le-302 guia de laboratorios v1-6

Linux Enterprise Seguridad 2 – Netfilter/Iptables

Guía de laboratorios

Índice de contenido

Fundamentos del protocolo TCP/IP........................................................................................4Fundamentos del protocolo TCP/IP.......................................................................................5

Diagnóstico de red con TCPDump..........................................................................................6Diagnóstico de red con TCPDump.........................................................................................7

Capturas básicas con TCPDump.......................................................................................7Capturas TCPDump con expresiones combinadas ..........................................................8Capturas con primitivas....................................................................................................10

Configuración de cortafuegos...............................................................................................12Configuración de cortafuegos...............................................................................................13

Adinistración básica de reglas..........................................................................................13Adinistración cadenas y reglas.........................................................................................14Connection Tracking (Conntrack).....................................................................................16Permitiendo el acceso de FTP activo a clientes remotos................................................16Permitiendo el acceso de FTP pasivo y activo a servidores remotos.............................18Comparaciones explicitas................................................................................................21Registro de paquetes.......................................................................................................22Administración del reenvío de paquetes..........................................................................22Permitiendo conexiones establecidas y relacionadas entre subredes............................24Permitiendo conexiones SSH desde la red 1 hacia la red 2...........................................25Permitiendo conexiones FTP desde la red 1 hacia la red 2............................................25

Network Address Translation - NAT......................................................................................27Aplicaciones prácticas de NAT.............................................................................................28

Permitir acceso de una red privada a Internet con SNAT...............................................28Permitir el acceso a hosts internos con DNAT.................................................................30

Diagnóstico y registro de Netfilter........................................................................................32Diagnóstico y registro de netfilter.........................................................................................33

Control de tráfico....................................................................................................................35Control de tráfico..................................................................................................................36

Herramientas de configuración.............................................................................................41Herramientas de configuración.............................................................................................42

Nmap................................................................................................................................42Wireshark.........................................................................................................................42Firestarter.........................................................................................................................46Shorewall..........................................................................................................................48

Configuración de DNAT...............................................................................................51Firewall Builder.................................................................................................................51

Instalación de Firewall Builder y configuración de objetos..........................................52Creación de las políticas del cortafuegos....................................................................56

Configuración de SNAT y DNAT..................................................................................61Compilar y activar las reglas........................................................................................62Verificación de la configuración...................................................................................63

1Fundamentos del protocolo TCP/IP

Fundamentos del protocolo TCP/IP

Fundamentos del protocolo TCP/IP

1. Instale tres másquinas virtuales y configure cada máquina como se indica en el siguiente diagrama:

2. Cuántos números decimales es posible obtener con 7 bits? Cuál es el último número decimal posible?

3. Cuántos números decimales es posible obtener con 6 bits? Cuál es el último número decimal posible?

4. Cuál es la máscara indicada en decimal para la dirección IP 192.168.0.1/28?

5. En base a la dirección de clase C 192.168.20.0/24 realice los siguientes cálculos:

• Cree “x” cantidad de subredes con 8 hosts en cada subred. ¿Cuántas subredes serán creadas? Identifique la dirección de red y la dirección de broadcast para cada subred.

• Cree 6 subredes con “x” cantidad de hosts en cada subred. ¿Cuántos hosts pertenecerán a cada subred? Identifique la dirección de red y la dirección de broadcast para cada subred.

6. En base a la dirección de clase B 172.17.5.0/16 realice los siguientes cálculos:

Cree “x” cantidad de subredes con 500 hosts en cada subred. ¿Cuántas subredes serán creadas?

Cree 4 subredes con “x” cantidad de hosts en cada subred. ¿Cuántos hosts pertenecerán a cada subred?

5 Red Hat Certified Engineer

2Diagnóstico de red con TCPDump

Diagnóstico de red con TCPDump


Capturas básicas con TCPDump

1. En el host le-302, si no está instalada la herramienta tcpdump, instálela con el comando rpm o yum.

# rpm -ivh tcpdump# yum install tcpdump

2. En el host le-302, instale el paquete telnet-server.

# rpm -ivh telnet-server# yum install telnet-server

3. Utilice el comando chkconfig para activar el servicio telnet al inicio.

# chkconfig telnet on

4. Utilice el comando service xinetd reload para iniciar el servicio telnet.

# service xinetd reload

5. En el host le-302 agregue el usuario jperez con contraseña “password” con los comandos adduser y passwd.

# adduser jperez# passwd jperez

6. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes destinados al puerto 23 sin resolver los nombres de host

# tcpdump -i eth0 -n 'port 23'

7. En el host host1 utilice el comando telnet para conectarse al host le-302

# telnet 192.168.<x>1

8. En la salida del comando tcpdump identifique los paquetes relacionados al acuerdo de tres vias

9. En el host host1 ejecute el comando exit para terminar la sesion

10.En la salida del comando tcpdump identifique los paquetes relacionados a la finalización de la sesión

11. Realice la misma prueba capturando los paquetes con la opción -v. Identifique en la salida del comando:

◦ El tipo de servicio para el datagrama IP



◦ El TTL del datagrama IP

◦ El ID del datagrama IP

◦ La posición del datagrama IP

◦ Las banderas del datagrama. ¿Ha sido el datagrama fragmentado?

◦ El número del protocolo que viaja en el datagrama IP

◦ La longitud del datagrama IP

◦ ¿El checksum es correcto?

12.En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes destinados al puerto 23 sin resolver los nombres de host con un muestro de 1514 bytes realizando la conversión ASCII

# tcpdump -i eth0 -n -s 1514 -X 'port 23'

13.En el host host1 utilice el comando telnet para conectarse al host le-302

# telnet 192.168.<x>1

14.Observe detalladamente los datos de la comunicación. Intente identificar el usuario y la contraseña utilizados para iniciar sesión.

Capturas TCPDump con expresiones combinadas

1. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes enviados/recibidos en el puerto 23 entre el host host1 y le-302. Realice una conexión telnet desde host1 para verificar la captura.

# tcpdump -i eth0 -n 'host 192.168.<x>1 and host 192.168.<x>.2 and port 23'

2. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes recibidos en el puerto 23 generados por host1. Realice una conexión telnet desde host1 para verificar la captura.

# tcpdump -i eth0 -n 'dst port 23 and src host 192.168.<x>.2'

3. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes originados por el puerto 23 y destinados a host1. Realice una conexión telnet desde host1 para verificar la captura.

# tcpdump -i eth0 -n 'src port 23 and dest host 192.168.<x>.2'

4. Si no está instalado el paquete vsftpd en el host le-302, instale el paquete e inicie el servicio.

Ing. Ivan Ferreira 8


# yum install vsftpd# chkcofnig vsftpd on# service vsftpd start

5. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes entre host 1 y los puertos 20 o 21.

# tcpdump -i eth0 -n 'host 192.168.<x>2 and (port 20 or port 21)'

6. En el host host1 utilice el comando ftp para iniciar una conexión a le-302 con el usuario jperez

# ftp 192.168.<x>.1

7. Una vez iniciada sesión ftp, desactive el modo FTP pasivo con el comando pas y verifique que está desactivado el modo pasivo con el comando statftp> pasftp> stat

8. Con el cliente ftp realice un listado del directorio con el comando ls. ¿Que puertos fueron utilizados entre el cliente y el host? ¿Quien inicio la conexión a este nuevo puerto?

9. Active el modo FTP pasivo con el comando pas y verifique que está activado el modo pasivo con el comando statftp> pasftp> stat

10.Con el cliente ftp realice un listado del directorio con el comando ls. ¿Que puertos fueron utilizados entre el cliente y el host?

11. En el host le-302 detenga el servicio vsftpd

# service vsftpd stop

12.En el host host1 utilice el comando ftp para iniciar una conexión a le-302 con el usuario jperez

# ftp 192.168.<x>.1

13.En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes entre host 1 y los puertos 20 o 21.

# tcpdump -i eth0 -n 'host 192.168.<x>.2 and (port 20 or port 21)'

¿Cuál es el indicador del paquete de respuesta generado por le-302?

14.En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes ICMP almacenando la captura en el archivo /tmp/tcpdump.out



# tcpdump -i eth0 -n -w /tmp/tcpdump.out 'icmp'

15.En el host host1 utilice el comando ping para enviar 5 paquetes ICMP al host le-302

# ping -c 5 192.168.<x>.1

16.En el host le-302 cancele la captura del comando tcpdump17.En el host le-302 utilice el comando tcpdump para leer el archivo

/tmp/tcpdump.out# tcpdump -r /tmp/tcpdump.out

Capturas con primitivas

1. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes TCP con puerto origen mayor a 1024 y puerto destino menor o igual a 21. Realice una prueba de la captura intentando una conexión telnet y ftp desde host1.

# tcpdump -i eth0 -n 'tcp[0:2]>1024 and tcp[2:2]<1024'

2. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes TCP con el indicador SYN activo

# tcpdump -i eth0 -n 'tcp[13]=2'

3. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes TCP con el indicador SYN o SYN + ACK activo

# tcpdump -i eth0 -n 'tcp[13]=2 or tcp[13]=18'

4. En el host host1 instale el paquete nmap con el comando rpm o yum.

# yum install nmap

5. Visualice la página man del comando nmap para identificar qué significa un paquete Xmas.

6. En el host le-302 utilice el comando tcpdump sobre la interfaz eth0 para capturar los paquetes TCP Xmas hacia el puerto 21.

# tcpdump -i eth0 -n 'port 21 and tcp[13]=41'

7. En el host host1 utilice el comando nmap para enviar un paquete Xmas al puerto ftp

# nmap -sX -p 21 192.168.<x>.1

8. En el host le-302 utilice el comando tcpdump para capturar todos los paquetes UDP con puerto destino menor a 60.

# tcpdump -i eth0 -n 'udp[2:2]<60'



9. En el host host1 utilice el comando dig para enviar una consulta UDP al host le-302

# dig @192.168.<x>.1 www.linux.com.py

10.En el host le-302 utilice el comando tcpdump para capturar todos los paquetes ICMP echo-request

# tcpdump -i eth0 -n 'icmp[0]=8'

11. En el host le-302 utilice el comando tcpdump para capturar todos los paquetes ICMP echo-reply

# tcpdump -i eth0 -n 'icmp[0]=0'


3Configuración de cortafuegos

Configuración de cortafuegos


Adinistración básica de reglas

1. En el host le-302, utilice el comando iptables para listar todas las cadenas de las tablas filter, nat y mangle. ¿Cuáles son las cadenas que existen en cada tabla? ¿Cuál es la política por defecto de cada cadena?

# iptables -t filter -nL# iptables -t nat -nL# iptables -t mangle -nL

Filter: INPUT, FORWARD, OUTPUT

NAT: PREROUTING, POSTROUTING, OUTPUT

Mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

La política por defecto es ACCEPT

2. Desde host1, asegúrese que puede conectarse utilizando el comando telnet al host le-302. Desconectese nuevamente.

3. En el host le-302, utilice el comando iptables para crear una regla que rechaze las conexiones entrantes destinadas al puerto tcp/23.

# iptables -t filter -A INPUT -p tcp --dport 23 -j REJECT

4. Desde host1, intente conectarse utilizando el comando telnet al host le-302. ¿Que mensaje recibe?

5. En el host le-302, utilice el comando iptables para listar todas las reglas de la tabla filter con los números de línea.

# iptables -t filter -nL --line-numbers

6. En el host le-302, utilice el comando iptables para crear eliminar la regla creada.

# iptables -t filter -D INPUT 1

7. En el host le-302, utilice el comando iptables para crear una regla que descarte las conexiones entrantes destinadas al puerto tcp/23.

# iptables -t filter -A INPUT -p tcp -dport 23 -j DROP

8. Desde host1, intente conectarse utilizando el comando telnet al host le-302. ¿Que mensaje recibe?

9. Realice un purgado de todas las reglas de la cadena INPUT de la tabla filter



# iptables -t filter -F INPUT

Adinistración cadenas y reglas

En este laboratorio se configurarán cadenas personalizadas en la tabla filter. El diagrama de aplicación de las reglas sería el siguiente:

1. En el host le-302, utilice el comando iptables para establecer la política por defecto a DROP en la cadena INPUT de la tabla filter

# iptables -t filter -P INPUT DROP

10.Desde host1, intente conectarse utilizando el comando ssh al host le-302. ¿Que mensaje recibe?

2. En el host le-302, utilice el comando iptables para crear una que esté ubicada en la primera posición de la cadena INPUT que permita las conexiones originadas o destinadas a la interfaz loopback para todos los protocolos

# iptables -t filter -I INPUT 1 -p ALL -i lo -j ACCEPT

3. En el host le-302, utilice el comando iptables para agregar una cadena llamada tcp_allow en la tabla filter

# iptables -t filter -N tcp_allow

4. En el host le-302, utilice el comando iptables para agregar reglas a la cadena tcp_allow para permitir el ingreso de conexiones nuevas, establecidas y relacionadas, pero no conexiones invalidas.

# iptables -t filter -A tcp_allow -p tcp --syn -j ACCEPT# iptables -t filter -A tcp_allow -p tcp -m state \--state ESTABLISHED,RELATED -j ACCEPT# iptables -t filter -A tcp_allow -p tcp -j DROP

5. En el host le-302, utilice el comando iptables para agregar una cadena llamada tcp_packets en la tabla filter la cual contendrá las reglas para todos los paquetes TCP



# iptables -t filter -N tcp_packets

6. En el host le-302, utilice el comando iptables para agregar una regla a la cadena INPUT que permita las conexiones entrantes TCP en base a las reglas de la cadena tcp_packets en la interfaz eth0

# iptables -t filter -A INPUT -p tcp -i eth0 -j tcp_packets

7. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones al puerto de SSH desde la red 192.168.<x>.0/24 en base a las reglas de la cadena tcp_allow

# iptables -t filter -A tcp_packets -p tcp -s 192.168.<x>.0/24 \--dport 22 -j tcp_allow

11. Desde host1, intente conectarse utilizando el comando ssh al host le-302. ¿Ha podido conectarse correctamente?

8. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones al puerto HTTP y HTTPs desde cualquier origen en base a las reglas de la cadena tcp_allow

# iptables -t filter -A tcp_packets -p tcp -s 0/0 --dport 80 -j tcp_allow# iptables -t filter -A tcp_packets -p tcp -s 0/0 --dport 443 -j tcp_allow

9. Desde host1, intente conectarse utilizando el comando elinks al host le-302. ¿Ha podido conectarse correctamente?

# elinks –dump 192.168.<x>.1

10.En el host le-302, utilice el comando iptables para listar todas las cadenas y reglas de la tabla filter con los números de línea

iptables -t filter -nL –line-numbers

11. En el host le-302, utilice el comando iptables para agregar una cadena llamada udp_packets en la tabla filter la cual contendrá las reglas para todos los paquetes UDP

# iptables -t filter -N udp_packets

12.En el host le-302, utilice el comando iptables para agregar una regla a la cadena INPUT que permita las conexiones entrantes TCP en base a las reglas de la cadena tcp_packets en la interfaz eth0

# iptables -t filter -A INPUT -p udp -i eth0 -j udp_packets

13.En el host le-302, utilice el comando iptables para agregar una regla a la cadena udp_packets que permita las conexiones entrantes UDP provenientes del servicio DNS



# iptables -t filter -A udp_packets -p udp -s 0/0 --sport 53 -i eth0 -j ACCEPT

14.En el host le-302, utilice el comando iptables para listar todas las cadenas y reglas de la tabla filter con los números de línea en modo verbose

# iptables -t filter -nL –line-numbers -v

15.En el host le-302, utilice el comando service para guardar todas las cadenas y reglas configuradas

# service iptables save

16.En el host le-302, utilice el comando service para detener el servicio iptables

# service iptables stop

17.En el host le-302, utilice el comando iptables para listar todas las cadenas de la tabla filter

# iptables -t filter -nL –line-numbers -v

18.En el host le-302, utilice el comando service para iniciar el servicio iptables

# service iptables start

19.En el host le-302, utilice el comando service para verificar las reglas iptables

# service iptables status

Connection Tracking (Conntrack)

Permitiendo el acceso de FTP activo a clientes remotos

En este laboratorio se utilizará un módulo de conntrack para permitir la ejecución de FTP en modo activo. FTP en modo activo trabaja como se indica en la siguiente imágen:



1. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones al puerto de FTP desde la red 192.168.<x>.0/24 en base a las reglas de la cadena tcp_allow

# iptables -t filter -A tcp_packets -p tcp -s 192.168.<x>.0/24 \--dport 21 -j tcp_allow

2. Desde host1 conéctese utilizando el comando ftp al host le-302. Verifique que esta utilizando ftp en modo pasivo con el comando stat y ejecute el comando ls -la. Ha obtenido la lista de archivos correctamente?

ftp> statftp> ls -la

3. En el prompt del comando ftp, ejecute el comando pas y luego stat para verificar que el modo FTP pasivo esta desactivado. Ejecute el comando ls -la. ¿Ha obtenido la lista de archivos correctamente? Explique lo que está sucediendo

ftp> pasftp> statftp> ls -la

No existe ninguna regla que permita la entrada de conexiones al puerto 20.

4. En el prompt del comando ftp, ejecute el comando byeftp> bye

5. En el host le-302, utilice el comando iptables para agregar una cadena llamada ftp_allow en la tabla filter

# iptables -t filter -N ftp_allow

6. En el host le-302, utilice el comando iptables para agregar reglas a la cadena ftp_allow para permitir el ingreso de conexiones establecidas y relacionadas, pero no conexiones nuevas o invalidas.

# iptables -A ftp_allow -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT# iptables -A ftp_allow -p tcp -j DROP

7. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones al puerto FTP-DATA desde cualquier origen en base a las reglas de la cadena ftp_allow

# iptables -t filter -A tcp_packets -p tcp -s 192.168.<x>/0 --dport 20 -j ftp_allow

8. Desde host1 conéctese utilizando el comando ftp al host le-302. Ejecute el comando pas. Verifique que esta utilizando ftp en modo activo con el comando stat y ejecute



el comando ls -la. Ha obtenido la lista de archivos correctamente?



Permitiendo el acceso de FTP pasivo y activo a servidores remotos

En este laboratorio se utilizará un módulo de conntrack para permitir la ejecución de FTP en modo activo. FTP en modo activo trabaja como se indica en la siguiente imágen:

FTP en modo pasivo trabaja como se indica en la siguiente imágen:

1. En el host host1, instale el paquete vsftpd con el comando rpm o yum. Inicie el servicio con el comando service.

# yum install vsftpd# service vsftpd start

2. En el host host1, cree el usuario plopez con el comando useradd. Establezca como contraseña al usuario “password” con el comando passwd.

# useradd plopez# passwd plopez



3. En el host le-302, utilice el comando lsmod para verificar que el módulo ip_conntrack_ftp no está cargado en el kernel

# lsmod | grep ip_conntrack

4. Desde el host le-302 conéctese utilizando el comando ftp al host le-302 utilizando el usuario plopez. Ha logrado conectarse correctamente? Explique lo que está sucediendo

# ftp 192.168.<x>.2

No existe una regla que permita las conexiones provenientes del puerto 21.

5. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones provenientes del puerto FTP desde cualquier origen en base a las reglas de la cadena ftp_allow

# iptables -t filter -A tcp_packets -p tcp -s 0/0 --sport 21 -j ftp_allow

6. Desde el host le-302 conéctese utilizando el comando ftp al host le-302 utilizando el usuario plopez . Ha logrado conectarse correctamente?

# ftp 192.168.<x>.2

La conexión es exitosa

7. En el prompt del comando ftp, ejecute el comando stat para verificar que el modo FTP pasivo esta activado. Ejecute el comando ls -la. ¿Ha obtenido la lista de archivos correctamente? Explique lo que está sucediendo


No existe una regla para permitir la entrada de conexiones establecidas originadas de puertos mayores a 1024


9. En el host le-302, utilice el comando iptables para agregar reglas a la cadena tcp_packets para permitir el ingreso de conexiones establecidas entre puertos mayores a 1024.

# iptables -t filter -A tcp_packets -p tcp -m state --state ESTABLISHED -s 0/0 \--sport 1024: -d 192.168.<X>.1 --dport 1024: -j ACCEPT

10.Desde el host le-302 conéctese utilizando el comando ftp al host le-302 utilizando el usuario plopez .



# ftp 192.168.<x>.2

11. En el prompt del comando ftp, ejecute el comando stat para verificar que el modo FTP pasivo esta activado. Ejecute el comando ls -la. ¿Ha obtenido la lista de archivos correctamente?


Si.

12.En el prompt del comando ftp, ejecute el comando pas y luego stat para verificar que el modo FTP pasivo esta activado. Ejecute el comando ls -la. ¿Ha obtenido la lista de archivos correctamente? Explique lo que está sucediendo


No existe una regla que permita una nueva conexión desde ftp-data

13.En el prompt del comando ftp, ejecute el comando byeftp> bye

14.En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets que permita conexiones establecidas y relacionadas originadas por el puerto FTP-DATA desde cualquier origen

# iptables -A tcp_packets -p tcp -m state --state ESTABLISHED,RELATED -s 0/0 \--sport 20 -d 192.168.<x>.1 --dport 1024: -j ACCEPT

15.Desde el host le-302 conéctese utilizando el comando ftp al host host1. Ejecute el comando pas. Verifique que esta utilizando ftp en modo activo con el comando stat y ejecute el comando ls -la. Ha obtenido la lista de archivos correctamente? Explique lo que está sucediendo


No. Debido a que Netfilter no puede identificar una conexión relacionada FTP sin el módulo ip_conntrack_ftp.


17.En el host le-302, utilice el comando modprobe para cargar el módulo ip_conntrack_ftp

# modprobe ip_conntrack_ftp



18.Desde el host le-302 conéctese utilizando el comando ftp al host host1. Ejecute el comando pas. Verifique que esta utilizando ftp en modo activo con el comando stat y ejecute el comando ls -la. Ha obtenido la lista de archivos correctamente? Explique lo que está sucediendo


Si


Comparaciones explicitas

En este laboratorio se utilizará la comparación (match) de límite para restringir la cantidad de paquetes ICMP que puede aceptar el equipo.

1. En el host host1, utilice el comando ping para verificar si el host le-302 se encuentra disponible. ¿Ha recibido respuesta del host le-302? Explique lo que está sucediendo

# ping 192.168.<x>.1

No. No existe una regla que permita paquetes ICMP entrantes

2. En el host le-302, utilice el comando iptables para agregar nueva cadena llamada icmp_packets

# iptables -t filter -N icmp_packets

3. En el host le-302, utilice el comando iptables para agregar una regla a la cadena INPUT que permita las conexiones entrantes ICMP en base a las reglas de la cadena icmp_packets en la interfaz eth0

# iptables -t filter -A INPUT -p icmp -i eth0 -j icmp_packets

4. Los paquetes ICMP nunca deberían estar fragmentados. En el host le-302, utilice el comando iptables para agregar una regla a la cadena icmp_packet para denegar paquetes ICMP fragmentados

# iptables -t filter -A icmp_packets --fragment -p icmp -j DROP

5. En el host le-302, utilice el comando iptables para agregar una regla a la cadena icmp_packets que permita las conexiones entrantes ICMP con un límite de 15 por minuto

# iptables -t filter -A icmp_packets -p icmp --icmp-type 8 -m limit \--limit 15/minute --limit-burst 15 -j ACCEPT



6. En el host host1, utilice el comando ping para verificar que el host le-302 responde los paquetes ICMP.

# ping 192.168.<x>.1

7. En el host host1, utilice el comando ping con la opción -f para verificar que los límites al comando ping son establecidos.

# ping -f 192.168.<x>.1

Registro de paquetes

En este laboratorio se utilizará el target LOG para registrar conexiones entrantes vía SSH.

1. En el host le-302, utilice el comando iptables para agregar una regla a la cadena tcp_packets al principio de la cadena que registre todas las conexiones nuevas realizadas vía SSH provenientes de la red 192.168.<x>.0/24 con el prefijo “Conexion SSH: ”

# iptables -t filter -I tcp_packets 1 -p tcp -s 192.168.<x>.0/24 \--dport 22 -m state --state NEW -j LOG --log-prefix "Conexion SSH: "

2. En el host le-302, utilice el comando tail con la opción -f para visualizar los mensajes registrados en el archivo /var/log/messages# tail -f /var/log/messages

3. En el host host1, utilice el comando ssh para conectarse al host le-302.

# ssh 192.168.<x>.1

4. En el host le-302 verifique los mensajes obtenidos en el archivo messages.

Administración del reenvío de paquetes

En este laboratorio se configurará un firewall que controle el tráfico entre la subred 192.168.<x>.0/24 y la red 10.0.<x>.0/24.

1. En el host le-302 realice el siguiente procedimiento para borrar la configuración actual de iptables:

# service iptables stop# mv /etc/sysconfig/iptables /etc/sysconfig/iptables.lab3-0

2. En el host le-302 verifique que tiene respuesta de los hosts host1 y host2 utilizando el comando ping:

# ping 192.168.<x>.2# ping 10.0.<x>.2



3. En host1, asegúrese que tiene configurada la puerta de enlace por defecto 192.168.<x>.1 en el archivo /etc/sysconfig/network


5. En host1 verifique si puede comunicarse con el host2 utilizando el comando ping. ¿Ha obtenido respuesta de host2? Explique lo que está sucediendo y NO cancele el comando ping# ping 10.0.<x>.2

No hay respuesta debido a que el ruteador no permite el reenvío de paquetes.

6. En el host le-302 active el reenvío de paquetes editando el archivo /etc/sysctl.conf# vi /etc/sysctl.confnet.ipv4.ip_forward = 1

# sysctl -p

7. En host1 verifique si puede comunicarse con el host2 utilizando el comando ping. ¿Ha obtenido respuesta de host2?

Si.

8. En el host le-302, utilice el comando iptables para establecer las siguientes reglas básicas y describa las funciones de cada una de ellas:

# iptables -t filter -P INPUT DROP (1)# iptables -t filter -I INPUT 1 -p ALL -i lo -j ACCEPT (2)

# iptables -t filter -N tcp_in_packets (3)# iptables -t filter -A tcp_in_packets -p tcp -m state \--state ESTABLISHED,RELATED -j ACCEPT (4)# iptables -t filter -A tcp_in_ packets -p tcp -j DROP (5)# iptables -t filter -A INPUT -p tcp -j tcp_in_packets (6)

(1) Establece la política por defecto descartar todos los paquetes

(2) Aceptar todos los paquetes en la interfaz loopback

(3) Crea una nueva cadena tcp_in_packets

(4) Permite conexiones establecidas y relacionadas

(5) Descartar los demás paquetes

(6) Agrega a la cadena INPUT las reglas de la cadena tcp_in_packets



9. En host1 verifique si mantiene la comunicación con host2 luego de la adición de las reglas básicas. Explique lo que está sucediendo

La comunicación se mantiene debido a que las reglas no fueron creadas para la cadena FORWARD la cual se aplica a los paquetes reenviados entre interfaces.

10.En el host le-302, utilice el comando iptables para establecer la política por defecto para la cadena FORWARD a DROP

# iptables -P FORWARD DROP

11. En host1 verifique si mantiene la comunicación con host2 luego de la modificación de la política de la cadena.

La comunicación se pierde debido a que Netfilter bloquea el reenvío de todos los pauqetes.

12.En el host le-302, utilice el comando iptables para agregar nueva cadena llamada icmp_packets

# iptables -t filter -N icmp_packets

13.En el host le-302, utilice el comando iptables para agregar una regla a la cadena FORWARD que permita las conexiones entrantes ICMP en base a las reglas de la cadena icmp_packets

# iptables -t filter -A FORWARD -p icmp -j icmp_packets

14.En el host le-302, utilice el comando iptables para agregar una regla a la cadena icmp_packets que permita paquetes ICMP con un límite de 15 por minuto y su retorno respectivo

# iptables -t filter -A icmp_packets -p icmp --icmp-type 8 -m limit \--limit 15/minute --limit-burst 15 -j ACCEPT# iptables -t filter -A icmp_packets -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

15.En host1 verifique si mantiene la comunicación con host2 luego de la creación de las cadena icmp_packets.

Permitiendo conexiones establecidas y relacionadas entre subredes

1. En el host le-302, utilice el comando iptables para agregar nueva cadena llamada tcp_fw_packets

# iptables -t filter -N tcp_fw_packets

2. En el host le-302, utilice el comando iptables para permitir paquetes relacionados a conexiones establicidas y relacionadas en la cadena tcp_fw_packets y descarte las demás conexiones



# iptables -t filter -A tcp_fw_packets -p tcp -m state \--state ESTABLISHED,RELATED -j ACCEPT# iptables -t filter -A tcp_fw_packets -p tcp -j DROP

3. En el host le-302, utilice el comando iptables para agregar una regla a la cadena FORWARD que permita las conexiones TCP en base a las reglas de la cadena tcp_fw_packets

# iptables -t filter -A FORWARD -p tcp -j tcp_fw_packets

Permitiendo conexiones SSH desde la red 1 hacia la red 2

1. En host1 verifique si puede establecer una comunicación vía SSH con host2.

No es posible establecer la comunicación vía SSH con host2.

2. En el host le-302, utilice el comando iptables para agregar nueva cadena llamada tcp_net1-net2_packets

# iptables -t filter -N tcp_net1-net2_packets

3. En el host le-302, utilice el comando iptables para permitir paquetes relacionados a conexiones nuevas SSH desde la red 1 hacia la red 2 en la cadena tcp_net1-net2_packets

# iptables -t filter -A tcp_net1-net2_packets -s 192.168.<x>.0/24 -d 10.0.<x>.0/24 \-p tcp --dport 22 -m state --state NEW -j ACCEPT

4. En el host le-302, utilice el comando iptables para insertar en primera posición de la la cadena FORWARD una regla que permita el reenvío de paquetes en base a las reglas de la cadena tcp_net1-net2_packets

# iptables -t filter -I FORWARD 1 -j tcp_net1-net2_packets

5. En host1 verifique si puede establecer una comunicación vía SSH con host2.

La conexión es satisfactoria.

Permitiendo conexiones FTP desde la red 1 hacia la red 2

1. En host2 instale el servicio vsftpd e inicie el servicio, agregue el usuario hgomez con contraseña “password”.

# yum install vsftpd# service vsftpd start# useradd hgomez# passwd hgomez

2. En host1 verifique si puede establecer una comunicación vía ftp con host2.



No es posible establecer la comunicación vía FTP con host2.

3. En el host le-302, utilice el comando iptables para permitir paquetes relacionados a conexiones nuevas FTP desde la red 1 hacia la red 2 en la cadena tcp_net1-net2_packets

# iptables -t filter -A tcp_net1-net2_packets -s 192.168.<x>.0/24 -d 10.0.<x>.0/24 \-p tcp --dport 21 -m state --state NEW -j ACCEPT# modprobe ip_conntrack_ftp

4. En host1 verifique si puede establecer una comunicación vía FTP con host2 y puede listar directorios utilizando el comando ls -la tanto en modo activo como en modo pasivo.

La conexión es satisfactoria.


4Network Address Translation - NAT

Network Address Translation - NAT

Aplicaciones prácticas de NAT

Permitir acceso de una red privada a Internet con SNAT

En este laboratorio se configurará un firewall que permita el acceso a Internet a la red subred 192.168.<x>.0/24 utilizando SNAT.

1. En el host le-302 realice el siguiente procedimiento para borrar la configuración actual de iptables:


2. En el host le-302 verifique que tiene respuesta de los hosts 172.17.<x>.2 y host1 utilizando el comando ping:

# ping 192.168.<x>.2# ping 172.17.<x>.2

3. En el host le-302, asegúrese que tiene configurada la puerta de enlace por defecto 172.17.<x>.2 en el archivo /etc/sysconfig/network

4. En el host le-302, asegúrese que tiene configurada el servidor DNS 172.17.<x>.2 en el archivo /etc/resolv.conf

5. En el host le-302, asegúrese que puede resolver la dirección www.google.com.py utilizando el comando dig# dig www.google.com.py



6. En el host le-302, asegúrese que puede navegar correctamente al sitio www.google.com.py utilizando el comando elinks# elinks --dump www.google.com.py

7. En el host le-302, asegúrese que está activo el reenvío IP con el comando sysctl# sysctl -a | grep ip_forward


9. En host1, asegúrese que tiene configurado el servidor DNS 172.17.<x>.2 en el archivo /etc/resolv.conf

10.En host1 verifique si puede resolver la dirección www.google.com.py con el comando dig. Explique lo que está sucediendo

# dig www.google.com.py

No hay respuesta debido a que no es posible contactar con el servidor de nombres.


# iptables -t filter -P INPUT DROP (1)# iptables -t filter -I INPUT 1 -p ALL -i lo -j ACCEPT (2)

# iptables -t filter -N in_packets (3)# iptables -t filter -A in_packets -m state \--state ESTABLISHED,RELATED -j ACCEPT (4)# iptables -t filter -A in_packets -j DROP (5)# iptables -t filter -A INPUT -p tcp -j in_packets (6)# iptables -t filter -A INPUT -p udp -j in_packets (7)

(1) Establece la política por defecto descartar todos los paquetes


(3) Crea una nueva cadena in_packets


(5) Descartar los demás paquetes

(6) Agrega a la cadena INPUT una regla para permitr paquetes TCP en base a las reglas de la cadena in_packets

(7) Agrega a la cadena INPUT una regla para permitr paquetes UDP en base a las reglas de la cadena in_packets



12.En el host le-302, utilice el comando iptables para establecer la política por defecto para la cadena FORWARD a DROP

# iptables -P FORWARD DROP

13.En el host le-302, utilice el comando iptables para crear una regla que permita paquetes de salida desde la red local hacia Internet y sus correspondientes paquetes de retorno a través de la cadena FORWARD

# iptables -t filter -A FORWARD -p all -s 192.168.<x>.0/24 -d 0/0 -j ACCEPT# iptables -t filiter -A FORWARD -s 0/0 -d 192.168.<x>.0/24 -m state \--state ESTABLISHED,RELATED -j ACCEPT

14.En el host le-302, utilice el comando iptables para crear una regla que realice SNAT de la red 192.168.<x>.0/24

# iptables -t nat -A POSTROUTING -s 192.168.<x>.0/24 -o eth2 -j SNAT \--to-source 172.17.<x>.1

15.En el host host1, asegúrese que puede resolver la dirección www.google.com.py utilizando el comando dig# dig www.google.com.py

16.En el host host1, asegúrese que puede navegar correctamente al sitio www.google.com.py utilizando el comando elinks# elinks --dump www.google.com.py

Permitir el acceso a hosts internos con DNAT

En este laboratorio se configurará un firewall que permita el acceso a Internet al servicio HTTP alojado en un equipo de la red 10.0.<x>.0/24 utilizando DNAT simulando una DMZ.

1. Instale el paquete httpd en el host 2 con el comando yum o rpm e inicie el servicio

# yum install httpd# service httpd start

2. En el host le-302 asegúrese que el servicio httpd está detenido

# service httpd stop

17.En el host le-302, utilice el comando iptables para crear una regla que permita paquetes de salida desde la red DMZ hacia Internet y sus correspondientes paquetes de retorno a través de la cadena FORWARD

# iptables -t filter -A FORWARD -p all -s 10.0.<x>.0/24 -d 0/0 -j ACCEPT# iptables -t filiter -A FORWARD -s 0/0 -d 10.0.<x>.0/24 -m state \--state ESTABLISHED,RELATED -j ACCEPT



18.En el host le-302, utilice el comando iptables para crear una regla que realice SNAT de la red 192.168.<x>.0/24

# iptables -t nat -A POSTROUTING -s 10.0.<x>.0/24 -o eth2 -j SNAT \--to-source 172.17.<x>.1

3. En el host le-302, utilice el comando iptables para crear una regla que permita paquetes de entrada desde la Internet al puerto 80

# iptables -t filter -I in_packets 1 -p tcp --dport 80 -j ACCEPT

4. En el host le-302, utilice el comando iptables para crear una regla que permita el reenvío de paquetes desde la interfaz conectada a Internet hacia la interfaz conectada a la DMZ con puerto destino 80

# iptables -t filter -A FORWARD -i eth2 -o eth1 -d 10.0.<x>.2 -p tcp --dport 80 -j ACCEPT

5. En el host le-302, utilice el comando iptables para crear una regla que realice DNAT del puerto 80 al equipo 10.0.<x>.2 puerto 80

# iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT \--to 10.0.<x>.2:80


5Diagnóstico y registro de Netfilter

Diagnóstico y registro de Netfilter

Diagnóstico y registro de netfilter

En este laboratorio, configurará una regla de IPTables para detectar ataques de fuerza bruta vía SSH.

1. En el host le-302, utilice el comando service para eliminar todas las reglas configuradas


2. En el host le-302, utilice el comando iptables para establecer la política por defecto para la cadena INPUT a DROP

# iptables -P INPUT DROP


# iptables -t filter -I INPUT 1 -p ALL -i lo -j ACCEPT (1)# iptables -t filter -A INPUT -m state \--state ESTABLISHED,RELATED -j ACCEPT (2)



4. En el host le-302, utilice el comando iptables para crear reglas utilizando la comparación recent para registrar más de 5 intentos de conexión en un minuto vía SSH desde la misma dirección IP. Explique la función de de cada regla.

# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent \--set --name SSH (1)# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent \--update --seconds 60 --hitcount 5 --rttl --name SSH -j LOG \--log-prefix "Posible ataque SSH: " (2)# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent \--update --seconds 60 --hitcount 5 --rttl --name SSH -j DROP (3)# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT (4)

(1) Cuando se recibe un paquete SYN en el puerto 22, se registrara la dirección IP en una lista llamada SSH

(2) Si se registran 5 paquetes SYN en el intervalo de 60 segundos, se registrará un mensaje indicando “Posible ataque SSH: “

(3) Si se registran 5 paquetes SYN en el intervalo de 60 segundos, denegaran los paquetes SYN al puerto SSH.

5. En el host le-302, utilice el comando tail para visualizar los eventos en el archivo /var/log/messages


Diagnóstico y registro de Netfilter

# tail -f /var/log/messages

6. En el host host1, utilice el comando ssh para conectarse 6 veces consecutivas al host le-302

# ssh 192.168.<x>.1 [CTRL+C]# ssh 192.168.<x>.1 [CTRL+C]# ssh 192.168.<x>.1 [CTRL+C]# ssh 192.168.<x>.1 [CTRL+C]# ssh 192.168.<x>.1 [CTRL+C]# ssh 192.168.<x>.1 [CTRL+C]

7. En el host le-302 visualice los mensajes registrados en el archivo /var/log/messages.


6Control de tráfico

Control de tráfico

En este laboratorio realizará el control del tráfico entre la red 1 y la red 2 verificando los resultados. Realizará la separación del tráfico entrante y saliente en 4 categorías:

▪ Tráfico interactivo de alta prioridad

▪ Tráfico HTTP/HTTPs

▪ Tráfico masivo como FTP-Data y SMTP

▪ Todo tráfico restante

El ancho de banda es 100Mb/s (102400kbits/s) y debe ser dividido equitativamente entre las cuatro categorías.

1. En el host le-302, cree la siguiente estructura de disciplinas de cola con el comando tc tanto para la itnerfaz eth0 como para eth1. Se recomienda la utilización de un script llamado tc.qdisc para realizar la configuración.

Contenido del script tc.qdisc#!/bin/bash

if [ $# -eq 0 ]then echo "Uso: $0 <interfaz>" exit 1fi

# CR es el ancho de banda total en kbits/sCR=102400

# La interfaz sobre la cual ejecutar los comandosIF=$1

# El AR es 25% del CR para todas las clasesAR=$(echo $CR*25/100 | bc)

# Elimina todas las qdisc recursivamentetc qdisc del dev ${IF} root > /dev/null 2>&1

# Crea la qdisc HTBtc qdisc add dev ${IF} root handle 1:0 htb default 13

# Crea la clase padre y las clases hijas# La clase padretc class add dev ${IF} parent 1:0 classid 1:1 htb \rate ${CR}kbit ceil ${CR}kbit

# Las clases hijastc class add dev ${IF} parent 1:1 classid 1:10 htb \rate ${AR}kbit ceil ${CR}kbit prio 1tc class add dev ${IF} parent 1:1 classid 1:11 htb \rate ${AR}kbit ceil ${CR}kbit prio 2tc class add dev ${IF} parent 1:1 classid 1:12 htb \rate ${AR}kbit ceil ${CR}kbit prio 3tc class add dev ${IF} parent 1:1 classid 1:13 htb \rate ${AR}kbit ceil ${CR}kbit prio 4

# Adjunta una SFQ qdisc a cada clase "hoja" de la jerarquiatc qdisc add dev ${IF} parent 1:10 handle 100: sfq perturb 10

Control de tráfico

tc qdisc add dev ${IF} parent 1:11 handle 110: sfq perturb 10tc qdisc add dev ${IF} parent 1:12 handle 120: sfq perturb 10tc qdisc add dev ${IF} parent 1:13 handle 130: sfq perturb 10

Ejecución del script

# chmod 755 tc.qdisc# ./tc.qdisc eth0# ./tc.qdisc eth1

2. En el host host1, ejecute el comando ping a la dirección IP del host2.

# ping 10.0.<x>.2

3. En el host le-302 utilice el comando tc para visualizar estadísticas de las clases. A tavés de qué clase están atravezando los paquetes. Explique lo que está sucediendo.

# watch tc -s class show dev eth0# watch tc -s class show dev eth1

4. En el host le-302 utilice el script monitor_tc_top.pl para visualizar estadísticas de las clases.

# tc_monitor_top.pl dev=eth0# tc_monitor_top.pl dev=eth1

5. En el host le-302 configure los filtros con el comando tc para asignar el tráfico a las distintas clases tanto para la interfaz eth0 como para la interfaz eth1:

• Todo tráfico marcado con 0x1 debe direccionarse a la clase 1:10




Se recomienda la utilización de un script llamado tc.filter para realizar la configuración.

Contenido del script tc.filter#!/bin/bash

if [ $# -eq 0 ]then echo "Uso: $0 <interfaz>" exit 1fi

# La interfaz sobre la cual ejecutar los comandosIF=$1


Control de tráfico

# Creación de los filtrostc filter add dev ${IF} parent 1:0 protocol ip prio 1 handle 0x1 \fw classid 1:10tc filter add dev ${IF} parent 1:0 protocol ip prio 2 handle 0x2 \fw classid 1:11tc filter add dev ${IF} parent 1:0 protocol ip prio 3 handle 0x3 \fw classid 1:12tc filter add dev ${IF} parent 1:0 protocol ip prio 4 handle 0x4 \fw classid 1:13

Ejecución del script

# chmod 755 tc.filter# ./tc.filter eth0# ./tc.filter eth1

6. En el host LE-302 utilice el comando iptables para marcar todos los paquetes ICMP con 0x1 en la cadena POSTROUTING

# iptables -t mangle -A POSTROUTING -p icmp -j MARK --set-mark 0x1# iptables -t mangle -A POSTROUTING -p icmp -j RETURN

7. En el host LE-302 utilice el comando tc o el script tc_monitor_top.pl para verificar que los paquetes ICMP pasan por la clase 1:10

# watch tc -s class show dev eth0# watch tc -s class show dev eth1# tc_monitor_top.pl dev=eth0# tc_monitor_top.pl dev=eth1

8. En el host host1 cancele el comando ping y verifique que ya no existen paquetes atravezando la clase 1:10.

9. En el host LE-302 utilice el comando iptables para marcar todos los paquetes HTTP y HTTPs con 0x2 en la cadena POSTROUTING.

# iptables -t mangle -A POSTROUTING -p tcp --sport 80 -j MARK --set-mark 0x2# iptables -t mangle -A POSTROUTING -p tcp --sport 80 -j RETURN# iptables -t mangle -A POSTROUTING -p tcp --dport 80 -j MARK --set-mark 0x2# iptables -t mangle -A POSTROUTING -p tcp --dport 80 -j RETURN# iptables -t mangle -A POSTROUTING -p tcp --sport 443 -j MARK --set-mark 0x2# iptables -t mangle -A POSTROUTING -p tcp --sport 443 -j RETURN# iptables -t mangle -A POSTROUTING -p tcp --dport 443 -j MARK --set-mark 0x2# iptables -t mangle -A POSTROUTING -p tcp --dport 443 -j RETURN

10.En el host LE-302 utilice el comando iptables para modificar el TOS de los paquetes según las siguientes reglas:

• Para paquetes destinados al puerto 21 debe establecerse el TOS Minimize-Delay

• Para paquetes destinados al puerto 22 debe establecerse el TOS Minimize-Delay

• Para paquetes destinados al puerto 20 debe establecerse el TOS Maximize-Throughput


Control de tráfico

• Para paquetes destinados al puerto 25 debe establecerse el TOS Maximize-Throughput

# iptables -t mangle -A POSTROUTING -p tcp -m tcp --sport 21 -j TOS \--set-tos Minimize-Delay# iptables -t mangle -A POSTROUTING -p tcp -m tcp --dport 21 -j TOS \--set-tos Minimize-Delay

# iptables -t mangle -A POSTROUTING -p tcp -m tcp --sport 22 -j TOS \--set-tos Minimize-Delay# iptables -t mangle -A POSTROUTING -p tcp -m tcp --dport 22 -j TOS \--set-tos Minimize-Delay

# iptables -t mangle -A POSTROUTING -p tcp -m tcp --sport 20 -j TOS \--set-tos Maximize-Throughput# iptables -t mangle -A POSTROUTING -p tcp -m tcp --dport 20 -j TOS \--set-tos Maximize-Throughput

# iptables -t mangle -A POSTROUTING -p tcp -m tcp --sport 25 -j TOS \--set-tos Maximize-Throughput# iptables -t mangle -A POSTROUTING -p tcp -m tcp --dport 25 -j TOS \--set-tos Maximize-Throughput

En estos comandos no se utiliza el target RETURN luego de cada regla debido a que estos paquetes deben ser procesados por reglas posteriores para marcarlos en base al TOS definido.

11. En el host LE-302 utilice el comando iptables para marcar los paquetes según el TOS de los paquetes. Cualquier paquete que no haya coincidido con alguna regla, deberá ser marcado con 0x4.

# iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Delay \-j MARK --set-mark 0x1# iptables -t mangle -A POSTROUTING -m tos --tos Minimize-Delay \-j RETURN

# iptables -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput \-j MARK --set-mark 0x3# iptables -t mangle -A POSTROUTING -m tos --tos Maximize-Throughput \-j RETURN

# iptables -t mangle -A POSTROUTING -j MARK --set-mark 0x4

12.En el host host2 asegúrese que el servicio httpd y vsftpd está iniciado.

# service httpd start# service vsftpd start

13.En el host host2 cree un archivo de 100MB en el directorio /var/www/html con el comando dd# dd if=/dev/zero of=/var/www/html/testfile bs=1M count=100

14.En el host LE-302 utilice el comando tc o el script tc_monitor_top.pl para verificar que los paquetes ICMP pasan por la clase 1:11.


Control de tráfico

# watch tc -s class show dev eth0# watch tc -s class show dev eth1# tc_monitor_top.pl dev=eth0# tc_monitor_top.pl dev=eth1

15.En el host host1, utilice el comando wget para descargar el archivo testfile de host2

# wget http://10.0.<x>.2/testfile

16.En el host LE-302, asegúrese que los paquetes atraviezan la clase 1:11.

17.En el host host1, utilice el comando ftp en modo ACTIVO para descargar el archivo testfile de host2. Inicie sesión con el usuario hgomez.

# ftp 10.0.<x>.2ftp> passftp> cd /var/www/htmlftp> binftp> get testfileftp> bye

18.En el host LE-302, asegúrese que los paquetes atraviezan la clase 1:12.


7Herramientas de configuración

Herramientas de configuración


Nmap

1. En el host LE-302, utilice el comando nmap para buscar las direcciones IP utilizadas en la red 192.168.0.0/24

# nmap -sP 192.168.<x>.0/24

2. En el host LE-302, utilice el comando nmap para identificar por medio de paquetes SYN que puertos están abiertos y el sistema operativo del host host1

# nmap -sS -O 192.168.<x>.2

3. En el host LE-302, utilice el comando nmap para identificar la versión de SSH y HTTP ejecutándose en el host host2

# nmap -sV -p 22,80 10.0.<x>.2

4. En el host LE-302, utilice el comando nmap para realizar una detección agresiva del host host1 incluyendo detección de sistema operativo y versiones de servicios

# nmap -A -T4 192.168.<x>.2

Wireshark

1. En el host LE-302, utilice el comando yum para instalar el paquete wireshark

# yum install wireshark wireshark-gnome

2. En el host LE-302, instale e inicie el servicio httpd de ser necesario.

# yum install httpd# service httpd start

3. En el host LE-302, utilice el comando wireshark para inciar la aplicación

# wireshark

4. En el host LE-302, cree un filtro para capturar todos los paquetes relacionados al host host1 y el puerto puerto 80



5. En el host host1, utilice el comando elinks para para conectarse al puerto 80 del host LE-302

# elinks --dump 192.168.<x>.2

6. En el host LE-302, observe los paquetes capturados por wireshark.

7. En el host LE-302, cree un filtro de pantalla, para visualizar únicamente los paquetes originados por el host host1



8. En el host LE-302, cree un filtro de pantalla, para visualizar únicamente los paquetes originados por el puerto 80



Firestarter

En este laboratorio, configurará un firewall simple con dos interfaces, una conectada a la Internet y una conectada a la HSZ.

9. En el host LE-302 instale el paquete firestarter.

# rpm -Uvh firestarter

10.En el host host2 complete el asistente inicial de firestarter para definir:

• La interfaz conectada a Internet: eth2

• Activar la conexión compartida a Internet para los hosts de la red local a través de la interfaz eth0

• Iniciar el firewall

11. En el host LE-302 verifique las reglas de IPTables generadas con el comando:


12.En el host host1, verifique que tiene acceso a Internet



# ping 172.17.<x>.2

13.En el host LE-302 haga clic en el botón Detener cortafuegos de firestarter

14.En el host host1, verifique que ya NO tiene acceso a Internet

# ping 172.17.<x>.2

15.En el host LE-302 verifique las reglas de IPTables con el comando:


16.En el host LE-302 haga clic en el botón Iniciar el cortafuegos de firestarter

17.Utilice la pestaña Normativa para definir una regla que permita las conexiones desde cualquier host al servicio SSH

18.Haga clic en el botón Aplicar Normativa

19.Verifique las reglas generadas para permitir SSH con el comando:

# iptables -t filter -L INBOUND

20.En el host LE-302 haga clic en el botón Detener cortafuegos de firestarter



Shorewall

En este laboratorio, configurará un firewall simple con tres interfaces, una conectada a la Internet, una conectada a la DMZ y una conectada a la HSZ. Se realizará SNAT de la HSZ.

1. En el host LE-302 instale los paquetes de shorewall.

# rpm -Uvh shorewall*

2. En el host LE-302, copie los archivos de ejemplo para un firewall de 3 interfaces al directorio /etc/shorewall.# cd /usr/share/doc/shorewall-*/Samples/three-interfaces# cp interfaces zones masq policy rules /etc/shorewall

3. En el host LE-302 verifique que el archivo /etc/shorewall/zones contiene las 4 zonas requeridas:

• Zona del firewall (fw)

• Zona de la LAN local (loc)

• Zona de Internet (net)

• Zona de la DMZ (dmz)

################################################################################ZONE TYPE OPTIONS IN OUT# OPTIONS OPTIONSfw firewallnet ipv4loc ipv4dmz ipv4#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

4. En el host LE-302 verifique que la asignación de las interfaces sean correctas en el archivo /etc/shorewall/interfaces:

• La interfaz eth2 asociada a la zona net. Elimine la opción dhcp debido a que esta interfaz tiene una dirección IP estática

• La interfaz eth0 asociada a la zona loc

• La interfaz eth1 asociada a la zona dmz

################################################################################ZONE INTERFACE BROADCAST OPTIONSnet eth2 detect tcpflags,nosmurfs,routefilter,logmartiansloc eth0 detect tcpflags,nosmurfs,routefilter,logmartiansdmz eth1 detect tcpflags,nosmurfs,routefilter,logmartians#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE



5. En el host LE-302 configure el archivo /etc/shorewall/policy definir las siguientes políticas:

• Desde el firewall hacia Internet, permitir

• Desde la red local hacia Internet, permitir

• Desde la DMZ hacia Internet, permitir

• Desde Internet hacia cualquier zona, descartar

• Cualquier otro tráfico, rechazar

• Las demás políticas deben ser comentadas

# THE FOLLOWING POLICY MUST BE LAST$FW net ACCEPTloc net ACCEPTdmz net ACCEPTnet all DROP infoall all REJECT info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

6. En el host LE-302 edite el archivo /etc/shorewall/masq para configurar el SNAT/Enmascaramiento de la HSZ y DMZ:

• Debe realizar SNAT de la red local

• Debe realizar SNAT de la DMZ

• La interfaz que está conectada a Internet es eth2

• La dirección IP SNAT es 172.17.<x>.1

###############################################################################INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARKeth2 eth0 172.17.<x>.1eth2 eth1 172.17.<x>.1#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

7. En el host LE-302 examine las reglas existentes en el archivo /etc/shorewall/rules e interprete la función de cada una de ellas.

######################################################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK# PORT PORT(S) DEST LIMIT GROUPDNS/ACCEPT $FW netSSH/ACCEPT loc $FWSSH/ACCEPT loc dmzDNS/ACCEPT dmz netPing/DROP net $FWPing/ACCEPT loc $FWPing/ACCEPT dmz $FW



Ping/ACCEPT loc dmzPing/ACCEPT dmz locPing/ACCEPT dmz netACCEPT $FW net icmpACCEPT $FW loc icmpACCEPT $FW dmz icmp

Permitir DNS desde el firewall hacie Internet

Permitir SSH desde la red local al Firewall

Permitir SSH desde la red local a la DMZ

Permitir DNS desde la DMZ hacia Internet

Descartar Ping desde la Internet hacia el firewall

Permitir Ping desde la red local hacia el firewall

Permitir Ping desde la DMZ hacia el firewall

Permitir Ping desde la red local hacia la DMZ

Permitir Ping desde la DMZ hacia la red local

Permitir Ping desde la DMZ hacia Internet

Permitir paquetes ICMP desde el firewall hacia la Internet

Permitir paquetes ICMP desde el firewall hacia la red local

Permitir paquetes ICMP desde la red local hacia la DMZ

8. En el host LE-302 edite el archivo /etc/shorewall/shorewall.conf para activar la configuración

STARTUP_ENABLED=yes

9. En el host LE-302 inicie el servicio shorewall con el comando service# service shorewall start

10.En el host host1, verifique que es posible realizar ping hacia Internet

# ping 172.17.<x>.2

11. En el host host1, verifique que es posible realizar ping hacia Internet

# ping 172.17.<x>.2

12.En el host LE-302 edite el archivo /etc/shorewall/rules para permitir como máximo 1 paquetes ping por segundo



Ping/ACCEPT loc $FW - - - - 1/secPing/ACCEPT dmz $FW - - - - 1/secPing/ACCEPT loc dmz - - - - 1/secPing/ACCEPT dmz loc - - - - 1/secPing/ACCEPT dmz net - - - - 1/sec

13.En el host LE-302 edite el archivo /etc/shorewall/rules para permitir el acceso vía SSH desde Internet hacia el firewall

SSH/ACCEPT net $FW

14.En el host LE-302 reinicie el servicio shorewall con el comando service# service shorewall restart

Configuración de DNAT

1. En el host LE-302 edite el archivo /etc/shorewall/rules para direccionar conexiones entrantes al firewall en le puerto 80 y 443 al servidor host2 en la DMZ, con un límite de 20 conexiones por segundo

DNAT net dmz:10.0.80.2 tcp http,https - - 20/sec

2. En el host LE-302 reinicie el servicio shorewall con el comando service# service shorewall restart

Firewall Builder

En este laboratorio, configurará un cortafuegos con el Firewall Builder. El objetivo del cortafuegos es:

• Proteger a las redes locales de conexiones provenientes de la Internet

• Permitir el acceso desde el firewall en sí hacia cualquier destino

• Permitir el acceso de la HSZ y DMZ a Internet utilizando SNAT

• Permitir el acceso via SSH desde la HSZ hacia la interfaz LAN del cortafuegos

• Permitir el acceso via SSH desde la HSZ hacia la DMZ

• Denegar acceso desde la DMZ hacia la HSZ

• Realizar DNAT del puerto 80 y 443 hacia el host host2 en la DMZ.

Instalación de Firewall Builder y configuración de objetos

1. En el host LE-302, instale los paquetes de Firewall Builder e inicie la herramienta



# rpm -Uvh fwbuilder*rpm libfwbuilder*rpm# fwbuilder

2. En la herramienta Firewall Builder, cree un nuevo cortafuegos:

• Nombre LE-302, software: iptables, sistema operativo: Linux 2.4/2.6

• No utilice la plantilla para crear el cortafuegos

• Defina un nuevo cortafuegos y sus respectivas 4 interfaces

◦ Interfaz: eth2, dirección IP: 172.17.<x>.1/24, etiqueta: Internet

◦ Interfaz: eth0, dirección IP: 192.168.<x>.1/24, etiqueta: LAN

◦ Interfaz: eth1, dirección IP: 10.0.<x>.1/24, etiqueta: DMZ

◦ Interfaz: lo, dirección IP: 127.0.0.1/8, etiqueta: Loopback

3. En la herramienta Firewall Builder, dentro de la biblioteca de objetos User, verifique que la interfaz eth2 está definida como interfaz externa



4. En la herramienta Firewall Builder, dentro de la biblioteca de objetos User, cree objetos Network para definir las redes:

• LAN: 192.168.<x>.0/24

• DMZ: 10.0.<x>.0/24



5. En la herramienta Firewall Builder, dentro de la biblioteca de objetos User, cree un objeto Host para host2:

• Nombre: Host2

• Interfaz: eth0, dirección IP: 10.0.<x>.2/24



6. En la herramienta Firewall Builder, seleccione la biblioteca de objetos Standard

• Seleccione el nodo Services del panel izquierdo

• Haga clic derecho sobre el servicio ESTABLISHED y seleccione Duplicate... place in library user

7. En la herramienta Firewall Builder, seleccione la biblioteca de objetos Standard

• Seleccione el nodo Services del panel izquierdo

• Seleccione el nodo TCP

• Manteniendo la tecla Control presinada, seleccione los servicios http, https y ssh.

• Haga clic derecho sobre alguno de los servicios marcados y seleccione Duplicate... place in library user

Creación de las políticas del cortafuegos

1. En la herramienta Firewall Builder, en el panel izquierdo seleccione el nodo Firewall y luego Policy

2. En la herramienta Firewall Builder, en el panel derecho, haga clic derecho y seleccione Insert Rule



• Configure una regla que permita conexiones entrantes y salientes para la interfaz loopback sin enviar al archivo de log

3. En la herramienta Firewall Builder, haga clic derecho sobre el número de la regla 0 y seleccione Add Rule Below

• Configure una regla para permitir conexiones establecidas en cualquier dirección


• Configure una regla para permitir conexiones entrantes SSH desde la red local hacia la interfaz LAN del cortafuegos, registrando el evento


• Configure una regla para permitir el ingreso de conexiones HTTP/HTTPs sobre la interfaz del cortafuegos conectada a Internet sin registrar el evento




• Configure una regla para permitir rechazar todo tipo de conexión al cortafuegos desde cualquier destino


• Configure una regla para permitir el acceso de los equipos de la LAN hacia cualquier destino sin registrar los eventos




• Configure una regla para rechazar el acceso de los equipos de la DMZ hacia la LAN registrando los eventos


• Configure una regla para permitir el acceso de los equipos de la DMZ hacia la Internet sin registrar los eventos



10.En la herramienta Firewall Builder, haga clic derecho sobre el número de la regla 7 y seleccione Add Rule Below

• Configure una regla para permitir la salida y reenvío de paquetes desde el cortafuegos hacia cualquier dirección a través de todas sus interfaces.

Importante: Si el origen y el destino es establecido a Any, será creada una regla FORWARD de iptables.

Si Direction es establecido a Outbound, será creada una regla OUTPUT de iptables.

Si Direction es establecido a Inbound o Both, será creada una regla INPUT y OUPUT de iptables. La regla INPUT no es deseada.




• Configure una regla final para denegar todo tráfico que no ha sido explícitamente permitido



Configuración de SNAT y DNAT

1. En la herramienta Firewall Builder, en el panel izquierdo seleccione el nodo Firewall y luego NAT

2. En la herramienta Firewall Builder, en el panel derecho, haga clic derecho y seleccione Insert Rule

• Configure una regla para permitir el acceso de los equipos de la LAN hacia la Internet por medio de SNAT


• Configure una regla para permitir el acceso de los equipos de la DMZ hacia la Internet por medio de SNAT




• Configure una regla para permitir redireccionar conexiones al puerto HTTP y HTTPs hacia el host host2 de la DMZ

Compilar y activar las reglas

1. En la herramienta Firewall Builder, haga clic sobre el botón Compile Rules

2. Seleccione el cortafuegos LE-302 y haga clic en el botón Next

3. Verifique que la compilación fue satisfactoria



4. Para activar las reglas, ejecute el script LE-302.fw que ha sido generado

# ./LE-302.fw

Verificación de la configuración

1. En el host host1, verifique que puede hacer ping a Internet y al host host2 de la DMZ

# ping 172.17.<x>.2# ping 10.0.<x>.2

2. En el host host1, verifique que puede conectarse via SSH a LE-302

# ssh 192.168.<x>.1

3. En el host host2, verifique que puede hacer ping a Internet

# ping 172.17.<x>.2

4. En el host host2, verifique que puede NO hacer ping a host1

# ping 192.168.<x>.2

5. En el host host2, verifique que puede NO puede acceder via SSH a LE-302

# ping 10.0.<x>.2

6. En el host host2, verifique que puede NO puede acceder via SSH a host1

# ping 192.168.<x>.2

7. Verifique el funcionamiento de DNAT


le-302 guia de laboratorios v1-6

Documents

diagnstico y registro

snat y dnat

protocolo tcpip fundamentos

ftp pasivo y activo

adinistracin cadenas

compilar y activar

capturas tcpdump

protocolo tcpip1