Universidad Nacional Autonoma

De Nicaragua
UNAN-LEN

Facultad de Ciencias y Tecnologa

Carrera:
Ing. En Telemtica
Trabajo:
Practica 1 y 2 de SR

Componente:
Seguridad de Redes
Integrantes:
Jorge S. Betanco
Catedratico:
Msc. Aldo Ren Martnez.

A LA LIBERTAD POR LA UNIVERSIDAD!

3.5. Caso prctico

Finalmente en base a la red virtual desplegada para los laboratorios
de la asignatura se pretende configurar la red estableciendo una concreta
configuracin para la mquina que hace de gateway. Esta configuracin
ser persistente, es decir, aunque la mquina se reinicie las reglas
establecidas se cargarn automticamente. Para ello siga las tareas
indicadas a continuacin.

Figura 6. Esquema de configuracin de la red virtual.

Tarea 12.- Cree un nuevo fichero en /root/bin llamado firewall.sh.
Establezca el permiso de ejecucin para el mismo y en la primera lnea
escriba #!/bin/bash

T12.1.- En las primeras lneas del fichero escriba los comandos

iptables necesarios para vaciar todas las reglas. Al menos son 4 comandos
necesarios.

T12.2.- Escriba una regla que permita el reenvo de paquetes a travs

del router desde la red 192.168.0.0/24 para compartir la conexin a
Internet.

T12.3.- Junto con la regla anterior, escriba otra que enmascare todo
el trfico interno para compartir la conexin a Internet.
T12.4.- Para activar de reenvo de paquetes se debe editar el
fichero /etc/sysctl.conf y activar lalnea net.ipv4.ip_forward=1, pero
deber reiniciar el equipo para que tenga efecto. Alternativa mente
puede ejecutar el comando echo 1 > /proc/sys/net/ipv4/ip_forward, pero no
es persistenteal reinicio.

T12.5.- Reinicie la mquina y ejecute como root el script mediante el

comando ./firewall.sh. Compruebe si las mquinas vbox1y vbox2tienen
acceso a Internet usando el comando ping.

Tarea 13.- Edite el fichero /etc/rc.local. Fjese en la existencia de una

ltima lnea con el comando exit 0. Este comando debe permanecer al final
de fichero para evitar problemas de arranque.
T13.1.- Aada una lnea antes del comando exit que ejecute el script
escribiendo la ruta completa del mismo, debera quedar como sigue:
/root/bin/firewall.sh.

T13.2.- Reinicie la mquina ejecutando el comando reboot y compruebe si

tras el reinicio las mquinas internas siguen teniendo conexin a Internet y
se han cargado las reglas iptables.

A partir de aqu se va a establecer una configuracin completa del firewall

aadiendo las reglas correspondientes en el fichero firewall.sh,
asegurndonos as, que la poltica es automticamente cargada en cada
reinicio. Concretamente se trata de determinar qu paquetes estarn
permitidos para salir de la red a travs del firewall. Este primer ejercicio es
de filtrado, por ello debe usar la tabla filter (la cual es usada por omisin).
Los paquetes a analizar son los dirigidos a Internet desde las mquinas
internas de la red, por ello debe usar la cadena FORWARD aadiendo las
reglas mediante -A FORWARD. Siguiendo esta indicacin realice la
siguiente tarea.
Tarea 14.- Aada las reglas indicadas a continuacin, probando en cada
caso si funcionan correctamente, para ello, ejecute el script firewall.sh con
cada cambio que realice.
T14.1.- La primera regla debe establecer en el firewall la poltica
predeterminada de descartar todo el trfico procedente de la red interna que
no haya sido explcitamente aceptado por una regla definida. Compruebe si
opera correctamente mediante el comando ping en las mquinas internas,
asegrese que la mquina Gateway no ha perdido la conexin a Internet.

T14.2.- Cree dos reglas que permitan el trfico DNS saliente y entrante.
Recuerde que el trficoDNS utiliza el protocolo UDP. Para probar si opera
correctamente desde las mquinas internas utilice el comando host con un
nombre de dominio existente.

T14.3.- Intente actualizar la lista de paquetes con aptitude o apt-get update

que ocurre?.
T14.4.- El sistema APT de gestin de paquetes se est conectando a un
proxy de paquetes cuya configuracin puede ver en el archivo

/etc/apt/apt.conf.d/80proxy. Use el comando less para ver el contenido de

este fichero y observe el puerto en el que est el proxy.
Cree las reglas necesarias para tener acceso a este puerto, tanto entrante
como saliente. Compruebe si funciona el comando aptget update cuando
tenga la regla operativa.

T14.5.- Cree las reglas necesarias para que los equipos de la red interna
puedan usar correcta mente el comando ping hacia mquinas externas.
T14.6.- Cree varias reglas para que los equipos de la red interna puedan
salir a Internet y tener trfico WEB (puertos 80/tcp y 443/tcp).

T14.7.- Para evitar instalar un escritorio grfico en las mquinas internas,

instale el paquete elinks, el cual, es un navegador WEB en modo texto.
selo para comprobar si las reglas de la tarea anterior operan
correctamente.