• Author / Uploaded
• Miguel Gonzalez

• Categories
• Cortafuegos (informática)
• Servidor web
• Redes de computadoras
• Protocolos de internet
• Redes sociales y digitales

Citation preview

Práctica Seguridad: Ip-Tables 2

Miguel Ángel González González

0

Miguel Ángel González González

Índice Objetivos ....................................................................................................................................... 2 Configuración Cliente ................................................................................................................... 3 Configuración Servidor ................................................................................................................ 4 Comprobación ............................................................................................................................... 7 Fuentes .......................................................................................................................................... 8

1

Miguel Ángel González González

Objetivos Partiendo de la configuración de la práctica anterior añadir la siguiente configuración:



La política por defecto para el reenvío de paquetes es la de descartarlos. Sin embargo: o Se permite el reenvío para el tráfico TCP por el puerto 80. o Se permite el reenvío para poder acceder al servicio DNS. o Se permite el reenvío para el tráfico por el puerto 443 solamente para un dominio concreto.

Realizad una memoria con los pasos seguidos correctamente documentada y donde se compruebe el funciononamiento del cortafuegos. Entregarla en formato .pdf

2

Miguel Ángel González González

Configuración Cliente En la máquina cliente agregaremos una tarjeta de red en modo “RedInterna” con los siguientes datos:

Y para terminar añadiremos la última línea para que pueda resolver los nombres:

3

Miguel Ángel González González

Configuración Servidor Antes de nada añadiremos las tarjetas de red necesarias en la máquina cortafuegos:

Como ya vimos anteriormente es la máquina que configuramos como router y cortafuegos modificaremos y agregaremos algunas reglas IpTables para realizar las acciones que se nos piden en el enunciado del ejercicio.

Bien , abrimos el script “reglas.sh” en el servidor y añadimos las siguientes reglas iptables para lo que se nos pide:

-Denegamos el reenvío -Dejamos abierto el puerto del servidor web o HTTP -Dejamos abierto el Puerto HTTPS -Aceptamos que consulten los DNS

4

Miguel Ángel González González

-Reglas.sh

#!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables echo -n Aplicando Reglas de Firewall... ## FLUSH iptables iptables iptables iptables

de reglas -F -X -Z -t nat -F

## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------------------- Denegamos el reenvío. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##Empezamos a filtrar #A la interfaz lo le permitimos todo iptables –A INPUT –i lo –j ACCEPT iptables –A INPUT –o lo –j ACCEPT ## Dejamos abierto el puerto del servidor web o HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##Dejamos abierto el Puerto HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD –s 0/0 -p tcp --dport 53 -j ACCEPT iptables –A FORWARD –s 0/0 -p udp -–dport 53 –j ACCEPT # Abrimos el Puerto 22 SSH Iptables –A INPUT –p tcp –dport 22 –j ACCEPT ## Cerramos el rango de puertos privilegiados. /sbin/iptables –A INPUT –p tcp -dport 1:1024 –j DROP /sbin/iptables –A INPUT –p udp –dport 1:1024 –j DROP ##Por ultimo las dos siguientes reglas permiten salir del equipo #(output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) sólo conexiones #establecidas y relacionadas. iptables –A FORWARD –m state -–state ESTABLISHED,RELATED –j ACCEPT # Enrutamiento la red local( para poder acceder al exterior desde el cliente. #En este punto debemos colocar la interfaz de red que usa el servidor para #conectarse a internet.

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/255.255.255.0 -j MASQUERADE sysctl –w net.ipv4.ip_forward=1

5

Miguel Ángel González González

Denegamos el reenvío:

Abrimos los puertos que se piden (http, https, dns):

6

Miguel Ángel González González

Guardamos los cambios realizados y ejecutamos el script:

Comprobación Ahora comprobaremos que efectivamente se están aplicando las nuevas reglas insertadas, para ello ejecutamos el comando: -# Iptables –L -n

Por último también podremos comprobar desde el cliente que se están aplicando correctamente los servicios haciendo uso de la orden “nmap 192.168.10.4 ( red del instituto )”: -Nmap 192.168.10.4

7

Miguel Ángel González González

Vemos como aparecen habilitados los servicios que le hemos concedido al cliente en la red. Ahora comprobaremos que el cliente tiene conexión a Internet:

Fuentes -http://moodle.iesgrancapitan.org/file.php/48/IPTABLEs.pdf

8