Modulo 03.Seguridad preventiva
Ejercicio: Restaurar la copia de seguridad para la unidad
Acciones a realizar:
1. Comprobar que las máquinas UML están paradas.
2. Realizar, si no se ha hecho antes, una copia del estado actual y etiquetarlo adecuadamente renombrando el fichero resultante.
3. Restaurar la copia de seguridad indicada.
Ejercicio: Preparar una configuración de UMLs personalizada
Acciones a realizar:
1. Editar el guión "uml_run_my_uml.sh" para que solamente se ejecuten las máquinas indicadas.
2. Lanzar las máquinas UML usando el icono "Run my UMLs".
3. Comprobar que efectivamente se han puesto en marcha las máquinas esperadas.
Ejercicio:Aplicar parches
Acciones a realizar:
1. Ejecutar la orden "sh /mnt/tmp/update_apt-get.sh".
2. Actualizar la máquina dmzc
Acción a realizar:
comprobar que no quedan cambios pendientes en
dmz
Acción a realizar: comprobar que no quedan cambios pendientes en dmz
Acción a realizar:
comprobar los servicios activos en dmzc usando netstat (o ss) y rpcinfo
comprobar los servicios activos en dmzc usando netstat (o ss) y rpcinfo
Comprobamos y observamos el listado de servicios con el comando netstat --inet -- listen -p
Comprobamos el listado que nos da el comando rcinfo -p
Acciones a realizar:
1. Parar los servicios "nfs-kernel-server", "nfs-common","portmap" y "apache2".
2. Cambiar la configuración del sistema para que estos servicios nose activen en el próximo arranque.
3. Rearrancar dmzc.
4. Comprobar que solamente ofrece el servicio SSH.
2. Cambiar la configuración del sistema para que estos servicios nose activen en el próximo arranque.
3. Rearrancar dmzc.
4. Comprobar que solamente ofrece el servicio SSH.
detenemos los servicios "nfs-kernel-server", "nfs-common","portmap" y "apache2"
detenemos los 4 servicios con el comando insserv -r
reiniciamos y comprobamos que tenemos el servicio SSH
Acciones a realizar:
1. En dmzc, poner en marcha los servicios portmap y apache2.
2. Desde base, comprobar que:Es posible conectarse por SSH.Responde a ping (por defecto envía ICMP ECHO REQUEST).Es posible obtener un listado de los servicios basados en RPC registrados en dmzc. (Sugerencia: usar la orden "rpcinfo -pdmzc").Es posible acceder al servidor HTTP. (Sugerencia: usar "wgetdmzc").
3. Desde base, como root, realizar un barrido de puertos sobre dmzcpara corroborar la información previa.
Iniciamos los servicios portmap y apache2
Hacemos un "ssh" a "dmzc" y conecta de manera correcta
Hacemos un ping a dmzc y comprobamos el que recibe el ICMP ECHO REQUEST
Utilizamos el comando rpcinfo -p dmzc y nos muestra un listado
Acceso al servidor http
Ahora hacemos un barrido a dmzc
Acciones a realizar:
1. Configurar dmzc de forma limite el tráfico según la configuración anterior.
1. Configurar dmzc de forma limite el tráfico según la configuración anterior.
2. Desde base, comprobar que:Responde a ping (por defecto envía ICMP ECHO REQUEST).Es posible conectarse por SSH.
3.No es posible obtener un listado de los servicios basados en RPC registrados en dmzc. (Sugerencia: usar la orden "rpcinfo-p dmzc").No es posible acceder al servidor HTTP. (Sugerencia: usar"wget dmzc").
4. Desde base, como root, realizar un barrido de puertos sobre dmzc para corroborar la información previa.
Configuramos dmzc para que limite el tráfico.
Las conexiones entrantes y las de paso se rechazan y las que enviamos se aceptan
Configuramos dmzc para que limite el tráfico.
Las conexiones entrantes y las de paso se rechazan y las que enviamos se aceptan
Con este comando permitimos que esta IP entre en nuestro equipo solo por ese puerto
Con este comando permitimos la entrada a ICMP
Con este comando permitimos el tráfico entrante de la interfaz loopback
El ping dmzc
ssh a dmzc
No es posible conseguir el listado de los servicios
No es posible conseguir un listado por el puerto 80 htttp
Nmap a dmzc
Activamos los servicios portmap y apache2 y hacemos un rpcinfo a nosotros mismos para comprobar que están encendidos y wget para comprobar que el servicio de apache2 esta encendido.
Ahora arrancamos dmzd en el escritorio 6 con el comando uml.sh -d 6 d dmz
ping a dmzc desde dmzd
No se puede hacer conexión remota a dmzc
No se obtiene un listado de los servicios
No es posible acceder al servidor http de dmzc
Hacemos un barrido de puertos a dmzc
Acciones a realizar:
1.Instalar en dmzc el paquete iptables-persistent.
2.Guardar la configuración de IPTABLES en "/etc/iptables/rules".
3.Rearrancar dmzc.
4.Comprobar que la configuración sigue aplicada tras rearrancar.
Instalaremos en dmzc el paquete iptables-persistent
Guardamos la configuración de IPTABLES en /etc/iptables/rules
Reiniciamos las maquinas
Después de reiniciar observamos que perdimos todas la configuraciones que había.
Comentarios
Publicar un comentario