Seguridad Bsica
La seguridad informatica debe verse de manera integral entre dispositivos, protocolos, polticas, tecnologas y herramientas. El fin ltimo de la seguridad informtica, debe ser la seguridad de la informacin, al mismo tiempo que se cumple con confiabilidad, integridad y disponibilidad.
Seguridad Bsica
Seguridad Bsica
A que nos enfrentamos: errores de software errores de hardware errores de usuario software malicioso siniestros ataques etc
Seguridad Bsica
Seguridad fsica:
Seguridad Bsica
Seguridad lgica: Autenticacin Autorizacin Registros y bitacoras
Seguridad Bsica
Seguridad de informacin: Integridad Confidencialidad Respaldos Restablecimientos de respaldos
GNU desde 1983. Richard M. Stallman Linux, desde 25 de Agosto de 1991. Linus Torvalds.
PREGUNTAS
Redes de Computadoras
La forma ms frecuente de abordar el estudio de Redes de Computadoras es a travs de modelos de capas, es decir, siguiendo puntos de demarcacin definidos claramente, con funciones especficas y formas de manejo de la informacin. El seguimiento de modelos de capas proporciona una serie de pasos estandar para el estudio, diseo y mantenimiento de redes, incluso para la fabricacin de Hardware y creacin de sistemas, facilitando la interoperabilidad entre diferentes fabricantes y modelos.
Netstat : muestra las conexiones de red, tablas de enrutamiento, estadsticas de interfaces, conexiones enmascaradas y membresias multicast Ip : muestra / manipula enrutamiento, dispositivos, polticas de enrutamiento y tneles : enva paquetes ICMP ECHO_REQUEST a hosts vecinos
Ping
PREGUNTAS
Instalacin de Paquetes
La forma ms simple de instalar aplicaciones en un sistema Debian, es utilizando el sistema de repositorios y paquetes, con el comando apt-get. apt-get update # actualiza listado de repositorios apt-get upgrade # actualiza todo paquete instalado que encuentre nuevas versiones en repositorios apt-get install [paquete] # instala el paquete indicado apt-get remove [paquete] # desinstala el paquete indicado Ver ms opciones con man apt-get
Instalacin de Paquetes
El sistema de repositorios, se basa en un listado de servidores y lugares donde se encuentran disponibles instaladores de aplicaciones. El listado de repositorios se encuentra en el archivo /etc/apt/sources.list. Durante el proceso de instalacin, los instaladores son almacenados en el directorio /var/cache/apt/archives/. El formado de los instaladores es archivos .deb, que pueden ser instalados manualmente as: dpkg -i [archivo].deb
Openssh-server, servidor de ssh Fuse-utils y sshfs, herramientas complementarias a ssh Fail2ban, sistema de prevencin de intrusos
PREGUNTAS
Iptables
Iptables es un programa que configura el firewall del Kernel de Linux. Por el hecho de modificar directamente elementos a nivel de kernel, unicamente debe ejecutarse como root Las iptables, son la configuracin de firewall en Linux, a partir del Kernel 2.4. Anteriormente, la herramienta presente en el Kernel 2.2 fue ipchain, pero el origen de firewall a nivel de Kernel, inicio en la versin 2.0 con ipfw, basado en el sistema del mismo nombre en BSD Una de las principales ventajas de iptables, sobre versiones anteriores, es la posibilidad de trabajar stateless y statefull
Prctica
Prctica
Agregar en /etc/network/interfaces Iface eth0:0 inet static Address 10.0.G.C Netmask 255.255.255.0 Gateway 10.0.G.254
Iptables
La configuracin de las iptables se basa en un conjunto de reglas secuenciales, que se asociarn a cada una de la interfaces, y analizarn los paquetes como miembros de un flujo de datos. Las listas de instrucciones (o cadenas) se asocian entre ellas en tablas, las cuales pueden ser de 4 tipos:
Iptables
Los flujos de datos reconocidos por las tablas pueden ser de 5 tipos: PREROUTING INPUT FORWARDING OUTPUT POSTROUTING
Iptables. Prctica
Configurar bloqueo del trafico generado por la siguiente computadora del grupo: Computadora 1 bloquea a computadora 2 Computadora 2 bloquea a computadora 3 Computadora 3 bloquea a computadora 1 # ping -c 10 10.0.0.2 # iptables -A OUTPUT -d 10.0.0.2 -j REJECT # ping -c 10 10.0.0.2
Iptables. Prctica
Las acciones bsicas a realizar en un paquete son ACCEPT, REJECT y DROP # ping -c 10 10.0.0.2 # iptables -D OUTPUT -d 10.0.0.2 -j REJECT # iptables -A OUTPUT -d 10.0.0.2 -j DROP # ping -c 10 10.0.0.2
Iptables. Prctica
Las instrucciones se analizan de forma secuencial, por lo que debe tomarse en cuenta que una vez un paquete es bloqueado por una instruccin, cualquier otra instruccin ser ignorada # ping -c 10 10.0.0.2 # iptables -A OUTPUT -d 10.0.0.0/24 -j ACCEPT # iptables -L # ping -c 10 10.0.0.2
Iptables. Prctica
Las opciones ms comunes de control de las instrucciones individuales son: -A Agregar, al final de la lista -D Eliminar una instruccin especfica -R Reemplazar una instruccin (solo acepta nmero dentro de la lista) -I Insertar una instruccin (acepta nmero dentro de la lista) -L Lista el contenido de una tabla.
Iptables. Prctica
Haciendo buen uso de los comandos de manejo de cadena, se tiene lo siguiente: Iptables -A OUTPUT -s 10.0.0.2 -j REJECT Iptables -D OUTPUT -s 10.0.0.2 -j REJECT Iptables -A OUTPUT -s 10.0.0.2 -j DROP Es equivalente a: Iptables -A OUTPUT -s 10.0.0.2 -j REJECT Iptables -R OUTPUT 1 -s 10.0.0.2 -j DROP
PREGUNTAS
clase 4 iptables para levantar la interfaz virutual automtica auto eth0:0 Tengo mi LAN, all mando yo Para las privadas puedo ponerlas a mi antojo Para las pblicas las solicito a mi proveedor los rangos son 10.0.0.0/8 172.16.0.0 /12 172.31.x.x 192.168.0.0/16 Yo tengo 10 15 o 20 hago un proceso de NAT hacia direccin publicas una para pymes y 5 para empresas o hasta 13 sustituyendo el encabeza de los paquetes una de MANGLE de manipulacin de manoseo lo mismo que NAT pero mas grosero Con una solo direccin a varios servidores. NAT se mete con direccin ip, mangle con todo hasta capa 4 Llega la peticin a puerto 80 lo redireccin y cambia la ip destino y puerto destino con route se puede manipular hasta direcciones MAC, se puede hacer practicamente de todo, aunque a veces no sirve. diferencia entre NAT y PROXY, basicamente los dos hacen los mismo NAT a nivel de direccin ip es tranparente para el cliente, el cliente no sabe que sus paquetes fueron nateados, Con el proxy se puede configurandolo en el cliente o bien dejandolo transparente tiene mayor conciencia de los puertos. El proxy se puedo poner especficamente par WEB, cualquier otra peticin no la podr hacer. EL proxy no esta solo sino que es un proxy cache, como tiene conomiento mayor es un paquete una aplicacin hacia otra aplicacin. Puede guardar informacin para ser reutilizada. Si trabajamos con NAT lleva todas la peticiones a internet con proxy si ya preguntamos algo responde de una vez HTTPS todo tipo de navegacion segura no se incluyen en el cache. porforwar es un mecanismos de mangle, las tablas tienen cada una funciones especficas todas tienen 5 tipos de flujos de datos prerouting. antes de identificar lo ve la direccin de origen, le hago algo si o no input: hay dos momentos de input uno dirigido hacia el dispostivo el que pasa se une al prerouting, puedo llegar a un nivel de detalle. forwarding, manipulacion o manoseo output, el dispositivo de seguridad ha generado un paquete va de salida
postrouting. a un servidor de navegacin no le voy a permitir que navegue. Puede haber una correlacin de prerouting y postrouting y input y output. Vamos a minimizar estos casos BUENA PRACTICA EN MI RED INTERNA iptables -A INPUT -s 10.0.0.0/8 -j DROP iptables -A INPUT -s 172.16.0.0/12 -j DROP iptables -A INPUT -s 192.168.0.0/16 -j DROP para rechazar peticiones de internet From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable
From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable
From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable
From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable ^C --- 10.0.3.3 ping statistics --0 packets transmitted, 0 received, +23889 errors root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable --- 10.0.3.3 ping statistics --0 packets transmitted, 0 received, +10 errors root@debian09:/etc/network# iptables -A OUTPUT -d 10.0.2.1 root@debian09:/etc/network# ping -c 10 10.0.2.1 PING 10.0.2.1 (10.0.2.1) 56(84) bytes of data. ^C --- 10.0.2.1 ping statistics --5 packets transmitted, 0 received, 100% packet loss, time 4033ms root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable --- 10.0.3.3 ping statistics --0 packets transmitted, 0 received, +10 errors root@debian09:/etc/network# ping -c 10 10.0.2.3 PING 10.0.2.3 (10.0.2.3) 56(84) bytes of data. ^C --- 10.0.2.3 ping statistics --4 packets transmitted, 0 received, 100% packet loss, time 3024ms root@debian09:/etc/network# ping -c 10 10.0.1.3 PING 10.0.1.3 (10.0.1.3) 56(84) bytes of data. ^C --- 10.0.1.3 ping statistics --3 packets transmitted, 0 received, 100% packet loss, time 2016ms root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable
From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable From 10.0.3.2 icmp_seq=1 Destination Port Unreachable --- 10.0.3.3 ping statistics --0 packets transmitted, 0 received, +10 errors root@debian09:/etc/network# iptables Bad argument `-' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/etc/network# iptables Bad argument `-' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/etc/network# iptables -D OUTPUT -d 10.0.3.3 -j REJECT root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. ^C --- 10.0.3.3 ping statistics --9 packets transmitted, 0 received, 100% packet loss, time 8064ms root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. ^C --- 10.0.3.3 ping statistics --2 packets transmitted, 0 received, 100% packet loss, time 1008ms root@debian09:/etc/network# iptables -A OUTPUT -d 10.0.3.3 -j DROP root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ^C --- 10.0.3.3 ping statistics --7 packets transmitted, 0 received, 100% packet loss, time 6048ms root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted --- 10.0.3.3 ping statistics --10 packets transmitted, 0 received, 100% packet loss, time 9072ms root@debian09:/etc/network# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted --- 10.0.3.3 ping statistics --10 packets transmitted, 0 received, 100% packet loss, time 9073ms root@debian09:/etc/network# iptables -A OUTPUT -d 10.0.0.0/24 -j ACCEPT root@debian09:/etc/network# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh Chain FORWARD (policy ACCEPT) target prot opt source
destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination all -- anywhere 10.0.2.1 ^C root@debian09:/etc/network# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source
destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination all -- 0.0.0.0/0 10.0.2.1 DROP all -- 0.0.0.0/0 10.0.3.3 ACCEPT all -- 0.0.0.0/0 10.0.0.0/24 Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 root@debian09:/etc/network# iptables -D 1 iptables: Bad rule (does a matching rule exist in that chain?). root@debian09:/etc/network# iptables -D opt 1 iptables: No chain/target/match by that name. root@debian09:/etc/network# iptables -D output 1 iptables: No chain/target/match by that name. root@debian09:/etc/network# iptables -D OUTPUT 1 root@debian09:/etc/network# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source DROP all -- 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0
destination
Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 root@debian09:/etc/network# ping 10.0.2.1 PING 10.0.2.1 (10.0.2.1) 56(84) bytes of data. ^C --- 10.0.2.1 ping statistics --4 packets transmitted, 0 received, 100% packet loss, time 3024ms root@debian09:/etc/network# iptables -A OUTPUT -s 10.0.0.2 -j DROP root@debian09:/etc/network# iptables -R OUTPUT 1 -s 10.0.0.2 -j REJECT root@debian09:/etc/network# iptables -I OUTPUT 1 -s 10.0.0.0/24 -j ACCEPT root@debian09:/etc/network# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination
fail2ban-ssh tcp -- 0.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source ACCEPT all -- 10.0.0.0/24 REJECT all -- 10.0.0.2 unreachable ACCEPT DROP all -- 0.0.0.0/0 all -- 10.0.0.2
0.0.0.0/0
multiport dports 22
destination
Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 root@debian09:/etc/network# ping 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. 64 bytes from 10.0.3.3: icmp_req=1 ttl=64 time=6.63 ms 64 bytes from 10.0.3.3: icmp_req=2 ttl=64 time=0.135 ms 64 bytes from 10.0.3.3: icmp_req=3 ttl=64 time=0.127 ms 64 bytes from 10.0.3.3: icmp_req=4 ttl=64 time=0.138 ms 64 bytes from 10.0.3.3: icmp_req=5 ttl=64 time=0.154 ms 64 bytes from 10.0.3.3: icmp_req=6 ttl=64 time=0.131 ms 64 bytes from 10.0.3.3: icmp_req=7 ttl=64 time=0.167 ms 64 bytes from 10.0.3.3: icmp_req=8 ttl=64 time=0.157 ms 64 bytes from 10.0.3.3: icmp_req=9 ttl=64 time=0.163 ms 64 bytes from 10.0.3.3: icmp_req=10 ttl=64 time=0.129 ms 64 bytes from 10.0.3.3: icmp_req=11 ttl=64 time=0.156 ms 64 bytes from 10.0.3.3: icmp_req=12 ttl=64 time=0.125 ms 64 bytes from 10.0.3.3: icmp_req=13 ttl=64 time=0.125 ms 64 bytes from 10.0.3.3: icmp_req=14 ttl=64 time=0.117 ms 64 bytes from 10.0.3.3: icmp_req=15 ttl=64 time=0.123 ms 64 bytes from 10.0.3.3: icmp_req=16 ttl=64 time=0.133 ms 64 bytes from 10.0.3.3: icmp_req=17 ttl=64 time=0.121 ms 64 bytes from 10.0.3.3: icmp_req=18 ttl=64 time=0.145 ms 64 bytes from 10.0.3.3: icmp_req=19 ttl=64 time=0.138 ms 64 bytes from 10.0.3.3: icmp_req=20 ttl=64 time=0.135 ms ^C --- 10.0.3.3 ping statistics --20 packets transmitted, 20 received, 0% packet loss, time 18998ms rtt min/avg/max/mdev = 0.117/0.462/6.639/1.417 ms root@debian09:/etc/network# iptables if-down.d/ if-post-down.d/ if-pre-up.d/ if-up.d/ interfaces root@debian09:/etc/network# iptables -save iptables v1.4.8: no command specified Try `iptables -h' or 'iptables --help' for more information. root@debian09:/etc/network# iptables-save # Generated by iptables-save v1.4.8 on Thu Aug 25 19:46:27 2011 *filter :INPUT ACCEPT [1528:146944] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [450:72439] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A OUTPUT -s 10.0.0.0/24 -j ACCEPT -A OUTPUT -s 10.0.0.2/32 -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -d 10.0.0.0/24 -j ACCEPT -A OUTPUT -s 10.0.0.2/32 -j DROP -A fail2ban-ssh -j RETURN COMMIT # Completed on Thu Aug 25 19:46:27 2011 root@debian09:/etc/network# iptables-save > /etc/iptables.rules root@debian09:/etc/network# iptables -F root@debian09:/etc/network# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source
run/
destination
destination
Chain fail2ban-ssh (0 references) target prot opt source destination root@debian09:/etc/network# iptables-restore < /etc/iptables.rules root@debian09:/etc/network# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source ACCEPT all -- 10.0.0.0/24 REJECT all -- 10.0.0.2 unreachable ACCEPT DROP all -- 0.0.0.0/0 all -- 10.0.0.2 10.0.0.0/24 0.0.0.0/0
destination
Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- 0.0.0.0/0 0.0.0.0/0 root@debian09:/etc/network# ls if-down.d if-post-down.d if-pre-up.d if-up.d interfaces run root@debian09:/etc/network# nano interfaces root@debian09:/etc/network# ls if-down.d if-post-down.d if-pre-up.d if-up.d interfaces run root@debian09:/etc/network# vi /etc/network/if-up.d/iptablesload root@debian09:/etc/network# nano /etc/network/if-up.d/iptablesload root@debian09:/etc/network# nano /etc/network/if-up.d/iptablessave root@debian09:/etc/network# nano /etc/network/if-up.d/iptablesload root@debian09:/etc/network# ^C root@debian09:/etc/network#
clase 5 -m tipo de match que hace, puede hacerlo a uno o varios puerto sino se pone multiport se puede poner uno o varios
iptables -A INPUT -m multiport -dports 22:25 -j ACCEPT otro ejemplo: las instrucciones se pueden seguir agregando iptables -A INPUT -m multiport -dports 22:25 -j ACCEPT -s 10.0.0.0/8 -i eth0 -> de aqui en adelante se pueden poner los parmetros en orden que yo quiera acepta multipuertos segn match en un rango de puertos #iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT conntrack = conection tracking El estado de la conexin relacionados o establecidos. RELATED= icmp udp ESTABLESHED_= TCP PUEDE SER CLAVE PARA SABER QUIEN ESTA INICIANDO LA COMUNICACION, lo que estamos haciendo aqui es diciendole que me acepte paquetes establecidos, si soy yo quien me pregunta aceptame respuestas.
Mi computadora si responde pero yo no puedo hacer ping iptables -R OUTPUT 1 -d 10.0.0.0/8 -j REJECT iptables -I OUTPUT 1 -m conntrack --ctstate RELATE,ESTABLISHED -j ACCEPT PARA DESCOMPRIMIR # tar -zxvf apache.gz # dpkg -i *.deb /etc/servicess
asignaciones de puertos. less /etc/services que archivos reconoce por su nombre firewall simple http://www.pello.info/filez/IPTABLES_en_21_segundos.html
servidor web Limpiar iptables -L admitiendo conexiones iptables -A INPUT -s 10.0.0.2 -p tcp --dports 22 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j DROP iptables -A INPUT -s !10.0.0.2 -p tcp --dports 22 -j DROP iptables -A INPUT -s !10.0.0.2/31 -p tcp --dports 22 -j DROP ! todo lo que sea distinto a esto me lo bloquea aceptar peticiones de estas redes iptables -A INPUT -p tcp --dports 80 -j ACCEPT -s 10.0.1.0/24 iptables -A INPUT -p tcp --dports 80 -j ACCEPT -s 10.0.2.0/24 iptables -A INPUT -p tcp --dports 80 -j ACCEPT -s 10.0.3.0/24 iptables -A INPUT -p tcp --dports 80 -j ACCEPT -s 10.0.4.0/24 iptables -A INPUT -p icmp -j ACCEPT -s 10.0.0.0/24 si no cae en la reglas botelo iptables -A INPUT -j DROP lo que otros me piden a mi y si la conexin esta establecida permitir que las respuestas entren. iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT eliminar una linea especfica iptables -D INPUT 4
caso 3 iptables -F conexiones que no sean de este me los bota iptables -A INPUT -p tcp --dport 22 -s 10.0.0.1 -j ACCEPT iptables -A INPUT -p icmp -s 10.0.1.0/24 -j REJECT iptables -A INPUT -p icmp -s 10.0.2.0/24 -j REJECT iptables -A INPUT -p icmp -s 10.0.3.0/24 -j REJECT iptables -A INPUT -p icmp -s 10.0.4.0/24 -j REJECT
comandos usuario@debian09:~$ su Contrasea: root@debian09:/home/usuario# iptables -f iptables v1.4.8: no command specified Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -F root@debian09:/home/usuario# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 00:19:d1:3b:b5:e6 brd ff:ff:ff:ff:ff:ff root@debian09:/home/usuario# ifup eth0 Ignoring unknown interface eth0=eth0. root@debian09:/home/usuario# cd/ bash: cd/: No existe el fichero o el directorio root@debian09:/home/usuario# ls clase 3 seguridad basica linux compartir Desktop Downloads fs root@debian09:/home/usuario# less Missing filename ("less --help" for help) root@debian09:/home/usuario# less /etc/network/interfaces root@debian09:/home/usuario# nano /etc/network/interfaces root@debian09:/home/usuario# nano /etc/network/interfaces root@debian09:/home/usuario# less /etc/network/interfaces root@debian09:/home/usuario# ifup eth0 Internet Systems Consortium DHCP Client 4.1.1-P1 Copyright 2004-2010 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Listening on LPF/eth0/00:19:d1:3b:b5:e6 Sending on LPF/eth0/00:19:d1:3b:b5:e6 Sending on Socket/fallback DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7
DHCPOFFER from 192.168.1.1 DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPACK from 192.168.1.1 bound to 192.168.1.141 -- renewal in 1366 seconds. root@debian09:/home/usuario# ping -c 10 10.0.3.3 connect: Network is unreachable root@debian09:/home/usuario# ifup eth0:0 root@debian09:/home/usuario# ping -c 10 10.0.3.3 PING 10.0.3.3 (10.0.3.3) 56(84) bytes of data. 64 bytes from 10.0.3.3: icmp_req=1 ttl=64 time=3.13 ms 64 bytes from 10.0.3.3: icmp_req=2 ttl=64 time=0.131 ms 64 bytes from 10.0.3.3: icmp_req=3 ttl=64 time=0.114 ms 64 bytes from 10.0.3.3: icmp_req=4 ttl=64 time=0.137 ms 64 bytes from 10.0.3.3: icmp_req=5 ttl=64 time=0.141 ms ^C --- 10.0.3.3 ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 3998ms rtt min/avg/max/mdev = 0.114/0.730/3.130/1.200 ms root@debian09:/home/usuario# ping 10.0.0.2 PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data. ^C --- 10.0.0.2 ping statistics --10 packets transmitted, 0 received, 100% packet loss, time 9073ms root@debian09:/home/usuario# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ssh (0 references) target prot opt source destination root@debian09:/home/usuario# iptables -A OUTPUT -d 10.0.0.0/24 -j ACCEPT root@debian09:/home/usuario# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 10.0.0.0/24 Chain fail2ban-ssh (0 references) target prot opt source destination root@debian09:/home/usuario# ping 10.0.0.2 PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data. 64 bytes from 10.0.0.2: icmp_req=1 ttl=63 time=2.66 ms From 10.0.3.254: icmp_seq=2 Redirect Host(New nexthop: 10.0.0.2) 64 bytes from 10.0.0.2: icmp_req=2 ttl=63 time=2.51 ms From 10.0.3.254: icmp_seq=3 Redirect Host(New nexthop: 10.0.0.2) 64 bytes from 10.0.0.2: icmp_req=3 ttl=64 time=2.15 ms ^C --- 10.0.0.2 ping statistics --3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 2.150/2.445/2.669/0.217 ms root@debian09:/home/usuario# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 10.0.0.0/24 Chain fail2ban-ssh (0 references) target prot opt source destination root@debian09:/home/usuario# iptables -I OUTPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT root@debian09:/home/usuario# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED root@debian09:/home/usuario# -j ACCEPT bash: -j: no se encontr la orden root@debian09:/home/usuario# iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT root@debian09:/home/usuario# ^C root@debian09:/home/usuario# ^C root@debian09:/home/usuario# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:19:d1:3b:b5:e6 brd ff:ff:ff:ff:ff:ff inet 192.168.1.141/22 brd 192.168.3.255 scope global eth0 inet 10.0.3.2/24 brd 10.0.3.255 scope global eth0:0 inet6 fe80::219:d1ff:fe3b:b5e6/64 scope link valid_lft forever preferred_lft forever root@debian09:/home/usuario# apt-get -f install Leyendo lista de paquetes... Hecho Creando rbol de dependencias Leyendo la informacin de estado... Hecho Corrigiendo dependencias... Listo Se instalarn los siguientes paquetes extras: apache2.2-bin libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap Se instalarn los siguientes paquetes NUEVOS: apache2.2-bin libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap 0 actualizados, 5 se instalarn, 0 para eliminar y 25 no actualizados. 4 no instalados del todo o eliminados. Necesito descargar 1570 kB de archivos. Se utilizarn 4153 kB de espacio de disco adicional despus de esta operacin. Desea continuar [S/n]? s AVISO: No se han podido autenticar los siguientes paquetes! libapr1 libaprutil1 libaprutil1-dbd-sqlite3 libaprutil1-ldap apache2.2-bin Instalar estos paquetes sin verificacin [s/N]? s Des:1 http://debian.ues.edu.sv/debian/ squeeze/main libapr1 i386 1.4.2-6+squeeze3 [86.1 kB] Des:2 http://debian.ues.edu.sv/debian/ squeeze/main libaprutil1 i386 1.3.9+dfsg-5 [87.0 kB] Des:3 http://debian.ues.edu.sv/debian/ squeeze/main libaprutil1-dbd-sqlite3 i386 1.3.9+dfsg-5 [27.2 kB] Des:4 http://debian.ues.edu.sv/debian/ squeeze/main libaprutil1-ldap i386 1.3.9+dfsg-5 [25.3 kB] Des:5 http://debian.ues.edu.sv/debian/ squeeze/main apache2.2-bin i386 2.2.16-6+squeeze1 [1345 kB] Descargados 1570 kB en 3seg. (513 kB/s) Seleccionando el paquete libapr1 previamente no seleccionado. (Leyendo la base de datos ... 56762 ficheros o directorios instalados actualmente.) Desempaquetando libapr1 (de .../libapr1_1.4.2-6+squeeze3_i386.deb) ... Seleccionando el paquete libaprutil1 previamente no seleccionado. Desempaquetando libaprutil1 (de .../libaprutil1_1.3.9+dfsg-5_i386.deb) ... Seleccionando el paquete libaprutil1-dbd-sqlite3 previamente no seleccionado. Desempaquetando libaprutil1-dbd-sqlite3 (de .../libaprutil1-dbd-sqlite3_1.3.9+dfsg-5_i386.deb) ...
Seleccionando el paquete libaprutil1-ldap previamente no seleccionado. Desempaquetando libaprutil1-ldap (de .../libaprutil1-ldap_1.3.9+dfsg-5_i386.deb) ... Seleccionando el paquete apache2.2-bin previamente no seleccionado. Desempaquetando apache2.2-bin (de .../apache2.2-bin_2.2.16-6+squeeze1_i386.deb) ... Procesando disparadores para man-db ... Configurando libapr1 (1.4.2-6+squeeze3) ... Configurando libaprutil1 (1.3.9+dfsg-5) ... Configurando libaprutil1-dbd-sqlite3 (1.3.9+dfsg-5) ... Configurando libaprutil1-ldap (1.3.9+dfsg-5) ... Configurando apache2.2-bin (2.2.16-6+squeeze1) ... Configurando apache2-utils (2.2.16-6+squeeze1) ... Configurando apache2.2-common (2.2.16-6+squeeze1) ... Enabling site default. Enabling module alias. Enabling module autoindex. Enabling module dir. Enabling module env. Enabling module mime. Enabling module negotiation. Enabling module setenvif. Enabling module status. Enabling module auth_basic. Enabling module deflate. Enabling module authz_default. Enabling module authz_user. Enabling module authz_groupfile. Enabling module authn_file. Enabling module authz_host. Enabling module reqtimeout. Configurando apache2-mpm-worker (2.2.16-6+squeeze1) ... Starting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName . Configurando apache2 (2.2.16-6+squeeze1) ... root@debian09:/home/usuario# iptables -A INPUT -d 10.0.3.1 ACCEPT -dport 22 Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -A INPUT -d 10.0.3.1 -j ACCEPT -dport 22 iptables v1.4.8: multiple -d flags not allowed Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -A INPUT -d 10.0.3.1 -j ACCEPT -dports 22 iptables v1.4.8: multiple -d flags not allowed Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -A INPUT -d 10.0.3.1 -j ACCEPT --dports 22
iptables v1.4.8: unknown option `--dports' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -A INPUT -s 10.0.3.1 -j ACCEPT -dports 22 Bad argument `22' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario# iptables -A INPUT -s 10.0.3.1 -j ACCEPT -dports ssh Bad argument `ssh' Try `iptables -h' or 'iptables --help' for more information. root@debian09:/home/usuario#
Iptables
Identificacin de flujos de datos, segn IP de origen o destino # iptables -A OUTPUT -d 10.0.0.2 -j REJECT # iptables -A OUTPUT -d 10.0.0.0/24 -j ACCEPT # iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP # iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP # iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
Iptables
Identificacin de flujos de datos, segn protocolo: tcp, udp, icmp, sctp, esp, ah, udplite o all # iptables -A INPUT -s 10.0.0.3 -p icmp -j REJECT Identificacin de flujos de datos, segn puerto de origne o destino # iptables -A INPUT -m multiport dports 22:25 -j ACCEPT # iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Prctica
Prctica Desafo
PC 1: servidor web interno.
Admite conexiones ssh solo desde 2 y 3. La pgina web debe ser disponible solo para las redes de los 4 grupos Responde ping solo a su red y al grupo siguiente.
Admite conexiones ssh desde 1 Rechaza ping de redes de otros grupos, elimina peticiones de internet
PC 3: servidor de acceso remoto Acceso remoto con VINO exclusivamente sobre ssh Bloquea conexiones ssh desde las redes de los otros grupos
PREGUNTAS
Enrutamiento en Linux
Para permitir el flujo de paquetes entre multiples redes, es necesario lo siguiente: El origen debe conocer un dispositivo (enrutador) que lo conecte con la red destino o que tenga comunicacin con otros enrutadores. El destino debe conocer un dispositivo que permita el retorno de los paquetes. Los enrutadores deben conocer los caminos en ambas direcciones
Prctica
PREGUNTAS
NAT
Para la configuracin de NAT esttico, iptables ofrece un mecanismo de sustitucin de direcciones en el flujo de paquetes. Es importante tomar en consideracin los componentes bidireccionales de la comunicacin, por lo que la sustitucin suele hacerse tanto en el trfico entrante como en el saliente
NAT
Iptables -t nat -A PREROUTING [-i {if entrada}] -d {pblica} -j DNAT --to {privada} Iptables -t nat -A POSTROUTING [-o {if salida}] -s {privada} -j SNAT --to {pblica}
NAT
El problema del proceso anterior, es que aunque la direccin IP privada, esta protegida, el equipo estar disponible por cualquier puerto y cualquier protocolo, y depender del firewall local, todo el proceso de filtrado. Un mejor mecanismo, es proporcionar acceso unicamente a los puertos y protocolos que realmente se requieran, reduciendo la cantidad de posibles puertas a proteger o monitorear.
NAT
Iptables -t nat -A PREROUTING [-i {if entrada}] -d {pblica} -p {prot} --dport {puerto}-j DNAT --to {privada:puerto} Iptables -t nat -A POSTROUTING [-o {if salida}] -s {privada} -p {prot} --sport {puerto} -j SNAT --to {pblica}
NAT
Finalmente, el mecanismo preferido para la traduccin de direcciones en servidores, es el redireccionamiento de puertos, con lo que se puede manejar con una sola direccin IP, mltiples aplicaciones en mltiples servidores, incluso al firewall mismo
NAT
Iptables -t nat -A PREROUTING [-i {if entrada}] -d {pblica} -p {prot} --dport {puerto} -j REDIRECT --to-port {privada:puerto}
MANGLE
La tabla mangle es usada para alterar algunos campos del encabezado del paquete, tales como el TTL, TOS (tipo de servicio), o generar marcado de paquetes para filtros posteriores. iptables -t mangle {identificacion del flujo} -j TTL --ttl-set {valor} iptables -j {TOS | TTL | MARK} --help
Prctica Desafo
PC 1: Servidor web interno. Servicio VINO externo PC 2: Servidor web externo. PC 3: Firewall con NAT Escenario 1. Utilizar rango de direcciones 172.16.G.0/24 como direcciones pblicas. Firewalls vecinos debern configurar ruta esttica a dichas redes, as: route add -net 172.16.vecino.0 netmask 255.255.255.0 gw 10.0.0.vecino
Prctica Desafo
PC 1: Servidor web interno. Servicio VINO externo PC 2: Servidor web externo. PC 3: Firewall con NAT Escenario 2. Resolver el mismo caso, utilizando redireccionamiento de puertos, segn convenga.
PREGUNTAS
Squid
Squid es un servidor proxy de alto desempeo, con mltiples funcionalidades, entre las que destacan cach de objetos ftp, gopher y http. Adems, squid consiste en varios programas, tales como DNS lookup, autenticacin, administracin y herramientas de clientes. La configuracin de squid se encuentra en /etc/squid/squid.conf
Squid.conf
Al igual que muchos programas en linux, el archivo de configuracin, trae opciones por defecto, adems de comentarios con ejemplos. Para ver la configuracin activa se puede ejecutar: grep ^[^#] /etc/squid/squid.conf | less
Squid.conf
Dentro de las estructura del archivo squid.conf, se reconocern 3 partes principales: 1. acl. Listas de control de acceso. Contra ellas se comparan los paquetes de usuarios, permitiendo identificar por origen, destino, hora, entre otros.
Squid.conf
2. http_access. Asignacin de acciones a tomar (permitir o denegar) a partir de la comparacin del flujo de datos de usuarios, con acl. 3. Otras configuraciones, tales como puerto de escucha (por defecto 3128), tamao y ubicacin de cach, opciones de autenticacin, etc.
Prctica
1. respaldar configuracin original de squid.conf en old.squid.conf 2. generar un nuevo archivo squid.conf con el siguiente contenido:
# acls acl all src all acl localnet src [red local / mascara] # acciones http_access allow localnet http_access deny all # configuracion general http_port 3128
Personalizacin de mensajes
Los mensajes de error proporcionado por squid por defecto se presentarn en el idioma del sistema, pero es posible modificar el idioma, e incluso en contenido, de la siguiente manera: error_directory /usr/share/squid-langpack/es-sv
PREGUNTAS
Squid. Transparente
La configuracin estndar de squid, requiere que el navegador cliente est configurado para utilizar dicho servidor. Esta informacin debe ser proporcionada de manera manual, ya que el servicio de dhcp no cuenta con opcin para ello. Una mejor forma de configurar squid, es de manera transparente para el usuario, es decir, sin configuraciones extra en el o los navegadores.
Squid. Transparente
Para que squid pueda trabajar de manera transparente al usuario se necesitan 3 configuraciones: 1. Squid. /etc/squid/squid.conf http_port [ip serv:puerto] transparent 2. Enrutamiento. /etc/sysctl.conf net.ipv4.ip_forward=1 3. Iptables. Redireccionar el trfico iptables -t nat -A PREROUTING -s [red local] -p tcp --dport 80 -j DNAT --to [ip serv:puerto] Iptables -t nat -A POSTROUTING -s [red local] -j MASQUERADE
Monitoreo de squid
Las bitcoras de eventos de squid, como muchos programas, se almacenan en /var/log. Para visualizar en tiempo real las solicitudes procesadas por squid se puede ejecutar el comando tail -f /var/log/squid/access.log
Monitoreo de squid
Otras herramientas utiles para el monitoreo de squid son squidtaild y squidview. Ambos programas leen los log de squid y permiten realizar filtrados y generar reportes de la informacin del programa
Firewall Personal
La configuracin de firewall personal, para estaciones finales de usuarios, resulta extremadamente simple con iptables, si se considera que dichos equipos no contienen aplicaciones o servicios para otros: iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -P INPUT DROP
PREGUNTAS