1 00:00:00,200 --> 00:00:07,940 Buenas chicos, a ver, en este vídeo voy a comentar un poco o resolver, podríamos decir, la práctica 23, ¿vale? 2 00:00:08,560 --> 00:00:11,880 Voy a ir respondiendo un poco a las preguntas que se planteaban. 3 00:00:12,560 --> 00:00:17,339 Vale, en la primera os decía que explicarais con vuestras palabras los conceptos ACCEPT, DROP y RAIDED. 4 00:00:17,440 --> 00:00:28,100 Yo creo que no hay ningún problema, pero bueno, aquí en la primera diapositiva se ve como la cadena, el target, mejor dicho, perdón, ACCEPT, 5 00:00:28,100 --> 00:00:30,980 lo que hace es, pues eso, que permite una comunicación, ¿no? 6 00:00:30,980 --> 00:00:33,460 Aquí vemos la petición del cliente y la respuesta del servidor. 7 00:00:34,500 --> 00:00:38,520 Reyes lo que hace es rechazar, es decir, si este intenta conectarse, 8 00:00:39,280 --> 00:00:42,299 el cortafuegos en este caso le dice, oye, que no te puedes conectar, 9 00:00:43,460 --> 00:00:46,799 es un rechazo y drop, podemos decir que es desechar, ¿no? 10 00:00:46,859 --> 00:00:50,359 Como intentar conectarse y directamente ni le responde. 11 00:00:50,500 --> 00:00:52,039 Es como el que tira el paquete a la basura. 12 00:00:52,039 --> 00:00:54,299 En estos casos lo que suele pasar cuando, por ejemplo, 13 00:00:54,299 --> 00:01:06,879 hacemos una conexión HTTP o SSH, pues bueno, salda un temporizador y la comunicación, pues eso, finaliza porque no ha habido respuesta, ¿vale? Luego la segunda 14 00:01:06,879 --> 00:01:20,540 os preguntaba sobre las cadenas input, output y forward, ¿vale? En esta diapositiva vemos como input, vamos a pensar siempre hablando de la máquina en la que 15 00:01:20,540 --> 00:01:30,340 implementamos el cortafuegos, ¿vale? Input quiere decir aquellos paquetes que llegan o tienen como dirección destino la máquina en la que 16 00:01:30,340 --> 00:01:41,879 implementamos el cortafuegos. Output, aquellos paquetes que tienen como origen y salen de la máquina del cortafuegos. Y forward son aquellos 17 00:01:41,879 --> 00:01:48,719 paquetes que pasan por la máquina de cortafuegos, es decir, donde la dirección origen no es 18 00:01:48,719 --> 00:01:52,519 el cortafuegos y la dirección destino no es el cortafuegos, ¿vale? 19 00:01:53,859 --> 00:01:58,260 Vale, pregunta tercera, ¿para qué se utiliza el protocolo ICMP? 20 00:01:58,799 --> 00:02:06,079 ICMP es un protocolo que se utiliza para pruebas de estado, para enviar notificaciones de estado, 21 00:02:06,180 --> 00:02:07,519 notificaciones de errores, ¿vale? 22 00:02:08,460 --> 00:02:15,479 El ping es una notificación de estado, es decir, lo que estamos comprobando es que hay conexión, una prueba de comunicación con una máquina, ¿no? 23 00:02:15,819 --> 00:02:21,360 Y la capa que actúa es del modelo TCP y IP sería a nivel de red, ¿vale? 24 00:02:22,819 --> 00:02:26,460 Luego, yo tengo aquí mi entorno ya preparado, ¿vale? 25 00:02:27,180 --> 00:02:35,300 Como veis, aquí tengo idconfig, red 0, una IP que está asignada de forma dinámica por DHCP por el router de mi casa, 26 00:02:35,300 --> 00:02:36,539 y luego iconfig 27 00:02:36,539 --> 00:02:38,960 redluid 28 00:02:38,960 --> 00:02:41,099 green 0, pues eso, he puesto 29 00:02:41,099 --> 00:02:42,939 la 28, 0, 27, y si voy aquí 30 00:02:42,939 --> 00:02:43,879 hago un tracer root 31 00:02:43,879 --> 00:02:48,599 a google.com, pues veis 32 00:02:48,599 --> 00:02:50,099 como primero pasa por 33 00:02:50,099 --> 00:02:52,639 mi cortafogos configurado, luego pasa 34 00:02:52,639 --> 00:02:54,039 por el router 35 00:02:54,039 --> 00:02:56,560 y luego ya da diferentes saltos 36 00:02:56,560 --> 00:02:58,259 por internet 37 00:02:58,259 --> 00:03:00,699 ¿vale? entonces lo primero que se 38 00:03:00,699 --> 00:03:02,759 pedía es comprobar, pues eso, que hay 39 00:03:02,759 --> 00:03:04,719 un ping a la conexión del portal web 40 00:03:04,719 --> 00:03:06,039 elladodelmal.com 41 00:03:06,039 --> 00:03:11,319 vemos como nos está respondiendo 42 00:03:11,319 --> 00:03:12,680 recordad que un pin es un eco 43 00:03:12,680 --> 00:03:14,939 es decir, nos da una respuesta de que 44 00:03:14,939 --> 00:03:17,400 hay conexión entre ambas máquinas 45 00:03:17,400 --> 00:03:21,400 luego en la pregunta 5 46 00:03:21,400 --> 00:03:23,039 os digo que borréis todas las reglas 47 00:03:23,039 --> 00:03:25,979 que hay para tabla filter sin indicar la tabla 48 00:03:25,979 --> 00:03:27,400 vale, pues yo voy a 49 00:03:27,400 --> 00:03:29,500 lo que sabéis, bueno, iptables 50 00:03:29,500 --> 00:03:31,659 menos f 51 00:03:31,659 --> 00:03:33,479 es borrar y en este caso 52 00:03:33,479 --> 00:03:35,979 pues, o un ipt2 menos f 53 00:03:35,979 --> 00:03:43,419 Y ya estoy borrando todas las reglas, es decir, todas las reglas que hay en todas las cadenas, ¿vale? 54 00:03:43,860 --> 00:03:46,819 Aquí os digo cómo lo hubieras hecho indicando la tabla. 55 00:03:47,060 --> 00:03:51,080 Pues tendría que haber puesto "-t filter", ¿vale? 56 00:03:51,599 --> 00:03:53,199 ¿Por qué pasa lo mismo? ¿Por qué funciona? 57 00:03:53,340 --> 00:03:59,460 Porque, como ya hemos dicho en la sesión teórica, filter es la tabla por defecto, ¿vale? 58 00:03:59,840 --> 00:04:05,139 Y luego visualizar e indicar la política por defecto de las cadenas input, output y forward. 59 00:04:05,139 --> 00:04:11,039 Lo que tenemos que hacer, con "-n", "-l", o "-l", dependiendo de cómo lo queramos mostrar, 60 00:04:11,379 --> 00:04:18,740 mostramos todas las cadenas y todas las reglas que habría dentro de esas cadenas. 61 00:04:18,740 --> 00:04:22,319 Pero como yo quiero ver output, voy a hacer un crear, 62 00:04:22,319 --> 00:04:29,540 tables-nlinput 63 00:04:29,540 --> 00:04:29,939 ¿Vale? 64 00:04:33,410 --> 00:04:34,129 output 65 00:04:34,129 --> 00:04:36,629 y forward 66 00:04:36,629 --> 00:04:39,430 ¿Vale? Vemos que en este caso 67 00:04:39,430 --> 00:04:41,569 la política por defecto 68 00:04:41,569 --> 00:04:43,389 de las tres es acept 69 00:04:43,389 --> 00:04:45,730 ¿Vale? Yo lo que voy a hacer es cambiar una de ellas 70 00:04:45,730 --> 00:04:47,470 por ejemplo 71 00:04:47,470 --> 00:04:48,790 output 72 00:04:48,790 --> 00:04:52,790 a drop 73 00:04:52,790 --> 00:04:55,550 ¿Vale? Entonces fijaros como output 74 00:04:55,550 --> 00:04:57,449 pues ahora tiene drop ¿Vale? 75 00:04:57,990 --> 00:04:58,569 Lo que 76 00:04:58,569 --> 00:05:00,949 Como política por defecto 77 00:05:00,949 --> 00:05:03,449 Lo que os digo en la 6 es que configuramos una política 78 00:05:03,449 --> 00:05:05,329 Permisiva, es decir 79 00:05:05,329 --> 00:05:07,790 Que aceptemos todos los paquetes para las 3 cadenas 80 00:05:07,790 --> 00:05:09,649 Entonces, lo que tengo que cambiar es cambiar 81 00:05:09,649 --> 00:05:11,310 Esas políticas, igual que he hecho con output 82 00:05:11,310 --> 00:05:13,769 Acept, lo cambio de drop 83 00:05:13,769 --> 00:05:15,810 Acept, y bueno, las otras no haría falta 84 00:05:15,810 --> 00:05:17,389 Pero bueno, sería de la misma 85 00:05:17,389 --> 00:05:19,449 Manera, yo lo pongo, vale 86 00:05:19,449 --> 00:05:21,449 Y luego las podríamos 87 00:05:21,449 --> 00:05:25,350 Visualizar, vale, lo tenemos 88 00:05:25,350 --> 00:05:27,750 A unclear, y ahora veréis 89 00:05:27,750 --> 00:05:28,310 Para que 90 00:05:28,310 --> 00:05:49,430 Lo veis, menos nl output hace menos nl input y menos nl for. Las tres hacen una política permisiva. Sería lo mismo que poner menos tfilter, ponemos a lo de antes porque filter es la tabla por defecto. 91 00:05:49,430 --> 00:06:03,649 Vale, siguiente. Bueno, en la 7 no habría que configurar nada, o sea, hacía una pregunta teórica. A partir de ahora en nuestra máquina de cortafuegos vamos a restringir el tráfico saliente desde las máquinas que están en el RPR, es decir, desde el Kali hacia Internet. 92 00:06:03,649 --> 00:06:17,930 ¿En qué cadena de las tres vistas incluiría reglas? Pues evidentemente es la cadena forward, porque lo que estamos haciendo es que los paquetes se dirigen desde la máquina Kali hacia Internet, es decir, nuestra máquina de cortafuegos es una máquina intermedia. 93 00:06:17,930 --> 00:06:26,870 Y luego, pregunta ajena totalmente al entorno simulado, pero sería como preguntar si lo configuramos el cortafuegos en la máquina Kali Linux 94 00:06:26,870 --> 00:06:35,990 Recordad que IPTables funciona, viene dentro del kernel de Linux, entonces cualquier máquina Linux tiene IPTables 95 00:06:35,990 --> 00:06:41,829 Lo podemos configurar, entonces, si en tu propio PC que corre sobre Ubuntu y que dispone de IPTables 96 00:06:41,829 --> 00:06:46,129 Quieres restringir tu tráfico hacia Internet, ¿en qué cadena incluirías restricciones? 97 00:06:46,129 --> 00:06:52,730 es decir como yo quiero controlar desde mi propio equipo lo que va hacia internet tendría que 98 00:06:52,730 --> 00:06:59,569 configurar la cadena output es decir en los paquetes cuya dirección origen sería mi propio 99 00:06:59,569 --> 00:07:07,029 pc vale o si sería los que llegaran pues importe vale voy a la 8 en lo que me dice aquí claro que 100 00:07:07,029 --> 00:07:10,290 nos encontramos muchas veces en windows pues eso que tenemos que desactivar el firewall el 101 00:07:10,290 --> 00:07:15,129 cortafuegos para que funcione la herramienta ping vale entonces lo que nos pide es crear una regla 102 00:07:15,129 --> 00:07:16,930 para que rechace las pruebas 103 00:07:16,930 --> 00:07:18,269 a través de la herramienta ping 104 00:07:18,269 --> 00:07:19,829 entonces yo voy a crear 105 00:07:19,829 --> 00:07:21,350 esa regla 106 00:07:21,350 --> 00:07:24,769 voy a, bueno aquí veis 107 00:07:24,769 --> 00:07:25,910 con las políticas que tenemos 108 00:07:25,910 --> 00:07:28,750 seguimos haciendo ping al lado del mal y nos funciona 109 00:07:28,750 --> 00:07:30,829 y voy a configurar 110 00:07:30,829 --> 00:07:32,310 esa política 111 00:07:32,310 --> 00:07:34,230 entonces como voy a configurar 112 00:07:34,230 --> 00:07:37,889 voy a restringir 113 00:07:37,889 --> 00:07:40,149 el tráfico que va 114 00:07:40,149 --> 00:07:40,769 desde 115 00:07:40,769 --> 00:07:44,529 mi máquina Kali hasta el exterior 116 00:07:44,529 --> 00:07:49,470 pues lo que haré es configurar forward, quiero añadir una nueva política 117 00:07:49,470 --> 00:07:53,810 forward y quiero indicar el protocolo 118 00:07:53,810 --> 00:07:55,790 como hemos dicho ping va sobre smp 119 00:07:55,790 --> 00:08:01,430 entonces voy a ver la tabla, voy a ver la regla 120 00:08:01,430 --> 00:08:07,319 y veis como está, que hemos puesto 121 00:08:07,319 --> 00:08:11,860 esa restricción, entonces si yo hago aquí un ping 122 00:08:11,860 --> 00:08:16,360 bueno ahora me está respondiendo, ah bueno claro 123 00:08:16,360 --> 00:08:18,339 evidentemente, claro, es que no he dicho 124 00:08:18,339 --> 00:08:20,220 lo que quiero hacer con esa regla, me he equivocado 125 00:08:20,220 --> 00:08:22,399 entonces, perfecto, mira, me sigue 126 00:08:22,399 --> 00:08:23,100 para borrar 127 00:08:23,100 --> 00:08:26,040 vale, 1, vale 128 00:08:26,040 --> 00:08:28,420 entonces, claro, he indicado que quiero añadir 129 00:08:28,420 --> 00:08:30,279 una nueva política, una nueva regla 130 00:08:30,279 --> 00:08:32,120 perdón, a la cadena forward 131 00:08:32,120 --> 00:08:34,279 el protocolo ICMP, pero tengo que dar un 132 00:08:34,279 --> 00:08:36,279 "-j", indicando lo que quiero hacer, en este 133 00:08:36,279 --> 00:08:37,919 caso quiero rechazarlo, un rejet 134 00:08:37,919 --> 00:08:40,279 vale, ahora sí que estaría bien 135 00:08:40,279 --> 00:08:42,460 creo, rejet de cualquier 136 00:08:42,460 --> 00:08:44,340 origen a cualquier destino, ICMP 137 00:08:44,340 --> 00:08:46,519 donde se haga un ping 138 00:08:46,519 --> 00:08:47,919 que me está diciendo 139 00:08:47,919 --> 00:08:50,320 que el destino, el puerto de destino 140 00:08:50,320 --> 00:08:51,440 que es inalcanzable 141 00:08:51,440 --> 00:08:56,240 podría haber puesto 142 00:08:56,240 --> 00:08:58,360 por ejemplo que la IP 143 00:08:58,360 --> 00:09:00,679 voy a borrar otra vez la regla 144 00:09:00,679 --> 00:09:01,559 podría haber puesto 145 00:09:01,559 --> 00:09:04,340 pues eso, desde este protocolo 146 00:09:04,340 --> 00:09:04,840 y por ejemplo 147 00:09:04,840 --> 00:09:07,960 la IP de origen, en este caso 148 00:09:07,960 --> 00:09:10,379 pues tenemos, pero esto no es obligatorio 149 00:09:10,379 --> 00:09:11,299 porque yo solo pedía 150 00:09:11,299 --> 00:09:14,159 restringir el 151 00:09:14,159 --> 00:09:20,389 restringir, a ver si lo digo 152 00:09:20,389 --> 00:09:22,470 restringir el ping, ¿vale? 153 00:09:22,490 --> 00:09:23,629 de forma general, no 154 00:09:23,629 --> 00:09:26,549 centrándonos en una máquina concreta 155 00:09:26,549 --> 00:09:29,740 estamos buenos 156 00:09:29,740 --> 00:09:32,059 vale, ahora 157 00:09:32,059 --> 00:09:34,620 vale, tengo 28.8 158 00:09:34,620 --> 00:09:36,200 0.29, entonces fijaros 159 00:09:36,200 --> 00:09:38,220 como he borrado la regla, aquí 160 00:09:38,220 --> 00:09:40,600 volvería a tener, podría volver a hacer 161 00:09:40,600 --> 00:09:42,500 ping y funciona, pero voy a 162 00:09:42,500 --> 00:09:44,679 restringir el protocolo CMP y la fuente 163 00:09:44,679 --> 00:09:45,279 que es la 164 00:09:45,279 --> 00:09:51,299 20.8.0.29 165 00:09:51,299 --> 00:09:51,740 20.8.0.29 166 00:09:51,740 --> 00:09:52,159 Vale, rey 167 00:09:52,159 --> 00:09:54,100 Luego vamos a verla, ahí está 168 00:09:54,100 --> 00:09:57,759 Rechaza las conexiones por protocolo ICMP 169 00:09:57,759 --> 00:10:00,000 Ahí lo vemos al final 170 00:10:00,000 --> 00:10:02,220 Desde el origen 28.0.29 171 00:10:02,220 --> 00:10:04,159 Hasta x destino 172 00:10:04,159 --> 00:10:05,179 Vale, fijaros 173 00:10:05,179 --> 00:10:06,740 Destino 174 00:10:06,740 --> 00:10:09,059 Que no encuentra el por 175 00:10:09,059 --> 00:10:11,299 Voy a hacer otra prueba 176 00:10:11,299 --> 00:10:12,279 Y ya os voy a dejar 177 00:10:12,279 --> 00:10:14,299 Fijaros 178 00:10:14,299 --> 00:10:18,240 Voy a meter otra vez la que he puesto 179 00:10:18,240 --> 00:10:20,559 Si intento hacer un ping 180 00:10:20,559 --> 00:10:23,600 A la interfaz 181 00:10:23,600 --> 00:10:25,080 Al adaptador de red 182 00:10:25,080 --> 00:10:26,759 Del cortafuegos 183 00:10:26,759 --> 00:10:27,980 Es decir, el config 184 00:10:27,980 --> 00:10:29,980 Green 0 185 00:10:29,980 --> 00:10:32,500 Fijaros que es 28.0.27 186 00:10:32,500 --> 00:10:35,519 20.8.0.27 187 00:10:35,519 --> 00:10:36,580 ¿Vale? 188 00:10:39,440 --> 00:10:40,440 Sí que llega 189 00:10:40,440 --> 00:10:42,000 Porque es máquina intermedia 190 00:10:42,000 --> 00:10:43,940 Es decir, no estamos diciendo 191 00:10:43,940 --> 00:10:44,919 Volvemos a lo mismo 192 00:10:44,919 --> 00:10:46,860 ahí en ese caso ese paquete sería 193 00:10:46,860 --> 00:10:48,840 dirigido, sería que 194 00:10:48,840 --> 00:10:50,840 habría que configurar la entrada 195 00:10:50,840 --> 00:10:51,919 input, vale 196 00:10:51,919 --> 00:10:55,139 entonces, lo último que os piden 197 00:10:55,139 --> 00:10:56,799 es 198 00:10:56,799 --> 00:10:58,919 descartar 199 00:10:59,620 --> 00:11:00,860 vale, entonces yo voy a cargarme 200 00:11:00,860 --> 00:11:05,009 esta regla y voy a hacer 201 00:11:05,009 --> 00:11:07,230 pues eso, voy a hacer esto, voy a hacer un drop 202 00:11:07,230 --> 00:11:12,110 y voy a quitar el origen 203 00:11:12,909 --> 00:11:14,250 vale, fijaros 204 00:11:14,250 --> 00:11:15,570 ahí está, vale 205 00:11:15,570 --> 00:11:18,409 si yo voy a el lado del mal 206 00:11:18,409 --> 00:11:19,769 fijaros que ahora 207 00:11:19,769 --> 00:11:26,429 nadie me dice nada es decir no está la comunicación pues no sé qué está pasando es decir ahí va a haber 208 00:11:26,429 --> 00:11:31,409 un temporizador va a saltar porque la conexión no se realiza como yo he puesto para las máquinas 209 00:11:31,409 --> 00:11:36,970 en la regla para forward es decir en las que el cortafuegos no estaba pues anteriormente el 210 00:11:36,970 --> 00:11:44,730 cortafuegos es una máquina intermedia si es una máquina destino en este caso 28 0 27 veis que 211 00:11:44,730 --> 00:11:50,490 funciona el ping porque no tendría que configurar la regla forward en ese caso tendría que configurar 212 00:11:50,490 --> 00:11:56,250 la regla input es decir son paquetes que llegan al cortafuegos a mi máquina de ip fire en este 213 00:11:56,250 --> 00:12:02,830 caso como destinatario y volviendo a la práctica pues bueno las diferencias entre rechazar y 214 00:12:02,830 --> 00:12:07,450 descartar debería quedar claras porque rechaza directamente te avisa de lo que está sucediendo 215 00:12:07,450 --> 00:12:18,909 Te da un error y descartar pues como que tira el paquete a la basura y no responde, ¿vale chicos? Pues eso es todo y espero que haya quedado todo claro. Venga, hasta luego.