administracion de redes de computador utilizar software para administrar redes de acuerdo con las...

ADMINISTRACION DE REDES DE COMPUTADOR

Utilizar software para administrar redes de acuerdo con las normas internacionales

Para ver videos y demás ingresar a www.profearias.wordpress.com/sena/

http://profearias.wordpress.com/sena/talleres-abril-mayo/http://profearias.wordpress.com/sena/talleres

http://profearias.wordpress.com/sena/evaluaciones

MODULO DE CONFIGURACIÓN DE SERVICIOS DE INTERNET

Pedro Alberto Arias

http://www.profearias.wordpress.com/sena/

http://profearias.wordpress.com/sena/talleres-abril-mayo/

http://profearias.wordpress.com/sena/talleres-abril-mayo/

http://profearias.wordpress.com/sena/talleres

http://profearias.wordpress.com/sena/talleres




¿Qué es Internet? (1)

Servidor

Cliente

¿Qué es Internet? (2)

RedLocal Enrutador

Servicios deComunicación

Enrutador

RedLocal

Enrutador

RedLocal Enrutador

RedLocal

Como trabajan los servicios en internet

El cliente envía un mensaje de solicitud al servidor para pedir cierto servicio (ejm. lectura de un bloque de cierto archivo).

El servidor hace el trabajo y regresa los datos solicitados o un código de error.

Núcleo Núcleo

ClienteServidor

Solicitud

Respuestas

- Cliente/servidor:

PresentaciónEstática

Presentacióndinámica

Interacción

Internet: Tipos de interacción

PresentaciónEstática

Presentacióndinámica

Interacción

Diseño GráficoSoftware de animación

Servidores Web

Internet: Que hay que saber

Programación JavaActiveX

Acceso a bases de datos

Diferentes Sistemas OperativosDiferentes PlataformasDiferentes base de datos

Interprogram communicationMonitores de transacciones

Servicios de internet/internet en empresas

INFRAESTRUCTURA DE COMUNICACIONES

INTERNET

Sis

tem

a d

e in

form

ació

nac

adém

ico

y ad

min

istr

ativ

o

Bib

liote

ca V

irtu

al

Lab

orat

orio

Ped

agóg

ico

en N

uev

as T

ecn

olog

ías

Sis

tem

a d

e in

form

ació

nd

ocu

men

tal y

arc

hiv

os

Nod

o In

tern

et

Implementar servicios de internet/internet en empresas

Intran

et protegida

Servidor

interno

WWW,

Base de Datos

Servido

externo

WWW, ftp

Servidor

mail, DNS

Red

perim

etral * Firew

all

Enrutador

Interior

Internet

Enrutador

Exterior

LINUXACTIVIDADES IMPORTANTES

• Crear usuarios y grupos: useradd y

• Cambiar claves a usuarios: passwd

• Cambiar permisos a directorios y archivos

• Instalación de paquetes de software ( rpm –ivh)

• Remover paquetes de software ( rpm –e)

• Verificar la existencia o versiones de paquetes (rpm –a )

• Formas de cambiar parámetros de red

LINUXARCHIVOS Y COMANDOS IMPORTANTES

• hostname

• /etc/inittab

• ntsysv

• shutdown

• init 0

• /etc/hosts y /etc/xinetd.d

• ifconfig

• netstat

• traceroute

LINUXARCHIVOS Y COMANDOS IMPORTANTES

• /etc/services

• /etc/sysconfig/static-routes

• /etc/sysconfig/network-scripts/ifcfg-eth0

• telnet

• ftp

• Interfaz gráfica ftp

• Ifconfig eth0:0 ( direcciones virtuales)

• webmin

Configuración de red en linux (alias de IP)

Se puede colocar varias direcciones IP a un interface de red.

Si se hace desde comandos (ifconfig) , hay que hacer referencia a las interfaces virtuales de la forma nombre:numero

Ejm: eth0:1 es la primera interface virtual de la tarjeta de red llamada eth0

Se pueden crear desde el ambiente gráfico

WEBMIN

USO DE SNIFFER EN LINUX

El sniffer se utiliza para la captura y el análisis de los paquetes que pasan a través de la red


Linux tiene la herramienta ethereal


ethereal

CONFIGURACION DE SERVICIOS DE INTERNETLINUX

Servicio DNS

Un cliente DNS hace una petición de traducción de nombre en dirección IP. Puede ser de forma automática desde un browser

Un servidor DNS , responde a la petición de un cliente y entrega la IP de la máquina requerida en su red

bind

CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

CONFIGURACION DEL SERVICIO DNS (CLIENTE)

• Por manipulación directa del archivo

# cd /etc

# hostname

www.sts.com

# cat resolv.conf

domain sts.com

nameserver 200.75.57.36

• Por linuxconf

• Por webmin

SERVICIO DNS ( ARCHIVOS Y COMANDOS)

- Archivo /etc/named.boot ( Bind versión 4)

- Archivo /etc/named.conf ( Bind versión 8)

- Archivos con tablas de equipos en /var/named

- Comando nslookup para probar el DNS

- Servicio named

# service named stop

# service named start

o

# service named restart

CONFIGURACION DEL SERVICIO DNSEN WINDOWS NT

Como es una transacción básica HTTP ?

Servidor

Web

Envía petición

Recibe respuesta

Obtiene archivo

Ejecuta programa

Browser HTTP

(cliente)

APACHE EN LINUX

Archivo de configuración (httpd.conf)

• ServerRoot "/etc/httpd" : Se indica el directorio que contiene todos los archivos de configuración del servidor , tales log de errores, configuración , etc .

• MaxClients 150 : Número máximo de equipos clientes conectados haciendo peticiones.

• ServerName unix.barranca.edu.co:80 Nombre completo del servidor web. Es importante que ya este funcionando un servidor DNS que resuelva el nombre de esta máquina.

• DocumentRoot "/var/www/html": Nombre del directorio donde reside la página principal del servidor web. El nombre de los posibles archivos que el tomará como página principal, se declara más adelante. Existe otra directiva de configuración con esta función: <Directory "/var/www/html">

Archivo de configuración (httpd.conf)

• UserDir public_html: Permite que los usuarios linux publiquen sus propias páginas, desde su directorio de trabajo. Estas páginas deben residir dentro del directorio public_html en su home. Para ver la página publicada se invoca el nombre del servidor seguido de /~ y el nombre del usuario . Por ejemplo : http://unix.barranca.edu.co/~hector

• DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.cgi: Se le indica los posibles nombres que puede tomar el archivo principal o página de inicio a buscar en el document root o public_html o alias.

Alias /prueba "/var/www/paginas/": Permite crear manipulación de contenido por directorio. Se crea un alias entre la palabra /prueba dada en el URL y el directorio físico en linux "/var/www/paginas/". Se va a ese directorio y se corre la página de inicio.

- Reiniciar el servicio

/etc/rc.d/init.d/httpd stop

/etc/rc.d/init.d/httpd start

http://unix.barranca.edu.co/~hector

TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION

3.4.3. TALLER DE PUBLICACIÓN DE PAGINAS EN EL SERVIDOR WEB

El proceso de publicación de páginas, es muy sencillo. Primero debemos configurar el servidor para saber en que directorios deben residir las páginas que deseamos publicar.

Se debe configurar el servidor web de la siguiente forma:

Se debe crear un usuario llamado taller , cuyo directorio de trabajo sea /home/taller y su contraseña taller2007. La Página que se coloque en cada sitio , debe mostrar un simple texto que diga “prueba de XXX en maquina YYY” donde XXXX es el item que estén probando y YYY es el nombre de la máquina.

• La página que siempre se debe acceder por defecto, en todos los casos se debe llamar default.html. Obviamente cambiando el texto que muestra, según sea el ejercicio solicitado.

• Se debe ubicar la página principal en un directorio debajo de la raíz llamado www. (/www). El docente debe poder ver la página de inicio, simplemente digitando como URL http://sumáquina.izquierdo.edu.co. Para los del dominio derecho, deben de cambiar el nombre. No se debe digitar el nombre de la página.

http://xn--sumquina-bza.izquierdo.edu.co/

TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION

• Se debe crear un alias llamado clave , que nos muestra las páginas publicadas en el directorio /privado. El docente debe poder ver la página de inicio, simplemente digitando como URL http://nombrecompleto/clave.

• Se debe crear un alias llamado comun , que nos muestra las páginas publicadas en el directorio /todos. El docente debe poder ver la página de inicio, simplemente digitando como URL http://nombrecompleto/comun.

• Se debe permitir a los usuarios publicar paginas dentro de su directorio de trabajo, si crean un subdirectorio llamado paginas en su home directory. Crear un usuario llamado docente, y publicar allí alguna página. Para probar el docente debe poder ver la página del usuario docente, simplemente digitando como URL http://nombrecompleto/~docente.

• Proteger el alias llamado clave, con usuario y clave de acceso. El usuario se debe llamar uis y la clave debe ser uis2008.

• Se debe encriptar el tráfico hacia la página principal del servidor web. El docente debe poder ver la página de inicio, digitando como URL

https://nombrecompleto

• Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor Apache)

- Permitir en el archivo httpd.conf para el directorio virtual deseado, que se revise el archivo .htaccess

Alias /seguro "/protegidas“

<Directory "/protegidas">

AllowOverride All

Order allow,deny

Allow from all

</Directory>


- Crear archivo .htaccess en el directorio deseado

AuthUserFile /protegidas/claves

AuthName "area Protegida"

AuthType Basic

require user hector

- Crear archivo de claves

- htpasswd –c /protegidas/claves hector

• Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor IIS)

Comunicaciones encriptadas

Debemos activar el uso del modulo ssl del apache. En esta versión ya esta instalado y listo para ser usado. Se puede verificar entrando por el webmin y revisando módulos.

Simplemente accesamos el servidor : https://www.sts.com

La letra “s” adicionada al http es la que indica que se usará acceso web con SSL.

https://www.sts.com/

TALLER CONFIGURACION SERVIDOR WEB SEGURO

3.4.5. TALLER DE SERVIDOR WEB Y ALGUNOS ASPECTOS DE SEGURIDAD

Proteger con usuario y clave el alias del sitio web de cada maquina, llamado “/comun” que carga las paginas encontradas en el directorio “/todos” ( al menos colocar un página de entrada a ese sitio). Solo se permitirán conexiones web que provengan de su misma máquina o de la máquina del docente y que ingresen con el usuario “profe” , con clave “profe02” o el usuario “hector” con clave “hector02. Además la conexión y transferencia de datos debe ser encriptada.

SERVIDORES DE CORREO

QUE ES MAIL (CORREO) E-MAIL: Es de las más populares aplicaciones. El correo electrónico permite a los usuarios intercambiar mensajes con cualquier persona del mundo de una forma rápida. Para los negocios, este a sido un gran avance

en comunicación.

QUE ES MAIL (CORREO)

Para diferenciar el nombre del usuario de su dominio se adoptó el carácter "@" que significa "en" (at) entonces la dirección Carlos@ServidorA y se puede leer como “Carlos en ServidorA"

El formato de la dirección para el e-mail en internet es de la forma:

Nombre-usuario @organizacion.dominio

Ejemplo [email protected]

Donde la organización es el nombre de una compañía, agencia del gobierno, institución de educación, etc.

mailto:Carlos@ServidorA

mailto:[email protected]

CLIENTE, SERVIDOR Y PROTOCOLO

El cliente e-mail es un programa habitualmente llamado “mail” que permite la lectura de los ficheros buzón a cada usuario autorizado. También es capaz de manejar el “spool” de correo, es decir, de enviar mensajes que serán leídos por el servidor e-mail para poder ser distribuidos a otros usuarios.

El servicio encargado de proporcionar el intercambio de correo electrónico entre las máquinas se denomina servicio de e-mail, y puede ser ofrecido por distintos programas daemon, de los que el más extendido se llama “sendmail”.

El daemon sendmail es el servidor de correo electrónico más popular entre las máquinas de Internet. Según algunos estudios, constituye entre el setenta y el ochenta por ciento de las implementaciones

existentes hoy en día.

SENDMAIL

También se conoce con el nombre de “delivery”, o bien distribuidor de correo. Realiza su función manteniéndose a la escucha del socket 25, comunicándose con los daemons de otros sistemas para recibir el correo entrante y enviar el correo saliente.

En cuanto a la aplicación TCP/IP, se utiliza el protocolo SMTP (Simple Mail Transfer Protocol), el cual se caracteriza por su eficiencia, sencillez y facilidad de depuración, gracias a los mensajes que acompañan a sus comandos.

Configuración SENDMAIL Linuxconf

UTILIDADES PARA ENVIO/RECEPCION DE CORREO

• Comando mail

• Pine

• Desde navegadores ( ejemplo netscape)

• Outlook de microsof

• Desde comando sendmail


$ /usr/lib/sendmail -v [email protected] <prueba

[email protected]... Connecting to mx1.hotmail.com. via esmtp...

220 mc9-f29.bay6.hotmail.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.5600 ready at Sat, 1 Feb 2003 08:01:58 -0800

>>> EHLO www.sts.com.co

250-mc9-f29.bay6.hotmail.com (02.01.00.0007) Hello [200.21.238.196]

250-SIZE 4278190

250-PIPELINING

250-8bitmime

250-BINARYMIME

250-CHUNKING

250-VRFY

250-AUTH LOGIN

250-AUTH=LOGIN

250-X-HMAUTH

250 OK


>>> MAIL From:<[email protected]> SIZE=124

250 [email protected] OK

>>> RCPT To:<[email protected]>

250 [email protected]

>>> DATA

354 Start mail input; end with <CRLF>.<CRLF>

>>> .

250 <[email protected]> Queued mail for delivery

[email protected]... Sent ( <[email protected]> Queued mail for delivery)

Closing connection to mx1.hotmail.com.

>>> QUIT

221 mc9-f29.bay6.hotmail.com Service closing transmission channel

CORREO BÁSICO UNIX (SENDMAIL)

Utilidad mail. Los sistema UNIX proveen varias utilidades para comunicación entre usuarios, siendo la más común mail. De ella existen versiones más o menos diferentes y más o menos poderosas.

Para enviar correo se usa el comando mail así:

$mail [-t] lista_de_usuarios

El programa leerá el mensaje deseado por stdin y lo enviará a cada uno de los usuarios listados en la invocación el comando (Cada usuario en el sistema tiene un "buzón de correo" en el que son depositados los mensajes que le han sido enviados). Cada mensaje es precedido de una "marca de correo" que indica quién lo envió, en qué fecha y el destinatario.

La opción -t indica que el mensaje sea además precedido de una lista de todos los usuarios a los que se envió el mensaje.

CORREO BÁSICO UNIX (SENDMAIL)Por ejemplo

$mail gic <memo, enviará el contenido del archivo "memo" al usuario gic.

Para leer el correo recibido se usa mail sin opciones. Si hay correo en el buzón del usuario, el programa mostrará cada mensaje, empezando por el más reciente. Después de mostrar cada mensaje, el programa coloca un ? y espera un comando que le diga qué hacer con el mensaje acabado de leer. Si se contesta con <enter>, mostrará el siguiente mensaje. Otras respuestas pueden ser:

+ Ver siguiente mensaje

d Borrar el mensaje corriente y ver el siguiente

p Mostrar nuevamente el mismo mensaje

- Mostrar el mensaje anterior

CORREO BÁSICO UNIX (SENDMAIL)

s [archivo] salvar el mensaje en el archivo dado (y se borra del buzón)

w [archivo] como el anterior, pero sin el encabeza miento (y se borra del buzón)

m [usuarios] enviar el mensaje a los usuarios dados (y se borra del buzón)

q salir de mail.

x salir de mail. Todos los mensajes (aún los "borra dos") se colocan nuevamente en el buzón).

! comando Ejecuta el "comando" dado

? muestra una lista con estas opciones.

TALLER BÁSICO UNIX (SENDMAIL)

En la máquina del docente hay cuentas de usuario y correo creadas para todos los grupos de trabajo.

Desde allí enviar correo con el comando mail a otras cuentas y comprobar su recepción también con el comando mail o pine.

Configurar un cliente gráfico de correo para enviar correo y comprobar que envía exitosamente, entre usuarios de la máquina del docente.

Configurando su máquina como servidor de correo, crear una cuenta y desde un cliente gráfico enviar correo a la cuenta hector en la máquina del docente.

POP3

En un ambiente clásico de trabajo, hay gran cantidad de usuarios que tienen un contrato con un ISP que está siempre conectado a la red y al llegar un mensaje de correo para un usuario de ese ISP el mail-server del ISP debe guardar el mensaje hasta que el usuario se conecte desde diferentes clientes de correo y lo solicite. Apareció el protocolo de oficina postal, POP, que actualmente se encuentra en su versión 3. Este protocolo complementa perfectamente con el SMTP, en la forma en que este último se encarga del envío de correo y su tránsito por la INTERNET hasta el mail-server destino y el POP se encarga de el transporte de los mensajes almacenados en el servidor a usuarios que esporádicamente se conecta a él .

Pruebas de POP3

En las máquinas linux, si se instaló el sistema completo, debe estar el servicio ipop3. Se puede habilitar con ntsysv para que inicie con el sistema o desde la carpeta /etc/xinetd.d, para que inicie inmediatamente. Para comprobar si esta en servicio , se envía correo a una cuenta.

Pruebas de POP3

Se procede a hacer un telnet a la máquina por el puerto 110, para que nos responda el servicio de pop3 y entrar a dialogar con él.

PRUEBAS DE RECEPCION DE CORREO

Una vez este comprobado su funcionamiento, ya podemos solicitar a clientes gráficos que lean correo de ese servidor, ya que este utilizan el POP3 para comunicarse con los clientes en la entrega del correo.

PRUEBAS DE RECEPCION DE CORREO

CONTROLES O FILTROS DE CORREO ( DESDE WEBMIN)

USO DE CORREO ENCRIPTADO (CLIENTES)

TALLER CONFIGURACION SERVIDOR CORREO

3.5.5. TALLER SERVICIO DE CORREO

Configurar un servicio de correo con algunas consideraciones de seguridad. Es decir, la comunicación entre el cliente y el servidor debe ser encriptada ( primero mostrar la forma normal para evidenciar la transparencia de la comunicación y luego encriptarlo y volver a mostrar) y solo se deben permitir salir correos por el servidor de los equipos clientes de cada fila de trabajo. Se deben crear algunas cuentas de correo con el nombre de los intregrantes de los grupos y enviar y recibir correos entre los diferentes servidores dentro de una misma fila. Osea en cada servidor se deben crear cuentas para todos los usuarios clientes de esa fila y todos deben actuar como clientes y servidores alguna vez. Las direcciones de correo deben llevar el nombre de la máquina, pues no hay una máquina predestinada a recibir correo de todo el dominio.

NFS (Network File System)

NFS es un servicio de red que permite a los usuarios accesar los sistemas de archivos y directorios de otros equipos en la red. Los Hosts pueden ser de diferente marca y sistema operacional. Estas diferencias son transparentes para los usuarios.

Se debe tener en cuenta los siguientes conceptos:

Servidor: El hosts que permite el acceso a sus sistemas de archivos o directorios locales (este debe exportar sus recursos).

Cliente : El hosts que solicita el acceso a sistemas de archivos o directorios de otras máquinas (este debe montar los recursos exportados por otras máquinas).


Configuración Manual :

Servidor :

• Editar /etc/exports

• Correr comando exportfs

Cliente:

• Comando mount

• Opcionalmente editar /etc/fstab


• Por interfaz gráfica (servidor exportando recursos)


• Por interfaz gráfica (cliente, montando recursos)

NFS (Network File System)• Por interfaz gráfica (cliente, archivo /etc/fstab)# cat fstab

LABEL=/ / ext3 defaults 1 1

none /dev/pts devpts gid=5,mode=620 0 0

none /proc proc defaults 0 0

none /dev/shm tmpfs defaults 0 0

/dev/hda3 swap swap defaults 0 0

/dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro 0 0

/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0

/dev/hda1 /win msdos exec,dev,suid,rw 1 1

hector.edu.co:/usr/local /prestado nfs noexec,dev,suid,rw 1 1


3.6.3. TALLER DE SERVICIO NFS

Configurar el servicio de NFS de los equipos de la sala, para exportar el directorio /var/log , pero solo pueden tener acceso a este , los equipos de la misma fila de su equipo. De igual forma comprobar que pueden acceder el directorio que su vecino exporto ( var/log) y montarlo sobre el directorio /prestado, previamente creado.

PROXY

Configuración manual de squid ( segmento de archivo /etc/squid/squid.conf)

..........

..........acl red src "/etc/squid/lista-ip-validas"

acl negados url_regex "/etc/squid/sitios-negados"

#acl red src 192.168.1.0/255.255.255.0

# TAG: http_access

# Allowing or Denying access based on defined access lists

#

# Access to the HTTP port:

# http_access allow|deny [!]aclname ...

#

# NOTE on default values:

#

# If there are no "access" lines present, the default is to deny

# the request.

PROXY

Configuración manual de squid ( segmento de archivo /etc/squid/squid.conf)..........

# If none of the "access" lines cause a match, the default is the

# opposite of the last line in the list. If the last line was

# deny, then the default is allow. Conversely, if the last line

# is allow, the default will be deny. For these reasons, it is a

# good idea to have an "deny all" or "allow all" entry at the end

# of your access lists to avoid potential confusion.

#

#Default:

# http_access deny all

http_access deny negados

http_access allow localhost

http_access allow red

http_access deny all

#

PROXYPersonalizando los mensajes de error[root@www squid]# cd errors

[root@www errors]# ls

ERR_ACCESS_DENIED ERR_FTP_NOT_FOUND ERR_READ_ERROR

ERR_FTP_PUT_CREATED ERR_READ_TIMEOUT

ERR_CACHE_ACCESS_DENIED ERR_FTP_PUT_ERROR ERR_SHUTTING_DOWN

ERR_CACHE_MGR_ACCESS_DENIED ERR_FTP_PUT_MODIFIED ERR_SOCKET_FAILURE

ERR_CANNOT_FORWARD ERR_FTP_UNAVAILABLE ERR_TOO_BIG

ERR_CONNECT_FAIL ERR_INVALID_REQ ERR_UNSUP_REQ

ERR_DNS_FAIL ERR_INVALID_URL ERR_URN_RESOLVE

ERR_FORWARDING_DENIED ERR_LIFETIME_EXP ERR_WRITE_ERROR

ERR_FTP_DISABLED ERR_NO_RELAY ERR_ZERO_SIZE_OBJECT

ERR_FTP_FAILURE ERR_ONLY_IF_CACHED_MISS generic

ERR_FTP_FORBIDDEN errors README

PROXYPersonalizando los mensajes de error# cat ERR_ACCESS_DENIED

ERROR

LA ADMINISTRACION DE LA EMPRESA INFORMA QUE ESTOS SITIOS WEB TIENEN ACCESO RESTRINGIDO

DIRECCION DEL SITIO RESTRINGIDO: %U

MENSAJE DE ERROR

Access Denied.

Las politicas de acceso a internet tienen restringido este sitio Si es de acceso vital, por favor contacte al Administrador de la red

Para contactar a su administrador, enviar a: %w.

mailto:%25w

PROXYRestricción de sitios[root@www squid]# cat sitios-negados

www.sitioporno.com

www.otrositioporno.com

www.playboy.com

www.chicas.com

napster

sex

porn

mp3

xxx

adult

astalavista

Restricción de clientesSe incluye la lista de Ips validas a salir por el proxy en archivo

lista-ip-validas

PROXYConfiguración gráfica de squid ( webmin)

PROXYConfiguración gráfica de squid ( webmin)

# service squid stopParando squid: 2003/01/13 10:53:58

| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.0.0.2-10.0.0.250/255.0.0.0'................ [ OK ]# service squid startIniciando squid:

[ OK ]

PROXY

Configuración proxy transparente

En condiciones normales , a todos los clientes se les debe especificar en el navegador quien es el servidor proxy ( se debe dar la dirección IP o nombre de la máquina proxy y el puerto por el cual escucha las peticiones). Si una red tiene demasiados clientes este trabajo puede ser dispendioso.

Se puede hacer una configuración especial para implementear un proxy , sin que los usuarios deban enterarse de que en la red hay este servicio de proxy.

Se deseará simular que cada paquete que pase por su máquina Linux esté destinado a un programa en la propia máquina. Esto se utiliza para hacer proxies transparentes: un proxy es un programa que filtrando las comunicaciones entre la red y el mundo real , permite control de accesos a internet, caché, control de sitios visitados, etc. . La parte transparente se debe a que su red nunca tendrá por qué enterarse de que está comunicándose con un

proxy, a menos, claro, que el proxy no funcione.

Se requiere el uso de IPTABLES

PROXY

Configuración proxy transparente

Que es IPTABLES ?

Iptables, se usa para configurar, mantener e inspeccionar las reglas de cortafuegos IP del núcleo Linux. Es un descendiente directo de ipchains (que vino de ipfwadm, que vino del ipfw IIRC de BSD), con extensibilidad. Los módulos del kernel pueden registrar una tabla nueva, e indicarle a un paquete

que atraviese una tabla dada. Este método de selección de paquetes se utiliza para el filtrado de paquetes, para la Traducción de Direcciones de Red (NAT) y para la manipulación general de paquetes antes del enrutamiento. Una de las ventajas de iptables sobre ipchains es que es pequeño y rápido.

# Envía el tráfico que llega a la máquina que filtra el tráfico ( o firewall) y que va dirigido al puerto 80 (web) a nuestro proxy squid instalado en el mismo servidor (transparente)

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

PROXY

TALLER DE CONFIGURACIÓN DE PROXY BASICO

Configurar cada máquina como proxy que permita solo la salida a los PCs de la misma fila de trabajo ( los equipos permitidos se incluirán en un archivo llamado clientes-permitidos). Se debe restringir la salida a sitios como hotmail, yahoo, playboy ( estos sitios se deben incluir en un archivo llamado prohibidos)y se debe personalizar el mensaje que muestra al usuario final cuando trate de salir a uno de estos sitios prohibidos.

Se debe activar el log de acceso para poder monitorer lo que hace la gente en internet ( todas las salidas o peticiones que se hacen al proxy) y comprobar que las peticiones que se le hacen al proxy quedan registradas.

SSH (Secure Shell )Cuando se realiza una conexión a un servidor remoto usando por ejemplo el comando telnet o ftp, el login(usuario) y password(contraseña) son transmitidos en la red de forma clara, lo cual representa un gran riesgo si llega a existir sobre la red un programa que capture la información, basándose en el modo promiscuo de las redes ethernet (comúnmente llamado sniffer), ocasionado obtener tanto el login como el password y pudiendo posteriormente irrumpir en el servidor con esta información.

SSH (Secure Shell )

Secure Shell y OpenSSH permiten realizar la comunicación y transferencia de información de forma cifrada proporcionando fuerte autenticación sobre el medio inseguro.

• Acceso desde clientes Windows (verificando con un sniffer el password encriptado)

FINGERPermiten la consulta de información del usuario, tanto del sistema local, como uno remoto. El servicio finger no es un protocolo, solo es un programa de usuario final que utiliza TCP para la comunicación con el servidor in.fingerd. Ejm: Desde la máquina Luis deseo ver que usuarios están trabajando en la máquina jorge:

FINGERAhora se presenta el caso inverso. Desde la máquina jorge preguntamos que usuarios están en Luis. Se puede verificar un usuario en particular. Para que un sistema responda debe tener activo su servicio in.fingerd en el xinetd.d

FTPFTP (File Transfer Protocol)

File Transfer protocol. Permite a los usuarios accesar y transmitir archivos en servidores localizados sobre internet. Estos servidores se pueden acceder a través de un browser (ejm: ftp://ftp.microsoft.com) o por línea de comandos (ejm: ftp ftp.microsoft.com) . En el primer caso toda la interación se hace con el mouse y de esta forma se puede hacer el download de archivos. En el segundo caso es necesario conocer la sintaxis de los comandos FTP.

Cuando un usuario entra a un servidor FTP con una cuenta normal, puede desplazarse por todo el árbol de unix donde tenga permisos de lectura ( la mayoría) y pone en riesgo la confidencialidad de la información del sistema. Es aconsejable no habilitar este servicio cuando la máquina esta conectada a internet y en caso de ser vital, mejor e configura el servicio ftp anonymous.

ftp://ftp.microsoft.com/

ftp://ftp.microsoft.com/

FTPFTP ANONYMOUS

La configuración se puede realizar desde el interfaz linuxconf o , desde webmin, para tres tipos de cuentas :

Anónimo ( Anonymous) : que es la más usual en internet, donde un usuario con ese nombre llega a un servidor y puede entrar con cualquier password, pero cae en un directorio público, de donde generalmente sólo puede leer los archivos que están permitidos.

Invitado : Usuario guest, con un password.

Real : Usuario con un login que debe existir en el sistema y un password.

FTP3.10.1. TALLER FTP

Habilitar el servicio FTP en las máquinas linux. Entrar con un usuario normal y ver que pueden hacer. Tratar de recorrer el árbol de diretorios linux y llevarse archivos del sistema. Hacerlo desde línea de comandos, y desde interfaz gráfico.

Configurar el usuario anonymous , definiendo en /var/ftp la raíz ficticia. Crear si no la tiene una estructura similar a unix allí. En una carpeta llamada publico colocar los archivos que se desean publicar. No dar permisos de que escriban allí , ni borren. Pedir que el usuario anonymous debe digitar algo que contenga una @ ( por ejemplo [email protected])

Configurar el servidor para que solo permita el acceso a ftp con la cuenta anonymous. No permitir ningún usuario diferente así este creado en la máquina.

mailto:[email protected]

4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR

USO DEL TCPWRAPPERTCP Wrappers permite controlar y proteger los servicios de red, limitando el acceso como sea posible, y registrado todos las conexiones para hacer el trabajo de detectar y resolver problemas de forma más fácil.

TCP Wrappers es una herramienta simple que sirve para monitorear y controlar el tráfico que llega por la red. Esta herramienta ha sido utilizada exitosamente en la protección de sistemas y la detección de actividades ilícitas. Fue desarrollada por Wietze Zweitze Venema y esta basada en el concepto de Wrapper; es una herramienta de seguridad libre y muy útil.

Un Wrapper es un programa para controlar el acceso a un segundo programa. El Wrapper literalmente cubre la identidad del segundo programa, obteniendo con

esto un más alto nivel de seguridad.


USO DEL TCPWRAPPER

Debo configurar 2 archivos, donde especifico quien accederá a los servicios de mi servidor tcpwrapper, estos archivos son: /etc/hosts.allow y /etc/hosts.deny.

La sintaxis de estos archivos es muy simple:

servicio: host: acción

servicio: es el nombre del servicio , que generalmente esta dentro de los archivos respectivos del directorio xinet.d, por ejemplo son servicios el in.telnetd,in.fingerd. Si queremos referirnos a todos los puertos bastará con poner ALL, también podemos poner una lista de servicios separados por espacios en blanco.


USO DEL TCPWRAPPER

host: es una o mas direcciones de red separadas por espacios en blanco, esta direccion se contrasta con la del sistema que nos hace la petición de conexión. La dirección puede ser del tipo IP numerica, IP/mask, rango de IP (por ejemplo 195.116.), dominio (como por ejemplo sts.com), grupo de dominios (como por ejemplo .com).

acción: puede tener 4 valores, accept (acepta la conexion si se cumplen las condiciones impuestas por servivio/host), deny (rechaza la conexion, spawn (acepta la conexion y realiza el comando bash que se le pasa como parametro) y twist (rechaza la conexion y realiza el comando bash).


USO DEL TCPWRAPPER

Ejemplo :

·Archivo /etc/hosts.allow

Se le dieron todos los servicios a las máquinas que aparecen en esta pantalla

4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER

Ejemplo :

/etc/hosts.deny

# Niega todos los servicios a todos las máquinas excepto a una en

# específico: 192.1.1.221

AALL:ALL EXCEPT 192.1.1.221


Ejemplo 4:Cerrado para todos excepto para las conexiones locales ( que se emitan desde la misma máquina:

#/etc/hosts.allowALL:127.0.0.1ALL: ALL: deny

Ejemplo 5.Conexion local total, red local acceso por telnet y ftp, resto cerrado:

#/etc/hosts.allowALL:127.0.0.1

in.telnetd in.ftpd: LOCAL

ALL: ALL: deny


Ejemplo 6.

Sistema cerrado con informe de accesos:

/etc/hosts.allowALL: ALL: twist ( /usr/bin/echo -e "Intruso %a en puerto %d" )

Ejemplo 7:

Sistema abierto a la red local con reporte y cerrado al exterior con reporte:

#/etc/hosts.allowALL: LOCAL: spawn ( echo -e "Acceso autorizado de %a por %d" ) &ALL: ALL: twist ( /bin/echo -e "INTRUSO! %a, usando puerto %d" ) &


4.2. TALLER CON TCPWRAPPERS

Se desean permitir algunos servicios e implementar un mecanismo de detección de intrusos en cada máquina Linux de los estudiantes. Cada máquina de los grupos de trabajo , deben permitir hacer telnet desde las máquinas de la misma fila exclusivamente ( desde ninguna otra máquina de la sala , ni de internet), pero se desea llevar un rastro de que máquinas han usado este servicio ( el rastro debe quedar en un archivo llamado “/etc/rastrotelnet”). Todos los demás servicios manejados por el xinetd no deben ser permitidos , y se desea dejar rastro de los intentos de las otras máquinas de utilizarlos en un archivo llamado “/etc/intrusos”).


4.3. FILTRADO CON IPTABLES (TALLER DE INVESTIGACION Y EJERCICIO )

Leer documento PDF entregado por el docente, para entender el funcionamiento de las reglas de Iptables, para desarrollar el ejercicio planteado.


4.4. EJERCICIO TEORICO CON IPTABLES



Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeño firewall en una máquina Linux así:

· En la red hay 20 Pcs y dos servidores y se requiere que estos PCs y servidores pueden accesar internet sin requerir a un proxy.

· Se desea implementar proxy transparente. A diferencia del punto anterior se desea colocar un proxy con su cache y restricciones de sitios web , pero que los usuarios no sepan de la existencia de este o deban hacer cambios en las configuraciones.

· Las conexiones externas dirigidas al firewall por el puerto 80 , se deben dirigir internamente al servidor web por ese puerto.



Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeño firewall en una máquina Linux así:

· Las conexiones dirigidas al firewall para entregarle correo se deben dirigir internamente al servidor de correo por el puerto correspondiente.

· Algunos usuarios pueden leer correo de forma encriptada desde el exterior de la red usando el outlookp con SSL. Las conexiones dirigidas al firewall para pedir correo se deben dirigir internamente al servidor de correo por el puerto correspondiente.

· No se deben permitir más conexiones ni servicios hacia adentro de ninguna clase ni hacia ninguna otra máquina .

5. SERVICIOS DE RED CON WINDOWS XP

CONFIGURACIÓN BASICA DE LA RED Y PARÁMETROS


CONFIGURACIÓN BASICA DE LA RED , OPCIONES DE FIREWALL BASICO


CONFIGURACIÓN BASICA

Para asignar o cambiar el nombre del computador, podemos hacer clic en las propiedades de MI PC y por la pestaña de Nombre de equipo utilizamos el botón Cambiar.


5.2 COMANDOS BÁSICOS TCP/IP PARA MONITOREO


5.3. SERVICIOS DE INTERNET (WEB)

Para realizar la configuración de IIS 5.1, entramos por panel de control – herramientas administrativas – Servicios de Internet Information

Server


5.3. SERVICIOS DE INTERNET


5.3. SERVICIOS DE INTERNET (FTP)


5.3. SERVICIOS DE INTERNET (SMTP)El servicio de SMTP permite un servidor de correo electrónico virtual para el envió de mensajes de correo electrónico. Mas no ofrece buzones de correo y otras características propias de un servidor de correo. La conexión establecida por un cliente al servicio SMTP virtual es por

defecto anónima.


5.3. SERVICIOS DE INTERNET (SMTP)


5.4 TALLER

Cambie el nombre del equipo y verifique que el cambio es reflejado cuando se utiliza el comando ping para resolver el nombre de la maquina.

Verifique conectividad con otros equipos de la sala y resuelva el nombre de cada uno de los equipos.

Cree una pagina web con el nombre de principal.htm y actívela como pagina por defecto del sitio web predeterminado. Esta página debe ser vista desde los otros equipos de la red.

Cree tres carpetas en el raíz del sitio ftp y en cada una incluya un archivo de texto. Verifique si es posible descargar estas archivos y

como se presentan en la interfase grafica del Internet Explorer.

administracion de redes de computador utilizar software para administrar redes de acuerdo con las...

Documents