Firewalls & NAT Practices

Documentos relacionados
Prácticas de laboratorio de Telemática II

Actividad de PT 5.2.8: Configuración de las ACL estándar Diagrama de topología

Práctica de laboratorio Conexión y configuración de hosts

Filtrado de paquetes y NAT

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

Guía para comenzar de Bomgar B400

PRÁCTICA 5 PC linux como router

Práctica de laboratorio Configuracion de listas de acceso con registro de sucesos Página 1 de 6

Laboratorio 2.6.1: Orientación de topología y creación de una red pequeña

Cortafuegos y Linux. Iptables

Guía del dispositivo de Bomgar B200 TM. Índice. BOMGAR BASE 3 Guía del dispositivo B200

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

Comandos TCP-IP para Windows

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

Equipamiento ADSL» Inalámbrico. Adaptador USB PAUTAS PARA LA VERIFICACION TCP/IP

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Práctica 2: Uso de Ping y Tracert Página 1 de 5

FRANCISCO BELDA DIAZ Cisco Networking Academy' I Mind Wide Operf

Nota: El protocolo ICMP está definido en la RFC 792 (en inglés, en español) Área de datos del datagrama IP. Área de datos de la trama

Práctica 4 - Network Address Translation (NAT)

Redes de Computadoras Septiembre de Teoría y problemas (75 %).

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Iptables, herramienta para controlar el tráfico de un servidor

8. Cortafuegos (Firewall).

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

CONFIGURACIÓN DE FIREWALL EN CLOUD DATACENTER

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

Práctica de laboratorio 9.6.2: Práctica de laboratorio de reto de configuración de EIGRP

INSTALACIÓN Y CONFIGURACIÓN DNS PRIMARIO MEDIANTE WEBMIN

PROTOCOLO DE INTERNET VERSIÓN 6

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Práctica de laboratorio Propagación de las rutas por defecto en un dominio OSPF

Configuración del firewall en Linux con IPtables

Soluciones inalámbricas. Guía rápida para configurar un enlace con equipos ENS500 en modo WDS Bridge

ADMINISTRACIÓN DE SERVIDORES BAJO WINDOWS 2012 MS20410: Instalando y Configurando Windows Server 2012

Lab 10. CortaFuegos (Firewall) Área de Telemática. Seguridad de la información Universidad de Antioquia

Introducción a las redes TCP/IP en Linux

configuración de tu equipo. Rellena la siguiente tabla y contesta a las siguientes preguntas:

Cortafuegos (Firewalls) en Linux con iptables

Parallels Plesk Panel. Módulo de firewall para Parallels Plesk Panel 10 para Linux/Unix. Guía del administrador

Router Teldat. Facilidad NAPT

Guía de Usuario para la Conexión al Servicio VPN

Configuración simultánea de NAT estático y dinámico

Práctica 7 Network Address Translation en routers Cisco

Configurar NAT Windows 2003

12. Pruebas Realizadas

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

Lo guardamos como prog.c, lo compilamos y lo ejecutamos en la máquina tlm14 obteniendo el siguiente resultado:

PARTE IV. Uso de shorewall. Shorewall Configuración de Shorewall

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

Práctica 5: Listas de acceso estándar y extendidas

Configurar las alertas del correo electrónico en el Cisco VPN 3000 Concentrator

Packet Tracer: uso de traceroute para detectar la red

OfficeConnect Remote 812 ADSL Router Aspecto externo (Frontal)

Práctica 4 - PC como router IP

Práctica de laboratorio 7.5.2: Reto de configuración de RIPv2

Redes I Soluciones de la Práctica 1: /etc/network/interfaces, tcpdump y wireshark

Práctica 8: El analizador de protocolos Ethereal

Sistemas Operativos. Sesión 2: Enrutamiento estático

Práctica 2. Montaje de Redes Locales. Parte III

Redes de Computadores II

Práctica de laboratorio 4.2.5a Pruebas de conectividad Ping

Práctica de laboratorio 1.3.2: Revisión de los conceptos de Exploration 1: Reto

Lista de Control de Acceso (ACL) LOGO

El Modelo. Aplicación. Presentación. Sesión. Transporte. Red. Enlace. Físico

- ENetwork Chapter 6 - CCNA Exploration: Network Fundamentals (Versión 4.0)

Práctica 3: Capa de Red IPv6

Laboratorio 2: Instalando Sistema Operativo en Maquina Virtual

Manual técnico router. Inteno DG200A-AC

REDES DE COMPUTADORES Convocatoria de Febrero 2005

SISTEMA AUTONOMO CON PATROL IP Manual de Usuario VERSION 1.0 PRELIMINAR

Práctica 10 - Network Address Translation (NAT)

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

REDES DE COMPUTADORES Laboratorio

P2: Configuración Básica de Redes IP con Equipos TELDAT

Diseño e implementación de un sistema de seguridad perimetral ZENTYAL. Henry Alexander Peñaranda Mora cod Byron Falla cod

HOWTO: Cómo configurar SNAT

Laboratorio 3 Capa de Transporte (TCP)

Agenda, continuación

Práctica de laboratorio 1.3.2: Revisión de los conceptos de Exploration 1: Desafío

Práctica de laboratorio 8.3.5: Configuración y verificación de ACL nombradas y extendidas

Configurar un router-firewall utilizando los simuladores correspondientes:

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Cómo usar VNC y RDP a través de SSL VPN

Comandos MS-DOS PING (Packet Internet Grouper). Ping -t: Ping -a: Ping -l:

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

SAE en mi propia nube Paso a paso

Preguntas repaso UF1

Práctica de laboratorio b Listas de acceso extendidas sencillas

VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

Laboratorio de Fundamentos de Telemática 1º I. T. Telecomunicación, especialidad Telemática

ARQUITECTURA DE REDES, SISTEMAS Y SERVICIOS

Tema: Configuración inicial Firewall PIX

Laboratorio Redes 1. ITESM Configuración de Router

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Ejercicios para Cisco Packet Tracer

TEMA 7: SERVIDOR PROXY-CACHÉ

Transcripción:

Jose L. Muñoz, Juanjo Alins, Oscar Esparza, Jorge Mata Transport Control i Gestió a Internet (TCGI) Universitat Politècnica de Catalunya (UPC) Dp. Enginyeria Telemàtica (ENTEL) Firewalls & NAT Practices

Contents 0.1 Prácticas.................................................. 3 0.1 Prácticas test 10.0.4.2 Rter 192.168.3.1 Net5 10.0.1.0/24 10.0.1.2 Net6 192.168.3.0/24 192.168.3.15 host3 10.0.1.1 Internet dns www Rvic 10.0.3.1 Net3 10.0.3.0/24 10.0.3.2 192.168.2.1 10.0.2.1 host2 192.168.2.21 Net0 10.0.2.0/24 10.0.2.2 Rbcn 172.16.1.1 172.16.1.5 172.16.1.2 Net1 172.16.1.0/24 172.16.1.3 Rint 192.168.1.1 192.168.1.7 host1 Net2 192.168.1.0/24 Net4 192.168.2.0/24 Figure 1: Escenario fwnat network Exercise1 El objetivo de este ejercicio es que se familiarice con los conceptos básicos de filtrado de paquetes. Para la realización de este ejercicio se utilizará el esquema de red mostrado en la figura 1. En primer lugar pondremos en marcha la simulación utilizando el comando: host$ simctl fwnat start Una vez que la simulación haya arrancado, se debe autoconfigurar la máquinas de las redes Net0, Net1 y Net2 ejecutando en el host de virtualización los siguientes comandos: Para la configuración de los interfaces de red ejecute

host$ simctl fwnat exec ifcfg Para la configuración de las rutas de encaminamiento indirectas ejecute: host$ simctl fwnat exec routecfg Verifique como han quedado configuradas las máquinas Rbcn, www, Rint y host1 después de ejecutar los comandos anteriores. A continuación se realizarán diversas configuraciones de filtrado. 1. Configure las tablas de filtrado de la máquina host1 de manera que no se permita ningún tipo de tráfico ICMP entrante a los procesos internos (locales) de dicha máquina. Con este filtrado responda a las siguientes preguntas: (a) Si desde Rint se ejecuta un ping con destino host1 se transmitirá el correspondiente mensaje ICMP echo-request por la red? Es posible capturar el mensaje de respuesta ICMP echo-reply? Describa lo que ocurre en este caso. (b) Si en lugar de enviar el ping desde Rint hacia host1, lo hacemos en sentido contrario (ping desde host1 hacia Rint) se transmitirá el correspondiente mensaje ICMP echo-request? y el echo-reply? Describa lo que ocurre en este caso. 2. Borre la configuración de filtrado anterior de host1 y vuelva a configurar sus tablas de filtrado para obtener el siguiente comportamiento: (a) Desde host1 se debe poder realizar correctamente un ping a una máquina remota (Rint). (b) host1 no debe responder a ninguna petición de ping externa. En esta nueva situación, responda a las mismas preguntas del apartado anterior. 3. El problema de los esquemas de filtrado anteriores es que hay que configurar las tablas de filtrado en cada una de las máquinas, haciendo que la administración de la red sea compleja. La solución más utilizada es confiar la seguridad al router de la red, ya que todas las comunicaciones con el exterior fluyen a través de él y se puede aplicar un control centralizado a las mismas facilitando la administración. Cuando un router realiza funciones de filtrado o firewall se le conoce con el nombre de bastión de la red. En este punto, usted tiene que configurar el router Rint como bastión para protejer a los hosts internos (host1). Para ello prepare el escenario realizando las siguientes tareas: Elimine las entradas de las tablas de filtrado de host1. Verifique que las redes Net1 y Net2 están correctamente configuradas (direcciones IP y tablas de encaminamiento) de forma que exista conectividad entre ellas a nivel IP. En este momento, debe ser posible realizar con éxito un ping desde www o Rbcn a cualquiera de las máquinas de la Net2 y viceversa. Ahora, añada las entradas necesarias en su bastión (Rint) para obtener el siguiente comportamiento: (a) Un ping realizado desde una máquina externa a Net2 hacia una máquina perteneciente a Net2 no debe ser respondido, pero en el caso contrario, es decir un ping iniciado desde una máquina de Net2 hacia una máquina externa, sí que debe funcionar correctamente. Verifique el funcionamiento de este filtro. (b) Si una máquina de una red externa a Net2, realiza un intento de conexión a un servicio TCP de un servidor alojado en Net2, este intento de conexión debe ser rechazado, pero en el caso contrario sí que debe funcionar correctamente. Verifique el funcionamiento de este filtro utilizando las máquinas de Net1 como red externa de pruebas. 4

(c) Finalmente, filtre todo el tráfico UDP que entre o salga de Net2, excepto el tráfico UDP que vaya dirigido a un servidor DNS (que se supone externo a Net2) Exercise2 El objetivo de este ejercicio es que usted se familiarice con las técnicas de NAT. Se utilizará el mismo escenario mostrado en la figura 1. Si usted se centra en la redes formadas por Net0, Net1 y Net2, puede observar que desde un punto de vista administrativo respecto al espacio de direcciones IP, la red de la figura anterior se puede ver de la siguiente manera: Internet Bext Net1 172.16.1.0/24 Bint Net2 192.168.1.0/24 En este caso se ha considerado que los rangos de direcciones 192.168.0.0/22 y 172.16.1.0/24 se corresponden con direcciones privadas. Por otro lado, se ha considerado que los rangos de direcciones 10.0.0.0/22 hacen referencia a un sistema de direccionamiento público (en la figura se ha considerado que Internet hace uso del rango 10.0.0.0/22) Arranque la simulación ejecutando desde el host de virtualización el comando: host$ simctl fwnat start Una vez que la simulación haya arrancado, se debe autoconfigurar la máquinas de las redes Net0, Net1 y Net2 ejecutando en el host de virtualización los siguientes comandos: Para la configuración de los interfaces de red ejecute host$ simctl fwnat exec ifcfg Para la configuración de las rutas de encaminamiento indirectas ejecute: host$ simctl fwnat exec routecfg Para realizar la configuración de las tablas de filtrado de Rint ejecute: host$ simctl fwnat exec fwcfg 1. Desde el host www de Net1, realice un ping a 10.0.4.2 (test) funciona? Es un problema de filtrado o de direccionamiento? 5

2. Para solucionar el problema anterior configure el router externo Rbcn para que realice SNAT para sus redes internas. Una vez configurado pruebe a realizar el ping a 10.0.4.2 funciona ahora? Utilice las herramientas de análisis de tráfico que conoce para ver que está sucediendo en la red. 3. La figura muestra el típico esquema de firewall con doble bastión (bastion externo Rbcn y bastión interno Rint ), zona desmilitarizada (Net1) o DMZ (DeMilitarized Zone) para los servidores con acceso externo, y red interna (Net2). En este esquema las máquinas de la red interna pueden establecer conexiones a los servidores de la DMZ y a servidores externos (Internet), tal y como se ha configurado en el ejercicio anterior. En este esquema de doble bastión, se debe poder acceder a los servidores de la DMZ desde el exterior pero no a los hosts de la red interna. Configure el bastión externo (Rbcn) para dar acceso al servidor web de www desde Internet y haga uso de la máquina externa (test) para verificar la configuración. Utilice las herramientas de análisis de tráfico que conoce para ver que está sucediendo en la red. 6

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback