LABORATORIO iptables

11
CONECTIVIDAD SEGURIDADES TCR 590-40 ING MERY ELIZABRTH GONZALEZ OBJETIVO El Objetivo de éste laboratorio es entender y configurar un computador como un firewall o cortafuego en la transmisión de la información, de una maquina a otra con base en un software Open Source y distribución Red Hat Enterprise Linux (Centos), que a su vez es complementado con un hardware apropiado, que ofrezca las prestaciones necesarias para el correcto funcionamiento de nuestro Firewall virtualizado. PLANTEAMIENTO DEL PROBLEMA Lo que deseo mostrar e implementar es una forma de proteger especialmente a usuarios, quienes acceden a contenido no correspondiente con el ámbito académico o laboral, sino al ilegal, inapropiado o indebido, lo cual genera distracción y afecta el ambiente laboral o de estudio. Como otro punto a favor, es lograr una mejor seguridad en la red local y comprobar que se puede impedir que usuarios no autorizados realicen fechorías en la red. El propósito de este trabajo consiste en la implementación de un Firewall con distribución Red Hat Enterprise Linux (Centos) en un entorno virtualizado (Virtualox) filtre el contenido al cual acceden los usuarios” METODOLOGÍA Seleccionar un computador con el hardware necesario para la instalación de un Firewall con distribución Red Hat Enterprise Linux de manera virtual, con VirtualBox, documentar todo este proceso al igual que la posterior configuración del computador una vez instalado y su implementación en un laboratorio de red. Para ello se explica paso a paso, de forma detallada, las instrucciones para realizar lo antes mencionado, adicionalmente es complementado con imágenes de los pasos a seguir para una mejor orientación y ayuda al lector. LABORATORIO -CONFIGURACIÓN NAT, PRUEBAS DE FUNCIONAMIENTO EN FIREWALL -RESTRICCIÓN DE PUERTOS SSH , TELNET y FTP INTEGRANTES Edison Egas Humberto Santiana Biron Lisintuña

description

laboratorio

Transcript of LABORATORIO iptables

Page 1: LABORATORIO iptables

CONECTIVIDAD SEGURIDADES TCR 590-40 ING MERY ELIZABRTH GONZALEZ

OBJETIVO

El Objetivo de éste laboratorio es entender y configurar un computador como

un firewall o cortafuego en la transmisión de la información, de una maquina

a otra con base en un software Open Source y distribución Red Hat

Enterprise Linux (Centos), que a su vez es complementado con un hardware

apropiado, que ofrezca las prestaciones necesarias para el correcto

funcionamiento de nuestro Firewall virtualizado.

PLANTEAMIENTO DEL PROBLEMA

Lo que deseo mostrar e implementar es una forma de proteger

especialmente a usuarios, quienes acceden a contenido no correspondiente

con el ámbito académico o laboral, sino al ilegal, inapropiado o indebido, lo

cual genera distracción y afecta el ambiente laboral o de estudio.

Como otro punto a favor, es lograr una mejor seguridad en la red local y

comprobar que se puede impedir que usuarios no autorizados realicen

fechorías en la red.

“El propósito de este trabajo consiste en la

implementación de un Firewall con distribución Red Hat

Enterprise Linux (Centos) en un entorno virtualizado

(Virtualox) filtre el contenido al cual acceden los

usuarios”

METODOLOGÍA

Seleccionar un computador con el hardware necesario para la instalación

de un Firewall con distribución Red Hat Enterprise Linux de manera virtual,

con VirtualBox, documentar todo este proceso al igual que la posterior

configuración del computador una vez instalado y su implementación en un

laboratorio de red. Para ello se explica paso a paso, de forma detallada, las

instrucciones para realizar lo antes mencionado, adicionalmente es

complementado con imágenes de los pasos a seguir para una mejor

orientación y ayuda al lector.

LABORATORIO

-CONFIGURACIÓN NAT, PRUEBAS DE FUNCIONAMIENTO EN FIREWALL

-RESTRICCIÓN DE

PUERTOS SSH , TELNET

y FTP

INTEGRANTES

Edison Egas

Humberto Santiana

Biron Lisintuña

Page 2: LABORATORIO iptables

DESARROLLO

Topología de conexión LAN – Virtual Security - WAN

Inicialización de Centos y autenticación con el administrador root

Portable Cliente

802.11n

Eth0 Eth1

LAN 192.168.2.0 /24 Firewall virtual

WLAN 192.168.43.0/24

IP: 192.168.10.4

MASC: 255.255.255.0

DW: 192.168.10.1

DNS: 192.163.43.1

IP: 192.168.10.2

MASC: 255.255.255.0

DNS: 192.168.43.1

IP: 192.168.10.1

MASC: 255.255.255.0

IP: 192.168.43.20

MASC: 255.255.255.0

DW: 192.168.43.1

DNS: 192.168.43.1

IP: 192.168.43.207

MASC: 255.255.255.0

DW: 192.168.43.1

DNS: 192.168.43.1

IP: 192.168.43.1

MASC: 255.255.255.0

DNS: 192.168.43.1

Page 3: LABORATORIO iptables

Configuración de tarjetas de Red LAN:

Máquina – Configuración – Adaptador 1 y Adaptador 2

En el Adaptador 1 y 2 se selecciona el adaptador puente.

El adaptador 1 sera considerado como la tarjeta de red virtual Eth0 para señal Wireless y el adaptador 2 sera considerado

como eth1 para señal de red ethernet LAN por cable.

Configuración de las tarjetas de red virtuales en Centos

- Ingresar a mode consola o terminal

- Comando setup y seguimos los siguientes pasos iluminados en rojo

Page 4: LABORATORIO iptables

Configuración de DNS en centos

- Ingresar a mode consola o terminal

- Comando vim /etc/resolv.conf

- Actualizar datos ingresado en las tarjetas de red

- Service network restart

Page 5: LABORATORIO iptables

Revisamos los archivos que contienen la información de las tarjetas virtuales.

Instalación de IPTABLES.

- A modo de consola escribimos el siguiente comando de instalación de IPTABLES.

yum install iptables.

Pasos para configurar reglas en el firewall virtual, las cuales permitiran a un equipo portable cliente navegar hacia el

iInternet.

1 Eliminación de reglas anteriores o limpiar el firewall

iptables −F iptables −X iptables −Z iptables −t nat –F

2 Establecemos politica por defecto

iptables −P INPUT ACCEPT iptables −P OUTPUT ACCEPT iptables −P FORWARD ACCEPT iptables −t nat −P PREROUTING ACCEPT iptables −t nat −P POSTROUTING ACCEPT

3 Ahora hacemos enmascaramiento de la red local y activamos el BIT DE FORWARDING

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

4 Con esto permitimos hacer forward de paquetes en el firewall, o sea que otras máquinas puedan salir a través del firewall.

echo 1 > /proc/sys/net/ipv4/ip_forward

Page 6: LABORATORIO iptables

5 Al firewall tenemos acceso desde la red local

iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT 6 Ahora con regla FORWARD filtramos el acceso de la red local al exterior. Como se explica antes, a los paquetes que no van dirigidos al propio firewall se les aplican reglas de FORWAR. Aceptamos que vayan a puertos 80

iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT

7 Aceptamos que vayan a puertos https

iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

8 Aceptamos que consulten los DNS

iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT

9 Grabamos los cambios realizados con IPTABLES y reiniciamos su operación

service iptables save

service iptables restart

10 Detener nat y reglas en el firewall

service iptables stop

Para visualizar el contenido de las reglas en iptables se visualiza en la ruta de la siguiente manera

cat /etc/sysconfig/iptables

O tambien con el comado: Iptables –L –v –n –line-number podemos visualizar las rutas en las cadenas de INPUT

FORWARD y OUTPUT según la figura siguiente.

Page 7: LABORATORIO iptables

Para visualizar el contenido de nat o enmascaramiento de las direcciones LAN a WLAN en las cadenas PREROUTIN

POSTROUTING y OUTPUT se aplica el siguiente comando

Iptables –L –v –n –t nat

Restricciones de puertos (pruebas con SSH y Telnet)

Para restringir en el firewall virtual el acceso remoto con las aplicaciones comunes como SSH y telnet es necesario

identificar los puertos y protocolos en los que tranbajan esta aplicaciones.

En Centos debemos instalar los clientes de telnet y SSH mediante los siguiente comandos

yum -y install telnet

yum install openssh-server

Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a través de la

tarjeta de ethernet física, para nuestro caso es 192.168.10.0 /24.

Aplicamos los siguientes comandos:

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 22 -j DROP

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 23 -j DROP

Aplicaciones Protocolo Puerto

SSH TCP/UDP 22

Telnet TCP/UDP 23

Page 8: LABORATORIO iptables

Para ver la configuración de iptables

cat /etc/sysconfig/iptables

Si necesitamos modificar editamos el archivo iptables con el comando vi /etc/sysconfig/iptables y aceptamos las reglas

Page 9: LABORATORIO iptables

Restricciones de puerto FTP (Protocolo de Transferencia de Archivos)

Para restringir en el firewall virtual el acceso remoto la aplicacion FTP es necesario identificar los puertos y protocolos en

los que tranbaja ésta aplicación

En Centos debemos instalar el cliente y servidor de FTP mediante los siguiente comandos

yum -y install ftp

yum ‘y install vsftpd

Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a través de la

tarjeta de ethernet física, para nuestro caso es 192.168.10.0 /24.

Aplicamos los siguientes comandos:

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 20 -j DROP

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 21 -j DROP

Para verificra la regla visualizamos el contenido del archivo iptables con el comando:

Cat /etc/sysconfig/iptables

Observamos las dos reglas anteriores y las dos nuevas las cuales limitan el acceso al protocolo de aplicaciones FTP

Aplicaciones Protocolo Puerto

FTP TCP 20

TCP 21

Page 10: LABORATORIO iptables

También es importante por seguidad activar el requerimiento que permitiría que los usuarios puedan acceder a sus propios

directorios de inicios a través de VSFTPD, hasta que el sistema sea reiniciado. Para hacer permanente el cambio, se utiliza

setsebool con la opción –P, de la siguiente manera

Setsebool –P ftp_home_dir on

Pra realizar las pruebas de comunicación y acceso desde otro equipo externo al servidor virtual de FTP, será necesario

instalar una aplicación de FTP para la transferencia de archivos, para esto utilizaremos la aplicación

FileZilla .

Al poner en operación FileZilla es necesario digitar la dirección IP del servidor FTP, en este caso

192.168.10.1, luego un usuario con password para la utenticación hacia el servidor para esto ya

debiamos heber creado el usuario “Username: Edison passowrd: Abcd1234”, seguido luego del número de puerto que

FTP “21”

Al estar la reagla activa como DROP en el archivo iptable, no se podrá tener acceso a la carpeta home del usuario

Edison, como se muestra en la gáfica siguiente.

Page 11: LABORATORIO iptables

Para comprobar que que la regla funciona correctamente podríamos detener el servicio de iptables con el comando

service iptables stop, tambíen se podria cambiar la opción de DROP en la regla a ACCEPT.

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 20 -j ACCEPT

iptables –A INPUT –s 192.168.10.0/24 –n state --state NEW -p tcp --dport 21 -j ACCEPT

Al comprobar el acceso al servidor virtual FTP con IP 192.168.10.1, ya tendríamos acceso a éste servicio.