CONECTIVIDAD
SEGURIDADES
TCR 590-40 ING MERY ELIZABRTH GONZALEZ
OBJETIVO
LABORATORIO
-CONFIGURACIN NAT,
PRUEBAS DE
FUNCIONAMIENTO EN
FIREWALL
-RESTRICCIN DE
PUERTOS SSH , TELNET
y FTP
INTEGRANTES
Edison Egas
Humberto Santiana
Biron Lisintua
El Objetivo de ste laboratorio es entender y configurar un computador como
un firewall o cortafuego en la transmisin de la informacin, de una maquina
a otra con base en un software Open Source y distribucin Red Hat
Enterprise Linux (Centos), que a su vez es complementado con un hardware
apropiado, que ofrezca las prestaciones necesarias para el correcto
funcionamiento de nuestro Firewall virtualizado.
PLANTEAMIENTO DEL PROBLEMA
Lo que deseo mostrar e implementar es una forma de proteger
especialmente a usuarios, quienes acceden a contenido no correspondiente
con el mbito acadmico o laboral, sino al ilegal, inapropiado o indebido, lo
cual genera distraccin y afecta el ambiente laboral o de estudio.
Como otro punto a favor, es lograr una mejor seguridad en la red local y
comprobar que se puede impedir que usuarios no autorizados realicen
fechoras en la red.
El propsito de este trabajo consiste en la
implementacin de un Firewall con distribucin Red Hat
Enterprise Linux (Centos) en un entorno virtualizado
(Virtualox) filtre el contenido al cual acceden los
usuarios
METODOLOGA
Seleccionar un computador con el hardware necesario para la instalacin
de un Firewall con distribucin Red Hat Enterprise Linux de manera virtual,
con VirtualBox, documentar todo este proceso al igual que la posterior
configuracin del computador una vez instalado y su implementacin en un
laboratorio de red. Para ello se explica paso a paso, de forma detallada, las
instrucciones para realizar lo antes mencionado, adicionalmente es
complementado con imgenes de los pasos a seguir para una mejor
orientacin y ayuda al lector.
�DESARROLLO
Topologa de conexin LAN Virtual Security - WAN
Portable Cliente
WLAN 192.168.43.0/24
IP: 192.168.10.4
MASC: 255.255.255.0
DW: 192.168.10.1
DNS: 192.163.43.1
IP: 192.168.10.2
MASC: 255.255.255.0
DNS: 192.168.43.1
LAN 192.168.2.0 /24
IP: 192.168.43.207
MASC: 255.255.255.0
DW: 192.168.43.1
DNS: 192.168.43.1
802.11n
Firewall virtual
Eth1
IP: 192.168.10.1
MASC: 255.255.255.0
IP: 192.168.43.1
MASC: 255.255.255.0
DNS: 192.168.43.1
Eth0
IP: 192.168.43.20
MASC: 255.255.255.0
DW: 192.168.43.1
DNS: 192.168.43.1
Inicializacin de Centos y autenticacin con el administrador root
�Configuracin de tarjetas de Red LAN:
Mquina Configuracin Adaptador 1 y Adaptador 2
En el Adaptador 1 y 2 se selecciona el adaptador puente.
El adaptador 1 sera considerado como la tarjeta de red virtual Eth0 para seal Wireless y el adaptador 2 sera considerado
como eth1 para seal de red ethernet LAN por cable.
Configuracin de las tarjetas de red virtuales en Centos
-
Ingresar a mode consola o terminal
Comando setup y seguimos los siguientes pasos iluminados en rojo
�Configuracin de DNS en centos
-
Ingresar a mode consola o terminal
Comando vim /etc/resolv.conf
Actualizar datos ingresado en las tarjetas de red
Service network restart
�Revisamos los archivos que contienen la informacin de las tarjetas virtuales.
Instalacin de IPTABLES.
-
A modo de consola escribimos el siguiente comando de instalacin de IPTABLES.
yum install iptables.
Pasos para configurar reglas en el firewall virtual, las cuales permitiran a un equipo portable cliente navegar hacia el
iInternet.
1 Eliminacin de reglas anteriores o limpiar el firewall
iptables F
iptables X
iptables Z
iptables t nat F
2 Establecemos politica por defecto
iptables P INPUT ACCEPT
iptables P OUTPUT ACCEPT
iptables P FORWARD ACCEPT
iptables t nat P PREROUTING ACCEPT
iptables t nat P POSTROUTING ACCEPT
3 Ahora hacemos enmascaramiento de la red local y activamos el BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
4 Con esto permitimos hacer forward de paquetes en el firewall, o sea que otras mquinas puedan salir a travs
del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
�5 Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
6 Ahora con regla FORWARD filtramos el acceso de la red local al exterior. Como se explica antes, a los
paquetes que no van dirigidos al propio firewall se les aplican reglas de FORWAR. Aceptamos que vayan a
puertos 80
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
7 Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
8 Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
9 Grabamos los cambios realizados con IPTABLES y reiniciamos su operacin
service iptables save
service iptables restart
10 Detener nat y reglas en el firewall
service iptables stop
Para visualizar el contenido de las reglas en iptables se visualiza en la ruta de la siguiente manera
cat /etc/sysconfig/iptables
O tambien con el comado: Iptables L v n line-number podemos visualizar las rutas en las cadenas de INPUT
FORWARD y OUTPUT segn la figura siguiente.
�Para visualizar el contenido de nat o enmascaramiento de las direcciones LAN a WLAN en las cadenas PREROUTIN
POSTROUTING y OUTPUT se aplica el siguiente comando
Iptables L v n t nat
Restricciones de puertos (pruebas con SSH y Telnet)
Para restringir en el firewall virtual el acceso remoto con las aplicaciones comunes como SSH y telnet es necesario
identificar los puertos y protocolos en los que tranbajan esta aplicaciones.
Aplicaciones
SSH
Telnet
Protocolo
TCP/UDP
TCP/UDP
Puerto
22
23
En Centos debemos instalar los clientes de telnet y SSH mediante los siguiente comandos
yum -y install telnet
yum install openssh-server
Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a travs de la
tarjeta de ethernet fsica, para nuestro caso es 192.168.10.0 /24.
Aplicamos los siguientes comandos:
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 22 -j DROP
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 23 -j DROP
�Para ver la configuracin de iptables
cat /etc/sysconfig/iptables
Si necesitamos modificar editamos el archivo iptables con el comando
vi /etc/sysconfig/iptables y aceptamos las reglas
�Restricciones de puerto FTP (Protocolo de Transferencia de Archivos)
Para restringir en el firewall virtual el acceso remoto la aplicacion FTP es necesario identificar los puertos y protocolos en
los que tranbaja sta aplicacin
Aplicaciones
FTP
Protocolo
TCP
TCP
Puerto
20
21
En Centos debemos instalar el cliente y servidor de FTP mediante los siguiente comandos
yum -y install ftp
yum y install vsftpd
Para restringir en el acceso al firewall debemos tomar en cuenta la subred de los equipos que se conectan a travs de la
tarjeta de ethernet fsica, para nuestro caso es 192.168.10.0 /24.
Aplicamos los siguientes comandos:
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 20 -j DROP
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 21 -j DROP
Para verificra la regla visualizamos el contenido del archivo iptables con el comando:
Cat /etc/sysconfig/iptables
Observamos las dos reglas anteriores y las dos nuevas las cuales limitan el acceso al protocolo de aplicaciones FTP
�Tambin es importante por seguidad activar el requerimiento que permitira que los usuarios puedan acceder a sus propios
directorios de inicios a travs de VSFTPD, hasta que el sistema sea reiniciado. Para hacer permanente el cambio, se utiliza
setsebool con la opcin P, de la siguiente manera
Setsebool P ftp_home_dir on
Pra realizar las pruebas de comunicacin y acceso desde otro equipo externo al servidor virtual de FTP, ser necesario
instalar una aplicacin de FTP para la transferencia de archivos, para esto utilizaremos la aplicacin
FileZilla .
Al poner en operacin FileZilla es necesario digitar la direccin IP del servidor FTP, en este caso
192.168.10.1, luego un usuario con password para la utenticacin hacia el servidor para esto ya
debiamos heber creado el usuario Username: Edison passowrd: Abcd1234, seguido luego del nmero de puerto que
FTP 21
Al estar la reagla activa como DROP en el archivo iptable, no se podr tener acceso a la carpeta home del usuario
Edison, como se muestra en la gfica siguiente.
�Para comprobar que que la regla funciona correctamente podramos detener el servicio de iptables con el comando
service iptables stop, tamben se podria cambiar la opcin de DROP en la regla a ACCEPT.
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 20 -j ACCEPT
iptables A INPUT s 192.168.10.0/24 n state --state NEW -p tcp --dport 21 -j ACCEPT
Al comprobar el acceso al servidor virtual FTP con IP 192.168.10.1, ya tendramos acceso a ste servicio.
