Gonzalez Barrera Jorge Eduardo Mecanismo Actividad1

MECANISMOS DE DEFENSA EN REDES
DOCENTE:
MTRO. SERGIO SENTECAL GUERRERO
ASIGNATURA:
SEGURIDAD EN REDES
ALUMNO:
JORGE EDUARDO GONZÁLEZ BARRERA
Ciudad de México, a 06 de junio de 2022.

Asignatura Datos del alumno Fecha
Apellidos: González Barrera
Seguridad de Redes 06 junio 2022
Nombre: Jorge Eduardo
ANÁLISIS.
El presente documento tiene como finalidad el reforzar los
conocimientos relativos a topologías de defensa de redes, uso de cortafuegos y
arquitectura DMZ, asimismo realizar la actividad de Mecanismo de Defensa en
Redes, la cual se nos solicita lo siguiente:
Un cortafuegos FW con tres interfaces interconecta tres segmentos de

red: la red interna de la empresa, la DMZ y el acceso a Internet. Dentro de la
DMZ se encuentra un servidor WEB (DMZA). Además, tienes acceso a uno de
los equipos de la red local (INTA) y a otro en Internet (EXTA) que te permite
tener una visión de la red desde el exterior y por último se deberá de realizar
el llenado de la tabla solicitada con las reglas de iptables.
PREPARACIÓN TÉCNICA.
Para esta práctica se hará uso de los siguientes componentes:
Hardware:
Procesador: Intel Core i3-1005G1 CPU 1.20 GHz 1.19 GHz.
Memoria RAM: 8.00 GB.
Disco Duro: 1024 GB.
Software:
Sistema Operativo: Windows 10 Home de 64 bits.
Máquina Virtual: VMware Workstation 16 Player.
KVM: NETinVM.
Para descargar la máquina virtual VMware Workstation 16 Player,

abriremos el navegador y nos dirigimos a la página oficial de vmware:
© Universidad Internacional de La Rioja (UNIR)
https://www.vmware.com/mx/products/workstation-player/workstation-
player-evaluation.html, en la cual descargaremos la versión para Windows y
una vez concluida la descarga procederemos a realizar la instalación de esta,
así como la descarga de la imagen de la máquina virtual NETinVM, la cual
Actividad: Mecanismos de Defensa en Redes 1

haremos uso de la siguiente liga

https://informatica.uv.es/~carlos/docencia/netinvm/ y elegiremos la opción
del 15 de julio de 2020, una vez concluida la descarga, obtendremos un archivo
de tipo .ZIP, el cual lo descomprimiremos para poder hacer uso de un archivo
.ISO el cual será carga en VMware y nos aparecerá de la siguiente manera y
para iniciarla daremos doble clic y podremos observar la virtualización de
Debian GNU/Linux.

PROBLEMAS PRESENTADOS.
Dentro de los puntos que hemos tocado hasta el momento, no se tuvo
ningún problema para poder realizar las descargas de los programas o poder
iniciar la máquina virtual VMware con la imagen de NETinVM, sin embargo,
el VMware, te solicita una licencia o hacer uso de la aplicación en un periodo
de prueba, por lo que se obtuvo dicha licencia por los medios correspondientes.
Por otro punto y ya adentrándonos en la actividad, al realizar la
investigación de esta, observe que hay mucha escasez de información referente
a la virtualización del NETinVM, por lo que hizo más complicada poder
realizarla, así como el familiarizarnos con el entorno de Debian y la consola
junto con los comandos, implico un tiempo de aprendizaje.
DESARROLLO.
Suena el teléfono y te despiertas sobresaltado. No son horas para recibir
una llamada todavía, pero, aun así, el teléfono está sonando. Te acercas a mirar
y ves una extensión empresarial. No sabes quién es, pero por la hora parece
importante. Respondes…
La empresa Example ha sufrido una brecha de seguridad en su red. Por
lo que te cuentan el ataque ya está bajo control, pero quieren evitar que les
vuelva a ocurrir en el futuro. Para ello quieren contar con los servicios de un
experto en seguridad en redes que les ayude a configurar su red de forma
segura. Saben que tú sabes del tema, has estudiado el Máster en Seguridad
Informática de la UNIR, y quieren contratarte. No lo dudas y aceptas el reto.
Te pegas una ducha rápida y pones rumbo a sus oficinas.
Un cortafuegos FW con tres interfaces interconecta tres segmentos de
red: la red interna de la empresa, la DMZ y el acceso a Internet. Dentro de la
DMZ se encuentra un servidor WEB (DMZA). Además, tienes acceso a uno de
los equipos de la red local (INTA) y a otro en Internet (EXTA) que te permite
tener una visión de la red desde el exterior.
A continuación, se enlista las configuraciones a realizar; asimismo antes
de dar inicio se explicarán los comandos y parámetros a utilizar:

Iptables: nos ayuda a administrar el filtrado de paquetes, usado en el

protocolo IPv4 y NAT, este comando tiene como objetivo configurar, mantener
e inspeccionar las tablas de reglas de filtrado de paquetes IP; Iptables cuenta
con tres niveles: tablas, cadenas y reglas.
Tablas.
Cuenta con cuatro tablas filter, nat, mangle y raw.
Filter: es la tabla por defecto de iptables, se enfoca en el filtrado de los paquetes
y su tarea principal es detener, permitir o redireccionarlos. Esta tabla cuenta
con tres cadenas integradas.
Cadenas de la tabla filter.
INPUT: paquetes destinados a procesos locales.
FORWARD: paquetes para los cuales se determina una ruta.
OUTPUT: paquetes cuyo origen son de procesos locales.
Reglas.
Las reglas son definidas en las tablas y cadenas y son: ACCEPT, DROP,
QUEUE y RETURN:
ACCEPT: acepta el paquete.
DROP: Descarta el paquete.
Los paquetes de iptables son relacionados con las conexiones mediante

cuatro estados: NEW (nos indica que el paquete es el primero que vemos),
ESTABLISHED (existe tráfico en ambas direcciones y por ende admitirá
continuamente los paquetes de este flujo), RELATED (se considera conexión
relacionada cuando está ligada a otra conexión establecida) e INVALID (el
paquete no puede ser identificado o no tiene ningún estado).
A continuación, se mencionarán los parámetros de los comandos que

usaremos:
-t, --table: esta opción especifica la tabla de coincidencia de paquetes en la que
va a trabajar el comando.

-v, --verbose: nos ayudara a mostrar más a detalle como el número de paquetes
y bytes que cada cadena ha visto, el número de paquetes y bytes que cada regla
encontró y que interfaces se aplican a una regla en particular.
-L, --list: muestra todas las reglas de la cadena.
-F, --flush: sirve para vaciar o eliminar todas las reglas de la cadena
seleccionada.
-A, --append: agrega reglas en la cadena seleccionada.
-D, --delete: elimina una o más reglas dentro de la cadena seleccionada.
-s, --source: especificación del origen, la cual puede ser un nombre de red,
nombre del host o una dirección IP simple o con mascara.
-d, --destination: se especifica el destino, la cual puede ser un nombre de red,
nombre del host o una dirección IP simple o con mascara.
-i, --in-interface: nombre de la interfaz a través de la cual se recibe el paquete,
se refiere a la interfaz de entrada, tal como eth0 o ppp0.
-p, --protocol: para uso de módulos de coincidencia de paquetes extendidos
implícitamente, configura el protocolo IP para la regla, los cuales pueden ser
icmp, udp, tcp o all (todas).
-m, --match: para uso de módulos de coincidencia de paquetes extendidos
coincidente, para realizar determinadas acciones.
-n, --numeric: muestra las direcciones IP y los números de puertos en formato
numérico en lugar de utilizar el nombre del servidor y la red.
-I, --insert-chain: inserta una regla en una cadena en un punto especificado
por un valor entero definido por el usuario.
-P, --policy-change-target: configura la política para la cadena seleccionada, de
tal forma que, cuando los paquetes atraviesen la cadena completa sin cumplir
ninguna regla, serán enviados a un objetivo en particular, como puedan ser
ACCEPT o DROP.
-j, --jump target: salta a un objetivo en particular cuando el paquete coincide

con alguna regla antes definida.
Modulo state: habilita la coincidencia de estado.

--state: coincide el paquete con los estados de conexión (NEW,

ESTABLISHED, RELATED o INVALID).
--dport, --destination-port: configura y especifica el puerto de destino para el
paquete.
-nslookup: es una herramienta para probar y solucionar problemas de
servidores DNS o consultar registros de recursos DNS.
-curl: está diseñado para verificar la conectividad a las URL y como una gran
herramienta para transferir datos.
-multiport: permite el tráfico múltiple desde el origen y destino de SSH, HTTP
y HTTPS
--line-numbers: sirve para enumerar las reglas de una cadena.
nc, netcat: se utiliza para escaneo de puerto, redirección de puertos, escuchas
de puertos, abrir conexiones remotas, etc.
Una vez que se conocen los comandos y parámetros a ocupar y que se
estudió la topología solicitada por la empresa, comenzamos con las siguientes
configuraciones:
1. Decides conectarte al cortafuegos como root y listar las reglas de la tabla

filter en modo verbose.
Línea de comando a utilizar: iptables -t filter -L -v

2. El listado te muestra que se permiten demasiadas conexiones. Decides que

lo mejor es empezar desde cero y borrar todas las reglas de la tabla filter.
Línea de comando a utilizar: iptables -t filter --flush
3. Además, no todas las cadenas de la tabla filter tienen una política

restrictiva. Estableces una política restrictiva en la cadena que falta.
Línea de comando a utilizar: iptables -t filter -P OUTPUT DROP

4. Una vez que has establecido una base segura, llega el momento de permitir
las conexiones necesarias para Example. Lo primero es permitir el tráfico
de las conexiones ya establecidas en todas las cadenas de la tabla filter
Líneas de comando a utilizar: iptables -t filter -A INPUT -m state --state
ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED -j
ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED -j
ACCEPT
5. A continuación, lo primero que necesitas es que la red local tenga

capacidad de resolución de nombres. Desgraciadamente Example no
cuenta con DNS propio, así que seleccionas uno que crees seguro en
Internet. Permites las nuevas conexiones salientes desde la red local al
servidor DNS (UDP) público de Google (IP: 8.8.8.8) que se encuentra en
Internet.
Línea de comando a utilizar: iptables -A FORWARD -s 10.5.2.0/24 -d
8.8.8.8 -i eth2 -p udp -m udp --dport 53 -m state --state NEW -j
ACCEPT

Comprobamos la conexión con el comando nslookup


6. Los usuarios de la red local necesitan acceder al servidor WEB de Example.

Creas una regla que permita las nuevas conexiones HTTP desde la red local
al servidor WEB en la DMZ.
10.5.1.10 -i eth2 -p tcp -m tcp --dport 80 -m state --state NEW -j
ACCEPT
Comprobamos la conexión con el comando curl.


7. También necesitan acceso a servidores WEB en Internet. Creas una regla

que permita las nuevas conexiones desde la red local a servidores WEB en
Internet.
0.0.0.0/0 -i eth2 -p tcp -m tcp -m multiport --dport 80,443 -m state
--state NEW -j ACCEPT
Por descuido genero esta regla dos veces, las cuales podemos observar en la
cadena FORWARD, reglas 4 y 5, eliminamos con iptables -D FORWARD 5.

Comprobamos la conexión haciendo uso de netcat.
8. Example desea, además, que su servidor WEB sea accesible desde Internet.
Creas una regla que permita las nuevas conexiones HTTP desde Internet
al servidor WEB en la DMZ
Línea de comando a utilizar: iptables -A FORWARD -s 10.5.0.10 -d
10.5.1.10 -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j
ACCEPT

Comprobamos conexión con uso de curl y netcat.
9. Example te pide que se pueda administrar el cortafuegos de forma remota

desde la red local. Creas una regla que permita las nuevas conexiones SSH
desde la red local al cortafuegos.
Línea de comando a utilizar: iptables -A INPUT -i eth2 -m state --state
NEW, ESTABLISHED -m tcp -p tcp --dport 22 -s 10.5.2.0/24 -d
10.5.2.254 -j ACCEPT

Comprobamos la conexión SSH desde la red interna al firewall.
10. Por último, Example quiere que el cortafuegos pueda descargarse

actualizaciones de seguridad de internet. Permites las nuevas conexiones
HTTP desde el cortafuegos al servidor de actualizaciones de Debian en
España (IP: 82.194.78.250) que se encuentra en Internet.
Línea de comando a utilizar: iptables -A OUTPUT -p tcp -d
82.194.78.250 --dport 80 -j ACCEPT

Comprobamos que nuestro firewall alcance la IP con el uso de curl.
RESULTADOS.
Por último, veremos las iptables usadas en la siguiente tabla.
Acción Regla
1. Listar las reglas de la tabla iptables -t filter -L -v
filter en modo detallado
2. Borrar todas las reglas de la iptables -t filter –flush
tabla filter
3. Establecer una política iptables -t filter -P OUTPUT DROP
restrictiva en la cadena que falta
4. Permitir el tráfico de iptables -t filter -A INPUT -m state --
conexiones ya establecidas en state ESTABLISHED -j ACCEPT
todas las cadenas de la tabla iptables -t filter -A OUTPUT -m state --
filter state ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -m state

--state ESTABLISHED -j ACCEPT
5. Permitir las nuevas iptables -A FORWARD -s 10.5.2.0/24 -d
conexiones salientes desde la 8.8.8.8 -i eth2 -p udp -m udp --dport 53
red local al servidor DNS (UDP) -m state --state NEW -j ACCEPT

público de Google (IP: 8.8.8.8)

que se encuentra en Internet
conexiones HTTP desde la red 10.5.1.10 -i eth2 -p tcp -m tcp --dport 80
local al servidor WEB en la DMZ -m state --state NEW -j ACCEPT
conexiones desde la red local a 0.0.0.0/0 -i eth2 -p tcp -m tcp -m
servidores WEB en Internet multiport --dport 80,443 -m state --
state NEW -j ACCEPT
8. Permitir las nuevas iptables -A FORWARD -s 10.5.0.10 -d
conexiones HTTP desde 10.5.1.10 -i eth0 -p tcp -m tcp --dport 80
Internet al servidor Web en la -m state --state NEW -j ACCEPT
DMZ
9. Permitir las nuevas iptables -A INPUT -i eth2 -m state --
conexiones SSH desde la red state NEW, ESTABLISHED -m tcp -p
local al cortafuegos tcp --dport 22 -s 10.5.2.0/24 -d
10.5.2.254 -j ACCEPT
10. Permitir las nuevas iptables -A OUTPUT -p tcp -d
conexiones HTTP desde el 82.194.78.250 --dport 80 -j ACCEPT
cortafuegos al servidor de
actualizaciones de Debian en
España (IP: 82.194.78.250) que
se encuentra en Internet
CONCLUSIONES.
Al inicio de la actividad y al leer todo lo que requería, no comprendí
muchos de los puntos solicitados, por lo que al realizar la investigación me di
cuenta que no se tiene mucha documentación del NETinVM, lo que ocasionó

que al principio tuviera un poco de frustración hacia con la practica; otra
situación que generó dificultad, fue el retomar el uso del Sistema Operativo
Linux, principalmente porque se trabaja mayormente con sistemas Windows,

por lo que admito que volver a trabajar en este entorno fue complicado; por
último, el uso de la terminal y comandos implicó la investigación de la
funcionalidad de estos, para así poder tener una mayor idea de lo que se estaba
realizando.
En conclusión y desde mi punto de vista, la practica fue muy interesante,

tocando configuraciones que en lo laboral podrían ser utilizadas de manera
común y al final podrían ser de ayuda el día de mañana dentro de mi
organización, pero a la vez fue muy compleja debido a mis conocimientos
básicos para la configuración de una red interna o externa o desmilitarizada o
de cortafuegos, mediante el uso de la terminal Linux, los cuales no son
mecanismos que utilice a menudo; sin embargo una vez que me documenté del
tema y logré entender la funcionalidad de los comandos y sus sintaxis, estos
empezaron a tomar más sentido en cada configuración realizada.
Gracias a esta práctica logré entender un poco más sobre la seguridad

que existe en las topologías de redes y la importancia de tener cortafuegos
dentro de nuestras redes, al igual la obtención de conocimientos en el
NETinVM, la terminal Linux y el uso de comandos.
REFERENCIAS.
• Quinn Kiser. (2021). Redes Informáticas Una Guía Compacta para el
Principiante que Desea Entender los Sistemas de Comunicaciones, la
Seguridad de las Redes, Conexiones de Internet, Ciberseguridad y
Piratería. España: Primasta.
• Edgar V. Jiménez A. (2014). Cortafuegos y Seguridad en el Internet
(Tesis para obtener el Título de Ingeniero en Comunicaciones y
Electrónica). Instituto Politécnico Nacional

https://tesis.ipn.mx/bitstream/handle/123456789/15606/I.C.E.%20
44-14.pdf?sequence=1&isAllowed=y. Recuperado el 15 de mayo de
2022.

• (2022). Anexo: Puertos de Red. Wikipedia. Recuperado el 20 de mayo

de 2022. https://es.wikipedia.org/wiki/Anexo:Puertos_de_red.
• Antonio Perpínan. (2014). Administración de Redes GNU/LINUX
Guía de Estudio hacia una Capacitación Segura. 17 de mayo de 2022,
de Fundación Código Libre Dominicana Sitio web:
https://libros.metabiblioteca.org/bitstream/001/155/8/ADMINISTR
ACI%C3%93N%20DE%20REDES%20GNU.pdf
• Javys Pacheco M. & Kelly Martínez M. (2009). Diseño e
implementación de un Servidor Firewall en Linux (Monografía para
Obtener el Título de Ingeniero en Sistemas). Universidad Tecnológica
de Bolivar Cartagena de Indias.
https://biblioteca.utb.edu.co/notas/tesis/0051545.pdf. Recuperado el
17 de mayo de 2022.
• Mónica C. Libertatori. (2018). Redes de Datos y sus Protocolos.
Argentina: Universidad Nacional de Mar del Plata.
• Oskar Andreasson. (2003). Tutorial de IPtables 1.1.19es.
https://www.frozentux.net/iptables-
tutorial/spanish/chunkyhtml/index.html. Recuperado el 28 de mayo
de 2022.
• Iptables(8) – Linux Man Page. https://linux.die.net/man/8/iptables.
Recuperado el 27 de mayo de 2022.
• (2014). Iptables, Herramienta para controlar el Tráfico de un
Servidor. Acens Technologies. https://www.acens.com/wp-
content/images/2014/07/wp-acens-iptables.pdf. Recuperado el 21 de
mayo de 2022.
• (2005). Red Hat Enterprises Linux 4, Manual de Referencia. Red Hat
Inc. https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-
4/index.html. Recuperado el 21 de mayo de 2022.
• J. Carlos. (2020). Cómo Configurar el Entorno de Red en Debian desde
una Terminal. Zeppelinux. https://www.zeppelinux.es/como-

configurar-el-entorno-de-red-en-debian-desde-una-terminal/.
Recuperado el 21 de mayo de 2022.
• Protocolo de Red – TCP, UDP, TCP/IP, IP, HTTP y sus Diferencias.
Programador Clic.
https://programmerclick.com/article/34871886359/. Recuperado el
22 de mayo de 2022.
• Yenisleidy Fernández R. & Karen García P. (diciembre, 2011).
Virtualización. Revista Digital de las Tecnologías de la Información y
las Comunicaciones TELEM@TICA, 10 No. 3, 13. Recuperado el 22 de
mayo de 2022.
• Seguridad informática - Introducción a NETinVM, 04 de septiembre
de 2020. Docutils.
https://informatica.uv.es/~carlos/docencia/netinvm/es/netinvm-
intro/netinvm-intro.html. Recuperado el 22 de mayo de 2022.

Gonzalez Barrera Jorge Eduardo Mecanismo Actividad1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gonzalez Barrera Jorge Eduardo Mecanismo Actividad1

Cargado por

Copyright:

Formatos disponibles

MECANISMOS DE DEFENSA EN REDES

Ciudad de México, a 06 de junio de 2022.

Un cortafuegos FW con tres interfaces interconecta tres segmentos de

Para descargar la máquina virtual VMware Workstation 16 Player,

Actividad: Mecanismos de Defensa en Redes 1

haremos uso de la siguiente liga

Actividad: Mecanismos de Defensa en Redes 2

Actividad: Mecanismos de Defensa en Redes 3

Iptables: nos ayuda a administrar el filtrado de paquetes, usado en el

Los paquetes de iptables son relacionados con las conexiones mediante

A continuación, se mencionarán los parámetros de los comandos que

Actividad: Mecanismos de Defensa en Redes 4

-j, --jump target: salta a un objetivo en particular cuando el paquete coincide

Actividad: Mecanismos de Defensa en Redes 5

--state: coincide el paquete con los estados de conexión (NEW,

1. Decides conectarte al cortafuegos como root y listar las reglas de la tabla

Actividad: Mecanismos de Defensa en Redes 6

2. El listado te muestra que se permiten demasiadas conexiones. Decides que

3. Además, no todas las cadenas de la tabla filter tienen una política

Actividad: Mecanismos de Defensa en Redes 7

5. A continuación, lo primero que necesitas es que la red local tenga

Actividad: Mecanismos de Defensa en Redes 8

Comprobamos la conexión con el comando nslookup

Actividad: Mecanismos de Defensa en Redes 9

6. Los usuarios de la red local necesitan acceder al servidor WEB de Example.

Comprobamos la conexión con el comando curl.

Actividad: Mecanismos de Defensa en Redes 10

7. También necesitan acceso a servidores WEB en Internet. Creas una regla

Actividad: Mecanismos de Defensa en Redes 11

Comprobamos la conexión haciendo uso de netcat.

Actividad: Mecanismos de Defensa en Redes 12

Comprobamos conexión con uso de curl y netcat.

9. Example te pide que se pueda administrar el cortafuegos de forma remota

Actividad: Mecanismos de Defensa en Redes 13

Comprobamos la conexión SSH desde la red interna al firewall.

10. Por último, Example quiere que el cortafuegos pueda descargarse

Actividad: Mecanismos de Defensa en Redes 14

Comprobamos que nuestro firewall alcance la IP con el uso de curl.

iptables -t filter -A FORWARD -m state

Actividad: Mecanismos de Defensa en Redes 15

público de Google (IP: 8.8.8.8)

cuenta que no se tiene mucha documentación del NETinVM, lo que ocasionó

Actividad: Mecanismos de Defensa en Redes 16

En conclusión y desde mi punto de vista, la practica fue muy interesante,

Gracias a esta práctica logré entender un poco más sobre la seguridad

Electrónica). Instituto Politécnico Nacional

Actividad: Mecanismos de Defensa en Redes 17

• (2022). Anexo: Puertos de Red. Wikipedia. Recuperado el 20 de mayo

Actividad: Mecanismos de Defensa en Redes 18

Actividad: Mecanismos de Defensa en Redes 19

También podría gustarte