Informe Final Experiencia 2 Configuración de Firewall, Router y Gateway Laboratorio de Integración Tecnológica Primer Semestre de 2005 Nombre: Víctor A. Peña y Lillo Zumelzu Rol: 2273001-0 Bloque: Viernes 9-12 Evaluación Desarrollo Experiencia (20 %): Conclusión (70 %): Ortografía y redacción (10 %): Nota Final: Resumen El presente informe contiene lo desarrollado en la experiencia número 2 del laboratorio del ramo Redes de Computadores. Consta de dos partes, en la primera de ellas se configuró de forma alámbrica un servidor y un cliente, y en la segunda parte, la comunicación se hizo a través de un router inalámbrico. 1. Introducción Muy a menudo se habla del importante papel que juegan las redes de computadores dentro de las organizaciones. Sin embargo es poco o nada lo que se conoce acerca de ellas, y es por eso que el trabajo de esta experiencia está enfocado a entender y conocer la configuración básica de una red alámbrica e inalámbrica, y conceptos fundamentales tales como ruteo, filtrado, enmascaramiento y redireccionamiento de paquetes. 1
2. Desarrollo de la Experiencia (20 %) /20 2.1. Parte Alámbrica Lo primero que se hizo fue configurar las respectivas tarjetas. En el servidor (computador que poseía 2 tarjetas de red) se editó el archivo /etc/network/interfaces de la siguiente manera: iface eth0 inet static address 10.0.0.157 netmask 255.0.0.0 gateway 10.0.0.18 auto eth1 iface eth1 inet static address 192.168.0.1 netmask 255.255.255.0 La interfaz eth0 corresponde a la interfaz externa, la que se conecta a la red del laboratorio mediante el gateway 10.0.0.18. La interfaz eth1 corresponde a la interfaz interna, es decir la que se comunica con el cliente. Se comprobó que la tabla de rutas estaba correcta a través del comando route, y se inició el servicio de red mediante /etc/init.d/networking start. Por su parte, en el computador cliente se editó el archivo /etc/network/interfaces de la siguiente forma: iface eth0 inet static address 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.1 Esta interfaz eth0 tiene como gateway (el computador que le da acceso a internet) al servidor anteriormente configurado. Se inicia el servicio de red mediante /etc/init.d/networking start. Posteriormente, en el servidor se editó de forma permanente el archivo /etc/network/options, seteando ip forward=yes. Esto permite que el servidor pueda reenviar paquetes IP desde y hacia sus clientes. Luego se realizó el enmascaramiento con el comando iptables -t nat -A -POSTROUTING -j SNAT --to-source 10.0.0.157 Esto sirve para que todos los paquetes que se envían desde la red interna, al momento de salir al exterior saldrán con la IP del gateway de la red, en este caso el servidor. 2
A continuación se hizo la parte del fitrado de paquetes. Primero se filtró de tal forma que no se pudiera ingresar por el puerto 22 del servidor (SSH). Se hizo con la cadena iptables -A INPUT -p tcp -i eth0 --dport 22 -j REJECT haciendo que se mandara un mensaje de error cuando un PC externo quería conectarse a ssh. Lo siguiente fue hacer que sólo se pudiese conectar al servidor por el puerto 22, y que no dejara el paso por ningún otro puerto. Primero se cambió la política de la cadena INPUT a DROP mediante iptables -P INPUT DROP Luego se eliminó la cadena para el puerto 22 con el siguiente comando: iptables -D INPUT -s 10.0.0.0/8 -p tcp --dport 22 -j REJECT y se agregó nuevamente, pero ahora permitiendo el paso por el puerto 22: iptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 22 -j ACCEPT Para que el cliente no acepte paquetes por el puerto 80, en el servidor se ingresó la siguiente regla: iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j REJECT Finalmente, en la parte de redireccionamiento, se configuró el firewall de manera que las peticiones del servicio ssh que llegan al servidor fuesen atendidas por el servicio ssh del cliente, al agregar la siguiente cadena en la tabla NAT: iptables -t nat -A PREROUTING -d 10.0.0.157 -p tcp --dport 22 -j DNAT --to-destination 192.168.0.2:22 2.2. Parte Inalámbrica En esta parte de la experiencia se trabajó conjuntamente con el grupo conformado por Cristofer Reyes y Alan Coloma, debido a que a ellos les hacía falta el router. Lo primero que se hizo fue conectar el cable del router al PC servidor. En este computador se editó el archivo /etc/network/interfaces de manera que reciba una IP por DHCP por parte del router: iface eth0 inet dhcp y se inició la red a través de /etc/init.d/networking restart. 3
A continuación se abrió un navegador y se ingresó la dirección http://192.168.1.1 con password admin y sin nombre de usuario. Luego, en la sección Setup de esta página web, se estableció la dirección IP, la máscara de subred, las direcciones de los servidores DNS, el SSID y CHANNEL. Hasta acá todo fue bien, hasta que llegó el momento de configurar el cliente, PC donde no se encontraron los drivers de la tarjeta inalámbrica PCI. En este punto de la experiencia todos los grupos que trabajaban tuvieron problemas, por lo que a petición de uno de los ayudantes (Félix) se dejó de trabajar y comenzó a explicar como debiese haber funcionado esta parte inalámbrica de la experiencia. 3. Conclusión (70 %) /70 De la experiencia, que le puede servir para el desarrollo del proyecto. Fue muy importante aprender la estructura de las redes tanto externa como interna, de manera que para el proyecto se puedan configurar los computadores que requieran salida a internet mediante un gateway y la configuración de los computadores que deben estar conectados de forma interna (aislados de las otras redes). También se aprendieron nociones básicas de seguridad en las redes, a través del proceso de filtrado de paquetes y la configuración del o los firewalls. De lo aprendido, que le puede servir en el futuro. Lo aprendido en esta experiencia es realmente fundamental, debido a la importancia que toman las redes hoy en día, y la seguridad juega un rol vital para proteger información valiosa en cualquier organización. Debido a que en la gran mayoría de las organizaciones actuales existen redes de computadores, considero indispensable conocer como están construidas las redes, la forma en que los clientes se conectan al servidor, cosas básicas como que la conexión a internet se realiza a través de un computador denominado gateway, y lógicamente, tener conocimiento de las distintas formas en las que pueden filtrarse los paquetes que circulan por una red, para efectos de seguridad y monitoreo. También quisiera agregar que el buen diseño de una red puede jugar un papel crucial en una organización, porque permite aumentar la eficiencia y reducir los costos haciendo un manejo adecuado de la información, agregándole valor al negocio. Diferencias principales entre redes cableadas e inalámbricas (características, desempeño, utilidad, seguridad, entre otras). Dentro de las grandes ventajas que se pueden encontrar en las redes inalámbricas, destacan su flexibilidad, ya que permiten llegar donde el cable no puede, la movilidad, ya que entrega información en tiempo real en 4
cualquier parte de una organización para cualquier usuario de la red, es escalable, ya que cualquier host nuevo en la red no requiere gasto en links, y además es de fácil instalación, porque no se necesita hacer perforaciones en paredes ni nada de ese estilo. Uno de los principales usos que se les da a las redes inalámbricas es como extensión a la redes alámbricas, para que un usuario final haga uso de ella. Se ven comúmmente en corporaciones, hospitales, universidades y en los hoy tan de moda hot spots. Ahora, con respecto a las redes alámbricas o cableadas, hay que destacar que éstas tienen la gran ventaja de que su velocidad de transmisión es mucho mayor que la de las redes inalámbricas (2 Mbps en tecnología Wireless, 10 Mbps en tecnología Ethernet). La seguridad también se hace mucho más latente en las redes cableadas, teniendo ventaja por sobre las redes inalámbricas, ya que en éstas últimas, la transmisión de datos se produce a través del aire, siendo mucho más fácil interceptar estas redes, con los consiguientes problemas de seguridad que esto implica. Problemas que se presentaron y como lo solucionaron. El principal problema que se presentó fue en la parte inalámbrica de la experiencia, debido a que en primer lugar, hizo falta un router para un equipo de trabajo, por lo que se tuvo que compartir el router disponible con ellos. Luego, no se pudo configurar la tarjeta PCI wireless del servidor, ya que el módulo 8211.o no estaba. Cabe destacar que se presentaron problemas parecidos en todos los equipos del bloque, así que ninguno pudo completar la parte 2 de la experiencia, por lo que a petición de uno de los ayudantes (Félix) se dejó de trabajar y comenzó a explicar como debiese haber funcionado la parte inalámbrica de la experiencia. Referencias Algunos enlaces de interés: http://www.arrakis.es/ sergilda/wlan/quees.html http://www.monografias.com/trabajos/redesinalam/redesinalam.shtml 5