Professional Documents
Culture Documents
Equipos y Materiales:
TAREAS PRÁCTICAS:
Operación:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Para esta operación, se implementará un laboratorio de prueba para realizar una
demostración de un ataque controlado a la seguridad en una empresa.
Este laboratorio necesitará los siguientes requerimientos:
1. Máquina virtual con el sistema operativo Kali.
2. Máquina virtual con Servidor para pruebas.
Kali Linux es la nueva generación de la distribución Linux BackTrack, la cual se
utiliza para realizar Auditorías de Seguridad y Pruebas de Penetración.
Kali Linux está basada en GNU/Linux Debian y contiene una gran cantidad de
herramientas para capturar información, identificar vulnerabilidades, explotarlas,
escalar privilegios y cubrir las huellas.
Kali Linux es utilizado para realizar Pruebas de Penetración.
2. Análisis de vulnerabilidad:
BBQSQL Greenbone openvas-
Security scanner
BED
Assistant Oscanner
cisco-auditing-
GSD
tool Powerfuzzer
HexorBase
cisco-global- sfuzz
exploiter Inguma SidGuesser
cisco-ocs jSQL SIPArmyKnife
cisco-torch Lynis
sqlmap
copy-router- Nmap Sqlninja
config ohrwurm sqlsus
DBPwAudit openvas-
THC-IPV6
Doona administrator
tnscmd10g
DotDotPwn openvas-cli
unix-privesc-
openvas- check
manager
Yersinia
4. Aplicaciones WEB:
apache-users joomscan ua-tester
Arachni jSQL Uniscan
BBQSQL Maltego Teeth Vega
BlindElephant PadBuster w3af
Burp Suite Paros WebScarab
CutyCapt Parsero Webshag
DAVTest plecost WebSlayer
deblaze Powerfuzzer WebSploit
DIRB ProxyStrike Wfuzz
DirBuster Recon-ng WPScan
fimap Skipfish XSSer
FunkLoad sqlmap zaproxy
Grabber Sqlninja
jboss-autopwn sqlsus
5. Herramientas de explotación:
Armitage cisco-ocs SET
Backdoor cisco-torch ShellNoob
Factory Commix sqlmap
BeEF crackle THC-IPV6
cisco-auditing- jboss-autopwn Yersinia
tool
Linux Exploit
cisco-global- Suggester
exploiter
Maltego Teeth
Nmap es un
programa de código
abierto que es
utilizado para efectuar
rastreo de puertos en
un servidor.
Donde:
El objetivo puede ser indicado por nombres de dominio, direcciones IP, redes,
etc.
Las opciones más básicas se encuentran en el siguiente cuadro:
Opción. Acción.
Lee una lista de nombres de
-iL <archivo_entrada>
dominio/redes del archivo.
Selecciona objetivos al azar.
-iR <número de sistemas>
Excluye ciertos sistemas o redes
--exclude <sist1[,sist2][,sist3],...>
Excluye los sistemas indicados en un
--excludefile <fichero_exclusión>
archivo.
Instalación de Kali:
Kali Linux puede ser instalado como cualquier distribución GNU/Linux, puede ser
también instalado en una unidad USB, o instalado en un disco cifrado.
Para realizar la instalación de esta distribución, tenga presente los siguientes
pasos:
1. Descargue el archivo ISO de la dirección:
http://www.kali.org/downloads/
Al crear la máquina
virtual, indicará que luego
instalará el sistema
operativo.
Indicará la ruta en la
que se encuentra la
imagen ISO.
Indicará la cantidad de
memoria en la máquina
virtual.
Seleccionará el
idioma en el que se
instalará Kali.
15. Aparecerá una advertencia con respecto al uso del idioma, haga clic en
“Continuar”:
Seleccionará la ubicación
para que el sistema pueda
fijar correctamente la zona
horaria.
20. Primero ingresará la dirección IP, con la máscara, por ejemplo en este
caso colocará la dirección: 192.168.1.20/24:
22. Ahora debe ingresar las direcciones IP de los servidores DNS de la red
de datos:
Se creará la tabla de
particionamiento, la cual en
este caso tendrá tres
particiones.
Desde el menú de
aplicaciones podrá
apreciar los diversos
programas que se
incluyeron en la
instalación.
El procedimiento es el siguiente:
1. Puede descargar Metasploitable 2 desde el sitio:
http://sourceforge.net/projects/metasploitable/files/Metasploitable2/.
2. Descomprimirá el archivo descargado.
3. Se ingresará a la máquina virtual.
4. Ingresará la cuenta de usuario: msfadmin.
5. Contraseña: msfadmin.
Podrá verificar la
configuración de red
ingresada en el
sistema durante la
instalación:
Hosts.
Services.
Use exploit/unix/ftp/vsftpd_234_backdoor
Y también: show options:
22. Se nos indica en las opciones, que RHOST es requerido, para ello utilizará
el siguiente comando:
Set RHOST 192.168.1.40
24. Ahora, ingrese el comando ls y podrá listar los directorios del servidor FTP
e ingresar luego a alguno de ellos y hasta borrar datos o modificarlos:
Operación:
Informes de problemas de seguridad encontrados en la red de datos de la
empresa:
En esta operación, el alumno debe realizar un informe sobre los problemas
relacionados con la seguridad de la información en la empresa en la cual realizan
la complementación de sus estudios prácticos, en caso que no sea posible, se
realizará el informe sobre la seguridad del centro de estudios o de lo indicado
por el instructor.
FUNDAMENTO TEÓRICO:
Operación:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Existen diferentes puntos vulnerables en una red de datos, lo cual dependerá de
los servicios que se presten a los usuarios.
En este sentido aparece el concepto de “superficie de ataque del sistema” que
es el subconjunto de los recursos del sistema que un atacante puede utilizar para
perpetrar el ataque. Un atacante puede utilizar los puntos de entrada, los puntos
de salida, canales, y elementos de datos no confiables para enviar (recibir) los
datos en (de) el sistema para realizar el ataque (Manadhata, 2008).
Según Amaya Calvo, en informática, ‘superficie de ataque’ o ‘attack surface’ es
un concepto que refleja la exposición que un sistema tiene ante amenazas.
Podemos definir la ’superficie de ataque’ como la parte del sistema que está
sujeta a interacciones con usuarios sin autenticar.
El ataque informático puede realizarse desde diferentes frentes y consiste en
aprovechar algunas debilidades o fallas en el software, en el hardware, así como
debilidades en las personas que forman parte del sistema, a fin de obtener un
beneficio, comúnmente de tipo económico, causando un efecto negativo en la
seguridad del sistema, que puede generar pérdidas importantes en la
organización.
b. Ataques de acceso:
Los hackers utilizan estos tipos de ataques en las redes o sistemas
por diversas razones, como por ejemplo, para obtener datos, para
ganar acceso y para escalar privilegios de acceso y así poder robar
información muy valiosa.
Desbordamiento de buffer: El
programa escribe datos más allá
de la memoria de buffer permitida.
Los desbordamientos de buffer
surgen generalmente como
consecuencia de un error en un
programa generado en lenguaje
C, C++, etc. Un resultado del
desbordamiento es que los datos
válidos se sobre escriben para
permitir la ejecución de código malicioso.
Ataque Smurf
Inundación TCP/SYN
ISP y Firewalls.
Tecnologías para evitar las falsificaciones.
Implementar Calidad de Servicio.
Operación:
Presentar un informe detallado de los problemas de seguridad encontrados
en la red de datos de la empresa.
Actualmente, en las empresas es vital que se tenga un gran cuidado con la
seguridad de la información, por lo tanto existen algunas normas que podrían
ayudar a obtener un óptimo nivel de seguridad.
En las empresas medianas y grandes se utiliza la familia de normas
internacionales ISO 27000.
Como se puede apreciar en la imagen siguiente, hay varias normas en la familia
ISO 27000:
Con respecto a las buenas prácticas en las empresas para contribuir con
la seguridad de la información, se pueden rescatar las siguientes
procedimientos:
o Copias de seguridad, siendo el lugar donde se guardan
comúnmente estas copias, en soporte físico (CDs, DVDs, etc.) en
la propia empresa.
o Actualización de programas y sistemas, siendo la actualización
automática la más utilizada.
o Medidas de control de acceso a equipos y documentos, utilizando
acceso por contraseñas y mediante otros sistemas (DNI
electrónico, tarjeta inteligentes, biometría, etc.).
o Buenas prácticas en dispositivos móviles.
o Buenas prácticas para los empleados, de tal forma que el acceso
a ciertos contenidos está limitado con una herramienta de filtrado,
está prohibido el uso de Internet para uso personal (redes sociales,
correo personal, prensa, etc.).
La mayoría de las empresas no cuentan con planes y políticas de
seguridad, siendo el resultado del estudio con respecto a ese punto, el
siguiente:
Las razones por las cuales las empresas no han contemplado previsiones
en caso de situaciones que afecten al negocio son diversas, siendo las
más comunes:
https://www.youtube.com/watch?v=KiuTyXehW-8
https://www.youtube.com/watch?v=lbHg84vi4uM
https://www.youtube.com/watch?v=zV2sfyvfqik
Equipos y Materiales:
Orden de Ejecución:
TAREAS PRÁCTICAS:
El alumno detectará los diversos problemas que se presentan en la empresa
donde se encuentra realizando la complementación de sus estudios prácticos en
el ámbito de la seguridad.
Como puede ayudar a esta empresa la implementación del ISO 27001 y un SGSI
en los siguientes ámbitos:
Competitividad.
Menores gastos.
Otros.
Debe detallar cada uno de los beneficios en cada ámbito.
Además, indique, como podría ayudar la contratación de un Oficial de seguridad
de la información.
FUNDAMENTO TEORICO
Operación:
Entender la importancia de la aplicación de la familia de normas ISO/IEC
27000.
La Familia ISO 27000:2014 está conformado por las siguientes normas:
ISO/IEC 27000:
Esta norma fue publicada el 1 de Mayo de 2009, luego fue revisada el 01 de
Diciembre de 2012 y se implementó una tercera edición el 14 de Enero de 2014.
Esta norma brinda una visión general de las normas que componen la serie
27000, indicando para cada una de ellas su ámbito y el objetivo de su
publicación. Nos ayuda a entender el por qué de la implantación de un SGSI, así
como su establecimiento, monitorización, mantenimiento y mejora.
ISO/IEC 27001:
Esta norma fue publicada el 15 de Octubre de 2005 y revisada el 25 de
Septiembre de 2013. Esta norma es la más importante de la familia ISO 27000
e incluye los requisitos del sistema de gestión de seguridad de la información.
Es la norma que se utiliza para certificar a los auditores externos de los SGSIs
de las organizaciones.
ISO/IEC 27002:
Esta norma fue publicada el 1 de Julio de 2007. Es una guía de buenas prácticas
que describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. Esta norma no es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios.
Actualmente, la última edición de 2013 tiene un total de 14 Dominios, 35
Objetivos de Control y 114 Controles.
ISO/IEC 27003:
Esta norma fue publicada el 01 de Febrero de 2010, esta norma no es
certificable. Es utilizada como guía
en los aspectos críticos para el
óptimo diseño e implementación de
un SGSI tomando en cuenta el ISO
27001.
ISO/IEC 27004:
La publicación de esta norma fue el
15 de Diciembre de 2009. Esta norma
no es certificable. Es una guía para el
Esta norma fue publicada el 05 de Enero de 2015. Es una guía para la seguridad
en medios de almacenamiento de datos digitales.
ISO/IEC 27041:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía para la garantizar
la disposición y ajuste de los métodos de investigación que tiene que ver en
temas de seguridad informática.
ISO/IEC 27042:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía con reglas para
el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Esta norma fue publicada el 04 de Marzo de 2015. Desarrolla los principios y
procesos de investigación para una óptima recopilación de evidencias digitales.
ISO 27799:
Esta norma fue publicada el 01 de Julio de 2012. Es una norma que proporciona
directrices para apoyar la aplicación de un óptimo nivel de seguridad de
información en el sector sanitario, sobre los datos de salud de los pacientes.
1. Cláusula 4. Contexto de la
organización:
1. Entender la organización y su
contexto.
2. Entender las necesidades y
expectativas de las partes
interesadas.
3. Determinar el alcance del SGSI.
2. Cláusula 5. Liderazgo:
1. Liderazgo y compromiso.
2. Política de seguridad.
3. Roles de la organización, responsabilidades y autoridad.
3. Cláusula 6. Planificación:
1. Recursos.
2. Competencias.
3. Concienciación.
4. Comunicación.
5. Documentación.
5. Cláusula 8. Operación.
Anónimo.
Equipos y Materiales:
TAREA PRÁCTICA
Importancia de los diferentes tipos de firewall para redes empresariales.
El ejercicio práctico consistirá en realizar la configuración de un Cisco ASA para
proteger una red (la configuración se puede realizar utilizando un simulador como
Packet Tracert o un emulador como GNS3).
La topología es la siguiente:
Default Switch
Device Interface IP Address Subnet Mask Gateway Port
Router>
Router>
Router>enable
Router#confi
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.248
R1(config-if)#no shut
R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R1(config-if)#exit
R1(config)#int se2/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shut
En el router R2:
Router>
Router>en
Router#
Router#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
R2(config)#int se2/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shut
R2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R2(config-if)#exit
R2(config)#int
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state
to up
se3/0
R2(config-if)#exit
R2(config)#int se3/0
R2(config-if)#
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shut
R3(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R3(config-if)#exit
R3(config)#int se2/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shut
R3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R3(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state
to up
R1#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R1(config)#
R3>
R3>en
R3#
R3#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R3(config)#
R2>
R2>en
R2#
R2#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#ip route 209.165.200.224 255.255.255.248 se2/0
R2(config)#ip route 172.16.3.0 255.255.255.0 se3/0
R2(config)#
DMZ Server:
PC1:
PC0:
ciscoasa>
ciscoasa>enable
Password:
Invalid password
Password:
ciscoasa#show version
ciscoasa#conf t
ciscoasa(config)#configure factory-default
ciscoasa#
ciscoasa#write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#reload
Proceed with reload? [confirm]
Se reiniciará:
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT
2008
Platform ASA5505
Boot in 9 seconds
Boot in 8 seconds
Boot in 7 seconds
Boot in 6 seconds
Boot in 5 seconds
Boot in 4 seconds
Boot in 3 seconds
Boot in 2 seconds
Boot in 1 second
Launching BootLoader...
Default configuration file contains 1 entry.
Loading...
IO memory blocks requested from bigphys 32bit: 9672
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Luego del reinicio, podremos ver un asistente para las configuraciones básicas:
Pre-configure Firewall now through interactive prompts [yes]:
Firewall Mode [Routed]:
Enable password [<use current password>]:senati
Allow password recovery [yes]?
Clock (UTC):
Year [1993]: 2016
Month [mar.]:
Day [1]: 20
Time [00:03:00]: 10:00:00
Management IP address:192.168.1.1
Management network mask:255.255.255.0
Host name:ASA
Domain name:senati.edu.pe
IP address of host running Device Manager:
asa#config t
asa(config)#hostname ASA-SENATI
ASA-SENATI(config)#domain-name senati.edu.pe
ASA-SENATI(config)#passwd cisco
ASA-SENATI(config)#enable password class
ASA-SENATI(config)#clock set 10:00:00 april 04 2016
ASA-SENATI(config)#
ASA-SENATI(config)#interface vlan 1
ASA-SENATI(config-if)#nameif inside
ASA-SENATI(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-SENATI(config-if)#security-level 100
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#interface vlan 2
ASA-SENATI(config-if)#nameif outside
ASA-SENATI(config-if)#ip address 209.165.200.226 255.255.255.248
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#int et0/1
ASA-SENATI(config-if)#switchport access vlan 1
ASA-SENATI(config-if)#no shutdown
ASA-SENATI(config-if)#int et0/0
ASA-SENATI(config-if)#switchport access vlan 2
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#
ASA-SENATI(config)#object network INSIDE-NET
ASA-SENATI(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA-SENATI(config-network-object)#nat (inside,outside) dynamic interface
ASA-SENATI(config-network-object)#end
ASA-SENATI#
ASA-SENATI(config)#interface Ethernet0/2
ASA-SENATI(config-if)#switchport access vlan 3
ASA-SENATI(config-if)#no shut
ASA-SENATI#
ASA-SENATI(config)#show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
ASA-SENATI(config)#
Los primeros firewall que aparecieron fueron los firewalls de estados, estos tipos
de firewall utilizan tablas para seguir el estado de las sesiones end-to-end y estos
registros se realizan en tiempo real. Estos firewall toman en cuenta el tipo de
sesión que genera el tráfico de red.
Actualmente hay muchos tipos de firewalls disponibles, por ejemplo, los firewalls
de estados, de filtrado de paquetes, de gateway de aplicación (proxy), de
traducción de direcciones, transparentes, híbridos, basados en hosts, etc.
En las redes modernas, el firewall de la red debe ubicarse entre la red interna y
la red externa. Se debe bloquear el acceso a determinados tráficos de red salvo
que se lo permita explícitamente por medio de una ACL, o, si se trata de tráfico
de retorno, que el mismo se corresponda con tráfico que se inició dentro de la
red interna. Esta es la tarea fundamental de un firewall de red, ya sea un
dispositivo de hardware dedicado o un router con un IOS firewall.
Tipos de Firewalls
También existen otros tipos de firewall básicos, tales como: firewall basado en
hosts, firewall transparente, firewall híbrido.
Debemos tener en cuenta que el uso de los firewall solo es parte de la seguridad,
ya que debemos utilizar más herramientas, como por ejemplo:
Existen aún algunos firewall de software que son utilizados para asegurar una
red, como por ejemplo:
https://www.microsoft.com/en-us/evalcenter/evaluate-system-
center-2012-r2-configuration-manager-and-endpoint-protection
Los cortafuegos por hardware, son dispositivos específicos instalados en una red
para brindar una defensa y protección óptima.
Los Firewalls que tienen mayor costo son los filtros Hardware, que producen una
conmutación más rápida que un firewall por software que corre en un equipo con
un hardware común (el Hardware de los “Firewall por Hardware” esta optimizado
para esas tareas), y además proporcionan un nivel de seguridad alto, pudiéndose
actualizar constantemente y así lograr mejoras. Los nuevos tipos de ataques
cada vez más sofisticados han provocado que las soluciones de seguridad
perimetral mejoren y evolucionen siendo una de estas mejoras los UTM (Unified
Threat Management o en español “Gestión unificada de amenazas”).
Los más importantes proveedores de UTM son: Fortinet, Palo Alto, Sophos,
Secure Computing Corporation, Symantec, etc.
Existen por el momento, seis modelos de ASA, que van desde el modelo 5505
utilizado con pequeñas sedes, hasta la versión 5585 para Data Center. Todos
proporcionan funciones de firewall stateful y funcionalidad VPN.
Los dispositivos Cisco ASA son escalares para satisfacer una serie de requisitos
y tamaños de red. La elección del modelo ASA dependerá de las necesidades
de la organización. El software ASA combina firewall, concentrador VPN, y la
funcionalidad de prevención de intrusiones.
1. Virtualización ASA.
2. Dos ASA idénticas pueden estar vinculados a una configuración de
conmutación por error de tal forma que uno este activo y el otro en espera
para proporcionar redundancia.
3. El ASA utiliza Active Directory con lo cual puede recuperar la información
de identidad del usuario actual.
4. ASA posee control de amenazas y servicios de contención.
5. Todos los modelos de ASA se pueden configurar y administrar mediante
la interfaz de línea de comandos (CLI) o el Administrador de dispositivos
de seguridad adaptable (ASDM) que consiste en un navegador creado en
Java.
En el panel frontal del ASA 5505 podemos encontrar los siguientes elementos
(empezando desde el lado izquierdo al derecho):
La parte posterior de los Cisco ASA 5505 tienen las siguientes características:
El ASA define diversos niveles de seguridad para distinguir entre redes internas
y externas. Los niveles de seguridad ayudan a definir el nivel de confiabilidad de
las interfaces. Cuanto más alto sea el nivel, más confianza se tendrá en la
interfaz. Los números que sirven para definir el nivel de seguridad oscilan entre
0 (no fiable) a 100 (muy fiable). Cada interfaz para operar debe tener un
determinado nombre y un nivel de seguridad asignado.
Cuando el tráfico se mueve de una interfaz con un nivel de seguridad alto a una
interfaz con un nivel de seguridad bajo, se considera tráfico de salida, el tráfico
en sentido contrario es denominado: tráfico entrante.
Existen otros equipos Cisco ASA, como por ejemplo, el ASA 5510, 5520, 5540,
5550, 5580. Cada uno de estos tiene ranuras de expansión para módulos de
servicios de seguridad.
ciscoasa# config t
ciscoasa (config) #
Por ejemplo:
ROMMON>
El ASA 5505 viene con una configuración por defecto que incluye dos redes
VLAN: VLAN1 y VLAN2. VLAN 1 es para la red interior y la VLAN 2 es para la
red exterior.
Una vez que el equipo ha sido reiniciado, se muestra el siguiente mensaje "Pre-
configure Firewall now through interactive prompts [yes]?"
Modo Firewall.
Habilitar contraseña.
Habilitar la recuperación de contraseñas.
Hora y fecha.
Dirección IP y máscara Interna.
Nombre de host.
Nombre del dominio.
Por defecto los valores del nivel de seguridad se asignan a la interfaz interna y
externa. Por lo tanto, el comando security-level sólo es necesaria si el
administrador decide cambiar esos valores. Para cualquier otra interfaz debe ser
asignado un valor de nivel de seguridad.
ASA5505(config-if)# no shut
ASA5505(config-if)# security-level 0
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
OBSERVACIÒN:
A partir de marzo de 2010, Cisco anunció la nueva versión del software Cisco
ASA 8.3. Esta versión introdujo varios cambios de configuración importantes,
sobre todo en el mecanismo de NAT / PAT. El comando "global" ya no es
compatible con NAT (estática y dinámica) y PAT se configuran en Objetos de
red. La configuración de PAT para ASA 8.3 y posterior es:
Los pasos anteriores son absolutamente necesarios pero hay muchos más
detalles de configuración para mejorar la seguridad y la funcionalidad tales como
las listas de control de acceso, NAT estática, DHCP, zonas DMZ, autenticación,
etc.
Al configurar un CISCO
ASA, se pueden recurrir a
diferentes comandos que
son ingresados desde
una CLI (Interfaz de línea
de comandos) pero
también se pueden
realizar las
configuraciones
utilizando una GUI, que
en este caso es el ASDM.
04
Tarea 04: Realizar una descripción general de los productos firewall de
Microsoft e instalar los más utilizados.
Equipos y Materiales:
Orden de Ejecución:
TAREA PRÁCTICA:
Instalando el proxy/ firewall para redes de datos de Microsoft Forefront
TMG y configurar los equipos Clientes del Firewall:
Forefront TMG:
Para esta tarea, debe contar con las siguientes máquinas virtuales:
1. Servidor WEB con Windows Server 2012R2, 2012 o 2008 para la DMZ.
2. Servidor con Windows Server 2008R2 que será el Proxy/Firewall con
Forefront TMG.
3. Un equipo cliente con Windows 8 ó Windows 10.
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED DMZ:
IP del servidor: 192.168.5.2/24
Servicios: WEB.
Gateway : 192.168.5.1/24
Inicia el proceso de
instalación del sistema
operativo.
Se ingresarán las
configuraciones de
red de la RED
INTERNA y RED
EXTERNA
Ejecutará el archivo
“Autorun”
Indicará la ruta de
Instalación.
Se instalarán las
características del
TMG.
En la red
interna no se
coloca la
puerta de
enlace.
Se ingresará la
configuración de red de
la RED DMZ.
31. Debe configurar el sistema como parte de un grupo de trabajo (se podría
utilizar un dominio, pero para esto se debe tener un controlador de
dominio en la RED):
37. En el asistente para acceso web, marcará una regla por defecto para
evitar el acceso web a URLs malintencionadas:
40. Por el lado del servidor TMG, ya se tiene instalado y está con las
configuraciones más básicas, ahora deberá instalar el equipo cliente, que
en este caso contará con un sistema operativo: Windows 8.1 de 64 bits.
41. Realizará la instalación y configuración básica del sistema Windows 8.1.
42. Creará un usuario en el sistema:
Debe establecerse
comunicación.
53. Ahora, creará una regla de acceso de la red Interna (LAN) a la red
perimetral (DMZ) para que desde la red LAN puedan navegar en el
servidor de la DMZ:
65. Por ahora indicará que no es necesaria la conexión segura utilizando SSL.
66. Indicará que se hará la escucha WEB de solicitudes WEB entrantes en
la red Externa.
FUNDAMENTO TEÓRICO
Introducción a los diferentes productos Proxy/firewall que
ofrece Microsoft.
La mayoría de productos firewall de Windows están descontinuados, parece ser
que Microsoft no quiere ingresar por ahora al tema de seguridad utilizado
Firewalls.
Entre los productos para Firewall de Microsoft, tenemos:
1. Familia de productos Forefront:
a. Forefront Protection 2010 for Exchange Server (FPE)
Actualmente el TMG 2010 cuenta con una Fecha de fin del soporte técnico
extendido hasta el 14 de abril de 2020.
Forefront TMG permite otorgar a la empresa una seguridad perimetral unificada
con firewall integrado, VPN, prevención de intrusiones, inspección de malware y
filtrado de URL.
Se mostrará un
asistente para
configurar las
opciones de red, del
sistema y de
implementación.
05
Tarea 05: Implementar la óptima configuración de la Cache del servidor
Firewall de Microsoft.
“El éxito llega para todos aquellos que están ocupados buscándolo.”. (Henry
Thoreau).
Equipos y Materiales:
FUNDAMENTO TEÓRICO
Entender la importancia de la caché del servidor proxy/ firewall.
El uso del almacenamiento en caché es de gran importancia sobre todo a nivel
corporativo. El almacenamiento en caché es una tecnología antigua pero muy
útil, siendo requerida en diversos sectores de la industria informática y de redes.
Esta tecnología se basa en un concepto simple. El almacenamiento en caché
consiste en almacenar los datos de uso muy frecuente en una ubicación de disco
que debe contar con un rápido y fácil acceso, de modo que sea posible reducir
06
Tarea 06: Implementar las directivas de firewall más importantes.
Jhon C. Maxwell
.
Equipos y Materiales:
Orden de Ejecución:
Operación:
TAREA PRÁCTICA:
Configurando Reglas de Acceso para la navegación en Internet con una
red perimetral y directivas.
Se realizará la configuración de una regla que permitirá navegar en Internet, pero
no se permitirá el acceso a facebook:
Para este procedimiento, realizar los pasos que a continuación se detallan:
1. Primero verificará que se pueda navegar desde la red interna, inclusive,
en Facebook:
8. Como origen de la regla ingresará todas las redes incluyendo el host local:
FUNDAMENTO TEORICO:
Configurando el Servidor de Seguridad como un servidor Proxy/ firewall
con software de Microsoft.
Forefront TMG es una completa solución que se utiliza para puerta de enlace
web segura, que ayuda a proteger a los empleados de una empresa de las
amenazas basadas en web. Este servidor también ofrece seguridad perimetral
de facil administración, firewall integrado, VPN, prevención de intrusiones,
inspección de malware y filtrado de URL.
Forefront TMG se fundamenta en las capacidades básicas con las que contaba
Microsoft Internet Security and Acceleration (ISA) que ofrecia una puerta de
enlace de seguridad de red completa, integrada y facil de administrar. Los
principales cambios realizados en Forefront TMG permiten agregar capacidades
de protección adicionales para ayudar a proteger la red corporativa frente a
amenazas externas que pueden tener su origen en Internet.
Para realizar una optima configuración del TMG para una red perimetral, se
deben seguir los pasos que a continuación se detallan:
1. El servidor de seguridad puede trabajar en una red que tenga un directorio
activo (Active Directory) o simplemente con servidores independientes.
2. Para este caso se utilizara un DC (controlador de dominio), por
consiguiente, se tendrán 2 servidores con Windows Server, pudiendo ser
el DC un servidor con Windows Server 2012 R2, 2012 o 2008 R2.
3. El servidor donde se instalará el Forefront TMG debe contar con el
sistema Windows Server 2008 R2.
4. En el servidor que será un controlador de dominio, se instalarán el
Directorio Activo y el servicio DNS (si no existe previamente un servidor
DNS en la red).
5. Se colocarán las configuraciones de red adecuadas.
6. Se instalará el servidor de seguridad como un servidor miembro del
dominio.
7. Se ingresará en el servidor de seguridad con una cuenta administrativa
del dominio.
8. El servidor TMG tendrá 2
tarjetas de red, una tarjeta
estará conectada a la red
Interna y la otra tarjeta se
conectará a la red externa.
9. Insertamos el Disco con el
Instalador TMG en el servidor
de seguridad para iniciar el
proceso de instalación.
10. Empezará con la instalación
de las herramientas de
preparación.
11. Se deben aceptar los términos de licencia:
21. Veremos una ventana que nos indicará que se instaló el TMG
correctamente:
15. Primero escogeremos la Red LAN, con lo cual también aparecerá el rango
de direcciones IP que se utilizarán en esta red:
17. Ahora agregaremos la red DMZ como una red que se encuentra
conectada en nuestro perímetro.
18. Las demás configuraciones las dejamos por defecto y terminamos con
esta parte del asistente:
3. Reglas de red: especifican que los recursos de una red tienen permiso
para comunicarse con recursos de otras redes y especifican el tipo de
relación (de enrutamiento o NAT) que existe entre el origen y el destino.
Protocolo: la regla debe definir uno o más protocolos con una dirección
saliente, por ejemplo: http, smtp, etc…).
De: La dirección de origen debe estar bien definida en la regla. El origen
puede ser toda la red, un conjunto de redes, un conjunto de equipos, un
intervalo de direcciones IP, una subred o un equipo.
Programación: La programación de la regla permite controlar los días y
horas que se aplica la regla.
A: el destino debe estar bien definido en la regla. El destino puede ser
toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un
intervalo de direcciones IP, una subred, un conjunto de nombres de
dominios o un conjunto de direcciones URL.
Usuarios: la regla se aplica a todos los usuarios (para acceso anónimo),
a todos los usuarios autenticados (que se aplica a todos los usuarios que
se pueden autenticar correctamente) o a un grupo de usuarios específico.
En caso de contar con un directorio activo, esto es de gran utilidad.
Grupos de contenido: la regla se aplica a los tipos de contenido
específicos, como pueden ser: video, imágenes, audio, etc…
Si la solicitud coincide con una regla de permiso, la solicitud se permite.
Tras encontrar una regla coincidente, Forefront TMG no evalúa más
reglas. Las reglas de acceso que deniegan el tráfico se procesan antes
que las reglas de publicación.
Cuando se crean reglas de publicación deben considerarse las siguientes
opciones:
07
Tarea 07: Realizar la óptima configuración del Acceso a los Recursos de
la Red Interna mediante la publicación de servidores.
Equipos y Materiales:
Orden de Ejecución:
c. RED Externa:
192.168.1.0/24
Gateway: 192.168.1.0
DNS:
200.48.225.130
200.48.225.146
En este caso permitirá que desde la red externa se conecten al servidor DMZ vía
RDP.
Para esto debe seguir los pasos que a continuación se detallan:
1. Dirigirse al servidor TMG.
2. Crear una nueva directiva de tipo “Regla de publicación de protocolo de
servidor no WEB…”
Se habilitará el escritorio
remoto para que se pueda
acceder a este equipo.
FUNDAMENTO TEORICO:
Entender la importancia de la publicación de los servidores.
La publicación de un servidor, consiste en que ese servidor pueda ser visto
desde una red pública, siendo la red pública más común, Internet.
Para publicar una granja de servidores a través de HTTP: Para realizar este
procedimiento debe realizar los pasos que a continuación se describen:
08
Tarea 08: Realizar la Configuración Avanzada de Filtros.
En esta tarea realizará las siguientes operaciones:
Equipos y Materiales:
Operación:
TAREA PRÁCTICA
Aplicaciones avanzadas y Descripción de Filtro Web.
Para realizar esta tarea, ejecute los siguientes pasos:
1. Haga clic secundario en la directiva de firewall utilizada.
FUNDAMENTO TEORICO:
Aplicaciones avanzadas y Descripción de Filtro Web.
Puede utilizar un filtro HTTP en las reglas de acceso entrantes y salientes para
controlar los tipos de datos que puedan atravesar el firewall.
Forefront TMG nos brinda un control muy preciso del tráfico HTTP en forma de
filtros HTTP. Este filtro HTTP que trabaja en la capa de aplicación, examina los
comandos y los datos HTTP que pasan por el firewall, admitiendo solo el paso
de las solicitudes que cumplan los requisitos, además se puede controlar el
acceso a Internet del cliente.
El filtrado HTTP se puede aplicar en los siguientes entornos:
Determinar firmas: Puede determinar una firma para que bloquee tráfico
específico mediante la supervisión del tráfico de red.
09
Tarea 09: Configurar la Supervisión y los informes utilizando el servidor
Firewall de Microsoft.
En esta tarea realizará las siguientes Operaciones:
Configurando Alertas.
Configurando la Supervisión de sesiones.
Configurando reportes.
Supervisando la conectividad.
Supervisando Servicios y Rendimiento.
Equipos y Materiales:
Orden de Ejecución:
Configurando Alertas.
Configurando la Supervisión de sesiones.
Seguridad de redes II
Configurando reportes.
Supervisando la conectividad.
Supervisando Servicios y Rendimiento.
TAREA PRÁCTICA
Configurando Alertas:
Para crear una nueva alerta, realice el siguiente procedimiento:
1. Ubiquese en la opción “Supervisión”
10. Indique las acciones a realizar en caso de presentarse una alarma del tipo
que se está definiendo:
Configurando reportes.
Para crear un nuevo reporte o informe, realice el siguiente procedimiento:
FUNDAMENTO TEORICO:
Configurando Alertas.
Después de la instalación de Forefront TMG, se configuran una serie de alertas
que se encuentran predefinidas. Cada alerta se ejecuta cuando se produce un
determinado evento de Forefront TMG. Es posible habilitar o deshabilitar las
alertas, modificar la forma en que se desencadena la alerta, modificar la acción
que se realizará cuando se desencadena la alerta.
También se pueden definir alertas personalizadas adicionales.
El procedimiento para modificar una alerta, es el siguiente:
1. En el árbol de la consola de administración de Forefront TMG, haga clic
en el nodo Supervisión.
2. En el panel de detalles, haga clic en la ficha Alertas.
3. En el panel Tareas, haga clic en Configurar definiciones de alerta.
4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar
y, a continuación, haga clic en Editar.
5. En la ficha General, modifique el nombre, la categoría y la gravedad de la
alerta en función a las políticas de seguridad en la empresa.
6. En la ficha Eventos, especifique las veces que debe producirse un evento
para que se emita la alerta y cómo debe emitirse la alerta cuando se ha
alcanzado dicho número de veces.
7. En la ficha Acciones, especifique la acción que se genera cuando se emite
la alerta. De forma predeterminada, las alertas se notifican siempre en el
registro de eventos de Windows.
8. Si desea eliminar una definición de alerta de la lista que piensa que no es
necesaria, seleccione la alerta en la lista Definiciones de alerta y, a
continuación, haga clic en Quitar.
El procedimiento para crear una alerta personalizada, es el siguiente:
1. En el árbol de la consola de administración de Forefront TMG, haga clic
en el nodo Supervisión.
2. En el panel de detalles, haga clic en la ficha Alertas.
3. En el panel Tareas, haga clic en Configurar definiciones de alerta.
4. En la lista Definiciones de alerta, haga clic en Agregar.
5. Finalice el Asistente para la configuración de nuevas alertas. Tenga en
cuenta las consideraciones siguientes:
a. En la página Eventos y condiciones, seleccione el evento que
desencadena la alerta y las condiciones adicionales.
b. En la página Servidor, deje el valor predeterminado “Cualquier
servidor”.
10
Tarea 10: Realizar la protección de la red de la empresa utilizando un
servidor de seguridad con Linux.
En esta tarea realizará los siguientes puntos:
Equipos y Materiales:
TAREA PRÁCTICA:
Configurando una Red Perimetral con Linux.
Para realizar esta tarea, debe realizar los siguientes pasos:
La topología a realizar, es la siguiente:
Debe escoger
correctamente las
Interfaces de red.
Se realizará la
configuración
del equipo
Cliente.
14. Para crear las reglas NAT, ingresará al menú “cortafuegos” y luego a la
ficha: “NAT fuente”:
17. Ahora publicaremos los servicios de la DMZ, para eso se contará con un
servidor WEB en al red DMZ, con el IP: 192.168.5.2/24.
21. Ahora debe configurar las reglas de acceso para permitir y denegar trafico:
22. Ingrese al menú “Cortafuegos” y luego debe hacer clic en “trafico de
salida”:
23. Haga clic en “Agregar una nueva regla del cortafuegos” y en origen,
colocará la red Verde y en destino colocará los ips de las redes de un
determinado dominio.
24. Luego, en acción escogerá “Denegar” y en posición colocará “Primero”:
25. Como se debe hacer al crear cualquier regla en el firewall, aplique los
cambios:
FUNDAMENTO TEÓRICO:
Diferentes escenarios para brindar la seguridad de la red de datos de la
empresa utilizando un servidor Linux.
Anand Sastry, un importante especialista en Seguridad de la Información, nos
indica:
Cada implementación en la empresa tiene un firewall como la primera línea de
defensa, protegiendo los activos contra las amenazas comunes del Internet.
El firewall actúa normalmente limitando el acceso únicamente a los servicios de
Internet que la empresa considere necesarios. Bajo este esquema, el acceso es
controlado por determinadas reglas.
Por lo general, las empresas utilizan una estructura que separa los servidores
de acceso Internet de los activos corporativos de la empresa en un particular
segmento de red aislado conocido como una "zona desmilitarizada" (DMZ). El
aislamiento se logra dedicando una interfaz de red del firewall para estos
servidores que son publicados.
El acceso directo a activos no alojados en la DMZ no está permitido. Estos
activos incluyen típicamente estaciones de trabajo de la empresa, componentes
críticos del servidor, tales como controladores de dominio, servidores de correo
electrónico y aplicaciones empresariales importantes. Los activos alojados en el
segmento DMZ normalmente incluyen aplicaciones con acceso a Internet, tales
como interfaces de web, servidores, servidores relés de correo electrónico,
servicios públicos de alojamiento de archivos, etc.
Para entornos de alto tráfico, un equilibrador de carga maneja todas las
conexiones desde la interfaz de Internet del firewall, dirigiendo el tráfico al
servidor web con la menor carga. Los servidores de aplicaciones y bases de
datos están alojados en segmentos separados con reglas de acceso que
restringen el acceso entre los niveles de web, de aplicaciones y de bases de
datos.
En todos los casos, el firewall actúa como el primer mecanismo de defensa,
controlando qué activos pueden ser accedidos, a la vez que proporciona
protección contra ataques en la capa de red del modelo OSI, pero el firewall en
esta forma de trabajo ya no es una protección adecuada contra las más
de los clientes (es decir, los usuarios que interactúan con el sitio WEB) y puede
rastrear y prevenir el comportamiento que se desvía de la norma.
Implementaciones de firewalls virtuales
Esta implementación puede ser aumentada aún más con una combinación de
firewalls para aplicaciones web y otras más. En las implementaciones de este
tipo, el firewall convencional todavía tiene un papel que jugar, aunque a un nivel
más amplio, aplicando la separación/protección entre granjas de servidores
virtuales.
c. HyperV, etc.
2. En este caso se mostrará el procedimiento en una máquina virtual creada
en “Virtual Box”.
3. Utilizaremos una máquina para Linux:
Colocará el ISO de
ENDIAN en el DVD
virtual de la Máquina
virtual.
Escogerá el idioma
para la Instalación.
12. El instalador nos indicará que se borrara toda la data del disco,
escogemos “YES” y luego “OK”:
Indicará el IP de la
puerta de enlace para
la red GREEN.
18. Desde esta interfaz se pueden cambiar las contraseñas, recuerde que la
contraseña por defecto de root es: endian.
19. Ingresamos desde un navegador a la ruta indicada:
https://192.168.1.101:10443 y terminaremos con la configuración básica.
20. Al ingresar desde el navegador visualizaremos la siguiente ventana:
Esta es la ventana de
bienvenida a la configuración
via WEB de ENDIAN.
Se definirá la forma de
conexión a Internet
(RED ROJA)
Se definirá la forma de
conexión a Ia DMZ
(RED NARANJA)
Se deben seleccionar
las interfaces
correctas.
Se debe seleccionar la
interface correcta para
la red Naranja.
28. Finalmente se realizarán las configuraciones para la red ROJA que será
la que se conecta directamente a Internet:
Se debe seleccionar la
interface correcta para
la red Roja.
29. Ahora nos solicitará la configuración DNS, que en este caso es obtenida
en forma dinámica:
Se puede
apreciar el
tráfico en la
red.
35. Si desea agregar una red más, por ejemplo para acceso inalámbrico (RED
AZUL) puede dirigirse al menú “Configuración de red”:
Se debe seleccionar la
interface correcta para
la red Azul.
Para instalar y configurar un servidor Proxy sobre Linux, se puede utilizar squid,
para lo cual realizaremos el siguiente procedimiento:
1. El procedimiento puede ser ligeramente diferente, dependiendo de la
distribución de Linux a utilizar.
2. En este caso se utilizará UBUNTU Server, pero puede ser otra distribución
que indique su instructor.
3. Primero instalaremos el paquete, colocando el siguiente comando:
# apt-get -y update && apt-get -y install squid
4. Una vez instalado, nos vamos al directorio /etc/squid para verificar que
todo se instaló correctamente y realizar algunas configuraciones:
cd /etc/squid.
5. Guardamos el archivo de configuración squid.conf para el caso en que se
requiera retornarlo como estaba inicialmente.
mv squid.conf squid.conf.back
6. Ahora editamos el archivo, utilizando un editor conveniente, en este caso
será “Nano”.
nano squid.conf.
7. En este archivo podrá configurar diversas opciones, como por ejemplo:
# Indicará el puerto que será utilizado para el proxy:
http_port 8080
# Indicará la capacidad de la memoria cache del proxy:
Cache_mem 100 MB
# Indicará la dirección del directorio del spool
Cache_dir ufs /var/spool/squid 150 16 256
# se declara el IP de la red Lan:
Acl red_local src 172.31.2.0/23
# Declare el Ip del localhost
Acl localhost src 127.0.0.1/32
# Ahora damos el acceso al localhost y a la red LAN
http_access allow localhost
http_access allow red_local
Luego guardamos los cambios en el archivo de configuración y
reiniciamos el servicio:
Service squid restart
También podemos utilizar el proxy que viene instalado en el UTM Endian, para
lo cual se ubicará en el menú “PROXY” y seleccionará la opción: “HTTP” y
habilitará la aplicación:
11
Tarea 11: Implementar la seguridad utilizando Iptables.
"El hombre inteligente no es el que tiene muchas ideas, sino el que sabe
sacar provecho de las pocas que tiene." Anónimo
Equipos y Materiales:
TAREA PRÁCTICA:
Creando un firewall con Iptables con salida hacia Internet y con red DMZ:
Instalará un servidor Linux como Firewall, teniendo en cuenta la siguiente
topología:
1. Para este ejercicio, trabajaremos con una maquina virtual creada con
Centos, que debe dispober de tres tarjetas de red, cada tarjeta tendrá la
configuración Ip correspondiente:
Se deben configurar
las tres conexiones de
red.
Eth0: (WAN)
IP: 192.168.1.2
Mascara: 255.255.255.0
PE: 192.168.1.1
DNS:
200.48.225.130.
200.48.225.146.
Eth1: (LAN)
IP: 192.168.20.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
Eth2: (DMZ)
IP: 192.168.3.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
iptables −t nat −F
## Establecemos la politica por defecto para el firewall
iptables −P INPUT ACCEPT
iptables −P OUTPUT ACCEPT
iptables −P FORWARD ACCEPT
iptables −t nat −P PREROUTING ACCEPT
iptables −t nat −P POSTROUTING ACCEPT
## Ahora, se iniciará el filtrado, recordemos que eth0 es el interfaz
## conectada al router y eth1 al switch de la LAN
# Todo lo que venga desde la WAN o red externa y vaya al puerto 80 lo
# redirigimos al servidor WEB de la DMZ
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 80 −j DNAT −−to
192.168.3.2:80
# Los accesos de un ip vía HTTPS se redirigen al servidor WEB via el
#puerto 443:
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 443 −j DNAT −−to
192.168.3.2:443
# Al host local (localhost), se le deja las conexiones (por # ejemplo
# conexiones locales a un gestor de bases de datos)
/sbin/iptables −A INPUT −i lo −j ACCEPT
# Podemos acceder al firewall desde la red local
iptables −A INPUT −s 192.168.20.0/24 −i eth1 −j ACCEPT
# La red local y de la DMZ deben poder salir hacia la externa
iptables −t nat −A POSTROUTING −s 192.168.20.0/24 −o eth0 −j
MASQUERADE
iptables −t nat −A POSTROUTING −s 192.168.3.0/24 −o eth0 −j
MASQUERADE
# Debemos permitir un forward de paquetes en el firewall, es decir
# que otras máquinas puedan salir a traves de este firewall.
## Si deseas que el servidor trabaje como puerta de acceso a internet
### compartida, pues deberás activar el "IP forwarding" en tu computador
### que actuará como ruteador.
echo 1 > /proc/sys/net/ipv4/ip_forward
FUNDAMENTO TEORICO:
Entender el concepto e importancia de las Iptables
El firewall utilizado para gestionar las conexiones en Linux es iptables.
IPtables es un sistema de firewall vinculado al kernel de linux que se ha
extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual
que el anterior sistema ipchains, un firewall de iptables no es como un servidor
que lo iniciamos o detenemos o que se pueda caer por un error de programación,
iptables está integrado con el kernel, es parte del sistema operativo. Con las
iptables, se aplican reglas diversas.
Las iptables permiten configuraciones muy diversas y un administrador puede
realizar configuraciones para casos de gran complejidad. Las iptables permiten
crear reglas que analizarán los paquetes de datos que entran y salen del
6. Hacer NAT (modificar IP origen y destino para conectar nuestra red a otra
red o a Internet). Estas reglas NAT se generan tomando en cuenta dos
opciones:
a. Filtrar antes de enrutar: PREROUTING
b. Filtrar después de enrutar: POSTROUTING
Una forma sencilla de trabajar con iptables es permitir las comunicaciones que
nos interesen y luego denegar el resto de las comunicaciones, esto es
denominado: Política por defecto ACEPTAR
Ejemplos:
1. Éste script permite que se pueda acceder al servicio WEB ofrecido en este
servidor, el acceso al servidor desde el equipo con IP: 192.168.200.5 vía
SSH y el acceso a la administración de la BD:
OBSERVACION:
Puerto 22: El puerto 22 es utilizado por defecto por SSH, el cual es sin
lugar a dudas, de gran importancia para los administradores de redes.
Cuando se necesite controlar y administrar remotamente otros
ordenadores y/o servidores es muy útil el SSH.
iptables −Z
## Establecemos las políticas por defecto, con esto bastará para que
## nadie, absolutamente nadie pueda entrar a su ordenador,
## incluyéndose usted mismo.
## Con ella regla, indicamos que la política por defecto (-P) para todo lo
## que desee entrar a nuestro ordenador (INPUT) es obviarlo, no hacerle
## caso (DROP)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Para permitir a mi propio equipo ingresar a los puertos y servicios debo
## utilizar la siguiente regla:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## De las líneas ingresadas, la primera línea nos dice que el propio
## ordenador (-i lo …, donde lo = localhost) puede hacer de todo.
## La segunda línea se refiere a que todas las conexiones que nosotros
## iniciemos (que salgan desde nuestro ordenador), cuando por esa
## conexión quiera entrar algún dato, iptables dejará que ese dato entre,
## esto es muy fácil de entender en el caso del servicio WEB.
## Se evita el acceso al icmp, por ejemplo, el uso del ping.
iptables -A INPUT -p icmp -j DROP
## Permitir el acceso al servicio WEB tanto por HTTP y HTTPS:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state
ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state
ESTABLISHED -j ACCEPT
## Permitir el acceso por SSH desde un equipo con el IP: 192.168.200.5:
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.5 --dport 22 -m state --
state NEW,ESTABLISHED -j ACCEPT
## Para que tu máquina con Linux (sea este Ubuntu, Debian, Fedora u otro)
## actúe como un ruteador, o como puerta de acceso a internet compartida, pues
## deberás activar el "IP forwarding" en tu computador que actuará como
## ruteador.
## Esto puede realizarse de diferentes maneras, por ejemplo:
echo 1 > /proc/sys/net/ipv4/ip_forward
## Y ahora debemos cerrar los accesos indeseados del exterior:
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
## Cerramos un puerto de gestión, en este caso el que es utilizado por webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
## Fin del script
Firewall de una LAN con salida a Internet con DMZ.
En este tipo de firewall hay que permitir:
## Permitir el acceso vía SSH desde nuestra máquina al servidor WEB para su
## administración:
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.5 -p tcp --dport 22 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.5 -d 210.195.55.20 -p tcp --sport 22 -j
ACCEPT
## Para el caso del Servidor de correo, su IP es: 211.34.149.6
## Acceso a los puertos: 25 (SMTP), 110(POP 3) y 143 (IMAP)
iptables -A FORWARD -d 211.34.149.6 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -d 211.34.149.6 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -p tcp --sport 110 -j ACCEPT
1. ¿En que consisten las IPtables y cuáles son sus usos? - Explique
2. ¿Cómo se clasifican las IPtables? – Detalle al especto.
3. ¿Qué ventajas y desventajas tiene el trabajar con IPtables?
12
Tarea 12: Implementar una óptima seguridad en las redes VPN con
productos Microsoft y Linux.
En esta tarea realizará las siguientes Operaciones:
Equipos y Materiales:
TAREA PRÁCTICA:
Configurando el servidor de seguridad para Controlar y administrar las
VPN en entornos Microsoft y Linux.
En primer lugar trabajaremos con una implementación de VPN sobre un
TMG (producto Microsoft).
La topología es la siguiente:
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
Las direcciones
IP para los
equipos que
utilicen la VPN.
20. Ahora, se creará una regla de enrutamiento de los clientes VPN hacia la
LAN, para lo cual hará clic secundario en “Redes” luego en “Nuevo” y
finalmente “Regla de red” (ver imagen):
28. Ahora, creará una regla de acceso de los clientes de VPN hacia la red
interna.
29. Esta nueva regla se llamará “VPN-INTERNA”:
30. Ahora, para comprobar la tarea, desde la PC que está en la red WAN
(Internet) creamos la VPN:
35. Verificará la entrega del IP por parte del servidor, en este caso:
172.16.0.3.
Topología:
Se configuran
las redes.
Se coloca el IP
para la WAN
(Internet).
Estas
configuraciones
son opcionales.
Aplicamos la
configuración
realizada.
Se creará la
Conexión VPN
similar a lo
realizado en la
otra sede.
16. Al final, entre las dos sedes se activará la conexión VPN, ya que pasará
a estado “ABIERTA”:
Se encuentra Abierta
la conexión VPN en la
SEDE 1.
Se encuentra Abierta
la conexión VPN en la
SEDE 2.
17. Ahora, debe configurar un equipo cliente para una sede y probará
conectividad entre ambas sedes.
FUNDAMENTOS TEORICOS:
Entender el funcionamiento de una red privada virtual.
Como ya es conocido, las redes de área local son las redes internas de las
organizaciones. Estas redes LAN se conectan cada vez con más frecuencia a
Internet mediante un equipo de comunicaciones. Muchas veces, en la empresas
necesitan comunicarse entre sedes o sucursales, clientes o incluso con el
personal que puede estar alejado geográficamente. Una forma de lograr esto es
a través de Internet, sin embargo, los datos transmitidos a través de Internet son
mucho más vulnerables que cuando viajan por la red interna de la organización,
ya que existe una alta probabilidad de que atraviese una infraestructura de red
pública que no sea segura por que algún usuario puede estar escuchando la red
y capture la información.
Si se busca una comunicación altamente segura, implicaría conectar redes
remotas mediante líneas dedicadas, pero es una solución de alto costo, sin
embargo, existe otro método mucho más económico pero no tan seguro, este
método consiste en utilizar enlaces vía VPN (Red Privada Virtual), que consiste
en utilizar Internet como medio de transmisión con un protocolo de túnel, que
permitiría que los datos se encapsulen y se cifren antes de ser enviados.
Ahora si mostraremos el
procedimiento para la
configuración de la VPN en el
cliente:
1. Desde el Panel de Control
abra el “Centro de redes y
recursos compartidos”:
corporativa con una elevada seguridad, a la vez que los clientes de la red
corporativa pueden obtener acceso a los recursos del sitio remoto.
Para lograr esta configuración, se deben tomar en cuenta los siguientes
procedimientos:
Crear una cuenta de usuario para la puerta de enlace de sitio
remoto:
o En el servidor de Forefront TMG, haga clic en Inicio,
seleccione Herramientas administrativas y, a continuación,
haga clic en Administración de equipos.
o En el árbol de la consola Administración de equipos, haga
clic en Herramientas del sistema, en Usuarios y grupos
locales y, a continuación, en Usuarios.
o En el panel de detalles, haga clic con el botón secundario en
el usuario correspondiente y, a continuación, haga clic en
Propiedades.
o En la ficha Marcado, en Permiso de acceso remoto (acceso
telefónico o red privada virtual), seleccione Permitir acceso.
Crear una conexión de sitio remoto VPN:
o En el árbol de la consola de administración de Forefront
TMG, haga clic en Directiva de acceso remoto (VPN).
o En el panel de detalles, haga clic en la ficha Sitios remotos.
o En la ficha Tareas, haga clic en Crear conexión VPN de sitio
a sitio.
o En el asistente Crear conexión VPN de sitio a sitio, siga las
instrucciones indicadas.
o Para ver un resumen de la configuración de red VPN de sitio
a sitio, haga clic con el botón secundario en la red
seleccionada y, a continuación, haga clic en Resumen de
sitio a sitio en la ficha Sitios remotos.
Comprobación de la conectividad VPN de sitio a sitio:
o En el árbol de la consola de administración de Forefront
TMG, haga clic en el nodo Supervisión.
o En el panel de detalles, en la ficha Sesiones, compruebe si
aparece su sesión VPN.
o Para crear un filtro de sesión que solo muestre sesiones de
VPN de sitio a sitio, en la ficha Tareas, haga clic en
Modificar filtro.
Configurar las direcciones para los sitios remotos habilitados con
NLB (Network Load Balancing).
Configurar la autenticación EAP:
El procedimiento es muy sencillo, para lo cual debe realizar los siguientes pasos:
1. Es necesario instalar dos máquinas virtuales con Endian.
2. En cada máquina virtual, se configuran dos adaptadores de red, uno para
la LAN y otro para el canal de la VPN. Este procedimiento se realiza en
cada una de las máquinas.
3. Se colocará en cada ENDIAN, para la conexión LAN (Green) la dirección
IP adecuada para acceder vía WEB.
4. Debemos configurar también a cada equipo de la red LAN, que se
conectarán a través del túnel de la VPN.
5. Ingresaremos al primer Endian (Endian1) para realizar las configuraciones
siguientes:
a. Activar IPsec.
b. Crear la VPN.
6. Primero colocaremos los IP de las redes Wan (red Roja), en este caso se
colocará 200.10.10.5.