Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Objetivos
Para facilitar la realización de esta actividad podéis hacer uso de la máquina virtual
de NETinVM a la que podéis acceder a través del escritorio virtual.
1
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
interfaz con Internet, eth1 con IP 10.5.1.254 interfaz con DMZ y eth2 con IP
10.5.2.254 interfaz con red Interna).
2
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
3
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Una vez configurada la topología correctamente, tenéis que pulsar en el icono Run
my machines para crear la red virtual. Tras unos segundos de espera, aparecerán
diversos terminales que, al cabo de unos segundos más, os permitirán acceder a
cada una de las máquinas creadas, tal y como puede verse en la siguiente figura.
4
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Con el objetivo de comprobar que las reglas que os pediremos en la actividad son
correctas, podéis hacer uso de algunas herramientas dentro del entorno de
NETinVM.
La primera es utilizar el logging de iptables. Para todas las reglas que creéis podéis
crear justo antes una regla idéntica, pero cuya acción en vez de ser ACCEPT o DROP
sea LOG. De este modo, antes de aceptar o descartar un paquete, iptables lo
logueará. Por ejemplo, si quisierais loguear y aceptar todas las comunicaciones que
atraviesen el cortafuegos cuyo puerto destino sea el UDP 53, deberías introducir las
siguientes reglas (el orden es importante, ya que si se ejecutase la regla ACCEPT
primero, la LOG nunca llegaría a ejecutarse):
La segunda es utilizar el comando netcat, tanto para crear peticiones como para
© Universidad Internacional de La Rioja (UNIR)
simular servicios (cuando estos no estén desplegados en la arquitectura). La sintaxis
de netcat es muy sencilla. Por ejemplo:
5
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Figura 4. Comunicación con servidor web en dmz desde red local. Fuente: elaboración propia.
En este
© Universidad Internacional de Lacaso, el servidor
Rioja (UNIR) web ya está establecido en dmza, por lo cual no es
necesario simularlo. Desde inta lanzamos netcat, escribimos cualquier secuencia de
caracteres, pulsamos Enter y el servidor web responderá. Usando el comando tail
en fw podemos ver cómo se van logueando los paquetes.
6
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Para casos en los que sea necesario comunicarse hacia o desde Internet, podéis
utilizar el equipo exta para recibir o generar tráfico. En el siguiente gráfico se simula
un servicio de DNS (UDP) en dicho host, al cual se accede desde un equipo en la red
local.
Figura 5. Comunicación con servidor DNS simulado en Internet desde red local. Fuente: elaboración propia.
Una vez tenéis acceso a los cuatro equipos y domináis el uso de netcat, llega la hora
de llevar a cabo la actividad.
7
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
una extensión empresarial. No sabes quién es, pero por la hora parece importante.
Respondes.
Tras una reunión de apenas una hora tienes una idea clara de la arquitectura y
dibujas un gráfico.
8
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
1. Decides conectarte al cortafuegos como root y listar las reglas de la tabla filter
en modo verbose.
2. El listado te muestra que se permiten demasiadas conexiones. Decides que lo
mejor es empezar desde cero y borrar todas las reglas de la tabla filter.
3. Además, no todas las cadenas de la tabla filter tienen una política restrictiva.
Estableces una política restrictiva en la cadena que falta.
4. Una vez que has establecido una base segura, llega el momento de permitir las
conexiones necesarias para Example. Lo primero es permitir el tráfico de las
conexiones ya establecidas en todas las cadenas de la tabla filter.
5. 5. A continuación, necesitas que la red local tenga capacidad de resolución de
nombres. Desgraciadamente, Example no cuenta con DNS propio, así que
seleccionas uno que crees seguro en Internet. Permites las nuevas conexiones
salientes desde la red local al servidor DNS (UDP) público de Google (IP:
8.8.8.8) que se encuentra en Internet.
6. Los usuarios de la red local necesitan acceso a servidores web en Internet. Creas
unaderegla
© Universidad Internacional La Riojaque permita
(UNIR) nuevas conexiones desde la red local a servidores web
en Internet.
7. Example desea que su servidor web sea accesible desde Internet. Creas una
regla que permita las nuevas conexiones HTTP desde Internet al servidor web
en la DMZ.
9
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Ya has configurado el cortafuegos de forma segura, has comprobado que todo sea
correcto y crees que has terminado el trabajo, pero no es así. El responsable de
seguridad de Example es de la vieja escuela y quiere todas las reglas documentadas.
Notas:
10
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Las reglas, siempre que sea posible, deben determinar acción, interfaz,
protocolo, dirección IP origen y destino, puerto/s origen y destino y el estado de
la conexión.
A pesar de que las direcciones IP utilizadas en la topología son privadas, no debe
utilizarse NAT. Solo se piden las reglas de filtrado.
Todas las acciones deben llevarse a cabo con una única regla (a excepción de la
acción 4 para la que se requieren tres reglas).
A pesar de que en el cortafuegos bloqueéis todas las conexiones entrantes,
todavía podréis acceder a él y al resto de los equipos a través de los terminales
provistos, ya que estos simulan acceso local, no por red.
La evaluación de la práctica se llevará a cabo únicamente evaluando la tabla de
reglas que entreguéis.
Utilizad los puertos conocidos asociados a los protocolos utilizados. Consultad
para esto el siguiente enlace:
https://es.wikipedia.org/wiki/Anexo:Puertos_de_red
Acción Regla
11
Actividades
Asignatura Datos del alumno Fecha
Seguridad en Redes y Apellidos:
Análisis Inteligente de
Amenazas Nombre:
Rúbrica
Mecanismos Puntuación
Peso
de defensa en Descripción máxima
%
redes (puntos)
Criterio 1 Cada regla vale 1 punto 10 100%
Criterio 2 Se resta 0.5 por los fallos en las cadenas y
o.25 por el resto de fallos u omisiones.
Criterio 3 Tres o más fallos en una regla hacen que
esa regla puntúe 0
10 100 %
12
Actividades