Documente Academic
Documente Profesional
Documente Cultură
De Sistemas)
Código: 201494A_761
Presentado por:
Edith Jhoana Guzmán Lozano, Código. 1105781012
Grupo: 201494_22
Objetivos Específicos
Desarrollar las tablas planteadas en la actividad describiendo paso a paso la ejecución de
comandos y las evidencias de los resultados obtenidos.
Entregar de forma documentada todas las actividades y procedimientos técnicos
implementados en la actividad que demuestren la solución propuesta.
INFORME DE CONTENIDOS DE CONSTRUCCIÓN GRUPAL
-F Libera la cadena
seleccionada, que borra cada
regla de la cadena. Si no se
especifica ninguna cadena,
este comando libera cada
regla de cada cadena.
Protocolo TCP
--dport Pone el puerto destino
del paquete.
--sport Pone el puerto de
origen del paquete y usa las
mismas opciones que --dport.
--syn Se aplica a todos los
paquetes TCP diseñados para
iniciar una comunicación,
comúnmente llamados
paquetes SYN. Cualquier
paquete que lleve datos no se
toca.
--tcp-flags <tested flag list>
<set flag list> — Permite
paquetes TCP que tengan
ciertos bits (banderas)
específicos puestos, para que
coincidan con la regla.
Las posibles banderas son:
ACK
FIN
iptables -p icmp -h.
PSH
RST
SYN
URG
ALL
NONE
Protocolo UDP
--dport Especifica el puerto
destino del paquete UDP,
mediante el nombre del
servicio, número de puerto, o
rango de números de puertos.
--sport Configura el puerto de
origen del paquete UDP,
usando el nombre de puerto,
número de puerto o rango de
números de puertos.
Protocolo ICMP.
--icmp-type Selecciona el
nombre o el número del tipo
ICMP que concuerde con la
regla. Se puede obtener una
lista de nombres válidos
ICMP.
Tema 3: Módulos con Se debe carga el módulo por Mac
opciones de nombre usando la opción –m. Este módulo debe ser
coincidencia Limit-module Este módulo especificado de forma explícita
permite colocar un límite en con «-m mac» o «--match
cuántos paquetes son mac».
coincididos a una regla Se usa para coincidencias en
particular. las
El módulo limit tiene direcciones Ethernet (MAC) de
habilitada las siguientes los paquetes entrantes, y por
opciones: tanto
--limit Configura el sólo son útiles para los
número de paquetes que pasan por las
coincidencias en un cadenas PREROUTING e
INPUT.
intervalo de tiempo,
Proporciona sólo una opción:
especificado con un
número y un --mac-source
modificador de Seguida de un «!» opciona, y
tiempo. luego una dirección ethernet en
notación hexadecimal separada
--limit-burst por «:», por ejemplo «--
Configura un límite macsource
en el número de 00:60:08:91:CC:B7».
paquetes capaces de
limit
cumplir una regla con
Este módulo debe ser
un tiempo establecido. especificado de forma explícita
con «-m limit» o «--match
-state Habilita la coincidencia
limit».
de estado.
Se usa para restringir la tasa de
El módulo -state coincide un
coincidencias, como por
paquete con los siguientes
ejemplo para suprimir
estados en su conexión:
mensajes de registro. Sólo se
ESTABLISHED: El
activará un número dado de
paquete seleccionado veces por segundo (por
se asocia con otros defecto, 3
paquetes en una coincidencias por hora, a
conexión establecida. ráfagas de 5). Tiene dos
argumentos opcionales:
INVALID: El
paquete seleccionado --limit
no puede ser asociado Seguido por un número;
a una conexión especifica el número máximo
de coincidencias de media por
conocida.
segundo a permitir.
NEW: El paquete El número puede especificar
unidades de
seleccionado está forma explícita, usando
creando una nueva «/second», «/minute», «/hour»,
conexión. o «/day», o abreviadas (de
manera
RELATED: El que «5/second» es lo mismo
paquete seleccionado que «5/s»).
está iniciando una --limit-burst
nueva conexión en
algún punto de la
conexión existente.
Tema 4: Opciones Una vez que un paquete ha Los siguientes son los
del objetivo y del coincidido con una regla, la objetivos estándar:
listado regla puede dirigir el paquete <user-defined-chain> —
a un número de objetivos Reemplace <user-defined-
diferentes que deciden su chain>
suerte y, posiblemente, toman con el nombre de una cadena
acciones adicionales. Cada definida por el usuario dentro
cadena tiene un objetivo por de la
defecto, el cual es usado tabla. Este objetivo pasa el
si ninguna de las reglas en esa paquete a la cadena objetivo.
cadena coincide con un
paquete o si ninguna de lasACCEPT — Permite que el
reglas que coinciden con el
paquete se mueva hacia su
paquete específica un
destino (o hacia otra cadena, si
objetivo. no ha sido
configurado ningún destino
El comando predeterminado para seguir a esta cadena).
para listar, iptables -L,
proporciona una vista muy DROP — Deja caer el paquete
básica de los filtros por sin responder al solicitante. El
defecto de las cadenas sistema que envía el paquete
actuales de la no es notificado de esta falla.
tabla.
QUEUE — El paquete se pone
Las opciones adicionales en una cola para ser manejado
proporcionan más por una aplicación en el
información. espacio de usuario.
RETURN — Para la
verificación del paquete contra
las reglas de la cadena actual.
Si el paquete con un destino
RETURN cumple una regla de
una cadena llamada desde otra
cadena, el paquete es devuelto
a la primera cadena para
retomar la verificación de la
regla allí donde se dejó. Si la
regla RETURN se utiliza en
una cadena predefinida, y el
paquete no puede moverse
hacia la cadena anterior, el
objetivo por defecto de la
cadena actual decide qué
acción llevar a cabo.
--line-numbers — Proporciona
una lista de cada cadena junto
con su orden numérico en la
cadena. Esta opción puede ser
útil cuando esté intentando
borrar una regla específica en
una cadena o localizar dónde
insertar una regla en una
cadena.
-t — Especifica un nombre de
tabla
Tema 5: Directivas de Las reglas creadas con el Guardar:
control de IPTables, comando iptables son /sbin/service iptables sabe start
guardado de reglas y almacenadas en memoria. — Si se tiene un cortafuegos o
archivos de firewall (es decir,
configuración de Si el sistema es reiniciado /etc/sysconfig/iptables
scripts de control antes de guardar el conjunto existe), todos los iptables en
ejecución son detenidos
de reglas iptables, se perderán
todas las reglas. Para que las completamente y luego
reglas de filtrado de red arrancados usando el
persistan luego de un reinicio comando /sbin/iptables-restore.
La directriz start sólo
del sistema, estas necesitan
funcionará si
ser guardadas. no se carga el módulo del
kernel ipchains.
Herramienta de configuración
de nivel de seguridad stop — Si el cortafuegos está
(system-configsecuritylevel) en ejecución, se descartan las
— Una interfaz gráfica para reglas del cortafuegos que se
crear, activar y guardar reglas encuentran en memoria y todos
básicas de cortafuegos. los módulos iptables y
ayudantes son descargados.
Si se cambia la directiva
IPTABLES_SAVE_ON_STOP
Control: /sbin/service iptables dentro del archivo de
<opcion> — Un comando configuración
ejecutado por el usuario root /etc/sysconfig/iptables-config
capaz de activar, desactivar y de su valor por defecto a yes,
se guardan las reglas actuales a
llevar a cabo otras funciones
/etc/sysconfig/iptables y
de iptables a través de su cualquier regla existente se
script de inicio. Reemplace moverá al archivo
<opcion> en el comando con /etc/sysconfig/iptables.save.
alguna de las directivas restart — Si el cortafuegos
siguientes: está en ejecución, las reglas del
mismo que se encuentran en
memoria se descartan y se
vuelva a iniciar el cortafuegos
si
está configurado en
/etc/sysconfig/iptables. La
directriz restart sólo funcionará
si no está cargado el módulo
del kernel ipchains.
El ingreso del servicio HTTP desde la zona DMZ hacia la WAN. El ingreso del servicio
HTTP desde la WAN hacia la zona DMZ. El ingreso del servicio FTP desde la LAN hacia
la WAN.
El ingreso del servicio FTP desde la WAN hacia la zona DMZ.
http://donjuanblogo.blogspot.com/2012/05/endian-firewall-configuracion-y.html
CONCLUSIONES
REFERENCIAS BIBLIOGRAFICAS
Shah, S., & Soyinka, W. (2007). Manual de administración de Linux. (Páginas. 315 - 325).
Recuperado de https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?
docID=3191942&ppg=342
Sanz, M. P. (2008). Seguridad en Linux: Guía práctica. (Páginas. 60 - 76). Recuperado de
https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?docID=3218549&ppg=68
Sanz, M. P. (2008). Seguridad en Linux: Guía práctica. (Páginas. 85 - 95). Recuperado de
https://ebookcentral-proquest-
com.bibliotecavirtual.unad.edu.co/lib/unadsp/reader.action?docID=3218549&ppg=93
Singh, A. (2013). Instant Kali Linux. (Páginas. 1 - 48). Birmingham [UK]: Packt
Publishing. Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=https://search-ebscohost-com.bibliotecavirtual.unad.edu.co/login.aspx?
direct=true&db=e000xww&AN=656227&lang=es&site=ehost-
live&ebv=EB&ppid=pp_1
Muhammad Arifin, F., Andriana Mutiara, G., & Ismail, I. (2017). Implementation of
Management and Network Security Using Endian UTM Firewall. (Páginas. 1 - 9).
Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?
direct=true&db=edsbas&AN=edsbas.C2217DDD&lang=es&site=eds-
live&scope=site
Muniz, J., & Lakhani, A. (2013). Web Penetration Testing with Kali Linux: A Practical
Guide to Implementing Penetration Testing Strategies on Websites, Web
Applications, and Standard Web Protocols with Kali Linux. (Páginas. 7 – 31).
Birmingham: Packt Publishing., Recuperado de
http://bibliotecavirtual.unad.edu.co/login?url=https://search-ebscohost-
com.bibliotecavirtual.unad.edu.co/login.aspx?
direct=true&db=e000xww&AN=644345&lang=es&site=ehost-
live&ebv=EB&ppid=pp_7
Hilarion Novoa, F. ( 18,07,2019). Escaneo de puertos. [Archivo de video]. Recuperado de:
https://repository.unad.edu.co/handle/10596/27080