Generalitat de Catalunya

Departament dEnsenyament
Institut Obert de Catalunya

Nom i cognoms

2251 CFGS Administraci de sistemes en xarxa

Mdul 11 Seguretat i Alta Disponibilitat
UF3 - Tallafocs i servidors intermediaris
U3 - Tallafocs i servidors intermediaris

EAC3
(Curs 2014-15/ 2n semestre)
Presentaci i resultats d'aprenentatge
Aquest exercici davaluaci contnua (EAC) es correspon amb els continguts treballats a la unitat 3 Tallafocs
i servidors intermediaris.
Els resultats d'aprenentatge que es plantegen sn:

RA 1. Implanta tallafocs per assegurar un sistema informtic, nanalitza les prestacions i controla el
trnsit cap a la xarxa interna.

RA 2. Implanta servidors intermediaris aplicant criteris de configuraci que garanteixin el

funcionament segur del servei.

Criteris davaluaci
La puntuaci mxima assignada a cada pregunta sindica a lenunciat.
Els criteris que es tindran en compte per avaluar el treball de lalumnat sn els segents:

1.1. Descriu les caracterstiques, tipus i funcions dels tallafocs.

1.2. Classifica els nivells en els quals es realitza el filtratge de trfic.

1.3. Planifica la installaci de tallafocs per limitar els accessos a determinades zones de la xarxa.

1.4. .Configura filtres en un tallafocs a partir d'un llistat de regles de filtratge.

1.5. Revisa els registres d'esdeveniments de tallafocs, per verificar que les regles s'apliquen
correctament.

1.6. Prova diferents opcions per implementar tallafocs, tant de programari com de maquinari.

1.7. Diagnostica problemes de connectivitat en els clients provocats pels tallafocs.

1.8. Elabora documentaci relativa a la installaci, configuraci i utilitzaci de tallafocs.

2.1. Identifica els tipus de servidors intermediaris, les seves caracterstiques i funcions principals.

2.2. Installa i configura un servidor cau.

2.3. Configura els mtodes d'autenticaci en el servidor intermediari.

2.4. Configura un servidor intermediari en manera transparent.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 1 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms

2.5. Utilitza el servidor intermediari per establir restriccions d'accs web.

2.6. Soluciona problemes d'accs des dels clients al servidor intermediari.

2.7. Realitza proves de funcionament del servidor intermediari, monitorant la seva activitat amb
eines grfiques.

2.8. Configura un servidor intermediari en mode invers.

2.9. Elabora documentaci relativa a la installaci, configuraci i s de servidors intermediaris.

La correcci i claredat en les respostes dels diferents apartats.

El nivell adequat (s de vocabulari tcnic, nivell cientfic,...) utilitzat a l'hora de respondre.

La participaci en el frum amb aportacions positives.

Forma i data de lliurament

Per respondre les qestions heu dutilitzar aquest mateix fitxer. Elimineu els apartats Presentaci i resultats
d'aprenentatge, Criteris davaluaci i Forma i data de lliurament. Lenunciat est disponible en el format de
LibreOffice/OpenOffice (.odt).
Un cop finalitzat lexercici davaluaci contnua heu denviar el document des de l'apartat M11 - Lliurament
EAC3 de l'aula, dins del termini establert. Tingueu en compte que el sistema no permetr fer lliuraments
desprs de la data i hora indicades.
El nom del document seguir el segent format: 2251M11_EAC3_Cognom1_Inicial_del_cognom2. Els
cognoms sescriuran sense accents. Per exemple, lestudiant Marta Garca Soler posaria el segent nom al
seu fitxer de lEAC3: 2251M11_EAC3_Garcia_S.odt".
Substituu Nom i cognoms de la capalera d'aquest document per les vostres dades personals.
Comprimiu tots els fitxers (aquest document amb les respostes o altres fitxers que requeriu) que heu de
lliurar amb un format lliure (zip o tar.gz, per exemple, rar no s lliure). Anomeneu el fitxer comprimit amb el
mateix criteri que el fitxer odt: "2251M11_EAC3_Cognom1_Inicialdelcognom2.zip". Pengeu aquest fitxer
comprimit a l'rea de lliurament de la plataforma anomenada Lliurament EAC3.
El termini de lliurament finalitza a les 23:55 h del dia 22/04/2015. La proposta de soluci es publicar el
30/04/2015 i les qualificacions de lEAC es publicaran el dia el dia 30/04/2015.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 2 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Enunciat
Aquest EAC es troba estructurat en 2 apartats, amb les segents ponderacions:

A Tallafocs [60% = 6 punts]

B Servidors intermediaris [40% = 4 punts]

En aquest EAC se us anima a la participaci en el frum de l'EAC per tal de fer un treball cooperatiu.
Aquest exercici complementa l'estudi de la tercera unitat del mdul, donant alhora -dintre de les possibilitatsun enfocament prctic. s recomanable que hagueu llegit la documentaci d'aquesta tercera unitat i hagueu
provat les activitats proposades, aix com l'autoavaluaci.
Aquest exercici est orientat cap a l's de Linux Ubuntu, tot i que qualsevol altra distribuci Linux us hauria
de servir, sempre que inclogui les eines que es requereixen. Podeu baixar una imatge gratuta d'Ubuntu a:

http://www.ubuntu.com/desktop/get-ubuntu/download.

Part A - Tallafocs - 6 punts

Escenari de la prctica
Per a aquesta part de l'EAC requerim quatre mquines
funcionant, tres mquines en virtualitzaci i un amfitri
interconnectats. Segons la memria RAM que disposeu,
podeu utilitzar Servidors per a les mquines virtuals (ex:
Ubuntu server) amb 256MB de RAM cadascuna.
La mquina on s'installar el Tallafocs disposar de tres
targetes de xarxa, dues amb adaptador en xarxa interna
(LAN, DMZ) i IP esttica (per simular les connexions amb
les xarxes internes) i una altra amb adaptador en mode
PONT i IP dinmica o esttica (per simular la connexi
amb Internet).
El tallafocs noms tindr funcionant el servei
ssh.
L'nic servidor de la DMZ tindr dos serveis funcionant:
el servei ssh
el servei Web (apache2)
Pertany a la xarxa 192.168.30.0/24
L'nic PC de la LAN podr ser una MV amb interfcie grfica per poder utilitzar un navegador Web i un
terminal (Ubuntu Desktop amb 512mb de RAM s suficient).

Pertany a la subxarxa 10.10.10.0/24

Aquest escenari noms es necessita tenir-lo muntat per fer les proves que es demanen al enunciat i
realitzar les captures de pantalla necessries. No cal que totes les mquines estiguin funcionant a la
vegada, noms les que intervinguin a l'hora de fer la prova.

Es tracta de que realitzeu en el tallafocs una serie de scripts on s'implementin les ordres necessries de
Iptables per a poder fortificar la xarxa.
Heu d'entregar tots els scripts creats junt amb l'entrega de l'EAC.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 3 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Script de configuraci de IPTables (4 punts).
1 Crea un script i anomena'l firewall.sh. Configura IPTABLES de la segent manera (1p):
Esborra totes les regles existents
Poltiques per defecte DROP a totes les taules
Permet que la interfcie loopback (interfcie lo) realitzi connexions.
Permet la connexi SSH des de un ordinador situat a la targeta amb adaptador mode Pont al propi
tallafocs (normalment, interfcie eth0)
Activa l'encaminament entre xarxes
A la resposta haureu d'incloure:
Captura de pantalla amb l'execuci del script. Comandes:
sudo sh tallafocs.sh
sudo iptables -L -n

Captura de pantalla amb les regles del script

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 4 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla amb la demostraci que el PC de la LAN no pot accedir a Internet.

2 Afegeix al script anterior les segents regles (0,5p):

Els ordinadors de la LAN han de poder accedir als servidors Web d'Internet (ports 80 i 443)
Els ordinadors de la LAN han de poder accedir als servidors DNS (port 53)
Nota:Recorda a l'hora de realitzar les regles anteriors que la poltica per defecte s Restrictiva.

A la resposta haureu d'incloure:

Captura de pantalla amb les regles del script

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 5 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla amb la demostraci que el PC de la LAN s pot accedir a Internet

3 Afegeix al script anterior les segents redirecci dels ports (1 p)

Utilitzant la IP pblica del Firewall (La ip del adaptador que es connecta amb Internet) heu de poder accedir
via ssh:
Si utilitzeu el port del ssh (2222) ens permetr la connexi via ssh al servidor de la DMZ. Aquest
servidor t ssh installat i escolta pel port 22.
Afegeix les regles necessaries per tal que quan un PC que es troba situat a Internet (pot ser la
mquina Real) accedeix amb el navegador Web al port 80 del tallafoc, aquest reenviar la petici al
port 80 del servidor de la DMZ i el PC de Intenet obtindr la Web del servidor DMZ.
Nota:Recorda a l'hora de realitzar les regles anteriors que la poltica per defecte s Restrictiva.

A la resposta haureu d'incloure:

Captura de pantalla amb les regles del script

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 6 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla del navegador amb la IP del Tallafocs

Captura de pantalla amb la demostraci es pot realitzar una connexi ssh al port 2222 de la IP del tallafoc
amb l'entrada correcta al servidor de la DMZ

4 Configuracions addicionals. (2,5p)

Afegiu una regla IPTable que crei un LOG amb tots els paquets que envii el PC de la LAN amb el
prefix PAQUET_LAN.

Permet que els PC de la LAN pugui fer ping als servidors d'internet.

Limita a 1 connexi ssh simultnea per client al tallafocs:

Prevenir atack de DoS (Denial Of Service): Aegeix la regla IPTables necessaria per prevenir l'atac
de denegaci de Servei (DoS) del servidor Web de la DMZ. Per fer-ho s'ha de limitar a, per
exemple, 25 connexion per minut com a mxim sempre i quan s'hagi arribat a les 100 connexions
(en total).
Nota:Recorda a l'hora de realitzar les regles anteriors que la poltica per defecte s Restrictiva.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 7 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
A la resposta haureu d'incloure:
El script i la captura de pantalla amb les regles IPtables anteriors. No cal captures de pantalla amb les proves
de cadascuna de les regles.
Captura de pantalla de les regles:

En aquesta captura de pantalla podeu veure en funcionament la regla de LOG. Els logs es guarden per
defecte en /var/log/syslog

En aquesta captura de pantalla podeu comprovar que no es pot fer ping des de la LAN als servidors
d'Internet:

En aquesta captura de pantalla podeu comprovar que s es pot fer ping des de la LAN als servidors d'Internet:

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 8 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
En aquesta captura de pantalla podeu veure a el tallafocs permeten noms 1 connexi ssh :

5 Script per a permetre Internet a una IP concreta de la LAN. (0,5 punt)

Crea un script anomenat 'alta_ip.sh' . Aquest script permetr l'accs a internet d'un PC de la LAN. La
IP del PC es passar en la crida del script.
Ex: sudo alta_ip.sh 192.168.10.3
* Nota: Per agafar la IP passada en la crida del script es fa servir $1.
A la resposta haureu d'incloure:
Haureu d'afegir aquest fitxer, junt amb el fitxer de la prctica ,en un comprimit en format ZIP tal i com
s'especifica al inici del EAC.
Captura de pantalla del contingut del fitxer:

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 9 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms

Captura de pantalla amb l'execuci del script:

6 Script per a denegar Internet a una IP concreta de la LAN (0,5 punt)

Crea un script anomenat 'baixa_ip.sh'. Aquest script esborrar la regla/es de Iptables creades amb el
script 'alta_ip.sh' d'una ip donada. Aix deneguem l'accs a Internet d'un pc que anteriorment l'havem
perms.
Ex: sudo baixa_ip.sh 192.168.10.3
A la resposta haureu d'incloure:
Haureu d'afegir aquest fitxer, junt amb el fitxer de la prctica ,en un comprimit en format ZIP tal i com
s'especifica al inici del EAC.
Captura de pantalla del contingut del fitxer:

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 10 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms

Part B - Servidors intermediaris - 4 punts

En aquest apartat installareu, configurareu i provareu un servidor intermediari en Ubuntu / Debian anomenat
Squid.
L'escenari s el segent:
Com sabeu, l'eina Squid3 permet filtrar el trfic d'Internet pel
port 80, per sobretot, lo ms utilitzat s la funcionalitat de
'cache'.
Squid3 permet guardar una cpia de les pgines d'Internet,
imatges, vdeos, etc, en local (en el propi servidor squid3)
per a que si algun altre PC de la LAN vol la mateixa
informaci, no caldr tornar-la a demanar a Internet, si no
s'enviar la que ja t emmagatzemada.
La mquina on s'installar el Squid3 disposar de dues
targetes de xarxa, una amb adaptador en xarxa interna
(LAN) i IP esttica (Per comunicar-se amb la LAN) i una altra amb adaptador en mode PONT i IP dinmica o
esttica (per simular la connexi amb Internet).
L'nic PC de la LAN podr ser una MV amb interfcie grfica per poder utilitzar un navegador Web i un
terminal (Ubuntu Desktop amb 512mb de RAM s suficient).
Pertany a la subxarxa 10.10.10.0/24
Gateway ser la IP del squid3 (xarxa interna)
DNS el servidor de google: 8.8.8.8
7 Configuraci SQUID3 (no transparent) i configuraci de les regles ACL (1 punt)
Feu la installaci d'aquest paquet (primer sudo apt-get update i desprs sudo apt-get
install squid3) en la mquina que far de servidor intermediari.
Per configurar l'eina squid3 ho realitzareu des de un fitxer buit, per aix fareu una copia de seguretat del
fitxer original i desprs creareu un de nou. Aix no us molestar la configuraci per defecte ni els comentaris
originals del fitxer (ms de 7000 lnies) .
Executeu les segents comandes:
sudo mv /etc/squid3/squid.conf /etc/squid3/squid.conf.old
sudo touch /etc/squid3/squid.conf
i a continuaci configureu el squid amb les segents parmetres i regles ACLs:

Port d'escolta: 3128

Mostreu en catal les pantalles d'error
'IPS_VIP': En aquesta ACL hi haur un llistat de algunes les ip's dels pc de la LAN.(Les Ips es
troben en el fitxer /etc/squid/vip.acl)
'IPS_LAN': En aquesta ACL hi haur un llistat de algunes les ip's dels pc de la LAN.(Les Ips es
troben en el fitxer /etc/squid3/lan.acl)
'Horari': En aquesta ACL es configurar el segent horari : 10:00 a 22h de dimecres a divendres.
'dominis': En aquesta ACL es configuraran els dominis de infomerce.es, google.com i la
ioc.xtec.cat.
'paraules': En aquesta ACL es configurar les paraules 'casa, cotxe i terra'. Aix qualsevol URL
que tingui aquestes paraules coincidir amb aquesta ACL. Aquestes paraules es trobaran en el fitxer
/etc/squid3/paraules.acl

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 11 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer /etc/squid3/squid.conf amb la configuraci del squid i les acls:

8 Configuraci de l'accs a Internet i de la Cache del Squid3 (1,5 punt)

Amb el llistat d'ACLs del exercici anterior configureu els segents permisos:

Es vol bloquejar l'accs a les pgines 'dominis' als ordinadors de la ACL IPS_LAN
Es vol bloquejar l'accs a les 'paraules' als ordinadors de la ACL IPS_LAN
Si hi ha un accs dels ordinadors de la ACL IPS_LAN cap a Internet en horari de feina es permet
sempre que no es compleixi alguna de les regles anteriors.
Les IPs de la ACL_VIP tenen accs a Internet SEMPRE i sense restriccions.
Es vol bloquejar qualsevol altre accs.
Es vol una cache de 500MB amb 25 directoris i 350 subdirectoris. De RAM nomes es necessita
30MB. L'objecte mxim que es pot guardar a la cache es de 1MB.

A la resposta haureu d'incloure:

Captura de pantalla del contingut del fitxer /etc/squid3/squid.conf amb la configuraci dels permisos anterior:

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 12 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla de la comanda per generar els directoris necessaris per la cache del squid3

9 Configura el client per a que utilitzi el proxy Squid3 (0,5 punts)

En aquest apartat heu de configurar un client per tal que connecti al vostre servidor intermediari. El client pot
ser Ubuntu, Windows, Debian, Mac,...
Heu de posar una IP, al client, que estigui dintre de la ACL IPS_LAN.
A la resposta haureu d'incloure:
Captura de pantalla del navegador web amb la configuraci del navegador on poseu la IP del Proxy.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 13 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs no
perms.

10 Configura Squid3 per a que funcioni en mode transparent (1 punts)

En aquest apartat heu de configurar el servidor SQUID per a que sigui transparent. Aix no es necessitar la
configuraci en el navegador web i, automticament, filtrar les peticions web.
Per tal que funcioni el mode transparent heu d'executar les segents ordres Iptables. Podeu crear un script
que contingui les segents ordres:
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer /etc/squid3/squid.conf on s'indica que s transparent.

Regles Iptables necessries per a que funcioni de manera transparent:

#!/bin/sh
#eth0 externa, eth1 interna
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Codi: I71

Exercici d'avaluaci contnua 3

Pgina 14 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015

Formaci professional
Nom i cognoms
Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs no
perms. Canvia la IP a una del llistat de la ACL IPS_LAN, realitza un ifconfig del client a la mateixa captura.

Captura de pantalla del navegador web amb la web proporcionada pel SQUID corresponent a un accs
perms. Canvia la IP a una del llistat de la ACL IPS_VIP, realitza un ifconfig del client a la mateixa captura.

Codi: I71

Exercici d'avaluaci contnua 3

Pgina 15 de 15

Versi: 02

2251M11_EAC3_Enunciat_1415S2

Lliurament:
22/04/2015