Unidad 5 Paso 6

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Jajajaja UNIDAD 5: PASO 6 - IMPLEMENTAR SISTEMAS ORIENTADOS A LA PROTECCIÓN, LA AUDITORIA Y SEGURIDAD INFORMÁTICA SOCIALIZACIÓN COLABORATIVO 5  –  TRABAJO  TRABAJO INDIVIDUAL

PRESENTADO POR DANIEL ANDRES CARDENAS FERNANDEZ C.C. 80.086.442

DOCENTE DANIEL ANDRES GUZMAN AREVALO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA  –  UNAD  UNAD DIPLOMADO DE PROFUNDIZACIÓN EN LINUX ESCUELA DE CIENCIAS BASICAS TECNOLOGIAS E INGENIERIA BOGOTÁ D.C. MAYO 2018

1

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

INTRODUCCIÓN

OBJETIVOS

2

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

INFORME DE CONTENIDOS DE LA ACTIVIDAD INDIVIDUAL

ACTIVIDADES A DESARROLLAR

PLANTEAMIENTO Y CONTEXTUALIZACIÓN DEL PROBLEMA A RESOLVER

Aplicar seguridad en los sistemas de información no es por temas de licenciamiento, es una necesidad de todas las empresas y de los usuarios. La seguridad y protección de datos, así como también en cumplimiento de las normas vigentes, para no incurrir en altos costos por sanciones o pérdida de la información. Por tanto se propone realizar lo siguiente: 1. Firewall e IPTables Un cortafuegos es un dispositivo, ya sea software o hardware, que filtra todo el tráfico en una red LAN / WAN. Los sistemas operativos GNU/Linux a través de su kernel disponen de un firewall por defecto basado en IPTables. Un cortafuegos actúa como un guardia de seguridad entre la red interna y externa mediante el control y la gestión del tráfico de red entrante y saliente basado en un conjunto de reglas. Este conjunto de reglas de firewall sólo  permite conexiones legítimas y bloquea aquellos que no están definidas Iptables / Netfilter, se consideran como la primera línea de defensa, es el más popular firewall basado en línea de comandos para la ejecución en consola de muchas distribuciones GNU/Linux, su función principal es a través de reglas filtrar los paquetes en la pila de red dentro del propio núcleo del sistema operativo.

3

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Se requiera que los estudiantes se apropien a través de un proceso de sensibilización con las herramientas y servicios orientados a la seguridad basadas en reglas de filtrado de paquetes en una red denominados IPTables, implementando plataformas robustas de sistemas cortafuegos creadas a partir de distribuciones GNU/Linux estables, así como también se han implementación interfaces a modo grafico para la interpretación confiable de los comandos IPTables, garantizando así la operatividad de cortafuegos. Es necesario que a nivel individual cada estudiante, se apropie conceptual y técnicamente de como instalar, administrar y operar un sistema cortafuegos IPTable, con el fin de poder implementar y brindar soporte a los requerimientos de seguridad que se requiera para salvaguardar la infraestructura tecnológica.

4

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

A. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:

Comandos

Función(es), acción o

Ejemplo

IPTables

finalidad Sintaxis de

contextualizado de

cada comando

cada comando

Tema

1: Aquí nombrare los comandos más utilizados en el

Cadenas

sistema.

y opciones de

Cabe recordar que en la consola lo ejecutamos un

comandos y de

ejemplo: sudo iptables -P INPUT DROP

 parámetros

-A:  Este agrega una regla en una cadena específica.

-I:  En este comando se puede insertar una nueva regla numero_regla (rulenum) en una cadena específica.

-R:  Este reemplaza la regla (rulenum) en la cadena específica.

5

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

-E:  Modifica el nombre de la cadena. Ejemplo: (nombre-anterior-cadena

por

nombre-nueva-

cadena)

-L:  En este comando muestra el listado de las reglas de una cadena específica es decir muestra todas las cadenas existentes.

-N: Crea una nueva cadena asociada a un nombre. -P: Este modifica la cadena que se seleccione. -D:  Elimina la regla_numero (rulenum) de la cadena que se seleccione.

-Z:  Los contadores de los paquetes los deja en 0  bytes de la cadena que se seleccione y al no seleccionar

una

cadena

automáticamente

los

contadores quedaran en 0.

6

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Aunque también hay unos parámetros adicionales que juegan un papel importante con los comandos iptables:

-i Interfaz de entrada (eth0,eth1,eth2…) -o Interfaz de salida (eth0,eth1,eth2…) -sport Puerto de origen -dport Puerto destino -p El protocolo del paquete a comprobar, tcp, udp, icmp ó all. Por defecto es all -j Esto especifica el objetivo de la cadena de reglas, o sea una acción -line-numbers Cuando listamos las reglas, agrega el número que ocupa cada regla dentro de la Tema

2: Este protocolo TCP (opción –   p tcp)

Opciones de

--dport: Este traduce “destination porta”. Permite

coincidencia

configurar el paquete del puerto del destino de un

 para el

 paquete ya sea web o smtp. El cual nos deja ver

 protocolo TCP

los nombres o servicios de red que se usan.

(Incluir  banderas),

--sport: Traduce “source port”. En este se puede

7

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

UDP e ICMP

configurar la fuente del paquete que se vaya a enviar.

--syn: Cuando un paquete “payload” de datos no será tocado. Se identifica porque tiene un punto de exclamación (!).

--tcp-flags:  Los

paquetes

TCP

tiene

dos

 parámetros, el primero es la máscara el cual se configura con banderas y el segundo refiere a la  bandera que se debe configurar. Estas algunas de las banderas: ACK FIN PSH RST SYN URG ALL  NONE

8

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Tema

3: Este módulo es usado por el comando iptables

Módulos

 para las opciones de coincidencia usando el

con opciones de

nombre – m que traduce a .

coincidencia

Limit module:  este permite colocar una regla en  particular. Ya que este previene la inundación de  paquetes coincidentes que hagan que se sobre cargue el registro del sistema con mensajes que se  puedan repetir:

--limit:  con este comando podemos configurar el número de las coincidencias en un tiempo determinado

--limit-burst:  Se puede configurar el límite de  paquetes en un determinado tiempo Tema

4: El paquete se puede dirigir aun objetivo diferente

Opciones

el cual se pueda tomar alguna decisión. Es decir

del objetivo y

cada cadena tiene un objetivo por defecto.

del listado

Reemplace:  es cuando una cadena ya es definida  por un usuario en una tabla

9

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

ACCEPT : la función es permitir que un paquete se pueda mover a un destino o a una cadena.

DROP:   este delimita el paquete es decir cae el servicio.

QUEUE:   este se aloja en la cola para ser manejado por la aplicación.

RETURN:  Este revisa que las reglas de la cadena actual y ver si este cumple con su destino RETURN para que cumpla la regla, el paquete no deberá moverse hacia la cadena anterior.

LOG:  registra todos los paquetes con coincidan ya que estos están en el Kermel en el archivo /etc/syslog.conf el cual determina las entradas de los registros. --log-level: podemos configurar el nivel de  prioridad de los registros.

10

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

--log-prefix: Cadena de 29 caracteres antes de la línea de registro cuando esta se escriba. Es  práctico para sacar filtros de syslog. --log-tcp-sequence: muestra la secuencia TCP del  paquete del registro del sistema.

REJECT:  este envié un paquete de error de vuelta y deja caer le otro paquete. Tema

5: Son unas herramientas de configuración de nivel

Directivas

de seguridad el cual se pueden activar y guardar

de control de

reglas básicas de un cortafuego.

IPTables, guardado reglas

de

Start: Si todos los iptables en ejecución son

y detenidos se pueden volver a arrancar con el

archivos

comando /sbin/iptables – restore.

de configuración

Stop: si el cortafuegos esta activos, se descarta la

de

regla del cortafuego ya que este se encuentra en

scripts

de

memoria y estos módulos son descargados.

control

11

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Restart:  Si está en ejecución el cortafuegos, las reglas en memoria se descartan y este vuelve a inicializar el firewall si está configurado.

Status:  Este imprime el estatus del cortafuego de todas las reglas que se encuentren activas

Panic:  Da por obvio todas las reglas del cortafuego.

Save:  Guarda las reglas que se hagan al cortafuego.

12

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

Colaborativos: 1. Asignación de Roles por estudiante para trabajos Colaborativos. 2. Contexto del problema a solucionar en Seguridad perimetral de forma colaborativa: Ahora se tiene como prioridad, garantizar la protección de los servidores que conforman la intranet (LAN) / extranet (WAN), para lo cual se requiere delimitarlos a través de una zona DMZ y así garantizar la seguridad e integridad de las bases de datos y aplicaciones bajo  plataformas GNU/Linux. Recomendaciones, para que de forma inmediata procedan a su implementación y puesta en marcha: Todos los integrantes del grupo colaborativo realizaran la descarga, instalación y configuración de la distribución GNU/Linux Endian (EFW) 3.2.2, así mismo seleccionar una de las siguientes cinco (5) temáticas y darle solución baja esta distribución, la cual será la plataforma de seguridad, así: Desde la consola se debe revisar cada uno de los servicios haciendo uso de los comandos  para ver el status, parar el servicio, arrancarlo, reiniciarlo. Se debe evidenciar mostrando la fecha y hora de la ejecución del comando. Cada integrante del grupo debe de manera individual realizar cada una de las temáticas  propuestas en esta guía de actividades, cargar el desarrollo individual el cual deberá quedar en el tema de foro “Socialización Colaborativo Colaborativo”

13

DIPLOMADO DE PROFUNDIZACIÓN EN LINUX DANIEL ANDRES CARDENAS FERNANDEZ GRUPO 201494_9

CONCLUSIONES

REFERENCIAS BIBLIOGRÁFICAS

-

FPla informática  –   Diseño Web. UTILIZA LINUX guías y tutorías de Linux. Comandos, Parámetros y Acciones de Iptables (22 de febrero de 2013). Recuperado

-

14