Este documento contiene información sobre varios temas relacionados con la seguridad en redes, incluyendo servidores proxy, firewalls, configuración de VPNs e IPSec, y configuración de servidores Kerberos. Explica qué son estos conceptos, cómo funcionan, y cómo configurarlos, con ejemplos específicos para Windows 10, Linux y Kerberos. También incluye una sección sobre restricción de acceso a servicios usando TCP Wrappers.
1. UNIDAD III: Seguridad de las Redes
PNF Informática
Trayecto 2-2
Hernández Jesús V-28.265.374
Profesor: Angel Eduardo Lugo
San Francisco, 14 de Junio de 2021
REPÚBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN
UNIVERSITARIA CIENCIA Y TECNOLOGÍA
UNIVERSIDAD NACIONAL EXPERIMENTAL RAFAEL MARÍA BARALT
SEDE SAN FRANCISCO
REDES DEL COMPUTADOR
2. ¿Qué es un Servidor Proxy?
Un proxy es un equipo informático que hace de
intermediario entre las conexiones de un cliente y
un servidor de destino, filtrando todos los
paquetes entre ambos. Siendo tú el cliente, esto
quiere decir que el proxy recibe tus peticiones de
acceder a una u otra página, y se encarga de
transmitírselas al servidor de la web para que
esta no sepa que lo estás haciendo tú.
De esta manera, cuando vayas a visitar una
página web, en vez de establecer una conexión
directa entre tu navegador y ella puedes dar un
rodeo y enviar y recibir los datos a través de esta
proxy. La página que visites no sabrá tu IP sino la
del proxy, y podrás hacerte pasar por un
internauta de otro país distinto al tuyo.
3. Configuración de un Servidor Proxy
Cómo configurar un servidor proxy en Windows 10
Si quieres configurar un proxy a nivel local Windows
10 te ofrece las opciones necesarias para poder
hacerlo. Para ello entra en el menú de Configuración
abriendo el menú de inicio y pulsando el icono de la
rueda dentada en la columna de la izquierda. Una vez
dentro debes hacer click sobre la opción Red e
Internet.
En este menú, a la izquierda tendrás varias
opciones para supervisar el comportamiento de tu
red doméstica y configurar diferentes servicios.
Pulsa sobre la opción Proxy para acceder al menú
de configuración de estos servicios.
4. Una vez en el menú Proxy, ve hasta la opción Usar
servidor proxy y márcalo como Activado. Debajo
podrás escribir la dirección IP de la proxy que
quieras utilizar y su puerto, y también hay un cuadro
en el que incluir las páginas web que quieres excluir
de tu navegación a través de esta proxy. Una vez
configurado todo pulsa en Guardar y se aplicarán los
cambios.
¿Y de dónde sacar estas direcciones? Algunas
empresas VPN como HideMy.name tienen listas de
proxys gratuitas de varios países y con niveles de
privacidad. Esta empresa en concreto asegura que
revisa cada proxy para asegurarse de que son
seguros.
5. ¿Qué es un Firewall?
Los cortafuegos, unos mecanismos
bastante extendidos para proteger un
equipo o una red de estos. También
conocidos como "firewalls", los
podemos encontrar como dispositivos
externos al PC (conectados entre la
máquina a proteger y la red), o bien
como un software implementado
sobre un sistema operativo.
Los primeros son denominados
"Hardware Firewall" (cortafuegos por
hardware) y los segundos, más
comunes entre los usuarios 'de a pie'
se conocen como "software firewall"
(cortafuegos por software).
6. Configuración de un Firewall (IPTables)
Los cortafuegos por software, destaca un
nombre, IPtables, el cortafuegos que por
defecto viene integrado con la mayoría
de las distribuciones Linux.
Cortafuegos de Estado: Este firewall
comprobará el estado del paquete en la
transmisión diferenciando entre una
nueva conexión y otra ya existente.
Cortafuegos de capa de aplicación: Tiene
en cuenta el contenido del paquete a
nivel de aplicación, pudiendo hacer así
un filtrado más específico.
Cortafuegos de filtrado de paquetes: Con
este tipo analizamos y filtramos los
paquetes transmitidos o recibidos, según
alguno parámetros designados
previamente como por ejemplo
direcciones IP, puertos a usar, origen,
destino.
Existen cuatro tablas a aplicar dentro de IPtables: filter, mangle, nat y raw; que a
su vez contienen tres cadenas: INPUT, OUTPUT y FORWARD.
Como se ve en el gráfico, básicamente se mira si el paquete esta destinado a la
propia maquina o si va a otra. Para los paquetes (o datagramas, según el
protocolo) que van a la propia maquina se aplican las reglas INPUT y OUTPUT, y
para filtrar paquetes que van a otras redes o maquinas se aplican simplemente
reglas FORWARD.
7. Configuración de un Firewall (IPChain)
Es una herramienta del sistema operativo Linux necesaria para la administración del filtrado de paquetes de IP en las versiones 2.1.102 o posteriores.
Ipchains es la herramienta que te permite administrar los recursos de tu red a nivel ip, permitiendo el tráfico de determinados paquetes y denegando el
acceso a otros, permite cerrar puertos, redireccionarlos, esconderlos, etc. Es la herramienta necesaria para montar y administrar los cortafuegos.
Ipchains se basa en una lista (cadena) de reglas que determinan el comportamiento y las decisiones a tomar sobre paquetes cuando alcanzan un
interfaz de entrada o salida. Inicialmente siempre hay cadenas de reglas que son las básicas y sobre las que se construye todo lo demás. Estas son:
*Input
*Output
*Forward
Con ellas hacemos respectivamente alusión a los paquetes que entran, a los que salen, y a los que se enruta. Aparte de estas tres básicas se pueden
definir otras por el usuario. Cada lista de reglas contiene, como se ha comentado anteriormente, las reglas, a las cuales se van consultando
secuencialmente desde la primera a la última, cuando se encuentra una con la que coincide el paquete, se aplica. Si al final de todas las reglas no se ha
encontrado ninguna, se adopta la política por defecto que recordemos tenía dos formas: aceptar o denegar.
Los comandos para manipular las listas de reglas son (siempre en mayúsculas):
N: Crea una nueva cadena de reglas.
X: Borra una cadena de reglas que antes debe estar vacía.
P: Cambia la política de la cadena de reglas. Esta puede ser ACCEPT, DENY, REJECT y MASQ (ésta solo valida en forward).
L: Lista las reglas de la cadena de reglas.
F: Borra todas las reglas.
Z: Pone a cero todos los contadores de bytes en todas las reglas de la lista.
Los comandos para manipular las reglas que están dentro de la cadena:
A: Añade una nueva regla a la cadena (la añade al final).
I: Inserta una regla en una posición indicada.
R: Reemplaza una regla.
D: Borra una regla. NOTA: IPchains ha sido reemplazado por IPTables en Linux 2.4 y superior.
8. Restricción de acceso a servicios (TCP wrappers)
TCP Wrapper es un sistema que nos permite permitir, denegar o filtrar el acceso a los servicios de
un servidor con sistema operativo UNIX (como por ejemplo Linux o BSD).
Los ficheros principales implicados en TCP Wrappers son “/etc/host.allow” y “/etc/host.deny”. En el
fichero /etc/host.allow se indican las políticas permisivas y en el fichero /etc/host.deny las políticas
restrictivas.
Las políticas o reglas para filtrar el acceso al servidor desde la red se definen de la siguiente forma:
Demonios o lista de demonios del sistema : Lista de equipos : Acción a realizar
A continuación detallamos cada campo:
– Demonios: Son servicios que existen en sistemas operativos Unix como por ejemplo sshd
(servicio SSH), slapd (servicio LDAP) o proftpd (servicio FTP). Para crear una regla común para
varios demonios debemos indicar su nombre separados por comas. Existe también el comodín
“ALL” que hace que dicha política afecte a todos los demonios del sistema.
– Lista de equipos: En este campo indicamos a que equipos aplicamos esta política. Podemos
indicar una dirección IP, un rango de direcciones IP, o un nombre de dominio. También podremos
usar el comodín “ALL” para que esta política afecte a todos los equipos que intenten acceder.
También existe el operador “EXCEPT” que nos permite eliminar de la regla uno o varios equipos.
– Acción a realizar: Aquí debemos indicar si la política permite el acceso o deniega el acceso a
los demonios indicados anteriormente. Las palabras que se usa denegar el acceso es “deny”. En
caso de dejar este campo vacío, significa que permitimos el acceso a los demonios y equipos
indicados. Opcionalmente, podemos enviar comandos con la directiva “spawn”. Esta directiva suele
ser utilizada para la creación de registros de conexión al propio equipo. Existe también la directiva
“twist” que sustituye el servicio o demonio solicitado por el comando que le hemos especificado.
Esto significa que por defecto se deniega el acceso.
Ejemplo de uso de TCP Wrapper
Como primer ejemplo vamos a denegar el acceso a un
servidor SSH instalado en el equipo solo a una
determinada IP. Al ser una política permisiva (permite el
acceso a todos los equipos excepto a la IP que se le
indica) la vamos a definir utilizando el fichero
/etc/host.allow .
Escribiremos lo siguiente para aplicar esta política:
Denegamos acceso por SSH a una IP
sshd —> Deminio del servicio SSH
192.168.5.135—> Ip a la que vamos a aplicar la política
deny —> Denegamos el acceso
9. Configuración de un Servidor Kerberos
Cuando se configure Kerberos, primero instale el KDC. Si es necesario
configurar servidores esclavos, instale el maestro primero.
Para configurar el primer KDC de Kerberos, siga estos pasos:
Instale los paquetes krb5-libs, krb5-server y krb5-workstation en la
máquina dedicada que correrá KDC. Esta máquina necesita ser muy
segura — si es posible, no debe correr ningún otro servicio más que KDC.
Edite los archivos de configuración /etc/krb5.conf y
/var/kerberos/krb5kdc/kdc.conf para reflejar el nombre del reinado y los
mapeos dominio-a-reinado. Un reinado simple puede ser construido
reemplazando instancias de EJEMPLO.COM y ejemplo.com con el
nombre correcto del dominio — siendo seguro mantener la forma correcta
de los nombres en mayúscula y en minúscula — y cambiando el KDC de
kerberos.elemplo.com al nombre del servidor Kerberos. Por convención,
todos los nombres de reinados se escriben en mayúsculas, y todos los
nombres de equipos y de dominios DNS en minúsculas.
Genere la base de datos usando el utilitario kdb5_util desde una terminal:
El comando create genera la base de datos que almacena las claves para
el reinado de Kerberos. El interruptor -s obliga a la creación de un archivo
stash en el cual la clave del servidor principal es almacenada.
Edite el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado
por kadmin para determinar qué principales tienen acceso administrativo a
la base de datos de Kerberos y sus niveles de acceso. La mayoría de las
organizaciones pueden obtenerlo por una única línea:
La mayoría de los usuarios se representan en la base de datos por un
principal único (con una instancia NULL, o vacía, tal como
juan@EJEMPLO.COM). En esta configuración, los usuarios con un
segundo principal con una instancia de admin (por ejemplo,
juan/admin@EJEMPLO.COM) pueden ejercer un poder completo sobre el
reinado de la base de datos de Kerberos.
La herramienta kadmin permite la comunicación con el servidor kadmind a
través de la red, y utiliza Kerberos para manipular la autenticación.
Consecuentemente, el primer principal debe existir previamente antes de
intentar conectarse con el servidor a través de la red para administrarlo.
Genere el primer principal con el comando kadmin.local, que ha sido
específicamente diseñado para ser utilizado en el mismo equipo en el que
funciona el KDC, y no utiliza Kerberos para su autenticación.
Ingrese el comando siguiente kadmin.local en la terminal KDC para crear
el primer principal:
Inicie Kerberos usando los siguientes comandos:
10. Configuración de un VPN IPSec
IPSec es una suite de protocolos diseñados para autenticar
y cifrara todo el tráfico de IP entre dos ubicaciones. Permite
que los datos fiables pasen a través de redes que de lo
contrario se considerarían no seguras. Los puntos finales
de los túneles IPSec pueden estar ubicados en cualquier
lugar y aún así proporcionan acceso a toda su red privada
o a las redes que especifique.
IPSEC EN WINDOWS 10: Ir al menú Inicio > Configuración:
Abrimos la configuración de Red e Internet:
Hacemos clic en VPN, y luego en Agregar Conexión VPN:
11. Configuración de un VPN IPSec
Introducimos los datos proporcionados por nuestro
departamento informático:
• Dirección IP del router o firewall con servicios de
VPN.
• Clave de L2TP/IPSec previamente compartida
(Preshared-Key o PSK).
• Nombre de usuario de VPN.
• Contraseña de VPN.
Ahora guardamos y ya podemos conectar desde el icono
de redes inferior derecho: