Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Practicas integrales
M de l
Manual
Practicas Integrales
REDES Con Imunes y Knoppix
d REDES
de
Nuestra filosofa: mxima flexibilidad,, mxima calidad a costos mnimos. Cuando hablamos de
flexibilidad, hablamos de poder hacer las practicas, en el laboratorio, en un cibercaf o en la casa; la
mxima calidad, tiene que ver, tanto con la potencia de los instrumentos que utilicemos, como con
la calidad de los instructivos con que contar el participante; los costos mnimos se derivan del
material que utilizaremos para implementar las practicas, de imunes un software de libre distribu-
cin, los CD-Lives que se recomiendan y los cables de conexin.
Este curso, se desarrolla a travs de 4 mdulos, tal como la muestra la figura 1, los mdulos
son :
Los protocolos ARP, ICMP, UDP,TCP, RIP, OSPF y otros, sern visualizados con ethereal.
Conectaremos maquinas reales con maquinas reales, maquinas virtuales con maquinas virtuales y
maquinas virtuales con maquinas reales.
Se configuraran
g mquinas
q reales y maquinas
q virtuales ppara qque acten como encaminadores.
Se introducir al software Quagga, que permite que una maquina linux trabaje como router RIP,
OSPF o BGP.
.
Prof. Andrs E. Castillo
Modulo 3: Servicios
Esta materia, la planteamos como una aventura en el mundo de las redes, que no solo le
dejar al estudiante una experiencia prctica, si no herramientas, como imunes y los CD-Live,
que le permitirn seguir experimentando, profundizando y modelando, por lo que la combi-
nacin de Imunes y los CD.Live, realmente significan un extraordinario laboratorio, de bajo
costo, altas
l prestaciones
i y mxima
i portabilidad.
bilid d
Imunes.
Knoppix.
Knoppix & Imunes.
Ethereal
Quagga.
Ultimate Boot CD forWindows.
Las interfaces de red.
Caractersticas de las practicas.
El material complementario
CD Lives
Material de estudio.
Imunes
Imunes es un software de emulacin-simulacin desarrollado en Croacia, en la Universidad de Zegreb. Su
nombre es un acrnimo de Integrated Multiprotocolo Network Emulation Simulation, podramos
traducirlo como Simulador Emulador de redes, multiprotocolo.
Un aspecto importante, es que todas las maquinas virtuales de imunes, comparten el mismo sistema de
archivos, esta condicin es potencialmente problemtica, ya que por ejemplo, los servidores requieren de
archivos de configuracin, y dos servidores de la misma clase, utilizaran el mismo archivo de confi-
guracin, sin embargo la utilizacin de enlaces simblicos, permitir diferenciarlos adecuadamente.
Con la versin de imunes, viene una gran cantidad de programas, tales como ping, ifconfig, netstat, route,
routed, traceroute, openvpn, openssh, httpd, dhcpd, named, tcpudmp, nmap, ipfw, akpop3, natd, top, netnet-
snmp, quagga, ethereal y algunos otros. Todos los programas que mencionamos, son programas de redes,
necesarios en cualquier ambiente de practica de redes y en ambientes de produccin.
Un aspecto importante, es que el IUETLV, hemos avanzado significativamente en el uso de imunes, hasta el
punto de haberlo remasterizado y obtener versiones, con practicas y montajes incluidos, con el lector pdf que
trae imunes, se pueden leer las practicas.
Imunes en si mismo, es
sencillo. La clave de i-
munes es conocer Li-
nux, por que todos los
comandos que se ope-
ran en imunes, son co-
mandos linux que se
activan desde la con-
sola de cada mquina.
Puede verse en cada consola, que las maquinas PC, en el ejemplo la maquina mm, viene con el shell
bash, la pantalla del servidor dnsTel viene con bash, inetd y portmap y que la maquina que representa al
router viene en esta caso con los programas ripd y zebra, veremos mas adelante, que esto est en
relacin directa con el programa Quagga de ruteo.
Porque Knoppix?
Escogemos Knoppix, por una serie de ventajas especificas, sin embargo, esto no invalida, que las practicas
puedan ser realizadas con otras distribuciones en CD-Live, o montadas normalmente en discos duros, pero
nosotros, estamos detrs de unas herramientas flexibles, que puedan utilizarse en el laboratorio o en casa, nos
interesa que sea tipo CD-Live, por que el CD-Live es un sistema autnomo, donde cualquier cambio que se
haga, ni afecta al CD-Live ni afecta a los posibles sistemas operativos que tenga la maquina donde opere el
CD-Live.
Knoppix tiene una serie de ventajas concretas:
Reconoce una variedad muy amplia de hardware, konoppix quizs sea el CD-Live que mas hardware
reconoce y por lo tanto corre en un gran nmero de tipos o marcas de maquinas.
Knoppix tiene versin en castellano.
Knoppix viene en versin CD-Live y en versin DVD.
Se cuenta con una gran variedad de programas, en especial servidores: Apache, Bind9, DHCP3, Samba,
openSSH, openVpn, iptables, ftpd, net-smnp, Squid. Estos programas tienen extenso uso en internet, por
lo que las practicas se realizan , con elementos cotidianos de la realidad de las redes.
Knoppix viene con el manejador de ventanas KDE.
Se cuenta con algunos programas clientes tales como Konkeror, Firefox y Kmail, por los que sern
complementos para practicas con imunes.
Viene
V con ethereal
h l o con wireshark,
h k analizadores
l d d protocolos
de l adecuados
d d para lasl practicas de
d redes.
d
Con Knoppix e imunes, podemos realizar practicas de maquinas reales con maquinas reales, maquinas
virtuales con maquinas virtuales y maquinas virtuales con maquinas reales.
Knoppix 4.01 consume menos recursos, pero tiene los programas que nos interesan, por eso lo escogimos
para nuestras practicas, en nuestras maquinas, que tienen restricciones de memoria ram.
Knoppix e Imunes
Es posible, realizar practicas con imunes y con Knoppix combinados. En estas practicas, trabajaremos con
maquinas reales y maquinas virtuales, podemos decir que tendremos las ventajas combinadas de dos mundos
el virtual y el real. La ventaja
j de lo virtual, es la reduccin drstica del nmero de elementos, las de las
maquinas reales, nos permitir tocar tierra, por que tendremos maquinas reales con conexiones reales.
Una experiencia importante, es comprobar la conectividad, y constatar, que un analizador de redes, no
distingue las maquinas reales de las virtuales.
ethereal
Ethereal es un analizador de protocolos, con inter-
face grafica de usuario.
2 La ventana 2, presenta informacin estratificada por capas, permite ver capa por capa y
campo por campo el valor asociado, cada segmento de informacin que es seleccionado,
se remarca visualmente en la trama 1, de esta manera, el usuario sabe con exactitud qque
parte de la trama se est estudiando. Nosotros la llamamos la ventana pedaggica.
3 Esta ventana presenta cada trama, en un sola lnea, dando una serie de parmetros , que
permiten realizar anlisis de cada trama, aqu puede ver la configuracin por defecto, donde
se muestra el correlativo de la trama, un timestap o marca de tiempo, la IP de destino y la
IP fuente, el tipo de protocolo (en este caso es ICMP) y comentarios. Es posible para el
usuario, cambiar la informacin y el orden en que aparece.
En imunes, se puede abrir tantas ventanas ethereal como se quiera, Knoppix tambin viene con
ethereal.
Prof. Andrs E. Castillo
Quagga
Quagga es un surtido de programas(suite), que trabajan juntos, convierte un maquina en Unix o en
Linux,en un router, uno de los Unix, para el cual se dise especialmente Quagga es para FreeBSD;
recuerde que imunes corre en este sistema operativo.
El proyecto original se llama Zebra, Quagga se deriva de Zebra y es el nombre con el que actualmente
se le conoce
conoce, aunque cuando uno va a la arquitectura de Quagga,
Quagga aparece el nombre zebra,
zebra ya que este
es el programa principal, y es el que gobierna la actuacin de los otros demonios, de la suite.
En la actualidad se cuenta con una gama de software de virtualizacin, tales como VMware, VirtualBox,
Qemu,VirtualPC, Xen y otros.
Los creadores de imunes, ofrecen una imagen virtual, para operar con VMware un software de virtua-
lizacin muyy importante,
p , qque ofrece un pproducto ggratuito denominado VMPlayer
y y qque hace pposible,,
correr imunes en ambiente Windows, con conectividad total, ya que el software posibilita el enlace de los
perifricos de la mquina anfitrin con el sistema operativo invitado.
En los CD, que acompaan, a este trabajo, encontrar aVMPlayer y a IMUNES Vmware image 20.4.2006.zip.
Tambien encontrar la imagen iso del CD. Esta imagen corre muy bien desde VMware WorkStation o desde
VirtualBOX o de Qemu.
Con VMPlayer WorkStation 1GB o ms de memoria, es posible correr simultaneamente, imunes, y una o dos
maquinas Knoppix, al mismo tiempo, lo que le permitir tener un laboratorio completo en su Laptop.
Ultimate Boot CD for
Windows
El ultimate Boot CD for Windows, es un CD-Live de Win-
dows XP.
Aparte de las grandes prestaciones que este CD-Live brinda, para nosotros es una herramienta para integrar
practicas en donde intervenga Windows, esto por que esta distribucin reconoce el hardware de red, trae internet
explorer y viene con el mdulo de IP instalado, por lo que perfectamente se pueden hacer pruebas de conecti-
vidad desde el Ultimate Boot,
Boot usando el comando ping.
ping
En el laboratorio de red, todas las maquinas traen por lo menos dos interfaces, con esta se logra que
cualquier maquina pueda configurarse como router o como firewall y tambin permite, que imunes se
interconecte con mas de una red simultaneamente.
Caso Laptop
Ethernet PCMIA
En el caso de las laptop,
p p qque yya vienen con una interfaz,
se pueden ampliar o con tarjetas de red PCMIA o con tarjetas
de red con adaptador USB. En ambos casos d muy buenos
resultados.
Ethernet USB
ethereal
conectividad
Le recomendamos utilizar el comando man ifconfig, desde knoppix, ya que est en castellano y por
que es muy til, tener la mxima familiaridad.
Para asignar la direccin IP, se utiliza el comando ifconfig, el nombre de la interface y la mascara.
En freeBSD, el sistema donde corre imunes, las interfaces, se designan con unas letras,
que tienen que ver con un cdigo asociado a la marca y un correlativo asociado,Por
ejemplo: xl0, lnc0.
En Linux, las interfaces se designan con eth y un correlativo, ejemplo eth0, eth0, eth1.
En freeBSD, las direcciones Ip y las mascaras, se expresan con una direccin IP notacion
decimal punto una barra y el numero de bits asociados a la red, ejemplo 201.20.2.1/24.,
en linux: la direccin IP y la mascara van en notacin decimal punto, ejemplo 201.20.2.1.
netmask 255.255.255.0
Las pruebas de conectividad son bsicas, tanto en el contexto de estas practicas, como en el contexto
de situaciones reales.
Una de las herramientas mas accesibles, tiles y facil de usar, en el mundo de las redes, es el comando
ping, con este comando, se puede lanzar un ping, desde cualquier maquina a cualquier, maquina, y si hay
respuesta, entonces existe comunicacin entre las dos maquinas, y la comunicacin es bidireccional, ya
que el proceso del ping, implica el lanzamiento de una trama de peticin de respueta (request) y una
trama de repuesta (replay), le recomendamos utilizar en knoppix, el comando man ping, ya que este
est en castellano, y le permitir saber como modificar el comportamiento de este comando, como por
ejemplo, limitar el nmero de tramas, de request, aumentar o disminuir el tamao de la carga que lleva
la trama.
IMPORTANTE
En estas practicas, le pediremos que asegure, la conectividad de la red.
Esto va a implicar, que ud realice la configuracin de todas las interfaces, asigne todas las
direcciones de compuertas predeterminadas o de default, se asegure que los ruteadores
estn activos, que todas las maquinas en cada red, pertenecen a esa red.
La prueba de conectividad,
conectividad que usaremos siempre,
siempre la haremos a travs del comando ping,
ping
deberemos lanzar entre comando, en todas y cada una de las maquinas, para asegurarnos
que las maquinas se comunican entre s.
Monitoreando la red.
Como cualquier otra disciplina tcnica, se requiere del monitoreo de las actividades y medicin de los
pparmetros de inters.
Es importante que el practicante de redes, se acostumbre a usar monitores de actividad, nosotros tendremos a
disposicin dos de ellos, tcpdump y ethereal. La diferencia fundamental, es que el primero, es un comando
orientado a consola y ethereal es un programa con interfaces grfica muy amigable al usuario, sin embargo las
limitaciones, de memoria, que puedan tener las maquinas donde actuemos, nos obligarn a usar el comando
tcpdump.
tcpdump
ethereal
tcpdump,
d tiene
i varias
i opciones,
i le
l recomendamos
d las
l opciones
i i,
i n, x e que son para elegir
l i lal iinterface,
f lla
eliminacin de requisicin de nombre de dominio, imprimir el paquete en forma hexadecimal y agregar la
cabecera de enlace de datos.|
Ejemplo, monitoreando con tcpdump desde eth0
tcpdump x n i eth0
Consola de comandos
Propsitos
Utilizacin de la caja de dialogo de la maquina virtual.
Utilizacin de ifconfig para asignar direcciones IP.
Activacin de un ethereal, (ethereal es un monitor de red, con interface grfica de usuario), para monitorear
la actividad de la red.
Utilizar tcpdump para monitoreo de la red.
Lanzar el comando ping, para pruebas de conectividad.
Elementos de la practica
Una PC
Un CD-Live de imunes
2 PC virtuales.
Comando ifconfig
Comando tcpdump
Comando ping
El software ethereal.
Procedimiento
Lanzar imunes.
Utilizar dos maquinas virtuales (modo edit).
Unir las maquinas con un link.
En el men view desactivar la presentacin de direcciones IP.
Pasar a modo, execute.
Asignar las direcciones IP 200.10.2.1/24 y 200.20.2.2, utilice ifconfig.
En pc0 ifconfig eth0 200.10.2.1/24
En pc1 ifconfig eth0 200.10.2.2/24
Abrir una consola en pc1, y lanzar el comando tcpdump x n i eth0
Abrir la caja de dialogo asociado con pc1 y lanzar ethereal.
Abrirle una consola a pc1, y lanzar un ping a la maquina pc2.
Desde pc0: ping 200.10.2.2
Observe las lecturas de la consola desde donde se lanz ping en pc1, la ventana grfica de ethereal y la
ventana tcpdump.
Tenga en cuenta que la palabra request, podemos interpretarla como solicitud y la palabra reply, como
respuesta. Utilice
U ili esta conocimiento,
i i para ddeducir,
d i utilizado
ili d ethereal
h l y tcpdump,
d quien
i llanz ell ping.
i
Podemos desactivar una interface, con el comando ifconfig y con la opcin down, en pc1 utilice este
comando: ifconfig eth0 down, y note como desaparecen las tramas replay, porque la interface no
responde. Para activarla simplemente utilice ifconfig eth0 up
TIPS
ifconfig permite conocer varios parmetros de la interface, como son la direccin MAC, la direccin IP, la
mascara de red, el estado de la interface (UP o DOWN), incluso, las direccin bajo el protocolo IPv6, y
tambin el parmetro MTU, que se corresponde con la mxima carga en Bytes que la interface puede
transmitir o recibir.
A
Acostmbrese
b a usar ifconfig
if fi
Actividades
Monte esta practica, siguiendo todos los pasos.
Elabore una breve resea de la practica y su montaje y agrguele sus comentarios, sus conclusiones y sus
recomendaciones.
recomendaciones
Anlisis de tramas
Montaje 1
Objetivo
Reconocer los cabeceras ethernet e IP de una trama TCP/IP.
Comparar
C ethereal
th l y ttcpdump
d
Elementos
Imunes
2 PC
Ethereal.
Tcpdump con las opciones xx nn ee
Procedimiento
Actividad
Identifique cabeceras y campos de ethernet y de IP.
Compare la data que ofrece ethereal y la que ofrece tcpdump.
tcpdump
Haga su informe.
Bsico con maquinas reales
Propsitos de esta practica
Elementos de la practica
2 maquinas PC, con tarjetas ethernet.
1 cable cruzado.
Comandos
d ifconfig,
f f ping y tcpdump.
d
Programa ethereal.
Procedimiento
Conecte las dos maquinas, como lo muestra la figura superior.
Utilice cable cruzado,
cruzado para la interconexin.
interconexin
Asigne las respectivas direcciones IP a cada maquina,.
Abra dos consolas por cada maquina, en una de las consolas utilice el comando tcpdump, en la
otra utilice el comando ethereal&
Lance un ping desde la maquina 134.2.3.1 hasta 134.2.3.5.
Compruebe conectividad en tcpdump y en ethereal.
Bsico con maquinas reales y
virtuales.
Asignar
g una direccion IP, a la maquina Knoppix, que pertenezca a la misma red, que la maquina Imunes.
Interconectar, via cable cruzado, las maquinas imunes y Knoppix.
Abrir tcpdump n t, en una consola de PC1 en imunes.
Abrir ethereal, desde consola raiz, en Knoppix.
Lanzar un ping desde Knoppix a PC1 en imunes,
Comprobar respuesta y lecturas en tcpdump y en ethereal.
Para el ping, (via ctrl C).
Enviar un ping ddesde
d PC1 Imunes a Knoppix.
Anlisis y conclusiones
Es importante que haga una breve resea de esta experiencia y le agregue sus comentarios, conclusiones y
recomendaciones
Concentradores
y
Conmutadores
PARTE 1: El concentrador
Duracion: 30 minutos.
Herramientas
Una PC
CD-Live Imunes.
Programa ping.
Programa tcpdump
Preliminares
tcpdump
Direccin y mascara IP
Montaje part 2
Procedimiento parte 2
brale consolas a PC1,
PC1 a PC2 y a PC3
PC3.
En la consolas de PC2 y PC3, lance el programa tcpdump n t.
Desde la consola de PC1, lance el programa ping con la direccin IP de PC3.
Anlisis y conclusiones
Elabore y entregue un breve informe, donde aparezcan los montajes, sus anlisis y conclusiones,
y debe entregarlo antes del final de la sesin de laboratorio.
Elementos:
4 maquinas virtuales. Duracin: aproximadamente 20 minutos.
3 switch.
1 concentrador
1 imunes
1 maquina real.
Objectivo:
Simular la operacin de un switch o conmutador, con puerto de monitoreo.
Los switcher,, comunes,, ppermiten la conexin directa entre ppuertos,, y esto redunda en un aumento del
trfico en la red, algo que es positivo; sin embargo, los dispositivos de monitoreo quedan restringidos en su
alcance.
Con la conexin que se sugiere, PC4, PC5 y PC6, ven un switch y por lo tanto, cada una de estas
maquinas solo vern tramas broadcast ARP y tramas que tengan como destino, la respectiva direccin IP. Sin
embargo, MONITOR, ver todas las tramas.
Utilice, tcpdump n, en PC5, PC6 y MONITOR, lance un ping desde PC4 a PC5, y luego de PC4 a
PC6, observe las salidas en los diferentes tcpdump de PC5, PC6 y MONITOR y si est trabajando con ms
de 128 MB de RAM, utilice tambin a ethereal.
Practica integrales
Activacion Router
en
maquinas
q linux y freebsd
El router es a las redes, como un distribuidor es al sistema vial, UD se cambia de vas, es a
travs de un distribuidor, un viaje largo implica tomar distintos caminos, el pase de un
camino a otro, de una va a otra, es a travs de un distribuidor.
De la misma forma una trama sale de una maquina que pertenece a una red, hacia otra
maquina que pertenece a otro red, d eso significa,
f que la
l trama deber
d b cambiarse
b por lo
l
menos una vez, de red. Cada pase de una red a otra implica pasar por un router, el cual toma
la trama por una de sus interfaces y la libera en otra de sus interface, cada interface del
router debe pertenecer a una red diferente.
andrs e. castillo r.
Activar una computadora Linux como Router
Knoppix
10.0.0.1 10.0.1.1
255.255.255.0 255.255.255.0
fig 1
Objetivo de la practica.
Activar una maquina Linux como router.
Utilizar analizadores de protocolos, en el manejo de pruebas en redes.
Analizadores
Ethereal tcpdump, dependiendo de la memoria disponible.
Notas
Ifconfig, funciona ligeramente distinto en linux y en FreeBSD (sistema operativo, donde acta imunes.
Por ejemplo para asignar IP: 20.0.0.1 mascara 255.255.255.0
En Knoppix: ifconfig 20.0.0.1 netmask 255.255.255.0
En imunes: ifconfig 20.0.0.1/24.
Montaje
El montaje es como el de la fig.1.
P
Procedimiento
di i t
Conectividad
Para asegurar la conectividad, tiene que comprobar que ud puede lanzar ping, entre las maquinas de la
misma red y en este caso tambin, con la maquina knoppix.
Para asegurar que cuando deseamos lanzar tramas, a maquinas fuera de la red a la que pertenece
nuestra maquina, es necesario, que exista la asignacin de compuerta predeterminada, que en esta
caso ser la direccin IP, que le presenta el router a cada red.
La asignacin de compuerta por defecto, se hace con el comando route, ejemplo de asignacin de
compuerta predeterminada o por defecto para la maquina pc0:
En pc0: route add default gw 10.0.0.1
Este mismo procedimiento, debe hacerse para todas y cada una de las maquinas que no sean router.
Pruebas
Despus de asegurarse la conectividad en cada una de las redes del montaje, active ethereal o
tcpdump, en cada lado.
Asegrese con sysctl w net.ipv4.ip_forward=0, que knoppix no pueda rutear.
Lance un ping de pc0 a pc2,
pc2 y compruebe que si el ping sale de la maquina y si el ping atraviesa al
router.
Cambie el flag de ruteo a 1, con sysctl w net.ipv4.ip_forward=1.
Examine el analizador de protocolos.
Fig 2.
Objetivo de la practica.
Activar una maquina virtual como router.
Utilizar analizadores de protocolos, en el manejo de pruebas en redes.
Elementos de la practica.
Equipamiento
Una maquina con imunes.
4 Maquinas virtuales.
2 concentradores.
Analizadores
Ethereal tcpdump,
p p, dependiendo
p de la memoria disponible.
p
Nota:
Ifconfig, funciona ligeramente distinto en linux y en freeBSD (sistema operativo, donde actua imunes. Por
ejemplo para asignar IP: 20.0.0.1 mascara 255.255.255.0
En Knoppix: ifconfig 20.0.0.1 netmask 255.255.255.0
En imunes: ifconfig 20.0.0.1/24.
Montaje
El montaje es como el de la fig.2.
Procedimiento
Conectividad
Para asegurar la conectividad, tiene que comprobar que ud puede lanzar ping, entre las maquinas de la
misma red.
Para asegurar que cuando deseamos lanzar tramas, a maquinas fuera de la red a la que pertenece nuestra
maquina, es necesario, que exista la asignacin de compuerta predeterminada, que en esta caso ser la
direccin IP, qque le ppresenta el router a cada red.
La asignacin de compuerta por defecto, se hace con el comando route, ejemplo de asignacin de
compuerta predeterminada o por defecto para la maquina pc0:
En pc0: route add default 10.0.0.22
Este mismo procedimiento, debe hacerse para todas y cada una de las maquinas que no sean router.
Estrategia bsica:
Configurar una maquina como router y asignarle dos IP a la misma Tarjeta de Red, a las
demas maquinas, de la red, asignarle como ruta de default, la IP del router, que se
corresponda con su respectiva direccin de red.
Para Router: agregarle la IP 50.0.0.21, con ifconfig eth0 50.0.0.21 alias
volverlo router: sysctl w net.inet.ip.forwarding=1
P PC0 y PC2:
Para PC2 routet adddd default
d f lt 10
10.0.0.21
0 0 21
Para PC1 y PC3: route add default 50.0.0.21
DHCP
DNS
NAT
HTTP
FTTP
INET
PROXY
VPN
Los servicios en Internet, se basan en servidores y estos servidores, requieren de clientes que le reclamen
servicios, nos encontramos con una relacin asimtrica: la arquitectura cliente servidor y en determinados
pprotocolos, qque rigen
g el comportamiento
p de los programas
p g de estos dos elementos
La arquitectura Cliente-Servidor
En internet la funcionalidad es distribuida, y es asimtrica, se reparte, en programas que fungen como
peticionarios de servicios y como programas que actan prestando el servicio.
Aunque perfectamente, pueden coexistir programas clientes y servidor en una misma maquina, lo normal
es que los clientes estn en maquinas separadas en una misma localidad o geogrficamente, y sean muchos y
que el servidor sean menos y por lo general tengan respaldo, de manera que si dejan de prestar servicios,
sean relevados automticamente.
Entre los diferentes tipos de servicios, que se prestan en internet, podemos identificar algunos que son
muy comunes, tales, como DHCP, DNS, NAT, HTTP, FTTP, SNMP, PROXY, dejaremos otros servicios
para describirlos en la seccin servicios Intranet.
De los servicios que nombramos anteriormente, algunos son de infraestructura y otros son de manejo de
contenidos;
Servicios de Infraestructura
Entre los de infraestructura tenemos a DHCP, a DNS y a NAT; DHCP asigna direcciones IP a la demanda,
DNS traduce direcciones de nombre de dominio
dominio, NAT traduce direcciones IP privadas a pblicas y
viceversa.
Entre los servicios de manejo de contenidos, tenemos a HTTP, FTP, SMP; HTTP entrega paginas web a la demanda, ftp
transfiere
f archivos a o desde el servidor , SNMP transporta p correos electrnicos. Hoyy ppor hoy,
y estos tres servicios son la
base de la utilizacin masiva de Internet. Existen otros servicios, que cada vez tienen mas importancia, que van desde
video a la demanda, voz sobre IP, servicios de transferencia de archivos entre iguales (P2P) y muchos mas, este manual se
involucrar solo con los servicios clsicos de Internet buscando que sus usuarios desarrollen una idea completa, funcional
y operativa de Internet, que sirva como base ulteriores ampliaciones de este conocimiento, en las reas de los nuevos
servicios.
Montando BIND en Knoppix
para servicio DNS en IMUNES
S id BIND9
Servidor
Servicio de nombres
Lanza el demonio named
Red: 192.160.0.0
Masc. 255.255.255.0
dns
192.168.0.3
Fig 1 Montaje
est01.telecom.net.ve 192.168.0.1
est02. telecom.net.v 192.168.0.2
dns. telecom.net.ve 192.168.0.3
www. telecom.net.v 192.168.0.4
Nota:
En esta practica ud, utilizar el editor de texto vi; se invoca en la consola como:
sudo vi nombre-archivo-a-modificar.
Para comenzar a modificar, agregar texto, utilice antes la tecla INSERT.
Cuando haya terminado y quiere salir del editor, pise la tecla ESC, luego :wq
los dos puntos indican que viene un comando de editor, la w, quiere decir que escriba las
modificaciones y la q, que salga del editor, si quiere salir sin modificar, pulse ESC :q
/etc/bind/named.conf /etc/bind/named.conf.local
Adems hay que agregar el archivos /etc/bind/named.conf.local, con la informacin que se detalla
mas adelante.
Para named.conf:
sudo vi /etc/bind/named.conf
Para named.conf.local:
sudo vi /etc/bind/named.conf.local
Para utilizar comandos de administrador como ifconfig
1. Anteponer la palabra sudo
2. utilizar una consola raiz.
Nota:
Esta practica, utiliza el paquete Bind9, que lanza el servicio de
nombre de dominio, cuyo demonio es deno-minado named.
Bind9 es uno de los paquetes ms utilizado en el mun-do Internet,
su utilizacin sobrepasa el 60% de las ma-quinas DNS del mundo.
Configurando a est01, est02 y www, para resolucin de
nombres.
nombres
Debe crear en los archivos temporales asociados con las maquinas virtuales imunes, un directorio
etc y un archivo resolv.conf.
El directorio se crea con mkdir, as por ejemplo, si el diretorio temporal de est01 fuese e0_n1,
entonces, ud haria mkdir /tmp/etc
El archivo lo puede crear con vi, por ejemplo:
vi /tmp/e0_n1/etc/resolv.conf
Coloque el siguiente comando y salga de vi.
nameserver 192.168.0.3
H l para est01,est02
Hgalo 01 02 y www
El servidor
d http,
h busca
b los
l archivos
h html,
h l en /usr/local/www,
/ /l l/ compruebeb que este directorio
d
alberga un enlace simbolico al directorio, de la maquina virtual, donde est el servidor dhhtpd
que este invocando esta pagina.
Si el enlace existe, ud podr comprobarlo, haciendo:
cd /usr/local/www y luego ls l.
Si aparece data -> /tmp/@/www, existe el enlace y siga adelante.
Si no aparece: cree el enlace simbolico con:
ln s data /tmp/@/www
Utilice vi o nedit, segn lo permita la versin de imunes con que est trabajando, para crear y
colocar una pagina web, ver fig. 2
Lance dhttpd, a travs de una consola de www.
<HTML>
<HEAD>
<TITLE>
PRUEBA CON EL SERVIDOR WWW
</TITLE>
/TITLE
</HEAD>
</BODY>
ESTA PAGINA ES PARA PROBAR EL SERVICIO HHTP
Observa las tramas dns? Estas son tramas de consulta que est01 le lanza a la maquina dns, para
que el dns, le conteste cual es la ip asociada a este nombre (est02.telecom.net.ve).
Desde est011 y est2, utilizar el navegador links, y comunicarse con la maquinas www.telecom.net.ve
M
Monitorear con ethereal
h l o con tcpdump
d
Discusin de Grupo
Materiales
2 ordenadores
1 CD-Live de Knoppix
1 CD-Live de imunes.
1 cable crossover.
Descripcin de la practica
Se trata de integrar un ordenador real, a la red virtual de imunes de la figura 1. El ordenador real
utilizar knoppix, se configurar, para que pueda ser una maquina ms de la red local, en donde est la
maquina mm, con el mismo servidor dns y la misma direccin de compuerta predeterminada que tiene
la maquina mm.
Se activarn, utilizando el script start_www, dos servidores http, denominados www y zpmMail,
cuyos
y nombre de dominio completo p son www.tel.fr.hr y zpmMail.zpm.fer.hr.
p p
Desde knoppix, podr activarse el navegador Konqueror o el Mozzila Firefox, y a traves de
http://www.tel.fr.hr, acceder a una pagina web del servidor www.
Instrucciones
Al esquema de la figura 1, agregarle un conector RJ-45, el cual enlazar, con una tarjeta de red de la
maquina, que soporta imunes.
Asegrese, con imunes est en el modo execute.
Abra
b una consola l principal,(XTERM).
l
Cmbiese con el comando cd, al directorio en donde estn los scripts, start_dns, y start_www.
cd EXAMPLES/mm/DNS
Lanzar los servidores DNS, a travs del script start_dns
Lanzar el servidor de paginas web (httpd), a travs del script start_www.
Instalar Knoppix en un 2do ordenador, y conectar a travs de un cable crossover, ver fig. 2.
Configurar en knoppix; la direccin IP,
IP la mscara,
mscara la direccin IP de la compuerta por defecto y la
direccin IP del servidor de dominios DNS.
Configurar IP en Knoppix.
Sea x.x.x.x una IP adecuada para conectarse a la red donde opera mm.
Sea m.m.m.m la mscara de esa red.
Sea ethx la interface que se utilizar en knoppix.
Utilizar sudo ethx x.x.x.x netmask m.m.m.m
Probar lanzando un ping con el IP de la maquina mm.
Informe
Resea + comentarios + conclusiones + recomendaciones.
Prof: Andrs E.Castillo
inetd Poniendo en evidencia como trabaja inetd
15 minutos
Fig 1. montaje
Fig 2. inetd.conf
Inetd es un proxy de servidores, es decir el atiende las llamadas al servidor y lo despierta. El servidor realiza el servicio y se vuelva
a dormir.
Para que inetd reaccione cuando se requiera algn servicio en particular, el servicio debe aparecer en su archivo de configuracin
(inetd.conf), por lo general en este archivos estn todos los servicios, y la activacin para inetd, requiere que la lnea donde aparece
el servicio, no este comentada.
Requerimientos:
1 CPU, 1 imunes comandos ftp y top.
Pasos:
Montar el circuito de la figura: un servidor y un PC, y active la simulacin (botn execute), abrale una consola al servidor y con
el comando top, compruebe que esta activo, el demonio inetd.
Compruebe que el servicio ftp, esta activo para inetd, ver archivo de configuracin inetd.conf, si aparece el signp #, eliminelo.
Lance desde la pc, el comando ftp con la direccin ip del servidor, para el caso de la figura 1, sera:
ftp 10.0.0.10
Compruebe en la consola abierta en el servidor y donde se activ el comando top, que aparece el demonio
ftpd, y en la consola de la pc, haga control-c y verifique que en la consola del servidor en la salida top,
desaparece del listado el ftpd, es decir que se desactiva, reptalo por lo menos una vez ms, hasta confirmar que
el ftpd se activa solo temporalmente. Desactive inetd, con kill, en este caso kill -9 4537 (4537 es el nmero que
identifica a inetd), y repita estos pasos.
SQUID un proxy WEB
Objetivo
Aprender Proxy WEB a travs de practicas de Instalacin, configuracin y monitoreo de Squid.
Cliente WEB
Knoppix
Firefox o Konqueror
q
Servidor Proxy
Squid
Knoppix @IP: 10.0.20.6/24
Eth0: @IP: 10.0.9.5/24
Eth1:@IP:10.0.20.1/24
@DNS: 10.0.9.2/24
10 0 9 2/24
Maquina Imunes. @IP compuerta:
Instalar Imunes. 10.0.9.1
Modo Edit.
Abrir archivo y conectar con tarjeta ethernet real:
Abrir el archivo DNS.imn.
Instalar un conector RJ45.
Abra una consola principal y con ifconfig para conocer
las interfaces y los nombres que les asigna freeBSD.
Con la caja de dialogo configure, asgnele una interface
real al conector RJ45.
Conctese al concentrador.
Modo Execute
A
Activar DNS
DNS.
Cambie de directorio:
cd /mem/root/EXAMPLES/mm/DNS
Inicie DNS y HTTP con:
start_dns
start_www.
Squid
Antes de lanzar Squid, primero, definamos las ip que pueden usar el servicio: Se logra en dos pasos:
Crear una lista.
Aplicarle a la lista una directiva, tipo allow.
Llamaremos a la lista clienteWeb y designaremos la maquina que puede tener acceso al servicio proxy a la
maquina 10.0.20.6, que es la maquina donde usaremos el explorador (Konqueror y/o Firerfox) y usaremos la
directiva http_access.
El archivo a modificar es squid.conf, ubicado en el directorio /etc/squid.
Las ordenes a insertar son:
son
lista de control: acl clienteWeb src 10.0.9.6/255.255.255.255
Directiva http_access: http_access allow clienteWeb
Utilice vi sobre el archivo squid config: sudo vi /etc/squid/squid.conf
Note q
que el archivo squid.conf,
q est internamente dividido en zonas: Localice la zona de acl y la zona de
http_acces, para insertar estas directiva.
Cliente WEB
M it
Monitoreando
d Operacin
O i dde Squid
S id
Abra ethereal, en el servidor proxy, y en filtro coloque http, con el fin de ob-servar solo las
tramas de acceso a servicio WEB.
Abra desde firefox o Konqueror, las paginas www.tel.fer.hr y zpmMail.zpm.fer.hr
Compruebe con ethereal, las distintas acciones y el orden en que se comunican.
Con quien se comunica la maquina clienteWEB.?
De quien recibe la peticin los servidores.?
Medite las preguntas y las repuesta.
Cliente WEB
Knoppix
Firefox o Konqueror
Concentrador
Maquina Imunes.
Instalar Imunes.
Modo Edit.
Abrir archivo y conectar con tarjeta ethernet real:
Utilizar PC y concentrador y conector RJ45.
Configurar conector RJ45:
Abra una consola principal y con ifconfig para conocer
las interfaces y los nombres que les asigna freeBSD.
Con la caja de dialogo configure, asgnele una interface
real al conector RJ45.
Conctese al concentrador.
Modo Execute
A
Activar FTP
Activar en PC, mediante consola a ftp, con:
/usr/libexec/ftpd D
Crear uno o varios usuarios con el comando adduser.
Fig. 4 Pantallas donde se muestran los comandos de ayuda tanto desde ftp imunes, como
desde ftp imunes.
EL comando, para transferir un archivo desde la maquina remota (la que tiene el servidor ftp), a la
maquina
i cliente
li t (d(desde
d ddonde
d se iinvoca a ft
ftp)) es get.
t
get nombre_archivo
adduser con la opcin s, se limitar a pedir los datos esenciales, en este caso solo
i t d i
introduciremos para llas opciones
i username, ffull
ll name, home
h di t
directory y passwd,
d de
d las
l
dems opciones, tomamos la opcin por defecto.
Uno puede considerar a ftp, como un control remoto de computadora, que lo introduce en
una cuenta de un usuario particular o del usuario que es annimo.
Los Montajes
Red Domestica .
Red Empresarial
Proveedor de Servicios Internet.
Red Internet, con dos ISP, dos conexiones
domesticas, tres empresariales, dos
servidores web independientes y 2
servidores FTP.
VPN-Red Privada Virtual.
VPNs
Redes privadas virtuales con OpenVPN
Estrategia
Se aprovecha que imunes viene con OpenSSL y con OpenVPN, para montar una red virtual, basada en OpenVPN, con
los servicios criptograficos apoyados en OpenSSL.
Componentes de la practica
Fsicos
1 Computadora.
1 CD de imunes
Paquetes Software
OpenVPN
OpenSSL
Comandos generales unix/linux
cp copiar.
rm remover archivo
mv mover archivo
mkdir crear diretorio.
find / -name archivo_a_buscar.
ln s creacin de archivos simbolicos.
Comandos openssl
openssl req - para crear requisiciones de certificados ,claves privadas y el certificado raiz que emite la
autoridad
t id d certificadora.
tifi d
openssl ca - para crear certicados a partir de los archivos de requisicin de certificados.
openssl dh para generar las claves, para la transacin Diffie-Hellmann.
Montajes
Ver fig 1. Partes de la practica
Parte I VPN con encriptacin simtrica.
Parte II - VPN con clave pblica,
pblica Diffie
Diffie-Hellmann
Hellmann y certificacin.
Cargar el montaje
En algunas versiones de imunes, el montaje de la figura 1 se localiza en:
/root/EXAMPLES/mm/OpenVPN-example1.imn
Si nolo encontrare, hagalo manualmente.
Una forma de activar las interfaces tun es utilizando el comando openvpn, invocndolo desde freebsd,
utilizaremos tun0 y tun del sistema operativo y se las asignaremos a las maquinas host5 y pc7, del montaje, estas
maquinas sern los extermos del tunel
maquinas, tunel.
En el montaje de la fig 1, host5 tiene asociado el directorio /tmp/e0_n5 y pc7 el directorio /tmp/e0_n7. Para
comprobarlos utilice el comando vimage, en ventanas asociadas a estas maquinas (pc7 y host5)
cp /tmp/claveSCRT /tmp/e0_n7/claves
cp /tmp/claveSCRT /tmp/e0_n5/claves
Copiar la clave secreta a cada uno de los diretorios (En condiciones reales se envia protegido en una canal SSH o
por medios fsicos, sea consciente que debe evitarse sea conocida por terceros.
Seleccin de IP.
A pc7 se le asigna la IP 10.0.4.1 a tun1, ntese que la IP de eth0 es 10.0.9.1
A host5 se le asigna la IP 10.0.4.2 a tun0, ntese que la IP de eth0 es 10.0.7.2
Probar
b con ping, desde
d d ambosb extremos alternadamente,
l d utilice
l ethereal
h l o tcpdump
d .
Desde pc7
ping 10.0.4.2 y ping 10.0.7.2, perctese y de cuenta de la diferencia que se observa en tcpdum o en ethereal.
Desde host5
ping 10.0.4.1y ping 10.0.9.1, perctese y de cuenta de la diferencia que se observa en tcpdum o en ethereal.
Parte II -VPN
VPN con clave pblica,
pblica Diffie-Hellmann
Diffie Hellmann y certificacin.
certificacin
Crear CA
Primero un directorio para la CA:
mkdir /tmp/CA
S
Segundo
d localizar
l l un openssl.cnf,
l f para copiar a //tmp/CA/CA y lluego modificar.
df
Normalment este archivo est en /etc/ssl/openssl.cnf
Hacemos una copia a /tmp/CA
cp /etc/ssl/openssl.cnf.
Y editamos el ca_default que es la configuracin por defecto, los cambios son para que el archivo general sea
/tmp/ca el certificado del centro de autoridad se denomine ca.crt y la clave secreta se denomine
ca key de manera que openssl sepa donde buscarlos
ca.key, buscarlos.
Fig 2_ default_ca original
b ventana
Abrir ve ta a een host5
ost5
Utilizar openssl req
openssl req nodes newkey rsa:1024 keyout /etc/claves/host5.key out /etc/claves/host5.csr
ACTIVAR TUNELES
En consola de pc7
En consola de host5
Probar con ping desde host5 y desde pc7 y utilizar ethereal tcpdumb
ANEXO
IMUNES
Modo edicin, modo execute
Como asignar tarjetas de red reales a maquinas virtuales de
imunes.
Como se asegura
g en imunes,, la independencia
p de los
servidores.
Como leer un floppy disk
Como transferir archivos desde o hacia imunes.
El uso de enlaces simblicos.
.
Knoppix
FAQs
Por que Knoppix
Existe alguna versin preferida de Knoppix.
Como utilizar la tarjeta de red, de la maquina en imunes.
Como trabaja imunes.
Cual es el comando para asignar direcciones IP.
Son diferentes los comandos en imunes que en knoppix.