Universidad Nacional Abierta y a Distancia

Vicerrectoría Académica y de Investigación

Curso: Diplomado de profundización en Linux (Opción de trabajo
de grado)
Código: 201494

Guía de actividades y rúbrica de evaluación – Paso 6 -

Implementando Seguridad en GNU/Linux

1. Descripción de la actividad

Tipo de actividad: En grupo - Colaborativa

Momento de la evaluación: Intermedia en la unidad 8 y unidad 9
Puntaje máximo de la actividad: XX puntos
La actividad inicia el: lunes, La actividad finaliza el: domingo,
12 de abril de 2021 25 de abril de 2021
Con esta actividad se espera conseguir los siguientes resultados
de aprendizaje:

Crear un sistema seguro a través de las distribuciones GNU/Linux enfocadas

en Auditoría y seguridad de acuerdo a los requerimientos del Usuario

Diseñar un sistema seguro basado en software GNU/Linux por medio

de la instalación, configuración y puesta en marcha de herramientas de
software apropiadas de acuerdo con el entorno de trabajo con el fin de
garantizar la seguridad de la información.
La actividad consiste en:

Planteamiento y contextualización del problema a resolver:

Aplicar seguridad en los sistemas de información es una necesidad de

todas las empresas y de los usuarios. La seguridad y protección de datos,
así como también en cumplimiento de las normas vigentes, para no
incurrir en altos costos por sanciones o pérdida de la información. Por
tanto, se propone realizar lo siguiente:

1. Firewall e IPTables

Un cortafuegos es un dispositivo, ya sea software o hardware, que filtra

1
todo el tráfico en una red LAN / WAN. Los sistemas operativos GNU/Linux
a través de su kernel disponen de un firewall por defecto basado en
IPTables. Un cortafuegos actúa como un guardia de seguridad entre la
red interna y externa mediante el control y la gestión del tráfico de red
entrante y saliente basado en un conjunto de reglas. Este conjunto de
reglas de firewall sólo permite conexiones legítimas y bloquea aquellos
que no están definidas

Iptables / Netfilter, se consideran como la primera línea de defensa, es

el más popular firewall basado en línea de comandos para la ejecución
en consola de muchas distribuciones GNU/Linux, su función principal es
a través de reglas filtrar los paquetes en la pila de red dentro del propio
núcleo del sistema operativo.

Se requiera que los estudiantes se apropien a través de un proceso de

sensibilización con las herramientas y servicios orientados a la seguridad
basadas en reglas de filtrado de paquetes en una red denominados
IPTables, implementando plataformas robustas de sistemas cortafuegos
creadas a partir de distribuciones GNU/Linux estables, así como también
se han implementación interfaces a modo grafico para la interpretación
confiable de los comandos IPTables, garantizando así la operatividad de
cortafuegos.

Es necesario que a nivel individual cada estudiante, se apropie

conceptual y técnicamente de como instalar, administrar y operar un
sistema cortafuegos IPTable, con el fin de poder implementar y brindar
soporte a los requerimientos de seguridad que se requiera para
salvaguardar la infraestructura tecnológica.

ACTIVIDAD INDIVIDUAL

Cada integrante del grupo deberá desarrollar en su totalidad la tabla A,

la tabla B, la tabla C, describiendo paso a paso la ejecución de comandos
y las evidencias de los resultados obtenidos. Es importante evidenciar
claramente cada proceso ejecutado desde las diferentes distribuciones
GNU/Linux que se están utilizando en la solución de la problemática
planteada

A. Tabla consolidada para la ejecución de comandos IPTables para reglas

de filtrado:

2
Comandos Función(es), acción o Ejemplo
IPTables finalidad Sintaxis de contextualizado de
cada comando cada comando
Tema 1: Cadenas
y opciones de
comandos y de
parámetros
Tema 2: Opciones de
coincidencia para el
protocolo TCP
(Incluir banderas),
UDP e ICMP
Tema 3: Módulos
con opciones de
coincidencia
Tema 4: Opciones
del objetivo y del
listado
Tema 5: Directivas
de control de
IPTables, guardado
de reglas y archivos
de configuración de
scripts de control

B. Tabla de Interfaces o gestores para el control de un cortafuego en una

distribución GNU/Linux para manejo de reglas IPTables: Se debe
demostrar sobre cada Interfaz la creación de las reglas para permitir o
denegar las acciones solicitadas.

Interface Tema Tema Tema 3: Tema 4: Tema 5:

/Funcionalidad 1: 2: Zorp pfsense IPCop Firewall
Gufw GPL Builder
(ufw)
Descripción
general de la
Interface
Bloquear el

3
Acceso a
nuestro equipo
desde la IP
192.168.1.10 a
Través del
puerto 22 en
función del
protocolo SSH.
Denegar el
acceso a
Internet para
El Equipo con
IP
192.168.1.10
Restringir el
acceso a la
aplicación
Dropbox URL
de descarga

C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo

cortafuegos:

Firewall / Tema Tema 2: Tema 3: Tema 4: Tema

Características 1: Smoothwall ConfigServer OPNsense 5:
Endian Security IPCop
Firewall
(CSF)
Descripción
general de
la distribución
Distribución
GNU/Linux en
la que está
basada
Características
de tráfico
Características
De Seguridad
Hardware

4
recomendado
para
instalación
Otras
características
adicionales

Para las temáticas anteriores, cada integrante de grupo debe describir

paso a paso el procedimiento realizado y las evidencias de los resultados
obtenidos. Es importante evidenciar claramente cada proceso ejecutado
desde las diferentes distribuciones GNU/Linux que se están utilizando en
la solución de la problemática planteada.

En caso de que uno de los integrantes del grupo no participe o no

seleccione una de las temáticas descritas en cada tabla o temática, el
grupo en general deberá tomar el o los temas faltantes y darles solución,
para ello el líder del grupo establecerá las condiciones y directrices hacia
el grupo para sacar adelante la actividad en su totalidad.

Aporte individual general:

Cada integrante de grupo que participe en el desarrollo de la presente

actividad deberá realizar como mínimo un comentario, aporte o
recomendación técnica sobre cada una de las temáticas desarrolladas
por los demás integrantes, el cual deberá quedar evidenciado en el
tema creado en el entorno de aprendizaje colaborativo, antes de iniciar
la consolidación del trabajo final grupal

Actividad Colaborativa:

1. Asignación de Roles por estudiante para trabajos Colaborativos.

2. Contexto del problema a solucionar en Seguridad perimetral de

forma colaborativa:

Ahora se tiene como prioridad, garantizar la protección de los servidores

que conforman la intranet (LAN) / extranet (WAN), para lo cual se
requiere delimitarlos a través de una zona DMZ y así garantizar la
seguridad e integridad de las bases de datos y aplicaciones bajo
plataformas GNU/Linux.

5
Recomendaciones, para que de forma inmediata procedan a su
implementación y puesta en marcha:

Todos los integrantes del grupo colaborativo realizaran la descarga,

instalación y configuración de la distribución GNU/Linux Endian (EFW),
así mismo seleccionar una de las siguientes cinco (5) temáticas y darle
solución bajo esta distribución, la cual será la plataforma de
seguridad, así:

Desde la consola se debe revisar cada uno de los servicios haciendo uso
de los comandos para ver el status, parar el servicio, arrancarlo,
reiniciarlo. Se debe evidenciar mostrando la fecha y hora de la ejecución
del comando

Cada integrante del grupo debe de manera individual realizar cada una
de las temáticas propuestas en esta guía de actividades, cargar el
desarrollo individual el cual deberá quedar en el Entorno de aprendizaje
colaborativo antes de iniciar la consolidación del trabajo final grupal.

Temática 1: Configuración de la instancia para GNU/Linux Endian en

Virtualbox (tarjetas de red) e instalación efectiva del mismo.

Producto esperado:
Implementación de GNU/Linux Endian con las zonas verde, roja y
naranja, así: Zona verde: Red interna (LAN), Zona roja: Acceso a
internet (WAN) y Zona naranja: Servidores (DMZ).

Planificación y uso de la infraestructura a implementar:

- Para comunicarse y establecer un entorno de red LAN, utilizar

estaciones de trabajo bajo GNU/Linux

6
- Como Firewall estará Endian conectando el tráfico y acceso a la LAN y
a la WAN.
- Para comunicarse y establecer como red DMZ, estará GNU/Linux
Server, como servidor Web el cual contendrá las bases de datos y las
aplicaciones Web (Servicios implementados en el paso 5).

Es importante tener en cuenta los direccionamientos IP’s en toda la red.

Aquí poseen la libertad de disponer los direccionamientos IP que
considere pertinentes para las configuraciones de red. De igual manera
las direcciones IP aquí definidas serán las mismas que deberán utilizando
los demás integrantes del grupo en el desarrollo de las temáticas
siguientes.

Temática 2: Configuración NAT.

Producto esperado:

1. Configurar la regla de NAT (Network Address Translation /

Traducción de Direcciones de Red), demostrando el establecimiento
de la comunicación desde la LAN hacia la WAN (Red simulada de
Internet).

2. Configurar la regla de NAT, demostrando el establecimiento de la

comunicación de la Zona DMZ hacia la Internet. Verificar en el re-envió
de puertos / NAT, la creación de las reglas.

Temática 3: Permitir servicios de la Zona DMZ para la red.

Producto esperado:

7
1. Permitir los servicios HTTP (Puerto 80) y FTP (Puerto 21) desde el
servidor Web bajo Ubuntu Server.

2. Denegar el protocolo ICMP (Puerto 8 y puerto 30) para no permitir

hacer ping en la red. Probar a través de una consola o terminal la no
respuesta del comando ping hacia una IP de la red.
Verificar en el tráfico de salida, la creación de las reglas.

Temática 4: Reglas de acceso para permitir o denegar el tráfico.

Producto esperado:

1. Comunicar la zona Verde con la zona Naranja con el protocolo HTTP y

FTP con sus respectivos puertos.

2. Comunicar la zona Internet con la zona DMZ.

3. Verificar en el tráfico Inter - Zona, la creación de las reglas.

4. Probar desde un navegador Web, las siguientes directivas:

El ingreso del servicio HTTP desde la LAN hacia la zona DMZ. El ingreso
del servicio HTTP desde la LAN hacia la WAN.

El ingreso del servicio HTTP desde la zona DMZ hacia la WAN. El ingreso
del servicio HTTP desde la WAN hacia la zona DMZ. El ingreso del servicio
FTP desde la LAN hacia la WAN.
El ingreso del servicio FTP desde la WAN hacia la zona DMZ.

Temática 5: Implementar un Proxy HTTP (No transparente) con

políticas de autenticación para navegación en Internet.

Producto esperado:

1. Crear un perfil y establecer una lista negra bloqueando los siguientes

sitios:

www.hotmail.com
www.youtube.com
www.eltiempo.com

8
2. Autenticación por usuario: A través de la opción proxy cree un usuario
y asócielo a un grupo. Establezca una política de acceso y vincule el perfil
creado en el punto anterior y relaciónelo también con la política de
autenticación.

3. Probar desde la LAN a través de un navegador Web, el acceso a los

portales referenciados en la lista negra.

Para el desarrollo de la actividad tenga en cuenta que:

En el entorno de Información inicial debe: debe consultar los recursos
educativos requeridos para abordar este paso del curso.

En el entorno de Aprendizaje debe: el estudiante realiza sus aportes

para que el tutor realice la respectiva retroalimentación.

En el entorno de Evaluación debe: el estudiante realiza la entrega del

producto final.

Evidencias individuales:
Las evidencias individuales para entregar son:

El estudiante debe entregar de forma documentada todas las actividades

y procedimientos técnicos implementados que demuestren la solución
propuesta con el fin de poder replicarlo a otras entidades.

NOTA IMPORTANTE: Todos los procesos y procedimientos solicitados

deben estar ejecutados a modo consola a excepción de la conexión
remota de equipos, no se permite el uso de interfaces gráficas para tal
fin, Cada estudiante debe desarrollar de forma individual las tres tablas.

Al finalizar se debe entregar un documento individual con los siguientes

elementos. Un documento .pdf
Nombre_apellido#grupo.pdf

Ya que el archivo puede pesar más de 10mb que el peso máximo

que recibe el campus, el estudiante debe subir el archivo a un
drive y compartir el link para su seguimiento de desarrollo y
entrega final individual.

9
• Encabezado con nombre y código del curso, nombre y código de
los integrantes que participaron en el trabajo

• Introducción
• Objetivos
• Informe de contenidos de construcción grupal.
• Conclusiones
• Referencias bibliográficas
• Número máximo de páginas: sin límite

Evidencias grupales:
Las evidencias grupales a entregar son:
El grupo debe crear un documento consolidando los trabajos individuales
de la fase Colaborativa, se debe crear un archivo comprimido .zip, donde
estarán los documentos individuales de las tres tablas iniciales y el
archivo grupal vinculado lo desarrollado por cada integrante del grupo,
este documento lo debe cargar en el entorno de seguimiento y
evaluación, un solo estudiante a quien designen para tal fin.

4. Se espera que los estudiantes realicen paso a paso cada uno de los
pasos / componentes presentados anteriormente y que entreguen un
solo informe de manera grupal desde los siguientes criterios

- Editor de texto MS Word para Windows

- Fuente: Time New Roman
- Tamaño fuente: 12
- Espacio entre líneas (1.0).
- Márgenes: izquierda, derecha, superior e inferior de 2 cm.
- Títulos en la fuente, tamaño 12 y centrado.
- Subtítulos en cursiva, tamaño 12, espacio 2 y alineado al margen
izquierdo.
- Registre todas las referencias de las fuentes bibliográficas,
cibergráficas y hemerográficas que le darán soporte teórico,
conceptual y metodológico a su trabajo.
- El trabajo debe presentarse acorde al formato tanto individual
como grupal entregado en anexos. Se debe presentar en formato
PDF.

10
IMPORTANTE:

- Únicamente se recibe un trabajo por grupo.

- Cada estudiante debe realizar aportes a través del entorno de
aprendizaje colaborativo.
- El único medio de entrega del trabajo final es el espacio en el Entorno
de Seguimiento y Evaluación.
- Estudiante que NO participe en el foro de manera pertinente y
efectiva, o que llegue los últimos tres días antes de terminar la
actividad tendrá una nota de cero (0.0). De acuerdo a lo establecido en
la resolución 6808 articulo 19 numeral 3.

11
2. Lineamientos generales para la elaboración de las evidencias
a entregar.

Para evidencias elaboradas en grupo - Colaborativa, tenga en

cuenta las siguientes orientaciones

1. Todos los integrantes del grupo deben participar con sus aportes
en el desarrollo de la actividad.

2. En cada grupo deben elegir un solo integrante que se encargará

de entregar el producto solicitado en el entorno que haya señalado
el docente.

3. Antes de entregar el producto solicitado deben revisar que cumpla

con todos los requerimientos que se señalaron en esta guía de
actividades.

4. Solo se deben incluir como autores del producto entregado, a los

integrantes del grupo que hayan participado con aportes durante
el tiempo destinado para la actividad.

Tenga en cuenta que todos los productos escritos individuales o

grupales deben cumplir con las normas de ortografía y con las
condiciones de presentación que se hayan definido.
En cuanto al uso de referencias considere que el producto de esta
actividad debe cumplir con las normas APA
En cualquier caso, cumpla con las normas de referenciación y evite el
plagio académico, para ello puede apoyarse revisando sus productos
escritos mediante la herramienta Turnitin que encuentra en el campus
virtual.

Considere que en el acuerdo 029 del 13 de diciembre de 2013, artículo

99, se considera como faltas que atentan contra el orden académico,
entre otras, las siguientes: literal e) “El plagiar, es decir, presentar como
de su propia autoría la totalidad o parte de una obra, trabajo,
documento o invención realizado por otra persona. Implica también el
uso de citas o referencias faltas, o proponer citad donde no haya
coincidencia entre ella y la referencia” y liberal f) “El reproducir, o copiar
con fines de lucro, materiales educativos o resultados de productos de

12
investigación, que cuentan con derechos intelectuales reservados para
la Universidad”

Las sanciones académicas a las que se enfrentará el estudiante son las

siguientes:
a) En los casos de fraude académico demostrado en el trabajo
académico o evaluación respectiva, la calificación que se impondrá será
de cero puntos sin perjuicio de la sanción disciplinaria correspondiente.
b) En los casos relacionados con plagio demostrado en el trabajo
académico cualquiera sea su naturaleza, la calificación que se impondrá
será de cero puntos, sin perjuicio de la sanción disciplinaria
correspondiente.

13
 3. Formato de Rúbrica de evaluación

Tipo de actividad: En grupo

Momento de la evaluación: Intermedia en la unidad 8 y unidad 9
La máxima puntuación posible es de 60 puntos
Nivel alto: Reconoce comandos IPTables para establecer reglas
Primer criterio de
de filtrado describiendo las características y sintaxis de uso.
evaluación:
Si su trabajo se encuentra en este nivel puede obtener
entre 04 puntos y 06 puntos
Reconocimiento de
comandos IPTables
Nivel Medio: Reconoce parcialmente los comandos IPTables
para reglas de
para establecer reglas de filtrado describiendo algunas de las
filtrado
características y sintaxis de uso.
Si su trabajo se encuentra en este nivel puede obtener
Este criterio
entre 01 puntos y 03 puntos
representa 06
puntos del total
Nivel bajo: No reconoce los comandos IPTables para
de 60 puntos de la
establecer reglas de filtrado.
actividad.
Si su trabajo se encuentra en este nivel puede obtener
entre 00 puntos y 00 puntos
Segundo criterio
de evaluación:
Nivel alto: Demuestra habilidad en la creación de reglas
IPTables sobre alguna Interfaz configurando los requerimientos
Interfaces o
establecidos.
gestores para el
Si su trabajo se encuentra en este nivel puede obtener
control de un
entre 04 puntos y 06 puntos
cortafuego en una
distribución
Nivel Medio: Demuestra parcialmente habilidad en la
GNU/Linux para
creación de reglas IPTables sobre alguna Interfaz
manejo de reglas
configurando algunos requerimientos establecidos.
IPTables con su
Si su trabajo se encuentra en este nivel puede obtener
demostración
entre 01 puntos y 03 puntos
respectiva.
Este criterio
Nivel bajo: No demuestra habilidad en la creación de
representa 06
reglas IPTables.
puntos del total
Si su trabajo se encuentra en este nivel puede obtener
de 60 puntos de la
entre 00 puntos y 00 puntos
actividad

14
 Nivel alto: Reconoce alguna distribución Linux tipo plataforma
Tercer criterio de cortafuegos describiendo las características que la conciben.
evaluación: Si su trabajo se encuentra en este nivel puede obtener
entre 03 puntos y 05 puntos
Distribuciones
Nivel Medio: Reconoce parcialmente alguna distribución Linux
GNU/Linux como
tipo plataforma cortafuegos describiendo algunas características
plataformas
que la conciben.
operativas tipo
Si su trabajo se encuentra en este nivel puede obtener
cortafuegos
entre 01 puntos y 02 puntos
Este criterio
representa 05 Nivel bajo: No reconoce ninguna distribución Linux tipo
puntos del total plataforma cortafuegos.
de 60 puntos de la Si su trabajo se encuentra en este nivel puede obtener
actividad entre 00 puntos y 00 puntos

Nivel alto: Demuestra habilidad en la puesta en marcha de

Cuarto criterio de
GNU/Linux Endian instalando y configurando la distribución de
evaluación:
seguridad.
Si su trabajo se encuentra en este nivel puede obtener
Instalación,
entre 06 puntos y 10 puntos
configuración y
puesta en marcha
Nivel Medio: Demuestra parcialmente habilidad en la puesta
de
en marcha de GNU/Linux Endian instalando y configurando
la distribución
algunos parámetros de la distribución de seguridad.
GNU/Linux Endian.
Si su trabajo se encuentra en este nivel puede obtener
entre 01 puntos y 05 puntos
Este criterio
representa 10
Nivel bajo: No demuestra habilidad en la puesta en marcha de
puntos del total
GNU/Linux Endian.
de 60 puntos de la
Si su trabajo se encuentra en este nivel puede obtener
actividad
entre 00 puntos y 00 puntos

Quinto criterio de
Nivel alto: Demuestra habilidad en implementación de
evaluación:
servicios de seguridad bajo GNU/Linux instalando y configurando
todos los requerimientos establecidos.
Puesta en marcha
Si su trabajo se encuentra en este nivel puede obtener
de los servicios y
entre 12 puntos y 23 puntos
configuraciones
solicitadas en

15
Endian de acuerdo Nivel Medio: Demuestra parcialmente habilidad en
con la temática implementación de servicios de seguridad bajo GNU/Linux
seleccionada. instalando y configurando algunos requerimientos establecidos.
Si su trabajo se encuentra en este nivel puede obtener
Este criterio entre 01 puntos y 11 puntos
representa 23
puntos del total Nivel bajo: No demuestra habilidad en implementación de
de 60 puntos de la servicios de seguridad bajo GNU/Linux.
actividad Si su trabajo se encuentra en este nivel puede obtener
entre 00 puntos y 00 puntos
Nivel alto: Reconoce y comprende el proceso de instalación,
configuración y puesta en marcha de todos los requerimientos
Sexto criterio de temáticos establecidos sobre la plataforma de seguridad
evaluación: GNU/Linux Endian
Si su trabajo se encuentra en este nivel puede obtener
Socialización y entre 06 puntos y 10 puntos
discusión de
servicios Nivel Medio: Reconoce y comprende parcialmente el proceso
implementados de instalación, configuración y puesta en marcha de algunos
sobre GNU/Linux requerimientos temáticos establecidos sobre la plataforma de
Endian seguridad GNU/Linux Endian.
Si su trabajo se encuentra en este nivel puede obtener
Este criterio entre 01 puntos y 11 puntos
representa 10
puntos del total Nivel bajo: No reconoce ni comprende el proceso de
de 60 puntos de la instalación, configuración y puesta en marcha de los
actividad requerimientos temáticos establecidos sobre la plataforma de
seguridad GNU/Linux Endian.
Si su trabajo se encuentra en este nivel puede obtener
entre 00 puntos y 00 puntos

16