UNIVERSIDAD PRIVADA TELESUP
1
UNIVERSIDAD PRIVADA TELESUP
Prefacio:
La asignatura es de naturaleza práctico – teórico, ha sido elaborado con un enfoque orientado a la administración de Redes y Telecomunicaciones de datos, en virtud de la necesidad de contar con profesionales con altos conocimiento en esta materia. La administración de redes es un conjunto de técnicas tendientes a
mantener
una
red
operativa,
eficiente,
segura,
constantemente monitoreada y con una planeación adecuada y propiamente documentada. Algunos de los objetivos que persigue la administración de redes son: Mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, resolución de problemas y suministro de recursos, Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda, Reducir costos por medio del control de gastos y de mejores mecanismos de cobro, Hacer la red más segura, protegiéndola contra el acceso no autorizado, haciendo imposible que personas ajenas puedan entender la información que circula en ella, etc. En el presente texto se propone desarrollar en el estudiante las competencias necesarias para comprender el fundamento y aplicación de las principales tecnologías de administración de Redes.
Comprende cuatro Unidades de Aprendizaje: Unidad I: Fundamento de Administración de Redes. Unidad II: Administración de Redes Usando Linux. Unidad III: Tecnología Proxy Server. Unidad IV: La Tecnología Firewall.
2
UNIVERSIDAD PRIVADA TELESUP
Estructura de los Contenidos Administración de redes usando Linux
Tecnología Proxy Server
La Tecnología Firewall
¿Qué es la administración de red?
Linux Debian.
Servidor Proxy.
Firewall y Enrutamiento.
Centro de Gestión de Red.
Servidor FTP.
Tipos de Servidores Proxy.
Fundamento de Administración de Redes
Servidor Telnet.
Simple Network Management Protocol.
Herramientas SMNP.
Configuración del Servidor Proxy Caché.
Servidor Open SSH.
Configuración del Servidor Proxy Transparente.
Tipos de Firewall según su Implementación.
Firewall Iptables.
Configuración Avanzada de Iptables.
La competencia que el estudiante debe lograr al final de la asignatura es: “Elaborar e Implementar proyectos de administración de datos
y
redes
de
comunicación,
empleando
una
metodología apropiada para los resultados satisfactorios de los diseños planificados”.
3
UNIVERSIDAD PRIVADA TELESUP
Índice del Contenido
I. PREFACIO II. DESARROLLO DE LOS CONTENIDOS UNIDAD DE APRENDIZAJE 1: FUNDAMENTO DE ADMINISTRACIÓN DE REDES 1. Introducción a. Presentación y contextualización b. Competencia c. Capacidades d. Actitudes e. Ideas básicas y contenido 2. Desarrollo de los temas a. Tema 01:¿Qué es la administración de red? b. Tema 02: Centro de Gestión de Red. c. Tema 03: Simple Network Management Protocol. d. Tema 04: Herramientas SMNP. 3. Lecturas recomendadas 4. Actividades 5. Autoevaluación 6. Resumen UNIDAD DE APRENDIZAJE 2: ADMINISTRACIÓN DE REDES USANDO LINUX 1. Introducción a. Presentación y contextualización b. Competencia c. Capacidades d. Actitudes e. Ideas básicas y contenido 2. Desarrollo de los temas a. Tema 01: Linux Debian. b. Tema 02: Servidor FTP. c. Tema 03: Servidor Telnet. d. Tema 04: Servidor Open SSH. 3. Lecturas recomendadas 4. Actividades 5. Autoevaluación 6. Resumen UNIDAD DE APRENDIZAJE 3: TECNOLOGÍA PROXY SERVER 1. Introducción a. Presentación y contextualización b. Competencia c. Capacidades d. Actitudes e. Ideas básicas y contenido 2. Desarrollo de los temas a. Tema 01: servidor proxy. b. Tema 02: Tipos de Servidores proxy . c. Tema 03: Configuración del Servidor Proxy caché. d. Tema 04: Configuración del Servidor Proxy transparente. 3. Lecturas recomendadas 4. Actividades 5. Autoevaluación 6. Resumen UNIDAD DE APRENDIZAJE 4: LA TECNOLOGÍA FIREWALL 1. Introducción a. Presentación y contextualización b. Competencia c. Capacidades d. Actitudes e. Ideas básicas y contenido 2. Desarrollo de los temas a. Tema 01: Firewall y enrutamiento. b. Tema 02: Tipos de Firewall según su Implementación. c. Tema 03: Firewall iptables. d. Tema 04: Configuración avanzada de iptables. 3. Lecturas recomendadas 4. Actividades 5. Autoevaluación 6. Resumen III. GLOSARIO IV. FUENTES DE INFORMACIÓN V. SOLUCIONARIO
02 03 - 110 05-29 06 06 06 06 06 06 07-25 07 12 16 22 26 26 27 29 30-60 31 31 31 31 31 31 32-56 32 39 45 51 57 57 58 60 61-86 62 62 62 62 62 62 63-82 63 67 72 79 83 83 84 86 87-106 88 88 88 88 88 88 89-102 89 92 95 98 103 103 104 106 107 109 110
4
UNIVERSIDAD PRIVADA TELESUP
5
UNIVERSIDAD PRIVADA TELESUP
Introducción
a) Presentación y contextualización Los temas que se tratan en la presente Unidad, tienen por finalidad que el estudiante conozca la teoría y práctica de la importancia de la administración de redes y telecomunicaciones en la actualidad.
b) Competencia Relaciona adecuadamente los principales fundamentos teóricos y prácticos en el proceso de administración de las redes, evaluando las herramientas básicas para su utilidad.
c) Capacidades 1. Conoce las generalidades y enfoques de la administración de redes y telecomunicaciones. 2. Explica las principales gestiones de red, identificando el centro adecuado para su operación. 3. Reconoce el Simple Network Management Protocol como un protocolo de aplicación que facilita el intercambio de información de administración entre dispositivos de red. 4. Describe las características y funcionalidades de las herramientas SMNP.
d) Actitudes Promueve la adecuada administración de las redes y telecomunicaciones. Muestra interés para la investigación de las principales herramientas SMNP.
e) Presentación de Ideas básicas y contenido esenciales de la Unidad: La Unidad de Aprendizaje 01: Fundamento de Administración de Redes, comprende el desarrollo de los siguientes temas: TEMA 01: ¿Qué es la administración de red? TEMA 02: Centro de Gestión de Red. TEMA 03: Simple Network Management Protocol. TEMA 04: Herramientas SMNP.
6
UNIVERSIDAD PRIVADA TELESUP
¿Qué es la
TEMA 1
Administración de Red? Competencia: Conocer las generalidades y enfoques de la administración de redes y telecomunicaciones.
7
UNIVERSIDAD PRIVADA TELESUP
Desarrollo de los Temas
Tema 01: ¿Qué es la Administración de Red? ADMINISTRACIÓN DE RED
-
Redes pequeñas, medianas y grandes.
-
Redes Heterogéneas.
-
La monitorización no puede hacerse a mano.
¿Qué se requiere? Herramientas Automatizadas Que permita la gestión de:
Fallos
Cuentas, de configuración y nombres
Prestaciones
Seguridad
Propósito de la administración de red La A.R. tiene como propósito: La utilización y coordinación de los recursos para planificar, organizar, mantener, supervisar, evaluar, y controlar los elementos de las redes de comunicaciones para adaptarse a la calidad de servicio necesaria, a un determinado costo.
Elementos de un Sistema de Gestión 1. El gestor 2. El agente 3. El protocolo de gestión 4. La base de información de gestión (MIB, Management Information Base)
8
UNIVERSIDAD PRIVADA TELESUP
•
El gestor: Es la parte de la aplicación que emite las directivas de operaciones de gestión y recibe notificaciones y respuestas. .
•
El agente: Tiene la función de responder a las directivas enviadas por el gestor
•
La MIB: Es el conjunto de objetos gestionados
que representan a los
recursos de la red que permiten algún tipo de gestión en una forma abstracta. •
El protocolo: Es el conjunto de especificaciones y convenciones que gobiernan la interacción de procesos y elementos dentro de un sistema de gestión.
“En
la
actualidad
SNMP
(Simple
Network
Management Protocol), forma parte del modelo de gestión de internet, y CMIP(Common Management Information protocol), es parte del modelo de gestión OSI son los protocolos predominantes”
Infraestructura para la administración de red El dispositivo gestionado contiene objetos gestionados cuyos datos se reúnen en la base de información de gestión (MIB)
9
UNIVERSIDAD PRIVADA TELESUP
Estándares de administración de red CMIP de OSI: Protocolo de información de gestión corriente. Diseñado en los años 80: el estándar de gestión para unificación de la red Estandarizado muy lentamente.
SNMP: Protocolo sencillo de gestión de red: Orígenes de Internet (SGMP). Comienzo sencillo. Desarrollado y adoptado rápidamente. Crecimiento: tamaño, complejidad. Actualmente: SNMP V3. Estándar de gestión de red de facto
Áreas funcionales Gestión de Fallas –
Establece la generación de notificaciones específicas de error (alarmas),
–
El registro de las notificaciones de error
–
La verificación de los recursos de red para trazar e identificar fallas.
10
UNIVERSIDAD PRIVADA TELESUP
Gestión de configuración Se distribuye en actividades de inicialización, instalación, y abastecimiento. Esto permite tener información de configuración y estado en demanda, proporcionando facilidades de inventario y además soporta el anuncio de cambios de configuración a través de notificaciones relevantes
Gestión de contabilidad Consiste en actividades de recolección de información de contabilidad y su procesamiento para propósitos de cobranza y facturación. Actividades establecen un límite contable para que un conjunto de costos se combinen con recursos múltiples y se utilicen en un contexto de servicio.
Gestión de desempeño Proporciona información en forma ordenada para determinar la carga del sistema y de la red bajo condiciones naturales y artificiales. Proporciona estadísticas y permite actividades de planeación de configuración.
Gestión de seguridad La gestión de seguridad misma, la cual requiere la habilidad para supervisar y controlar la disponibilidad de facilidades de seguridad, y reportar amenazas y rupturas en la seguridad. La seguridad de la gestión, la cual requiere la habilidad para autentificar usuarios y aplicaciones de gestión, con el fin de garantizar la confidencialidad e integridad de intercambios de operaciones de gestión y prevenir accesos no autorizados a la información.
Definición administración de redes •
La Administración de red se define como el conjunto de actividades dedicadas al control y vigilancia de recursos de telecomunicación.
•
Su principal objetivo es garantizar un nivel de servicio en los recursos gestionados con el mínimo coste.
11
UNIVERSIDAD PRIVADA TELESUP
Centro de Gestión de Red
TEMA 2
Competencia: Explicar las principales gestiones de red, identificando el centro adecuado para su operación.
12
UNIVERSIDAD PRIVADA TELESUP
Tema 02: Centro de Gestión de Red INTRODUCCIÓN Los métodos de gestión de red deben ser puestos en práctica mediante la organización de un CGR, que va a disponer de tres clases de recursos: a) Métodos de Gestión. b) Recursos humanos. c) Herramientas de apoyo.
Gestión autónoma • Las primeras redes tenían pocos nodos y cada uno de ellos poseía su propio sistema de gestión local. •
Las decisiones que afectaban a más de un nodo,
implicaban la comunicación con cada uno de los administradores de red.
Gestión heterogénea •
Las redes crecen y evolucionan a partir de la incorporación de una amplia variedad de tecnologías.
•
Esta evolución de las redes ha traído consigo la necesidad de que coexistan sistemas de gestión de red de muy diversas naturaleza.
13
UNIVERSIDAD PRIVADA TELESUP
Modelo de gestión integrada Los organismos de normalización han definido tres modelos principales para la gestión de red integrada: Arquitectura TMN (Telecommunications
Management
Network o Red de Gestión de las Telecomunicaciones) Gestión de red OSI (Open Systems Interconnection Interconexión de Sistemas Abiertos) Gestión Internet Definida por la ISOC para gestión de redes TCP/IP.
El modelo de gestión en internet • En los setenta el número de nodos de Internet era muy reducido se gestionaba Internet con las facilidades que ofrecía el protocolo ICMP, como el PING. •
Cuando
Internet
avanzó
en
complejidad,
multiplicando el número de nodos se empezó a trabajar en tres soluciones diferentes, que se definieron en 1987:
14
UNIVERSIDAD PRIVADA TELESUP
•
SGMP
(Simple
Gateway
Monitoring
Protocol),
Protocolo
Simple
de
Monitorización de Pasarelas. Sencillo Protocolo orientado fundamentalmente a la gestión de pasarelas IP. Posteriormente pasaría a llamarse SNMP (Simple Network Management Protocol), Protocolo Simple de Gestión de Red.
•
HEMS
(High-Level
Entity
Management
System), Sistema de Gestión de Entidades de Alto Nivel. Nunca llegó a tener aplicación práctica. •
CMOT (CMIP). Adopción de los estándares ISO como marco de gestión para Internet sobre una torre de protocolos TCP/IP.
•
En 1990 el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En 1992, se comenzó el trabajo para especificar una nueva versión de SNMP, la SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización. SNMPV3
15
UNIVERSIDAD PRIVADA TELESUP
Simple Network Management Protocol
TEMA 3
Competencia: Reconocer el Simple Network Management Protocol como un protocolo de aplicación que facilita el intercambio de información de administración entre dispositivos de red.
16
UNIVERSIDAD PRIVADA TELESUP
Tema 03: Simple Network Management Protocol INTRODUCCIÓN SNMP es un protocolo de nivel de aplicación para consulta a los diferentes elementos que forma una red, (routers, switches, hubs, hosts, módems, impresoras, etc). Cada equipo conectado a la red ejecuta unos procesos (agentes), para que se pueda realizar una administración tanto remota como local de la red. Dichos procesos van actualizando variables (manteniendo históricos) en una base de datos, que pueden ser consultadas remotamente.
Por ejemplo, en el caso de: Un router: interfaces activos, la velocidad de sus enlaces serie, número de errores, bytes emitidos, bytes recibidos. En una impresora: que se terminó el papel. En un modem: la pérdida de conexión, etc. En un switch: bocas conectadas, desconectar una boca en el caso de IPs duplicadas, si la máquina está infectada de virus, etc. –
Hasta el momento existen tres versiones del protocolo:
–
SNMPv1 (versión 1),
–
SNMPv2 (versión 2)
–
SNMPv3 (versión 3). Las tres son muy parecidas, solo que SNMPv2 tiene algunas mejoras sobre la primera versión, y de la misma forma SNMPv3 tiene ciertas ventajas sobre la segunda versión.
SNMP: arquitectura 4 componentes principales: Estación (o consola) de administración Agente de administración Base de información de administración Protocolo de administración
17
UNIVERSIDAD PRIVADA TELESUP
SNMP facilita la comunicación entre la estación administradora y el agente de un dispositivo de red (o nodo administrado), permitiendo que los agentes transmitan datos estadísticos (variables) a través de la red a la estación de administración.
Componentes de la arquitectura SNMP
18
UNIVERSIDAD PRIVADA TELESUP
Funcionamiento de SNMP La forma normal de uso del SNMP es el sondeo (o pooling): 1. Pregunta: que la estación administradora envíe una solicitud a un agente (proceso que atiende petición SNMP) pidiéndole información
o mandándole
actualizar su estado de cierta manera. Este método se conoce como sondeo. 2. Respuesta: la información recibida del agente es la respuesta o la confirmación a la acción solicitada. 3. Problema del sondeo: se incrementa con los nodos administrados y en ocasiones puede llegar a perjudicar el rendimiento de la red. Método Interrupción (trap): Es mejor que un agente pueda mandar la información
al
nodo
administrador
puntualmente,
ante
una
situación
predeterminada, por ejemplo una anomalía detectada en la red
SNMP: protocolos SNMP es independiente del protocolo (IPX de SPX/IPX de Novell, IP con UDP) SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayoría de los casos. Con UDP, el protocolo SNMP se implementa utilizando los puertos 161 y 162. •
Puerto 161 se utiliza para las transmisiones normales de comando SNMP
•
Puerto 162 se utiliza para los mensajes de tipo “trap” o interrupción.
Pila de protocolos en SNMP para TCP/IP
19
UNIVERSIDAD PRIVADA TELESUP
Elementos de la arquitectura SNMP Nodos administrados que ejecutan agentes SNMP y estación administradora o consola de administración mantienen una base de datos MIB con formato SMI Estructura e identificación de la información sobre la administración (Structrure of Management Information SMI): Una especificación que permite definir las entradas en una MIB. Base de información de la administración (MIB): Una base de datos relacional (organizada por objetos o variables y sus atributos o valores) que contiene información del estado y es actualizada por los agentes. Un subconjunto es el MIB-2. Información común soportado por todos los dispositivos SNMP: El método de comunicación entre los dispositivos administrados y los servidores.
Funcionamiento de SNMP
20
UNIVERSIDAD PRIVADA TELESUP
Obtención de información
Generación de interrupciones
21
UNIVERSIDAD PRIVADA TELESUP
TEMA 4
Herramientas SMNP Competencia: Describir las características y funcionalidades de las herramientas SMNP.
22
UNIVERSIDAD PRIVADA TELESUP
Tema 04: Herramientas SMNP MRTG: MULTI ROUTER TRAFFIC GRAPHER (1/2) Multi Router Traffic Grapher (MRTG) es una herramienta para monitorización de tráfico en las redes y sus enlaces tanto internos como externos. MRTG genera páginas HTML con imágenes PNG, que ofrecen una visión en tiempo real del tráfico.
MRTG está escrito en el Perl y C y trabaja bajo UNIX y el NT. MRTG es un script en Perl que utiliza SNMP para leer cualquiera de los atributos de los objetos (contadores) de los routers y un programa rápido en C que procesa la información para visualizarla gráficamente en tiempo real. Además, MRTG guarda la información por semanas, meses y años, monitorización hasta 200 enlaces. MRTG se utiliza generalmente para monitorizar la carga del sistema, sesiones establecidas, tráfico, errores, etc
Instalación de MRTG MRTG es de libre distribución y debe ser utilizado bajo los términos de GNU General Public License. Para la descarga de la aplicación: http://www.mrtg.org/
Aplicación SNMP: Netflow Se trata de un protocolo propietario de Cisco soportado en la actualidad por todas las líneas de switches y routers Cisco. Este protocolo permite a los dispositivos colectar información referida a todo tráfico que atraviesa los enlaces y enviar la información referida a ese tráfico utilizando UDP a un dispositivo que recibe la denominación de NetFlow Collector.
23
UNIVERSIDAD PRIVADA TELESUP
Aplicación SNMP: CiscoWorks 2000 Permiten ver la configuración.
Muestran la topología de la red.
Facilita la obtención de reports.
Permite actualizar IOS y descubrir nuevas versiones.
24
UNIVERSIDAD PRIVADA TELESUP
Aplicación SNMP: Tivoli Tivoli es actualmente conocida como una familia de software de IBM para la administración de infraestructura de tecnología de la información.
Entre los productos más reconocidos de esta familia de software tenemos a: o o
Tivoli Storage Manager Tivoli Configuration Manager
25
UNIVERSIDAD PRIVADA TELESUP
Lecturas Recomendadas
INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES Y TELECOMUNICACIONES http://www.slideshare.net/radiocomunicaciones_utpl/introduccin-a-laadministracin-de-redes
CÓMO CONFIGURAR SNMP http://www.alcancelibre.org/staticpages/index.php/como-linux-snmp
Actividades y Ejercicios
1. En un documento en Word mencione y describa las principales herramientas SNMP. Envíalo a través de "Herramientas SNMP".
2. En un documento en Word explique las principales funciones y utilidades del Simple Network Management Protocol. Envíalo a través de "Funciones SNMP".
26
UNIVERSIDAD PRIVADA TELESUP
Autoevaluación
1) Es la parte de la aplicación que emite las directivas de operaciones de gestión y recibe notificaciones y respuestas: a. El agente. b. La MIB. c. El protocolo. d. El gestor. e. El procesador. 2) Consiste en actividades de recolección de información de contabilidad y su procesamiento para propósitos de cobranza y facturación: a. Gestión de presupuesto. b. Gestión de contabilidad. c. Gestión de recolección. d. Gestión de facturación. e. Gestión de tesorería. 3) Proporciona información en forma ordenada para determinar la carga del sistema y de la red bajo condiciones naturales y artificiales: a. Gestión de organización. b. Gestión de planificación. c. Gestión de presupuestación. d. Gestión de desempeño. e. Gestión de operación. 4) En _____el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En _____, se comenzó el trabajo para especificar una nueva versión de SNMP, la SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización. SNMPV3. a. 1990 – 1992. b. 1992 – 1997. c. 1991 – 1995. d. 1993 – 1998. e. 1994 – 1999. 5) En los setenta el número de nodos de Internet era muy reducido se gestionaba Internet con las facilidades que ofrecía: a. El protocolo SGMP, como el PING. b. El protocolo CMOT, como el PING. c. El protocolo CMIP, como el PING. d. El protocolo ICMP, como el PING. e. El protocolo CMPT, como el PING.
27
UNIVERSIDAD PRIVADA TELESUP
6) Es un protocolo de nivel de aplicación para consulta a los diferentes elementos que forma una red, (routers, switches, hubs, hosts, modems, impresoras, etc). a. CMOT b. SNMP. c. SGMP. d. SCMP. e. SHMP. 7) Es mejor que un agente pueda mandar la información al nodo administrador puntualmente, ante una situación predeterminada, por ejemplo una anomalía detectada en la red: a. Método Interacción (trap). b. Método Intersección (trap). c. Método Implementación (trap). d. Método Introducción (trap). e. Método Interrupción (trap). 8) SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayoría de los casos. Con UDP: a. El protocolo SNMP se implementa utilizando los puertos 161 y 162. b. El protocolo SNMP se implementa utilizando los puertos 160 y 163. c. El protocolo SNMP se implementa utilizando los puertos 162 y 163. d. El protocolo SNMP se implementa utilizando los puertos 163 y 164. e. El protocolo SNMP se implementa utilizando los puertos 159 y 160. 9) Multi Router Traffic Grapher (MRTG) ____________________y sus enlaces tanto internos como externos. a. b. c. d. e.
Es una herramienta para revisión de tráfico en las redes. Es una herramienta para codificación de tráfico en las redes. Es una herramienta para monitorización de tráfico en las redes. Es una herramienta para interacción de tráfico en las redes. Es una herramienta para simplificación de tráfico en las redes.
10) Se trata de un protocolo propietario de Cisco soportado en la actualidad por todas las líneas de switches y routers Cisco. a. Aplicación SNPD: Netflow. b. Aplicación SNMP: Netflow. c. Aplicación SNMT: Netflow. d. Aplicación SNMN: Netflow. e. Aplicación SMMD: Netflow.
28
UNIVERSIDAD PRIVADA TELESUP
Resumen
UNIDAD DE APRENDIZAJE I:
La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada. “En la actualidad SNMP (Simple Network Management Protocol), forma parte del modelo de gestión de internet, y CMIP (Common Management Information protocol), es parte del modelo de gestión OSI son los protocolos predominantes”
Ciertos objetivos de la administración de las redes y telecomunicaciones son mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, de resolución de problemas y de suministro de recursos, Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda, Reducir costos por medio del control de gastos y de mejores mecanismos de cobro. En 1990 el SNMP se convirtió en el estándar de las redes TCP/IP y de Internet. En 1992, se comenzó el trabajo para especificar una nueva versión de SNMP, la SNMPv2; aunque hoy en día todavía continúan los trabajos de actualización. SNMPV3.
La administración de la red se vuelve más importante y difícil si se considera que las redes actuales comprendan lo siguiente: Mezclas de diversas señales, como voz, datos, imagen y gráficas, Interconexión de varios tipos de redes, como WAN, LAN y MAN, El uso de múltiples medios de comunicación, como par trenzado, cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas. SNMP es un protocolo de nivel de aplicación para consulta a los diferentes elementos que forma una red, (routers, switches, hubs, hosts, modems, impresoras, etc.). Cada equipo conectado a la red ejecuta unos procesos (agentes), para que se pueda realizar una administración tanto remota como local de la red.
El sistema de administración de red opera bajo los siguientes pasos básicos: 1.- Colección de información acerca del estado de la red y componentes del sistema. La información recolectada de los recursos debe incluir: eventos, atributos y acciones operativas. 2.- Transformación de la información para presentarla en formatos apropiados para el entendimiento del administrador. 3.- Transportación de la información del equipo monitoreado al centro de control,etc. La característica fundamental de un sistemas de administración de red moderno es la de ser un sistema abierto, capaz de manejar varios protocolos y lidiar con varias arquitecturas de red. Esto quiere decir: soporte para los protocolos de red más importantes.
29
UNIVERSIDAD PRIVADA TELESUP
30
UNIVERSIDAD PRIVADA TELESUP
Introducción
a) Presentación y contextualización Los temas que se tratan en la presente Unidad, tienen por finalidad que el estudiante conozca cómo se realiza la administración de redes usando el sistema operativo Linux además de saber la utilización de un protocolo red.
b) Competencia Conoce las capacidades y diferencias de Linux para tratar con redes informáticas, además de la conexión con los ordenadores para formar redes de área local.
c) Capacidades 1. Conoce la evolución de Debian GNU/Linux y su conexión con las redes. 2. Comprende la configuración de red, de un servidor FTP conectado a Linux. 3. Reconoce la conexión TELNET – LINUX, además de la configuración adecuada para que el protocolo de red pueda funcionar de manera eficaz. 4. Entiende la función del protocolo de red SSH entre un cliente local y un servidor remoto desde Linux.
d) Actitudes Investiga los protocolos de acceso remoto respetando las diferencias entre GNU/Linux y otros sistemas operativos. Toma la iniciativa de programar en Debian GNU/Linux, y hacer pruebas con protocolos de red.
e) Presentación de Ideas básicas y contenido esenciales de la unidad: La Unidad de Aprendizaje 02: Administración de Redes Usando Linux, comprende el desarrollo de los siguientes temas: TEMA 01: Linux Debian. TEMA 02: Servidor FTP. TEMA 03: Servidor Telnet. TEMA 04: Servidor Open SSH.
31
UNIVERSIDAD PRIVADA TELESUP
Linux Debian
TEMA 1
Competencia: Conocer la evolución de Debian GNU/Linux y su conexión con las redes.
32
UNIVERSIDAD PRIVADA TELESUP
Desarrollo de los Temas
Tema 01: Linux Debian
INTRODUCCIÓN
El problema
Una posible solución
Otra posible solución
EMPRESAS QUE USAN LINUX
33
UNIVERSIDAD PRIVADA TELESUP
•
Microsoft usa Linux: una prueba
VERSIONES DE DEBIAN Debian siempre mantiene al menos tres versiones en mantenimiento activo:
Estable (stable): Esta es la versión de producción de Debian, cuyo uso recomendamos principalmente.
Pruebas (testing): Contiene paquetes que aún no han sido aceptados en la rama "estable", pero están a la espera de ello.
Inestable (unstable): La publicación "inestable" es donde tiene lugar el desarrollo activo de Debian.
34
UNIVERSIDAD PRIVADA TELESUP
PARÁMETROS DE RED EN LINUX Los archivos de configuración de red en Linux son: •
/etc/hosts
•
/etc/network/interfaces
•
/etc/resolv.conf
•
/etc/services
Archivo /etc/hosts El principal propósito de este archivo es resolver los nombres de hosts que no se pueden resolver de otra manera. También se puede usar para resolver nombres de hosts en pequeñas redes sin servidor DNS
35
UNIVERSIDAD PRIVADA TELESUP
Archivo /etc/network/interfaces El
archivo
que
contiene
la
configuración
de
las
interfaces
de
red
es
/etc/network/interfaces, y contendrá una sección por cada interfaz de red a configurar. Veamos cómo se configuran las interfaces de red más habituales:
Archivo /etc/resolv.conf Especifica el dominio al que pertenece nuestra máquina y la dirección de los servidores DNS.
nameserver: dirección IP del servidor de nombres a usar. Si no se conoce este dato, se debe preguntar al proveedor. Es posible usar más de un servidor de nombres, siendo habitual usar dos, uno como primario y otro como secundario.
36
UNIVERSIDAD PRIVADA TELESUP
Archivo /etc/services El archivo/etc/services asocia los servicios con sus puertos.
HERRAMIENTA KCONTROL El centro de control de KDE le proporciona una manera centralizada y conveniente de configurar todos los parámetros de KDE. Está basado en varios módulos. Cada módulo es una aplicación independiente, pero el centro de control las organiza en una ubicación.
Para usar kcontrol seguir los siguientes pasos: 1. Instalar el paquete kcontrol /#apt-get install kcontrol 2. Instalar el paquete knetworkconf /#apt-get install knetworkconf 3. Abrir el programa kcontrol /#kcontrol
37
UNIVERSIDAD PRIVADA TELESUP
38
UNIVERSIDAD PRIVADA TELESUP
Servidor FTP
TEMA 2
Competencia: Comprender la configuración de red, de un servidor FTP conectado a Linux.
39
UNIVERSIDAD PRIVADA TELESUP
Tema 02: Servidor FTP ¿QUÉ SIGNIFICA FTP? FTP significa “File Transfer Protocol”, Protocolo para la Transferencia de Archivos.
Arquitectura TCP/IP
40
UNIVERSIDAD PRIVADA TELESUP
Very Secure FTP Daemon El demonio FTP vsftpd (o Very Secure FTP Daemon) está diseñado desde la base para ser rápido, estable y lo más importante, seguro. Su habilidad para manejar grandes números de conexiones de forma eficiente y segura.
Instalación de vsftpd 1) Buscar si el programa está disponible
2) Si esta disponible, entonces se procede a instalar
Archivo de configuración: •
/etc/rc.d/init.d/vsftpd: El script de inicialización (initscript) utilizado por el comando /sbin/service para iniciar, detener o volver a cargar vsftpd.
•
/etc/vsftpd.conf: El archivo de configuración para vsftpd.
•
El
directorio
/home/ftp/:
El
directorio
que
contiene los archivos servidos por vsftpd.
41
UNIVERSIDAD PRIVADA TELESUP
Iniciar y detener vsftpd: •
Para iniciar el servidor, escriba como usuario root, lo siguiente:
•
Para detener el servidor, como root escriba:
•
La opción restart es un atajo para detener y volver a iniciar vsftpd. Esta es la forma más efectiva para que los cambios de configuración tomen efecto luego de modificar el archivo de configuración para vsftpd.
Laboratorio: Usando el usuario anonymous Paso 1: Publicando información en el servidor a. Crear las carpetas que muestra la grafica
b. Instalar el paquete rcconf /# apt-get install rcconf c. Iniciar automáticamente el servicio /#rcconf
42
UNIVERSIDAD PRIVADA TELESUP
Paso 2: Conectándose al servidor FTP Para permitir el acceso a nuestra conexión ftp a los usuarios locales, debemos de agregar o descomentar en el archivo de configuración /etc/vsftpd.conf, la siguiente línea: local_enable=YES Ahora bien, si deseamos que los usuarios del servidor puedan subir archivos, agregamos o simplemente descomentamos la línea: write_enable=YES Por razones de seguridad, podemos restringir el acceso de los usuarios exclusivamente a su directorio /home, agregando la línea: chroot_local_user=YES Para permitir usuarios anónimos escriba la siguiente línea. Anonymous_enable = YES
Guardamos y cerramos el archivo Use el comando ftp para conectarse al servidor ftp.
Paso 3: Usando comandos ftp Mostrar las carpetas música y juegos
43
UNIVERSIDAD PRIVADA TELESUP
Iniciar automáticamente el servicio /#rcconf
Usando un cliente grafico a. Instalación de gftp /#apt-get install gftp b. Ejecución de gftp /#gftp
44
UNIVERSIDAD PRIVADA TELESUP
TEMA 3
Servidor Telnet Competencia: Reconocer la conexión TELNET – LINUX, además de la configuración adecuada para que el protocolo de red pueda funcionar de manera eficaz.
45
UNIVERSIDAD PRIVADA TELESUP
Tema 03: Servidor Telnet PROTOCOLO TELNET El cliente establece con el servidor una conexión TCP/IP, normalmente en el puerto TCP: 23
Procedimiento de configuración 1. Verificar que el servidor Telnet esta instalado, para esto será necesario ejecutar el siguiente comando:
2. Verificar que el paquete openbsd-inetd esta instalado, para esto será necesario ejecutar el siguiente comando:
46
UNIVERSIDAD PRIVADA TELESUP
3. Si los paquetes están instalado se puede seguir con el procedimiento, de lo contrario será necesario instalarlo a través del siguiente comando:
4. Ingresar al directorio /usr/sbin/ y revisa si esta el archivo in.telnetd.
5. Editar el archivo “/etc/inetd.conf”. /etc/xinetd.d#nano /etc/inetd.conf Este archivo debe contener la línea:
telnet
stream tcp
nowait telnetd /usr/sbin/tcpd /usr/sbin/in.telnetd
47
UNIVERSIDAD PRIVADA TELESUP
6. Reiniciar el servicio openbsd-inetd
7. Mira si el puerto 23 esta abierto:
8. Probar el servicio telnet desde un cliente.
48
UNIVERSIDAD PRIVADA TELESUP
Probar usando el cliente putty PuTTY es un cliente SSH, Telnet, rlogin, y TCP raw con licencia libre. Disponible originalmente sólo para Windows, ahora también está disponible en varias plataformas Unix, y se está desarrollando la versión para Mac OS clásico y Mac OS X. Otra gente ha contribuido con versiones no oficiales para otras plataformas, tales como Symbian para teléfonos móviles.
49
UNIVERSIDAD PRIVADA TELESUP
Presiona el botón Open y te pedirá un usuario y su clave
Después de ingresar el usuario y clave te muestra la siguiente pantalla:
50
UNIVERSIDAD PRIVADA TELESUP
Servidor Open SSH
TEMA 4
Competencia: Entender la función del protocolo de red SSH entre un cliente local y un servidor remoto desde Linux.
51
UNIVERSIDAD PRIVADA TELESUP
Tema 04: Servidor Open SSH ACERCA DE OPEN SSH Open SSH (Secure Shell) es un conjunto de estándares y protocolo de red que permite establecer una comunicación a través de un canal seguro entre un cliente local y un servidor remoto.
ACERCA DE OPENSSH OpenSSH (Open Secure Shell) es una alternativa de código abierto, con licencia BSD, hacia la implementación propietaria y de código cerrado SSH creada por Tatu Ylönen. OpenSSH es un proyecto creado por el equipo de desarrollo de OpenBSD y actualmente dirigido por Theo de Raadt.
52
UNIVERSIDAD PRIVADA TELESUP
INSTALACIÓN DE OPENSSH 1. Averiguar si tenemos los paquetes necesarios
2. Instalar el paquete openssh-server
CONFIGURACIÓN BÁSICA DEL SERVICIO 1. Editar el archivo /etc/ssh/sshd_config /#vi /etc/ssh/sshd_config
APLICANDO LOS CAMBIOS Para ejecutar por primera vez el servicio, utilice:
Para hacer que los cambios hechos a la configuración surtan efecto, utilice:
53
UNIVERSIDAD PRIVADA TELESUP
Para detener el servicio, utilice:
CONECTARNOS POR SSH 1. La forma más simple de utilizar el SSH es para abrir una shell interactiva en una máquina remota, la invocación del programa no tiene ningún misterio, simplemente ponemos el comando ssh seguido de la IP o el nombre de la máquina a la que queremos conectar:
2. Para que el cliente de SSH termine tenemos que cerrar la shell, poniendo exit, pulsado Ctrl-d.
TRANSFERENCIA DE FICHEROS A TRAVÉS DE SFTP Para acceder a través de SFTP hacia el servidor, basta con ejecutar desde el sistema cliente el mandato sftp definiendo el usuario a utilizar y el servidor al cual conectar:
54
UNIVERSIDAD PRIVADA TELESUP
Ejemplo: 1. La grafica muestra como se usa el comando sftp para conectarse al servidor pcrafael
2. Mostrar los comandos que se usan con el servicio sftp
Copiar Archivos por SSH Ahora si lo que queremos es copiar archivos del un equipo a otro, utilizaremos el siguiente comando:
55
UNIVERSIDAD PRIVADA TELESUP
Ejemplo:
En este ejemplo lo que estamos haciendo es copiando un archivo desde el Cliente, el cual se llama wine.doc que se encuentra en la maquina Cliente, copiaremos el archivo al Servidor el cual tiene la IP 192.168.1.130 y un Usuario con el nombre de root, este Usuario es local del Servidor y por ultimo indicamos en que directorio quedara el archivo (Al final del directorio del destinatario podemos indicar otro nombre para el archivo que queremos copiar si queremos que quede con un nombre diferente al original).
56
UNIVERSIDAD PRIVADA TELESUP
Lecturas Recomendadas
REDES EN LINUX http://es.tldp.org/COMO-INSFLUG/COMOs/Redes-En-Linux-Como/
GUÍA DE ADMINISTRACIÓN DE REDES CON LINUX http://es.tldp.org/Manuales-LuCAS/GARL2/garl-2.0.pdf
Actividades y Ejercicios
1. Señale el comando para iniciar y detener el servicio Telnet. Desarróllalo a través de "Telnet".
2. Ingresa al link
"Programa en Linux"
lee atentamente las
indicaciones, desarróllalo y envíalo por el mismo medio. En la siguiente grafica se muestra el paquete “putty-0.60.tar.gz”, escriba los comandos para instalar y configurar dicho programa.
57
UNIVERSIDAD PRIVADA TELESUP
Autoevaluación
1) Es una de las versiones de Devian en mantenimiento activo: a. Enterprise. b. Stable. c. Fogotten. d. Relesead. e. Official. 2) Devian mantiene al menos ______ versiones en mantenimiento activo. a. b. c. d. e.
Cinco. Dos. Demasiadas. Reguiles. Tres.
3) Especifica el dominio al que pertenece nuestra máquina y la dirección de los servidores DNS, señale a que alternativa pertenece este concepto: a. Archivo /cat /etc /msconfig.conf. b. Archivo /etc/hosts. c. Archivo /etc/network/interfaces. d. Archivo /etc/resolv.conf. e. Archivo /etc/services. 4) Estando en una conexión FTP, cuál es el comando para permitir que los usuarios del servidor puedan subir archivos. a. Write_enable=YES. b. Local_enable=YES. c. /# apt-get install rcconf=YES. d. /# etc/init.d/vsftpd=YES. e. /# etc/init.d/vsftpd=ALL USERS. 5) La siguiente línea: chroot_local_user=YES sirve para: a. b. c. d. e.
Restringir el acceso de los usuarios exclusivamente a su directorio /home Permitir usuarios anónimos. Para que los usuarios del servidor puedan subir archivos. Crear las carpetas. Muestra carpetas y da privilegios.
58
UNIVERSIDAD PRIVADA TELESUP
6) Es un cliente SSH, Telnet, rlogin, y TCP raw con licencia libre. Disponible originalmente sólo para Windows: a. b. c. d. e.
Fillezilla. Telnet. PuTTY. Daemon Tools. Xming.
7) En el protocolo Telnet, el cliente establece con el servidor una conexión: a. b. c. d. e.
QoS. NWLink. AEGIS Protocol. TCP/IP. IPX.
8) Es un conjunto de estándares y protocolo de red que permite establecer una comunicación a través de un canal seguro entre un cliente local y un servidor remoto: a. b. c. d. e.
PuTTY. Telnet. GFTP. FTP. SSH.
9) Para acceder a través de SFTP hacia el servidor, basta con ejecutar desde el sistema cliente el mandato sftp definiendo el _______ a utilizar y _____ para conectar: a. Dominio – Base de datos. b. Usuario – Servidor. c. Tabla – Base de datos. d. Usuario – Contraseña. e. Usuario – Dominio. 10) OpenSSH es un proyecto creado por el equipo de desarrollo de OpenBSD y actualmente dirigido por: a. Theo de Raadt. b. Greg Kroah-Hartman. c. Chris Wright. d. Adrian Bunk. e. Tatu Ylönen.
59
UNIVERSIDAD PRIVADA TELESUP
Resumen
UNIDAD DE APRENDIZAJE II:
Debian GNU/Linux es un sistema operativo libre, desarrollado por más de mil voluntarios alrededor del mundo, que colaboran a través de Internet. La dedicación de Debian al software libre, su base de voluntarios, su naturaleza no comercial y su modelo de desarrollo abierto la distingue de otras distribuciones del sistema operativo GNU. Todos estos aspectos y más se recogen en el llamado Contrato Social de Debian. Nació en el año 1993, de la mano del proyecto Debian, con la idea de crear un sistema GNU usando Linux como núcleo ya que el proyecto Debian, organización responsable de su mantenimiento en la actualidad, también desarrolla sistemas GNU basados en otros núcleos (Debian GNU/Hurd, Debian GNU/NetBSD y Debian GNU/kFreeBSD).
Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.). Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores. Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a uno y así intercambiar información con él. Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan cifrados, como el SFTP (Secure File Transfer Protocol).
Hoy en día este protocolo también se usa para acceder a los BBS, que inicialmente eran accesibles únicamente con un módem a través de la línea telefónica. Para acceder a un BBS mediante telnet es necesario un cliente que dé soporte a gráficos ANSI y protocolos de transferencia de ficheros. Los gráficos ANSI son muy usados entre los BBS. Con los protocolos de transferencia de ficheros (el más común y el que mejor funciona es el ZModem) podrás enviar y recibir ficheros del BBS, ya sean programas o juegos o ya sea el correo del BBS (correo local, de FidoNet u otras redes). Algunos clientes de telnet (que soportan gráficos ANSI y protocolos de transferencias de ficheros como Zmodem y otros) son mTelnet!, NetRunner, Putty, Zoc, etc.
Existen 2 versiones de SSH, la versión 1 de SSH hace uso de muchos algoritmos de cifrado patentados (sin embargo, algunas de estas patentes han expirado) y es vulnerable a un hueco de seguridad que potencialmente permite a un intruso insertar datos en la corriente de comunicación. La suite OpenSSH bajo Red Hat Enterprise Linux utiliza por defecto la versión 2 de SSH, la cual tiene un algoritmo de intercambio de llaves mejorado que no es vulnerable al hueco de seguridad en la versión 1. Sin embargo, la suite OpenSSH también soporta las conexiones de la versión 1.
60
UNIVERSIDAD PRIVADA TELESUP
61
UNIVERSIDAD PRIVADA TELESUP
Introducción
a) Presentación y contextualización Los temas que se tratan en la presente Unidad didáctica, tienen por finalidad que el estudiante aprenda la configuración de un servidor proxy server.
b) Competencia Aplica correctamente los principales fundamentos de la configuración de un servidor proxy server para la implementación de sistemas de comunicación.
c) Capacidades 1. Analiza las definiciones establecidas sobre un servidor proxy. 2. Reconoce cual es la función de cada tipo de servidor proxy. 3. Aprende a configurar correctamente un servidor proxy cache. 4. Conoce las características de la configuración de un servidor proxy transparente.
d) Actitudes Muestra Interés y valora el curso en su formación profesional Investiga por iniciativa propia las características de un servidor proxy.
e) Presentación de Ideas básicas y contenido esenciales de la unidad: La Unidad de Aprendizaje 03: Tecnología Proxy Server, comprende el desarrollo de los siguientes temas:
TEMA 01: Servidor Proxy. TEMA 02: Tipos de Servidores Proxy. TEMA 03: Configuración del Servidor Proxy Caché. TEMA 04: Configuración del Servidor Proxy Transparente.
62
UNIVERSIDAD PRIVADA TELESUP
Servidor Proxy
TEMA 1
Competencia: Analizar las definiciones establecidas sobre un servidor proxy.
63
UNIVERSIDAD PRIVADA TELESUP
Desarrollo de los Temas
Tema 01: Servidor Proxy DEFINICIÓN DE SERVIDOR PROXY El servidor proxy es un servidor, que actúa como un intermediario entre los usuarios internos y un host externo. El Servidor proxy protege y oculta el ordenador de la red
externa.
Se concentra en el puerto que controla la entrada y salida de tráfico de cada puerto. El Servidor proxy también puede ser utilizado para filtrado de solicitudes.
FUNCIONAMIENTO DEL SERVIDOR PROXY Un servidor proxy es un equipo que actúa de intermediario entre un explorador web Internet. Los servidores proxy ayudan a mejorar el rendimiento en Internet ya que almacenan una copia de las páginas web más utilizadas.
Cuando un explorador solicita una página web almacenada en la colección (su caché) del servidor proxy, el servidor proxy la proporciona, lo que resulta más rápido que consultar la Web. Los servidores proxy también ayudan a mejorar la seguridad, ya que filtran algunos contenidos web y software malintencionado.
64
UNIVERSIDAD PRIVADA TELESUP
FILTRADO DE APLICACIONES Un firewall que ejecuta un filtrado de aplicaciones se denomina "proxy”. ya que actúa dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
65
UNIVERSIDAD PRIVADA TELESUP
SERVIDORES DE PROXY INVERSOS Un proxy inverso es un servidor proxy-caché "al revés". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web está protegido de ataques externos directos, lo cual fortalece la red interna. Además, la función caché de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razón por la cual se lo denomina en ocasiones acelerador de servidor.
66
UNIVERSIDAD PRIVADA TELESUP
Tipos de Servidores Proxy
TEMA 2
Competencia: Reconocer cual es la función de cada tipo de servidor proxy.
67
UNIVERSIDAD PRIVADA TELESUP
Tema 02: Tipos de Servidores Proxy SERVICIO PROXY-CACHÉ Este tipo de servidor es utilizado para mejorar la velocidad de navegación de los usuarios dado que funciona almacenando una caché de las páginas web visitadas por los usuarios.
Un servidor proxy caché ayuda a guardar su ancho de banda y a agiliza la navegación de los usuarios, éste a la vez puede funcionar como un filtro de la información solicitada por los usuarios, bloqueando páginas no deseadas o de contenido dañino para los ordenadores.
68
UNIVERSIDAD PRIVADA TELESUP
SERVIDOR PROXY TRANSPARENTE Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).
SERVIDOR PROXY LIBRE Ataques con miles de servidores proxy de todo el mundo son difíciles de rastrear. Miles de servidores proxy gratuitos están disponibles en Internet.
Búsqueda de "free proxy servers" en Google
Algunos de ellos podría ser una trampa para atrapar hackers in fraganti
El uso de servidores proxy puede ocultar su rastro.
69
UNIVERSIDAD PRIVADA TELESUP
SERVIDOR PROXY TRANSPARENTE Los servidores proxy anónimos te esconden tu IP previniendo cualquier acceso sin autorizar a tu ordenador a través de Internet. No muestran a nadie tu dirección IP y esconden cualquier información tuya que sea posible acceder sin estar en un proxy.
USO DE PROXY PARA ATAQUE
70
UNIVERSIDAD PRIVADA TELESUP
MULTIPROXY Multiproxy (MP a partir de ahora) es un servidor proxy personal. Básicamente, es un servidor proxy que tienes instalado localmente y que se conecta a otros servidores proxy existentes en internet. De esta forma tu solo tienes que configurar en tu navegador de internet una conexión proxy a MP, y el se encarga de utilizar tantas conexiones diferentes como proxies le configures. Si además estos proxies que le configuras son anónimos, conseguirás que las webs donde te conectes no conozcan tu IP, garantizándote cierta seguridad.
Funcionamiento del MultiProxy
71
UNIVERSIDAD PRIVADA TELESUP
Configuración del
TEMA 3
Servidor Proxy Caché Competencia: Aprender a configurar correctamente un servidor proxy cache.
72
UNIVERSIDAD PRIVADA TELESUP
Tema 03: Configuración de Servidor Proxy Caché INSTALACIÓN DE SQUID Si cuenta con un sistema con Debian, utilice lo siguiente y se instalará todo lo necesario junto con sus dependencias:
El archivo de configuración del servicio proxy squid es:
Iniciando, reiniciando y añadiendo el servicio al arranque del sistema. Una vez terminada la configuración, ejecute el siguiente mandato para iniciar por primera vez Squid:
Si necesita reiniciar para probar cambios hechos en la configuración, utilice lo siguiente:
Si desea que Squid inicie de manera automática la próxima vez que inicie el sistema, utilice lo siguiente:
¿Qué puerto utilizar para Squid? De modo predefinido Squid utilizará el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez.
73
UNIVERSIDAD PRIVADA TELESUP
Si desea incrementar la seguridad, puede vincularse el servicio a una IP que solo se pueda acceder desde la red local. Considerando que el servidor utilizado posee una IP 192.168.1.254, puede hacerse lo siguiente:
¿Cuanto desea almacenar de internet en el disco duro? De modo predefinido Squid utilizará un caché de 100 MB, de modo tal que encontrará la siguiente línea:
Se puede incrementar el tamaño del caché hasta donde lo desee el administrador. Mientras más grande sea el caché, más objetos se almacenarán en éste y por lo tanto se utilizará menos el ancho de banda. La siguiente línea establece un caché de 700 MB:
Los números 16 y 256 significan que el directorio del caché contendrá 16 directorios subordinados con 256 niveles cada uno.
Listas de control de acceso La lista de control de acceso (ACL), define los clientes que pueden acceder al servidor Proxy. Sintaxis:
74
UNIVERSIDAD PRIVADA TELESUP
Donde: •
Aclname: nombre del acl
•
Acltype: Es un tipo de acl.
Por ejemplo: src, url_regex, urlpath_regex, time, etc •
Cuando usas un “archivo”, debe contener un elemento por línea.
•
Por defecto, las expresiones regulares distinguen las mayúsculas y minúsculas. Para evitar eso se debe usar la opción “-i”.
Regla de control de acceso Para activar un acl, se usa la sentencia http_access Sintaxis 1:
La palabra “deny” niega el acceso a el “aclname”
Sintaxis 2:
La palabra “allow” permite el acceso a el “aclname”
Sintaxis 3:
La carácter “!” que precede al “aclname” niega o permite el acceso dependiendo si se usa “allow” o “deny”
Seleccionar Direcciones Ips Si se tiene una red donde las máquinas tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0, definir la Lista y regla de control de acceso:
75
UNIVERSIDAD PRIVADA TELESUP
Método 1:
Método 2:
El fichero /etc/squid/permitidos contendrá:
76
UNIVERSIDAD PRIVADA TELESUP
Restricción de acceso a contenido por extensión Crear la Lista y regla de control de acceso para los siguientes casos:
Permitir que todas las Direcciones IP que pertenecen a la red puedan usar el Proxy.
Está prohibido bajar archivos con extensión: .exe, .pif y .bat
Está prohibido entrar a la página www.guegos.com.
Lista de control de acceso:
Regla de control de acceso:
Restricción de acceso por horarios Se quiere establecer que los miembros de la Lista de Control de Acceso denominada clasematutina tengan permitido acceder hacia Internet en un horario que denominaremos como matutino, y que comprende de lunes a viernes de 09:00 a 15:00 horas.
77
UNIVERSIDAD PRIVADA TELESUP
Lista de control de acceso: La definición para le horario correspondería a:
Regla de control de acceso: La definición de la Regla de Control de Acceso sería:
78
UNIVERSIDAD PRIVADA TELESUP
Configuración del
Servidor Proxy Transparente
TEMA 4
Competencia: Conocer las características de la configuración de un servidor proxy transparente.
79
UNIVERSIDAD PRIVADA TELESUP
Tema 04: Configuración del Servidor Proxy Transparente ACERCA PROXY TRANSPARENTE Un proxy transparente combina un servidor proxy con NAT(Network
Address Translation)
de manera que las
conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia.
Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP). Ahora bien, la estructura que se muestra a continuación es cómo se instalará el servidor proxy:
80
UNIVERSIDAD PRIVADA TELESUP
CONFIGURACIÓN DE PROXY TRANSPARENTE Indicarle al squid que será proxy transparente:
httpd_accel_host: Squid puede configurarse como cache, como acelerador de navegación o como ambos. Este parámetro indica el nombre de host o IP de un Squid configurado como acelerador. En nuestro caso usaremos el valor “virtual”, ya que vamos a usar el modo transparente. httpd_accel_host:
Squid
puede
configurarse
como
cache, como acelerador de navegación o como ambos. Este parámetro indica el nombre de host o IP de un Squid configurado como acelerador. En nuestro caso usaremos el valor “virtual”, ya que vamos a usar el modo transparente.
httpd_accel_port : Este es el puerto donde generalmente los servidores web esperan solicitudes. En el caso de que usemos Squid como frente de un grupo de servidores web locales, habría que hacer que Squid escuche en el 80 y no en el 3128, y que los servidores eb escuchen en otro puerto, y NO en el 80. httpd_accel_with_proxy:
Al
habilitar
httpd_accel_host la función de cache deja de funcionar. Para que vuelva a funcionar, debemos forzarlo con el valor “on”.
81
UNIVERSIDAD PRIVADA TELESUP
httpd_accel_users_host_header : En modo transparente, las solicitudes salientes al puerto 80 de algun servidor externo son redirigidas al puerto 3128 del Gateway, en el que Squid espera solicitudes. 1) Habilitar el forward.
2) Redireccionar la información.
3) A los clientes solo se le indica en el gateway la ip del server. 4) En el browser de los clientes, en la parte de configuración no se debe indicar nada, solo que detecte la conexión automáticamente 5) Indica el puerto del proxy
Re-direccionamiento de servicios ordinarios compatibles
82
UNIVERSIDAD PRIVADA TELESUP
Lecturas Recomendadas
PROXYS http://es.wikipedia.org/wiki/Proxy
SERVIDORES PROXYS http://es.kioskea.net/contents/lan/proxy.php3
Actividades y Ejercicios
1. En un documento en Word enumere y explique acerca de los proxys gratuitos que se encuentran en Internet (IP + PUERTO). Envíalo a través de "Proxys".
2. Indique los pasos para configurar un proxy caché. Desarróllalo a través de "Configuración Proxy".
83
UNIVERSIDAD PRIVADA TELESUP
Autoevaluación
1) Tu empresa ha decidido bloquear el uso del msn messenger, porque los trabajadores pierden mucho tiempo con ese servicio. La Network en la red es: 192.168.1.0/24,¿Cómo haces para bloquear el acceso de MSN messenger? a. Acl msn_port port 1860. Http_access deny msn_port. b. Acl msn_port port “ Http_access deny msn_port. c. Iptables -A FORWARD -s 192.168.1.0/24 -d 0/0 -p tcp --dport 1863 -j REJECT. d. Iptables -A FORWARD -d 192.168.1.0/24 -d 0/0 -p tcp --dport 1863 -j DROP. e. Iptables -A FORWARD -d 193.168.1.0/24 -d 0/0 -p tcp --dport 1863 -j DREP. 2) ¿Cómo afecta la comunicación si se comparte un simple punto de acceso a Internet usando Servidor NAT o Proxy? a. Solo una computadora a la vez puede comunicarse con otras computadoras fuera de la LAN. b. Solo una computadora a la vez puede comunicarse con otras computadoras dentro de la LAN. c. Solo la computadora que se conecta directamente a Internet puede enviar información fuera de la LAN. d. Todas las computadoras pueden comunicarse dentro y fuera de la red. e. Rompiendo la conectividad del enrutamiento. 3) Deseas bloquear Msn messenger a la IP=192.168.0.53. La IP=192.168.0.5 es una computadora inexistente en tu red. Si bloqueas el puerto messenger (1863) automáticamente se brinca el puerto y lo intenta mediante el puerto 80 y comienza a funcionar. ¿Cómo resuelves el problema? a. Aclmsn_messenger req_mime_type –I ^application/x-msn-messenger$ http_access deny !msn_messenger. b. Acl msn_messenger req_mime_type -i “^application/x-msn-messenger$” c. Iptables -t nat -A PREROUTING -p tcp -d 192.168.0.53 --dport 1863 -j DNAT -to-destination 192.168.0.5:1863. d. Iptables -t nat -A PREROUTING -p tcp -s 192.168.0.53 --dport 1863 -j DNAT -to-destination 192.168.0.5:1863. e. Update -t nat -A PREROUTING -p tcp -s 192.168.0.53 --dport 1863 -j DNAT -to-destination 192.168.0.5:1863. 4) Decides usar un servidor proxy para eliminar la necesidad de direcciones IP públicas por cada computadora en tu empresa. ¿Qué ventaja tiene el servidor Proxy sobre el servicio NAT? (Marcar todas las posibles) a. Caching en el servidor de las páginas de Internet. b. Restringir las conexiones salientes. c. Restringir las conexiones entrantes. d. Simple punto de conexión hacia Internet. e. Centro de comunicación con la red.
84
UNIVERSIDAD PRIVADA TELESUP
5) Deseas asignar el puerto 8080 al servidor Proxy SQUID de Linux que tiene la dirección IP= 192.168.1.254, ¿cómo haces eso? a. Port 192.168.1.254:8080. b. Http.port 192.168.1.254:8080. c. Http_port 192.168.1.254:8080. d. Http_por 192.168.1.254:8080. e. Url.port 192.168.1.254:8080. 6) Si se tiene una red donde las máquinas tienen direcciones IP 192.168.1.n con máscara de sub-red 255.255.255.0, definir la Lista y regla de control de acceso: a. Restricción de acceso a contenido por extensión. b. Regla de control de acceso. c. Listas de control de acceso. d. Seleccionar direcciones ips. e. Instalación de squid. 7) Básicamente, es un servidor proxy que tienes instalado localmente y que se conecta a otros servidores proxy existentes en internet: a. Multiproxy. b. Squid. c. Servidor proxy anónimo. d. Servidor proxy libre. e. Servidor proxy transparente. 8) El servicio proxy-caché es utilizado para mejorar la velocidad de navegación de los usuarios dado que funciona almacenando una caché de las páginas web visitadas por los usuarios. a. Servidor proxy transparente. b. Servidor proxy libre. c. Uso de proxy para ataque. d. Multiproxy. e. Servicio proxy-caché. 9) Cuando un explorador solicita una página web almacenada en la colección (su caché) del ____________,el servidor proxy la proporciona, lo que resulta más rápido que consultar la web. a. Software malintencionado. b. Servidor proxy. c. Enlace de datos. d. Transporte. e. Servidor proxy libre. 10) De modo predefinido Squid utilizará el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez. a. La lista. b. Internet. c. El disco duro. d. El control de acceso. e. Squid.
85
UNIVERSIDAD PRIVADA TELESUP
Resumen
UNIDAD DE APRENDIZAJE III:
Definimos que el Servidor proxy protege y oculta el ordenador de la red externa, se concentra en el puerto que controla la entrada y salida de tráfico de cada puerto, el Servidor proxy también puede ser utilizado para filtrado de solicitudes, actúa como un intermediario entre los usuarios internos y un host externo. Un servidor proxy es un equipo que actúa de intermediario entre un explorador web Internet. Los servidores proxy ayudan a mejorar el rendimiento en Internet ya que almacenan una copia de las páginas web más utilizadas.
Existen tipos de servidores proxy: Servicio Proxy-Caché, Servidor Proxy Transparente, Servidor proxy libre, Servidor Proxy Transparente, Uso de proxy para ataque, Multiproxy (Funcionamiento del MultiProxy) todos estos servidores son programados y/o configurados de acuerdo a los requerimientos del usuario.
Una ventaja del Proxy Server es que el caché nos puede ahorrar tiempo de acceso a las páginas Web. Si uno o mas sitios de Internet es visitado de forma frecuente, los elementos mas característicos como por ejemplo los gráficos, no se tienen que descargar cada vez que accedemos de nuevo a ese sitio. Se guardan en el caché. Algunas veces nos guarda la copia entera de la página por lo que puede que no está al día. La forma de solucionar esto es pulsar el botón “Actualizar” en nuestro navegador. Volverá a realizar la petición completa bajándonos la página mas reciente.
Las funciones de Proxy, Firewall y caché pueden estar en programas separados o combinados en un único paquete. Los servidores pueden estar localizados en diferentes ordenadores. Por ejemplo, un Proxy Server puede estar en la misma máquina que un Firewall o puede estar en un servidor distinto y enviar peticiones a través del Firewall.
86
UNIVERSIDAD PRIVADA TELESUP
Índice del Contenido
87
UNIVERSIDAD PRIVADA TELESUP
Introducción
a) Presentación y contextualización Los temas que se tratan en la presente Unidad, tienen por finalidad que el estudiante conozca la configuración de un servidor Firewall para poder administrar e implementar de acuerdo a las necesidades requeridas.
b) Competencia Comprende y relaciona correctamente los principales fundamentos teórico – prácticos de la configuración de un servidor Firewall.
c) Capacidades 1. Comprende y relaciona correctamente los principales fundamentos teórico – prácticos de la administración de Firewall. 2. Conoce los principales tipos de Firewall según su implementación para su adaptación a la red. 3. Identifica la estructura de Firewall iptables para sus adecuadas configuraciones. 4. Describe la configuración avanzada de iptables según sus comandos y su descripción.
d) Actitudes Aplica la práctica de la tecnología firewall para seguridad de los sistemas. Muestra disposición por aprender los nuevos sistemas de seguridad.
e) Presentación de Ideas básicas y contenido esenciales de la Unidad: La Unidad de Aprendizaje 04: La Tecnología Firewall, comprende el desarrollo de los siguientes temas: TEMA 01: Firewall y Enrutamiento. TEMA 02: Tipos de Firewall según su Implementación. TEMA 03: Firewall iptables. TEMA 04: Configuración avanzada de iptables.
88
UNIVERSIDAD PRIVADA TELESUP
Firewall
TEMA 1
y
Enrutamiento Competencia: Identificar las competencias que existe en el mercado internacional para el posicionamiento de los negocios.
89
UNIVERSIDAD PRIVADA TELESUP
Desarrollo de los Temas
Tema 01: Firewall y Enrutamiento
¿Qué es un firewall? Un cortafuegos o firewall es un elemento de hardware o software que se utiliza para aumentar la seguridad de redes informáticas.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Operación básica
90
UNIVERSIDAD PRIVADA TELESUP
Firewall de capa de red El tráfico es filtrado en base a reglas específicas, como IP fuente o Ip destino, tipo de paquete, puerto, etc.
Criterios de Filtrado Por dirección de origen Por dirección de destino Por puerto de origen Por puerto de destino Por tipo de paquetes Por interfaces de entrada Por interfaces de salid
Firewall a Nivel de Aplicación Trabaja a nivel de aplicación de la pila de protocolos TCP/IP (http, ftp, telnet, etc.).
91
UNIVERSIDAD PRIVADA TELESUP
Tipos de
TEMA 2
Firewall Según su Implementación Competencia:
Describir el marco de referencia de IM internacionales para realizar una investigación de mercados.
92
UNIVERSIDAD PRIVADA TELESUP
Tema 02: Tipos de Firewall según su Implementación Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser según su tipo y su implementación, como a continuación se nombrara:
Bastion Host Un Bastion host, en español anfitrión bastión, es un ordenador en una red que ofrece un único punto de entrada y salida a Internet desde la red interna y viceversa. Los anfitriones bastión se usan para mitigar los riesgos de seguridad de una red, ofreciendo una barrera entre el área pública y privada.
Red Perimétrica con tres host Una DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet.
93
UNIVERSIDAD PRIVADA TELESUP
Red Perimétrica con Back-to-Back La arquitectura BACK-TO-BACK se compone de
2 firewall estableciendo de esta
manera 3 zonas.
Acceso a Internet Usando NAT(network address translator) La tecnología NAT traduce direcciones IP de la red de área local a una dirección IP diferente para Internet.
94
UNIVERSIDAD PRIVADA TELESUP
Firewall Iptables
TEMA 3
Competencia: Aplicar e Implementar las mediciones de criterios del mercado internacional.
95
UNIVERSIDAD PRIVADA TELESUP
Tema 03: Firewall Iptables IPtables es un sistema de firewall vinculado al kernel de linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Iptables está integrado con el kernel, es parte del sistema operativo. Iptables es un sistema de selección de paquetes formado por un sistema de tablas que permite definir reglas para seleccionar los paquetes.
Comandos Operaciones para las Cadenas
96
UNIVERSIDAD PRIVADA TELESUP
Distintas reglas para manipular una cadena
Objetivos
Configurando puertos
Los datagramas de TCP y UDP tienen asociados a ellos las direcciones fuente y destino:
Ejemplo:
97
UNIVERSIDAD PRIVADA TELESUP
Configuración Avanzada
TEMA 4
de
Iptables Competencia: Conocer las funciones de los proveedores de investigación de mercados. v
98
UNIVERSIDAD PRIVADA TELESUP
Tema 04: Configuración avanzada de Iptables Iptables es la aplicación encargada de gestionar de entre otros el firewall de linux y todo lo relativo al enrutamiento de paquetes y red.
Proteger tú maquina ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat –F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT # A nuestra IP le dejamos todo iptables -A INPUT -s 192.168.1.10 -j ACCEPT # A un colega le dejamos entrar al mysql para que mantenga la BBDD iptables -A INPUT -s 192.168.1.20 -p tcp --dport 3306 -j ACCEPT # A un diseñador le dejamos usar el FTP iptables -A INPUT -s 192.168.1.30 -p tcp -dport 20:21 -j ACCEPT
# El puerto 80 de www debe estar abierto, es un servidor web. iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Y el resto, lo cerramos iptables -A INPUT -p tcp --dport 20:21 -j DROP
99
UNIVERSIDAD PRIVADA TELESUP
iptables -A INPUT -p tcp --dport 3306 -j DROP iptables -A INPUT -p tcp --dport 22 -j DROP iptables -A INPUT -p tcp --dport 10000 -j DROP
Firewall de una LAN con salida a internet ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat –F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT # Al firewall tenemos acceso desde la red local iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT # Ahora hacemos enmascaramiento de la red local # y activamos el BIT DE FORWARDING (imprescindible!!!!!) iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea # que otras máquinas puedan salir a traves del firewall. echo 1 > /proc/sys/net/ipv4/ip_forward ## Y ahora cerramos los accesos indeseados del exterior: # Nota: 0.0.0.0/0 significa: cualquier red
100
UNIVERSIDAD PRIVADA TELESUP
# Cerramos el rango de pu erto bien conocido iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP # Cerramos un puerto de gestión: webmin iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
Firewall de una LAN con salida a internet con DMZ ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat –F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar # Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos a una maquina interna iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80 # Los accesos de un ip determinada HTTPS se redirigen e esa maquina iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
101
UNIVERSIDAD PRIVADA TELESUP
# Ahora hacemos enmascaramiento de la red local y de la DMZ iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ## Permitimos el paso de la DMZ a una BBDD de la LAN: iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --dport 5432 -j ACCEPT iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --sport 5432 -j ACCEPT # Cerramos el acceso de la DMZ a la LAN iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROP ## Cerramos el acceso de la DMZ al propio firewall iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP ## Y ahora cerramos los accesos indeseados del exterior: iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
Guardar y reusar nuestra configuración de iptables
102
UNIVERSIDAD PRIVADA TELESUP
Lecturas Recomendadas
CORTAFUEGOS http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)
USO DE IPATABLES http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-fireall-ipt-act.html
Actividades y Ejercicios
1. En un documento en Word describa como se configura el Firewall. Envíalo a través de "Firewall".
2. En un documento en Word explique el proceso de activar y desactivar un firewall de Windows (W.). Envíalo a través de "Firewall W.".
103
UNIVERSIDAD PRIVADA TELESUP
Autoevaluación
1) ¿Qué es un firewall? a. Es un elemento de hardware o software que se utiliza para aumentar la seguridad de redes informáticas. b. Es una seguridad informática para tener acceso a redes sociales. c. Es un protocolo de red. d. Configuración de redes privadas y públicas. e. Es un elemento de hardware que es para configurar redes públicas.
2) ¿Para que se usa los anfitriones bastión? a. Eliminar los virus. b. Conectarse a internet y intranet. c. Mitigar los riesgos de seguridad de una red. d. Configurar una red. e. Limitación de acceso a internet.
3) ¿Cuál es el código correcto para recuperar la configuración guardado? a. Iptables-save>nombre_archivo. b. Iptables-restore
4) ¿Cuántos firewall compone la arquitectura BACK-TO-BACK? a. Un firewall. b. Dos firewall. c. Cuatro firewall. d. Siete firewall. e. Ningún firewall.
5) ¿Con qué comandos podemos hacer forward de paquetes en el firewall, o sea que otras máquinas puedan salir a través del firewall? a. echo 1 > /proc/sys/net/ipv4/ip_forward. b. iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP. c. echo 1 > /proc/sys/net/ipv4/ip_form. d. echo 1 > /proc/sys/net/ipv4/ip_ford. e. iptables -A INPUT.
104
UNIVERSIDAD PRIVADA TELESUP
6) Es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet: a. Internet. b. Intranet. c. TCP. d. IP. e. DMZ.
7) ¿Qué significa el comando –m ? a. Puerto de origen. b. Puerto de destino. c. Especificar un modulo. d. Siguiente modulo. e. Conjunto de puertos.
8) Iptables es un sistema de selección de paquetes formado por un sistema de: a. Tablas. b. Comandos. c. Paquetes. d. Redes. e. Seguridad.
9) ¿Cuál es el código correcto para crear un archivo con la configuración de firewall? a. Iptables-save>nombre_archivo. b. Iptables-restore
10) Un Firewall es un sistema ubicado entre dos redes y que ejerce una política de: a. Comunicación. b. Interacción con el sistema. c. seguridad establecida. d. Enrutamiento. e. Redes informáticas.
105
UNIVERSIDAD PRIVADA TELESUP
Resumen
Unidad DE APRENDIZAJE IV:
El firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
Recuerde que un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.
Un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Debemos tener en cuenta que un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
106
UNIVERSIDAD PRIVADA TELESUP
Glosario
BACKBONE: La parte de la red que transporta el tráfico más denso: conecta LANs, ya sea dentro de un edificio o a través de una ciudad o región.
BACKUP: Copia de Respaldo o Seguridad. Acción de copiar archivos o datos de forma que estén disponibles en caso de que un fallo produzca la perdida de los originales. Esta sencilla acción evita numerosos, y a veces irremediables, problemas si se realiza de forma habitual y periódica.
T-3: Es una conexión a través de una línea conmutada capaz de transmitir datos a 44,736,000 bits por segundo. Esto es más que suficiente para desplegar video en pantalla completa con movimiento continuo.
TCP/IP: El nombre TCP/IP proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el Internet Protocol (IP). En español es Protocolo de Control de Transmisión y Protocolo de Internet. Forma de comunicación básica que usa el Internet, la cual hace posible que cualquier tipo de información (mensajes, gráficos o audio) viaje en forma de paquetes sin que estos se pierdan y siguiendo cualquier ruta posible.
TELECONFERENCIA: Consiste en mantener una conferencia por TV con varias personas a la vez. Se logra mediante cámaras y monitores de videos ubicados en las instalaciones del cliente o en un centro de conferencias público. El video de pantalla completa y de movimiento pleno a 30 cuadros por segundo requiere una red con un gran ancho de banda.
TELEFONÍA IP: La señal analógica de la voz es convertida en señal digital que puede transitar por Internet. La calidad del sonido en las redes TCP/IP depende del ancho de banda del que se dispone.
TERABYTE: Un Terabyte (TB) equivale a algo más de mil billones de bytes, concretamente 1,024 (2^40) o 1024 Gigabytes. Todavía no se han desarrollado memorias de esta capacidad aunque sí dispositivos de almacenamiento
TRANSFERENCIA DE ARCHIVOS: Copia de un archivo desde un ordenador a otro a través de una red de computadoras.
TTL: Time To Live. Tiempo para vivir. Es el tiempo que un paquete permanece activo en una red. Hay un numero TTL en cada encabezado de paquete IP. A medida que un paquete pasa por cada router, el router reduce por 1 este número. Si el paquete llega a 0, los routers no seguirán reenviando el paquete.
107
UNIVERSIDAD PRIVADA TELESUP
TUNNELING: Tecnología que permite que una red mande su data por medio de las conexiones de otra red. Funciona encapsulando un protocolo de red dentro de los paquetes de la segunda red. Es el acto de encapsular un protocolo de comunicación dentro de otro a través de dispositivos y Routers.
SMTP: Protocolo Simple de Transferencia de Correo. Es definido en STD 10, RFC 821, y se usa para la transferencia de correo electrónico entre computadoras. Es un protocolo de servidor a servidor, de forma que para poder leer los mensajes se deben utilizar otros protocolos.
SNIFFER: Programa que busca palabras claves que se le hayan impartido en los paquetes que atraviesan un nodo con el objetivo de conseguir información y normalmente se usa para fines ilegales. Por ejemplo, a un sniffer se le puede instruir que busque la palabra clave "password". No es tan sencillo en realidad. De todas formas, este tipo de problemas son fácilmente solucionables con algún tipo de política de seguridad electrónica, como un firewall.
SNMP: Acrónimo de Simple Network Management Protocol. Protocolo estándar para la administración de red en Internet. Prácticamente todos los sistemas operativos, routers, switches, módems cable o ADSL módem, firewalls, etc. se ofrecen con este servicio.
LÍNEA DEDICADA: Línea privada que se utiliza para conectar redes de área local de tamaño moderado a un proveedor de servicios de Internet y se caracteriza por ser una conexión permanente.
NAT: Network Address Translation o Network Address Translator es la traducción de IPs privados de una red en IP públicos, para que la red pueda enviar paquetes al exterior, y viceversa. NAT esta incluido como parte de un router y generalmente forma parte de un firewall corporativo. El NAT puede ser definido estáticamente
108
UNIVERSIDAD PRIVADA TELESUP
Fuentes de Información BIBLIOGRÁFICAS:
E. COMER, DOUGLAS. Internet Working with TCP/IP. Editorial Prentice Hall, año 2009. BLACK, UYLESS. Redes de computadores, protocolos, normas e interfaces. Ed. Alfaomega-rama, México, D.F. 2008 GARCÍA TOMÁS, Jesús, SANTIAGO FERNANDO y Patín Mario. Redes para proceso distribuido, 2da. edición actualizada. Ed. Alfaomega 2010. GONZÁLEZ SAINZ, Néstor. Comunicaciones y redes de procesamiento de datos. Ed. Mc-GrawHill.2011. STALLINGS, William Comunicaciones y redes de computadores, quinta edición. Ed. Prentice 2009.
ELECTRÓNICAS:
Administración de redes con Linux http://es.tldp.org/Manuales-LuCAS/GARL2/garl-2.0.pdf
Servidor FTP http://www.masadelante.com/faqs/servidores-ftp
Configuración de Proxy http://windowsespanol.about.com/od/RedesYDispositivos/ss/ConfigurarProxy.htm
Tecnología firewall http://www.tress.com.mx/boletin/julio2003/firewall.htm
109
UNIVERSIDAD PRIVADA TELESUP
Solucionario UNIDAD DE
APRENDIZAJE 1
1. D 2. B 3. D 4. A 5. D 6. B 7. E 8. A 9. C 10. B
UNIDAD DE APRENDIZAJE 2:
1. A 2. E 3. D 4. A 5. A 6. C 7. D 8. E 9. B 10. A 11.
UNIDAD DE
UNIDAD DE
APRENDIZAJE 3:
APRENDIZAJE 4:
1. C
1. A
2. D
2. C
3. D
3. B
4. A
4. B
5. C
5. A
6. D
6. E
7. A
7. C
8. E
8. A
9. B
9. A
10. C
10. C
110