Diferència entre revisions de la pàgina «Pràctiques d'Instal·lació i configuració d'un tallafoc»

De wikiserver
Dreceres ràpides: navegació, cerca
Línia 58: Línia 58:
 
Requeriments. Utilitzarem l'eina Vagrant per gestionar les màquines virtuals. Heu de fer servir el fitxer de configuració Vagrantfile que hi ha al Moodle per tal d'arrencar les màquines. Crea una carpeta Exercici3 i posa a dins el Vagrantfile. A continuació amb la comanda Vagrant up ja aixecaràs aquest escenari amb 3 màquines (pc1-ubuntu, pc2-ubuntu i firewall-ubuntu).
 
Requeriments. Utilitzarem l'eina Vagrant per gestionar les màquines virtuals. Heu de fer servir el fitxer de configuració Vagrantfile que hi ha al Moodle per tal d'arrencar les màquines. Crea una carpeta Exercici3 i posa a dins el Vagrantfile. A continuació amb la comanda Vagrant up ja aixecaràs aquest escenari amb 3 màquines (pc1-ubuntu, pc2-ubuntu i firewall-ubuntu).
  
*1. Volem tenir un servei ssh instal·lat per a poder provar el funcionament del tallafocs des dels PCs de la xarxa interna.
+
*1. Realitza una connexió ssh des de l'equip pc1-ubuntu al firewall.
** Instal·la el servei ssh. (openssh-client i openssh-server al servidor)
+
**Recorda: Per connectar-te a l'equip pc1-ubuntu obre un terminal i fes ''vagrant ssh pc1-ubuntu''. A continuació obre una connexió ssh cap al firewall-ubuntu amb la comanda ''ssh 192.168.0.60''. El password es ''vagrant''. Prova a fer un ls i mou-te per les carpetes del servidor. Surt de la sessió ssh.
** Realitza una connexió ssh:
+
*2. Comproba si el firewall UFW està instal·lat en el servidor. (Usa el mode verbose) *3. Activa el firewall.
*'''1.''' Comproba si el firewall UFW està instal·lat en el servidor. Activa'l.
+
*4. Intenta de nou una connexió SSH al servidor, i comproba que ja no pots fer-la (per que has activat el firewall).
*'''2.''' Comprova l'estat del firewall (mode verbose)
+
*5. Permet la connexió SSH només des de la màquina pc1-ubuntu (regla ufw).
* Intenta una connexió SSH al servidor anterior (i comprova que no pots fer-la)
+
*6. Comproba que no pots connectar-te per ssh des de l'equip pc2-ubuntu.
*'''3.''' Permet la connexió SSH (regla ufw)
+
*7. Elimina la regla anterior del ssh.
*'''4.''' Elimina la regla anterior del ssh.
 
*'''5.''' Permet la connexió ssh només des del teu PC
 
  
 
* Instal·la el servidor apache2
 
* Instal·la el servidor apache2
* Accedeix a la web
+
* Instal·la les eines curl i lynx que ens serviran per verificar apache des del terminal.
*'''6.''' Permet el accés a la web
+
<pre>sudo apt -y install curl lynx</pre>
*'''7.''' Permet l'accés a la web només des de l'equip pc1-ubuntu.
+
* Amb curl localhost o amb lynx localhost pots veure si et retorna la pàgina d'apache
*'''8.''' Crea un LOG del firewall
 
*'''9.'''  Deshabilita el ping (/etc/ufw/before.rules) . Hem de comentar les 5 línies que comencen després de ok icmp
 
*'''10.''' Denega l'accés al pc a la xarxa 172.16.XXX.0/24 
 
*'''11.''' Denega l'accés al servei apache al pc 172.16.XXX.254
 
*'''12.''' Comprova l'estat del firewall amb números de regles
 
*'''13.''' Selecciona una regla i elimina-la
 
  
'''Que cal lliurar:''' Cal que lliureu un document on es demostri, mitjançant EXPLICACIONS i captures de pantalla que heu realitzat tot l'exercici pràctic.
 
  
Exercicis:
+
*8. Crea una regla que permeti l'accés a la web
*a) Torna a habilitar ping, comprova-ho i captura pantalla
+
*9. Ara fes una regla que no permeti que l'equip pc2-ubuntu entri a la web.
*b) Prova altres protocols com ftp, telnet i dns. Crea regles d'allow, deny i reject per ells. Enumera-les.
+
*10. Crea un LOG del firewall
 +
*11.  Deshabilita el ping (/etc/ufw/before.rules) . Hem de comentar les 5 línies que comencen després de ok icmp
 +
*12. Comprova l'estat del firewall amb números de regles
 +
*13. Selecciona una regla i elimina-la
 +
*14. Torna a habilitar ping, comprova-ho i captura pantalla
 +
 
 +
2. sudo ufw status
 +
3. sudo ufw enable
 +
5. sudo ufw allow from 192.168.0.61 to any port 22
 +
6. sudo ufw default deny incoming
 +
7. sudo ufw delete 1
  
  

Revisió del 18:04, 7 març 2022

Exercici 1: Investigació sobre tallafocs

Busca informació sobre aquests termes:

  • 1 UTM (Unified Threat Management). Avantatges i inconvenients.
  • 2 Payload (tant a nivell de TCP/IP com de seguretat).
  • 3 Fes una comparativa de firewalls segons les seves distintes classificacions. Visita:
 https://en.wikipedia.org/wiki/Comparison_of_firewalls
  • 4 Què és un paquet mangled? Què té a veure amb atacs DoS i amb nmap? Quins tipus de firewalls els detecten?
  • 5 Què és un filtrat de paquets estàtic i un filtrat de paquets dinàmic (stateful)?
  • 6 Què és una zona desmilitaritzada (DMZ) en una xarxa informàtica?

Exercici 2: Instal·lació d'un tallafoc en un PC

UFW - Uncomplicated Firewall. Es tracta de l'eina de configuració del tallafocs que ve predeterminada a Ubuntu i Debian. És una capa sobre iptables que fa més senzilla la configuració d'un tallafocs del que seria fent servir directament iptables, ja que fa servir regles més bàsiques. Amb aquesta aplicació podem executar diverses accions de seguretat, i s'ha de fer des de l'usuari root o amb permisos sudo.

Utilitza el programari Uncomplicated Firewall per realitzar el següent exercici (Pots consultar les comandes aquí.): Respon cada apartat amb la comanda o comandes que has fet servir.

  • 1. El tallafoc ufw ve instal·lat per defecte a la majoria de distribucions de Linux. En el cas, estrany, que no el tingueu instal·lat, instal·leu-lo abans de seguir endavant.
  • 2. Comprova l'estat del tallafocs.
  • 3. Arranca el tallafocs.
  • 4. Comprova l'estat del tallafocs.
  • 5. Consulta les regles per defecte que es troben a la següent ruta: /etc/default/ufw.
  • 6. Volem bloquejar tot el tràfic d'entrada a la nostra màquina.
  • 7. Volem permetre tot el tràfic de sortida des de la nostra màquina.
  • 8. Volem permetre que ufw treballi amb adreces IP v4 i v6. Per fer això hem d'editar el fitxer /etc/default/ufw i posar el paràmetre IPV6=yes. Un cop fets els canvis perque siguin processats pel programa ufw hem de desactivar-lo i tornar-lo a activar.
  • 9. Permet les connexions ssh a través del tallafocs.
  • 10. Permet les connexions http i https a través del tallafocs.
  • 11. Obre el tràfic tcp a tots els ports coneguts (1-1024).
  • 12. Mostra en pantalla una llista de totes les regles creades.
  • 13. Elimina la última regla creada.
  • 14. Instal·la la versió gràfica de ufw: GUFW.