Escolar Documentos
Profissional Documentos
Cultura Documentos
PROYECTO FINAL
Profesor: MsC. Jos Stradi Granados Grupo: 001 (005) Integrantes: Integrantes: Cristian Angulo Carol Guilln Alberto Jimnez
Contenido
Introduccin ............................................................................................................................ 2 Descripcin del problema ....................................................................................................... 4 Diseo de la solucin planteada ............................................................................................. 6 Configuracin del router 1.................................................................................................. 6 Configuracin del router 2.................................................................................................. 8 Configuracin del router 3................................................................................................ 10 Configuracin del firewall ................................................................................................ 12 Pasos configuracin firewall: ....................................................................................... 12 Pasos en el servidor de servicios: ................................................................................. 12 Interfaces firewall: ........................................................................................................ 13 Interfaces servidor: ....................................................................................................... 13 Script para los IPtables en el firewall: .......................................................................... 13 Configuracin del servidor proxy ..................................................................................... 15 Conclusiones......................................................................................................................... 23 Estado del proyecto ...................................................................................................... 23 Recomendaciones ......................................................................................................... 24 Asignacin del trabajo .................................................................................................. 24 Bibliografa ........................................................................................................................... 25
Introduccin
La seguridad requiere no slo de un adecuado sistema de proteccin interno, sino tambin tener en cuenta el entorno externo (red) dentro del que opera el sistema. Desafortunadamente, no es posible conseguir una seguridad total; a pesar de ello, debemos prever mecanismos para que los fallos de seguridad constituyan la excepcin en lugar de la norma. Dentro de los mecanismos de proteccin en el entorno de red podemos mencionar las listas de acceso, el firewall, los servidores proxy, el trfico cifrado y los IPtables, los cuales se implementan de cierta forma u otro en los equipos de red para asegurar que se cumplan las polticas de seguridad establecidas.
En este ltimo proyecto, implementamos lo aprendido en los dos proyectos anteriores simulando un entorno real donde hay dos subredes internas con direcciones privadas que para salir a Internet deben ser nateadas a un firewall que adelanta el trfico de acuerdo a las reglas definidas en el documento. Tambin, implementamos el protocolo IPSEC para encriptar el trfico entre los routers de permetro y en la otra subred, se implement un servidor proxy.
Con este documento, presentamos las configuraciones hechas en los routers, en el firewall y en el proxy para la realizacin de este proyecto.
IP TABLES
Definicin de IP Tables
IPtables es un sistema de firewall vinculado al kernel de Linux. Al igual que el anterior sistema ipchains, un firewall de iptables no es como un servidor que lo iniciamos o detenemos o que se pueda caer por un error de programacin (aunque ha tenido alguna vulnerabilidad que permite DoS) Realmente lo que se hace es aplicar reglas, para eso, se ejecuta el comando iptables, con el que aadimos, borramos, o creamos reglas. Por sta razn, un firewall de iptables no es sino un simple script de shell en el que se van ejecutando las reglas de firewall. IPtables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir polticas de filtrado del trfico que circula por la red. El nombre IPtables se utiliza frecuentemente de forma errnea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de IPtables tales como el connection tracking system o sistema de seguimiento de conexiones, que permite encolar paquetes para que sean tratados desde espacio de usuario. IPtables permite al administrador del sistema definir reglas acerca de qu hacer con los paquetes de red. Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla est asociada con un tipo diferente de procesamiento de paquetes. Cada regla especifica qu paquetes la cumplen (match) y un destino que indica qu hacer con el paquete si ste cumple la regla.
En un servidor adicional se debe habilitar un "firewall" por medio de "iptables". Se debe incluir en el enrutador de la subred 172.17.20.0/24 un NAT que enve todo el trfico al "firewall", quin adelantar el trfico conforme a las reglas indicadas ms adelante.
Establecer un tnel IPSEC entre los enrutadores de permetro de las dos LANs, que encripte todo el trfico que pase entre stas. Las caractersticas son las siguientes:
protocolo de autenticacin SHA-1, protocolo de codificacin AES, Diffie Hellman 5, tiempo de vida 86400 segundos.
Se debe implantar EIGRP entre los enrutadores y el sistema autnomo asignado es el 100.
En una estacin cliente Ubuntu (DeskTop) en la subred 172.16.10.0/24 se deben tener instalados un explorador de Internet, un cliente FTP, y un cliente SSH.
En la red 172.16.10.0/24 en un equipo diferente a la estacin se debe instalar un servicio Proxy SQUID para el trfico HTTP que salga de la otra estacin.
permitir trfico HTTP cuya direccin IP origen corresponde al servidor PROXY de la red 172.16.10.0/24 permitir trfico SSH y FTP de la direccin IP de las estaciones que estn en el bloque 172.16.10.0/28 Todo otro trfico entrante a la red debe ser bloqueado.
Las listas de control de acceso a implantar en el servidor proxy son las siguientes: El trfico HTTP solo debe ser permitido en el horario hbil de Lunes a Viernes de 8 am. a 5 pm. El trfico debe provenir de la subred 172.16.10.128/25. Todo trfico que posea un URL que contenga la subhilera "facebook" debe ser bloqueado.
! ! ! ! crypto isakmp policy 1 encr aes authentication pre-share group 5 crypto isakmp key redes address 200.60.11.2 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set redes ah-sha-hmac esp-aes ! crypto map Mapa 1 ipsec-isakmp set peer 200.60.11.2 set transform-set redes set pfs group5 match address 101 ! ! ! interface FastEthernet0/0 ip address 172.17.20.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto no shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.10.1 255.255.255.252 ip nat outside ip virtual-reassembly crypto map Mapa no shutdown ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 7
! router eigrp 100 network 172.17.20.0 0.0.0.255 network 200.60.10.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ip nat pool bloqueNat 200.60.10.1 200.60.10.1 netmask 255.255.255.255 ip nat inside source list 30 pool bloqueNat overload ip nat inside source static 172.17.20.2 200.60.10.1 ! access-list 30 permit 172.17.20.0 0.0.0.255 access-list 101 permit ip 172.17.20.0 0.0.0.255 172.16.10.0 0.0.0.255 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end
no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! ! ! ! no ip domain-lookup ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.10.2 255.255.255.252 clock rate 2000000 no fair-queue ip virtual-reassembly no shutdown ! interface Serial0/0/1 ip address 200.60.11.1 255.255.255.252 clock rate 2000000 no fair-queue ip virtual-reassembly no shutdown ! router eigrp 100 network 200.60.10.0 0.0.0.3 9
network 200.60.11.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end
10
! ! ! no ip domain-lookup ! ! ! ! ! ! crypto isakmp policy 1 encr aes authentication pre-share group 5 crypto isakmp key redes address 200.60.10.1 ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set redes ah-sha-hmac esp-aes ! crypto map Mapa 1 ipsec-isakmp set peer 200.60.10.1 set transform-set redes set pfs group5 match address 101 ! ! ! interface FastEthernet0/0 ip address 172.16.10.1 255.255.255.0 duplex auto speed auto ip virtual-reassembly no shutdown ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 200.60.11.2 255.255.255.252 crypto map Mapa ip virtual-reassembly no shutdown ! 11
interface Serial0/0/1 no ip address shutdown ! router eigrp 100 network 172.16.10.0 0.0.0.255 network 200.60.11.0 0.0.0.3 no auto-summary ! ip classless ! ip http server no ip http secure-server ! access-list 101 permit ip 172.16.10.0 0.0.0.255 172.17.20.0 0.0.0.255 ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! end
auto eth0 iface eth0 inet static address 172.17.20.2 netmask 255.255.255.0 gateway 172.17.20.1 broadcast 172.17.20.255
auto eth0 iface eth0 inet static address 172.17.20.5 netmask 255.255.255.0 gateway 172.17.20.2 broadcast 172.17.20.255
Script para los IPtables en el firewall: #!/bin/sh ## SCRIPT para IPTABLES para el proyecto de Redes del ITCR ## Cristian Angulo, Carol Guillen, Alberto Jimenez
13
echo -n "Se agregaran las reglas del firewall\n" ## Se eliminan todas las reglas iptables -F iptables -X iptables -Z iptables -t nat -F
## Establecemos poltica por defecto iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
# Los paquetes de los servicios requeridos se adelantan al servidor 172.17.20.5 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.5 iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.0/28 iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination 172.17.20.5 -s 172.16.10.0/28 iptables -t nat -A POSTROUTING -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras mquinas puedan salir a traves del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward echo -n "OK . Verifique que lo que se aplica con: iptables L -n\n"
14
Para modificar/configurar Squid utilizamos la aplicacin web "Webmin", que nos provee una manera fcil y cmoda de configuracin. "Webmin" no se encuentra dentro del repositorio de descargas de Ubuntu, por eso se tiene que descargar desde su pgina oficial, la versin debian, en nuestro caso, webmin_1.550_all.deb.
15
16
17
18
19
Fig. 11. Seleccionamos nuestras ACL de horario y local y las permitimos y denegamos la ACL con la expresin regular facebook
20
Fig. 13. El puerto por defecto para el proxy es 3128 es uno no muy usual por lo tanto agregaremos uno nuevo en "ports and networking"
21
Fig. 14. Establecemos el puerto 8080 para que se pueda utilizar desde este puerto
Seguidamente configuraremos los navegadores asignndoles la direccin de nuestro proxy con el puerto 8080
22
Conclusiones Conclusiones
La seguridad de la red es una consideracin primaria en cualquier decisin de crear un sistema de red cuando las amenazas a la misma se hacen ms extendidas y persistentes cada da. Una forma de proveer la proteccin adicional es invertir dinero en un cortafuegos o firewall. Utilizar IPtables presente en la mayora de las distribuciones de Linux - genera poco o ningn gasto adicional; por lo que es posible implementar un firewall para proteger cualquier red de accesos indeseados con pocos recursos econmicos.
Es importante conocer bien el ambiente en el cual se va a trabajar para no tener que repetir el trabajo debido a una mala implementacin al inicio.
Estado del proyecto A continuacin una tabla que muestra el estado del proyecto: Con una evaluacin de la siguiente forma: No realizado Implementado sin xito Implementado con xito
Estado Implementado con xito Implementado con xito Implementado con xito Implementado con xito Implementado con xito
Descripcin ------
23
----
Los resultados mostrados anteriormente fueron tomados en base a las pruebas realizadas en el laboratorio frica, previas a la revisin.
Recomendaciones
Utilizar el entorno de simulacin Cisco Packet Tracer para hacer pruebas de configuraciones antes de probarlas en el equipo fsico de la red. Conocer bien el ambiente en el cual se va a trabajar, y los recursos presentes en el mismo, para no tener que repetir el trabajo debido a una mala implementacin al inicio Cuando estemos dudosos en algn paso lo conveniente sera no hacer las cosas al azar pues podemos desconfigurar otras opciones. La realizacin constante de pruebas es de suma importancia en el desarrollo de este tipo de proyectos, pues permite identificar los errores de manera ms sencilla. Se recomienda para cada nueva implementacin realizar su respectiva prueba. Se recomienda consultar con personas que tengan experiencia montando servicios, pues as de una manera muy sencilla nos podemos ahorrar muchas horas de investigacin
Asignacin del trabajo El trabajo esta vez fue realizado en forma conjunta, las investigaciones fueron realizadas conforme surga la necesidad.
24
Bibliografa ibliografa
http://es.wikipedia.org/wiki/Netfilter/iptables http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_ Firewalls_Using_iptables http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf
25