2251 CFGS Administraci de sistemes en xarxa
Mdul 11 Seguretat i Alta DisponibilitatUF3 - Tallafocs i
servidors intermediarisU3 - Tallafocs i servidors
intermediarisEAC3(Curs 2014-15/ 2n semestre)
Presentaci i resultats d'aprenentatge
Aquest exercici davaluaci contnua (EAC) es correspon amb els
continguts treballats a la unitat 3 Tallafocs i servidors
intermediaris.
Els resultats d'aprenentatge que es plantegen sn:RA 1. Implanta
tallafocs per assegurar un sistema informtic, nanalitza les
prestacions i controla el trnsit cap a la xarxa interna.
RA 2. Implanta servidors intermediaris aplicant criteris de
configuraci que garanteixin el funcionament segur del servei.
Criteris davaluaci
La puntuaci mxima assignada a cada pregunta sindica a
lenunciat.
Els criteris que es tindran en compte per avaluar el treball de
lalumnat sn els segents:1.1. Descriu les caracterstiques, tipus i
funcions dels tallafocs.
1.2. Classifica els nivells en els quals es realitza el
filtratge de trfic.
1.3. Planifica la installaci de tallafocs per limitar els
accessos a determinades zones de la xarxa.
1.4. .Configura filtres en un tallafocs a partir d'un llistat de
regles de filtratge.
1.5. Revisa els registres d'esdeveniments de tallafocs, per
verificar que les regles s'apliquen correctament.
1.6. Prova diferents opcions per implementar tallafocs, tant de
programari com de maquinari.
1.7. Diagnostica problemes de connectivitat en els clients
provocats pels tallafocs.
1.8. Elabora documentaci relativa a la installaci, configuraci i
utilitzaci de tallafocs.
2.1. Identifica els tipus de servidors intermediaris, les seves
caracterstiques i funcions principals.
2.2. Installa i configura un servidor cau.
2.3. Configura els mtodes d'autenticaci en el servidor
intermediari.
2.4. Configura un servidor intermediari en manera
transparent.
2.5. Utilitza el servidor intermediari per establir restriccions
d'accs web.
2.6. Soluciona problemes d'accs des dels clients al servidor
intermediari.
2.7. Realitza proves de funcionament del servidor intermediari,
monitorant la seva activitat amb eines grfiques.
2.8. Configura un servidor intermediari en mode invers.
2.9. Elabora documentaci relativa a la installaci, configuraci i
s de servidors intermediaris.
La correcci i claredat en les respostes dels diferents
apartats.
El nivell adequat (s de vocabulari tcnic, nivell cientfic,...)
utilitzat a l'hora de respondre.
La participaci en el frum amb aportacions positives.
Forma i data de lliurament
Per respondre les qestions heu dutilitzar aquest mateix fitxer.
Elimineu els apartats Presentaci i resultats d'aprenentatge,
Criteris davaluaci i Forma i data de lliurament. Lenunciat est
disponible en el format de LibreOffice/OpenOffice (.odt).
Un cop finalitzat lexercici davaluaci contnua heu denviar el
document des de l'apartat M11 - Lliurament EAC3 de l'aula, dins del
termini establert. Tingueu en compte que el sistema no permetr fer
lliuraments desprs de la data i hora indicades.
El nom del document seguir el segent format:
2251M11_EAC3_Cognom1_Inicial_del_cognom2. Els cognoms sescriuran
sense accents. Per exemple, lestudiant Marta Garca Soler posaria el
segent nom al seu fitxer de lEAC3: 2251M11_EAC3_Garcia_S.odt".
Substituu Nom i cognoms de la capalera d'aquest document per les
vostres dades personals.
Comprimiu tots els fitxers (aquest document amb les respostes o
altres fitxers que requeriu) que heu de lliurar amb un format
lliure (zip o tar.gz, per exemple, rar no s lliure). Anomeneu el
fitxer comprimit amb el mateix criteri que el fitxer odt:
"2251M11_EAC3_Cognom1_Inicialdelcognom2.zip". Pengeu aquest fitxer
comprimit a l'rea de lliurament de la plataforma anomenada
Lliurament EAC3.
El termini de lliurament finalitza a les 23:55 h del dia
22/04/2015. La proposta de soluci es publicar el 30/04/2015 i les
qualificacions de lEAC es publicaran el dia el dia 30/04/2015.
Enunciat
Aquest EAC es troba estructurat en 2 apartats, amb les segents
ponderacions:
A Tallafocs [60% = 6 punts]
B Servidors intermediaris [40% = 4 punts]
En aquest EAC se us anima a la participaci en el frum de l'EAC
per tal de fer un treball cooperatiu.
Aquest exercici complementa l'estudi de la tercera unitat del
mdul, donant alhora -dintre de les possibilitats- un enfocament
prctic. s recomanable que hagueu llegit la documentaci d'aquesta
tercera unitat i hagueu provat les activitats proposades, aix com
l'autoavaluaci.
Aquest exercici est orientat cap a l's de Linux Ubuntu, tot i
que qualsevol altra distribuci Linux us hauria de servir, sempre
que inclogui les eines que es requereixen. Podeu baixar una imatge
gratuta d'Ubuntu a:
http://www.ubuntu.com/desktop/get-ubuntu/download.
Part A - Tallafocs - 6 punts
Escenari de la prctica
Per a aquesta part de l'EAC requerim quatre mquines funcionant,
tres mquines en virtualitzaci i un amfitri interconnectats. Segons
la memria RAM que disposeu, podeu utilitzar Servidors per a les
mquines virtuals (ex: Ubuntu server) amb 256MB de RAM
cadascuna.
La mquina on s'installar el Tallafocs disposar de tres targetes
de xarxa, dues amb adaptador en xarxa interna (LAN, DMZ) i IP
esttica (per simular les connexions amb les xarxes internes) i una
altra amb adaptador en mode PONT i IP dinmica o esttica (per
simular la connexi amb Internet).El tallafocs noms tindr funcionant
el servei ssh.
L'nic servidor de la DMZ tindr dos serveis funcionant:el servei
ssh
el servei Web (apache2)
Pertany a la xarxa 192.168.30.0/24
L'nic PC de la LAN podr ser una MV amb interfcie grfica per
poder utilitzar un navegador Web i un terminal (Ubuntu Desktop amb
512mb de RAM s suficient).Pertany a la subxarxa 10.10.10.0/24
Aquest escenari noms es necessita tenir-lo muntat per fer les
proves que es demanen al enunciat i realitzar les captures de
pantalla necessries. No cal que totes les mquines estiguin
funcionant a la vegada, noms les que intervinguin a l'hora de fer
la prova.
Es tracta de que realitzeu en el tallafocs una serie de scripts
on s'implementin les ordres necessries de Iptables per a poder
fortificar la xarxa.
Heu d'entregar tots els scripts creats junt amb l'entrega de
l'EAC.
Script de configuraci de IPTables (4 punts).
1 Crea un script i anomena'l firewall.sh. Configura IPTABLES de
la segent manera (1p):Esborra totes les regles existents
Poltiques per defecte DROP a totes les taules
Permet que la interfcie loopback (interfcie lo) realitzi
connexions.
Permet la connexi SSH des de un ordinador situat a la targeta
amb adaptador mode Pont al propi tallafocs (normalment, interfcie
eth0)
Activa l'encaminament entre xarxes
A la resposta haureu d'incloure:
Captura de pantalla amb l'execuci del script. Comandes:sudo sh
tallafocs.sh sudo iptables -L -n
Captura de pantalla amb les regles del script
Captura de pantalla amb la demostraci que el PC de la LAN no pot
accedir a Internet.
2 Afegeix al script anterior les segents regles (0,5p):Els
ordinadors de la LAN han de poder accedir als servidors Web
d'Internet (ports 80 i 443)
Els ordinadors de la LAN han de poder accedir als servidors DNS
(port 53)
Nota:Recorda a l'hora de realitzar les regles anteriors que la
poltica per defecte s Restrictiva.
A la resposta haureu d'incloure:
Captura de pantalla amb les regles del script
Captura de pantalla amb la demostraci que el PC de la LAN s pot
accedir a Internet
3 Afegeix al script anterior les segents redirecci dels ports (1
p)Utilitzant la IP pblica del Firewall (La ip del adaptador que es
connecta amb Internet) heu de poder accedir via ssh:Si utilitzeu el
port del ssh (2222) ens permetr la connexi via ssh al servidor de
la DMZ. Aquest servidor t ssh installat i escolta pel port 22.
Afegeix les regles necessaries per tal que quan un PC que es
troba situat a Internet (pot ser la mquina Real) accedeix amb el
navegador Web al port 80 del tallafoc, aquest reenviar la petici al
port 80 del servidor de la DMZ i el PC de Intenet obtindr la Web
del servidor DMZ.
Nota:Recorda a l'hora de realitzar les regles anteriors que la
poltica per defecte s Restrictiva.
A la resposta haureu d'incloure:
Captura de pantalla amb les regles del script
Captura de pantalla del navegador amb la IP del TallafocsCaptura
de pantalla amb la demostraci es pot realitzar una connexi ssh al
port 2222 de la IP del tallafoc amb l'entrada correcta al servidor
de la DMZ
4 Configuracions addicionals. (2,5p)
Afegiu una regla IPTable que crei un LOG amb tots els paquets
que envii el PC de la LAN amb el prefix PAQUET_LAN.
Permet que els PC de la LAN pugui fer ping als servidors
d'internet.
Limita a 1 connexi ssh simultnea per client al tallafocs:
Prevenir atack de DoS (Denial Of Service): Aegeix la regla
IPTables necessaria per prevenir l'atac de denegaci de Servei (DoS)
del servidor Web de la DMZ. Per fer-ho s'ha de limitar a, per
exemple, 25 connexion per minut com a mxim sempre i quan s'hagi
arribat a les 100 connexions (en total).
Nota:Recorda a l'hora de realitzar les regles anteriors que la
poltica per defecte s Restrictiva.A la resposta haureu
d'incloure:
El script i la captura de pantalla amb les regles IPtables
anteriors. No cal captures de pantalla amb les proves de cadascuna
de les regles.
Captura de pantalla de les regles:
En aquesta captura de pantalla podeu veure en funcionament la
regla de LOG. Els logs es guarden per defecte en
/var/log/syslog
En aquesta captura de pantalla podeu comprovar que no es pot fer
ping des de la LAN als servidors d'Internet:
En aquesta captura de pantalla podeu comprovar que s es pot fer
ping des de la LAN als servidors d'Internet:
En aquesta captura de pantalla podeu veure a el tallafocs
permeten noms 1 connexi ssh :
5 Script per a permetre Internet a una IP concreta de la LAN.
(0,5 punt)
Crea un script anomenat 'alta_ip.sh' . Aquest script permetr
l'accs a internet d'un PC de la LAN. La IP del PC es passar en la
crida del script.Ex: sudo alta_ip.sh 192.168.10.3
* Nota: Per agafar la IP passada en la crida del script es fa
servir $1.
A la resposta haureu d'incloure:
Haureu d'afegir aquest fitxer, junt amb el fitxer de la prctica
,en un comprimit en format ZIP tal i com s'especifica al inici del
EAC.
Captura de pantalla del contingut del fitxer:
Captura de pantalla amb l'execuci del script:
6 Script per a denegar Internet a una IP concreta de la LAN (0,5
punt)
Crea un script anomenat 'baixa_ip.sh'. Aquest script esborrar la
regla/es de Iptables creades amb el script 'alta_ip.sh' d'una ip
donada. Aix deneguem l'accs a Internet d'un pc que anteriorment
l'havem perms. Ex: sudo baixa_ip.sh 192.168.10.3
A la resposta haureu d'incloure:
Haureu d'afegir aquest fitxer, junt amb el fitxer de la prctica
,en un comprimit en format ZIP tal i com s'especifica al inici del
EAC.
Captura de pantalla del contingut del fitxer:
Part B - Servidors intermediaris - 4 punts
En aquest apartat installareu, configurareu i provareu un
servidor intermediari en Ubuntu / Debian anomenat Squid.L'escenari
s el segent:
Com sabeu, l'eina Squid3 permet filtrar el trfic d'Internet pel
port 80, per sobretot, lo ms utilitzat s la funcionalitat de
'cache'.
Squid3 permet guardar una cpia de les pgines d'Internet,
imatges, vdeos, etc, en local (en el propi servidor squid3) per a
que si algun altre PC de la LAN vol la mateixa informaci, no caldr
tornar-la a demanar a Internet, si no s'enviar la que ja t
emmagatzemada.
La mquina on s'installar el Squid3 disposar de dues targetes de
xarxa, una amb adaptador en xarxa interna (LAN) i IP esttica (Per
comunicar-se amb la LAN) i una altra amb adaptador en mode PONT i
IP dinmica o esttica (per simular la connexi amb Internet).
L'nic PC de la LAN podr ser una MV amb interfcie grfica per
poder utilitzar un navegador Web i un terminal (Ubuntu Desktop amb
512mb de RAM s suficient).Pertany a la subxarxa 10.10.10.0/24
Gateway ser la IP del squid3 (xarxa interna)
DNS el servidor de google: 8.8.8.8
7 Configuraci SQUID3 (no transparent) i configuraci de les
regles ACL (1 punt)
Feu la installaci d'aquest paquet (primer sudo apt-get update i
desprs sudo apt-get install squid3) en la mquina que far de
servidor intermediari.
Per configurar l'eina squid3 ho realitzareu des de un fitxer
buit, per aix fareu una copia de seguretat del fitxer original i
desprs creareu un de nou. Aix no us molestar la configuraci per
defecte ni els comentaris originals del fitxer (ms de 7000 lnies)
.
Executeu les segents comandes:
sudo mv /etc/squid3/squid.conf /etc/squid3/squid.conf.oldsudo
touch /etc/squid3/squid.conf
i a continuaci configureu el squid amb les segents parmetres i
regles ACLs:
Port d'escolta: 3128
Mostreu en catal les pantalles d'error
'IPS_VIP': En aquesta ACL hi haur un llistat de algunes les ip's
dels pc de la LAN.(Les Ips es troben en el fitxer
/etc/squid/vip.acl)
'IPS_LAN': En aquesta ACL hi haur un llistat de algunes les ip's
dels pc de la LAN.(Les Ips es troben en el fitxer
/etc/squid3/lan.acl)
'Horari': En aquesta ACL es configurar el segent horari : 10:00
a 22h de dimecres a divendres.
'dominis': En aquesta ACL es configuraran els dominis de
infomerce.es, google.com i la ioc.xtec.cat.
'paraules': En aquesta ACL es configurar les paraules 'casa,
cotxe i terra'. Aix qualsevol URL que tingui aquestes paraules
coincidir amb aquesta ACL. Aquestes paraules es trobaran en el
fitxer /etc/squid3/paraules.acl
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer
/etc/squid3/squid.conf amb la configuraci del squid i les acls:
8 Configuraci de l'accs a Internet i de la Cache del Squid3 (1,5
punt)
Amb el llistat d'ACLs del exercici anterior configureu els
segents permisos:
Es vol bloquejar l'accs a les pgines 'dominis' als ordinadors de
la ACL IPS_LAN
Es vol bloquejar l'accs a les 'paraules' als ordinadors de la
ACL IPS_LAN
Si hi ha un accs dels ordinadors de la ACL IPS_LAN cap a
Internet en horari de feina es permet sempre que no es compleixi
alguna de les regles anteriors.
Les IPs de la ACL_VIP tenen accs a Internet SEMPRE i sense
restriccions.
Es vol bloquejar qualsevol altre accs.
Es vol una cache de 500MB amb 25 directoris i 350 subdirectoris.
De RAM nomes es necessita 30MB. L'objecte mxim que es pot guardar a
la cache es de 1MB.
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer
/etc/squid3/squid.conf amb la configuraci dels permisos
anterior:
Captura de pantalla de la comanda per generar els directoris
necessaris per la cache del squid3
9 Configura el client per a que utilitzi el proxy Squid3 (0,5
punts)
En aquest apartat heu de configurar un client per tal que
connecti al vostre servidor intermediari. El client pot ser Ubuntu,
Windows, Debian, Mac,...
Heu de posar una IP, al client, que estigui dintre de la ACL
IPS_LAN.
A la resposta haureu d'incloure:
Captura de pantalla del navegador web amb la configuraci del
navegador on poseu la IP del Proxy.
Captura de pantalla del navegador web amb la web proporcionada
pel SQUID corresponent a un accs no perms.
10 Configura Squid3 per a que funcioni en mode transparent (1
punts)
En aquest apartat heu de configurar el servidor SQUID per a que
sigui transparent. Aix no es necessitar la configuraci en el
navegador web i, automticament, filtrar les peticions web.
Per tal que funcioni el mode transparent heu d'executar les
segents ordres Iptables. Podeu crear un script que contingui les
segents ordres:
A la resposta haureu d'incloure:
Captura de pantalla del contingut del fitxer
/etc/squid3/squid.conf on s'indica que s transparent.
Regles Iptables necessries per a que funcioni de manera
transparent:
#!/bin/sh#eth0 externa, eth1 interna iptables -F iptables -F -t
nat iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P
FORWARD ACCEPT iptables -t nat -A PREROUTING -i eth1 -p tcp --dport
80 -j REDIRECT --to-port 3128 iptables -t nat --append POSTROUTING
--out-interface eth0 -j MASQUERADE echo 1 >
/proc/sys/net/ipv4/ip_forward
Captura de pantalla del navegador web amb la web proporcionada
pel SQUID corresponent a un accs no perms. Canvia la IP a una del
llistat de la ACL IPS_LAN, realitza un ifconfig del client a la
mateixa captura.
Captura de pantalla del navegador web amb la web proporcionada
pel SQUID corresponent a un accs perms. Canvia la IP a una del
llistat de la ACL IPS_VIP, realitza un ifconfig del client a la
mateixa captura.
Formaci professionalNom i cognoms
Codi: I71Exercici d'avaluaci contnua 3Pgina de
Versi: 022251M11_EAC3_Enunciat_1415S2Lliurament: 22/04/2015
Generalitat de Catalunya Departament dEnsenyamentInstitut Obert
de CatalunyaNom i cognoms
Codi: I71Exercici d'avaluaci contnua 3Pgina de
Versi: 022251M11_EAC3_Enunciat_1415S2Lliurament: 22/04/2015
