Ejercicios de Iptables 4.d

d.- Explorar las extensiones de "marcado" como –mark.

Al igual que en el caso anterior modificábamos los bits de TOS  ahora podemos emplear números enteros positivos (hasta el 4.294.967.296) para clasificar y diferenciar a unos paquetes de otros en función de dicho valor.

El modo de empleo es para la comparación:

-t mark --mark {número} -j OBJETIVO

pero también podemos modificar las marcas para asignarle un valor determinado:

-j MARK --set-mark {número}

Las marcas se suelen emplear en combinación con iproute2 o colas para definir las rutas por dónde ha de ir determinado tráfico o incluso para realizar balanceos de carga entre varios interfaces de red.

Por ejemplo vamos a hacer que todo el tráfico que llegue por la interfaz eth1 y el generado por el propio equipo destinados a los puertos 80 (tráfico http) los marque con el número "1".

iptables -t mangle -A PREROUTING -i eth1  -p tcp --dport 80 -j MARK --set-mark 1

iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 1

Seguridad en telefonía móvil. 4.4 Las redes de tercera genarción (3G): UMTS

4.4.- Las redes de tercera generación (3G): UMTS

UMTS (Universal Mobile Telecommunications System) definido por el ETSI (European Telecommunications Standards Institute) fue seleccionado por la ITU (International Telecommunication Union) como sistema del estándar IMT2000 (International Mobile Telecommunications 2000) para la definición de los sistemas móviles de la tercera generación. La seguridad es similar a GSM pero actualizada para solventar las vulnerabilidades conocidas. La tercera generación entró en servicio en 2003-2004 y la mayor ventaja frente a los sistemas anteriores es su velocidad de transferencia, frente a los 9.6 kb/s de GSM y las decenas de GPRS, prometía velocidades de hasta 2Mbs. Lo cierto es que 3gpp en su versión 7, mediante el empleo de HSPA+ tal y cómo se ve en la Ilustración 4 promete velocidades de subida de hasta 11 Mbps y descenso de 42 Mbps. En cualquier caso las velocidades reales ofrecidas por las operadoras, al menos en España distan bastante de estas velocidades.

Los elementos de seguridad como decíamos se basan en desarrollos de los elementos definidos para GSM y GPRS pero intentando corregir algunos fallos conocidos y ya comentados de las primeras generaciones:

Esnifando tráfico de red con tcpdump. Capturando tráfico

Instalo tcpdump

apt-get install tcpdump

Descargamos los ficheros de la práctica y comprobamos los mismos con file:

file em0.lpc sf1.lpc

Instalamos libpcap y tcpdump -sino lo está ya-

apt-get install tcpdump

Ejercicios de Iptables. 4c

c.- Estudiar las opciones del tipo “mangle” y, en concreto las relacionadas con el tipo de servicio, TOS. La orientación de esta extensión es la alteración de paquetes de acuerdo con el servicio a prestar, priorizando el trafico proveniente de distintas partes. Por ejemplo, para minimizar los tiempos de espera: Minimize Delay. Es usada con las cadenas PREROUTING y POSTROUTING. Tratar, por ejemplo, de probar el correspondiente comando de iptables para minimizar la demora en el servicio telnet

La tabla mangle se puede usar para modificar paquetes, básicamente los objetivos con los que se puede usar son para modificar

• TOS ( Type Of Service) y darle prioridad a unos paquetes frente a otros (dependemos de que los enrutadores externos a nuestra organización reconozcan estas marcas, que no suele ser lo habitual).
• TTL podemos modificar el ttl para asignarles uno nosotros, con esto podemos ser más invisibles frente a utilidades como traceroute.
• Mark: se suele usar para marcar los paquetes con valores específicos, estas marcas las podemos emplear después para realizar enrutamientos por determinados interfaces (empleando por ejemplo iproute) dependiendo de la marca, también podemos limitar anchos de banda y crear sistemas de balanceo de cargas mediante colas, basándonos en dichas marcas.