ADMINISTRACION DE REDES DE COMPUTADOR

Utilizar software para administrar redes de acuerdo con las normas internacionales
Para ver videos y dems ingresar a www.profearias.wordpress.com/sena/ http://profearias.wordpress.com/sena/talleres-abril-mayo/ http://profearias.wordpress.com/sena/talleres http://profearias.wordpress.com/sena/evaluaciones
MODULO DE CONFIGURACIN DE SERVICIOS DE INTERNET

Pedro Alberto Arias

Qu es Internet? (1)
Servidor

Cliente

Qu es Internet? (2)

Red Local

Enrutador

Red Local

Servicios de Comunicacin
Enrutador Red Local Enrutador

Enrutador

Red Local

Como trabajan los servicios en internet

- Cliente/servidor:
Solicitud
Cliente Servidor Respuestas

Ncleo

Ncleo

El cliente enva un mensaje de solicitud al servidor para pedir cierto servicio (ejm. lectura de un bloque de cierto archivo). El servidor hace el trabajo y regresa los datos solicitados o un cdigo de error.

Internet: Tipos de interaccin

Presentacin Esttica

Presentacin dinmica

Interaccin

Internet: Que hay que saber

Diseo Grfico Software de animacin Presentacin Servidores Web

Esttica
Programacin Java Presentacin ActiveX Accesodinmica a bases de datos
Diferentes Sistemas Operativos Diferentes Plataformas Interaccin Diferentes base de datos Interprogram communication Monitores de transacciones

Nodo Internet

Sistema de informacin acadmico y administrativo

INTERNET

Biblioteca Virtual

Laboratorio Pedaggico en Nuevas Tecnologas

Servicios de internet/internet en empresas

Sistema de informacin documental y archivos

INFRAESTRUCTURA DE COMUNICACIONES

Servido

Internet
Enrutador Exterior

Servidor mail, DNS

externo WWW, ftp

Enrutador Interior Servidor WWW,

Base de Datos

Intranet protegida

interno

Red perimetral * Firewall

Implementar servicios de internet/internet en empresas

LINUX ACTIVIDADES IMPORTANTES

Crear usuarios y grupos: useradd y Cambiar claves a usuarios: passwd Cambiar permisos a directorios y archivos Instalacin de paquetes de software ( rpm ivh) Remover paquetes de software ( rpm e) Verificar la existencia o versiones de paquetes (rpm a )

Formas de cambiar parmetros de red

LINUX ARCHIVOS Y COMANDOS IMPORTANTES

hostname

/etc/inittab
ntsysv shutdown

init 0
/etc/hosts y /etc/xinetd.d ifconfig netstat traceroute

LINUX ARCHIVOS Y COMANDOS IMPORTANTES

/etc/services

/etc/sysconfig/static-routes
/etc/sysconfig/network-scripts/ifcfg-eth0 telnet

ftp
Interfaz grfica ftp Ifconfig eth0:0 ( direcciones virtuales) webmin

Configuracin de red en linux (alias de IP)

Se puede colocar varias direcciones IP a un interface de red.
Si se hace desde comandos (ifconfig) , hay que hacer referencia a las interfaces virtuales de la forma nombre:numero

Ejm: eth0:1 es la primera interface virtual de la tarjeta de red llamada eth0

Se pueden crear desde el ambiente grfico

WEBMIN

WEBMIN

WEBMIN

USO DE SNIFFER EN LINUX

El sniffer se utiliza para la captura y el anlisis de los paquetes que pasan a travs de la red

USO DE SNIFFER EN LINUX

Linux tiene la herramienta ethereal

USO DE SNIFFER EN LINUX

ethereal

CONFIGURACION DE SERVICIOS DE INTERNET LINUX

Servicio DNS
Un servidor DNS , responde a la peticin de un cliente y entrega la IP de la mquina requerida en su red

Un cliente DNS hace una peticin de traduccin de nombre en direccin IP. Puede ser de forma automtica desde un browser

bind

CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

CONFIGURACION DEL SERVICIO DNS (CLIENTE)

Por manipulacin directa del archivo # cd /etc # hostname www.sts.com

# cat resolv.conf
domain sts.com nameserver 200.75.57.36 Por linuxconf Por webmin

SERVICIO DNS ( ARCHIVOS Y COMANDOS)

-Archivo /etc/named.boot ( Bind versin 4)

-Archivo /etc/named.conf ( Bind versin 8) - Archivos con tablas de equipos en /var/named

-Comando nslookup para probar el DNS

-Servicio named # service named stop # service named start o # service named restart

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

Como es una transaccin bsica HTTP ?

Enva peticin

Obtiene archivo

Recibe respuesta

Ejecuta programa

Browser HTTP
(cliente)

Servidor Web

APACHE EN LINUX

Archivo de configuracin (httpd.conf)

ServerRoot "/etc/httpd" : Se indica el directorio que contiene todos los archivos de configuracin del servidor , tales log de errores, configuracin , etc . MaxClients 150 : Nmero mximo de equipos clientes conectados haciendo peticiones. ServerName unix.barranca.edu.co:80 Nombre completo del servidor web. Es importante que ya este funcionando un servidor DNS que resuelva el nombre de esta mquina. DocumentRoot "/var/www/html": Nombre del directorio donde reside la pgina principal del servidor web. El nombre de los posibles archivos que el tomar como pgina principal, se declara ms adelante. Existe otra directiva de configuracin con esta funcin: <Directory "/var/www/html">

Archivo de configuracin (httpd.conf)

UserDir public_html: Permite que los usuarios linux publiquen sus propias pginas, desde su directorio de trabajo. Estas pginas deben residir dentro del directorio public_html en su home. Para ver la pgina publicada se invoca el nombre del servidor seguido de /~ y el nombre del usuario . Por ejemplo : http://unix.barranca.edu.co/~hector DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.cgi: Se le indica los posibles nombres que puede tomar el archivo principal o pgina de inicio a buscar en el document root o public_html o alias. Alias /prueba "/var/www/paginas/": Permite crear manipulacin de contenido por directorio. Se crea un alias entre la palabra /prueba dada en el URL y el directorio fsico en linux "/var/www/paginas/". Se va a ese directorio y se corre la pgina de inicio.

-Reiniciar el servicio
/etc/rc.d/init.d/httpd stop /etc/rc.d/init.d/httpd start

TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION

3.4.3. TALLER DE PUBLICACIN DE PAGINAS EN EL SERVIDOR WEB El proceso de publicacin de pginas, es muy sencillo. Primero debemos configurar el servidor para saber en que directorios deben residir las pginas que deseamos publicar. Se debe configurar el servidor web de la siguiente forma: Se debe crear un usuario llamado taller , cuyo directorio de trabajo sea /home/taller y su contrasea taller2007. La Pgina que se coloque en cada sitio , debe mostrar un simple texto que diga prueba de XXX en maquina YYY donde XXXX es el item que estn probando y YYY es el nombre de la mquina. La pgina que siempre se debe acceder por defecto, en todos los casos se debe llamar default.html. Obviamente cambiando el texto que muestra, segn sea el ejercicio solicitado. Se debe ubicar la pgina principal en un directorio debajo de la raz llamado www. (/www). El docente debe poder ver la pgina de inicio, simplemente digitando como URL http://sumquina.izquierdo.edu.co. Para los del dominio derecho, deben de cambiar el nombre. No se debe digitar el nombre de la pgina.

TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION

Se debe crear un alias llamado clave , que nos muestra las pginas publicadas en el directorio /privado. El docente debe poder ver la pgina de inicio, simplemente digitando como URL http://nombrecompleto/clave. Se debe crear un alias llamado comun , que nos muestra las pginas publicadas en el directorio /todos. El docente debe poder ver la pgina de inicio, simplemente digitando como URL http://nombrecompleto/comun.

Se debe permitir a los usuarios publicar paginas dentro de su directorio de trabajo, si crean un subdirectorio llamado paginas en su home directory. Crear un usuario llamado docente, y publicar all alguna pgina. Para probar el docente debe poder ver la pgina del usuario docente, simplemente digitando como URL http://nombrecompleto/~docente. Proteger el alias llamado clave, con usuario y clave de acceso. El usuario se debe llamar uis y la clave debe ser uis2008.
Se debe encriptar el trfico hacia la pgina principal del servidor web. El docente debe poder ver la pgina de inicio, digitando como URL https://nombrecompleto

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

-Permitir en el archivo httpd.conf para el directorio virtual deseado, que se revise el archivo .htaccess
Alias /seguro "/protegidas <Directory "/protegidas">

AllowOverride All
Order allow,deny Allow from all </Directory>

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

-Crear archivo .htaccess en el directorio deseado AuthUserFile /protegidas/claves

AuthName "area Protegida"

AuthType Basic require user hector -Crear archivo de claves -htpasswd c /protegidas/claves hector

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor Apache)

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor IIS)

 Autenticacin y autorizacin de Usuarios. Restringiendo

el Acceso: Proteccin con Password (Servidor IIS)

Comunicaciones encriptadas

Debemos activar el uso del modulo ssl del apache. En esta versin ya esta instalado y listo para ser usado. Se puede verificar entrando por el webmin y revisando mdulos.

Simplemente accesamos https://www.sts.com

el

servidor

La letra s adicionada al http es la que indica que se usar acceso web con SSL.

TALLER CONFIGURACION SERVIDOR WEB SEGURO

3.4.5. TALLER DE SERVIDOR WEB Y ALGUNOS ASPECTOS DE SEGURIDAD

Proteger con usuario y clave el alias del sitio web de cada maquina, llamado /comun que carga las paginas encontradas en el directorio /todos ( al menos colocar un pgina de entrada a ese sitio). Solo se permitirn conexiones web que provengan de su misma mquina o de la mquina del docente y que ingresen con el usuario profe , con clave profe02 o el usuario hector con clave hector02. Adems la conexin y transferencia de datos debe ser encriptada.

SERVIDORES DE CORREO

QUE ES MAIL (CORREO)

E-MAIL: Es de las ms populares aplicaciones. El correo electrnico permite a los usuarios intercambiar mensajes con cualquier persona del mundo de una forma rpida. Para los negocios, este a sido un gran avance en comunicacin.

QUE ES MAIL (CORREO)

Para diferenciar el nombre del usuario de su dominio se adopt el carcter "@" que significa "en" (at) entonces la direccin Carlos@ServidorA y se puede leer como Carlos en ServidorA" El formato de la direccin para el e-mail en internet es de la forma: Nombre-usuario @organizacion.dominio

Ejemplo hgil@procalculo.com
Donde la organizacin es el nombre de una compaa, agencia del gobierno, institucin de educacin, etc.

CLIENTE, SERVIDOR Y PROTOCOLO

El cliente e-mail es un programa habitualmente llamado mail que permite la lectura de los ficheros buzn a cada usuario autorizado. Tambin es capaz de manejar el spool de correo, es decir, de enviar mensajes que sern ledos por el servidor e-mail para poder ser distribuidos a otros usuarios. El servicio encargado de proporcionar el intercambio de correo electrnico entre las mquinas se denomina servicio de e-mail, y puede ser ofrecido por distintos programas daemon, de los que el ms extendido se llama sendmail. El daemon sendmail es el servidor de correo electrnico ms popular entre las mquinas de Internet. Segn algunos estudios, constituye entre el setenta y el ochenta por ciento de las implementaciones existentes hoy en da.

SENDMAIL
Tambin se conoce con el nombre de delivery, o bien distribuidor de correo. Realiza su funcin mantenindose a la escucha del socket 25, comunicndose con los daemons de otros sistemas para recibir el correo entrante y enviar el correo saliente.

En cuanto a la aplicacin TCP/IP, se utiliza el protocolo SMTP (Simple Mail Transfer Protocol), el cual se caracteriza por su eficiencia, sencillez y facilidad de depuracin, gracias a los mensajes que acompaan a sus comandos.

Configuracin SENDMAIL Linuxconf

Configuracin SENDMAIL Linuxconf

UTILIDADES PARA ENVIO/RECEPCION DE CORREO

Comando mail Pine

Desde navegadores ( ejemplo netscape)

Outlook de microsof

Desde comando sendmail

UTILIDADES PARA ENVIO/RECEPCION DE CORREO

$ /usr/lib/sendmail -v hectorgiltriana@hotmail.com <prueba hectorgiltriana@hotmail.com... Connecting to mx1.hotmail.com. via esmtp...

220 mc9-f29.bay6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.5600 ready at Sat, 1 Feb 2003 08:01:58 -0800
>>> EHLO www.sts.com.co 250-mc9-f29.bay6.hotmail.com (02.01.00.0007) Hello [200.21.238.196] 250-SIZE 4278190 250-PIPELINING 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-AUTH LOGIN 250-AUTH=LOGIN 250-X-HMAUTH 250 OK

UTILIDADES PARA ENVIO/RECEPCION DE CORREO

>>> MAIL From:<webmaster@www.sts.com.co> SIZE=124 250 webmaster@www.sts.com.co....Sender OK

>>> RCPT To:<hectorgiltriana@hotmail.com>

250 hectorgiltriana@hotmail.com >>> DATA 354 Start mail input; end with <CRLF>.<CRLF> >>> . 250 <200302011601.h11G1vq13069@www.sts.com.co> Queued mail for delivery hectorgiltriana@hotmail.com... Sent ( <200302011601.h11G1vq13069@www.sts.com.co> Queued mail for delivery) Closing connection to mx1.hotmail.com. >>> QUIT 221 mc9-f29.bay6.hotmail.com Service closing transmission channel

CORREO BSICO UNIX (SENDMAIL)

Utilidad mail. Los sistema UNIX proveen varias utilidades para comunicacin entre usuarios, siendo la ms comn mail. De ella existen versiones ms o menos diferentes y ms o menos poderosas. Para enviar correo se usa el comando mail as: $mail [-t] lista_de_usuarios

El programa leer el mensaje deseado por stdin y lo enviar a cada uno de los usuarios listados en la invocacin el comando (Cada usuario en el sistema tiene un "buzn de correo" en el que son depositados los mensajes que le han sido enviados). Cada mensaje es precedido de una "marca de correo" que indica quin lo envi, en qu fecha y el destinatario.
La opcin -t indica que el mensaje sea adems precedido de una lista de todos los usuarios a los que se envi el mensaje.

CORREO BSICO UNIX (SENDMAIL)

Por ejemplo $mail gic <memo, enviar el contenido del archivo "memo" al usuario gic. Para leer el correo recibido se usa mail sin opciones. Si hay correo en el buzn del usuario, el programa mostrar cada mensaje, empezando por el ms reciente. Despus de mostrar cada mensaje, el programa coloca un ? y espera un comando que le diga qu hacer con el mensaje acabado de leer. Si se contesta con <enter>, mostrar el siguiente mensaje. Otras respuestas pueden ser: + d p Ver siguiente mensaje Borrar el mensaje corriente y ver el siguiente Mostrar nuevamente el mismo mensaje Mostrar el mensaje anterior

CORREO BSICO UNIX (SENDMAIL)

s [archivo] buzn) salvar el mensaje en el archivo dado (y se borra del

w [archivo] como el anterior, pero sin el encabezamiento (y se borra del buzn) m [usuarios] del buzn) q enviar el mensaje a los usuarios dados (y se borra

salir de mail.

x salir de mail. Todos los mensajes (an los "borrados") se colocan nuevamente en el buzn).

! comando
?

Ejecuta el "comando" dado

muestra una lista con estas opciones.

TALLER BSICO UNIX (SENDMAIL)

En la mquina del docente hay cuentas de usuario y correo creadas para todos los grupos de trabajo. Desde all enviar correo con el comando mail a otras cuentas y comprobar su recepcin tambin con el comando mail o pine. Configurar un cliente grfico de correo para enviar correo y comprobar que enva exitosamente, entre usuarios de la mquina del docente. Configurando su mquina como servidor de correo, crear una cuenta y desde un cliente grfico enviar correo a la cuenta hector en la mquina del docente.

POP3
En un ambiente clsico de trabajo, hay gran cantidad de usuarios que tienen un contrato con un ISP que est siempre conectado a la red y al llegar un mensaje de correo para un usuario de ese ISP el mail-server del ISP debe guardar el mensaje hasta que el usuario se conecte desde diferentes clientes de correo y lo solicite. Apareci el protocolo de oficina postal, POP, que actualmente se encuentra en su versin 3. Este protocolo complementa perfectamente con el SMTP, en la forma en que este ltimo se encarga del envo de correo y su trnsito por la INTERNET hasta el mail-server destino y el POP se encarga de el transporte de los mensajes almacenados en el servidor a usuarios que espordicamente se conecta a l .

POP3

Pruebas de POP3
En las mquinas linux, si se instal el sistema completo, debe estar el servicio ipop3. Se puede habilitar con ntsysv para que inicie con el sistema o desde la carpeta /etc/xinetd.d, para que inicie inmediatamente. Para comprobar si esta en servicio , se enva correo a una cuenta.

Pruebas de POP3
Se procede a hacer un telnet a la mquina por el puerto 110, para que nos responda el servicio de pop3 y entrar a dialogar con l.

PRUEBAS DE RECEPCION DE CORREO

Una vez este comprobado su funcionamiento, ya podemos solicitar a clientes grficos que lean correo de ese servidor, ya que este utilizan el POP3 para comunicarse con los clientes en la entrega del correo.

PRUEBAS DE RECEPCION DE CORREO

PRUEBAS DE RECEPCION DE CORREO

PRUEBAS DE RECEPCION DE CORREO

PRUEBAS DE RECEPCION DE CORREO

PRUEBAS DE RECEPCION DE CORREO

PRUEBAS DE RECEPCION DE CORREO

CONTROLES O FILTROS DE CORREO ( DESDE WEBMIN)

CONTROLES O FILTROS DE CORREO ( DESDE WEBMIN)

USO DE CORREO ENCRIPTADO (CLIENTES)

TALLER CONFIGURACION SERVIDOR CORREO

3.5.5. TALLER SERVICIO DE CORREO

Configurar un servicio de correo con algunas consideraciones de seguridad. Es decir, la comunicacin entre el cliente y el servidor debe ser encriptada ( primero mostrar la forma normal para evidenciar la transparencia de la comunicacin y luego encriptarlo y volver a mostrar) y solo se deben permitir salir correos por el servidor de los equipos clientes de cada fila de trabajo. Se deben crear algunas cuentas de correo con el nombre de los intregrantes de los grupos y enviar y recibir correos entre los diferentes servidores dentro de una misma fila. Osea en cada servidor se deben crear cuentas para todos los usuarios clientes de esa fila y todos deben actuar como clientes y servidores alguna vez. Las direcciones de correo deben llevar el nombre de la mquina, pues no hay una mquina predestinada a recibir correo de todo el dominio.

NFS (Network File System)

NFS es un servicio de red que permite a los usuarios accesar los sistemas de archivos y directorios de otros equipos en la red. Los Hosts pueden ser de diferente marca y sistema operacional. Estas diferencias son transparentes para los usuarios.

Se debe tener en cuenta los siguientes conceptos:

Servidor: El hosts que permite el acceso a sus sistemas de archivos o directorios locales (este debe exportar sus recursos).

Cliente : El hosts que solicita el acceso a sistemas de archivos o directorios de otras mquinas (este debe montar los recursos exportados por otras mquinas).

NFS (Network File System)

Configuracin Manual : Servidor : Editar /etc/exports Correr comando exportfs

Cliente:
Comando mount Opcionalmente editar /etc/fstab

NFS (Network File System)

Por interfaz grfica (servidor exportando recursos)

NFS (Network File System)

Por interfaz grfica (cliente, montando recursos)

NFS (Network File System)

Por interfaz grfica (cliente, archivo /etc/fstab)
# cat fstab

LABEL=/ 1 1
none 0 0 none 0 0 none 0 0 /dev/hda3 0 0

/
/dev/pts /proc /dev/shm swap

ext3
devpts proc tmpfs swap iso9660 auto exec,dev,suid,rw 1 1

defaults
gid=5,mode=620 defaults defaults defaults

/dev/cdrom /mnt/cdrom noauto,owner,kudzu,ro 0 0 /dev/fd0 noauto,owner,kudzu 0 0 /dev/hda1 /win /mnt/floppy msdos

hector.edu.co:/usr/local

/prestado nfs

noexec,dev,suid,rw 1 1

NFS (Network File System)

3.6.3. TALLER DE SERVICIO NFS

Configurar el servicio de NFS de los equipos de la sala, para exportar el directorio /var/log , pero solo pueden tener acceso a este , los equipos de la misma fila de su equipo. De igual forma comprobar que pueden acceder el directorio que su vecino exporto ( var/log) y montarlo sobre el directorio /prestado, previamente creado.

PROXY
Configuracin manual de squid ( segmento de archivo /etc/squid/squid.conf)

..........
..........
acl red src "/etc/squid/lista-ip-validas" acl negados url_regex "/etc/squid/sitios-negados"

#acl red src 192.168.1.0/255.255.255.0

# TAG: http_access # # # # # # # # # If there are no "access" lines present, the default is to deny the request. NOTE on default values: Access to the HTTP port: http_access allow|deny [!]aclname ... Allowing or Denying access based on defined access lists

PROXY
Configuracin manual de squid ( segmento de archivo /etc/squid/squid.conf)
..........
# # # # # # # #Default: # http_access deny all http_access deny negados http_access allow localhost http_access allow red http_access deny all # If none of the "access" lines cause a match, the default is the opposite of the last line in the list. If the last line was deny, then the default is allow. Conversely, if the last line is allow, the default will be deny. For these reasons, it is a good idea to have an "deny all" or "allow all" entry at the end of your access lists to avoid potential confusion.

PROXY
Personalizando los mensajes de error
[root@www squid]# cd errors [root@www errors]# ls ERR_ACCESS_DENIED ERR_FTP_PUT_CREATED ERR_FTP_NOT_FOUND ERR_READ_TIMEOUT ERR_FTP_PUT_ERROR ERR_SHUTTING_DOWN ERR_FTP_PUT_MODIFIED ERR_TOO_BIG ERR_READ_ERROR

ERR_CACHE_ACCESS_DENIED

ERR_CACHE_MGR_ACCESS_DENIED ERR_SOCKET_FAILURE ERR_CANNOT_FORWARD ERR_CONNECT_FAIL ERR_DNS_FAIL ERR_FTP_UNAVAILABLE ERR_INVALID_REQ ERR_INVALID_URL

ERR_UNSUP_REQ ERR_URN_RESOLVE ERR_WRITE_ERROR

ERR_FORWARDING_DENIED ERR_FTP_DISABLED ERR_FTP_FAILURE ERR_FTP_FORBIDDEN

ERR_LIFETIME_EXP

ERR_NO_RELAY

ERR_ZERO_SIZE_OBJECT

ERR_ONLY_IF_CACHED_MISS generic errors README

PROXY
Personalizando los mensajes de error
# cat ERR_ACCESS_DENIED

ERROR LA ADMINISTRACION DE LA EMPRESA INFORMA QUE ESTOS SITIOS WEB TIENEN ACCESO RESTRINGIDO DIRECCION DEL SITIO RESTRINGIDO: %U MENSAJE DE ERROR Access Denied.

Las politicas de acceso a internet tienen restringido este sitio Si es de acceso vital, por favor contacte al Administrador de la red Para contactar a su administrador, enviar a: %w.

PROXY
Restriccin de sitios
[root@www squid]# cat sitios-negados www.sitioporno.com www.otrositioporno.com www.playboy.com www.chicas.com napster sex porn mp3 xxx adult astalavista

Restriccin de clientes
Se incluye la lista de Ips validas a salir por el proxy en archivo lista-ip-validas

PROXY
Configuracin grfica de squid ( webmin)

PROXY
Configuracin grfica de squid ( webmin)

PROXY
Configuracin grfica de squid ( webmin)

# service squid stop Parando squid: 2003/01/13 10:53:58 | aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.210.0.0.250/255.0.0.0' ................ [ OK ] # service squid start Iniciando squid: [ OK ]

PROXY
Configuracin proxy transparente
En condiciones normales , a todos los clientes se les debe especificar en el navegador quien es el servidor proxy ( se debe dar la direccin IP o nombre de la mquina proxy y el puerto por el cual escucha las peticiones). Si una red tiene demasiados clientes este trabajo puede ser dispendioso. Se puede hacer una configuracin especial para implementear un proxy , sin que los usuarios deban enterarse de que en la red hay este servicio de proxy. Se desear simular que cada paquete que pase por su mquina Linux est destinado a un programa en la propia mquina. Esto se utiliza para hacer proxies transparentes: un proxy es un programa que filtrando las comunicaciones entre la red y el mundo real , permite control de accesos a internet, cach, control de sitios visitados, etc. . La parte transparente se debe a que su red nunca tendr por qu enterarse de que est comunicndose con un proxy, a menos, claro, que el proxy no funcione.

Se requiere el uso de IPTABLES

PROXY
Configuracin proxy transparente
Que es IPTABLES ?
Iptables, se usa para configurar, mantener e inspeccionar las reglas de cortafuegos IP del ncleo Linux. Es un descendiente directo de ipchains (que vino de ipfwadm, que vino del ipfw IIRC de BSD), con extensibilidad. Los mdulos del kernel pueden registrar una tabla nueva, e indicarle a un paquete que atraviese una tabla dada. Este mtodo de seleccin de paquetes se utiliza para el filtrado de paquetes, para la Traduccin de Direcciones de Red (NAT) y para la manipulacin general de paquetes antes del enrutamiento. Una de las ventajas de iptables sobre ipchains es que es pequeo y rpido.

# Enva el trfico que llega a la mquina que filtra el trfico ( o firewall) y que va dirigido al puerto 80 (web) a nuestro proxy squid instalado en el mismo servidor (transparente) iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --toport 3128

PROXY
TALLER DE CONFIGURACIN DE PROXY BASICO Configurar cada mquina como proxy que permita solo la salida a los PCs de la misma fila de trabajo ( los equipos permitidos se incluirn en un archivo llamado clientes-permitidos). Se debe restringir la salida a sitios como hotmail, yahoo, playboy ( estos sitios se deben incluir en un archivo llamado prohibidos)y se debe personalizar el mensaje que muestra al usuario final cuando trate de salir a uno de estos sitios prohibidos. Se debe activar el log de acceso para poder monitorer lo que hace la gente en internet ( todas las salidas o peticiones que se hacen al proxy) y comprobar que las peticiones que se le hacen al proxy quedan registradas.

SSH (Secure Shell )

Cuando se realiza una conexin a un servidor remoto usando por ejemplo el comando telnet o ftp, el login(usuario) y password(contrasea) son transmitidos en la red de forma clara, lo cual representa un gran riesgo si llega a existir sobre la red un programa que capture la informacin, basndose en el modo promiscuo de las redes ethernet (comnmente llamado sniffer), ocasionado obtener tanto el login como el password y pudiendo posteriormente irrumpir en el servidor con esta informacin.

SSH (Secure Shell )

Secure Shell y OpenSSH permiten realizar la comunicacin y transferencia de informacin de forma cifrada proporcionando fuerte autenticacin sobre el medio inseguro.

 Acceso desde clientes Windows (verificando con un sniffer el password encriptado)

FINGER
Permiten la consulta de informacin del usuario, tanto del sistema local, como uno remoto. El servicio finger no es un protocolo, solo es un programa de usuario final que utiliza TCP para la comunicacin con el servidor in.fingerd. Ejm: Desde la mquina Luis deseo ver que usuarios estn trabajando en la mquina jorge:

FINGER
Ahora se presenta el caso inverso. Desde la mquina jorge preguntamos que usuarios estn en Luis. Se puede verificar un usuario en particular. Para que un sistema responda debe tener activo su servicio in.fingerd en el xinetd.d

FTP
FTP (File Transfer Protocol) File Transfer protocol. Permite a los usuarios accesar y transmitir archivos en servidores localizados sobre internet. Estos servidores se pueden acceder a travs de un browser (ejm: ftp://ftp.microsoft.com) o por lnea de comandos (ejm: ftp ftp.microsoft.com) . En el primer caso toda la interacin se hace con el mouse y de esta forma se puede hacer el download de archivos. En el segundo caso es necesario conocer la sintaxis de los comandos FTP. Cuando un usuario entra a un servidor FTP con una cuenta normal, puede desplazarse por todo el rbol de unix donde tenga permisos de lectura ( la mayora) y pone en riesgo la confidencialidad de la informacin del sistema. Es aconsejable no habilitar este servicio cuando la mquina esta conectada a internet y en caso de ser vital, mejor e configura el servicio ftp anonymous.

FTP
FTP ANONYMOUS La configuracin se puede realizar desde el interfaz linuxconf o , desde webmin, para tres tipos de cuentas :

Annimo ( Anonymous) : que es la ms usual en internet, donde un usuario con ese nombre llega a un servidor y puede entrar con cualquier password, pero cae en un directorio pblico, de donde generalmente slo puede leer los archivos que estn permitidos.

Invitado : Usuario guest, con un password.

Real : Usuario con un login que debe existir en el sistema y un password.

FTP
3.10.1. TALLER FTP Habilitar el servicio FTP en las mquinas linux. Entrar con un usuario normal y ver que pueden hacer. Tratar de recorrer el rbol de diretorios linux y llevarse archivos del sistema. Hacerlo desde lnea de comandos, y desde interfaz grfico. Configurar el usuario anonymous , definiendo en /var/ftp la raz ficticia. Crear si no la tiene una estructura similar a unix all. En una carpeta llamada publico colocar los archivos que se desean publicar. No dar permisos de que escriban all , ni borren. Pedir que el usuario anonymous debe digitar algo que contenga una @ ( por ejemplo hector@gil.triana.com) Configurar el servidor para que solo permita el acceso a ftp con la cuenta anonymous. No permitir ningn usuario diferente as este creado en la mquina.

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPER
TCP Wrappers permite controlar y proteger los servicios de red, limitando el acceso como sea posible, y registrado todos las conexiones para hacer el trabajo de detectar y resolver problemas de forma ms fcil.

TCP Wrappers es una herramienta simple que sirve para monitorear y controlar el trfico que llega por la red. Esta herramienta ha sido utilizada exitosamente en la proteccin de sistemas y la deteccin de actividades ilcitas. Fue desarrollada por Wietze Zweitze Venema y esta basada en el concepto de Wrapper; es una herramienta de seguridad libre y muy til.

Un Wrapper es un programa para controlar el acceso a un segundo programa. El Wrapper literalmente cubre la identidad del segundo programa, obteniendo con esto un ms alto nivel de seguridad.

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPER
Debo configurar 2 archivos, donde especifico quien acceder a los servicios de mi servidor tcpwrapper, estos archivos son: /etc/hosts.allow y /etc/hosts.deny.

La

sintaxis

de

estos

archivos

es

muy

simple:

servicio: host: accin

servicio: es el nombre del servicio , que generalmente esta dentro de los archivos respectivos del directorio xinet.d, por ejemplo son servicios el in.telnetd,in.fingerd. Si queremos referirnos a todos los puertos bastar con poner ALL, tambin podemos poner una lista de servicios separados por espacios en blanco.

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPER

host: es una o mas direcciones de red separadas por espacios en blanco, esta direccion se contrasta con la del sistema que nos hace la peticin de conexin. La direccin puede ser del tipo IP numerica, IP/mask, rango de IP (por ejemplo 195.116.), dominio (como por ejemplo sts.com), grupo de dominios (como por ejemplo .com). accin: puede tener 4 valores, accept (acepta la conexion si se cumplen las condiciones impuestas por servivio/host), deny (rechaza la conexion, spawn (acepta la conexion y realiza el comando bash que se le pasa como parametro) y twist (rechaza la conexion y realiza el comando bash).

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPER

Ejemplo :
Archivo /etc/hosts.allow

Se le dieron todos los servicios a las mquinas que aparecen en esta pantalla

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPER
Ejemplo : /etc/hosts.deny # Niega todos los servicios a todos las mquinas excepto a una en

# especfico: 192.1.1.221
AALL:ALL EXCEPT 192.1.1.221

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

Ejemplo 4:Cerrado para todos excepto para las conexiones locales ( que se emitan desde la misma mquina:

#/etc/hosts.allow ALL:127.0.0.1
ALL: ALL: deny Ejemplo 5.Conexion local total, red local acceso por telnet y ftp, resto cerrado: #/etc/hosts.allow ALL:127.0.0.1 in.telnetd in.ftpd: LOCAL ALL: ALL: deny

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

Ejemplo 6. Sistema cerrado con informe de accesos: /etc/hosts.allow ALL: ALL: twist ( /usr/bin/echo -e "Intruso %a en puerto %d" )

Ejemplo 7:
Sistema abierto a la red local con reporte y cerrado al exterior con reporte:

#/etc/hosts.allow ALL: LOCAL: spawn ( echo -e "Acceso autorizado de %a por %d" ) & ALL: ALL: twist ( /bin/echo -e "INTRUSO! %a, usando puerto %d" ) &

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

4.2. TALLER CON TCPWRAPPERS

Se desean permitir algunos servicios e implementar un mecanismo de deteccin de intrusos en cada mquina Linux de los estudiantes. Cada mquina de los grupos de trabajo , deben permitir hacer telnet desde las mquinas de la misma fila exclusivamente ( desde ninguna otra mquina de la sala , ni de internet), pero se desea llevar un rastro de que mquinas han usado este servicio ( el rastro debe quedar en un archivo llamado /etc/rastrotelnet). Todos los dems servicios manejados por el xinetd no deben ser permitidos , y se desea dejar rastro de los intentos de las otras mquinas de utilizarlos en un archivo llamado /etc/intrusos).

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

4.3. FILTRADO CON IPTABLES INVESTIGACION Y EJERCICIO ) (TALLER DE

Leer documento PDF entregado por el docente, para entender el funcionamiento de las reglas de Iptables, para desarrollar el ejercicio planteado.

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES
Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeo firewall en una mquina Linux as: En la red hay 20 Pcs y dos servidores y se requiere que estos PCs y servidores pueden accesar internet sin requerir a un proxy.

Se desea implementar proxy transparente. A diferencia del punto anterior se desea colocar un proxy con su cache y restricciones de sitios web , pero que los usuarios no sepan de la existencia de este o deban hacer cambios en las configuraciones.
Las conexiones externas dirigidas al firewall por el puerto 80 , se deben dirigir internamente al servidor web por ese puerto.

4. PROTECCIN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES
Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeo firewall en una mquina Linux as: Las conexiones dirigidas al firewall para entregarle correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. Algunos usuarios pueden leer correo de forma encriptada desde el exterior de la red usando el outlookp con SSL. Las conexiones dirigidas al firewall para pedir correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. No se deben permitir ms conexiones ni servicios hacia adentro de ninguna clase ni hacia ninguna otra mquina .

5. SERVICIOS DE RED CON WINDOWS XP

CONFIGURACIN BASICA DE LA RED Y PARMETROS

5. SERVICIOS DE RED CON WINDOWS XP

CONFIGURACIN BASICA DE LA RED Y PARMETROS

5. SERVICIOS DE RED CON WINDOWS XP

CONFIGURACIN BASICA DE LA RED , OPCIONES DE FIREWALL BASICO

5. SERVICIOS DE RED CON WINDOWS XP

CONFIGURACIN BASICA
Para asignar o cambiar el nombre del computador, podemos hacer clic en las propiedades de MI PC y por la pestaa de Nombre de equipo utilizamos el botn Cambiar.

5. SERVICIOS DE RED CON WINDOWS XP

5.2 COMANDOS BSICOS TCP/IP PARA MONITOREO

5. SERVICIOS DE RED CON WINDOWS XP

5.3. SERVICIOS DE INTERNET (WEB)
Para realizar la configuracin de IIS 5.1, entramos por panel de control herramientas administrativas Servicios de Internet Information Server

5. SERVICIOS DE RED CON WINDOWS XP

5.3. SERVICIOS DE INTERNET

5. SERVICIOS DE RED CON WINDOWS XP

5.3. SERVICIOS DE INTERNET (FTP)

5. SERVICIOS DE RED CON WINDOWS XP

5.3. SERVICIOS DE INTERNET (SMTP)
El servicio de SMTP permite un servidor de correo electrnico virtual para el envi de mensajes de correo electrnico. Mas no ofrece buzones de correo y otras caractersticas propias de un servidor de correo. La conexin establecida por un cliente al servicio SMTP virtual es por defecto annima.

5. SERVICIOS DE RED CON WINDOWS XP

5.3. SERVICIOS DE INTERNET (SMTP)

5. SERVICIOS DE RED CON WINDOWS XP

5.4 TALLER Cambie el nombre del equipo y verifique que el cambio es reflejado cuando se utiliza el comando ping para resolver el nombre de la maquina. Verifique conectividad con otros equipos de la sala y resuelva el nombre de cada uno de los equipos. Cree una pagina web con el nombre de principal.htm y actvela como pagina por defecto del sitio web predeterminado. Esta pgina debe ser vista desde los otros equipos de la red. Cree tres carpetas en el raz del sitio ftp y en cada una incluya un archivo de texto. Verifique si es posible descargar estas archivos y como se presentan en la interfase grafica del Internet Explorer.