2. Configuración de un Proxy
El servidor proxy puede ser útil para cambiar la dirección IP y
la región para acceder a un sitio que está bloqueado en un
país determinado. También sirve para utilizar Internet de
forma anónima
Paso 1. Acceda a la configuración de Windows 10. Para ello, abres el menú Inicio y
haces clic en «Configuración» en el lado izquierdo.;
Paso 2. En la ventana Configuración del sistema, haz clic en «Redes e Internet»;
Paso 3. Ahora, en la barra lateral izquierda, haz clic en «Proxy» ya a la derecha,
activa la opción «Usar un servidor proxy». Por último, introduce los datos del
servidor (dirección y puerto) y haz clic en «Guardar». De esta manera, se puede
configurar un servidor proxy en el ordenador o Tablet con Windows 10 y el acceso
a sitios bloqueados en tu país y preservar tu identidad.
en este vídeo se explica en sencillos pasos la configuración de una proxy.
https://youtu.be/zCCVZ5ks8fs
https://www.avast.com/es-es/c-how-to-set-up-a-proxy
3. Configuración de un firewall (ipchains, iptables)
Los cortafuegos, unos mecanismos bastante extendidos para proteger
un equipo o una red de estos. También conocidos como "firewalls", los
podemos encontrar como dispositivos externos al PC (conectados
entre la máquina a proteger y la red), o bien como un software
implementado sobre un sistema operativo. Los primeros son
denominados "Hardware Firewall" (cortafuegos por hardware) y los
segundos, más comunes entre los usuarios 'de a pie' se conocen
como "software firewall" (cortafuegos por software).
Cortafuegos de Estado: Este firewall comprobará el estado del paquete en la
transmisión diferenciando entre una nueva conexión y otra ya existente.
Cortafuegos de capa de aplicación: Tiene en cuenta el contenido del paquete
a nivel de aplicación, pudiendo hacer así un filtrado más específico.
Cortafuegos de filtrado de paquetes: Con este tipo analizamos y filtramos los
paquetes transmitidos o recibidos, según alguno parámetros designados
previamente como por ejemplo direcciones IP, puertos a usar, origen,
destino.
4. Existen cuatro tablas a aplicar dentro de IPtables:
filter, mangle, nat y raw; que a su vez contienen tres cadenas: INPUT,
OUTPUT y FORWARD. Vamos a utilizar la tabla "filter", y lo podremos
hacer de dos formas. Una sería aceptar todos los paquetes entrantes al
equipo e ir restringiendo uno a uno los paquetes que nos interesen;
esta sería la política conocida como ACCEPT. La otra forma de filtrar
paquetes sería el opuesto, denegar el acceso a todos los paquetes y se
van permitiendo los paquetes que queramos; esta segunda política de
filtrado se conoce como DROP.
Para especificar qué tipos de paquetes acceden o salen de nuestro
equipo, tenemos que describirlos de una forma determinada para que
IPtables nos comprenda. Para esto necesitamos órdenes y parámetros
con los que formular la regla debidamente.
Configuración de un firewall (ipchains, iptables)
5. Configuración de un firewall (ipchains, iptables)
Ordenes:
IPtables –F: flush (borrado, vaciado) de todas las reglas IPtables –L: listado de reglas que
se están aplicandoIPtables –A: añadir regla IPtables –D: borrar una regla
Etc...
Estos son varios de los parámetros que usaremos para configurar las reglas de IPtables.
-p [protocolo]: Protocolo al que pertenece el paquete. -s [origen]: dirección de origen del
paquete, puede ser un nombre de host, una dirección IP normal, o una dirección de red
(con máscara, de forma dirección/máscara). -d [destino]: Al igual que el anterior, puede
ser un nombre de host, dirección de red o dirección IP singular. -i [interfaz-
entrada]: Especificación del interfaz por el que se recibe el paquete. -o [interfaz-
salida]: Interfaz por el que se va a enviar el paquete. [!] -f: Especifica que la regla se
refiere al segundo y siguientes fragmentos de un paquete fragmentado. Si se antepone !,
se refiere sólo al primer paquete, o a los paquetes no fragmentados. -j [target]: Nos
permite elegir el target al que se debe enviar ese paquete, esto es, la acción a llevar a
cabo con él.
Ahora vamos con un ejemplo de una regla que acepta conexiones al puerto 80 del
sistema.
iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT
6. Configuración de un firewall (ipchains, iptables)
Y aquí la descripción de cada componente del anterior comando:
iptables: comando para IPtables (no hay que olvidar que las reglas son un Shell script) -
A: append, opción para añadir la regla INPUT: estado del paquete (al entrar es INPUT) -i
eth0: interfaz de red eth0 -s 0.0.0.0/0:dirección de acceso (cualquiera en este caso) -p
TCP: tipo de puerto --dport: puerto de destino -j ACCEPT:destino del paquete (se acepta
aunque aquí podría ser DROP, LOG, REJECT,..)
Pues ya tenemos y conocemos todo lo básico para crear un firewall por software en Linux
a nuestra medida.
Así que ahora pongámonos manos a la obra y lo primero será cortar todas las
comunicaciones con esta línea:
sudo iptables -P INPUT DROP
Así lo que decimos a IPtables es que no permita el paso de ningún paquete de datos, y
esto incluye incluso los salientes, por lo que si hacemos la comprobación,
comprobaremos que no tenemos conexión a Internet. Esto lo podemos arreglar
fácilmente si usamos la siguiente línea.
sudo iptables -A INPUT -i lo -j ACCEPT
7. Configuración de un firewall (ipchains, iptables)
Muy bien, ahora ya podemos navegar, pero indaguemos en algunas web y comprobemos
que la carga de contenido está restringida, es decir, sí podemos navegar, pero no vemos
imágenes, contenido flash y cualquier otro componente de una web de hoy día. Esto se
debe a que con la línea anterior hemos permitido el acceso de nuestro equipo (con 'lo'
que IPtables traduce como localhost, es decir, nuestro ordenador) a Internet, pero no al
contrario. Fijemos entonces una norma que nos permita una navegación adecuada y
segura a la par con la siguiente línea de comandos:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Así decimos a IPtables que permita la entrada de datos al equipo, pero únicamente
aquellos paquetes que estén relacionados directamente con las solicitudes que nuestro
equipo ha emitido.
Pues ya tenemos configurado nuestro cortafuegos por software con IPtables, sólo
comentar una última cosa, y es que estas reglas desaparecen al apagar la máquina, por lo
que al iniciarlas tendremos que volver a introducirlas. A no ser que programemos un
script que se ejecute durante el inicio del sistema.
Aquí les dejare un video para crear scripts que se ejecute durante el inicio de sesión
https://youtu.be/IRkU6alU0MI
https://www.macnux.eu/configurar-iptables-guia-esencial/
8. Restricción de acceso a servicios (TCP_wrappers)
TCP Wrapper es un sistema que nos permite permitir, denegar o filtrar el acceso a los
servicios de un servidor con sistema operativo UNIX (como por ejemplo Linux o BSD).
Los ficheros principales implicados en TCP Wrappers son “/etc/host.allow” y
“/etc/host.deny”. En el fichero /etc/host.allow se indican las políticas permisivas y en
el fichero /etc/host.deny las políticas restrictivas.
Las políticas o reglas para filtrar el acceso al servidor desde la red se definen de la
siguiente forma:
Demonios o lista de demonios del sistema : Lista de equipos : Acción a realizar
A continuación detallamos cada campo:
– Demonios: Son servicios que existen en sistemas operativos Unix como por ejemplo
sshd (servicio SSH), slapd (servicio LDAP) o proftpd (servicio FTP). Para crear una
regla común para varios demonios debemos indicar su nombre separados por comas.
Existe también el comodín “ALL” que hace que dicha política afecte a todos los
demonios del sistema.
– Lista de equipos: En este campo indicamos a que equipos aplicamos esta política.
Podemos indicar una dirección IP, un rango de direcciones IP, o un nombre de
dominio. También podremos usar el comodín “ALL” para que esta política afecte a
todos los equipos que intenten acceder. También existe el operador “EXCEPT” que
nos permite eliminar de la regla uno o varios equipos.
9. Restricción de acceso a servicios (TCP_wrappers)
– Acción a realizar: Aquí debemos indicar si la política permite el acceso o
deniega el acceso a los demonios indicados anteriormente. Las palabras que se
usa denegar el acceso es “deny”. En caso de dejar este campo vacío, significa
que permitimos el acceso a los demonios y equipos indicados. Opcionalmente,
podemos enviar comandos con la directiva “spawn”. Esta directiva suele ser
utilizada para la creación de registros de conexión al propio equipo. Existe
también la directiva “twist” quesustituye el servicio o demonio solicitado por el
comando que le hemos especificado. Esto significa que por defecto se deniega el
acceso. Esto es muy útil para la creación de honeypost.
Ejemplo de uso de TCP Wrapper
Como primer ejemplo vamos a denegar el acceso a un servidor SSH instalado en
el equipo solo a una determinada IP. Al ser una política permisiva (permite el
acceso a todos los equipos excepto a la IP que se le indica) la vamos a definir
utilizando el fichero /etc/host.allow .
Escribiremos lo siguiente para aplicar esta política:
10. Restricción de acceso a servicios (TCP_wrappers)
sshd —> Deminio del servicio SSH
192.168.5.135—> Ip a la que vamos a aplicar la política
deny —> Denegamos el acceso
Comprobamos que desde el equipo con la IP 192.168.5.135 no se puede acceder
al servicio SSH:
A continuación vamos a denegar el acceso al servicio SSH a todos los equipos.
Además, gracias a la directiva “spawn” vamos a guardar un registro del intento
de conexión a nuestro servidor. Con %d imprimimos el demonio que denegamos
y %h el equipo que se intenta conectar.
11. Restricción de acceso a servicios (TCP_wrappers)
Una vez que un equipo se intenta conectar a la máquina en la que tenemos la
política anterior configurada, se crea una linea en el fichero que hemos indicado
con el demonio al que hemos denegado el acceso y la IP desde donde se
intentaba conectar.
http://redespnfi.blogspot.com/2016/06/restriccion-de-acceso-servicios-
tcp.html#:~:text=junio%20de%202016-
,restricción%20de%20acceso%20a%20servicios%20(TCP%20wrappers),son%20“%2Fetc%2Fhost.
12. Configuración de un servidor Kerberos; VPN’s con IPsec
Cuando se configure Kerberos, primero instale el KDC. Si es necesario configurar servidores
esclavos, instale el maestro primero.
Para configurar el primer KDC de Kerberos, siga estos pasos:
Asegúrese que la sincronización de hora y DNS estén funcionando correctamente en todos los
clientes y máquinas del servidor antes de continuar Kerberos. Preste una atención especial a la
sincronización entre el servidor Kerberos y sus clientes. Si la diferencia horaria entre el servidor
y el cliente es mayor a cinco minutos (esto es configurable en Kerberos 5), los clientes de
Kerberos no podrán autenticarse en el servidor. Esta sincronización es necesaria para prevenir
que un atacante utilice un comprobante antiguo de Kerberos enmascarado como el de un
usuario válido.
Es recomendable configurar una red cliente/servidor compatible con el Protocolo de Horario de
Red (NTP, por las siglas en inglés de Network Time Protocol), aún cuando no se esté utilizando
Kerberos. Fedora incluye el paquete ntp para este propósito. Consulte /usr/share/doc/ntp-
<version-number>/index.html (donde <version-number> es el número de versión del
paquete ntp instalado en su sistema) para conocer detalles acerca de cómo configurar
servidores con Protocolos de Horario de Red, o http://www.ntp.org, para obtener más
información acerca de NTP.
Instale los paquetes krb5-libs, krb5-server y krb5-workstation en la máquina dedicada que
correrá KDC. Esta máquina necesita ser muy segura — si es posible, no debe correr ningún otro
servicio más que KDC.
13. Configuración de un servidor Kerberos; VPN’s con IPsec
Edite los archivos de configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para
reflejar el nombre del reinado y los mapeos dominio-a-reinado. Un reinado simple puede ser
construido reemplazando instancias de EJEMPLO.COM y ejemplo.com con el nombre
correcto del dominio — siendo seguro mantener la forma correcta de los nombres en
mayúscula y en mínuscula — y cambiando el KDC de kerberos.elemplo.com al nombre del
servidor kerberos. Por convención, todos los nombres de reinados se escriben en
mayúsculas, y todos los nombres de equipos y de dominios DNS en minúsculas. Para
obtener información detallada acerca de los formatos de estos archivos de configuración,
consulte sus respectivas páginas man.
Genere la base de datos usando el utilitario kdb5_util desde una terminal:
/usr/kerberos/sbin/kdb5_util create –s
El comando create genera la base de datos que almacena las clves para el reinado de
Kerberos. El interruptor -s obliga a la creación de un archivo stash en el cual la clave del
servidor principal es almacenada. Si no existe un archivo stash desde donde poder leer la
clave, el servidor kerberos (krb5kdc) le pedirá al usuario que ingrese la contraseña principal
del servidor (que puede ser utilizada para generar nuevamente la clave) cada vez que se
inicie.
Edite el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es usado por kadmind para
determinar qué principales tienen acceso administrativo a la base de datos de Kerberos y
sus niveles de acceso. La mayoría de las organizaciones pueden obtenerlo por una única
línea:
*/admin@EJEMPLO.COM *
14. Configuración de un servidor Kerberos; VPN’s con IPsec
La mayoría de los usuarios se representan en la base de datos por un principal único
(con una instancia NULL, o vacía, tal como juan@EJEMPLO.COM). En esta
configuración, los usuarios con un segundo principal con una instancia
de admin (por ejemplo, juan/admin@EJEMPLO.COM) pueden manejar con poder
completo sobre el reinado de la base de datos de Kerberos.
Después de que se inicie kadmind en el servidor, cualquier usuario puede acceder
sus servicios ejecutando kadmin en cualquier cliente o servidores en el reino. Sin
embargo, sólo los usuarios listados en el archivo kadm5.acl pueden modificar la
base de datos de ninguna forma, excepto para cambiar sus propias contraseñas.
Nota
La herramienta kadmin permite la comunicación con el servidor kadmind a través de
la red, y utiliza kerberos para manipular la autenticación. Consecuentemente, el
primer principal debe existir previamente antes de intentar conectarse con el servidor
a través de la red para administrarlo. Genere el primer principal con el
comando kadmin.local, que ha sido específicamente diseñado para ser utilizado en el
mismo equipo en el que funciona el KDC, y no utiliza Kerberos para su autenticación.
Ingrese el comando siguiente kadmin.local en la terminal KDC para crear el primer
principal:
/usr/kerberos/sbin/kadmin.local -q "addprinc nombreusuario/admin"
15. Configuración de un servidor Kerberos; VPN’s con IPsec
Inicie Kerberos usando los siguientes comandos:
/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start
Agregue principales para los usuarios mediante el comando addprinc dentro
de kadmin. kadmin y kadmin.local son interfaces de líneas de comando al KDC. Como este, existen
disponibles otros comandos — como por ejemplo addprinc — luego de iniciar el programa kadmin.
Para obtener mas información, consulte la página man de kadmin.
Verifique que KDC está emitiendo tiques. Primero, corra kinit para obtener un tique y guardarlo en
un archivo cache de credencial. Luego, use klist para ver la lista de credenciales en el caché y
use kdestroy para destruir el caché y las credenciales que contiene.
Nota
Por defecto, kinit intenta autenticarse utilizando el mismo nombre de usuario del de inicio de sesión
(no el del servidor Kerberos). Si ese nombre de usuario no se corresponde con un principal en la base
de datos de Kerberos, kinit envía un mensaje de error. Si eso sucede, indiquele a kinit el nombre del
principal correcto, como un argumento en la línea de comando (kinit <principal>).
Una vez que estos pasos sean completados, el servidor Kerberos ya debería estar listo y
ejecutándose.
16. Configuración de un servidor Kerberos; VPN’s con IPsec
Una Virtual Private Network (VPN) se podría decir que es
una extensión de una red local, de esta manera podemos
conectar a una red a miles de kilómetros como si
estuviéramos físicamente en ella. Hay que tener en
cuenta, que la información que estamos tratando
va encriptada y solamente es funcional para los que
estén dentro de esta. El costo es mínimo, y hoy en día es
una de las maneras más factibles a la hora de conectar.
http://redespnfi.blogspot.com/2016/06/configura
cion-de-servidor-keberos-y.html?m=1