Informe 15.746.867-7

Universidad Catlica del Maule
Facultad de Ciencias de la Ingeniera

Tcnico Universitario en Computacin

TUC-315 Habilitacin Profesional

INFORME DE PRCTICA

CRISTIN ARMANDO MENA LARA.

Talca, Mayo de 2006
Agradecimientos-

Estas son algunas palabras de agradecimiento a las personas que me ayudaron,
apoyaron y confiaron en mi, a lo largo de mi vida y de esta carrera.

En primer lugar quiero agradecer a Dios que me ha acompaado en los momentos
buenos y malos de la vida, y me dio la fuerza para terminar la carrera.

Tambin agradezco a mi padre Domingo Mena y a mi madre Nilda Lara, por el
sacrificio que hicieron para poder darme estudios, y la confianza y el apoyo que
me dieron.

A mis hermanos, Mauricio y Cecilia, por toda la ayuda y apoyo brindado a lo largo
de esta carrera.

A mis familiares que se preocuparon de cmo me iba en mis estudios.

A los profesores de la Universidad que dieron lo mejor de ellos para que
pudiramos terminar los cursos con el mayor conocimiento y experiencia posible.

A mis compaeros que me apoyaron y ayudaron a lo largo de la carrera.

A mis amigos que siempre estuvieron ah cuando los necesite, y agradecerles el
aliento que me brindaron.

Espero no haber dejado a nadie a fuera y darles a todos las gracias que se
merecen.

ndice de contenidos.

1.- Introduccin................ 1
1.1.- Lugar de Trabajo.............. 2
1.2.- La Institucin.......... 3
1.3.- Infraestructura...................... 5

2.- Descripcin del problema...................... 8
2.1.- Creacin de un Firewall y Gateway bajo Linux.... 8
2.2.- Mantenimiento......... 11

3.- Descripcin de las competencias puestas en prctica........................... 12
3.1.- Creacin de un Firewall y Gateway bajo Linux.......... 12

4.- Descripcin de la solucin propuesta.......................................................... 14
4.1.- Creacin de un Firewall y Gateway bajo Linux............................... 14
4.1.1.- Desarrollo de Firewall......... 15
4.1.2.- Creacin del Script.......... 19

5.- Conclusin....................... 30

6.- Bibliografa................ 31

7.- Glosario........................................................................................................... 32

8.- Anexos............ 34
8.1.- Script del Firewall..................................................................... 34
8.2.- Documentos prctica.......................................................................... 40
ndice figuras.

Figura 1. Organigrama Colegio Juan Piamarta................... 4
Figura 2. Diagrama inicial de la red local.......................................................... 10
Figura 3. Esquema de un Firewall y Gateway...................................................... 15
Figura 4. Modificacin de la topologa con implementacin del Firewall.............. 17
Figura 5. Configuracin final de la red local.......................................................... 18
Figura 6. Interfaz estndar de lnea de comando................................................. 19
Figura 7. Flush de reglas ipatables....................................................................... 20
Figura 8. Poltica por defecto................................................................................ 20
Figura 9. Aceptar conexiones locales................................................................... 21
Figura 10. Acceso ha la red local.......................................................................... 21
Figura 11. Enmascaramiento de la red local......................................................... 21
Figura 12. Activar forward de paquetes................................................................ 22
Figura 13. Re-direccionamiento de puerto............................................................ 22
Figura 14. Habilitar puertos de servicios............................................................... 22
Figura 15. Cerrar puerto de webmin..................................................................... 23
Figura 16. Cerrar puertos bien conocidos............................................................. 23
Figura 17. Bloqueo de pgina no deseadas......................................................... 24
Figura 18. Permiso de ejecucin........................................................................... 24
Figura 19. Ejecucin en el inicio del Script............................................................ 24
Figura 20. Respuesta de comando ping............................................................... 25
Figura 21. Respuesta de comando nmap............................................................. 26
Figura 22. Respuesta comando netstat................................................................ 26
Figura 23. La herramienta IPTraf en funcionamiento............................................ 27
Figura 24. La conexin de un punto al Hub o Swtch............................................ 29

1
1.- Introduccin.

En este informe se expone el problema de la organizacin y se describe las
soluciones planteadas y desarrolladas en la prctica, que se llevo acabo en el
periodo comprendido entre Agosto y Diciembre del 2004, con un total de 400
horas, para cumplir con los requerimientos de la carrera de Tcnico Universitario
en Computacin de la Universidad Catlica del Maule, para acceder al ttulo, de
acuerdo al reglamento de titulacin de la carrera.
Esta prctica se realiz en el establecimiento educacional Juan Piamarta. Este
colegio imparte una educacin Cientfico Humanista y Tcnico Profesional, posee
una gran cantidad de computadores divididos principalmente en dos laboratorios.
El desempeo en el establecimiento fue mantener en buen funcionamiento los
equipos y la red de institucin, para ello utilice el conocimiento en el rea de
Soporte Tcnico, y mis principales actividades fueron:

Reparacin y mantenimiento de equipos.
Instalacin y configuracin de Hardware.
Instalacin y configuracin de Software.
Administracin de la red local de la institucin.

La supervisin del trabajo en todas las actividades realizadas estuvo a cargo del
jefe del rea Tcnico Profesional Gustavo Uribe Nadeau.

2
1.1.- Lugar de trabajo.

Principalmente las actividades se desarrollaron en los laboratorios de computacin
y en la oficina donde permanecen las conexiones y el servidor del sistema del
establecimiento, tambin aqu se encuentra la conexin a Internet, donde se
realiza el principal cambio. Para ello es proporcionado un computador con un
procesador Pentium IV con 1.7Ghz, 128Mb en RAM, disco duro de 15Gb, tambin
con conectividad a Internet y a la red local, este equipo fue utilizado para la
creacin del Firewall y Gateway de la red local, para este fin se utiliz la
distribucin Fedora Core 2 del sistema operativo GNU/Linux.

- Horario.

El horario no fue tan regular, ya que tuvo que congeniar con el horario de clases,
porque la prctica estuvo comprendida entre el 2 de Agosto y el 17 de Diciembre
del 2004.

La distribucin horaria semanal fue la siguiente:
Lunes:
Desde las 8:30 hasta las 12:30 horas.
De Martes a Jueves:
Desde las 8:30 hasta las 13:15 horas.
Viernes:
Desde las 8:30 hasta las 10:00 horas y en la tarde de las 14:30 hasta 18:30
horas.

El problema de horario fue conversado previamente con la persona responsable
de la de la prctica, llegando a un buen acuerdo para cumplir con las 400 horas de
prctica que estipula el reglamento del proceso de titulacin de la carrera.

3
- Cargos desempeados.

Principalmente fueron dos cargos desempeados: Administrador de Redes, y
Soporte Tcnico. En el primer cargo las principales tareas fueron: la nueva
configuracin de la red local para la introduccin del Firewall, y configuracin de
este ltimo. En el segundo cargo las tareas fueron la reparacin y mantenimiento
de equipos, y la instalacin y configuracin de Software y Hardware.

1.2.- La Institucin.

- Descripcin general.

Esta prctica fue realizada en el colegio particular subvencionado Juan Piamarta,
el cual se encuentra ubicado en calle 1 Oriente con 12 Sur B #765 en Talca, VII
Regin del Maule.

Este colegio depende de la Fundacin Juan Piamarta, quien profesa los valores
cristianos y busca un crecimiento pleno, justo y fraterno de la sociedad.

El colegio tiene la visin de que los nios, jvenes y educadores promuevan la
interrelacin educativa y cultural entre s, y se desenvuelvan de manera pacfica,
humanizadora y profesen el bien y la verdad. Tambin tiene la misin de entregar
una educacin integral y basada en los valores cristianos, que valoricen las
individualidades, capacidades y las competencias personales que les permitan
insertarse con xito en la sociedad.

4
- El Organigrama.
Figura 1. Organigrama Colegio Juan Piamarta.

El colegio Juan Piamarta se encuentra a cargo del Rector Benjamn Montenegro, y
su representante educacional, la Directora Mara Alejandra Bustos.

Adems posee un personal de aproximadamente 64 personas, distribuidas entre
docentes, inspectores y administrativos.

5
- Grupo de Trabajo.

Principalmente el grupo ms prximo con el cual se trabaj fue con otros alumnos
en prctica, que pertenecan al mismo establecimiento y otro que era de un centro
de formacin tcnica. Todos bajo la supervisin del jefe del rea Tcnico
Profesional Gustavo Uribe Nadeau.

- Ambiente de Trabajo.

El ambiente de trabajo fue amigable y cooperativo entre los practicantes. Hubo un
apoyo mutuo para resolver distintos problemas. Tambin con profesores existi un
arreglo para distribuir de mejor forma el horario de laboratorio, lo cual dej
conforme al personal.

1.3.- Infraestructura.

El establecimiento posee una construccin slida de tres niveles con ms de 29
salas de clases, biblioteca, sala de profesores, las respectivas oficinas
administrativas, laboratorio de ciencias y de computacin.

Tiene una central telefnica que recorre todo el establecimiento y comunica las
distintas oficinas, estas dependencias poseen conexin a la red local, al igual que
los laboratorios de computacin, los cuales se dividen en dos: uno para la
enseanza de los alumnos de Pre-Bsica y Bsica, y el otro para los alumnos de
educacin Media y Tcnico Profesional.

6
- Equipos.

El Primer laboratorio tiene un total de 23 computadores, que tienen las siguientes
caractersticas:

9 AMD Duron de 950Mhz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
9 Intel Celeron de 1.0Ghz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.
Windows 98 SE.
2 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb, SO
Windows 98 SE.

El segundo laboratorio tiene un total de 23 computadores, que tienen las
siguientes caractersticas:

Windows XP Pro.
1 Intel Pentium de 233Mhz, 32Mb de RAM, disco duro de 2Gb, SO
Windows 98 SE.
Windows 98 SE.
Windows 98 SE.

Encontramos distintos equipos informticos, distribuidos en las distintas oficinas
de administracin, los cuales detallamos en la siguiente lista:

Windows 98 SE.
7
1 Intel Celeron de 700Mhz, 128Mb en RAM, disco duro de 10Gb SO
Windows 98 SE.
Windows 98 SE.
3 486 DX100, 8Mb en RAM, disco duro de 840Mb, SO Windows 95.
5 Impresoras inyeccin de tinta marca Canon.
1 Impresora inyeccin de tinta marca Epson
2 Impresora matriz de punto marca Okidata modelo 320.
2 Impresora matriz de punto marca Okidata modelo 321.
1 Impresora matriz de punto marca Panasonic modelo 150
1 Tarjeta capturadota de Video, TV y Radio.
3 Switch TRENDnet 10/100 Mb/s 24 puertas.
1 Switch D-Link 10/100 Mb/s 16 puertas.
1 Hub D-Link 10 BaseT 16 puertas.
2 Hubs D-Link 10 BaseT 24 puertas.

8
2. - Descripcin del problema.

2.1.- Creacin de un Firewall
1
y Gateway
2
bajo Linux.

El principal problema de la organizacin fue el gran aumento en la cantidad de
computadores que poseen en sus laboratorios, y por ello se ven reducidos en gran
magnitud el acceso y velocidad en la navegacin de Internet. Decidieron aumentar
considerablemente su velocidad de acceso a Internet, ya que ellos posean un
plan ADSL
3
multiusuario de 256 Kbps, y deseaban aumentarlo a un ADSL
monousuario de 2048 Kbps, ya que tiene un valor comercial similar, pero con
diferencias en la velocidad y el modo de conexin de los usuarios (multiusuario-
monousuario).

Este plan slo sirve para un equipo, en consecuencia este computador tiene que
poseer la propiedad de compartir Internet en forma segura hacia la red local, es
por eso que, se opt por un equipo con un sistema operativo Linux, ya que nos
proporciona varias propiedades incluyendo las ya mencionadas. Este sistema
operativo nos permite gran flexibilidad en lo que se refiere a seguridad y
especficamente el Firewall, que requiere esta organizacin, para ello utilizaremos
el servicio de iptables
4
con las distintas polticas y reglas que posee.

1
FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en una red de computadoras
para prevenir algunos tipos de comunicaciones prohibidas por las polticas de red, las cuales se fundamentan
en las necesidades del usuario. La configuracin correcta de cortafuegos se basa en conocimientos
considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeos pueden dejar a
un cortafuego sin valor como herramienta de seguridad.
2
GATEWAY: Una puerta de enlace, un nodo en una red informtica que sirve de punto de acceso a otra red o
tambin llamada pasarela, un dispositivito dedicado a intercomunicar sistemas de protocolos incompatibles.
3
ADSL: son las siglas de Asymmetric Digital Subscriber Line (Lnea de Abonado Digital Asimtrica).
Consiste en una lnea digital de alta velocidad, apoyada en el par trenzado de cobre que lleva la lnea
telefnica convencional.
4
Iptables: es un conjunto de reglas que nos permiten aceptar o rechazar paquetes y que conforman lo que se
conoce como firewall, este se encuentra alojado en kernel. Se tienen rdenes bsicas como: -A para aadir
reglas, -i interfaz de la red, -p tipo de protocolo, estas y otras reglas nos permiten la configuracin de iptables.
Ver: http://www.pello.info/filez/IPTABLES_en_21_segundos.html
9
Las principales caractersticas y servicios que debe tener este equipo son:

Debe tener el hardware necesario para albergar un sistema operativo
GNU/Linux.
Tambin nos debe permitir una puerta de acceso a otras redes, como los es
la Internet.
Debe ser capas de controlar el trfico y los posibles ataques de fuera o
dentro de la red local.
Debe tener la capacidad de controlar el acceso a pginas y contenido no
apto para el desarrollo escolar.
Tambin debe permitir acceso a los servicios proporcionado y denegar el
acceso a los que no se utilizan.

- Objetivo.

Uno de los principales objetivos de esta tarea fue crear un punto de entrada a
Internet y adems que fuese seguro para la red local y que tenga la posibilidad de
restringir el contenido de algunos sitios de Internet. El Firewall nos brinda distintas
ventajas como:

Optimizar el acceso y la velocidad de conexin.
Proteger de intrusos nuestra red local.
Proteger la informacin de la organizacin.
Proteger la red local de virus.
Proteger el acceso a la informacin restringida.

La figura 2, muestra el diagrama de la red local que inicialmente posea el colegio.
Posteriormente se realiza una modificacin, donde se agrega el Firewall, que le
brindar mayor seguridad a la red local.

10

Figura 2. Diagrama inicial de la red local.

La red local tiene como punto de acceso a Internet el modem ADSL en
configuracin multiusuario, pero tambin podemos ver la carencia de un Firewall
que mantenga segura la red local.

- Logros de la actividad.

La actividad se realiz satisfactoriamente, ya que la creacin e implementacin de
la puerta de enlace (Gateway) cumpli con el objetivo de permitir el acceso a
Internet de toda la red local.

Al igual que la puerta de enlace el cortafuego (Firewall) tambin se realiz
satisfactoriamente y cumpli con los objetivos para el cual fue configurado.

11
2.2.- Mantenimiento.

Principalmente en esta actividad se realiz una reparacin, instalacin,
configuracin y chequeo de los distintos equipos informticos del colegio, como los
siguientes:

Impresoras de inyeccin tinta.
Impresoras de matriz de punto.
Computadores de distintas configuraciones.
Distintos tipos de Hardware y Software.
Puntos de red.
Artculos perifricos de los computadores.

Tambin se prest una asesora tcnica y terica a los distintos funcionarios,
docentes o alumnos que lo requiriesen en las distintas reas de la computacin e
informtica.

- Objetivo.

Principalmente el objetivo de esta actividad fue reparar y mantener en buen
funcionamiento todos los recursos informticos disponibles del establecimiento.

Logros de la actividad.

Esta actividad se desarroll con xito. Se repararon los equipos en mal estado y
se desecharon los que no tenan reparacin, con ello quedaron operativos todos
los computadores para el siguiente ao.

12
3.- Descripcin de las competencias propuestas en prctica.

3.1.- Creacin de una Gateway y Firewall.

Para la realizacin de esta actividad principalmente se coloc en prctica el
aprendizaje adquirido en las clases de sistema operativo, soporte tcnico, entre
otras. Tambin se consult a personas entendidas en el tema, adems se realiz
una bsqueda de informacin y manuales
5
que se encuentran en Internet.

Las principales competencias puestas en prctica fueron las siguientes:

Administracin de redes.
Utilizacin de plataforma x86 para el desarrollo del Firewall y Gateway.
Utilizacin de plataformas GNU/Linux y Windows.
Utilizacin de Software libre para las soluciones propuestas.
Configuracin de distintos equipos para adaptarse a la red local.
Uso de diferentes metodologas para la solucin de problemas.

En esta actividad el principal dominio de realizacin utilizado fue el rea de
Soporte Tcnico. En ella se vieron todos los aspectos de la instalacin,
configuracin y mantenimiento de redes y equipos computacionales que posee el
establecimiento.

Entre las dificultades encontradas se puede mencionar la escasa experiencia en el
manejo del Sistema Operativo Linux y la implementacin de un Firewalls. Otra
dificultad fue la tarea de realizar una modificacin en toda la red del
establecimiento para poder incorporar el Firewall a ella.
Para resolver las dificultades se consult a personas entendidas en el tema de
seguridad en redes, posteriormente se revisaron manuales y documentos de

5
En este manual se muestran las habituales arquitecturas de redes con firewall y la forma de montar iptables
para cada caso, con distintas opciones para cada ejemplo (ejemplos: red local e Internet, red local e internet
con zona DMZ). Ver: http://www.pello.info/filez/firewall/iptables.html
13
Internet, todo esto fue de mucha ayuda para realizar satisfactoriamente la
actividad.


Las competencias utilizadas en esta fueron:

Manipulacin y configuracin de distintos equipos computacionales
(Hardware, Software, PC, Impresora, etc.).
La instalacin y configuracin de distintas plataformas (Windows 95, 98,
ME, XP).
Configuracin y manipulacin de cableado y equipos de red.

El dominio de realizacin utilizado en esta actividad fue la del rea de Soporte
Tcnico. En este segmento se encontraron las herramientas necesarias para
lograr todas las actividades que se desarrollaron lo largo de esta prctica.

La principal dificultad encontrada, fue la poca experiencia en el manejo de algunos
equipos (Hardware, Software, etc.) que posee el establecimiento.

Para resolver la dificultad se recurri a manuales e informacin de Internet, la cual
fue de gran utilidad para la correcta manipulacin de los equipos.

14
4.- Descripcin de las soluciones propuestas.

4.1.- Creacin de un Firewall y Gateway.

- Situacin inicial encontrada.

La situacin encontrada en el establecimiento fue de una red desprovista de
proteccin y control, adems con gran cantidad de equipos y un enlace a Internet
reducido (57 equipos y ADSL multiusuario de 256 Kbps), lo cual hacia un acceso
lento a Internet.

La figura 2 (ver figura 2 pagina 10), muestra el esquema encontrado, en el cual se
ve que el Modem ADSL hace de Gateway para la red local ya que se encuentra en
configuracin multiusuario, pero esta red carece de una proteccin como un
Firewall.

- Bsqueda de la solucin.

En conversaciones sostenidas con el supervisor se plante el problema del
aumento de la velocidad de acceso a Internet, con un costo razonable y mejor
seguridad para su red, con un Sistema Operativo GNU/Linux.

- La solucin.

La solucin propuesta respecto a la seguridad, fue implementar un Firewall en un
Sistema Operativo GNU/Linux, el que adems funciona como Gateway, que
permite el enrutamiento de la red local hacia Internet, [Mancill, 03a].

15
La figura 3, muestra el esquema bsico de una red con un Firewall.

Figura 3. Esquema de un Firewall y Gateway.

4.1.1.- Desarrollo del Firewall.

- Implementacin.

La implementacin del Firewall se realiz en un equipo que posee las siguientes
caractersticas:

Pentium IV 1.7Ghz.
128Mb en RAM.
Disco duro de 15Gb.
2 tarjetas de red D-Link 530 10/100 Mb/s.
Sistema Operativo GNU/Linux distribucin Fedora Core 2.

Fue elegida la distribucin Fedora Core 2, ya que en algunos cursos anteriores
(taller de hardware y taller de redes) se habra utilizado versiones anteriores de
esta distribucin, adems es muy usada por administradores de red.

16
Para su implementacin ocupamos una herramienta que viene integrada en el
kernel
6
del Sistema Operativo, la cual se llama iptables. Esta herramienta se utiliza
para crear un Script, el cual lleva distintas reglas y polticas, de las cuales
utilizaremos las de tipo NAT
7
(PREROUTING, y POSTROUTING) [Petersen, 01].
Estas se usan para hacer redirecciones de puertos o cambios de las IP
8
s de
origen o destino.

Tambin tenemos las de tipo FILTER (INPUT, OUTPUT, y FORWARD), las cuales
utilizan filtrado de paquetes que van a la propia mquina, o que van a otras redes
o mquinas. Tambin hay que considerar que existen dos maneras de
implementar un Firewall:

1. Polticas por defecto ACEPTAR (todo lo que entra y sale se acepta,
excepto lo denegado explcitamente).
2. Polticas por defecto DENEGAR (todo queda denegado, excepto lo que se
permite explcitamente).

- Modificacin de la topologa de red.

Todas las figuras o esquemas de la topologa de red son representaciones y no
equivalen el 100% de la realidad de la red local del establecimiento. Esta red
posee 57 computadores distribuidos entre 2 laboratorios de computacin y las
distintas oficinas que se encuentran en el establecimiento.

6
Kernel: El kernel (tambin conocido como ncleo) es la parte fundamental de un sistema operativo. Es el
software responsable de facilitar a los distintos programas acceso seguro al hardware de la computadora o en
forma ms bsica, es el encargado de gestionar recursos, a travs de servicios de llamada al sistema.
7
NAT: Network Address Translation (Traduccin de Direccin de Red), el cual utiliza una o ms direcciones
IP para conectar varios computadores a otra red (normalmente a Internet), los cuales tiene una direccin IP
completamente distinta (normalmente una IP no vlida de Internet). Por lo tanto, se puede utilizar para dar
salida a redes pblicas a computadores que se encuentran con direccionamiento privado o para proteger
mquinas pblicas.
8
IP: son las siglas de Internet Protocol (protocolo de Internet), es un nmero que identifica a una interfaz de
un dispositivo (habitualmente un ordenador) dentro de una red.
17
A continuacin nombraremos los distintos equipos que conforman la red local del
establecimiento:

57 computadores.
104 puntos de red a lo largo del establecimiento.
3 Switch 10/100 Mb/s de 24 puertas.
1 Switch 10/100 Mb/s de 16 puertas.
1 Hub 10 Base T de 16 puerta.
1 Modem ADSL.
Entre otras cosas.

La topologa se tuvo que modificar para poder incorporar el Firewall a la red local
[Press, 01]. La principal modificacin realizada fue la de cambio de IP en todas las
mquinas de la red, ya que cuando fue implementado el Firewall, el acceso a
Internet todava se encontraba en configuracin multiusuario, como se ve en el
ejemplo de la figura 4.

Figura 4. Modificacin de la topologa con implementacin del Firewall.

18
La figura 4 muestra la red con el Firewall ya incluido, adems se puede ver que el
Firewall posee dos interfaces que apuntan a distintas redes. La eth1 se dirige a la
red local y la eth0 hacia el Modem ADSL, que todava se encuentra a una
velocidad de 256 Kbps y en configuracin multiusuario, esta velocidad y
configuracin ser modificada posteriormente.

Mientras que la figura 5 (que se muestra a continuacin), representa la
configuracin final de la topologa de la red local del establecimiento.

Figura 5. Configuracin final de la red local.

En la figura 5 se aprecia se que no necesariamente ocurre un cambio fsico en la
topologa de red, si no mas bien un cambio en la configuracin del Firewall
(principalmente en su interfaz de conexin a Internet), y el otro cambio ocurre en la
configuracin y velocidad de la conexin a Internet a travs del modem ADSL (hay
un cambio en la velocidad, que ahora es de 2 Mbps y su configuracin que cambio
a monousuario).

Para realizar la modificacin de la conexin a Internet, hubo que ponerse en
contacto con el proveedor de Internet (ENTEL Internet), y pedirles un cambio en la
19
velocidad y el tipo de configuracin de modem ADSL. Posteriormente realizado
este cambio se modific el Firewall para que pudiera conectarse a Internet, se
configur la conexin a Internet en la distribucin de Linux Fedora Core 2. Esto se
hizo con el comando adsl-setup, para ello se ingresaron los datos de la cuenta de
Internet y se indic la interfaz a la que se encuentra conectada al modem ADSL,
una vez realizado esto se hace una pequea modificacin en el script del Firewall,
cambiando la interfaz por la cual se conecta la red local a Internet (se cambia la
interfaz eth0 por la interfaz ppp
9
0).

4.1.2.- Creacin del Script
10
.

A continuacin se explicarn los puntos ms relevantes del Script del Firewall
creado para el establecimiento, segn los requerimientos de la red loca. El Script
completo se muestra en el anexo 8.1 de este informe. Adems debemos
mencionar que las lneas que comienza con # indican que es un comentario (el
uso del # como comentario se puede ver claramente en el script completo) y no
sern tomados en cuenta por el sistema.

En la figura 6, se indica que el archivo es un Script del Terminal Linux y ser ledo
(esta lnea comienza #!, no es un comentario) lnea a lnea por el sistema.

#!/bin/bash
Figura 6. Interfaz estndar de lnea de comando.

La figura 7, muestra las lneas que se utilizan para limpiar todas las reglas
actuales (llamadas Flush) que se encuentran en las tablas si es que existiesen, ya
que de ser as el Script no tendra efecto.

9
PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de nivel de enlace
estandarizado. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet.
10
Ver el script completo del firewall en anexo 8.1
20
iptables F
iptables X
iptables -Z
iptables t nat F
Figura 7. Flush de reglas ipatables.

Definimos las polticas por defecto ACEPTAR, es decir todo lo que entra o sale es
aceptado excepto lo denegado especficamente.

En la figura 8, tenemos las polticas INPUT, OUTPUT, y FORWARD por defecto
aceptada, esto fue escogido as, porque se quera tener un trfico casi normal,
pero se protegieron los puertos y direcciones que nos interesan y esto debe
declararse en el Script del Firewall.

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Figura 8. Poltica por defecto.

La tabla NAT se utiliza antes o despus de enrutar los paquetes.

Se utiliz PREROUTING y POSTROUTING, por defecto aceptado, se usa para
manipular los paquetes, modificando los datos de destino y origen, de esta manera
podemos hacer una redireccin a otra mquina o a otro puerto, tambin se puede
hacer modificacin del origen de los paquetes.

En la figura 9, tenemos la lnea que se us para aceptar las conexiones al
localhost, esto se refiere a que podemos hacer conexiones a los puertos locales
21
de cada servicio, como por ejemplo a un servidor MySQL, PostgreSQL, Web, etc.
que este corriendo en la mquina.

iptables A INPUT -i lo -j ACCEPT
Figura 9. Aceptar conexiones locales.

La figura 10 muestra la lnea que se us para poder tener acceso desde la red
local (IP red: 192.168.2.0/24) hacia el Firewall .Aquello se hace a travs de la
interfaz eth1 que se encuentra conectada al Switch principal de la red local
[Mancill, 03b], esto no quiere decir que ya poseemos conexin a Internet, para ello
se debe utilizar otra lnea de comando, y adems utiliza otra interfaz del Firewall.

iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT
Figura 10. Acceso ha la red local.

En la figura 11, la red local est representada por su IP (IP red: 192.168.2.0/24), la
cual sale a Internet haciendo uso de las reglas de NAT y su filtrado
POSTROUTING. Esta regla permite que los equipos de la red local salgan
enmascaradamente, haciendo uso de la poltica MASQUERADE (en GNU/Linux
esta es la poltica que hace compartir Internet a la red local), es decir ocupando la
IP pblica
11
que posee la conexin a Internet, haciendo que parezca solo un
equipo conectado a Internet, todo esto se realiza a travs de la interfaz PPP0 que
es la que est conectada al modem ADSL.

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE
Figura 11. Enmascaramiento de la red local.

11
Norma RFC 1918. Se describe la asignacin de la direcciones IP de las redes privadas que permite la
conectividad entre los hosts de una red, as como entre los hosts pblicos de diversas redes.
http://www.ietf.org/rfc/rfc1918.txt
22
Se activa el Bit de Forward para el reenvo de paquetes. Esto permite que la
mquina acte como Gateway y as reenviar paquetes con origen y destino
remoto, como lo vemos en la figura 12.

echo 1 > /proc/sys/net/ipv4/ip_forward
Figura 12. Activar forward de paquetes.

La figura 13, muestra la lnea que se usa para redireccionar todo lo que venga a
travs de la interfaz ppp0 y vaya con direccin al puerto 2350, lo redireccionamos
a una mquina interna al puerto 3389, que es una mquina que est habilitada con
un Terminal Server.

Iptables t nat A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to
192.168.2.68:3389
Figura 13. Re-direccionamiento de puerto.

En la figura 14, se observa ver las lneas en las cuales se aceptan las conexiones
a los puertos de los servicios deseados. Las conexiones entrantes de estos
servicios, con origen de cualquier red (IP red: 0.0.0.0/0), que tengan como destino
los puertos expresados en el Script (ejemplo: TCP
12
22, 21, etc.), ya que
posteriormente sern denegado los dems.

Figura 14. Habilitar puertos de servicios.

12
TCP: El Protocolo de Control de Transmisin (TCP en sus siglas en ingls, Transmission Control Protocol)
es uno de los protocolos fundamentales en Internet. Muchos programas dentro de una red de datos compuesta
por ordenadores pueden usar TCP para crear conexiones entre ellos a travs de las cuales enviarse datos. El
protocolo garantiza que los datos sern entregados en su destino sin errores y en el mismo orden en que se
transmitieron.
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 22 -j ACCEPT
23
Dependiendo de los casos que se ven en las figuras 15, 16 y 17, se hizo uso de
las polticas REJECT o DROP para bloquear los paquetes. La principal diferencia
que se puede encontrar entre estas dos polticas, es que el REJECT enva una
respuesta al cliente, diciendo que el puerto se encuentra cerrado, y en cambio el
DROP, simplemente no enva nada y el cliente recibe la respuesta de puerto
cerrado por el timeout.

En la figura 15, se cerraron todas la conexiones entrantes que provienen de
cualquier red (IP red: 0.0.0.0/0) que vayan con destino al puerto del servicio
Webmin (gestionador de servicios va Web, que se accede a l a travs del puerto
10000), ya que a este puerto se puede acceder remotamente (una vez bloqueado
se podr acceder solo localmente).

Iptables A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT
Figura 15. Cerrar puerto de webmin.

En la figura 16, se cerraron todas las conexiones entrantes, provenientes de
cualquier red (IP red: 0.0.0.0/0), y que vayan a los puertos de servicios bien
conocidos tanto como TCP y UDP
13
.

iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
Figura 16. Cerrar puertos bien conocidos.

Una de las principales caractersticas que deba tener el Firewall, era que se
pudiese bloquear el acceso a pginas no deseadas, como lo podemos ver en la
figura 17.

13
UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en el intercambio de
datagramas. Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una
conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera.
24
El bloqueo de pginas no deseadas se puede realizar ocupando la poltica
REJECT la cual niega la conexin de una IP que se ha especificado. En el ejemplo
de la figura 17 se aprecia que esta pgina posee ms de una IP. Para el bloqueo
de ella es necesario utilizar el comando netstat na cuando se hace el ingreso a la
pgina que se desea bloquear, al realizarse esta accin se arroja como resultado
distintas IPs y sus respectivos puertos de acceso, con ello y la poltica REJECT se
logra el bloqueo de la pgina.

# Bloqueo de acceso a latinchat
iptables -A FORWARD -d 200.68.58.70 -j REJECT
Figura 17. Bloqueo de pgina no deseadas.

Para terminar con el comentario del Script del Firewall, es necesario mencionar
que para guardar el Script y ejecutarlo posteriormente, es necesario darle
permisos de ejecucin, aquello se logra con el comando chmod (se debe estar
como usuario root), como se observa en la figura 18.

$ chmod +x firewall.sh
Figura 18. Permiso de ejecucin.

Adems si quiere que el Script se ejecute cada vez que se reinicie o se encienda
el equipo, se coloca una lnea que indique la ruta al link (el link simblico se debe
encontrar en /etc/rc.d/init.d) en el archivo rc.local, como en el caso de la figura 19.

/etc/rc.d/init.d/firewall.sh
Figura 19. Ejecucin en el inicio del Script.

25
- Se pone a prueba la red.

Para poner a prueba el Firewall y la red se hizo uso de distintas herramientas
(comandos y software).

Primero se prob la red a travs de los distintos comandos que nos proporcionan
los Sistemas Operativos (Linux y Windows). Uno de los ms conocido y usado es
el comando ping, el permite hacer consultas si un host est activo. La figura 20
muestra un ejemplo donde se hace ping a una pgina en Internet, y se ve si
responde, y lograr conectarse a Internet.

C:\Documents and Settings\Windows>ping www.google.cl

Haciendo ping a www.l.google.com [64.233.179.99] con 32 bytes de datos:

Respuesta desde 64.233.179.99: bytes=32 tiempo=313ms TTL=240
Figura 20. Respuesta de comando ping.

Se puede ver que se obtuvo una respuesta, es decir se tiene acceso a Internet
desde la red local.

Otro comando que se usa es el nmap. Esta instruccin slo funciona en la
plataforma Linux, y se utiliza para conocer los puertos de los servicios que est
proporcionado el Firewall, como se ve en la figura 21.

[root@serverlinux root]# nmap piamarta.sytes.net

Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2006-03-07 23:40 EST
26
Interesting ports on 164.77.127.104:
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
139/tcp open netbios-ssn
445/tcp open microsoft-ds
Figura 21. Respuesta de comando nmap.

Tambin se usa el comando netstat na (el comando se puede utilizar en ambas
plataformas). Este se utilizara para ver los puertos que estn abiertos, sus IPs
(origen y destino) y el estado en que se encuentran, como en la figura 22.

[root@serverlinux root]# netstat -na
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN
tcp 0 0 :::22 :::* LISTEN
udp 0 0 0.0.0.0:137 0.0.0.0:*
udp 0 0 0.0.0.0:138 0.0.0.0:*
Figura 22. Respuesta comando netstat.

Ahora se utiliza la herramienta llamada IPTraf. La herramienta se us para
monitorear las conexiones de las distintas interfaces del Firewall, la herramienta se
puede encontrar disponible solamente en la plataforma Linux.

Esta herramienta nos permiti hacer un filtrado de las conexiones, para ver el
comportamiento de la red, adems nos fij de mejor forma en el trfico de un
puerto en especfico como puede ser el TCP o UDP, segn fueron las
necesidades.
27
Tambin se puede ver que pgina estn visitando los usuarios de la red local, y
ver de qu mquina lo hicieron, adems saber a que puertos se conectaron para
hacer transferencias de paquetes.

Para este caso, se us IPTraf, que es una herramienta para consola basada en
texto, la cual puede interceptar paquetes sobre la red y entrega informacin actual
sobre el trfico IP. Esta herramienta es de uso libre y no se requieren licencias.

IPTraf es muy recomendada por los administradores de red y los textos de
Internet, como una herramienta de monitoreo en la cual podemos ver la cantidad
de paquetes que entran o salen por alguna interfaz (eth0, eth1, ppp0 y la local),
adems podemos tener una vista general de todo el trfico, tambin podemos ver
las direcciones IP a las que se conectan los clientes, entre otras cosas.

En la siguiente figura veremos el monitoreo de la red a travs de la herramienta
IPTraf.

Figura 23. La herramienta IPTraf en funcionamiento.

28

En esta actividad se realizaron diferentes tareas de instalacin, configuracin y
mantenimientos de los diferentes equipos y recursos informticos que posee el
establecimiento.

Se mencionan algunas de las tareas que se realizaron en esta actividad:

Instalacin y configuracin de Windows 95, 98SE y XP.
Instalacin y configuracin de hardware y software.
Instalacin, configuracin y mantenimiento de equipos informticos
(impresoras, unidades de respaldo, etc.).
Instalacin y configuracin de equipos de red (hub, switch, cableado, etc.).

Se hizo un detalle de algunas de las actividades mencionadas anteriormente.

En la actividad instalacin y configuracin de hardware y software, se puede
mencionar la instalacin y configuracin de una tarjeta capturadora de video, tv y
radio (Fly video 2000 FM). La instalacin del hardware se hizo en una ranura de
expansin PCI, despus se instala el controlador que viene en un CD junto a un
Software de control de la capturadora y otro de edicin de video, estos software se
utilizan para el traspaso de videos al computador.

En otra actividad como la instalacin y configuracin de equipos de red, se puede
mencionar las reparaciones de los puntos de red que se encontraban en mal
funcionamiento. Para ello utilizamos una herramienta para probar los puntos de
red, una ves encontrada la falla se procedi a re-instalar el punto, la conexin de
un punto se puede ver en la siguiente figura.

29

Figura 24. La conexin de un punto al Hub o Switch.

El cable que se utiliz en la instalacin es un par trenzado UTP, ya que es un
medio econmico y fiable de implementar la red, tambin en esta instalacin se
ocuparon distintas herramientas especializadas como:

Testing (probador de red).
Crimping (para apretar los conectores de red).
Patching (para apretar los patch).

30
5.- Conclusin.

La realizacin de las actividades que fueron desarrolladas en el establecimiento
educacional Juan Pia marta sirvi de gran experiencia y conocimiento, los cuales
se expresan en las siguientes conclusiones.

A lo largo de este informe se demostr que para una organizacin (grande o
pequea) es necesario que por lo menos tenga implementado un Firewall en su
red, para as proteger su informacin y su red de ataques externos, aunque el
Firewall no sea 100% seguro, pero que lo hace vital para proteger una gran parte
de los servicios y recursos de la organizacin.

Es necesario mencionar la gran capacidad de herramientas y servicios que posee
el Sistema Operativo GNU/Linux en sus distintas distribuciones. Este Sistema
Operativo sirvi para implementar el Firewall a la medida de la organizacin,
adems se pueden agregar varios servicios como Web, FTP, etc. Es
inminentemente necesario dominar este sistema operativo, ya que es una
herramienta potentsima para el desarrollo de distintos proyectos en nuestra
profesin.

GNU/Linux es un sistema abierto, tambin sus herramientas y aplicaciones, esto
facilita una implementacin de varios servicios a un muy bajo costo para una
organizacin.

Es menester mencionar la experiencia adquirida en la actividad de mantenimiento,
en la cual se aprendi a instalar, operar y reparar distintos equipos informticos de
uso cotidiano en una organizacin.

31
6.- Bibliografa.

[Petersen, 01] [R. Petersen. Linux Manual de Referencia. Captulo 39. Seguridad
de Red: Firewall y Cifrado. Netfilter: IPTables y NAT (Kernel 2.4 y
2.6), pp. 1072- 1074. Segunda Edicin, Osborne McGraw Hill,
2001.
[Mancill, 03a]

T. Mancill. Routers en Linux. Captulo 1, Bloques Fundamentales
del
Enrutamiento, Hardware de un Router, pp. 3-16. Segunda Edicin.
Prentice Hall, 2003.
[Mancill, 03b]

T. Mancill. Routers en Linux. Captulo 3, Silicom: Un Router de
LAN, pp. 77-129. Segunda Edicin. Prentice Hall, 2003.
[Press, 01] B. Press, M. Press, Redes con Ejemplos, Software de Red
Protocolos y Aplicaciones, Protocolo de Configuracin de Host
Dinmico, pp 181-185, edicin 2001, ISBN 987-9460-16-2.
Editorial Pearson, 2001.
32
7.- Glosario.

IP: Son las siglas de Internet Protocol (protocolo de Internet), es un nmero que
identifica a una interfaz de un dispositivo (habitualmente un ordenador) dentro de
una red.

TCP: El Protocolo de Control de Transmisin (TCP en sus siglas en ingls,
Transmission Control Protocol) es uno de los protocolos fundamentales en
Internet. Muchos programas dentro de una red de datos compuesta por
ordenadores pueden usar TCP para crear conexiones entre ellos a travs de las
cuales enviarse datos. El protocolo garantiza que los datos sern entregados en
su destino sin errores y en el mismo orden en que se transmitieron.

UDP: User Datagram Protocol, es un protocolo del nivel de transporte basado en
el intercambio de datagramas. Permite el envo de datagramas a travs de la red
sin que se haya establecido previamente una conexin, ya que el propio
datagrama incorpora suficiente informacin de direccionamiento en su cabecera.

ADSL: Son las siglas de Asymmetric Digital Subscriber Line (Lnea de Abonado
Digital Asimtrica). Consiste en una lnea digital de alta velocidad, apoyada en el
par trenzado de cobre que lleva la lnea telefnica convencional.

FIREWALL: Un cortafuegos, es un elemento de hardware o software utilizado en
una red de computadoras para prevenir algunos tipos de comunicaciones
prohibidas por las polticas de red, las cuales se fundamentan en las necesidades
del usuario. La configuracin correcta de cortafuegos se basa en conocimientos
considerables de los protocolos de red y de la seguridad de la computadora.
Errores pequeos pueden dejar a un cortafuego sin valor como herramienta de
seguridad.
33
GATEWAY: Una puerta de enlace, un nodo en una red informtica que sirve de
punto de acceso a otra red o tambin llamada pasarela, un dispositivito dedicado a
intercomunicar sistemas de protocolos incompatibles.

PPP: Point-to-point Protocol, es decir, Protocolo punto a punto, es un protocolo de
nivel de enlace estandarizado. Por tanto, se trata de un protocolo asociado a la
pila TCP/IP de uso en Internet.

Kernel: El kernel (tambin conocido como ncleo) es la parte fundamental de un
sistema operativo. Es el software responsable de facilitar a los distintos programas
acceso seguro al hardware de la computadora o en forma ms bsica, es el
encargado de gestionar recursos, a travs de servicios de llamada al sistema.

NAT: Network Address Translation (Traduccin de Direccin de Red), el cual
utiliza una o ms direcciones IP para conectar varios computadores a otra red
(normalmente a Internet), los cuales tiene una direccin IP completamente distinta
(normalmente una IP no vlida de Internet). Por lo tanto, se puede utilizar para dar
salida a redes pblicas a computadores que se encuentran con direccionamiento
privado o para proteger mquinas pblicas.

34
8.- Anexos.

8.1.- Script del Firewall.

#!/bin/sh
echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#### ppp0 es el interfaz conectado al ADSL y eth1 a la red local ####

# Se aceptan las conexiones al localhost
iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

# Ahora hacemos enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras mquinas puedan salir a travs del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Todo lo que venga por la interfaz ppp0 y vaya al puerto 3389 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 2350 -j DNAT --to
192.168.2.68:3389

35
# habilitar puertos de los servicios

# Cerramos un puerto de gestin: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j REJECT

# cerrar puertos no utilizados
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP

#### bloqueo de pagina no deseadas ####

# Bloqueo de acseso a latinchat

# Bloqueo de acseso a jugarjuegos.com

# Bloqueo de acseso a juegos666.com

# Bloqueo de acseso a minijuegos.com

# Bloqueo de acseso a juegosjuegos.com

# Bloqueo de acseso a elchat.com

# Bloqueo de acseso a latinchat.com

36
# Bloqueo de acseso a latinchat.cl

# Bloqueo de acseso a michat.com

# Bloqueo de acseso a juegos10.com

# Bloqueo de acseso a juegos.com

# Bloqueo de acseso a geojuegos.com

# Bloqueo de acseso a estasmuerto.com

# Bloqueo de acseso a tonterias.com

# Bloqueo de acseso a quefuerte.com

# Bloqueo de acseso a estasvivo.com

# Bloqueo de acseso a podrido.com

# Bloqueo de acseso a jocjuegos.com

# Bloqueo de acseso a rotten.com

# Bloqueo de acseso a 1001juegos.com

# Bloqueo de acseso a 101juegos.com

37
# Bloqueo de acseso a barbie.com

# Bloqueo de acseso a cartoonnetwork.com

# Bloqueo de acseso a l1.lopeor.com

# Bloqueo de acseso a cartoonnetwork.cl

# Bloqueo de acseso a jetrixtv.com

# Bloqueo de acseso a miniclick.com

# Bloqueo de acseso a irc.cl

# Bloqueo de acseso a etc.cl

# Bloqueo de acseso a juegosjuegos.com

# Bloqueo de acseso a escalofrio.com

# Bloqueo de acseso a private.com

# Bloqueo de acceso a miniclip.com

# Bloqueo de acceso a irc

38
# Bloqueo de acceso a neopets.com

# Bloqueo de acceso a juegorama.com

# Bloqueo de accesoa mejorbusqueda.com

# Bloqueo de acceso a juegoramas.com

# Bloqueo de accesoa chile.com/chat

# Bloqueo de acceso a terra.cl/chat

# Bloqueo de acceso a canal13.cl/chat

# Bloqueo de acceso a quemadres.com

# Bloqueo de acceso a quevideos.com

# Bloqueo de acceso a juegos666.com

# Bloqueo de acceso a jugarjuegos.net

39
# Bloqueo de acceso a publispain.com

# Bloqueo de acceso a murox.sytes.net
iptables -A FORWARD -s 192.168.2.35 -d 200.27.56.114 -j ACCEPT
#iptables -A FORWARD -d 200.27.56.114 -p tcp --dport 80 -j REJECT

echo OK . Verifique que lo que se aplica con: iptables L -n
# Fin del script

40

41

Informe 15.746.867-7

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe 15.746.867-7

Cargado por

Copyright:

Formatos disponibles

Universidad Catlica del Maule

Facultad de Ciencias de la Ingeniera

También podría gustarte