Academia Linux Proyecto de Fin de Mdulo

PROYECTO LINUX PARA LA ADMINISTRACIN DE REDES Y SISTEMAS

1. Introduccin
El presente proyecto tiene como objetivo principal la aplicacin de los conocimientos adquiridos a lo largo del transcurso de la Academia Linux, para lo cual se desarrolla el cambio de la empresa Mega-Soft que tiene implementado sus sistemas bajo equipos con el sistema operativo indo!s, quienes luego de ver la demostracin del sistema operativo Linux con su alta fiabilidad, escalabilidad, estabilidad, "an decidido migrar toda su implementacin e infraestructura a un entorno Linux#

2. Especificaciones y Requerimientos del Proyecto

$isponibilidad para servir a los empleados de Mega-Soft %acilidad de comunicacin a trav&s de toda la red 'onexin limitada con direccionamiento () real Los empleados utili*an + sistemas operativos diferentes indo!s y Linux ,so de una intranet Servicio de (mpresin Servicio de correo electrnico ebSite de la empresa Estrategia para recuperacin de desastres en S y 'ontrol de Acceso a los recursos ,n sistema de .ac/up Alta disponibilidad y 'onfiabilidad

)0gina 1 de 22

Academia Linux Proyecto de Fin de Mdulo

3. Anlisis y Diseo del Proyecto

Infraestructura de Red
En el dise3o de la red que se presenta a continuacin consta de una intranet que contendr0 toda la LA4 interna de la empresa, la cual contar0 con un %ire!all perimetral, que ser0 el encargado de brindar seguridad entre la LA4 y la $M5 de la empresa, as6 mismo consta de un router de borde el cual proveer0 conectividad "acia el (nterner con un proveedor designado#

%igura 1 Esquema de 7ed

Esquema de direcci namient

'onsiderando el volumen de empleados en la empresa que son alrededor de +88, incluyendo equipos de usuario final y servidores, "emos considerado optar por un esquema de direccionamiento de clase ', en este caso el valor del primer byte tendr0 que estar comprendido entre 19+ y ++2, incluyendo ambos valores# Este tipo de direcciones utili*a los tres primeros bytes para el n:mero de la red, con un rango desde 19+#1#1 "asta ++2#+;<#+;<# $e esta manera queda libre un byte para el "ost, lo que permite que se conecten un m0ximo de +;< ordenadores en cada red# Estas direcciones permiten un menor n:mero de "ost que las anteriores, aunque son las m0s numerosas pudiendo existir un gran n:mero redes de este tipo =m0s de dos millones># $efiniendo el esquema de direcciones as6? 19;#+88#188#"ost 19;#+88#@8#"ost 19;#+88#;8#"ost 19;#+88#A8#"ost 19;#+88#+8#"ost ? ? ? ? ? )ara los equipos servidores en la $M5 )ara los equipos servidores en la (ntranet )ara los administradores )ara las autoridades )ara los usuarios finales

Ta!"as de Direcci nes IP

C"ase A . ' Primer #$te 1##1+A 1+@##191 19+##++2 Identificaci%n de Red 1 byte + bytes 2 bytes Identificaci%n de & st 2 bytes + bytes 1 byte N'mer de Redes 1+A 1A+;A +8A<;1+ Numer de & sts 1A2@B8A< A<;1A +;<

)0gina + de 22

Academia Linux Proyecto de Fin de Mdulo

. Planeacin f!sica de Equipos "ecesarios

En esta etapa del proyecto se define los requerimiento de "ard!are, para la configuracin de los servidores, n:mero de s!ict"s, routes, tama3o de los discos, impresoras# .asados en le esquema de red los requerimientos de los equipos son los siguientes? Ti( de Ser)id r Local ebServer C (nternet ebServer Mail Server $ns Local C $'- Local (nternet $4S Server %ire!allC)roxyC7outer Server 7outer de .orde Servidor de (mpresin y de Arc"ivos =Samba> 4%S TOTAL N'mer de Equi( s 1 1 1 1 1 1 1 *

#. Documentacin &er'idores
+

de

Instalacin

$onfi%uracin

de

los

Squid ,e! Pr -$ Cac.e

+/+ Intr ducci%n

,na forma de acelerar la navegacin !eb es mediante la instalacin de un servidor )roxy# Squid es un servidor proxy utili*ado por miles de empresas e (S)s en todo el mundo, es gratuito y fue dise3ado para ,4(D# 'omo servidor )roxy que es, se trata de un soft!are que permite a varios computadores conectados en una red, obtener salida a (nternet a trav&s de un :nico computador conectado a (nternet# $e esta manera, el )roxy act:a como intermediario entre (nternet y un cliente en cualquiera de las m0quinas de la red que no tienen conexin directa a (nternet pero que requieren acceso a alg:n tipo de salida a la , como por ejemplo una p0gina "ttp, o conexin Eelnet o %E) a alg:n servidor de (nternet y en general, a cualquier tipo de protocolo empleado en (nternet# Squid es el servidor )roxy m0s popular y extendido entre los sistemas operativos basados sobre ,4(DF# Es muy confiable, robusto y vers0til# Al ser soft!are libre, adem0s de estar disponible el cdigo fuente, est0 libre del pago de costosas licencias por uso o con restriccin a un uso con determinado n:mero de usuarios#

)0gina 2 de 22

Academia Linux Proyecto de Fin de Mdulo +/0 Insta"aci%n $ C nfi1uraci%n #a2 Linu+/0/+ Insta"aci%n

)ara instalar Squid, primero se necesita obtenerlo, esto se puede "acer descarg0ndolo desde la p0gina de Squid en? "ttp?GG!!!#squid-cac"e#org )ara la instalacin procederemos de la siguiente forma? squid30/4/STA#LE0/tar/15 Se descomprime el arc"ivo, lo "aremos en dos pasos? 6 cd 7usr7" ca" 6 tar 3-)f5 squid30/4/STA#LE0/tar/15 Entramos en el directorio creado con el paso anterior? 6 cd Squid30/4/STA#LE0 'onfiguramos y compilamos Squid? 'ompilacinl? 6/7c nfi1ure 33(refi-87usr7" ca"7squid 33ena!"e3time3.ac9 "an1ua2e8S(anis. 33ena!"e3!asic3aut.3.e"(ers8NCSA )ara producir los binarios? 6 ma9e a"" El siguiente par0metro para indicar el directorio donde se instalar0 Squid? 6 ma9e insta"" +/0/0 C nfi1uraci%n 33ena!"e3err3

Puert de Access (ara e" Squid )or defecto, SH,($ utili*ar0 el puerto 21+@, aunque puede configurarse para que use cualquier otro, incluso varios puertos simult0neamente, dependiendo de nuestras necesidades# La l6nea correspondiente quedar0? "ttpIport 21+@ L 1s de re1istr s accessIlog GvarGlogGsquidGaccess#log C ntr "es de acces

)0gina < de 22

Academia Linux Proyecto de Fin de Mdulo Es necesario establecer Listas de 'ontrol de Acceso que definan una red o bien ciertas m0quinas en particular# A cada lista se le asignar0 una 7egla de 'ontrol de Acceso que permitir0 o denegar0 el acceso a Squid# Listas de C ntr " de Acces $efinen una red o bien ciertas m0quinas en particular# Se establecen siguiendo la siguiente sintaxis? acl JnombreIdeIlaIlistaK src JloIqueIcomponeIaIlaIlistaK A continuacin se indican GetcGsquidGetcGsquid#conf? las acl que tiene configurado en el arc"ivo

acl SSLIports port <<2 ;A2 acl SafeIports port @8 L "ttp acl SafeIports port +1 L ftp acl SafeIports port <<2 ;A2 L "ttps, sne!s acl SafeIports port B8 L gop"er acl SafeIports port +18 L !ais acl SafeIports port 18+;-A;;2; L unregistered ports acl SafeIports port +@8 L "ttp-mgmt acl SafeIports port <@@ L gss-"ttp acl SafeIports port ;91 L filema/er acl SafeIports port BBB L multiling "ttp acl SafeIports port +<<2 L peticion desarrollo soft!are acl 'M44E'E met"od 'M44E'E acl usuarios proxyIaut" 7EH,(7E$

+/0/:

C nfi1urar Squid (ara Acces ( r Autentificaci%n

Par;metr s en 7etc7squid7squid/c nf -ay que especificar que programa de autenticacin se utili*ar0# Se locali*ar0 la seccin que corresponde a la etiqueta aut"Iparam )roxy program# )or defecto no estar0 especificado ninguno# 'onsiderando que ncsaIaut" se locali*a en GusrGlibGsquidGncsaIaut", "abr0 que a3adir lo siguiente? aut"Iparam basic program GusrGlocalGsquidGlibexecGncsaIaut" GusrGlocalGsquidGpass!d Para in1resar usuari s a nuestr arc.i) uti"i5am s .t(ass<d= "tpass!d+ Narc"ivo de pass!ordO NusuarioO Luego pedir0 la respectiva contrase3a del usuario agregado El siguiente paso corresponde a la definicin de una Lista de 'ontrol de Acceso# Se especifica una denominada pass!d la cual se configurar0 para utili*ar obligatoriamente la autenticacin para poder acceder a Squid# $ebe locali*arse la seccin de Listas de 'ontrol de Acceso y a3adirse la siguiente l6nea? acl usuarios proxyIaut" 7EH,(7E$ )0gina ; de 22

Academia Linux Proyecto de Fin de Mdulo -abiendo reali*ado lo anterior, deberemos tener en la seccin de Listas de 'ontrol de Acceso algo como lo siguiente? Listas de 'ontrol de Acceso? autenticacin L L 7ecommended minimum configuration? acl all src 8#8#8#8G8#8#8#8 acl manager proto cac"eIobject acl local"ost src 1+B#8#8#1G+;;#+;;#+;;#+;; acl redlocal src 19;#+88#8#8G+;;#+;;#8#8 ac" usuari s (r -$>aut. RE?UIRED Se le a3ade pass!d, la definicin de la Lista de 'ontrol de Acceso que requiere utili*ar contrase3a, a nuestra regla actual, de modo que quede como mostramos a continuacin? "ttpIaccess allo! usuarios La *ona de reglas de control de acceso deber6a quedar m0s o menos de este modo? 7eglas de control de acceso? Acceso por contrase3a L L (4SE7E PM,7 M 4 7,LE=S> -E7E EM ALLM A''ESS %7MM PM,7 'L(E4ES L "ttpIaccess allo! usuarios "ttpIaccess deny all +/: Reiniciar Squid

En caso de querer reiniciar el servicio de squid "acemos lo siguiente? L /illall squid L cd GusrGlocalGsquidGsbin L #Gsquid Si es la primera ve* que iniciamos el servidor debemos "acerlos con la opcin -* para crear los directorios de s!ap L #Gsquid Q*

+/

@ire<a"" A IP3Ta!"es
Intr ducci%n

+/+/

()-Eables es un sistema de %ire!all vinculado al /ernel de linux que se "a extendido enormemente a partir del /ernel +#<#x de este sistema operativo, est0 integrado con el /ernel, es parte del sistema operativo# 'on esta "erramienta se puede configurar un %ire!all adecuado a nuestras necesidades, proporcion0ndole unas reglas que siguen un orden y que se plasman en los que se denominan targets que indican lo que se debe "acer con el paquete# )0gina A de 22

Academia Linux Proyecto de Fin de Mdulo

+/0/

Insta"aci%n

()-tables se puede instalar desde las fuentes pero en cada distribucin de Linux ya viene incluido el paquete de iptables, las fuentes se loas puede descargar desde !!!#netfilter#org y para darle mas funcionalidad se uede instalar parc"es adicionales disponibles en el mismo sitio# +/:/ C nfi1uraci%n

)ara asegurar un equipo para que cumpla la funcin de fire!all, debemos considerar lo siguiente?

3 3 3 3 3 3 3

'onsiderar las opciones de .(MS como pass!ord de acceso Asegurar el grub o lilo con pass!ord .ajar o desinstalar servicios innecesarios $esactivar 'trlCAltC$el Editar el arc"ivo fstab para asegurar mas el acceso al filesystem Editar el mensaje de acceso remoto al equipo =motd e issue#net> 7ecompilar el /ernel con par0metros extras para el fire!all#

N ta? Es preferible recompilar le /ernel con las opciones b0sicas para le fire!all, para no cargar drivers innecesarios y as6 como desactivar la carga din0mica de mdulos# Ase1urar e" 1ru! L grub grub O md;crypt )ass!ord? f!linuxAB Encrypted? xxxxxxxx grub O quit vi GbootGgrubGgrub#conf Agragr la liena de pass!ord pass!ord xxxxxxxxx L vi GetcGprofile Agregar la siguiente l6nea export EMM,ER2A88 Rec (i"ar "e 9erne" $ebemos recompilar el /ernel des"abilitando soporte para "ard!are innecesario y con opciones de seguridad necesarios# Modificar el arc"ivo GetcGsysctl#conf con los siguientes par0metros b0sicos? net#ipv<#icmpIec"oIignoreIbroadcasts R 1 net#ipv<#icmpIignoreIbogusIerrorIresponses R 1 net#ipv<#conf#all#acceptIredirects R 8 net#ipv<#conf#all#sendIredirects R 8 )0gina B de 22

Academia Linux Proyecto de Fin de Mdulo net#ipv<#conf#all#for!arding R 8 net#ipv<#tcpIsyncoo/ies R 1 net#ipv<#conf#all#logImartians R 1 net#ipv<#conf#all#rpIfilter R 1 net#ipv<#conf#all#acceptIsourceIroute R 8 )ara vr los par0metros configurados utili*ar sysctl -p +/B/ Administraci%n de" @ire<a""

)ara la Administracin del %ire!all, se "a utili*ado la "erramienta Mpensource !ebmin, la cual es una interfa* !eb que permite a m0s de administrar el fire!all administrar el equipo como tal, se puede descargar desde !!!#!ebmin#org la instalacin y configuracin se encuentran disponibles en el mismo sitio#

0/ Ser)id r NDS 0/+/ Intr ducci%n

A"ora daremos una peque3a explicacin del Servidor $4S, este es extremamente importante y dif6cil de entender, pero podr6amos decir que es el encargado de transformar direcciones () reales =19;#+88#188#18> a nombres () =!!!#mdm*#megasoft#com#ec> y viceversa e informar de una serie de datos a otros $4S y servidores existentes en el mundo# $4S es un acrnimo de $omain 4ame System =Sistema de 4ombres de $ominio> y el soft!are que utili*aremos para tal fin es el .ind, este paquete de soft!are provee un programa llamando named, un demonio encargado de esta labor# 0/0/ C nfi1uraci%n

En la configuracin de un $4S =el paquete .ind> intervienen los siguientes arc"ivosS GetcGnamed#conf GvarGnamedGnamed#local GvarGnamedGnamed#ca GvarGnamedGnamed#dm*#megasoft#com#ec GvarGnamedG19;#+88#188 .ind entrega dos tipos de servicios $4S el cac"ing only nameserver, que se limita a guardar en una cac"& las ()S de los nombres de m0quina m0s solicitados, obteni&ndolas de servidores externos, es lo b0sico si queremos navegar por (4EE74EE con nuestro propio server $4S, el arc"ivo de configuracin para este servicio es GvarGnamedGnamed#ca y por lo general slo se debe actuali*ar por lo menos una ve* al mes por medio de ciertas acciones que detallaremos m0s adelante# El otro servicio es el de entregar la configuracin de un determinado dominio y es esto exactamente el que "ace tan famoso al $4S, lo primero es entender $4S# $4S es un sistema jer0rquico# La ra6* se escribe como T#U =punto> y se denomina TrootU# $ebajo "ay cierto n:mero de $ominios de 4ivel Superior =Eop Level $omain, EL$>, los m0s )0gina @ de 22

Academia Linux Proyecto de Fin de Mdulo conocidos son M7V, 'MM, 4EE, pero "ay muc"os m0s, identificando dos clasesS geogr0ficos =#ES #'L #A7 etc#> y globales =#'MM #4EE #M7V> 'uando se busca una m0quina, la pregunta procede recursivamente en al jerarqu6a comen*ando desde arriba# Si queremos locali*ar la direccin prep#ai#mit#edu, nuestro servidor de nombres "a de encontrar primero un servidor de nombres que sirva a edu# )regunta al servidor T#U =este tipo de servidores W#X son los que utili*a el fic"ero named#ca>, y el servidor T#U proporcionar0 una lista de servidores para edu y despu&s para para edu y despu&s para cada subdominio# C nas de Aut ridad/ )ermiten al Servidor Maestro o )rimario cargar la informacin de una *ona# 'ada 5ona de Autoridad abarca al menos un dominio y posiblemente sus sub-dominios, si estos :ltimos no son delegados a otras *onas de autoridad# La informacin de cada 5ona de Autoridad es almacenada de forma local en un fic"ero en el Servidor $4S# Este fic"ero puede incluir varios tipos de registros?

Ti( de Re1istr / A =Address> AAAA CNAME =Canonical Name> MX =Mail E-c"anger> PTR =Pointer> NS =Name Server>

Descri(ci%n/ 7egistro de direccin que resuelve un nombre de un anfitrin "acia una direccin IP)B de 2+ bits# 7egistro de direccin que resuelve un nombre de un anfitrin "acia una direccin IP)4 de 1+@ bits# 7egistro de nombre cannico que "ace que un nombre sea alias de otro# Los dominios con alias obtiene los sub-dominios y registros $4S del dominio original# 7egistro de servidor de correo que sirve para definir una lista de servidores de correo para un dominio, as6 como la prioridad entre &stos# 7egistro de apuntador que resuelve direcciones IP)B "acia el nombre anfitriones# Es decir, "ace lo contrario al registro A# Se utili*a en *onas de Res "uci%n In)ersa# 7egistro de servidor de nombres que sirve para definir una lista de servidores de nombres con autoridad para un dominio# 7egistro de inicio de autoridad que especifica el Ser)id r DNS Maestro =o )rimario> que proporcionar0 la informacin con autoridad acerca de un dominio de (nternet, direccin de correo electrnico del administrador, n:mero de serie del dominio y par0metros de tiempo para la *ona# 7egistro de servicios que especifica informacin acerca de servicios disponibles a trav&s del dominio# )rotocolos como SIP =Session Initiation Protocol> y XMPP =E-tensible Messaging and Presence Protocol> suelen requerir registros SRD en la *ona para proporcionar informacin a los clientes# 7egistro de texto que permite al administrador insertar texto arbitrariamente en un registro $4S# Este tipo de registro es muy utili*ado por los servidores de listas negras DNS#L =DNS-based #lac/"ole List> para la filtracin de Spam# Mtro ejemplo de uso son las Y)4, donde suele requerirse un registro TXT para definir una llave que ser0 utili*ada por los clientes#

SOA =Start f Aut"ority>

SRD =Ser)ice>

TXT =Te-t>

Las *onas que se pueden resolver son? C nas de Reen)E / )0gina 9 de 22

Academia Linux Proyecto de Fin de Mdulo

$evuelven direcciones () para las b:squedas "ec"as para nombres %H$4 =%ully Hualified $omain 4ame># En el caso de dominios p:blicos, la responsabilidad de que exista una 5ona de Autoridad para cada 5ona de 7eenv6o corresponde a la autoridad misma del dominio, es decir, y por lo general, quien est& registrado como autoridad del dominio tras consultar una base de datos -M(S# Huienes compran dominios a trav&s de un 4(' =por ejemplo ejemplo? !!!#nic#mx> son quienes se "acen cargo de las 5onas de 7eenv6o, ya sea a trav&s de su propio Servidor $4S o bien a trav&s de los Servidores $4S de su (S)# Salvo que se trate de un dominio para uso en una red local, todo dominio debe ser primero tramitado con un 4(' como requisito para tener derec"o legal a utili*arlo y poder propagarlo a trav&s de (nternet# C nas de Res "uci%n In)ersa/ $evuelven nombres %H$4 =%ully Hualified $omain 4ame> para las b:squedas "ec"as para direcciones ()# En el caso de segmentos de red p:blicos, la responsabilidad de que exista de que exista una 5ona de Autoridad para cada 5ona de 7esolucin (nversa corresponde a la autoridad misma del segmento, es decir, y por lo general, quien est& registrado como autoridad del segmento tras consultar una base de datos -M(S# Los grandes (S), y en algunos casos algunas empresas, son quienes se "acen cargo de las 5onas de 7esolucin (nversa# Creaci%n de " s fic.er s de 5 na/ ,n SMA , un 4S y un )E7 son tres de los registros m0s importantes que intervienen e un fic"ero de *ona, que es como se denomina al fic"ero que contiene los datos de un dominio, veamos un ejemploS 5ona de reenv6o red local GvarGnamedGc"rootGvarGnamedG midominio#tld S 5M4A MASEE7 $E 7EE4Y(M para midominio#tld Z (4 SMA ns#midominio#tld# "ostmaster#midominio#tld# = +882891@881 S 4[ $E SE7(E, fec"a de "oy C n[ de serie de "oy +@@88 S EASA $E 7E%7ES'M, en segundos B+88 S EASA $E 7E(4EE4EM, en segundos 2A88888 S 'A$,'($A$ )A7A SE',4$A7(MS en segundos @A<88 > S E(EM)M $E YAL($E5 )A7A 'L(E4EESS en segundos S Servidores de 4ombres 4S ns#midominio#tld 4S ns+#midominio#tld S S (ntercambiadores de 'orreo S MD 18 mail#midominio#tld MD +8 mail#otrodominio#tld S 7egistros A ="osts> local"ost A 1+B#8#8#1 ns A +88#B+#12#;+ )0gina 18 de 22

Academia Linux Proyecto de Fin de Mdulo mail A +88#B+#12#;2 S 7egistros '4AME =Alias> !!! '4AME ns Este otro es un ejemplo de un arc"ivo de *ona master inversa = por si no te "as dado cuenta el TSU es un comentario por lo que puedes borrarlos, los espacios en blanco se "acen con tabulador 4M 'M4 .A77A ES)A'(A$M7A y al inicio de cada arc"ivo 4M $E.E4 -A.E7 ES)A'(MS E4 .LA4'M#

C na de res "uci%n in)ersa red " ca" 7)ar7named7c.r t7)ar7named7+/+4*/+F0/in3addr/ar(a/5 ne

S 5M4A MASEE7 (4YE7SA para midominio#tld Z (4 SMA ns#midominio#tld# "ostmaster#midominio#tld# = +882891@881 S 4[ $E SE7(E, fec"a de "oy C n[ de serie de "oy +@@88 S EASA $E 7E%7ES'M, en segundos B+88 S EASA $E 7E(4EE4EM, en segundos 2A88888 S 'A$,'($A$ )A7A SE',4$A7(MS en segundos @A<88 > S E(EM)M $E YAL($E5 )A7A 'L(E4EESS en segundos S Servidores de 4ombres 4S ns#midominio#tld 4S ns+#midominio#tld S S 7egistros )E7 S ;+ )E7 ns#midominio#tld ;2 )E7 mail#midominio#tld

En estos sencillos fic"eros de *ona, podemos identificar varios 77s, en primer lugar un 77 SMA que es abreviatura de Start Mf Aut"ority, la Z es una notacin especial que simboli*a el origen, o sea el dominio, 4S es el 77 4ame Server =Servidor de 4ombres>, e indica a .ind qu& m0quina es el servidor de nombres del dominio# P finalmente )E7 es el 77 ubicado en el *ona master inversa =encargada de convertir el nombre () a direccin () valida> El registro SMA es el pre0mbulo de todos los arc"ivos de *ona y debe "aber uno exactamente en cada arc"ivo de *ona, como primer registro de todos# El registro SMA describe la *ona, de dnde viene =una m0quina llamada ns#midominio#tld>, qui&n es el responsable de su contenido ="ostmasterZmidominio#tdl, las direcciones se escriben en el arc"ivo de *ona reempla*ando la Z por un T#U>, qu& versin del arc"ivo de *ona es =4umero de Serie, +882891@881>, y otras cosas que tienen que ver con el cac"& y los servidores secundarios $4S# MD es un 77 que tiene como misin informar de los intercambiadores de correo para midominio#tld =Mail eDc"anger> y el numero 18 =que fue tomado al a*ar entre 8 y +8> es la prioridad, esto significa que al n:mero m0s bajo se entregar0 primero el correo del dominio y si este no esta disponible pasara al siguiente MD con prioridad m0s alta =+8>#

)0gina 11 de 22

Academia Linux Proyecto de Fin de Mdulo '4AME, es un 7egistro que significa canonical name y se usa para dar WaliasX a una m0quina con un registro A =!!!#midominio#tld R ns#midominio#tld>, algo que es muy importante es que en el 77 SMA el registro 4S \4M $E.E SE7 ]AMAS ,4 7EV(SE7M '4AME\ sino un registro A, lo mismo para el 77 MD, aun as6 no es necesario que el 4S y MD lleven los nombres que doy aqu6 sino que puede ser cualquier nombre de m0quina valido =77 A>, incluso puede ser una misma m0quina efectuando todas estas labores, aunque esto :ltimo no es muy recomendable ya que saturamos el servidor con trabajo# )ara comprobar si tu configuracin es correcta lo puedes probar con una utilidad llamada nsloo/up, para usarla desde un terminal ejecutas nsloo/up ingresaras a un prompt TOU, aqu6 setearemos algunas cosas como siguen? O server ns#midominio#tld $efault Server ? ns#midominio#tld Address ? +88#B+#12#;+ O set qRns Esto significa lo siguiente TqRU es query y es un par0metro para indicar que informacin queremos obtener, en este caso los 77 4S# O midominio#tld $efault Server ? ns#midominio#tld Address ? +88#B+#12#;+ midominio#tld nameserver R ns#midominio#tld midominio#tld nameserver R ns+#otrodominio#tld O set qRmx Esto resultar0 en los 77 MD del dominio O set qRany any es un par0metro que entregar0 toda la informacin del dominio# Llegado este punto y no "abiendo ning:n error pasamos al siguiente servicio# 7ecuerda poner T#U despu&s de cada nombre de dominio y m0quina al igual que la direccin de correo de lo contrario $4S agregar0 el nombre de dominio otra ve* , ejemplo ns#midominio#tld =sin punto > de este error resultar0 ns#midominio#tld#midominio#tld comprendes que pasa con el puntito, asi que cuidado# C na de reen)E red " ca" 7)ar7named7c.r
$TTL @

t7)ar7named7 named/dm5/me1as ft/c m/ec

86400 IN SOA dns.dmz.megasoft.com.ec. root.dns.dmz.megasoft.com.ec. ( 2002060701 !ser"a# 28800 !refres$ 7200 !retr% 604800 !e&'"re 86400!( !m"n"m)m!TTL IN NS dns.dmz.megasoft.com.ec. IN *+ 10! ma"#.dmz.megasoft.com.ec. IN IN IN A A A 1,-.200.100.10 1,-.200.100.20 1,-.200.100.00

dns !!! ma"#" .e/"

)0gina 1+ de 22

Academia Linux Proyecto de Fin de Mdulo

C na de res "uci%n in)ersa red " ca" 7)ar7named7c.r t7)ar7named7named/+FG/0HH/+HH

$TTL!86400 @ IN SOA dns.dmz.megasoft.com.ec. root.dns.dmz.megasoft.com.ec. ( 2002060701 !ser"a# 28800 !refres$ 7200 !retr% 604800 !e&'"re 86400!( !m"n"m)m!TTL IN NS dns.dmz.megasoft.com.ec. 1 2 0 IN IN IN 1T2 1T2 1T2 dns.dmz.megasoft.com.ec. ma"#".dmz.megasoft.com.ec. .e/".dmz.megasoft.com.ec.

:/ Ser)id r ,E# :/+/ Intr ducci%n

El presente documento describe la configuracin de un servidor eb utili*ando Yirtual-osts# La compa36a necesita de un sitio eb interno para le manejo de toda su informacin y un sitio eb externo que pueda ser visto por todo el mundo para obtener informacin de los servicios que se prestan# La compa36a necesita le uso de una interfa* eb para facilitar el proceso de autenticacin de recursos y acceso a datos# )or esto es que se necesita la implementacin de un servidor eb# Apac"e es la "erramienta elegida para el caso# Sin embargo la compa36a necesita otra interfa* eb para publicar sus productos en (nternet# Seguridad y disponibilidad de direcciones () se deben tomar en cuenta cuando se implementen los servidores# $e los diferentes modelos se escogi? dos servidores eb en una m0quina con dos direcciones () diferentes# :/0/ Descri(ci%n de "a c nfi1uraci%n eb, se "a utili*ado?

)ara la implementacin de este servidor

Linux? %edora 'ore 2 'digo fuente del demonio "ttpd? "ttpd-+#+#+#tar#g* MpenMffice para elaborar la documentacin Instalacin %edora 'ore 2 se instal si ning:n paquete de configuracin de servidores, o servidores como talS no se utili*a el fire!all que se instala con %edora 'ore 2 y se sigui el siguiente esquema de particionamiento? Partici%n G Gboot GvarG!eb s!ap TamaI JM#K ;888 188 18888 ;1+ ext2 ext2 ext2 )0gina 12 de 22 Ti( de arc.i) s

Academia Linux Proyecto de Fin de Mdulo La particin GvarG!eb es el $irectorio ra6* del servidorS es aqu6 donde se van a guardar todos los arc"ivos de las sitios eb a publicar# Se debe tomar en cuenta al momento de escoger la m0quina que funcionar0 como servidor que posea una tarjeta de red que soporte la creacin de alias, debido a que existen algunas tarjetas que no lo soportan# &er'idor interno y e(terno Se configur dos servidores soportado por Apac"e+# &er'idor interno La funcin principal de este servidor eb interno es de brindar un sitio para la empresa que permita subir y descargar documentos relacionados con las actividades principales de la organi*acin# Lo que se "i*o fue crear un "ost virtual que permita el acceso a este sitio interno de la compa36a, el mismo que por motivos de seguridad se configur con acceso de loginGpass!ord solamente a los equipos que pertenecen a la red internaS la :nica m0quina que tiene acceso al directorio documentos Qque ser0 donde se guarden los arc"ivos- es la m0quina servidor# &er'idor e(terno El servidor externo fue configurado tambi&n utili*ando un "ost virtual, utili*ando la t&cnica ()-basedS a este sitio se permite el acceso total por parte de los visitantes a las distintas p0ginas y recursos que d6a a d6a la compa36a pueda compartir al mundo de la informacin# )ara ambos servidores se "a configurado la opcin de no presentar el directorio ra6* del sitio al no invocarse directamente una p0gina, sino que por default se recupere la p0gina llamada Windex#"tmlX# La configuracin de los "osts virtuales est0 separada del arc"ivo de configuracin del demonio "ttpd, "ttpd#conf# Al%unas sentencias importantes )ara poder establecer como palabra clave Wapac"ectlX y no estar ejecutando cada ve* el comando con toda la ruta es necesario editar los siguientes arc"ivos? L vi GetcGrc#local A3adir al final del arc"ivo? GusrGlocalGapac"e+GbinGapac"ectl start L vi GrootG#bas"Iprofile A3adir al final de la variable )AE- ?GusrGlocalGapac"e+Gbin :/:/ Pr !"emas $ s "uci nes eb en un mismo equipo utili*ando la t&cnica de ()-based

$urante la configuracin de estos servidores se presentaron problemas como? No se poda acceder a un sitio Web El arc"ivo "ttpd#conf viene por default asignado un directorio ra6* WGusrGlocalGapac"e+G"tdocsX lo que involucra que dentro de este directorio se debe guardar )0gina 1< de 22

Academia Linux Proyecto de Fin de Mdulo los sitios que se desea servir# El error fue de asignar un $ocument7oot dentro del arc"ivo "ttpd#conf y en cada "ost virtual "acer referencia como $ocument7oot a un directorio que no estaba dentro del especificado en el arc"ivo "ttpd#conf# Adicionalmente no se pod6a acceder solamente por direcciones (), pero esto se solucion con la intervencin del servidor $4S# $rear cla'es para los usuarios Se utili*a la "erramienta .t(ass<d de la siguiente manera? Si es la primera ve* que voy a utili*ar o la primera clave que voy a introducir, escribo? L htpasswd -bcm nombre de un archi!o" usuario" password" )osteriormente se debe escribir L htpasswd -m nombre de un archi!o" usuario" password" No se poda acceder por medio del nombre completo del sitio Web Se debe principalmente por le nombre de la m0quina y su () asignada tanto en el arc"ivo GetcG"osts como en la configuracin del $4S# La descripcin completa de este arc"ivo est0 en la seccin de Anexos -O Apac"e# :/B/ O!ser)aci nes

$ebido a que se utili* la :ltima versin del "ttpd y no la que viene por default con %edora 'ore 2, fue necesario cambiar algunos puntos descritos en el manual dado por (.M Si se desea a3adir una ruta adicional en el arc"ivo GrootG#bas"Iprofile en la variable )AE-, se debe escribir dos puntos W?X antes de iniciar con la nueva ruta La adicin de un arc"ivo "ttpd-v"osts#conf para configurar los "osts virtuales incluyendo su ruta en el "ttpd#conf# Se configur una direccin virtual en et"8, llamada et"8?8 )or tratarse de un arc"ivo tar#g* no se instal un servicio que pueda ser invocado por la palabra clave WserviceX sino m0s bien configurando el sistema para "acer de la palabra Wapac"ectlX una palabra clave que permitiera iniciar, detener, conocer el estado de la configuracin de arc"ivos el servidor, por medio de las opciones WstartX, WstopX, WconfigtestX#

B/ Ser)ici s de c m(artir arc.i) s JSer)id r N@SK Intr ducci%n ,na de las principales ra*ones de porqu& son populares las redes es el servicio de compartir arc"ivos, es un aspecto importante en la implementacin de un sistema# .asado en los requermientos la compa36a tiene muc"os clientes diversos, con sistemas operativos y plataformas "ard!are diferentes# Es necesario entonces "abilitar el servicio de comparticin de arc"ivos con Linux y indo!s# Se tendr0 configurado para la comparticin de arc"ivos, samba para facilitar la comparticin de arc"ivos con indo!s y Linux y adicionalmente el servico 4%S que proporciona comaprticin de arc"ivos entre sistemas Linux# )0gina 1; de 22

Academia Linux Proyecto de Fin de Mdulo

Descri(ci%n de "a c nfi1uraci%n )ara la implementacin de este servicio Samba y 4%S

Linux? %edora 'ore 2 (nstalacin del servicio nfs, nfsloc/ y portmap al momento de instalar %edora 'ore 2 'digo fuente de Samba? samba-2#8#+2a#tar#g* MpenMffice para elaborar la documentacin

#nstalacin %edora 'ore 2 se instal si ning:n paquete de configuracin de servidores, o servidores como talS no se utili*a el fire!all que se instala con %edora 'ore 2 y se sigui el siguiente esquema de particionamiento? Partici%n G Gboot GvarGarc"ivos s!ap TamaI JM#K ;888 188 18888 ;1+ ext2 ext2 ext2 Ti( de arc.i) s

La particin que se monta en el directorio GvarGarc"ivos es el que se utili*a como recurso compartido para todos los equipos de la red interna# Los clientes deben configurarse para tener un automontado de este recurso para evitar problemas durante su montado y debido a que se trata de un servidor no es necesario apagarlo por lo que siempre estar0 funcionando para el servicio de toda la compa36a# G/ Ser)id r N@S El servicio 4et!or/ %ile System =4%S> estar0 disponible para todos los equipos clientes de la red, que utilicen como sistema operativo principal Linux# su configuracin se detalla a continuacin? Es necesario tener un =o muc"os, dependiendo de las necesidades> directorio que se Wexportar0X a toda la red para que se pueda trabajar sobre este recurso compartido# En nuestro caso es GvarGarc"ivos a lo que configuramos en el server? L vi GetcGexports Este arc"ivo exports es el que contiene toda la informacin sobre los directorios que se comparten en la redS la sint0xis que se utili*a para escribir las sentencias en este arc"ivos es? NdirectorioO Nm0quinas que tienen accesoON=permisos>O en nuestro caso debemos escribir as6? GvarGarc"ivos ^=r!> que significa que WexportamosX el recurso GvarGarc"ivos a todas las m0quinas de la red -eso lo expresamos en al escribir el ^- y que este directorio es de lectura y escritura, expresado en =r!># Al recurso compartido se le deben dar permisos co"erentes con lo que escribimos en GetcGexports, es decir si ponemos deescritura lectura se deben dar esos mismos permisos en la m0quina servidor# )0gina 1A de 22

Academia Linux Proyecto de Fin de Mdulo Si se desea que el usuario root de los equipos clientes pueda ingresar a este recurso compartido como si fuera el usuario root local, se debe a3adir a la seccin de permisos la directiva noIrootIsquas"# Adicionalmente se debe verificar el demonio portmap ya que los demonios de 4%S se sit:an en puertos mayores a 18+< es necesario portmap para que registre estos nuevos puertos# As6 mismo el servicio nfsloc/ y nfs# Si no se fuera a montar autom0ticamente, es necesario que todos los clientes monten este recurso utili*ando este comando? m/dir GrecursoIcompartido que ser0 el directorio donde monten el recuros de red compartido# mount Nip o nombre del servidorO?GNdirectorio compartidoO Ndirectorio finalO en nuestro caso ser6a? mount servidor?GvarGarc"ivos GrecursoIcompartido Si se fuera a montar autom0ticamente en cada cliente cada ve* que se inicia la m0quina, entonces se deber6a escribir en el arc"ivo GetcGfstab -aqu6 se guarda el registro de particiones- y a3adir la siguiente sentencia, ya poniendose nuestro caso personali*ado? servidor?GvarGarc"ivos ). &er'idor &am*a En la configuracin de este servidor se utili*ar0 la :ltima versin de Samba, por lo que es necesario instalarlo desde su cdigo fuente# ,na ve* instalado, -seg:n las instrucciones b0sicas de descomprimir, #Gconfigure, ma/e, ma/e install- los demonios se ejecutar0n de la siguiente manera? #GusrGlocalGsambaGsbinGnmbd -$ #GusrGlocalGsambaGsbinGsmbd -$ ejecutando la opcin -$ para que trabajen como demonios y no como un proce o cualquiera# vi GusrGlocalGsambaGlibGsmb#conf nos permitir0 poder editar el arc"ivo de configuracin principal de samba# #GusrGlocalGsambaGbinGsmbclient -L Nm0quinaO -4 nos permitir0 poder saber el estado dle demonio y su mapeo a los equipos con Sistema operativo indo!s# El arc"ivo de configuracin de Samba =smb#conf> lo "emos configurado para que permita a nuestro servidor ser el equipo servidor preferido, permita la gestin de usuarios para acceder a los recursos, permita el servicio de impresin seg:n las impresoras conectadas, entre otras caracter6sticas adicionales# Pr !"ema $ s "uci nes )0gina 1B de 22 GrecursoIcompatido nfs bg,"ard,intr 8 8

Academia Linux Proyecto de Fin de Mdulo

$e!isin del archi!o de con%i&uracin Existe un arc"ivo en GetcGsambaGetc#conf el mismo que es evaluado por la sentencia testparm cuando samba "a sido instalado desde un rpmS nuestro caso es que se instal desde un tar#g* y que por ende al ejecutar solamente testparm iba a revisar el arc"ivo de GetcGsambaS para esto se debe ejecutar desde el directorio #GusrGlocalGsambaGbinGtestparm# Montar un recurso compartido con samba en Linux )ara reali*ar esto se utili* el comando smbmount que permiti montar los compartidos por medio de samba en linux# O!ser)aci nes $ebido a que se instal samba desde su cdigo fuente, ninguna sentencia de las dadas en el material de ayuda estuvo correcta por lo que se deb6a ejecutar lso comandos desde diferentes directorios y algunas veces de diferente maneras# El compartimiento de impresoras es as6 mismo dado por samba solamente incluyendo dos directivas adicionales al smb#conf# Si se monta un directorio utili*ando el comando smbmount debe ser desmontado utili*ando el comando smbumount# recursos

+. &er'idor de D"&,D-P$ .Intranet/. +/+/ Intr ducci%n

El $4S =$omain 4ame Service> es un sistema de nombres que permite traducir de nombre de dominio a direccin () y vice-versa# Aunque (nternet slo funciona en base a direcciones (), el $4S permite que los "umanos usemos nombres de dominio que son bastante m0s simples de recordar =pero que tambi&n pueden causar muc"os conflictos, puesto que los nombres son activos valiosos en algunos casos># )ara ello es indispensable configurar un servidor que realice estas funciones, para este f6n se "a configurado un servidor que contiene la resolucin de los servidores est0ticos de la intranet, adem0s anexa a las tablas de $4S los nuevos "osts asignados por el servicio de $-'), este servidor trabaja en conjunto con otro servidor ubicado en la red $M5 lo cual nos permite resolver las consultas externas a la intranet# En vista de que la intranet de la empresa es bastante extensa no es ptimo reali*ar una asignacin manual de las direcciones de red, por ello se "a levantado un servidor $-') que asigna de una forma din0mica las direcciones ip de la intranet, con esto se brinda un mejor servicio a los usuarios de la empresa y se facilita el trabajo del administrador de red# A continuacin detallamos todos los procesos seguidos en la instalacin, configuracin e implementacin del servidor de $4S P $-') de la (4E7A4EE de la empresa MEVASM%E# )0gina 1@ de 22

Academia Linux Proyecto de Fin de Mdulo

+/0/

Insta"aci%n/

+/0/+/ Partici namient El particionamiento del servidor $4SG$-') lo reali*amos con las siguientes especificaciones? G Gboot Gvar Gusr GusrGlocal G"ome Gtmp s!ap ;88 M. +;8 M. 1888 M. +888 M. ;88 M. ;88 M. B;8 M. ;1+ M.

+/0/0/ Insta"aci%n/ )ara la instalacin de nuestro servidor utili*amos la distribucin %edora 2#8 con las siguientes caracter6sticas? Escritorios D !indo! Vnome Aplicaciones Editores (ngenier6a y cient6fico (nternet grafica (nternet basada en texto Mficina G productividad SonidoGvideo Vr0ficos &er'idores -erramientas de configuracin del servidor @G11 Servidor del nombre $4S 2G2 Servidores de red 11G11 Servidores "ereditarios 1G9 Desarrollo -erramientas de desarrollo &istema -erramientas de administracin -erramientas del sistema Soporte para la impresin 18G11 2G2+ 11G1+ )0gina 19 de 22 +GA 1GB AG12 ;G@ ;G12 1AG+; 11G12

Academia Linux Proyecto de Fin de Mdulo

C nfi1uraci%n/ Es(ecificaci nes de" ser)id r DNS7DC&P 4ombre? 4ombre completo (p? )uerta de enlace? 7ed? $ominio? Servicios? ipnameserver ipnameserver# intranet#megasoft#com#ec 19;#+88#@8#+ 19;#+88#@8#1 intranet intranet#megasoft#com#ec $-') de la intranet, $4S para la intranet#

C nfi1uraci%n de" ser)ici DNS JD main Name S$stemK Este servicio provee la resolucin de nombres para la intranet, adem0s reali*a la asignacin de $4S din0mico para el servicio de $-')# )ara mejorar la seguridad y prestaciones, utili*amos otro servidor $4S =for!arder> en el $M5 para resolver las direcciones externas, a continuacin el proceso de configuracin#

Loguearse como root# Login? root )ass!ord? ibmlnx Editamos el arc"ivo de configuracin named/c nf con las siguientes caracter6sticas? )i 7)ar7named7c.r t7etc7named/c nf

El arc"ive queda de la siguiente manera?

o't"ons!3 d"rector%!456ar5named4 for.ard!on#% //SERVIDOR FORWARD DNS DEL DMZ forwarders { 172.16.20. ! "! 7 contro#s!3 "net!127.0.0.1!a##o.!3!#oca#$ost !7!8e%s!3!rndc8e% !7 7 zone!4"ntranet.megasoft.com.ec4!IN!3 t%'e!master f"#e!4named."ntranet.megasoft.com.ec4 a##o.9)'date!3!8e%!:;<1=>1:AT?2 !7 7

)0gina +8 de 22

Academia Linux Proyecto de Fin de Mdulo

zone!480.200.1,-."n9addr.ar'a4!IN!3 t%'e!master f"#e!4named.1,-.200.804 a##o.9)'date!3!8e%!:;<1=>1:AT?2 !7 7 zone!4#oca#$ost4!IN!3 t%'e!master f"#e!4#oca#$ost.zone4 7 zone!40.0.127."n9addr9ar'a4!IN!3 t%'e!master f"#e!4named.#oca#4 7 //LLa#e de e$%r&'(a%&)$ 'ara e* DNS d&$+,&%o -e. D/01231DA4ER { a*5or&(6, 6,a%7,d8! se%re( 9sI,:E;<56=1=NL;>F7.sFw??9! "! &$%*=de 9/e(%/r$d%.-e.9!

'reamos el arc"ivo named/intranet/me1as ft/c m/ec, este resuelve los nombres de "osts est0ticos dentro de la intranet y el $M5, este arc"ivo tambi&n nos enla*a al servidor de correo para resolver las direcciones de correo#
$TTL!86400 @ IN SOA "'nameser6er."ntranet.megasoft.com.ec. root."'nameser6er."ntranet.megasoft.com.ec.!( 2002060701 ser"a# 28800 refres$ 7200 retr% 604800 e&'"re 86400!( m"n"m)m!TTL IN NS "'nameser6er."ntranet.megasoft.com.ec. //SERVIDOR DE 0ORREO IN M@ 10 ,a&*&.d,A.,e5asof(.%o,.e% .e/" ma"#" dns IN IN! IN A A A IN IN IN 172.16.20.1 172.16.20.2 172.16.20.0 A A A 1,-.200.80.2 1,-.200.80.0 1,-.200.80.1

"'nameser6er sam/"ta 'ro&%

'reamos el arc"ivo named/+FG/0HH/*H, este resuelve las ips de los "osts est0ticos dentro de la intranet#

)0gina +1 de 22

Academia Linux Proyecto de Fin de Mdulo

$TTL!86400 @ IN SOA "'nameser6er."ntranet.megasoft.com.ec. root."'nameser6er."ntranet.megasoft.com.ec.!( 2002060701 ser"a# 28800 refres$ 7200 retr% 604800 e&'"re 86400!( m"n"m)m!TTL IN NS "'nameser6er."ntranet.megasoft.com.ec. 1 2 0 IN IN IN 1T2 1T2 1T2 "'nameser6er."ntranet.megasoft.com.ec. sam/"ta."ntranet.megasoft.com.ec. 'ro&%."ntranet.megasoft.com.ec.

Modificamos el arc"ivo " ca". st/5 ne, para la resolucin de nombre del local"ost#
$TTL!86400 @ IN SOA "'nameser6er."ntranet.megasoft.com.ec. root."'nameser6er."ntranet.megasoft.com.ec.!( 2002060701 ser"a# 28800 refres$ 7200 retr% 604800 e&'"re 86400!( m"n"m)m!TTL IN NS "'nameser6er."ntranet.megasoft.com.ec. IN A 127.0.0.1

Modificamos el arc"ivo named/" ca", para la resolucin de la ip del local"ost#

$TTL!86400 @ IN SOA "'nameser6er."ntranet.megasoft.com.ec. root."'nameser6er."ntranet.megasoft.com.ec.!( 2002060701 ser"a# 28800 refres$ 7200 retr% 604800 e&'"re 86400!( m"n"m)m!TTL IN NS "'nameser6er."ntranet.megasoft.com.ec. 1 IN 1T2 #oca#$ost.

Editamos el arc"ivo 7etc7. sts, para que contenga solo la direccin () del local"ost y del servidor $4SG$-') en la red# 1+B#8#8#1 19;#+88#@8#+ local"ost ipnameserver#intranet#megasoft#com#ec

'ambiamos el nombre del "ost por el nombre completo incluido el dominio# . stname i(nameser)er/intranet/me1as ft/c m/ec )i 7etc7. sts7s$sc nfi17net< r9 )0gina ++ de 22

Academia Linux Proyecto de Fin de Mdulo

'reamos el arc"ivo 7etc7res ")/c nf, con las siguientes caracter6sticas# domain nameserver ipnameserver#intranet#megasoft#com#ec 19;#+88#@8#+

(niciamos el servicio de $4S, levantando el demonio named/ ser)ice named start +/ C nfi1uraci%n de" ser)ici de DC&P Mediante este servidor reali*aremos la asignacin din0mica de direcciones ip para los "osts que est&n dentro de la intranet, con esta direccin los clientes estar0n en la capacidad de acceder a todos los servicios de la empresa, adem0s de conectarse a la (nternet# El rango de direcciones que utili*amos es 19;#+88#@8#18 "asta 19;#+88#@8#+;8, con un total de +<8 direcciones disponibles# A continuacin el procedimientos para la configuracin del servicio de $-')# Loguearse como root# Login? root )ass!ord? ibmlnx ,tili*amos el programa dnssec-/eygen para generar un llave de encriptacin, que nos permita utili*ar un canal seguro entre el servidor y los clientes# cd dnssec39e$1en Aa &MAC3MDG A! +0*3n USER D&CP>UPDATER cat Ld.c(>u(dater=M/(ri)ate Esitamos el arc"ivo de configuracin d.c(d/c nf y copiamos la llave generada en el paso anterior, dentro de la sentencia /ey $-)'I,)$AEE7# )i 7etc7d.c(d/c nf

ma&9#ease9t"me!0600 defa)#t9#ease9t"me!600 ddns9)'date9st%#e!"nter"m ddns9)'dates!on //L*a#e de e$%r&'(a%&)$ 'ara %o,=$&%a%&)$ %o$ *os %*&e$(es -e. D/01231DA4ER { a*5or&(6, 6,a%7,d8! se%re( 9sI,:E;<56=1=NL;>F7.sFw??9! " zone!"ntranet.megasoft.com.ec!3 'r"mar%!1,-.200.80.2 !!!!!!!! 8e%!:;<1=>1:AT?2 7

)0gina +2 de 22

Academia Linux Proyecto de Fin de Mdulo

zone!80.200.1,-."n9addr.ar'a.!3 !!!!!! 'r"mar%!1,-.200.80.2 !!!!!!!! 8e%!:;<1=>1:AT?2 7 o't"on!doma"n9name!4"ntranet.megasoft.com4 o't"on!doma"n9name9ser6ers!1,-.200.80.2 s)/net!1,-.200.80.0!netmas8!2--.2--.2--.0!3 !!!!!! !!o't"on!ro)ters!1,-.200.80.1 !!!!!!!! o't"on!s)/net9mas8!2--.2--.2--.0 !!!!!!!! range!1,-.200.80.10!1,-.200.80.2-0 7

'onfiguramos el servidor $4S para aceptar actuali*aciones desde el servicio de $-'), para ello editamos el arc"ivo named/c nf/ )i 7)ar7named7c.r t7etc7named/c nf

Modificamos las siguientes sentencias?

zone!4"ntranet.megasoft.com.ec4!IN!3 t%'e!master f"#e!4named."ntranet.megasoft.com.ec4 a##o.9)'date!3!8e%!:;<1=>1:AT?2 !7 7 zone!480.200.1,-."n9addr.ar'a4!IN!3 t%'e!master f"#e!4named.1,-.200.804 a##o.9)'date!3!8e%!:;<1=>1:AT?2 !7 7

7einiciamos el servicio de $4S# ser)ice named restart (niciamos el servicio de $-') ser)ice d.c(d start Se1uridad/ )ara proveer seguridad al servicio de $4S, se "a configurado dos servidores $4S, uno para el $M5 y otro servidor para la intranet# $M5 $4S SE7YE7# Este servidor es el encargado de resolver las consultas externas (4E7A4EE $4S SE7YE7# Este resuelve las consultas internas y utili*a como for!arder el $M5 $4S SE7YE7 para las consultas externas#

Eodas las configuraciones de seguridad para trabajar con dos servidores $4S en el (4E7A4EE $4S SE7YE7, est0n debidamente documentadas en los arc"ivos de configuracin del servicio $4S =_tem 1#2#+>#

)0gina +< de 22

Academia Linux Proyecto de Fin de Mdulo La configuracin de seguridades para el $M5 $4S SE7YE7 est0n explicadas en el cap6tulo dedicado a este servidor 0. &er'idor Router +/Intr ducci%n El proceso de lograr que cada m0quina de una red se pueda comunicar con otra en la (nternet se denomina enrutamiento# Sin &ste, la m0quina estar6a limitada slo a una red local, definida por el dominio de difusin =broadcast># El enrutamiento permite que el tr0fico de una red busque el camino ptimo a un destino en cualquier lugar del mundo, pasando eventualmente a trav&s de varias redes# 'omo administradores de redes es necesario asegurar que las rutas del sistema est&n correctamente configuradas# +/0/ Rutas Est;ticas ,na red con un n:mero peque3o de enrutadores puede ser configurada con enrutamiento est0tico# )ara una red con un solo 1ate<a$, la mejor opcin es el enrutamiento est0tico# +/0/+Rutas din;micas Aprendidas v6a protocolos de enrutamiento que corren en los enrutadores 1#2# C nfi1uraci%n de "as ta!"as de ruta Mtro aspecto que "ay que configurar es el routing# Si bien existe el tpico sobre su dificultad, generalmente se necesitan unos requerimientos de routing muy simples# En un nodo con m:ltiples conexiones, el routing consiste en decidir dnde "ay que enviar y qu& se recibe# ,n nodo simple =una sola conexin de red> tambi&n necesita routing, ya que todos los nodos disponen de un loopbac/ y una conexin de red =por ejemplo, Et"ernet, ))), SL(),###># 'omo se explic anteriormente, existe una tabla llamada routing table que contiene filas con diversos campos, pero con tres campos sumamente importantes? $ireccin de destino, interfa* por donde saldr0 el mensaje y direccin (), que efectuar0 el siguiente pas en la red =gate!ay># 'onsulta de tablas en el routing? route Qn o tambi&n netstat Qr

El router con conexin a (nternet es 1B+#1A#+1#1B9# La configuracin ser0? ` )rimero la interfa* et"o? ifconfig et"8 1B+#1A#+1#1B9 netmas/ +;;#+;;#+;;#8 up route add default g! 1B+#1A#+1#18 Segundo la interfa* et"1? ifconfig et"1 19;#+88#+88#+8 netmas/ +;;#+;;#+;;#8 up route add default g! 19;#+88#+88#18 El comando route permite modificar esta tabla para reali*ar las tareas de routing adecuadas# 'uando llega un mensaje, se mira su direccin destino, se compara con las entradas en la tabla y se env6a por la interfa* en la cual la direccin que mejor coincide )0gina +; de 22

Academia Linux Proyecto de Fin de Mdulo con el destino del paquete# Si un gate!ay es especificado, se env6a a la interfa* adecuada# El par0metro g. le dice a la orden ro)te que lo que le sigue es la direccin (), o nombre, de una pasarela u otra m0quina encaminadora a la que se deber6an enviar todos los datagramas que se ajusten a esta entrada para futuro encaminamiento# netstat 3nr aernel () routing table $estination Vate!ay Venmas/ %lags MSS 1B+#1A#+1#8 8#8#8#8 +;;#+;;#+;;#8 , 8 19;#+88#+88#8 8#8#8#8 +;;#+;;#+;;#8 , 8 1A9#+;<#8#8 8#8#8#8 +;;#+;;#8#8 , 8 8#8#8#8 1B+#1A#+1#18 8#8#8#8 ,V 8

indo! irte 8 8 8 8 8 8 8 8

(face et"8 et"1 et"1 et"8

+/0/+/ Acti)ar c nfi1urar e" f r<ardin1 Jreen)E > 4ormalmente un ordenador conectado a una red E')G() descarta todos los paquetes () que no van dirigidos a &l, es decir, que no tienen su direccin () como destino# Sin embargo, un router debe tratar paquetes () que no son para &l# )ara conseguir esto debes activarlo expl6citamente con? !!!!e%6o 1 B /'ro%/s.s/$e(/&'#C/&'2forward M mejor a:n, como queremos que ocurra la siguiente ve* que arranque el equipo, modifica el fic"ero 5etc5s%sct#.conf para que quede as6? net/i()B/i(>f r<ard8+

'on el ifc nfi1 et.H u( se activa la tarjeta

Re1"as IP3Ta!"es Lista las actuales reglas del iptables? iptables -t nat QL Establecemos pol6ticas por defecto iptables -) (4),E A''E)E iptables -) M,E),E A''E)E iptables -) %M7 A7$ A''E)E 'on esto, los equipos conectados a la interfa* et"1 de 7outer ya tienen conexin a (nternet "'ta/#es!9t!nat!9A!1OST2O>TIN@!9o!et$0!9A!*ASB>?2A:?

Enruta todo el trafico por la interfa* que entra y por la que sale aceptando iptables -( %M7 A7$ -i et"1 -o et"8 -j A''E)E iptables -( %M7 A7$ -i et"8 -o et"1 -j A''E)E Acepta la red local y la activa iptables -t nat -( )MSE7M,E(4V -o et"8 -j A''E)E

Lista todas las reglas i(ta!"es 3nL 33"ine3num!er destination )0gina +A de 22

'"ain (4),E =policy A''E)E> num target prot opt source

Academia Linux Proyecto de Fin de Mdulo '"ain %M7 A7$ =policy A''E)E> num target prot opt source destination 1 A''E)E all -- 8#8#8#8G8 8#8#8#8G8 + A''E)E all -- 8#8#8#8G8 8#8#8#8G8 2 A''E)E all -- 8#8#8#8G8 8#8#8#8G8 < A''E)E tcp -- 19;#+88#+88#+8 b19;#+88#+88#18 dpts?8?18+2 '"ain M,E),E =policy A''E)E> num target prot opt source 1 $7M) tcp -- 8#8#8#8G8 destination 8#8#8#8G8 tcp spt?2122B dpt?2122B

tcp spts?18+<?A;;2;

Es el arc"ivo donde se almacenan las reglas iptables )i 7etc7s$sc nfi17i(ta!"es Venerated by iptables-save v1#+#11 on Sat Aug 1+ 1A?<9?;< +88A ^nat ?)7E7M,E(4V A''E)E J1;?18+BK ?)MSE7M,E(4V A''E)E J1?11AK ?M,E),E A''E)E J1?11AK -A )MSE7M,E(4V -o et"8 -j MASH,E7A$E 'MMM(E L 'ompleted on Sat Aug 1+ 1A?<9?;< +88A L Venerated by iptables-save v1#+#11 on Sat Aug 1+ 1A?<9?;< +88A ^filter ?(4),E A''E)E J@A?A;+8K ?%M7 A7$ A''E)E J8?8K ?M,E),E A''E)E J;9?AA@<K -A %M7 A7$ -i et"1 -o et"8 -j A''E)E -A %M7 A7$ -i et"8 -o et"1 -j A''E)E 'MMM(E L 'ompleted on Sat Aug 1+ 1A?<9?;< +88A

). Proceso de Preinstalacin
7equerimientos -ard!are para el Firewall y Proxy $ebido a que el %ire!all y )roxy trabajar0n sobre el mismo equipo los requerimientos son los siguientes? 7equerimientos M6nimos

3 3 3 3 3 3 3

)entium ((( o superior ;1+ Mb de Memoria 18 Vb $isco $uro =scci de preferencia> Eeclado Mouse ,nidad de 'drom M6nimo + (nterfaces de red =el numero depende de cuantas dm* deseemos> )0gina +B de 22

Academia Linux Proyecto de Fin de Mdulo

+. Proceso de Instalacin
Partici nes J@ire<a"" $ Pr -$K
Al reali*ar la tarea de instalacin escogeremos el modo de Servidor, con las siguientes particiones? G Gboot Gvar GvarGlogG Gusr GusrGlocal G"ome Gtmp s!ap +;8 M. 1;8 M. 288 M. +888 M. +888 M. ;88 M. +;8 M. ;88 M. ;1+ M.

4ota? (nstalar el sistema m6nimo y posterior a este agregar las dependencias del squid, tratar en lo posible de instalar :nicamente los binarios#

Partci nes R uter

G Gboot s!ap <888M. 188M. ;1+M.

0. &e%uridad
)ara tener un aseguramiento b0sico de seguridad tenemos los siguientes? Se1uridad @Esica

3 3 3 3 3 3 3

.loqueo de puertas y acceso a los equipos 'digos de acceso )roteccin f6sica del cableado ,tili*acin de fuentes de energ6a continua =,)S> Sistema de proteccin contra incendios Aire acondicionado .ac/ups

Se1uridad de red Asegurar el acceso no autori*ado a? 3 (nternet )0gina +@ de 22

Academia Linux Proyecto de Fin de Mdulo

3 3

LA4 Mtros servicios LA4,

A4

Autenticaci%n $ Aut ri5aci%n )ara este aspecto necesitamos asegurar los servicios como m6nimo co un nombre de usuario y contrase3a#

)0gina +9 de 22

Academia Linux Proyecto de Fin de Mdulo

ANEXOS
ARC&IDOS DE CON@INURACION Ser)id r Squid Pr -$ Squid#conf aut"Iparam basic program GusrGlocalGsquidGlibexecGncsaIaut" GusrGlocalGsquidGpass!d "ttpIport 21+@ icpIport 8 cac"eImem @ M. cac"eIdir ufs GusrGlocalGsquidGvarGspoolGsquid 188 1A +;A accessIlog GusrGlocaGsquidGvarGlogGsquidGaccess#log cac"eIlog GusrGlocalGsquidGvarGlogsGcac"e#log pidIfilename GusrGlocalGsquidGvarGlogsGsquid#pid acl all src 8#8#8#8G8#8#8#8 acl manager proto cac"eIobject acl local"ost src 1+B#8#8#1G+;;#+;;#+;;#+;; acl toIlocal"ost dst 1+B#8#8#8G@ acl redlocal src 19;#+88#8#8G+;;#+;;#8#8 acl usuarios proxyIaut" 7EH,(7E$ acl SSLIports port <<2 ;A2 acl SafeIports port @8 L "ttp acl SafeIports port +1 L ftp acl SafeIports port <<2 ;A2 L "ttps, sne!s acl SafeIports port B8 L gop"er acl SafeIports port +18 L !ais acl SafeIports port 18+;-A;;2; L unregistered ports acl SafeIports port +@8 L "ttp-mgmt acl SafeIports port <@@ L gss-"ttp acl SafeIports port ;91 L filema/er acl SafeIports port BBB L multiling "ttp acl 'M44E'E met"od 'M44E'E "ttpIaccess allo! manager local"ost "ttpIaccess deny manager "ttpIaccess deny 'M44E'E bSSLIports "ttpIaccess allo! usuarios "ttpIaccess deny all icpIaccess deny all missIaccess allo! all

@ire<a"" Script de (niciali*acin LbGbinGs" LL S'7()E de ()EA.LES $4S LL,ltima 7evision 82-8<-+88A ec"o -n Aplicando 7eglas de %ire!all### Ltraceroute puertos -S 2+BA9?A;;2; -$ 22<2<?22;+2 )0gina 28 de 22

Academia Linux Proyecto de Fin de Mdulo

LYariables para la ejecucion del script L()EA.LESRGsbinGiptables ()EA.LESRGusrGsbinGiptables EE-8Ret"8 EE-1Ret"1 EE-+Ret"+ ()IEE-8R19;#+88#@8#1 ()IEE-1R19;#+88#188#1 ()IEE-+R19;#+88#+88#18 )M7EI E.M4R+;888 )M7EISS-R++ L%L,S- $E 7EVLAS c()EA.LES -% (4),E c()EA.LES -% M,E),E c()EA.LES -% %M7 A7$ c()EA.LES -% c()EA.LES -D c()EA.LES -t nat -% c()EA.LES -t nat -D c()EA.LES -t mangle -% c()EA.LES -t mangle -D L)ML(E('AS $E A''ESM )M7 $E%E'EM EM$M $E4EVA7 c()EA.LES -) (4),E $7M) c()EA.LES -) M,E),E $7M) c()EA.LES -) %M7 A7$ $7M) L'A$E4AS )A7A SE7Y('(MS $E A$M(4(SE7A'(M4 c()EA.LES -4 A$M(4ISSc()EA.LES -4 A$M(4I E.M(4 L$ES$E LAS LMM) c()EA.LES -A (4),E -i lo -j A''E)E c()EA.LES -A M,E),E -o lo -j A''E)E L'M4ED(M4ES ESEA.LE'($AS c()EA.LES -A (4),E -m state --state ESEA.L(S-E$,7ELAEE$ -j A''E)E L7EVLAS $E E4E7A$A L$E4EVA7 7E$ES 7ESE7YE$I4EERd18#8#8#8G@ 19+#1A@#8#8G1A 1+B#8#8#8G@ 8#8#8#8G2+ +;;#+;;#+;;#+;;G2+ d for 4EE in c7ESE7YE$I4EES do c()EA.LES -A (4),E -d c4EE -j $7M) c()EA.LES -A %M7 A7$ -d c4EE -j $7M) done L)AH,EEES (4YAL($MS c()EA.LES -A (4),E -m state --state (4YAL($ -j LMV -m limit --log-prefix d(4YAL($M input? d c()EA.LES -A (4),E -m state --state (4YAL($ -j $7M) )0gina 21 de 22

Academia Linux Proyecto de Fin de Mdulo

L7ES),ESEA $E LMS )(4V c()EA.LES -A (4),E -p icmp -m icmp --icmp-type < -j A''E)E c()EA.LES -A (4),E -p icmp -m icmp --icmp-type @ -j A''E)E E()MSI('M)Rd8 2 11 1+ 1< 1@ 2G+ ; d for ('M) in cE()MSI('M)S do c()EA.LES -A (4),E -p icmp -m state --state 7ELAEE$,ESEA.L(S-E$ -m icmp --icmp-type c('M) -j A''E)E done LLMVS $E )AH,EEES c()EA.LES -t nat -A )7E7M,E(4V -j LMV --log-prefix d)7E7M,E(4V d --log-tcpoptions --log-ip-options c()EA.LES -t nat -A )MSE7M,E(4V -j LMV --log-prefix d)MSE7M,E(4V d --log-tcpoptions --log-ip-options c()EA.LES -t nat -A )7E7M,E(4V -p icmp -s b 1B+#1A#+8#2 -d 1B+#1A#+8#2 -i cEE-8 --icmp-type @ -j $4AE --to 19;#+88#188#18 c()EA.LES -t nat -A )7E7M,E(4V -p icmp -s b 1B+#1A#+8#2 -d 1B+#1A#+8#2 -i cEE-8 --icmp-type 11 -j $4AE --to 19;#+88#188#18 c()EA.LES -t nat -A )7E7M,E(4V -p tcp -s b 1B+#1A#+8#2 -d 1B+#1A#+8#2 -i cEE-8 --dport ;2 -j $4AE --to 19;#+88#188#18 c()EA.LES -t nat -A )7E7M,E(4V -p tcp -s b 1B+#1A#+8#1 -d 1B+#1A#+8#1 -i cEE-8 --dport @8 -j $4AE --to 19;#+88#188#28 c()EA.LES -t nat -A )7E7M,E(4V -p tcp -s b 1B+#1A#+8#+ -d 1B+#1A#+8#+ -i cEE-8 --dport +; -j $4AE --to 19;#+88#188#+8 c()EA.LES -t nat -A )7E7M,E(4V -p tcp -s b 1B+#1A#+8#+ -d 1B+#1A#+8#+ -i cEE-8 --dport 118 -j $4AE --to 19;#+88#188#+8 c()EA.LES -t nat -A )MSE7M,E(4V -p tcp -s 19;#+88#188#18 -d 19;#+88#8#8 -o cEE-8 --sport ;2 -j S4AE --to 1B+#1A#+8#2 c()EA.LES -t nat -A )MSE7M,E(4V -p tcp -s 19;#+88#188#+8 -d 19;#+88#8#8 -o cEE-8 --sport +; -j S4AE --to 1B+#1A#+8#+ c()EA.LES -t nat -A )MSE7M,E(4V -p tcp -s 19;#+88#188#+8 -d 19;#+88#8#8 -o cEE-8 --sport 118 -j S4AE --to 1B+#1A#+8#+ c()EA.LES -t nat -A )MSE7M,E(4V -p tcp -s 19;#+88#188#28 -d 19;#+88#8#8 -o cEE-8 --sport @8 -j S4AE --to 1B+#1A#+8#1 c()EA.LES -t nat -A )MSE7M,E(4V -o cEE-+ -j MASH,E7A$E L'A$E4AS $E A$M(4(SE7A'(M4 c()EA.LES -A (4),E -i cEE-8 -p tcp --dport c)M7EISS- -j A$M(4ISSc()EA.LES -A (4),E -i cEE-8 -p tcp --dport c)M7EI E.M4 -j A$M(4I E.M(4 LA$M(4(SE7A'(M4 ME$(A4EE SSc()EA.LES -A A$M(4ISS- -i cEE-8 -p tcp -s 19;#+88#@8#+ --dport c)M7EISS- -j LMV --log-prefix dA''ESSM SS- d LA$M(4(SE7A'(M4 ME$(A4EE E.M(4 c()EA.LES -A A$M(4I E.M(4 -i cEE-8 -p tcp -s 19;#+88#@8#+ -m state --state 4E --dport c)M7EI E.M4 -j A''E)E L7EVLAS $E SAL($A c()EA.LES -A M,E),E -o lo -j A''E)E )0gina 2+ de 22

Academia Linux Proyecto de Fin de Mdulo c()EA.LES -A M,E),E -m state --state 4E ,7ELAEE$,ESEA.L(S-E$ -j A''E)E L7EV(SEA7 LAS SAL($AS 4M )E7M(E($AS $ES),ES $E EM$AS LAS 7EVLAS $E SAL($A c()EA.LES -A M,E),E -m limit --limit 2Gmin -j LMV --log-prefix d% -SAL($A-E77M7d --log-tcp-options --log-ip-options ec"o d Ma # Yerifique que lo que se aplica con? iptables -nLd Rutas aernel () routing table $estination Vate!ay Venmas/ %lags MSS 19;#+88#+88#8 8#8#8#8 +;;#+;;#+;;#8 , 19;#+88#@8#8 8#8#8#8 +;;#+;;#+;;#8 , 19;#+88#188#8 8#8#8#8 +;;#+;;#+;;#8 , 1+B#8#8#8 8#8#8#8 +;;#8#8#8 , 8#8#8#8 19;#+88#+88#+8 8#8#8#8 ,V C nfi1uraci n de "as Tar2etas et"8 Lin/ encap?Et"ernet - addr 88?18?;A?A;?81?A2 inet addr?19;#+88#@8#1 .cast?19;#+88#@8#+;; Mas/?+;;#+;;#+;;#8 et"1 Lin/ encap?Et"ernet - addr 88?8@?A1?;;?.E?BA inet addr?19;#+88#188#1 .cast?19;#+88#188#+;; Mas/?+;;#+;;#+;;#8 et"+ Lin/ encap?Et"ernet - addr 88?<8?%<?21?A$?++ inet addr?19;#+88#+88#18 .cast?19;#+88#+88#+;; Mas/?+;;#+;;#+;;#8 indo! 88 88 88 88 88 irtt (face 8 et"+ 8 et"8 8 et"1 8 lo 8 et"+

)0gina 22 de 22