Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Explicación Actividad 22. iptables con elladodelmal.com- Star Wars- over the wire-... PARTE II - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 14 de febrero de 2023 por Luis B.

28 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas chicos, ¿qué tal? 00:00:00
Vale, a ver, en este vídeo os voy a corregir un poco lo que habría que hacer en la práctica 24, ¿vale? 00:00:02
Como la segunda parte del lado del mal y... bueno, la segunda parte de la práctica anterior, de la 23, ¿vale? 00:00:08
Aquí veis como tengo ya mi equipo, mi cortafuegos configurado, donde tenéis, como hemos visto a lo largo de este tema, 00:00:15
mi red verde 00:00:23
con la 28027 y la red roja 00:00:25
pues una dirección 00:00:27
por DHCP que me da mi router 00:00:29
de mi casa, la 192.168.1.14 00:00:31
vale, aquí 00:00:34
como veis, pues 00:00:35
si hago un sudo if config 00:00:36
alumno 00:00:38
vale, ahí veis 28029 00:00:41
la mejor prueba ya sabéis 00:00:42
un tracerrute a 00:00:44
el lado del mal 00:00:47
punto com, vale, estáis viendo que pasa 00:00:48
por el cortafogos, por la máquina 00:00:51
IP file, luego va al router y luego da diferentes saltos por internet. En el ejercicio lo primero que os decía es, os ponía con un asterisco, es que borrarais 00:00:52
todas las reglas de la tabla filter. Y luego establecer la política por defecto de ACEP a input, output y forward. Pues voy a ello. Ya sabéis, IP tables, menos F 00:01:05
y me borrarían las cadenas de la tabla filter. Si pongo "-t filter", sería lo mismo, pero bueno, yo tengo la costumbre de poner el "-f", directamente, porque lo borra de la tabla filter, ¿vale? 00:01:18
Y ahora, bueno, IP tables, SNL para mostrar y por ejemplo input, ¿vale? Output, ¿vale? Y forward. Vale, yo he tenido la suerte de que las tres políticas se mantienen AC, pero hay veces que el sistema funciona de otra manera y nos la pone como drop. 00:01:32
Entonces hay que establecer las políticas por defecto, ¿vale? Ya sabéis que para ponerlas sería menos p forward, uy, mayúscula, ¿vale? Menos p input y menos p out, ¿vale? 00:01:54
Y tendríamos ya como política por defecto una política permisiva, es decir, estamos aceptando todos los paquetes para esas tres cadenas que son las que vamos a utilizar, ¿vale? 00:02:12
Vale, primer punto. En el primer punto, bueno, pues lo que os decía, os estaba contextualizando una situación que os contratan como administradores de sistema del instituto, ¿no? Entonces, nos estamos dando cuenta que desde un equipo se está conectando a este juego, a SSH Tron, ¿vale? 00:02:21
Entonces yo voy a copiarlo y vamos a ver cómo desde mi máquina terminal puedo hacer una conexión SSH, como ya sabéis es conectarnos a través en este caso de un terminal a una máquina remota, ¿vale? 00:02:39
Ahí vemos y vemos cómo el juego, aunque no podamos jugar ni yo sepa muy bien cómo jugar, pues vemos cómo nos podemos jugar, ¿no? Como si fuera una, lo he conocido como una serpiente de antaño, ¿vale? 00:02:54
Vale, entonces me dicen, pues se os ha detectado que desde esta IP se está jugando a este tipo de juegos, ¿no? 00:03:09
Entonces, ¿para qué se utiliza el protocolo SSH? Nos preguntan. Bueno, como os digo, el protocolo SSH se utiliza para conexiones remotas, ¿no? 00:03:20
En este caso a través de un terminal. Conectarnos a otro equipo. 00:03:26
Luego, ¿en qué puerto TCP se ejecutan por defecto las conexiones SSH? 00:03:31
las conexiones en SSH se ejecutan por defecto 00:03:35
que veremos como en el siguiente, no es así 00:03:38
en el siguiente ejercicio, el siguiente punto 00:03:40
en el puerto 22, esto tenemos que saberlo 00:03:41
entonces lo que nos piden 00:03:44
es crear una regla 00:03:46
para cerrar todas las conexiones 00:03:47
SSH a esta IP 00:03:49
¿vale? y una vez, pues eso 00:03:51
comprobamos que desde nuestra máquina Kali 00:03:53
que no es esa IP, podemos seguir jugando 00:03:55
¿vale? entonces voy a IP Fire 00:03:58
y sería IP Tables 00:03:59
menos A, porque quiero añadir una regla 00:04:01
Quiero añadirlo en forward porque nuestra máquina IPFire, nuestra máquina de cortafuegos es una máquina intermedia 00:04:04
Es decir, la conexión se está realizando desde el Kali hacia Internet y nosotros somos una máquina intermedia 00:04:10
Menos P porque SSH va en la capa de transporte sobre TCP 00:04:16
El puerto destino, es decir, las peticiones SSH se están haciendo al puerto 22 00:04:23
y lo que queremos hacer es 00:04:29
nos dice que 00:04:32
impedir, ¿vale? 00:04:33
no nos dice 00:04:36
que da igual 00:04:37
ni drop o reject 00:04:40
da igual, ni rechazar ni desechar, ¿vale? 00:04:42
en este caso, pues yo voy a poner 00:04:44
un reject, ¿vale? 00:04:46
y lo tenemos, si hago un iptables 00:04:49
menos nl 00:04:51
forward 00:04:54
ahí veis 00:04:55
la regla, ¿qué pasa ahora? 00:04:57
he metido la IP, uy, me he equivocado, vale, mira, vamos a hacer una cosa así, borramos menos D, claro, he creado una regla que cierre todos los servicios SSH 00:04:59
para cualquier IP, vale, entonces si hago un menos D forward 1, me ha borrado esa regla, vale, entonces voy a hacer pase IP, me faltaría que aquí, 00:05:12
que la dirección origen menos s es 192.168.1.10, ¿vale? Ah, bueno, no he puesto el punto. Ahora sí. Y si veis aquí, pues ya veis cómo hemos cerrado. 00:05:23
Oye, rechaza el protocolo TCP de la IP origen 192.168.1.10, el destino cualquiera y en el puerto 22, ¿vale? 00:05:42
Ya sabéis que si ponéis un L sin el N, veis como en la parte derecha en vez de salir el puerto 22 sale el rechazo SSH, ¿vale? 00:05:52
Entonces vais a ver aquí como ahora mismo, si yo me vuelvo a conectar al jueguecito este, pues puedo seguir jugando, ¿vale? 00:06:02
Vale, vamos a la actividad. Luego nos dicen cómo restringimos el acceso a las conexiones SH desde nuestro cliente. En este caso, pues muy fácil, igual que hemos restringido para esta IP, pues tendremos que restringirla para la dirección de nuestra máquina cliente. 00:06:09
En este caso, 28.0.29. Bueno, podemos reutilizar la anterior y la IP es 20.8.0.29. Y ya veis cómo tenemos ahí, voy a hacer un clear que se ve mejor nuestras dos reglas para esas dos IPs. 00:06:32
Si yo ahora pruebo jugar al juego, veis que me rechaza directamente. La conexión es rechazada. Entonces, esa parte ya estaría. Implementa dicha regla y verificamos que la conexión es rechazada. 00:06:55
Luego nos encontramos que se ha corrido la voz y que todo el instituto está disfrutando de este tipo de juegos. Es decir, que borremos las dos reglas anteriores e implementemos una única regla para impedir conexiones SSH desde cualquier origen, desde cualquier IP. 00:07:09
¿Vale? Entonces lo que tengo que hacer es borrar estas 00:07:22
Puedo hacer un iptables 00:07:24
Menos f 00:07:26
Y borro todas las de forward, fijaros 00:07:28
Y ya tendría que hacer 00:07:30
Esta misma regla 00:07:33
Pero como quiero desde cualquier ip 00:07:34
Pues borro el origen 00:07:36
Entonces ya tenemos esta regla 00:07:38
¿Vale? 00:07:40
Entonces si ahora voy desde aquí 00:07:42
Como he censurado, he cerrado 00:07:43
La conexión desde cualquier ip 00:07:46
Me la rechace igualmente 00:07:47
¿Vale? 00:07:49
Y este sería el apartado primero. En el segundo os digo que, oye, hay una fiebre por el hacking ético en el instituto y todo el mundo se quiere conectar a Over the Wire para hacer sus pinitos, ¿no? En este mundo. 00:07:49
Entonces, claro, lo que os digo aquí es que el objetivo de este nivel es que os conectéis por SSH, ¿vale? Lo importante es decir SSH. Voy describiendo. SSH, ¿vale? 00:08:04
Luego lo que nos dicen es, oye, que te conectes aquí, ¿vale? Pues yo lo copio, ¿vale? Nos conectamos ahí. Y así hemos hecho en el apartado anterior, pero aquí lo que pasa es que también nos está diciendo, oye, que en el puerto 22 no, que te conectes en el 2220, que el servidor en este caso está escuchando en el 2220, ¿vale? 00:08:17
Entonces, SSH tiene opción para indicar el puerto, 2220, ¿vale? Y por último te está diciendo que el usuario es bandit0 y el password también es bandit0, ¿vale? Entonces, bandit0, arroba, ¿vale? Bandit, no sé si lo he puesto bien, ¿vale? Y estoy dentro de la máquina, ¿vale? 00:08:41
¿Qué problema hay? Evidentemente hace una conexión SSH, pero SSH escucha por defecto en el puerto 22. Aquí ya estamos viendo que escucha en el 2220, ¿vale? Entonces, claro, ¿qué nos dicen? Bueno, aquí os digo que justifiquéis la respuesta y que queremos una regla que impida las conexiones hacia el puerto indicado, saltando un timeout al no poder realizarse la conexión con la máquina destino, ¿vale? 00:09:04
Entonces voy aquí, ¿vale? Y tengo un IPv2 menos a forward, va sobre TCP evidentemente y el puerto será 2220. Es importante lo que os digo esto, os digo que salte un timeout, es decir, cuando hacemos un rejet lo que hace la máquina destino es rechazarnos y darnos un aviso, 00:09:33
no es que, oye tío, que aquí no puedes entrar, pero lo que hace el drop es cuando llega al destino el paquete, en este caso a la máquina IPFire, lo tira a la basura sin más, entonces claro, nosotros estamos haciendo una petición a un sitio que no nos va a responder, entonces por defecto en nuestra máquina habrá un temporizador que cuando diga, oye, es imposible conectarme, se acabó, ¿vale? 00:09:56
Entonces, fijaros, yo he puesto esa regla al 2, 2, 2, 0 por drop. Entonces, ahora fijaros, si yo intento conectarme, nadie me responde, ¿vale? Es diferente a como sería en Rejet, ¿vale? 00:10:17
Si, por ejemplo, fijaros, para volver a hacer la prueba, si voy aquí, me voy a cargar la regla y pongo la regla que he puesto, pero en vez de drop, reject, pues entonces lo que va a pasar aquí es que la conexión me la va a rechazar, ¿lo ves? En el puerto 220, conexión rechazada, ¿vale? Y eso creo que es lo que os pedía en el ejercicio 2, ¿vale? 00:10:35
Seguimos. Bueno, ahora queremos ver Star Wars vía terminal, ¿no? 00:11:06
Entonces yo, por ejemplo, entro aquí y veo que me puedo conectar vía Telnet, ¿vale? 00:11:13
Tardo un poquito, pero bueno, yo creo que empieza ahora. 00:11:20
Bueno, mientras va empezando os voy contando. 00:11:25
¿Qué es Telnet? Pues es lo mismo, al final es lo mismo que SSH y Telnet está en desuso. 00:11:27
Yo, por ejemplo, en la época universitaria sí me conectaba a algunas máquinas por Telnet. 00:11:32
Pero Telnet no es seguro y en la actualidad todas las conexiones suelen ser SSH, ¿vale? Por ejemplo, en este servidor, pues bueno, utiliza Telnet, pero es para que conozcamos otro servicio, ¿no? 00:11:35
Entonces, ¿en qué puerto TCP escucha? En el Telnet escucha en el puerto 23, ¿vale? Como veis aquí está empezando la película. 00:11:48
Voy a bajar un poco más para abajo y claro, pues eso, que instalemos la herramienta Telnet, que yo no sé si la tengo. 00:11:58
Voy a ver. Ah, bueno, claro, evidentemente la tengo porque me estoy conectando a la película. Olvídalo. 00:12:06
Vale, y luego hablamos con Emiliano y Emiliano dice que quiere cerrar todas las conexiones Telnet. 00:12:13
Vale, verificamos que la regla creada y comprueba desde la máquina Linux es imposible acceder. 00:12:18
Vale, pues es lo mismo. Ahí vemos las naves de Star Wars, ¿vale? 00:12:22
Vale, entonces voy a salir de este terminal y voy a configurar una regla, ¿vale? Para evitar que desde cualquier IP, es decir, todas las conexiones, es decir, todas, entonces lo que voy a hacer es configurar una regla que es la misma que la anterior, pero en este caso que sea en el puerto 23, ¿vale? 00:12:26
Entonces, si voy aquí, vais a ver como ahora mismo no me deja, o sea, la red está inalcanzable, ¿vale? Y eso es lo que os pedía en el apartado 3, ¿vale? Si borro la regla, pues lo de siempre. Voy aquí y ya veis que vuelve a conectarse al cine con Star Wars, ¿vale? Perfecto. 00:12:45
Vale, vamos a la 4. Rayo Vallecano. Vale, vemos que el tráfico diario a la página del equipo, bueno, hipotético todo, ¿no? Ha aumentado considerablemente. Entonces, claro, lo que nos está diciendo es que, joder, vamos a restringir el acceso a esta web. 00:13:11
pero en el proxy web 00:13:32
que podemos utilizar 00:13:35
y el que por ejemplo utiliza el instituto 00:13:36
opera a nivel de la aplicación, es decir 00:13:38
podemos utilizar el nombre de dominio 00:13:39
rayoballecano.es para restringirlo 00:13:41
pero como iptables funciona a nivel de red 00:13:44
y a nivel de red la herramienta que tenemos 00:13:46
es la dirección ip para restringir 00:13:48
entonces con eso tenemos que trabajar 00:13:50
si os fijáis en ninguna regla 00:13:53
yo puedo entrar a la web del rayoballecano 00:13:55
pero 00:13:57
quiero saber la ip 00:14:01
Entonces, para la IP os digo que utilicéis NSLOOKUP, ¿vale? NSLOOKUP lo que nos permite es sacar las IPs o los nombres de dominio de uno u otro, ¿vale? Introducción de uno u otro, ¿vale? En este caso, la web del Rayo Vallecano tiene la IP, responde a la IP 178.2498.132. Es decir, tengo que hacer una regla para evitar el acceso a esta web, ¿vale? 00:14:03
es muy importante porque yo quiero cerrar el acceso web, es decir, imaginaros que el rayo Vallecano tiene un acceso de correo electrónico o un acceso por SSH, 00:14:33
solo quiero cerrar el acceso web, si os fijáis la web del rayo, aquí está, funciona sobre, no es segura, es decir, en este caso funciona sobre HTTP, 00:14:44
vale, entonces lo que tenemos que cerrar es el puerto 80, vale, voy a hacer un clear, vale, entonces tendré que hacer iptables menos a forward menos p, porque ya sabéis que va sobre tcp, ya sabéis que tenéis tcp, udp o icmp para los pines, pero en este caso va sobre tcp, http, vale, la dirección destino sería la del radio vallecano, es decir, a donde nos queremos conectar, 00:14:57
Que en este caso, ahí está, lo voy a poner aquí, es 178.249.8.132. 00:15:27
El puerto destino será el 80 y menos j, pues queremos que nos haga un rey. 00:15:41
Vamos a verlo. 00:15:50
Que luego se ve bastante bien, aunque IPFire no nos lo va a mostrar del todo bien, 00:15:52
porque el interfaz, el terminal, pues bueno, nos da lo que da, pero como ya veis, rechazados, conexiones TCP desde cualquier origen, es decir, de cualquier IP del instituto, 00:15:55
desde cualquier ordenador, hasta el IP del rayo y en el puerto 80, ¿vale? El puerto 80, ya sabéis, ahí lo tenéis, ahí, el rechazo de HTTP. 00:16:06
Entonces, ahora sí voy a cerrar. ¿Qué pasa? Pues que no me conecta, ¿vale? Así es. Vale, chicos, pues eso. En la 5 os decía que nos hemos puesto muy quisquillosos en seguridad y queremos restringir a todas las web bajo HTTP, ¿vale? 00:16:16
Entonces, pues yo, por ejemplo, eliminaría o no eliminaría, podría meter todas y meter una nueva regla, pero bueno, en este caso yo voy a borrar la del RAL, ¿vale? Y vais a ver cómo, bueno, ahora volvería a entrar, evidentemente, ¿lo veis? 00:16:38
y voy a meter una regla para todas, todas las direcciones que funcionen sobre HTTP las corto, entonces evidentemente el origen le quitamos, el destino, perdón, el destino a las webs que nos queremos conectar 00:16:54
y censuramos, restringimos el puerto 80, vale, ahí lo tenemos, entonces hago otra vez la prueba, si quiero entrar en la web del rayo, pues ahí está, no entro, vale 00:17:06
Y por último, lo que os pido es decir, bueno, que comprobéis en otras tres páginas web HTTP que consideréis, ¿vale? Y por último, pues eso, estáis hartos de que no os paguen lo que hoy merecéis y decís abandonar y boicotear todos los accesos web del instituto, ¿no? 00:17:21
Entonces, en este caso, HTTPS. HTTPS funciona sobre TCP también y en el puerto 443, ¿vale? Entonces, si os fijáis, por ejemplo, aquí tengo, bueno, la de radio no entra, entonces tengo Instagram y Instagram, pues sí que entra, ¿no? 00:17:38
Veis que funciona sobre HTTPS 00:17:57
¿Vale? El DAI ahí sigue pensando 00:17:59
Y en este caso, pues nada 00:18:01
¿Vale? A veces en Explorador Web 00:18:03
Veis que lo de Drop y Rejet 00:18:06
No funciona del todo como debería 00:18:07
¿No? Es donde lo vemos en el terminal 00:18:10
Y su funcionamiento es ahí 00:18:11
¿Vale? Lo vemos mucho mejor 00:18:13
Entonces, pues voy a meter, pues lo mismo 00:18:15
He rechazado en el puerto 80 00:18:17
Pues lo mismo, ahora quiero rechazar en el 443 00:18:19
¿Vale? Y vais a ver 00:18:22
Como a Instagram 00:18:23
Pues no entra 00:18:24
vale, se queda pensando 00:18:26
y al final nos rechaza la conexión 00:18:29
bueno, pues eso es todo 00:18:30
chicos, vale, venga 00:18:33
espero que haya quedado clarito, venga, hasta luego 00:18:35
Valoración:
  • 1
  • 2
  • 3
  • 4
  • 5
Eres el primero. Inicia sesión para valorar el vídeo.
Subido por:
Luis B.
Licencia:
Reconocimiento - No comercial - Sin obra derivada
Visualizaciones:
28
Fecha:
14 de febrero de 2023 - 18:45
Visibilidad:
Público
Centro:
IES FRANCISCO DE QUEVEDO
Duración:
18′ 38″
Relación de aspecto:
1.78:1
Resolución:
1280x720 píxeles
Tamaño:
47.05 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid