You are on page 1of 10
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -
Materia: Seguridad de la Información Profesor: Lic. Ricardo Luna Santos Grupo: 10 A Integrantes: -

Materia: Seguridad de la Información

Profesor: Lic. Ricardo Luna Santos

Grupo: 10 A

Integrantes:

- Urbano Hernández Hernández

- Itzayana Ríos Leyva

Que es Shorewall

Shorewall (Shoreline Firewall) es una robusta y extensible herramienta de alto nivel para la configuración de muros cortafuego. Shorewall solo necesita se le proporcionen algunos datos en algunos archivos de texto simple y éste creará las reglas de cortafuegos correspondientes a través de iptables. Shorewall puede permitir utilizar un sistema como muro cortafuego dedicado, sistema de múltiples funciones como puerta de enlace, dispositivo de encaminamiento y servidor.

Ubuntu Server

Iniciamos nuestro servidor Linux en nuestra maquina ejemplo: (Ubuntu Server).

servidor Linux en nuestra maquina ejemplo: (Ubuntu Server). Verificamos si tenemos una conexión de red con

Verificamos si tenemos una conexión de red con el comando $ifconfig

Tenemos que tener las interfaces lo, eth0, wlan. Si no aparece la red inalámbrica tenemos que configurarla. De lo contrario si aparecen hacer un ping con el equipo con el cual queremos hacer conexión con el comando: $ping 10.10.64.1

Activar la tarjeta de red inalámbrica

1. Con este comando vamos a habilitar el dispositivo inalámbrico. Dependiendo del tipo de dispositivo que utilices, su nombre puede variar (generalmente es wlan0).

$sudo ifconfig wlp2s0b1 up

2. Escanear las redes disponibles.

$sudo iwlist wlp2s0b1 scan

3. Para conectar a la red que deseamos.

$sudo iwconfig wlp2s0b1 essid NOMBREDERED key CONTRASEÑADERED

Ejemplo: $sudo iwconfig wlp2s0b1 essid laboratorio3 key 98TT/1234-

Si usted ya lo tiene instalado aparecerá que tiene la versión más reciente, de no ser así el sistema mostrara que si desea descargarlo, escriba yes.

5. Generar un archivo de configuración para la conexión WPA con el siguiente comando:

$sudo nano Wireless-wpa.conf

6. Se editaremos el archivo escribiendo el siguiente script, una vez terminado presionamos ctrl + o para guardar el archivo y ctrl + x para cerrar el archivo:

ctrl_interface=/var/run/wpa_supplicant

network={

ssid=”nombre_red”

scan_ssid=1

key_mqmt=WPA-PSK

PSK=”contraseña_red”

}

7. Otorgamos permisos al archivo creado. $sudo chmod 777 wireless-wpa.conf

8. Apagamos la interfaz:

$sudo ifconfig wlp2s0b1 down

9. Liberamos si hay una dirección en la interfaz.

$sudo dhclient wlp2s0b1 -r

10. Volvemos a encender la interfaz:

$sudo ifconfig wlp2s0b1 up

11. Activar modo gestionar la red

$sudo ifconfig wlp2s0b1 mode managed

12. Realizar la negociación de la WPA con el siguiente comando:

$sudo wpa_supplicant -B -Dwext i wlp2s0b1 c ./wireless-wpa.conf -dd

13. Solicitar una nueva dirección al servidor de DHCP.

$sudo dhclient wlp2s0b1

14. Finalizamos con una prueba con la conexión

$ping www.google.com

Activar y Configurar la interfaz Ethernet

1) Para verificar alguna conexión escribimos $ifconfig y verificamos si tenemos puertos conectados (lo, eth0, wlan0), de no tener eth0 seguiremos los siguientes pasos. 2) Principalmente vemos si tenemos conectada la tarjeta de red eth0 con el siguiente

comando:

$ifconfig a 3) Y vemos que nos aparece lo, eth0, wlan0, que anteriormente quizás no lo teníamos para activar solo basta con escribir el siguiente comando. Nota: El nombre de la interfaz de red eth0 o wlan0 pueden variar dependiendo del nombre del adaptador.

$sudo ifconfig eth0 up

4) Con eso damos de alta la interfaz de Ethernet, ahora asignaremos una IP estático para nuestra práctica de Shorewall. Para ello abrimos el siguiente archivo de configuración de interfaz.

$sudo nano /etc/network/interfaces

5) Regularmente solo aparece la interfaz lo y algunos datos, si no tiene la interfaz eth0 vamos

a escribirla. Agregamos los siguientes valores, de ya tenerlos solo modificaremos, al terminar presionamos ctrl + o para guardar y ctrl + x para cerrar el documento.

auto eth0 iface eth0 inet static address 15.15.0.12 network 15.15.0.1 netmask 255.255.255.0 broadcast 15.15.0.255 6) Reiniciamos nuestra pc con el comando $reboot

Instalar y Configurar Shorewall

1. Para instalar Shorewall basta con colocar el siguiente comando, claro que debes de tener internet para descargar los paquetes. Nota: si no está instalado le preguntara si desea instalar de no ser así le mostrara que está en su versión reciente.

$sudo apt get install shorewall

2. Una vez que esta ya este instalada nos ubicamos en la ruta de shorewall:

$cd /etc/shorewall/ $ls

Y vemos que solo encontramos un o dos archivos. Deberíamos de tener (interfaces, rules,

zones, masq, policy), ahora nos ubicaremos en la carpeta:

$cd /usr/share/doc/shorewall/examples/one-interface $ls

3. Y ahí están lo que vamos hacer es copiar o mover los archivos de esta ruta a la de shorewall.

$sudo cp /usr/share/doc/shorewall/examples/one-interface/interfaces /usr/share/doc/shorewall/examples/one-interface/policy /usr/share/doc/shorewall/examples/one-

interface/rules /usr/share/doc/shorewall/examples/one-interface/zones /usr/share/doc/shorewall/examples/one-interface/masq /etc/shorewall/

Configuración de shorewall

4. Primero debemos de ver si shorewall está activado para ello abrimos el archivo, Al terminar ctrl+o para guardar y ctrl+x para cerrar:

$sudo nano /etc/shorewall/shorewall.conf

Modificamos la línea donde se encuentra STARTUP_ENABLED=NO a YES.

5. Vamos a configurar primero las interfaces:

En éste se establecen cuáles serán las interfaces de red para las diferentes zonas. Ejemplo se pude establecer interfaces que corresponden a la Internet, Zona Desmilitarizada DMZ y Red Local.

$sudo nano /etc/shorewall/interfaces

6. Agregaremos las siguientes líneas, Recuerda que las interfaces de las redes pueden variar dependiendo
6.
Agregaremos las siguientes líneas, Recuerda que las interfaces de las redes pueden variar
dependiendo del nombre de tu adaptador(eth0,wlan0…), Al terminar ctrl+o para guardar y
ctrl+x para cerrar:
net
wlp2s0b1
detect
dhcp
loc
enp0s25
detect
dhcp
7.
Después abrimos el archivo de zones.

Este archivo se utiliza para definir las zonas que se administrarán con Shorewall y el tipo de zona (firewall, ipv4 o ipsec).

$sudo nano /etc/shorewall/zones

8.

Agregamos las siguientes líneas, Al terminar ctrl+o para guardar y ctrl+x para cerrar:

fw firewall net ipv4 loc ipv4 9. Siguiente abrimos el archive de masq:
fw
firewall
net
ipv4
loc
ipv4
9.
Siguiente abrimos el archive de masq:

Se utiliza para definir que a través de que interfaz o interfaces se habilitará enmascaramiento o NAT y para que interfaz o interfaces o redes se aplicará dicho enmascaramiento.

$sudo nano /etc/shorewall/masq

10. Agregamos las siguientes líneas, Recuerda que las interfaces de las redes pueden variar dependiendo del nombre de tu adaptador(eth0,wlan0…), Al terminar ctrl+o para guardar y ctrl+x para cerrar:

wlp2s0b1

enp0s25

wlp2s0b1

15.15.0.0/24

), Al terminar ctrl + o para guardar y ctrl + x para cerrar: wlp2s0b1 enp0s25

11. Abrimos el archivo de rules:

En este fichero es donde realmente se definen las reglas del cortafuego. Como hemos establecido un firewall restrictivo, únicamente tendremos que especificar aquellos puertos o servicios a los que queramos dar acceso.

$sudo nano /etc/shorewall/rules

12. Anexamos la siguiente linea de codigo, para las reglas que va obtener nuestro firewall, Al terminar ctrl+o para guardar y ctrl+x para cerrar:

ACCEPT

all

fw

tcp

21,22,23

 

ACCEPT

all

fw

tcp

20,21,22,23,80,443,30300:30309

ACCEPT

all

fw

icmp

8

-

-

10/seg:5

ACCEPT

loc

net

tcp

20,21,80,443,25,110,143,465,587,993,995, 43,53,63,123

ACCEPT

loc

net

udp

43.53.63.123

 

ACCEPT

loc

net

icmp

8

-

-

10/sec:10

ACCEPT loc net icmp 8 - - 10/sec:10 13. Finalmente crearemos una politicas para nuestro

13. Finalmente crearemos una politicas para nuestro firewall, abrimos nuestro archive de policy:

Establece que tipo de firewall será (restrictivo o permisivo). Yo uso un firewall restrictivo y abro aquellos puertos o servicios que me interesan.

$sudo nano /etc/policy

14. Añadiremos la siguientes líneas, Al terminar ctrl+o para guardar y ctrl+x para cerrar:

loc net ACCEPT fw net ACCEPT loc fw ACCEPT net all DROP info all all REJECT info

15. Para terminar vamos a iniciar nuestro firewall Shorewall. $sudo service shorewall start 16. Si

15. Para terminar vamos a iniciar nuestro firewall Shorewall.

$sudo service shorewall start

16. Si nos aparece un error escribiremos el siguiente comando, donde nos indicara si algún archivo está mal, o hay palabras mal escritas.

$sudo service shorewall status

17. Listo tu muro de cortafuegos shorewall está activado.

Conexión del servidor Linux con firewall shorewall a una pc de Windows.

I. Principalmente para que esto funcione los dos ordenadores (Servidor y Pc Windows) deben de estar conectadas por el puerto Ethernet.

II. Se configura la conexión Ethernet del ordenador Windows:

a) Ir a panel de control

b) Seleccionar centro de redes y recursos compartidos

c) Presionar donde dice Ethernet en las redes activas

d) Se abrirá un cuadro de dialogo, pulsar en el botón propiedades.

e) Abrirá un sub cuadro de dialogo, buscamos y seleccionamos en la lista de elementos

Protocolo de internet versión 4(TCP/IPv4).

f) Una vez seleccionada presionamos en propiedades, y se abrirá un sub sub-cuadro de dialogo en donde está configurada con una IP dinámica o automática.

g) Lo que vamos hacer es colocar un IP estática de acuerdo con el Rango de dirección

eth0 tiene el servidor. Ejemplo: IP Servidor 15.15.0.12, entonces PC cliente será de

15.15.0.20.

h) Debes colocar una IP de acuerdo al rango, la máscara de subred, la puerta de enlace, ojo la puerta de enlace es la red de destino en este caso se está utilizando el servidor Linux entonces en puerta de enlace colocaremos la IP del Servidor 15.15.0.12.

III. Las DNS puedes ser las de google 8.8.8.8, 8.8.4.4 IV. Presionamos aceptar. V. Hacemos

III.

Las DNS puedes ser las de google 8.8.8.8, 8.8.4.4

IV.

Presionamos aceptar.

V.

Hacemos un ping de la Windows a Servidor, Servidor a Windows. Debe de haber conexión.

a Servidor, Servidor a Windows. Debe de haber conexión. VI. Si hay ping ya hay conexión

VI.

Si hay ping ya hay conexión de red, ahora vamos a compartir internet del servidor a la PC cliente.

VII.

Vamos al servidor Linux y vamos a modificar un archivo que se encuentra en /etc/ sysctl.conf $sudo nano /etc/sysctl.conf

VIII.

Buscamos la línea # net.ipv4.ip_forward = 0, la des comentaremos y le ponemos 1, Al terminar ctrl+o para guardar y ctrl+x para cerrar:

net.ipv4.ip_forward = 1

IX.

Reiniciaremos los servicios de Shorewall:

$sudo service shorewall restart

X.

La PC Cliente debe de tener internet por medio de la interfaz eth0.