Prctica Seguridad: Ip-Tables 2

Miguel ngel Gonzlez Gonzlez

0

Miguel ngel Gonzlez Gonzlez

ndiceObjetivos ....................................................................................................................................... 2 Configuracin Cliente ................................................................................................................... 3 Configuracin Servidor ................................................................................................................ 4 Comprobacin ............................................................................................................................... 7 Fuentes .......................................................................................................................................... 8

1

Miguel ngel Gonzlez Gonzlez

ObjetivosPartiendo de la configuracin de la prctica anterior aadir la siguiente configuracin:

La poltica por defecto para el reenvo de paquetes es la de descartarlos. Sin embargo: o Se permite el reenvo para el trfico TCP por el puerto 80. o Se permite el reenvo para poder acceder al servicio DNS. o Se permite el reenvo para el trfico por el puerto 443 solamente para un dominio concreto.

Realizad una memoria con los pasos seguidos correctamente documentada y donde se compruebe el funciononamiento del cortafuegos. Entregarla en formato .pdf

2

Miguel ngel Gonzlez Gonzlez

Configuracin ClienteEn la mquina cliente agregaremos una tarjeta de red en modo RedInterna con los siguientes datos:

Y para terminar aadiremos la ltima lnea para que pueda resolver los nombres:

3

Miguel ngel Gonzlez Gonzlez

Configuracin ServidorAntes de nada aadiremos las tarjetas de red necesarias en la mquina cortafuegos:

Como ya vimos anteriormente es la mquina que configuramos como router y cortafuegos modificaremos y agregaremos algunas reglas IpTables para realizar las acciones que se nos piden en el enunciado del ejercicio.

Bien , abrimos el script reglas.sh en el servidor y aadimos las siguientes reglas iptables para lo que se nos pide:

-Denegamos el reenvo -Dejamos abierto el puerto del servidor web o HTTP -Dejamos abierto el Puerto HTTPS -Aceptamos que consulten los DNS

4

Miguel ngel Gonzlez Gonzlez

-Reglas.sh

#!/bin/sh ## SCRIPT de IPTABLES - ejemplo del manual de iptables echo -n Aplicando Reglas de Firewall... ## FLUSH iptables iptables iptables iptables de reglas -F -X -Z -t nat -F

## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP --------------------- Denegamos el reenvo. iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ##Empezamos a filtrar #A la interfaz lo le permitimos todo iptables A INPUT i lo j ACCEPT iptables A INPUT o lo j ACCEPT ## Dejamos abierto el puerto del servidor web o HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT ##Dejamos abierto el Puerto HTTPS iptables -A INPUT -p tcp --dport 443 -j ACCEPT # Aceptamos que consulten los DNS iptables -A FORWARD s 0/0 -p tcp --dport 53 -j ACCEPT iptables A FORWARD s 0/0 -p udp -dport 53 j ACCEPT # Abrimos el Puerto 22 SSH Iptables A INPUT p tcp dport 22 j ACCEPT ## Cerramos el rango de puertos privilegiados. /sbin/iptables A INPUT p tcp -dport 1:1024 j DROP /sbin/iptables A INPUT p udp dport 1:1024 j DROP ##Por ultimo las dos siguientes reglas permiten salir del equipo #(output) conexiones nuevas que nosotros solicitamos, conexiones establecidas # y conexiones relacionadas, y deja entrar (input) slo conexiones #establecidas y relacionadas. iptables A FORWARD m state -state ESTABLISHED,RELATED j ACCEPT # Enrutamiento la red local( para poder acceder al exterior desde el cliente. #En este punto debemos colocar la interfaz de red que usa el servidor para #conectarse a internet.

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.56.0/255.255.255.0 -j MASQUERADE sysctl w net.ipv4.ip_forward=1

5

Miguel ngel Gonzlez Gonzlez

Denegamos el reenvo:

Abrimos los puertos que se piden (http, https, dns):

6

Miguel ngel Gonzlez Gonzlez

Guardamos los cambios realizados y ejecutamos el script:

ComprobacinAhora comprobaremos que efectivamente se estn aplicando las nuevas reglas insertadas, para ello ejecutamos el comando: -# Iptables L -n

Por ltimo tambin podremos comprobar desde el cliente que se estn aplicando correctamente los servicios haciendo uso de la orden nmap 192.168.10.4 ( red del instituto ): -Nmap 192.168.10.4

7

Miguel ngel Gonzlez Gonzlez

Vemos como aparecen habilitados los servicios que le hemos concedido al cliente en la red. Ahora comprobaremos que el cliente tiene conexin a Internet:

Fuentes-http://moodle.iesgrancapitan.org/file.php/48/IPTABLEs.pdf

8