UNIDAD 5 - PASO 6 - IMPLEMENTANDO SEGURIDAD EN GNULINUX

ESTUDIANTE:

SONIA PATRICIA ESPITIA PINEDA

CÓDIGO: 1033755083

GRUPO: 46

TUTOR:

DANIEL ANDRES GUZMÁN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA (UNAD).

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX (OPCIÓN DE TRABAJO DE

GRADO)

BOGOTÁ D.C
 Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:

Comandos Función, acción o Ejemplo contextualizado de cada comando

IPTables finalidad sintaxis de cada
comando
Tema 3: Las opciones de coincidencia Ejemplo comando state:
Módulos adicionales están disponibles a Iptables -A input –dport 22 -m state –state new
través de módulos cargados por
con el comando iptables.
-j accept
opciones de Para usar un módulo de opción
coincidencia de coincidencia, cargue el
módulo por nombre mediante -m
<nombre-módulo>, donde
<nombre-módulo> es el nombre
del módulo.
Muchos módulos están
disponibles de forma
predeterminada. También puede
crear módulos para proporcionar
funcionalidades adicionales. Ejemplo comando limit:
La siguiente es una lista parcial Iptables -A forward -p tcp –syn -m limit –limit
de los módulos más comúnmente l / s -j accept
usados:

 --dport: Configura el puerto

de destino para el paquete.
Use bien sea un nombre de
servicio (tal como www o
smtp), número de puerto, o
el rango de números de
puertos para configurar esta
opción. Para hojear los Comando: sudo iptables -A FORWARD -m
nombres y alias de los limit
servicios de red y los
números que ellos usan,
visualice el archivo
/etc/services. La opción --
destination-port es sinónimo
con --dport.
 --sport: Configura el puerto
fuente del paquete usando
las mismas opciones que --
dport. La opción --source-
port es sinónimo con --sport.
 --syn: Provoca que todos los
paquetes designados de TCP,
comúnmente llamados
paquetes SYN, cumplan esta
regla. Cualquier paquete que
esté llevando un payload de
datos no será tocado. Si se
sitúa un punto de
exclamación (!) como
bandera tras la opción --syn
 se provoca que todos los
paquetes no-SYN sean
seleccionados.
 --tcp-flags: Permite a los
paquetes TCP con bits
específicos o banderas, ser
coincididos con una regla.
La opción --tcp-flags acepta
dos parámetros. El primer
parámetro es la máscara, la
cual configura banderas a ser
examinadas en el paquete. El
segundo parámetro se refiere
a la bandera que se debe
configurar para poder
coincidir.
 --tcp-option: Intenta
seleccionar con opciones
específicas de TCP que
pueden estar activas en un
paquete en particular. Esta
opción se puede revertir con
el punto de exclamación (!).
 --icmp-type: Selecciona el
nombre o el número del tipo
ICMP que concuerde con la
regla. Se puede obtener una
lista de nombres válidos
ICMP tecleando el comando
iptables -p icmp -h.
 limit module: Coloca los
límites en la cantidad de
paquetes que coinciden con
una regla determinada.
Cuando se utiliza junto con el
destino de LOG, el módulo limit
puede evitar que el flujo de
paquetes coincidentes llene el
registro del sistema con mensajes
repetitivos o agoten todos los
recursos del sistema.
El módulo limit permite las
siguientes opciones:

 --limit: Establece el número

máximo para un periodo de
tiempo determinado,
especificado como un par de
<valor>/<periodo>. Por
ejemplo, el uso de --limit
5/hour permite cinco
coincidencias de regla por
hora.
Los periodos pueden ser en
segundos, minutos, horas o días.
Si el modificador de número y
tiempo no se utiliza, se toma el
valor predeterminado 3/hour.

 --limit-burst: Establece un
límite en el número de
paquetes que pueden
coincidir con una regla a la
vez.
Esta opción se especifica como
un entero y debe utilizarse junto
con la opción --limit.
Si no se especifica el valor, se
toma el valor predeterminado de
cinco (5).

 Modulo de estate: permite

las siguientes opciones:
 --state: corresponde a un
paquete con los siguientes
estados de conexión:
 ESTABLISHED: El
paquete coincidente con
otros paquetes en una
conexión establecida.
Necesita aceptar este estado
para mantener una conexión
entre el cliente y el servidor.
 INVALID: El paquete
coincidente no puede
conectarse a una conexión
conocida.
 NEW: El paquete
coincidente crea una nueva
conexión o hace parte de una
conexión de dos vías no vista
anteriormente. Necesita
aceptar este estado si desea
permitir nuevas conexiones
para el servicio.

 RELATED: El paquete Listar

coincidente inicia una nueva
conexión relacionada de
alguna forma con una
conexión existente. Un
ejemplo de ella es el FTP, el
cual usa una conexión para
controlar el tráfico (puerto
21), y una conexión
independiente para transferir
los datos (puerto 20).
Estos estados de conexión
pueden usarse en
combinación con otros al
 separarlos con comas, tal
como -m state --state
INVALID,NEW.

 Mac module: Permite la

concordancia entre
direcciones MAC de
hardware.
El módulo mac permite la
siguiente opción:
 --mac-source: Coincide con
una dirección MAC de la
tarjeta de interfaz de red que
envió el paquete. Para
excluir una dirección MAC
de una regla, coloque un
signo de exclamación (!)
antes de la opción
coincidente --mac-source.

B. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución

GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz
la creación de las reglas para permitir o denegar las acciones solicitadas.

Interface/ Tema 3: pfsenze

funcionalidad
Descripción general de Pfsense o PfSense es un sistema operativo basada en
la Interface FreeBSD, diseñado para montar un cortafuego (firewall)
fácilmente configurable a través de una interface web e
instalable en cualquier PC. Incluye una gran lista de paquetes
que permiten expandir fácilmente las funcionalidades sin
comprometer la seguridad del sistema.
Bloquear el Acceso a sInNet(myIp Address(), "192.168.1.3 0", "255.255.25 5.0")
nuestro equipo desde la port 80{return "DIRECT";}
IP 192.168.1.30 a Través
del puerto 80 en función
del protocolo http.
Denegar el acceso a block in on <internal interface> from <static ip>192.168.1.30
Internet para El Equipo
con IP 192.168.1.30
Restringir el acceso a la return "PROXY proxy.www.cpanel.net/:8080; DIRECT”;
aplicación cpanel URL
de descarga
C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:

Firewall / Tema 3: ConfigServer Security Firewall (CSF)

Características
Descripción general de El firewall Config Server Firewall (CSF) es un firewall de
la distribución inspección exhaustiva de paquetes (SPI), una aplicación de
seguridad y detección de intrusos/inicio de sesión para
servidores Linux. Es una herramienta de seguridad que puede
proteger su servidor contra ataques, como la fuerza bruta y
mejorar la seguridad del servidor. Esta aplicación funciona
como un complemento de WHM y esgratuita.
Distribución GNU/Linux Está soportado por multitud de distribuciones, como Red Hat,
en la que está basada SUSE, openSUSE, CentOS, CloudLinux, Fedora, Slackware,
Ubuntu, Debian, etc., y también en sistemas de virtualización
como Xen, VirtualBox, OpenVZ, KVM, Virtuozzo, VMWare,
etc. Además, cuentas con la garantía de Configserver.com,
especializada en soluciones cPanel, y siendo una de las
soluciones de seguridad más recomendadas para tus servidores
Características de ConfigServer Security Firewall (CSF) supervisa
tráfico continuamente el archivo de registro del servidor y notifica
errores en la autenticación de inicio de sesión de SSH, SMTP,
HTTP, IMAP, POP3 y FTP y otros muchos protocolos.
Características De  Bloquear/Permitir Puertos
Seguridad  Intentos Fallidos de autentificación (LFD) a cuentas de
FTP y correo electrónico
 Bloqueo Temporal o Permanente de Ip que cumplan con
las reglas configuradas.
 Bloqueo de Escaneo de Puertos.
 Prevenir y mitigar ataques DOS/DDOS
 Ataques de Fuerza Bruta.

Hardware recomendado Podemos instalar CSF sin ninguna incidencia en los siguientes
para instalación sistemas operativos:
 RedHat Enterprise versión 5 a 7
 CentOS versión 5 a 7
 CloudLinux versión 5 a 7
 Fedora Versión 20 a 26

Ejemplo de requisitos para instalar CSF en Debian

 Un servidor con Debian 11.
 Una contraseña de root configurada en el servidor.
Otras características La suite tiene estas características y protecciones adicionales:
adicionales  Rastreo de accesos y bloqueo POP3/IMAP
 Notificación de acceso por SSH
 Notificación de acceso de superusuarios, SU
 Bloqueo ante detección de número elevado de
conexiones.
 Integración con la interface de usuario (UI)
en cPanel, DirectAdmin y Webmin
 Actualización sencilla en versiones con cPanel/WHM,
DirectAdmin o Webmin
 Actualización fácil vía shell

Temática 3: Permitir servicios de la Zona DMZ para la red.

Se descarga e instala el programa Endian

Se elige el tamaño de memoria

Selección de disco duro

Selección de tipo de archivo

Selección del tipo de almacenamiento

Selección ubicación del archivo y tamaño

selección de imagen iso.

Selección de idioma

Bienvenida del programa, presionamos en ok.

Presionamos en ok para selección del disco
Instalacion de paquetes.

No habilitamos la consola en serial.

Configuración de ip y mascara, dejo la que esta por defecto.

inicia la instalación.
Mensaje de confirmación de instalación exitosa.

Nos muestra esta pantalla con la ip seleccionada

Producto esperado:

1. Permitir los servicios HTTP (Puerto 80) y FTP (Puerto 21) desde el servidor Web bajo
Ubuntu Server.
2. Denegar el protocolo ICMP (Puerto 8 y puerto 30) para no permitir hacer ping en la red.
Probar a través de una consola o terminal la no respuesta del comando ping hacia una IP
de la red. Verificar en el tráfico de salida, la creación de las reglas.

Referencias bibliográficas
2.6.2.4.4. Módulos de opciones de coincidencia adicionales. (s/f). Portal de clientes de Red
Hat. Recuperado el 23 de abril de 2022, de
https://access.redhat.com/documentation/es-es/red_hat_enterprise_linux/6/html/
security_guide/sect-security_guide-iptables_match_options-
additional_match_option_modules

Ira. (2015, 25 de julio). Instalando ConfigServer Security & Firewall (CSF) . La mirada del
replicante. http://lamiradadelreplicante.com/2015/07/25/instalando-configserver-security-
firewall-csf/

Isaac. (2017, 15 de mayo). CSF y LFD: dos proyectos que te ayudarán a mejorar la
seguridad. Linux Adictos. https://www.linuxadictos.com/csf-lfd-dos-proyectos-te-
ayudaran-mejorar-la-seguridad.html