Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Iptables con elladodelmal.com, Star Wars, over the wire,...PARTE I - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 15 de enero de 2024 por Luis B.

39 visualizaciones

Más información Transcripción

Descargar la transcripción

Bueno chicos, en esta práctica os contaré un poco como resolver o como se debería haber 00:00:00

resuelto la actividad 16, que es la primera toma de contacto con IPTables o lo que es 00:00:05

lo mismo, componer reglas para restringir o dejar pasar el tráfico a través de nuestro 00:00:10

cortafuegos. 00:00:16

Vale, aquí fijaros que en este caso este cortafuegos tiene como es una estructura de 00:00:17

tres patas, como comentamos con una red roja, que es roja porque es peligro como sería 00:00:24

el acceso a internet que no está protegido por el cortafuegos, la red verde que digamos 00:00:29

que es la protegida, es decir que para llegar a ella habría que saltar ese cortafuegos 00:00:34

y luego estaría la red naranja o DMZ, zona desmilitarizada, que como explicamos en clase 00:00:39

es donde se alojan los servidores y es decir, es naranja porque si es un servidor web hay 00:00:46

que dejarle acceder desde el exterior, evidentemente un servidor sin acceso desde fuera pues no 00:00:51

tiene ningún tipo de sentido, por eso que se llama naranja. 00:00:57

Hasta ahora lo que dijimos en clase es que nos vamos a olvidar de la red naranja y solo 00:01:01

vamos a trabajar con la roja y con la verde. 00:01:04

Entonces yo tengo aquí mis dos máquinas, fijaros que en este caso la máquina IPFire 00:01:08

tiene dos adaptadores de red, uno el adaptador 1 que está en adaptador puente, es decir 00:01:13

que es el adaptador de la red roja que tiene conexión con, en este caso con la red de 00:01:18

mi casa para poder conectarse a internet y por otra parte el adaptador 2 es una red interna 00:01:26

verde para que solo, ya sabéis que la red interna solo se comunique a aquellas máquinas 00:01:33

que tienen la misma descripción, no en este caso, red interna verde se va a comunicar 00:01:37

solamente a esta máquina CaliNinus que está también en red interna verde. 00:01:42

Si os fijáis y veo el IPFire y lanzo un IPA tengo los diferentes adaptadores, tengo el 00:01:48

EO que es de loopback, el primero de dos, el segundo que es el red cero, es decir el 00:01:54

que va a la red roja, que en este caso tengo 1.1.2.1.6.8.91.180, me sale esta IP porque 00:01:59

estoy conectado a través del punto de acceso wifi de mi móvil y luego a la red verde 00:02:09

que es la que yo he establecido realmente tenemos la 1.9.2.1.6.8.1.1 y al otro lado 00:02:14

tenemos en nuestro esquema de la red verde dentro del CaliNinus tenemos otra IP que es 00:02:24

relativa a esa red, la 1.9.2.1.6.8.1.9. Si os fijáis aquí en network yo tengo aquí 00:02:30

que en IPv4 tengo tanto la IP de esta red máscara 24 porque es la máscara de la red 00:02:39

y luego la salida por donde va a salir la puerta de enlace por nuestra ruta entre comillas 00:02:44

por nuestro portafogos que es la 1.1 y el DNS pues 8.8.8.8. Si yo por ejemplo voy a 00:02:49

hacer las pruebas básicas desde el IPv5 pues yo voy a hacer una prueba que llego a internet 00:02:54

llego por nombre de dominio puede que no me llegue porque ahora que sí que no funciona 00:03:01

pero no he configurado DNS, oye pues voy a probar desde el IPv5 hasta el CaliNinus 1.9 00:03:06

y llega, si hubiera errores sería lo más aconsejable probar poquito a poco cacho a 00:03:17

cacho para ver que funciona, ahí tenemos la 1.9.2.6.8.1.1. Llego y a internet como aquí 00:03:22

sí que tengo el DNS debería llegar sí o sí, ¿lo veis? ¿vale? Y si quiero hacer un tráfero 00:03:30

a google.com vemos que la funcionalidad del portafogos se está haciendo, es decir paso 00:03:35

por la 1.1 que es el portafogos y luego paso a la puerta de enlace, en este caso de mi 00:03:41

router, ¿vale? Por ejemplo en clase sería este la 2.1 y esta sería la 10.0.0.2, ¿vale? 00:03:47

y en vuestra casa la segunda sería la 1.9.2.6.8.1.1, que es unos líos, o sea realmente está pasando 00:03:56

por mi portafogos. Vamos con la práctica, en la práctica lo que ya utilizamos es la 00:04:03

herramienta de ptibox, lo habéis utilizado conmigo el año pasado haciendo el router, 00:04:12

lo habéis hecho con gema también, ¿vale? Pero no habéis utilizado la tabla de filtro 00:04:16

para el filtro de paquetes, ¿vale? Vosotros hasta ahora habéis utilizado la tabla en 00:04:21

acto. Entonces vamos a la teoría y ptibox es eso, es un framework, una herramienta para 00:04:24

manipular, interceptar los paquetes en sí. Bueno, ya la conocéis. Vamos con la primera 00:04:32

pregunta. Explicar con dos palabras los denominamos targets, que son accept, drop o rejet. Cuando 00:04:40

decimos targets realmente lo que se quiere decir es lo que hacemos con los paquetes, 00:04:46

¿vale? Si vais a la presentación teórica que os he dejado en el aula, esta imagen lo 00:04:50

explica bastante bien. Es decir, siempre tenéis que poner la posición del portafogos. El 00:04:56

portafogos en el caso de accept lo que hace es dejar pasar a los paquetes. En el caso 00:05:00

de rejet vamos a decir que sería rechazarlo. Es decir, te dice, por ejemplo en este caso 00:05:05

fijaros, rechaza el paso de los datos pero te da un mensaje de error, ¿vale? Y en el 00:05:13

caso de drop yo lo llamo como desechar o tirar a la basura. Es decir, no te da un aviso del 00:05:19

error directamente, no pasas, pero no te avisa. Directamente es como si tirara tus paquetes 00:05:24

a la basura. Más con mis palabras imposible. Luego hablamos de cadenas y en este caso 00:05:30

vamos a trabajar sobre tres cadenas, input, output y forward. Fijaros aquí, antes de 00:05:37

llegar a eso, ipt-box principalmente tiene tres tipos de tablas. El filter, que realmente 00:05:45

es para filtrar los paquetes, ya sea restringir o dejar pasar los paquetes. Nat, que es la 00:05:51

que habéis utilizado tanto conmigo en primero como con Gema, lo que hace Nat es traducción 00:05:58

de direcciones. Por ejemplo, el router de vuestra casa lo que hace es traducir desde 00:06:02

una dirección privada a una dirección pública y viceversa. Los diferentes routers del instituto 00:06:07

también cambian la dirección. Eso es lo que hace el Nat. De momento conmigo no la 00:06:13

vais a utilizar, dentro de tres prácticas si la utilizáis. Y manuel es para operaciones 00:06:18

especiales. Eso sí que no lo vais a utilizar. Vamos con lo que nos interesa, input, output 00:06:24

y forward. Lo mismo que antes, os tenéis que poner en la posición de que estas tres 00:06:30

cadenas las vais a configurar en el cortafuegos, siempre desde la visión del cortafuegos. 00:06:35

Es decir, input quiere decir que es tráfico entrante al cortafuegos, es decir que la dirección 00:06:41

IP destino de un paquete es el propio cortafuegos. Output es que el tráfico es saliente del 00:06:48

cortafuegos, es decir que la IP origen es el propio cortafuegos. Y forward es que atraviesa 00:06:56

el equipo, es decir que no es ni IP origen ni IP destino el propio cortafuegos. En este 00:07:03

caso por ejemplo el Kali, si se conecta con internet lo que va a mirar es la cadena de 00:07:08

forward. ¿Por qué? Porque la IP origen por ejemplo sería el Kali y la IP destino 00:07:14

sería google.com. Eso es input, output y forward. Fijaros aquí, aquí que no os lo 00:07:19

he contado antes, aquí tenéis otra explicación de lo que hace ACET, lo que hace DROP y lo 00:07:25

que hace REGET. Fijaros que lo diferente de antes es que DROP es que REGET te dice oye 00:07:29

acceso denegado, mientras que DROP no hace nada, lo tira a la basura. 00:07:34

Vale, tercera pregunta, ¿para qué se utiliza el protocolo ICMP? Pues evidente es para pruebas 00:07:39

de conexión de estado, pruebas de comunicación con máquinas. El ICMP es el tipo de paquetes 00:07:49

que utiliza la herramienta PING. ¿En qué tabla del modelo TCPIP actúa? Pues en la capa 00:07:55

de red. Si os dijera que a veces en los exámenes pongo esa pregunta que es, oye ¿en qué puerto 00:08:02

escucha HTTP? 80. ¿En qué puerto escucha HTTPS? 443. ¿En qué puerto escucha SSH? 00:08:09

El 22. Pero si os digo, ¿en qué puerto escucha ICMP? Os quedáis diciendo, en ninguno. ¿Por 00:08:16

qué? Porque ICMP, el PING, sólo llega a la capa de red y el puerto es de la capa de 00:08:23

transporte. Pregunta número 4, me dice que pruebe la conexión con el portal web EL LADO 00:08:27

DEL MAL, desde la máquina cliente. En este caso lo puedo probar desde ambas máquinas. 00:08:33

PING EL LADO DEL MAL.COM y vemos que envía los pins. En este caso voy a borrar, como 00:08:43

acabo de iniciar IPFILE, voy a borrar todo lo que hay en, fíjalo, si yo hago por ejemplo 00:08:58

un IP DEFAULT, menos F, me borraría todo lo que hay en la tabla FILTER. Esto sería 00:09:03

lo mismo en todas las reglas que haya introducidas. Fíjalo si hago un IPTABLES menos F, sería 00:09:12

lo mismo que LANDAR IPTABLES menos T FILTER menos F. ¿Esto por qué? Porque la tabla 00:09:19

por defecto es FILTER y da igual indicarla o no indicarla. Esto es lo que os pregunto, 00:09:27

¿y cómo lo hubieras hecho indicando la tabla? Pues ya me he cargado todas las reglas que 00:09:32

hay de forma inicial en la tabla FILTER. Si yo hago en la 5 ya la he hecho. Ahora me dice 00:09:40

que visualice que reglas hay para las cadenas INPUT, OUTPUT y FORWARD. Si yo voy aquí y 00:09:47

pongo IPTABLES menos NLINPUT veo que no hay reglas, si hago FORWARD veo que no hay reglas 00:09:54

y si hago OUTPUT aparece que no hay reglas. No hay ninguna regla en cada una de esas 3 00:10:10

cadenas. Luego fíjalos, el lugar de poner menos NLOUTPUT podría haber puesto menos 00:10:21

T FILTER OUTPUT. ¿Por qué? Lo vuelvo a repetir, la tabla FILTER es la de por defecto, da igual 00:10:29

ponerla o no ponerla. Nosotros en la teoría hemos visto antes en el anterior documento 00:10:37

que hay dos políticas posibles llevar a cabo, política permisiva y política restrictiva. 00:10:47

¿Qué es eso? La política permisiva es dejar pasar todo y a partir de ahí restringir poco 00:10:52

a poco, es decir, lo que pasa en nuestras casas. No son entornos de máxima seguridad, 00:11:01

pues esa es la política que se sigue. En cambio luego está la política restrictiva, 00:11:08

es decir, voy a cerrar todos los accesos y a partir de ahí voy a ir dejando paso a 00:11:13

lo que vaya necesitando. Fijaros en la 6. Fijaros que lo que me muestra la cadena INPUT 00:11:19

la política por defecto es DROP. Voy a visualizarlo para que lo veáis más claro. 00:11:30

La política por defecto de la cadena OUTPUT de la tabla FILTER es POLICY ACCEPT, es decir, 00:11:37

la política por defecto es ACEP, es permisiva. Si yo miro la de INPUT, fijaros que es DROP, 00:11:42

es decir, ahí restringe todo y a partir de luego lo que tocamos pues abrimos. 00:11:50

Y luego de FORWARD es DROP. Entonces en la 6 me pide aceptar todos los paquetes. 00:11:56

Vamos a establecer esa política. Entonces en este caso voy a cambiar la política por defecto 00:12:04

de INPUT y de FORWARD. Fijaros, menos P, voy a poner FORWARD porque es la que quiero editar 00:12:13

y pongo ACEP. Y ahora hago lo mismo pero en lugar de con FORWARD con INPUT. 00:12:23

Entonces fijaros ahora, ya tengo, voy a hacerlo más simple, como no es necesario, 00:12:30

OUTPUT, INPUT y FORWARD. Entonces ahora ya las 3 cadenas de la tabla FILTER las tenemos en ACEP. 00:12:37

Fijaros que pasa, yo ahora como las tengo en ACEP, si hago un PING a Google desde aquí, funciona. 00:12:54

Voy a hacer la prueba para que lo entendáis mejor. Voy a hacer un IPTABLES, menos P, FORWARD, DROP. 00:13:04

Fijaros que pasa ahora, no llega. ¿Por qué? Porque he puesto en el IPFIRE que la cadena FORWARD 00:13:14

tire los paquetes a la basura. Entonces este paquete que tiene dirección origen, el KALI dirección destino, 00:13:24

Google.com en este caso, no me deja pasarlo porque es FORWARD. Pero fijaros que si yo hago un PING a 192.168.1.1 00:13:34

me deja. ¿Por qué? Porque aquí miraría la cadena INPUT, es decir, que entra el cortafuegos. 00:13:46

Si yo desde el cortafuegos hago PING a 192.168.1.1 me deja. ¿Por qué? Porque ahí mira la cadena OUTPUT. 00:13:54

Voy a cambiarlo. Voy a hacer que el FORWARD sea ACEP y que el INPUT y el OUTPUT sean DROP. 00:14:03

Aquí es muy importante, si no ponemos las mayúsculas y las minúsculas como corresponden, cagada. 00:14:17

Fijaros lo que pasa ahora. Ahora tengo FORWARD en ACEP. 00:14:25

Vale, ahí está. No me está funcionando el nombre de dominio porque algo no está resolviendo. 00:14:47

Fijaros que al 888 llega, pero si yo hago un PING, es decir, estoy utilizando en el cortafuegos la regla de FORWARD, 00:14:53

aquí no llega. ¿Por qué? Porque es INPUT en el cortafuegos, entonces lo estoy tirando a la basura. 00:15:01

Y lo mismo pasa en el cortafuegos. Si hago un 888, fijaros que no lo manda a internet. ¿Por qué? 00:15:06

Porque la cadena OUTPUT, que es lo que dice que es la IP origen, la del cortafuegos, la tengo restringida. 00:15:13

En este gráfico, chicos, se ve perfectamente. Es decir, siempre tenemos que tener la visión que estamos en el cortafuegos. 00:15:21

Vamos a lo que nos pedía la práctica, que es poner los 3 como FORWARD. 00:15:30

Uy, a ver que lo he puesto mal. 00:15:37

Vale, ya lo tenemos. Si lo queremos visualizar... 00:15:55

OUTPUT y FORWARD. 00:16:06

Ya tenemos las 3 cadenas, es decir, vamos a implementar una política permisiva. 00:16:14

Volvemos a la práctica. 00:16:22

Vale, 7. 00:16:24

Como vamos a restringir, fijaros lo que nos dice es el tráfico desde la red verde hacia internet. 00:16:29

¿En qué cadena de las 3 incluiríamos las reglas? Fijaros que es de la verde hacia internet. 00:16:35

Entonces, ¿dónde incluiríamos las reglas? En FORWARD, porque atraviesa el cortafuegos. 00:16:40

Fijaros en la pregunta que da el entorno. Si en tu propio PC, vamos a tener que tenemos un Ubuntu, 00:16:44

nuestra casa, tenemos IPTables y queremos restringir desde nuestra máquina hacia internet. 00:16:52

¿En qué cadena incluiríamos restricciones? Como es de mi equipo, en el que tengo implementado IPTables, 00:16:58

la restricción sería OUTPUT, sale de mi máquina. Vale, chicos, esto tiene que quedar muy claro. 00:17:05

Vamos con ello. Vale, por ejemplo, la 8. En alguna ocasión nos podemos encontrar que el cortafuegos de Windows 00:17:12

nos restringe las pruebas. Entonces, lo que pasa es... Oye, las pruebas de la herramienta PING. 00:17:20

Entonces, lo que nos pide es crear una regla que rechace las pruebas a través de la herramienta PING. 00:17:27

Entonces, fijaros. Yo voy aquí. Lo que tengo que poner es IPTables-A. ¿Por qué? Mira, aquí en la teoría se ve bastante claro. 00:17:35

Bueno, estos ya son comandos que hemos hecho en la práctica. Fijaros, IPTables-A. ¿Por qué? 00:17:48

Porque vamos a añadir una regla. Vamos a ver. Imaginaros que existiera la DMZ. Yo sólo quiero restringir el PING de la red verde. 00:17:56

Entonces, le tengo que decir por dónde va a entrar al cortafuegos. En este caso, fijaros. Me salto esto. 00:18:07

Voy a hacer un clear. IPA. IPTables. Quiero añadir una regla. ¿Por dónde va a entrar al cortafuegos esta comunicación? 00:18:15

Pues, evidentemente, por green0. Si no lo pusiera, voy a restringir la green, la naranja, la rosa. Si hubiera, voy a restringir todas. 00:18:23

Pero de esta forma indico a qué red quiero restringir. Seguimos. ¿Qué más puedo poner? 00:18:32

Tengo que decir qué cadena voy a restringir. En este caso es FORWARD. Voy a poner primero el "-i", luego "-a", FORWARD y luego poco más. 00:18:40

Es decir, "-p", voy a indicar el protocolo. En este caso es ICMP, que es el PING. Y podría poner directamente "-j". Como quiero restringir toda la red, pongo "-j". 00:18:54

Fijaros que me dice que rechace. Si hago un IPTables, "-tfilter", lo puedo poner o no, "-nl", L, FORWARD, ya sale una que restringe. 00:19:12

Fijaros que pone, hace rejet al protocolo ICMP, origen todos ceros. Es decir, cualquiera. Destino todos ceros y cada rejet. 00:19:40

Yo podría haber puesto esta regla, "-p", podría haber puesto "-s". Yo quiero restringir a este equipo, pues 192.168.1.9, barra 24. Creo que es ese. 00:19:49

Fijaros que ya tendría una segunda regla. Es decir, las mira en orden. Si la primera no lo cumple, pasa a la segunda y así sucesivamente. 00:20:04

En este caso, como he puesto el barra 24, me coge toda la red. Si no hubiera puesto el máscara 24, me daría un giro de 192.168.1.9. Fijaros que pasa. Yo hago un PING al lado del mal. 00:20:22

Fijaros que me está diciendo. Es decir, está haciendo un rejet. Vuelvo aquí y fijaos que le ha hecho un rejet. Era esto. Es decir, me dice, oye tío, que no puedes pasar. 00:20:37

Lo hemos hecho al lado del mal y lo podemos hacer al 888 y va a pasar lo mismo. Ahora, ¿qué pasa? Queremos borrar esas reglas que hemos creado. 00:20:50

Aquí la teoría la podéis ver con el "-d". El "-f", borramos todas. "-f output", borramos todas de output. Pero si queremos borrar solamente una, indicamos de esta forma. 00:21:05

Yo voy aquí al IPF file, f tables, podría poner el "-t filter", pongo "-d", forward y si pongo un 2, borra la que aparece en segundo lugar. Si pongo un 1, la que aparece en primer lugar. 00:21:20

Fijaros, forward 2 y borraría la segunda. Quiero borrar esta, pues pongo 1 y ya no tendríamos reglas. Ahora lo que nos dice el ejercicio es que en lugar de rechazar, que lo deseche o lo tira a la basura. 00:21:35

En este caso, pondríamos drop. Si lo quieres visualizar, ahí lo tenemos. Ahora voy al pin al lado del mal y ¿qué pasa? Que lo tira a la basura, es decir, no está devolviendo mensaje de error. 00:21:55

Y esto sería la primera toma de contacto con IPTF. 00:22:10

Valoración:

Eres el primero. Inicia sesión para valorar el vídeo.

Subido por:

Luis B.

Licencia:

Reconocimiento - No comercial - Sin obra derivada

Visualizaciones:

Fecha:

15 de enero de 2024 - 22:41

Visibilidad: