DIPLOMADO DE PROFUNDIZACIÓN EN LINUX (OPCIÓN DE TRABAJO DE GRADO) Paso 6 - Implementar sistemas orientados a la protección, la auditoria y seguridad informática
ESTUDIANTES: HENRY VANEGAS PLAZA CODIGO: 12283673
TUTOR DANIEL ANDRES GUZMÁN AREVALO
GRUPO: 201494_14
UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA LA PLATA HUILA
A. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:
Comandos IPTables.
Función(es) acción o finalidad sintaxis de cada comando.
Ejemplo contextualizado cada comando.
de
Comandos A las CADENAS por defecto podemos unir cadenas creadas por nosotros mismos para un mejor funcionamiento del filtrado o el enrutamiento.
Comando: iptables -L -n – v Donde,
-L: Muestra las reglas. -v: Muestra información El comando IPTABLES tiene a su vez detallada. parámetros y comandos que permitirán -n: Muestra la dirección ip y definir el comportamiento de una o varias reglas. Esto es, agregar una regla, modificar puerto en formato numérico. una regla existente, eliminar el nombre de No usa DNS para resolver una cadena nombres.
Tema 1: Cadena y opciones de comandos y de parámetros
-A Agregar nueva regla a la cadena especificada. -I Insertar nueva regla antes de la regla número_regla(rulenum) en la cadena especificada de acuerdo a los parámetros sometida. -R Reemplazar la regla (rulenum) en la cadena especificada. -E Modifica el nombre de la cadena. [nombre-anterior-cadena por nombrenueva-cadena] -L Listado de reglas de la cadena especificada. Si no se determina una cadena en particular, listará todas las cadenas existentes. -N Crear nueva cadena asociándola a un nombre. -P Modifica la acción por defecto de la cadena preseleccionada. -D Eliminar la regla_número(rulenum) en la cadena seleccionada. -Z Pone los contadores de paquetes y bytes a cero en la cadena seleccionada. De no poner seleccionar una cadena, pondrá a cero todos los contadores de todas las reglas en todas cadenas.
*Para ver el resto de comandos utilizar el comando: man iptables Parámetros
Mostrar las reglas de cadena de entrada y salida: iptables -L INPUT -n -v iptables -L OUTPUT -n -v -line-numbers. Parar / Iniciar / Reiniciar el firewall: service iptables stop service iptables start service iptables restart para borrar la línea 4: iptables -D INPUT 4 -D : Elimina una o más reglas de la cadena seleccionada. Insertar regla: Primero encontramos el número de línea:
iptables -L INPUT -n --linenumbers. Para insertar una regla entre 1 y 2; iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Todas las reglas en iptables tienen definida su condición por los parámetros, que constituyen su parte primordial. Algunos de estos parámetros son:
-i Interfaz de entrada (eth0,eth1,eth2…) -o Interfaz de salida (eth0,eth1,eth2…) – sport Puerto de origen – dport Puerto destino -p El protocolo del paquete a comprobar, tcp, udp, icmp ó all. Por defecto es all -j Esto especifica el objetivo de la cadena de reglas, o sea una acción – line-numbers Cuando listamos las reglas, agrega el número que ocupa cada regla dentro de la cadena *Para ver el resto de comandos utilizar el comando: man iptables Acciones Y finalmente, las ACCIONES que estarán siempre al final de cada regla que determinará qué hacer con los paquetes afectados. Si no se especifica ninguna acción, se ejecutará la opción por defecto que cada cadena tiene asignada. Las acciones serían:
ACCEPT Paquete aceptado. REJECT Paquete rechazado. Se envía notificación a través del protocolo ICMP. DROP Paquete rechazado. Sin notificación MASQUERADE Enmascaramiento de la dirección IP origen de forma dinámica.Esta acción es sólo válida en la tabla NAT en la cadena postrouting.
Guardar reglas: service iptables save
DNAT Enmascaramiento de la dirección destino, muy conveniente para re-enrutado de paquetes. SNAT enmascaramiento de la IP origen de forma similar a masquerade, pero con IP fija. Nota: Cuidado con el orden en el cual disponemos las reglas. IPTABLES LEE DE MANERA SECUENCIAL LAS CADENAS DE REGLAS. Es decir, comienza por la primera y verifica que se cumpla la condición y la ejecuta sin verificar las siguientes. Por consiguiente, si la primera regla en la tabla filter de la cadena input es rechazar cualquier paquete,las siguientes reglas no serán verificadas, y se rechazará cualquier paquete. La sintaxis de una regla basicamente sería: iptables -t tabla tipo_operación cadena regla_con_parámetros Acción Por ejemplo: iptables -t filter -A INPUT -p tcp -dport 23 -j DROP La cadena nos dice: Que en la tabla filter, la cadena input filtra los paquetes con protocolo tcp que entran por el puerto 23 (puerto asignado a telnet) y éstos son rechazados (DROP) sin ninguna notificación. Podríamos escribir lo mismo de otra forma,por ejemplo quitando “-t filter”, ya que es la tabla por defecto, además podemos cambiar el número de puerto por”telnet” que en realidad es su puerto asignado.
dport . Configura el puerto de destino para el paquete. Use bien sea un nombre de servicio (tal como www o smtp), número de puerto, o el rango de números de puertos para configurar esta opción. Para hojear los nombres y alias de los servicios de red y los números que ellos usan, visualice el archivo /etc/services. La opción -destination-port es sinónimo con -dport. Tema 2: Para especificar un rango de números Opciones de de puertos, separe los dos números con coincidencia dos puntos (:), tal como -p tcp --dport para el 3000:3200. protocolo El rango más grande aceptable es TCP 0:65535.Use un caracter de (Incluir exclamación (!) después de la opción banderas), UDP e ICMP -dport para coincidir todos los paquetes que no utilizan el servicio de red o puerto. --sport — Configura el puerto fuente del paquete usando las mismas opciones que --dport. La opción -source-port es sinónimo con --sport. --syn — Provoca que todos los paquetes designados de TCP, comúnmente llamados paquetes SYN, cumplan esta regla. Cualquier paquete que esté llevando un payload de datos no será tocado. Si se sitúa un punto de exclamación (!) como bandera tras la opción --syn se provoca que todos los paquetes no-SYN sean seleccionados. --tcp-flags — Permite a los paquetes TCP con bits específicos o banderas, ser coincididos con una regla. La opción --tcp-flags acepta dos parámetros. El primer parámetro es la máscara, la cual configura banderas a ser examinadas en el paquete. El segundo parámetro se refiere a la bandera que se debe configurar para poder coincidir.Las banderas posibles son: ACK FIN PSH RST
-p
Tipo de protocolo ej: -p TCP --dport Indica puerto de destino ej: -p UDP – dport 80. --sport Indica el puerto de origen ej:-p UDP – sport 53
SYN URG ALL NONE A veces es útil permitir conexiones TCP en una dirección, pero no en la otra. Por ejemplo, puede que queira permitir conexiones a un servidor WWW externo, pero no desde ese mismo servidor. La solución del inexperto sería bloquear los paquetes TCP que vengan del servidor. Desafortunadamente, las conexiones TCP precisan que los paquetes fluyan en ambas direcciones para poder funcionar.
mac Este módulo debe ser especificado de forma explícita con «-m mac» o «--match mac». Se usa para coincidencias en las direcciones Ethernet (MAC) de los paquetes entrantes, y por tanto sólo son útiles para los paquetes que pasan por las cadenas PREROUTING e INPUT. Proporciona sólo una opción: --mac-source
Seguida de un «!» opciona, y La solución es bloquear sólo los luego una dirección ethernet en Tema 3: paquetes que se usan para solicitar una notación hexadecimal separada por «:», por ejemplo «--macMódulos con conexión. A éstos se les llama paquetes source 00:60:08:91:CC:B7». opciones de SYN (ok, técnicamente son paquetes coincidencia con el indicador SYN activo, y los FIN limit
y ACK inactivos, pero los llamamos paquetes SYN para abreviar). Este módulo debe ser Rechazando estos paquetes, podemos especificado de forma explícita detener intentos de conexión en su con «-m limit» o «--match limit». Se usa para restringir la tasa de inicio. El indicador (flag) «--syn» se usa para este propósito: sólo es válido para las reglas que especifican TCP como protocolo. Por ejemplo, para especificar intentos de conexión TCP desde 192.168.1.1: -p TCP -s 192.168.1.1 --syn
Tema 4:
Una vez que un paquete ha coincidido con una regla, la regla puede dirigir el paquete a un número de objetivos
coincidencias, como por ejemplo para suprimir mensajes de registro. Sólo se activará un número dado de veces por segundo (por defecto, 3 coincidencias por hora, a ráfagas de 5). Tiene dos argumentos opcionales: --limit Seguido por un número; especifica el número máximo de coincidencias de media por segundo a permitir. El número puede especificar unidades de forma explícita, usando «/second», «/minute», «/hour», o «/day», o abreviadas (de manera que «5/second» es lo mismo que «5/s»). --limit-burst
Los siguientes son los objetivos estándar:
Opciones diferentes que deciden su suerte y, del objetivo posiblemente, toman acciones y del listado adicionales. Cada cadena tiene un
objetivo por defecto, el cual es usado si ninguna de las reglas en esa cadena coincide con un paquete o si ninguna de las reglas que coinciden con el paquete específica un objetivo. El comando predeterminado para listar, iptables -L, proporciona una vista muy básica de los filtros por defecto de las cadenas actuales de la tabla. Las opciones adicionales proporcionan más información:
— Reemplace con el nombre de una cadena definida por el usuario dentro de la tabla. Este objetivo pasa el paquete a la cadena objetivo. ACCEPT — Permite que el paquete se mueva hacia su destino (o hacia otra cadena, si no ha sido configurado ningún destino para seguir a esta cadena). DROP — Deja caer el paquete sin responder al solicitante. El sistema que envia el paquete no es notificado de esta falla. QUEUE — El paquete se pone en una cola para ser manejado por una aplicación en el espacio de usuario. RETURN — Para la verificación del paquete contra las reglas de la cadena actual. Si el paquete con un destino RETURN cumple una regla de una cadena llamada desde otra cadena, el paquete es devuelto a la primera cadena para retomar la verificación de la regla allí donde se dejó. Si la regla RETURN se utiliza en una cadena predefinida, y el paquete no puede moverse hacia la cadena anterior, el objetivo por defecto de la cadena actual decide qué acción llevar a cabo. -v — Muestra la salida por pantalla con detalles, como el número de paquetes y bytes que cada cadena ha visto, el número de paquetes y bytes que cada regla ha encontrado y
qué interfaces se aplican a una regla en particular. -x Expande los números en sus valores exactos. En un sistema ocupado, el número de paquetes y bytes vistos por una cadena en concreto o por una regla puede estar abreviado usando K (miles), M (millones), y G (billones) detrás del número. Esta opción fuerza a que se muestre el número completo. -n Muestra las direcciones IP y los números de puertos en formato numérico, en lugar de utilizar el nombre del servidor y la red tal y como se hace por defecto. --line-numbers — Proporciona una lista de cada cadena junto con su orden numérico en la cadena. Esta opción puede ser útil cuando esté intentando borrar una regla específica en una cadena o localizar dónde insertar una regla en una cadena.
Tema 5: Directivas de control de IPTables, guardado de reglas y archivos de configuración de scripts de control
-t — Especifica un nombre de tabla. Las reglas creadas con el comando Guradar: iptables son almacenadas en memoria. /sbin/service iptables sabe Si el sistema es reiniciado antes de guardar el conjunto de reglas iptables, start — Si se tiene un se perderán todas las reglas. Para que cortafuegos o firewall (es las reglas de filtrado de red persistan decir, /etc/sysconfig/iptables luego de un reinicio del sistema, estas existe), todos los iptables en necesitan ser guardadas. ejecución son detenidos completamente y luego Herramienta de configuración de nivel arrancados usando el comando de seguridad (system-config- /sbin/iptables-restore. La securitylevel) — Una interfaz gráfica directriz start sólo funcionará si para crear, activar y guardar reglas no se carga el módulo del básicas de cortafuegos. kernel ipchains. Control:
/sbin/service iptables — Un comando ejecutado por el usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a través de su script de inicio. Reemplace en el comando con alguna de las directivas siguientes:
stop — Si el cortafuegos está en ejecución, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los módulos iptables y ayudantes son descargados. Si se cambia la directiva IPTABLES_SAVE_ON_STOP dentro del archivo de configuración /etc/sysconfig/iptables-config de su valor por defecto a yes, se guardan las reglas actuales a /etc/sysconfig/iptables y cualquier regla existente se moverá al archivo /etc/sysconfig/iptables.save. restart — Si el cortafuegos está en ejecución, las reglas del mismo que se encuentran en memoria se descartan y se vuelva a iniciar el cortafuegos si está configurado en /etc/sysconfig/iptables. La directriz restart sólo funcionará si no está cargado el módulo del kernel ipchains.
B. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz la creación de las reglas para permitir o denegar las acciones solicitadas.
Interface Tem Tem Tema Tema 4: Turtle /Funcionali a 1: a 2: 3: dad Guf Zor LutelW w p all (uf GPL w) Turtle Firewall es un tipo de Descripción interfaz de usuario excelente, general de aunque más simple, para la iptables. Está integrado en Interface algo llamado webmin (una interfaz de administración web). Es bastante básico, y ni tan complejo ni capaz de manejar cambios tan complejos como el paquete fwbuilder, pero es más que capaz de manejar la mayoría de los firewalls más simples, así como también algunos más avanzados. Una gran ventaja con Turtle Firewall es el hecho de que está basado en la web y, por lo tanto, puede controlarse remotamente de una manera totalmente diferente que con fwbuilder y la mayoría de las otras herramientas. Por supuesto, también agrega un mayor riesgo de seguridad ya que webmin es un servicio adicional independiente que se ejecuta en el propio firewall.
Bloquear el acceso a nuestro equipo desde la IP 192.168.1.1 0a Través del puerto 22 en función del protocolo SSH.
iptables -A INPUT -p tcp –sport 22 22 → crea una regla para el puerto de origen tcp 2222
iptables -A INPUT -p tcp -m iprange – src-range 192.168.1.13-192.168.2.19 VER EL ESTADO DEL FIREWALL iptables -L -n v
Tema 5: Firew all Build er
Denegar el acceso a Internet para el Equipo con IP 192.168.1.1 0
Bloquear una dirección IP:
Restringir el acceso a la aplicación Dropbox URL de descarga
También podemos bloquear una url, por ejemplo, facebook:
iptables -A INPUT -s 192.168.1.10/22 -j DROP
Bloquear una dirección IP de salida:
iptables -A OUTPUT d 192.168.1.10 -j DROP
iptables -A OUTPUT p tcp -d https://www.dropbox. com/es/-j DROP
C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:
Firewall / Característic as
Tema 1: Endian
Endian es una distribución OpenSource de Linux, desarrollada Descripción para actuar no general de la solamente como distribución cortafuegos sino como solución integral para proteger su red de amenazas externas, ofreciendo todos los servicios que brinda un UTM (Gestión Unificada de Amenazas) fácil de usar e instalar. Además de ser útil para el control de amenazas, también cuenta con características especiales, permitiendo configurar proxys, canales VPN, enrutadores, filtrado de datos, así como herramientas antivirus y anti spam. Es bastante fácil de administrar y de instalar.
Tema 2: Tema Smoothwall Coyote Distribución y objetivos er lo suficientemente simple para ser instalados por los usuarios domésticos sin conocimientos de Linux. Soportar una amplia variedad de tarjetas de red, módems y otros equipos. Trabajamos con muchos diferentes métodos de conexión y proveedores de Internet de todo el mundo. Administrar y configurar el software utilizando un navegador web. Ejecutar de manera eficiente en hardware viejo y barato. Desarrollar una comunidad de usuarios de apoyo. Use el patrocinio de SmoothWall limitada para promover estos objetivos. SmoothWall es un cortafuegos que se distribuye bajo licencia GPL en dos versiones estándar: Una para procesadores basados en 386 y posteriores, y otra para procesadores de 64 bits
3: Tema 4: monowall
Tema 5: Guarddog
Es una Distribución Podemos distribución de basada en permitir Linux que cabe FreeBSD que conexiones o en un solo embarca un denegarlas a floppy y con la firewall, y ciertas que podemos que aplicaciones compartir una proporciona que trabajan conexión una pequeña con la red de a Internet a imagen que redes, así como modo de Router- se puede dar permiso de Firewall.. poner y apertura o ejecutar cierre de desde tarjetas puertos. o cartas CF, CD-ROM y discos rígidos o duros.
Distribución GNU/Linux en la que está basada
openSource de Linux -IPCop: es una distribución de Linux que se dedica a la implementación de cortafuegos o (Firewall), •Firewall (ambas direcciones) •Red Virtual Privada VPN •Gateway •VPN con OpenVPN o IPsec •Web Antivirus •Web Antispam •Email Antivírus •Email Antispam •Transparente HTTP-Proxy •Filtro de Contenido •Punto de Acceso sin Hilo Seguro •Protocolo de Inicializacão de Sesión - SIP y Soporte para VoIP •Traducción de Direcciones de Red nat •Multi direcciones IP (apelidos|aliases) •HTTPS web interfaz •Estadísticas de Conexión •Log de tráfico en la red •Redirecionamento de logs para servidor externo •Protocolo de Configuración Dinámica de HostDHCPServidor •Servidor de Tiempo NTPServidor •Sistema de Deteccão de Intrusos o Intrusion
servidor de seguridad de distribución de código fuente abierto basado en el GNU / Linux de funcionamiento
distribución de Versión Linux basado básica de en disquete FreeBSD con servidor PHP
herramienta gráfica (GUI)
Detection System IDS •ADSL-Modem Soporte Las características incluyen un firewall de inspección de paquetes, proxies a nivel de aplicación para los distintos Característic protocolos (HTTP, as de FTP, POP3, SMTP) Tráfico con el apoyo de antivirus, virus y spamfiltering para el tráfico de correo electrónico (POP y SMTP), filtrado de contenido de tráfico Web y una molestia ” libre “solución VPN (basada en OpenVPN). La principal ventaja de Endian Firewall es que es una pura “Open Source” solución que está patrocinado por Endian. Denegar el acceso del tráfico desde la red WAN hacia la red LAN. Que se adapte fácilmente a los requerimientos, ya que tiene la capacidad de implementar NAT, y nos brinda una interfaz Web, para administrar más fácilmente nuestro servidor Firewall. Mantenga sus emails protegidos de virus y spam. Endian Firewall asegura cualquier servidor o cliente de correos, gracias a proxies Característic transparentes. as de Cualquier servidor
Es una No requiere distribución GNU maquinas muy /Linux que tiene potentes, por lo como objetivo que podrás proporcionar usarlo en un cortafuegos o máquinas más firewall de fácil antiguas. Brinda administración e soporte para instalación, tarjetas Ethernet administrable a (con asignación través de una estática interfaz web. o DHCP), PPPoE, y PPP.
es el primer Trabaja bajo la sistema unix política que su general de momento de SElinux, por arranque ello da la tiene que ver impresión de con PHP que trabajamos con una GUI o interfaz del firewall de Linux, aunque no se trate realmente de ello.
Ser lo Capaz de ofrecer La más suficientemente el rendimiento y liviana de las simple para ser el tiempo de propuestas de instalados por los funcionamiento la entrada. usuarios que se espera de domésticos sin cualquier -Filtrado de conocimientos de sistema basado paquetes Linux. en Linux. Este -reglas de más seguro producto bloqueo firewall está
Ofrece validac ión de reglas (control de reglas incorrectas o incompatibles con el tipo de firewall que estamos gestionando),
Seguridad
de correos, como Microsoft Exchange o clientes como Outlook o Mozilla Thunderbird automáticamente serán protegidos y filtrados por Endian Firewall antivirus y antispam, no hay necesidad de modificar configuraciones de su servidor o cliente de correos.
autorizado para uso personal y educativo, y está disponible de forma gratuita.
-copias de seguridad -
compilador integrado que genera los ficheros de configuración específicos para cada plataforma y versión de software.
Seguridad Web El filtro de contenidos de Endian Firewall mantiene una experiencia de navegación web de forma segura, protegiendo contra virus y contenidos no deseados como violencia, pornografía o software pirata. Permite al administrador de la red monitorizar accesos, mejorando así la productividad. También es útil en aquellas compañías que buscan que sus empleados naveguen solo por sitios bien definidos, asegurando así la integridad de los negocios y un uso adecuado de los recursos.
Endian Firewall Es Un Software De
* Un procesador a Diseñado para el partir de Pentium propósito de 200 o compatible. proteger una red * 128 Mb de personal o
Configuració está n completa disponible en del sistema paquetes almacenada recompilados
Servidor De Seguridad De Código Abierto Que Se Ejecuta En Linux. Muchos
Hardware recomendad Usuarios Optan Por o para Instalar El Software instalación En Los
Ordenadores Endian Dedicados Exclusivamente Al Programa. Los Requisitos Del Sistema Para Ejecutar Firewall Endian Varían En Función Del Tamaño De La Red . CPU
Redes De Hasta 25 Usuarios Y Cinco Conexiones VPN Necesitan Un Procesador Pentium III A 1 GHz . PCs Con Endian En Redes De Hasta 50 Usuarios Requieren Un Pentium IV Corriendo A 2,8 GHz O Más Rápido . RAM Para Redes Más Pequeñas , Las
RAM. Para servicios adicionales se requiere más memoria. * Un disco duro de al menos 2 Gb. Puede ser IDE o SCSI. * Al menos una tarjeta de red y otro interfaz, ya sea cable modem, ADSL u otra tarjeta de red.
educativa. Además de ser diseñado para tener los requisitos de hardware muy bajo, se puede instalar en un 486 con 12 MB de memoria RAM, disquetera y 2 tarjetas de red
en formato para todas las XML plataformas -cualquier (RHEL, sistema x86 CentOS, CPU(500mh Ubuntu, z) Debían, SuSe, Ram(256mb) Mac OS X, FreeBSD, Windows…) y también en código fuente para compilarlo manualmente
Necesidades Endian Sólo 512 MB De RAM , Para Los Más Grandes , Endian Requiere Al Menos 1 GB
Espacio En Disco Duro Pequeñas Redes Necesitan Al Menos 8 GB De Espacio En Disco Duro Disponible . Mientras Que Las Más Grandes Tienen 20 GB De Disco Duro Disponible. Otros Componentes Todos Los Equipos Que Ejecutan Firewall Endian Necesitan Dos Tarjetas De Red De 100 MB . Además, Los Equipos Que Ejecutan Endian Deben Ser Equipados Con Componentes De Refrigeración De Más, Ya Que Deben Funcionar Sin Interrupción
Otras
La solución Endian Hostspot es una completa y flexible herramienta para manejar el acceso a Internet. Endian Hotspot permite a hoteles, librerías, escuelas, aeropuertos, bancos, ciber-cafes, entre otros, entregar
Ejecutar de Enrutador al Se usa con Es una manera eficiente que se conecta ordenadores herramienta en hardware viejo el módem del integrados de muy flexible y barato. ordenador con la los motores porque tiene Desarrollar una distribución, de pc más soporte para comunidad de para adsl o cable estándar una amplia usuarios de apoyo. módem. proporciona gama de característica firewalls, s de incluidos Linu cortafuegos x iptables, comerciales Cisco ASA & caros PIX, Cisco
característic as adicionales
a sus clientes acceso fácil y seguro a navegacion Web. Escoja la forma en que sus clientes navegan: sesiones basadas en tiempo o trafico, con tickets de prepago o postpago o incluso acceso liberado.
FWSM, Cisco router Access lists, pf, ipfw y ipfilter para BSD y HP ProCurve ACL firewalls.
BIOGRAFIA: https://access.redhat.com/documentation/es-es/red_hat_satellite/6.0/htmlsingle/user_guide/ http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-iptables-options.html https://elbauldelprogramador.com/20-ejemplos-de-iptables-para-sysadmins/