VNWARE
Acciones a realizar:
1. Comprobar que las máquinas UML están paradas.
2. Realizar, si no se ha hecho antes, una copia del estado actual yetiquetarlo adecuadamente renombrando el fichero resultante.
3. Restaurar la copia de seguridad indicada.
1.Nos aseguramos de parar todas las VM ,Hacemos una copia de seguridad en "Backup UML machines" y le ponemos el nombre por defecto y restauramos la copia de 2015-07-30_10-04_hardening.tgz
Acciones a realizar:
1. Editar el guión "uml_run_my_uml.sh" para que solamente se ejecuten las máquinas indicadas.
2. Lanzar las máquinas UML usando el icono "Run my UMLs".
3. Comprobar que efectivamente se han puesto en marcha las máquinas esperadas
1.Configuramos el archivo para "uml_run_my_umls.sh" y configuramos unos parámetros para poder tener fw,exta,inta y dmzd
2.Ahora ya configurado arrancamos las maquinas con "Run my UMLs"
3.Comprobamos que se han arrancado correctamente las maquinas que hemos indicado en el documento anterior.
Acciones a realizar:
1. Ejecutar la orden "sh /mnt/tmp/update_apt-get.sh".
2. Actualizar la máquina dmzc.
1.Ejecuto el comando "sh/mnt/tmp/update_apt-get.sh
2.Ahora actualizamos la maquina con exito.
Acción a realizar:
comprobar que no quedan cambios pendientes en dmz
Acción a realizar:
comprobar los servicios activos en dmzc usando netstat (o ss) y rpcinfo
Aquí comprobamos podemos observar el listado de servicios con el comando netstat --inet --listen -p
Aquí comprobamos el listado que nos da el comando rcpinfo -p
Acciones a realizar:
1. Parar los servicios "nfs-kernel-server", "nfs-common","portmap" y "apache2".
2. Cambiar la configuración del sistema para que estos servicios nose activen en el próximo arranque.
3. Rearrancar dmzc.
4. Comprobar que solamente ofrece el servicio SSH.
En esta captura detenemos los 4 servicios "nfs-kernel-server", "nfs-common","portmap" y "apache2"
En esta captura detenemos los 4 servicios anteriores con el comando insserv -r
reiniciamos y comprobamos que solo tenemos el servicio SSH
Acciones a realizar:
1. En dmzc, poner en marcha los servicios portmap y apache2.
2. Desde base, comprobar que:Es posible conectarse por SSH.Responde a ping (por defecto envía ICMP ECHO REQUEST).Es posible obtener un listado de los servicios basados en RPC registrados en dmzc. (Sugerencia: usar la orden "rpcinfo -pdmzc").Es posible acceder al servidor HTTP. (Sugerencia: usar "wgetdmzc").
3. Desde base, como root, realizar un barrido de puertos sobre dmzcpara corroborar la información previa.
Iniciamos los servicios portmap y apache2
Hacemos un "ssh" a "dmzc" y conecta de manera correcta
Ahora un ping a dmzc y comprobamos el que recibe el ICMP ECHO REQUEST y correctamente funciona.
Utilizamos el comando rpcinfo -p dmzc y nos muestra un listado de servicios
Acceso al servidor http
Ahora hacemos un barrido a dmzc
Acciones a realizar:
1. Configurar dmzc de forma limite el tráfico según la configuración anterior.
2. Desde base, comprobar que:Responde a ping (por defecto envía ICMP ECHO REQUEST).Es posible conectarse por SSH.
3.No es posible obtener un listado de los servicios basados en RPC registrados en dmzc. (Sugerencia: usar la orden "rpcinfo-p dmzc").No es posible acceder al servidor HTTP. (Sugerencia: usar"wget dmzc").
3. Desde base, como root, realizar un barrido de puertos sobre dmzc para corroborar la información previa.
Configuramos dmzc de forma limite el tráfico según la configuración anterior
Con esto las conexiones entrantes y las de paso se han rechazadas y las que enviamos nosotros se han aceptadas
Con este comando permitimos que esta IP entre en nuestro equipo solo por ese puerto
Con este comando permitimos la entrada del protocolo ICMP
Con este comando permitimos el trafico entrante atraves de la interfaz de loopback
El ping a dmzc funciona
Ssh a dmzc
No es posible conseguir un listado de los servicios
No es posible conseguir un listado por el puerto 80 htttp
nmap a dmzc
Activamos los servicios portmap y apache2 y hacemos un rpcinfo sobre nosotros mismos para comprobar que estan encendidos y wget para comprobar que el servicio de apache2 esta encendido.
Ahora arrancamos dmzd en el escritorio 6 con el comando uml.sh -d 6 d dmz
Ahora hacemos ping a dmzc desde dmzd
No es posible hacer conexión remota a dmzc
No es posible obtener un listado de los servicios
No es posible acceder al servidor http de dmzc
Hacemos un barrido de puertos a dmzc
Acciones a realizar:
1.Instalar en dmzc el paquete iptables-persistent.
2.Guardar la configuración de IPTABLES en "/etc/iptables/rules".
3.Rearrancar dmzc.
4.Comprobar que la configuración sigue aplicada tras rearrancar.
Instalaremos en dmzc el paquete iptables-persistent
Guardar la configuración de IPTABLES en /etc/iptables/rules
Reiniciamos las maquinas
Después de reiniciar podemos observar que hemos perdido todas las configuraciones
y ya lo tenemos hecho un saludo!
Hay un par de cosillas que habría hecho de forma diferente, pero muy bien compañero!
ResponderEliminargracias angel T.T
Eliminar