Diplomado de Profundización en Linux

Presentado por:
Jairo Andrés Benavides
Código: 87215326

Daniel Andrés Guzmán

Tutor

Grupo: 201494_22

Universidad Nacional Abierta y a Distancia - Unad

Escuela de ciencias básicas, ingenierías y tecnologías
Cead valle del Guamuez
20 abril de 2020
 INTRODUCCION

Este trabajo lo vamos a realizar con el fin de aplicar seguridad en los sistemas de
información, teniendo en cuenta que es una de las necesidades más importantes dentro de
las empresas, lo cual permite a los usuarios tener ciertas restricciones según las funciones
que desempeña cualquier usuario, todo esto se tiene en cuenta de acuerdo a la seguridad y
protección de datos, cumpliendo las normas que están vigentes para no incurrir en
sanciones o perdida de la información
 OBJETIVOS

Objetivo general

- Diseñar un sistema seguro basado en software GNU/Linux para garantizar la seguridad

de la información

Objetivos específicos

- Instalar y configurar de la distribución GNU/Linux Endian (EFW)

- Implementar un Proxy HTTP (No transparente) con políticas de autenticación para
navegación en Internet
- Analizar directivas de control de IPTables
- Explorar temática ipcop
 ACTIVIDAD INDIVIDUAL

Cada integrante del grupo deberá desarrollar en su totalidad la tabla A, la tabla B, la tabla
C, describiendo paso a paso la ejecución de comandos y las evidencias de los resultados
obtenidos. Es importante evidenciar claramente cada proceso ejecutado desde las diferentes
distribuciones GNU/Linux que se están utilizando en la solución de la problemática
planteada

A. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:

Comandos Función(es), acción o Ejemplo contextualizado de cada

IPTables finalidad Sintaxis de cada comando
comando
Tema 5: Las reglas creadas con el Para guardar las reglas
Directivas
comando iptables son
de control
de almacenadas en memoria, si el
IPTables,
sistema es reiniciado antes de
guardado
de reglas y guardar el conjunto de reglas
archivos
iptables, se perderán todas las
de
configuraci reglas.
ón de
Para que las reglas de filtrado
scripts de
control de red persistan luego de un
reinicio del sistema, estas
necesitan ser guardadas, para
hacerlo conectarse con root y
escribir:
/sbin/Service iptables save
Esto ejecuta el script de inicio
de iptables, el cual ejecuta el
programa /sbin/iptables-save y
escribe la configuración actual
de iptables a
/etc/sysconfig/iptables.
Script de control de iptables
Hay dos métodos básicos para
controlar iptables bajo red Hat
Para ver la versión de iptables
Enterprise Linux:
Herramienta de configuración
de nivel de seguridad (system-
config-securitylevel) — Una
interfaz gráfica para crear, Para agregar una regla para impedir que
se haga ping desde nuestra maquina
activar y guardar reglas básicas
de cortafuegos. Para m á s
información sobre cómo
utilizar esta herramienta,
consulte el capítulo llamado
Configuración básica de los
cortafuegos en el Manual de
administración del sistema de
Red Hat Enterprise Linux.
/sbin/Service iptables
<opción>: un comando Para borrar la regla anteriormente
ejecutado por usuario root ingresada
capaz de activar, desactivar y Utilizamos delete
llevar a cabo otras funciones
de iptables a través de su script
de inicio, reemplace opciones
en el comando por alguna de
las opciones
Start: Si se tiene el
contrafuegos o firewall , todos
los iptables en ejecución son
detenidos completamente y
luego arrancados usando el
comando: /sbin/iptables-
restore, start solo funcionara
sino se carga el módulo kernel
ipchains
Stop: Si el cortafuego está en
ejecución, se descartan las
reglas del cortafuegos que se
encuentran en memoria y todos
los módulos iptables y
ayudantes son descargados
Restart: Si el contrafuegos está
en ejecución, las reglas del /etc/sysconfig/iptables
mismo que se encuentran en la
memoria se descartan y se /sbin/service iptables restart
vuelve a iniciar el contrafuegos
Status: Imprime el estado del
contrafuegos una lista de todas
las reglas activas al indicador
de comandos

Archivos de configuración de
scripts de control de iptables
El comportamiento de los
scripts de inicio de iptables es
controlado por el archivo de
configuración
/etc/sysconfig/iptables-config.
Directivas contenidas dentro
de este archivo:
-IPTABLES_MODULES:
especifica una lista separada
por espacios de módulos
iptables adicionales a cargar
 cuando se activa un
contrafuegos
-
IPTABLES_MODULES_UNL
OAD: limpia los módulos al
iniciar o detenerse aceptando
los valores
-Yes: valor por defecto
-No: solo sería configurada si
hay problemas para limpiar los
módulos de filtrado de
paquetes de red
-
IPTABLES_SAVE_ON_STO
P: guarda las reglas del
contrafuegos actuales a
/etc/sysconfig/iptables cuando
se detiene el contrafuegos
-
IPTABLES_SAVE_ON_RES
TART: Guarda las reglas
actuales del contrafuego
cuando este se inicia

B. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución

GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz la
creación de las reglas para permitir o denegar las acciones solicitadas.
 Interface Tema 5: Firewall Builder
/
Funcionalidad
Descripción es una aplicación que permite diseñar políticas de seguridad y luego aplicarlas a
general de la servidores de cortafuegos de una forma fácil y sencilla. Esto no queda restringido a
Linux e Iptables, también se puede utilizar en otros entornos , por ejemplo Unix con su
Interface Ipfilter

Bloquear el
Acceso a
nuestro equipo
desde la IP
192.168.1.10 a
Través del
puerto 22 en
función del
protocolo SSH.
Denegar el
acceso a
Internet para
El Equipo con
IP
192.168.1.10
Restringir el
acceso a la
aplicación
Dropbox
URL de
descarga

C. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:

Firewall / Tema 5: IPCop

Características
Descripción IPCop es uno de los mejores cortafuegos basados en Linux, nos
general de permite gestionar el acceso a Internet, controlar de acceso a páginas
la distribución mediante un filtrado URL, con lo que podemos evitar que nuestros
usuarios ingresen a determinados sitios web (sexo, violencia, etc.)

Distribución IpCop es un firewall software basado en una distribución Linux que

GNU/Linux en tiene la finalidad de brindar un simple y configurable firewall usando
la que está el hardware de una simple computadora
basada Es una distribución Linux que implementa los dos tipos de cortafuegos

Nivel de red: basa su funcionamiento en el filtrado de paquetes estos

operan despreciando paquetes en base a sus direcciones de origen o
destino, o sus puertos, un puerto es una interfaz para comunicarse con
un programa a través de una red, el puerto 0, por ejemplo, es un puerto
reservado, los puertos del 1 al 1023 reciben el nombre de puertos bien
 conocidos, del 1024 a 49151 son llamados puertos registrados y son de
libre utilización y finalmente tenemos los puertos del 49152 al 65535
que son puertos efímeros o de tipo temporal utilizados por lo general
por el equipo cliente al conectar con el servidor, para ejemplificar algo
mas diremos que el servicio HTTP, que nos permite navegar, utiliza el
protocolo TCP, un protocolo orientado a conexión, a través del puerto
80. El firewall de nivel de red realizara el filtrado a la entrada, a la
salida o en ambos lados, permitiendo o no el paso a los paquetes de
datos de forma selectiva basándose en las reglas que estén en él
configuradas, esto quiere decir que si autorizamos un servicio o
programa, el firewall no nos dirá si los datos enviados o recibidos
podrían ser nocivos dado que nosotros lo autorizamos

Nivel de aplicación: Más conocidos como servidores Proxy, actúan

como intermediarios entre un explorador web, e Internet, un servidor
proxy filtra contenidos web y software malintencionado al que puedan
acceder nuestro clientes, con un servidor proxy podemos, por ejemplo,
evitar que nuestros usuarios ingresen a
páginas con contenido sexual, drogas, violencia y otros que podrían
tener repercusiones nocivas al interior de nuestra red. Este tipo de
cortafuegos funciona, básicamente, recibiendo las solicitudes de los
clientes de la red interna y reenviándolas a un servidor externo.
Características Acceso seguro por SSL a la interfase d »» e administración web
de tráfico - DHCP cliente / servidor
- DNS dinámico
- Lista de hosts seteable desde la interfase web
- HTTP / FTP proxy (squid)
- IDS (snort) en todas las interfases
- Log local o remoto
- NTP cliente / servidor
- servidor SSH (PSK o con password)
- Traffic shaping (en la interfase RED)
- “Statefull” Firewall
- Módulos “nat helper” para h323, irc, mms, pptp, proto-gre, quake3
- Port forwarding (redireccionamiento de puertos)
- DMZ pin holes
- Activar o desactivar ping en todas las interfases
- VPN (IPSEC)
- Gráficos de monitoreo de CPU, RAM, swap, HD, tráfico de RED,
etc.

IPCop designa las interfaces de red con colores para asi poderlas
 diferenciar.
Con los siguientes significados:

 RED - que representa la interfaz conectada a internet.

(Conexiones ISP - PPPoE - PPPoA, xDSL, Router)
 GREEN - que representa la interfaz de la red interna. (LAN
Privata)
 BLU - que representa la interfaz de una segunda red interna o
de una red wireless. (WiFi)
 ORANGE - que representa la interfaz de una zona DMZ donde
se encuentran server que ofrecen servicios hacia el exterior de
la red. (Red desmilitarizado)

Características  Servicio Firewall con Gestion e Administracion a través de

De Seguridad reglas. (Port forwarding, Block Out Traffic, acceso externo,
DMZ Pinholes)
 Servicio de DNS dinamicos
 Servicio Proxy Avanzado, a nivel trasparente y aplicación. Con
sistema con autorización de usuario y CRE
 Server DHCP
 Servicio Hosts
 Además de Alias IP
 Gestion Grafica del Traffico
 Time Server
 Gestion Banda

Hardware Requiere un hardware dedicado, pero de muy bajos requerimientos (32

recomendado MB en RAM y un procesador 386 y unos 300MB en disco duro)
para instalación cuenta con una interfase de usuario web lo que facilita mucho la
administración del mismo
Otras  Gestion de 4 tipos de red
características  Netfilter standard con capacidad de NAT y Routing
adicionales  Gestion del tráfico en entrada y salida
 Administracion a travez la web GUI con interfaz fácil de usar
(User friendly)
 Administracion a distancia con protocolo SSH
 Actualizaciones Al vuelo(On the Fly)
 Backup del sistema
 Capacidad de buenas prestaciones con maquinaria anticuada
  Sistema de consultacion de Logs
 Administracion de VPN ilimitadas, con protocolos IPsec y
OpenVPN, con el uso de Certificaciones CA
 Integración con una amplia gama de módulos adicionales
 Dinamismo y capacidad de personalización

Temática 5: Implementar un Proxy HTTP (No transparente) con políticas de autenticación

para navegación en Internet.
Debemos crear una maquina virtual con red tipo hat y habilitamos 3 adaptadores, uno
puente a wan y intranet parar el servidor LAN
Procedemos a instalar endian después de haber descargado la ISO
Siguiendo el asistente de instalación y agregando la ip que en esta caso la que voy utilizar
el 192.168.0.15 el cual lo veremos al terminar la instalación de ENDIAN como lo vemos
en la imagen a continuación
Luego ingresamos al server ingresando la ip 192.168.0.15:10443/ para continuar con su
configuración y contraseña para para admin de la interfaz web como para el ssh root
Esta es la interfaz que se nos muestra. Damos clic en la pestaña de proxy y lo activamos en
la sub pestaña de configuración
Guardamos cambios

1. Crear un perfil y establecer una lista negra bloqueando los siguientes sitios:
 Agregamos los sitios web que vamos a bloquear
www.hotmail.com
www.youtube.com
www.eltiempo.com

Ahora vamos a autenticación y creamos usuario y contraseña

Ahora creamos un grupo
4Guardamos los cambios

Ahora nos dirigimos a la sub pestaña de política de acceso y damos en crear una nueva
política nos aparecerá esta ventana aquí designamos la autenticación en base al usuario o
grupo como deseemos y asignamos el usuario
Creamos una política de acceso

3. Probar desde la LAN a través de un navegador Web, el acceso a los portales

referenciados en la lista negra.
 CONCLUSIONES

Iptables nos permite denegar y llevar un control al acceso de nustros equipos conectados a
red o paginas a las cuales no queremos que nuestros usuarios ingrersen por seguridad a
nuestra empresa
Endian nos permite tener la opcion de coryafuegos y ademas una solucion integral para
proteger nustra red de amenazas externas ofreciendo los servicios que brinda UTM
 Referencias Bibliograficas

Muhammad Arifin, F., Andriana Mutiara, G., & Ismail, I. (2017). Implementation of
Management and Network Security Using Endian UTM Firewall. (Páginas. 1 - 9).
Recuperado de http://bibliotecavirtual.unad.edu.co/login?
url=http://search.ebscohost.com/login.aspx?
direct=true&db=edsbas&AN=edsbas.C2217DDD&lang=es&site=eds-live&scope=site

Muniz, J., & Lakhani, A. (2013). Web Penetration Testing with Kali Linux: A Practical
Guide to Implementing Penetration Testing Strategies on Websites, Web Applications, and
Standard Web Protocols with Kali Linux. (Páginas. 7 – 31). Birmingham: Packt
Publishing., Recuperado de
http://bibliotecavirtual.unad.edu.co/login?url=https://search-ebscohost-
com.bibliotecavirtual.unad.edu.co/login.aspx?
direct=true&db=e000xww&AN=644345&lang=es&site=ehost-live&ebv=EB&ppid=pp_7

https://www.endian.com/community/download/
https://dragontire.wordpress.com/como-instalar-y-configurar-endian/
https://www.redeszone.net/gnu-linux/iptables-configuracion-del-firewall-en-linux-con-
iptables/