Firewall en Linux PDF

UNIVERSIDAD DISTRITAL
FRANCISCO JOSE DE CALDAS

PROYECTO CURRICULAR TECNOLOGA EN SISTEMATIZACIN DE
DATOS E INGENIERIA EN TELEMTICA
FACULTAD TECNOLGICA
LABORATORIO CRIPTOGRAFA
SEGURIDAD EN LINUX (FIREWALL)
SOBRE LINUX
La arquitectura de seguridad en las actuales versiones de Linux est organizada por tres
capas diferentes, como puede verse en la siguiente figura:
La primera capa est formada por el cortafuegos (firewall), denominado iptables, el

cual puede controlar el acceso a los niveles de subcapa de acceso al medio, capa de
red, capa de transporte y en algn caso incluso la capa de aplicacin.
La segunda capa est formada por los envolventes de acceso o TCP Wrappers, que
controlan los permisos para acceder a un determinado servicio segn el ordenador
remoto que lo solicita.
Por ltimo, la tercera y ltima capa de seguridad se encuentra en el sper-servidor

xinetd, cuyo funcionamiento es similar al de los envolventes de acceso pero con un
nivel de configuracin mucho ms detallado.
Como puede observarse en la figura anterior no todos los servicios son controlados por
todas las capas de seguridad. As en la configuracin mostrada como ejemplo en la figura
el programa sendmail (correo electrnico) se encuentra solo bajo el control del cortafuegos,
el sshd (Secure shell Daemon) es controlado por el cortafuegos y por los TCP Wrappers, de
forma que ambas capas de seguridad deben permitir el acceso a un ordenador remoto para
que pueda hacer uso del servicio. Por ltimo el telnet (TELetype NETwork) est controlado
por las tres capas de seguridad, siendo necesario que las tres permitan el acceso para que
un ordenador remoto pueda hacer uso del servicio. Esta organizacin de los servicios y su
FACULTAD TECNOLGICA
control es solo un ejemplo, en otros sistemas se pueden haber configurado de diferente

manera los servicios, por ejemplo poniendo el sendmail bajo el control de los TCP Wrappers.
Las tres utilidades descritas se aplican de manera consecutiva y aditiva, de forma que
cuando un paquete llega por la interfaz de red a un host en primer lugar lo analiza el iptables
de acuerdo con las reglas que tiene definidas y decide si el paquete tiene o no permitida la
entrada. En caso negativo el paquete es descartado sin ms, independientemente de lo que
pudieran determinar las reglas de los TCP Wrappers o el xinetd. Si el paquete pasa el filtro
del iptables los TCP Wrappers se encargarn de inspeccionar si est permitido el acceso,
de acuerdo con las reglas configuradas; en caso negativo el acceso ser denegado,
independientemente de lo que dispongan las reglas de xinetd. Por ltimo, si el paquete ha
superado tanto los filtros del iptables como los del TCP Wrappers el xinetd analizar si est
permitido el acceso solicitado. Solo cuando las tres utilidades hayan permitido el acceso
podr el paquete llegar finalmente al proceso servidor el que va dirigido y generar la accin
correspondiente, que podra ser por ejemplo el establecimiento de una conexin TCP con
dicho proceso. Por supuesto aquellos servicios que no son controlados por las tres capas
(como en el caso de sendmail y sshd del ejemplo anterior) solo tendrn que superar el control
establecido por las utilidades que les afectan.
RESTAURACIN DE LA CONFIGURACIN INICIAL DEL HOST
Para probar las herramientas debemos partir de una configuracin inicial neutra evitando
los problemas que nos podra producir los residuos de configuraciones dejadas en el host
por compaeros de prcticas anteriores; para ello vamos en primer lugar a borrar todos los
ficheros de configuracin ejecutando los siguientes comandos:
rm -f /etc/sysconfig/iptables
rm -f /etc/hosts.allow
rm -f /etc/hosts.deny
rm -f /etc/xinetd.conf
rm -f -r /etc/xinetd.d
A continuacin obtendremos el fichero Redes.tar del URL siguiente:

http://informatica.uv.es/guia/asignatu/R/apuntes/laboratorio/programas/Redes.tar
y ejecutaremos el comando:
tar xvpPf Redes.tar
Una vez ejecutado comprobaremos que los ficheros que antes hemos borrado existen de
nuevo.
CONFIGURACIN DEL SERVIDOR XINETD.
xinetd (eXtended InterNET Daemon) es un proceso servidor tambin llamado

superservidor porque se encarga de poner en marcha diversos servicios en un host cuando
FACULTAD TECNOLGICA
son requeridos por los clientes, reduciendo de esta forma la cantidad de procesos activos
cuando lo que se quiere es ofrecer servicios cuya utilizacin va a ser espordica. As por
ejemplo si queremos ofrecer un servicio HTTP no necesitamos al arrancar el host poner en
marcha un proceso especfico que est escuchando en el puerto 80 por si en algn momento
se conecta algn cliente. En su lugar el proceso xinetd escuchar el puerto 80 y en el
momento que reciba alguna peticin de conexin al puerto 80 arrancar el proceso HTTP
servidor; cuando la conexin TCP al servidor se termine el servidor HTTP desaparecer,
repitindose el proceso cuando vuelva a aparecer una peticin de conexin al puerto 80 por
parte de algn cliente. Algunos servicios sencillos, como el daytime, pueden ser incluso
atendidos directamente por el propio proceso xinetd, sin necesidad de lanzar ningn proceso
independiente. Estos se denominan servicios internos.
Adems de reducir la cantidad de recursos utilizados para ofrecer servicios en un host el

super-servidor xinetd permite establecer un control en el acceso mediante unos ficheros de
configuracin especficos de cada servicio. Estos ficheros se encuentran normalmente en el
directorio /etc/xinetd.d y son los que utilizaremos en la primera parte de esta prctica.
En determinadas versiones de Linux y UNIX en lugar del xinetd se utiliza el inetd. Aunque
tambin acta como super-servidor, el inetd no incorpora las funciones de control de acceso
que tiene xinetd, con lo que en ese caso este nivel de seguridad no est disponible.
Como ya hemos comentado no es obligatorio que todos los servicios de un host estn
controlados por xinetd. Por ejemplo en nuestro caso el sshd no est controlado por el xinetd.
Antes de configurar el super-servidor xinetd desactiva el cortafuegos mediante el comando:
service iptables stop
De esta forma evitars posibles interferencias de acceso debidas a las reglas contenidas en
este componente.
Como hemos dicho los servicios controlados por el servidor xinetd se configuran mediante
un conjunto de ficheros situados en el directorio /etc/xinetd.d. Dicho directorio es ledo al
arrancar el servidor xinetd, por lo que cada vez que realices un cambio en un fichero del
directorio debes reiniciar el servidor xinetd ejecutando el comando:
service xinetd restart
Trasldate ahora al directorio /etc/xinetd.d ejecutando el comando:
cd /etc/xinetd.d
vers que hay all un conjunto de ficheros cuyos nombres corresponden a los servicios que
son arrancados y controlados por xinetd.
FACULTAD TECNOLGICA
En primer lugar vamos a ver si est habilitado el servicio telnet. La configuracin del telnet
se encuentra en el fichero telnet en el directorio /etc/xinetd.d. Puedes ver su contenido
mediante el comando:
more telnet
fjate en el valor del parmetro disable. Si pone disable = no el telnet est habilitado y
no has de hacer ningn cambio, si pone disable = yes debers modificarlo y poner
disable= no editando el fichero.
En caso de que hayas modificado el valor de disable debers reiniciar antes el xinetd para
que los cambios surtan efecto ejecutando el comando:
service xinetd restart
A partir de aqu, aunque el guin no lo indique, debers reiniciar el xinetd cada vez que
cambies algn fichero del directorio xinetd.d para que las modificaciones tengan efecto.
Nota importante: para saber en un momento determinado qu puertos tienes abierto

recuerdo que puedes usar:
nmap localhost que te mostrar los puertos TCP
nmap sU localhost que te mostrar los puertos UDP
Prueba ahora a utilizar el comando telnet <direccin IP> donde <direccin IP> ser la
direccin IP de la interfaz eth0 de tu propio ordenador y comprueba si puedes acceder al
servicio.
Pasemos ahora a ver las posibilidades de control de acceso que nos ofrece el xinetd. En
primer lugar aade en el fichero telnet la siguiente lnea:
only_from = <direccin IP>
Donde <direccin IP> es la direccin IP de la interfaz eth0 de tu ordenador. Ejecuta otra

vez la conexin al servicio telnet de tu ordenador mediante el comando telnet <direccin
IP>.
Aade ahora, a continuacin de la lnea anterior, la direccin IP de tu interfaz loopback

mediante la siguiente lnea:
only_from += 127.0.0.1
El parmetro only_from permite utilizar no solo direcciones aisladas sino tambin rangos
con la notacin direccin/mscara (ej.: 147.156.10.0/24), nombres de hosts (ej.:
marcello.uv.es) o dominios (ej.: .uv.es, que abarcara todos los ordenadores de la
Universidad de Valencia)
FACULTAD TECNOLGICA
Ahora edita el fichero telnet, quita la lnea del only_from con la direccin loopback y aade
la lnea siguiente:
banner_fail = /tmp/mensaje.txt
donde /tmp/mensaje.txt ser un fichero de texto que debes crear y que contendr un mensaje
similar al siguiente:
Tu ordenador no esta autorizado a usar este servicio.
Abre el wireshark, y captura y analiza los paquetes de entrada y salida de tu ordenador

cuando un ordenador externo al tuyo intenta hacer un telnet al tuyo.
Comprueba ahora la hora de tu ordenador, y suponiendo que sean, por ejemplo, las 9:20,
aade en el fichero telnet la siguiente lnea:
access_times = 09:20-09:21
Conctate al servicio telnet y comprueba que funciona. Deja establecida en una ventana una
conexin, espera a que la hora del ordenador sea mayor que la hora indicada como fin del
rango (a partir de las 9:22 en este ejemplo) e intenta una nueva conexin. Qu ocurre?
Aade ahora las siguientes lneas:
per_source = 2
instances = 3
Ejecuta ahora desde varias ventanas de tu ordenador, y de forma simultnea, el comando:
telnet <direccin_IP>
donde <direccin_IP> es la direccin IP de la interfaz Ethernet de tu ordenador.
Cuntas conexiones simultneas puedes abrir como mximo?.
Sin cerrar las conexiones anteriores, intenta ahora abrir nuevas conexiones a la direccin
loopback. Cuantas conexiones nuevas puedes abrir? A la vista del comportamiento
observado explica el significado de los parmetros per_source e instances.
CONFIGURACIN DE LOS TCP WRAPPERS
Los TCP Wrappers o envolventes de acceso (wrapper = envoltura) son un sistema de control
que se usa para filtrar el acceso por red a servicios en hosts con sistemas operativos tipo
UNIX (Linux o BSD por ejemplo). A pesar de su nombre los TCP Wrappers se utilizan no
solo para trfico TCP sino tambin UDP e incluso ICMP pues se puede restringir por
FACULTAD TECNOLGICA
ejemplo el acceso al servicio pingd (ping daemon) que es el encargado de responder a los
pings recibidos por el host.
La configuracin de los TCP Wrappers se guarda en dos ficheros, /etc/hosts.allow y

/etc/hosts.deny que especifican respectivamente los permisos y las denegaciones que se
aplican a los diferentes servicios. Puedes ver el contenido de estos ficheros, por ejemplo
mediante los comandos:
more /etc/hosts.allow
more /etc/hosts.deny
De momento estos ficheros tienen todas sus lneas comentadas, es decir no contienen
ninguna regla (una lnea est comentada si comienza por el smbolo #).
Los TCP Wrappers funcionan con la filosofa de permiso por defecto, es decir si algo no
est expresamente prohibido est implcitamente permitido. Adems los TCP Wrappers
procesan todas las reglas del hosts.allow por el orden en que aparecen y luego, tambin por
orden, las del hosts.deny. Si el acceso solicitado cumple una regla se le aplica lo que
corresponda (permitir si la regla est en el hosts.allow y denegar si est en el hosts.deny) y
ya no se analiza nada ms. As por ejemplo, si en el hosts.allow ponemos la siguiente regla:
ALL : ALL
Ya dar igual lo que pongamos detrs de ella y todo lo que pongamos en el hosts.deny, pues
cualquier acceso cumplir esa regla, ser permitido y no se evaluarn las reglas que haya
detrs o en el hosts.deny..
Normalmente los TCP Wrappers controlan todos los servicios que controla xinetd y alguno
ms. As por ejemplo en nuestro caso el servicio sshd (Secure Shell Daemon) que escapaba
al control de xinetd, s es controlado por los TCP Wrappers.
Como algunas de las pruebas de los TCP Wrappers las haremos con el sshd vamos en primer
lugar a arrancar este servicio, ya que como hemos comentado no es controlado en nuestro
caso por el xinetd. Para ello, ejecutaremos el comando:
service sshd start
Una vez arrancado, comprueba que funciona correctamente ejecutando el comando:
ssh <direccin_IP>
donde <direccin_IP> puede ser cualquiera de las direcciones IP de tu ordenador (eth0 o

loopback).
FACULTAD TECNOLGICA
Tambin hars pruebas con el servicio telnet, por lo que debes deshacer algunos cambios
realizados en el telnet en la parte de xinetd. Para ello es suficiente con que suprimas o
comentes en el fichero telnet del xinetd las lneas que hubiera con los parmetros
only_from o access_times, el resto no es necesario quitarlo.
Comprueba ahora que el Telnet funciona correctamente intentando una conexin a tu

ordenador (eth0 o loopback).
Antes hemos comprobado que los TCP Wrappers no tenan ninguna regla configurada, por
lo que no aplicaban ninguna restriccin, pues como ya hemos dicho funcionan bajo el
principio de permiso por defecto, esto es, si no hay regla se permite el acceso.
Ahora escribe en el fichero /etc/hosts.deny la siguiente lnea:
ALL : ALL
Intenta acceder ahora al ssh o telnet, Qu sucede?.
Escribe ahora en el fichero /etc/hosts.allow la siguiente lnea:
in.telnetd : ALL
Qu sucede ahora si intentas utilizar el servicio telnet?. (in.telnetd es el nombre del

fichero ejecutable que corresponde al servidor Telnet, ver apndice B).
Comprueba que no existe el fichero /tmp/telnet.log y en caso de que exista brralo. Modifica
ahora la lnea del fichero /etc/hosts.allow para que ponga lo siguiente:
in.telnetd : ALL : spawn (/bin/echo `date` %c >> /tmp/telnet.log) &
(ojo a las comillas de date y al espacio que hay detrs de spawn).
Cambia el fichero hosts.allow poniendo:
in.telnetd : IP_de_tu_ordenador

cuando otro ordenador intenta hacer un telnet al tuyo.
Por ltimo escribe en el fichero /etc/hosts.allow la lnea:
sshd : <IP ordenador>
Donde <IP ordenador> corresponde a la direccin IP de la interfaz Ethernet de tu

ordenador.
FACULTAD TECNOLGICA
Comprueba que no existe el fichero /tmp/denegado.log y en caso de que exista brralo.

Modifica la lnea del fichero /etc/hosts.deny para que ponga lo siguiente:
ALL : ALL : spawn (/bin/echo `date` %d %c >> /tmp/denegado.log) &
Intenta ahora acceder de nuevo por ssh a la direccin loopback. Qu informacin aparece
en el fichero /tmp/denegado.log?.
El fichero denegado.log registra los intentos fallidos de conexin a cualquier servicio activo
en el host, pero para que el intento se registre es preciso que el servicio est activo en el host
(ssh o Telnet en nuestro caso), si se intenta acceder a un servicio inactivo o inexistente los
TCP Wrappers no lo registran.
Una vez terminadas las pruebas restaura la configuracin del TCP Wrappers a su estado
inicial, comentando o borrando todas las reglas de los ficheros /etc/hosts.allow y
/etc/hosts.deny.
CONFIGURACIN DEL CORTAFUEGOS.
El cortafuegos de Linux se configura mediante el fichero /etc/sysconfig/iptables.
Vamos a proceder a continuacin a configurar y activar el cortafuegos. En primer lugar

escribe las siguientes lneas, en lugar de las que hubiera, en el fichero /etc/sysconfig/iptables.
(Es muy importante que estas lneas se escriban correctamente, pues en caso contrario
pueden dejar de funcionar las ventanas grficas que funcionan sobre el servidor X. Para
mayor comodidad puedes usar copy/paste):
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j REJECT
COMMIT
Ahora activa el cortafuegos ejecutando el comando:
service iptables start
Ejecuta ahora algn comando de red, por ejemplo un ping a tu interfaz Ethernet (direccin
147.156.xxx.yyy) y a la interfaz loopback (direccin 127.0.0.1). Qu sucede?
Puedes comprobar que reglas tiene definidas el cortafuegos y el nmero de veces que cada
una de ellas se ha aplicado con el comando:
FACULTAD TECNOLGICA
iptables -L -v
Lanza otra vez el ping de antes y vuelve a ejecutar el comando anterior. Observa cmo
cambian los contadores de paquetes.
Aade ahora las dos lneas marcadas en negrita en la configuracin siguiente, de forma que
el fichero quede as:
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p icmp -j ACCEPT
-A INPUT -j REJECT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j REJECT
COMMIT
Qu sucede ahora si ejecutas el ping a la Ethernet? Y si haces ping a otro ordenador,
por ejemplo a 147.156.1.1 (gong.uv.es)? Qu sucede si ejecutas ping gong.uv.es en vez
de a la direccin IP?. Comprueba el valor de los contadores de las reglas y explica las
anteriores respuestas.
Modifica ahora el fichero de configuracin aadiendo las dos lneas marcadas en negrita:
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p udp --sport 53 --dport 1024: -j ACCEPT
-A INPUT -j REJECT
-A OUTPUT -p udp --sport 1024: --dport 53 -j ACCEPT
-A OUTPUT -j REJECT
COMMIT
Ejecuta ahora el comando ping gong.uv.es y explica que sucede. Prueba ahora a hacer
ssh al ordenador del profesor (l te dir su nombre) Qu sucede? Explcalo.
Aade ahora las lneas marcadas en negrita:
*filter
:INPUT ACCEPT [0:0]
FACULTAD TECNOLGICA

-A INPUT -p tcp ! --syn -j ACCEPT
-A INPUT -j REJECT
-A OUTPUT -p tcp -j ACCEPT
-A OUTPUT -j REJECT
COMMIT
Repite ahora el ssh al ordenador del profesor y explica el resultado. Ejecuta ahora el ssh
hacia tu propio ordenador. Funciona?. Por qu?.
Aade ahora la lnea marcada en negrita:
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p tcp ! --syn -j ACCEPT
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT
-A OUTPUT -p tcp -j ACCEPT
-A OUTPUT -j REJECT
COMMIT

cuando otro ordenador intenta hacer un telnet al tuyo.
El conjunto de reglas del iptables acta como las ACLs de los routers. Podemos considerar
que el conjunto de reglas INPUT es una ACL en sentido entrante y el conjunto de reglas
OUTPUT es una ACL en sentido saliente. De la misma forma que ocurre en los routers el
orden de las reglas es crucial, siendo lo normal poner en primer lugar las ms especficas y
en ltimo las ms genricas.
Muchas funciones de control se pueden ejercer en cualquiera de las tres herramientas que
hemos visto en esta prctica. La eleccin de una u otra depende de la comodidad para el
usuario o de con que herramienta se sienta l ms seguro. Sin embargo debemos destacar
dos diferencias importantes que tiene el iptables respecto al xinetd y los TCP Wrappers:
FACULTAD TECNOLGICA
Iptables acta a nivel de paquetes, sin ser consciente de la conexin TCP como tal.
Esto significa que si por ejemplo establecemos una regla para impedir las conexiones
entrantes a un servidor telnet con iptables el efecto ser inmediato, bloqueando las
conexiones telnet en curso en el momento que activamos el nuevo fichero de
configuracin. En cambio con xinetd o TCP Wrappers no se dejarn entrar nuevos
clientes, pero los que ya estn dentro podrn seguir trabajando sin limitaciones.
Iptables es un cortafuegos y como tal est diseado para controlar el trfico entrante
y saliente, tanto de procesos clientes como servidores. En cambio xinetd y TCP
Wrappers estn pensados para el control de servidores, por lo que solo pueden
controlar el trfico entrante a procesos servidores.
Una vez terminada la prctica debes apagar el ordenador ordenadamente.
En esta prctica realizaremos diversas pruebas que nos permitirn familiarizarnos con las
posibilidades de control que nos ofrecen cada una de las tres herramientas mencionadas.
Los apndices A, B y C contienen una explicacin detallada de los comandos y ficheros de
configuracin que se utilizarn a lo largo de la prctica.
Para realizar esta prctica es aconsejable formar parejas de ordenadores, de forma que esos
dos ordenadores correspondern a lo que llamaremos a lo largo de la prctica la red
privada. Cada alumno deber conocer en todo momento su direccin IP y la del ordenador
de su compaero en la red privada. Debemos adems tener en cuenta que cada ordenador
tiene dos interfaces, la Ethernet (eth0) con una direccin 147.156.xxx.yyy, y la interfaz
virtual loopback (l0), con la direccin 127.0.0.1. Si establecemos una determinada regla que
impida por ejemplo conexiones Telnet a la direccin 147.156.xxx.yyy no podremos hacer
telnet 147.156.xxx.yyy, pero s podremos hacer telnet 127.0.0.1 o bien telnet localhost,
que es equivalente.
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA
FACULTAD TECNOLGICA

Firewall en Linux PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Firewall en Linux PDF

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD DISTRITAL

FRANCISCO JOSE DE CALDAS

La primera capa est formada por el cortafuegos (firewall), denominado iptables, el

Por ltimo, la tercera y ltima capa de seguridad se encuentra en el sper-servidor

control es solo un ejemplo, en otros sistemas se pueden haber configurado de diferente

RESTAURACIN DE LA CONFIGURACIN INICIAL DEL HOST

A continuacin obtendremos el fichero Redes.tar del URL siguiente:

CONFIGURACIN DEL SERVIDOR XINETD.

xinetd (eXtended InterNET Daemon) es un proceso servidor tambin llamado

Adems de reducir la cantidad de recursos utilizados para ofrecer servicios en un host el

Antes de configurar el super-servidor xinetd desactiva el cortafuegos mediante el comando:

service iptables stop

service xinetd restart

Trasldate ahora al directorio /etc/xinetd.d ejecutando el comando:

service xinetd restart

Nota importante: para saber en un momento determinado qu puertos tienes abierto

Donde <direccin IP> es la direccin IP de la interfaz eth0 de tu ordenador. Ejecuta otra

Aade ahora, a continuacin de la lnea anterior, la direccin IP de tu interfaz loopback

Tu ordenador no esta autorizado a usar este servicio.

Abre el wireshark, y captura y analiza los paquetes de entrada y salida de tu ordenador

Aade ahora las siguientes lneas:

Ejecuta ahora desde varias ventanas de tu ordenador, y de forma simultnea, el comando:

donde <direccin_IP> es la direccin IP de la interfaz Ethernet de tu ordenador.

Cuntas conexiones simultneas puedes abrir como mximo?.

CONFIGURACIN DE LOS TCP WRAPPERS

La configuracin de los TCP Wrappers se guarda en dos ficheros, /etc/hosts.allow y

service sshd start

Una vez arrancado, comprueba que funciona correctamente ejecutando el comando:

donde <direccin_IP> puede ser cualquiera de las direcciones IP de tu ordenador (eth0 o

Comprueba ahora que el Telnet funciona correctamente intentando una conexin a tu

Ahora escribe en el fichero /etc/hosts.deny la siguiente lnea:

Intenta acceder ahora al ssh o telnet, Qu sucede?.

Escribe ahora en el fichero /etc/hosts.allow la siguiente lnea:

Qu sucede ahora si intentas utilizar el servicio telnet?. (in.telnetd es el nombre del

in.telnetd : ALL : spawn (/bin/echo `date` %c >> /tmp/telnet.log) &

(ojo a las comillas de date y al espacio que hay detrs de spawn).

Cambia el fichero hosts.allow poniendo:

Abre el wireshark, y captura y analiza los paquetes de entrada y salida de tu ordenador

Por ltimo escribe en el fichero /etc/hosts.allow la lnea:

sshd : <IP ordenador>

Donde <IP ordenador> corresponde a la direccin IP de la interfaz Ethernet de tu

Comprueba que no existe el fichero /tmp/denegado.log y en caso de que exista brralo.

ALL : ALL : spawn (/bin/echo `date` %d %c >> /tmp/denegado.log) &

CONFIGURACIN DEL CORTAFUEGOS.

El cortafuegos de Linux se configura mediante el fichero /etc/sysconfig/iptables.

Vamos a proceder a continuacin a configurar y activar el cortafuegos. En primer lugar

Ahora activa el cortafuegos ejecutando el comando:

service iptables start

-A INPUT -p icmp -j ACCEPT

Abre el wireshark, y captura y analiza los paquetes de entrada y salida de tu ordenador

Una vez terminada la prctica debes apagar el ordenador ordenadamente.

Вам также может понравиться