1. UNIVERSIDAD TECNOLÒGICA
SAN ANTONIO DE MACHALA
III JORNADAS INFORMÁTICAS EI-UTSAM 2008
LINUX COMO SERVIDORES DE
INTRANETS Y EN LA INTERCONEXIÓN
DE REDES
ING. LUCAS R. GARCÉS G.
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux Machala - 2008
2. PROBLEMA
La necesidad de configurar intranets e
interconectar redes utilizando el sistema
operativo Linux
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
3. OBJETO
El proceso de configuración de intranet e
interconexión de redes en Linux.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
4. OBJETIVO
Configurar intranet e interconexión de
redes utilizando la plataforma operativa
Linux
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
5. CONTENIDOS
• Intranets
• Linux como servidores de intranet
• Servicios de intranet en Linux
• Seguridades de la intranet
• Interconexión de redes utilizando Linux
• Conclusiones
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
6. INTRANETS
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
7. INTRANETS
Una infraestructura de comunicación. Basada en los estándares
de comunicación de Internet y los estándares de contenido de la
World Wide Web, garantizando su seguridad en el acceso a
Internet, en un ambiente computacional corporativo privado
Por lo tanto las herramientas usadas para crear una Intranet son
similares a aquellas usadas por Internet y las aplicaciones web.
La característica distintiva de una Intranet es que el acceso a la
información publicada en la Intranet está restringida a los clientes
del grupo de la Intranet
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
8. INTRANETS
Internet Corporación
Aplicaciones basadas en Web Basado en web Legado de aplicaciones
Red pública insegura Segura Red privada segura
TCP/IP TCP/IP Red multiprotocolos
Administración limitada Administración Administración
Intranet
Intranet combina la tecnología Internet con el control corporativo de red
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
9. INTRANETS
Componentes de la Intranet: Computadoras (servidores, ET),
conexiones de red (medios de conexión, dispositivos de conexión
e interconexión), sistemas operativos (servidores, clientes),
aplicaciones, protocolos y dispositivos/sistemas de seguridad.
Tecnologías, arquitectura (topología: LAI, WAI)
Servicios en la Intranet: Web, Mail, DNS, Noticias, Discusión,
Aplicaciones varias …, seguridad en la intranet.
Software den Intranet: Web, Mail, DNS … función de la
plataforma operativa que se elija como servidores de intranet.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
10. INTRANETS
Ventajas de las intranets:
Requiere poca inversión para su inicio
♦Ahorra tiempo y costos en comparación de la distribución
de información tradicional (papel).
Su estrategia de cómputo distribuido utiliza los recursos de
cómputo mas efectivamente.
Tiene una interfaz sencilla y flexible (vínculos).
Independiente de la plataforma
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
11. LINUX COMO SERVIDORES
DE INTRANET
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
12. LINUX COMO SERVIDORES DE INTRANET
Linux es un sistema muy usado por su versatilidad. Se usa
muchísimo en servidores de internet y grandes ordenadores,
porque aprovecha al máximo los recursos. Además, se puede
instalar sin necesidad de un sistema gráfico que ralentice el
ordenador. E incluso se puede usar como sistema de escritorio,
para trabajar, navegar, jugar...
Ventajas:
Su seguridad, rapidez y economía
Distribuciones:
Red Hat, SuSe, Debian, Ubuntos, White Box, Fedora, Centos …
Estándares: Dep. Defensa E.U.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
13. SERVICIOS EN INTRANET
LINUX
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
14. SERVICIO DNS
En cualquier servidor Linux tanto en Internet,
como en Intranets, disponer de un servidor de
nombres puede resultar imprescindible. El servicio
de correo, el web, el FTP, entre otros,
prácticamente cualquier servicio TCP/IP de
Internet requiere del funcionamiento de la base de
datos distribuida que conforma el DNS a nivel
mundial o de la intranet
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
15. SERVICIO DNS
El servicio de DNS (Domain Name Server) se utiliza para
asignar nombres a los ordenadores en Internet y nos permite
traducir nombres de máquinas (host´s) a direcciones IP y
viceversa. Siempre será más fácil recordar un nombre que
números.
Ejemplo:
Host: www.undersec.com
Equivalente:
IP: 62.164.20.60
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
16. SERVICIO DNS
Las normas para los nombres de dominios las establece
InterNIC (Internet Network Information Center).
com Comercial es España
edu Educativo de Alemania
gov Gobierno se Suecia
org Organización at Austria
net Proveedores ('Networking') ch Suiza
mil Militar jp Japón
int Internacional su Unión Soviética
uk Gran Bretaña
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
17. SERVICIO DNS
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
18. SERVICIO DNS
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
19. SERVICIO DNS
En nuestro ejemplo utilizaremos el siguiente
dominio: utsam.edu.ec
Realizamos la configuración en tres pasos:
3. Configuración del resolv.conf
4. Configuración de named.conf
5. Configuración de la zona reenvió local y la zona
de resolución inversa.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
20. SERVICIO DNS
(1)resolv.conf
Este documento se encuentra localizado dentro del directorio
/etc. Este se indica el nombre del dominio que tiene el
servidor.
>> /etc/resolv.conf
domain utsam.edu.ec
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
21. SERVICIO DNS
(2)Archivo named.conf que se encuentra localizado en la siguiente
dirección: etc/named.conf.
DNS’s de la UTSAM
Nuestro dominio
Reversa dominio
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
22. SERVICIO DNS
Creación de los ficheros de zona:
(3)Zona de reenvio local : /var/named/chroot/var/named/utsa.edu.ec
Información del Servidor,
para interactuar con otros
servidores DNS
Terminales e IP’s de la red local
Recursos asignados
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
23. SERVICIO DNS
Creación de los ficheros de zona:
(3)Zona de reenvio local : /var/named/chroot/var/named/utsa.edu.ec
Aura se puede realizar una consulta al nombre y la zona creada:
Ejecutamos: root@utsam:~> ping utsam.edu.ec
PING utsam.edu.ec (192.168.1.100) 56(84) bytes of data.
“El comando ping resuelve el IP 192.168.1.100 gracias al servidor DNS”
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
24. SERVICIO DNS
Creación de los ficheros de zona:
(3)Zona de resolución inversa : /var/named/chroot/var/named/1.168.192.in
addr.arpa
Resolución Inversa
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
25. SERVICIO DNS
Creación de los ficheros de zona:
(3)Zona de resolución inversa : /var/named/chroot/var/named/1.168.192.in
addr.arpa
Aura se puede realizar una consulta al nombre, la zona creada e IP:
Ejecutamos: root@utsam:~> nslookup utsam.edu.ec
Run nslookup with the `-sil[ent]' option to prevent this message from
appearing.
Server: 192.168.1.52
Address: 192.168.1.52#53
Name: utsam.edu.ec
Se puede consultar si existe un nombre asociado a esta IP:
root@utsam:~> nslookup 192.168.1.52.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
26. SERVICIO DNS
Comprobación del servidor:
(1)var/named/chroot/var/named/….
Archivos No
Editados
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
27. SERVICIO DNS
Comprobación del servidor:
(2)Iniciar el servicio:
service namend start/restart/stop
/etc/init.d/namend start/restart/stop
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
28. SERVICIO DNS
Comprobación del servidor:
(3) En el cliente:
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
29. SERVICIO MAIL
El correo electrónico fue una de las primeras aplicaciones
creadas para Internet y de las que más se utilizan. Éste medio es
rápido, eficiente y sencillo de administrar, llegando a ser el
sistema más sofisticado de mensajería que hoy conocemos.
SMTP (Simple Mail Transfer Protocol) es un protocolo de la
familia del TCP/IP para la transmisión de correo electrónico, éste
no es dependiente de ningún correo en especial sino que
cualquier software de correo que genere un email en el formato
en que el protocolo lo estructura, será entendido por éste.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
30. SERVICIO MAIL
POP3, Post Office Protocol 3 es el protocolo que nos permite acceder
a nuestra casilla de correos. Mediante este protocolo, el cliente de e
mail se comunica al servidor de casilla de correo y puede recibir el
correo que el servidor ha guardando para nosotros, así como también
enviar el generado para enviar.
IMAP, Internet Message Access Protocol. Es un método de acceso al
correo electrónico que se mantiene en el servidor correspondiente.
A diferencia del protocolo POP3 que retira los mensajes del servidor al
conectarse y los almacena en el servidor local, IMAP 4 los deja en el
servidor remoto, con lo que es posible acceder a los mismos desde
diferentes puntos (oficina, casa etc.).
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
31. SERVICIO MAIL
Servidores en Linux: Kerio MailServer, Qmail, Exigen,
Communigate Pro, Qpopper, Sendmail …
Sendmail: es un MTA (agente de transporte de correo), que es el
programa que se encarga de mover el correo de un máquina a otra.
Sendmail lleva incorporado aliasing y fordwarding, rutado automático
hacia puertas de enlace, y una configuración flexible.
Una solucion potente para cualquier entorno.
Su configuración es complicada y durante su larga vida ha tenido
numerosos problemas de seguridad. Aun así sigue siendo el mas
utilizado.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
32. SERVICIO MAIL
Proceso de Configuración:
Todos los ficheros de configuración de sendmail se
encuentran en el directorio /etc/mail. Se debe tener en
cuenta que los archivos a modificar en este servicio son
cuatro:
(1)Access: En este archivo se indicará el IP de las máquinas
o redes que van a poder enviar correo a través del servidor
(2)relaysdomains: En este archivo es en donde se va
indicar la salida del correo
(3)localhostnames: Archivo en donde se indica los
dominios de la red
(4)sendmail.mc: Archivo principal de configuración.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
33. SERVICIO MAIL
(1) Accesos
Definir lista de control de acceso en: /etc/mail/access
Incluir solo las IPs locales del servidor, y la lista negra de direcciones de
correo, dominios e IPs denegadas:
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
192.168.1.254 RELAY
# Otros servidores de correo en la LAN y que tiene permitido
# enviar correo hacia otros servidores.
192.168.1.253 RELAY
192.168.1.252 RELAY
# Algunas máquinas que tiene permitido enviar correo
# sin autenticarse, pero no enviar correo hacia otros servidores.
192.168.1.251 OK
192.168.1.250 OK
#
# Lista negra. Se rechaza correo que se dirija hacia y desde:
usuario@molesto.com REJECT
productoinutil.com.mx REJECT
10.4.5.6 REJECT
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
34. SERVICIO MAIL
(2) Estableciendo Dominios
Establecer dominios a administrar en: /etc/mail/localhostnames
Ejemplo:
midominio.com
mail.midominio.com
miotrodominio.com
mail.miotrodominio.com
Para el caso de la UTSAM, el archivo tendría una única línea: utsam.edu.ec
Establecer dominios permitidos para poder enviar correo en:
(3)/etc/mail/relay-domains
Por defecto, no existe dicho fichero, hay que generarlo. Para fines generales
tiene el mismo contenido de /etc/mail/localhostnames.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
35. SERVICIO MAIL
(4) Configuración Sendmail.mc
Editar /etc/mail/sendmail.mc y deshabilitar/habilitar funciones:
• Si se utiliza la siguiente línea, habilitada por defecto, se permitirá
realizar autenticación a través del pueto 25 por cualquier método,
incluyendo PLAIN, el cual se realiza en texto simple. Esto implica
cierto riesgo de seguridad.
define(`confAUTH_OPTIONS', `A')dnl
• Si comenta la anterior línea con dnl, y se utiliza en cambio la
siguiente línea, se deshabilitará la autenticación por texto simple
en conexiones no seguras (TLS), de modo tal que solo se podrá
autenticar a través de métodos que utilicen ciframiento.
define(`confAUTH_OPTIONS', `A p')dnl
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
36. SERVICIO MAIL
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
37. SERVICIO MAIL
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
38. SERVICIO MAIL
Comprobación del servidor:
Es importante ejecutar el comando MAKE después de cualquier cambio en
el archivo sendmail.mc ya que este se debe compilar los cambios, luego:
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
El archivo de macro m4 va a configurar el archivo sendmail.cf en base a lo que
se modificó el archivo senmail.mc
Habilitar protocolos de lectura de correo:
/sbin/chkconfig imap on
/sbin/chkconfig ipop3 on
Iniciar el servicio:
service sendmail start/restart/stop
/etc/init.d/sendmail start/restart/stop
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
39. SERVICIO MAIL
Comprobación del servidor:
Creación de usuarios: El alta de usuarios a través de este método será
diferente a la manera tradicional.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
40. SERVICIO MAIL
Comprobación del servidor:
Configuración de usuarios:
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
41. SERVICIO MAIL
Comprobación del servidor:
Configuración de usuarios:
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
42. SERVICIO WEB
Apache es el servidor Web más usado en todo el mundo
con una cuota de mercado superior al 60% (según
http://www.netcraft.com).
En las aplicaciones Web, Apache se combina
frecuentemente con Linux, la base de datos MySQL y los
lenguajes de programación PHP y Perl.
Proporciona páginas html, php, etc., a los clientes que lo
solicitan. Estas pueden estar almacenadas en un directorio
del servidor (estáticas) o ser generadas de nuevo como
respuesta a una solicitud (dinámicas).
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
43. SERVICIO WEB
Si se utiliza de CentOS 4.0 o White Box Enterprise Linux
4.0, solo basta ejecutar lo siguiente en entorno de comando:
yum y install httpd
Si se desea que Apache incluya soporte para PHP/MySQL,
Perl, Python y SSL, solo bastará ejecutar en entorno de
comando lo siguiente:
yum y install php phpmysql mod_perl mod_python mod_ssl
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
44. SERVICIO WEB
Configuración de servidor:
El fichero de configuración más importante es httpd.conf. Este se divide en tres
secciones con fines puramente organizativos:
Sección 1: reúne los aspectos globales del servidor.
Por ejemplo: el número máximo de clientes concurrentes, los timeouts, el
directorio raíz del servidor, etc.
Sección 2: agrupa las directivas que definen la forma de responder a todos los
pedidos del servidor principal, o sea aquellos que no son para los hosts
virtuales, de existir alguno definido. También reúne los aspectos por defecto de
todos los hosts virtuales que se configuren más adelante.
Sección 3: agrupa las directivas relacionadas con los hosts virtuales que se
definan.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
45. SERVICIO WEB
Configuración de servidor:
Apache es un servicio que por fortuna solo es necesario instalar e iniciar. No requiere
modificaciones adicionales para su funcionamiento básico.
Para añadir el servicio a los servicios que inician junto con el sistema:
/sbin/chkconfig httpd on
Para iniciar el servicio por primera vez:
service httpd start
Para comprobar si funciona correctamente el servidor web: pantalla del navegador:
http://localhost/ ó http://127.0.0.1/
Para mostrar páginas web basta con guardar los archivos en el directorio:
/var/www/html/
En este directorio se puede guardar los sitios para el acceso de clientes web, como por
ejemplo:
http://192.168.1.52/SitioUtsam/Practica.html
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
46. SERVICIO ADICIONALES
DHCP (Dynamic Host Configuration Protocol) es un protocolo
que permite a dispositivos individuales es una red de direcciones IP
obtener su propia información de configuración de red (dirección IP;
máscara de subred, puerta de enlace, etc.) a partir de un servidor
DHCP. Su propósito principal es hacer más fáciles de administrar las
redes grandes.
Se requiere instalar el paquete dhcp:
yum -y install dhcp o up2date -i dhcp
En las distribuciones de Red Hat, White Box, Fedora, Centos
dhcpd.conf.sample ubicado en el directorio /usr/share/doc/dhcp-*
Iniciar el servicio: service httpd start o etc/int.d/dhcpd start
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
47. SERVICIO ADICIONALES
DHCP (Dynamic Host Configuration Protocol)
Considerando como ejemplo que se tiene una red local con
las siguientes características:
·Número de red 192.168.1.0
·Máscara de subred: 255.255.255.0
·Puerta de enlace: 192.168.1.1
·Servidor de nombres: 192.168.1.1, 148.240.241.42 y
148.240.241.10
·Rango de direcciones IP a asignar de modo dinámico:
192.168.1.11192.168.1.199
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
48. SERVICIO ADICIONALES
DHCP (Dynamic Host Configuration Protocol)
Se crea el fichero /etc/dhcpd.conf.
subnet 192.168.1.0 netmask 255.255.255.0
{
option routers 192.168.1.2; #Puerta de enlace
option subnetmask 255.255.255.0;
option broadcastaddress 192.168.1.255;
option domainname quot;utsam.edu.ecquot;; #quot;un dominioquot;
option domainnameservers 192.168.1.1, 148.240.241.42, 148.240.241.10;
range 192.168.1.11 192.168.1.199; #Rango de asignación
defaultleasetime 21600;
maxleasetime 43200;
# Reservar una IP para un host
host terminal47
{
hardware ethernet 00:10:DC:1F:75:40; #MAC
fixedaddress 192.168.1.47; #IP
}
}
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
49. SERVICIO ADICIONALES
SSH
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
50. SERVICIO ADICIONALES
FTP
Se levanta el servicio : service vsftpd start
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
51. SERVICIO ADICIONALES
FTP
Se crea los usuarios correspondientes
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
52. SERVICIO ADICIONALES
FTP
Configuración del servicio: /etc/vsftpd/vsftp.conf
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
53. SERVICIO ADICIONALES
FTP
Añadimos usuarios nuevos en la /etc/vsftp.user_list
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
54. SERVICIO ADICIONALES
FTP
Añadimos los archivos para ser compartidos en la dirección /var/ftp/pub
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
55. SERVICIO ADICIONALES
FTP
Acceso ftp desde el Windows, Se debe ejecutar desde el browser
ftp://192.168.1.52/
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
56. SEGURIDADES EN
INTRANET LINUX
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
57. FIREWALLS
Un firewall es un dispositivo que filtra el tráfico
entre redes, como mínimo dos. El firewall puede
ser un dispositivo físico o un software sobre un
sistema operativo.
En general debemos verlo como una caja con
DOS o mas interfaces de red en la que se
establecen una reglas de filtrado con las que se
decide si una conexión determinada puede
establecerse o no.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
58. FIREWALLS
Implementación de un Firewall:
Definir la arquitectura del firewall
Establecer las políticas de seguridad en la empresa.
Definir los requerimientos de seguridad
Segmentar apropiadamente las DMZ
Integración del firewall con otros dispositivos de seguridad
Seleccionar el tipo de firewall
Instalación del firewall
Configuración del firewall
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
59. FIREWALLS
Esquema de firewall típico entre red local e internet.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
60. FIREWALLS
Dependiendo de las necesidades de cada red,
puede ponerse uno o más firewalls para
establecer distintos perímetros de seguridad en
torno a un sistema.
Es frecuente también que se necesite exponer
algún servidor a internet (como es el caso de un
servidor web, un servidor de correo, etc..), lo que
se recomienda en esa situación crear una DMZ o
zona desmilitarizada.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
61. FIREWALLS
Esquema de firewall entre red local e internet con zona DMZ para servidores
expuestos
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
62. FIREWALLS
Firewall entre red local e internet con zona DMZ para servidores expuestos
creado con doble firewall (perímetro)
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
63. FIREWALLS
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
64. FIREWALLS
Iptables
IPtables es un sistema de firewall vinculado al kernel de
linux que se ha extendido enormemente a partir del kernel
2.4. Iptables esta integrado con el kernel, es parte del
sistema operativo.
¿Cómo se pone en marcha? Realmente lo que se hace es
aplicar reglas. Para ellos se ejecuta el comando iptables,
con el que añadimos, borramos, o creamos reglas. Por ello
un firewall de iptables no es sino un simple script de shell en
el que se van ejecutando las reglas de firewall.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
65. FIREWALLS
Iptables
Tenemos tres tipos de reglas en iptables:
MANGLE : Destinadas a modificar los paquetes; son reglas poco conocidas y
es probable que no las usen.
NAT: Reglas PREROUTING, POSTROUTING
FILTER: Reglas INPUT, OUTPUT, FORWARD.
Hay dos maneras de implementar un firewall:
1) Política por defecto ACEPTAR: en principio todo lo que entra y sale por
el firewall se acepta y solo se denegará lo que se diga explícitamente.
2) Política por defecto DENEGAR: todo esta denegado, y solo se permitirá
pasar por el firewall aquellos que se permita explícitamente.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
66. FIREWALLS
Iptables
Cuando un paquete u otra comunicación llega al kernel con
iptables se sigue este camino.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
67. FIREWALLS
Zona desmilitarizada
FIREWALL
LABORATORIO 1
BIBLIOTECA Y
FINANCIERO
PRIMER PLANTA BAJA CAMPUS
LABORATORIO 2
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
68. FIREWALLS
Iptables
Ejemplo:
#!/bin/sh
## SCRIPT de IPTABLES para FIREWALL de DMZ del Servidor de la UTSAM
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat –F
## Establecemos política por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar…
## Nota: eth0 es el interfaz conectado al Servidor y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
69. FIREWALLS
Iptables
Ejemplo:
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la Red Local y de la DMZ
# para que puedan salir hacia fuera y activamos el BIT DE FORWARDING…
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall
# o sea que otras máquinas puedan salir a través del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.2 -p tcp --sport 1024:65535 --dport 3389 -j
ACCEPT
# … hay que hacerlo en uno y otro sentido …
iptables -A FORWARD -s 192.168.2.2 -d 192.168.1.0/24 -p tcp --sport 3389 --dport 1024:65535 -j
ACCEPT
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
70. FIREWALLS
Iptables
Ejemplo:
# … por que luego:
# Cerramos el acceso de la DMZ a la LAN
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
# Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
echo quot; OK . Verifique que lo que se aplica con: iptables -L -nquot;
# Fin del script
Una vez lo tenemos, le damos permisos de ejecución:
chmod +x /etc/init.d/firewall
Y lo ponemos en el arranque del sistema:
ln -s /etc/init.d/firewall /etc/rc2.d/firewall
ln -s /etc/init.d/firewall /etc/rc3.d/firewall
ln -s /etc/init.d/firewall /etc/rc4.d/firewall
ln -s /etc/init.d/firewall /etc/rc5.d/firewall
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
71. INTERCONEXIÓN DE
REDES
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
72. PUERTAS DE ENLACE
Interconexión de redes
Cliente XP Cliente XP
192.168.1.2 / 24 10.0.0.2 / 24
Host Router
192.168.1.1 /24
10.0.0.1 / 8
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
73. PUERTAS DE ENLACE
Interconexión de redes
Instalación de dos tarjetas físicas de red
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
74. PUERTAS DE ENLACE
Interconexión de redes
Configuración de las tarjetas
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
75. PUERTAS DE ENLACE
Interconexión de redes
Configuramos y habilitamos el enrutamiento
Finalmente configuramos los
clientes y probamos
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
76. PUERTAS DE ENLACE
Interconexión de redes
Si realizamos manualmente (Interfaces físicas):
>> ifconfig eth0 192.68.1.1 ifconfig eth1 10.0.0.1
>> ifconfig revisamos las interfaces de red configuradas
Creación de interfaces lógicas:
>> ifconfig eth0:0 10.0.0.1
>> ifconfig revisamos las interfaces de red configuradas
El problema es que no se mantienen si se inicia nuevamente el sistema
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
77. PUERTAS DE ENLACE
Interconexión de redes
Para que la configuración de las interfaces de red se mantengan tras la
siguiente inicialización del sistema, es necesario almacenarlas en el fichero
correspondiente al dispositivo en /etc/sysconfig/network - scripts . Como
ejemplo, para la interfaz: eth0:0 habría que crear el fichero /etc /
sysconfig/network scripts / ifcfg eth0:0
DEVICE=eth0:0
BOOTPRO=static
BROADCAST= 10.255.255.255
IPADDR=10.0.0.1
NETMASK=255.0.0.0
NETWORK= 10.0.0.0
ONBOOT=yes
Habilitamos la bandera : echo “1” > /proc/sys/net/ipv4/ip_forward
Configurar los clientes
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
78. ROUTERS EN LINUX
192.168.1.5 172.192.100.5
SWITCH 192.168.1.0 172.192.100.0 SWITCH
eth0:0
192.168.1.1 eth0:0
eth0 172.192.100.1 eth0
192.168.1.3 172.192.100.3
ROUTER ROUTER
eth0:1 eth0:1
11.10.10.2 192.168.1.2
Eth0:1 S0
Eth0 11.10.10.1 195.168.100.1 E0
11.10.10.3 195.168.100.3
ROUTER ROUTER
eth0:0 S1
195.168.100.2 172.192.100.2
SWITCH 11.10.10.0 195.168.100.0 SWITCH
11.10.10.5 195.168.100.5
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
79. ROUTER EN LINUX
(1) Instalar la tarjeta física
(2) Crear las dos tarjetas virtuales
(3) Construir las tablas de encaminamiento (Est.)
# Para ir a la subred de identificador I y mascara M el siguiente salto es N
route add net <I> netmask <M> gw <N>
# El router por defecto si falla todo lo demás es N
route add default gw <N>
(7) Habilitamos el ip_forward
• Lea el manual del comando route y aprenda a añadir y borrar
entradas en la tabla de rutas.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
80. CONCLUSIONES
Las Intranet son infraestructuras de comunicación
seguras que permiten a los usuarios corporativos tener
la información y las herramientas tecnológicas necesaria
para el desarrollo de sus actividades. Analizar sus
servicios, aplicaciones y herramientas de
implementación es una tarea muy complicada para los
especialistas en TI.
Linux es una plataforma operativa muy utilizada para
implementar servicios y aplicaciones bajo entornos
corporativos privados (Intranets).
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
81. CONCLUSIONES
Las empresas deben decidir las TIC’S que deben usar
para mantener la competitividad y globalización que nos
enfrenta el mundo actual, usar una tecnología libre o
privativa solo dependerá de las condiciones socio
económicas y del grado de especialización que tenga el
recurso humano informático de la empresa.
El uso de tecnología libre como Linux, exige mayor
dedicación y procesos de investigación continua para los
especialistas en las TI, solo de la preparación y
profundización que tengamos dependerá la eficiencia o
deficiencia con que estas herramientas tecnológicas
libres solucionen las necesidades corporativas privadas.
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
82. FIN
GRACIAS
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux
83. ESTANDAR SEGURIDAD SISTEMAS
El estándar 5200.28 del Departamento de Defensa de los Estados Unidos
Todas las características de lo n
s iveles de Protección
A1 seguridad B y C m Vás erificación form al verificada
A resistencia al ing
lta reso al sistem tien
a; e
B3 con troles de dem ostración
C lasificación
requerida para Relativamente resisten al ing
te reso al sistema,
ag encias de
inteligencia de
B2 posee controles m ríg
ás idos qu B
e 1
Protección
obligada
los EEU U
Separa los datos con fidenciales secretos y
B1 ultra secretos
Control m ríg
ás ido qu C a través del log ,
e 1 in
C lasificación
requerida para
C2 auditoría y control de los recursos
la m ayoría de Protección
Apropiado si los datos del sistem no están
a discreta
instalaciones
com erciales C1 clasificados
Sistem que h sido evaluados pero fallan al
a an Protección
D encontrarse con grandes requerim tos
ien m ínim a
MACHALA - 2008
Ing. Lucas R. Garcés G, Intranet e interconexión de redes bajo Linux