Anexo del proyecto ASIX. Iván Roldán

Transcripción

1 Anexo del proyecto ASIX. Iván Roldán 1.INTRODUCCIÓN HERRAMIENTAS ESCENARIO ESQUEMA FASE INICIAL Instalación de apache2,php5 y MySQL Instalación de SSH Instalación de OpenSSL Instalación de Wine y Winbox Interfaz de red de la máquina Linux Configuración Hello World del RB Acceso al RB Asignación de direcciones Asignación de un gateway NAT masquerade Comprobaciones FASE DE DESARROLLO Relación de confianza entre máquina Linux y RB Generando los certificados Compartiendo la clave pública con el RB Comprobación Permisos para ejecutar comando SSH Scripts para las reglas de Firewall en el RB Base de datos Tareas programadas Script con las acciones a ejecutar Programar tareas en cron Entorno de administración Funcionamiento del entorno de administración Vistas del entorno COMPROBACIONES Bloqueo de las aulas Desbloqueo de las aulas Ejecución de comandos del RB desde el entorno RECURSOS AGRADECIMIENTOS...36

2 1.INTRODUCCIÓN. Realizamos un segundo apartado del proyecto ASIX que se planteó en un enunciado, debido a que tras hablar con el ingeniero encargado de la red del instituto, aquello no es posible implementarlo en el instituto. Lo que se desea es poder controlar el acceso a internet de las aulas 20.2, 20.3 y 20.4 desde una máquina Linux, agregando o quitando órdenes de un firewall que se encuentra ubicado en el mismo router que da acceso a internet. Es decir un entrono de administración similar al que empleamos en el proyecto desde el que podamos bloquear o no el acceso a internet de un aula enviando las órdenes directamente al firewall del router. Para realizar esto tendremos que tener una relación de confianza entre la máquina Linux y el router para poder enviarle los comandos que debe ejecutar mediante SSH. Las órdenes se ejecutarán en el mismo router mediante una serie de scripts que tendremos preparados y crearán las reglas necesarias en el firewall según convenga bloquear el acceso a internet o no. Por otro lado para evitar descuidos de que alguno de los profesores se olvidase de revertir los cambios realizados, el sistema Linux enviará de forma automática, las órdenes necesarias para restablecer las reglas del router a su estado inicial en un intervalo de 5 veces al día. Dividiremos este anexo en dos fases: -Fase inicial : Fase en la que nos centraremos en la preparación dele ntorno para poder ejecutar el resto del proceso. Instalaremos las herramientas necesarias y realizaremos las configuraciones oportunas en la máquina linux y en router. -Fase de desarrollo: Fase en la quedirectamente se realizará la implementación para que se cumplan los objetivos que nos hemos propuesto. 2.HERRAMIENTAS. Para elaborar todo este proceso emplearemos las siguientes herramientas: SSH : (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. Además de la conexión a otros dispositivos, SSH nos permite copiar datos de forma segura (tanto archivos sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a los dispositivos y pasar los datos de cualquier otra aplicación por un canal seguro tunelizado mediante SSH. OpenSSL : Consiste en un robusto paquete de herramientas de administración y bibliotecas relacionadas con la criptografía, que suministran funciones criptográficas a otros paquetes como OpenSSH y navegadores web (para acceso seguro a sitios HTTPS). Estas herramientas ayudan al sistema a implementar el Secure Sockets Layer (SSL), así como otros protocolos relacionados con la seguridad, como el Transport Layer Security (TLS). OpenSSL también permite crear certificados digitales que pueden aplicarse a un servidor, por ejemplo Apache.

3 Apache2: La licencia de software bajo la cual el software de la fundación Apache es distribuido, es una parte distintiva de la historia de Apache HTTP Server y de la comunidad de código abierto. La Licencia Apache permite la distribución de derivados de código abierto y cerrado a partir de su código fuente original. Apache es un servidor web flexible, rápido y eficiente, continuamente actualizado y adaptado a los nuevos protocolos HTTP. Sus características más destacables son: -Es multiplataforma. -Utiliza los nuevos protocolos HTTP. -Es modular, ya que se adapta a diferentes entornos y necesidades gracias a los diferentes módulos de apoyo que proporciona. A esta característica podemos añadir la API de programación de módulos con el fin de diseño y desarrollo de módulos específicos. -Se desarrolla de forma abierta y se retro-alimenta de nuevas ideas, 'logs' de errores y 'parches' para la resolución de problemas. -Es extensible, ya que gracias a su característica modular se han desarrollado varias extensiones como la PHP que se corresponde con un lenguaje de programación que camina paralelamente al servidor. PHP : Es un lenguaje de programación de uso general de código del lado del servidor originalmente diseñado para el desarrollo web de contenido dinámico. Es uno de los lenguajes más populares de programación web del servidor, generalmente integrado dentro de código web codificado en HTML. En las últimas versiones de PHP se puede usar el paradigma de orientación a objetos. Para utilizar el PHP es necesario disponer de un navegador web, un servidor web que soporte PHP e instalar un motor PHP en la máquina en la que se desarrollará el código. El PHP es compatible con todos los navegadores web actuales (Firefox, Chrome, Safari, Internet Explorer y otros). Generalmente, todos los proveedores de servicios web soportan PHP, pero hay que asegurarse de ello leyendo las características del producto. MySQL : Es un sistema de gestión de bases de datos relacional, multihilo y multiusuario. MySQL es una base de datos muy rápida en la lectura cuando utiliza el motor no transaccional MyISAM, pero puede provocar problemas de integridad en entornos de alta concurrencia en la modificación. En aplicaciones web hay baja concurrencia en la modificación de datos y en cambio el entorno es intensivo en lectura de datos, lo que hace a MySQL ideal para este tipo de aplicaciones. Router Board : Es el nombre de una gama de productos de la empresa Mikrotik. Generalmente placas base, pensadas para crear Routers. Vamos a utilizar el modelo RB 750 G.

4 Este modelo por defecto trae 2 chips. 1 Asignado a la interfaz 1 empleada para redes WAN]. 2 Asignado al resto de puertos actuando como un Switch. En la imagen del dispositivo podemos ver tres juegos de luces. En la parte superior: Luces LED numeradas del 1 al 5 correspondientes a los puertos. Deberán estar encendidas en aquellos puertos donde tengamos conectado el cable de red, esto nos dirá que tenemos link. En la parte frontal: PWD Luz indicadora de que el dispositivo se encuentra encendido. ACT Luz que nos indica que existe actividad en el dispositivo. Dispone de 5 puertos, cada uno de ellos con su propia dirección MAC, que vienen apuntadas en una etiqueta en la parte inferior del dispositivo. Esto nos permitirá hacer una conexión empleando esta dirección física. Normalmente nos encontraremos el puerto 2 configurado como MASTER y el resto de bocas como SLAVE, esto implica que las MAC de los puertos 3,4,5 asumirán la misma dirección que la boca MASTER, hasta que no lo configuremos de otra forma. Nota: Nos referiremos a él con la abreviatura RB Wine : (acrónimo recursivo en inglés para Wine Is Not an Emulator, que significa «Wine no es un emulador») es una reimplementación de la interfaz de programación de aplicaciones de Win16 y Win32 para sistemas operativos basados en Unix. Permite la ejecución de programas diseñados para MS-DOS, y las versiones de Microsoft Windows 3.11, 95, 98, Me, NT, 2000, XP, Vista y 7. Winbox : Es una de las herramientas más importantes, ahora mismo, que se utiliza para la configuración del software de la empresa Mikrotik.

5 3.ESCENARIO. Para esta configuración, dispondremos del siguiente escenario. Máquina del entorno de administración: -Sistema operativo: Ubuntu con interfaz gráfica. -Interfaces de red: Con una sola interfaz de red conectada al router será suficiente. -1 interfaz de red local(red interna): Router: Configuraremos el router en modo Hello World, así que utilizaremos 2 interfaces de red. -Interfaz WAN o de acceso al exterior que tomará su dirección IP por DHCP. -Interfaz LAN que nos dará conectividad con nuestra máquina linux : ESQUEMA. El esquema de la configuración realizado con la herramienta Dude. Como vemos la máquina Linux es la que tiene una relación directa con el router o RB y será la que

6 ofrezca el entorno de administración a los profesores de cada aula. En el esquema vemos que dicha máquina dispone de 4 interfaces de red. Pero para este anexo del proyecto nos vamos a centrar tan solo en la interfaz que conecta con el RB. 5.FASE INICIAL. Comenzaremos preparando el entorno que vamos a necesitar para realizar, más tarde, el desarrollo. Las instalaciones las realizaremos en la máquina Linux, el RB ya dispone de las herramientas necesarias para el desarrollo de este anexo. 5.1.Instalación de apache2,php5 y MySQL. Instalaremos el servidor web que nos ofrecerá el entorno de administración y el lenguaje de programación que necesitamos para realizar el código que ejecute las órdenes apropiadas en el RB. Disponemos de 2 opciones: Instalar las herramientas por separado o bien directamente instalar LAMP. Emplearemos este último sistema. LAMP : Acrónimo que hace referencia a las siguientes herramientas: Linux, el sistema operativo. En algunos casos también se refiere a LDAP. Apache, el servidor web. MySQL/DB, el gestor de bases de datos. Perl, PHP, o Python, los lenguajes de programación. Para instalar LAMP, tenemos la siguiente opción: Instalación indirecta mediante la herramienta tasksel. # apt-get instal tasksel # tasksel Una vez instalada podremos seleccionar los paquetes que deseamos instalar de una lista. Nota: esta herramienta nos permitirá instalar, también, SSH.

7 Podemos comprobar la versión de las herramientas instaladas mediante. # dpkg -l nombre_del_paquete Así como los archivos instalados por cada paquete con: # dpkg -L nombre_del_paquete 5.2.Instalación de SSH. Herramienta que nos permitirá acceder al RB mediante una relación de confianza si tener que emplear contraseña. Podemos ejecutar: # apt-get install ssh O bien: # apt-get install openssh 5.3.Instalación de OpenSSL. Herramienta que nos permitirá generar los certificados para establecer la relación de confianza con el router y poder acceder a él mediante SSH sin necesidad de utilizar contraseña. Nor malmente los sistemas operativos traen, pro defecto instalada la herramienta, podemos comprobarlo ejecutando: # dpkg -l openssl En el caso de que no dispongamos de ella bastará con ejecutar: # apt-get install openssl 5.4.Instalación de Wine y Winbox. Para poder hacer el acceso al dispositivo desde una Sistema Operativo Linux vamos a emplear dos herramientas.

8 Wine : Herramienta que nos permite instalar, ejecutar programas del sistema Windows en sistemas Linux. Para instalarla: # apt-get install wine Winbox : Es una de las herramientas más importantes, ahora mismo, que se utiliza para la configuración del software de la empresa Mikrotik. Para descargarla: $ wget Una vez tengamos las herramientas instaladas podremos ejecutar Winbox por medio de Wine para acceder a la interfaz gráfica del RB. # wine winbox 5.5.Interfaz de red de la máquina Linux. Configuraremos la interfaz de red del que será el servidor del entorno web en base al esquema que hemos ideado. Aunque el RB tiene la posibilidad de ser servidor DHCP en sus interfaces, para este caso lo haremos de forma estática. Para ello editamos el archivo /etc/network/interfaces. auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask network broadcast gateway Reiniciamos el servicio de red: # /etc/init.d/networking restart

9 Comprobamos los cambios: # ifconfig # route -n 5.6.Configuración Hello World del RB. Vamos a emplear el dispositivo de Mikrotik RouterBoard 750G para realizar una configuración básica de Router denominada "Hello world". Dispone de 5 puertos o bocas de las cuales nos bastará con configurar 2 de ellas para poder tener acceso a internet, a través de del dispositivo. Puerto 1 : Ether 1 = WAN Puerto 2 : Ether 2 = LAN Puertos 3,4,5 : Son, por defecto, esclavos del puerto 2 ==>Tienen la misma dirección MAC Acceso al RB. La IP por defecto de estos dispositivos, para realizar su configuración es Username es ' admin '. No requiere introducir contraseña. Cuando accedamos por FTP debemos tener en cuenta introducir un espacio en la casilla de contraseña para poder acceder. En ocasiones, la conexión por MAC, no funciona. Es importante que en nuestra máquina local tengamos configurado un Gateway o puerta de enlace de la misma red. Menos importante para el acceso por dirección física es la IP.

10 Lo primero que hacemos es conectar los cables: 1 cable Ethernet conectado en el puerto 1 (WAN) del dispositivo y a la salida hacia Internet. 1 cable Ethernet conectado al puerto 4 ó 5 del dispositivo y a nuestra tarjeta de red ( NIC). Comprobamos que las luces LED, del dispositivo, esten activas,allí donde hemos conectado los cables. Arrancamos la herramienta Winbox para realizar la conexión al dispositivo. Ejecutamos la herramienta que hemos instalado antes. # wine winbox Nos encontramos con una pantalla. En la sección ' Connect To ' vemos un botón con tres puntos, al pulsarlo, se escanean dispositivos RouterOS que podremos identificar por IP o por su MAC. Esta acción la realiza mediante mensajes de Broadcast con el protocolo UDP. El dispositivo Mikrotik utiliza un protocolo propio denominado MNDP. Localizamos la MAC del dispositivo que normalmente va a coincidir con la dirección del puerto 2. Introducimos el usuario y dejamos vacío el campo de la contraseña. Nos encontraremos en una situación similar a la imagen siguiente.

11 5.6.2.Asignación de direcciones. Por defecto el RB trae los puertos del 2 al 5 configurados en modo switch, esto no nos interesa, iremos a la sección ' Interfaces ' con una doble pulsación sobre el puerto 5, que será el que utilicemos para el acceso desde la máquina Linux, con figuraremos la opción : ' Master Port ' ==> ' none '. Podemos darle un nombre a la interfaz que nos resulte identificativo, en la misma pantalla. Ahora para asignar una dirección IP a este puerto acudimos a la sección ' IP '==>' Addresses '. Nota: Para asignar la dirección IP a la interfaz WAN realizaremos el mismo paso que para la LAN. Pero sucede que en mi caso, tengo una conexión extraña a internet y para poder realizar las pruebas he de configurar un cliente PPPoE en la interfaz WAN, que no voy a detallar. Las pruebas que realice en clase tendrán la dirección IP de la WAN con el rango xxx. Con la configuración como cliente PPPoE veremos la sección ' Interfaces ' de este modo.

12 5.6.3.Asignación de un gateway. Ahora debemos especificar la puerta de enlace. El Rb habrá creado una ruta por defecto que en principio no habría que editar, donde para todas las redes ( /0) la puerta de enlace será la dirección IP que ha tomado la nueva interfaz PPPoE. Podemos comprobarlo en la sección ' IP '==>' Routes ' NAT masquerade. Finalmente para poder acceder al exterior deberemos enmascarar la dirección de la LAN con la dirección de salida de la interfaz WAN. Para ello creamos una nueva regla en la sección ' IP '==>' Firewall ' ==>' NAT '==>'+' En la pestaña ' Action ' configuramos ' masquerade '.

13 5.6.5.Comprobaciones. Realizamos la comprobación de conectividad de la configuración que hemos realizado, primero desde el RB al exterior y después desde la máquina Linux al RB y al exterior. Desde el RB: Comprobamos que tenemos acceso al exterior desde el propio RB, para ello pulsanmos en el menú de la izquierda ' New Terminal '. # ping # ping Podemos ver que tenemos acceso al exterior. Desde la máquina Linux: Comprobamos la puerta de enlace y el acceso al exterior: # ping # ping # ping

14 6.FASE DE DESARROLLO. En esta fase vamos a implementar toda la configuración necesaria para cumplir los objetivos que se pretenden. Para ello lo primero será crear una relación de confianza entre la máquina Linux y el RB de forma que podamos ejecutar comandos a través de SSH sin la necesidad de que se nos solicite una contraseña. Después prepararemos un sencillo entorno de administración para ejecutar dichas órdenes en el router. Tendremos que tener preparados unos scripts en el RB que creen las correspondientes reglas en el Firewall o las eliminen según convenga. En última instancia, prepararemos un simple script que se ejecute de manera periódica que retorne las reglas del Firewall del RB a su estado original. 6.1.Relación de confianza entre máquina Linux y RB. Lograremos este objetivo mediante certificados que vamos a generar mediante OpenSSL. Se generarán una clave pública que compartiremos con el RB y una clave privada que guardaremos en la máquina Linux. Importamos la clave pública en el RB y realizamos las pruebas de acceso Generando los certificados. Vamos a la terminal de la máquina Linux y ejecutaremos la siguiente orden: # ssh-keygen -t dsa Nota: Cuando nos solicite la introducción de la contraseña, lo dejaremos en blanco.

15 Se nos habrán creado 2 certificados en el directorio /root/.ssh/ id_dsa : Nuestra llave privada. id_dsa.pub : La llave que compartiremos con el RB Compartiendo la clave pública con el RB. Ahora debemos compartir nuestra clave pública con el RB, para ello utilizaremos el servicio FTP que el RB tiene habilitado por defecto. Para acceder vía FTP utilizamos los datos de login, por defecto, del RB. # cd.ssh # ftp ftp> put.ssh/id_dsa.pub Podremos comprobar en el RB que se ha subido el archivo en la sección ' Files ' del menú izquierdo.

16 Ahora debemos importar la clave pública en el RB, para ello acudimos a la interfaz del RB y abrimos una nueva terminal para ejecutar: user ssh-keys import public-key-file: id_dsa.pub user:admin Con esto tendremos preparada la configuración para establecer la relación de confianza Comprobación. Ejecutaremos un comando desde la máquina Linux mediante SSH para comprobar que todo funciona correctamente. Se nos pedirá si queremos añadir la máquina de destino a los hosts de confianza, pero esto solo ocurrirá la primera vez que intentemos una conexión. # ssh admin@ system resource print Podemos ver que obtenemos la información que se ha solicitado. 6.2.Permisos para ejecutar comando SSH. Necesitamos permisos para que el usuario de apache2 (www-data) pueda ejecutar el comando ssh si que se le requiera una contraseña. De otro modo no será posible realizar la tarea.

17 Para ello editamos el archivo /etc/sudoers.tmp ejecutando: # visudo Añadiremos la siguiente línea para permitir que el usuario www-data ejecute solamente el comando ssh. 6.3.Scripts para las reglas de Firewall en el RB. Para crear las reglas de Firewall en el RB o borrarlas vamos a crear una serie de scripts en el RB que se encargarán de ejecutar las órdenes apropiadas y un archivo para restablecer las normas iniciales. Por defecto el Firewall permitirá el acceso al exterior a las 3 aulas. Deberemos tener en cuenta todas las posibilidades posibles, podría darse el caso de que haya 2 aulas con bloqueo y se quiera desbloquear solo una de ellas etc.. Scripts: -Borra : Script que se encargara de borrar todas las normas del firewall que haya. -Bloquea20.2 : Script que creará las normas que bloquean el aula 20.2 y permiten al resto el acceso. -Bloquea20.3 : Script que creará las normas que bloquean el aula 20.3 y permiten al resto el acceso. -Bloquea20.4 : Script que creará las normas que bloquean el aula 20.4 y permiten al resto el acceso. -Bloquea : Script que bloqueará las aulas 20.2 y 20.3 y dejará acceso al resto. -Bloquea : Script que bloqueará las aulas 20.2 y 20.4 y dejará acceso al resto. -Bloquea : Script que bloqueará las aulas 20.3 y 20.4 y dejará acceso al resto. -Bloqueatodo : Script que bloqueará las 3 aulas. -Inicio : Script que devolverá las normas a su estado inicial. Para crear los scripts en el RB deberemos acudir a la sección ' System '==>' Scripts '==>'+'. Creamos uno a uno cada uno de los que vamos a necesitar (Mostramos el código).

18 -Borra : /ip firewall filter remove [/ip firewall filter find] -Bloquea20.2: /ip firewall filter add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add chain=forward out-interface=wan1 src-address= /24 add chain=forward out-interface=wan1 src-address= /24 -Bloquea20.3: /ip firewall filter add chain=forward out-interface=wan1 src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add chain=forward out-interface=wan1 src-address= /24

19 -Bloquea20.4: /ip firewall filter add chain=forward out-interface=wan1 src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add chain=forward out-interface=wan1 src-address= /24

20 -Bloquea : /ip firewall filter add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add chain=forward out-interface=wan1 src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 -Bloquea : /ip firewall filter add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add chain=forward out-interface=wan1 src-address= /24

21 -Bloquea : /ip firewall filter add chain=forward out-interface=wan1 src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 -Bloqueatodo: /ip firewall filter add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24 add action=reject chain=forward out-interface=wan1 reject-with=\ icmp-net-prohibited src-address= /24

22 -Inicio: /ip firewall filter add chain=forward out-interface=wan1 src-address= /24 add chain=forward out-interface=wan1 src-address= /24 add chain=forward out-interface=wan1 src-address= /24 Finalmente tendremos el escenario de este modo: Nota: En un caso real, en el que tengamos más reglas de firewall, podremos incluir estas en otro script y desde los script que acabamos de crear hacer una llamada a dicho script añadiendo una línea al final de cada uno de los que hemos creado: /system script run nombre_del_script

23 6.4.Base de datos. En el supuesto caso de que un aula concreta ya se encuentre bloqueada y otro profesor quiera bloquear su aula, tendremos un problema pues si ejecuta el bloqueo de su aula se desbloqueará la primera aula. Es por esto que deberemos guardar de alguna manera el estado en el que se encuentra el firewall en el momento en el que el profesor del segundo aula desea bloquear la suya, de manera que el script que se ejecute sea el de bloquear 2 aulas y no solo una. Es por esto que vamos a crear una base de datos con una sola tabla que contendrá dos campos, que nos servirá para guardar el estado del firewall después de ejecutar un bloqueo o desbloqueo de un aula. De esta forma su hubiese alguna otra aula bloqueada anteriormente se mantenga dicho bloqueo. Desde una terminal ejecutaremos los siguientes comandos: # mysql -p >CREATE DATABASE firewall; >USE firewall; >CREATE TABLE status( ->var CHAR(4) NOT NULL ->stat INT NOT NULL, ->PRIMARY KEY (var) ->); Creamos la base de datos: Creamos la tabla: Bien, ahora cada vez que creemos reglas de firewall guardaremos el estado en el que se queda este.

24 Los estados corresponderán a un dato numérico en la columna ' stat ': Estado Significado Nombre del script del RB 0 Estado inicial. inicio 1 Bloquea el aula 20.2 bloquea Bloquea el aula 20.3 bloquea Bloquea el aula 20.4 bloquea Bloquea las aulas 20.2 y 20.3 bloquea Bloquea las aulas 20.2 y 20.4 bloquea Bloquea las aulas 20.3 y 20.4 bloquea Bloquea todas las aulas bloqueatodo Puesto que ahora podremos conocer el estado del firewall, y sabemos que aula se quiere bloquear o desbloquear, sabremos que reglas hay que crear o borrar del firewall. 6.5.Tareas programadas. Necesitamos que 5 veces al día se reviertan los posibles cambios que se hayan hecho en el firewall y las reglas se retornen a sus valores iniciales. Para esta labor emplearemos el cron del sistema. Prepararemos el script que queremos que se ejecute y especificaremos, en otro archivo, a que horas queremos que se ejecute Script con las acciones a ejecutar. Preparamos el script que ejecutará las siguientes acciones. 1-Borra las normas que haya en el firewall. Se ejecutará el script ' borra ' del RB. 2- Restaura las reglas por defecto. Se ejecutará el script ' inicio ' del RB. 3- Restauramos el valor por defecto del estado del firewall en la tabla ' status '. El código del script que ejecuta todas estas acciones será el siguiente: #!/bin/bash #Borramos las reglas del firewall ssh admin@ system script run borra #Restablecemos las reglas por defecto ssh admin@ system script run inicio #Accedemos a la base de datos SQL_HOST="localhost" SQL_USER="root" SQL_PASSWORD="laquesea" SQL_DATABASE="firewall" SQL_ARGS="-h $SQL_HOST -u $SQL_USER -p$sql_password $SQL_DATABASE -s -e" #Insertamos el estado por defecto mysql $SQL_ARGS "UPDATE status SET stat=0 WHERE var='stat';" exit

25 Guardamos los cambios en un archivo llamado ' firewall.sh ' en el directorio /root (por ejemplo) y le damos los permisos de ejecución. # chmod +x /root/reset-firewall.sh Programar tareas en cron. Escogeremos los horarios a los que queremos que se ejecute el script y prepararemos el archivo para programar cron. Los horarios seleccionados son: -A las 07:30. -A las 11:30. -A las 13:30. -A las 15:30. -A las 21:30. Prepararemos un archivo cuya estructura será esta: #Minutos #Hora #Día del mes #Mes #Día de la semana #Usuario #Script o comando En la tabla siguiente explicamos la sintaxis. Campo Descripción Controla el minuto de la hora en que el comando será ejecutado, este valor debe de Minuto estar entre 0 y 59. Controla la hora en que el comando será ejecutado, se especifica en un formato de 24 Hora horas, los valores deben estar entre 0 y 23, 0 es medianoche. Día del mes en que se quiere ejecutar el comando. Por ejemplo se indicaría 20, para Día del Mes ejecutar el comando el día 20 del mes. Mes en que el comando se ejecutará, puede ser indicado numéricamente (1-12), o Mes por el nombre del mes en inglés, solo las tres primeras letras. Día de la Día en la semana en que se ejecutará el comando, puede ser numérico (0-7) o por el semana nombre del día en inglés, solo las tres primeras letras. (0 y 7 = domingo) Usuario Usuario que ejecuta el comando. Comando, script o programa que se desea ejecutar. Este campo puede contener Comando múltiples palabras y espacios. El archivo nos quedará de esta forma: 30 07,11,13,15,21 * * * /root/reset-firewall.sh

26 Guardamos los cambios en un archivo llamado ' cronfw ' en el directorio /root. Ahora para programar la tarea solamente ejecutamos: # crontab cronfw Podemos comprobar que se ha programado la tarea. # crontab -l 6.6.Entorno de administración. Se nos facilitará la plantilla para poder implementar el código PHP en la misma de manera que podamos crear un nuevo módulo que aplique las ejecuciones que lleven los objetivos a su consecución. No se explicará la forma de realizar la instalación de la plantilla tan solo mencionar que se han seguido los pasos especificados en el enlace: Funcionamiento del entorno de administración. El funcionamiento será muy sencillo. Crearemos un nuevo módulo en la plantilla y se darán dos opciones: -Bloquear las aulas. -Ejecutar comandos de la terminal del RB. La primera opción estará filtrada por dirección IP de manera que al profesor del aula solo se le muestren los botones para bloquear o desbloquear su propia aula y ninguna más. Tan solo si se realiza el acceso en local se mostrarán todos los botones de bloqueo y desbloqueo de todas las aulas. En la parte inferior de la pantalla se mostrará el estado en el que se encuentre el Firewall. La segunda opción que se ofrece tan solo será accesible para el usuario administrador de la red del instituto. Tendrá dos comandos filtrados por simple seguridad.

27 system reset-configuration==>hace un reset de la configuración del router system shutdown==>apaga el router Al ejecutar cualquiera de ellos se mostrará un mensaje avisando que la acción no está permitida Vistas del entorno. Mostraremos como se verá el entorno. Menú lateral o módulo nuevo. Veremos un menú desplegable con ambas opciones. Bloqueo de las aulas. Si el profesor entra al entorno de administración desde una de las aulas solo podrá ver los botones para bloquear esa aula y ninguno más. Sin embargo si se accede desde la máquina local, podremos visualizar todos los botones.

28 Ejecución de comandos de terminal del RB. Esta opción estará disponible solo para el administrador. 7.COMPROBACIONES. Resulta complicado mostrar, tan solo con capturas de pantalla el funcionamiento de la implementación ya que resulta una acción prácticamente inmediata la creación de reglas en el Firewall del router, en el momento que pulsamos el botón de bloqueo de aulas o bien el de desbloqueo. Daremos una pequeña explicación de lo que sucede. 7.1.Bloqueo de las aulas. Accederemos al menú de bloqueo/desbloqueo de aulas y tendremos en otra ventana el entorno gráfico del RB en la sección de 'IP'===>'Firewall'===>'Filter Rules' para observar que sucede en las

29 reglas al pulsar los botones. En un inicio el router estará en este estado: Bloqueo del aula Pulsamos el botón correspondiente. Podremos ver de forma inmediata como se crea la regla que deniega el acceso a internet a la IP de la red del aula, así como el mensaje de estado del firewall, que habrá cambiado en el entorno admin. Bloqueo del aula Ahora comprobaremos dos cosas. Por un lado veremos,obviamente, que el botón de bloqueo del aula, funciona correctamente al pulsarlo, por otro lado comprobaremos que efectivamente se

30 mantiene el bloqueo del aula 20.2 que teníamos ya bloqueada. Esto demuestra que se ha comprobado el estatus del Firewall antes de este segundo bloqueo y se mantiene el que tenía más el nuevo aula bloqueada. Pulsamos el botón correspondiente del aula para bloquearla. Podremos ver de manera instantánea como se crea la regla para bloquear el aula pero manteniendo el anterior bloqueo del aula 20.2 y a su vez cambiará el mensaje del estado del mismo en el entorno admin. Bloqueo del aula Por último bloqueamos el último aula que nos queda e igual que en el caso anterior podremos ver como se mantiene el estado anterior del Firewall y además se bloquea esta nueva aula.

31 Pulsaremos el botón correspondiente al aula. Podremos ver como en los otros casos que el aula se bloquea manteniendo el bloqueo de las otras dos y a su vez el mensaje de estado en el entorno admin habrá cambiado su contenido. 7.2.Desbloqueo de las aulas. Ahora que tenemos todas las aulas bloqueadas realizaremos las prubeas de desbloqueo. El funcionamiento será exactamente el mismo que al bloquear. Al pulsar el botón correspondiente se desbloqueará el aula pero si préviamente había algún aula bloqueada, se mantendrá y a su vez el contenido del mensaje de estado en el entorno de

32 administración, cambiará con la información pertinente. Desbloqueo del aula Pulsamos el botón correspondiente para efectuar los cambios. Desbloqueo del aula Pulsamos el botón correspondiente.

33 Desbloqueo del aula Al pulsar el botón correspondiente retornaremos el Firewall a su estado inicial con todas las aulas desbloqueadas.

34 7.3.Ejecución de comandos del RB desde el entorno. Esta sección solo deberá estar disponible para el usuario administrador como comentábamos antes. Pero comprobaremos que efectivamente funciona correctamente. Entraremos en el entorno y lo primero que haremos será comprobar que los dos comandos filtrados, efectivamente no se ejecutan. Comprobamos 'system reset-configuration'.

35 Podemos ver que no nos permite su ejecución. Comprobamos 'system shutdown'. Igual que el anterior no nos permite su ejecución. Por último ejecutamos un comando cualquiera para ver que funciona correctamente. Ejemplo 'ip firewall filter print' (mostrará las reglas de firewall en la cadena filter). Podemos ver que aparece la salida del comando en la parte inferior de la pantalla. 8.RECURSOS. Configuración RB 'Hellow World'. Conexión de confianza con el RB:

36 9.AGRADECIMIENTOS En este caso debo dar de nuevo las gracias al profesor e ingeniero administrador de la red del instituto, Sergi Tur Badenas, por tener esa inagotable paciencia en dedicar tiempo en aclararme todas las dudas que me fueron surgiendo a lo largo de la implementación de este anexo. E igualmente le agradezco que haya sabido soportar mi constante verborrea cansina y haya sabido cortarme la palabra, sin dilación, pues yo no tengo control