Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NORTE
FACULTAD DE INGENIERÍA EN CIENCIAS
APLICADAS
SEGURIDAD EN REDES
APLICACIÓN DE IPTABLES
Contenido
CIERCOM 2
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 3
UNIVERSIDAD TÉCNICA DEL NORTE FICA
OBJETIVO:
GENERAL
Configurar y aplicar iptables para controlar el tráfico de una red en base a Software Libre
realizado en Ubuntu 10.04 para fortalecer los conocimientos adquiridos en clase.
ESPECIFICOS
TOPOLOGÍA DE LA RED
Internet
Red externa
DNS SSH
Fig. 1. Topología de la red
CIERCOM 4
UNIVERSIDAD TÉCNICA DEL NORTE FICA
DESCRIPCIÓN
DIRECCIONAMIENTO
Tabla 2. Direccionamiento IP
SERVIDOR DIRECCIÓN IP
HTTPS 192.168.20.5
FTP 192.168.20.8
HTTP 192.168.20.3
DNS 192.168.20.3
SMTP 192.168.20.7
SSH 192.168.20.10
FIREWALL 192.168.20.1
FUNDAMENTO TEÓRICO
FIREWALL
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de
seguridad establecida, permitiendo o denegando las transmisiones de una red a la otra. Es el
mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
CIERCOM 5
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Tipos de Firewall
Filtrado de Paquetes
Proxy-Gateways de Aplicaciones
Dual-Homed Host
Screened Host
Screened Subnet
Firewalls Personales
Inspección de Paquetes.- Este tipo de Firewalls se basa en el principio de que cada paquete
que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican
desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se
requiere seguridad sensible al contexto y en aplicaciones muy complejas.
SERVIDOR HTTPS
Hypertext Transfer Protocol Secure (ó HTTPS) es una combinación del protocolo HTTP y
protocolos criptográficos. Se emplea para lograr conexiones más seguras en la WWW,
generalmente para transacciones de pagos o cada vez que se intercambie información
sensible (por ejemplo, claves) en internet.
De esta manera la información sensible, en el caso de ser interceptada por un ajeno, estará
cifrada.
El nivel de protección que ofrece depende de la corrección de la implementación del navegador
web, del software y de los algoritmos criptográficos soportados. Además HTTPS es vulnerable
cuando es aplicado a contenido estático públicamente disponible.
El HTTPS fue creado por Netscape Communications en 1994 para su navegador Netscape
Navigator.
CIERCOM 6
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Para distinguir una comunicación o página web segura, la URL debe comenzar con "https://"
(empleando el puerto 443 por defecto); en tanto la tradicional es "http://" (empleando el
puerto 80 por defecto).
Originalmente HTTPS sólo utilizaba encriptación SSL, luego reemplazado por TLS.
HTTPS fue adoptado como estándar web por el grupo IETF tras la publicación del RFC 2818
en mayo de 2000.
HTTP opera en la capa más alta del modelo TCP/IP, la capa de Aplicación. Pero el protocolo
de seguridad trabaja en una subcapa inferior, codificando el mensaje HTTP antes de ser
transmitido y decodificando el mensaje antes de que llegue.
Zimbra es la solución open source líder para la empresa, proveedores de servicio e instituciones
académicas y gubernamentales; ofreciendo a los administradores y sus usuarios beneficios sin
comparación. No cabe duda el porqué Zimbra es la elección por defecto del creciente mercado de
servidores de colaboración y mensajería basados en Linux.
Manejar el correo electrónico y los contactos de una empresa tiene sus complejidades. No se admiten
pérdidas de correo y se requiere de una plataforma flexible que permita crecimiento a la vez que
facilidad de uso.
IPTABLES
CIERCOM 7
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Opciones comunes
En cada una de las formas de invocación de iptables que se muestra a continuación, las siguientes
opciones comunes están disponibles:
-t tabla.- Hace que el comando se aplique a la tabla especificada. Si esta opción se omite, el
comando se aplica a la tabla filter por defecto.
-v.- Produce una salida con detalles.
-n.- Produce una salida numérica (es decir, números de puerto en lugar de nombres de servicio y
direcciones IP en lugar de nombres de dominio).
--line-numbers.- Cuando se listan reglas, agrega números de línea al comienzo de cada regla,
correspondientes a la posición de esa regla en su cadena.
La mayoría de las formas de comandos de iptables requieren que se les indiquen una especificación de
reglas, que es usada para comparar un subconjunto particular del tráfico de paquetes de red
procesados por una cadena. La especificación de regla incluye también un destino que especifica qué
hacer con paquetes que son verificados por la regla. Las siguientes opciones se usan para crear
especificaciones de reglas.
-j destino.- jump destino. Especifica el destino de una regla. El destino es el nombre de una cadena
definida por el usuario (creada usando la opción -N, uno de los destinos ya incorporados, ACCEPT,
DROP, QUEUE, o RETURN, o un destino de extensión, como REJECT, LOG, DNAT, o SNAT. Si esta
opción es omitida en una regla, entonces la comparación de la regla no tendrá efecto en el
destino de un paquete, pero los contadores en la regla se incrementarán.
-i [!] in-interface.- Nombre de una interfaz a través de la cual un paquete va a ser recibido.
-o [!] out-interface.- Nombre de una interfaz a través de la cual un paquete va a ser enviado.
-p [!] protocol.- Compara paquetes del nombre de protocolo especificado. Si '!' precede el nombre
de protocolo, se verifican todos los paquetes que no son el protocolo especificado
-s [!] origen[/prefijo].- Dirección de Origen.
-d [!] destino[/prefijo].- Dirección Destino.
--destination-port [!] –dport.- Compara paquetes TCP o UDP destinados a los puertos o rango de
puertos especificados.
--source-port --sport [!].- Verifica paquetes TCP o UDP que vienen de los puertos o rango de
puertos especificados.
Filezilla server es un programa gratuito para dotar a nuestro sistema Windows de capacidades para
la distribución de archivos por medio de FTP (File Transfer Protocol).
Forma parte del proyecto Filezilla, que incluye también una herramienta cliente para hacer FTP, que ya
comentamos en su día en otro artículo de DesarrolloWeb.com. De modo que Filezilla es, tanto un
programa cliente de FTP, con el que nos podremos conectar con otros servidores para descargar o
subir ficheros, como un servidor de FTP, para que otras personas puedan conectarse a nuestro PC y
descargar o subir archivos a nuestra máquina.
Filezilla Server está formado por dos partes. Una es un servicio Windows, que permite a otras
personas conectarse por FTP con nuestro equipo. La otra parte consiste en un sistema de
administración del servidor FTP, desde donde se pueden crear usuarios, limitar el acceso a
determinados directorios o arrancar y parar el servicio, además gestionar de una larga lista de
configuraciones adicionales.
CIERCOM 8
UNIVERSIDAD TÉCNICA DEL NORTE FICA
2. Con el terminal abierto, ingresamos como Root. Para ello digitamos el siguiente comando:
sudo – s
Digitamos la contraseña y ya estamos como Root.
CIERCOM 9
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 10
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 11
UNIVERSIDAD TÉCNICA DEL NORTE FICA
10. Creamos nuestro certificado, contestando las preguntas que nos indique recordando la
contraseña:
CIERCOM 12
UNIVERSIDAD TÉCNICA DEL NORTE FICA
15. Ya está configurado el servidor https, para probar se abre el explorador de internet y se ingresa
la siguiente dirección}
https://localhost/pagin.html
CIERCOM 13
UNIVERSIDAD TÉCNICA DEL NORTE FICA
2. Ingresamos a hosts:
# gedit /etc/hosts
CIERCOM 14
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 15
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 16
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 17
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 18
UNIVERSIDAD TÉCNICA DEL NORTE FICA
# ./install.sh –platform-override
4. En la siguiente sección le decimos al instalador de zimbra que deseamos instalar , por defecto
podemos seleccionar lo siguiente
CIERCOM 19
UNIVERSIDAD TÉCNICA DEL NORTE FICA
5. En esta sección debemos configurar los parámetros iníciales del servidor de correo
CIERCOM 20
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 21
UNIVERSIDAD TÉCNICA DEL NORTE FICA
7. Ahora es necesario verificar si todos los servicios se instalaron correctamente, para eso
ingresamos con el usuario zimbra :
# su - zimbra
# zmcontrol status
Host xxxx.xxxxxxx.com
antispam Running
CIERCOM 22
UNIVERSIDAD TÉCNICA DEL NORTE FICA
antivirus Running
ldap Running
logger Running
mailbox Running
mta Running
snmp Running
spell Running
stats Running
Para que las estadísticas del servidor de correo se muestren en el syslog del sistema operativo ,
se debe ejecutar el siguiente comando:
/opt/zimbra/libexec/zmsyslogsetup
Se recomienda habilitar en el syslog las estadisticas de las maquinas remotas, para ello se debe
editar
/etc/sysconfig/syslog
https://[mailhost.example.com]:7071/zimbraAdmin
CIERCOM 23
UNIVERSIDAD TÉCNICA DEL NORTE FICA
CIERCOM 24
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Una vez iniciado el servicio, se crean los usuarios que tendrán acceso remoto al servidor,
ingresando a Edit, Users. Es posible asignar una contraseña a la cuenta.
La Ficha Shared Folders permite especificar los archivos y carpetas compartidos y los
permisos asignados a ellos.
CIERCOM 25
UNIVERSIDAD TÉCNICA DEL NORTE FICA
INSTALACIÓN
Ingresar a un terminal y loguearse como root, para obtener privilegios, mediante el comando sudo
bash.
CIERCOM 26
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Crear un fichero iptables.sh en el directorio /etc/init.d/ para lo cual escribimos dentro del
terminal el comando:
gedit /etc/init.d/iptables.sh
nano /etc/init.d/iptables.sh
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
CIERCOM 27
UNIVERSIDAD TÉCNICA DEL NORTE FICA
Solo falta cerrar y guardar, ahora se debe dar permisos de ejecución para que se ejecute cada
vez que iniciamos el
chmod +x /etc/init.d/iptables.sh
ln -s /etc/init.d/iptables.sh /etc/rc2.d/S98iptables
CIERCOM 28
UNIVERSIDAD TÉCNICA DEL NORTE FICA
sh iptables.sh
CONCLUSIONES
IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido a partir del
kernel 2.4 de este sistema operativo. Un firewall de iptables no es como un servidor que lo
iniciamos o detenemos o que se pueda caer por un error de programación. Está integrado con
el kernel, es parte del sistema operativo.
El orden en el que se ponen las reglas de firewall es determinante. Normalmente cuando hay
que decidir que se hace con un paquete se va comparando con cada regla hasta que se
encuentra una que le afecta y se hace lo que dicte esta regla (aceptar o denegar); después de
eso no se mirarán más reglas para ese paquete.
RECOMENDACIONES
Se deben establecer claramente las reglas en el firewall y en el orden adecuado para filtrar
únicamente el tráfico que en verdad se requiera bloquear y evitar problemas al iniciar
servicios
BIBLIOGRAFÍA:
http://lucas.hispalinux.es/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall-html/
http://www.monografias.com/trabajos25/iptables/iptables.shtml
http://docs.redhat.com/docs/en-
US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-IPTables.html
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml
http://www.desarrolloweb.com/articulos/513.php
http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall-html/#1
CIERCOM 29