Mecanismos de defensa en redes
Enviado por Roseyra Retana • 2 de Agosto de 2021 • Práctica o problema • 1.007 Palabras (5 Páginas) • 98 Visitas
Asignatura | Datos del alumno | Fecha |
Seguridad en redes | Apellidos: | 19 de julio de 2021 |
Nombre: |
Mecanismos de defensa en redes
Presentan:
Materia: Seguridad en Redes.
Profesor: l.
Identificación del SIS:
Grupo:
Fecha: CDMX, a 19 de julio de 2021.
[pic 1]
Introducción
A continuación, expondré parte del aprendizaje de IPTABLES, en los cuales responderé a a tabla solicitada con los comandos solicitados y el ejemplo de su ejecución.
Podemos definir a IPTABLES, como el cortafuegos que nos permite “aceptar” o “denegar” lo que establezcamos, esto a su vez reflejará lo que se puede “filtrar” en la red.
Existen reglas predefinidas, que, acompañadas de una acción, nos ayudan a establecer políticas de lo que se permitirá o no.
Desarrollo
Con base a lo solicitado por la práctica, partiré de denotar el estado inicial para que se puedan visualizar finalmente las reglas aplicadas.
Estado inicial
Para entrar al desarrollo de la práctica, es importante comentar que es necesario tener privilegio de root para lograr la ejecución de los comandos.
Compruebo primero que tengo instalado iptables, así como listo la situación inicial previo a la práctica.
[pic 2]
Creo una Cadena para la practica a la cual llamo “DefensaRedes_RoseyraRetana”
[pic 3]
Teniendo en cuenta la topología de red mostrada en la figura 1 rellena la tabla 1 con las reglas de iptables que deberían aplicarse en el Firewall para llevar a cabo las acciones solicitadas. Las reglas, siempre que sea posible, deben determinar protocolo, dirección IP origen y destino, puerto/s origen y destino y el estado de la conexión.
- [pic 4]
- Figura 1: Topología de red.
Acción | Regla |
Establecer una política restrictiva | Es importante comentar que el funcionamiento de IPtables establece que “todo lo que se no se acepta o restringe”, es aceptado. A lo anterior se denominan políticas por defecto, a las cuales se asigna una acción: “ACCEPT” y “DROP”. • En una política de denegación: todo está denegado y sólo está permitido lo que se declara explícitamente, para lo cual los comandos quedarían de la siguiente forma: iptables –[Parámetro] [CadenaPorDefecto] DROP Donde [Parámetro]: 1. -A → Agregar cadena 2. -D → Borrar 3. -I [numero]→ Agrega al inicio de una cadena o a partir de una número de regla dado. 4. -L → Lista las reglas. 5. -F → Borra las reglas. 6. -Z → Inicia a cero. 7. -N → Crear cadena 8. -P → Aplicar nueva política Donde [CadenaPorDefecto]: 1.-PREROUTING → Cadena donde pasan los paquetes después de que salen de la interfaz 2.-POSTROUTING → Cadena donde pasan los paquetes antes de llegar a la interfaz 3.-FORWARD → Cadena de filtrado una vez ruteado. 4.-INPUT → Cadena de filtrado de los paquetes que van la/s IP/s pertenecientes a la máquina. 5.- OUTPUT → Cadena de filtrado de los paquetes que salen de la/s IP/s pertenecientes a la maquina. Con DROP (en este caso es la acción que deniega por defecto), no se hace nada con el paquete, otra opción sería aplicar “REJECT”, con la cual se rechaza, pero se da un motivo. Con DROP lo que se realiza por cada regla es: 1.-iptables -P INPUT DROP # descartar entradas al firewall 2.-iptables -P OUTPUT DROP # descartar salidas del firewall 3.-iptables -P FORWARD DROP # descartar reenvíos a través del firewall A continuación, ejemplifico un rechazo de paquetes: [pic 5] |
Permitir el tráfico de conexiones ya establecidas | Con base a la estructura comentada anteriormente, el tráfico se puede establecer de la siguiente manera: 1.-iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 2.-iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 3.-iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT [pic 6] |
Aceptar tráfico DNS (TCP) saliente de la red local | A partir del Puerto e IP del DNS, permitimos que salga el tráfico con una regla que le permita salir y la acción aceptar iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT [pic 7] |
Aceptar correo entrante proveniente de Internet en el servidor de correo | Para lograr aceptar el correo electrónico hay que abrir el puerto 25 que corresponde al correo sudo iptables -A FORWARD -p tcp --sport 25 -i -eth1 -o etho -j ACCEPT [pic 8] |
Permitir correo saliente a Internet desde el servidor de correo | Permitimos que el correo salga abriendo el Puerto 25 . sudo iptables -A OUTPUT -p tcp --sport 25 -o etho -s 196.2.1.10 -j ACCEPT [pic 9] |
Aceptar conexiones HTTP desde Internet a nuestro servidor web | A continuación, se rutea el Puerto y se abren las conexiones. iptables -A PREROUTING -t nat -i etho -p tcp --dport 25 -j DNAT --to 196.2.1.10:25 iptables -A FORWARD -p tcp -i etho -o ethq -d 196.2.1.10 --dport 25 -j ACCEPT [pic 10] |
Permitir tráfico HTTP desde la red local a Internet | sudo iptables -A OUTPUT -o etho -p tcp --sport 80 -j ACCEPT [pic 11] |
...