Seguridad de las Redes de Informática

2. Configuración de Proxy:
Acceda al menú de configuración de Windows.
En la sección de configuración manual, establezca el control “Utilizar un servidor
proxy” en activado.
Debe comprobar que también este activado el control “Detectar la configuración
automática”.
De forma predeterminada, Windows comprueba si su red local ya tiene
configurado y listo para usar un servidor proxy automático.
Suponiendo que Windows encuentre un archivo PAC, en configuración
automática del proxy establezca el control “Usar script de configuración” en
activado.
Introduzca la dirección del servidor y haga clic en guardar.

3. Configuración de un firewall (ipchains, iptables):
Ipchains: es la herramienta que permite administrar los recursos de tu red a
nivel IP, permitiendo el trafico de determinados paquetes y denegando el
acceso a otros, permite cerrar puertos, redireccionarlos, esconderlos, entre
otros. Es la herramienta necesaria para montar y administrar cortafuegos.
Ipchains se basa en una lista (cadena) de reglas que determinan el
comportamiento y las decisiones a tomar sobre paquetes cuando se alcanzan
una interfaz de entrada y salida. Inicialmente siempre hay cadenas de reglas
que son las básicas y sobre las que se construye todas las demás:
Input.
Output.
Forward.
Con ellas haremos respectivamente alusión a los paquetes que
entran, a los que salen y los que se enruta. Aparte de estas tres básicas se
pueden definir otras por el usuario.
Cada lista de reglas contiene, como se ha comentado anteriormente,
las reglas, a las cuales se va consultando secuencialmente desde la primera a
la última, cuando se encuentra una con la que se coincide el paquete, se
aplica. Si al final de todas las reglas no se ha encontrado ninguna, se adopta la
política por defecto que recordemos tenía dos formas: aceptar o denegar.

4. Los comandos para manipular las listas de reglas son (siempre en mayúsculas):
•N: crea una nueva cadena de reglas.
•X: borra una cadena de reglas que antes debe estar vacía.
•P: cambia la política de la cadena de reglas. Esta puede ser ACCEPT, DENY,
REJET MASQ (esta solo valida en forward).
•L: lista de reglas de la cadena de reglas.
•F: borra todas las reglas.
•Z: pone a cero todos los contadores de byts en todas las reglas de la lista.
Los comandos para manipular las reglas que están dentro de las cadenas:
•A: añade una nueva regla a la cadena.
•I: inserta una regla en una posición indicada.
•R: remplaza una regla.
•D: borra una regla.

5. Iptables: su funcionamiento se basa en aplicar reglas que el mismo firewall ejecute.
Para iniciar/parar/reiniciar Iptables se deben ejecutar estos comandos:
Sudo service iptables star.
Sudo service iptables stop
Sudo service iptables restart.
Los siguientes comandos de IPtables son los siguientes (argumentos de una orden):
•A: append, agrega una regla a una cadena.
•D: delete, borra una regla de una cadena especifica.
•R: replace, remplaza una regla.
•I: insert, inserta una regla en lugar de una cadena.
•L: list, muestra las reglas que le pasamos como argumento.
•F: flush, borra todas las reglas de una cadena.
•Z: zero, pone a cero todos los contadores de una cadena.
•N: new-chai, permite al usuario crear su propia cadena.
•P: policy, explica al kernel que hacer con los paquetes que no coincidan con ninguna
regla.
•E: rename-chain, cambia el orden de una cadena.

6. Configurar reglas por defecto:
La configuración por defecto de un firewall debería ser, bloquear todo exepto
reglas. Para configurar el firewall para que bloquee todas las conexiones
debemos teclear:
•Iptables –P INPUT DROP.
•Iptables –P FORWARD DROP.
•Iptables –P OUTPUT DROP.
Con esto n os quedaremos sin internet, por lo que a continuación debemos de
crear reglas permisivas.
Para aplicar una regla que filtre un determinado puerto, debemos ejecutar:
Iptables –A INPUT –p tcp –sport 22 22, crea una regla para el puerto de origen
tcp 2222.
Para bloquear el tráfico procedente de una determinada IP, debemos de
ejecutar:
Iptables –A INPUT –p tcp –m iprange –src-range 192.168.1.13-192.168.2.19
(ejemplo de IP)
Ver el estado del firewall:
Iptables –L –n –v.
El parámetro L muestra las líneas abiertas. V permite recibir más información
sobre las conexiones y N nos devuelve las direcciones IP y sus
correspondientes puertos sin pasar por un servidor DNS.

7. Eliminar las reglas existentes:
Iptables –F, permitir conexiones entrantes.
Teclearemos los siguientes parámetros:
Iptables –A INPUT –i [interface] –p [protocolo] –dport [puerto] –m state – state
NEW,ESTABLISHED –j ACCEPT i-: debemos de configurar la interfaz, por ejemplo,
eth0. Esto es útil en casi de tener varias tarjetas de red, si tenemos solo una no
tenemos porque especificar este parámetro.
-p: protocolo. Debemos especificar si el protocolo será TCP o UDP.
-dport: el puerto que queremos permitir, por ejemplo, en caso de HTTP seria el 80.
Un ejemplo para permitir las conexiones entrantes desde páginas web:
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j
ACCEPT
Permitir las conexiones salientes
iptables -A OUTPUT -o [interfaz] -p [protocolo] –sport [puerto] -m state –state
ESTABLISHED -j ACCEPT
-o: debemos configurar la interfaz, por ejemplo, eth0, al igual que en el caso anterior.
-p: protocolo. Debemos especificar si el protocolo será TCP o UDP.
–sport: el puerto que queremos permitir, por ejemplo, en caso de HTTPS sería el
443.
Un ejemplo para permitir el tráfico saliente hacia páginas web:
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j
ACCEPT
Permitir los paquetes ICMP

8. Restricción de acceso a servicios (TCP_wrappers).
TCP_wrappers, se define como un sistema que permite denegar o filtrar el
acceso a los servicios de un servidor con sistema operativo UNIX.
Las políticas y reglas para filtrar el acceso al servidor desde la red se definen de la
siguiente forma:
Demonios o lista de demonios del sistema: son servidores que existen en
sistemas operativos UNIX como por ejemplo SSHD o PROFTPD. Para crear una regla
común para varios demonios debemos indicar su nombre separados por comas.
Existe también el comodín “ALL” que hace que dicha política afecte a todos los
demonios del sistema.
Lista de equipos: en este campo indicamos a que equipos aplicamos esta
política. Podemos indicar una dirección IP, un rango de direcciones IP o un nombre de
dominio. También podemos usar el comodín “ALL” para que esta política afecte a
todos los equipos que intenten acceder. También existe el operador “EXCEPT” que
nos permite eliminar de la regla uno o varios equipos.
Acción a realizar: aquí debemos indica si la política permite el acceso o
deniega el acceso a los demonios indicados anteriormente. Las palabras que usa
denegar el acceso es “deny”. En caso de dejar este campo vacio, significa que
permitimos el acceso a los demonios y equipos indicados.

9. Configuración de un servidor de Kerberos.
1. Abra TSM en un navegador: https://<nombre-equipo-tsm>:8850.
2. Haga clic en Acceso e identidad de los usuarios en la pestaña Configuración y
luego en Método de autenticación.
3. En Método de autenticación seleccione –kerberos en el menú desplegable.
4. En Kerberos seleccione Habilitar Kerberos para el inicio de sesión único.
5. Para copiar el archivo keytab en el servidor haga clic en Seleccionar archivo y
luego acceda al archivo desde su equipo.
6. Haga clic en Guardar cambios pendientes cuando haya introducido dicha
información.
7. Haga clic en Cambios pendientes en la parte superior de la página.
8. Haga clic en Aplicar cambios y reiniciar.

10. VPN’s con IPsec.
Una conexión VPN puede vincular dos LAN o un usuario de acceso
telefónico remoto a una LAN. El tráfico que fluye entre estos dos puntos pasa a
través de recursos compartidos tales como enrutadores, conmutadores y otros
equipos de red que forman la WAN pública. Para proteger la comunicación VPN
mientras se pasa a través de la WAN, los dos participantes crean un túnel de
seguridad IP (IPsec).
IPsec es un conjunto de protocolos relacionados para proteger las
comunicaciones de forma criptográfica en la capa de paquetes IP. IPsec también
proporciona métodos para la negociación manual y automática de asociaciones
de seguridad (SAs) y la distribución de claves, todos los atributos para los que se
recopilan en un dominio de interpretación (DOI). El DOI de IPsec es un
documento que contiene definiciones para todos los parámetros de seguridad
necesarios para la negociación correcta de un túnel VPN.