Diferència entre revisions de la pàgina «Pràctiques d'Instal·lació i configuració d'un tallafoc»

De wikiserver
Dreceres ràpides: navegació, cerca
(Exercici 2 : Tallafoc DMZ (IPTABLES))
(Es desfà la revisió 6198 de Ebarbeito (Discussió))
Línia 28: Línia 28:
 
-->
 
-->
  
= Exercici 1 : Tallafoc simple d'un pc (ufw) =
+
= Exercici 2 : Tallafoc DMZ (IPTABLES) =
 +
1. Busca que és una DMZ i quins tipus de DMZ podem tenir a la empresa.
  
Exercici de teoria
+
Realitza el següent cas pràctic:
Busca aquests termes:
 
UTM (Unified Threat Management)
 
Payload (tant a nivell de TCP/IP com de seguretat)
 
Fes una comparativa de firewalls segons les seves distintes classificacions. Visita:
 
https://en.wikipedia.org/wiki/Comparison_of_firewalls
 
Què és un paquet mangled? Què té a veure amb atacs DoS i amb nmap? Quins tipus de firewalls els detecten?
 
  
 +
[[Fitxer: tallafoc2.jpg]]
  
Utilitza el programari '''[https://es.wikipedia.org/wiki/Uncomplicated_Firewall ufw]''', Uncomplicated Firewall, per realitzar el següent exercici:
+
En aquest tipus de Firewall s'ha de permetre:
 +
* El tallafoc és una MV amb Ubuntu Server.
 +
* Política restrictiva
 +
* Accés a Internet (servidores web) des de la LAN
 +
* Denega l'accés a Ineternet des de la LAN
 +
* Accés al servei ssh del servidor DMZ des de Internet pel port 2222
 +
* Denegar l'accés al Port 22 des de Internet però permet-ho des de la LAN al firewall
 +
 
 +
<source lang="bash">
 +
#!/bin/bash
 +
#nom del script: tallafocs.sh
 +
## FLUSH de les regles
 +
iptables -F
 +
iptables -X
 +
iptables -Z
 +
iptables -t nat -F
 +
 
 +
echo "1" > /proc/sys/net/ipv4/ip_forward
 +
 
 +
#Comportament per defecte
 +
iptables -P INPUT DROP
 +
iptables -P OUTPUT DROP
 +
iptables -P FORWARD DROP
 +
iptables -t nat -P PREROUTING ACCEPT
 +
iptables -t nat -P POSTROUTING ACCEPT
  
* El tallafoc és una MV amb Ubuntu Server.
+
#Accés a Internet(servidors web) des de la LAN
* Instal·la el servei SSH
+
##Regles d'anada (petició cap als servidors d'internet)
* Realitza una Connexió ssh
+
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.10.0/24 -j ACCEPT
*1 Activa el firewall UFW
+
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -s 192.168.10.0/24 -j ACCEPT
*2 Comprova l'estat del firewall (mode verbose)
+
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -s 192.168.10.0/24 -j ACCEPT
* Realitza una connexió SSH al servidor anterior
+
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -s 192.168.10.0/24 -j ACCEPT
*3 Permet la connexió SSH (regla ufw)
+
##Regles de tornada (resposta a les peticions anteriors)
*4 Elimina la regla anterior del ssh.
+
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -d 192.168.10.0/24 -j ACCEPT
*5 Permet la connexió ssh només des del teu PC
+
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 443 -d 192.168.10.0/24 -j ACCEPT
* Instal·la el servidor apache2
+
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 53 -d 192.168.10.0/24 -j ACCEPT
* Accedeix a la web
+
iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 53 -d 192.168.10.0/24 -j ACCEPT
*6 Permet el accés a la web
+
 
*7 Permet l'accés a la web només del rang 172.16.204.1-254
+
##Regla de NAT per transformar la IP origen dels paquets (lan i dmz) amb la ip pública del firewall (eth0)
*8 Crea un LOG del firewall
+
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
*9 Deshabilita el ping (/etc/ufw/before.rules)
+
 
*10 Denega l'accés al pc a la xarxa 172.16.204.0/24
+
##Accés al servei ssh del servidor DMZ des de Internet pel port 2222
*11 Denega l'accés al servei apache al pc 172.16.204.254
+
#Regla de transformació de ports
*12 Comprova l'estat del firewall amb números de regles
+
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 192.168.3.2:22
<!--
+
 
[[Solució_ufw]]
+
#Regles de Permetre ssh cap al servidor de la DMZ
-->
+
iptables -A FORWARD -i eth0 -o eth2 -p tcp -dport 22 -d 192.168.3.2 -j ACCEPT
 +
iptables -A FORWARD -o eth0 -i eth2 -p tcp -sport 22 -s 192.168.3.2 -j ACCEPT
 +
 
 +
#Accés via SSH al firewall
 +
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
 +
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 +
 
 +
</source>
 +
<pre>
 +
Per executar l'script:
 +
$sudo sh tallafocs.sh
 +
 
 +
Per connectar-te des de la màquina real al servidor de la DMZ via ssh
 +
$ssh -p 2222 willy@ip_firewall
 +
ex:
 +
$ssh -p 2222 willy@172.16.204.1
 +
</pre>
  
 
= Exercici 3: Tallafoc IPCOP =
 
= Exercici 3: Tallafoc IPCOP =

Revisió del 19:32, 13 març 2016

= Exercici de teoria


Exercici 1 : Tallafoc simple d'un pc (ufw) = Utilitza el programari ufw, Uncomplicated Firewall, per realitzar el següent exercici:

  • El tallafoc és una MV amb Ubuntu Server.
  • Instal·la el servei SSH
  • Realitza una Connexió ssh
  • 1 Activa el firewall UFW
  • 2 Comprova l'estat del firewall (mode verbose)
  • Realitza una connexió SSH al servidor anterior
  • 3 Permet la connexió SSH (regla ufw)
  • 4 Elimina la regla anterior del ssh.
  • 5 Permet la connexió ssh només des del teu PC
  • Instal·la el servidor apache2
  • Accedeix a la web
  • 6 Permet el accés a la web
  • 7 Permet l'accés a la web només del rang 172.16.204.1-254
  • 8 Crea un LOG del firewall
  • 9 Deshabilita el ping (/etc/ufw/before.rules)
  • 10 Denega l'accés al pc a la xarxa 172.16.204.0/24
  • 11 Denega l'accés al servei apache al pc 172.16.204.254
  • 12 Comprova l'estat del firewall amb números de regles

Exercici 2 : Tallafoc DMZ (IPTABLES)

1. Busca que és una DMZ i quins tipus de DMZ podem tenir a la empresa.

Realitza el següent cas pràctic:

Tallafoc2.jpg

En aquest tipus de Firewall s'ha de permetre:

  • El tallafoc és una MV amb Ubuntu Server.
  • Política restrictiva
  • Accés a Internet (servidores web) des de la LAN
  • Denega l'accés a Ineternet des de la LAN
  • Accés al servei ssh del servidor DMZ des de Internet pel port 2222
  • Denegar l'accés al Port 22 des de Internet però permet-ho des de la LAN al firewall
#!/bin/bash
#nom del script: tallafocs.sh
## FLUSH de les regles
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

echo "1" > /proc/sys/net/ipv4/ip_forward

#Comportament per defecte
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP 
iptables -t nat -P PREROUTING ACCEPT 
iptables -t nat -P POSTROUTING ACCEPT 

#Accés a Internet(servidors web) des de la LAN
##Regles d'anada (petició cap als servidors d'internet)
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 443 -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -s 192.168.10.0/24 -j ACCEPT
##Regles de tornada (resposta a les peticions anteriors)
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 80 -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 443 -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp --sport 53 -d 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --sport 53 -d 192.168.10.0/24 -j ACCEPT

##Regla de NAT per transformar la IP origen dels paquets (lan i dmz) amb la ip pública del firewall (eth0)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 

##Accés al servei ssh del servidor DMZ des de Internet pel port 2222
#Regla de transformació de ports
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2222 -j DNAT --to 192.168.3.2:22

#Regles de Permetre ssh cap al servidor de la DMZ
iptables -A FORWARD -i eth0 -o eth2 -p tcp -dport 22 -d 192.168.3.2 -j ACCEPT
iptables -A FORWARD -o eth0 -i eth2 -p tcp -sport 22 -s 192.168.3.2 -j ACCEPT

#Accés via SSH al firewall
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Per executar l'script:
$sudo sh tallafocs.sh

Per connectar-te des de la màquina real al servidor de la DMZ via ssh
$ssh -p 2222 willy@ip_firewall
ex:
$ssh -p 2222 willy@172.16.204.1

Exercici 3: Tallafoc IPCOP

Tallafoc2.jpg

  • Crea una MV amb 3 targetes de xarxa:
    • La targeta de xarxa que tindrà connexió d'internet ha d'estar configurada amb mode 'pont'.
    • La targeta de Xarxa que es comunicarà amb la LAN ha d'estar configurada amb mode 'només anfitrió'
    • La targeta de xarxa que es comunicarà amb la DMZ ha d'estar configurada amb mode 'pont'
  • Instal·la el programari IPCOP i configura-ho amb les xarxes Green, Red i Orange.
  • Accedeix a la Web de IPCOP i realitza l'exercici Firewall d'una LAN amb connexió d'Internet i amb DMZ utilitzant aquest programari.

XARXES IPCOP

  • GREEN — Xarxa de confiança. Xarxa interna.
  • BLUE — Xarxa de semi-confiança. Normalment wireless.
  • ORANGE — DMZ per als serveis que s'ofereixen a Internet
  • RED — Xarxa per la que ens connectem a Internet