laboratorio iptables
Post on 04-Dec-2015
299 Views
Preview:
DESCRIPTION
TRANSCRIPT
CONECTIVIDAD SEGURIDADES TCR 590-40 ING MERY ELIZABRTH GONZALEZ
OBJETIVO
El Objetivo de éste laboratorio es entender y configurar un computador como
un firewall o cortafuego en la transmisión de la información, de una maquina
a otra con base en un software Open Source y distribución Red Hat
Enterprise Linux (Centos), que a su vez es complementado con un hardware
apropiado, que ofrezca las prestaciones necesarias para el correcto
funcionamiento de nuestro Firewall virtualizado.
PLANTEAMIENTO DEL PROBLEMA
Lo que deseo mostrar e implementar es una forma de proteger
especialmente a usuarios, quienes acceden a contenido no correspondiente
con el ámbito académico o laboral, sino al ilegal, inapropiado o indebido, lo
cual genera distracción y afecta el ambiente laboral o de estudio.
Como otro punto a favor, es lograr una mejor seguridad en la red local y
comprobar que se puede impedir que usuarios no autorizados realicen
fechorías en la red.
“El propósito de este trabajo consiste en la
implementación de un Firewall con distribución Red Hat
Enterprise Linux (Centos) en un entorno virtualizado
(Virtualox) filtre el contenido al cual acceden los
usuarios”
METODOLOGÍA
Seleccionar un computador con el hardware necesario para la instalación
de un Firewall con distribución Red Hat Enterprise Linux de manera virtual,
con VirtualBox, documentar todo este proceso al igual que la posterior
configuración del computador una vez instalado y su implementación en un
laboratorio de red. Para ello se explica paso a paso, de forma detallada, las
instrucciones para realizar lo antes mencionado, adicionalmente es
complementado con imágenes de los pasos a seguir para una mejor
orientación y ayuda al lector.
LABORATORIO
-CONFIGURACIÓN NAT, PRUEBAS DE FUNCIONAMIENTO EN FIREWALL
-RESTRICCIÓN DE
PUERTOS SSH , TELNET
y FTP
INTEGRANTES
Edison Egas
Humberto Santiana
Biron Lisintuña
DESARROLLO
Topología de conexión LAN – Virtual Security - WAN
Inicialización de Centos y autenticación con el administrador root
Portable Cliente
802.11n
Eth0 Eth1
LAN 192.168.2.0 /24 Firewall virtual
WLAN 192.168.43.0/24
IP: 192.168.10.4
MASC: 255.255.255.0
DW: 192.168.10.1
DNS: 192.163.43.1
IP: 192.168.10.2
MASC: 255.255.255.0
DNS: 192.168.43.1
IP: 192.168.10.1
MASC: 255.255.255.0
IP: 192.168.43.20
MASC: 255.255.255.0
DW: 192.168.43.1
DNS: 192.168.43.1
IP: 192.168.43.207
MASC: 255.255.255.0
DW: 192.168.43.1
DNS: 192.168.43.1
IP: 192.168.43.1
MASC: 255.255.255.0
DNS: 192.168.43.1
Configuración de tarjetas de Red LAN:
Máquina – Configuración – Adaptador 1 y Adaptador 2
En el Adaptador 1 y 2 se selecciona el adaptador puente.
El adaptador 1 sera considerado como la tarjeta de red virtual Eth0 para señal Wireless y el adaptador 2 sera considerado
como eth1 para señal de red ethernet LAN por cable.
Configuración de las tarjetas de red virtuales en Centos
- Ingresar a mode consola o terminal
- Comando setup y seguimos los siguientes pasos iluminados en rojo
Configuración de DNS en centos
- Ingresar a mode consola o terminal
- Comando vim /etc/resolv.conf
- Actualizar datos ingresado en las tarjetas de red
- Service network restart
Revisamos los archivos que contienen la información de las tarjetas virtuales.
Instalación de IPTABLES.
- A modo de consola escribimos el siguiente comando de instalación de IPTABLES.
yum install iptables.
Pasos para configurar reglas en el firewall virtual, las cuales permitiran a un equipo portable cliente navegar hacia el
iInternet.
1 Eliminación de reglas anteriores o limpiar el firewall
iptables −F iptables −X iptables −Z iptables −t nat –F
2 Establecemos politica por defecto
iptables −P INPUT ACCEPT iptables −P OUTPUT ACCEPT iptables −P FORWARD ACCEPT iptables −t nat −P PREROUTING ACCEPT iptables −t nat −P POSTROUTING ACCEPT
3 Ahora hacemos enmascaramiento de la red local y activamos el BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
4 Con esto permitimos hacer forward de paquetes en el firewall, o sea que otras máquinas puedan salir a través del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
5 Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT 6 Ahora con regla FORWARD filtramos el acceso de la red local al exterior. Como se explica antes, a los paquetes que no van dirigidos al propio firewall se les aplican reglas de FORWAR. Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
7 Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
8 Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
9 Grabamos los cambios realizados con IPTABLES y reiniciamos su operación
service iptables save
service iptables restart
10 Detener nat y reglas en el firewall
service iptables stop
Para visualizar el contenido de las reglas en iptables se visualiza en la ruta de la siguiente manera
cat /etc/sysconfig/iptables
O tambien con el comado: Iptables –L –v –n –line-number podemos visualizar las rutas en las cadenas de INPUT
FORWARD y OUTPUT según la figura siguiente.
Para visualizar el contenido de nat o enmascaramiento de las direcciones LAN a WLAN en las cadenas PREROUTIN
POSTROUTING y OUTPUT se aplica el siguiente comando
Iptables –L –v –n –t nat
Restricciones de puertos (pruebas con SSH y Telnet)
Para restringir en el firewall virtual el acceso remoto con las aplicaciones comunes como SSH y telnet es necesario
identificar los puertos y protocolos en los que tranbajan esta aplicaciones.
En Centos debemos instalar los clientes de telnet y SSH mediante los siguiente comandos
yum -y install telnet
yum install openssh-server
Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a través de la
tarjeta de ethernet física, para nuestro caso es 192.168.10.0 /24.
Aplicamos los siguientes comandos:
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 22 -j DROP
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 23 -j DROP
Aplicaciones Protocolo Puerto
SSH TCP/UDP 22
Telnet TCP/UDP 23
Para ver la configuración de iptables
cat /etc/sysconfig/iptables
Si necesitamos modificar editamos el archivo iptables con el comando vi /etc/sysconfig/iptables y aceptamos las reglas
Restricciones de puerto FTP (Protocolo de Transferencia de Archivos)
Para restringir en el firewall virtual el acceso remoto la aplicacion FTP es necesario identificar los puertos y protocolos en
los que tranbaja ésta aplicación
En Centos debemos instalar el cliente y servidor de FTP mediante los siguiente comandos
yum -y install ftp
yum ‘y install vsftpd
Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a través de la
tarjeta de ethernet física, para nuestro caso es 192.168.10.0 /24.
Aplicamos los siguientes comandos:
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 20 -j DROP
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 21 -j DROP
Para verificra la regla visualizamos el contenido del archivo iptables con el comando:
Cat /etc/sysconfig/iptables
Observamos las dos reglas anteriores y las dos nuevas las cuales limitan el acceso al protocolo de aplicaciones FTP
Aplicaciones Protocolo Puerto
FTP TCP 20
TCP 21
También es importante por seguidad activar el requerimiento que permitiría que los usuarios puedan acceder a sus propios
directorios de inicios a través de VSFTPD, hasta que el sistema sea reiniciado. Para hacer permanente el cambio, se utiliza
setsebool con la opción –P, de la siguiente manera
Setsebool –P ftp_home_dir on
Pra realizar las pruebas de comunicación y acceso desde otro equipo externo al servidor virtual de FTP, será necesario
instalar una aplicación de FTP para la transferencia de archivos, para esto utilizaremos la aplicación
FileZilla .
Al poner en operación FileZilla es necesario digitar la dirección IP del servidor FTP, en este caso
192.168.10.1, luego un usuario con password para la utenticación hacia el servidor para esto ya
debiamos heber creado el usuario “Username: Edison passowrd: Abcd1234”, seguido luego del número de puerto que
FTP “21”
Al estar la reagla activa como DROP en el archivo iptable, no se podrá tener acceso a la carpeta home del usuario
Edison, como se muestra en la gáfica siguiente.
Para comprobar que que la regla funciona correctamente podríamos detener el servicio de iptables con el comando
service iptables stop, tambíen se podria cambiar la opción de DROP en la regla a ACCEPT.
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 20 -j ACCEPT
iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 21 -j ACCEPT
Al comprobar el acceso al servidor virtual FTP con IP 192.168.10.1, ya tendríamos acceso a éste servicio.
top related