Páginas del sitio
Curso actual
Práctica 6 - Firewalls e iptables
Práctica - seguridad perimetral
Firwalls
Asegurese de que en las maquinas que va a usar está iptables
instalado y aprenda a usar iptables
, debe saber al menos
- Listar las reglas en todas las cadenas
- Cambiar la politica de cada cadena
- Añadir y modificar reglas
- Borrar todas las reglas
Pruebas
Configure ejemplos entre sus maquinas virtuales de virtualbox o utilizando el servidor de la 10.6.49.0, bloqueando el acceso a puertos y comprobando que puede acceder a lo que configura.
Tenga mucho cuidado al poner reglas en el servidor que puedan afectar al ssh, si prohibe ssh se quedara sin acceso.
Pruebe a bloquear aplicaciones en una politica de ACCEPT por defecto. Por ejemplo que al servidor web solo se puede hacer ssh desde una de sus maquinas pero no desde las demas.
Pruebe a dejar pasar aplicaciones en una politica de DROP por defecto. Por ejemplo a solo dejar pasar el web y el ssh hacia la maquina servidor web pero no el ssh. Pero cuidado para hacer esto primero active la regla de que el ssh pase y luego la de que nada mas pase o de lo contrario se quedara sin acceso.
Si tiene problemas para depurar que ocurre puede instalar en las maquinas tcpdump.
Escenario con firewall
Configure el firewall de su servidor web de modo que se cumplan todos estos requisitos
- Se puedan hacer peticiones al servidor web (tanto HTTP como HTTPS) y funcionen
- Se pueda hacer conexiones a ssh desde cualquier maquina en general del laboratorio
- No se pueda hacer conexiones al ssh del servidor desde una maquina concreta que elija (pero solo desde esa)
- En el servidor no se puedan hacer conexiones ssh hacia otras maquinas
- En el servidor no se pueda hacer peticiones web a una maquina concreta que elija
- Ninguna otra conexion no indicada mas arriba puede iniciarse hacia el servidor
- Todas las demas conexiones salientes no indicadas mas arriba estan permitidas
- Funcionen los pings y los traceroutes normalmente
- Funcione el DNS
- Todo el trafico UDP no indicado mas arriba esta prohibido
[checkpoint]
Muestre al profesor el escenario con el firwall con todas las condiciones
Avanzado
Pruebe herramientas y tecnicas mas avanzadas como las siguientes
Pruebe si el iptables
con inspeccion de estados funciona en el firewall y configure algun ejemplo
Aprenda y pruebe iptables
para hacer NAT. Por ejemplo configure un interfaz en la maquina1 con puente a la red del laboratorio y consiga que la maquina web
pueda salir a internet a traves de maquina1.
Pruebe snort
por ejemplo en una maquina conectada a vboxnet1
y configure algun ejemplo. Por ejemplo que avise si llegan sshs a una maquina o si ve conexiones web con un contenido concreto.
Pruebe a hacer un servidor HTTPS solo con socat.