Laboratorio

FIREWALL

Tecsup

Seguridad con Linux

FIREWALL
OBJETIVOS

Desarrollar polticas de seguridad.

Implementar un FIREWALL.
REQUISITOS

PC con 2 Tarjetas de RED.
PROCEDIMIENTOS
1. CONECTIVIDAD

Anote en el grfico los valores de conectividad.

(PCI,SAP) Active la Maquina virtual WIN98 y configure los parmetros de RED.
Nota: La mquina virtual WIN98, tiene instalado el Servicio de WEB
PERSONAL. Lo usaremos tambin como cliente PCI, debido al consumo de
recursos.
FIREWALL

Nombre y Puerta de Enlace: # vi /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=fire.empresa[#].com.pe
GATEWAY=[IP_ROUTER]

IP de interfase eth0 : # vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
IPADDR=[IP_eth0]
NETMASK=[Mascara]

IP de interfase eth1  # vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1
ONBOOT=yes
BOOTPROTO=static
IPADDR=[IP_eth1]
NETMASK=[Mascara]

(FIRE) FORWADEO  # vi /etc/sysctl.conf

net.ipv4.ip_forward = 1
(FIRE) Reiniciar.
Comprobar que exista conectividad desde PCI, SAP hacia el FIRE

2. POLITICAS
OBJETIVO

Bloqueo al servidor Firewall contra toda accin de la RED
PRIVADA y RED PUBLICA.

Permitir a los usuarios de la red Privada visitar pginas WEB.
(http://www.yahoo.com)

Permitir el acceso al Servidor WEB desde la RED PUBLICA.

Tecsup

Seguridad con Linux

SERVICIOS

(SAP) Habilite el servicio de TELNET:
# vi /etc/xinetd.d/telnet
disable=no
# service xinetd restart

(SAP) Personalic una PAGINA WEB:
# vi /var/www/html/index.html
ARCHIVO POLITICAS

(FIRE) Crear un archivo  # touch /root/politicas.sh

(FIRE) Aplicar permisos  # chmod +x /root/politicas.sh

LIMPIANDO y PREDETERMINANDO
(FIRE) Editar  # vi /root/politicas.sh

############## LIMPIEZA
# LOCAL
iptables F INPUT
iptables F OUTPUT
iptables F FORWARD
#NAT
iptables t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT
############## PREDETERMINADO
# LOCAL
iptables P INPUT ACCEPT
iptables P OUTPUT ACCEPT
iptables P FORWARD ACCEPT
# NAT
iptables
iptables
iptables

-t
-t
-t

nat
nat
nat

-P
-P
-P

PREROUTING ACCEPT
POSTROUTING ACCEPT
OUTPUT ACCEPT

(FIRE) Aplique las polticas  # sh /root/politicas.sh

(PCI) Compruebe que no puede salir a INTERNET  www.yahoo.com

===================================================
NOTA: A continuacin se muestra cuadros de polticas que deber
personalizarlos con sus valores personales y agregarlo al final del
archivo politicas.sh. Para que se aplique deber de ejecutar el
SCRIPT  # sh /root/politicas.sh
===================================================

ENMASCARAMIENTO
# ENMASCARANDO A LA RED LOCAL. ES UNA LINEA CONTINUA
iptables -t
nat -A POSTROUTING -s
[RED_PRIVADA]/[MASCARA]
MASQUERADE

(FIRE) Aplique las polticas.

-j

Tecsup

Seguridad con Linux

(FIRE) Visualice la tabla de polticas  # iptables t nat L

Chain POSTROUTING (policy ACCEPT)
target
prot opt source
MASQUERADE all -- [red_privada]

(PCI,SAP) Accede a Servicios de INTERNET.

BLOQUEO A FIREWALL
(FIRE) Al final del archivo  # vi /root/politicas.sh

iptables

-P

INPUT

DROP

(PCI) Realice las siguientes pruebas usando PING, en indicar SI o NO

# ping
[ip_ETH1_FIRE]
[ip_ETH0_FIRE]
[PCE]
[IP_ROUTER]
www.yahoo.com

destination
anywhere

Responde

(FIRE) Permitiendo trfico en interfase loopback.

iptables

-A

INPUT

-i

lo

-j

ACCEPT

BLOQUEAR TRAFICO DE LA RED LAN

iptables

nat

-P

PREROUTING

DROP

PRUEBAS
# ping
[ip_ETH1_FIRE]
[ip_ETH0_FIRE]
[PCE]
[IP_ROUTER]
www.yahoo.com

Responde

HABILITANDO SALIDA DE DNS A LA RED LAN

iptables t nat -A PREROUTING -p udp

--sport 1024:65535 -d any/0 --dport

-s
53

[red_privada]/[mascara]
-j ACCEPT

(PCI) Ping a www.yahoo.com Qu resolucin ha obtenido? __________

NOTA: Obtendr resolucin del nombre pero no la repuesta.

Tecsup

Seguridad con Linux

2.5. HABILITANDO SALIDA A PGINAS WEB

iptables t nat -A PREROUTING -p tcp

--sport 1024:65535 -d any/0 --dport

-s
80

[red_privada]/[mascara]
-j ACCEPT

(PCI) Visite www.yahoo.com

(PCI) Puede ingresar a pginas WEB seguras (www.viabcp.com
OPERACIONES EN LINEA)? ______

PGINAS WEB SEGURAS

(FIRE) Se necesita acceder a pginas WEB SEGURAS (HTTPS), genere la
politica:

REDIRECCIONAMIENTO (NAT)

(FIRE) Agregue una segunda direccin IP a la T.RED PUBLICA ETH0, esta IP
representa la IP PBLICA del SERVER SAP. El FIRE direcciona las peticiones de
esta IP a la IP PRIVADA del SERVER SAP.
/sbin/ifconfig eth0:0 [IP_PUB_SAP] netmask [MASCARA]

(FIRE) Compruebe la asignacin de IP  # ifconfig

REDIRECCIONAMIENTO WEB

(FIRE) Agreguemos la poltica

iptables
-j DNAT

-t nat -A PREROUTING
--to [IP_SAP]:80

-p

tcp

-d

[IP_PUB_SAP] --dport 80

-d

[IP_PUB_SAP] --dport 23

(PCE) Acceda a  http://[IP_PUB_SAP]

REDIRECCIONAMIENTO

(FIRE) Agreguemos la politica

iptables
-j DNAT

-t nat -A PREROUTING
--to [IP_SAP]:23

-p

tcp

(PCE) Realice una conexin TELNET  TELNET [IP_PUB_SAP]