La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ADMINISTRACION DE REDES DE COMPUTADOR Utilizar software para administrar redes de acuerdo con las normas internacionales Para ver videos y demás ingresar.

Presentaciones similares


Presentación del tema: "ADMINISTRACION DE REDES DE COMPUTADOR Utilizar software para administrar redes de acuerdo con las normas internacionales Para ver videos y demás ingresar."— Transcripción de la presentación:

1 ADMINISTRACION DE REDES DE COMPUTADOR Utilizar software para administrar redes de acuerdo con las normas internacionales Para ver videos y demás ingresar a MODULO DE CONFIGURACIÓN DE SERVICIOS DE INTERNET Pedro Alberto Arias

2 ¿Qué es Internet? (1) Servidor Cliente

3 ¿Qué es Internet? (2) Red Local Enrutador Servicios de Comunicación Enrutador Red Local Enrutador Red Local Enrutador Red Local

4 Como trabajan los servicios en internet El cliente envía un mensaje de solicitud al servidor para pedir cierto servicio (ejm. lectura de un bloque de cierto archivo). El servidor hace el trabajo y regresa los datos solicitados o un código de error. Núcleo Cliente Servidor Solicitud Respuestas - Cliente/servidor:

5 Presentación Estática Presentación dinámica Interacción Internet: Tipos de interacción

6 Presentación Estática Presentación dinámica Interacción Diseño Gráfico Software de animación Servidores Web Internet: Que hay que saber Programación Java ActiveX Acceso a bases de datos Diferentes Sistemas Operativos Diferentes Plataformas Diferentes base de datos Interprogram communication Monitores de transacciones

7 Servicios de internet/internet en empresas

8 Implementar servicios de internet/internet en empresas

9 LINUX ACTIVIDADES IMPORTANTES Crear usuarios y grupos: useradd y Cambiar claves a usuarios: passwd Cambiar permisos a directorios y archivos Instalación de paquetes de software ( rpm –ivh) Remover paquetes de software ( rpm –e) Verificar la existencia o versiones de paquetes (rpm –a ) Formas de cambiar parámetros de red

10 LINUX ARCHIVOS Y COMANDOS IMPORTANTES hostname /etc/inittab ntsysv shutdown init 0 /etc/hosts y /etc/xinetd.d ifconfig netstat traceroute

11 LINUX ARCHIVOS Y COMANDOS IMPORTANTES /etc/services /etc/sysconfig/static-routes /etc/sysconfig/network-scripts/ifcfg-eth0 telnet ftp Interfaz gráfica ftp Ifconfig eth0:0 ( direcciones virtuales) webmin

12 Configuración de red en linux (alias de IP) Se puede colocar varias direcciones IP a un interface de red. Si se hace desde comandos (ifconfig), hay que hacer referencia a las interfaces virtuales de la forma nombre:numero Ejm: eth0:1 es la primera interface virtual de la tarjeta de red llamada eth0 Se pueden crear desde el ambiente gráfico

13 WEBMIN

14

15

16 USO DE SNIFFER EN LINUX El sniffer se utiliza para la captura y el análisis de los paquetes que pasan a través de la red

17 USO DE SNIFFER EN LINUX Linux tiene la herramienta ethereal

18 USO DE SNIFFER EN LINUX ethereal

19 CONFIGURACION DE SERVICIOS DE INTERNET LINUX

20 Servicio DNS Un cliente DNS hace una petición de traducción de nombre en dirección IP. Puede ser de forma automática desde un browser Un servidor DNS, responde a la petición de un cliente y entrega la IP de la máquina requerida en su red bind

21 CONFIGURACION DEL SERVICIO DNS (SERVIDOR) POR WEBMIN

22

23

24

25 CONFIGURACION DEL SERVICIO DNS (CLIENTE) Por manipulación directa del archivo # cd /etc # hostname # cat resolv.conf domain sts.com nameserver Por linuxconf Por webmin

26 SERVICIO DNS ( ARCHIVOS Y COMANDOS) -Archivo /etc/named.boot ( Bind versión 4) -Archivo /etc/named.conf ( Bind versión 8) - Archivos con tablas de equipos en /var/named -Comando nslookup para probar el DNS -Servicio named # service named stop # service named start o # service named restart

27 CONFIGURACION DEL SERVICIO DNS EN WINDOWS NT

28

29

30

31

32

33

34 Como es una transacción básica HTTP ? Servidor Web Envía petición Recibe respuesta Obtiene archivo Ejecuta programa Browser HTTP (cliente)

35 APACHE EN LINUX

36 Archivo de configuración (httpd.conf) ServerRoot "/etc/httpd" : Se indica el directorio que contiene todos los archivos de configuración del servidor, tales log de errores, configuración, etc. MaxClients 150 : Número máximo de equipos clientes conectados haciendo peticiones. ServerName unix.barranca.edu.co:80 Nombre completo del servidor web. Es importante que ya este funcionando un servidor DNS que resuelva el nombre de esta máquina. DocumentRoot "/var/www/html": Nombre del directorio donde reside la página principal del servidor web. El nombre de los posibles archivos que el tomará como página principal, se declara más adelante. Existe otra directiva de configuración con esta función:

37 Archivo de configuración (httpd.conf) UserDir public_html: Permite que los usuarios linux publiquen sus propias páginas, desde su directorio de trabajo. Estas páginas deben residir dentro del directorio public_html en su home. Para ver la página publicada se invoca el nombre del servidor seguido de /~ y el nombre del usuario. Por ejemplo : DirectoryIndex index.html index.htm index.shtml index.php index.php4 index.php3 index.cgi: Se le indica los posibles nombres que puede tomar el archivo principal o página de inicio a buscar en el document root o public_html o alias. Alias /prueba "/var/www/paginas/": Permite crear manipulación de contenido por directorio. Se crea un alias entre la palabra /prueba dada en el URL y el directorio físico en linux "/var/www/paginas/". Se va a ese directorio y se corre la página de inicio. -Reiniciar el servicio /etc/rc.d/init.d/httpd stop /etc/rc.d/init.d/httpd start

38 TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION TALLER DE PUBLICACIÓN DE PAGINAS EN EL SERVIDOR WEB El proceso de publicación de páginas, es muy sencillo. Primero debemos configurar el servidor para saber en que directorios deben residir las páginas que deseamos publicar. Se debe configurar el servidor web de la siguiente forma: Se debe crear un usuario llamado taller, cuyo directorio de trabajo sea /home/taller y su contraseña taller2007. La Página que se coloque en cada sitio, debe mostrar un simple texto que diga prueba de XXX en maquina YYY donde XXXX es el item que estén probando y YYY es el nombre de la máquina. La página que siempre se debe acceder por defecto, en todos los casos se debe llamar default.html. Obviamente cambiando el texto que muestra, según sea el ejercicio solicitado. Se debe ubicar la página principal en un directorio debajo de la raíz llamado www. (/www). El docente debe poder ver la página de inicio, simplemente digitando como URL Para los del dominio derecho, deben de cambiar el nombre. No se debe digitar el nombre de la página.http://sumáquina.izquierdo.edu.co

39 TALLER CONFIGURACION SERVIDOR WEB Y PUBLICACION Se debe crear un alias llamado clave, que nos muestra las páginas publicadas en el directorio /privado. El docente debe poder ver la página de inicio, simplemente digitando como URL Se debe crear un alias llamado comun, que nos muestra las páginas publicadas en el directorio /todos. El docente debe poder ver la página de inicio, simplemente digitando como URL Se debe permitir a los usuarios publicar paginas dentro de su directorio de trabajo, si crean un subdirectorio llamado paginas en su home directory. Crear un usuario llamado docente, y publicar allí alguna página. Para probar el docente debe poder ver la página del usuario docente, simplemente digitando como URL Proteger el alias llamado clave, con usuario y clave de acceso. El usuario se debe llamar uis y la clave debe ser uis2008. Se debe encriptar el tráfico hacia la página principal del servidor web. El docente debe poder ver la página de inicio, digitando como URL https://nombrecompleto

40 Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor Apache) -Permitir en el archivo httpd.conf para el directorio virtual deseado, que se revise el archivo.htaccess Alias /seguro "/protegidas AllowOverride All Order allow,deny Allow from all

41 Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor Apache) -Crear archivo.htaccess en el directorio deseado AuthUserFile /protegidas/claves AuthName "area Protegida" AuthType Basic require user hector -Crear archivo de claves -htpasswd –c /protegidas/claves hector

42 Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor Apache)

43

44

45

46 Autenticación y autorización de Usuarios. Restringiendo el Acceso: Protección con Password (Servidor IIS)

47

48 Comunicaciones encriptadas Debemos activar el uso del modulo ssl del apache. En esta versión ya esta instalado y listo para ser usado. Se puede verificar entrando por el webmin y revisando módulos. Simplemente accesamos el servidor : https://www.sts.com https://www.sts.com La letra s adicionada al http es la que indica que se usará acceso web con SSL.

49 TALLER CONFIGURACION SERVIDOR WEB SEGURO TALLER DE SERVIDOR WEB Y ALGUNOS ASPECTOS DE SEGURIDAD Proteger con usuario y clave el alias del sitio web de cada maquina, llamado /comun que carga las paginas encontradas en el directorio /todos ( al menos colocar un página de entrada a ese sitio). Solo se permitirán conexiones web que provengan de su misma máquina o de la máquina del docente y que ingresen con el usuario profe, con clave profe02 o el usuario hector con clave hector02. Además la conexión y transferencia de datos debe ser encriptada.

50

51 QUE ES MAIL (CORREO) Es de las más populares aplicaciones. El correo electrónico permite a los usuarios intercambiar mensajes con cualquier persona del mundo de una forma rápida. Para los negocios, este a sido un gran avance en comunicación.

52 QUE ES MAIL (CORREO) Para diferenciar el nombre del usuario de su dominio se adoptó el carácter que significa "en" (at) entonces la dirección y se puede leer como Carlos en ServidorA" El formato de la dirección para el en internet es de la forma: Ejemplo Donde la organización es el nombre de una compañía, agencia del gobierno, institución de educación, etc.

53 CLIENTE, SERVIDOR Y PROTOCOLO El cliente es un programa habitualmente llamado mail que permite la lectura de los ficheros buzón a cada usuario autorizado. También es capaz de manejar el spool de correo, es decir, de enviar mensajes que serán leídos por el servidor para poder ser distribuidos a otros usuarios. El servicio encargado de proporcionar el intercambio de correo electrónico entre las máquinas se denomina servicio de , y puede ser ofrecido por distintos programas daemon, de los que el más extendido se llama sendmail. El daemon sendmail es el servidor de correo electrónico más popular entre las máquinas de Internet. Según algunos estudios, constituye entre el setenta y el ochenta por ciento de las implementaciones existentes hoy en día.

54 SENDMAIL También se conoce con el nombre de delivery, o bien distribuidor de correo. Realiza su función manteniéndose a la escucha del socket 25, comunicándose con los daemons de otros sistemas para recibir el correo entrante y enviar el correo saliente. En cuanto a la aplicación TCP/IP, se utiliza el protocolo SMTP (Simple Mail Transfer Protocol), el cual se caracteriza por su eficiencia, sencillez y facilidad de depuración, gracias a los mensajes que acompañan a sus comandos.

55 Configuración SENDMAIL Linuxconf

56

57 UTILIDADES PARA ENVIO/RECEPCION DE CORREO Comando mail Pine Desde navegadores ( ejemplo netscape) Outlook de microsof Desde comando sendmail

58 UTILIDADES PARA ENVIO/RECEPCION DE CORREO $ /usr/lib/sendmail -v >> EHLO 250-mc9-f29.bay6.hotmail.com ( ) Hello [ ] 250-SIZE PIPELINING 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-AUTH LOGIN 250-AUTH=LOGIN 250-X-HMAUTH 250 OK

59 UTILIDADES PARA ENVIO/RECEPCION DE CORREO >>> MAIL From: SIZE= OK >>> RCPT To: 250 >>> DATA 354 Start mail input; end with. >>>. 250 Queued mail for delivery Sent ( Queued mail for delivery) Closing connection to mx1.hotmail.com. >>> QUIT 221 mc9-f29.bay6.hotmail.com Service closing transmission channel

60 CORREO BÁSICO UNIX (SENDMAIL) Utilidad mail. Los sistema UNIX proveen varias utilidades para comunicación entre usuarios, siendo la más común mail. De ella existen versiones más o menos diferentes y más o menos poderosas. Para enviar correo se usa el comando mail así: $mail [-t] lista_de_usuarios El programa leerá el mensaje deseado por stdin y lo enviará a cada uno de los usuarios listados en la invocación el comando (Cada usuario en el sistema tiene un "buzón de correo" en el que son depositados los mensajes que le han sido enviados). Cada mensaje es precedido de una "marca de correo" que indica quién lo envió, en qué fecha y el destinatario. La opción -t indica que el mensaje sea además precedido de una lista de todos los usuarios a los que se envió el mensaje.

61 CORREO BÁSICO UNIX (SENDMAIL) Por ejemplo $mail gic

62 CORREO BÁSICO UNIX (SENDMAIL) s [archivo]salvar el mensaje en el archivo dado (y se borra del buzón) w [archivo]como el anterior, pero sin el encabeza­miento (y se borra del buzón) m [usuarios]enviar el mensaje a los usuarios dados (y se borra del buzón) qsalir de mail. xsalir de mail. Todos los mensajes (aún los "borra­dos") se colocan nuevamente en el buzón). ! comandoEjecuta el "comando" dado ?muestra una lista con estas opciones.

63 TALLER BÁSICO UNIX (SENDMAIL) En la máquina del docente hay cuentas de usuario y correo creadas para todos los grupos de trabajo. Desde allí enviar correo con el comando mail a otras cuentas y comprobar su recepción también con el comando mail o pine. Configurar un cliente gráfico de correo para enviar correo y comprobar que envía exitosamente, entre usuarios de la máquina del docente. Configurando su máquina como servidor de correo, crear una cuenta y desde un cliente gráfico enviar correo a la cuenta hector en la máquina del docente.

64 POP3 En un ambiente clásico de trabajo, hay gran cantidad de usuarios que tienen un contrato con un ISP que está siempre conectado a la red y al llegar un mensaje de correo para un usuario de ese ISP el mail-server del ISP debe guardar el mensaje hasta que el usuario se conecte desde diferentes clientes de correo y lo solicite. Apareció el protocolo de oficina postal, POP, que actualmente se encuentra en su versión 3. Este protocolo complementa perfectamente con el SMTP, en la forma en que este último se encarga del envío de correo y su tránsito por la INTERNET hasta el mail-server destino y el POP se encarga de el transporte de los mensajes almacenados en el servidor a usuarios que esporádicamente se conecta a él.

65 POP3

66 Pruebas de POP3 En las máquinas linux, si se instaló el sistema completo, debe estar el servicio ipop3. Se puede habilitar con ntsysv para que inicie con el sistema o desde la carpeta /etc/xinetd.d, para que inicie inmediatamente. Para comprobar si esta en servicio, se envía correo a una cuenta.

67 Pruebas de POP3 Se procede a hacer un telnet a la máquina por el puerto 110, para que nos responda el servicio de pop3 y entrar a dialogar con él.

68 PRUEBAS DE RECEPCION DE CORREO Una vez este comprobado su funcionamiento, ya podemos solicitar a clientes gráficos que lean correo de ese servidor, ya que este utilizan el POP3 para comunicarse con los clientes en la entrega del correo.

69 PRUEBAS DE RECEPCION DE CORREO

70

71

72

73

74

75

76

77 CONTROLES O FILTROS DE CORREO ( DESDE WEBMIN)

78

79 USO DE CORREO ENCRIPTADO (CLIENTES)

80 TALLER CONFIGURACION SERVIDOR CORREO TALLER SERVICIO DE CORREO Configurar un servicio de correo con algunas consideraciones de seguridad. Es decir, la comunicación entre el cliente y el servidor debe ser encriptada ( primero mostrar la forma normal para evidenciar la transparencia de la comunicación y luego encriptarlo y volver a mostrar) y solo se deben permitir salir correos por el servidor de los equipos clientes de cada fila de trabajo. Se deben crear algunas cuentas de correo con el nombre de los intregrantes de los grupos y enviar y recibir correos entre los diferentes servidores dentro de una misma fila. Osea en cada servidor se deben crear cuentas para todos los usuarios clientes de esa fila y todos deben actuar como clientes y servidores alguna vez. Las direcciones de correo deben llevar el nombre de la máquina, pues no hay una máquina predestinada a recibir correo de todo el dominio.

81 NFS (Network File System) NFS es un servicio de red que permite a los usuarios accesar los sistemas de archivos y directorios de otros equipos en la red. Los Hosts pueden ser de diferente marca y sistema operacional. Estas diferencias son transparentes para los usuarios. Se debe tener en cuenta los siguientes conceptos: Servidor:El hosts que permite el acceso a sus sistemas de archivos o directorios locales (este debe exportar sus recursos). Cliente :El hosts que solicita el acceso a sistemas de archivos o directorios de otras máquinas (este debe montar los recursos exportados por otras máquinas).

82 NFS (Network File System) Configuración Manual : Servidor : Editar /etc/exports Correr comando exportfs Cliente: Comando mount Opcionalmente editar /etc/fstab

83 NFS (Network File System) Por interfaz gráfica (servidor exportando recursos)

84 NFS (Network File System) Por interfaz gráfica (cliente, montando recursos)

85 NFS (Network File System) Por interfaz gráfica (cliente, archivo /etc/fstab) # cat fstab LABEL=/ / ext3 defaults 1 1 none /dev/pts devpts gid=5,mode= none /proc proc defaults 0 0 none /dev/shm tmpfs defaults 0 0 /dev/hda3 swap swap defaults 0 0 /dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro 0 0 /dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0 /dev/hda1/winmsdos exec,dev,suid,rw 1 1 hector.edu.co:/usr/local/prestadonfs noexec,dev,suid,rw 1 1

86 NFS (Network File System) TALLER DE SERVICIO NFS Configurar el servicio de NFS de los equipos de la sala, para exportar el directorio /var/log, pero solo pueden tener acceso a este, los equipos de la misma fila de su equipo. De igual forma comprobar que pueden acceder el directorio que su vecino exporto ( var/log) y montarlo sobre el directorio /prestado, previamente creado.

87 PROXY Configuración manual de squid ( segmento de archivo /etc/squid/squid.conf) acl red src "/etc/squid/lista-ip-validas" acl negados url_regex "/etc/squid/sitios-negados" #acl red src / # TAG: http_access #Allowing or Denying access based on defined access lists # #Access to the HTTP port: #http_access allow|deny [!]aclname... # #NOTE on default values: # #If there are no "access" lines present, the default is to deny #the request.

88 PROXY Configuración manual de squid ( segmento de archivo /etc/squid/squid.conf) #If none of the "access" lines cause a match, the default is the #opposite of the last line in the list. If the last line was #deny, then the default is allow. Conversely, if the last line #is allow, the default will be deny. For these reasons, it is a #good idea to have an "deny all" or "allow all" entry at the end #of your access lists to avoid potential confusion. # #Default: # http_access deny all http_access deny negados http_access allow localhost http_access allow red http_access deny all #

89 PROXY Personalizando los mensajes de error squid]# cd errors errors]# ls ERR_ACCESS_DENIED ERR_FTP_NOT_FOUND ERR_READ_ERROR ERR_FTP_PUT_CREATED ERR_READ_TIMEOUT ERR_CACHE_ACCESS_DENIED ERR_FTP_PUT_ERROR ERR_SHUTTING_DOWN ERR_CACHE_MGR_ACCESS_DENIED ERR_FTP_PUT_MODIFIED ERR_SOCKET_FAILURE ERR_CANNOT_FORWARD ERR_FTP_UNAVAILABLE ERR_TOO_BIG ERR_CONNECT_FAIL ERR_INVALID_REQ ERR_UNSUP_REQ ERR_DNS_FAIL ERR_INVALID_URL ERR_URN_RESOLVE ERR_FORWARDING_DENIED ERR_LIFETIME_EXP ERR_WRITE_ERROR ERR_FTP_DISABLED ERR_NO_RELAY ERR_ZERO_SIZE_OBJECT ERR_FTP_FAILURE ERR_ONLY_IF_CACHED_MISS generic ERR_FTP_FORBIDDEN errors README

90 PROXY Personalizando los mensajes de error # cat ERR_ACCESS_DENIED ERROR LA ADMINISTRACION DE LA EMPRESA INFORMA QUE ESTOS SITIOS WEB TIENEN ACCESO RESTRINGIDO DIRECCION DEL SITIO RESTRINGIDO: %U%U MENSAJE DE ERROR Access Denied. Las politicas de acceso a internet tienen restringido este sitio Si es de acceso vital, por favor contacte al Administrador de la red Para contactar a su administrador, enviar a: %w.%w

91 PROXY Restricción de sitios squid]# cat sitios-negados napster sex porn mp3 xxx adult astalavista Restricción de clientes Se incluye la lista de Ips validas a salir por el proxy en archivo lista-ip-validas

92 PROXY Configuración gráfica de squid ( webmin)

93 PROXY Configuración gráfica de squid ( webmin)

94 PROXY Configuración gráfica de squid ( webmin) # service squid stop Parando squid: 2003/01/13 10:53:58 | aclParseIpData: WARNING: Netmask masks away part of the specified IP in ' / ' [ OK ] # service squid start Iniciando squid: [ OK ]

95 PROXY Configuración proxy transparente En condiciones normales, a todos los clientes se les debe especificar en el navegador quien es el servidor proxy ( se debe dar la dirección IP o nombre de la máquina proxy y el puerto por el cual escucha las peticiones). Si una red tiene demasiados clientes este trabajo puede ser dispendioso. Se puede hacer una configuración especial para implementear un proxy, sin que los usuarios deban enterarse de que en la red hay este servicio de proxy. Se deseará simular que cada paquete que pase por su máquina Linux esté destinado a un programa en la propia máquina. Esto se utiliza para hacer proxies transparentes: un proxy es un programa que filtrando las comunicaciones entre la red y el mundo real, permite control de accesos a internet, caché, control de sitios visitados, etc.. La parte transparente se debe a que su red nunca tendrá por qué enterarse de que está comunicándose con un proxy, a menos, claro, que el proxy no funcione. Se requiere el uso de IPTABLES

96 PROXY Configuración proxy transparente Que es IPTABLES ? Iptables, se usa para configurar, mantener e inspeccionar las reglas de cortafuegos IP del núcleo Linux. Es un descendiente directo de ipchains (que vino de ipfwadm, que vino del ipfw IIRC de BSD), con extensibilidad. Los módulos del kernel pueden registrar una tabla nueva, e indicarle a un paquete que atraviese una tabla dada. Este método de selección de paquetes se utiliza para el filtrado de paquetes, para la Traducción de Direcciones de Red (NAT) y para la manipulación general de paquetes antes del enrutamiento. Una de las ventajas de iptables sobre ipchains es que es pequeño y rápido. # Envía el tráfico que llega a la máquina que filtra el tráfico ( o firewall) y que va dirigido al puerto 80 (web) a nuestro proxy squid instalado en el mismo servidor (transparente) iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to- port 3128

97 PROXY TALLER DE CONFIGURACIÓN DE PROXY BASICO Configurar cada máquina como proxy que permita solo la salida a los PCs de la misma fila de trabajo ( los equipos permitidos se incluirán en un archivo llamado clientes-permitidos). Se debe restringir la salida a sitios como hotmail, yahoo, playboy ( estos sitios se deben incluir en un archivo llamado prohibidos)y se debe personalizar el mensaje que muestra al usuario final cuando trate de salir a uno de estos sitios prohibidos. Se debe activar el log de acceso para poder monitorer lo que hace la gente en internet ( todas las salidas o peticiones que se hacen al proxy) y comprobar que las peticiones que se le hacen al proxy quedan registradas.

98 SSH (Secure Shell ) Cuando se realiza una conexión a un servidor remoto usando por ejemplo el comando telnet o ftp, el login(usuario) y password(contraseña) son transmitidos en la red de forma clara, lo cual representa un gran riesgo si llega a existir sobre la red un programa que capture la información, basándose en el modo promiscuo de las redes ethernet (comúnmente llamado sniffer), ocasionado obtener tanto el login como el password y pudiendo posteriormente irrumpir en el servidor con esta información.

99 SSH (Secure Shell ) Secure Shell y OpenSSH permiten realizar la comunicación y transferencia de información de forma cifrada proporcionando fuerte autenticación sobre el medio inseguro.

100 Acceso desde clientes Windows (verificando con un sniffer el password encriptado)

101 FINGER Permiten la consulta de información del usuario, tanto del sistema local, como uno remoto. El servicio finger no es un protocolo, solo es un programa de usuario final que utiliza TCP para la comunicación con el servidor in.fingerd. Ejm: Desde la máquina Luis deseo ver que usuarios están trabajando en la máquina jorge:

102 FINGER Ahora se presenta el caso inverso. Desde la máquina jorge preguntamos que usuarios están en Luis. Se puede verificar un usuario en particular. Para que un sistema responda debe tener activo su servicio in.fingerd en el xinetd.d

103 FTP FTP (File Transfer Protocol) File Transfer protocol. Permite a los usuarios accesar y transmitir archivos en servidores localizados sobre internet. Estos servidores se pueden acceder a través de un browser (ejm: ftp://ftp.microsoft.com) o por línea de comandos (ejm: ftp ftp.microsoft.com). En el primer caso toda la interación se hace con el mouse y de esta forma se puede hacer el download de archivos. En el segundo caso es necesario conocer la sintaxis de los comandos FTP. ftp://ftp.microsoft.com ftp.microsoft.com Cuando un usuario entra a un servidor FTP con una cuenta normal, puede desplazarse por todo el árbol de unix donde tenga permisos de lectura ( la mayoría) y pone en riesgo la confidencialidad de la información del sistema. Es aconsejable no habilitar este servicio cuando la máquina esta conectada a internet y en caso de ser vital, mejor e configura el servicio ftp anonymous.

104 FTP FTP ANONYMOUS La configuración se puede realizar desde el interfaz linuxconf o, desde webmin, para tres tipos de cuentas : Anónimo ( Anonymous) : que es la más usual en internet, donde un usuario con ese nombre llega a un servidor y puede entrar con cualquier password, pero cae en un directorio público, de donde generalmente sólo puede leer los archivos que están permitidos. Invitado : Usuario guest, con un password. Real : Usuario con un login que debe existir en el sistema y un password.

105 FTP TALLER FTP Habilitar el servicio FTP en las máquinas linux. Entrar con un usuario normal y ver que pueden hacer. Tratar de recorrer el árbol de diretorios linux y llevarse archivos del sistema. Hacerlo desde línea de comandos, y desde interfaz gráfico. Configurar el usuario anonymous, definiendo en /var/ftp la raíz ficticia. Crear si no la tiene una estructura similar a unix allí. En una carpeta llamada publico colocar los archivos que se desean publicar. No dar permisos de que escriban allí, ni borren. Pedir que el usuario anonymous debe digitar algo que contenga ( por ejemplo Configurar el servidor para que solo permita el acceso a ftp con la cuenta anonymous. No permitir ningún usuario diferente así este creado en la máquina.

106 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER TCP Wrappers permite controlar y proteger los servicios de red, limitando el acceso como sea posible, y registrado todos las conexiones para hacer el trabajo de detectar y resolver problemas de forma más fácil. TCP Wrappers es una herramienta simple que sirve para monitorear y controlar el tráfico que llega por la red. Esta herramienta ha sido utilizada exitosamente en la protección de sistemas y la detección de actividades ilícitas. Fue desarrollada por Wietze Zweitze Venema y esta basada en el concepto de Wrapper; es una herramienta de seguridad libre y muy útil. Un Wrapper es un programa para controlar el acceso a un segundo programa. El Wrapper literalmente cubre la identidad del segundo programa, obteniendo con esto un más alto nivel de seguridad.

107 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER Debo configurar 2 archivos, donde especifico quien accederá a los servicios de mi servidor tcpwrapper, estos archivos son: /etc/hosts.allow y /etc/hosts.deny. La sintaxis de estos archivos es muy simple: servicio: host: acción servicio: es el nombre del servicio, que generalmente esta dentro de los archivos respectivos del directorio xinet.d, por ejemplo son servicios el in.telnetd,in.fingerd. Si queremos referirnos a todos los puertos bastará con poner ALL, también podemos poner una lista de servicios separados por espacios en blanco.

108 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER host: es una o mas direcciones de red separadas por espacios en blanco, esta direccion se contrasta con la del sistema que nos hace la petición de conexión. La dirección puede ser del tipo IP numerica, IP/mask, rango de IP (por ejemplo ), dominio (como por ejemplo sts.com), grupo de dominios (como por ejemplo.com). acción: puede tener 4 valores, accept (acepta la conexion si se cumplen las condiciones impuestas por servivio/host), deny (rechaza la conexion, spawn (acepta la conexion y realiza el comando bash que se le pasa como parametro) y twist (rechaza la conexion y realiza el comando bash).

109 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER Ejemplo : Archivo /etc/hosts.allow Se le dieron todos los servicios a las máquinas que aparecen en esta pantalla

110 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR USO DEL TCPWRAPPER Ejemplo : /etc/hosts.deny # Niega todos los servicios a todos las máquinas excepto a una en # específico: AALL:ALL EXCEPT

111 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR Ejemplo 4:Cerrado para todos excepto para las conexiones locales ( que se emitan desde la misma máquina: #/etc/hosts.allow ALL: ALL: ALL: deny Ejemplo 5.Conexion local total, red local acceso por telnet y ftp, resto cerrado: #/etc/hosts.allow ALL: in.telnetd in.ftpd: LOCAL ALL: ALL: deny

112 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR Ejemplo 6. Sistema cerrado con informe de accesos: /etc/hosts.allow ALL: ALL: twist ( /usr/bin/echo -e "Intruso %a en puerto %d" ) Ejemplo 7: Sistema abierto a la red local con reporte y cerrado al exterior con reporte: #/etc/hosts.allow ALL: LOCAL: spawn ( echo -e "Acceso autorizado de %a por %d" ) & ALL: ALL: twist ( /bin/echo -e "INTRUSO! %a, usando puerto %d" ) &

113 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.2. TALLER CON TCPWRAPPERS Se desean permitir algunos servicios e implementar un mecanismo de detección de intrusos en cada máquina Linux de los estudiantes. Cada máquina de los grupos de trabajo, deben permitir hacer telnet desde las máquinas de la misma fila exclusivamente ( desde ninguna otra máquina de la sala, ni de internet), pero se desea llevar un rastro de que máquinas han usado este servicio ( el rastro debe quedar en un archivo llamado /etc/rastrotelnet). Todos los demás servicios manejados por el xinetd no deben ser permitidos, y se desea dejar rastro de los intentos de las otras máquinas de utilizarlos en un archivo llamado /etc/intrusos).

114 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.3. FILTRADO CON IPTABLES (TALLER DE INVESTIGACION Y EJERCICIO ) Leer documento PDF entregado por el docente, para entender el funcionamiento de las reglas de Iptables, para desarrollar el ejercicio planteado.

115 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES

116 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeño firewall en una máquina Linux así: En la red hay 20 Pcs y dos servidores y se requiere que estos PCs y servidores pueden accesar internet sin requerir a un proxy. Se desea implementar proxy transparente. A diferencia del punto anterior se desea colocar un proxy con su cache y restricciones de sitios web, pero que los usuarios no sepan de la existencia de este o deban hacer cambios en las configuraciones. Las conexiones externas dirigidas al firewall por el puerto 80, se deben dirigir internamente al servidor web por ese puerto.

117 4. PROTECCIÓN DE LOS SERVICIOS DE INTERNET Y EL SERVIDOR 4.4. EJERCICIO TEORICO CON IPTABLES Se deben escribir las reglas correspondientes ( iptables) que permitan implementar un pequeño firewall en una máquina Linux así: Las conexiones dirigidas al firewall para entregarle correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. Algunos usuarios pueden leer correo de forma encriptada desde el exterior de la red usando el outlookp con SSL. Las conexiones dirigidas al firewall para pedir correo se deben dirigir internamente al servidor de correo por el puerto correspondiente. No se deben permitir más conexiones ni servicios hacia adentro de ninguna clase ni hacia ninguna otra máquina.

118 5. SERVICIOS DE RED CON WINDOWS XP CONFIGURACIÓN BASICA DE LA RED Y PARÁMETROS

119 5. SERVICIOS DE RED CON WINDOWS XP CONFIGURACIÓN BASICA DE LA RED Y PARÁMETROS

120 5. SERVICIOS DE RED CON WINDOWS XP CONFIGURACIÓN BASICA DE LA RED, OPCIONES DE FIREWALL BASICO

121 5. SERVICIOS DE RED CON WINDOWS XP CONFIGURACIÓN BASICA Para asignar o cambiar el nombre del computador, podemos hacer clic en las propiedades de MI PC y por la pestaña de Nombre de equipo utilizamos el botón Cambiar.

122 5. SERVICIOS DE RED CON WINDOWS XP 5.2 COMANDOS BÁSICOS TCP/IP PARA MONITOREO

123 5. SERVICIOS DE RED CON WINDOWS XP 5.3. SERVICIOS DE INTERNET (WEB) Para realizar la configuración de IIS 5.1, entramos por panel de control – herramientas administrativas – Servicios de Internet Information Server

124 5. SERVICIOS DE RED CON WINDOWS XP 5.3. SERVICIOS DE INTERNET

125 5. SERVICIOS DE RED CON WINDOWS XP 5.3. SERVICIOS DE INTERNET (FTP)

126 5. SERVICIOS DE RED CON WINDOWS XP 5.3. SERVICIOS DE INTERNET (SMTP) El servicio de SMTP permite un servidor de correo electrónico virtual para el envió de mensajes de correo electrónico. Mas no ofrece buzones de correo y otras características propias de un servidor de correo. La conexión establecida por un cliente al servicio SMTP virtual es por defecto anónima.

127 5. SERVICIOS DE RED CON WINDOWS XP 5.3. SERVICIOS DE INTERNET (SMTP)

128 5. SERVICIOS DE RED CON WINDOWS XP 5.4 TALLER Cambie el nombre del equipo y verifique que el cambio es reflejado cuando se utiliza el comando ping para resolver el nombre de la maquina. Verifique conectividad con otros equipos de la sala y resuelva el nombre de cada uno de los equipos. Cree una pagina web con el nombre de principal.htm y actívela como pagina por defecto del sitio web predeterminado. Esta página debe ser vista desde los otros equipos de la red. Cree tres carpetas en el raíz del sitio ftp y en cada una incluya un archivo de texto. Verifique si es posible descargar estas archivos y como se presentan en la interfase grafica del Internet Explorer.


Descargar ppt "ADMINISTRACION DE REDES DE COMPUTADOR Utilizar software para administrar redes de acuerdo con las normas internacionales Para ver videos y demás ingresar."

Presentaciones similares


Anuncios Google