Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Configuracion Servicios Internet Linux
Configuracion Servicios Internet Linux
Utilizar software para administrar redes de acuerdo con las normas internacionales
Para ver videos y dems ingresar a www.profearias.wordpress.com/sena/ http://profearias.wordpress.com/sena/talleres-abril-mayo/ http://profearias.wordpress.com/sena/talleres http://profearias.wordpress.com/sena/evaluaciones
MODULO DE CONFIGURACIN DE SERVICIOS DE INTERNET
Qu es Internet? (1)
Servidor
Cliente
Qu es Internet? (2)
Red Local
Enrutador
Red Local
Servicios de Comunicacin
Enrutador Red Local Enrutador
Enrutador
Red Local
Ncleo
Ncleo
El cliente enva un mensaje de solicitud al servidor para pedir cierto servicio (ejm. lectura de un bloque de cierto archivo). El servidor hace el trabajo y regresa los datos solicitados o un cdigo de error.
Presentacin Esttica
Presentacin dinmica
Interaccin
Esttica
Programacin Java Presentacin ActiveX Accesodinmica a bases de datos
Diferentes Sistemas Operativos Diferentes Plataformas Interaccin Diferentes base de datos Interprogram communication Monitores de transacciones
Nodo Internet
INTERNET
Biblioteca Virtual
INFRAESTRUCTURA DE COMUNICACIONES
Servido
Internet
Enrutador Exterior
Base de Datos
Intranet protegida
interno
/etc/inittab
ntsysv shutdown
init 0
/etc/hosts y /etc/xinetd.d ifconfig netstat traceroute
/etc/sysconfig/static-routes
/etc/sysconfig/network-scripts/ifcfg-eth0 telnet
ftp
Interfaz grfica ftp Ifconfig eth0:0 ( direcciones virtuales) webmin
WEBMIN
WEBMIN
WEBMIN
Servicio DNS
Un servidor DNS , responde a la peticin de un cliente y entrega la IP de la mquina requerida en su red
Un cliente DNS hace una peticin de traduccin de nombre en direccin IP. Puede ser de forma automtica desde un browser
bind
# cat resolv.conf
domain sts.com nameserver 200.75.57.36 Por linuxconf Por webmin
Enva peticin
Obtiene archivo
Recibe respuesta
Ejecuta programa
Browser HTTP
(cliente)
Servidor Web
APACHE EN LINUX
-Reiniciar el servicio
/etc/rc.d/init.d/httpd stop /etc/rc.d/init.d/httpd start
Se debe permitir a los usuarios publicar paginas dentro de su directorio de trabajo, si crean un subdirectorio llamado paginas en su home directory. Crear un usuario llamado docente, y publicar all alguna pgina. Para probar el docente debe poder ver la pgina del usuario docente, simplemente digitando como URL http://nombrecompleto/~docente. Proteger el alias llamado clave, con usuario y clave de acceso. El usuario se debe llamar uis y la clave debe ser uis2008.
Se debe encriptar el trfico hacia la pgina principal del servidor web. El docente debe poder ver la pgina de inicio, digitando como URL https://nombrecompleto
-Permitir en el archivo httpd.conf para el directorio virtual deseado, que se revise el archivo .htaccess
Alias /seguro "/protegidas <Directory "/protegidas">
AllowOverride All
Order allow,deny Allow from all </Directory>
Comunicaciones encriptadas
Debemos activar el uso del modulo ssl del apache. En esta versin ya esta instalado y listo para ser usado. Se puede verificar entrando por el webmin y revisando mdulos.
el
servidor
La letra s adicionada al http es la que indica que se usar acceso web con SSL.
Proteger con usuario y clave el alias del sitio web de cada maquina, llamado /comun que carga las paginas encontradas en el directorio /todos ( al menos colocar un pgina de entrada a ese sitio). Solo se permitirn conexiones web que provengan de su misma mquina o de la mquina del docente y que ingresen con el usuario profe , con clave profe02 o el usuario hector con clave hector02. Adems la conexin y transferencia de datos debe ser encriptada.
SERVIDORES DE CORREO
Ejemplo hgil@procalculo.com
Donde la organizacin es el nombre de una compaa, agencia del gobierno, institucin de educacin, etc.
SENDMAIL
Tambin se conoce con el nombre de delivery, o bien distribuidor de correo. Realiza su funcin mantenindose a la escucha del socket 25, comunicndose con los daemons de otros sistemas para recibir el correo entrante y enviar el correo saliente.
En cuanto a la aplicacin TCP/IP, se utiliza el protocolo SMTP (Simple Mail Transfer Protocol), el cual se caracteriza por su eficiencia, sencillez y facilidad de depuracin, gracias a los mensajes que acompaan a sus comandos.
220 mc9-f29.bay6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.5600 ready at Sat, 1 Feb 2003 08:01:58 -0800
>>> EHLO www.sts.com.co 250-mc9-f29.bay6.hotmail.com (02.01.00.0007) Hello [200.21.238.196] 250-SIZE 4278190 250-PIPELINING 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-AUTH LOGIN 250-AUTH=LOGIN 250-X-HMAUTH 250 OK
El programa leer el mensaje deseado por stdin y lo enviar a cada uno de los usuarios listados en la invocacin el comando (Cada usuario en el sistema tiene un "buzn de correo" en el que son depositados los mensajes que le han sido enviados). Cada mensaje es precedido de una "marca de correo" que indica quin lo envi, en qu fecha y el destinatario.
La opcin -t indica que el mensaje sea adems precedido de una lista de todos los usuarios a los que se envi el mensaje.
w [archivo] como el anterior, pero sin el encabezamiento (y se borra del buzn) m [usuarios] del buzn) q enviar el mensaje a los usuarios dados (y se borra
salir de mail.
x salir de mail. Todos los mensajes (an los "borrados") se colocan nuevamente en el buzn).
! comando
?
POP3
En un ambiente clsico de trabajo, hay gran cantidad de usuarios que tienen un contrato con un ISP que est siempre conectado a la red y al llegar un mensaje de correo para un usuario de ese ISP el mail-server del ISP debe guardar el mensaje hasta que el usuario se conecte desde diferentes clientes de correo y lo solicite. Apareci el protocolo de oficina postal, POP, que actualmente se encuentra en su versin 3. Este protocolo complementa perfectamente con el SMTP, en la forma en que este ltimo se encarga del envo de correo y su trnsito por la INTERNET hasta el mail-server destino y el POP se encarga de el transporte de los mensajes almacenados en el servidor a usuarios que espordicamente se conecta a l .
POP3
Pruebas de POP3
En las mquinas linux, si se instal el sistema completo, debe estar el servicio ipop3. Se puede habilitar con ntsysv para que inicie con el sistema o desde la carpeta /etc/xinetd.d, para que inicie inmediatamente. Para comprobar si esta en servicio , se enva correo a una cuenta.
Pruebas de POP3
Se procede a hacer un telnet a la mquina por el puerto 110, para que nos responda el servicio de pop3 y entrar a dialogar con l.
Configurar un servicio de correo con algunas consideraciones de seguridad. Es decir, la comunicacin entre el cliente y el servidor debe ser encriptada ( primero mostrar la forma normal para evidenciar la transparencia de la comunicacin y luego encriptarlo y volver a mostrar) y solo se deben permitir salir correos por el servidor de los equipos clientes de cada fila de trabajo. Se deben crear algunas cuentas de correo con el nombre de los intregrantes de los grupos y enviar y recibir correos entre los diferentes servidores dentro de una misma fila. Osea en cada servidor se deben crear cuentas para todos los usuarios clientes de esa fila y todos deben actuar como clientes y servidores alguna vez. Las direcciones de correo deben llevar el nombre de la mquina, pues no hay una mquina predestinada a recibir correo de todo el dominio.
Servidor: El hosts que permite el acceso a sus sistemas de archivos o directorios locales (este debe exportar sus recursos).
Cliente : El hosts que solicita el acceso a sistemas de archivos o directorios de otras mquinas (este debe montar los recursos exportados por otras mquinas).
Cliente:
Comando mount Opcionalmente editar /etc/fstab
LABEL=/ 1 1
none 0 0 none 0 0 none 0 0 /dev/hda3 0 0
/
/dev/pts /proc /dev/shm swap
ext3
devpts proc tmpfs swap iso9660 auto exec,dev,suid,rw 1 1
defaults
gid=5,mode=620 defaults defaults defaults
hector.edu.co:/usr/local
/prestado nfs
noexec,dev,suid,rw 1 1
Configurar el servicio de NFS de los equipos de la sala, para exportar el directorio /var/log , pero solo pueden tener acceso a este , los equipos de la misma fila de su equipo. De igual forma comprobar que pueden acceder el directorio que su vecino exporto ( var/log) y montarlo sobre el directorio /prestado, previamente creado.
PROXY
Configuracin manual de squid ( segmento de archivo /etc/squid/squid.conf)
..........
..........
acl red src "/etc/squid/lista-ip-validas" acl negados url_regex "/etc/squid/sitios-negados"
PROXY
Configuracin manual de squid ( segmento de archivo /etc/squid/squid.conf)
..........
# # # # # # # #Default: # http_access deny all http_access deny negados http_access allow localhost http_access allow red http_access deny all # If none of the "access" lines cause a match, the default is the opposite of the last line in the list. If the last line was deny, then the default is allow. Conversely, if the last line is allow, the default will be deny. For these reasons, it is a good idea to have an "deny all" or "allow all" entry at the end of your access lists to avoid potential confusion.
PROXY
Personalizando los mensajes de error
[root@www squid]# cd errors [root@www errors]# ls ERR_ACCESS_DENIED ERR_FTP_PUT_CREATED ERR_FTP_NOT_FOUND ERR_READ_TIMEOUT ERR_FTP_PUT_ERROR ERR_SHUTTING_DOWN ERR_FTP_PUT_MODIFIED ERR_TOO_BIG ERR_READ_ERROR
ERR_CACHE_ACCESS_DENIED
ERR_LIFETIME_EXP
ERR_NO_RELAY
ERR_ZERO_SIZE_OBJECT
PROXY
Personalizando los mensajes de error
# cat ERR_ACCESS_DENIED
ERROR LA ADMINISTRACION DE LA EMPRESA INFORMA QUE ESTOS SITIOS WEB TIENEN ACCESO RESTRINGIDO DIRECCION DEL SITIO RESTRINGIDO: %U MENSAJE DE ERROR Access Denied.
Las politicas de acceso a internet tienen restringido este sitio Si es de acceso vital, por favor contacte al Administrador de la red Para contactar a su administrador, enviar a: %w.
PROXY
Restriccin de sitios
[root@www squid]# cat sitios-negados www.sitioporno.com www.otrositioporno.com www.playboy.com www.chicas.com napster sex porn mp3 xxx adult astalavista
Restriccin de clientes
Se incluye la lista de Ips validas a salir por el proxy en archivo lista-ip-validas
PROXY
Configuracin grfica de squid ( webmin)
PROXY
Configuracin grfica de squid ( webmin)
PROXY
Configuracin grfica de squid ( webmin)
# service squid stop Parando squid: 2003/01/13 10:53:58 | aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.210.0.0.250/255.0.0.0' ................ [ OK ] # service squid start Iniciando squid: [ OK ]
PROXY
Configuracin proxy transparente
En condiciones normales , a todos los clientes se les debe especificar en el navegador quien es el servidor proxy ( se debe dar la direccin IP o nombre de la mquina proxy y el puerto por el cual escucha las peticiones). Si una red tiene demasiados clientes este trabajo puede ser dispendioso. Se puede hacer una configuracin especial para implementear un proxy , sin que los usuarios deban enterarse de que en la red hay este servicio de proxy. Se desear simular que cada paquete que pase por su mquina Linux est destinado a un programa en la propia mquina. Esto se utiliza para hacer proxies transparentes: un proxy es un programa que filtrando las comunicaciones entre la red y el mundo real , permite control de accesos a internet, cach, control de sitios visitados, etc. . La parte transparente se debe a que su red nunca tendr por qu enterarse de que est comunicndose con un proxy, a menos, claro, que el proxy no funcione.
PROXY
Configuracin proxy transparente
Que es IPTABLES ?
Iptables, se usa para configurar, mantener e inspeccionar las reglas de cortafuegos IP del ncleo Linux. Es un descendiente directo de ipchains (que vino de ipfwadm, que vino del ipfw IIRC de BSD), con extensibilidad. Los mdulos del kernel pueden registrar una tabla nueva, e indicarle a un paquete que atraviese una tabla dada. Este mtodo de seleccin de paquetes se utiliza para el filtrado de paquetes, para la Traduccin de Direcciones de Red (NAT) y para la manipulacin general de paquetes antes del enrutamiento. Una de las ventajas de iptables sobre ipchains es que es pequeo y rpido.
# Enva el trfico que llega a la mquina que filtra el trfico ( o firewall) y que va dirigido al puerto 80 (web) a nuestro proxy squid instalado en el mismo servidor (transparente) iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --toport 3128
PROXY
TALLER DE CONFIGURACIN DE PROXY BASICO Configurar cada mquina como proxy que permita solo la salida a los PCs de la misma fila de trabajo ( los equipos permitidos se incluirn en un archivo llamado clientes-permitidos). Se debe restringir la salida a sitios como hotmail, yahoo, playboy ( estos sitios se deben incluir en un archivo llamado prohibidos)y se debe personalizar el mensaje que muestra al usuario final cuando trate de salir a uno de estos sitios prohibidos. Se debe activar el log de acceso para poder monitorer lo que hace la gente en internet ( todas las salidas o peticiones que se hacen al proxy) y comprobar que las peticiones que se le hacen al proxy quedan registradas.
FINGER
Permiten la consulta de informacin del usuario, tanto del sistema local, como uno remoto. El servicio finger no es un protocolo, solo es un programa de usuario final que utiliza TCP para la comunicacin con el servidor in.fingerd. Ejm: Desde la mquina Luis deseo ver que usuarios estn trabajando en la mquina jorge:
FINGER
Ahora se presenta el caso inverso. Desde la mquina jorge preguntamos que usuarios estn en Luis. Se puede verificar un usuario en particular. Para que un sistema responda debe tener activo su servicio in.fingerd en el xinetd.d
FTP
FTP (File Transfer Protocol) File Transfer protocol. Permite a los usuarios accesar y transmitir archivos en servidores localizados sobre internet. Estos servidores se pueden acceder a travs de un browser (ejm: ftp://ftp.microsoft.com) o por lnea de comandos (ejm: ftp ftp.microsoft.com) . En el primer caso toda la interacin se hace con el mouse y de esta forma se puede hacer el download de archivos. En el segundo caso es necesario conocer la sintaxis de los comandos FTP. Cuando un usuario entra a un servidor FTP con una cuenta normal, puede desplazarse por todo el rbol de unix donde tenga permisos de lectura ( la mayora) y pone en riesgo la confidencialidad de la informacin del sistema. Es aconsejable no habilitar este servicio cuando la mquina esta conectada a internet y en caso de ser vital, mejor e configura el servicio ftp anonymous.
FTP
FTP ANONYMOUS La configuracin se puede realizar desde el interfaz linuxconf o , desde webmin, para tres tipos de cuentas :
Annimo ( Anonymous) : que es la ms usual en internet, donde un usuario con ese nombre llega a un servidor y puede entrar con cualquier password, pero cae en un directorio pblico, de donde generalmente slo puede leer los archivos que estn permitidos.
FTP
3.10.1. TALLER FTP Habilitar el servicio FTP en las mquinas linux. Entrar con un usuario normal y ver que pueden hacer. Tratar de recorrer el rbol de diretorios linux y llevarse archivos del sistema. Hacerlo desde lnea de comandos, y desde interfaz grfico. Configurar el usuario anonymous , definiendo en /var/ftp la raz ficticia. Crear si no la tiene una estructura similar a unix all. En una carpeta llamada publico colocar los archivos que se desean publicar. No dar permisos de que escriban all , ni borren. Pedir que el usuario anonymous debe digitar algo que contenga una @ ( por ejemplo hector@gil.triana.com) Configurar el servidor para que solo permita el acceso a ftp con la cuenta anonymous. No permitir ningn usuario diferente as este creado en la mquina.
TCP Wrappers es una herramienta simple que sirve para monitorear y controlar el trfico que llega por la red. Esta herramienta ha sido utilizada exitosamente en la proteccin de sistemas y la deteccin de actividades ilcitas. Fue desarrollada por Wietze Zweitze Venema y esta basada en el concepto de Wrapper; es una herramienta de seguridad libre y muy til.
Un Wrapper es un programa para controlar el acceso a un segundo programa. El Wrapper literalmente cubre la identidad del segundo programa, obteniendo con esto un ms alto nivel de seguridad.
La
sintaxis
de
estos
archivos
es
muy
simple:
servicio: es el nombre del servicio , que generalmente esta dentro de los archivos respectivos del directorio xinet.d, por ejemplo son servicios el in.telnetd,in.fingerd. Si queremos referirnos a todos los puertos bastar con poner ALL, tambin podemos poner una lista de servicios separados por espacios en blanco.
host: es una o mas direcciones de red separadas por espacios en blanco, esta direccion se contrasta con la del sistema que nos hace la peticin de conexin. La direccin puede ser del tipo IP numerica, IP/mask, rango de IP (por ejemplo 195.116.), dominio (como por ejemplo sts.com), grupo de dominios (como por ejemplo .com). accin: puede tener 4 valores, accept (acepta la conexion si se cumplen las condiciones impuestas por servivio/host), deny (rechaza la conexion, spawn (acepta la conexion y realiza el comando bash que se le pasa como parametro) y twist (rechaza la conexion y realiza el comando bash).
Ejemplo :
Archivo /etc/hosts.allow
Se le dieron todos los servicios a las mquinas que aparecen en esta pantalla
# especfico: 192.1.1.221
AALL:ALL EXCEPT 192.1.1.221
#/etc/hosts.allow ALL:127.0.0.1
ALL: ALL: deny Ejemplo 5.Conexion local total, red local acceso por telnet y ftp, resto cerrado: #/etc/hosts.allow ALL:127.0.0.1 in.telnetd in.ftpd: LOCAL ALL: ALL: deny
Ejemplo 7:
Sistema abierto a la red local con reporte y cerrado al exterior con reporte:
#/etc/hosts.allow ALL: LOCAL: spawn ( echo -e "Acceso autorizado de %a por %d" ) & ALL: ALL: twist ( /bin/echo -e "INTRUSO! %a, usando puerto %d" ) &
Se desean permitir algunos servicios e implementar un mecanismo de deteccin de intrusos en cada mquina Linux de los estudiantes. Cada mquina de los grupos de trabajo , deben permitir hacer telnet desde las mquinas de la misma fila exclusivamente ( desde ninguna otra mquina de la sala , ni de internet), pero se desea llevar un rastro de que mquinas han usado este servicio ( el rastro debe quedar en un archivo llamado /etc/rastrotelnet). Todos los dems servicios manejados por el xinetd no deben ser permitidos , y se desea dejar rastro de los intentos de las otras mquinas de utilizarlos en un archivo llamado /etc/intrusos).
Leer documento PDF entregado por el docente, para entender el funcionamiento de las reglas de Iptables, para desarrollar el ejercicio planteado.
4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES
4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES
Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeo firewall en una mquina Linux as: En la red hay 20 Pcs y dos servidores y se requiere que estos PCs y servidores pueden accesar internet sin requerir a un proxy.
Se desea implementar proxy transparente. A diferencia del punto anterior se desea colocar un proxy con su cache y restricciones de sitios web , pero que los usuarios no sepan de la existencia de este o deban hacer cambios en las configuraciones.
Las conexiones externas dirigidas al firewall por el puerto 80 , se deben dirigir internamente al servidor web por ese puerto.
4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES
Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeo firewall en una mquina Linux as: Las conexiones dirigidas al firewall para entregarle correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. Algunos usuarios pueden leer correo de forma encriptada desde el exterior de la red usando el outlookp con SSL. Las conexiones dirigidas al firewall para pedir correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. No se deben permitir ms conexiones ni servicios hacia adentro de ninguna clase ni hacia ninguna otra mquina .