Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Iptables con elladodelmal.com, Star Wars, over the wire,...PARTE II - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 15 de enero de 2024 por Luis B.

32 visualizaciones

Más información Transcripción

Descargar la transcripción

Buenas chicos, a ver, os cuento, a quien está en este vídeo voy a resolver lo que es la actividad 17. 00:00:00
Si os fijáis aquí tengo mi IPFire, bueno, aquí tengo ya lanzado mi IPA, donde ya podéis ver los dos adaptadores de red. 00:00:06
Uno hacia la red roja, es decir, que está en este caso en adaptador puente, para montar el entorno a través de las máquinas virtuales. 00:00:14
Y luego la red verde, como la red protegida por el cortafuegos que tiene la IP 192.168.2.1 en configuración de red interna. 00:00:23
Y por otra parte tenemos un calip, que es el cliente, que vemos que tiene la IP 192.168.2.2, es decir, que seguimos la configuración que utilizamos para la práctica anterior. 00:00:33
Bueno, si yo hago un trazo de router, fijaros que pasa a través del cortafuegos. 00:00:45
Cortafuegos que también hace el router, ya os dije que el encaminamiento le tiene un valor a esto de por sí. 00:00:50
Está configurado. 00:00:59
Vale, vamos a la práctica. 00:01:01
Lo primero de todo, fijaros aquí en el asterisco os digo que borréis todas las reglas para las cadenas o chains de la tabla filter. 00:01:03
Entonces directamente, como hemos aprendido en la práctica anterior, pues voy aquí y lanzo mi pkgos-f para borrar todo lo que hay en la tabla filter. 00:01:10
Ya sabéis que como es la tabla por defecto, podría poner "-tfilter", anteriormente. 00:01:21
Ya lo he borrado. 00:01:26
Como voy a establecer una política permisiva, es decir, todo hacer de primeras y luego meter pequeñas restricciones, 00:01:28
pues voy a poner como política por defecto, tanto input, output y forward, ACCEPT. 00:01:36
Entonces, IPTABLES-P, FORWARD, ACCEPT. 00:01:42
Perdonad que estoy con muchos mocos. 00:01:52
Vale, luego INPUT y luego por otra parte hacemos OUTPUT. 00:01:55
Y si por ejemplo lo que vamos a visualizar es IPTABLES-NL, el N voy a mostrarlo con números siempre que sea posible. 00:02:01
FORWARD, ACCEPT, INPUT, ACCEPT y OUTPUT como ACCEPT. 00:02:09
Entonces esa parte ya la tenemos configurada. 00:02:18
Vamos con la práctica en sí. 00:02:21
Es decir, lo que trata esta práctica es que el Francisco Equevedo os haya contratado como administrador de sistemas. 00:02:24
Entonces tenéis que contextualizar en que vosotros vais a gestionar este cortafuegos pensando que sois administrador de sistemas del instituto. 00:02:31
Se ha detectado que en la red interna hay un ordenador que está haciendo conexiones SSH a diferentes juegos. 00:02:38
Uno de los juegos a los que se está conectando la 192.168.2.28 es este, SSH-TRON, basado en una película que se llama TRON. 00:02:47
Entonces lo primero que os digo es para que se utilice el protocolo SSH. 00:03:00
Lo sabéis si o si, es decir, unas conexiones remotas, en este caso a través vía terminal. 00:03:05
¿En que puerto escucha? Pues evidentemente por defecto escucha en el 22. 00:03:13
Nosotros vamos a intentar ahora conectarnos a este juego. 00:03:17
Lo voy a copiar directamente para que el vídeo no sea eterno. 00:03:20
Y fijaros que si yo hago lo peor es como si fuera la serpiente. 00:03:26
Os podéis conectar y en la misma red local podéis jugar con gente. 00:03:31
No tiene más. Eso es lo que es el juego para hacer las pruebas. 00:03:34
Entonces lo que nos dice es que creemos una regla para impedir las conexiones SSH desde esta dirección. 00:03:40
Entonces ¿qué tenemos que hacer? 00:03:46
Pues en este caso yo voy a lanzar IPTables. 00:03:48
¿Cómo es una conexión? 00:03:51
Desde la red verde hasta hacia, perdón, al internet, tendríamos que meter la regla en la cadena forward. 00:03:52
Si fuera input sería donde el IP destino es el propio portafuegos. 00:04:02
Y si fuera output que sale del portafuegos. 00:04:06
En este caso se están haciendo las conexiones desde la parte cliente hacia internet. 00:04:08
Pues fijaros que las conexiones vienen desde la red verde. 00:04:12
Entonces pondría IPTables menos y green0 porque queremos restringir el acceso desde la green0. 00:04:21
Si queríamos restringir, por ejemplo, si tuviéramos la naranja pues sería menos y orange. 00:04:28
Luego tenemos que indicar que queremos añadir una regla en forward, a de a. 00:04:33
Vamos a restringir el SSH a esta persona. 00:04:38
Entonces SSH, la que va al transporte, corre sobre tcp. 00:04:43
Entonces indicaríamos menos p tcp. 00:04:47
Luego indicaríamos, lo que nos dice la práctica, restringir a esta persona las conexiones SSH. 00:04:51
Entonces el origen sería esta IP. 00:04:58
Menos s192.168.2.28 00:05:02
¿Qué queremos restringir? 00:05:10
Pues en este caso de port que se conecte a las conexiones SSH. 00:05:12
¿Y qué queremos hacer? 00:05:17
Un menos j. 00:05:19
Ah, no he puesto espacio. 00:05:22
Ahora sí. 00:05:29
Si compruebo en IPTables menos nl forward, fijaros que aparece esa regla que hemos metido. 00:05:31
Es decir, ya sabéis que la política es permisiva y vamos metiendo restricciones. 00:05:43
Si se encuentra una en la lista que tenemos, va en orden. 00:05:47
Si encontramos la primera y la cumple, pues restringes el acceso. 00:05:51
Si no, miraría la segunda y así sucesivamente. 00:05:54
¿Qué pasa? 00:05:57
Si yo me quiero conectar desde aquí, fijaros que puedo seguir jugando. 00:05:58
¿Por qué? 00:06:03
Porque he restringido la 2.28, no he restringido la 2.2. 00:06:04
Entonces esa persona que está jugando todo el día al SSH-TRON ya no puede entrar. 00:06:10
Lo siguiente que me dice es cómo sería la regla si quisiera restringir el acceso a todas las conexiones SSH desde la máquina cliente. 00:06:15
Muy fácil. 00:06:23
En lugar de poner el 2.28, podría poner la 2.2, que es la máquina cliente que tengo. 00:06:25
Si lo lanzo, fijaros ahora. 00:06:32
Intento entrar otra vez en el juego y directamente se me está rechazando la conexión en el puerto 22. 00:06:34
Siguiente pregunta. 00:06:45
Ahora, se ha corrido la voz en todo el instituto que está disfrutando de estos juegos. 00:06:46
Entonces, no solamente hay que restringir esas máquinas, sino toda la red verde. 00:06:50
En lugar de hacer mención o indicar las máquinas en sí, pues tenemos que hacer mención a la red. 00:06:54
Fijaros 2.0 y pongo la máscara 24. 00:07:03
Entonces ya en este caso, en FORWARD, tenemos las anteriores. 00:07:07
Así que me pide que me ha saltado borrar las dos reglas anteriores. 00:07:12
Podríamos haber hecho IPTABLES-F FORWARD y borraría todas las reglas metidas en FORWARD. 00:07:15
O, en este caso, hacer menos de FORWARD. 00:07:25
Indico 1, que borraría la primera. 00:07:28
Vuelvo a indicar 1, que borraría la que aparece en primer lugar. 00:07:31
Y fijaros que ya solamente tenemos la que restringe la red. 00:07:34
Vuelvo a probarlo y vais a ver cómo me sigue rechazando. 00:07:39
Evidentemente, ¿por qué? 00:07:42
Porque mi máquina cliente, que es la 2.2, pertenece a esta red que se encuentra en la red verde. 00:07:44
Luego vemos que nos dice que el alumnado del instituto se está volviendo loco 00:07:51
y nadie está haciendo caso de los contenidos que se están trabajando en los diferentes módulos de asignaturas. 00:07:56
Una fiebre por el mundo del hacking ético a través de esta plataforma. 00:08:01
Esta plataforma está bastante bien porque tienes que ir consiguiendo flags o pistas para ir pasando de niveles. 00:08:05
Tiene cosas de comandos, tiene cosas de seguridad informática, es bastante interesante. 00:08:14
Entonces, ¿qué nos dice? Que nos conectemos a una máquina BANDIT. 00:08:19
El objetivo de este nivel es conectarse a través de SSH. 00:08:23
Yo, desde la máquina cliente, voy a conectarme por SSH. 00:08:26
¿A dónde me tengo que conectar? A bandit.labs.overdrive.org. 00:08:31
Lo voy a copiar. 00:08:35
En el puerto 2220. 00:08:43
El username es bandit0. 00:08:51
Ya sabéis, usuario, arroba, a dónde nos queremos conectar. 00:08:56
Está pensando, vale. El password es bandit0 también. 00:09:01
Que me lo dice en este párrafo. Fijaros, aquí está, password bandit0. 00:09:05
Y ya estoy dentro de la máquina. 00:09:09
¿Por qué me ha dejado conectarme si me estoy conectando por SSH? 00:09:11
Porque no me estoy conectando al puerto 22. 00:09:17
Si no, me estoy conectando al puerto 2220. 00:09:20
Me dice crear una regla que impida las conexiones hacia ese puerto indicado en la máquina bandit. 00:09:24
Saltando un timeout. 00:09:31
Entonces, ¿qué teníamos que hacer? Vamos a poner una restricción. 00:09:33
IP tables. Menos sigring 0, porque vamos a extinguir la red. 00:09:36
Menos a forward. 00:09:40
Y luego me dice, en ese puerto, en la máquina bandit. 00:09:45
Yo voy a hacer, por ejemplo, un nslookup. 00:09:49
A ver, ¿cuál es la IP de bandit? 00:09:57
¿Lo podría poner por un nombre de dominio? 00:09:59
Yo creo que sí que me lo coge, pero voy a hacer un nslookup. 00:10:02
Ahora, fijaros, esta es la IP de bandit. 00:10:08
Menos forward, como SSH, hemos dicho antes que funciona en la capa de transporte sobre TCP. 00:10:10
Menos el destino, que es bandit, 51.20.13.48. 00:10:17
Menos deport, 2220, que es donde está montado este servidor SSH. 00:10:24
Y menos j, en lugar de reget voy a poner draw, porque me dice que salte el temporizador. 00:10:30
Es decir, que directamente la máquina cortafuegos va a coger mi paquete y le va a tirar a la basura. 00:10:36
En lugar de decirme, oye tío, ya no puedes entrar. 00:10:41
Damos la intro y vamos a hacer lo mismo de antes. 00:10:45
Vamos a intentar conectarnos a bandit. 00:10:48
Fijaros que ahora se queda pensando y pues llega un momento que salte el temporizador. 00:10:52
Ahí lo dejamos, ¿vale? 00:11:00
¿Podría haber puesto en lugar de la IP, podría haber puesto el nombre de dominio? 00:11:01
Creo que lo coge, lo podéis probar y mucho más rápido. 00:11:04
Visualiza la regla creada, la hemos visto. 00:11:08
Y verifica que desde la máquina que alineamos es imposible disfrutar de este juego. 00:11:10
Ya lo vamos a ver ahora. 00:11:13
Fijaros, voy a hacer una cosa, una prueba, que lo he dicho ya varias veces. 00:11:15
En el DefaultWare, ya sabéis que la tabla filter la podemos poner o no poner. 00:11:18
Nos da absolutamente lo mismo. 00:11:23
Y ahí vemos como las dos reglas que hemos creado en lugar, restringido el 22 y luego para cualquier... 00:11:25
No hemos puesto la red, ¿vale? 00:11:32
No hemos puesto la red, ¿vale? 00:11:34
Podría haberla puesto como origen. 00:11:36
Para ese destino, en ese puerto, está restringido. 00:11:38
¿Podría quitar el "-n"? 00:11:41
Sí. 00:11:43
En lugar de números me lo va a mostrar intentándolo poner como con letras. 00:11:44
Ahí sigue el... 00:11:50
¿Veis como no se consigue conectarse? 00:11:51
Entonces habrá un momento que salte el temporizador. 00:11:53
Vale, chicos, vamos con la... 00:11:56
Con la tercera pregunta. 00:12:00
Estás a punto de emitir de tu cargo ya que el alumnado te amenaza para que no restringas el acceso a la última película de Star Wars 00:12:01
que está estrenada en formato terminal. 00:12:07
En este caso, la conexión es vía Telnet. 00:12:10
Telnet ya no se usa, yo no lo utilizaba en la universidad para conectarme. 00:12:13
Es como un SSH pero no es seguro. 00:12:18
Eso es lo que es Telnet. 00:12:20
¿En qué puerto escucha? 00:12:21
Pues escucha en el 23. 00:12:22
En este caso, no sé por qué estos días, voy a abrir otro terminal, 00:12:24
no me está funcionando, es decir, no me está dejando ver la película vía terminal. 00:12:29
Bueno, está intentando conectar. 00:12:34
Entonces, como no me deja conectarme, no sé por qué. 00:12:36
Cuando abrís la práctica, probablemente, a lo mejor os deje. 00:12:39
Lo que dice el jefe de estudios es crear una regla para que rechace todas las conexiones. 00:12:43
A eso ha llamado Telnet. 00:12:47
Entonces yo en este caso... 00:12:49
Fijaros que es todo el rato jugar con lo mismo. 00:12:52
Telnet es aplicación igual que SSH, HTTP. 00:12:59
Funciona sobre TCP en la capa de transporte. 00:13:02
Voy a poner el origen. 00:13:10
Voy a poner la red. 00:13:12
No conecta. 00:13:23
Voy a ver un momento que me va a decir, oye, no conectas. 00:13:24
Y ahora voy a ver rápidamente cómo me va a decir rápidamente que la conexión la rechaza. 00:13:27
Entonces si yo voy aquí, fijaros que directamente me dice, oye tío, 00:13:37
network inalcanzable me la rechaza al segundo, sin esperar. 00:13:40
Fijaros, timeout de la conexión. 00:13:46
Sigamos. 00:13:51
Cuatro. 00:13:52
En la sección de FTP del instituto los alumnos han comenzado a abandonar sus estudios 00:13:53
para comenzar una nueva vida en la Universidad de Jaén. 00:13:57
Toma ya. 00:13:59
Todo esto es debido a que el servidor FTP de esta universidad tiene unos estupendos manuales para aprender. 00:14:01
Entonces aquí tenemos en qué puerto escucha el protocolo FTP. 00:14:10
Ya sabéis que utiliza los puertos 20 y 21. 00:14:13
Uno para control y otro para transmisión de datos. 00:14:16
Entonces lo primero que me pide es que me conecte al servidor. 00:14:19
Pues voy a mi máquina cliente y me va a conectar a FTP. 00:14:23
FTP universidaddejaén.es. 00:14:27
El usuario, FTP. 00:14:30
Y el password, poned un correo. 00:14:32
Ya estoy dentro. 00:14:35
Está en modo pasivo. 00:14:37
Fijaros que si yo pongo pasivo me lo desactiva y yo lo quiero en modo pasivo. 00:14:39
En este caso desde Debian lo tiene configurado. 00:14:43
Y lo que os pido en la práctica es que antes de hacer pruebas que os descarguéis este manual de Wireshark. 00:14:47
Entonces voy a ir a cd puf. 00:14:53
Aquí tengo cd doc. 00:14:59
Y dentro tengo cd manuales. 00:15:02
Y aquí tengo el manual de Wireshark. 00:15:05
Entonces lo que voy a hacer es descargarlo. 00:15:08
Wireshark. 00:15:13
Y me lo voy a bajar. 00:15:14
Fijaros ya que comienza la descarga y me lo estoy descargando. 00:15:15
Entonces, ¿qué pasa con la directora? 00:15:21
Que está harta del abandono de chavales. 00:15:23
Y quiere cerrar el FTP a la universidad de Jaén. 00:15:25
Entonces, pues voy a ello. 00:15:29
IP tables. 00:15:31
Menos irin0. 00:15:32
Menos a forward. 00:15:34
Menos btcp. 00:15:37
Bueno, voy a poner menos ese, venga. 00:15:39
92168.2.0. 00:15:41
Fijaros que menos irin0 y menos ese, la red, estoy diciendo lo mismo. 00:15:43
Realmente en la irin0 solo está esa red. 00:15:49
Entonces sería un poco redundante, pero bueno. 00:15:51
Para que aprendáis y lo tengáis claro, pues ahí está. 00:15:53
Menos ese, menos de. 00:15:56
¿Cuál es la? Vale, ya me he descargado el fichero. 00:15:57
Fijaros que aquí tengo manual Wireshark. 00:16:01
Voy a hacer un nslookup de ftp. 00:16:04
Ah, mira, voy a probar el nombre de dominio, a ver si me funciona. 00:16:07
Menos de ftp. 00:16:09
No me acuerdo ahora. 00:16:12
Vale, ujaen.es. 00:16:14
Ujaen.es. 00:16:16
Menos menos de port. 00:16:19
Aquí hay una cosa. 00:16:22
A ver si me acuerdo. 00:16:24
Multi. 00:16:25
Hay una opción, que os la voy a poner en la práctica, porque ahora no me acuerdo. 00:16:32
Que es para indicar varios puertos. 00:16:34
Matchport. 00:16:39
A ver si era así. 00:16:41
Port. 00:16:45
20, 21. 00:16:51
No me acuerdo si era así, menos j. 00:16:52
No. 00:16:55
Vale, os lo pongo en la práctica. 00:16:56
Ahora mismo no me acuerdo, pero en lugar. 00:16:57
No es lo más correcto, pero yo voy a restringir este acceso en dos líneas. 00:16:59
Os pongo la práctica de cómo restringir varios puertos al mismo tiempo. 00:17:03
Menos de port. 00:17:07
20. 00:17:10
Fijaros. 00:17:11
A lo mejor está tardando porque está intentando consultar el nombre de dominio ftp.ujaen.es. 00:17:15
Y luego voy a hacer lo mismo, pero en lugar del 20, el 21. 00:17:22
A ver, if tables, menos nl. 00:17:26
Y fijaros que ha cogido un slookup del ftp de la universidad de Jaén. 00:17:29
Uy, mayúsculas no. 00:17:38
Fijaros que me la ha obtenido a través del DNS. 00:17:44
Entonces, en este caso, ya está restringido. 00:17:49
Yo voy a intentar entrar. 00:17:51
Entonces, en este caso, ya ftp, la directora puede estar tranquila porque el ftp ya no se puede acceder. 00:17:52
Vale, por último. 00:17:58
El profesor que imparte la asignatura de seguridad informática se ha vuelto un poco exquisito 00:18:01
y requiere limitar el acceso a todas las páginas web http. 00:18:05
Si fuera alguna concreta, puede que una máquina tenga varias IPs públicas, 00:18:10
que vaya variando. 00:18:16
Entonces eso a lo mejor lo tendríamos que hacer a través de otra herramienta que puede ser un proxy web. 00:18:17
Pero en este caso, lo vamos a hacer a través del cortafuegos. 00:18:23
En este caso, en ftpables, voy a intentar acceder a una web http. 00:18:28
Yo utilizo en redes una página que se llama autobusesalegría. 00:18:33
Pues voy a acceder. 00:18:39
Fijaros que es todavía http y accede sin problemas. 00:18:41
La voy a cerrar. 00:18:46
Voy a borrar el historial, por si acaso. 00:18:47
Y voy a poner la regla. 00:18:52
Menosignin cero. 00:18:53
Menosapp forward. 00:18:55
Menosapp forward. 00:18:57
Menosapp forward. 00:18:59
Menosapp forward. 00:19:01
Menosapp forward. 00:19:03
Menosapp forward. 00:19:05
Menosapp forward. 00:19:07
Menosapp forward. 00:19:08
Menospp tcp, porque http en la caja de transporte va sobre tcp. 00:19:10
Menosmenosdeport. 00:19:15
El ochenta menos jrey. 00:19:17
Podríamos poner drop. 00:19:19
Fijaros que ya nos van quedando bastantes reglas en la cadena forward, que es la que estamos utilizando. 00:19:22
Entonces yo ahora voy a intentar entrar a autobusesalegría. 00:19:32
Que en este caso... 00:19:36
Fijaros que... 00:19:38
Ah, bueno. 00:19:39
Pero si no es http no puedo entrar. 00:19:40
A ver si va a tener http y deja entrar. 00:19:42
Vale, bueno. 00:19:45
En este caso... 00:19:46
A ver... 00:19:48
Aquí está. 00:19:50
Bueno, ahora quiere ir a la página de autobusesalegría.http. 00:19:52
Muy bien. 00:19:56
Voy a intentar a través... 00:19:58
Voy a... 00:20:00
Voy a entrar a través de Google. 00:20:02
Vale, fijaros. 00:20:06
Ya no me está permitiendo. 00:20:07
Y luego, por ejemplo, vamos a restringir en la última. 00:20:08
Lo que os pido es que estamos hartos de que nos pagan una mierda y vamos a abandonar el instituto. 00:20:12
Y decidimos hacer un boycott y vamos a cerrar todos los accesos https. 00:20:18
Por ejemplo, la web del rayo. 00:20:23
Podemos acceder o deberíamos poder acceder. 00:20:25
Porque es https. 00:20:29
Podemos acceder, entonces vale. 00:20:32
Perfecto. 00:20:34
Me lo cargo. 00:20:36
Voy a limpiar el historial por si acaso. 00:20:37
Si no podéis entrar en la ventana privada también. 00:20:39
Y voy a hacer lo mismo. 00:20:41
En lugar de cerrar el 80, pues vamos a cerrar el 443. 00:20:43
Voy al navegador e intento acceder a la web del rayo. 00:20:49
No me es posible conectarme. 00:20:53
Entonces chicos, ahí tenéis como unos ejemplos de unas restricciones que podríamos realizar en la tabla filter para restringir tráfico. 00:20:56
Valoración:
  • 1
  • 2
  • 3
  • 4
  • 5
Eres el primero. Inicia sesión para valorar el vídeo.
Subido por:
Luis B.
Licencia:
Reconocimiento - No comercial - Sin obra derivada
Visualizaciones:
32
Fecha:
15 de enero de 2024 - 22:25
Visibilidad:
Público
Centro:
IES FRANCISCO DE QUEVEDO
Duración:
21′ 07″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
89.75 MBytes

Del mismo autor…

Ver más del mismo autor

Comentarios

Para publicar comentarios debes entrar con tu nombre de usuario de EducaMadrid.

Comentarios

Este vídeo todavía no tiene comentarios. Sé el primero en comentar.


EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid