SandovalPadilla_FernandoCesar_215685409_Act11 - Fernando Cesar Sandoval Padilla

Vista previa del material en texto

CENTRO UNIVERSITARIO DE CIENCIAS EXACTAS E INGENIERIAS 
 
División de Electrónica y Computación 
 
Administración de Servidores 
Actividad 11 
“Practica de Seguridad aplicando IP Tables en el Servidor Linux Debian” 
 
 
Prof: Soto Sánchez José de Jesús 
Alumno: Sandoval Padilla Fernando Cesar 
Código: 215685409 
Carrera: Ingeniería Informática 
Materia: I5908 Administración de Servidores 
NRC: 140729 
Sección: D07 
Calendario: 2020A 
 
 
 
Introducción 
¿Que son las IPTables? 
Iptables es un firewall incluido en el kernel de los servidores dedicados Linux. Su 
funcionamiento se basa en aplicar reglas que el mismo firewall ejecute. 
Iptables es utilizado por los administradores para configurar y eliminar reglas, aunque estas 
se pierdan cada vez que el sistema se reinicia. Herramientas como iptables-save e iptables-
restore facilitan el almacenamiento y recuperación de las reglas aplicadas, mientras que el 
init-script (un script de inicio) se encarga de hacerlo durante el proceso de arranque. iptables 
está limitado al protocolo IPv4 y para los demás protocolos existen variaciones como 
ip6tables para PIv6 o ebtables para los paquetes de Ethernet, que también están incluidos 
en el módulo del núcleo. 
Iptables requiere privilegios avanzados del sistema y, por lo tanto, solo puede ser ejecutado 
como root o con los respectivos derechos administrativos. Las tablas (tables) creadas en el 
kernel y cargadas por el programa contienen cadenas (chains) de reglas (rules), que definen 
cómo deben ser tratados los paquetes de datos entrantes y salientes. Los paquetes 
enviados pasan por una cadena de regla en regla, donde cada regla provoca una acción 
(jump target) o genera un cambio (goto chain) a otra cadena. 
Antecedentes 
La primera propuesta de firewall, o filtro de paquetes, surgió en 1989 por Jeff Mogul de 
Digital Equipament Corp (DEC), marcando por lo tanto la primera generación. 
El Bell Labs de AT & T, a través de Steve Bellovin y Bill Cheswick, desarrolló en 1991 el 
primer concepto de lo que se consolidaría a continuación como filtrado de paquetes stateful, 
o simplemente firewall stateful. Esta etapa quedó marcada como segunda generación de 
firewalls. 
En un corto espacio de tiempo, surgió la tercera generación de firewalls, cuando se inicializó 
la comercialización del DEC SEAL, ya contando con recursos más modernos de proxies de 
aplicación. La combinación entre filtros de paquetes y proxy en una única solución hizo que 
el nombre de firewall híbrido comenzara a ser más utilizado en el mercado y en la academia. 
Proceso de instalación 
 
 
- Quitar cualquier regla actualmente aplicada 
iptables -F 
 
- Crear una cadena que defina las reglas que se llame FIREWALL 
iptables -N FIREWALL 
 
- Hacer que todos los paquetes de entrada (INPUT) y salida (OUTPUT) vayan hacia la 
cadena FIREWALL 
iptables -A INPUT -j FIREWALL 
iptables -A OUTPUT -j FIREWALL 
 
- Establecer una política restrictiva de las reglas en el servidor Debian 
iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP 
 
 
 
- Permitir la conexión SSH al servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 22 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 22 -j ACCEPT 
 
- Permitir la conexión DNS al servidor desde el cliente 
iptables -A FIREWALL -p udp --dport 53 -j ACCEPT 
iptables -A FIREWALL -p udp --sport 53 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 53 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 53 -j ACCEPT 
 
- Permitir la conexión de los servicios de SAMBA al servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 389 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 389 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 445 -j ACCEPT 
 
 
iptables -A FIREWALL -p tcp --sport 445 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 901 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 901 -j ACCEPT 
iptables -A FIREWALL -p udp --dport 137:138 -j ACCEPT 
iptables -A FIREWALL -p udp --sport 137:138 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 139 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 139 -j ACCEPT 
 
- Permitir el acceso al sitio Web del servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 80 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 80 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 443 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 443 -j ACCEPT 
 
- Permitir el acceso al sitio FTP del servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 21 -j ACCEPT 
 
 
iptables -A FIREWALL -p tcp --sport 21 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 20 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 20 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 1024:65535 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 1024:65535 -j ACCEPT 
iptables -A FIREWALL -p udp --dport 1024:65535 -j ACCEPT 
iptables -A FIREWALL -p udp --sport 1024:65535 -j ACCEPT 
 
- Permitir el acceso al sitio de correo del servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 25 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 25 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 143 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 143 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 110 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 110 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 993 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 993 -j ACCEPT 
iptables -A FIREWALL -p tcp --dport 995 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 995 -j ACCEPT 
 
 
 
- Permitir el servicio de impresión al servidor desde el cliente 
iptables -A FIREWALL -p tcp --dport 631 -j ACCEPT 
iptables -A FIREWALL -p tcp --sport 631 -j ACCEPT 
 
- Permitir los pings desde el servidor hacia los equipos cliente 
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 
iptables -A FIREWALL -p icmp --icmp-type echo-reply -j ACCEPT 
 
- Descartar todos los pings desde los equipos cliente hacia el servidor 
iptables -A FIREWALL -p icmp --icmp-type echo-request -j DROP 
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP 
 
 
 
- Habilitar un proceso que guarde permanente de las reglas del firewall 
apt-get install iptables-persistent 
 
Damos en si 
 
Damos en si 
 
 
 
 
Consultamos con nano para corroborar que las reglas se hayan guardado 
 
 
 
- Mostrar el listado y configuración final con todas las reglas aplicadas al servidor 
iptables -L 
 
 
 
 
Pruebas de los servicios 
• Servicio SSH 
Puedo comprobar mediante putty si mi servicio ssh está funcionando 
 
 
 
 
• Servicio DNS 
Hay varias formas de comprobarlo, pero en este caso lo haremos con un nslookup 
 
 
 
• Servicio SAMBA 
Lo haremos accediendo a la red desde Windows y verificando que se encuentre el servidor. 
 
• Servicios web 
Lo comprobaremos accediendo a nuestra página y una de internet 
 
 
 
 
• Servicio FTP 
Lo comprobamos mediante el navegador y bajando un archivo 
 
 
 
• Servicio de correo 
Lo comprobamos abriendo la página de correo y mandando uno 
 
 
• Servicio de impresión 
 
 
Lo checamos desde el navegador e imprimiendo un archivo en Windows para después 
visualizarlo en Debian 
 
 
 
 
 
 
 
En Debian podremos ver el documento 
 
• Ping de Debian a Windows 
 
• Ping de Windows a Debian 
 
 
 
 
 
 
Conclusiones 
Considero que la realización de esta actividad fue bastante complicada, desde mi 
perspectiva su complejidad tiene que ver con el hecho de que no tenemos un guía como 
talo para cumplir con los requisitos de la actividad, entonces solo por esta razón es 
necesario investigar a fondo y listar los comandos necesarios para cumplir con cada 
requisito, la mejor solución que pude encontrar para resolver esta actividad fue realizarlo 
como prueba y error en mi sistema operativo Debian, una vez que tenia el comando que 
necesitaba, lo apuntaba en una lista para al final aplicar el comando queborra todas las 
reglas y hacerlo en limpio, dando así con un tipo de guía para realizar la actividad guía que 
se realizó mediante investigación en internet. 
 
 
Finalmente puedo considerar la realización de esta actividad como exitosa, ya que desde 
mi perspectiva logre cumplir con los requisitos de la actividad, añadiendo solo como dato 
interesante que esta actividad realmente fue entretenida en su parte final, pues la parte final 
de esta practica se trata de un gran repaso de todos los servidores que configuramos 
durante todo el semestre, pues su funcionamiento era esencial para la realización de esta 
actividad y de nuevo demuestra que si no se contara con las demás actividades finalizadas 
no tendría ningún sentido aplicar las reglas de Firewall que aplicamos en esta actividad, por 
lo tanto esta actividad aporta un gran aprendizaje final para esta materia, creo que aprendí 
bastante solo con el simple hecho de intentar aplicando el método de prueba y error, así 
que finalmente puedo decir que aunque no fue de mis actividades favoritas si que estuvo 
de lo mas interesante. 
Referencias 
B. (2019, 1 abril). Cómo configurar iptables en CentOS. Blog | Binaria. 
https://www.blog.binaria.uno/2019/04/01/como-configurar-iptables-en-centos/ 
Espinosa, O. (2020, 17 julio). Principales puertos TCP y UDP y para qué sirven cada uno 
de ellos. RedesZone. https://www.redeszone.net/tutoriales/configuracion-puertos/puertos-
tcp-udp/ 
I. (2017, 25 julio). iptables: cómo configurar las tablas de filtrado del núcleo de Linux. IONOS 
Digitalguide. https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce-
las-reglas-para-crear-paquetes-de-datos/ 
Ya, I. (2020, 13 julio). ¿Cómo configurar un firewall con Iptables en servidores Linux? 
INTERNET YA. https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas-
linux/ 
G.B., S. (2018, 11 diciembre). Mantener las reglas de Iptables al reiniciar el sistema. Linux 
para todos. https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el-
sistema/ 
Souza, T. (2020, 18 septiembre). Firewall: Historia. OSTEC | Segurança digital de 
resultados. https://ostec.blog/es/seguridad 
perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20l
https://www.blog.binaria.uno/2019/04/01/como-configurar-iptables-en-centos/
https://www.redeszone.net/tutoriales/configuracion-puertos/puertos-tcp-udp/
https://www.redeszone.net/tutoriales/configuracion-puertos/puertos-tcp-udp/
https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce-las-reglas-para-crear-paquetes-de-datos/
https://www.ionos.mx/digitalguide/servidores/herramientas/iptables-conoce-las-reglas-para-crear-paquetes-de-datos/
https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas-linux/
https://www.internetya.co/como-configurar-firewall-iptables-en-sistemas-linux/
https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el-sistema/
https://www.sololinux.es/mantener-las-reglas-de-iptables-al-reiniciar-el-sistema/
https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n
https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n
 
 
ado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20l
a%20primera%20generaci%C3%B3n. 
https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n
https://ostec.blog/es/seguridad%20perimetral/firewall/#:%7E:text=En%20las%20redes%20de%20ordenadores,de%20un%20lado%20a%20otro.&text=La%20primera%20propuesta%20de%20firewall,lo%20tanto%20la%20primera%20generaci%C3%B3n