DIPLOMADO DE PROFUNDIZACIÓN EN LINUX (Ing.

De Sistemas)

Código: 201494A_761

Presentado por:
Edith Jhoana Guzmán Lozano, Código. 1105781012
Grupo: 201494_22

Daniel Andrés Guzman

Director -Tutor

Universidad Nacional Abierta y a Distancia - UNAD

Escuela De Ciencias Básicas, Tecnologías E Ingenierías
Paso 5 - Administrando servicios en GNU/Linux
Ingeniería de sistemas
Bogotá D.C.
2020
 INTRODUCCIÓN
La presente actividad tiene como fin complementar los conocimientos fundamentales para
el desarrollo del curso de Diplomado De Profundización En Linux (Opción De Trabajo De
Grado), familiarizando de una manera práctica y didáctica a los alumnos, garantizando así
la adquisición de destrezas, enfocado directamente en interpretar, identificar, aplicar y
aprender en forma clara las reglas del IPTables, GNU/Linux orientado a la protección de
infraestructura, GNU/Linux orientado a la auditoria y seguridad informática. Todo esto se
lleva a cabo con el material indicado por la universidad, logrando así que tome una
importancia para el estudiante conocer estos procedimientos, conceptos y terminología
empleada.
 Objetivo General
Interpretar, identificar, aplicar y aprender en forma clara las reglas del IPTables,
GNU/Linux orientado a la protección de infraestructura, GNU/Linux orientado a la
auditoria y seguridad informática.

Objetivos Específicos
 Desarrollar las tablas planteadas en la actividad describiendo paso a paso la ejecución de
comandos y las evidencias de los resultados obtenidos.
 Entregar de forma documentada todas las actividades y procedimientos técnicos
implementados en la actividad que demuestren la solución propuesta.
 INFORME DE CONTENIDOS DE CONSTRUCCIÓN GRUPAL

Actividad Individual. Paso 6 - Implementando seguridad en GNU/Linux

A. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:
Comandos Función(es), acción o Ejemplo contextualizado de
IPTables finalidad Sintaxis de cada cada comando
comando
Tema 1: Cadenas -A Este es el comando iptables -A INPUT -s 202.5.4.1
y opciones de utilizado para simplemente
comandos y de añadir una regla cuando el
Parámetros orden de las reglas en la
cadena no importa.

-C Este comando puede ser

de ayuda para construir reglas
IPtables complejas pidiéndole
que introduzca parámetros y
opciones adicionales.

-D Borra una regla de una

cadena en particular por
número, puede también
teclear la regla entera e
IPtables borrar la regla en la
cadena que corresponda.

-E Renombra una cadena

definida por el usuario, no
afecta la estructura de la iptables –F
tabla.

-F Libera la cadena
seleccionada, que borra cada
regla de la cadena. Si no se
especifica ninguna cadena,
este comando libera cada
regla de cada cadena.

-h Proporciona una lista de

estructuras de comandos, así
como también un resumen
rápido de parámetros de
comandos y opciones.

-I Inserta una regla en una

cadena en un punto
especificado por un valor
entero definido por el
usuario. Si no se especifica
ningún número, IPtables
colocará el comando en el
tope de la cadena. iptables -L INPUT -n --line-
numbers
-L Lista todas las reglas de la
cadena especificada tras el
comando. Para ver una lista
de todas las cadenas en la
tabla filter por defecto.

-N Crea una nueva cadena

con un nombre especificado
por el usuario. iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
-P Configura la política por iptables -P FORWARD
defecto para una cadena en ACCEPT
particular de tal forma que
cuando los paquetes
atraviesen la cadena completa
sin cumplir ninguna regla,
serán enviados a un objetivo
en particular, como puedan
ser ACCEPT o DROP.

-R Reemplaza una regla en

una cadena particular. El
número de la regla debe ser
especificado después del
nombre de la cadena. La
primera regla en una cadena iptables -X
corresponde a la regla
número uno.

-X Borra una cadena

especificada por el usuario.
No se permite borrar ninguna
de las cadenas predefinidas
 para cualquier tabla.

-Z Pone ceros en los

contadores de byte y de
paquete en todas las cadenas
de una tabla en particular.
Tema 2: Opciones de Los diferentes protocolos de iptables -A INPUT -p icmp
coincidencia para el red proveen opciones --icmp-type any -j ACCEPT
protocolo TCP especializadas de
correspondencia, que pueden
(Incluir banderas), ser configuradas para
UDP e ICMP relacionar un paquete
determinado, que utilice el
protocolo en cuestión. Sin
embargo, el protocolo debe -p tcp --dport 3000:3200
ser previamente especificado
en el comando IPtables.

Protocolo TCP
--dport Pone el puerto destino
del paquete.
--sport Pone el puerto de
origen del paquete y usa las
mismas opciones que --dport.
--syn Se aplica a todos los
paquetes TCP diseñados para
iniciar una comunicación,
comúnmente llamados
paquetes SYN. Cualquier
paquete que lleve datos no se
toca.
--tcp-flags <tested flag list>
<set flag list> — Permite
paquetes TCP que tengan
ciertos bits (banderas)
específicos puestos, para que
coincidan con la regla.
Las posibles banderas son:
 ACK
 FIN
iptables -p icmp -h.
 PSH
 RST
  SYN
 URG
 ALL
 NONE

Protocolo UDP
--dport Especifica el puerto
destino del paquete UDP,
mediante el nombre del
servicio, número de puerto, o
rango de números de puertos.
--sport Configura el puerto de
origen del paquete UDP,
usando el nombre de puerto,
número de puerto o rango de
números de puertos.

Protocolo ICMP.
--icmp-type Selecciona el
nombre o el número del tipo
ICMP que concuerde con la
regla. Se puede obtener una
lista de nombres válidos
ICMP.
Tema 3: Módulos con Se debe carga el módulo por Mac
opciones de nombre usando la opción –m. Este módulo debe ser
coincidencia Limit-module Este módulo especificado de forma explícita
permite colocar un límite en con «-m mac» o «--match
cuántos paquetes son mac».
coincididos a una regla Se usa para coincidencias en
particular. las
El módulo limit tiene direcciones Ethernet (MAC) de
habilitada las siguientes los paquetes entrantes, y por
opciones: tanto
 --limit Configura el sólo son útiles para los
número de paquetes que pasan por las
coincidencias en un cadenas PREROUTING e
INPUT.
intervalo de tiempo,
Proporciona sólo una opción:
especificado con un
número y un --mac-source
modificador de Seguida de un «!» opciona, y
 tiempo. luego una dirección ethernet en
notación hexadecimal separada
 --limit-burst por «:», por ejemplo «--
Configura un límite macsource
en el número de 00:60:08:91:CC:B7».
paquetes capaces de
limit
cumplir una regla con
Este módulo debe ser
un tiempo establecido. especificado de forma explícita
con «-m limit» o «--match
-state Habilita la coincidencia
limit».
de estado.
Se usa para restringir la tasa de
El módulo -state coincide un
coincidencias, como por
paquete con los siguientes
ejemplo para suprimir
estados en su conexión:
mensajes de registro. Sólo se
 ESTABLISHED: El
activará un número dado de
paquete seleccionado veces por segundo (por
se asocia con otros defecto, 3
paquetes en una coincidencias por hora, a
conexión establecida. ráfagas de 5). Tiene dos
argumentos opcionales:
 INVALID: El
paquete seleccionado --limit
no puede ser asociado Seguido por un número;
a una conexión especifica el número máximo
de coincidencias de media por
conocida.
segundo a permitir.
 NEW: El paquete El número puede especificar
unidades de
seleccionado está forma explícita, usando
creando una nueva «/second», «/minute», «/hour»,
conexión. o «/day», o abreviadas (de
manera
 RELATED: El que «5/second» es lo mismo
paquete seleccionado que «5/s»).
está iniciando una --limit-burst
nueva conexión en
algún punto de la
conexión existente.

Tema 4: Opciones Una vez que un paquete ha Los siguientes son los
del objetivo y del coincidido con una regla, la objetivos estándar:
listado regla puede dirigir el paquete <user-defined-chain> —
a un número de objetivos Reemplace <user-defined-
diferentes que deciden su chain>
suerte y, posiblemente, toman con el nombre de una cadena
acciones adicionales. Cada definida por el usuario dentro
cadena tiene un objetivo por de la
defecto, el cual es usado tabla. Este objetivo pasa el
si ninguna de las reglas en esa paquete a la cadena objetivo.
cadena coincide con un
paquete o si ninguna de lasACCEPT — Permite que el
reglas que coinciden con el
paquete se mueva hacia su
paquete específica un
destino (o hacia otra cadena, si
objetivo. no ha sido
configurado ningún destino
El comando predeterminado para seguir a esta cadena).
para listar, iptables -L,
proporciona una vista muy DROP — Deja caer el paquete
básica de los filtros por sin responder al solicitante. El
defecto de las cadenas sistema que envía el paquete
actuales de la no es notificado de esta falla.
tabla.
QUEUE — El paquete se pone
Las opciones adicionales en una cola para ser manejado
proporcionan más por una aplicación en el
información. espacio de usuario.

RETURN — Para la
verificación del paquete contra
las reglas de la cadena actual.
Si el paquete con un destino
RETURN cumple una regla de
una cadena llamada desde otra
cadena, el paquete es devuelto
a la primera cadena para
retomar la verificación de la
regla allí donde se dejó. Si la
regla RETURN se utiliza en
una cadena predefinida, y el
paquete no puede moverse
hacia la cadena anterior, el
objetivo por defecto de la
cadena actual decide qué
acción llevar a cabo.

-v — Muestra la salida por

pantalla con detalles, como el
número de paquetes y bytes
 que cada cadena ha visto, el
número de paquetes y bytes
que cada regla ha encontrado y
qué interfaces se aplican a una
regla en particular.

-x Expande los Números en sus

valores exactos. En un sistema
ocupado, el número de
paquetes y bytes vistos por una
cadena en concreto o por una
regla puede estar abreviado
usando K (miles), M(millones),
y G (billones) detrás del
número. Esta opción fuerza a
que se muestre el número
completo.

-n Muestra las direcciones IP y

los números de puertos en
formato numérico, en lugar de
utilizar el nombre del servidor
y la red tal y como se hace por
defecto.

--line-numbers — Proporciona
una lista de cada cadena junto
con su orden numérico en la
cadena. Esta opción puede ser
útil cuando esté intentando
borrar una regla específica en
una cadena o localizar dónde
insertar una regla en una
cadena.

-t — Especifica un nombre de
tabla
Tema 5: Directivas de Las reglas creadas con el Guardar:
control de IPTables, comando iptables son /sbin/service iptables sabe start
guardado de reglas y almacenadas en memoria. — Si se tiene un cortafuegos o
archivos de firewall (es decir,
configuración de Si el sistema es reiniciado /etc/sysconfig/iptables
scripts de control antes de guardar el conjunto existe), todos los iptables en
ejecución son detenidos
de reglas iptables, se perderán
 todas las reglas. Para que las
reglas de filtrado de red
persistan luego de un reinicio
del sistema, estas necesitan
ser guardadas.
Herramienta de configuración
de nivel de seguridad
(system-configsecuritylevel)
— Una interfaz gráfica para
crear, activar y guardar reglas
básicas de cortafuegos.
Control: /sbin/service iptables
<opcion> — Un comando
ejecutado por el usuario root
capaz de activar, desactivar y
llevar a cabo otras funciones
de iptables a través de su
script de inicio. Reemplace
<opcion> en el comando con
alguna de las directivas
siguientes:
completamente y luego
arrancados usando el
comando /sbin/iptables-restore.
La directriz start sólo
funcionará si
no se carga el módulo del
kernel ipchains.
stop — Si el cortafuegos está
en ejecución, se descartan las
reglas del cortafuegos que se
encuentran en memoria y todos
los módulos iptables y
ayudantes son descargados.
Si se cambia la directiva
IPTABLES_SAVE_ON_STOP
dentro del archivo de
configuración
/etc/sysconfig/iptables-config
de su valor por defecto a yes,
se guardan las reglas actuales a
/etc/sysconfig/iptables y
cualquier regla existente se
moverá al archivo
/etc/sysconfig/iptables.save.
restart — Si el cortafuegos
está en ejecución, las reglas del
mismo que se encuentran en
memoria se descartan y se
vuelva a iniciar el cortafuegos
si
está configurado en
/etc/sysconfig/iptables. La
directriz restart sólo funcionará
si no está cargado el módulo
del kernel ipchains.

B. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución

GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz
la creación de las reglas para permitir o denegar las acciones solicitadas.

Interface Tema 1: Tema 2: Zorp GPL Tema 3: Tema Tema 5:

/ Gufw pfsense 4: Firewall
Funcionalidad (ufw) IPCo Builder
p
Descripción Es una Zorp GPL es un firewall pfSense es Firewall
general de la interfaz proxy de código abierto de una Builder, se
gráfica próxima generación con distribución trata de una
Interface uf análisis de protocolo personalizad aplicación
w (Unco profundo. Le permite a de cliente que
mplicate inspeccionar, controlar y FreeBSD Permite
d modificar el tráfico en la adaptado diseñar
FireWall capa de aplicación del para su uso cómodament
) modelo ISO / OSI. Las como e la política
decisiones se pueden tomar Firewall y de seguridad
en base a los datos extraídos Router. Se y luego
del tráfico a nivel de caracteriza aplicarla
aplicación (por ejemplo, por ser de a la máquina
HTTP) y se código cortafuegos
aplican a un determinado abierto, de forma
tipo de tráfico, como puede ser directa,
usuarios o máquinas cliente. instalado en mediante una
Asegura que el una gran conexión
tráfico cumpla con los variedad de SSH
estándares de protocolo ordenadores,
particulares y le permite y además
realizar acciones cuenta con
específicas con el tráfico. una interfaz
web sencilla
para su
configuració
n
Bloquear el Iptables –A INPUT –s
Acceso a nuestro 192.168.1.10/22 –j DROP
equipo desde la
IP
192.168.1.10 a
Través del puerto
22 en función del
protocolo SSH.
Denegar el Iptables –I INPUT –s
acceso a 192.168.1.10 –j DROP
Internet para
El Equipo con IP
192.168.1.10
Restringir el iptables -I INPUT -s
acceso a la https://www.dropbox.com/es
aplicación /
Dropbox URL downloading -j DROP
de descarga

C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:

Firewall / Tema 1: Tema 2: Tema 3: Tema 4: Tema

Característica Endian Smoothwall ConfigServe 5:
s r Security OPNsens IPCo
Firewall e p
(CSF)
Descripción Endian es una Smoothwall es Config
general de distribución una distribución Server
la distribución OpenSource GNU/Linux que Firewall
de Linux, tiene como (CSF) es un
desarrollada objetivo firewall de
para actuar proporcionar un inspección
como cortafuegos o exhaustiva de
cortafuegos y firewall de fácil paquetes
como una administración e (SPI), una
solución instalación, aplicación de
integral para administrable a seguridad y
proteger una través de una detección de
red de interfaz web. intrusos/inici
amenazas o de sesión
externas. para
servidores
Linux. Es
una
herramienta
de seguridad
que puede
proteger su
servidor
contra
ataques,
como la
fuerza bruta
y mejorar la
seguridad del
servidor.
Distribución Endian Smoothwall es
GNU/Linux en Firewall es una distribución
la que está una GNU/Linux.
basada distribución Basado en el
GNU/Linux. kernel de Linux
Endian está 2.6.
basado
originalmente
en IPCop
Características Principalment Cortafuegos
de tráfico e como tanto de entrada
firewall de como de salida.
inspección con Redirección de
estado, puertos.
antivirus Squid (Proxy-
HTTP / FTP, Caché
filtro de transparente o
contenido, no)
antivirus Servidor DHCP,
POP3 / SMTP, DNS y SSH,
antiphishing y entre otros.
herramientas Servidor de
de contra el registro de
spam, SSL / conversaciones
TLS VPN e vía e-mail y IM.
IDS. IDS (Snort).
VPN.
Administración
del ancho de
banda con QoS.
Características Permite Su
De Seguridad configurar funcionamiento
proxys, radica en redes
canales VPN, locales, redes
SSL/TLS. inalámbricas y
Enrutadores, DMZs (zonas
filtrado de desmilitarizadas
datos, además ).
cuenta con Cuenta con un
herramientas sistema de
antivirus y detección o
anti-spam. prevención de
intrusión
(IDS/IPS).
Hardware CPU: Intel Un procesador a
recomendado x86 partir de
para instalación compatible pentium 200 o
(500MHz compatible.
minimum, 128 Mb de
1GHz RAM. Para
recommended servicios
), including adicionales se
VIA, AMD requiere más
Athlon, memoria.
Athlon 64, Un disco duro
Opteron, Intel de al menos 2
Core 2 Duo, Gb. Puede ser
Xeon, IDE o SCSI.
Pentium and Al menos una
Celeron tarjeta de red y
processors otro interfaz, ya
Multi- sea cable
Processor: modem, ADSL
Soporte para u otra tarjeta de
SMP red.
(Symmetric
multi-
Processor).
RAM: 256MB
minimum
(512MB
recommended
) Disk: SCSI,
SATA, SAS
or IDE disk is
required (4GB
minimum)
Network
Cards: 1
Gigabit.
Otras La solución Ejecutar de
características Endian manera eficiente
adicionales Hostspot es en hardware
una completa viejo y barato.
y flexible Desarrollar una
herramienta comunidad de
para manejar usuarios de
el acceso a apoyo
 Internet.
Endian
Hotspot
permite a
hoteles,
librerías,
escuelas,
aeropuertos,
bancos, ciber-
cafes, entre
otros, entregar
a sus clientes
acceso fácil y
seguro a
navegacion
Web
COLABORATIVO
1. Asignación de Roles por estudiante para trabajos Colaborativos.

Tema Tema Tema Temática

Estudiant
Rol Tabla A Tabla Tabla
e Trabajo Colaborativo
B C
Tema 1: Tema Tema
Cadenas 1: 1:
y opciones Gufw Endian
Edith
Compilado de (ufw)  4: Reglas de acceso para permitir o
Jhoana
r comandos denegar el tráfico.
Guzman
y de
Parámetro
s
Luz Stella
Revisor 2: Configuración NAT.
Toloza
Steven
1 Configuración de la instancia para
Andres   GNU/Linux Endian en Virtualbox
Torres
Jairo
Andres Alertas 5: Implementar un Proxy HTTP 
Benavides
Juan
3: Permitir servicios de la Zona DMZ
Camilo Evaluador
para la red
Jaramillo

2. Contexto del problema a solucionar en Seguridad perimetral de forma

colaborativa:
Temática 4: Reglas de acceso para permitir o denegar el tráfico.
Producto esperado:
1. Comunicar la zona Verde con la zona Naranja con el protocolo HTTP y FTP con sus
respectivos puertos.

2. Comunicar la zona Internet con la zona DMZ.

3. Verificar en el tráfico Inter - Zona, la creación de las reglas.

4. Probar desde un navegador Web, las siguientes directivas:

El ingreso del servicio HTTP desde la LAN hacia la zona DMZ. El ingreso del servicio
HTTP desde la LAN hacia la WAN.

El ingreso del servicio HTTP desde la zona DMZ hacia la WAN. El ingreso del servicio
HTTP desde la WAN hacia la zona DMZ. El ingreso del servicio FTP desde la LAN hacia
la WAN.
El ingreso del servicio FTP desde la WAN hacia la zona DMZ.

http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html

CONCLUSIONES
 REFERENCIAS BIBLIOGRAFICAS

Shah, S., & Soyinka, W. (2007). Manual de administración de Linux. (Páginas. 315 - 325).
Recuperado de https://ebookcentral-proquest-
 com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?
docID=3191942&ppg=342
Sanz, M. P. (2008). Seguridad en Linux: Guía práctica. (Páginas. 60 - 76). Recuperado de
https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?docID=3218549&ppg=68
Sanz, M. P. (2008). Seguridad en Linux: Guía práctica. (Páginas. 85 - 95). Recuperado de
https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?docID=3218549&ppg=93
Singh, A. (2013). Instant Kali Linux. (Páginas. 1 - 48). Birmingham [UK]: Packt
Publishing. Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=https://search-ebscohost-com.bibliotecavirtual.unad.edu.co/login.aspx?
direct=true&db=e000xww&AN=656227&lang=es&site=ehost-
live&ebv=EB&ppid=pp_1
Muhammad Arifin, F., Andriana Mutiara, G., & Ismail, I. (2017). Implementation of
Management and Network Security Using Endian UTM Firewall. (Páginas. 1 - 9).
Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?
direct=true&db=edsbas&AN=edsbas.C2217DDD&lang=es&site=eds-
live&scope=site
Muniz, J., & Lakhani, A. (2013). Web Penetration Testing with Kali Linux: A Practical
Guide to Implementing Penetration Testing Strategies on Websites, Web
Applications, and Standard Web Protocols with Kali Linux. (Páginas. 7 – 31).
Birmingham: Packt Publishing., Recuperado de
http://bibliotecavirtual.unad.edu.co/login?url=https://search-ebscohost-
com.bibliotecavirtual.unad.edu.co/login.aspx?
direct=true&db=e000xww&AN=644345&lang=es&site=ehost-
live&ebv=EB&ppid=pp_7
Hilarion Novoa, F. ( 18,07,2019). Escaneo de puertos. [Archivo de video]. Recuperado de:
https://repository.unad.edu.co/handle/10596/27080