Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Nota: No se los descarguen en clase, que si no el resto de las aulas no podrán utilizar
internet. Compartan los programas una vez descargados montando en un equipo un
repositorio con los programas utilizados en cada tema.
Página 1
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Índice de contenido
1. Seguridad perimetral......................................................................................................2
2. Cortafuegos. Iptables.....................................................................................................2
3. Práctica 7.1. Script iptables. .........................................................................................7
4. Archivos logs. Práctica 7.2............................................................................................8
5. Cortafuegos Gráfico. Firestarter y fwbuilder.................................................................8
6. Configuración Router-Firewall Linksys. Práctica 7.3...................................................8
7. Configuración de cortafuegos con entorno gráfico. Práctica 7.4..................................8
8. Configuración de proxy. Squid3. Ubuntu. Práctica 7.5.................................................8
9. Proxy transparente. Squid – iptables.............................................................................9
10. Configuración de proxy squid Windows 7/Server.....................................................10
11. Optativo. Saltarse un proxy. Squid – VPN - Control remoto.....................................10
12. Mantenimiento de listas negras (blacklist)................................................................10
Actividades
1. Seguridad perimetral
Analiza la noticia “Chinos aprenden a evitar el Gran Firewall de internet”,
encontrada en:
http://www.bbc.co.uk/mundo/ciencia_tecnologia/2010/03/100320_china_interne
t_control_censura_firewall_jp.shtml, e indica:
◦ ¿Qué es el gran firewall? ¿Quién controla dicho firewall? ¿Para qué?
◦ ¿Qué tipo de palabras y webs son censuradas? ¿Por qué?
◦ ¿Qué porcentaje y cómo consiguen eludir el gran firewall? ¿Mediante qué
aplicaciones?
◦ Práctica: Instala TOR en Windows/Linux, y realiza una prueba mirando
cual es tu ip pública antes de activarlo y después. Por último comprueba la
navegación. Nota: se puede realizar implementando el plugin en el
navegador del firefox.
¿Qué es el gran firewall? ¿Quién controla dicho firewall? ¿Para qué?
Despliega mucha gente para vigilar y seguir las actividades online de las personas.
Página 2
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Un 20% son los que consiguen eludir el gran firewall, esto lo consiguen con la
disponibilidad del software libre, de código abierto, y peer-to-peer (P2P, red de pares),
como Tor.
2. Cortafuegos. Iptables
Para empezar a utilizar iptables primero debes entender como funciona. Estudia
la documentación del libro y después el pdf “Documentacion de iptables”. Es
muy importante que entiendas cuando se procesan las reglas, y eso está
resumido en la imagen del capítulo.
MUY IMPORTANTE. Cuidado con el orden en el cual disponemos las reglas.
IPTABLES LEE DE MANERA SECUENCIAL LAS CADENAS DE REGLAS.
Es decir, comienza por la primera y verifica que se cumpla la condición y la ejecuta sin
verificar las siguientes.
Por consiguiente, si la primera regla en la tabla filter de la cadena input es rechazar
cualquier paquete, las siguientes reglas no serán verificadas, y se rechazará cualquier
paquete.
Lista las reglas de todas las cadenas de la tabla por defecto (no debe aparecer
ninguna regla).
Página 3
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
$ sudo su
$ iptables -L
Lista las reglas de la cadena INPUT de la tabla filter. ¿Qué significa que sea una
regla INPUT?
$ iptables --t filter -L INPUT --line-numbers
Nota: ¿Qué significa cada una de las columnas?
Para borrar la regla dos opciones:
$ iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP
$ iptables -D INPUT 1
Cambia la política por defecto para la cadena FORWARD de la tabla filter. ¿Para
qué servía la cadena FORWARD?
$ iptables --t filter -P FORWARD DROP
Página 4
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Punto 16.
Virtual Host por puertos.
Página 5
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
# cat efrenleon.com
Listen 8080
<VirtualHost *:8080>
ServerAdmin root@efrenleon.com
DocumentRoot /var/www/efren/efrenleon/
ServerName www.efrenleon.com
ErrorLog /var/log/apache2/www.efrenleon.com-error_log
CustomLog /var/log/apache2/www.efrenleon.com-access_log common
</VirtualHost>
# cat efren.com
Listen 8081
<VirtualHost *:8081>
ServerAdmin root@efren.com
DocumentRoot /var/www/efren/efren/
ServerName www.efren.com
ErrorLog /var/log/apache2/www.efren.com-error_log
CustomLog /var/log/apache2/www.efren.com-access_log common
</VirtualHost>
#cat leon.com
Listen 8082
<VirtualHost *:8082>
ServerAdmin root@leon.com
DocumentRoot /var/www/efren/leon/
ServerName www.leon.com
ErrorLog /var/log/apache2/www.leon.com-error_log
CustomLog /var/log/apache2/www.leon.com-access_log common
</VirtualHost>
Reiniciamos apache
# service apache2 restart
Página 6
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Utiliza el comando nmap para averiguar los puertos abiertos en tu servidor desde
cualquier otro equipo. Nota: si no aparece escuchando los puertos 8080, 8081 y
8082 no continúes hasta arreglar y poner bien el virtual host por puertos.
$ nmap 172.31.22.98
Introduce una nueva regla para evitar que el host 172.31.22.200 se contacte a
través de ssh con tu equipo.
$ iptables -I INPUT -s 172.31.22.200 -p tcp --dport 22 -j REJECT
$ iptables -L --line-numbers
Página 7
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Has que sólo el equipo host 172.31.22.200 pueda hacer un ping a tu equipo.
Comprueba que funciona haciendo los ping correspondientes
$ iptables -A INPUT ! -s 172.31.22.200 -p icmp -j DROP
$ iptables -L --line-numbers
Supón que quieres que el equipo 172.31.22.200 no pueda hacerte ping, pero que
tú si puedas hacerle ping a él. Puede “que se te ocurra” lo siguiente:
$ iptables -A INPUT -s 172.31.22.200 -p icmp -j DROP
$ iptables -L --line-numbers
Sin embargo, pronto te darás cuenta, que no funciona porque un ping implica un
paquete de ida o echo-request y un paquete de vuelta o echo-replay, y al hacer DROP
de todos los paquetes icmp estamos descartando la comunicación en ambos sentidos.
Por tanto, interesa descartar que el equipo 172.31.22.200 pueda hacer un echo-request a
nuestro equipo, pero que sí pueda enviarnos un paquete de echo-replay como respuesta.
Por ello, debes reemplazar la línea anterior por:
$iptables -R INPUT 1 -s 172.31.22.200 -p icmp --icmp-type echo-request
-j DROP
Página 8
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Página 9
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Página
10
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Página
11
IES Siete Palmas – Seguridad y alta disponibilidad Profesor: Efrén León
Página
12