UNIVERSIDAD NACIONAL AUTNOMA DE

NICARAGUA
Unan-len

Facultad de ciencia y tecnologa

Ingeniera en Telemtica

Componente curricular: Seguridad en Redes.

Elaborado por:
Ulises Andres Ramirez Santana.

Presentado a:
Msc.Aldo Martinez.

La topologia a realizar sera la siguiente:

En donde se configurara:
1.
2.
3.
4.
5.

Servidor web.
Servidor FTP
Servidor DNS
Gateway
Un servidor externo

Tarea 1.- Instale un servidor WEB en la mquina Web Server. Compruebe tras la
instalacin navegando desde la mquina gateway si aparece una pgina WEB en la
direccin http://192.168.0.10.
El servidor web se instalara con el comando sudo apt-get install apache2 que es el
nombre del servicio que en esta practica se estara empleando para la resolucion de
nuestro host virtual.

T1.1.- El siguiente paso es activar SSL en el puerto 443 utilizando una configuracin
bsica predeterminada.
T1.2.- Para activar el soporte SSL con apache2 debe, en primer lugar, activar el
mdulo SSL mediante la ejecucin del comando a2enmod ssl . Tras esto, en el
directorio /etc/apache2/sites-available existe un fichero con un ejemplo de
configuracin SSL, debe enlazarlo o copiarlo al directorio /etc/apache2/sites-enabled.
Tras ello reinicie apache con el comando service apache2 restart .

T1.4.- Navegue desde la mquina gateway a la direccin https://192.168.0.100 y

compruebe si funciona el servidor.

Tarea 2.- Escoja alguna de las opciones de la tabla para instalar un servidor FTP en la
mquina FTP and DNS server.
T2.1.- Aada varios usuarios al sistema mediante el comando adduser . Compruebe si
pueden conectarse realizando pruebas desde la mquina que hace de puerta de enlace.
Puede utilizar desde la lnea de comandos el comando ftp o instalar en esta mquina
filezilla.

Tarea 3.- Como administrador cree un nuevo fichero en /root/bin llamado servicios.sh
y aada permiso de ejecucin al mismo mediante el comando chmod +x servicios.sh.

T3.1.- Edite el fichero /etc/rc.local y antes de la sentencia exit 0 aada una lnea
invocando al script, debe quedar /root/bin/servicios.sh . Asegrese que se ejecuta tras
firewall.sh del laboratorio anterior, ya que este script borra todas las reglas de
netfilter.

T3.2.- Escriba en las dos primeras lneas del fichero servicios.sh lo indicado a
continuacin:

Tarea 4.- Trabajando en el fichero /root/bin/servicios.sh aada reglas de netfilter para

que opere de la forma indicada en la figura 1. Las reglas sern del tipo -j DNAT y
debe conseguir lo siguiente:
T4.1.- Todo el trfico que se reciba por la interfaz externa (192.168.20.X) en el puerto
80 debe redirigirse al puerto 80 de la mquina vbox1.
T4.2.- Todo el trfico que se reciba por la interfaz externa (192.168.20.X) en el puerto
443 debe redirigirse al puerto 443 de la mquina vbox1.
T4.3.- Todo el trfico que se reciba por la interfaz externa (192.168.20.X) en el puerto
21 debe redirigirse al puerto 21 de la mquina vbox2.

Tarea 5.- Compruebe con un navegador, desde la mquina anfitrin de Virtualbox, o

desde otro ordenador del aula, el correcto funcionamiento de la redireccin de los
servicios, para ello:
T5.1.- Navegue a la direccin http://192.168.0.X desde la maquina externa.

T5.2.- Navegue a la direccin https://192.168.0.X desde la maquina externa.

T5.3.- Use un cliente FTP para conectar mediante ftp://192.168.1.1, es decir, desde un
equipo exterior de la red. Pruebe los modos de operacin activo y pasivo funcionan
ambos?. Debe transferir ficheros para ver si opera correctamente.

El protocolo FTP no esta operando correctamente por estar tras un firewall.

Tarea 6.- Se proceder a configurar el servidor proftpd en modo pasivo para un rango
de puertos. En caso de usar otro servidor FTP diferente en la documentacin del
mismo podr encontrar una configuracin equivalente.

T6.1.- En el fichero de configuracin /etc/proftpd/proftpd.conf busque las directivas

PassivePorts y MasqueradeAddress, debe establecer en ellas un pequeo rango de
puertos (del 2000 al 2100 por ejemplo) y la direccin IP externa 192.168.1.1

T6.2.- En el script servicios.sh debe aadir una regla que redirija el rango de puertos
establecidos previamente al servidor FTP. Adems, deber tambin aadir una regla
extra para aceptar esos puertos en el firewall ya que est establecida una poltica
prohibitiva de forma predeterminada.

T6.3.- Usando el programa filezilla conecte desde un equipo externo en modo pasivo
a su servidor FTP y compruebe si es capaz transferir ficheros.

4. Instalacin del servidor DNS

Se pretende instalar un servicio adicional de DNS. La filosofa utilizada a lo largo de
a asignatura consiste en realizar un despliegue de servicios mediante un servicio una
mquina. Para no saturar los equipos de laboratorio se propone realizar la instalacin
en la mquina FTP and DNS server, junto con el servidor FTP.
Concretamente se instalar el servidor BIND9 y este servicio ser interno para los
equipos de la red virtual.
Tarea 7.- Se instalar un servicio DNS cache en la mquina FTP and DNS server, para
ello, instale en primer lugar el el paquete bind9 en esta mquina.
T7.1.- Edite el fichero /etc/bind/named.conf.options y busque la seccin forwarders,
que de manera predeterminada est comentada. Quite los comentarios a esta seccin y
usando la sintaxis correcta establezca las dos siguientes IP como servidores externos:
150.214.186.69 y 8.8.8.8.

T7.2.- Reinicie el servicio bind9 mediante el comando service bind9 restart y

compruebe si est operativo listando los procesos en ejecucin que tienen abiertos
puertos UDP (comando netstat-lunp ). Cual es el nombre del programa con el que se
ejecuta el servidor bind?

El programa es name

T7.3.- Edite la configuracin de todas las mquinas, incluido el gateway, para que
utilicen el nuevo servidor de nombres y compruebe que opera correctamente, para ello
use el comando dig con algn nombre de dominio para ver toda la informacin
adicional.
Se configura el fichero /etc/resolv.conf en el que se pone la ip del servidor de nombres
de dominio en exepcion del mismo que basta con poner localhost o la direccion local.

T7.4.- Cambie la configuracin del firewall en el script firewall.sh de forma que slo
pueda tener conexin a DNS externos la mquina vbox2. No borre ninguna regla del
fichero firewall.sh, slo comente las lneas que no necesite y comente los cambios
realizados en el mismo fichero.

4.1. Configuracin de un DNS maestro

Tarea 8.- La configuracin de un DNS maestro se realiza mediante la edicin de varios

ficheros.
Se le aade una nueva direccion a la que le llamaremos andres.tai para nuestra nueva
zona.

Se crea en la carpeta /etc/bind/ el fichero andres.tai en el que escribiremos lo siguiente:

Aca esta la zona que nos dice que es de tipo maestro y nos direcciona a su base de datos,
ademas tenemos la zona inversa con las mismas caracteristicas.
Editamos la zona db.andres.tai:

Editamos la zona db.inversa:

Luego de esto reiniciamos el servicio.

Tarea 9.- Para comprobar si el servidor opera correctamente se probarn diversos

comandos. En primer lugar pruebe el comando host desde la propia mquina vbox2 con
las mquinas vbox1.minombre.tai, vbox2.minombre.tai y gateway.minombre.tai.

T9.1.- Repita el proceso desde la mquina vbox2 y la mquina gateway.

T9.2.- Use el comando dig con vbox1.minombre.tai.

T9.3.- Pruebe el comando ping con minombre.tai, es decir, sin especificar nombre de
mquina. que IP resuelve? Por qu ocurre esto?

Por lo que existen 3 direcciones ip diferentes y el servidor de nombres no sabe a quien

dirigirse.
Pruebe el comando nslookup 192.168.0.10 y obtendr la resolucin inversa ofrecida por
los DNS para esta direccin IP.

Configure correctamente en servidor DNS para que ambos nombres de dominio de las
distintas ip se resuelvan con la direccin IP del servidor WEB de la mquina vbox1.

Se crea el host virtual con el nombre andres.tai.

Se crea una pagina en la direccion /var/ww/andres.tai que tendra una sencilla pagina web
de muestra.
Se crea y se les da los determinados permisos.

Comprobamos: