UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

DIPLOMADO PROFUNDIZACION EN LINUX

DIPLOMADO PROFUNDIZACION EN LINUX

TRABAJO INDIVIDUAL

Presentado a:

WILSON MURILLO
Tutor

Entregado por:

Alejandro Buitrago
Código: 80804723

Grupo: 100104_302

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

BOGOTÁ-CUNDINAMARCA
CEAD JOSÉ ACEVEDO Y GÓMEZ
ABRIL de 2018
BOGOTÁ D.C.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

INTRODUCCION

Este trabajo es la entrada a un curso en el que se exploraran conocimientos algunos ya bastantes

familiares, como otros totalmente desconocidos. Sin embargo, en esta fase es importante aclarar y

definir que la elaboración de un procedimiento paso a paso de la ejecución, de diferentes

procesos de administración de sistemas Operativos Linux Ubuntu, con lo que nos dará la base

para ejecutar de manera precisa, el proyecto que se pretende establecer como solución para las

necesidades de una organización. Con lo anterior, es importante tener en cuenta que el uso y la

administración de sistemas basados en Unix, son la premisa para entrar en un amplio mundo

donde el conocimiento se adquiere a partir de la experiencia y el trabajo sobre estos sistemas

operacionales.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

Objetivos

 Ejecutar conocimientos de estudio en la administración de sistemas operativos Ubuntu

basados en Linux

 Recopilar evidencias de instalación de un sistema basado en UNIX y ejecutar todos los

procesos necesarios de administración básicos para ser aplicados en el transcurso del

diplomado profundización Linux.

 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
PLANTEAMIENTO Y CONTEXTUALIZACIÓN DEL PROBLEMA A RESOLVER.
a. Tabla consolidada para la ejecución de comandos IPTables para reglas de filtrado:
Comandos Función(es) acción o finalidad
IPTables. sintaxis de cada comando.
Comandos
A las CADENAS por defecto
podemos unir cadenas creadas por
nosotros mismos para un mejor
funcionamiento del filtrado o el
enrutamiento.
El comando IPTABLES tiene a su
vez parámetros y comandos que
permitirán definir el comportamiento
de una o varias reglas. Esto es,
agregar una regla, modificar una
regla existente, eliminar el nombre
de una cadena
Tema 1:  -A Agregar nueva regla a la
Cadena y cadena especificada.
opciones  -I Insertar nueva regla antes de
de comandos la regla número_regla(rulenum)
y de en la cadena especificada de
parámetros acuerdo a los parámetros
sometida.
 -R Reemplazar la regla
(rulenum) en la cadena
especificada.
 -E Modifica el nombre de la
cadena.
 [nombre-anterior-cadena por
nombre-nueva-cadena]
 -L Listado de reglas de la
cadena especificada. Si no se
determina una
cadena en particular, listará
todas las cadenas existentes.
 -N Crear nueva cadena
asociándola a un nombre.
 -P Modifica la acción por
defecto de la cadena
preseleccionada.
DIPLOMADO PROFUNDIZACION EN LINUX
Ejemplo contextualizado de
cada comando.
Comando:
iptables -L -n –v
Donde,
-L: Muestra las reglas.
-v: Muestra información
detallada.
-n: Muestra la dirección ip y
puerto en formato numérico.
No usa DNS para resolver
nombres.
Mostrar las reglas de cadena
de entrada y salida:
iptables -L INPUT -n -v
iptables -L OUTPUT -n -v --
line-numbers.
Parar / Iniciar / Reiniciar el
firewall:
service iptables stop
service iptables start
service iptables restart
para borrar la línea 4:
iptables -D INPUT 4
-D : Elimina una o más
reglas de la cadena
seleccionada.
Insertar regla:
Primero encontramos el
número de línea:
iptables -L INPUT -n --line-
numbers.
Para insertar una regla entre 1
y 2;
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

 -D Eliminar la iptables -I INPUT 2 -s

regla_número(rulenum) en la 202.54.1.2 -j DROP
cadena seleccionada.
 -Z Pone los contadores de Guardar reglas:
paquetes y bytes a cero en la service iptables save
cadena seleccionada. De no
poner seleccionar una cadena,
pondrá a cero todos los
contadores de
todas las reglas en todas
cadenas.

 Para ver el resto de comandos

utilizar el comando: man
iptables

dport . Configura el puerto de destino -p <puerto>

para el paquete. Use bien sea un Tipo de protocolo ej: -p TCP
nombre de servicio (tal como www o
smtp), número de puerto, o el rango --dport<puerto>
de números de puertos para Indica puerto de destino ej: -p
configurar esta opción. Para hojear UDP –dport 80.
los nombres y alias de los servicios
de red y los números que ellos usan, --sport
visualice el archivo /etc/services. La Indica el puerto de origen ej:-p
opción --destination-port es sinónimo UDP –sport 53
con --dport.
Para especificar un rango de números
Tema 2: de puertos, separe los dos números
Opciones de con dos puntos (:), tal como -p tcp --
coincidencia dport 3000:3200.
para el El rango más grande aceptable es
protocolo 0:65535.Use un caracter de
TCP exclamación (!) después de la opción
(Incluir --dport para coincidir todos los
banderas), paquetes que no utilizan el servicio
UDP e ICMP de red o puerto.
--sport — Configura el puerto fuente
del paquete usando las mismas
opciones que --dport. La opción --
source-port es sinónimo con --sport.
--syn — Provoca que todos los
paquetes designados de TCP,
comúnmente llamados paquetes
SYN, cumplan esta regla. Cualquier
paquete que esté llevando un payload
de datos no será tocado.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

A veces es útil permitir conexiones mac

TCP en una dirección, pero no en la Este módulo debe ser
otra. Por ejemplo, puede que queira especificado de forma explícita
permitir conexiones a un servidor con «-m mac» o «--match
WWW externo, pero no desde ese mac». Se usa para
mismo servidor. coincidencias en las
direcciones Ethernet (MAC) de
La solución del inexperto sería los paquetes entrantes, y por
bloquear los paquetes TCP que tanto sólo son útiles para los
vengan del servidor. paquetes que pasan por las
Desafortunadamente, las conexiones cadenas PREROUTING e
TCP precisan que los paquetes fluyan INPUT. Proporciona sólo una
en ambas direcciones para poder opción:
funcionar.
--mac-source
La solución es bloquear sólo los
Tema 3: paquetes que se usan para solicitar Seguida de un «!» opciona, y
Módulos con una conexión. A éstos se les llama luego una dirección ethernet en
opciones de paquetes SYN (ok, técnicamente son notación hexadecimal separada
coincidencia paquetes con el indicador SYN por «:», por ejemplo «--mac-
activo, y los FIN y ACK inactivos, source 00:60:08:91:CC:B7».
pero los llamamos paquetes SYN
para abreviar). Rechazando estos limit
paquetes, podemos detener intentos Este módulo debe ser
de conexión en su inicio. especificado de forma explícita
con «-m limit» o «--match
El indicador (flag) «--syn» se usa limit». Se usa para restringir la
para este propósito: sólo es válido tasa de coincidencias, como
para las reglas que especifican TCP por ejemplo para suprimir
como protocolo. Por ejemplo, para mensajes de registro. Sólo se
especificar intentos de conexión TCP activará un número dado de
desde 192.168.1.1: veces por segundo (por
defecto, 3 coincidencias por
-p TCP -s 192.168.1.1 --syn hora, a ráfagas de 5). Tiene dos
argumentos opcionales:
--limit
Seguido por un número;
especifica el número máximo
de coincidencias de media por
segundo a permitir. El número
puede especificar unidades de
forma explícita, usando
«/second», «/minute», «/hour»,
o «/day», o abreviadas (de
manera que «5/second» es lo
mismo que «5/s»).
--limit-burst
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Una vez que un paquete ha
coincidido con una regla, la regla
puede dirigir el paquete a un número
de objetivos diferentes que deciden
su suerte y, posiblemente, toman
acciones adicionales. Cada cadena
tiene un objetivo por defecto, el cual
es usado si ninguna de las reglas en
esa cadena coincide con un paquete o
si ninguna de las reglas que
coinciden con el paquete específica
un objetivo.
El comando predeterminado para
listar, iptables -L, proporciona una
Tema 4: vista muy básica de los filtros por
Opciones defecto de las cadenas actuales de la
del objetivo tabla. Las opciones adicionales
y del listado proporcionan más información:
DIPLOMADO PROFUNDIZACION EN LINUX
Los siguientes son los
objetivos estándar:
<user-defined-chain> —
Reemplace <user-defined-
chain> con el nombre de una
cadena definida por el usuario
dentro de la tabla. Este objetivo
pasa el paquete a la cadena
objetivo.
ACCEPT — Permite que el
paquete se mueva hacia su
destino (o hacia otra cadena, si
no ha sido configurado ningún
destino para seguir a esta
cadena).
DROP — Deja caer el
paquete sin responder al
solicitante. El sistema que
envia el paquete no es
notificado de esta falla.
QUEUE — El paquete se
pone en una cola para ser
manejado por una aplicación
en el espacio de usuario.
RETURN — Para la
verificación del paquete contra
las reglas de la cadena actual.
Si el paquete con un destino
RETURN cumple una regla de
una cadena llamada desde otra
cadena, el paquete es devuelto
a la primera cadena para
retomar la verificación de la
regla allí donde se dejó. Si la
regla RETURN se utiliza en
una cadena predefinida, y el
paquete no puede moverse
hacia la cadena anterior, el
objetivo por defecto de la
cadena actual decide qué
acción llevar a cabo.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Las reglas creadas con el comando
iptables son almacenadas en
memoria. Si el sistema es reiniciado
antes de guardar el conjunto de
reglas iptables, se perderán todas las
reglas. Para que las reglas de filtrado
de red persistan luego de un reinicio
del sistema, estas necesitan ser
guardadas.
Herramienta de configuración de
nivel de seguridad (system-config-
Tema 5: securitylevel) — Una interfaz gráfica
Directivas de para crear, activar y guardar reglas
control de básicas de cortafuegos.
IPTables,
guardado de Control:
reglas y /sbin/service iptables <opcion> —
archivos de Un comando ejecutado por el usuario
configuración root capaz de activar, desactivar y
de scripts de llevar a cabo otras funciones de
control iptables a través de su script de
inicio. Reemplace <opcion> en el
comando con alguna de las directivas
siguientes:
DIPLOMADO PROFUNDIZACION EN LINUX
Guradar:
/sbin/service iptables sabe
start — Si se tiene un
cortafuegos o firewall (es
decir, /etc/sysconfig/iptables
existe), todos los iptables en
ejecución son detenidos
completamente y luego
arrancados usando el comando
/sbin/iptables-restore. La
directriz start sólo funcionará si
no se carga el módulo del
kernel ipchains.
stop — Si el cortafuegos
está en ejecución, se descartan
las reglas del cortafuegos que
se encuentran en memoria y
todos los módulos iptables y
ayudantes son descargados.
Si se cambia la directiva
IPTABLES_SAVE_ON_STOP
dentro del archivo de
configuración
/etc/sysconfig/iptables-config
de su valor por defecto a yes,
se guardan las reglas actuales a
/etc/sysconfig/iptables y
cualquier regla existente se
moverá al archivo
/etc/sysconfig/iptables.save.
restart — Si el cortafuegos
está en ejecución, las reglas del
mismo que se encuentran en
memoria se descartan y se
vuelva a iniciar el cortafuegos
si está configurado en
/etc/sysconfig/iptables. La
directriz restart sólo funcionará
si no está cargado el módulo
del kernel ipchains.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

b. Tabla de Interfaces o gestores para el control de un cortafuego en una distribución

GNU/Linux para manejo de reglas IPTables: Se debe demostrar sobre cada Interfaz la
creación de las reglas para permitir o denegar las acciones solicitadas.
Interface Tem Tem Tema 3: Tema 4: Turtle Tema
/Funcionalida a 1: a 2: LutelWal 5:
d Guf Zorp l Firewal
w GPL l
(ufw) Builder
Descripción Turtle Firewall es un software que
general de la permite realizar un firewall de Linux
Interface de una manera simple y rápida.

Está basado en Kernel 2.4.xy

Iptables. Su forma de trabajar es
fácil de entender: puede definir los
diferentes elementos de firewall
(zonas, hosts, redes) y luego
establecer los servicios que desea
habilitar entre los diferentes
elementos o grupos de elementos.

Puede hacerlo simplemente editando

un archivo XML o utilizando la
cómoda interfaz web Webmin .

Turtle Firewall es un proyecto de

código abierto escrito usando el
lenguaje Perl y publicado bajo la
versión 2.0 de GPL por Andrea
Frigido (Frisoft).

Una gran ventaja con Turtle Firewall

es el hecho de que está basado en la
web y, por lo tanto, puede
controlarse remotamente de una
manera totalmente diferente que con
fwbuilder y la mayoría de las otras
herramientas. Por supuesto, también
agrega un mayor riesgo de seguridad
ya que webmin es un servicio
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

adicional independiente que se

ejecuta en el propio firewall.

Bloquear el iptables -A INPUT -p tcp –sport 22

Acceso a nuestro 22 → crea una regla para el puerto de
equipo desde la origen tcp 2222
IP
192.168.1.10 a iptables -A INPUT -p tcp -m iprange
Través del puerto –src-range 192.168.1.13-
22 en función del 192.168.2.19
protocolo SSH. VER EL ESTADO DEL
FIREWALL iptables -L -n -v

Denegar el Bloquear una dirección IP:

acceso a
Internet para  iptables -A INPUT -s
El Equipo con IP 192.168.1.10/22 -j DROP
192.168.1.10
Bloquear una dirección IP de salida:

 iptables -A OUTPUT -d
192.168.1.10 -j DROP

Restringir el También podemos bloquear una url,

acceso a la por ejemplo, facebook:
aplicación
Dropbox URL  iptables -A OUTPUT -p tcp -
de descarga d
https://www.dropbox.com/es/
-j DROP

c. Tabla de distribuciones GNU/Linux como plataformas operativas tipo cortafuegos:
Firewall / Tema 1: Endian
Características
Descripción Endian es una distribución
general de la OpenSource de Linux,
distribución desarrollada para actuar no
solamente como cortafuegos sino
como solución integral para
proteger su red de amenazas
externas, ofreciendo todos los
servicios que brinda un UTM
(Gestión Unificada de Amenazas)
fácil de usar e instalar.
Además de ser útil para el control
de amenazas, también cuenta con
características especiales,
permitiendo configurar proxys,
canales VPN, enrutadores,
filtrado de datos, así como
herramientas antivirus y anti
spam. Es bastante fácil de
administrar y de instalar.
Distribución
GNU/Linux en la
que está basada
Características Las características incluyen un
de tráfico firewall de inspección de
paquetes, proxies a nivel de
aplicación para los distintos
protocolos (HTTP, FTP, POP3,
SMTP) con el apoyo de antivirus,
virus y spamfiltering para el
tráfico de correo electrónico
(POP y SMTP), filtrado de
contenido de tráfico Web y una
molestia ” libre “solución VPN
(basada en OpenVPN). La
principal ventaja de Endian
Firewall es que es una pura
“Open Source” solución que está
patrocinado por Endian.
Denegar el acceso del tráfico
desde la red WAN hacia la red
LAN. Que se adapte fácilmente a
los requerimientos, ya que tiene
la capacidad de implementar
NAT, y nos brinda una interfaz
Web, para administrar más
fácilmente nuestro servidor
Firewall.
Características Mantenga sus e-mails protegidos
De Seguridad de virus y spam. Endian Firewall
asegura cualquier servidor o
cliente de correos, gracias a
proxies transparentes. Cualquier
servidor de correos, como
Tema 2: Smoothwall
Distribución y objetivos
er lo suficientemente simple para
ser instalados por los usuarios
domésticos sin conocimientos de
Linux.
Soportar una amplia variedad de
tarjetas de red, módems y otros
equipos.
Trabajamos con muchos
diferentes métodos de conexión y
proveedores de Internet de todo el
mundo.
Administrar y configurar el
software utilizando un navegador
web.
Ejecutar de manera eficiente en
hardware viejo y barato.
Desarrollar una comunidad de
usuarios de apoyo.
Use el patrocinio de SmoothWall
limitada para promover estos
objetivos.
SmoothWall es un cortafuegos
que se distribuye bajo licencia
GPL en dos versiones estándar:
Una para procesadores basados
en 386 y posteriores, y otra para
procesadores de 64 bits
Servidor de seguridad de
distribución de código fuente
abierto basado en el GNU / Linux
de funcionamiento
Es una
distribución GNU/Linux que
tiene como objetivo proporcionar
un cortafuegos o firewall de fácil
administración e instalación,
administrable a través de una
interfaz web.
Ser lo suficientemente simple
para ser instalados por los
usuarios domésticos sin
conocimientos de Linux.
más seguro
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX
Tema 3: Coyote Tema 4: Tema 5: Guarddog
monowall
Es una distribución de Distribución basada Podemos permitir conexiones o
Linux que cabe en un en FreeBSD que denegarlas a ciertas aplicaciones
solo floppy y con la que embarca un firewall, que trabajan con la red de redes,
podemos compartir una y que proporciona así como dar permiso de apertura
conexión a Internet a una pequeña imagen o cierre de puertos.
modo de Router- que se puede poner y
Firewall.. ejecutar desde
tarjetas o cartas CF,
CD-ROM y discos
rígidos o duros.
Distribución de Linux Versión básica de Herramienta gráfica (GUI)
basado en disquete FreeBSD con
servidor PHP
No requiere maquinas Es el primer sistema Trabaja bajo la política general de
muy potentes, por lo que unix que en su SElinux, por ello da la impresión
podrás usarlo en momento de de que trabajamos con una GUI o
máquinas más antiguas. arranque tiene que interfaz del firewall de Linux,
Brinda soporte para ver con PHP aunque no se trate realmente de
tarjetas Ethernet (con ello.
asignación estática
o DHCP), PPPoE, y
PPP.
Capaz de ofrecer el La más liviana de las Ofrece validación de
rendimiento y el tiempo propuestas de la reglas (control de reglas
de funcionamiento que entrada. incorrectas o incompatibles con el
se espera de cualquier tipo de firewall que estamos
sistema basado en -Filtrado de paquetes gestionando), compilador
Linux. Este producto -reglas de bloqueo integrado que genera los ficheros
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

Microsoft Exchange o clientes firewall está autorizado -copias de seguridad de configuración específicos para
como Outlook o Mozilla para uso personal y - cada plataforma y versión de
Thunderbird automáticamente educativo, y está software.
serán protegidos y filtrados por disponible de forma
Endian Firewall antivirus y gratuita.
antispam, no hay necesidad de
modificar configuraciones de su
servidor o cliente de correos.

Seguridad Web

El filtro de contenidos de Endian

Firewall mantiene una
experiencia de navegación web
de forma segura, protegiendo
contra virus y contenidos no
deseados como violencia,
pornografía o software pirata.
Permite al administrador de la red
monitorizar accesos, mejorando
así la productividad. También es
útil en aquellas compañías que
buscan que sus empleados
naveguen solo por sitios bien
definidos, asegurando así la
integridad de los negocios y un
uso adecuado de los recursos.

Hardware Endian Firewall Es Los * Un procesador a partir de Diseñado para el Configuración está disponible en paquetes
recomendado Pentium 200 o compatible. propósito de proteger completa del sistema recompilados para todas las
Requisitos Del Sistema Para
para instalación * 128 Mb de RAM. Para servicios una red personal o almacenada en plataformas (RHEL, CentOS,
Ejecutar Firewall Endian Varían adicionales se requiere más educativa. Además de formato XML Ubuntu, Debían, SuSe, Mac OS
memoria. ser diseñado para tener -cualquier sistema X, FreeBSD, Windows…) y
En Función Del Tamaño De La
* Un disco duro de al menos 2 los requisitos x86 también en código fuente para
Red . CPU Gb. Puede ser IDE o SCSI. de hardware CPU(500mhz) compilarlo manualmente
* Al menos una tarjeta de red y muy bajo, Ram(256mb)
otro interfaz, ya sea cable - se puede instalar en un
Redes De Hasta 25 Usuarios Y modem, ADSL u otra tarjeta de 486 con 12 MB de
red. memoria RAM,
Cinco Conexiones VPN
disquetera y 2 tarjetas de
Necesitan Un Procesador Pentium red
III A 1 GHz . PCs Con Endian En
Redes De Hasta 50 Usuarios
Requieren Un Pentium IV
Corriendo A 2,8 GHz O Más
Rápido .
RAM
Para Redes Más Pequeñas , Las
Necesidades Endian Sólo 512
MB De RAM , Para Los Más
Grandes , Endian Requiere Al
Menos 1 GB

Espacio En Disco Duro

Pequeñas Redes Necesitan Al
Menos 8 GB De Espacio En
Disco Duro Disponible . Mientras
Que Las Más Grandes Tienen 20
GB De Disco Duro Disponible.
 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
DIPLOMADO PROFUNDIZACION EN LINUX

Otros Componentes
Todos Los Equipos Que Ejecutan
Firewall Endian Necesitan Dos
Tarjetas De Red De 100 MB .
Además, Los Equipos Que
Ejecutan Endian Deben Ser
Equipados Con Componentes De
Refrigeración De Más, Ya Que
Deben Funcionar Sin Interrupción
Otras La solución Endian Hostspot es Ejecutar de manera eficiente en Enrutador al que se Se usa con Es una herramienta muy flexible
características una completa y flexible hardware viejo y barato. conecta el módem del ordenadores porque tiene soporte para una
adicionales herramienta para manejar el Desarrollar una comunidad de ordenador con la integrados de los amplia gama de firewalls,
acceso a Internet. Endian Hotspot usuarios de apoyo. distribución, motores de pc más incluidos Linux iptables, Cisco
permite a hoteles, librerías, para adsl o cable estándar proporciona ASA & PIX, Cisco FWSM, Cisco
escuelas, aeropuertos, bancos, módem. características de router Access lists, pf, ipfw y
ciber-cafes, entre otros, entregar a cortafuegos ipfilter para BSD y HP ProCurve
sus clientes acceso fácil y seguro comerciales caros ACL firewalls.
a navegacion Web.
.