Redes Informaticas - Proyecto de Redes

...

El destino de una regla puede ser el nombre de una cadena definida por el usuario o uno de los destinos ya incorporados ACCEPT, DROP, QUEUE, o RETURN (aceptar, descartar, encolar o retornar, respectivamente). Cuando un destino es el nombre de una cadena definida por el usuario, al paquete se lo dirige a esa cadena para que sea procesado (tal como ocurre con una llamada a una subrutina en un lenguaje de programación). Si el paquete consigue atravesar la cadena definida por el usuario sin que ninguna de las reglas de esa cadena actúe sobre él, el procesamiento del paquete continúa donde había quedado en la cadena actual. Estas llamadas entre cadenas se pueden anidar hasta cualquier nivel deseado.

- ACCEPT: Este destino hace que netfilter acepte el paquete.

- DROP: Este destino hace que netfilter descarte el paquete sin ningún otro tipo de procesamiento. El paquete simplemente desaparece sin ningún tipo de indicación al sistema o aplicación de origen, de que fue descartado en el sistema de destino.

- QUEUE: Este destino hace que el paquete sea enviado a una cola en el espacio de usuario.

- RETURN: Hace que el paquete en cuestión deje de circular por la cadena en cuya regla se ejecutó el destino RETURN. Si dicha cadena es una subcadena de otra, el paquete continuará por la cadena superior como si nada hubiera pasado.

[pic 5]

Ejercicio N°3

3.- Luego de la designación de la V Región como polo Tecnológico, se ha masificado la cantidad de empresas que requieren de las últimas tecnologías. En búsqueda de conseguir una alta seguridad y bajo costo en los servicios, se está decidiendo la utilización de sistemas basados en Linux, por lo que se ha aumentado la demanda de personas que tengan este conocimiento. Cierta empresa de renombrada trayectoria, ha solicitado a los alumnos de Sistemas de Comunicaciones del Diego Portales que evalúen la red de computadores de la organización (ver fig. 1). Específicamente se ha pedido lo siguiente:

- Describir las tablas de rutas del Gateway y de un cliente (estudie cómo es posible configurarlas)

- Describir como realizar IP forwarding.

- Averiguar cuáles son los puertos de comunicación y protocolos que utilizan los servicios ftp, http, telnet, ssh y ping.

- Se pretende disminuir la carga al servidor el cual otorga los servicios de ftp, http y ssh hacia el exterior. Proponga como se puede distribuir la carga de los servicios de tal manera que cada uno de ellos sea otorgado por una máquina distinta de la red. Debe describir como redireccionar estos servicios en el Gateway, de tal manera que una máquina externa pueda acceder a ellos. Además se deben proteger los equipos contra ataques externos, por lo que se debe denegar el acceso a puertos que no corresponden (ie, utilizar la política de denegar todo y abrir solo lo necesario)

Hint! Utilice las tablas NAT de iptables. Referencias: Packet-filter-HOWTO / NAT-HOWTO

[pic 6]

a) Las tablas de rutas o de enrutamiento, son un documento electrónico que almacena las rutas a los diferentes nodos en una red informática. Los nodos pueden ser cualquier tipo de dispositivo electrónico conectado a la red. La Tabla de enrutamiento generalmente se almacena en un router o en una red en forma de una base de datos o archivo. Cuando los datos deben ser enviados desde un nodo a otro de la red, se hace referencia a la tabla de enrutamiento con el fin de encontrar la mejor ruta para la transferencia de datos.

Para implementar el enrutamiento dinámico para una red IPv4, se utiliza el comando routeadm o svcadm. El enrutamiento dinámico es la estrategia preferida para la mayoría de las redes y sistemas autónomos. Sin embargo, la topología de red o un sistema específico de la red podrían requerir el enrutamiento estático. En tal caso, se debería editar manualmente la tabla de enrutamiento del sistema para que refleje la ruta conocida al portal.

b) Se debe activar el IP forwarding en la máquina que actuará como ruteadora, se puede realizar de varias maneras, estas son las más comunes:

- Usando procfs: El cambio es temporal y se debe realizar cada vez de reiniciar el servidor.

echo 1 > /proc/sys/net/ipv4/ip_forward

- Usando sysctl: Permite cambiar valores del kernel en tiempo real, se puede cambiar el comportamiento del kernel, y con ello habilitar el IP forwarding.

Ejecutar comando como root para ver si está activo o no:

sysctl –a | grep net.ipv4.ip_forward

Colocar el valor en 1 para activarlo:

sysctl –w net.ipv4.ip_forward=1

c)

Puerto

Servicio

Protocolo

21

FTP

TCP / UDP

80

HTTP

TCP / UDP

23

TELNET

TCP / UDP

22

SSH

TCP / UDP

-

PING

ICMP

d) Las configuraciones de NAT iptables más recomendables serían dos: Source NAT y Destination NAT o port forwarding y si somos minuciosos agregaríamos PAT.

Source NAT sirve para cambiar la IP de origen, cambia una IP privada por una pública, se utilizaría por seguridad. Su método de configuración sería consultar a la tabla de encaminamiento, luego el Gateway actúa como dispositivo NAT, recibe el paquete y comprueba la dirección IP de destino, como no es la suya la envía a un destino por defecto (su IP pública), antes que salga por la interfaz de red externa, se le cambia la dirección IP origen por una pública y se guarda en las tablas NAT, el paquete viaja saltando de router en router hasta que