Unidad 5: Paso 6 - Implementar sistemas orientados a la proteccin, la auditoria y seguridad informtica

(Trabajo Colaborativo 5)

Actividad individual

DIPLOMADO DE PROFUNDIZACIN EN LINUX (OPCIN DE TRABAJO DE GRADO)

201494A_360

Grupo: 201494_5

FRANCISCO JAVIER CASTRO ALZATE

CDIGO 14567259

PRESENTADO AL TUTOR:

DANIEL ANDRES GUZMAN AREVALO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

PROGRAMA INGENIERA DE SISTEMAS

ABRIL 2017
 A. Tabla consolidada para la ejecucin de comandos IPTables para reglas de filtrado:

Comandos Funcin(es), accin o Ejemplo contextualizado de cada comando

finalidad Sintaxis de cada
IPTables comando

Tema 1: La tabla filter de IPTables iptables -A INPUT -p icmp -j REJECT: Rechaza todas las peticiones del
Cadenas y contiene tres cadenas protocolo icmp, no se acepta el ping en todas las interfaces de red:
opciones de integradas: INPUT,
comandos OUTPUT y FORWARD:
y de Todo el trfico entrante,
parmetros
dirigido a la mquina, se hace
pasar a travs de la cadena
INPUT; Todo el trfico
saliente, generado localmente,
pasa a travs de la cadena
OUTPUT; Todo el trfico
enrutado, que no se ha
suministrado localmente, pasa
a travs de la cadena
FORWARD.

Las opciones de comandos

instruyen a los iptables para
realizar una accin especfica.
Solamente una opcin de
comandos se permite por
comando de iptables. A
excepcin del comando de iptables -C INPUT -p tcp --dport 1:1024 -j REJECT: Verifica esta cadena que
ayuda, todos los comandos se rechaza todas las dems conexiones desde el puerto 1 al 1024 por protocolo tcp/udp
escriben en maysculas: en todas las interfaces, si no existe ningn error aparece una nueva lnea de la
consola de comandos sin mostrar nada, en caso contrario muestra detalles del error:
-A: Agrega una cadena
iptables al firewall, Siempre
agrega la regla al final de la
cadena especificada.
iptables [-t tabla] -A cadena
especificacin_regla

-C: Verifica una cadena

antes de aadirla al firewall,
Este comando puede ser de
ayuda para construir reglas
complejas.
iptables [-t tabla] -C cadena
especificacin_regla

-D: Borra una regla en una

cadena determinada de
iptables en el firewall,
indicada por un nmero, por
ejemplo (el 5 para la quinta
regla) de una cadena
especifica. iptables -D INPUT 1: Borra la regla ubicada en la primera posicin de la cadena
iptables [-t tabla] -D cadena INPUT
especificacin_regla

-E: Renombra una cadena

de iptables definida por el
usuario y no aplica sobre las
existentes establecidas por
defecto, es un cambio de tipo
esttico y no afecta la
estructura de la tabla, Sirve
para evitar el problema de
borrar una cadena, crendose
bajo un nuevo nombre, y
reconfigurando todas las
reglas de dicha cadena.
iptables [-t tabla] -E
cadena_nombre_actual
cadena_nombre_nuevo

-F: Limpia la cadena

seleccionada, lo que
efectivamente borra cada
regla en la cadena. Si no se
especifica una cadena, limpia
iptables -E CADENA CADENA_RENAME: Renombra la cadena llamada
todas las reglas de cada
CADENA
cadena.
iptables [-t tabla] -F|-L|-Z
[cadena nmero_regla]
[opciones]

-I: Inserta una regla en una

cadena en un punto
especificado por un valor
entero definido por el usuario.
Si no se especifica ningn
nmero, iptables colocar el
comando en el tope de la
cadena.
iptables [-t tabla] -I cadena
[nmero_regla]
especificacin_regla

-L: Sirve para listar todas

las reglas en todas las cadenas
en la tabla de filter
predeterminada, cuando no se
especifique la cadena o la
tabla. Si se quiere listar las
reglas en una cadena iptables -F INPUT: Limpia todas las reglas de la cadena INPUT:
especfica en una tabla
particular deben indicarse al
final del comando.
iptables -L <cadena> -t
<tabla>

Todas las reglas en iptables

tienen definida su condicin
por los parmetros, que
constituyen su parte
primordial, estos parmetros
son necesarios para construir
una regla de filtraje de
paquetes:

-c: Reinicia los contadores

de una regla particular. Este
parmetro acepta las opciones
PKTS y BYTES para
especificar qu contadores
resetear.

-d: Pone el destino por

nombre, direccin IP o red
para un paquete que coincide
con la regla. Cuando se
especifique una red, se puede
utilizar dos mtodos iptables -I INPUT 1 -p icmp -j REJECT: Inserta la regla de: Rechaza todas las
diferentes para describir las peticiones del protocolo icmp, no se acepta el ping en todas las interfaces de red, en
mscaras de red, como la posicin 1 de la cadena INPUT:
192.168.0.0/255.255.255.0 o
192.168.0.0/24.

-i: Establece la interfaz de

red entrante, por ejemplo:
eth0 o ppp0; para ser usadas
por una regla en particular. Si
se utiliza sin especificar la
interfaz, entonces todas las
interfaces se afectarn por la
regla.

-j: Este parmetro le indica

a IPTables que salte al destino
especificado si un paquete
coincide con una regla en
particular. Los destinos
estndares son ACCEPT,
DROP, QUEUE, y RETURN.

-o: Establece la interfaz de

red saliente para una regla.
Esta opcin slo es vlida iptables -L: Muestra todas las reglas de todas las cadenas:
para las cadenas OUTPUT y
FORWARD en la tabla filter,
y para la cadena
POSTROUTING en las tablas
nat y mangle tables. Este
parmetro acepta las mismas
 opciones que el parmetro
para la interfaz de red entrante
(-i).

-p: Establece el protocolo

IP afectado por la regla. Este
puede ser icmp, tcp, udp, o
all, o tambin puede ser un
valor numrico, representando
alguno de estos protocolos, o
alguno diferente. Tambin
puede utilizar cualquiera de
los protocolos listados en el
archivo /etc/protocols. Si esta
opcin es omitida cuando se
est creando una regla, la
opcin all es la opcin por
defecto.

-s: Especifica la direccin

origen (source) del envo de
paquetes, indica la fuente de
un paquete particular usando
la misma sintaxis del
parmetro de destino (-d).

Tema 2: Los diferentes protocolos de iptables -A INPUT -i eth0 -p tcp --dport ssh -j ACCEPT: Se Aceptan todas las
Opciones red proporcionan opciones conexiones al puerto 22/ssh por todas interfaces, indicando el puerto de destino con
de especializadas las cuales se su correspondiente nombre (--dport ssh):
coincide pueden configurar para
ncia para coincidir un paquete
el
particular usando ese
protocolo
protocolo. Sin embargo,
TCP
primero se debe especificar el
(Incluir protocolo en el comando
banderas), iptables. El protocolo deber
UDP e ICMP ser especificado en un primer
momento en el comando
iptables, como con la opcin
-p tcp <nombre-protocolo>,
para hacer que las opciones de
dicho protocolo estn
disponibles.

Para Protocolo TCP: Estas

opciones de coincidencia
estn disponibles para el
protocolo TCP (-p tcp):

--dport Pone el puerto

destino del paquete. Para
configurar esta opcin, use un
nombre de servicio de red (tal
como www o smtp); o un
nmero de puerto; o un rango
iptables -A INPUT -p tcp --sport http -j ACCEPT: Permitir salida al puerto
80/http por todas las interfaces, indicando el puerto de origen con su correspondiente
nombre (--sport http):
de nmeros de puerto. Para
especificar un rango de
nmeros de puerto, separe los
dos nmeros con dos puntos
(:). Por ejemplo: -p tcp --dport
3000:3200. El rango ms
grande aceptable es 0:65535.

--sport Pone el puerto de

origen del paquete y usa las
mismas opciones que --dport.
La opcin --source-port es
sinnimo de --sport.

--syn Se aplica a todos los

paquetes TCP diseados para
iniciar una comunicacin,
comnmente llamados
paquetes SYN. Cualquier
paquete que lleve datos no se
toca.

--tcp-flags <tested flag list> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j ACCEPT: Se aceptarn
<set flag list> Permite todas las peticiones que vengan por todas las interfaces, y deben ser examinados
paquetes TCP que tengan todos los indicadores del protocolo TCP pero solo deben estar activas las banderas
ciertos bits (banderas) SYN y ACK:
especficos puestos, para que
coincidan con la regla. La
opcin de correspondencia
--tcp-flags acepta dos
parmetros. El primero es la
mscara; una lista separada
por comas de las marcas a ser
examinadas en el paquete. El
segundo parmetro es una
lista separada por comas de
las marcas que deben ser
definidas en la regla con la
que se pretende concordar.
Las posibles banderas son:
ACK FIN PSH RST
SYN URG ALL NONE

--tcp-option Intenta
corresponderse con opciones
especficas de TCP que
puedan establecerse dentro de
un paquete determinado. Esta
opcin de correspondencia
puede tambin revertirse con
el signo de exclamacin (!).

Para Protocolo UDP: Estas iptables -A INPUT -p udp --dport 1194 -j ACCEPT
 opciones de coincidencias iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT
estn disponibles para el Aceptar el trfico de entrada y salida por el protocolo UDP para el servicio de
protocolo UDP (-p udp): OpenVPN por todas las interfaces, indicando el puerto de destino y origen con su
correspondiente nmero (--dport 1194, --sport 1194):
--dport Especifica el
puerto de destino del paquete
UDP, utilizando el nombre del
servicio, el nmero de puerto,
o rango de nmeros de puerto.
La opcin de correspondencia
--destination-port es
equivalente.

--sport Especifica el puerto

de origen del paquete UDP,
utilizando el nombre del
servicio, el nmero de puerto,
o rango de nmeros de
puertos. La opcin de
correspondencia --source-port
es equivalente.

Con las opciones --dport y

--sport, para especificar un
rango vlido de puertos, se
debe separar ambos nmeros
del rango con dos puntos (:).
Por ejemplo: -p tcp --dport iptables -A INPUT -p icmp --icmp-type echo-request -j DROP: impide las
3000:3200. El rango vlido solicitudes en todas las interfaces, por el protocolo ICMP del tipo especfico de
ms extenso que puede ICMP echo-request que son solicitudes de PING:
aceptarse es 0:65535.

Para Protocolo ICMP: Las

siguientes opciones de
coincidencias estn
disponibles en el Protocolo de
Mensajes de Control de
Internet (ICMP) (-p icmp):

--icmp-type Establece el
nombre y nmero del tipo de
ICMP a corresponderse con la
regla. Puede obtenerse una
lista de nombres ICMP
vlidos al ingresar el
comando iptables -p icmp -h.

Tema 3: Existen opciones adicionales Prevenir ataques DoS

Mdulos de coincidencia que estn
con disponibles a travs de los -Limit 25/minute: Limita a slo 25 conexiones por minuto.
opciones de mdulos por el comando
coincidenci iptables. Para usar un mdulo -Limit-burst 100: Indica que el valor de limit/minute ser forzado slo despus del
a de opciones de coincidencia, nmero de conexiones en este nivel
se debe cargar el mdulo por
nombre usando la opcin -m, iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100
tal como -m <module-name> -j ACCEPT:
(reemplazando <module-
name> con el nombre del
mdulo).

Mdulo limit Pone lmites

sobre cuntos paquetes se
toman para una regla
particular. El mdulo limit
habilita las siguientes
opciones:

--limit Establece la
cantidad mxima posible de
correspondencias en un
perodo de tiempo
determinado, especificado
como un par
<value>/<period>. Por
ejemplo, utilizar --limit
5/hour permite 5
correspondencias con la regla
a cada hora.

Los perodos se pueden

especificar en segundos,
minutos, horas o das.

Si no se utiliza un nmero o
modificador de tiempo, se
asume el valor
predeterminado de 3/hora.

--limit-burst Pone un
lmite en el nmero de
paquetes que pueden coincidir
con la regla en cada
momento.

Esta opcin se especifica

como un entero y no se debe
usar junto con la opcin
--limit.

Si no se especifica un valor, el
valor predeterminado cinco
(5) es asumido.
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT: Aceptar todas
Mdulo state Habilita el las conexiones entrantes establecidas, en cualquier interface
chequeo del estado.

El mdulo state habilita las

siguientes opciones:

--state chequea a un
paquete con los siguientes
estados de conexin:

ESTABLISHED El
paquete est asociado a otros
paquetes en una conexin
establecida. Necesita aceptar
este estado si quiere mantener
una conexin entre un cliente
y un servidor.

INVALID El paquete es
chequeado no est asociado a
una conexin conocida.

NEW El paquete
chequeado es para crear una
conexin nueva o es parte de
una conexin de doble va que iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP: Se
no fue vista previamente. rechaza todo el trfico en todas las interfaces que provenga de la direccin fsica
Necesita aceptar este estado si (MAC Address 00:0F:EA:91:04:08):
quiere permitir conexiones
nuevas a un servicio.

RELATED El paquete
coincidente est iniciando una
conexin relacionada de
alguna manera a otra
existente. Un ejemplo de esto
es FTP, que usa una conexin
para el control del trfico
(puerto 21) y una conexin
separada para la transferencia
de datos (puerto 20).

Estos estados de conexin

pueden ser utilizados
combinados con otros, si se
los separa con comas, como
por ejemplo -m state --state
INVALID,NEW.

Mdulo mac Habilita el

chequeo de la direccin MAC
de hardware.

El mdulo mac habilita la

siguiente opcin:
 --mac-source Hace
corresponder una direccin
MAC de la tarjeta de interfaz
de red que haya enviado el
paquete. Para excluir una
direccin MAC de la regla,
coloque un signo de
admiracin (!) luego de la
opcin de correspondencia
--mac-source.

Tema 4: Las opciones del objetivo son iptables -A INPUT -p icmp -j ACCEPT: Aceptar todas las peticiones del
Opciones las acciones determinadas de protocolo icmp en todas las interfaces de red:
del objetivo cada paquete segn la regla
y del listado hacia su destino y la opcin
que se decide realizar, estas
opciones de objetivos son los
siguientes:

ACCEPT Permite que el

paquete se mueva hacia su
destino (o hacia otra cadena,
si no ha sido configurado
ningn destino para seguir a
esta cadena).

DROP Deja caer el

paquete sin responder al
solicitante. El sistema que
enva el paquete no es
notificado de esta falla.

QUEUE El paquete se iptables -A INPUT -p icmp -j DROP: Descartar todas las peticiones del protocolo
pone en una cola para ser icmp en todas las interfaces de red:
manejado por una aplicacin
en el espacio de usuario.

RETURN Detiene el
chequeo del paquete contra
las reglas restantes de la
cadena. Si el paquete con este
destino coincide con una regla
en una cadena llamada por
otra cadena, el paquete es
devuelto a la primera cadena
y contina el chequeo donde
qued antes de saltar.

REJECT Enva un
paquete de error de vuelta al
sistema remoto y deja caer el
paquete.

La lista de comandos iptables -L -v:

establecida por defecto,
iptables -L nom_cadena,
ofrece un resumen bsico de
las cadenas actuales de tablas
de filtrado predeterminadas.
Estas Opciones adicionales
brindan ms informacin:

-v Muestra informacin
adicional, como por ejemplo
la cantidad de paquetes y los
bytes que ha procesado cada
cadena, la cantidad de
paquetes y los bytes que se ha
correspondido con cada regla,
y qu interfases se aplican a
una regla determinada.

-x Expande los nmeros

a sus valores exactos. En un
sistema activo, el nmero de
los paquetes y la cantidad de
bytes procesados por una
cadena o regla determinada iptables -L -n:
puede estar abreviado en
Kilobytes, Megabytes
(Megabytes) o Gigabytes.
Esta opcin obliga a ser
mostrado el nmero entero.

-n Muestra las
direcciones IP y los nmeros
de puerto en su formato
numrico, en vez del formato
predeterminado de nombre de
equipo y nombre de servicio.

--line-numbers Muestra
las reglas en cada cadena
junto a su orden numrico en
dicha cadena. Esta opcin es
til si se intenta eliminar una
regla especfica de una
cadena, o para saber dnde
insertar una regla dentro de
una cadena.

-t nom_tabla Especifica
el nombre de una tabla. Si se
omite, se usa filter como
nombre de tabla.
Tema 5: Para Linux Ubuntu el firewall
Directivas usando IPTables con el que
de control viene por defecto el sistema
de operativo es el
IPTables, Uncomplicated Firewall o
guardado ufw y las directivas de
de reglas control son las siguientes:
y archivos
de start Si el cortafuego est
configura configurado se iniciar el
cin de servicio y se activa el
scripts de IPTables.
Control service ufw start

stop Si el cortafuego est

en ejecucin, para el servicio,
se descartan las reglas del
cortafuego que se encuentran
en memoria y todos los
mdulos iptables y ayudantes
son descargados.
service ufw stop

restart Si el cortafuego est

en ejecucin, las reglas del
mismo que se encuentran en
memoria se descartan y se
vuelva a iniciar el cortafuego.
service ufw restart

status Muestra el estado

del cortafuego.
service ufw status

Las reglas creadas con el

comando iptables son
almacenadas en memoria. Si
el sistema es reiniciado antes
de guardar el conjunto de
reglas iptables, se perdern
todas las reglas. Para que las
reglas de filtrado de red
persistan luego de un reinicio
del sistema, estas necesitan
ser guardadas. Para hacerlo,
se debe ejecutar como usuario
root en una consola de
terminal, el siguiente
comando: iptables-save
 BIBLIOGRAFIA

iptables (Espaol) - ArchWiki

https://wiki.archlinux.org/index.php/Iptables_(Espaol)

Firewall IpTables - wiki de elhacker.net

http://wiki.elhacker.net/redes/administracion-de-redes-gnu-linux/firewall

Configuracin del firewall en Linux con Iptables

https://www.redeszone.net/gnu-linux/iptables-configuracion-del-firewall-en-linux-con-iptables/

IPTABLES HOWTO Ejemplos de iptables para Sysadmins

http://www.seavtec.com/en/content/soporte/documentacion/iptables-howto-ejemplos-de-iptables-para-
sysadmins

2.9.2.2. Opciones de comandos

https://docs.fedoraproject.org/es-ES/Fedora/13/html/Security_Guide/sect-Security_Guide-
Command_Options_for_IPTables-Command_Options.html

2.9.2.3. Opciones de parmetros de IPTables

https://docs.fedoraproject.org/es-ES/Fedora/13/html/Security_Guide/sect-Security_Guide-
Command_Options_for_IPTables-IPTables_Parameter_Options.html

Linux 2.4 Filtrado de Paquetes (Packet Filtering) COMO: Uso de iptables

https://www.netfilter.org/documentation/HOWTO/es/packet-filtering-HOWTO-7.html