Activa JavaScript para disfrutar de los vídeos de la Mediateca.
Explicación Actividad 21. iptables con elladodelmal.com- Star Wars- over the wire- - Contenido educativo
Ajuste de pantallaEl ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:
Buenas chicos, a ver, en este vídeo voy a comentar un poco o resolver, podríamos decir, la práctica 23, ¿vale?
00:00:00
Voy a ir respondiendo un poco a las preguntas que se planteaban.
00:00:08
Vale, en la primera os decía que explicarais con vuestras palabras los conceptos ACCEPT, DROP y RAIDED.
00:00:12
Yo creo que no hay ningún problema, pero bueno, aquí en la primera diapositiva se ve como la cadena, el target, mejor dicho, perdón, ACCEPT,
00:00:17
lo que hace es, pues eso, que permite una comunicación, ¿no?
00:00:28
Aquí vemos la petición del cliente y la respuesta del servidor.
00:00:30
Reyes lo que hace es rechazar, es decir, si este intenta conectarse,
00:00:34
el cortafuegos en este caso le dice, oye, que no te puedes conectar,
00:00:39
es un rechazo y drop, podemos decir que es desechar, ¿no?
00:00:43
Como intentar conectarse y directamente ni le responde.
00:00:46
Es como el que tira el paquete a la basura.
00:00:50
En estos casos lo que suele pasar cuando, por ejemplo,
00:00:52
hacemos una conexión HTTP o SSH, pues bueno, salda un temporizador y la comunicación, pues eso, finaliza porque no ha habido respuesta, ¿vale? Luego la segunda
00:00:54
os preguntaba sobre las cadenas input, output y forward, ¿vale? En esta diapositiva vemos como input, vamos a pensar siempre hablando de la máquina en la que
00:01:06
implementamos el cortafuegos, ¿vale? Input quiere decir aquellos paquetes que llegan o tienen como dirección destino la máquina en la que
00:01:20
implementamos el cortafuegos. Output, aquellos paquetes que tienen como origen y salen de la máquina del cortafuegos. Y forward son aquellos
00:01:30
paquetes que pasan por la máquina de cortafuegos, es decir, donde la dirección origen no es
00:01:41
el cortafuegos y la dirección destino no es el cortafuegos, ¿vale?
00:01:48
Vale, pregunta tercera, ¿para qué se utiliza el protocolo ICMP?
00:01:53
ICMP es un protocolo que se utiliza para pruebas de estado, para enviar notificaciones de estado,
00:01:58
notificaciones de errores, ¿vale?
00:02:06
El ping es una notificación de estado, es decir, lo que estamos comprobando es que hay conexión, una prueba de comunicación con una máquina, ¿no?
00:02:08
Y la capa que actúa es del modelo TCP y IP sería a nivel de red, ¿vale?
00:02:15
Luego, yo tengo aquí mi entorno ya preparado, ¿vale?
00:02:22
Como veis, aquí tengo idconfig, red 0, una IP que está asignada de forma dinámica por DHCP por el router de mi casa,
00:02:27
y luego iconfig
00:02:35
redluid
00:02:36
green 0, pues eso, he puesto
00:02:38
la 28, 0, 27, y si voy aquí
00:02:41
hago un tracer root
00:02:42
a google.com, pues veis
00:02:43
como primero pasa por
00:02:48
mi cortafogos configurado, luego pasa
00:02:50
por el router
00:02:52
y luego ya da diferentes saltos
00:02:54
por internet
00:02:56
¿vale? entonces lo primero que se
00:02:58
pedía es comprobar, pues eso, que hay
00:03:00
un ping a la conexión del portal web
00:03:02
elladodelmal.com
00:03:04
vemos como nos está respondiendo
00:03:06
recordad que un pin es un eco
00:03:11
es decir, nos da una respuesta de que
00:03:12
hay conexión entre ambas máquinas
00:03:14
luego en la pregunta 5
00:03:17
os digo que borréis todas las reglas
00:03:21
que hay para tabla filter sin indicar la tabla
00:03:23
vale, pues yo voy a
00:03:25
lo que sabéis, bueno, iptables
00:03:27
menos f
00:03:29
es borrar y en este caso
00:03:31
pues, o un ipt2 menos f
00:03:33
Y ya estoy borrando todas las reglas, es decir, todas las reglas que hay en todas las cadenas, ¿vale?
00:03:35
Aquí os digo cómo lo hubieras hecho indicando la tabla.
00:03:43
Pues tendría que haber puesto "-t filter", ¿vale?
00:03:47
¿Por qué pasa lo mismo? ¿Por qué funciona?
00:03:51
Porque, como ya hemos dicho en la sesión teórica, filter es la tabla por defecto, ¿vale?
00:03:53
Y luego visualizar e indicar la política por defecto de las cadenas input, output y forward.
00:03:59
Lo que tenemos que hacer, con "-n", "-l", o "-l", dependiendo de cómo lo queramos mostrar,
00:04:05
mostramos todas las cadenas y todas las reglas que habría dentro de esas cadenas.
00:04:11
Pero como yo quiero ver output, voy a hacer un crear,
00:04:18
tables-nlinput
00:04:22
¿Vale?
00:04:29
output
00:04:33
y forward
00:04:34
¿Vale? Vemos que en este caso
00:04:36
la política por defecto
00:04:39
de las tres es acept
00:04:41
¿Vale? Yo lo que voy a hacer es cambiar una de ellas
00:04:43
por ejemplo
00:04:45
output
00:04:47
a drop
00:04:48
¿Vale? Entonces fijaros como output
00:04:52
pues ahora tiene drop ¿Vale?
00:04:55
Lo que
00:04:57
Como política por defecto
00:04:58
Lo que os digo en la 6 es que configuramos una política
00:05:00
Permisiva, es decir
00:05:03
Que aceptemos todos los paquetes para las 3 cadenas
00:05:05
Entonces, lo que tengo que cambiar es cambiar
00:05:07
Esas políticas, igual que he hecho con output
00:05:09
Acept, lo cambio de drop
00:05:11
Acept, y bueno, las otras no haría falta
00:05:13
Pero bueno, sería de la misma
00:05:15
Manera, yo lo pongo, vale
00:05:17
Y luego las podríamos
00:05:19
Visualizar, vale, lo tenemos
00:05:21
A unclear, y ahora veréis
00:05:25
Para que
00:05:27
Lo veis, menos nl output hace menos nl input y menos nl for. Las tres hacen una política permisiva. Sería lo mismo que poner menos tfilter, ponemos a lo de antes porque filter es la tabla por defecto.
00:05:28
Vale, siguiente. Bueno, en la 7 no habría que configurar nada, o sea, hacía una pregunta teórica. A partir de ahora en nuestra máquina de cortafuegos vamos a restringir el tráfico saliente desde las máquinas que están en el RPR, es decir, desde el Kali hacia Internet.
00:05:49
¿En qué cadena de las tres vistas incluiría reglas? Pues evidentemente es la cadena forward, porque lo que estamos haciendo es que los paquetes se dirigen desde la máquina Kali hacia Internet, es decir, nuestra máquina de cortafuegos es una máquina intermedia.
00:06:03
Y luego, pregunta ajena totalmente al entorno simulado, pero sería como preguntar si lo configuramos el cortafuegos en la máquina Kali Linux
00:06:17
Recordad que IPTables funciona, viene dentro del kernel de Linux, entonces cualquier máquina Linux tiene IPTables
00:06:26
Lo podemos configurar, entonces, si en tu propio PC que corre sobre Ubuntu y que dispone de IPTables
00:06:35
Quieres restringir tu tráfico hacia Internet, ¿en qué cadena incluirías restricciones?
00:06:41
es decir como yo quiero controlar desde mi propio equipo lo que va hacia internet tendría que
00:06:46
configurar la cadena output es decir en los paquetes cuya dirección origen sería mi propio
00:06:52
pc vale o si sería los que llegaran pues importe vale voy a la 8 en lo que me dice aquí claro que
00:06:59
nos encontramos muchas veces en windows pues eso que tenemos que desactivar el firewall el
00:07:07
cortafuegos para que funcione la herramienta ping vale entonces lo que nos pide es crear una regla
00:07:10
para que rechace las pruebas
00:07:15
a través de la herramienta ping
00:07:16
entonces yo voy a crear
00:07:18
esa regla
00:07:19
voy a, bueno aquí veis
00:07:21
con las políticas que tenemos
00:07:24
seguimos haciendo ping al lado del mal y nos funciona
00:07:25
y voy a configurar
00:07:28
esa política
00:07:30
entonces como voy a configurar
00:07:32
voy a restringir
00:07:34
el tráfico que va
00:07:37
desde
00:07:40
mi máquina Kali hasta el exterior
00:07:40
pues lo que haré es configurar forward, quiero añadir una nueva política
00:07:44
forward y quiero indicar el protocolo
00:07:49
como hemos dicho ping va sobre smp
00:07:53
entonces voy a ver la tabla, voy a ver la regla
00:07:55
y veis como está, que hemos puesto
00:08:01
esa restricción, entonces si yo hago aquí un ping
00:08:07
bueno ahora me está respondiendo, ah bueno claro
00:08:11
evidentemente, claro, es que no he dicho
00:08:16
lo que quiero hacer con esa regla, me he equivocado
00:08:18
entonces, perfecto, mira, me sigue
00:08:20
para borrar
00:08:22
vale, 1, vale
00:08:23
entonces, claro, he indicado que quiero añadir
00:08:26
una nueva política, una nueva regla
00:08:28
perdón, a la cadena forward
00:08:30
el protocolo ICMP, pero tengo que dar un
00:08:32
"-j", indicando lo que quiero hacer, en este
00:08:34
caso quiero rechazarlo, un rejet
00:08:36
vale, ahora sí que estaría bien
00:08:37
creo, rejet de cualquier
00:08:40
origen a cualquier destino, ICMP
00:08:42
donde se haga un ping
00:08:44
que me está diciendo
00:08:46
que el destino, el puerto de destino
00:08:47
que es inalcanzable
00:08:50
podría haber puesto
00:08:51
por ejemplo que la IP
00:08:56
voy a borrar otra vez la regla
00:08:58
podría haber puesto
00:09:00
pues eso, desde este protocolo
00:09:01
y por ejemplo
00:09:04
la IP de origen, en este caso
00:09:04
pues tenemos, pero esto no es obligatorio
00:09:07
porque yo solo pedía
00:09:10
restringir el
00:09:11
restringir, a ver si lo digo
00:09:14
restringir el ping, ¿vale?
00:09:20
de forma general, no
00:09:22
centrándonos en una máquina concreta
00:09:23
estamos buenos
00:09:26
vale, ahora
00:09:29
vale, tengo 28.8
00:09:32
0.29, entonces fijaros
00:09:34
como he borrado la regla, aquí
00:09:36
volvería a tener, podría volver a hacer
00:09:38
ping y funciona, pero voy a
00:09:40
restringir el protocolo CMP y la fuente
00:09:42
que es la
00:09:44
20.8.0.29
00:09:45
20.8.0.29
00:09:51
Vale, rey
00:09:51
Luego vamos a verla, ahí está
00:09:52
Rechaza las conexiones por protocolo ICMP
00:09:54
Ahí lo vemos al final
00:09:57
Desde el origen 28.0.29
00:10:00
Hasta x destino
00:10:02
Vale, fijaros
00:10:04
Destino
00:10:05
Que no encuentra el por
00:10:06
Voy a hacer otra prueba
00:10:09
Y ya os voy a dejar
00:10:11
Fijaros
00:10:12
Voy a meter otra vez la que he puesto
00:10:14
Si intento hacer un ping
00:10:18
A la interfaz
00:10:20
Al adaptador de red
00:10:23
Del cortafuegos
00:10:25
Es decir, el config
00:10:26
Green 0
00:10:27
Fijaros que es 28.0.27
00:10:29
20.8.0.27
00:10:32
¿Vale?
00:10:35
Sí que llega
00:10:39
Porque es máquina intermedia
00:10:40
Es decir, no estamos diciendo
00:10:42
Volvemos a lo mismo
00:10:43
ahí en ese caso ese paquete sería
00:10:44
dirigido, sería que
00:10:46
habría que configurar la entrada
00:10:48
input, vale
00:10:50
entonces, lo último que os piden
00:10:51
es
00:10:55
descartar
00:10:56
vale, entonces yo voy a cargarme
00:10:59
esta regla y voy a hacer
00:11:00
pues eso, voy a hacer esto, voy a hacer un drop
00:11:05
y voy a quitar el origen
00:11:07
vale, fijaros
00:11:12
ahí está, vale
00:11:14
si yo voy a el lado del mal
00:11:15
fijaros que ahora
00:11:18
nadie me dice nada es decir no está la comunicación pues no sé qué está pasando es decir ahí va a haber
00:11:19
un temporizador va a saltar porque la conexión no se realiza como yo he puesto para las máquinas
00:11:26
en la regla para forward es decir en las que el cortafuegos no estaba pues anteriormente el
00:11:31
cortafuegos es una máquina intermedia si es una máquina destino en este caso 28 0 27 veis que
00:11:36
funciona el ping porque no tendría que configurar la regla forward en ese caso tendría que configurar
00:11:44
la regla input es decir son paquetes que llegan al cortafuegos a mi máquina de ip fire en este
00:11:50
caso como destinatario y volviendo a la práctica pues bueno las diferencias entre rechazar y
00:11:56
descartar debería quedar claras porque rechaza directamente te avisa de lo que está sucediendo
00:12:02
Te da un error y descartar pues como que tira el paquete a la basura y no responde, ¿vale chicos? Pues eso es todo y espero que haya quedado todo claro. Venga, hasta luego.
00:12:07
- Valoración:
- Eres el primero. Inicia sesión para valorar el vídeo.
- 1
- 2
- 3
- 4
- 5
- Subido por:
- Luis B.
- Licencia:
- Reconocimiento - No comercial - Sin obra derivada
- Visualizaciones:
- 21
- Fecha:
- 14 de febrero de 2023 - 18:44
- Visibilidad:
- Público
- Centro:
- IES FRANCISCO DE QUEVEDO
- Duración:
- 12′ 20″
- Relación de aspecto:
- 1.78:1
- Resolución:
- 1280x720 píxeles
- Tamaño:
- 34.00 MBytes
