Charla de redes. Carlos Hernando chernando@acm.org. ACM Facultad de Informática Universidad Politécnica de Madrid

Documentos relacionados
Charla de redes. Carlos Hernando ACM Facultad de Informática Universidad Politécnica de Madrid

IPTABLES. Gonzalo Alvarez Flores

Cortafuegos (Firewalls) en Linux con iptables

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

Iptables, herramienta para controlar el tráfico de un servidor

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

Firewall en GNU/Linux netfilter/iptables

Cortafuegos y Linux. Iptables

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

Cortafuegos (Firewalls) en Linux con iptables

Filtrado de paquetes y NAT

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

8. Cortafuegos (Firewall).

66.69 Criptografía y Seguridad Informática FIREWALL

Configuración del firewall en Linux con IPtables

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

PRÁCTICA 5: USO DE CORTAFUEGOS

Prácticas de laboratorio de Telemática II

Iptables: un cortafuegos TCP/IP

Examen Parcial II de Sistemas Telemáticos para Medios Audiovisuales

Julio Gómez López Universidad de Almería

SEGURIDAD EN SISTEMAS INFORMÁTICOS

Cortafuegos en Linux con iptables

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

IPTables: Filtrado de paquetes en Linux

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Curso avanzado de GNU/Linux

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos)

HOW TO SOBRE FIREWALL

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

Curso de Introducción a la administración de servidores GNU/Linux Centro de Formación Permanente Universidad de Sevilla Abril-Junio 2010

Firewalls de Internet. Ricardo D. Pantazis

Alta Disponibilidad de Cortafuegos en Linux. Pablo Neira Ayuso Proyecto Netfilter Universidad de Sevilla

2. Diferencias respecto a IPCHAINS

Hacking Ético. Módulo II Fase 2: Técnicas activas de obtención de información: Escaneo

Introducción. Permiso predeterminado: Denegación predeterminada: Administración y Gestión de Redes 1

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

Tema 6. Funciones y protocolos del nivel de red. Ejercicios propuestos (II).

Redes I Soluciones de la Práctica 1: /etc/network/interfaces, tcpdump y wireshark

Introducción al concepto y puesta en marcha de una pared de fuego utilizando IPTables

XARXES 2. Seguretat de Xarxa. Módul 2: Carles Mateu Departament d'informàtica i Enginyeria Industrial Universitat de Lleida

Seguridad y Alta Disponibilidad

Seguridad y Alta Disponibilidad

Contenidos. Introducción. Seguridad y Alta Disponibilidad Instalación y configuración de cortafuegos. Introducción Tipos de cortafuegos.

La herramienta nmap. Nmap. Roberto Gómez Cárdenas La herramienta nmap. Dr.

Laboratorio 2 Filtrado de paquetes con Netfilter

Administración de servicios Internet Intranet

Software de Comunicaciones. Práctica 9 - Filtrado de Paquetes. IPTables y Shorewall

Seguridad Informática

HERRAMIENTA PARA EL MAPEO DE LA RED

Ejemplos iptables. Planificación y gestión de redes de ordenadores. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012

Certified Offensive and Defensive Security Professional - Entrenamiento E-learning - 3-SCANNING.

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Lab 10. CortaFuegos (Firewall) Área de Telemática. Seguridad de la información Universidad de Antioquia

Informe Final Experiencia 2 Configuración de Firewall, Router y Gateway

IPTABLES Manual práctico

Seguridad y Configuración de Redes de Computadoras con GNU/Linux

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

Universidad Autónoma de Nuevo León Facultad de Ciencias Físico Matemáticas. Laboratorio de Seguridad en aplicaciones web

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

IPTABLES Manual práctico

NMap TÉCNICAS DESCUBRIMIENTO DE EQUIPOS. LIST SCAN (-sl)

Aprendiendo a usar IPTABLES desde cero.

UNIVERSIDAD DE ALCALÁ - DEPARTAMENTO DE AUTOMÁTICA Área de Ingeniería Telemática LABORATORIO DE COMUNICACIÓN DE DATOS (CURSO 2011/2012)

Configurar NAT Windows 2003

Configuración de nodos wireless (3)

Internet Firewalls Linux ipchains.

IPTables. Roberto Gómez Cárdenas Netfilter/IPTables

miércoles 7 de septiembre de 2011 Protección perimetral

Tema: Firewall basado en IPTABLES.

Instalar Firewall en Linux Server con Shorewall

Prevención Dinámica de Ataques con IPTables.

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Son un medio efectivo de protección de sistemas o redes locales contra amenazas de sistemas de redes tales como LAN's WAN s o el InterNet.

TEMA 5 SISTEMA/ ADMINISTRACIÓN AUTORIZACIÓN.

SISTEMA OPERATIVO GNU/LINUX AVANZADO II JOSE ARRIETA NARVAEZ GUSTAVO CARO JESUS GARCIA NILXON VUELVAS TALLER FIREWALL ING.

Aclaramos que en versiones anteriores al kernal 2.4.* se llamaba ipchain, pero a partir de esta versión se cambió a Iptables, mucho más potente.

Enrutamiento y filtrado

Redes de área local Aplicaciones y Servicios Linux Enrutamiento

Montaje de una red doméstica

Parte III Implementación

Instituto Tecnológico Las Américas (ITLA) Sistemas Operativos 3 (SO3) Daniel Alejandro Moreno Martínez. Matrícula:

Arquitectura de Redes y Sistemas de Telecomunicación

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

Firewalls, IPtables y Netfilter

Práctica 5: Listas de acceso estándar y extendidas

SERVICIOS. UF 1- Servidor DHCP

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas

Instalación de shorewall.

Control de acceso a los servicios II: Iptables.

Guia de aprendizaje de IPTables/NetFilter

Laboratorio 2 Introducción al DNS (Domain Name System)

Configurar un router-firewall utilizando los simuladores correspondientes:

Redes (IS20) Ingeniería Técnica en Informática de Sistemas. CAPÍTULO 8: El nivel de transporte en Internet

Aprendizajes esperados

Router Teldat. Protocolo ARP e InARP

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Introducción. Qué es iptables?

Transcripción:

Charla de redes Administración de redes sobre GNU/Linux Carlos Hernando chernando@acm.org ACM Facultad de Informática Universidad Politécnica de Madrid 19 de noviembre de 2007 Noviembre Linuxero 07 C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 1 / 23

Contenido 1 Netfilter Conceptos generales Filtros NAT 2 Herramientas netstat netcat nmap C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 2 / 23

Motivación Queremos conseguir: Control Determinar el comportamiento de nuestro sistema. Seguridad Proteger nuestra red. Vigilancia Saber lo que pasa. Lo aplicamos en: Máquinas solitarias. Encaminadores de redes locales. En DMZs.... Exige un conocimiento profundo de nuestra red y sus servicios. C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 4 / 23

Conceptos generales Recorrido de un paquete Incoming / \ Outgoing -->[Routing ]---> FORWARD -------> [Decision] \ / ˆ v / \ / \ OUTPUT INPUT \ / \ / ˆ ----> Local Process ----- C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 5 / 23

Conceptos generales (2) Targets (Objetivos) Acción a realizar con un paquete: ACCEPT Aceptar el paquete. DROP Ignorar el paquete. REJECT Rechazar el paquete (icmp: port unreachable). LOG Registrar el paquete. cadena Enviar a otra cadena (definida por nosotros). RETURN Volver a la cadena anterior.... C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 6 / 23

Conceptos generales (y 3) Trabajando con Netfilter Trabajamos sobre cadenas. INPUT, OUTPUT, FORWARD... Herramientas (zona de usuario): iptables Programa principal de gestión de filtros. iptables-save Guarda la tabla de filtros actual. iptables-restore Carga una tabla de filtros. C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 7 / 23

Lo más básico Manejo de chains Operaciones sobre cadenas: Example -N Crear una nueva cadena. -X Borrar una cadena (sin reglas). -P Definir política por defecto (cadenas base). -L Listar reglas asignadas a cadena cadena. -F Limpiar la cadena. -Z Reiniciar contadores. iptables -N sospechoso iptables -P FORWARD DROP C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 8 / 23

Lo más básico (y 2) Manejo de rules Sintaxis iptables comando cadena filtros accion Example -A Añadir una regla (al final de la cadena). -D Borrar una regla. -I Insertar una regla en una posición. -R Remplazar una regla por otra. iptables -A sospechoso -j DROP C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 9 / 23

Consejo Hay que tener en cuenta: Las reglas se aplican de forma consecutiva hasta que se cumple una especificación: el orden influye. La aplicación de una regla es inmediata. Si enviamos un paquete a una cadena en la que no se determina si se acepta o se rechaza el paquete vuelve a la cadena de origen. Ojo con no pillarse los dedos! C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 10 / 23

Especificación básica Example -s Origen -s 192.168.0.0/24 -d Destino -d! 192.168.0.0/255.255.255.0 -p Protocolo -p icmp -i Interfaz de origen (in-interface INPUT) -i eth0 -o Interfaz de salida (out-interface OUTPUT) -o ppp+ iptables -A INPUT -i eth0 -d 10.0.0.0/24 -j DROP iptables -A OUTPUT -o eth1 -p icmp -d!192.168.0.1 -j DROP C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 11 / 23

Jugando con TCP sport Puerto de origen. dport Puerto de destino. tcp-flags Flags del paquete: SYN, ACK, FIN, RST, URG, PSH, NONE, ALL Example syn Equivale a: SYN,RST,ACK SYN. iptables -A INPUT -p tcp dport 22 -j ACCEPT iptables -P INPUT DROP C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 12 / 23

Otras extensiones Cargados simplemente con -p protocol: udp: sport, dport. icmp: icmp-type: icmp-type echo-request. Necesitan -m modulo: state: state NEW, ESTABLISHED, RELATED, INVALID. mac: mac-source. limit: limit 1/s. owner: uid-owner, gid-owner, pid-owner. Example iptables -A INPUT -m mac mac-source 00:00:00:11:22:33 -j DROP iptables -A OUTPUT -m owner! uid-owner 1001 -j DROP C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 13 / 23

Plantilla base Una buena base *filter :INPUT DROP :FORWARD DROP :OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state state RELATED,ESTABLISHED -j ACCEPT COMMIT C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 14 / 23

NAT SNAT y DNAT Situación Utilizar una ip externa para toda una red interna. Hacer uso de un proxy transparente. Acciones Enmascarar nuestra red. Enviar los paquetes al proxy. Necesitamos modificar paquetes utilizamos otras tablas. C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 15 / 23

POSTROUTING SNAT Queremos enmascar nuestra red interna. Utilizamos el objetivo MASQUERADE. Automáticamente se encargará de gestionar las conexiones. Example iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth1 -j ACCEPT echo 1 > /proc/sys/net/ipv4/ip forward C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 16 / 23

PREROUTING DNAT Queremos enviar transparentemente un servicio a un proxy, por ejemplo el tráfico web. Modificamos los paquetes nada más llegar al interfaz de red. Utilizamos el objetivo DNAT Example iptables -t nat -A PREROUTING -i eth1 -p tcp dport 80 -j DNAT to 192.168.0.1:8080 iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT to 192.168.0.10:80 C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 17 / 23

netstat Visualizando la red 1 Protocolo 2 Estado t TCP u UDP l Solamente en escucha. a Todos. 3 Sin resolución de nombres: -n. 4 Programa asociado: -p. Example netstat -putan C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 19 / 23

netcat La navaja suiza Conexiones de red de forma rápida y fácil. Sintaxis nc OPCIONES DESTINO PUERTO Destino nc -l -p 4000 tar zxv Origen tar zcv home nc -q 0 destino 4000 -l Quedarse a la escucha. -p Escuchar en un puerto concreto. -q Esperar después de un EOF. C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 20 / 23

netcat (y 2) Ejemplos Replicar una partición: dd if=/dev/hda2 nc destino puerto nc -l -p puerto dd of=/dev/hda2 Enviar datos entre varios: entrada nc destino1 puerto1 nc -l -p puerto1 nc destino2 puerto2 nc -l -p puerton salida Interprete de comandos: nc -l -p puerto -e /bin/sh Interprete de comandos inverso: nc -l -p puerto nc -e /bin/sh destino puerto C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 21 / 23

nmap El escaneador de puertos Opciones de escaneador: -sp Busqueda de máquinas mediante PING. -su Servicios UDP. -st Establecer una conexión completa. -ss Establece solamente un SYN. -sf,-sx,-sn Conexiones FIN, Xmas y NULL. -sv Descubrir versiones. Puertos: Rango de puertos: -p N-M,X Puertos en /etc/services: -F Identificar sistema operativo: -O Tiempo entre paquetes: -T [0-5] C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 22 / 23

Resumen Conocimientos adquiridos: Conceptos del manejo de paquetes de Netfilter. Manejo básico de iptables. Uso de las herramientas de redes (netstat, netcat...). Otras herramientas interesantes: Nessus: http://www.nessus.org/ Snort: http://www.snort.org/ tcpdump: http://www.tcpdump.org/ ethereal: http://www.ethereal.com/ Kismet: http://www.kismetwireless.net/ hping: http://www.hping.org/ ettercap: http://ettercap.sourceforge.net/ C. Hernando (ACM FI - UPM) Admin. Redes Noviembre 2007 23 / 23

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback