Práctica 5: Puesta en marcha de un cortafuegos con IPTABLES Arquitectura de Sistemas y Aplicaciones Distribuidas U.L.P.G.C.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Práctica 5: Puesta en marcha de un cortafuegos con IPTABLES Arquitectura de Sistemas y Aplicaciones Distribuidas U.L.P.G.C."

Transcripción

1 Práctica 5: Puesta en marcha de un cortafuegos con IPTABLES David Jesús Horat Flotats

2 Índice Introducción a los cortafuegos o firewall... 2 Introducción a iptables... 8 Parámetros de iptables SINOPSIS OBJETIVOS...11 TABLAS PARÁMETROS...11 EXTENSIONES...12 icmp state...12 tcp...13 Ejemplo de una política concreta Objetivos...14 Configuración...14 Ejemplos de acceso...22 Ip-Spoofing ICMP...22 Telnet FTP POP HTTP SMTP...33 DNS

3 Introducción a los cortafuegos o firewall 1 Un firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo. En general debemos verlo como una caja con DOS o mas interfaces de red en la que se establecen una reglas de filtrado con las que se decide si una conexión determinada puede establecerse o no. Incluso puede ir más allá y realizar modificaciones sobre las comunicaciones, como el NAT. Esa sería la definición genérica, hoy en dia un firewall es un hardware especifico con un sistema operativo o una IOS que filtra el tráfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como tal debe tener al menos dos tarjetas de red. Esta sería la tipología clásica de un firewall: Ilustración 1: Esquema de firewall típico entre red local e internet Esquema típico de firewall para proteger una red local conectada a internet a través de un router. El firewall debe colocarse entre el router (con un único cable) y la red local (conectado al switch o al hub de la LAN) Dependiendo de las necesidades de cada red, puede ponerse uno o más firewalls para establecer distintos perímetros de seguridad en torno a un sistema. Es frecuente también que se necesite exponer algún servidor a internet (como es el caso de un servidor web, un servidor de correo, etc..), y en esos casos obviamente en principio se debe aceptar cualquier conexión a 1 Extraído de 2

4 ellos. Lo que se recomienda en esa situación es situar ese servidor en lugar aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas: Ilustración 2: Esquema de firewall entre red local e internet con zona DMZ para servidores expuestos En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a él, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse también con un doble firewall (aunque como se ve se puede usar un único dispositivo con al menos tres interfaces de red). Sería un esquema como este: 3

5 Ilustración 3: Esquema de firewall entre red local e internet con zona DMZ para servidores expuestos creado con doble firewall(perímetro) Los firewalls se pueden usar en cualquier red. Es habitual tenerlos como protección de internet en las empresas, aunque ahí también suelen tener una doble función: controlar los accesos externos hacia dentro y también los internos hacia el exterior; esto último se hace con el firewall o frecuentemente con un proxy (que también utilizan reglas, aunque de más alto nivel). También, en empresas de hosting con muchos servidores alojados lo normal es encontrarnos uno o más firewalls ya sea filtrando toda la instalación o parte de ella: 4

6 Ilustración 4: Esquema de firewall entre redes, en la que solo se filtra y no se hace NAT Sea el tipo de firewall que sea, generalmente no tendrá mas que un conjunto de reglas en las que se examina el origen y destino de los paquetes del protocolo tcp/ip. En cuanto a protocolos es probable que sean capaces de filtrar muchos tipos de ellos, no solo los tcp, también los udp, los icmp, los gre y otros protocolos vinculados a vpns. Este podría ser (en pseudo-lenguaje) un el conjunto de reglas de un firewall del primer gráfico: Politica por defecto ACEPTAR. Todo lo que venga de la red local al firewall ACEPTAR Todo lo que venga de la ip de mi casa al puerto tcp 22 ACEPTAR Todo lo que venga de la ip de casa del jefe al puerto tcp 1723 ACEPTAR Todo lo que venga de hora.rediris.es al puerto udo 123 ACEPTAR Todo lo que venga de la red local y vaya al exterior ENMASCARAR 5

7 Todo lo que venga del exterior al puerto tcp 1 al 1024 DENEGAR Todo lo que venga del exterior al puerto tcp 3389 DENEGAR Todo lo que venga del exterior al puerto udp 1 al 1024 DENEGAR En definitiva lo que se hace es: - Habilita el acceso a puertos de administración a determinadas IPs privilegiadas - Enmascara el trafico de la red local hacia el exterior (NAT, una petición de un pc de la LAN sale al exterior con la ip pública), para poder salir a internet - Deniega el acceso desde el exterior a puertos de administración y a todo lo que este entre 1 y Hay dos maneras de implementar un firewall: 1) Política por defecto ACEPTAR: en principio todo lo que entra y sale por el firewall se acepta y solo se denegará lo que se diga explícitamente. 2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá pasar por el firewall aquellos que se permita explícitamente. Como es obvio imaginar, la primera política facilita mucho la gestión del firewall, ya que simplemente nos tenemos que preocupar de proteger aquellos puertos o direcciones que sabemos que nos interesa; el resto no importa tanto y se deja pasar. Por ejemplo, si queremos proteger una máquina linux, podemos hacer un netstat -ln (o netstat -an, o netstat -puta grep LISTEN), saber que puertos están abiertos, poner reglas para proteger esos puertos y ya está. Para qué vamos a proteger un puerto que realmente nunca se va a abrir? El único problema que podemos tener es que no controlemos que es lo que esta abierto, o que en un momento dado se instale un software nuevo que abra un puerto determinado, o que no sepamos que determinados paquetes ICMP son peligrosos. Si la política por defecto es ACEPTAR y no se protege explícitamente, nos la estamos jugando un poco. En cambio, si la política por defecto es DENEGAR, a no ser que lo 6

8 permitamos explícitamente, el firewall se convierte en un auténtico MURO infranqueable. El problema es que es mucho más difícil preparar un firewall así, y hay que tener muy claro como funciona el sistema (sea iptables o el que sea) y que es lo que se tiene que abrir sin caer en la tentación de empezar a meter reglas super-permisivas. Esta configuración de firewall es la recomendada, aunque no es aconsejable usarla si no se domina mínimamente el sistema. Uno de los objetos principales de este documento es mostrar la forma de crear este tipo de firewalls. IMPORTANTE El orden en el que se ponen las reglas de firewall es determinante. Normalmente cuando hay que decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le afecta (match), y se hace lo que dicte esta regla (aceptar o denegar); después de eso NO SE MIRARÁN MÁS REGLAS para ese paquete. Cuál es el peligro? Si ponemos reglas muy permisivas entre las primeras del firewall, puede que las siguientes no se apliquen y no sirvan de nada. 7

9 Introducción a iptables 2 IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programación(esto es una pequeña mentira, ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): iptables esta integrado con el kernel, es parte del sistema operativo. Cómo se pone en marcha? Realmente lo que se hace es aplicar reglas. Para ellos se ejecuta el comando iptables, con el que añadimos, borramos, o creamos reglas. Por ello un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall. El kernel lo que hace es, dependiendo si el paquete es para la propia maquina o para otra maquina, consultar las reglas de firewall y decidir que hacer con el paquete según mande el firewall. Este es el camino que seguiría un paquete en el kernel: Ilustración 5: Cuando un paquete u otra comunicación llega al kernel con iptables se sigue este camino Como se ve en el gráfico, básicamente se mira si el paquete esta 2 Extraído de 8

10 destinado a la propia maquina o si va a otra. Para los paquetes (o datagramas, según el protocolo) que van a la propia maquina se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o maquinas se aplican simplemente reglas FORWARD. INPUT,OUTPUT y FORWARD son los tres tipos de reglas de filtrado. Pero antes de aplicar esas reglas es posible aplicar reglas de NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino. Veremos ejemplos. E incluso antes de las reglas de NAT se pueden meter reglas de tipo MANGLE, destinadas a modificar los paquetes; son reglas poco conocidas y es probable que no las usen. Por tanto tenemos tres tipos de reglas en iptables: - MANGLE - NAT: reglas PREROUTING, POSTROUTING - FILTER: reglas INPUT, OUTPUT, FORWARD. 9

11 Parámetros de iptables Iptables admite muchos parámetros, de los cuales a continuación se comentarán los principales y, más en concreto, los usados para la configuración realizado del firewall de nuestra máquina. SINOPSIS iptables [-t table] -[AD] chain especificación-regla [opciones] --> con A se añade una regla a la cadena de reglas; con D se borra una regla de la cadena de reglas. iptables [-t table] -I chain [numeroregla] especificación-regla [opciones] --> Insertar una regla en concreto. iptables [-t table] -R chain numeroregla especificación-regla [opciones] --> Reemplazar una regla en concreto. iptables [-t table] -D chain numeroregla [opciones] --> Eliminar una regla en concreto. iptables [-t table] -[LFZ] [chain] [opciones] --> L lista todas las reglas de una cadena de reglas; F hace un flush, es decir, actualiza los cambios en la cadena de reglas; Z pone a cero los paquetes y contadores de las cadenas de reglas. iptables [-t table] -N chain --> Crea una nueva cadena de reglas (chain). iptables [-t table] -X [chain] --> Elimina toda una cadena de reglas (chain). iptables [-t table] -P chain objetivo [opciones] --> Establece la política para una cadena de reglas, es decir, el objetivo para la misma. Sirve como política por defecto. 10

12 iptables [-t table] -E old-chain-name new-chain-name --> Renombre una cadena de reglas (chain). OBJETIVOS Las reglas de un firewall especifican un criterio para los paquetes y el objetivo, es decir, que hacer con ellos. Si una regla se valida se le aplica el objetivo. Los posibles objetivos son: ACCEPT indica que se deje pasar el paquete. DROP indica que se desecha el paquete. Otros: QUEUE y RETURN TABLAS Hay tres tipos de tabla: -t, --table tabla Indica sobre que tabla actuará la opción o comando. Las tablas son: filter: Tabla por defecto. Contiene las cadenas de reglas: INPUT (paquetes entrantes), FORWARD (paquetes enrutados), y OUTPUT (paquetes salientes). nat: Tabla para paquetes encontrados en conexiones nuevas. Admite las siguientes cadenas de reglas: PREROUTING, OUTPUT y POSTROUTING. mangle: Tabla para alteraciones especiales de los paquetes. PARÁMETROS Parámetros para especificar reglas. Se usan al añadir, eliminar, insertar, reemplazar y concatenar comandos. -p, --protocol [!] protocolo Protocolo del paquete a chequear. Se admite: tcp, udp, icmp, or all (por defecto), o un valor numérico. Con "!" se niega. 11

13 -s, --source [!] dirección[/máscara] Origen o fuente. La dirección puede ser un nombre de dominio, hostname, una IP de red o IP de máquina. La máscara puede ser de una red o una máquina, e indica el número de 1s. Se suele usar el alias --src. -d, --destination [!] dirección[/máscara] Destino. Se suele usar el alias dst. -j, --jump objetivo Indica el objetivo de la regla, es decir, que hacer con ella, que se indica en el apartado de OBJETIVOS. -i, --in-interface [!] name Interfaz por la que se reciben los paquetes. Admite las cadenas de reglas INPUT, FORWARD y PREROUTING. -o, --out-interface [!] name Interfaz por la que se envían los paquetes. Admite las cadenas de reglas FORWARD, OUTPUT y POSTROUTING. EXTENSIONES iptables puede extenderse, es decir, extender los módulos de matching de paquetes. Se puede hacer implícitamente (ej. con -p o protocol, que indican el protocolo y automáticamente se carga el módulo del protocolo) o explícitamente, con las opciones -m o --match, seguidas del nombre del módulo de matching; después de esto se dispone de varios comandos extra, según el módulo. icmp opción: Esta extensión se carga al indicar -p icmp. Proporciona la siguiente --icmp-type [!] typename Especifica el tipo de ICMP, que puede ser un valor numérico o nombres de tipos ICMP. En nuestro caso destacan dos: echo-request (interrogación o petición) y echo-reply (repuesta o contestación). state Este módulo, cuando se comibina con el seguimiento de conexiones, permite el acceso al seguimiento del estado de los paquetes. --state estado 12

14 El estado es una lista separado por espacios para comprobar los estados de la conexión. Los posibles estados son: INVALID indica que el paquete no puede identificarse. ESTABLISHED indica que el paquete está asociado con una conexión en la que se han visto paquetes en ambas direcciones. NEW indica que el paquete ha iniciado una nueva conexión o bien está asociado a una conexión en la que no se han visto paquetes en ambas direcciones. RELATED indica que el paquete está iniciando una nueva conexión, pero está asociado a una conexión existente. Es el caso de las transferencias de datos FTP o los errores ICMP. tcp Esta extensión se carga con -p tcp. Proporciona las siguientes opciones: --source-port [!] puerto[:puerto] Puerto o rango de puertos de origen. Puede indicar el nombre de un servicio (ej. ftp) o un número de puerto. Puede indicarse un rango inclusivo. Si se omite el primer puerto (:puerto) se toma 0. Si se omite el segundo valor (puerto:) se toma el valor máximo: Se suele usar el alias --sport. --destination-port [!] puerto[:puerto] Puerto o rango de puertos de destino. Se suele usar el alias --dport. 13

15 Ejemplo de una política concreta Objetivos Llevar a cabo la política de Denegación por defecto tal que todos los servicios estén prohibidos por defecto y haya que ir añadiendo servicios bajo petición. Activar los siguientes servicios IP-SPOOFING: Evitar spoofing the nuestras direcciones de red ICMP: Denegar Echo Request a máquinas internas Telnet: Solo hacia afuera FTP: Solo hacia afuera POP3: Solo hacia afuera por enlaces ethernet y ambos sentidos por enlaces ppp. HTTP: Solo hacia afuera y a través del servidor proxy proxy.ulpgc.es ( ) SMTP: Solo hacia afuera con la máquina que actúa como relaying de correo DNS: Ambos sentidos pero solo con la máquina que actuará de forwarder Configuración Para la configuración de iptables usaremos un script the bash creado para esta ocasión y comentado, con el mismo orden que la lista de servicios a activar indicada en los Objetivos. Además, consta de una declaración de variables previa, para que sirve para cualquier jerarquía de direcciones Ips. En el propio script se comenta lo que hace cada línea, que se han realizado (escrito) según el orden de las configuraciones a aplicar, tal y como el guión de la práctica lo indicaba. #!/bin/bash 14

16 # Variables INTERNET=eth0 LOCAL=eth1 REDLOCAL= /24 YO= echo "Aplicando Reglas de Firewall..." # Borrado de reglas iptables -F iptables -X iptables -Z iptables -t nat -F # Establecemos politica de denegaciã³n por defecto iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # [1] IP-SPOOFING - Evitar SPOOFING de nuestras direcciones de red... # [1.1] a la propia mã quina iptables -A INPUT -i $INTERNET -s $REDLOCAL -j DROP && echo "Impedimos IP-Spoofing" # [1.2] a las mã quinas de la red interna iptables -A FORWARD -i $INTERNET -s $REDLOCAL -j DROP && echo "Impedimos IP- Spoofing" # [2] ICMP - Denegar Echo Request a mã quinas internas y aceptar el resto # [2.1] Permitir ping hacia fuera, desde la red interna iptables -A FORWARD -i $LOCAL -p icmp --icmp-type echo-request -j ACCEPT && echo "Aceptamos ICMP request a travã s" 15

17 iptables -A FORWARD -i $INTERNET -p icmp --icmp-type echo-reply -j ACCEPT && echo "Aceptamos ICMP reply a travã s" # [2.2] Permitir ping hacia fuera, desde la propia mã quina iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT && echo "Aceptamos ICMP request hacia fuera" iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT && echo "Aceptamos ICMP reply hacia dentro" # [2.3] Permitir ping a la propia mã quina, desde la red local iptables -A INPUT -p icmp --icmp-type echo-request -s $REDLOCAL -j ACCEPT && echo "Aceptamos ICMP request de mi red" iptables -A OUTPUT -p icmp --icmp-type echo-reply -d $REDLOCAL -j ACCEPT && echo "Aceptamos ICMP reply a mi red" # [2.4] Admitir ping a mi mismo a travã s de la interfaz externa (en realidad, ya se cubre con las reglas [2.5]) #iptables -A INPUT -p icmp --icmp-type echo-request -s $YO -j ACCEPT && echo "Aceptamos ICMP request de mi mismo" #iptables -A OUTPUT -p icmp --icmp-type echo-reply -d $YO -j ACCEPT && echo "Aceptamos ICMP reply a mi mismo" # [2.5] Permite que: # 1. Me pueda hacer ping a mismo a travã s de la interfaz externa # 2. Me vean desde Internet a travã s de la interfaz externa (pero no de la interna) iptables -A INPUT -p icmp --icmp-type echo-request -d $YO -j ACCEPT && echo "Aceptamos ICMP request a mi mismo" iptables -A OUTPUT -p icmp --icmp-type echo-reply -s $YO -j ACCEPT && echo "Aceptamos ICMP reply de mi mismo" # [3] Telnet solo hacia fuera # [3.1] Dejar salir hacia fuera, desde red interna y la propia mã quina 16

18 iptables -A FORWARD -i $LOCAL -p tcp --dport 23 -s $REDLOCAL -j ACCEPT && echo "Aceptamos FTP a traves" iptables -A OUTPUT -p tcp --dport 23 -j ACCEPT && echo "Aceptamos FTP hacia fuera" # [3.2] Dejar entrar paquetes de las conexiones establecidas, hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -p tcp -m tcp --sport 23 -m state --state 'RELATED' -- state 'ESTABLISHED' -j ACCEPT && echo "" iptables -A INPUT -p tcp -m tcp --sport 23 -m state --state 'RELATED' --state 'ESTABLISHED' -j ACCEPT && echo "" # [4] FTP solo hacia fuera # [4.1] Dejar salir hacia fuera, desde red interna y la propia mã quina iptables -A FORWARD -i $LOCAL -p tcp --dport ftp -s $REDLOCAL -j ACCEPT && echo "Aceptamos FTP a traves" iptables -A OUTPUT -p tcp --dport ftp -j ACCEPT && echo "Aceptamos FTP hacia fuera" # [4.2] Dejar entrar paquetes de las conexiones establecidas, hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -p tcp -m tcp --sport ftp -m state --state 'RELATED' -- state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos FTP a traves hacia dentro de conexiones establecidas" iptables -A INPUT -p tcp -m tcp --sport ftp -m state --state 'RELATED' --state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos FTP hacia dentro siempre que venga de una conexiã³n establecida" # [5] DNS en ambos sentidos pero solo con la mã quina que actuarã de forwarder # [5.1] Dejar salir hacia , desde red interna y la propia mã quina iptables -A FORWARD -i $LOCAL -d p udp --dport 53 -j ACCEPT && echo "Aceptamos DNS hacia afuera" iptables -A OUTPUT -d p udp --dport 53 -j ACCEPT && echo "Aceptamos DNS 17

19 hacia " # [5.2] Dejar entrar paquetes desde , hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -s p udp --sport 53 -j ACCEPT && echo "Aceptamos DNS de vuelta" iptables -A INPUT -s p udp --sport 53 -j ACCEPT && echo "Aceptamos DNS de vuelta" # [6] POP3 solo hacia fuera por enlace ethernet # [6.1] Dejar salir hacia fuera, desde red interna y la propia mã quina iptables -A FORWARD -i $LOCAL -p tcp --dport 110 -j ACCEPT && echo "Aceptamos POP3 hacia afuera" iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT && echo "Aceptamos POP3 de vuelta" # [6.2] Dejar entrar paquetes de las conexiones establecidas, hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -p tcp -m tcp --sport 110 -m state --state 'RELATED' -- state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos POP3 a traves hacia las mã quinas internas" iptables -A INPUT -p tcp -m tcp --sport 110 -m state --state 'RELATED' --state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos POP3 hacia la mã quina firewall" # [6.3] Dejar salir hacia fuera por ppp, desde red interna y la propia mã quina iptables -A FORWARD -i ppp+ -p tcp --sport 110 -j ACCEPT && echo "Aceptamos POP3 a traves hacia dentro" iptables -A OUTPUT -o ppp+ -p tcp --sport 110 -j ACCEPT && echo "Aceptamos POP3 a traves hacia fuera" # [6.4] Dejar entrar paquetes de las conexiones ppp establecidas, hacia la red interna y la propia mã quina iptables -A FORWARD -o ppp+ -p tcp --dport 110 -j ACCEPT && echo "Aceptamos POP3 a 18

20 traves hacia fuera" iptables -A INPUT -i ppp+ -p tcp --dport 110 -j ACCEPT && echo "Aceptamos POP3 a traves hacia dentro" # [7] HTTP solo hacia afuera y a travã s del servidor Proxy "proxy.rcanaria.es" ( ) # [7.1] Dejar salir hacia el proxy , desde red interna y la propia mã quina iptables -A FORWARD -i $LOCAL -d p tcp --dport j ACCEPT && echo "Aceptamos HTTP hacia afuera a proxy.ulpgc.es ( )" iptables -A OUTPUT -d p tcp --dport j ACCEPT && echo "Aceptamos HTTP de vuelta de proxy.ulpgc.es ( )" # [7.2] Dejar entrar paquetes de las conexiones establecidas, hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -s p tcp -m tcp --sport m state -- state 'RELATED' --state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos POP3 a traves hacia las mã quinas internas" iptables -A INPUT -s p tcp -m tcp --sport m state --state 'RELATED' -- state 'ESTABLISHED' -j ACCEPT && echo "Aceptamos POP3 hacia la mã quina firewall" # [8] SMTP solo hacia afuera con la mã quina (neptuno.redes.dis.ulpgc.es) que actãºa como relaying de correo # [8.1] Dejar salir hacia , desde red interna y la propia mã quina iptables -A FORWARD -i $LOCAL -d p tcp --dport 25 -j ACCEPT && echo "Aceptamos SMTP hacia afuera a " iptables -A OUTPUT -d p tcp --dport 25 -j ACCEPT && echo "Aceptamos SMTP hacia afuera a " # [8.2] Dejar entrar paquetes de las conexiones establecidas con , hacia la red interna y la propia mã quina iptables -A FORWARD -i $INTERNET -s p tcp -m tcp --sport 25 -m state --state 19

21 'ESTABLISHED' --state 'RELATED' -j ACCEPT && echo "Aceptamos SMTP de vuelta de " iptables -A INPUT -s p tcp -m tcp --sport 25 -m state --state 'ESTABLISHED' -- state 'RELATED' -j ACCEPT && echo "Aceptamos SMTP de vuelta de " read echo "Para comprobar que se aplica: iptables -L -n" read iptables -L -n Las tres últimas líneas se destinan a poder visualizar el estado resultante de las tablas del iptables, lo que sirve de comprobación de la activación de los servicios apropiados. Adicionalmente se dispone de otro script cuya finalidad es configurar iptables de forma que no filtre nada, es decir, que acepte todo. Dicho fichero de script se muestra a continuación: #!/bin/bash echo "Aplicando Reglas de Firewall..." echo "Aceptando todas las conexiones..." # Borrado de reglas iptables -F iptables -X iptables -Z iptables -t nat -F # Establecemos politica de aceptaciã³n por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 20

22 iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT 21

23 Ejemplos de acceso En esta sección se listarán las pruebas realizadas, con la finalidad de demostrar el correcto funcionamiento de la configuración del cortafuegos iptables, que se ha realizado con el script visto en la sección anterior. Las pruebas realizadas se enumeran a continuación según el orden establecido en el guión de la práctica; determinadas configuraciones no será posible probarlas, ya que no se dispone de las herramientas apropiadas para ello, o bien su manejo es complejo. Ip-Spoofing Para realizar una prueba de Ip-Spoofing no basta tomar una máquina externa a la red y cambiar su configuración de red. De hecho, si se hace eso no tendría conectividad porque la máscara de red no sería la apropiada o bien la Ip o Pasarela estaría mal configurada. Para poder hacer Ip-Spoofing habría que modificar los paquetes enviados intentando modificar el campo que indica la IP de origen o fuente. Para ello se requeriría una herramienta que lo permitiera, de la cual no se dispone. Por este motivo, no es posible realizar una prueba para observar como el cortafuegos evita el Ip-Spoofing. ICMP Para probar la intervención del cortafuego frente a los paquetes del protocolo ICMP, se hará uso de la herramienta ping, que usa este protocolo para las interrogaciones (echo-request) a otras máquinas y las respuestas (echo-reply) de dichas máquinas. En primer lugar comprobamos que desde la máquina , que es donde se dispone del firewall instalado, se puede hacer ping a cualquier máquina. Los tres posibles casos son: 22

24 1. Máquinas de la red interna ( ) Hacemos la prueba con el equipo PC, de nuestra red interna (también podría hacer con la interfaz de la red interna de la propia máquina), y vermos que se permite. Desktop]# ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=64 time=0.887 ms 64 bytes from : icmp_seq=1 ttl=64 time=0.116 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 0.116/0.501/0.887/0.386 ms, pipe 2 2. Máquinas de la red externa ( ) Del mismo modo, se permite perfectamente. La prueba se ha realizado sobre la máquina Desktop]# ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=64 time=0.180 ms 64 bytes from : icmp_seq=1 ttl=64 time=0.144 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 0.144/0.162/0.180/0.018 ms, pipe 2 3. Máquinas externas (Internet) Con redes externas, en Internet, tampoco hay problema (siempre que no haya otro firewall que lo impida para sus máquinas). En este caso la prueba se hace con Desktop]# ping 23

25 PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=237 time=83.6 ms 64 bytes from : icmp_seq=1 ttl=237 time=84.0 ms --- ping statistics packets transmitted, 2 received, 33% packet loss, time 2001ms rtt min/avg/max/mdev = /83.866/84.054/0.188 ms, pipe 2 Este comportamiento es normal, pues la máquina del firewall no restringe la posibilidad de hacer ping hacia cualquier destino, sino que las restricciones son en sentido de entrada. A continuación se prueba como los pings que se hacen a la propia máquina (la que tiene el firewall configurado) desde equipos de su red ( ), que se admitirán. Además, también se admite la realización de ping desde la interfaz externa de la propia máquina, que está en la red El ping desde la red interna se hace desde la interfaz de la red interna de la propia máquina ( ). ~]# ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=64 time=0.143 ms 64 bytes from : icmp_seq=1 ttl=64 time=0.130 ms ping statistics packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.130/0.136/0.143/0.013 ms, pipe 2 El ping desde el interfaz de la red externa ( ) también funciona: ~]# ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=64 time=0.153 ms 24

26 64 bytes from : icmp_seq=1 ttl=64 time=0.143 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.149 ms ping statistics packets transmitted, 3 received, 0% packet loss, time 1999ms rtt min/avg/max/mdev = 0.143/0.148/0.153/0.010 ms, pipe 2 Finalmente, si probamos la realización de un ping desde una máquina externa (en realidad una máquina del Laboratorio, dentro de la red ), veremos como puede hacer el ping a la interfaz externa ( ) de la máquina con el firewall, pero no así como Ips de la red interna ( ), ni siquiera de la máquina con el firewall ( ). En la siguiente captura de pantalla puede observarse el funcionamiento del ping al realizarlo sobre la interfaz y como se rechaza si se hace sobre las interfaces de la red interna (como la , en este caso), respectivamente. 25

27 Esto es indicativo de un correcto funcionamiento del firewall. Telnet Para probar la conexiones con telnet, cuyo puerto según el estándar es el 23, se requiere de una aplicación que escuche por dicho puerto para que se establezcan las conexiones. Como no se dispone de ninguna aplicación para ello, la forma en que se hará la prueba consistirá en ver la diferencia en el proceso en función de si el firewall está o no activado. Sin firewall se tiene lo siguiente: Desktop]# telnet Trying telnet: connect to address : Connection refused telnet: Unable to connect to remote host: Connection refused 26

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES SEGURIDAD DE REDES DE COMPUTADORAS Tarea de Investigación CONFIGURACIÓN DE FIREWALL Autor: Jorge Antonio Cobeña Reyes Tutor:

Más detalles

Filtrado de paquetes y NAT

Filtrado de paquetes y NAT Semana 9: Firewalls Filtrado de paquetes y NAT Aprendizajes esperados Contenidos: Filtrado de paquetes NAT Filtrado de paquetes Un # ping c 1 127.0.0.1 Filtrado de paquetes Cada regla especifica un conjunto

Más detalles

IPTABLES. Gonzalo Alvarez Flores

IPTABLES. Gonzalo Alvarez Flores IPTABLES Gonzalo Alvarez Flores Contenido 1. Qué es un firewall? 2. Netfilter: Historia 3. Qué es Iptables? 4. Políticas para implementar un firewall 5. Iptables: Conceptos Básicos 6. Creando Reglas 7.

Más detalles

Prácticas de laboratorio de Telemática II

Prácticas de laboratorio de Telemática II Prácticas de laboratorio de Telemática II Práctica 5 Departamento de Ingeniería Telemática (ENTEL) Mónica Aguilar Juanjo Alins Oscar Esparza Jose L. Muñoz Marcos Postigo Antoni X. Valverde II La composición

Más detalles

Iptables, herramienta para controlar el tráfico de un servidor

Iptables, herramienta para controlar el tráfico de un servidor Iptables, herramienta para controlar el tráfico de un servidor La seguridad es punto muy importante a tener en cuenta en cualquier organización de ahí que sea fundamental hacer uso de aquellos mecanismos

Más detalles

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello: Practica IPTABLES Lo siguientes comandos son ejecutados en una terminal, necesitan ser ejecutados con privilegios de administrador, yo antepondré sudo a cada comando, ustedes pueden hacerlo igual o evitar

Más detalles

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source Derman Zepeda Vega dzepeda@unan.edu.ni 1 Agenda Introducción a los Firewall Iptables en Linux Elaboración de un firewall básico

Más detalles

SEGURIDAD EN SISTEMAS INFORMÁTICOS

SEGURIDAD EN SISTEMAS INFORMÁTICOS Universidad Pública de Navarra Grupo de Redes, Sistemas y Servicios Telemáticos SEGURIDAD EN SISTEMAS INFORMÁTICOS Práctica 3 Seguridad perimetral: Filtrado de paquetes (Primera Parte) Introducción En

Más detalles

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha: *PRÓPOSITO. En general, un cortafuegos o firewall es un dispositivo que filtra el tráfico entre redes, como mínimo dos. El firewall puede ser un dispositivo físico o un software sobre un sistema operativo.

Más detalles

Configuración del firewall en Linux con IPtables

Configuración del firewall en Linux con IPtables Configuración del firewall en Linux con IPtables Un firewall es un dispositivo, ya sea software o hardware, que filtra todo el tráfico de red. El sistema operativo Linux dispone de un firewall llamado

Más detalles

Cortafuegos y Linux. Iptables

Cortafuegos y Linux. Iptables Raúl Sánchez Sánchez raul@um.es Atica Miércoles 22 de Septiembre de 2004 Introducción Conceptos basicos Filtrado de paquetes Cortafuegos de aplicacion Configuraciones de cortafuegos Conceptos basicos Filtrado

Más detalles

PRÁCTICA 5: USO DE CORTAFUEGOS

PRÁCTICA 5: USO DE CORTAFUEGOS PRÁCTICA 5: USO DE CORTAFUEGOS IPTABLES 1. Qué es IPTABLES? En linux, el filtrado de paquetes se controla a nivel del kernel. Existen módulos para el kernel que permiten definir un sistema de reglas para

Más detalles

66.69 Criptografía y Seguridad Informática FIREWALL

66.69 Criptografía y Seguridad Informática FIREWALL 66.69 Criptografía y Seguridad Informática Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Qué es un Firewall? = Cortafuegos Elemento de hardware o software utilizado en una red de

Más detalles

Cortafuegos (Firewalls) en Linux con iptables

Cortafuegos (Firewalls) en Linux con iptables Cortafuegos (Firewalls) en Linux con iptables Sistemas Telemáticos GSyC Departamento de Teoría de la Señal y Comunicaciones y Sistemas Telemáticos y Computación Abril de 2015 GSyC - 2015 Cortafuegos (Firewalls)

Más detalles

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX Eduard Lara 1 IPTABLES La comanda IPTABLES se utiliza en linux para la configuración de un firewall. IPTABLES permite realizar la programación

Más detalles

8. Cortafuegos (Firewall).

8. Cortafuegos (Firewall). 8.1. Introducción 8. Cortafuegos (Firewall). En la unidad anterior hemos visto como implementar un servidor proxy con el que podamos controlar los accesos a Internet. Ahora veremos como con un firewall

Más detalles

IPTABLES Manual práctico

IPTABLES Manual práctico IPTABLES Manual práctico Por Pello Xabier Altadill Izura Ingeniero Informático por la UPV-EHU pello@pello.info (Actualizaciones y ejemplos en http://www.pello.info ). Qué es un firewall 2. Qué es iptables

Más detalles

Cortafuegos (Firewalls) en Linux con iptables

Cortafuegos (Firewalls) en Linux con iptables Cortafuegos (Firewalls) en Linux con iptables Sistemas Telemáticos Departamento de Sistemas Telemáticos y Computación (GSyC) Abril de 2012 GSyC - 2012 Cortafuegos (Firewalls) en Linux con iptables 1 c

Más detalles

Aprendiendo a usar IPTABLES desde cero.

Aprendiendo a usar IPTABLES desde cero. Aprendiendo a usar IPTABLES desde cero. Introducción Al conectarnos a internet en nuestras casas, de forma explícita nos estamos conectando, en AMBOS sentidos: directamente a la red, "desnudos" si se me

Más detalles

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira - Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira - 1 ÍNDICE 1.- Qué es un firewall 2.- Tecnologías de Firewall Filtros de paquetes Puertas de enlace de aplicación

Más detalles

IPTABLES Manual práctico

IPTABLES Manual práctico IPTABLES Manual práctico En este manual se muestran las habituales arquitecturas de redes con firewall y la forma de montar iptables para cada caso, con distintas opciones para cada ejemplo. Por Pello

Más detalles

Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet

Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet Clase 23 FTP. Telnet. Ejemplos Tema 6.- Nivel de aplicación en Internet Dr. Daniel Morató Redes de Computadores Ingeniero Técnico de Telecomunicación Especialidad en Sonido e Imagen 3º curso Temario 1.-

Más detalles

Firewall en GNU/Linux netfilter/iptables

Firewall en GNU/Linux netfilter/iptables Firewall en GNU/Linux netfilter/iptables SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 13 de mayo de 2008 FJRP, FMBR 2008 ccia SSI 1. Introducción a netfilter/iptables

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

IPTables: Filtrado de paquetes en Linux

IPTables: Filtrado de paquetes en Linux : Filtrado de paquetes en Linux Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez Lámina 1 Netfilter/ Las dos piezas principales de producto firewall disponibles gratuitamente

Más detalles

2. Diferencias respecto a IPCHAINS

2. Diferencias respecto a IPCHAINS 1. Qué es IPTABLES? 2. Diferencias respecto a IPCHAINS 3. Elementos básicos 4. Ejemplos de configuración. 5. Reglas de protección 6. Notas, enlaces, añadidos. 1. Qué es IPTABLES? En linux, el filtrado

Más detalles

Internet Firewalls Linux ipchains.

Internet Firewalls Linux ipchains. Internet Firewalls Linux ipchains. I Parte. Firewalls Introducción. Actualmente, Internet es la principal vía para consultar y publicar información de una forma sencilla, económica y revolucionaria. Del

Más detalles

Programas de Administración de red

Programas de Administración de red 1 Programas de Administración de red Introducción El propósito de las siguientes prácticas es el de familiarizar al alumno con los distintos programas que se utilizan para chequear y comprobar el estado

Más detalles

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s P r á c t i c a 1 5 C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s Configuración del firewall 1. Conéctate a tu máquina virtual Centos y utiliza la cuenta de root. 2. Crea

Más detalles

Laboratorio de Redes de Computadores

Laboratorio de Redes de Computadores 3. Análisis de tráfico en una LAN 3.1 Introducción En esta práctica se va a trabajar sobre la misma configuración de red utilizada en la práctica anterior (Figura 32) y se van a hacer ejercicios muy similares,

Más detalles

Práctica 8: El analizador de protocolos Ethereal

Práctica 8: El analizador de protocolos Ethereal Práctica 8: El analizador de protocolos Ethereal Los analizadores de protocolos o de red, también conocidos vulgarmente como sniffers son herramientas de gran ayuda para los administradores de las redes

Más detalles

Cortafuegos en Linux con iptables

Cortafuegos en Linux con iptables IV Jornadas Sistema Operativo Linux Cortafuegos en Linux con iptables Andrés J. Díaz Para qué un cortafuegos doméstico? Lo que puede hacer Evitar en la medida de lo posible ataques DoS

Más detalles

Charla de redes. Carlos Hernando chernando@acm.org. ACM Facultad de Informática Universidad Politécnica de Madrid

Charla de redes. Carlos Hernando chernando@acm.org. ACM Facultad de Informática Universidad Politécnica de Madrid Charla de redes Administración de redes sobre GNU/Linux Carlos Hernando chernando@acm.org ACM Facultad de Informática Universidad Politécnica de Madrid 19 de noviembre de 2007 Noviembre Linuxero 07 C.

Más detalles

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002 Firewalls: iptables Pablo Suau Pérez (aka Siew) Marzo 2002 Contenido Introducción Seguridad y Linux Necesita un usuario normal un sistema seguro? Mecanismos de seguridad Firewalls (cortafuegos) Alternativas

Más detalles

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama: EJERCICIOS DE REDES 1. Configurar por completo la red mostrada en el siguiente diagrama: NOTA: no tenemos la posibilidad de configurar el router con ip 192.168.1.1 (manejado por otro administrador), de

Más detalles

Práctica 3: Monitorización de la Red Redes de Computadores U.L.P.G.C.

Práctica 3: Monitorización de la Red Redes de Computadores U.L.P.G.C. Práctica 3: Monitorización de la Red Índice Introducción...2 Netstat...3 Apartado a...3 Apartado b...9 Apartado c...10 Apartado d...11 Tcpdump...13 Apartado a...13 Apartado b...14 Apartado c...15 Apartado

Más detalles

Por lo tanto, podemos discriminar dos tipos de agentes que están involucrados en la transferencia de correo, MUA y MTA:

Por lo tanto, podemos discriminar dos tipos de agentes que están involucrados en la transferencia de correo, MUA y MTA: EL SISTEMA DE CORREO ELECTRÓNICO (SMTP Y POP3) El correo electrónico es una de las aplicaciones TCP/IP más utilizadas en estos días En su forma más sencilla, el correo electrónico, es una manera de enviar

Más detalles

Administración de servicios Internet Intranet

Administración de servicios Internet Intranet Administración de servicios Internet Intranet Tema 7: Seguridad E.U.I.T. Informática Gijón Curso 2003/2004 ASII 1 Seguridad Tipos de ataques: Ataques físicos. Ataques de denegación de servicio. Ataques

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.- Cuál es la forma predeterminada en la que el tráfico IP se filtra en un router Cisco? bloqueado hacia adentro y hacia afuera de todas las interfaces bloqueado en todas las interfaces entrantes, pero permitido

Más detalles

Proyecto Implementación de un nodo para una red libre (Wi-Fi) Redes de computadores I

Proyecto Implementación de un nodo para una red libre (Wi-Fi) Redes de computadores I Proyecto Implementación de un nodo para una red libre (Wi-Fi) Redes de computadores I Integrantes Patricio Jaque González Jorge Pareja Ayala Profesor Agustín González V. RESUMEN Una red libre con tecnología

Más detalles

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux Temario 1) Introducción a Firewall Qué es un Firewall? Objetivos de un

Más detalles

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio 1nsloo.cl REDES DE COMPUTADORES Laboratorio Práctica 1: Emulación de redes con NetGUI. 1. OBJETIVOS. El objetivo de esta práctica es aprender a utilizar la herramienta de emulación de redes Netkit / NetGUI,

Más detalles

Firewall Firestarter. Establece perímetros confiables.

Firewall Firestarter. Establece perímetros confiables. Firewall Firestarter Qué es un Firewall? Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo

Más detalles

Servicios clásicos de Internet

Servicios clásicos de Internet Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra daniel.morato@unavarra.es Laboratorio de Interfaces de Redes http://www.tlm.unavarra.es/asignaturas/lir

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Seguridad en redes: Herramientas de seguridad (ii) Ramón Hermoso y Matteo Vasirani Universidad Rey Juan Carlos Curso 2012/2013 Bibliografía Eric Cole. Network Security Bible. Wiley

Más detalles

Configuración de ACL IP utilizadas frecuentemente

Configuración de ACL IP utilizadas frecuentemente Configuración de ACL IP utilizadas frecuentemente Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Ejemplos de configuración Permiso de acceso a la red para un

Más detalles

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas Servidor Firewall Patrick Hernández Cuamatzi Qué es un firewall? Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red privada. Pueden implementarse firewalls

Más detalles

Aprendizajes esperados

Aprendizajes esperados Semana 8: Firewalls Aprendizajes esperados Contenidos: Características de los firewalls Tipos de firewalls Configuración de firewalls Introducción al filtrado de paquetes Características de los FIREWALLS

Más detalles

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS Título de la práctica Sesión Monitorización de redes con Ethereal Semana 15/01/2007 Laboratorio 2.2 Material utilizado PCs, PC-Router, Routers Linksys

Más detalles

Práctica 2: Configuración de interfaces IP en equipos con sistema operativo GNU/Linux

Práctica 2: Configuración de interfaces IP en equipos con sistema operativo GNU/Linux Práctica 2: Configuración de interfaces IP en equipos con sistema operativo GNU/Linux 1- Objetivos Para probar las configuraciones de redes necesitaremos PCs que colocaremos en las diferentes LANs. Por

Más detalles

Administración de redes IP. Localización y manejo de problemas

Administración de redes IP. Localización y manejo de problemas Administración de redes IP. Localización y manejo de problemas Tabla de Contenidos 6. Administración de redes IP. Localización y manejo de problemas...2 6.1 consideraciones previas y recomendaciones...

Más detalles

UNIVERSIDAD DE CANTABRIA DEPARTAMENTO DE INGENIERÍA DE COMUNICACIONES GRUPO DE INGENIERÍA TELEMÁTICA

UNIVERSIDAD DE CANTABRIA DEPARTAMENTO DE INGENIERÍA DE COMUNICACIONES GRUPO DE INGENIERÍA TELEMÁTICA UNIVERSIDAD DE CANTABRIA DEPARTAMENTO DE INGENIERÍA DE COMUNICACIONES GRUPO DE INGENIERÍA TELEMÁTICA PROTOCOLOS PARA LA INTERCONEXIÓN DE REDES PRÁCTICA 1 CONFIGURACIÓN Y ANÁLISIS DE REDES TCP/IP Práctica

Más detalles

Redes de área local Aplicaciones y Servicios Linux Enrutamiento

Redes de área local Aplicaciones y Servicios Linux Enrutamiento MINISTERIO DE EDUCACIÓN Y CIENCIA SECRETARÍA GENERAL DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE EDUCACIÓN, FORMACIÓN PROFESIONAL E INNOVACIÓN EDUCATIVA CENTRO NACIONAL DE INFORMACIÓN Y COMUNICACIÓN

Más detalles

Configuración de políticas de acceso y de valores de DMZ

Configuración de políticas de acceso y de valores de DMZ Javier del Moral Calzada (1º ASI Diurno) I.E.S. Pablo Serrano Febrero 2009 Configuración de políticas de acceso y de valores de DMZ Objetivos de la práctica: - Iniciar la sesión en un dispositivo multifunción

Más detalles

Fundamentos de Computadores

Fundamentos de Computadores Universidad de Murcia Facultad de Informática TÍTULO DE GRADO EN INGENIERÍA INFORMÁTICA Tema 6: Introducción a las redes de ordenadores Boletines de prácticas y ejercicios CURSO 2011 / 12 Departamento

Más detalles

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de Redes y Sistemas de Telecomunicación Práctica 0 Arquitectura de Redes y Sistemas de Telecomunicación Introducción al Wireshark Fundamentos del analizador de protocolos Wireshark. Objetivos En esta introducción se pretenden adquirir las capacidades

Más detalles

LABORATORIO DE REDES PRÁCTICA 1 COMANDOS BÁSICOS PARA LA CONFIGURACIÓN DEL NIVEL IP EN UNA RED DE SISTEMAS UNIX. 1. LA INTERFAZ loopback

LABORATORIO DE REDES PRÁCTICA 1 COMANDOS BÁSICOS PARA LA CONFIGURACIÓN DEL NIVEL IP EN UNA RED DE SISTEMAS UNIX. 1. LA INTERFAZ loopback LABORATORIO DE REDES PRÁCTICA 1 COMANDOS BÁSICOS PARA LA CONFIGURACIÓN DEL NIVEL IP EN UNA RED DE SISTEMAS UNIX 1. LA INTERFAZ loopback La primera interfaz que es necesario activar al configurar el nivel

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

Firewalls de Internet. Ricardo D. Pantazis

Firewalls de Internet. Ricardo D. Pantazis Firewalls de Internet Ricardo D. Pantazis Introducción Firewall: sistema que restringe el acceso entre una red protegida e Internet. Nociones de seguridad. Conceptos para construcción de firewalls. 13-nov-03

Más detalles

Introducción a las redes TCP/IP en Linux

Introducción a las redes TCP/IP en Linux Diseño y Administración de Sistemas y Redes Juan Céspedes Curso 2005 2006 Subsistema de red 1 Subsistema de red Los subsistemas más importantes del kernel de Linux son: gestión

Más detalles

Seguridad en Sistemas Informáticos Seguridad perimetral. Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra.

Seguridad en Sistemas Informáticos Seguridad perimetral. Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra. Seguridad en Sistemas Informáticos Seguridad perimetral Área de Ingeniería Telemática Dpto. Automática y Computación http://www.tlm.unavarra.es/ En días anteriores... Introducción a las amenazas y peligros

Más detalles

NOTA: Durante el ejercicio si Ud. encuentra que el comando apt-get da error, entonces debe actualizar la base de datos de apt.

NOTA: Durante el ejercicio si Ud. encuentra que el comando apt-get da error, entonces debe actualizar la base de datos de apt. REDES: Ejercicios de Definiciones de Rendimiento y Mediciones ========================================================= Notas: ------ * Comandos precedidos con "$" implican que Ud. debe ejecutar el comando

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local Laboratorio de PCs Práctica 3: Montaje de una red de Área local INTRODUCCIÓN Se pretende que el alumno comprenda una serie de aspectos básicos para el montaje y funcionamiento de una red de área local

Más detalles

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas Laboratorio de Seguridad en aplicaciones web Practica 2: Configuración de VPN y escaneo de puertos. Objetivos: En esta práctica

Más detalles

Práctica 10 - Network Address Translation (NAT)

Práctica 10 - Network Address Translation (NAT) Práctica 10 - Network Address Translation (NAT) 1- Objetivos NAT permite que una red IP parezca hacia el exterior que emplea un especio de direcciones diferente del que en realidad usa. La utilidad más

Más detalles

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto

LABORATORIO DE FTP. PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez. PRESENTADO A: Marcelo Utard Javier Bozzuto LABORATORIO DE FTP PRESENTADO POR: Diana Maritza Aragón Marta Moreno Luis Miguel Pérez PRESENTADO A: Marcelo Utard Javier Bozzuto ESCUELA DE GRADUADOS DE ELECTRÓNICA Y TELECOMUNICACIONES LABORATORIO DE

Más detalles

Práctica 5: Listas de acceso estándar y extendidas

Práctica 5: Listas de acceso estándar y extendidas Práctica 5: Listas de acceso estándar y extendidas Material necesario: - maqueta de routers, cables de red y consola y ordenadores de consola. Introducción: Las listas de acceso (ACLs Access Lists) son

Más detalles

UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN DOCUMENTO FINAL

UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN DOCUMENTO FINAL UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN DOCUMENTO FINAL CÁTEDRA: REDES II PROYECTO A REALIZAR: Firewall con Balanceador

Más detalles

CAPITULO 4 TCP/IP NETWORKING

CAPITULO 4 TCP/IP NETWORKING CAPITULO 4 TCP/IP NETWORKING Algo sobre LINUX http://www.diarioti.com/gate/n.php?id=9470 2 AGENDA 4.1 Historia del protocolo TCP/IP 4.2 Direccionamiento IP 4.3 Nombre de resolución 4.4 Protocolos TCP/IP

Más detalles

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330 Manual de Usuario CPE OX330 Índice Contenido 2 1 Set UP 3 2 Configuración LAN 3 3 Configuración WAN 5 4 Configuración NAT 5 5 Configuración del Sistema 6 6 Tools 7 Estado del Sistema 7 2 Manual de uso

Más detalles

Enrutado en base a marcas de paquetes. Iproute + Iptables.

Enrutado en base a marcas de paquetes. Iproute + Iptables. Bisoños Usuarios de Linux de Mallorca y Alrededores Bergantells Usuaris de Linux de Mallorca i Afegitons Enrutado en base a marcas de paquetes. Iproute + Iptables. Por Xisco Fernandez, Gravis () Creado

Más detalles

Escuela de Graduados de Electrónica y. Telecomunicaciones. Maestría en Ingeniería en Telecomunicaciones. Laboratorio TCP-IP. Profesores: Marcelo Utard

Escuela de Graduados de Electrónica y. Telecomunicaciones. Maestría en Ingeniería en Telecomunicaciones. Laboratorio TCP-IP. Profesores: Marcelo Utard Escuela de Graduados de Electrónica y Telecomunicaciones Maestría en Ingeniería en Telecomunicaciones Laboratorio TCP-IP Profesores: Marcelo Utard Javier Bozzuto Integrantes del grupo: Rafael Javier Collazos

Más detalles

Packet Tracer: configuración de ACL extendidas, situación 1

Packet Tracer: configuración de ACL extendidas, situación 1 Topología Tabla de direccionamiento Dispositivo Interfaz Dirección IP Máscara de subred Gateway predeterminado R1 G0/0 172.22.34.65 255.255.255.224 N/A G0/1 172.22.34.97 255.255.255.240 N/A G0/2 172.22.34.1

Más detalles

Redes de Computadoras Junio de 2006. Teoría y problemas (75 %)

Redes de Computadoras Junio de 2006. Teoría y problemas (75 %) Redes de Computadoras Junio de 2006 Nombre: DNI: Teoría y problemas (75 %) 1. (1 punto) Suponga una aplicación P2P de compartición de ficheros en la que existe un servidor central que ofrece un servicio

Más detalles

Práctica 2. Montaje de Redes Locales. Parte III

Práctica 2. Montaje de Redes Locales. Parte III Práctica 2. Montaje de Locales. Parte III 2º Informática Curso 2003/2004 1 Conceptos Adicionales Qué son las? Cómo funciona un router? Qué es y cómo funciona un firewall? Qué es el servicio DNS? Qué es

Más detalles

Comandos MS-DOS PING (Packet Internet Grouper). Ping -t: Ping -a: Ping -l:

Comandos MS-DOS PING (Packet Internet Grouper). Ping -t: Ping -a: Ping -l: Comandos MS-DOS PING (Packet Internet Grouper). Se trata de una utilidad que comprueba el estado de la conexión con uno o varios equipos remotos por medio de los paquetes de solicitud de eco y de respuesta

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas Tabla de Contenido Configurando ACLs de IP Comúnmente Usadas...1 Introducción.....1 Prerrequisitos...2 Versiones de Hardware y Software...3 Ejemplos de Configuración...3 Permitir a un Host Seleccionado

Más detalles

Práctica 4 - Network Address Translation (NAT)

Práctica 4 - Network Address Translation (NAT) Práctica 4 - Network Address Translation (NAT) 1- Objetivos NAT permite que una red IP parezca hacia el exterior que emplea un espacio de direcciones diferente del que en realidad usa. La utilidad más

Más detalles

LA ARQUITECTURA TCP/IP

LA ARQUITECTURA TCP/IP LA ARQUITECTURA TCP/IP Hemos visto ya como el Modelo de Referencia de Interconexión de Sistemas Abiertos, OSI-RM (Open System Interconection- Reference Model) proporcionó a los fabricantes un conjunto

Más detalles

Laboratorio práctico 8.3.4.4 Configuración y prueba del cliente VPN

Laboratorio práctico 8.3.4.4 Configuración y prueba del cliente VPN Laboratorio práctico 8.3.4.4 Configuración y prueba del cliente VPN Dispositivo Nombre de Host FastEthernet 0/0 o dirección IP de NIC Dirección IP de FastEthernet 0/1 Gateway predeterminado Contraseña

Más detalles

Routers y Firewalls. Seguridad en Redes TCP/IP. Tabla de Contenidos

Routers y Firewalls. Seguridad en Redes TCP/IP. Tabla de Contenidos Routers y Firewalls Tabla de Contenidos 4. Routers y Firewalls... 2 4.1 Routers... 2 Pila de protocolos TCP/IP... 2 Paquetes de datos... 3 Comunicación entre ordenadores en una red... 4 Cómo funciona un

Más detalles

Práctica 3 Observando la red

Práctica 3 Observando la red Práctica 3 Observando la red 1. Objetivos El objetivo principal que se persigue en esta práctica es ser capaz de observar el tráfico de red mediante un analizador de protocolos como Wireshark y comprender

Más detalles

WireShark. Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos.

WireShark. Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos. Redes de Datos - Laboratorio Objetivo WireShark Este instructivo describe el uso del programa WireShark (antes llamado Ethereal) para examinar paquetes en una red de datos. Analizadores de Protocolos de

Más detalles

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras Tema 5. Topologías de red Seguras Módulo I : Topologías de Red Seguras Introducción Definición de Firewall: Firewall o cortafuegos se denomina al elemento de enlace entre dos tramos de Red. Intranet Internet

Más detalles

Práctica de laboratorio 11.2.2b Listas de acceso extendidas sencillas

Práctica de laboratorio 11.2.2b Listas de acceso extendidas sencillas Práctica de laboratorio 11.2.2b Listas de acceso extendidas sencillas 1-8 CCNA 2: Routers y principios básicos de enrutamiento v 3.1 Práctica de laboratorio 11.2.2b Copyright 2003, Cisco Systems, Inc.

Más detalles

Técnicas y Herramientas de Ataque a Redes TCP/IP

Técnicas y Herramientas de Ataque a Redes TCP/IP Introducción Wireshark,, antes conocido como Ethereal, es un sniffer que se compone de un gran número de utilidades, capaz de analizar múltiples protocolos, de ahí que sea uno de los sniffers más conocidos

Más detalles

HOW TO SOBRE FIREWALL

HOW TO SOBRE FIREWALL HOW TO SOBRE FIREWALL 1- En este how to estaremos estableciendo algunas reglas con el firewall para bloquear el acceso, o permitirlo. Lo primero que haremos es abrir la consola, ubicada en aplicaciones,

Más detalles

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall Software de Comunicaciones Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall Juan Díez-Yanguas Barber Software de Comunicaciones Ingeniería Informática - 5º Curso Jdyb - Mayo 2013 Juan Díez- Yanguas

Más detalles

PRACTICA 3. Monitorización de redes mediante Analyzer Justificación y objetivos. El paquete Analyzer

PRACTICA 3. Monitorización de redes mediante Analyzer Justificación y objetivos. El paquete Analyzer PRACTICA 3 Monitorización de redes mediante Analyzer Justificación y objetivos. La monitorización de redes resulta una herramienta fundamental en dos sentidos. Por un lado, permite apreciar de forma realista

Más detalles

PROXY-NAT PARA USUARIOS ADSL DE TELEFÓNICA

PROXY-NAT PARA USUARIOS ADSL DE TELEFÓNICA PROXY-NAT PARA USUARIOS ADSL DE TELEFÓNICA ÍNDICE Aplicación de Introducción14 configuración y redirección de puertos del Proxy-NAT 2 Instalación del Proxy-NAT 8 3.1 Configuración. 2.1 Bienvenida. 2.2

Más detalles

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico Bloque IV: El nivel de red Tema 10: Enrutamiento IP básico Índice Bloque IV: El nivel de red Tema 10: Enrutamiento IP básico Introducción Tabla de enrutamiento Algoritmo de enrutamiento Direcciones IP

Más detalles

MANUAL DE CONFIGURACIÓN

MANUAL DE CONFIGURACIÓN MANUAL DE CONFIGURACIÓN DrayTek Vigor 3100 Series Ingeniería de Clientes 15/04/2011 1 ÍNDICE 1. Cargar plantilla / Guardar plantilla... 3 2. Acceso Vigor... 4 3. Cambiar usuario PPP... 5 4. Cambiar password

Más detalles

TUTORIAL PARA CREAR UN SERVIDOR FTP

TUTORIAL PARA CREAR UN SERVIDOR FTP TUTORIAL PARA CREAR UN SERVIDOR FTP A continuación ustedes podrán observar y luego implementar el informe que elaboré a fin de que TODOS puedan aprender a montar y mantener su propio Servidor FTP. Comenzaremos

Más detalles

Práctica 2 - PCs en redes de área local Ethernet

Práctica 2 - PCs en redes de área local Ethernet Práctica 2 - PCs en redes de área local Ethernet 1- Objetivos Para probar las configuraciones de redes empleando routers CISCO necesitaremos PCs que colocaremos en las diferentes redes. Por ello en esta

Más detalles

Práctica 7 Network Address Translation en routers Cisco

Práctica 7 Network Address Translation en routers Cisco Práctica 7 Network Address Translation en routers Cisco 1- Objetivos NAT permite que una red IP parezca hacia el exterior que emplea un espacio de direcciones diferente del que en realidad usa. La utilidad

Más detalles

Apartado: Configuración servicios de un servidor PXE. Versión: 3.0 Título: Programa Netcat Fecha: 22/11/07

Apartado: Configuración servicios de un servidor PXE. Versión: 3.0 Título: Programa Netcat Fecha: 22/11/07 *PRÓPOSITO. Netcat (a menudo referida como la navaja multiusos de los hackers o para expertos en seguridad) es una herramienta de red bajo licencia GPL disponible para sistemas UNIX, Microsoft y Apple

Más detalles

Diseño e implementación de un sistema de seguridad perimetral ZENTYAL. Henry Alexander Peñaranda Mora cod 1150111. Byron Falla cod

Diseño e implementación de un sistema de seguridad perimetral ZENTYAL. Henry Alexander Peñaranda Mora cod 1150111. Byron Falla cod Diseño e implementación de un sistema de seguridad perimetral ZENTYAL Henry Alexander Peñaranda Mora cod 1150111 Byron Falla cod Universidad Francisco de Paula Santander Febrero de 2013 Introducción En

Más detalles

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes

IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes IS23 Mantenimiento de Instalaciones Informáticas Práctica 7. Análisis de redes 1 Objetivos Ingeniería Técnica Informática de Sistemas Curso 2003/2004 En la presente sesión se pretende familiarizar al alumno

Más detalles