Professional Documents
Culture Documents
Departament dEnsenyament
Institut Obert de Catalunya
Nom i cognoms
EAC3
(Curs 2014-15/ 2n semestre)
Presentaci i resultats d'aprenentatge
Aquest exercici davaluaci contnua (EAC) es correspon amb els continguts treballats a la unitat 3 Tallafocs
i servidors intermediaris.
Els resultats d'aprenentatge que es plantegen sn:
RA 1. Implanta tallafocs per assegurar un sistema informtic, nanalitza les prestacions i controla el
trnsit cap a la xarxa interna.
Criteris davaluaci
La puntuaci mxima assignada a cada pregunta sindica a lenunciat.
Els criteris que es tindran en compte per avaluar el treball de lalumnat sn els segents:
1.3. Planifica la installaci de tallafocs per limitar els accessos a determinades zones de la xarxa.
1.5. Revisa els registres d'esdeveniments de tallafocs, per verificar que les regles s'apliquen
correctament.
1.6. Prova diferents opcions per implementar tallafocs, tant de programari com de maquinari.
2.1. Identifica els tipus de servidors intermediaris, les seves caracterstiques i funcions principals.
Pgina 1 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
2.7. Realitza proves de funcionament del servidor intermediari, monitorant la seva activitat amb
eines grfiques.
Codi: I71
Pgina 2 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Enunciat
Aquest EAC es troba estructurat en 2 apartats, amb les segents ponderacions:
En aquest EAC se us anima a la participaci en el frum de l'EAC per tal de fer un treball cooperatiu.
Aquest exercici complementa l'estudi de la tercera unitat del mdul, donant alhora -dintre de les possibilitatsun enfocament prctic. s recomanable que hagueu llegit la documentaci d'aquesta tercera unitat i hagueu
provat les activitats proposades, aix com l'autoavaluaci.
Aquest exercici est orientat cap a l's de Linux Ubuntu, tot i que qualsevol altra distribuci Linux us hauria
de servir, sempre que inclogui les eines que es requereixen. Podeu baixar una imatge gratuta d'Ubuntu a:
http://www.ubuntu.com/desktop/get-ubuntu/download.
Es tracta de que realitzeu en el tallafocs una serie de scripts on s'implementin les ordres necessries de
Iptables per a poder fortificar la xarxa.
Heu d'entregar tots els scripts creats junt amb l'entrega de l'EAC.
Codi: I71
Pgina 3 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Script de configuraci de IPTables (4 punts).
1 Crea un script i anomena'l firewall.sh. Configura IPTABLES de la segent manera (1p):
Esborra totes les regles existents
Poltiques per defecte DROP a totes les taules
Permet que la interfcie loopback (interfcie lo) realitzi connexions.
Permet la connexi SSH des de un ordinador situat a la targeta amb adaptador mode Pont al propi
tallafocs (normalment, interfcie eth0)
Activa l'encaminament entre xarxes
A la resposta haureu d'incloure:
Captura de pantalla amb l'execuci del script. Comandes:
sudo sh tallafocs.sh
sudo iptables -L -n
Codi: I71
Pgina 4 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla amb la demostraci que el PC de la LAN no pot accedir a Internet.
Codi: I71
Pgina 5 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla amb la demostraci que el PC de la LAN s pot accedir a Internet
Codi: I71
Pgina 6 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla del navegador amb la IP del Tallafocs
Captura de pantalla amb la demostraci es pot realitzar una connexi ssh al port 2222 de la IP del tallafoc
amb l'entrada correcta al servidor de la DMZ
Afegiu una regla IPTable que crei un LOG amb tots els paquets que envii el PC de la LAN amb el
prefix PAQUET_LAN.
Permet que els PC de la LAN pugui fer ping als servidors d'internet.
Prevenir atack de DoS (Denial Of Service): Aegeix la regla IPTables necessaria per prevenir l'atac
de denegaci de Servei (DoS) del servidor Web de la DMZ. Per fer-ho s'ha de limitar a, per
exemple, 25 connexion per minut com a mxim sempre i quan s'hagi arribat a les 100 connexions
(en total).
Nota:Recorda a l'hora de realitzar les regles anteriors que la poltica per defecte s Restrictiva.
Codi: I71
Pgina 7 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
A la resposta haureu d'incloure:
El script i la captura de pantalla amb les regles IPtables anteriors. No cal captures de pantalla amb les proves
de cadascuna de les regles.
Captura de pantalla de les regles:
En aquesta captura de pantalla podeu veure en funcionament la regla de LOG. Els logs es guarden per
defecte en /var/log/syslog
En aquesta captura de pantalla podeu comprovar que no es pot fer ping des de la LAN als servidors
d'Internet:
En aquesta captura de pantalla podeu comprovar que s es pot fer ping des de la LAN als servidors d'Internet:
Codi: I71
Pgina 8 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
En aquesta captura de pantalla podeu veure a el tallafocs permeten noms 1 connexi ssh :
Codi: I71
Pgina 9 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Codi: I71
Pgina 10 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Codi: I71
Pgina 11 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer /etc/squid3/squid.conf amb la configuraci del squid i les acls:
Es vol bloquejar l'accs a les pgines 'dominis' als ordinadors de la ACL IPS_LAN
Es vol bloquejar l'accs a les 'paraules' als ordinadors de la ACL IPS_LAN
Si hi ha un accs dels ordinadors de la ACL IPS_LAN cap a Internet en horari de feina es permet
sempre que no es compleixi alguna de les regles anteriors.
Les IPs de la ACL_VIP tenen accs a Internet SEMPRE i sense restriccions.
Es vol bloquejar qualsevol altre accs.
Es vol una cache de 500MB amb 25 directoris i 350 subdirectoris. De RAM nomes es necessita
30MB. L'objecte mxim que es pot guardar a la cache es de 1MB.
Codi: I71
Pgina 12 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla de la comanda per generar els directoris necessaris per la cache del squid3
Codi: I71
Pgina 13 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs no
perms.
Pgina 14 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015
Formaci professional
Nom i cognoms
Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs no
perms. Canvia la IP a una del llistat de la ACL IPS_LAN, realitza un ifconfig del client a la mateixa captura.
Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs
perms. Canvia la IP a una del llistat de la ACL IPS_VIP, realitza un ifconfig del client a la mateixa captura.
Codi: I71
Pgina 15 de 15
Versi: 02
2251M11_EAC3_Enunciat_1415S2
Lliurament:
22/04/2015