PASO 6.docx

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX

UNIDAD 5: SEGURIDAD PASO 6: IMPLEMENTAR SISTEMAS ORIENTADOS A LA PROTECCIÓN, LA AUDITORIA Y SEGURIDAD INFORMÁTICA.

PRESENTADO POR: MARITZA NARVÁEZ CASTAÑO Cod.: 1036933014

PRESENTADO A: INGENIERO YERMAN AUGUSTO HERNANDEZ

GRUPO: 201494_20

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIA  NOVIEMBRE, 2018

a. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado

COMANDOS IPTables

Función(es), acción o finalidad. Sintaxis de cada comando

Ejemplo contextualizado de cada comando

Tema 1: cadenas y opciones A las CADENAS  por defecto podemos unir cadenas creadas por nosotros mismos para un mejor funcionamiento del filtrado o el de comandos y parámetros enrutamiento. El comando IPTABLES tiene a su vez parámetros y comandos que  permitirán definir el comportamiento de una o varias reglas. Esto es, agregar una regla, modificar una regla existente, eliminar el nombre de una cadena algunos de los comandos más comunes son: COANDO

FUNCIÓN

-A -I

Agrega nueva regla a la cadena especificada Inserta una regla en una cadena en un punto especificado por un valor entero definido por el usuario. Reemplaza una regla en una cadena particular Renombra una cadena definida por el usuario Lista todas las reglas de la cadena especificada tras el comando, para listar las reglas en una cadena específica, en una tabla en particular: iptables – L -t Crea una nueva cadena con un nombre especificado por el usuario Modifica la acción por defecto de la cadena preseleccionada Borra una regla de una cadena en particular por número. Pone ceros en los contadores de bytes y de paquete en todas las cadenas de una tabla en particular

-R -E -L

-N -P -D -Z



Iptables –t nat –L – v

Muestra los datos de las reglas definidas en todas las cadenas de la tabla nat 

Iptables –t mangle – N MI_CADENA

Crea una nueva cadena en la tabla mangle 

Iptables –I INPUT 3

–p

tcp

–s

147.156.0.0/16

–j

ACCEPT

Añade

la

regla

especificada en la tercera  posición de la cadena INPUT de la tabla filter

Las opciones de comandos le dicen a iptables que realicen una acción específica. Solamente una opción de comando se permite por comando iptables. Excepto el comando de ayuda, todos los comandos se escriben en mayúscula.



Parar/ iniciar/ reiniciar el

Las reglas para el filtrado de paquetes se ponen en funcionamiento

firewall:

ejecutado el comando iptables, los siguientes aspectos del paquete se

Service iptables top

usan con frecuencia como el criterio:

Service iptables start



Tipo de paquete: dicta que tipo de paquetes filtra el comando



Fuente/ destino del paquete: especifica cuales paquetes filtra el comando basándose en el origen o destino del paquete



Objetivo: indica que acción es tomada en paquetes que cumplen los criterios mencionados anteriormente

Una vez que se especifican ciertos comandos iptables, incluyendo aquellos para añadir, anexar, eliminar, insertar o reemplazar reglas dentro de una cadena, se requieren Parámetros para construir una regla de filtrado de paquetes: algunos parámetros son: Parámetro Función -c

Resetea los contadores de una regla en particular, este  parámetro acepta las opciones PKTS y BYTES, para especificar que contador hay que resetear

Service iptables restart

-d

Configura el nombre de la maquina destino, dirección IP o red de un paquete que coincide con la regla

-f -i

Aplicar la regla a los paquetes fragmentados - Si se precede de ! se aplica a los paquetes no fragmentados Configura la interfaz de red entrante como: eth0 o ppp0. - Solo puede aplicarse a las cadenas INPUT y FORWARD - Si el parámetro precede de ! se aplica la regla al resto de dispositivos de red - El carácter + sustituye a un carácter y permite indicar un conjunto de dispositivos: eth+_>eth0, eth1, etc

-j

Salta a un objetivo particular cuando un paquete coincide con una regla

-o

Configura interfaz de red de salida para una regla y puede ser usada solamente con las cadenas OUTPUT y FORWARD en la tabla de filtro y la cadena POSTROUTING en las tablas nat y mangle

Tema

2:

coincidencia  protocolo

opciones para TCP

de Diferentes protocolos de red proporcionan opciones especializadas las el cuales se pueden configurar para coincidir un paquete particular usando Por ejemplo una regla

(incluir ese protocolo. Sin embargo, primero se debe especificar el protocolo en iptables que contenga –  p tcp

 banderas), UDP e ICMP

el comando iptables. Por ejemplo, -p tcp   (donde  – tcp-flags ACK, FIN, SYN   es el protocolo objetivo), hace disponibles las

opciones para ese protocolo especificado. Opciones de identificación en protocolo TCP:

SYN  paquetes

seleccionara TCP

los que

contengan la bandera SYN

activo y las banderas ACK y OPCION

FUNCION

FIN sin activar.

--dport

Configura el puerto de destino para el paquete, para ver

Usando

nombres y alias de los servicios de red y números que

exclamación (!) después de

ellos usan usar: /etc/services. Opción  – destination-port

 – tcp-flags reversa al efecto

es sinónimo con --dport

--sport

Configura el puerto fuente del paquete usando las mismas opciones de  – dport, la opción  – source- port es sinónimo con  – sport Provoca que todos los paquetes designados de TCP,

--syn

comúnmente llamados paquetes syn, cumplan esta regla

--tcp- flags

de

el

la

carácter

opción

de

de

coincidencia. --sport Indica el puerto de origen

Permite a los paquetes TCP con bits específicos o

ejemplo:

 banderas, ser coincididos con una regla, la opción acepta

-p UDP  – sport 53

 parámetros, el primero es la máscara, la cual configura  banderas a ser examinadas en el paquete. El segundo

-p

 parámetro refiere a la bandera que se debe configurar para

Tipo de protocolo ejemplo:

 poder coincidir

-p TCP

Las banderas posibles son: -

ACK

-

FIN

-

PSH

-

RST

-

SYN

-

URG

-

ALL

-  NONE

Protocolo UDP: --dport: especifica el puerto destino del paquete UDP, usando nombre del servicio, número de puerto o rango de puertos --destination-port: sinónimo de – dport --sport : configura el puerto fuente del paquete UDP  – source-port es sinónimo con – sport

Protocolo ICMP --icmp-type: selecciona el nombre o el numero del tipo ICMP que concuerde con la regla Tema 3: módulos con opción Las opciones de coincidencia adicionales están disponibles a través de de coincidencia

módulos cargados por el comando iptables.

Ejemplo módulo -- limit

Para usar un módulo de opción de coincidencia, cargue el módulo por -- limit 5/ hour, permite 5 nombre mediante -m , donde  es coincidencias de regla por el nombre del módulo.

hora.

Muchos módulos están disponibles de forma predeterminada. También  puede crear módulos para proporcionar funcionalidades adiciona les.

-m state  – state INVALID,

La siguiente es una lista parcial de los módulos más comúnmente usados  NEW. --mac source Seguida de un «!» opcional, y

luego

Ethernet

una

dirección

en

notación

hexadecimal separada por «:»,

 por ejemplo «--mac-source Modulo

Función

limit

--limit: establece número máximo para un periodo de tiempo determinado, especificado como un par /. --limit-burst: establece un límite en el número de  paquetes que pueden coincidir con una regla a la vez

State

Permite coincidencias de estado --state: corresponde a un paquete con los siguientes estados de conexión: 

ESTABLISHED: el paquete coincide con otros  paquetes en una conexión establecida



INVALID: el paquete coincidente no puede conectarse a una conexión conocida



 NEW: el paquete coincidente crea una nueva conexión o hace parte de una conexión de dos vías no vistas anteriormente



RELATED: el paquete coincidente inicia una nueva conexión relacionada de alguna forma con una conexión existente

Mac

Permite la concordancia entre direcciones MAC de hardware --mac source: coincide con una dirección mac de la tarjeta de interfaz de red que envió el paquete

00:60:08:91:CC:B7»

Tema 4: opciones de objetivo Una vez que el paquete ha coincidido con una regla, la regla puede dirigir y del listado

el paquete a un número de objetivos diferentes que deciden su suerte y  posiblemente toman acciones adicionales.

 — 

Reemplace con el nombre de las reglas en esa cadena coinciden con un paquete o si ninguna de las una cadena definida por el reglas que coinciden con el paquete específica un objetivo.

usuario dentro de la tabla.

Objetivos estándar:

Este objetivo

OBJETIVO

FUNCIÓN

 paquete



de una cadena definida por el usuario dentro de una tabla. Este objetivo pasa el paquete a la cadena destino

ACCEPT

Permite que el paquete se mueva a su destino

DROP

Deja caer el paquete sin responder al solicitante , el sistema que envía el paquete no es notificado de esta falla

QUEUE

El paquete se pone en una cola para ser manejado  por una aplicación en el espacio de usuario

RETURN

Para la verificación del paquete contra las reglas de la cadena actual.

a

pasa el la

cadena

Además de los objetivos estándar listados se pueden usar otros con extensiones llamadas módulos de objetivos, algunos de estos módulos son: 

LOG: registra todos los paquetes que coinciden esta regla. Se puede usar varias opciones adicionales tras el objetivo LOG para especificar la manera en que tendrá lugar el registro 

--log-level: configura el nivel de prioridad del registro de eventos



--log-ip-options: cualquier opción en la cabecera de un paquete ip se guarda en el registro



--log-prefix: coloca una cadena de hasta 29 caracteres antes de la línea de registro cuando es escrita



--log-tcp-options: cualquier opción colocada en la cabecera de un  paquete TCP es registrada



REJECT: Envía un paquete de error de vuelta al sistema remoto y deja caer el paquete.

Opciones de li stado

El comando predeterminado para listar, iptables  – l,  proporciona una vista muy básica de los filtros por defecto de las cadenas actuales de la tabla. las opciones adicionales proporcionan más información: COMANDO

FUNCION

-v

Muestra la salida por pantalla con detalles, como el número de paquete y bytes que cada cadena ha visto, el número de bytes y paquetes que cada regla ha

encontrado y que interfaces se aplican a una regla  particular

-x

Expande los números de sus valores exactos

-n

Muestra las direcciones IP y los números de puertos en formato numérico, en lugar de utilizar el nombre del servidor y la red tal y como se hace por defecto

--line-

Proporciona una lista de cada cadena junto con su orden

numbers

numérico en la cadena

-t

Especifica un nombre de tabla

Tema 5:directivas de control Guardar reglas iptables:

Guardar:

/sbin/Service

de IPTables, guardado de Las reglas creadas con el comando iptables son almacenadas en iptables save reglas

y

archivos

de memoria, si el sistema es reiniciado antes de guardar el conjunto de

configuración de scripts de reglas iptables, se perderán todas las reglas. control

Start--

Si se tiene un

Para que las reglas de filtrado de red persistan luego de un reinicio del cortafuegos o firewall (es sistema, estas necesitan ser guardadas, para hacerlo conectarse con root decir,/etc/sysconfig/iptables y escribir:

existe), todos los iptables en

/sbin/Service iptables save

ejecución son detenidos

Esto ejecuta el script de inicio de iptables, el cual ejecuta el programa completamente /sbin/iptables-save y escribe la configuración actual de iptables a arrancados /etc/sysconfig/iptables.

comando

y

usando

luego el

/sbin/iptables-

restore. La directriz start sólo funcionará si no se

Script de control de iptables

carga el módulo del kernel

Hay dos métodos básicos para controlar iptables bajo red Hat Enterprise ipchains Linux: 

Herramienta de configuración de nivel de seguridad (systemconfig-securitylevel) —  Una interfaz gráfica para crear, activar y guardar reglas básicas de cortafuegos. Para m á s información sobre cómo utilizar esta herramienta, consulte el capítulo llamado Configuración básica de los cortafuegos en el Manual de administración del sistema de Red Hat Enterprise Linux.



/sbin/Service iptables : un comando ejecutado por usuario root capaz de activar, desactivar y llevar a cabo otras funciones de iptables a través de su script de inicio, reemplace opciones en el comando por alguna de las opciones:

OPCION

FUNCION

Start

Si se tiene el contrafuegos o firewall , todos los iptables en ejecución son detenidos completamente y

luego

arrancados

usando

el

comando:

/sbin/iptables-restore, start solo funcionara sino se carga el módulo kernel ipchains

Stop

Si el cortafuego está en ejecución, se descartan las reglas del cortafuegos que se encuentran en memoria y todos los módulos iptables y ayudantes son descargados.

Si el contrafuegos está en ejecución, las reglas del

restart

mismo que se encuentran en la memoria se descartan y se vuelve a iniciar el contrafuegos

status

Imprime el estado del contrafuegos una lista de todas las reglas activas al indicador de comandos

Archivos de configuración de scripts de control de iptables El comportamiento de los scripts de inicio de iptables es controlado por el archivo de configuración /etc/sysconfig/iptables-config. Directivas contenidas dentro de este archivo: 

IPTABLES_MODULES: especifica una lista separada por espacios de módulos iptables adicionales a cargar cuando se activa un contrafuegos



IPTABLES_MODULES_UNLOAD: limpia los módulos al iniciar o detenerse aceptando los valores -

Yes: valor por defecto

-  No: solo sería configurada si hay problemas para limpia r los módulos de filtrado de paquetes de red 

IPTABLES_SAVE_ON_STOP:

guarda

las

reglas

del

contrafuegos actuales a /etc/sysconfig/iptables cuando se detiene el contrafuegos 

IPTABLES_SAVE_ON_RESTART: Guarda las reglas actuales del contrafuego cuando este se inicia

BIBLIOGRAFIA

Jessy Jiménez, cristina vivar, Ronald Erazo. (.) IPTables. 5 noviembre del 2018, de webnode Sitio web: https://iptables.webnode.es/comandos-de-iptables Documento recuperado el 5 de noviembre del 2018 de https://es.scribd.com/document/258695594/Ip-Tables Redhat. (.). módulos de opciones de coincidencia adicionales. 5 noviembre del 2018, de Sitio web: https://access.redhat.com/documentation/es-es/red_hat_enterprise_linux/6/html/security_guide/sectsecurity_guide-iptables_match_options-additional_match_option_modules#