PASO 6: IMPLEMENTAR SISTEMAS ORIENTADOS A LA PROTECCIÓN,

LA AUDITORIA Y SEGURIDAD INFORMÁTICA

ACTIVIDAD UNIDAD 5 (PRODUCTO INDIVIDUAL).

JOHAN ANDRÉS BOLAÑOS

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX (OPCIÓN DE TRABAJO DE

GRADO)
301120_14

TUTOR:
DAVID ALBERTO CASTAÑO ALDANA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍAS E INGENIERÍAS.
BOGOTÁ ABRIL DE 2019.
 Introducción.

La presente actividad tiene como fin complementar los conocimientos

fundamentales para el desarrollo del curso de Diplomado De Profundización En
Linux (Opción De Trabajo De Grado), familiarizando de una manera práctica y
didáctica a los alumnos, garantizando así la adquisición de destrezas, enfocado
directamente en interpretar, identificar, aplicar y aprender en forma clara las
reglas del IPTables, GNU/Linux orientado a la protección de infraestructura,
GNU/Linux orientado a la auditoria y seguridad informática. Todo esto se lleva a
cabo con el material indicado por la universidad, logrando así que tome una
importancia para el estudiante conocer estos procedimientos, conceptos y
terminología empleada.
 Objetivo General

 Interpretar, identificar, aplicar y aprender en forma clara las reglas del

IPTables, GNU/Linux orientado a la protección de infraestructura,
GNU/Linux orientado a la auditoria y seguridad informática.

Objetivos Específicos

 Desarrollar las tablas planteadas en la actividad describiendo paso a paso

la ejecución de comandos y las evidencias de los resultados obtenidos.

 Entregar de forma documentada todas las actividades y procedimientos

técnicos implementados en la actividad que demuestren la solución
propuesta.
 Desarrollo De La Actividad.

Desarrollar las siguientes tres tablas describiendo paso a paso la ejecución de

comandos y las evidencias de los resultados obtenidos. Es importante evidenciar
claramente cada proceso ejecutado desde las diferentes distribuciones GNU/Linux
que se están utilizando en la solución de la problemática planteada

A. Tabla consolidada para la ejecución de comandos IPtables para reglas de

filtrado:

Comandos Función(Es), Acción O Finalidad Ejemplo

Sintaxis De Cada Comando Contextualizado De
IPtables Cada Comando

-A Este es el comando utilizado para iptables -A INPUT -s

simplemente añadir una regla cuando el 202.5.4.1
orden de las reglas en la cadena no
importa.

-C Este comando puede ser de ayuda

para construir reglas IPtables complejas
pidiéndole que introduzca parámetros y
opciones adicionales.

-D Borra una regla de una cadena en

particular por número, puede también
Tema 1: Cadenas y teclear la regla entera e IPtables borrar la
opciones de regla en la cadena que corresponda.
comandos y de -E Renombra una cadena definida por el
parámetros. usuario, no afecta la estructura de la
tabla.

-F Libera la cadena seleccionada, que iptables –F

borra cada regla de la cadena. Si no se
especifica ninguna cadena, este comando
libera cada regla de cada cadena.

-h Proporciona una lista de estructuras de

comandos, así como también un resumen
rápido de parámetros de comandos y
opciones.

-I Inserta una regla en una cadena en un

 punto especificado por un valor entero
definido por el usuario. Si no se
especifica ningún número, IPtables
colocará el comando en el tope de la
cadena.

-L Lista todas las reglas de la cadena

especificada tras el comando. Para ver iptables -L INPUT -n --
una lista de todas las cadenas en la tabla line-numbers
filter por defecto.

-N Crea una nueva cadena con un

nombre especificado por el usuario.
iptables -P INPUT
-P Configura la política por defecto para
ACCEPT
una cadena en particular de tal forma que
cuando los paquetes atraviesen la iptables -P OUTPUT
cadena completa sin cumplir ninguna ACCEPT
regla, serán enviados a un objetivo en
particular, como puedan ser ACCEPT o iptables -P FORWARD
DROP. ACCEPT

-R Reemplaza una regla en una cadena

particular. El número de la regla debe ser
especificado después del nombre de la
cadena. La primera regla en una cadena
corresponde a la regla número uno.

-X Borra una cadena especificada por el

usuario. No se permite borrar ninguna de iptables -X
las cadenas predefinidas para cualquier
tabla.

-Z Pone ceros en los contadores de byte

y de paquete en todas las cadenas de
una tabla en particular.

Los diferentes protocolos de red proveen iptables -A INPUT -p

opciones especializadas de icmp --icmp-type any -j
Tema 2: Opciones de correspondencia, que pueden ser ACCEPT
coincidencia para el configuradas para relacionar un paquete
protocolo TCP (Incluir determinado, que utilice el protocolo en
banderas), UDP e ICMP cuestión. Sin embargo, el protocolo debe
ser previamente especificado en el
comando IPtables.
Protocolo TCP

--dport Pone el puerto destino del

paquete.
-p tcp --dport
--sport Pone el puerto de origen del 3000:3200
paquete y usa las mismas opciones que -
-dport.

--syn Se aplica a todos los paquetes TCP

diseñados para iniciar una comunicación,
comúnmente llamados paquetes SYN.
Cualquier paquete que lleve datos no se
toca.

--tcp-flags <tested flag list> <set flag list>

— Permite paquetes TCP que tengan
ciertos bits (banderas) específicos
puestos, para que coincidan con la regla.

Las posibles banderas son:

 ACK
 FIN
 PSH
 RST
 SYN
 URG
 ALL
 NONE

Protocolo UDP

--dport Especifica el puerto destino del

paquete UDP, mediante el nombre del
servicio, número de puerto, o rango de
números de puertos.

--sport Configura el puerto de origen del

paquete UDP, usando el nombre de
puerto, número de puerto o rango de
números de puertos.
 Protocolo ICMP.

--icmp-type Selecciona el nombre o el

número del tipo ICMP que concuerde con
la regla. Se puede obtener una lista de
nombres válidos ICMP.

iptables -p icmp -h.

Se debe carga el módulo por nombre

usando la opción –m.

Limit-module Este módulo permite

colocar un límite en cuántos paquetes
son coincididos a una regla particular.

El módulo limit tiene habilitada las

siguientes opciones:

 --limit Configura el número de

coincidencias en un intervalo de
tiempo, especificado con un
número y un modificador de
tiempo.

 --limit-burst Configura un límite en

Tema 3: Módulos con el número de paquetes capaces
opciones de coincidencia de cumplir una regla con un
tiempo establecido.

-state Habilita la coincidencia de estado.

El módulo -state coincide un paquete con

los siguientes estados en su conexión:

 ESTABLISHED: El paquete
seleccionado se asocia con otros
paquetes en una conexión
establecida.

 INVALID: El paquete
seleccionado no puede ser
asociado a una conexión
conocida.

 NEW: El paquete seleccionado

 está creando una nueva conexión.

 RELATED: El paquete
seleccionado está iniciando una
nueva conexión en algún punto de
la conexión existente.

Opciones De Objetivos:

ACCEPT Permite al paquete moverse

hacia su destino.

DROP Deja caer el paquete sin

responder al solicitante.

QUEUE El paquete se pone en una cola

para ser manejado por una aplicación en
el espacio de usuario.

RETURN Para la verificación del paquete

contra las reglas de la cadena actual.

Tema 4: Opciones del Opciones De Listado:

objetivo y del listado
-v Muestra la salida por pantalla con
detalles, como el número de paquetes y
bytes que cada cadena ha visto.

-x Expande los números en sus valores

exactos.

-n Muestra las direcciones IP y los

números de puertos en formato numérico.

--line-numbers Proporciona una lista de

cada cadena junto con su orden numérico
en la cadena.

-t Especifica un nombre de tabla.

Scripts De Control De Iptables.

Tema 5: Directivas de
control de IPTables,
guardado de reglas y Herramienta de configuración de nivel de
archivos de seguridad (system-config-securitylevel):
configuración de scripts Una interfaz gráfica para crear, activar y
de control guardar reglas básicas de cortafuegos.
Para más información sobre como utilizar
esta herramienta, consulte el capítulo
llamado Configuración básica del
cortafuegos en el Manual de
administración del sistema de Red Hat
Enterprise Linux.

/sbin/service iptables <opcion>: Un

comando ejecutado por el usuario root
capaz de activar, desactivar y llevar a
cabo otras funciones de iptables a través
de su script de inicio. Reemplace
<opcion> en el comando con alguna de
las directivas siguientes:

start :Si se tiene un cortafuegos o firewall

(es decir, /etc/sysconfig/iptables existe),
todos los iptables en ejecución son
detenidos completamente y luego
arrancados usando el comando
/sbin/iptables-restore. La directriz start
sólo funcionará si no se carga el módulo
del kernel ipchains.

Stop: Si el cortafuegos está en ejecución,

se descartan las reglas del cortafuegos
que se encuentran en memoria y todos
los módulos iptables y ayudantes son
descargados.

Restart: Si el cortafuegos está en

ejecución, las reglas del mismo que se
encuentran en memoria se descartan y se
vuelva a iniciar el cortafuegos si está
configurado en /etc/sysconfig/iptables. La
directriz restart sólo funcionará si no está
cargado el módulo del kernel ipchains.

Status: Imprime el estado del cortafuegos

una lista de todas las reglas activas al
indicador de comandos. Si no se cargan o
configuran reglas del cortafuego, también
indica este hecho.

Panic: Descarta todas las reglas del

cortafuegos. La política de todas las
tablas configuradas está establecida a
DROP.

Save:Guarda las reglas del cortafuegos a service iptables save

/etc/sysconfig/iptables usando iptables-
save..

Archivo De Configuración De Scripts

De Control De IPtables

El comportamiento de los scripts de inicio

de iptables es controlado por el archivo
de configuración /etc/sysconfig/iptables-
config.

IPTABLES_MODULES: Especifica una

lista separada por espacios de módulos
iptables adicionales a cargar cuando se
activa un cortafuegos. Esto puede incluir
seguimiento de conexiones y ayudantes
NAT.

IPTABLES_MODULES_UNLOAD: Limpia
los módulos al iniciar o detenerse. Esta
directiva acepta los valores siguientes:

 yes: El valor por defecto. Esta

regla se debe configurar para que
alcance un estado correcto para el
inicio o parada del cortafuegos.

 no: Esta opción solamente debería

ser configurada si hay problemas
para limpiar los módulos de
filtrado de paquetes de red.

IPTABLES_SAVE_ON_STOP: Guarda
las reglas del cortafuegos actuales a
/etc/sysconfig/iptables cuando se detiene
el cortafuegos. Esta directiva acepta los
valores siguientes:

 Yes: Guarda las reglas existentes

a /etc/sysconfig/iptables cuande
se detiene el cortafuegos,
 moviendo la versión anterior al
archivo
/etc/sysconfig/iptables.save.

 No: El valor por defecto. No

guarda las reglas existentes
cuando se detiene el cortafuegos.

IPTABLES_SAVE_ON_RESTART:
Guarda las reglas actuales del
cortafuegos cuando este se reinicia. Esta
directiva acepta los valores siguientes:

 Yes: Guarda las reglas existentes

a /etc/sysconfig/iptables cuando
se reinicia el cortafuegos,
moviendo la versión anterior al
archivo
/etc/sysconfig/iptables.save.

 No: El valor por defecto. No

guarda las reglas existentes
cuando se reinicia el cortafuegos.

IPTABLES_SAVE_COUNTER — Guarda
y restaura todos los paquetes y
contadores de bytes en todas las
cadenas y reglas. Esta directiva acepta
los valores siguientes:

 Yes: Guarda los valores del

contador.

 No: El valor por defecto. No

guarda los valores del contador

IPTABLES_STATUS_NUMERIC: Muestra
direcciones IP en una salida de estado en
vez de dominios y nombres de host. Esta
directiva acepta los valores siguientes:
  Yes: El valor por defecto.
Solamente devuelve direcciones
IP dentro de una salida de estado.

 No: Devuelve dominios o nombres

de host en la salida de estado.

B. Tabla de Interfaces o gestores para el control de un cortafuego en una

distribución GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre
cada Interfaz la creación de las reglas para permitir o denegar las acciones
solicitadas.

Interface Tema 1: Tema 2: Tema 3: Tema 4: Tema 5:

Gufw Zorp pfsense Vuurmuur Firewall
/Funcionalidad (ufw) GPL Builder

Descripción general
de la Interface

Bloquear el
Acceso a nuestro
equipo desde la IP
192.168.1.10 a
Través del puerto
22 en función del
protocolo SSH.

Denegar el
acceso a
Internet para El
Equipo con IP
192.168.1.10

Restringir el
acceso a la
aplicación
Dropbox URL de
descarga
 C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo
cortafuegos:

Firewall / Tema 1: Endian Tema 2: Tema 3: Coyote Tema 4: Tema 5:

Características Smoothwall M0n0wall Guarddog

Endian es una Smoothwall es Coyote es una m0n0wall es Guarddog es un

distribución una distribución distribución de un firewall firewall para KDE
OpenSource de GNU/Linux que Linux que basado en con una interfaz
Linux, desarrollada tiene como requiere mínimos FreeBSD que amigable y
para actuar como objetivo recursos, su está bastante fácil de
cortafuegos y como proporcionar un función es crear especialmente configurar.
una solución cortafuegos o un enrutador al indicado para
integral para firewall de fácil que se conecta el usar en Guarddog trabaja
proteger una red de administración e módem del equipos bajo la política
amenazas instalación, ordenador con la embebidos general de
Descripción SElinux,
externas. administrable a distribución, para basados en
General De
través de una adsl o x86, pero
La Distribución
interfaz web. cablemódem. también en
También soporta formato virtual.
dial up y conexión
por la segunda
placa de red a un
concentrador o
switch a las que
se conectan las
PC que van a
compartir Internet.

Endian Firewall es Smoothwall es Actualmente es m0n0wall es Es basado en el

una distribución una distribución basado en el una kernel Linux 2.4 y
Distribución GNU/Linux. GNU/Linux. kernel Linux distribución de 2.6.
GNU/Linux En 2.4.29 linux basada
La Que Está Endian está Basado en el en FreeBSD.
Basada basado kernel de Linux
originalmente en 2.6.
IPCop

Principalmente Cortafuegos tanto Proporciona web interface Soporta DHCP.

como firewall de de entrada como utilidades de (supports SSL)
inspección con de salida. administración FTP, SSH, Telnet,
estado, antivirus basadas en web y wireless Linuxconf, Corba,
HTTP / FTP, filtro Redirección de SSH 2.0, con support SMTP, DNS,
Características puertos. (including Finger, HTTP,
de contenido, soporte QoS..
De Tráfico access point HTTPS, NFS,
antivirus POP3 /
Squid (Proxy- mode) POP2, POP3,
SMTP, antiphishing
Caché SUN RPC, Auth,
y herramientas de
transparente o captive portal NNTP, NETBIOS
contra el spam,
no) Name Service,
SSL / TLS VPN e 802.1Q VLAN
NETBIOS
 IDS. Servidor DHCP, support Session Service,
DNS y SSH, IMAP.
entre otros. IPv6 support

Servidor de stateful packet

registro de filtering
conversaciones
NAT/PAT.
vía e-mail y IM.
DHCP client,
IDS (Snort).
PPPoE and
VPN. PPTP support
on the WAN
Administración interface
del ancho de
banda con QoS. IPsec VPN
tunnels.

PPTP VPN.

Permite configurar Su Proporciona Soporta Permite la

proxys, canales funcionamiento utilidades de certificados implementación
VPN, SSL/TLS. radica en redes administración SSL. de comandos y
Enrutadores, locales, redes basadas en web y de filtros
filtrado de datos, inalámbricas y SSH 2.0. Permite el orientados al
además cuenta con DMZs (zonas restablecimien protocolo.
herramientas desmilitarizadas). to de
antivirus y anti contraseña.
Características spam. Cuenta con un
sistema de Permite el
De Seguridad
detección o reinicio del
prevención de sistema.
intrusión
Administrar
(IDS/IPS).
reglas de
bloqueo.

Tuneles IPsec
VPN.

CPU: Intel x86 Un procesador a Se puede instalar CPU: 433 Se requiere

compatible partir de pentium en un 486 con 12 (LX700) o un contar como
(500MHz minimum, 200 o compatible. MB de memoria AMD (LX800) mínimo en:
1GHz RAM, disquetera y a 500 MHz
Hardware recommended), 128 Mb de RAM. 2 tarjetas de red. que viene CPU 800MHz
Recomendado including VIA, AMD Para servicios No requiere distribuido de
Para Instalación adicionales se 1 GB de disco
Athlon, Athlon 64, monitor, teclado, la siguiente
requiere más duro
Opteron, Intel Core ratón ni disco manera (64KB
2 Duo, Xeon, memoria. duro. instruction + 512MB de
Pentium and 64KB data + memoria RAM
Un disco duro de
Celeron processors 128KB L2 –
al menos 2 Gb.
 Multi-Processor: Puede ser IDE o integrated
Soporte para SMP SCSI. crypto
(Symmetric multi- accelerator
Processor ). RAM: Al menos una (VPN))
256MB minimum tarjeta de red y
(512MB otro interfaz, ya DRAM: 128 o
recommended) sea cable 256 MB DDR
Disk: SCSI, SATA, modem, ADSL u SDRAM (333
SAS or IDE disk is otra tarjeta de o 400 MHz)
required (4GB red.
Almacenamien
minimum) Network
to: Todo el
Cards: 1 Gigabit.
sistema
operativo y
aplicación
pueden
guardarse en
una Compact
Flash, mínimo
recomendado
32MB

Otras
Características
Adicionales
 Conclusiones

 Mediante el desarrollo de esta activad se nos permitió el correcto análisis e

identificación del contenido del curso y sus temáticas, de acuerdo a las
indicaciones dadas.

 Se logra la correcta realización de los requerimientos planteados,

enfocados en interpretar, identificar, aplicar y aprender en forma clara las
reglas del IPTables, GNU/Linux orientado a la protección de infraestructura,
GNU/Linux orientado a la auditoria y seguridad informática.

 Al analizar la temática planteada se puede obtener un análisis que ha

permitido generar un espacio crítico y de aplicación en este tipo de
procesos.

 Mediante el desarrollo de esta actividad se nos permitió la correcta

implementación de las terminologías necesarias en este entorno.
 Referencias Bibliográficas.

 Módulo del curso de Diplomado De Profundización En Linux (Opción De

Trabajo De Grado). UNAD. Bogotá. D.C. Consultado De:
https://campus01.unad.edu.co/ecbti46/course/view.php?id=115

 Muniz, J., & Lakhani, A. (2013). Web Penetration Testing with Kali Linux : A
Practical Guide to Implementing Penetration Testing Strategies on
Websites, Web Applications, and Standard Web Protocols with Kali Linux.
Birmingham: Packt Publishing., Recuperado de
http://bibliotecavirtual.unad.edu.co:2051/login.aspx?direct=true&db=e000xw
w&AN=644345&lang=es&site=ehost-live

 Iptables How To. (2017). Ubuntu Documentación, Recuperado de:

https://help.ubuntu.com/community/IptablesHowTo

 Perpiñán, A. (2008). Seguridad de Sistemas GNU/LINUX. Fundación

Código Libre Dominicano. Recuperado de
http://www.mclibre.org/descargar/docs/manual-fcld/perpinan-gnu-linux-
seguridad-200804.pdf

 Josep, J. E., & Remo, S. B. (2007). Administración avanzada de

GNU/Linux. Universidat Oberta de Catalunya – UOC. Recuperado de
http://hdl.handle.net/10609/226

 Garcia, J. & Perramont, X. (2007), Aspectos avanzados de seguridad en

redes. Universidat Oberta de Catalunya – UOC. Recuperado de
http://hdl.handle.net/10609/204

 Béjar, H. M. D. L. C. (2015). Selección, instalación, configuración y

administración de los servidores de transferencia de archivos (UF1275).
Madrid, ES: IC Editorial. Retrieved from
http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=150&
docID=11148772&tm=1480301092468