Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
CENTRO UNIVERSITARIO DE CIENCIAS EXACTAS E INGENIERIAS División de Electrónica y Computación Administración de Servidores Actividad 11 “Practica de Seguridad aplicando IP Tables en el Servidor Linux Debian” Prof: Soto Sánchez José de Jesús Alumno: Sandoval Padilla Fernando Cesar Código: 215685409 Carrera: Ingeniería Informática Materia: I5908 Administración de Servidores NRC: 140729 Sección: D07 Calendario: 2020A Introducción ¿Que son las IPTables? Iptables es un firewall incluido en el kernel de los servidores dedicados Linux. Su funcionamiento se basa en aplicar reglas que el mismo firewall ejecute. Iptables es utilizado por los administradores para configurar y eliminar reglas, aunque estas se pierdan cada vez que el sistema se reinicia. Herramientas como iptables-save e iptables- restore facilitan el almacenamiento y recuperación de las reglas aplicadas, mientras que el init-script (un script de inicio) se encarga de hacerlo durante el proceso de arranque. iptables está limitado al protocolo IPv4 y para los demás protocolos existen variaciones como ip6tables para PIv6 o ebtables para los paquetes de Ethernet, que también están incluidos en el módulo del núcleo. Iptables requiere privilegios avanzados del sistema y, por lo tanto, solo puede ser ejecutado como root o con los respectivos derechos administrativos. Las tablas (tables) creadas en el kernel y cargadas por el programa contienen cadenas (chains) de reglas (rules), que definen cómo deben ser tratados los paquetes de datos entrantes y salientes. Los paquetes enviados pasan por una cadena de regla en regla, donde cada regla provoca una acción (jump target) o genera un cambio (goto chain) a otra cadena. Antecedentes La primera propuesta de firewall, o filtro de paquetes, surgió en 1989 por Jeff Mogul de Digital Equipament Corp (DEC), marcando por lo tanto la primera generación. El Bell Labs de AT & T, a través de Steve Bellovin y Bill Cheswick, desarrolló en 1991 el primer concepto de lo que se consolidaría a continuación como filtrado de paquetes stateful, o simplemente firewall stateful. Esta etapa quedó marcada como segunda generación de firewalls. En un corto espacio de tiempo, surgió la tercera generación de firewalls, cuando se inicializó la comercialización del DEC SEAL, ya contando con recursos más modernos de proxies de aplicación. La combinación entre filtros de paquetes y proxy en una única solución hizo que el nombre de firewall híbrido comenzara a ser más utilizado en el mercado y en la academia. Proceso de instalación - Quitar cualquier regla actualmente aplicada iptables -F - Crear una cadena que defina las reglas que se llame FIREWALL iptables -N FIREWALL - Hacer que todos los paquetes de entrada (INPUT) y salida (OUTPUT) vayan hacia la cadena FIREWALL iptables -A INPUT -j FIREWALL iptables -A OUTPUT -j FIREWALL - Establecer una política restrictiva de las reglas en el servidor Debian iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP - Permitir la conexión SSH al servidor desde el cliente iptables -A FIREWALL -p tcp --dport 22 -j ACCEPT iptables -A FIREWALL -p tcp --sport 22 -j ACCEPT - Permitir la conexión DNS al servidor desde el cliente iptables -A FIREWALL -p udp --dport 53 -j ACCEPT iptables -A FIREWALL -p udp --sport 53 -j ACCEPT iptables -A FIREWALL -p tcp --dport 53 -j ACCEPT iptables -A FIREWALL -p tcp --sport 53 -j ACCEPT - Permitir la conexión de los servicios de SAMBA al servidor desde el cliente iptables -A FIREWALL -p tcp --dport 389 -j ACCEPT iptables -A FIREWALL -p tcp --sport 389 -j ACCEPT iptables -A FIREWALL -p tcp --dport 445 -j ACCEPT iptables -A FIREWALL -p tcp --sport 445 -j ACCEPT iptables -A FIREWALL -p tcp --dport 901 -j ACCEPT iptables -A FIREWALL -p tcp --sport 901 -j ACCEPT iptables -A FIREWALL -p udp --dport 137:138 -j ACCEPT iptables -A FIREWALL -p udp --sport 137:138 -j ACCEPT iptables -A FIREWALL -p tcp --dport 139 -j ACCEPT iptables -A FIREWALL -p tcp --sport 139 -j ACCEPT - Permitir el acceso al sitio Web del servidor desde el cliente iptables -A FIREWALL -p tcp --dport 80 -j ACCEPT iptables -A FIREWALL -p tcp --sport 80 -j ACCEPT iptables -A FIREWALL -p tcp --dport 443 -j ACCEPT iptables -A FIREWALL -p tcp --sport 443 -j ACCEPT - Permitir el acceso al sitio FTP del servidor desde el cliente iptables -A FIREWALL -p tcp --dport 21 -j ACCEPT iptables -A FIREWALL -p tcp --sport 21 -j ACCEPT iptables -A FIREWALL -p tcp --dport 20 -j ACCEPT iptables -A FIREWALL -p tcp --sport 20 -j ACCEPT iptables -A FIREWALL -p tcp --dport 1024:65535 -j ACCEPT iptables -A FIREWALL -p tcp --sport 1024:65535 -j ACCEPT iptables -A FIREWALL -p udp --dport 1024:65535 -j ACCEPT iptables -A FIREWALL -p udp --sport 1024:65535 -j ACCEPT - Permitir el acceso al sitio de correo del servidor desde el cliente iptables -A FIREWALL -p tcp --dport 25 -j ACCEPT iptables -A FIREWALL -p tcp --sport 25 -j ACCEPT iptables -A FIREWALL -p tcp --dport 143 -j ACCEPT iptables -A FIREWALL -p tcp --sport 143 -j ACCEPT iptables -A FIREWALL -p tcp --dport 110 -j ACCEPT iptables -A FIREWALL -p tcp --sport 110 -j ACCEPT iptables -A FIREWALL -p tcp --dport 993 -j ACCEPT iptables -A FIREWALL -p tcp --sport 993 -j ACCEPT iptables -A FIREWALL -p tcp --dport 995 -j ACCEPT iptables -A FIREWALL -p tcp --sport 995 -j ACCEPT - Permitir el servicio de impresión al servidor desde el cliente iptables -A FIREWALL -p tcp --dport 631 -j ACCEPT iptables -A FIREWALL -p tcp --sport 631 -j ACCEPT - Permitir los pings desde el servidor hacia los equipos cliente iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A FIREWALL -p icmp --icmp-type echo-reply -j ACCEPT - Descartar todos los pings desde los equipos cliente hacia el servidor iptables -A FIREWALL -p icmp --icmp-type echo-request -j DROP iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP - Habilitar un proceso que guarde permanente de las reglas del firewall apt-get install iptables-persistent Damos en si Damos en si Consultamos con nano para corroborar que las reglas se hayan guardado - Mostrar el listado y configuración final con todas las reglas aplicadas al servidor iptables -L Pruebas de los servicios • Servicio SSH Puedo comprobar mediante putty si mi servicio ssh está funcionando • Servicio DNS Hay varias formas de comprobarlo, pero en este caso lo haremos con un nslookup • Servicio SAMBA Lo haremos accediendo a la red desde Windows y verificando que se encuentre el servidor. • Servicios web Lo comprobaremos accediendo a nuestra página y una de internet • Servicio FTP Lo comprobamos mediante el navegador y bajando un archivo • Servicio de correo Lo comprobamos abriendo la página de correo y mandando uno • Servicio de impresión Lo checamos desde el navegador e imprimiendo un archivo en Windows para después visualizarlo en Debian En Debian podremos ver el documento • Ping de Debian a Windows • Ping de Windows a Debian Conclusiones Considero que la realización de esta actividad fue bastante complicada, desde mi perspectiva su complejidad tiene que ver con el hecho de que no tenemos un guía como talo para cumplir con los requisitos de la actividad, entonces solo por esta razón es necesario investigar a fondo y listar los comandos necesarios para cumplir con cada requisito, la mejor solución que pude encontrar para resolver esta actividad fue realizarlo como prueba y error en mi sistema operativo Debian, una vez que tenia el comando que necesitaba, lo apuntaba en una lista para al final aplicar el comando queborra todas las reglas y hacerlo en limpio, dando así con un tipo de guía para realizar la actividad guía que se realizó mediante investigación en internet. Finalmente puedo considerar la realización de esta actividad como exitosa, ya que desde mi perspectiva logre cumplir con los requisitos de la actividad, añadiendo solo como dato interesante que esta actividad realmente fue entretenida en su parte final, pues la parte final de esta practica se trata de un gran repaso de todos los servidores que configuramos durante todo el semestre, pues su funcionamiento era esencial para la realización de esta actividad y de nuevo demuestra que si no se contara con las demás actividades finalizadas no tendría ningún sentido aplicar las reglas de Firewall que aplicamos en esta actividad, por lo tanto esta actividad aporta un gran aprendizaje final para esta materia, creo que aprendí bastante solo con el simple hecho de intentar aplicando el método de prueba y error, así que finalmente puedo decir que aunque no fue de mis actividades favoritas si que estuvo de lo mas interesante. Referencias B. (2019, 1 abril). Cómo configurar iptables en CentOS. Blog | Binaria. https://www.blog.binaria.uno/2019/04/01/como-configurar-iptables-en-centos/ Espinosa, O. (2020, 17 julio). Principales puertos TCP y UDP y para qué sirven cada uno de ellos. RedesZone. https://www.redeszone.net/tutoriales/configuracion-puertos/puertos- tcp-udp/ I. (2017, 25 julio). iptables: cómo configurar las tablas de filtrado del núcleo de Linux. IONOS Digitalguide. https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce- las-reglas-para-crear-paquetes-de-datos/ Ya, I. (2020, 13 julio). ¿Cómo configurar un firewall con Iptables en servidores Linux? INTERNET YA. https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas- linux/ G.B., S. (2018, 11 diciembre). Mantener las reglas de Iptables al reiniciar el sistema. Linux para todos. https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el- sistema/ Souza, T. (2020, 18 septiembre). Firewall: Historia. OSTEC | Segurança digital de resultados. https://ostec.blog/es/seguridad perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20l https://www.blog.binaria.uno/2019/04/01/como-configurar-iptables-en-centos/ https://www.redeszone.net/tutoriales/configuracion-puertos/puertos-tcp-udp/ https://www.redeszone.net/tutoriales/configuracion-puertos/puertos-tcp-udp/ https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce-las-reglas-para-crear-paquetes-de-datos/ https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce-las-reglas-para-crear-paquetes-de-datos/ https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas-linux/ https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas-linux/ https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el-sistema/ https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el-sistema/ https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n ado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20l a%20primera%20generaci%C3%B3n. https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n
Compartir