(1) El documento describe cómo configurar un proxy en Chrome y un firewall usando iptables en Linux, así como la configuración de TCP Wrapper y un servidor Kerberos. (2) Explica los pasos para configurar un proxy en Chrome, como agregar reglas en iptables para filtrar el tráfico de red entrante y saliente, y cómo usar los archivos host.allow y host.deny para restringir el acceso a servicios. (3) También cubre brevemente qué es Kerberos y cómo proporciona autenticación mutua entre clientes y servidores, así como el uso de VPNs
1. REPÚBLICA BOLIVARIANA DEVENEZUELA
UNIVERSIDAD NACIONAL EXPERIMENTAL
“RAFAEL MARÍA BARALT”
PROGRAMA NACIONAL DE FORMACION EN INFORMATICA
SEDE SAN FRANCISCO
Trayecto 2-2 sección 11
Valbuena Brayan C.I 29893401
San Francisco, 13 de junio del 2021
Seguridad de las
redes
2. Configuración de un proxy
Configurar un proxy en chorme
Abrimos chormer le damos a los 3 puntos de la derecha elegimos
configurar
vamos hasta bajo y le demás a mostrar configuración avanzada
seguimos hasta bajo hasta encontrar en donde dice red y
presionamos cambiar configuración de proxy
3. Después de presionar cambiar configuración de proxy nos aparecerá
la propiedades internet y pulsamos configuración de LAN
Desmarcamos donde dice detectar la configuración automática y
pulsamos donde dice usar un servidor proxy para LAN
borramos donde dice dirección y ponemos el que queramos
como por ejemplo 250.25.89.72 está la he inventado yo pero allí
tendrías que poner la del proxy que tú quieras y con el puerto
igual luego pulsamos no usar servidor proxy para direcciones y
pulsamos en aceptar
4. Configuración de un firewall ipchains iptables
los firewall actual como un sistema de seguridad que deja pasar o no algunos de los datos
entre el ordenador y el internet los cortafuego surgieron a finales de los 80tas es decir en los
inicios del internet cuando los delincuentes de la red se dieron cuenta que por medio del internet
se podrían conectar a nuestros ordenadores para parar estos ataque se crearon los corta
fuegos cuyo objetivo es impedir el acceso a los sistemas que no tienen permiso para conectarse
al ordenador y a la vez aquellos que si tienen permiso puedan compartir sus datos
Existen 2 tipo de cortafuegos los de hardware y los de software los firewall extremos pueden
ser dispositivos que instalamos nosotros o elementos que vienen instalado en el router
Estos se encuentran entre el acceso a internet y la suit que se encargar de distribuir la
conexión entre los distintos ordenadores que están conectados a una misma red
Mientras que los corta fuegos de software funcionan de la misma manera pero estos son
instados mediante una aplicación
Los cortafuegos de software son mas efectivos para los ataques de troyanos y los enviados
por correo
5. Existen cuatro tablas a aplicar dentro de IPtables: filter, mangle, nat y raw; que a su vez
contienen tres cadenas: INPUT, OUTPUT y FORWARD. Vamos a utilizar la tabla "filter", y lo
podremos hacer de dos formas. Una sería aceptar todos los paquetes entrantes al equipo e ir
restringiendo uno a uno los paquetes que nos interesen; esta sería la política conocida como
ACCEPT. La otra forma de filtrar paquetes sería el opuesto, denegar el acceso a todos los paquetes y
se van permitiendo los paquetes que queramos; esta segunda política de filtrado se conoce como
DROP.
Para especificar qué tipos de paquetes acceden o salen de nuestro equipo, tenemos que
describirlos de una forma determinada para que IPtables nos comprenda. Para esto necesitamos
órdenes y parámetros con los que formular la regla debidamente.
Ordenes:
IPtables –F: flush (borrado, vaciado) de todas las reglas
IPtables –L: listado de reglas que se están aplicando
IPtables –A: añadir regla IPtables –D: borrar una regla
6. Estos son varios de los parámetros que usaremos para configurar las reglas de
IPtables.
-p [protocolo]: Protocolo al que pertenece el paquete.
-s [origen]: dirección de origen del paquete, puede ser un nombre de host, una
dirección IP normal, o una dirección de red (con máscara, de forma
dirección/máscara).
-d [destino]: Al igual que el anterior, puede ser un nombre de host, dirección de
red o dirección IP singular.
-i [interfaz-entrada]: Especificación del interfaz por el que se recibe el paquete. -
o [interfaz-salida]: Interfaz por el que se va a enviar el paquete. [!]
-f: Especifica que la regla se refiere al segundo y siguientes fragmentos de un
paquete fragmentado. Si se antepone!, se refiere sólo al primer paquete, o a los
paquetes no fragmentados.
-j [target]: Nos permite elegir el target al que se debe enviar ese paquete, esto
es, la acción a llevar a cabo con él. Ahora vamos con un ejemplo de una regla
que acepta conexiones al puerto 80 del sistema
7. Ahora un ejemplo de una regla que acepta una conexión al
puerto 80 del sistema
Y aquí la descripción de cada componente del anterior comando:
iptables: comando para IPtables (no hay que olvidar que las reglas son un Shell script)
-A: append, opción para añadir la regla INPUT: estado del paquete (al entrar es INPUT) -i
eth0: interfaz de red eth0 -s 0.0.0.0/0:dirección de acceso (cualquiera en este caso) -p TCP:
tipo de puerto --dport: puerto de destino -j ACCEPT:destino del paquete (se acepta aunque
aquí podría ser DROP, LOG, REJECT,..)
Pues ya tenemos y conocemos todo lo básico para crear un firewall por software en
Linux a nuestra medida.
Así que ahora pongámonos manos a la obra y lo primero será cortar todas las
comunicaciones con esta línea:
8. Así lo que decimos a IPtables es que no permita el paso de ningún paquete de datos, y esto
incluye incluso los salientes, por lo que si hacemos la comprobación, comprobaremos que no tenemos
conexión a Internet. Esto lo podemos arreglar fácilmente si usamos la siguiente línea.
Muy bien, ahora ya podemos navegar, pero indaguemos en algunas web y comprobemos que la carga de
contenido está restringida, es decir, sí podemos navegar, pero no vemos imágenes, contenido flash y cualquier otro
componente de una web de hoy día. Esto se debe a que con la línea anterior hemos permitido el acceso de nuestro
equipo (con 'lo' que IPtables traduce como localhost, es decir, nuestro ordenador) a Internet, pero no al contrario.
Fijemos entonces una norma que nos permita una navegación adecuada y segura a la par con la siguiente línea de
comandos:
Así decimos a IPtables que permita la entrada de datos al equipo, pero únicamente aquellos paquetes que
estén relacionados directamente con las solicitudes que nuestro equipo ha emitido.
Pues ya tenemos configurado nuestro cortafuegos por software con IPtables, sólo comentar una última cosa, y es
que estas reglas desaparecen al apagar la máquina, por lo que al iniciarlas tendremos que volver a introducirlas.A
no ser que programemos un script que se ejecute durante el inicio del sistema.
9. ¿Qué es iptables?
Iptables es una herramienta avanzada de filtrado de paquetes en Linux. Es una herramienta muy
establecida, ya que hay millones de sitios en todo el mundo que funcionan y utilizan iptables de forma
continua.
De lo que se encarga iptables, dicho de una forma sencilla, es de analizar cada uno de los paquetes
del tráfico de red entra en una máquina y decidir, en función de un conjunto de reglas, qué hacer con ese
paquete, siempre desde un punto de vista amplio, ya que iptables permite hacer muchas cosas diferentes
con el tráfico de red.
Qué se puede hacer con iptables?
Gracias a esa capacidad de analizar el tráfico y ver las características del paquete, podemos
implementar un cortafuegos, que es un sistema de seguridad que permite controlar qué trafico puede
atravesar un equipo, para protegerlo del exterior y para protegerlo de otras redes. Este es uno de los
usos principales de iptables.
Permite utilizar una tecnología, muy importante hoy en día con la extensión de las redes IPv4,
como es NAT, que es la traducción de direcciones de red. Podemos configurar un equipo,
independientemente de si está configurado o no como cortafuegos, como dispositivo de NAT gracias a
iptables.
10. También permite hacer cosas más avanzadas como por ejemplo marcar y modificar
paquetes. Normalmente marcar paquetes se hace mediante iptables para después pasar esos
paquetes a otros programas, que en función de las etiquetas o marcas que tenga, decide
hacer una cosa u otra con ellos.
Podemos depurar el log de todo el tráfico, es decir, en función de una serie de reglas,
cada uno de los paquetes que atraviesen va a dejar un registro en el log. Esto es muy
interesante para hacer análisis, para tener un control del tráfico, para depurar el
funcionamiento de la red, puede incluir aspectos de seguridad y se pueden hacer una gran
cantidad de cosas con iptables.
TCP Wrapper es un sistema que nos permite permitir, denegar o filtrar el acceso a los
servicios de un servidor con sistema operativo UNIX (como por ejemplo Linux o BSD).
Los ficheros principales implicados en TCP Wrappers son “/etc/host.allow” y “/etc/host.deny”.
En el fichero /etc/host.allow se indican las políticas permisivas y en el fichero /etc/host.deny las
políticas restrictivas.}Las políticas o reglas para filtrar el acceso al servidor desde la red se
definen de la siguiente forma:
Dominios o lista de dominios del sistema : Lista de equipos : Acción a realizar
Restricción de acceso a servicios
11. A continuación detallamos cada campo:
– Dominio: Son servicios que existen en sistemas operativos Unix como por ejemplo sshd
(servicio SSH), slapd (servicio LDAP) o proftpd (servicio FTP). Para crear una regla común
para varios demonios debemos indicar su nombre separados por comas. Existe también el
comodín “ALL” que hace que dicha política afecte a todos los demonios del sistema.
– Lista de equipos: En este campo indicamos a que equipos aplicamos esta política.
Podemos indicar una dirección IP, un rango de direcciones IP, o un nombre de dominio.
También podremos usar el comodín “ALL” para que esta política afecte a todos los equipos
que intenten acceder. También existe el operador “EXCEPT” que nos permite eliminar de la
regla uno o varios equipos.
– Acción a realizar: Aquí debemos indicar si la política permite el acceso o deniega el acceso
a los demonios indicados anteriormente. Las palabras que se usa denegar el acceso es
“deny”. En caso de dejar este campo vacío, significa que permitimos el acceso a los
demonios y equipos indicados. Opcionalmente, podemos enviar comandos con la directiva
“spawn”. Esta directiva suele ser utilizada para la creación de registros de conexión al propio
equipo. Existe también la directiva “twist” quesustituye el servicio o demonio solicitado por el
comando que le hemos especificado. Esto significa que por defecto se deniega el acceso.
Esto es muy útil para la creación de honeypost.
12. vamos a denegar el acceso a un servidor SSH instalado en el equipo solo a una determinada IP. Al ser una
política permisiva (permite el acceso a todos los equipos excepto a la IP que se le indica) la vamos a definir
utilizando el fichero /etc/host.allow.
Escribiremos lo siguiente para aplicar esta política:
Denegamos acceso por SSH a una IP
sshd —> Dominio del servicio SSH
192.168.5.135 —> Ip a la que vamos a aplicar la política
deny —> Denegamos el acceso
Comprobamos que desde el equipo con la IP 192.168.5.135 no se puede acceder al servicio SSH:
Ejemplo de uso deTCPWrapper
13. A continuación vamos a denegar el acceso al servicio SSH a todos los equipos. Además, gracias a la
directiva “spawn” vamos a guardar un registro del intento de conexión a nuestro servidor. Con %d
imprimimos el demonio que denegamos y %h el equipo que se intenta conectar.
Fichero hosts.deny
Una vez que un equipo se intenta conectar a la máquina en la que tenemos la política anterior configurada,
se crea una linea en el fichero que hemos indicado con el demonio al que hemos denegado el acceso y la IP
desde donde se intentaba conectar.
14. Configuración de un servidor kerberos;VPN´s con IPsec
Kerberos es un protocolo de autenticación de redes de ordenador creado por el MIT
que permite a dos ordenadores en una red insegura demostrar su identidad
mutuamente de manera segura. Sus diseñadores se concentraron primeramente en
un modelo de cliente-servidor, y brinda autenticación mutua: tanto cliente como
servidor verifican la identidad uno del otro. Los mensajes de autenticación están
protegidos para evitar eavesdropping y ataques de Replay
Kerberos se basa en criptografía de clave simétrica y requiere un tercero de
confianza. Además, existen extensiones del protocolo para poder utilizar criptografía
de clave asimétrica.
Una Virtual Private Network (VPN) se podría decir que es una extensión de una red
local, de esta manera podemos conectar a una red a miles de kilómetros como si
estuviéramos físicamente en ella. Hay que tener en cuenta, que la información que
estamos tratando va encriptada y solamente es funcional para los que estén dentro de
esta. El costo es mínimo, y hoy en día es una de las maneras más factibles a la hora
de conectar.