1. Unidad III: Seguridad de las redes.
Autor: Leonardo ruiz
CI: 30,722,831
PNF Informática 2-2
Sección 11
2. Configuración del proxy:
Que es un Proxy?:
Se trata de un dispositivo u ordenador intermedio que permite conectarse a internet de forma
indirecta, ya que es este ordenador el que se conecta directamente a internet. También
conocido como caché web, se trata de un ordenador que se encuentra dentro de una red, de
la cual recibe solicitudes de acceso a internet (HTTP).
Configuración (en Win10):
1. Ir a Configuración / Red e Internet.
2. En las opciones de la izquierda, seleccionar ―Proxy‖.
3. Buscar la opción ―Configuración manual del proxy‖ y activarla.
4. Introducir la dirección IP del proxy y el puerto al que se conecta.
5. Es opcional añadir direcciones que quedan excluidas del proxy.
3. Configuración del Firewall:
Que es un Firewall?:
Un firewall nos permite permitir o denegar el tráfico que va y viene desde una o varias
interfaces de red, podremos controlar el tráfico de forma exhaustiva, porque el firewall
se encarga de comprobar la cabecera de todos los paquetes para ver si cumple con
las reglas definidas en el sistema.
Configuración (en Win10):
1. En el menú principal de esta configuración avanzada tenemos las
políticas predeterminadas de los tres perfiles que tenemos
disponibles: perfil de dominio, perfil privado, público.
2. Si pinchamos en el botón de «Propiedades de Firewall de
Windows Defender«, podremos cambiar las configuraciones
globales de todos los perfiles. Tendremos la posibilidad de habilitar o
deshabilitar el firewall dependiendo del perfil asignado.
3. Por último, podremos configurar la política a seguir si establecemos
un túnel VPN IPsec con el propio equipo, ya que este tipo de
conexiones al estar autenticadas, son confiables y podremos
configurar el firewall para que sea más permisivo si queremos.
4. En la sección de «Supervisión / Firewall» podremos ver todas y
cada una de las reglas que tenemos registradas en el firewall de
Windows, todas las reglas activas aparecerán aquí, y podremos ver
su configuración en detalle.
4. IPtables: De lo que se encarga iptables, dicho de una
forma sencilla, es de analizar cada uno de los paquetes
del tráfico de red entra en una máquina y decidir, en
función de un conjunto de reglas, qué hacer con ese
paquete, siempre desde un punto de vista amplio, ya que
iptables permite hacer muchas cosas diferentes con el
tráfico de red.
IPchains: ipchains es un cortafuegos libre para Linux. Es
el código reescrito del código fuente del
cortafuego IPv4 anterior de Linux. En Linux 2.2, ipchains
es requerido para administrar los filtros de paquetes IP.
ipchains fue escrito porque el cortafuegos IPv4 anterior
utilizado en Linux 2.0 no funcionaba con fragmentos IP y
no permitía que se especifiquen otros protocolos que no
sean TCP, UDP o ICMP.
ipchains ha sido reemplazado por iptables en Linux 2.4 y
superior.
5. Restricción de accesos A
SERVICIOS:
TCP Wrapper es un sistema que nos permite permitir,
denegar o filtrar el acceso a los servicios de un servidor
con sistema operativo UNIX (como por ejemplo Linux o
BSD). Los ficheros principales implicados en TCP
Wrappers son ―/etc/host.
Muchos administradores de sistemas UNIX están
acostumbrados a usar TCP wrappers para administrar el
acceso a determinados servicios de red. Cualquier
servicio de red que se administre con xinetd (así como
también cualquier programa con soporte incorporado
para libwrap) puede usar TCP-wrappers para administrar
el acceso. xinetd puede usar los
ficheros /etc/hosts.allow y /etc/hosts.deny para configurar
el acceso a los servicios del sistema. Como se deduce de
los propios nombres hosts.allow contiene una lista de
reglas que le permiten a los clientes accesar los servicios
de red controlados por xinetd, y hosts.deny a su vez, con
reglas para denegar el acceso.
6. Configuración del servidor
keberos:
Kerberos es un protocolo de autenticación de redes de
ordenador creado por el MIT que permite a dos
ordenadores en una red insegura demostrar su identidad
mutuamente de manera segura. Sus diseñadores se
concentraron primeramente en un modelo de cliente-
servidor, y brinda autenticación mutua: tanto cliente como
servidor verifican la identidad uno del otro. Los mensajes
de autenticación están protegidos para
evitar eavesdropping y ataques de Replay.
Kerberos se basa en criptografía de clave simétrica y
requiere un tercero de confianza. Además, existen
extensiones del protocolo para poder utilizar criptografía
de clave asimétrica.
7. Configuración de un servidor Kerberos básico:
1. Asegúrese de que tanto el reloj como el DNS funcionan correctamente en
todas las máquinas servidores y clientes antes de configurar el Kerberos 5.
Preste especial atención a la sincronización de la hora entre el servidor
Kerberos y de sus clientes. Si la sincronización de los relojes del servidor y de
los clientes se diferencia en más de cinco minutos ( la cantidad
predeterminada es configurable en el Kerberos 5), los clientes de Kerberos no
podrán autentificarse al servidor.
2. Instale los paquetes krb5-libs, krb5-server, y krb5-workstation en una
máquina dedicada que ejecutará el KDC. Esta máquina tiene que ser muy
segura — si es posible, no debería ejecutar ningún otro servicio excepto
KDC.
3. Modifique los archivos de
configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para que
reflejen el nombre de su reino y las correspondencias (mappings) de
dominio a reino. Se puede construir un reino simple sustituyendo las
instancias de EXAMPLE.COM y example.com con el nombre correcto del
dominio siempre y cuando se respete el formato correcto de los nombres
escritos en mayúscula y en minúscula y se cambie el KDC
del kerberos.example.com con el nombre de su servidor Kerberos.
4. Cree la base de datos usando la utilidad kdb5_util desde el intérprete de
comandos del shell: /usr/kerberos/sbin/kdb5_util create –s. El
comando create crea la base de datos que será usada para almacenar las
llaves para el reino Kerberos
8. 5. Modifique el archivo /var/kerberos/krb5kdc/kadm5.acl. Este archivo es
usado por kadmind para determinar cuales principales tienen acceso
administrativo a la base de datos Kerberos y sus niveles de acceso. La
mayoría de las organizaciones pueden resolverse con una sola línea:
*/admin@EXAMPLE.COM * La mayoría de los usuarios serán
presentados en la base de datos por un principal simple (con una
instancia NULL, o vacía, tal como joe@EXAMPLE.COM). Con esta
configuración, los usuarios con un segundo principal con una instancia
de admin (por ejemplo, joe/admin@EXAMPLE.COM) podrán tener todo el
acceso sobre la base de datos del reino Kerberos. Escriba el
comando kadmin.local en una terminal KDC para crear la primera entrada
como usuario principal: /usr/kerberos/sbin/kadmin.local -q "addprinc
username/admin«.
6. Arranque Kerberos usando los siguientes comandos: /sbin/service
krb5kdc start /sbin/service kadmin start /sbin/service krb524 start.
7. Agregue principals para sus usuarios con el
comando addprinc y kadmin. kadmin y kadmin.local son interfaces de
línea de comandos para el KDC. Como tales, muchos comandos están
disponibles después de lanzar el programa kadmin.
8. Verifique que el servidor KDC esté creando tickets. Primero,
ejecute kinit para obtener un ticket y guardarlo en un archivo de
credenciales caché. Luego, use klist para ver la lista de credenciales en
su caché y use kdestroy para eliminar el caché y los credenciales que
contenga.