Javier del Moral Calzada (1 ASI Diurno)

I.E.S. Pablo Serrano

Febrero 2009

Configuracin de polticas de acceso y de valores de DMZ

Objetivos de la prctica:
-

Iniciar la sesin en un dispositivo multifuncin y ver los valores de seguridad

Configurar polticas de acceso a Internet basadas en una aplicacin y una direccin IP
Configurar una zona desmilitarizada (DMZ) para un servidor de acceso abierto con una
direccin IP esttica.
Configurar el reenvo de puertos para limitar la accesibilidad de los puertos a HTTP
solamente.
Utilizar las funciones de ayuda del dispositivo Linksys WRT300N.

Preparacin
Para la realizacin de esta prctica necesitamos:
- Un router linksys
- 3 equipos con Microsoft Windows XP, 2 de ellos con un servidor web instalado
- Una tarjeta inalmbrica USB
- Acceso a la red del aula

Instalacin de un servidor web en un equipo

Si no tenemos instalado un servidor web en 2 de los equipos (que sern el host B y el host externo,
y que ms adelante explicamos cual es cada uno), los instalaremos ahora. Necesitaremos el CD de
instalacin de Windows XP. Introducimos el CD en la unidad reproductora, y nos vamos a:
Inicio > Panel de Control > Agregar o quitar programas > Agregar o quitar componentes de
windows, y en esta ventana buscamos Servicios de Internet Information Server (ISS)

Marcamos la opcin que hemos dicho antes, y pulsamos en el botn Detalles para ver los
subcomponentes que tiene. En esta ventana que se abre, vamos a marcar la opcin Servicio de
Protocolo de transferencia de archivos (FTP) para instalar adems el servidor FTP, y el resto de
opciones las dejaremos como estn.
-1-

Aceptamos, y le damos a siguiente para que empiece con la instalacin. Si por algn motivo al
hacer la instalacin nos sale algn mensaje diciendo que no ha encontrado el CD, desde esa ventana
entramos en el CD y buscamos una carpeta que se llama I386. La seleccionamos y continuamos
con la instalacin. Si ms adelante nos ocurre lo mismo, repetiremos este mismo paso.
Cuando termine, ya tendremos instalado el IIS (Internet Information Server), el servidor web, y
repetiremos todos estos pasos para instalarlo en el otro equipo.

Servicios
Una vez que ya hemos instalado los servidores en los equipos, nos vamos a:
Inicio > Panel de control > Herramientas administrativas > Servicios, y en esta ventana que
aparece buscamos el servicio Publicacin en World Wide Web

Este es el servicio que corresponde al servidor web. Hacemos doble clic en el y pinchamos en el
botn Iniciar (si no estaba en marcha). La forma de que se inicie el servicio la podemos poner de
forma manual por lo que tendremos que ser nosotros quienes lo activemos, o de forma automtica
que se iniciara el solo. Ahora tenemos que averiguar en que ubicacin tenemos que poner nuestras
pginas web. Para ello vamos a:
Inicio > Configuracin > Panel de control > Herramientas administrativas y pinchamos en
"Servicios de Internet Information Server. En el explorador de la izquierda hacemos clic con el
botn derecho en Sitio web predeterminado y le damos a propiedades. En esta ventana de
propiedades encontraremos la ubicacin de la carpeta donde se deben poner las pginas web, y
encontraremos tambin una opcin para indicar el orden de las pginas (es recomendable que la
pagina de inicio se llame index.htm).
Para la prctica que vamos a realizar, necesitaremos tambin activar el servicio telnet. Para ello
hacemos lo mismo que hemos hecho con el servicio anterior:
-2-

Inicio > Panel de control > Herramientas administrativas > Servicios, y buscamos el servicio
que se llama Telnet. Hacemos doble clic sobre el, y en la ventana que aparece, pulsamos el botn
Iniciar (si no estuviera ya en marcha) y Aceptar, y ya tendramos el servicio telnet activado.
Una detalle a tener en cuenta es que, para poder acceder por telnet al equipo, debemos tener creado
un usuario de windows con contrasea, o no podremos entrar. En nuestro caso vamos a crear un
usuario en windows con contrasea que solo vamos a utilizar para conectar por telnet. Para esto
tenemos que ir a:
Inicio > Panel de control > Cuentas de usuario y pinchamos en Crear una cuenta nueva.
Escribimos un nombre para la cuenta y la creamos. Cuando ya la tengamos creada, en la misma
ventana de Cuentas de usuario, pinchamos sobre la cuenta que acabamos de crear y pulsamos en
la opcin crear una contrasea. Introducimos la contrasea y la confirmacin, y listo. Este usuario
y esta contrasea son las que utilizaremos cuando queramos acceder por telnet a este equipo.

Conexin entre los elementos

La forma de conexionar los distintos elementos ser la siguiente:
El host A estar conectado al router mediante una tarjeta inalmbrica, y el host B lo conectamos al
router mediante un cable de red. El router lo conectamos a la red del aula por la boca de Internet y
el host externo lo conectamos a la red del aula. En nuestro caso, el host externo har tambin la
funcin de servidor, de este modo podemos simular el servidor y el host externo con un solo equipo.
El esquema quedara como el que se muestra en el dibujo, recordando que en nuestro caso, el
servidor externo y el host externo son el mismo equipo.

Debemos comprender que vamos a hacer NAT (Network Address Translation). Al realizar una
conexin, las direcciones privadas de la red interna (la de el host A y el host B) se transformarn en
una IP pblica que ser siempre la misma (la IP externa del router, 192.168.2.242). De este modo la
red interna sera invisible en Internet.
Ahora tenemos que configurar el router y los equipos para que cada uno est en la red que le
corresponde. El router por defecto viene con la direccin IP 192.168.1.1.
Recordamos que para poder acceder a la pgina de configuracin del router debemos de estar en su
misma red, por lo que tenemos que cambiar nuestra direccin IP. Para cambiar la direccin IP,
Inicio > Panel de control > conexiones de red, seleccionamos el dispositivo con el que nos hemos
conectado al router, le damos al botn derecho y propiedades, Protocolo Internet (TCP/IP) >
Propiedades.
Una vez que hemos cambiado nuestra IP a una de la misma red a la que pertenece el router,
accedemos mediante nuestro navegador a la pgina de configuracin (recordamos que para acceder
-3-

al router, se debe poner su direccin IP en la URL del navegador, y deberemos introducir el usuario
y contrasea, que en nuestro caso es admin). La direccin de la red interna del router ser
192.168.3.1, y la direccin IP esttica externa ser 192.168.2.242. Le ponemos al router como
gateway la direccin IP del router del instituto para poder tener salida a Internet. Por ltimo
configuramos el DHCP para que reparta IPs de la 192.168.3.50 a la 192.168.3.100.

En la imagen que se muestra, faltara de poner una DNS, ya que aunque tengamos salida a Internet
al tener como gateway la IP del router del instituto, no nos mostrara pginas externas ya que no
sera capaz de resolver los nombres de dominio con las direcciones IP.
Una vez hecho esto, conectamos la tarjeta inalmbrica al host A y comprobamos la direccin IP
(192.168.3.51) y la puerta de enlace (192.168.3.1, la del router) que se le ha asignado por DHCP

-4-

Al host B, le asignamos una IP esttica (192.168.3.13) ya que hace la funcin de servidor tambin,
y como puerta de enlace le ponemos tambin la del router (192.168.3.1).
El host-servidor externo tendr una IP esttica que estar dentro de la red del aula (192.168.2.30).
Para simular que este host sea Internet, como puerta de enlace no le pondremos la IP externa del
router (192.168.2.242), ya que si lo hiciramos, cualquier peticin del host externo hacia el servidor
o host interno sera mandada a su puerta de enlace (que sera el router, la 192.168.2.242),y como el
router est en la misma red que los host internos, habra acceso entre ellos, cosa que en Internet no
ocurrira.
Una vez que ya tenemos todo configurado, probamos que funciona todo correctamente.
Los resultados son:
El host A y el host B se comunican entre ellos porque estn en la misma red, y tambin se
comunican con el host externo, ya que salen a travs del router a la red del aula.
Ping del host A (192.168.3.51) al host B (192.168.3.13) y al host externo (192.168.2.30) y lo mismo
ocurrira con el host B al host A y al host externo.

-5-

Intentamos ver la pgina web del host B y del host externo a travs del navegador del host A
(poniendo las direcciones IPs en el navegador) y el resultado es bueno, conseguimos verlas.

-6-

En cambio, el host externo no puede hacer ping a los host internos porque estamos haciendo NAT y
por el asunto de la puerta de enlace que hemos comentado anteriormente, ni evidentemente puede
acceder a ningn servicio del host B.
Ping del host externo (192.168.2.30) al host A (192.168.3.51), y lo mismo pasara con el host B

Ahora intentamos hacer ping al router desde el host externo para ver si tienen comunicacin y
vemos que no nos deja.
Ping del host externo (192.168.2.30) al router (IP externa 192.168.2.242)

Esto ocurre por una opcin de seguridad que tiene el router para evitar un posible ataque. La opcin
que evita que un host externo pueda hacer ping al router es la siguiente: entramos a travs del
navegador en el router, y vamos a Security > Firewall y ah encontraremos una opcin que es
Block anonymous Internet Requests. Si esta opcin no esta activada, podremos hacer ping al
router desde el host externo. Si por el contrario esta activada, no podremos.

-7-

Firewall y restricciones
Aprovechando la imagen anterior, comentamos que la opcin de Firewall Protection, que
encontraremos en Security > Firewall, es independiente de las opciones que aparecen debajo, es
decir, aunque tengamos la opcin Firewall Protection desactivada, las opciones que aparecen debajo
seguirn funcionando o no, dependiendo de si estn activadas o no.
Esta opcin de Firewall Protection lo que hace es activar el firewall del router, cuyas restricciones
podemos configurar en la opcin Access Restrictions. Todas las restricciones que hagamos esta
opcin solamente funcionarn si esta activada la opcin Firewall Protection que hemos visto antes.

-8-

La imagen muestra la pantalla correspondiente a la opcin Access Restriction. Vamos a ir viendo

las partes que tiene y comentado para que sirve cada una de ellas.

En esta primera imagen, aparece una lista donde podemos encontrar hasta 10 polticas de
restricciones que hemos tenido que configurar previamente. Cada poltica la distinguiremos por el
nombre que le asignamos (ahora veremos como). Para eliminar una poltica ya creada, lo haremos
mediante el botn Delete. Cada poltica es independiente una de otra, cada una puede tener
configuraciones distintas.

Ahora comenzamos a configurar las restricciones que va a tener nuestra poltica. En la opcin
Status indicaremos si la poltica esta activa o no y en Enter Policy Name indicaremos el nombre
que queramos para identificarla.
En la lista de los pcs (Edit list of PCs), permitiremos o denegaremos (segn lo que tengamos
marcado,si deny o allow) el acceso, los das y horas que tengamos marcados.

-9-

La imagen de arriba muestra la ventana que corresponde a Edit list of PCs. Aqu podemos aadir
los host que queramos, por su MAC, por su IP, o tambin podemos especificar un rango de IPs.
Para el resto de pcs que no estn en la lista, no tendrn ningn tipo de acceso, ya que no estan en la
lista. Permitir todos los servicios, excepto los que deneguemos en la opcin blocked services

En la opcin Website Blocking by URL Address, podemos restringir el acceso a las pginas que
indiquemos (la direccin sera sin el http delante, Ej: www.google.es).
Y desde la opcin Website Blocking by Keyword, restringiremos el acceso a las pginas web que
tengan las palabras que indiquemos aqu.
Para comprobar esto, hacemos la siguiente prueba: como hemos visto antes, el host A y el host B
tenan acceso a la pgina web del servidor externo. En esta pantalla de Access Restriction,
aadimos a la lista de pcs la IP del host A, marcamos allow, le ponemos un nombre a la poltica
(nagacion en este caso), ponemos el status en enable. Intentamos de nuevo acceder al servidor
externo a travs de los host internos, y solo permite la conexin desde el pc cuya IP hemos puesto
en la lista.
Ahora, en la opcin Blocked Services, le indicamos que bloqueamos la salida por http, por el
puerto 80. Ahora, intentamos conectarnos desde el host A (recordamos que ste est en la lista de
- 10 -

pcs) al servidor mediante http, y no lo conseguimos (por lo que acabamos de hacer), pero si
intentamos acceder a travs de telnet, veremos que si que podemos. Probamos tambin las
restricciones Website Blocking by URL Address y
Website Blocking by Keyword y vemos que impiden el acceso a las pginas que hemos puesto, y
a las que contengan las pablaras aqu indicadas.

Zona desmilitarizada (DMZ)

Cuando ya hemos terminado de probar las anteriores restricciones, pasamos a crear una zona
desmilitarizada (DMZ). La idea de crear una DMZ es que, cualquier servicio que se pida a la IP del
router, ste, automticamente lo mande al host B (que hace la funcin de servidor tambin) para que
responda al servicio.
Para configurar una DMZ, deberemos acceder al router, e ir a:
Applications & Gaming > DMZ

En esta pantalla indicaremos si el DMZ est activado o no (Enable o Disable), y adems,

indicaremos la IP del equipo al que queremos que el router enve las peticiones que le llegue (en
nuestro caso ser el host B 192.168.3.13). Ahora, cualquier peticin que llegue al router (por la
parte externa, 192.168.2.242) ser enviada al host B.
Vamos a comprobarlo. A travs del host externo, mediante un navegador, ponemos la direccin IP
del router, y automticamente el router manda la peticin al host B y muestra su pgina web.

- 11 -

Si probamos con una peticin ftp o telnet, ocurre lo mismo, la peticin es contestada por el host B.
Cabe destacar que el DMZ permite todos los servicios y puertos que se necesiten.

Mapeo de puertos
Para permitir nicamente que se conteste a determinadas peticiones, se hace mediante el mapeo de
puertos. Para eso, desactivamos el DMZ, y vamos a:
Applications & Gaming > Port Range Forward

En esta pantalla, en Application indicaremos el nombre con el que identificaremos el servicio, en

Start to End indicaremos los puertos que abarca, el protocolo, la direccin IP del equipo que
queramos que responda a esta peticin y marcaremos la casilla Enable para activarlo. En este caso
vamos a permitir nicamente que, al solicitar un servicio http al router (192.168.2.242), el
encargado de responder a esta peticin ser el host B (192.168.3.13). Como nombre para
- 12 -

identificarlo, ponemos web, a travs del puerto 80 y la IP del host B. Ahora desde el host externo,
ponemos en el navegador la direccin del router, y nos muestra la pgina web del host B. Probamos
ahora a hacer otra peticin, en este caso ftp, y vemos que no podemos.

En el mapeo de puertos, no es necesario que un solo equipo sea el encargado de responder a todas
las peticiones que configuremos, puede haber otros equipos que se encarguen de dar servicio.

En este caso, vamos a hacer que el encargado de dar servicio web sea el host B (192.168.3.13) y el
host A (192.168.3.51) sea el encargado del telnet. Si no tenemos activado el servicio telnet en el
host A, lo activaremos como hemos visto al principio. El usuario que vamos a aadir en el host A,
le pondremos un nombre de usuario diferente al que hay en el host B. El motivo de poner un usuario
diferente lo veremos ahora.

- 13 -

Vamos a realizar una ltima prueba con el DMZ, vamos a dejar el mapeo de puertos activado, y
vamos a activar el DMZ. Si observamos, se est produciendo una contradiccin ya que, en el DMZ
estamos diciendo que el encargado de dar servicio a todo va a ser el host B (192.168.3.13), y en el
mapeo de puertos indicamos que el encargado de dar servicio telnet sea el host A (192168.3.51).
Desde el host externo vamos a conectarnos a travs de telnet al router a ver que ocurre.
Al intentar conectarnos, solo nos permite acceder al host A (192.168.3.51) con su usuario y
contrasea (por eso hemos creado los usuarios con diferente nombre, para tener claro a que host
conectamos, aparte de comprobarlo con el ipconfig /all para ver la ip), con lo que llegamos a la
conclusin de que el mapeo de puertos prevalece sobre el DMZ.

Acceso remoto al router

A continuacin vamos a configurar el router para poder acceder a l de forma remota. Para ello,
desde el host B, accedemos al router y vamos a:
Administration > Management

- 14 -

Veamos cada una de las opciones que aparecen en la imagen.

Las dos primeras opciones (Router Password y Re-enter to confirm) corresponden a la
contrasea de entrada al router.
Las dos siguientes (Access Server y Wreless Access Web) corresponden a la entrada al router
desde la red interna. En Access Server elegimos si conectamos a travs de http, o de https.
Las tres ltimas corresponden al acceso remoto al router. En Remote Management indicaremos si
activamos o no el acceso remoto, en Management Port el puerto por el que accederemos y Use
https si queremos hacerlo a travs de https.
En nuestro caso, vamos a activar el acceso remoto por el puerto 8080.
Un detalle a tener en cuenta es que, al activar el acceso remoto, nos aparece una ventana pidiendo
que cambiemos la contrasea. Esto ocurre por motivos de seguridad, ya que, al ser la contrasea
conocida, podra acceder cualquiera con la contrasea que viene por defecto.
Ahora, desde el host externo, ponemos en el navegador la direccin del router (192.168.2.242), pero
adems, debemos especificar el puerto. La direccin a poner en el navegador seria la siguiente:
192.168.2.242:8080 y vemos que accedemos con la nueva contrasea.

- 15 -

Ahora marcamos la opcin https para conectarnos de forma segura, y lo probamos.

Hay que tener en cuenta que la direccin a poner en el navegador del host externo ahora ser:
https://192.168.2.242:8080. Fijarse que empieza por https, no por http.

- 16 -

Realizaremos una ltima prueba con el acceso remoto al router. En la opcin Management Port,
ponemos el puerto 80. Ahora activamos el mapeo de puertos para que el host B (192.168.3.13) se
encargue de dar servicio http (repetir la configuracin de mapeo de puertos que hemos visto antes).
Lo que ahora ocurrir es lo siguiente:
Tendremos el mapeo de puertos configurado para que las peticiones http que lleguen al router, ste
las enve al host B para que les de servicio (recordamos que el puerto de http es el 80), y adems
tendremos activado el acceso remoto al router tambin a travs del puerto 80. Si intentamos ahora
acceder al router (192.168.2.242:80, que sera la direccin con el puerto que hemos configurado),
como es una peticin por el puerto 80, automticamente por el mapeo de puertos, nos mostrara la
pgina web del host B, por lo que ya no tendramos acceso al router de forma remota.

Conclusiones
-

Todas las restricciones que configuremos en Access Restrictions solo funcionarn si esta
activado el firewall (opcin Firewall Protection)
Si hemos creado una lista de equipos, las restricciones afectarn a los equipos que estn en
esa lista, y el resto de equipos tendrn restringido todo.
Al activar el DMZ, todas las peticiones que lleguen al router sern enviadas al host que
habremos indicado. El DMZ permite todo tipo de peticiones
El mapeo de puertos solo permite las peticiones a los puertos que tengamos configurados, y
equipos diferentes pueden ocuparse de distintos servicios
Si tenemos activado el DMZ y el mapeo de puertos, prevalece el mapeo de puertos sobre el
DMZ.
Si al configurar el acceso remoto al router, ponemos un puerto que ya esta siendo utilizado,
al intentar acceder al router a travs de ese puerto (Ej: puerto 80), nos aparecer el servicio
en lugar de acceder al router (nos apareceria la pgina web del host que estuviera dando
servicio http).
- 17 -