Tema: Firewall basado en IPTABLES.

Documentos relacionados
Configuración del firewall en Linux con IPtables

Iptables: un cortafuegos TCP/IP

How to 16 Firewall. Jesús Betances Página 1

Rawel E. Luciano B Sistema Operativo III 16- FIREWALL. José Doñe

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

IPTABLES. Esta es una herramienta que permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4.

Son un medio efectivo de protección de sistemas o redes locales contra amenazas de sistemas de redes tales como LAN's WAN s o el InterNet.

Filtrado de paquetes y NAT

FIREWALL IPTABLES. Centro Asociado de Melilla

Cortafuegos (Firewalls) en Linux con iptables

IPTABLES. Gonzalo Alvarez Flores

Conozca sobre el funcionamiento de las IPTables Forward. Aprenda como administrar de mejor forma las IPTables en SO GNU/Linux.

Cortafuegos (Firewalls) en Linux con iptables

Firewall en GNU/Linux netfilter/iptables

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

Ejemplos iptables. Planificación y gestión de redes de ordenadores. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

Iptables, herramienta para controlar el tráfico de un servidor

Cortafuegos y Linux. Iptables

Este firewall trabaja en las cuatro primeras capa del modelo OSI. Los principales comandos de IPtables son los siguientes (argumentos de una orden):

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

PRÁCTICA 5: USO DE CORTAFUEGOS

Firewall. Ahora vamos a inicial con la instalación en nuestro sistema operativo Debian GNU/Linux.

XARXES 2. Seguretat de Xarxa. Módul 2: Carles Mateu Departament d'informàtica i Enginyeria Industrial Universitat de Lleida

IPTables. Roberto Gómez Cárdenas Netfilter/IPTables

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

Charla de redes. Carlos Hernando ACM Facultad de Informática Universidad Politécnica de Madrid

SEGURIDAD EN SISTEMAS INFORMÁTICOS

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

iptables/netfilter Para ver la configuración actual de iptables, podemos usar varias opciones:

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

8. Cortafuegos (Firewall).

Curso de Introducción a la administración de servidores GNU/Linux Centro de Formación Permanente Universidad de Sevilla Abril-Junio 2010

HOW TO SOBRE FIREWALL

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

Sesión 1 Unidad 5 Desarrollo de Software Libre I. IPTABLES (Firewall)

Firewalls & NAT Practices

Introducción al concepto y puesta en marcha de una pared de fuego utilizando IPTables

Sistemas operativos -.- Configuración de Shorewall -.- andresmtzg.wordpress.com

Firewall con IPTABLES

Legacy Priority Queueing. Contenidos. Objetivo específico. Materiales y equipo. Introducción teórica

Guía de Configuración de Firewalls con Scientific Linux 5.0

Charla de redes. Carlos Hernando ACM Facultad de Informática Universidad Politécnica de Madrid

Ejemplo: comando ping para hacer sólo 4 ICMP requests a la dirección : "ping c 4"

Prácticas de laboratorio de Telemática II

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Aprendiendo a usar IPTABLES desde cero.

Configuración de red GNU/Linux

66.69 Criptografía y Seguridad Informática FIREWALL

Switch. Red de cuatro ordenadores interconectados a través de un switch.

John R. Correa Administrador de Seguridad de la Información.

Tema: Configuración de red AD-HOC

Guía de Configuración de Firewalls BarbedWire. Elaborada para la SSA en B.C.S. Marco Antonio Castro Liera

4.4. TCP/IP - Configuración Parte 2 SIRL

Primeros pasos con la imagen de Firewall pfsense

Examen Parcial II de Sistemas Telemáticos para Medios Audiovisuales

Control de acceso a los servicios II: Iptables.

Curso avanzado de GNU/Linux

Creando Túneles mediante SSH Tunneling con PUTTY

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

IPTABLES. FW's de hosts (a veces asociados a Fws personales y/o a servidores). Por Fws de red..

Tema 6. Funciones y protocolos del nivel de red. Ejercicios propuestos (II).

2.0 Práctica 1.- CONFIGURACION DE RUTAS ESTATICAS

IPTables: Filtrado de paquetes en Linux

Aprendizajes esperados

Laboratorio 2 Filtrado de paquetes con Netfilter

Equipamiento ADSL» Inalámbrico. Adaptador USB PAUTAS PARA LA VERIFICACION TCP/IP

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

MANUAL DE CONFIGURACIÓN BÁSICA

Configuración de interfaz en Linux Configuración de interfaz en Cisco Rutas Estáticas Rutas por defecto Pruebas

Redes de Ordenadores

Habilitación del Secure Shell (SSH) en un punto de acceso

Actividad 3.1 Configuración de un servidor DHCP en Windows 2000

Lab 10. CortaFuegos (Firewall) Área de Telemática. Seguridad de la información Universidad de Antioquia

Firewall Firestarter. Establece perímetros confiables.

Prevención Dinámica de Ataques con IPTables.

Internet Firewalls Linux ipchains.

Tema: Seguridad básica en redes inalámbricas.

Administración de servicios Internet Intranet

Configurar y añadir reglas Firewall

2. Diferencias respecto a IPCHAINS

Laboratorio de Redes de Computadores

Creación de un servidor VPN

Seguridad Informática

ÍNDICE SEGURIDAD EN NFS SEGURIDAD EN SAMBA. Ficheros /etc/hosts.deny y /etc/hosts.allow Introducción a iptables Seguridad con iptables

UNIVERSIDAD LUTERANA SALVADOREÑA FACULTAD DE CIENCIAS DEL HOMBRE Y LA NATURALEZA LICENCIATURA EN CIENCIAS DE LA COMPUTACIÓN DOCUMENTO FINAL

Tema: Analizador de tráfico

Configuración de envío de alertas en SIABUC9

Configuración de muestra usando el comando ip nat outside source list

Tema: Configuración inicial Firewall PIX

MANUAL DE CONFIGURACIÓN DEL ADMINISTRADOR DE ANCHO DE BANDA NETENFORCER

Configuración en Microsoft Office Outlook 2010

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos)

Tema: Comportamiento de Redes con Dispositivos L3 (routers)

Tema: Despliegue IPv6.

Práctica de laboratorio Conexión y configuración de hosts

Permite enviar datos desde la IP de origen a la IP de destino a través de la interfaz

Cortafuegos en Linux con iptables

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

Transcripción:

Tema: Firewall basado en IPTABLES. Seguridad en redes. Guía 4 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Contenidos Cadenas INPUT Cadenas OUPUT Objetivos Específicos Configurar un Firewall de Software basado en Linux conocido como IPTABLES. Dar a conocer el filtrado de paquetes. Reconocer los requerimientos de configuración de INPUT, OUTPUT. Materiales y Equipo PC con Linux instalado. Introducción Teórica Iptables es un firewall incluido en el kernel de Linux desde la versión 2.4 que está incluido en el sistema operativo. Es un firewall basado en reglas, su funcionamiento se basa en aplicar reglas que el mismo firewall ejecute. Opciones de comandos de IPtables. Opción Descripción -A Añade la regla comando utilizado para simplemente añadir una regla, las reglas en la cadena no importa. -C Verifica una regla en particular antes de añadirla en la cadena especificada por el usuario. Este comando puede ser de ayuda para construir reglas iptables. -D Borra una regla de una cadena en particular por número. Puede también teclear la regla entera e iptables borrará la regla en la cadena que corresponda. -E Renombra una cadena definida por el usuario. Esto no afecta la estructura de la tabla. -F Libera la cadena seleccionada, que borra cada regla de la cadena. Si no se especifica ninguna cadena, este comando libera cada regla de cada cadena. -h Proporciona un resumen rápido de parámetros de comandos y opciones. -I Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Si no se especifica ningún número, colocará el comando en el tope de la cadena. -L Lista todas las reglas de la cadena especificada tras el comando.

2 Seguridad en redes. Guía 4 -V Muestra información detallada. Esta opción muestra el nombre de la interface, los contadores de Byte/Paquetes. -n Muestra las direcciones IP y los puertos de visualización en formato numérico. --linenumbers Enumera las reglas, según orden de verificación. -N Crea una nueva cadena con un nombre especificado por el usuario. -P Configura la política por defecto para una cadena en particular, de tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir ninguna regla, serán enviados a un objetivo en particular, como puedan ser ACCEPT o DROP. -R Reemplaza una regla en una cadena particular. El número de la regla debe ser especificado después del nombre de la cadena. La primera regla en una cadena corresponde a la regla número uno. -X Borra una cadena especificada por el usuario. No se permite borrar ninguna de las cadenas predefinidas para cualquier tabla. -Z Pone ceros en los contadores de byte y de paquete en todas las cadenas de una tabla en particular. Reglas específicas. Las opciones más comunes son: Tabla 1. Comandos IPtables. Regla Descripción -A Añade una cadena, la opción -i define una interfaz de tráfico entrante -o Define una interfaz para trafico saliente -i Define una interfaz para trafico entrante -j Establece una regla de destino del tráfico, que puede ser ACCEPT, DROP o REJECT. -m Define que se aplica la regla si hay una coincidencia específica --state Define una lista separada por comas de distinto tipos de estados de las conexiones (INVALID, ESTABLISHED, NEW, RELATED). --to-source Define que IP reportar al tráfico externo -s Define tráfico de origen -d Define tráfico de destino --sport Define el puerto o rango de puertos (:) desde el que se origina la conexión --dport Define el puerto rango de puertos (:) hacia el que se dirige la conexión -t Tabla a utilizar, pueden ser nat, filter, mangle o raw. -p Define el tipo de protocolo Tabla 2. Opciones de Regla. Procedimiento 1. En Ubuntu, abra una terminal de comandos (ctrl + alt + T) y pase al modo root (se solicitara la contraseña del sistema: 123456).

Seguridad en redes. Guía 4 3 redes@labredes: $sudo -i 2. Verifique que su computadora pertenezca a la red 10.0.17.0/24 utilizando el comando ifconfig. 3. Solicite a dos de sus compañeros su dirección IP y su dirección MAC, sus compañeros los nombraremos Cliente 1 (C1) y Cliente 2 (C2). IPC1: IPC2: Dirección IP MACC1: MACC2: Dirección MAC 4. Realice pruebas de conexión con sus compañeros, utilizando la herramienta ping. Parte I. Cadenas INPUT 1. En la terminal, verifique el estado del firewall con el siguiente comando. root@labredes:~# iptables L -n -v Observe la información de las cadenas INPUT, OUPUT y FORWARD. EJERCICIO 1: Permitiremos el ping al usuario cliente 1 y bloquearemos ping al usuario cliente2. 5. Implementamos las reglas necesarias para el ejercicio. Deberá reemplazar los nombres IPC1 e IPC2 por las correspondientes IP. a. Permitir el ping a la IP de la Cliente 1. root@labredes:~# iptables -t filter -A INPUT -s IPC1 -p icmp -j ACCEPT b. Denegar el ping a la IP de la Cliente 2. root@labredes:~# iptables -t filter -A INPUT -s IPC2 -p icmp -j DROP c. Ver las políticas creadas. Observe el dato de cantidad de paquetes pkts root@labredes:~# iptables -L -n -v d. Realizar pruebas. Utilice el comando ping -c 10 <IP> Ping desde Cliente 1 a su firewall, en este caso debería de ser exitoso.

4 Seguridad en redes. Guía 4 Ping desde Cliente 2 a su firewall, en este caso debería de ser fallido. 6. Verifique el estado del firewall, nuevamente observe el parámetro de paquetes pkts. 7. Agregue una tercera regla, esta vez para Cliente 1, cambie la acción ACCEPT por REJECT (rechazar). Observe las reglas creadas. root@labredes:~# iptables -t filter -A INPUT -s IPC1 -p icmp -j REJECT 8. Realice nuevamente ping desde Cliente 1 a su firewall. Analice el por qué aún es exitoso el ping. 9. Ahora elimine la regla número 1 y compruebe su eliminación. root@labredes:~# iptables -D INPUT 1 10. Realice nuevamente ping desde Cliente 1 a su firewall, esta vez deberá de ser rechazado. 11. Si usted quiere insertar una regla a una posición en específico deberá realizar lo siguiente: root@labredes:~# iptables -I INPUT 1 -s IPC1 -p icmp -j ACCEPT Nota: Se ha agregado la regla a la posición 1, por lo que el ping deberá ser exitoso nuevamente. 12. Dar un flush para eliminar todas las políticas existentes creadas en el ejercicio anterior. 13. Tenga en cuenta, que por defecto la acción es ACCEPT para todo aquello que no esté especificada en una regla (figura 1). Figura 1. Acciones por defecto. Si usted quiere cambiar la acción por defecto lo pude hacer con el siguiente comando:

Seguridad en redes. Guía 4 5 root@labredes:~# iptables -P INPUT DROP Para no entorpecer a usted y a sus compañeros, la acción por defecto se deberá de dejar en ACCEPT. EJERCICIO 2: Establecer la administración del firewall vía SSH, donde solo el Cliente 2 podrá acceder por SSH y todo lo demás de la red denegarlo. 14. Comprobar que tanto Cliente 1 y Cliente 2 pueden acceder vía SSH a su firewall root@labredes:~# ssh redes@<ipfirewall> 15. No olvide cerrar la conexión ssh en los clientes. a. Permitir conexión ssh a Cliente 2. root@labredes:~# iptables -t filter -A INPUT -s IPC2 -d IP_FIREWALL -p tcp --dport 22 -j ACCEPT b. Denegar todo lo demás de la red al puerto 22. root@labredes:~# iptables -t filter -A INPUT -d IP_FIREWALL -p tcp --dport 22 -j DROP 16. Ver las políticas creadas. 17. Realice las pruebas necesarias para comprobar el funcionamiento de las reglas creadas. 18. Si en el caso que nuestro firewall tuviera varias interfaces, tendríamos que especificar la interface donde queremos permitir la conexión SSH, por ejemplo escriba. root@labredes:~# iptables -t filter -A INPUT -i eth0 -s IPC2 -d IP_FIREWALL -p tcp -- dport 22 -j ACCEPT 19. Una buena medida de seguridad es bloquear y prevenir ataques de DDoS a nuestro firewall por el puerto 80. root@labredes:~# iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute limit-burst 100 -j ACCEPT 20. Rechacemos el tráfico restante de entrada. root@labredes:~# iptables -t filter -A INPUT -j REJECT 21. Ver las políticas creadas.

6 Seguridad en redes. Guía 4 22. Ahora anexaremos una regla a la cadena en la posición X, que permita la conexión SSH desde Cliente 1 IPC1 por medio de su MAC MACC1, analice la posición X donde deberemos colocar nuestra regla para que funcione correctamente root@labredes:~# iptables -I INPUT X -d IP_FIREWALL -m mac --mac-source MACC1 -p tcp --dport 22 -j ACCEPT 23. Compruebe el funcionamiento de la regla anterior. Deberá tener acceso SSH solamente con la PC cuya MAC se configuro en la regla. Parte II. Cadenas OUTPUT Ejercicio 1: Configurar la máquina de tal manera que no pueda tener acceso a navegar por internet. 1. Dar un flush para eliminar todas las políticas existentes creadas en el ejercicio anterior. 2. Corrobore que tiene acceso a internet. 3. Bloquear la navegación web desde su máquina, para eso como se está usando el puerto 80 de la universidad, seria bloquear ese puerto desde nuestra máquina. root@labredes:~# iptables -t filter -A OUTPUT -s IP_FIREWALL -p tcp --dport 80 -j DROP 4. Verificar la política. 5. Realizar pruebas de navegación, como resultado tiene que denegar el tráfico web. 6. Dar un flush para eliminar todas las políticas existentes creadas. 7. Realizar pruebas de navegación a internet, como resultado tiene que permitir nuevamente el tráfico web. Ejercicio 2: denegar el acceso a páginas web específicas: www.facebook.com y www.udb.edu.sv 1. Verifique que pueda acceder a las páginas mencionadas. 2. Bloquee las páginas: root@labredes:~# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP root@labredes:~# iptables -A OUTPUT -p tcp -d www.udb.edu.sv -j DROP

Seguridad en redes. Guía 4 7 3. Realice las pruebas necesarias para verificar el funcionamiento de las reglas. Trate de acceder a las páginas bloqueadas y a otros sitios. Ejercicio 3: No permita ping desde cualquier origen hacia su firewall, pero desde su firewall podrá realizar ping (por ejemplo ping hacia 10.0.17.1, 168.243.3.3 e internet) siempre y cuando la dirección IP de su Firewall este en el rango 10.0.17.11/24 10.0.17.30/24. root@labredes:~# iptables -A INPUT -m iprange --dst-range 10.0.17.11-10.0.17.30 -p icmp --icmp-type echo-reply j ACCEPT root@labredes:~# iptables -A INPUT -s 0.0.0.0/0 -d IPFirewall -p icmp -j DROP Para las pruebas de funcionamiento deberá de solicitar que sus compañeros le realicen ping a su firewall, estas pruebas debe ser no exitosas por estar denegadas. Desde su firewall realice ping hacia las direcciones descritas anteriormente, realice la prueba con una IP de su firewall fuera del rango de IP (debe de ser no exitosa) y otra prueba dentro del rango (debe ser exitosa). Para especificar rangos de IP de origen puede ser utilizado la opción --scr-range

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback