IMPORTANTE:

Asegúrate de completar este lab práctico únicamente en una computadora de escritorio o laptop.

Se permiten solo 5 intentos por lab.

A modo de recordatorio, es habitual no responder de forma correcta a todas las preguntas en el primer intento o incluso tener que volver a realizar una tarea; esto forma parte del proceso de aprendizaje.

Una vez comenzado el lab, no se puede detener el cronómetro. Después de 1 hora y 30 minutos, el lab terminará y tendrás que volver a empezar.

Para obtener más información, consulta la lectura Sugerencias técnicas para el lab.

Descripción general de la actividad

Los recursos en un entorno de nube deben protegerse del acceso no autorizado. Para hacer esto, los profesionales de seguridad usan protección perimetral, que se refiere a las medidas de seguridad implementadas para defender el perímetro de una red o un sistema contra el acceso no autorizado y amenazas cibernéticas. Un tipo de protección perimetral incluye usar firewalls para administrar y proteger el tráfico de red que entra y sale de un entorno de nube. Los firewalls ayudan a proteger las redes internas de confianza (como la red privada de una empresa) ante redes externas que no son confiables (como el Internet). Los firewalls examinan el tráfico de red entrante y saliente en función de reglas predefinidas para permitir o bloquear el paso de paquetes de datos específicos. Esto es crucial para ayudar a mantener la seguridad de aplicaciones, el control de tráfico, el cumplimiento y la aplicación de políticas.

En este lab, accederás a un firewall, crearás reglas para probar la seguridad de un servidor y harás las modificaciones necesarias.

Situación

Cymbal Bank tiene un servidor web de demostración aprovisionado en una red de nube privada virtual (VPC) existente. A Chloe, la líder de tu equipo, le preocupa la configuración de seguridad de este servidor web, por lo que quiere que analices el tráfico de red entrante al servidor web y bloquees conexiones a puertos innecesarias usando reglas de firewall. Tienes la tarea de analizar las reglas de firewall de este servidor web y probar su conexión. Para completar esta tarea, deberás crear varias reglas de firewall, conectarte al servidor web y analizar los registros asociados con las conexiones de red.

Lo harás de esta manera: Primero, crearás una regla de firewall que permita el tráfico de red al servidor web de demostración. Luego, generarás tráfico de red HTTP al servidor y analizarás sus registros de red. A continuación, crearás y probarás una nueva regla de firewall para rechazar tráfico HTTP al servidor. Por último, analizarás los registros de firewall para verificar que la nueva regla de firewall funcione como se debe.

Nota: En este lab, se te proporciona una red de VPC en modo personalizado, vpc-net, y una subred, vpc-subnet, configuradas con registros de flujo de VPC en la región . También se te proporciona una instancia de VM, web-server, instalada con un servidor web Apache en vpc-subnet con la etiqueta de red adjunta http-server en la zona .

Configuración

Antes de hacer clic en Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

En este lab práctico, puedes realizar las actividades por tu cuenta en un entorno de nube real, en lugar de una simulación o un entorno de demostración. Para ello, se te proporcionan credenciales temporales nuevas que usarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana del navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar tu lab y acceder a la consola de Google Cloud

1. Haz clic en el botón Comenzar lab. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • Tiempo restante
   • El botón Abrir la consola de Google
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria
   Nota: Si debes pagar por el lab, se abrirá una ventana emergente para que selecciones tu forma de pago.

2. Haz clic en Abrir la consola de Google (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito) si ejecutas el navegador Chrome. La página Acceder se abre en una pestaña del navegador nueva.

   Sugerencia: Puedes organizar las pestañas de manera independiente (una ventana al lado de la otra) para alternar fácilmente entre ellas.

   Nota: Si aparece el diálogo Elige una cuenta, haz clic en Usar otra cuenta.

3. Si es necesario, copia el nombre de usuario de Google Cloud a continuación, y pégalo en el diálogo Ingresar. Haz clic en Siguiente.

{{{user_0.username | "nombre de usuario de Google Cloud"}}}

También puedes encontrar el nombre de usuario de Google Cloud en el panel Detalles del lab.

4. Copia la contraseña de Google Cloud a continuación y pégala en el diálogo te damos la bienvenida. Haz clic en Siguiente.

{{{user_0.password | "contraseña de Google Cloud"}}}

También puedes encontrar la contraseña de Google Cloud en el panel Detalles del lab.

Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud podría generar cargos adicionales.

5. Haz clic para avanzar por las páginas siguientes:
   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para las pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda de la pantalla.

Tarea 1: Crea una regla de firewall

En esta tarea, crearás una regla de firewall que permite tráfico HTTP y conectividad SSH. También especificarás una etiqueta de destino para la regla de firewall recién creada.

En Google Cloud, las reglas de firewall deben especificar destinos para definir las instancias de VM a las que se aplican. Puedes usar etiquetas de destino para aplicar una regla de firewall a un grupo específico de VMs, lo que ayuda a simplificar la administración de reglas de firewall. Usarás etiquetas de destino para habilitar esta regla de firewall solo para el servidor web.

1. En la consola de Google Cloud, haz clic en el menú de navegación ().
2. Selecciona Red de VPC > Firewall. Se mostrará la página Políticas de firewall.

Nota: Si aparece un mensaje diciéndote que no tienes los permisos necesarios para ver las políticas de firewall heredadas de este proyecto, puedes ignorarlo y continuar con los siguientes pasos.

3. En la barra de herramientas, haz clic en Crear una regla de firewall. Se mostrará el diálogo Crea una regla de firewall.

4. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

Campo	Valor
Nombre	allow-http-ssh
Registros	Activado
Red	vpc-net
Destinos	Etiquetas de destino especificadas
Etiquetas de destino	http-server
Filtro de origen	Rangos de IPv4
Rangos IPv4 de origen	0.0.0.0/0
En la sección Protocolos y puertos	Selecciona Protocolos y puertos especificados. Selecciona la casilla de verificación TCP. En el campo Puertos, escribe 80, 22.

5. Haz clic en Crear.

Nota: Espera a que se muestre el mensaje Se creó correctamente la regla de firewall "allow-http-ssh" antes de continuar.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente. Crea una regla de firewall

Tarea 2: Genera tráfico de red HTTP

En esta tarea, visitarás la dirección IP externa del servidor web para generar tráfico de red HTTP al servidor. El tráfico de red que generes se conservará como registros que puedes analizar en el Explorador de registros.

Primero, debes generar tráfico de red.

1. En la consola de Google Cloud, haz clic en el menú de navegación ().

2. Selecciona Compute Engine > Instancias de VM. Se abrirá la página de Instancias de VM.

3. Para acceder al servidor y ver la opción web-server, haz clic en el vínculo de la IP externa.

Como alternativa, agrega el valor de IP externa a http://EXTERNAL_IP/ en una ventana o pestaña nueva del navegador. Se mostrará una página web predeterminada.

A continuación, deberás encontrar la dirección IP de la computadora que estás usando.

4. Accede a tu dirección IP usando el siguiente vínculo whatismyip.com. La página responderá directamente con tu IP.

Nota: Asegúrate de que la dirección IP solo contenga números (IPv4) y no esté representada en hexadecimales (IPv6).

5. Copia la dirección IP y guárdala en un bloc de notas. La necesitarás en la siguiente tarea.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente. Genera tráfico de red HTTP

Tarea 3: Analiza los registros de flujo del servidor web

En esta tarea, accederás a los registros de flujo de VPC para el servidor web y los analizarás usando el Explorador de registros.

1. En la consola de Google Cloud, haz clic en el menú de navegación ().

2. Selecciona Logging > Explorador de registros. Se abrirá la página Explorador de registros. Es posible que debas expandir el menú desplegable Más productos en el menú de navegación y localizar Logging en Operaciones.

3. En el lado izquierdo de la página Explorador de registros se presenta el panel Campos de registro. Las secciones Tipo de recurso y Gravedad están disponibles. En la sección Tipo de recurso, selecciona Subred.

Se mostrarán entradas de los registros de subred en el panel Resultados de la consulta, a la derecha del panel Campos de registro.

4. En el panel Campos de registro, en la sección Nombre del registro, selecciona compute.googleapis.com/vpc_flows para acceder a los registros de flujo de VPC para la red. Si no se muestra esta opción, espera unos minutos a que aparezca este tipo de registro.

Una vez seleccionada, se mostrarán las entradas de los registros de flujo de VPC en el panel Resultados de la consulta.

5. En el Compilador de consultas en la parte superior de la página, al final de la línea 2, presiona INTRO para crear una línea nueva.

6. En la línea 3, ingresa lo siguiente:

jsonPayload.connection.src_ip=YOUR_IP

Tu consulta debería ser similar a lo siguiente:

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.src_ip=YOUR_IP

7. Reemplaza YOUR_IP con la dirección IP que guardaste en la tarea 2. Esta consulta buscará registros de tráfico de red que se originen de tu dirección IP y que hayas generado en la tarea anterior.

8. Haz clic en Ejecutar consulta. Los resultados de la consulta se mostrarán en el panel Resultados de la consulta.

Nota: Si no se muestra la opción de filtro vpc_flows o si no hay registros, quizá debas esperar unos minutos y actualizar la página. Si pasado ese tiempo, la opción de filtro vpc_flows sigue sin mostrarse, navega a la página de Compute Engine, haz clic en la IP externa del servidor web unas cuantas veces para generar más tráfico y revisa de nuevo la opción de filtro vpc_flows.

9. En el panel Resultados de la consulta, expande una de las entradas de registro.

10. En la entrada, haz clic en la flecha > para expandir jsonPayload. Luego, expande el campo conexión.

Aquí puedes examinar los detalles acerca de la conexión de red al servidor web:

• dest_ip: es la dirección IP de destino del servidor web.
• dest_port: es el número del puerto de destino del servidor web, que es el puerto 80 de HTTP.
• protocol: el protocolo es 6, que es el protocolo de IANA para el tráfico de TCP.
• src_ip: es la dirección IP de origen de tu computadora.
• src_port: es el número de puerto de origen que se asignó a tu computadora. De acuerdo con los estándares de la Internet Assigned Numbers Authority (IANA), suele ser un número de puerto aleatorio entre 49152 y 65535.

Después de analizar los detalles de esta entrada de registro, deberías notar que se permitió el tráfico de red que generaste (en el puerto 80 de HTTP) debido a la regla de firewall allow-http-ssh que creaste anteriormente. Esta regla permitió el tráfico entrante en los puertos 80 y 22.

Tarea 4. Crea una regla de firewall para rechazar tráfico HTTP

En esta tarea, crearás una nueva regla de firewall que rechaza tráfico del puerto 80.

1. En la consola de Google Cloud, haz clic en el menú de navegación ().

2. Selecciona Red de VPC > Firewall. Se mostrará la página Políticas de firewall.

3. En la barra de herramientas, haz clic en Crear una regla de firewall.

4. En el diálogo Crear una regla de firewall, especifica lo siguiente y deja el resto de los parámetros en su configuración predeterminada:

Campo	Valor
Nombre	deny-http
Registros	Activado
Red	vpc-net
Acción en caso de coincidencia	Rechazar
Destinos	Etiquetas de destino especificadas
Etiquetas de destino	http-server
Filtro de origen	Rangos de IPv4
Rangos IPv4 de origen	0.0.0.0/0
En la sección Protocolos y puertos	Selecciona Protocolos y puertos especificados. Selecciona la casilla de verificación TCP. En el campo Puertos, escribe 80.

5. Haz clic en Crear.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente. Crea un firewall para rechazar tráfico HTTP

Tarea 5. Analiza los registros de firewall

En esta tarea, probarás la regla de firewall deny-http que creaste en la tarea anterior.

Primero, intenta conectarte al servidor web.

1. Haz clic en Menú de navegación ().
2. Selecciona Compute Engine > Instancias de VM. Se abrirá la página de Instancias de VM.
3. Para acceder al servidor y ver la opción web-server, haz clic en el vínculo de la IP externa.

Deberías ver el siguiente mensaje de error en la página:

Este error ocurrió debido a la regla de firewall deny-http que creaste en la tarea anterior. Para verificarlo, accede al Explorador de registros para analizar los registros de firewall para el servidor web.

4. En la consola de Google Cloud, haz clic en el menú de navegación ().

5. Selecciona Logging > Explorador de registros. Se abrirá la página Explorador de registros. Es posible que debas expandir el menú desplegable Más productos en el menú de navegación y localizar Logging en Operaciones.

6. En la sección Tipo de recurso, selecciona Subred.

7. En el panel Campos de registro, en la sección Nombre del registro, selecciona compute.googleapis.com/firewall para acceder a los registros de firewall para la red.

8. En el Compilador de consultas en la parte superior de la página, al final de la línea 2, presiona INTRO para crear una línea nueva.

9. En la línea 3, ingresa lo siguiente:

jsonPayload.connection.src_ip=YOUR_IP DENIED

Reemplaza YOUR_IP con la dirección IP que guardaste en la tarea 2. Esta consulta buscará registros de firewall que rechazaron tu conexión de dirección IP al servidor web. Tu consulta debería ser similar a lo siguiente:

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Ffirewall" jsonPayload.connection.src_ip=YOUR_IP DENIED

10. Haz clic en Ejecutar consulta. Los resultados de la consulta se mostrarán en el panel Resultados de la consulta.

11. En el panel Resultados de la consulta, expande una de las entradas de registro.

12. En la entrada de registro, haz clic en la flecha > para expandir jsonPayload. Luego, expande el campo conexión. Puedes examinar los detalles acerca de la conexión de red al servidor web para verificar si la regla de firewall se activó correctamente:

• dest_ip: es la dirección IP de destino del servidor web, que es 10.1.3.2.
• dest_port: es el número del puerto de destino del servidor web, que es el puerto 80 de HTTP.
• protocol: el protocolo es 6, que es el protocolo de IANA para el tráfico de TCP.
• src_ip: es la dirección IP de origen de tu computadora.
• src_port: es el número de puerto de origen que se asignó a tu computadora.
• disposition: este campo indica si se permitió o rechazó la conexión. Aquí aparece como denied, lo que indica que se rechazó la conexión al servidor.

13. En la entrada de registro, haz clic en la flecha > para expandir rule_details. Puedes examinar los detalles acerca de la regla de firewall. Adicionalmente, puedes expandir los siguientes campos en la entrada de registro para extraer más información:

• action: la medida que tomó la regla; en este caso, DENY.
• direction: la dirección de tráfico de la regla puede ser de entrada o salida; en este caso es INGRESS, lo que significa que la medida se aplicará al tráfico entrante.
• ip_port_info: se refiere al protocolo y los puertos que controla esta regla. Los valores ip_protocol y port_range enumeran el puerto TCP 80.
• source_range: son las fuentes de tráfico a las que se aplica la regla de firewall. Aquí es 0.0.0.0/0.
• target_tag: enumera todas las etiquetas de destino a las que se aplica la regla de firewall. Aquí es http-server, la etiqueta de destino que agregaste a la regla de firewall en la tarea anterior.

Si examinas los detalles de esta entrada de registro de firewall, deberías notar que la regla de firewall deny-http que configuraste para rechazar tráfico HTTP se activó correctamente. Esta regla rechazó el tráfico de red entrante en el puerto 80.

Haz clic en Revisar mi progreso para verificar que completaste esta tarea correctamente. Analiza los registros de firewall

Conclusión

¡Muy bien!

Ahora tienes experiencia práctica en la creación y pruebas de reglas de firewall para un servidor web en un entorno de nube. Crear reglas de firewall y analizar entradas de registros te ayudó a familiarizarte con las complejidades de la protección perimetral. Esto es útil para supervisar y analizar potenciales incidentes o amenazas de seguridad, que es una parte esencial del rol de un analista de seguridad.

Vas por buen camino para comprender cómo modificar reglas de firewall para garantizar la máxima seguridad de redes.

Finaliza el lab

Antes de que finalices el lab, asegúrate de estar conforme con la forma en que completaste todas las tareas. Cuando estés conforme, haz clic en Finalizar Lab y luego haz clic en Enviar.

Finalizar el lab te quitará el acceso al entorno del lab y no podrás volver a acceder al trabajo que completaste.

Copyright 2024 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.