Instituto Tecnolgico de Costa Rica

Escuela de Computacin Ingeniera en Computacin

PROYECTO FINAL
Profesor: MsC. Jos Stradi Granados Grupo: 001 (005) Integrantes: Integrantes: Cristian Angulo Carol Guilln Alberto Jimnez

Asignatura: Redes Locales

Fecha Fecha de Entrega: 14 de Junio de 2011 2011

___________________________________________________________________________ Proyecto Final Redes Locales

Contenido

Introduccin ............................................................................................................................ 2 Descripcin del problema ....................................................................................................... 4 Diseo de la solucin planteada ............................................................................................. 6 Configuracin del router 1.................................................................................................. 6 Configuracin del router 2.................................................................................................. 8 Configuracin del router 3................................................................................................ 10 Configuracin del firewall ................................................................................................ 12 Pasos configuracin firewall: ....................................................................................... 12 Pasos en el servidor de servicios: ................................................................................. 12 Interfaces firewall: ........................................................................................................ 13 Interfaces servidor: ....................................................................................................... 13 Script para los IPtables en el firewall: .......................................................................... 13 Configuracin del servidor proxy ..................................................................................... 15 Conclusiones......................................................................................................................... 23 Estado del proyecto ...................................................................................................... 23 Recomendaciones ......................................................................................................... 24 Asignacin del trabajo .................................................................................................. 24 Bibliografa ........................................................................................................................... 25

___________________________________________________________________________ Proyecto Final Redes Locales

Introduccin
La seguridad requiere no slo de un adecuado sistema de proteccin interno, sino tambin tener en cuenta el entorno externo (red) dentro del que opera el sistema. Desafortunadamente, no es posible conseguir una seguridad total; a pesar de ello, debemos prever mecanismos para que los fallos de seguridad constituyan la excepcin en lugar de la norma. Dentro de los mecanismos de proteccin en el entorno de red podemos mencionar las listas de acceso, el firewall, los servidores proxy, el trfico cifrado y los IPtables, los cuales se implementan de cierta forma u otro en los equipos de red para asegurar que se cumplan las polticas de seguridad establecidas.

En este ltimo proyecto, implementamos lo aprendido en los dos proyectos anteriores simulando un entorno real donde hay dos subredes internas con direcciones privadas que para salir a Internet deben ser nateadas a un firewall que adelanta el trfico de acuerdo a las reglas definidas en el documento. Tambin, implementamos el protocolo IPSEC para encriptar el trfico entre los routers de permetro y en la otra subred, se implement un servidor proxy.

Con este documento, presentamos las configuraciones hechas en los routers, en el firewall y en el proxy para la realizacin de este proyecto.

A continuacin, nuestro trabajo.

___________________________________________________________________________ Proyecto Final Redes Locales

IP TABLES

Definicin de IP Tables
IPtables es un sistema de firewall vinculado al kernel de Linux. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programacin (aunque ha tenido alguna vulnerabilidad que permite DoS) Realmente lo que se hace es aplicar reglas, para eso, se ejecuta el comando iptables, con el que aadimos, borramos, o creamos reglas. Por sta razn, un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall. IPtables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre IPtables se utiliza frecuentemente de forma errnea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de IPtables tales como el connection tracking system o sistema de seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde espacio de usuario. IPtables permite al administrador del sistema definir reglas acerca de qu hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla est asociada con un tipo diferente de procesamiento de paquetes. Cada regla especifica qu paquetes la cumplen (match) y un destino que indica qu hacer con el paquete si ste cumple la regla.

___________________________________________________________________________ Proyecto Final Redes Locales

del Descripcin del problema

Implantar la red definida en el siguiente diagrama. El servidor de la subred 172.17.20.0/24 ser el instalado en el primer proyecto del curso.

En un servidor adicional se debe habilitar un "firewall" por medio de "iptables". Se debe incluir en el enrutador de la subred 172.17.20.0/24 un NAT que enve todo el trfico al "firewall", quin adelantar el trfico conforme a las reglas indicadas ms adelante.

El "gateway" de la subred 172.17.20.0/24 ser el IP del servidor con el "firewall" activo.

Establecer un tnel IPSEC entre los enrutadores de permetro de las dos LANs, que encripte todo el trfico que pase entre stas. Las caractersticas son las siguientes:

protocolo de autenticacin SHA-1, protocolo de codificacin AES, Diffie Hellman 5, tiempo de vida 86400 segundos.

Se debe implantar EIGRP entre los enrutadores y el sistema autnomo asignado es el 100.

En una estacin cliente Ubuntu (DeskTop) en la subred 172.16.10.0/24 se deben tener instalados un explorador de Internet, un cliente FTP, y un cliente SSH.

En la red 172.16.10.0/24 en un equipo diferente a la estacin se debe instalar un servicio Proxy SQUID para el trfico HTTP que salga de la otra estacin.

Las reglas a implantar en el "firewall" son las siguientes:

___________________________________________________________________________ Proyecto Final Redes Locales

permitir trfico HTTP cuya direccin IP origen corresponde al servidor PROXY de la red 172.16.10.0/24 permitir trfico SSH y FTP de la direccin IP de las estaciones que estn en el bloque 172.16.10.0/28 Todo otro trfico entrante a la red debe ser bloqueado.

Las listas de control de acceso a implantar en el servidor proxy son las siguientes: El trfico HTTP solo debe ser permitido en el horario hbil de Lunes a Viernes de 8 am. a 5 pm. El trfico debe provenir de la subred 172.16.10.128/25. Todo trfico que posea un URL que contenga la subhilera "facebook" debe ser bloqueado.

___________________________________________________________________________ Proyecto Final Redes Locales

Diseo de lla solucin planteada a

Para el diseo de la solucin al problema planteado, se realiz inicialmente una simulacin en el software Cisco Packet Tracer y despus, se hizo lo propio con los equipos del laboratorio de redes, frica. Luego de esto, se inici la configuracin del servidor del firewall, que se deba aadir a la subred 171.17.20.0/24 junto con el servidor Ubuntu del proyecto I. A la par, se realiz la configuracin del servidor proxy de la subred 172.16.10.0, para lo cual se utiliz el software Squid Proxy Server.

Configuracin del router 1

! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! ! ! ! no ip domain-lookup ! ! 6

___________________________________________________________________________ Proyecto Final Redes Locales

! ! ! ! crypto isakmp policy 1 encr aes authentication pre-share group 5 crypto isakmp key redes address 200.60.11.2 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set redes ah-sha-hmac esp-aes ! crypto map Mapa 1 ipsec-isakmp set peer 200.60.11.2 set transform-set redes set pfs group5 match address 101 ! ! ! interface FastEthernet0/0 ip address 172.17.20.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto no shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.10.1 255.255.255.252 ip nat outside ip virtual-reassembly crypto map Mapa no shutdown ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 7

___________________________________________________________________________ Proyecto Final Redes Locales

! router eigrp 100 network 172.17.20.0 0.0.0.255 network 200.60.10.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ip nat pool bloqueNat 200.60.10.1 200.60.10.1 netmask 255.255.255.255 ip nat inside source list 30 pool bloqueNat overload ip nat inside source static 172.17.20.2 200.60.10.1 ! access-list 30 permit 172.17.20.0 0.0.0.255 access-list 101 permit ip 172.17.20.0 0.0.0.255 172.16.10.0 0.0.0.255 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end

Configuracin del router 2

! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router2 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! mmi polling-interval 60

___________________________________________________________________________ Proyecto Final Redes Locales

no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.10.2 255.255.255.252 clock rate 2000000 no fair-queue ip virtual-reassembly no shutdown ! interface Serial0/0/1 ip address 200.60.11.1 255.255.255.252 clock rate 2000000 no fair-queue ip virtual-reassembly no shutdown ! router eigrp 100 network 200.60.10.0 0.0.0.3 9

___________________________________________________________________________ Proyecto Final Redes Locales

network 200.60.11.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end

Configuracin del router 3

! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router3 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! !

10

___________________________________________________________________________ Proyecto Final Redes Locales

! ! ! no ip domain-lookup ! ! ! ! ! ! crypto isakmp policy 1 encr aes authentication pre-share group 5 crypto isakmp key redes address 200.60.10.1 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set redes ah-sha-hmac esp-aes ! crypto map Mapa 1 ipsec-isakmp set peer 200.60.10.1 set transform-set redes set pfs group5 match address 101 ! ! ! interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0 duplex auto speed auto ip virtual-reassembly no shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.11.2 255.255.255.252 crypto map Mapa ip virtual-reassembly no shutdown ! 11

___________________________________________________________________________ Proyecto Final Redes Locales

interface Serial0/0/1 no ip address shutdown ! router eigrp 100 network 172.16.10.0 0.0.0.255 network 200.60.11.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ! access-list 101 permit ip 172.16.10.0 0.0.0.255 172.17.20.0 0.0.0.255 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end

Configuracin del firewall

Pasos configuracin firewall: - Asignar una direccion ip esttica al firewall utilizando el archivo /etc/network/interfaces. - Creamos un script para configurar iptables en la ruta /etc/init.d con el comando sudo gedit /etc/init.d/firewall, agregamos el contenido y luego guardamos el archivo. - Ejecutamos update-rc.d con el comando sudo update-rc.d -f firewall defaults. Pasos en el servidor de servicios: - Cambiar la direccion del gateway por la del Firewall (172.17.20.2) en el archivo /etc/network/interfaces. 12

___________________________________________________________________________ Proyecto Final Redes Locales

Interfaces firewall: auto lo iface lo inet loopback

auto eth0 iface eth0 inet static address 172.17.20.2 netmask 255.255.255.0 gateway 172.17.20.1 broadcast 172.17.20.255

Interfaces servidor: auto lo iface lo inet loopback

auto eth0 iface eth0 inet static address 172.17.20.5 netmask 255.255.255.0 gateway 172.17.20.2 broadcast 172.17.20.255

Script para los IPtables en el firewall: #!/bin/sh ## SCRIPT para IPTABLES para el proyecto de Redes del ITCR ## Cristian Angulo, Carol Guillen, Alberto Jimenez

13

___________________________________________________________________________ Proyecto Final Redes Locales

echo -n "Se agregaran las reglas del firewall\n" ## Se eliminan todas las reglas iptables -F iptables -X iptables -Z iptables -t nat -F

## Establecemos poltica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT

## Empezamos a filtrar # Se permiten las conexiones de localhost iptables -A INPUT -i lo -j ACCEPT

# Los paquetes de los servicios requeridos se adelantan al servidor 172.17.20.5 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.5 iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.0/28 iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.0/28 iptables -t nat -A POSTROUTING -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras mquinas puedan salir a traves del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward echo -n "OK . Verifique que lo que se aplica con: iptables L -n\n"

# Fin del script

14

___________________________________________________________________________ Proyecto Final Redes Locales

Configuracin del servidor proxy

Para esta seccin, utilizamos la herramienta Squid - Proxy Server Squid es un servidor intermediario (proxy) de alto desempeo que provee servicios de proxy y cach de contenido de red para HTTP, FTP, y otros populares protocolos de red. Squid puede implementar Proxy de SSL, cach transparente, WWCP, aceleracin HTTP, cach de consultas DNS y otras muchas ms como filtracin de contenido y control de acceso por IP y por usuario. Squid tambin soporta una amplia variedad de protocolos de cach, como el ICP (Internet Cache Protocol), HTCP (Hyper Text Caching Protocol) y el CARP (Cache Array Routing Protocol).

Descargamos el paquete con sudo apt-get install squid

Para modificar/configurar Squid utilizamos la aplicacin web "Webmin", que nos provee una manera fcil y cmoda de configuracin. "Webmin" no se encuentra dentro del repositorio de descargas de Ubuntu, por eso se tiene que descargar desde su pgina oficial, la versin debian, en nuestro caso, webmin_1.550_all.deb.

Una vez instalado procedemos con los siguientes pasos:

Fig. 1. Ir a la direccin https: localhost en el puerto 10000

15

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 2. Nos logueamos y vamos a Servers/Squid Proxy Servers

Fig. 3. Seleccionamos Acces Control para establecer las ACL's

16

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 4. Creamos la ACL de horario

Fig. 5. Configuramos como se ve en la figura, luego aceptamos

17

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 6. Seleccionamos ACL para restringir direcciones

Fig. 7. Seleccionamos la subred que se ve y despus la permitiremos

Fig. 8. Crearemos una ACL para una expresin regular

18

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 9. Colocamos la expresin facebook esto se utilizar en las urls

19

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 10. Nos vamos a la cejilla "Proxy restrictions"

Fig. 11. Seleccionamos nuestras ACL de horario y local y las permitimos y denegamos la ACL con la expresin regular facebook

20

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 12. Finalmente comprobaremos que efectivamente se modifica el archivo squid.conf

Fig. 13. El puerto por defecto para el proxy es 3128 es uno no muy usual por lo tanto agregaremos uno nuevo en "ports and networking"

21

___________________________________________________________________________ Proyecto Final Redes Locales

Fig. 14. Establecemos el puerto 8080 para que se pueda utilizar desde este puerto

Seguidamente configuraremos los navegadores asignndoles la direccin de nuestro proxy con el puerto 8080

22

___________________________________________________________________________ Proyecto Final Redes Locales

Conclusiones Conclusiones
La seguridad de la red es una consideracin primaria en cualquier decisin de crear un sistema de red cuando las amenazas a la misma se hacen ms extendidas y persistentes cada da. Una forma de proveer la proteccin adicional es invertir dinero en un cortafuegos o firewall. Utilizar IPtables presente en la mayora de las distribuciones de Linux - genera poco o ningn gasto adicional; por lo que es posible implementar un firewall para proteger cualquier red de accesos indeseados con pocos recursos econmicos.

Es importante conocer bien el ambiente en el cual se va a trabajar para no tener que repetir el trabajo debido a una mala implementacin al inicio.

La configuracin de la red no present mayor problema.

Estado del proyecto A continuacin una tabla que muestra el estado del proyecto: Con una evaluacin de la siguiente forma: No realizado Implementado sin xito Implementado con xito

Protocolo/Servicio NAT IPSEC EIGRP FIREWALL Proxy SQUID

Estado Implementado con xito Implementado con xito Implementado con xito Implementado con xito Implementado con xito

Descripcin ------

23

___________________________________________________________________________ Proyecto Final Redes Locales

SSH Configuracin de subredes Configuracin dispositivos de red

Implementado con xito Implementado con xito Implementado con xito

----

Los resultados mostrados anteriormente fueron tomados en base a las pruebas realizadas en el laboratorio frica, previas a la revisin.

Recomendaciones

Utilizar el entorno de simulacin Cisco Packet Tracer para hacer pruebas de configuraciones antes de probarlas en el equipo fsico de la red. Conocer bien el ambiente en el cual se va a trabajar, y los recursos presentes en el mismo, para no tener que repetir el trabajo debido a una mala implementacin al inicio Cuando estemos dudosos en algn paso lo conveniente sera no hacer las cosas al azar pues podemos desconfigurar otras opciones. La realizacin constante de pruebas es de suma importancia en el desarrollo de este tipo de proyectos, pues permite identificar los errores de manera ms sencilla. Se recomienda para cada nueva implementacin realizar su respectiva prueba. Se recomienda consultar con personas que tengan experiencia montando servicios, pues as de una manera muy sencilla nos podemos ahorrar muchas horas de investigacin

Asignacin del trabajo El trabajo esta vez fue realizado en forma conjunta, las investigaciones fueron realizadas conforme surga la necesidad.

24

___________________________________________________________________________ Proyecto Final Redes Locales

Bibliografa ibliografa
http://es.wikipedia.org/wiki/Netfilter/iptables http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_ Firewalls_Using_iptables http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf

25