobar el tunel creado Comprobar el acceso desde la máquina cliente (fuera) a las 2 redes internas detrás de firewall3, que inicialmente no eran accesibles. Desde fuera: fuera:~# nmap -T fuera:~# nmap -T [escaneo de dentro] [escaneo de dmz] Otra opción: hacer conexión ssh + comprobar con comando who quien está conectado fuera:~# ssh fuera:~# ssh {\footnotesize \begin{verbatim} 3.2. Parte 2: Integración del enlace OpenVPN con Shorewall Shorewall prevee la posibilidad de dar soporte a conexiones VPN. Veremos como integrar nuestro túnel openvpn en Shorewall Pasos a seguir 1. Crear una nueva zona (road) para los clientes conectado con OpenVPN en el fichero /etc/shorewall/zones firewall3:/etc/shorewall# leafpad zones & #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 dmz ipv4 road ipv4 Nota: otra opción más directa sería habilitar una excepción para el tráfico openvpn (puerto 1194 UDP) en el fichero /etc/shorewall/rules y anadir el interfaz tun0 a la zona loc De ese modo, todo el tráfico que llegará al forewall mediante los túneles OpenVPN se concideraría como perteneciente a la zona loc (red interna). 2. Asociar el interfaz tun0 a la zona road en el fichero /etc/shorewall/interfaces firewall3:/etc/shorewall# leafpad interfaces & FORMAT 2 #ZONE INTERFACE OPTIONS 12

13 net eth2 tcpflags,dhcp,routefilter,nosmurfs,logmartians loc eth0 tcpflags,nosmurfs dmz eth1 road tun+ 3. Definir las políticas y reglas que afectan a los clientes OpenVPN Haremos que los equipos conectados por openvpn (zona road) tengas las mismas restricciones/privilegios que los de la red interna (zona loc). Fichero /etc/shorewall/policy Habilitar el acceso a la zona interna (loc) desde los equipos que lleguen a través del túnel OpenVPN (zona road) firewall3:/etc/shorewall# leafpad policy & #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc all DROP net all DROP dmz all DROP road loc ACCEPT # THE FOLLOWING POLICY MUST BE LAST all all REJECT info Fichero /etc/shorewall/rules Replicar las entradas correspondientes a la zona loc, cambiando su campo zona de loc a road. Nota: esto es una simplificación para acelerar el desarrollo del ejemplo. En un entorno real, puede no ser necesario/razonable que los equipos de los usuarios itinerantes se equiparen en cuanto a restricciones de acceso con los equipos internos (especialmente si el único mecanismo de autenticación es el uso exclusivo de certificados digitales de clientes). firewall3:/etc/shorewall# leafpad rules & SSH(ACCEPT) road $FW SSH(ACCEPT) road dmz ACCEPT road dmz tcp 80,443 ACCEPT road dmz tcp 25,110 DNS(ACCEPT) road net 4. Dar de alta el tunel OpenVPN /etc/shorewall/tunnels firewall3:/etc/shorewall# leafpad tunnels & #TYPE ZONE GATEWAY GATEWAY-ZONE openvpnserver:1194 net /0 5. Comprobar la configuración del firewall y el funcionamiento del tunel OpenVPN Recompilar y arrancar el cortafuegos generado por Shorewall con las nuevas configuraciones firewall3~# shorewall start Reiniciar el servidor OpenVPN en firewall3 firewall3~# /etc/init.d/openvpn restart Arrancar el cliente OpenVPN en fuera fuera~# /etc/init.d/openvpn restart 13

14 Repetir las comprobaciones realizadas en el punto (3) del apartado y documentar los resultados obtenidos. En concreto, con NMAP se puede comprobar que desde el equipo fuera se tiene acceso a los mismos servicios de las redes interna y DMZ que en el caso de equipos de la red interna. fuera~# nmap -T fuera~# nmap -T Documentación a entregar Esquema propuesto (hasta un máximo de 5-6 páginas) Descripción breve del ejercicio realizado Detallar la situación inicial del la red del ejemplo (escaneos del punto PREVIO 4) Detallar las comprobaciones realizadas en el apartado y documentar los resultados obtenidos (comentando, si es necesario, las discrepancias con el comportamiento deseado descrito en la sección 2.2) Detallar las comprobaciones realizadas en el punto (5) del apartado y documentar los resultados obtenidos después de configurar OpenVPN e integrar el enlace con Shorewall Conclusiones: detallar los problemas encontrados, posibles mejoras o alternativas, impresiones sobre la idoneidad de las herramientas, etc Entrega: FAITIC Fecha límite: <pendiente> 14

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados SSI 2012/13 20 de noviembre de 2012 Índice 1. Entorno de prácticas 1 1.1. Software de virtualización VirtualBOX..................................

Más detalles

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados SSI 2011/12 31 de octubre de 2011 Índice 1. Entorno de prácticas 1 1.1. Software de virtualización VirtualBOX..................................

Más detalles

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados SSI 2010/11 8 de junio de 2011 Índice 1. Entorno de prácticas 1 1.1. Software de virtualización VirtualBOX..................................

Más detalles

PARTE IV. Uso de shorewall. Shorewall Configuración de Shorewall

PARTE IV. Uso de shorewall. Shorewall Configuración de Shorewall PARTE IV. Uso de shorewall Shorewall Configuración de Shorewall 1 Shorewall Shorewall (Shoreline Firewall) es una herramienta para simplificar la construcción de sistemas cortafuegos que hagan uso de NETFILTER

Más detalles

Instalación de OPENVPN en Debian

Instalación de OPENVPN en Debian Instalación de OPENVPN en Debian Instalando el paquete del repositorio: apt-get install openvpn Copiamos los scripts de configuración de la entidades de certificación al directorio /etc/openvpn: cd /usr/share/doc/openvpn/examples/easy-rsa

Más detalles

Instalar Firewall en Linux Server con Shorewall

Instalar Firewall en Linux Server con Shorewall Instalar Firewall en Linux Server con Shorewall Descubre el procedimiento que yo personalmente utilizo para instalar un Linux Server Firewall en tu casa u oficina! Por Wilmer Huamaní Córdova Linux Server

Más detalles

Instalación de shorewall.

Instalación de shorewall. Instalación de shorewall. La herramienta se encuentra en los repositorios de Ubuntu, para instalarla ejecutamos el comando habitual. # apt-get install shorewall Leyendo lista de paquetes... Hecho Creando

Más detalles

Firewall en GNU/Linux netfilter/iptables

Firewall en GNU/Linux netfilter/iptables Firewall en GNU/Linux netfilter/iptables SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 13 de mayo de 2008 FJRP, FMBR 2008 ccia SSI 1. Introducción a netfilter/iptables

Más detalles

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula: 2010-2946.

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula: 2010-2946. Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez Matrícula: 2010-2946 How to How to: Firewall!!! Firewall Un cortafuego (firewall en inglés) es una

Más detalles

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama: EJERCICIOS DE REDES 1. Configurar por completo la red mostrada en el siguiente diagrama: NOTA: no tenemos la posibilidad de configurar el router con ip 192.168.1.1 (manejado por otro administrador), de

Más detalles

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES SEGURIDAD DE REDES DE COMPUTADORAS Tarea de Investigación CONFIGURACIÓN DE FIREWALL Autor: Jorge Antonio Cobeña Reyes Tutor:

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

Crear claves y certificados

Crear claves y certificados Hace algunos días escribí sobre Hulu, su restricción para usuarios fuera de los Estados Unidos y como utilizar una red privada virtual (VPN) con un servidor en ese país podía ayudarnos a conectar con el

Más detalles

COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este fuera de nuestro alcance.

COEXION REMOTA: Es una tecnología que nos permite acceder a mi ordenador así este fuera de nuestro alcance. Instalacion y configuracion VPN (Virtual Privated Network) Conceptos Previos VPN: Es la red que permite la conexión de redes locales utilizando una redes publica como lo es internet, haciendo utilidad

Más detalles

Redes de área local Aplicaciones y Servicios Linux Enrutamiento

Redes de área local Aplicaciones y Servicios Linux Enrutamiento MINISTERIO DE EDUCACIÓN Y CIENCIA SECRETARÍA GENERAL DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE EDUCACIÓN, FORMACIÓN PROFESIONAL E INNOVACIÓN EDUCATIVA CENTRO NACIONAL DE INFORMACIÓN Y COMUNICACIÓN

Más detalles

Redes Privadas Virtuales

Redes Privadas Virtuales Warp Networks S.L. 17 de junio de 2005 1 Cómo funciona una VPN? Qué es una VPN? Escenarios 2 IPSec PPTP L2TP VPNs SSL 3 Seguridad en 4 Índice Cómo funciona una VPN? 1 Cómo funciona una VPN? Qué es una

Más detalles

PRÁCTICA 5: USO DE CORTAFUEGOS

PRÁCTICA 5: USO DE CORTAFUEGOS PRÁCTICA 5: USO DE CORTAFUEGOS IPTABLES 1. Qué es IPTABLES? En linux, el filtrado de paquetes se controla a nivel del kernel. Existen módulos para el kernel que permiten definir un sistema de reglas para

Más detalles

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha: *PRÓPOSITO. En general, un cortafuegos o firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo.

Más detalles

& '( ) ( (( )' * (+, -.!(/0"".- 12 3 4 5 6+ 7) 8-*9:!#;9"<!""#

& '( ) ( (( )' * (+, -.!(/0.- 12 3 4 5 6+ 7) 8-*9:!#;9<!# Panda Software desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la información que necesite sobre las características y configuración del producto. Consulte

Más detalles

Configuración del firewall en Linux con IPtables

Configuración del firewall en Linux con IPtables Configuración del firewall en Linux con IPtables Un firewall es un dispositivo, ya sea software o hardware, que filtra todo el tráfico de red. El sistema operativo Linux dispone de un firewall llamado

Más detalles

VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall

VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall VPN en servidor Linux y clientes Windows/Linux con OpenVPN + Shorewall INTRODUCCIÓN OpenVPNes una solución de conectividad basada en software: SSL(Secure Sockets Layer) VPNVirtual Private Network [redvirtual

Más detalles

Configuración de túneles VPN mediante OpenVPN

Configuración de túneles VPN mediante OpenVPN Configuración de túneles VPN mediante OpenVPN Instalación del software openvpn en Linux. 1. Desde un paquete RPM openvpn-1.6.0-1.rh90.dag.i386.rpm Tue 11 May 2004 185 kb Red Hat 9 - i386 Necesita las dependencias:

Más detalles

8. Cortafuegos (Firewall).

8. Cortafuegos (Firewall). 8.1. Introducción 8. Cortafuegos (Firewall). En la unidad anterior hemos visto como implementar un servidor proxy con el que podamos controlar los accesos a Internet. Ahora veremos como con un firewall

Más detalles

Montaje de una red doméstica

Montaje de una red doméstica 21 de Marzo de 2007 Índice Conceptos básicos de redes Conceptos físicos de redes Configuración de la red Salida de otros equipos al exterior Conceptos básicos de redes Interfaz de red Dirección IP Máscara

Más detalles

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330 Manual de Usuario CPE OX330 Índice Contenido 2 1 Set UP 3 2 Configuración LAN 3 3 Configuración WAN 5 4 Configuración NAT 5 5 Configuración del Sistema 6 6 Tools 7 Estado del Sistema 7 2 Manual de uso

Más detalles

Creación de reglas de Firewall con Webmin.

Creación de reglas de Firewall con Webmin. Creación de reglas de Firewall con Webmin. El último paso de esta fase será crear las reglas que permitan lo más básico a las tres aulas que estamos controlando. Para ello usamos la interfaz de Webmin,

Más detalles

Práctica 1. Uso básico de servicios cliente-servidor

Práctica 1. Uso básico de servicios cliente-servidor Práctica 1. Uso básico de servicios cliente-servidor SCS, 2010/11 21 de septiembre de 2010 Índice 1. Utilidades de línea de comandos 1 1.1. Comando nc/netcat................................................

Más detalles

BHS-RTA Guía de configuraciones básicas mediante interfaz web avanzada

BHS-RTA Guía de configuraciones básicas mediante interfaz web avanzada Página 1 de 25 Guía de configuraciones básicas mediante interfaz web avanzada OBJETIVOS Y SERVICIOS DE VALOR AÑADIDO S.L. Página 2 de 25 TABLA DE CONTENIDOS 1.INTRODUCCIÓN... 3 2.CONFIGURACIONES BÁSICAS...

Más detalles

Iptables, herramienta para controlar el tráfico de un servidor

Iptables, herramienta para controlar el tráfico de un servidor Iptables, herramienta para controlar el tráfico de un servidor La seguridad es punto muy importante a tener en cuenta en cualquier organización de ahí que sea fundamental hacer uso de aquellos mecanismos

Más detalles

Virtual Private Network

Virtual Private Network Rocío Alt. Abreu Ortiz 2009-3393 Virtual Private Network Virtual Private Network, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo

Más detalles

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server

SEGURIDAD EN REDES. NOMBRE: Daniel Leonardo Proaño Rosero. TEMA: SSH server SEGURIDAD EN REDES NOMBRE: Daniel Leonardo Proaño Rosero TEMA: SSH server SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve

Más detalles

MANUAL SOFTWARE OPTILINK 3.0

MANUAL SOFTWARE OPTILINK 3.0 MANUAL SOFTWARE OPTILINK 3.0 El equipo le dá funcionalidades de control y monitoreo del ancho de banda de cada equipo de su red, así como también le da la posibilidad de hacer un filtrado de sitios web

Más detalles

66.69 Criptografía y Seguridad Informática FIREWALL

66.69 Criptografía y Seguridad Informática FIREWALL 66.69 Criptografía y Seguridad Informática Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Elemento de hardware o software utilizado en una red de

Más detalles

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux Temario 1) Introducción a Firewall Qué es un Firewall? Objetivos de un

Más detalles

Manual de usuario del entorno admin. Iván Roldán

Manual de usuario del entorno admin. Iván Roldán Manual de usuario del entorno admin. Iván Roldán 1.Acceso al entorno de administración...2 2.Login...3 3.Funcionamiento de la intranet...4 3.1.Registro de un nuevo usuario...4 3.2.Menú lateral...6 3.3.Opciones

Más detalles

& '( ) ( (( * (+,-.!(/0"".- 12 3 4 5 6+ 7) 8-*9:!#;9"<!""#

& '( ) ( (( * (+,-.!(/0.- 12 3 4 5 6+ 7) 8-*9:!#;9<!# Panda Software desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la información que necesite sobre las características y configuración del producto. Consulte

Más detalles

Terminales SIP. Neris

Terminales SIP. Neris Terminales SIP Neris Aastra Telecom 2012 índice Terminal Aastra 6730i Terminal Aastra 6731i Terminal Aastra 6753i Módulo de teclas M670i Instalación y puesta en marcha Ajuste valores de fábrica Interfaz

Más detalles

CONFIGURACIÓN DEL SERVIDOR

CONFIGURACIÓN DEL SERVIDOR CONFIGURACIÓN DEL SERVIDOR Una vez finalizadas las configuraciones iniciales de las interfaces y direcciones IPs, desde cualquier equipo de la red abrimos el navegador e introducimos la dirección IP del

Más detalles

Configuración de openvpn

Configuración de openvpn Configuración de openvpn JEAN CARLOS FAMILIA Página 1 OpenVPN es una completa herramienta de código abierto solución SSL VPN que reúne una amplia gama de configuraciones, incluyendo acceso remoto, VPNs

Más detalles

Servicio de configuración de red (DHCP)

Servicio de configuración de red (DHCP) Servicio de configuración de red (DHCP) Como hemos comentado, DHCP (Dynamic Host Configuration Protocol) es un protocolo que permite a un dispositivo pedir y obtener una dirección IP desde un servidor

Más detalles

Equipamiento Tecnológico Eapt S.A. de C.V. Tel. (01 775) 75 3 15 85 (01 800) 50 E TE SA 3 83 72

Equipamiento Tecnológico Eapt S.A. de C.V. Tel. (01 775) 75 3 15 85 (01 800) 50 E TE SA 3 83 72 1 MANUAL DE CONFIGURACION PROXY / FIREWALL VERSION 1.0 2 Contenido 1. INTRODUCCION... 3 2. Iniciamos el programa Putty.exe... 4 2. Configuración para acceder por SSH al Proxy/Firewall ETESA... 5 3. Autenticación

Más detalles

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara

7º Unidad Didáctica. Protocolos TELNET y SSH. Eduard Lara 7º Unidad Didáctica Protocolos TELNET y SSH Eduard Lara 1 1. SERVIDOR TELNET Telnet viene de TELecommunication NETwork. Es el nombre de un protocolo de red y del programa informático que implementa el

Más detalles

INSTALACIÓN DE UBUNTU SERVER 12.4 EN MÁQUINA VIRTUAL

INSTALACIÓN DE UBUNTU SERVER 12.4 EN MÁQUINA VIRTUAL INSTALACIÓN DE UBUNTU SERVER 12.4 EN MÁQUINA VIRTUAL Grupo de Innovación y Apropiación de Tecnologías de la Información Archivística Compilador: Pedro Antonio Gómez Guarín 1 INSTALACIÓN DE UBUNTU SERVER

Más detalles

Práctica 5. Firewall y OpenVPN

Práctica 5. Firewall y OpenVPN Práctica 5 Firewall y OpenVPN Alexandre Ramilo Conde Pablo Prol Sobrado Shorewall Se busca configurar las siguientes reglas: 1. Enmascaramiento (SNAT) de la red interna (10.10.10.0/24) y de la DMZ (10.20.20.0/24)

Más detalles

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

CONFIGURACIÓN DE UNA VPN TIPO INTRANET: SERVIDOR OPENVPN SERVIDOR OPENVPN Una VPN Virtual Private Network, es una tecnología en la que permite hacer conexiones de una red local sobre una ip publica estando desde internet. También son conocida

Más detalles

VPN (Virtual Private Network)

VPN (Virtual Private Network) VPN (Virtual Private Network) OpenVPN es una completa herramienta de código abierto solución SSL VPN que reúne una amplia gama de configuraciones, incluyendo acceso remoto, VPNs site-to-site, la seguridad

Más detalles

Taller de SSH (o como ser un BOFH vago)

Taller de SSH (o como ser un BOFH vago) Taller de SSH (o como ser un BOFH vago) Índice Conexión con Key Publica Tuneles SSH Conexión inversa, o como no abrir puertos Redireccion de puertos, iptables yredir OpenVPN Uso SSH La forma habitual de

Más detalles

Nombre: Misael Acosta Ayala ID: 2011-3779. Asignatura: Sistemas Operativos III. Instructor: José Doñe. Tema: Firewall

Nombre: Misael Acosta Ayala ID: 2011-3779. Asignatura: Sistemas Operativos III. Instructor: José Doñe. Tema: Firewall Nombre: Misael Acosta Ayala ID: 2011-3779 Asignatura: Sistemas Operativos III Instructor: José Doñe Tema: Firewall Para instalar Firestarter utilizamos el comando apt-get install firestarter Una vez instalado

Más detalles

5. Crea un sitio Web seguro usando tu propio certificado digital (Windows y Linux).

5. Crea un sitio Web seguro usando tu propio certificado digital (Windows y Linux). Actividad 5 5. Crea un sitio Web seguro usando tu propio certificado digital (Windows y Linux). Windows Para crear un certificado digital en Windows Server, tenemos que instalar el rol Servicios de certificados

Más detalles

8 Conjunto de protocolos TCP/IP y direccionamiento IP

8 Conjunto de protocolos TCP/IP y direccionamiento IP 8 Conjunto de protocolos TCP/IP y direccionamiento IP 8.1 Introducción a TCP/IP 8.1.1 Historia de TCP/IP El Departamento de Defensa de EE.UU. (DoD) creó el modelo de referencia TCP/IP porque necesitaba

Más detalles

Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com

Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com Configuración del shorewall Shorewall en un cortafuego, es decir un software que nos ayudará a mantener segura nuestra red, controlando el tráfico entrante como saliente. Se necesita establecer una serie

Más detalles

Tema: SSH. Contenidos. Objetivos Específicos. Materiales y Equipo. Introducción Teórica. Bibliografía. Seguridad en redes.

Tema: SSH. Contenidos. Objetivos Específicos. Materiales y Equipo. Introducción Teórica. Bibliografía. Seguridad en redes. Seguridad en redes. Guía 4 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Tema: SSH. Contenidos Las sesiones con SSH Servicios soportados sobre SSH Sesiones SSH sin solicitud

Más detalles

Elastix : Servidor de Comunicaciones Unificadas

Elastix : Servidor de Comunicaciones Unificadas Elastix : Servidor de Comunicaciones Unificadas http://www.alreadyknew.com @mrjuhid Actualizado 05/07/2012-00:42 horas Elastix: Firewall Activar el firewall en Elastix proporciona el mínimo de seguridad

Más detalles

Cómo Crear una Conexión VPN Básica en. Panda GateDefender eseries

Cómo Crear una Conexión VPN Básica en. Panda GateDefender eseries en Panda GateDefender eseries Casos de uso para configurar VPNs con Panda GateDefender eseries Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender eseries. Para ello, le ofrece

Más detalles

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall Software de Comunicaciones Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas

Más detalles

Cuando use KEOPS.Pack&Ship Desktop las opciones típicas son:

Cuando use KEOPS.Pack&Ship Desktop las opciones típicas son: 1 ÍNDICE ÍNDICE... 2 Introducción... 3 1.1.El conjunto KEOPS... 3 1.1.1.KEOPS.Locate&Select... 3 1.1.2. KEOPS.Pack&Ship Desktop... 3 1.1.3. KEOPS.Track&Trace... 4 1.2.Requerimientos... 4 2.Instalación...

Más detalles

Laboratorio 4 VNPs: Open VPN y TINC

Laboratorio 4 VNPs: Open VPN y TINC DEPARTAMENTO DE TECNOLOGÍA ELECTRÓNICA ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA INFORMÁTICA Laboratorio 4 VNPs: Open VPN y TINC Enunciados de Prácticas de Laboratorio Tecnologías Avanzadas de la Información

Más detalles

Administración y Gestión de Redes (Julio 2012).

Administración y Gestión de Redes (Julio 2012). Administración y Gestión de Redes (Julio 2012). Las cuestiones: 1ª parte: Cuestiones. Se deben responder en la hoja adjunta. Debe marcarse una única respuesta. Por favor, leer los enunciados y las soluciones

Más detalles

PRACTICA 6.6 VPN Logmein Hamachi registrarse en la página instalación,

PRACTICA 6.6 VPN Logmein Hamachi registrarse en la página instalación, PRACTICA 6.6 En este caso práctico instalaremos un servidor de VPN en los sistemas operativos Windows y GNU/Linux mediante el programa Logmein Hamachi que permite la comunicación entre 2 máquinas remotas

Más detalles

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX Eduard Lara 1 IPTABLES La comanda IPTABLES se utiliza en linux para la configuración de un firewall. IPTABLES permite realizar la programación

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Se seleccionará en este ejemplo el servidor como máquina generadora y gestora de las claves y los certificados.

Se seleccionará en este ejemplo el servidor como máquina generadora y gestora de las claves y los certificados. INSTALACIÓN Y CONFIGURACIÓN DE OPENVPN Para poder realizar la instalación y configuración de la aplicación OpenVPN, antes de nada habrá que descargar los paquetes necesarios a tal efecto. En este caso,

Más detalles

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello: Practica IPTABLES Lo siguientes comandos son ejecutados en una terminal, necesitan ser ejecutados con privilegios de administrador, yo antepondré sudo a cada comando, ustedes pueden hacerlo igual o evitar

Más detalles

VPN. Virtual Private Network. Liliana Castillo Devoto Aldo Lovera Raffo. Ingeniería de Telecomunicaciones - GST

VPN. Virtual Private Network. Liliana Castillo Devoto Aldo Lovera Raffo. Ingeniería de Telecomunicaciones - GST VPN Virtual Private Network Liliana Castillo Devoto Aldo Lovera Raffo Ingeniería de Telecomunicaciones - GST Qué es una VPN? Es un sistema para simular una red privada sobre una red pública. Surgimiento

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

LISTAS DE CONTROL DE ACCESO ACL

LISTAS DE CONTROL DE ACCESO ACL LISTAS DE CONTROL DE ACCESO ACL REDES DE AREA AMPLIADA WAN CAPITULO 5 Chapter 1 1 INTRODUCCION Una ACL es una lista secuencial de sentencias que permiten o niegan el flujo de tráfico Direcciones IP Puertos

Más detalles

Cómo configurar un servidor de OpenVPN

Cómo configurar un servidor de OpenVPN Cómo configurar un servidor de OpenVPN Autor: Joel Barrios Dueñas Correo electrónico: darkshram en gmail punto com Sitio de Red: http://www.alcancelibre.org/ Jabber ID: darkshram@jabber.org Creative Commons

Más detalles

Universidad de Buenos Aires Facultad de Ingeniería 66.69 Criptografía y Seguridad Informática TP Tunel IPSEC con Certificados

Universidad de Buenos Aires Facultad de Ingeniería 66.69 Criptografía y Seguridad Informática TP Tunel IPSEC con Certificados Universidad de Buenos Aires Facultad de Ingeniería 66.69 Criptografía y Seguridad Informática TP Tunel IPSEC con Certificados Objetivo El objetivo de este trabajo práctico es la creación de una entidad

Más detalles

HOWTO: Cómo configurar el acceso web en varios interfaces de Integra

HOWTO: Cómo configurar el acceso web en varios interfaces de Integra HOWTO: Cómo configurar el acceso web en varios interfaces de Integra Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender

Más detalles

SRI UT01 Instalación de WMware Software de máquinas Virtuales Jorge García Delgado. Jorge García Delgado

SRI UT01 Instalación de WMware Software de máquinas Virtuales Jorge García Delgado. Jorge García Delgado SRI UT01 Instalación de WMware Software de máquinas Virtuales SRI UT01 Instalación de WMware Software de máquinas Virtuales INSTALACIÓN DE WMWARE 1. Iniciamos la instalación. 2. Nos sale un asistente,

Más detalles

Servicio de publicación de información web (HTTP)

Servicio de publicación de información web (HTTP) Servicio de publicación de información web (HTTP) La Web es uno de los servicios más comunes en Internet, tanto que se ha convertido en su cara visible para la mayoría de los usuarios. Una página Web empezó

Más detalles

EDITRAN/TX. Windows/Unix. Manual de Usuario e Instalación

EDITRAN/TX. Windows/Unix. Manual de Usuario e Instalación EDITRAN/TX Windows/Unix Manual de Usuario e Instalación INDRA 15 de octubre de 2014 ÍNDICE 1. INTRODUCCION Y REQUERIMIENTOS.... 1-1 2. EDITRAN/TX... 2-1 2.1. Instalación de EDITRAN/TX en UNIX... 2-1 2.2.

Más detalles

HOWTO: Cómo configurar SNAT

HOWTO: Cómo configurar SNAT HOWTO: Cómo configurar SNAT Casos de uso para configurar SNAT con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades GateDefender Integra. Para ello, le ofrece la

Más detalles

Redes de Computadores Práctica 1 Nivel de Red S2-2014-2015

Redes de Computadores Práctica 1 Nivel de Red S2-2014-2015 Redes de Computadores Práctica 1 Nivel de Red S2-2014-2015 Descripción de la práctica La práctica consiste en aplicar los conocimientos adquiridos en la asignatura con respecto al Nivel de Red, y otros

Más detalles

Universidad del Azuay

Universidad del Azuay Universidad del Azuay Facultad de Ciencias de la Administración Escuela de Ingeniería de Sistemas Gestión de firewall bajo Linux mediante Shorewall Trabajo de graduación previo a la obtención del título

Más detalles

Bersayder Oscar Mejía Ramírez 2011-3778 Sistema Operativo III José Doñé How To:

Bersayder Oscar Mejía Ramírez 2011-3778 Sistema Operativo III José Doñé How To: Bersayder Oscar Mejía Ramírez 2011-3778 Sistema Operativo III José Doñé How To: #19 VPN Instalar OpenVPN Antes de comenzar la instalación, planifique la configuración de VPN en consecuencia. Esto incluye

Más detalles

Fortigate - VPN IPSEC

Fortigate - VPN IPSEC 1 de 18 01/12/2007 1:11 Fortigate - VPN IPSEC VPN con IPSEC, En este procedimiento se explica cómo configurar una VPN usando IPSec para conectarse con un PC cualquiera desde internet a la LAN de la organización.

Más detalles

Como crear una red privada virtual (VPN) en Canaima.

Como crear una red privada virtual (VPN) en Canaima. Nombres: Leidy Katherine Carrero C.I 24.192.779 Erick Gabriel Márquez C.I 19.387.414 Sección: B Trayecto: II Trimestre: 1 Como crear una red privada virtual (VPN) en Canaima. Para la instalación y puesta

Más detalles

Configuración del cliente VPN para la UCA en GNU/Linux Solución libre con OpenVPN

Configuración del cliente VPN para la UCA en GNU/Linux Solución libre con OpenVPN Configuración del cliente VPN para la UCA en GNU/Linux Solución libre con OpenVPN de la Universidad de Cádiz Oficina del Software Libre de la Universidad de Cádiz (OSLUCA) 13 de diciembre de 2007 Índice

Más detalles

IPTABLES. Gonzalo Alvarez Flores

IPTABLES. Gonzalo Alvarez Flores IPTABLES Gonzalo Alvarez Flores Contenido 1. Qué es un firewall? 2. Netfilter: Historia 3. Qué es Iptables? 4. Políticas para implementar un firewall 5. Iptables: Conceptos Básicos 6. Creando Reglas 7.

Más detalles

Firewall Firestarter. Establece perímetros confiables.

Firewall Firestarter. Establece perímetros confiables. Firewall Firestarter Qué es un Firewall? Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo

Más detalles

Lab 10: Configuración Básica de un Router

Lab 10: Configuración Básica de un Router Departamento Académico de Informática Ingº Manuel Peñaloza Figueroa Dime y lo olvidaré. Muéstrame y lo recordaré. Involúcrame y lo entenderé Proverbio chino 1. OBJETIVOS: 1.1. Desarrollar las habilidades

Más detalles

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s P r á c t i c a 1 5 C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s Configuración del firewall 1. Conéctate a tu máquina virtual Centos y utiliza la cuenta de root. 2. Crea

Más detalles

DOCUMENTACIÓN INSTALACIÓN VERSIÓN 2015.01

DOCUMENTACIÓN INSTALACIÓN VERSIÓN 2015.01 DOCUMENTACIÓN INSTALACIÓN VERSIÓN 2015.01 INSTALADOR SERVIDOR MS SQL Server 2001 Express Empresa Modelo: Bicicleta TodoTerreno Configuración Servicio Web ESTACIONES Versión 2015-01 Analítico www.ofima.com

Más detalles

DIPLOMADO LINUX ENTERPRISE SERVER: SERVIDORES Y SEGURIDAD

DIPLOMADO LINUX ENTERPRISE SERVER: SERVIDORES Y SEGURIDAD DIPLOMADO LINUX ENTERPRISE SERVER: SERVIDORES Y SEGURIDAD TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA DEL DIPLOMADO... 4 TEMA 1: INSTALACION, ADMINISTRACION, SOPORTE... 4 Instalación de Linux... 4

Más detalles

Practica 4: Redes LAN - WAN

Practica 4: Redes LAN - WAN Practica 4: Redes LAN - WAN Apartado a) Creación de una red de par a par Objetivo Crear una red simple de par a par entre dos PC. Identificar el cable correcto para conectar los dos PC. Configurar la información

Más detalles

Preguntas frecuentes (FAQs)

Preguntas frecuentes (FAQs) Preguntas frecuentes (FAQs) 1. En qué consiste el servicio de red privada virtual (VPN)? Es un servicio por el cual nos podemos conectar desde cualquier dispositivo conectado a Internet, a los servicios

Más detalles

Manual de Configuración

Manual de Configuración Manual de Configuración MANUAL DE CONFIGURACIÓN DE EF4KTUR 1. Configuración básica 3 1.1 Generales 3 2. Certificados 4 2.1 Certificados Software 5 2.2 Tarjeta Criptográfica Error! Marcador no definido.

Más detalles

CONFIGURACION DEL SERVIDOR VIRTUAL EN EL ROUTER E968

CONFIGURACION DEL SERVIDOR VIRTUAL EN EL ROUTER E968 CONFIGURACION DEL SERVIDOR VIRTUAL EN EL ROUTER E968 Contents 1.- QUE ES NAT?... 2 2.- PAGINA DE CONFIGURACION DEL E968... 3 3.- ADMINISTRACION REMOTA... 4 3.1 Configurar Administración Remota en el E968....

Más detalles

Cortafuegos y Linux. Iptables

Cortafuegos y Linux. Iptables Raúl Sánchez Sánchez raul@um.es Atica Miércoles 22 de Septiembre de 2004 Introducción Conceptos basicos Filtrado de paquetes Cortafuegos de aplicacion Configuraciones de cortafuegos Conceptos basicos Filtrado

Más detalles

Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware

Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware 1. Tipos de conexiones de red Los software de virtualización son programas que se utilizan para crear y manejar máquinas virtuales,

Más detalles

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH

Software de Comunicaciones. Práctica 7 - Secure Shell. SSH Software de Comunicaciones Práctica 7 - Secure Shell. SSH Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas Barber Práctica 7 Índice

Más detalles

INSTALACIÓN Y CONFIGURACIÓN DE ZEROSHELL 2.0 ALVARO JOSÉ ARIAS RAMIREZ - 1150394. Presentado a: ING. JEAN POLO CEQUEDA

INSTALACIÓN Y CONFIGURACIÓN DE ZEROSHELL 2.0 ALVARO JOSÉ ARIAS RAMIREZ - 1150394. Presentado a: ING. JEAN POLO CEQUEDA DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA INSTALACIÓN Y CONFIGURACIÓN DE ZEROSHELL 2.0 ALVARO JOSÉ ARIAS RAMIREZ - 1150394 Presentado a: ING. JEAN POLO CEQUEDA UNIVERSIDAD

Más detalles

Implantación de técnicas de acceso remoto. Seguridad perimetral

Implantación de técnicas de acceso remoto. Seguridad perimetral 2012 Implantación de técnicas de acceso remoto. Seguridad Álvaro Primo Guijarro Practicas UD03 12/01/2012 Contenido 1.NAT:... 5 a) Comprobación de la seguridad a través de un NAT (Laboratorio virtual)...

Más detalles

Cortafuegos (Firewalls) en Linux con iptables

Cortafuegos (Firewalls) en Linux con iptables Cortafuegos (Firewalls) en Linux con iptables Sistemas Telemáticos Departamento de Sistemas Telemáticos y Computación (GSyC) Abril de 2012 GSyC - 2012 Cortafuegos (Firewalls) en Linux con iptables 1 c

Más detalles

Seguridad y alta disponibilidad

Seguridad y alta disponibilidad VPN sitio a sitio Simulación VPN sitio a sitio, utilizando Packet Tracer Este es el esquema donde vamos a realizar una vpn de sitio a sitio, para ello nos vamos a ir a la consola del router 1 Con el primer

Más detalles

Cliente se conecta hacia un Servidor Intermediario (Proxy).

Cliente se conecta hacia un Servidor Intermediario (Proxy). Servidor Proxy Squid Servidor Proxy El término en ingles «Proxy» tiene un significado muy general y al mismo tiempo ambiguo, aunque invariablemente se considera un sinónimo del concepto de «Intermediario».

Más detalles

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway)

HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) HOWTO: Cómo configurar PPTP de usuario remoto (roadwarrior) a oficina (gateway) Casos de uso para configurar VPN con GateDefender Integra Panda Security desea que obtenga el máximo beneficio de sus unidades

Más detalles

Virtual Private Network

Virtual Private Network Rocío Alt. Abreu Ortiz 2009-3393 Virtual Private Network [Remoto] VPN de acceso remoto, es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde

Más detalles