LABORATORIO iptables

Click here to load reader

  • date post

    04-Dec-2015
  • Category

    Documents

  • view

    243
  • download

    3

Embed Size (px)

description

laboratorio

Transcript of LABORATORIO iptables

  • CONECTIVIDAD SEGURIDADES TCR 590-40 ING MERY ELIZABRTH GONZALEZ

    OBJETIVO

    El Objetivo de ste laboratorio es entender y configurar un computador como

    un firewall o cortafuego en la transmisin de la informacin, de una maquina

    a otra con base en un software Open Source y distribucin Red Hat

    Enterprise Linux (Centos), que a su vez es complementado con un hardware

    apropiado, que ofrezca las prestaciones necesarias para el correcto

    funcionamiento de nuestro Firewall virtualizado.

    PLANTEAMIENTO DEL PROBLEMA

    Lo que deseo mostrar e implementar es una forma de proteger

    especialmente a usuarios, quienes acceden a contenido no correspondiente

    con el mbito acadmico o laboral, sino al ilegal, inapropiado o indebido, lo

    cual genera distraccin y afecta el ambiente laboral o de estudio.

    Como otro punto a favor, es lograr una mejor seguridad en la red local y

    comprobar que se puede impedir que usuarios no autorizados realicen

    fechoras en la red.

    El propsito de este trabajo consiste en la implementacin de un Firewall con distribucin Red Hat

    Enterprise Linux (Centos) en un entorno virtualizado

    (Virtualox) filtre el contenido al cual acceden los

    usuarios

    METODOLOGA

    Seleccionar un computador con el hardware necesario para la instalacin

    de un Firewall con distribucin Red Hat Enterprise Linux de manera virtual,

    con VirtualBox, documentar todo este proceso al igual que la posterior

    configuracin del computador una vez instalado y su implementacin en un

    laboratorio de red. Para ello se explica paso a paso, de forma detallada, las

    instrucciones para realizar lo antes mencionado, adicionalmente es

    complementado con imgenes de los pasos a seguir para una mejor

    orientacin y ayuda al lector.

    LABORATORIO

    -CONFIGURACIN NAT, PRUEBAS DE FUNCIONAMIENTO EN FIREWALL

    -RESTRICCIN DE

    PUERTOS SSH , TELNET

    y FTP

    INTEGRANTES

    Edison Egas

    Humberto Santiana

    Biron Lisintua

  • DESARROLLO

    Topologa de conexin LAN Virtual Security - WAN

    Inicializacin de Centos y autenticacin con el administrador root

    Portable Cliente

    802.11n

    Eth0 Eth1

    LAN 192.168.2.0 /24 Firewall virtual

    WLAN 192.168.43.0/24

    IP: 192.168.10.4

    MASC: 255.255.255.0

    DW: 192.168.10.1

    DNS: 192.163.43.1

    IP: 192.168.10.2

    MASC: 255.255.255.0

    DNS: 192.168.43.1

    IP: 192.168.10.1

    MASC: 255.255.255.0

    IP: 192.168.43.20

    MASC: 255.255.255.0

    DW: 192.168.43.1

    DNS: 192.168.43.1

    IP: 192.168.43.207

    MASC: 255.255.255.0

    DW: 192.168.43.1

    DNS: 192.168.43.1

    IP: 192.168.43.1

    MASC: 255.255.255.0

    DNS: 192.168.43.1

  • Configuracin de tarjetas de Red LAN:

    Mquina Configuracin Adaptador 1 y Adaptador 2

    En el Adaptador 1 y 2 se selecciona el adaptador puente.

    El adaptador 1 sera considerado como la tarjeta de red virtual Eth0 para seal Wireless y el adaptador 2 sera considerado

    como eth1 para seal de red ethernet LAN por cable.

    Configuracin de las tarjetas de red virtuales en Centos

    - Ingresar a mode consola o terminal

    - Comando setup y seguimos los siguientes pasos iluminados en rojo

  • Configuracin de DNS en centos

    - Ingresar a mode consola o terminal

    - Comando vim /etc/resolv.conf

    - Actualizar datos ingresado en las tarjetas de red

    - Service network restart

  • Revisamos los archivos que contienen la informacin de las tarjetas virtuales.

    Instalacin de IPTABLES.

    - A modo de consola escribimos el siguiente comando de instalacin de IPTABLES.

    yum install iptables.

    Pasos para configurar reglas en el firewall virtual, las cuales permitiran a un equipo portable cliente navegar hacia el

    iInternet.

    1 Eliminacin de reglas anteriores o limpiar el firewall

    iptables F iptables X iptables Z iptables t nat F

    2 Establecemos politica por defecto

    iptables P INPUT ACCEPT iptables P OUTPUT ACCEPT iptables P FORWARD ACCEPT iptables t nat P PREROUTING ACCEPT iptables t nat P POSTROUTING ACCEPT

    3 Ahora hacemos enmascaramiento de la red local y activamos el BIT DE FORWARDING

    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE

    4 Con esto permitimos hacer forward de paquetes en el firewall, o sea que otras mquinas puedan salir a travs del firewall.

    echo 1 > /proc/sys/net/ipv4/ip_forward

  • 5 Al firewall tenemos acceso desde la red local

    iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT 6 Ahora con regla FORWARD filtramos el acceso de la red local al exterior. Como se explica antes, a los paquetes que no van dirigidos al propio firewall se les aplican reglas de FORWAR. Aceptamos que vayan a puertos 80

    iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT

    7 Aceptamos que vayan a puertos https

    iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

    8 Aceptamos que consulten los DNS

    iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT

    9 Grabamos los cambios realizados con IPTABLES y reiniciamos su operacin

    service iptables save

    service iptables restart

    10 Detener nat y reglas en el firewall

    service iptables stop

    Para visualizar el contenido de las reglas en iptables se visualiza en la ruta de la siguiente manera

    cat /etc/sysconfig/iptables

    O tambien con el comado: Iptables L v n line-number podemos visualizar las rutas en las cadenas de INPUT

    FORWARD y OUTPUT segn la figura siguiente.

  • Para visualizar el contenido de nat o enmascaramiento de las direcciones LAN a WLAN en las cadenas PREROUTIN

    POSTROUTING y OUTPUT se aplica el siguiente comando

    Iptables L v n t nat

    Restricciones de puertos (pruebas con SSH y Telnet)

    Para restringir en el firewall virtual el acceso remoto con las aplicaciones comunes como SSH y telnet es necesario

    identificar los puertos y protocolos en los que tranbajan esta aplicaciones.

    En Centos debemos instalar los clientes de telnet y SSH mediante los siguiente comandos

    yum -y install telnet

    yum install openssh-server

    Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a travs de la

    tarjeta de ethernet fsica, para nuestro caso es 192.168.10.0 /24.

    Aplicamos los siguientes comandos:

    iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 22 -j DROP

    iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 23 -j DROP

    Aplicaciones Protocolo Puerto

    SSH TCP/UDP 22

    Telnet TCP/UDP 23

  • Para ver la configuracin de iptables

    cat /etc/sysconfig/iptables

    Si necesitamos modificar editamos el archivo iptables con el comando vi /etc/sysconfig/iptables y aceptamos las reglas

  • Restricciones de puerto FTP (Protocolo de Transferencia de Archivos)

    Para restringir en el firewall virtual el acceso remoto la aplicacion FTP es necesario identificar los puertos y protocolos en

    los que tranbaja sta aplicacin

    En Centos debemos instalar el cliente y servidor de FTP mediante los siguiente comandos

    yum -y install ftp

    yum y install vsftpd

    Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a travs de la

    tarjeta de ethernet fsica, para nuestro caso es 192.168.10.0 /24.

    Aplicamos los siguientes comandos:

    iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 20 -j DROP

    iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 21 -j DROP

    Para verificra la regla visualizamos el contenido del archivo iptables con el comando:

    Cat /etc/sysconfig/iptables

    Observamos las dos reglas anteriores y las dos nuevas las cuales limitan el acceso al protocolo de aplicaciones FTP

    Aplicaciones Protocolo Puerto

    FTP TCP 20

    TCP 21

  • Tambin es importante por seguidad activar el requerimiento que permitira que los usuarios puedan acceder a sus propios

    directorios de inicios a travs de VSFTPD, hasta que el sistema sea reiniciado. Para hacer permanente el cambio, se utiliza

    setsebool con la opcin P, de la siguiente manera

    Setsebool P ftp_home_dir on

    Pra realizar las pruebas de comunicacin y acceso desde otro equipo externo al servidor virtual de FTP, ser necesario

    instalar una aplicacin de FTP para la transferencia de archivos, para esto utilizaremos la aplicacin

    FileZilla .

    Al poner en operacin FileZilla es necesario digitar la direccin IP del servidor FTP, en este caso

    192.168.10.1, luego un usuario con password para la utenticacin hacia el servidor para esto ya

    debiamos heber creado el usuario Username: Edison passowrd: Abcd1234, seguido luego del nmero de puerto que

    FTP 21

    Al estar la reagla activa como DROP en el archivo iptable, no se podr tener acceso a la carpeta home del usuario

    Edison, como se muestra en la gfica siguiente.

  • Para comprobar que que la regla funciona correctamente podramos detener el servicio de iptables con el comando

    service iptables stop, tambe