Diferència entre revisions de la pàgina «Pràctiques d'Instal·lació i configuració d'un tallafoc»

De wikiserver
Dreceres ràpides: navegació, cerca
(EXERCICI BÀSIC IPTABLES)
Línia 51: Línia 51:
 
https://youtu.be/VEDQQoFllOI
 
https://youtu.be/VEDQQoFllOI
  
<!--
+
 
 
:[[Solució_ufw]]
 
:[[Solució_ufw]]
-->
+
 
  
 
= EXERCICI BÀSIC IPTABLES =
 
= EXERCICI BÀSIC IPTABLES =
Línia 73: Línia 73:
  
  
<!--
+
 
  
 
:[[sol_script_iptables]]
 
:[[sol_script_iptables]]
-->
+
 
 
1- Ver la versión de iptables  
 
1- Ver la versión de iptables  
   <!--<source lang="bash">
+
   <source lang="bash">
 
   iptables -V
 
   iptables -V
</source>-->
+
</source>
  
 
2- Borrado de todas las reglas
 
2- Borrado de todas las reglas
   <!--<source lang="bash">
+
   <source lang="bash">
 
   iptables -F
 
   iptables -F
 
   iptables -X
 
   iptables -X
 
   iptables -Z
 
   iptables -Z
 
   iptables -t nat -F
 
   iptables -t nat -F
</source>-->
+
</source>
  
 
3- Queremos denegar las conexiones HTTP y HTTPS a toda nuestra LAN
 
3- Queremos denegar las conexiones HTTP y HTTPS a toda nuestra LAN
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 443 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 443 -j DROP
</source>-->
+
</source>
  
 
4- Queremos permitir que un ordenador de la red 10.0.0.2 tenga conexión HTTP y HTTPS dentro de esa LAN
 
4- Queremos permitir que un ordenador de la red 10.0.0.2 tenga conexión HTTP y HTTPS dentro de esa LAN
   <!--<source lang="bash">
+
   <source lang="bash">
  
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT  #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT  #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.0/8 -j DROP                        #bloqueo
 
iptables -A FORWARD -s 10.0.0.0/8 -j DROP                        #bloqueo
</source>-->
+
</source>
  
 
5- Denegamos acceso al aula 1
 
5- Denegamos acceso al aula 1
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 10.0.1.0/24 -j DROP
 
iptables -A FORWARD -s 10.0.1.0/24 -j DROP
</source>-->
+
</source>
  
 
6-Cerramos el rango de puertos 1 al 1024 desde cualquier origen.
 
6-Cerramos el rango de puertos 1 al 1024 desde cualquier origen.
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
 
iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
 
iptables -A FORWARD -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
 
iptables -A FORWARD -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
</source>-->
+
</source>
  
 
7-Cerramos el rango de puertos 1 al 1024 desde cualquier origen EXCEPTO el puerto HTTP y HTTPS para la ip 10.0.0.2
 
7-Cerramos el rango de puertos 1 al 1024 desde cualquier origen EXCEPTO el puerto HTTP y HTTPS para la ip 10.0.0.2
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT  #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT  #hay que añadir primero las excepciones y luego el bloqueo
 
iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP    #bloqueo
 
iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP    #bloqueo
</source>-->
+
</source>
  
 
8-Se desea bloquear el ping al cortafuegos ICMP desde cualquier máquina.
 
8-Se desea bloquear el ping al cortafuegos ICMP desde cualquier máquina.
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A INPUT -p icmp -j DROP
 
iptables -A INPUT -p icmp -j DROP
</source>-->
+
</source>
  
 
9-Rechazamos todo el tráfico que ingrese a nuestra red LAN 10.0.0.0/8 desde una red remota, como Internet, a través de la interfaz eth0.
 
9-Rechazamos todo el tráfico que ingrese a nuestra red LAN 10.0.0.0/8 desde una red remota, como Internet, a través de la interfaz eth0.
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -d 10.0.0.0/8 -j DROP
 
iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -d 10.0.0.0/8 -j DROP
</source>-->
+
</source>
  
 
10-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) a la LAN
 
10-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) a la LAN
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP
</source>-->
+
</source>
  
 
11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2  
 
11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2  
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT
 
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT
Línia 150: Línia 150:
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
 
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
</source>-->
+
</source>
  
 
12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
 
12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.
   <!--<source lang="bash">
+
   <source lang="bash">
 
iptables -A INPUT -s 193.110.128.109 -j DROP   
 
iptables -A INPUT -s 193.110.128.109 -j DROP   
</source>-->
+
</source>
 +
 
  
  
  
  
<!--
 
 
3- Eliminar todos los paquetes que entren.   
 
3- Eliminar todos los paquetes que entren.   
  
Línia 235: Línia 235:
 
</source>
 
</source>
  
-->
+
 
 
'''VIDEOTUTORIALES:'''
 
'''VIDEOTUTORIALES:'''
  
Línia 246: Línia 246:
  
  
<!--
+
 
 
= Exercici 2 : Tallafoc DMZ (IPTABLES) =
 
= Exercici 2 : Tallafoc DMZ (IPTABLES) =
 
1. Busca que és una DMZ i quins tipus de DMZ podem tenir a la empresa.
 
1. Busca que és una DMZ i quins tipus de DMZ podem tenir a la empresa.
Línia 294: Línia 294:
  
 
</source>
 
</source>
<!--
+
 
  
 
#1.Accés a Internet(servidors web) des de la LAN
 
#1.Accés a Internet(servidors web) des de la LAN
Línia 351: Línia 351:
 
$ssh -p 2222 willy@172.16.204.1
 
$ssh -p 2222 willy@172.16.204.1
 
</pre>
 
</pre>
-->
+
 
  
 
= Exercici 3: Cortafuego NETHSERVER=
 
= Exercici 3: Cortafuego NETHSERVER=
Línia 396: Línia 396:
 
http://sad.codeandcoke.com/doku.php?id=sad:t4:p3
 
http://sad.codeandcoke.com/doku.php?id=sad:t4:p3
  
<!--
+
 
 
= Exercici 3: Tallafoc IPCOP =
 
= Exercici 3: Tallafoc IPCOP =
  
Línia 456: Línia 456:
 
*<span style="color:orange">'''ORANGE'''</span> — DMZ per als serveis que s'ofereixen a Internet
 
*<span style="color:orange">'''ORANGE'''</span> — DMZ per als serveis que s'ofereixen a Internet
 
*<span style="color:red">'''RED'''</span> — Xarxa per la que ens connectem a Internet
 
*<span style="color:red">'''RED'''</span> — Xarxa per la que ens connectem a Internet
 
 
-->
 

Revisió del 11:26, 24 feb 2022

Exercici 1 : Tallafoc simple d'un pc (ufw)

1.Exercici de teoria.

  • Busca aquests termes:
  • 1.1 UTM (Unified Threat Management)
  • 1.2 Payload (tant a nivell de TCP/IP com de seguretat)
  • 1.3 Fes una comparativa de firewalls segons les seves distintes classificacions. Visita:
 https://en.wikipedia.org/wiki/Comparison_of_firewalls
  • 1.4 Què és un paquet mangled? Què té a veure amb atacs DoS i amb nmap? Quins tipus de firewalls els detecten?


2.UFW- Uncomplicated Firewall

ufw és una capa sobre iptables que fa més senzilla la configuració d'un tallafocs del que seria fent servir directament iptables.

Utilitza el programari ufw, Uncomplicated Firewall, per realitzar el següent exercici:

Les dos MV deuen estar en mode Pont

  • El tallafoc ufw ve install·lat per defecte a la majoria de distribucions de Linux. En el cas, estrany, que no el tingueu instal·lat, instal·leu-lo abans de seguir endavant.
  • Volem tenir un servidor ssh instal·lat per a poder provar el funcionament del tallafocs
    • Instal·la el servei SSH
    • Realitza una connexió ssh
  • 1. Activa el firewall UFW
  • 2. Comprova l'estat del firewall (mode verbose)
  • Intenta una connexió SSH al servidor anterior (i comprova que no pots fer-la)
  • 3. Permet la connexió SSH (regla ufw)
  • 4. Elimina la regla anterior del ssh.
  • 5. Permet la connexió ssh només des del teu PC
  • Instal·la el servidor apache2
  • Accedeix a la web
  • 6. Permet el accés a la web
  • 7. Permet l'accés a la web només del rang 172.16.XXX.1-254 (on XXX és el número de la vostra aula: 204, 205, ...)
  • 8. Crea un LOG del firewall
  • 9. Deshabilita el ping (/etc/ufw/before.rules) . Hem de comentar les 5 línies que comencen després de ok icmp
  • 10. Denega l'accés al pc a la xarxa 172.16.XXX.0/24
  • 11. Denega l'accés al servei apache al pc 172.16.XXX.254
  • 12. Comprova l'estat del firewall amb números de regles
  • 13. Selecciona una regla i elimina-la

Que cal lliurar: Cal que lliureu un document on es demostri, mitjançant EXPLICACIONS i captures de pantalla que heu realitzat tot l'exercici pràctic.

Exercicis:

  • a) Torna a habilitar ping, comprova-ho i captura pantalla
  • b) Prova altres protocols com ftp, telnet i dns. Crea regles d'allow, deny i reject per ells. Enumera-les.


VIDEOTUTORIAL:

https://youtu.be/VEDQQoFllOI


Solució_ufw


EXERCICI BÀSIC IPTABLES

Nos disponemos a montar la infraestuctura del instituto de la Mercè, que está formado por varios departamentos (informática, Fol, mecánica...) que se ubica en diferentes edificios, en cada uno de ellos tiene diferentes aulas. Por tanto vamos a instalar un cortafuegos(firewall) con Ubuntu que tendrá dos interfaces de red (eth0 y eth1), para la primera interfaz (eth0) tendrá acceso a internet y la segunda servirá para que la LAN se conecte a ella.

Hay que poner en la máquina que actuará de cortafuegos dos tarjetas de red:

  • la primera (eth0) los datos del proxy del instituto
  • la segunda (eth1) ip 10.0.0.1, máscara 255.0.0.0 (no hace falta P.Enlace en eth1 si se pone en eth0)(red interna)

En la segunda máquina que corresponde con la LAN:

  • la ip 10.0.0.2, máscara 255.0.0.0, P.enlace 10.0.0.1, DNS el del instituto(proxy). (Red interna)


script_iptables



sol_script_iptables

1- Ver la versión de iptables

iptables -V

2- Borrado de todas las reglas

iptables -F
   iptables -X
   iptables -Z
   iptables -t nat -F

3- Queremos denegar las conexiones HTTP y HTTPS a toda nuestra LAN

iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 443 -j DROP

4- Queremos permitir que un ordenador de la red 10.0.0.2 tenga conexión HTTP y HTTPS dentro de esa LAN

iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT   #hay que añadir primero las excepciones y luego el bloqueo
iptables -A FORWARD -s 10.0.0.0/8 -j DROP                         #bloqueo

5- Denegamos acceso al aula 1

iptables -A FORWARD -s 10.0.1.0/24 -j DROP

6-Cerramos el rango de puertos 1 al 1024 desde cualquier origen.

iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A FORWARD -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

7-Cerramos el rango de puertos 1 al 1024 desde cualquier origen EXCEPTO el puerto HTTP y HTTPS para la ip 10.0.0.2

iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 80 -j ACCEPT    #hay que añadir primero las excepciones y luego el bloqueo
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 443 -j ACCEPT   #hay que añadir primero las excepciones y luego el bloqueo
iptables -A FORWARD -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP    #bloqueo

8-Se desea bloquear el ping al cortafuegos ICMP desde cualquier máquina.

iptables -A INPUT -p icmp -j DROP

9-Rechazamos todo el tráfico que ingrese a nuestra red LAN 10.0.0.0/8 desde una red remota, como Internet, a través de la interfaz eth0.

iptables -A FORWARD -s 0.0.0.0/0 -i eth0 -d 10.0.0.0/8 -j DROP

10-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) a la LAN

iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 25 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 21 -j DROP

11-Denegamos SMTP, POP3 y FTP (correo electrónico y ftp) pero permitimos que se conecte un ordenador de la red 10.0.0.2

iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 10.0.0.2/32 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 110 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP
iptables -A FORWARD -s 10.0.0.0/8 -p tcp --dport 20 -j DROP

12-Volem descartar una connexió concretament la pàgina www.marca.com (nslookup / http://www.hcidata.info/) mitjançant iptables ja que volem que les altres persones que es connecten aquest ordinador aprofiten més el temps.

iptables -A INPUT -s 193.110.128.109 -j DROP



3- Eliminar todos los paquetes que entren.

4- Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la dirección 192.168.0.155.

5- Permitir la salida de paquetes.

6- Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155.

7- Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección de red 192.168.0.0.

8- Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155 y enviar un mensaje de error icmp.

9- Permitir conexiones locales (al localhost), por ejemplo a mysql.

10- Permitir el acceso a nuestro servidor web (puerto TCP 80).

11- Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).

12- Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH.

13- Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet.

14- Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78.

15- Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a través de la interfaz eth0.

16- Cerramos el rango de puerto bien conocido desde cualquier origen

17- Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80)

18- Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https

19- Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red

20- Permitimos enviar y recibir e-mail a todos

21- Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.2.0/24

22- Permitimos el paso de un equipo específico 192.168.3.5 a un servicio (puerto 5432) que ofrece un equipo específico (192.168.0.5) y su respuesta

23- Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está relacionada a una conexión ya establecida

1- iptables -V
2- iptables -F
   iptables -X
   iptables -Z
   iptables -t nat -F

3-iptables -A INPUT -j DROP
4-iptables -A INPUT -s 192.168.0.155 -j ACCEPT
5-iptables -A OUTPUT -j ACCEPT
6-iptables -A INPUT -s 192.168.0.155 -j DROP
7-iptables -A INPUT -s 192.168.0.0/24 -j DROP
8-iptables -A INPUT -s 192.168.0.155 -j REJECT
9-iptables -A INPUT -i lo -p tcp --dport 3386 -j ACCEPT
10-iptables -A INPUT -p tcp --dport 80 -j ACCEPT
11-iptables -A INPUT -p tcp --hdport 20 -j ACCEPT
   iptables -A INPUT -p tcp --dport 21 -j ACCEPT
12-iptables -A INPUT -s 192.168.1.10 -p tcp --dport 22 -j ACCEPT
13-iptables -A INPUT -s  192.168.1.10 -p tcp --dport 23 -j DROP
14-iptables -A INPUT -n mac --mac-source 00:db:ff:34:ab:fe
15-iptables -A FORWARD -s 0.0.0.0/0 -i eth1 -d 192.168.1.0/24 -j DROP
16-iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
   iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
17-iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
18-iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
19-iptables -A FORWARD -s 192.168.1.0/24 -j DROP
20-iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
   iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
21-iptables -A INPUT -s 192.168.3.0/24 -d 192.168.1.0/24 -j DROP
22-


VIDEOTUTORIALES:


Teoría: https://www.youtube.com/watch?v=b5BkmH5DL20

Práctica: https://www.youtube.com/watch?v=KStLdrHkaJA

Funcionamiento: https://youtu.be/mmyqHMyKO-U


Exercici 2 : Tallafoc DMZ (IPTABLES)

1. Busca que és una DMZ i quins tipus de DMZ podem tenir a la empresa.

Realitza el següent cas pràctic:

Tallafoc2.jpg

En aquest tipus de Firewall s'ha de permetre:

  • 3 Màquines, a, b i c: (el router de l'esquerra que es veu al gràfic no l'implementarem, el firewall farà de router).
  • a) El tallafoc és una MV amb Ubuntu Server:
La eth0 pots deixar-la com a dhcp o posar l'adreça fixa que vulguis, per fer proves és millor estàtic. 
  • b) Client_Lan: És un Ubuntu Desktop 14, amb openssh-server i update instal.lats
  • c) El DMZ és un Ubuntu Server 14 com el tallafoc, amb update del SO, openssh-server i apache2 instal.lats
  • Captura pantalles de les configuracions de IPs de cada màquina

Dintre del firewall, al fitxer tallafocs.sh (crea'l amb sudo vim/nano tallafocs.sh, executa'l amb sudo sh tallafocs.sh), crea les següents regles:

  • Política restrictiva (abans d'això, comprova que les configuracions funcionen totes amb una política permisiva)
  • 1.Accés a Internet (servidors http i https, així com dns) des de la LAN. Denega l'accés a Internet des de la LAN (descomenta les línies anteriors)
  • 2.Accés al servei ssh del servidor DMZ des de Internet pel port 2222. Prova-ho desde la màquina real amb ssh -p 2222 willy@ip_firewall_eth0
  • 3.Denegar l'accés a ssh del firewall des de Internet però permet-ho des de la LAN al firewall
  • 4. Permetre accés públic als ports 80, 443 del servidor DMZ. Bloquejar la resta de connexions entre DMZ i lan.
  • Crea altres regles i captura les pantalles.
  • Captura final de sudo iptables -L
#!/bin/bash
#nom del script: tallafocs.sh
## FLUSH de les regles
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

echo "1" > /proc/sys/net/ipv4/ip_forward

#Comportament per defecte
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP 
iptables -t nat -P PREROUTING ACCEPT 
iptables -t nat -P POSTROUTING ACCEPT 

##0.Regla de NAT per transformar la IP origen dels paquets (lan i dmz) amb la ip pública del firewall (eth0)
## cas masquerade és un cas de SNAT de N:1 adreçes
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


  1. 1.Accés a Internet(servidors web) des de la LAN
    1. Regles d'anada (petició cap als servidors d'internet)

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -s 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -s 192.168.10.0/24 -j ACCEPT

    1. Regles de tornada (resposta a les peticions anteriors)

iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -d 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 443 -d 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 53 -d 192.168.10.0/24 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 53 -d 192.168.10.0/24 -j ACCEPT


    1. 2.Accés al servei ssh del servidor DMZ des de Internet pel port 2222
  1. Regla de transformació de ports

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 192.168.3.2:22

  1. Regles de Permetre ssh a la DMZ desde Internet, un cop traduit al port 22 cal que travessi el firewall

iptables -A FORWARD -i eth0 -o eth2 -p tcp --dport 22 -d 192.168.3.2 -j ACCEPT iptables -A FORWARD -o eth0 -i eth2 -p tcp --sport 22 -s 192.168.3.2 -j ACCEPT

  1. 1.B Accés via SSH al firewall (després de fer exercici 1, ens treu de ssh, el tornem a habilitar

iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

  1. 1.BB per deixar accedir a ssh del DMZ

iptables -A FORWARD -p tcp --dport 22 -j ACCEPT iptables -A FORWARD -p tcp --sport 22 -j ACCEPT


  1. 3.Denegar l'accés a ssh (firewall) des de Internet però permet-ho des de la LAN al firewall

iptables -A INPUT -p tcp --dport 22 -s 192.168.10.0/24 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -d 192.168.10.0/24 -j ACCEPT


  1. 4. Permetre accés públic als ports 80, 443 del servidor DMZ. Bloquejar la resta de connexions entre DMZ i lan.

iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 80 -d 192.168.3.2 -j ACCEPT iptables -A FORWARD -o eth1 -i eth2 -p tcp --sport 80 -s 192.168.3.2 -j ACCEPT iptables -A FORWARD -i eth1 -o eth2 -p tcp --dport 443 -d 192.168.3.2 -j ACCEPT iptables -A FORWARD -o eth1 -i eth2 -p tcp --sport 443 -s 192.168.3.2 -j ACCEPT


  • 5.Reenviament de les peticions al port 80 del firewall cap al port 8080 del servidor DMZ. Per a això cal habilitar el port 8080 al apache2.
  1. 5.Reenviament de les peticions al port 80 del firewall cap al port 8080 del servidor DMZ

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.3.2:8080


Per executar l'script:
$sudo sh tallafocs.sh

Per connectar-te des de la màquina real al servidor de la DMZ via ssh
$ssh -p 2222 willy@ip_firewall
ex:
$ssh -p 2222 willy@172.16.204.1


Exercici 3: Cortafuego NETHSERVER

NETHSERVER es una distribución que se destaca por ofrecer una solución modular para el despliegue rápido de servidores en pequeñas oficinas o empresas medianas.

Se ofrecen módulos listos para poder organizar la operación del servidor de correo (Postfix, Dovecot, Amavis, cliente web ClamAV + Roundcube), firewall (Shorewall), servidor de archivos y controlador de dominio activo Directorio (Samba), proxy de filtrado (Squid, ClamAV y SquidGuard), detección de intrusos y sistemas de prevención...

Lo interesante de NethServer es que el proceso de instalación y la puesta en marcha del servicio requerido se realiza con tan solo un solo clic.

Tarjeta ROJA (tarjeta de red: modo puente).

Las direcciones de la interfaz Roja son las que se han generado en mi casa, en las vuestras serán valores diferentes.

Tarjeta VERDE (tarjeta de red: red interna y asignamos nombre: GREEN)

Tarjeta NARANJA (tarjeta de red: red interna y asignamos nombre: ORANGE)

  • ¿Qué es un DMZ?
  • Añadir las interfaces en Nethserver (roja, verde, naranja)
  • Activar servidor DHCP
  • Activar el proxy
  • Restringir acceso a ciertas webs y descargar lista negra.
  • Instalar apache y ssh en el DMZ comprobar si es posible acceder desde la LAN al DMZ
  • Hacer el caso inverso, instalar también el apache y ssh en la LAN y comprobar si desde la DMZ es posible acceder a ese ordenador

Nethserver.png



VIDEOTUTORIALES

PARTE I: https://www.youtube.com/watch?v=lTHGM9NxyLw

PARTE II: https://www.youtube.com/watch?v=xVUffflaZI4

video Teoría DMZ

video Teoría DMZ I

IPCOP (similar Nethserver)

http://sad.codeandcoke.com/doku.php?id=sad:t4:p3


Exercici 3: Tallafoc IPCOP

IPCop és un tallafocs (firewall) de distribució Linux, permet crear xarxes virtuals VPN, dins d'elles podem administrar o limitar l'ús de la xarxa als usuaris. Té una interfície web des de la qual podem gestionar i administrar el tallafocs. Aquestes són unes quantes opcions amb les que ens podem trobar.


Es tracta d'utilitzar l'eina IPCop utilitzant la interface vermella i verda, per a la interfície vermella servirà per a la connexió d'internet que tindrà una ip estàtica i la interfície verd per a la LAN.

Per a la targeta Verda Adreça IP: 192.168.1.1, Mascara de Xarxa: 255.255.255.0. (tarjeta de red: red interna y asignamos nombre: GREEN)

Per a la targeta Vermella Adreça IP: 172.16.104.X (tarjeta de red: modo puente)

Ens assegurem canviar la MAC de cada targeta.

Assignem la porta d'enllaç de l'insti: 172.16.55.35

Assignem el dns: 172.16.200.1

Per a les màquines de la LAN per a connectar-se a la interfície web caldrà possar https://192.168.1.1:8443 o https://ipcop:8443

Manual utilització


Ipcop lan.jpg 

Ipcop dmz1.jpg


SOLUCIÓ: https://redesaprendiendo.files.wordpress.com/2013/10/instalacic3b3n-ipcop.pdf


= Exercici 4: Tallafoc IPCOP =

Tallafoc2.jpg Ipcop lan dmz.jpg

Ipcop dmz.jpg Ipcop dmz1.jpg


  • Crea una MV amb 3 targetes de xarxa:
    • La targeta de xarxa que tindrà connexió d'internet ha d'estar configurada amb mode 'pont'.
    • La targeta de Xarxa que es comunicarà amb la LAN ha d'estar configurada amb mode 'xarxa interna'
    • La targeta de xarxa que es comunicarà amb la DMZ ha d'estar configurada amb mode 'xarxa interna'
  • Instal·la el programari IPCOP i configura-ho amb les xarxes Green, Red i Orange.
  • Accedeix a la Web de IPCOP i realitza l'exercici Firewall d'una LAN amb connexió d'Internet i amb DMZ utilitzant aquest programari.

XARXES IPCOP

  • GREEN — Xarxa de confiança. Xarxa interna.
  • BLUE — Xarxa de semi-confiança. Normalment wireless.
  • ORANGE — DMZ per als serveis que s'ofereixen a Internet
  • RED — Xarxa per la que ens connectem a Internet