PDF de programación - Configuración de políticas de acceso y de valores de DMZ

Javier del Moral Calzada (1º ASI Diurno)
I.E.S. Pablo Serrano


Configuración de políticas de acceso y de valores de DMZ

Objetivos de la práctica:


Febrero 2009

Iniciar la sesión en un dispositivo multifunción y ver los valores de seguridad

-
- Configurar políticas de acceso a Internet basadas en una aplicación y una dirección IP
- Configurar una zona desmilitarizada (DMZ) para un servidor de acceso abierto con una

dirección IP estática.

- Configurar el reenvío de puertos para limitar la accesibilidad de los puertos a HTTP

solamente.

- Utilizar las funciones de ayuda del dispositivo Linksys WRT300N.


Preparación

Para la realización de esta práctica necesitamos:

- Un router linksys
- 3 equipos con Microsoft Windows XP, 2 de ellos con un servidor web instalado
- Una tarjeta inalámbrica USB
- Acceso a la red del aula


Instalación de un servidor web en un equipo

Si no tenemos instalado un servidor web en 2 de los equipos (que serán el host B y el host externo,
y que más adelante explicamos cual es cada uno), los instalaremos ahora. Necesitaremos el CD de
instalación de Windows XP. Introducimos el CD en la unidad reproductora, y nos vamos a:
Inicio > Panel de Control > Agregar o quitar programas > Agregar o quitar componentes de
windows, y en esta ventana buscamos Servicios de Internet Information Server (ISS)


Marcamos la opción que hemos dicho antes, y pulsamos en el botón “Detalles” para ver los
subcomponentes que tiene. En esta ventana que se abre, vamos a marcar la opción “Servicio de
Protocolo de transferencia de archivos (FTP)” para instalar además el servidor FTP, y el resto de
opciones las dejaremos como estén.




- 1 -








Aceptamos, y le damos a siguiente para que empiece con la instalación. Si por algún motivo al
hacer la instalación nos sale algún mensaje diciendo que no ha encontrado el CD, desde esa ventana
entramos en el CD y buscamos una carpeta que se llama “I386”. La seleccionamos y continuamos
con la instalación. Si más adelante nos ocurre lo mismo, repetiremos este mismo paso.
Cuando termine, ya tendremos instalado el IIS (Internet Information Server), el servidor web, y
repetiremos todos estos pasos para instalarlo en el otro equipo.

Servicios

Una vez que ya hemos instalado los servidores en los equipos, nos vamos a:
Inicio > Panel de control > Herramientas administrativas > Servicios, y en esta ventana que
aparece buscamos el servicio “Publicación en World Wide Web”





Este es el servicio que corresponde al servidor web. Hacemos doble clic en el y pinchamos en el
botón “Iniciar” (si no estaba en marcha). La forma de que se inicie el servicio la podemos poner de
forma manual por lo que tendremos que ser nosotros quienes lo activemos, o de forma automática
que se iniciara el solo. Ahora tenemos que averiguar en que ubicación tenemos que poner nuestras
páginas web. Para ello vamos a:
Inicio > Configuración > Panel de control > Herramientas administrativas y pinchamos en
"Servicios de Internet Information Server”. En el explorador de la izquierda hacemos clic con el
botón derecho en “Sitio web predeterminado” y le damos a propiedades. En esta ventana de
propiedades encontraremos la ubicación de la carpeta donde se deben poner las páginas web, y
encontraremos también una opción para indicar el orden de las páginas (es recomendable que la
pagina de inicio se llame index.htm).

Para la práctica que vamos a realizar, necesitaremos también activar el servicio telnet. Para ello
hacemos lo mismo que hemos hecho con el servicio anterior:



- 2 -




Inicio > Panel de control > Herramientas administrativas > Servicios, y buscamos el servicio
que se llama “Telnet”. Hacemos doble clic sobre el, y en la ventana que aparece, pulsamos el botón
“Iniciar” (si no estuviera ya en marcha) y “Aceptar”, y ya tendríamos el servicio telnet activado.
Una detalle a tener en cuenta es que, para poder acceder por telnet al equipo, debemos tener creado
un usuario de windows con contraseña, o no podremos entrar. En nuestro caso vamos a crear un
usuario en windows con contraseña que solo vamos a utilizar para conectar por telnet. Para esto
tenemos que ir a:
Inicio > Panel de control > Cuentas de usuario y pinchamos en “Crear una cuenta nueva”.
Escribimos un nombre para la cuenta y la creamos. Cuando ya la tengamos creada, en la misma
ventana de “Cuentas de usuario”, pinchamos sobre la cuenta que acabamos de crear y pulsamos en
la opción “crear una contraseña”. Introducimos la contraseña y la confirmación, y listo. Este usuario
y esta contraseña son las que utilizaremos cuando queramos acceder por telnet a este equipo.

Conexión entre los elementos

La forma de conexionar los distintos elementos será la siguiente:
El host A estará conectado al router mediante una tarjeta inalámbrica, y el host B lo conectamos al
router mediante un cable de red. El router lo conectamos a la red del aula por la boca de Internet y
el host externo lo conectamos a la red del aula. En nuestro caso, el host externo hará también la
función de servidor, de este modo podemos simular el servidor y el host externo con un solo equipo.
El esquema quedaría como el que se muestra en el dibujo, recordando que en nuestro caso, el
servidor externo y el host externo son el mismo equipo.





Debemos comprender que vamos a hacer NAT (Network Address Translation). Al realizar una
conexión, las direcciones privadas de la red interna (la de el host A y el host B) se transformarán en
una IP pública que será siempre la misma (la IP externa del router, 192.168.2.242). De este modo la
red interna sería invisible en Internet.

Ahora tenemos que configurar el router y los equipos para que cada uno esté en la red que le
corresponde. El router por defecto viene con la dirección IP 192.168.1.1.
Recordamos que para poder acceder a la página de configuración del router debemos de estar en su
misma red, por lo que tenemos que cambiar nuestra dirección IP. Para cambiar la dirección IP,
Inicio > Panel de control > conexiones de red, seleccionamos el dispositivo con el que nos hemos
conectado al router, le damos al botón derecho y propiedades, Protocolo Internet (TCP/IP) >
Propiedades.
Una vez que hemos cambiado nuestra IP a una de la misma red a la que pertenece el router,
accedemos mediante nuestro navegador a la página de configuración (recordamos que para acceder



- 3 -

al router, se debe poner su dirección IP en la URL del navegador, y deberemos introducir el usuario
y contraseña, que en nuestro caso es “admin”). La dirección de la red interna del router será
192.168.3.1, y la dirección IP estática externa será 192.168.2.242. Le ponemos al router como
gateway la dirección IP del router del instituto para poder tener salida a Internet. Por último
configuramos el DHCP para que reparta IPs de la 192.168.3.50 a la 192.168.3.100.










En la imagen que se muestra, faltaría de poner una DNS, ya que aunque tengamos salida a Internet
al tener como gateway la IP del router del instituto, no nos mostraría páginas externas ya que no
sería capaz de resolver los nombres de dominio con las direcciones IP.

Una vez hecho esto, conectamos la tarjeta inalámbrica al host A y comprobamos la dirección IP
(192.168.3.51) y la puerta de enlace (192.168.3.1, la del router) que se le ha asignado por DHCP





- 4 -







Al host B, le asignamos una IP estática (192.168.3.13) ya que hace la función de servidor también,
y como puerta de enlace le ponemos también la del router (192.168.3.1).

El host-servidor externo tendrá una IP estática que estará dentro de la red del aula (192.168.2.30).
Para simular que este host sea Internet, como puerta de enlace no le pondremos la IP externa del
router (192.168.2.242), ya que si lo hiciéramos, cualquier petición del host externo hacia el servidor
o host interno sería mandada a su puerta de enlace (que sería el router, la 192.168.2.242),y como el
router está en la misma red que los host internos, habría acceso entre ellos, cosa que en Internet no
ocurriría.

Una vez que ya tenemos todo configurado, probamos que funciona todo correctamente.
Los resultados son:
El host A y el host B se comunican entre ellos porque están en la misma red, y también se
comunican con el host externo, ya que salen a través del router a la red del aula.

Ping del host A (192.168.3.51) al host B (192.168.3.13) y al host externo (192.168.2.30) y lo mismo
ocurriría con el host B al host A y al host externo.




- 5 -




Intentamos ver la página web del host B y del host externo a través del navegador del host A
(poniendo las direcciones IPs en el navegador) y el resultado es bueno, conseguimos verlas.














- 6 -

En cambio, el host externo no puede hacer ping a los host internos porque estamos haciendo NAT y
por el asunto de la puerta de enlace que hemos comentado anteriormente, ni evidentemente puede
acceder a ningún servicio del host B.

Ping del host externo (192.168.2.30) al host A (192.168.3.51), y lo mismo pasaría con el host B





Ahora intentamos hacer ping al router desde el host externo para ver si tienen comunicación y
vemos que no nos deja.

Ping del host externo (192.168.2.30) al router (IP externa 192.168.2.242)





Esto ocurre por una opción de seguridad que tiene el router para evitar un posible ataque. La opción
que evita que un host externo pueda hacer ping al router es la siguiente: entramos a través del
navegador en el router, y vamos a Security > Firewall y ahí encontraremos una opción que es
“Block anonymous Internet Requests”. Si esta opción no esta activada, podremos hacer ping al
router desde el host externo. Si por el contrario esta activada, no podremos.






- 7 -






Firewall y restricciones

Aprovechando la imagen anterior, comentamos que la opción de Firewall Protection, que
encontraremos