Módulo II Administración de Red y Seguridades

Ejercicios del Estudiante
Ejercicio 1: Conceptos TCP/IP

Nota: Esta unidad no tiene ejercicios. Esta pgina simplemente asegura que la numeracin de los
ejercicios se mantenga sincronizada.
Administracin de Red y Seguridades
Ejercicio 2: Configuracin TCP/IP

De qu se trata este ejercicio
Este ejercicio provee la oportunidad de personalizar la configuracin TCP/IP.
Involucra al estudiante en los pasos necesarios para la personalizacin de
su mquina de modo que pueda ser parte de una red TCP/IP.
Qu seremos capaces de hacer

Al finalizar este ejercicio, Ud. debera ser capaz de:
-
Configurar TCP/IP en Linux
Probar para verificar la configuracin correcta de TCP en Linux
Introduccin
Obteniendo Informacin Trabaje con su instructor para determinar la
informacin necesaria para configurar TCP/IP en su sistema y para
interconectar todos los hosts en el aula de laboratorio. Para facilitar su tarea
en este sentido, Ud. necesitar un diagrama de la topologa de red para la
sala de laboratorio. Su instructor le proveer de esta informacin.
Instrucciones de Ejercicio
Configuracin de TCP/IP
Nota: Cuando configure la red usando un entorno X, Ud. puede experimentar un comportamiento
extrao del entorno grfico, particularmente si cambia el hostname o la direccin IP. Tpicamente,
X parece rechazar la apertura de ventanas adicionales para aplicaciones. Si esto sucede, reinicie
su servidor X, haciendo logout del mismo y haciendo login nuevamente. Si X falla completamente,
use Ctrl-Alt-Backspace para terminar el servidor X.
1. Determine el hostname actual del sistema. Luego configure el hostname al indicado por el
instructor.
# hostname
# hostname sys1.example.com
2. Localice el archivo donde su hostname est almacenado, y cambie el hostname al que el
instructor le asign.
# vi /etc/sysconfig/network
3. Verifique que su adaptador de red est configurado correctamente, ejecutando el comando
ifconfig. Si es necesario, ejecute los comandos dmesg y lspci para descubrir qu est
mal. Si Ud. no sabe qu adaptadores tiene, consulte a su instructor.
# ifconfig eth0
Si obtiene el mensaje Device not found, Ud. necesita configurar su adaptador. Consulte al
instructor por los detalles.
4. Observe los archivos de configuracin de su adaptador de red.
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
5. Usando las herramientas que vienen con su distribucin, asigne la direccin IP adecuada,
mscara de subred y la ruta por defecto para el adaptador. Use la direccin IP asignada
por su instructor, y use la direccin IP de la mquina del instructor como la ruta por
defecto., a menos que el instructor especifique algo diferente. No use DHCP.
# system-config-network
6. Observe los archivos de configuracin del adaptador de red nuevamente. Puede observar
su configuracin?
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
7. Cambie el archivo /etc/hosts, de modo que todos los sistemas en la clase estn listados
all.
# vi /etc/hosts
Edite el archivo de manera que se vea ms o menos as:
127.0.0.1
10.1.1.100
10.1.1.1
10.1.1.2
...
localhost.localdomain
instructor.example.com
sys1.example.com
sys2. example.com
localhost
instructor
sys1
sys2

Los materiales de este curso no pueden ser reproducidos en su totalidad
o en parte sin el permiso escrito previo de Syderix S.A.
8. Reinicie su mquina para asegurar que todos los cambios son persistentes luego de ello.
Verificacin de configuracin TCP/IP

9. Use el comando ifconfig para verificar que la direccin IP y mscara de red fueron
correctamente asignadas.
# ifconfig
10. Use el comando
correctamente.
# route
route para verificar que la ruta por defecto fue configurada
11. Haga ping a la mquina del instructor para verificar que la conexin a travs de la red
funciona.
# ping 10.1.1.100
12. Ahora use el comando arp para observar los contenidos del cach ARP.
# arp -a
13. Observe a su alrededor para ver si otros estudiantes han reiniciado sus sistema tambin.
Haga ping a algunos otros sistemas. Luego ejecute el comando arp nuevamente.
# ping 10.1.1.2
# arp -a
14. Use el comando netstat para verificar qu puertos locales estn abiertos.
# netstat -a | less
FIN DEL EJERCICIO
Ejercicio 3: Demonio xinetd y servicios xinetd

Este ejercicio le dar la oportunidad de trabajar con el demonio xinetd, y de
usar los varios servicios que comnmente se ejecutan en conjunto con
xinted.

Al finalizar este ejercicio, Ud. debera ser capaz de:
-
Instalar y configurar el demonio xinetd
Ejecutar un login remoto usando telnet y rlogin
Realizar ejecucin remota de comandos usando rsh
Transferir archivos utilizando ftp y rcp
Configuracin del demonio xinetd
1. Asegrese de que su sistema utilice o tenga instalado sea inetd o xinetd.
# rpm -qa | grep inetd
2. Verifique que el demonio xinetd no se est ejecutando. Si lo est, detngalo.
# ps -aux | grep inet
Si el demonio xinetd est corriendo, detngalo:
# service xinetd stop
3. Haga una lista de todos los puertos que estn actualmente abiertos. Luego inicie el
demonio xinetd y verifique la lista de puertos nuevamente. Ve alguna diferencia?
Hay puertos adicionales abiertos?
# netstat -anut
# service xinetd start
# netstat -anut
4. Explore dentro de los archivos de configuracin de xinetd e intente encontrar las
ubicaciones de cada uno de los servicios siguientes:
- telnet
- talk
- ntalk
- ftp (vsftpd)
- rsh
- rlogin
- finger
Nota: En sistemas Fedora/RedHat/CentOS, el demonio ftp (vsftpd) est configurado por
defecto como un demonio independiente. Para el propsito d eesta unidad, eso no es un
problema.
Nota: En estos sistemas, debe instalar de manera adicional algunos paquetes, de modo
que tenga a su disposicin cada uno de los servicios anteriormente mencionados. Los
paquetes que debe instalar son:
finger-server,
rsh-server,
telnet-server,
rlogin-server
Estos paquetes se encuentran en los medios de instalacin de CentOs 5.2. Si no dispone
de ellos, acuda a su instructor para el efecto.
5. Una vez que haya instalado estos paquetes que funcionan bajo el dominio de xinetd,
debe habilitarlos pues por defecto, no lo estn. Para ello edite los archivos
correspondientes a cada uno de los servicios (telnet, talk, finger, ntalk, rsh, rlogin,
klogin, eklogin, kshell, rsync, krb5-telnet) ubicados dentro del directorio /etc/xinetd.d/ y
en cada uno de ellos modifique la opcin disable = yes por disable = no, y luego de
ello reinicie el servicio xinetd.
6. Nuevamente detenga el demonio xinetd, verifique el nmero de puertos abiertos. Inicie
el demonio nuevamente y haga una nueva verificacin de los puertos.
# ps -anut
# service xinetd stop
# ps -anut
# service xinetd start
7. Ahora asegrese de que los servicios telnet y ftp estn arriba cuando el sistema sea
reiniciado.
# chkconfig telnet on
# chkconfig vsftpd on
Trabajo con comandos ARPA

8. Cuando el sistema fue instalado (antes del inicio de la clase), dos usuarios deberan
haberse creado: tux1 y tux2. Verifique que estas dos cuentas de usuario existen. Si no
existen, crelas. El password debe ser igual al nombre de usuario.
Luego espera a que su compaero de equipo llegue a este paso.
# id tux1
# id tux2
9. Intente hacer telnet al sistema de su compaero, y haga login como tux1. Luego
ejecute el comando hostname para verificar que efectivamente se encuentra en el
sistema remoto.
# telnet sys2
Haga login como tux1
$ hostname
10. Mientras est logueado en el sistema remoto, cree un archivo en el directorio home de
tux1, llamado tux1file, y ponga algunas lneas en l (como su nombre y la fecha actual)
de modo que este archivo sea nico. Luego, haga logout.
$ vi tux1file
$ logout
11. Recupere el archivo que cre usando ftp. Observe el contenido del archivo para
verificar que es de hecho el archivo que Ud cre.
# ftp sys2
Haga login como tux1 y password tux1.
ftp> get tux1file
ftp> quit
# cat tux1file
12. Cree un archivo .netrc en el directorio home del usuario root que recupere
automticamente el archivo tux1file y luego salga. Prubelo.
# vi .netrc
Edite el archivo de modo que luzca como sigue:
machine sys2 login tux1 password tux1
macdef init
get tux1file
quit
(Note que la ltima lnea necesitas estar vaca!)
# chmod 600 .netrc
# ftp sys2
13. Solicite a su compaero que agregue el usuario tux1 al archivo ftpusers en el sistema
de su compaero, e intente nuevamente realizar la conexin ftp.
(en el sistema de su compaero)

# vi /etc/vsftpd/ftpusers
(en su sistema)
# ftp sys2
Trabajo con comandos Berkeley

14. Haga logout y login como usuario tux1 en su sistema local.
15. Use el comando rlogin para hacer login en el sistema de su compaero. Note que por
defecto rlogin usa el nombre de usuario local como usuario remoto.
tux1@sys1$ rlogin sys2
Ingrese su password.
16. En el sistema remoto, cree un archivo llamado .rhosts y agregue a este archivo el
nombre de su mquina, seguido por su nombre de usuario. Configure los permisos
adecuados sobre el archivo.
tux1@sys2$ vi .rhosts
Cambie el archivo de modo que se vea como sigue:
sys1 tux1
tux1@sys2$ chmod 600 .rhosts
17. Haga logout, luego login nuevamente usando rlogin. Necesito ingresar un password
esta vez?
tux1@sys2$ logout
tux1@sys1$ rlogin sys2
18. Haga logout en el sistema remoto, logout del sistema local y login localmente como
usuario tux2. Luego intente hacer rlogin como tux2 en el sistema de su compaero.
Tuvo que ingresar un password? Por qu?
tux1@sys2$ logout
tux1@sys1$ logout
Haga login como tux2 con password tux2
tux2@sys1$ rlogin -l tux2 sys2
Se le solicitar un password para tux2 porque solamente tux1@sys1 est llistado en el
archivo .rhosts.
19. Mientras est logueado remotamente como tux1, edite el archivo tux1file y agregue
algo de texto de tal manera que pueda distinguirlo fcilmente del anterior archivo
tux1file. Luego haga logout nuevamente.
tux1@sys2$ vi tux1file
tux1@sys2$ logout
20. Use el comando rcp para copiar el archivo tux1file del sistema remoto al sistema local
(en el cual est Ud todava logueado como tux2). Funciona? Por qu no?
tux2@sys1$ rcp tux1@sys2:tux1file tux1file

Esto no funciona, ya que rcp nunca requerir un password. En lugar de eso, fallar si
una contrasea es requerida.
21. Haga logout del sistema remoto, logout del sistema local y login localmente como tux1
nuevamente.
22. Use el comando rcp para copiar el archivo tux1file del sistema remoto al sistema local
(en el cual Ud ahora est logueado como tux1). Funciona? Por qu?
tux1@sys1$ rcp sys2:tux1file tux1file
tux1@sys1$ cat tux1file
23. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero.
tux1@sys1$ rsh sys2 hostname
su compaero y guarde la salida del comando al archivo local hostname.remote.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.remote
tux1@sys1$ cat hostname.remote
su compaero, y guarde la salida del comando en el archivo remoto hostname.local.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.local
tux1@sys1$ rsh sys2 cat hostname.local
Trabajo con talk y finger

26. En su sistema local, logueado como tux1, cree un archivo .plan y coloque algo de
informacin en l. Asegrese de que los permisos en el archivo y en su directorio home
estn correctamente configurados de modo que otros puedan leer este archivo. Luego
espere que su compaero llegu a este paso.
$ vi .plan
$ chmod 644 .plan
$ chmod 755 /home/tux1
27. Use el comando finger para descubrir qu usuarios estn activos en el sistema de su
compaero.
$ finger @sys2
28. Use el comando finger para recuperar informacin acerca del usuario tux1 en el
sistema remoto.
$ finger tux1@sys2
29. Establezca un sesin talk entre tux1 en su sistema local y tux1 en el sistema de su
compaero.
$ talk tux1@sys2
Trabajo con rsync

30. en su sistema local, logueado como tux1, cree un directorio testdir con algunos
archivos en l.
$ makdir testdir
$ cp /etc/passwd testdir/testfile1
$ cp /etc/group testdir/testfile2
$ cp /etc/hosts testdir/testfile3
31. Asegrese de que rsync usa rsh y no ssh como su programa de comunicacin. Esto
se lo hace, configurando la variable RSYNC_RSH con un valor /usr/bin/rsh.
$ export RSYNC_RSH=/usr/bin/rsh
32. Use rsyn en modo rsh para copiar este rbol de directorio al directorio /tmp de tux1 en
el sistema de su compaero. Cuntos archivos y cuntos bytes se han transportado?
Cul es el speedup?
$ rsync -avz testdir/ tux1@sys2:/tmp/testdir
33. Ahora ejecute el mismo comando rsync nuevamente. Cuntos archivos y cuntos
bytes se transportaron esta vez? Cul fue el speedup?
34. Modifique uno de los archivos en el directorio testdir, pero deje los otros sin cambiarse.
Luego ejecute el comando nuevamente. Qu archivo fue transferido? Cuntos
archivos y cuntos bytes se transportaron esta vez? Cul fue el speedup?
$ cat /etc/passwd >> testdir/testfile1
Trabajo con los archivos hosts.allow y hosts.deny

35. Haga logout y login como root nuevamente.
36. Haga telnet en el sistema de su compaero y verifique que puede hacer telnet y ftp de
regreso en su propio sistema.
sys1# telnet sys2
Login: tux1
Password: tux1
sys2$ telnet sys1
Cuando el prompt de login aparezca, cierre la conexin. Esto le deje logueado en el
sistema de su compaero.
37. Ahora configure sus archivos /etc/hosts.allow y /etc/hosts.deny de manera que ya no se
pueda hacer telnet y/o ftp en su sistema local, y que estas acciones sean registradas
usando la palabra clave spawn en el archivo /etc/hosts.deny.
Asegrese de que la sesin telnet realizada hacia el sistema de su compaero se
mantiene todo el tiempo: su compaero est haciendo lo mismo y Ud puede no ser
capaz de acceder luego. (Note que /etc/hosts.deny y /etc/hosts.allow son chequeados
nicamente cuando una sesin es establecida)
(En su sistema local:)
sys1# vi /etc/hosts.deny
Agregue la siguiente lnea:
ALL: ALL: spawn logger t hosts.deny Conexion desde %c hacia

%s denegada!!
Guarde el archivo.
(en el sistema remoto:)
sys2$ telnet sys2
sys2$ ftp sys2
Intente diferentes configuraciones usando /etc/hosts.allow y /etc/hosts.deny.
(En su sistema local:)
sys1# tail -f /var/log/messages
38. Limpie los archivos /etc/hosts.allow y /etc/hosts.deny de manera que todas las
conexiones se permitan, o tendr problemas en los ejercicios siguientes.
FIN DEL EJERCICIO
Ejercicio 4: Secure Shell y Secure Copy

En este ejercicio, Ud, configurar y utilizar OpenSSH para login remoto,
transferencia remota de archivos y ejecucin remota de comandos. Ud.
configurar tambin autenticacin RSA/DSA.

Al finalizar el laboratorio, Ud. debera ser capaz de:
-
Configurar y utilizar ssh, scp y sshd
Utilizar RSA/DSA para autenticacin
Introduccin
En este ejercicio Ud. configurar y utilizar OpenSSH de modo que sea
capaz de hacer login seguro a su sistema. Ud. tambin utilizar
autenticacin RSA/DSA para hacer login en su servidor.
Iniciando y probando sshd
1. Verifique que el demonio sshd est corriendo. Si no ha sido iniciado, incielo y asegrese
de que sea iniciado cada vez que su sistema se reinicie.
# service sshd status
# chkconfig sshd on
2. Verifique que puede hacer login sobre el dispositivo de loopback.
# ssh 127.0.0.1
root@127.0.0.1s passsword: (escriba su contrasea)
# logout
Uso de ssh y scp

3. Desde la Workstation, intente hacer login en el sistema de su compaero usando SSH.
sys1# ssh sys2
Ud. debera observar una advertencia acerca de que la autenticacin no puede ser
establecida. Esto es normal, ya que su sistema no tiene todava el certificado de servidor
del otro sistema. Acepte este certificado escribiendo yes. La letra y solamente no
funcionar.
Luego de esto, Ud. debera recibir un prompt de shell.
4. Haga logoff.
sys2# logout
5. En su propio sistema, cree el archivo llamado /root/testfile. Ponga algunas lneas de texto
en l. Guarde el archivo y cpielo al otro sistema con scp, renombrndolo a /tmp/myfile en
el proceso.
sys1# vi /root/testfile
Ponga algunas lneas de texto aqu. Guarde el archivo.
sys1# scp /root/testfile sys2:/tmp/myfile
6. Haga logon al otro sistema y verifique que el archivo arrib.
sys1# ssh sys2
Note que no se muestra ninguna advertencia esta vez, porque la autenticidad del otro
sistema puede ser verificada con la llave pblica que fue transferida hace un momento. Ud.
necesita todava proveer del password para root, ya que no hemos configurado
autenticacin de usuario usando llaves pblicas.
sys1# cat /tmp/myfile
sys1# logout
7. Haga lo mismo que el paso anterior, pero ahora usando un solo comando.
sys1# ssh sys2 cat /tmp/myfile
Uso de autenticacin de usuario DSA

8. En su sistema local, in una Terminal virtual de texto, haga login como tux1.
9. Genere un par de llaves DSA. Proteja su llave con un passphrase.
tux1@sys1$ ssh-keygen -t dsa

Espere mientras la llave se genera, y guarde la llave con un passphrase.
10. Observe los permisos sobre los archivos que ha creado. Observe los contenidos de todos
ellos.
tux1@sys1$ ls -ld .ssh
tux1@sys1$ cd .ssh
tux1@sys1$ ls -la
tux1@sys1$ view id_dsa
tux1@sys1$ view id_dsa.pub
11. Copie el archivo id_dsa.pub a la cuenta root en el sistema de su compaero. Dle un
nombre temporal. Luego haga login en el sistema de su compaero y agregue los
contenidos de ese archivo al archivo authorized_keys2. Asegrese de que este archivo
tiene los permisos correctos.
tux1@sys1$ scp id_dsa.pub root@sys2:id_dsa.one
tux1@sys1$ ssh root@sys2
Provea del password de root cuando se le solicite.
root@sys2# ls
Ud debera observar el archivo id_dsa.one.
root@sys2# mkdir .ssh
root@sys2# chmod 700 .ssh
root@sys2# cat id_dsa.one >> .ssh/authorized_keys2
root@sys2# chmod 600 .ssh/authorized_keys2
12. Haga logoff y luego intente hacer login en el sistema de su compaero nuevamente. Qu
sucede? Haga logout nuevamente.
root@sys2# logout
Ud. no debera recibir un mensaje de solicitud de password de root, pero, en lugar de ello,
el sistema debera solicitarle el password de la llave privada (passphrase). La autenticacin
fue hecha en base a su par de lave pblica.
tux1@sys2$ logout
Uso de ssh-agent y ssh-add

13. Ahora inicie un subshell bajo ssh-agent, y use ssh-add para activar su llave privada.
Ejecute el comando pstree para observar cmo los procesos se organizan. Luego intente
hacer login en el sistema de su compaero nuevamente.
tux1@sys1$ ssh-agent bash
tux1@sys1$ ssh-add
De el password de la llave privada cuando se le solicite.
tux1@sys1$ pstree
tux1@sys1$ logout
14. Haga logout de su subshell actual e intente hacer ssh en el sistema de su compaero
nuevamente. Necesita ingresar el password de la llave privada nuevamente?
tux1@sys1$ exit
Ud. necesita escribir nuevamente su password de llave privada.
root@sys2# logout
15. Haga login como tux1, pero esta vez usando xdm, kdm o gdm (cualquiera que est por
defecto en su sistema). Abra un shell y ejecute el comando pstree para revisar que sshagent se inicie automticamente. Haga upload de sus llaves privadas con ssh-add e intente
hacer login en el sistema de su compaero nuevamente.
Haga login como tux1 en la interfaz grfica (no en un emulador)
# pstree
Ud. debera ver ssh-agent ejecutndose.
# ssh-add
# ssh root@sys2
Uso de rsync sobre ssh

16. Asegrese de que rsync ahora utilice ssh como su programa de comunicacin. Esto se
realiza configurando la variable RSYNC_RSH con un valor /usr/bin/ssh.
tux1@sys1# export RSYNC_RSH=/usr/bin/ssh
17. Modifique uno de los archivos en el directorio testdir del ejercicio anterior con rsync una
vez ms, pero deje los otros archivos sin cambiar. Luego ejecute el comando rsync
nuevamente. Observa alguna diferencia en comparacin con rsync sobre rsh, tomando
en cuenta que dispone de sus llaves pblicas (para ssh) y su archivo .rhosts (para rsh)
correctamente configurados?
tux1@sys1# cat /etc/passwd >> testdir/testfile1
tux1@sys1# rsync -avz testdir/ tux1@sys2:/tmp/testdir
FIN DEL EJERCICIO
Ejercicio 5: Configuracin de PPP

En este ejercicio, configurar algunos tipos de conexiones PPP entre su
sistema y el de su compaero. Esto le permitir probar las caractersticas del
soporte PPP de Linux.

-
Configurar un sistema Linux para que acte como un sistema llamante,

cliente.
Configurar un sistema Linux para que acte como un sistema llamado,

servidor.
Configurar un sistema Linux para que use PPP sobre una conexin
serial dedicada.
Introduccin
En este laboratorio ser necesario trabajar en pares, estableciendo
conexiones PPP entre dos sistemas de un mismo equipo. Uno de ellos ser
el cliente, el sistema que llama, y el otro ser el servidor, el sistema llamado.
Aunque es posible configurar ambos sistemas simultneamente, es mejor
configurar el sistema llamado primero. El ltimo ejercicio, de configuracin
de
una
conexin
permanente
null-modem,
puede
realizarse
simultneamente ya que no hay diferencia entre ambos sistemas.
Material necesario
Durante el desarrollo de esta prctica Ud. necesitar disponer de un cable
null mdem (serial) por cada grupo de trabajo (par de estudiantes).
Actualmente los mainboards suelen prescindir del puerto serial. En ese caso
necesitar utilizar adaptadores Serial-USB por cada mquina para realizar
est prctica. De otro modo no ser posible.
Nota:
En este ejercicio, Ud. Necesita trabajar junto con el sistema de un compaero. Un sistema (el
sistema que llama) se configurar como cliente PPP y llamar al otro sistema (el sistema llamado)
que acta como servidor PPP.
Asegrese de ejecutar cada paso en el sistema correcto.
Configuracin del sistema llamado (servidor)

En esta seccin Ud. configurar el sistema llamado, comnmente llamado servidor PPP. Todos
los pasos siguientes necesitan ser ejecutados en este sistema, a menos que se indique algo
diferente.
1. Revise si existe una conexin null-modem entre los dos sistemas, y anote a qu puerto
serial est conectado (COM1 = /dev/ttyS0, COM2 = /dev/ttyS1). Si utiliza un adaptador
Serial USB, el sistema normalmente ser reconocido como ttyUSB0. Si lo utiliza
simplemente reemplace /dev/ttyS0 por /dev/ttyUSB0 en las indicaciones a continuacin.
Las indicaciones desde ahora asumirn que ambos sistemas, el llamante y el
llamado estn configurados en /dev/ttyS0. Adems, las indicaciones asumirn que
sys1 es el sistema llamante y sys2 el sistema llamado.
2. Revise si mgetty est instalado y cheque su path completo (ste cambia de distribucin en
distribucin). Configure un mgetty en el puerto serial.
Nota: En este ejercicio, estamos ejecutando mgetty con la opcin -r porque estamos
usando una lnea serial directa en lugar de una conexin mdem. La opcin -r evita la
inicializacin MODEM. Si Ud. va a ejecutarlo en una conexin MODEM, no use la opcin -r.
# which mgetty
# vi /etc/inittab
Agregue la siguiente lnea en algn lugar cerca de donde todos los comandos getty estn
definidos.
s1:2345:respawn:/usr/sbin/mgetty -r ttyS0
o
s1:2345:respawn:/sbin/mgetty -r ttyS0
Guarde el archive
# kill -HUP 1
# p sax | grep getty
Debera haber ahora un mgetty en /dev/ttyS0. Luego de unos pocos segundos, ejecute el
comando nuevamente. El PID no debera haber cambiado. Si ha cambiado, hay algo
errado con el puerto serial pues mgetty no puede conectarse a l y muere.
3. Agregue un usuario ppp al sistema con el password ppp.
# useradd -m ppp
# passwd ppp
4. Cmbiese a la otra computadora (el sistema llamante) y, usando minicom, intente hacer
login como ppp al sistema llamado sobre la lnea serial.
Para observar las opciones de minicom, lea su pgina manual:
# man minicom
# minicom -s
Vaya a Serial Port Setup y configure Serial Device a /dev/ttyS0. Configure Bps/Par/Bits
a 38400 8N1 y setee Hardware flow control on y Software flow control off. Presione
Enter.
Vaya a Modem and dialing y asegrese de que Init string y Reset string estn vacos.
Presione Enter.
Guarde la configuracin como nullmodem.
Salga de minicom.
# minicom nullmodem
Ud. debera ahora verel screen de login del sistema llamado. (Ud. puede necesitar
presionar Enter una vez para activar el proceso de login).
Haga login como ppp con el password ppp. Ud debera observar un prompt de bash
regular.
Haga logout y salga de minicom com Ctrl-A, X
5. Regrese al servidor y cambie la configuracin del usuario ppp de modo que cuando
alguien haga login como ppp, /usr/sbin/pppd sea automticamente iniciado, en lugar de
/bin/bash.
# vipw
Cambie el shell de ppp a /usr/sbin/pppd
6. Cambie los permisos de /usr/sbin/pppd a 4755.
# chmod 4755 /usr/sbin/pppd
7. Configure las siguientes opciones globales para PPP: lock, nodetach, no authentication y
hardware flor control.
# vi /etc/ppp/options
Asegrese de que solamente las siguientes lneas existan en este archivo:
lock
-detach
noauth
crtcts
8. Configure las direcciones IP en el archivo de opciones PPP especfico del puerto.
# vi /etc/ppp/options.ttyS0
192.168.1.2:192.168.1.1
(reemplace 192.168.1.2 con su direccin IP local y 192.168.1.1 con la direccin remota de
su conexin PPP)
9. Cmbiese nuevamente al sistema llamante y pruebe otra vez la conexin con minicom.
Luego de hacer login como ppp, Ud. debera observar una gran cantidad de basura que
indica que pppd est tratando de sincronizarse. Si lo observa, salga de minicom.
# minicom nullmodem
Haga login como ppp con password ppp.
Ud. debera ver ahora PPP intentando sincronizarse:
Salga de minicom con Control-A, X
Configuracin del sistema llamante (cliente)

En esta seccin Ud. configurar el sistema llamante, comnmente llamado cliente PPP. Ejecute
los pasos mencionados abajo, nicamente en el sistema cliente, a menos que se indica otra cosa.
10. Cree un chatfile, llamado /etc/ppp/chatscript, que contenga los comandos necesarios para
configurar la conexin serial.

# vi /etc/ppp/chatscript
Agregue el siguiente texto:

ogin: ppp
word: ppp
11. Tanto en el servidor PPP como en el cliente PPP, inicie una ventana separada o una
Terminal virtual y mire el archivo de log /var/log/messages en ella.
# tail -f /var/log/messages
12. en el cliente, inicie el demonio pppd, con las opciones siguientes:
- Hardware flow control
- No authentication
- Connect usando el programa chat. chat debera usar logging verbose y
/etc/ppp/chatscript como script de chat.
- La tty correcta
- 38400 como velocidad de la lnea
# pppd crtcts noauth connect chant -v -f /etc/ppp/chatscript /dev/ttyS0 38400
13. Observe la salida de /var/log/messages tanto en el servidor como en el cliente.
14. Cuando la conexin haya sido configurada correctamente, haga lo siguiente en ambos
sistemas:
- Observe el status de las interfaces
- Observe la tabla de enrutamiento
- Pruebe la conexin
# ifconfig
# netstat -rn
# ping 192.168.1.2 (Reemplace 192.168.1.2 con la direccin IP de su compaero)
15. En el cliente, termine la conexin y observe qu sucede dentro del /var/log/messages.
# kill -INT cat /var/run/ppp0.pid
Configuracin de la autenticacin
Vamos ahora a extender este esquema para usar autenticacin PAP o CHAP. Vamos a configurar
el servidor de manera que solicite a cada cliente que se autentique usando PAP, y vamos a usar
el archivo /etc/passwd en lugar de /etc/pap-secrets. Adems, vamos a configurar el cliente de
manera que se autenticar usando cualquier protocolo requerido, con su nombre de usuario y
password.
16. en el servidor, cambie el archivo /etc/ppp/optins de manera que desde ahora a cada cliente
se le solicite autenticarse usando PAP. Tambin agregue la opcin que habilita chequeo
regular va /etc/`passwd.
Borre la opcin noauth y agregue las opciones auth, login y +pap.
Su archivo ahora se ver como sigue:
lock
-detach
crtcts
auth
login
+pap
17. En el servidor, cambie el archivo /etc/ppp/pap-secrets de manera que contenga una lnea
como la que se menciona ms abajo.
# vi /etc/ppp/pap-secrets
*
*
18. En el cliente, cambie el archivo /etc/ppp/pap-secrets de manera que contenga el nombre

de usuario y password del usuario que Ud. desea autenticar (ppp/ppp). Esto debera ser
utilizado para todos los servidores y todas las direcciones IP.
# vi /etc/ppp/pap-secrets
Agregue la lnea siguiente:
ppp
*
ppp *
19. Conecte el cliente nuevamente, esta vez con una opcin adicional para identificar el cliente
como usuario ppp y observe los archivos de log.
# pppd crtcts noauth user ppp connect chat v f /etc/ppp/chatscript /dev/ttyS0 38400
20. Ejecute el comando w en el servidor para ver quien est logueado.

#w
21. Si Ud. escoje no hacer el paso siguiente, entonces deje la conexin PPP corriendo como lo
est ahora. Si no, detenga la conexin.
Configuracin de una conexin null-modem permanente

La configuracin anterior, extendida para la inicializacin del MODEM por supuesto, puede ser
utilizada para una conexin dialup, en la que a Ud. no le interesa configurar la conexin
manualmente. Cuando Ud. dispone de dos sistemas que estn permanentemente conectados
mediante una conexin null-modem, una configuracin ms simple que no necesite configuracin
manual, es ms conveniente. Configurmosla.
22. En el sistema servidor, borre el mgetty para la lnea serial del archivo /etc/inittab
# vi /etc/inittab
Borre la lnea insertada en referencia a mgetty
23. En el sistema servidor, limpie el archivo /etc/ppp/options y borre el archivo
/etc/ppp/options.ttyS0.
Limple el archivo de modo que solo quede la opcin lock
# rm -f /etc/ppp/options.ttyS0
24. En ambos sistemas, agregue pppd y /etc/inittab de manera que ambos inicien
automticamente. Recuerde usar la opcin -detach, o si no init se atorar.
# vi /etc/inittab
s0:2345:respawn:/usr/sbin/pppd
detach
192.168.1.1:192.168.1.2 /dev/ttyS0 38400
25. Refresque init

# kill -HIP 1
26. Pruebe la connexion
# ifconfig
# netstat -rn
noauth
crtcts
# ping 192.168.1.2
27. Mate uno de los demonios pppd y observe lo que pasa
Un nuevo pppd debera ser iniciado por init automticamente.
FIN DEL EJERCICIO
Ejercicio 6: Enrutamiento
Este ejercicio le dar la oportunidad de configurar enrutamiento entre
sistemas en redes diferentes. Ud. examinar inicialmente las tablas de
enrutamiento y luego se harn cambios, as como tambin se probarn
dichas rutas, utilizando comandos TCP/IP.

-
Configurar una ruta de host, ruta de red y ruta por defecto.
Configurar enrutamiento a travs de mltiples redes.
Introduccin
La clase consiste de lo que llamaramos una red plana, lo que significa que
no hay un router en ella. Sin embargo, usaremos la tarjeta de red adicional
de nuestros equipos para crear una red adicional.
Lo que haremos es lo siguiente: Conectar usando un cable cruzado las
tarjetas integradas de las mquinas de cada equipo. Entre las dos, cada
equipo deber decidir cual ser el router. Este router enrutar todos los
paquetes provenientes de la otra mquina de su equipo.
Preparacin del router para hacer enrutamiento
1. Decida entre los sistemas que se encuentran conectados a travs del cable cruzado, cual
ser el que funcione como router. Comunique su decisin al instructor y al resto de la
clase.
- En este ejemplo se asumir que sys1 es el router.
2. En el router solamente haga login como root. Active la funcin de IP forwarding y
asegrese de que est activa luego de reiniciar la mquina.
#cat /proc/sys/net/ipv4/ip_forward
Si la salida es 0, active el reenvo IP (IP forwarding)
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ahora asegrese de que esta opcin est activa an luego de un reinicio del sistema.
# vi /etc/sysctl.conf
Cambie la lnea ip_forward de manera que luzca como sigue:
net.ipv4.ip_forward = 1
Configuracin del router

En esta seccin, Ud. agregar entradas a su tabla de enrutamiento de manera que pueda
alcanzar los hosts y redes remotos.
3. En ambos sistemas, muestre la tabla de enrutamiento actual. Qu entradas se
encuentran en la tabla?
# netstat -rn
4. En el host (no en el router) agregue una ruta por defecto que atravsara la conexin
cruzada (local).
# route add -net default gw 192.168.1.1
5. En el router, agregue las rutas hacia otras redes privadas.
# route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.1.1.3
# route add -net 192.168.3.0 netmask 255.255.255.0 gw 10.1.1.5
y as sucesivamente
6. En el router, verifique que pueda ahora alcanzar a otras direcciones IP, utilizando ping y
traceroute.
Note que esto funcionar nicamente despus de que sus compaeros de otros sistemas
hayan agregado sus rutas correctamente tambin.
# ping 192.168.2.2
# traceroute 192.168.2.2
7. En el host (no en el router) haga lo mismo. Cul es la diferencia?
# ping 192.168.2.2
# traceroute 192.168.2.2
8. Una vez ms, muestre el contenido actual de la tabla de enrutamiento.
# netstat -rn
Configuracin de rutas estticas permanentemente

En esta seccin usted usar la herramienta de administracin del sistema preferido de su
distribucin para configurar rutas estticas de manera permanente.
9. En el router, haga flush de todas las rutas estticas definidas actualmente.
# route del -net 192.168.2.0 netmask 255.255.255.0 gw 10.1.1.3
Y as en adelante
10. En el router, use la herramienta de administracin del sistema preferida de su distribucin
para agregar rutas estticas.
# system-config-network
11. Observe los contenidos de los archivos en los que las rutas estticas estn
almacenadas. Los reconoce?
# less /etc/sysconfig/network-scripts/route-eth0
12. En el host, levante o reinicie la interface LAN nuevamente.
# ifup eth0
# service network restart
FIN DEL EJERCICIO
Ejercicio 7: DNS (Domain Name System)

Este ejercicio brinda la oportunidad de crear un dominio DNS. El dominio
tendr un servidor de nombres primario, un servidor de nombres secundario
y clientes.

-
Convertir una red TCP/IP plana en una red de dominio TCP/IP
Configurar un servidor de nombres primario
Configurar un servidor de nombres secundario
Configurar un cliente para que use servidores de nombre
Hacer pruebas para verificar la personalizacin correcta usando ping,

host y nslookup
Crear un dump (volcado) de la base de datos named activa.
Introduccin
En este ejercicio, Ud. configurar un dominio DNS para un nmero de hosts
en la red de la clase. Haga equipos de dominio en pares y decide qu
sistemas sern los servidores primarios y los secundarios.
Nota:
Aqu se asume que Ud. est configurando un dominio example.com. y tambin asumimos que
sys1 es su servidor DNS primario, sys2 es un DNS secundario y sys3 es un cliente DNS.
Asegrese de sustituir el nombre de dominio example.com por el dominio que necesita configurar,
y haga lo mismo para los hostnames y direcciones IP.
Configuracin de un servidor de nombres primario

Los siguientes pasos deberan ser ejecutados nicamente en el servidor de nombres primario. Los
estudiantes en otros sistemas debern observar estos pasos.
Verifique que se encuentren instalados los siguientes paquetes, antes de empezar la instalacin:
bind
bind-utils
bind-libs
caching-nameserver
Vamos a hacer referencia en estos ejercicios al archivo /etc/named.conf. Tomar en cuenta dos
datos:
- En las ltimas versiones de CentOS el archivo de configuracin ha
cambiado de nombre por named.caching-nameserver.conf. Dentro de /etc
cree en enlace simblico llamado named.conf y que apunte a
named.caching-nameserver.conf as:
# cd /etc
# ln -s named.caching-nameserver.conf named.conf
Con esto ya podr trabajar en /etc/named.conf como se indica a
continuacin.
- Si tiene instalado el paquete bind-chroot, la ubicacin del archivo de
confguracin named.caching-nameserver.conf ser /var/named/chroot/etc/.
En ese directorio tendr que localizar el archivo de configuracin.
1. Haga login como root.
2. Modifique el archivo named.conf para que refleje su situacin.
Recuerde nuevamente que si tiene el paquete bind-chroot instalado, el demonio named
se ejecuta en un ambiente enjaulado, relativo al directorio /var/named/chroot. Por lo tanto
deber crear el archivo named.conf en /var/named/chroot/etc/named.conf.
El archivo debera verse como sigue:
# vi /etc/named.conf
options {
directory
dump-file
};
"/var/named";
"/var/named/named_dump.db";
zone "example.com" IN {
type master;
file "named.example.com";
};
zone "1.10.10.in-addr.arpa" IN {
type master;
file "named.10.1.1";
};

zone "localhost" IN {
type master;
file "localhost.zone";
};
type master;
file "named.local";
};
3. Cree el archivo de zonas de nombres. Este debera incluir todos los hosts en su dominio.
# vi /var/named/named.example.com
Este archivo debera lucir como sigue:
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
NS
NS
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
4. Cree los archivos de zona IP, as como lo hizo para los archivos de zona de nombre.
# vi /var/named.10.1.1
$TTL 86400
@
IN
1
2
3
4
SOA
IN
IN
NS
NS
creative.sidevox.ec. root.creative.sidevox.ec.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
IN
IN
IN
IN
PTR
PTR
PTR
PTR
sys1.example.com.
sys2.example.com.
sys3.example.com.
sys4.example.com.
5. Verifique los archivos de zona local. Note que estos archivos son instalados por defecto
lo nico que debe verificar es que existan. No te tambin que su nombre vara de
distribucin en distribucin y que no todas las distribuciones son consistentes en referencia
a su esquema de nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.

$TTL
@
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
IN AAAA
; serial (d. adams)

; refresh
; retry
; expiry
; minimum
@
127.0.0.1
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
6. Copie el archivo /etc/hosts para crear un backup. Luego edtelo, borrando todos los hosts
excepto localhost y el de su sistema.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin que debera estar es :
127.0.0.1
10.1.1.1
sys1.example.com
localhost
sys1
7. Cambie el hostname al fully qualified domain name.

NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=sys1.example.com
8. Edite el archivo /etc/resolv.conf

# vi /etc/resolv.conf
domain example.com
nameserver 10.1.1.1
9. Inicie el demonio named y verifique que haya iniciado correctamente.

# service named start
# tail -55 /var/log/messages
Configuracin de un servidor de nombres secundario

Solamente el servidor de nombres secundario debera realizar esta seccin.
10. Cree el archivo named.conf para reflejar su situacin.
Recuerde nuevamente que si tiene el paquete bind-chroot instalado, el demonio named

se ejecuta en un ambiente enjaulado, relativo al directorio /var/named/chroot. Por lo tanto
deber crear el archivo named.conf en /var/named/chroot/etc/named.conf.
El archivo debera verse como sigue:
# vi /etc/named.conf
options {
directory
dump-file
};
"/var/named";
"/var/named/data/cache_dump.db";
zone "example.com" IN {
type slave;
file "named.example.com.bck";
masters {
10.1.1.1;
};
};
type slave;
file "named.10.1.1.bck";
masters {
10.1.1.1;
};
};
type master;
};
type master;
file "named.local";
};
11. Verifique los archivos de zona local. Note que estos archivos estn instalados por defecto
lo nico que debe hacer es verificar que existen. Note tambin que sus nombres difieren
de distribucin en distribucin y que no todas ellas son consistentes en su esquema de
nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.
$TTL
@
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
; serial (d. adams)

; refresh
; retry
; expiry
; minimum
@
127.0.0.1


IN AAAA
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
12. Copie el archivo /etc/hosts para crear un backup. Luego edite su archivo /etc/hosts,
borrando todos los hosts excepto localhost y su sistema.
# vi /etc/hosts
La nica informacin en el archivo debera ser :
127.0.0.1
10.1.1.2
localhost
sys2.example.com
13. Cambie el nombre de host (hostname) al fully qualified domain name.

NETWORKING=yes
NETWORKING_IPV6=no

domain example.com
nameserver 10.1.1.1
nameserver 10.1.1.2
15. Inicie el demonio named y verifique que haya iniciado correctamente.

# tail -55 /var/log/messages
16. Verifique que los archivos de backup se crearon.
Nota : Si estos archivos no se crearon correctamente, eso probablemente significar que el
demonio named (que se ejecuta como usuario named) no tiene permisos de escritura
sobre el directorio donde desea crear los archivos de backup. En este caso, ejecute un
chown para hacer al usuario named dueo de ese directorio, o cree un directorio separado
que permita escritura por parte del usuario named, y almacene los archivos de backup all.
# cd /var/named/
# ls -l
# cat named.example.com.bck
# cat named.10.1.1.bck
Configuracin de un cliente
Todos los sistemas EXCEPTO los servidores de nombres deberan completar esta seccin.
17. Copie el archivo /etc/hosts para crear un backup. Luego edite el archivo comentando todas
las entradas excepto la lnea con localhost y la que hace referencia a su sistema. Este no
es un paso necesario, pero mostrar que Ud. est nicamente utilizando el servidor de
nombres.
# vi /etc/hosts
La nica informacin presente debera ser:
127.0.0.1
10.1.1.3
localhost
sys3.example.com
18. Cambie el hostname al fully qualified domain name.

NETWORKING=yes
NETWORKING_IPV6=no

domain example.com
nameserver 10.1.1.1
nameserver 10.1.1.2
Pruebas de la red de dominio

Todos los sistemas deben completar esta seccin.
20. Use el comando ping y haga ping a su loopback, a su sistema, a otra direccin IP en el
domino y a otro sistema en el dominio,
# ping localhost
# ping sys1
# ping sys2
21. Use el comando host y resuelva el nombre de host de un host en el dominio, el hostname
localhost, otra direccin IP en el dominio y su nombre de host.
# host sys1
# host localhost
# host 10.1.1.1
22. Ejecute una consulta no-interactiva usando nslookup para todas las opciones disponibles
para todas las opciones disponibles para su dominio.
# nslookup -querytype=ANY example.com
23. Ejecute una consulta no-interactiva sobre cualquier host en el dominio.
# nslookup sys1
24. Ejecute una consulta interactiva sobre lo siguiente:
- El servidor de nombres
- Una direccin IP en su dominio
# nslookup
> sys1
> 10.1.1.1 (o cualquier direccin IP en su red)
> exit
25. Active nslookup en modo depuracin (debug) y ejecute una consulta del servidor de
nombres. Desactive la depuracin y salga de nslookup.
# nslookup
> set d2
> sys1
> set nodebug
> exit
26. Use dig para consultar todos los registros SOA y NS en su dominio.
# dig @sys1.example.com example.com soa
# dig @sys1.example.com example.com ns
Manejo remoto de named

Lo siguiente puede hacer se en el servidor DNS primario en el secundario.
27. Genere una llave DNS y almacnela en rndc.key. Luego agregue las sentencias
apropiadas de control/incluye a named.conf y rndc.conf.
Si su distribucin usa un ambiente enjaulado, piense cuidadosamente donde poner los
archivos: el demonio rndc no se ejecuta en el ambiente enjaulado ya que es iniciado por un
usuario local.
# rndc-confgen -a
# cat /etc(rndc.key
# vi /etc/rndc.conf
options {
default-server
default-key
default-port
};
server localhost {
key "rndckey";
};
include "/etc/rndc.key";
localhost;
"rndckey";
953;
# cd /etc
# vi named.conf
Modifique el archivo y agregue las siguientes lneas :
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { rndckey; };
};
# service named restart

28. Use el comando rndc para obtener el status del servidor
Dumping (Volcado) de la base de datos named activa

Solamente los servidores primario y secundario completarn esta seccin.
29. Haga un volcado (dumping) de la base de datos activa.
# rndc dumpdb
30. Observe el archivo de dump.
Nota: si el archivo de dump no fue creado correctamente, lo ms probable ser que el
demonio named (que se ejecuta como usuario named) no tiene permisos de escritura en el
directorio donde desea crear el archivo de dump. En este caso ejecute un chown para
hacer al usuario named el dueo de ese directorio, o cree un directorio separado que
pueda ser escrito por el usuario named, y almacene el archivo de dump alli. (Ud. necesita
la directiva dump-file en el archivo named.conf para completar esto.)
# less /var/named/named_dump.db
FIN DEL EJERCICIO
Ejercicio 8: Correo Electrnicco

Este ejercicio Ud. configurar un dominio simple de correo en Linux.

-
Configurar registros MX en el DNS
Configurar sendmail para un simple dominio de correo
Configurar postfix para un simple dominio de correo
Configurar pop3d y pop3s
Configurar aliases
Introduccin
En este ejercicio, Ud. configurar uno de sus sistemas en su dominio DNS
como un servidor de correo para ese dominio. Todos los sistemas enviarn
so correo electrnico a ese servidor, y recuperarn e-mail pendiente de l.
Configuracin de registros MX en el DNS
1. En su servidor DNS master, agregue los registros MX al archivo de zona de nombres y
reinicie el servicio named.
# vi /var/named/named.example.com
Edite el archive de manera que luzca as: (tome en cuenta el agregar el registro MX en la
lnea nmero 10)
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
IN
NS
NS
MX
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
sys1.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
No olvide incrementar el valor serial!.

# service named reload
2. Use dig para revisar si el cambio se ha hecho efectivo, tanto en el master como en el
servidor esclavo.
# dig @sys1.example.com example.com mx
# dig @sys2.example.com example.com mx
3. Si el servidor de nombres no se refresca automticamente, entonces detenga el demonio
named en el DNS secundario, borre los archivos de backup e inicie named nuevamente.
# service named stop
# rm /var/named/named*.bck
Si su distribucin usa Sendmail

4. Configure sendmail para aceptar mail de este dominio, para todos los sistemas en la red.
# vi /etc/mail/sendmail.cf
Agregue su nombre de host y su nombre de dominio a la lnea Cw de manera que luzca
as:
Cwlocalhost sys1.example.com example.com
Comente la lnea DaemonPortOptions si exite en su archivo de configuracin.
Guarde el archivo.
Si Ud. desea usar los macros m4:
# cd /etc/mail
# vi sendmail.mc
Comente la lnea que fuerza a Sendmail a escuchar en la interfaz de loopback. Los

comentarios en el archivo sendmail.mc se identifican con dnl en el inicio de la lnea, de
manera que la lnea debera verse as:
dnl DAEMON_OPTIONS(Port=smtp,Addr=127.0.0.1,Name=MTA)dnl
# m4 sendmail.mc > sendmail.cf
# vi /etc/mail/local-host-names
Agregue su nombre de host y su nombre de dominio en lneas separadas. Guarde el
archivo.
Haga lo siguiente an a pesar de si edit sendmail.cf directamente o usando macros m4:
# vi /etc/mail/access
example.com RELAY
Y finalmente ejecute:
# make
5. Inicie sendmail
# service sendmail restart
6. Como root, enve un e-mail de prueba a tux1. Revise si el mensaje arrib al mailbox de
tux1, pero no lo recupere an.
# echo esta es una prueba | mail -s test 1 tux1@example.com
# cd /var/spool/mail
# cat tux1
Si su distribucin usa Postfix

7. Configure postfix para aceptar correo para este dominio, desde todos los sistemas en la
red.
# vi /etc/postfix/main.cf
Cambie las lneas siguientes:
myhostname = sys1.example.com
mydomain = example.com
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain
8. Inicie postfix
# service postfix restart
9. Como root, enve un e-mail de prueba a tux1. Revise si el mensaje arrib al mailbox de
tux1, pero no lo recupere an.
# echo esta es una prueba | mail -s test 1 tux1@example.com
# cd /var/spool/mail
# cat tux1
Habilitar y probar POP3

10. Habilite el demonio dovecot para POP3.
# vi /etc/dovecot.conf
protocols = pop3
# service dovecot start
# chkconfig dovecot on
11. Revise si hay un demonio escuchando en el Puerto 110, el Puerto de POP3.
# netstat -antp | grep 110
Ud. debera observar un demonio (dovecot) escuchando en este puerto.
12. Use telnet para configurar una conexin a localhost, puerto 110. Use comandos del
protocolo POP para revisar si algn mail para tux1 est presente. No borre el mensaje!
# telnet localhost 110
user tux1
pass tux1
list
retr 1
quit
Habilitar y probar POP3S

13. Asegrese de que exista un certificado auto-firmado para dovectot en la ubicacin
correcta. (Este certificado fue generado cuando se instal dovecot.) Luego habilite el
demonio dovecot para POP3S.
# ls -l /usr/share/ssl/certs
Ud. debera tener un archive dovecot.pem.
# vi /etc/dovecot.cconf
protocols = pop3 pop3s
# service dovecot restart

14. Revise si hay un demonio escuchando en el puerto 995, el puerto POP3S.
# netstat -antp | grep 995
Ud. debera observar un demonio (dovecot) escuchando en este puerto.
15. Utilice openssl s_client para configurar una conexin a localhost en el puerto 995. Use
comandos del protocolo POP para revisar si algn mail par tux1 est presente. No borre el
mensaje!
# openssl s_client -connect localhost:995
user tux1
pass tux1
list
retr 1
quit
Configuracin del cliente

16. Configure su cliente favorito con la informacin necesaria y pruebe. Ud. puede utilizar los
usuarios tux1 y tux2 para esto. Si hace falta, cree ms usuarios.
- Haga login como tux1
- Inicie Evolition. (Puede hacerlo con el comando evolution)
Evolution ahora iniciar con el Evolution Setup Assistant. En la pantalla

de bienvenida, haga clic en Next.
En la pantalla de Identidad, ingrese Tux el Pingino (1) como nombre
completo, y tux1@example.com como direccin de e-mail. Clic en
Next.
En la pantalla de Recepcin de Correo, seleccione POP como tipo de
servidor. Ingrese sys1.example.com como host, y tux1 como nombre
de usuario. Configure Usar conexin segura (SSL) a Always. Clic en
Next.
En la Segunda pantalla de recepcin de correo, acepte todos los valores
por defecto. Clic en Next.
En la pantalla de Envo de correo, seleccione SMTP con el ripo de
servidor. Ingrese sys1.example.com como host. Clic en Next.
En la pantalla de Administracin de cuenta, accepte todos los valores
por defecto. Clic en Next.
En la pantalla de Timezone, seleccione su zona horaria. Clic en Next.
Haga clic en Finalizar.
Haga clic en el cono de Inbox. Luego clic en Send/Receive. Cuando
se le solicite, ingrese el password.
Clic en New Message y componga un mensaje a Ud. mismo. Envelo y
haga clic en Send/Receive nuevamente. Funciona?
-
Ahora haga login como tux2 y configure Evolution. Luego intente enviar
e-mail desde y hacia tux2 tambin.
Asimismo intente enviar correo a otros estudiantes en la clase.
Funciona?
Qu se debera hacer para que este ltimo paso funcione?
La cola de correo saliente

En esta parte, observaremos la cola de correo saliente.
Nota: Fedora/RedHat/CentOS usan una instancia separada del demonio sendmail, llamada
sm_client. Este cliente maneja todo el correo saliente que no arriv va SMTP, ejm. El correo
enviado con el comando mail. Como resultado, en Fedora/RedHat/CentOS, Ud. tiene dos
directorios de cola saliente: /var/spool/mqueue y /var/spool/clientmqueue. Dependiendo de cmo
se enve el correo, el mensaje puede estar en cualquiera de estos dos directorios.
17. Para tener algo que observar en la cola, Ud. necesitar enviar un mensaje a un host que
no exista. Por ejemplo, enve un mensaje a pedro@anyway.example.com.
18. Use el comando mailq para revisar la cola. Ud. debera observar su mensaje. Luego de
unos pocos minutos, su MTA se rendir al intentar enviarlo, y entonces el comando
indicar que el envo ha sido diferido (deferred).
# mailq
O
# mailq -Ac
19. Observe en el directorio de cola de correo, que normalmente es /var/spool/mqueue,
/var/spool/clientmqueue (Sendmail) o /var/spool/postfix/deferred.

archivos correspondientes al mensaje encolado?
# cd /var/spool/mqueue
O
# cd /var/spool/clientmqueue
# ls -alR
Observa
los
20. Deje el mensaje en la cola. Este eventualmente expirar, aunque probablemente no antes
de que la clase finalice.
Configuracin de Aliases
21. Agregue equipo como un alias para tux1 y tux2 al archivo /etc/aliases.
# vi /etc/aliases
Agregue la siguiente linea:
equipo:
tux1, tux2
22. Ejecute el comando newaliases para que los cambios de alias tomen efecto.
# newaliases
23. Enve un mensaje a equipo.
# mail equipo@example.com
24. Revise el correo para tux1 y tux2 para asegurar que su alias funciona.
FIN DEL EJERCICIO
Ejercicio 9: DHCP
En este ejercicio Ud. configurar sistemas Linux para implementar funciones
de cliente y servidor DHCP.

-
Configurar Linux para ejecutar la funcin de servidor DHCP.
Configurar Linux para ejecutar la funcin de cliente DHCP.
Configurar DNS Dinmico.
Introduccin
En este ejercicio, el sistema router ser configurado como servidor DHCP y
todos los otros sistemas se configurarn como clientes. El servidor DHCP
proveer a los clientes con varios parmetros por su configuracin IP.
Configuracin de servidor DHCP
1. Junto con su compaero de equipo, decida qu sistema ser el servidor DHCP y qu
sistemas sern clientes.
Esta prctica asume que su servidor DHCP es 10.1.1.1.
2. Configure el servidor DHCP. Este debera proveer del nombre dominio, los servidores
DNS, la mscara de subred, el router por defecto, y la direccin IP a los clientes. Para el
rango de direcciones IP que cada servidor DHCP debera distribuir, consulte a su
instructor.
Para este ejercicio, asuma que el PC del instructor es el router por defecto para la red.
Use el archivo de configuracin (/etc/dhcpd.conf) de las diapositivas como modelo.
# vi /etc/dhcpd.conf
Edite el archivo de manera que luzca como sigue, pero aplique sus propios rangos de
direccionamiento IP, que sern asignados por el instructor.
max-lease-time 3600;
default-lease-time 600;
ddns-update-style none;
ddns-updates off;
option domain-name "example.com";
option domain-name-servers 10.1.1.1;
subnet 10.1.1.0 netmask 255.255.255.0 {
option routers 10.1.1.100;
option subnet-mask 255.255.255.0;
range 10.1.1.20 10.1.1.30;
}
3. Espere a que el instructor lo indique, e inicie el servidor DHCP (dhcpd).
# service dhcpd start
FIN DEL EJERCICIO
Ejercicio 10: NFS (Network File System)

El propsito de este ejercicio es que se familiarice con los archivos que
permiten el funcionamiento de NFS, el comando mount para obtener acceso
a sistemas de archivos remotos y para listar montajes actualmente en efecto
en su sistema.

-
Identificar los archivos de configuracin de NFS
Configurar una estacin de trabajo como un cliente NFS y un servidor

NFS.
Efectuar montajes manuales y predefinidos NFS.
Mostrar la tabla de montaje.
Introduccin
Para el resto de los ejercicios, Ud. trabajar en equipos. Seleccione un
sistema en su red para que sea su compaero de equipo. Ud. debe
coordinar con su compaero ya que depender de cada uno la finalizacin
de cada configuracin en el ejercicio, pues deber realizar montajes remotos
a nivel de cliente/servidor.
Seleccione un equipo para que sea el servidor NFS y el otro el cliente NFS.
Nota: Este ejercicio asume que tux1 en el servidor y tux1 en el cliente tienen el mismo UID. Este
puede no ser el caso: Red Hat y Fedora inician creando cuentas de usuario con UID 500, mientras
SuSE inicia en 1000. Por lo tanto, tener cuidado en referencia a esto.
Configuracin de servidor NFS

2. Cree un directorio /export y cambie sus permisos de manera que todos los usuarios tengan
acceso completo a ste.
# mkdir /export
# chmod 777 /export
3. Cree el archivo /etc/exports y exporte el directorio /export de modo que su compaero
cliente tenga acceso a l y permisos de montarlo.
# vi /etc/exports
/export *(rw)
Guarde el archivo.
4. Verifique que su demonio portmap y los demonios NFS complementarios estn
ejecutndose.
# service portmap status
# service nfslock status
5. Inicie el resto de NFS en su sistema si no ha sido ya iniciado.
# service nfs start
6. Cree un archivo en el directorio /export llamado rootfile. Escriba unas pocas lneas,
asegurndose de que una de estas lneas contenga el nombre de su sistema. Cambie los
permisos de archivo de manera que solamente el usuario root tenga permisos de
lectura/escritura. Otros no deberan ser capaces de leer el archivo.
# cd /export
# vi rootfile
# chmod 600 rootfile
7. Haga logout, haga login como tux1 y cree un archivo en el directorio /export llamado
tux1file. Agregue algunas lneas asegurndose de que una de estas lneas contenga el
nombre de su sistema.
Cambie los permisos de archivo de tal manera que el dueo tenga permisos de
lectura/escritura y el grupo y otros tengan permisos nicamente de lectura.
# logout
Login: tux1
Password: tux1
$ cd /export
$ vi tux1file
$ chmod 644 tux1file
8. Haga logout y cmbiese al sistema de su compaero y obsrvelo configurar su sistema
como un cliente NFS.
$ logout
Configuracin de cliente NFS

9. Haga login como root. Cmbiese al directorio /mnt y cree un directorio punto de montaje
llamado nfs.
# cd /mnt
# mkdir nfs
10. Ejecute un montaje manual para montar el directorio /export del servidor de su compaero
a su directorio punto de montaje. Ejecute este comando desde la lnea de comandos.
# mount sysy:/export /mnt/nfs
11. Ejecute el comando mount para verificar si el montaje NFS fue exitoso.
# mount
12. Haga logout, haga login como tux1 y cmbiese a su directorio punto de montaje. Liste los
archivos que estn disponibles usando ls -l. Edite el archivo llamado tux1file agregando su
nombre al archivo. Guarde y salga del archivo.
# logout
Login: tux1
Password: tux1
$ cd /mnt/nfs
$ ls -l
$ vi tux1file
Agregue su nombre a este archivo.
13. Haga logout y haga login como tux2. Cmbiese el directorio punto de montaje /mnt/nfs.
Liste los contenidos del directorio. Registre los permisos de tux1file _____________. Edite
el archivo tux1file agregando el nombre tux2s al archivo. Guarde el archivo. Pudo
hacerlo?________.
Qu
mensaje
obtuvo?___________________________________________________.
Por
qu?_____________________________________.
# logout
Login: tux2
Password: tux2
# cd /mnt/nfs
# ls -l
# vi tux1file
Agregue el nombre tux2s e intente guardar el archivo.
14. Haga logout y haga login como root nuevamente. Cmbiese al directorio punto de montaje
/mnt/nfs. Cree un archivo llamado rootfile2. Luego liste los permisos en ese archivo. Con
qu UID fue creado el archivo?
15. Intente editar el archivo rootfile. Pudo hacerlo? Por qu no?
# vi rootfile
16. En el servidor, Haga login como root y active al usuario root para su acceso como cliente.
Una vez que el servidor ha completado este paso, regrese al cliente y contine con el paso
siguiente.
# vi /etc/exports
Cambie la lnea para /export como sigue:
/etx/export (rw,no_root_squash)
Guarde el archive.
# exportfs -r -a
17. En el cliente y como usuario root, desmonte y luego monte el directorio /mnt/nfs
nuevamente. Cmbiese al directorio punto de montaje /mnt/nfs. Liste el contenido del
directorio. Intente editar el archivo rootfile nuevamente. Pudo hacerlo?
# cd
# umount /mnt/nfs
# mount sysy:/export /mnt/nfs
# cd /mnt/nfs
# ls -l
# vi /rootfile
Ejecucin de Montaje Preconfigurado Funcin de cliente NFS

En la seccin previa Ud. invoc un montaje manual usando el punto de montaje local /mnt/nfs.
Ud. ahora configurar un montaje preconfigurado que se ejecutar automticamente cada vez que
el sistema reinicie. Esto se realizar agregando la lnea /mnt/nfs al archivo /etc/fstab. No hay
pasos en el servidor ya que el directorio /export del servidor fue previamente exportado.
18. Si Ud. no est listo, haga login como root. Asegrese de que todos los montajes remotos
sean desmontados.
# mount
Si cualquier montaje remoto est aun montado ejecute lo siguiente:
# umount -t nfs -a
19. Agregue una lnea al archivo /etc/fstab para soportar un montaje preconfigurado basado en
el montaje manual de la seccin previa. El montaje debera tomar lugar en el background.
# vi /etc/fstab
sysx:/export
/mnt/nfs
nfs
bg,hard,intr
0 0
Guarde el archivo.
20. Revise el montaje predefinido funcione correctamente.
# mount -t nfs -a
21. Asegrese de que el servicio que monta el filesystem NFS est activado cuando el sistema
arranca.
# chkconfig netfs on
22. Reinicie el sistema.
# shutdown -r now
23. Cuando el sistema ha reiniciado, haga login como root. Muestre la tabla de montaje para
asegurar que el montaje tom lugar. Cmbiese al directorio /mnt/nfs y muestre el archivo
tus1file montado desde el servidor de su compaero.
# mount
# cd /mnt/nfs
# cat tux1file
24. Desmonte el montaje preconfigurado. Revise la tabla de montaje para asegurarse de que
fue desmontada. Obtuvo un mensaje de error? _____________________
Si fue as, Por qu? ___________________________
Qu
necesita
hacer
para
desmontar
el
filesystem?
_______________________________________________________________________
Arregle el inconveniente, desmonte el filesystem, y revise para asegurarse de que fue
desmontado.
# umount /mnt/nfs
# cd
# umount /mnt/nfs
# mount
FIN DEL EJERCICIO
Ejercicio 11: Servicio de Proxy

Este ejercicio brinda la oportunidad para configurar el servicio de Proxy.

-
Instalar y configurar el servidor de Proxy Squid.
Introduccin
En este ejercicio Ud. configurar e instalar Squid como servidor de Proxy.
Esta aplicacin provee el servicio bsico para permitir compartir el acceso a
Internet de sus usuarios.
Configuracin de servidor Proxy Squid

1. Verifique si Squid se encuentra instalado. Si no est instalado, instlelo.
# which squid
Si squid no est disponible, entonces necesitar instalarlo. Copie el paquete de su medio
de instalacin y ejecute:
# rpm ihv squid-version.rpm
2. Configure el archivo de configuracin /etc/squid/squid.conf para su situacin local.
# vi /etc/squid/squid.conf
http_port 192.168.1.1:8080
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 6000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
pid_filename /var/run/squid.pid
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.1.0/255.255.255.0
http_access allow allowed_hosts
http_access deny all
icp_access deny all
miss_access allow all
cache_effective_user squid
cache_effective_group squid
snmp_port 0
Guarde el archivo.
3. Inicie squid
# service squid start
4. Verifique que Squid escuche nicamente en la interfaz interna.
# netstat -an | less
Busque la lnea que indique el puerto 8080. Inmediatamente antes de 8080 debera estar
la direccin IP de la interfaz interna. Esto significa que nicamente las conexiones
entrantes en la interfaz interna en el puerto 8080 sern escuchadas.
5. En la estacin de trabajo verificar que todo vaya bien, cargando algunas pginas del
servidor del instructor.
Ingrese la direccin IP del servidor del instructor en su navegador. Ud. debera observar la
pgina web. Para asegurarse, haga clic en Reload. (Reload fuerza al servidor de Proxy a
recuperar la pgina nuevamente y no obtenerla de cach)
Recupere algunas otras pginas del servidor del instructor.
6. En el Proxy, observe los archivos de log del servicio de Proxy para observar lo que fue
recuperado.
# cd /var/log/squid
# less access.log
7. Observe el contenido del directorio de cach. Tambin observe el contenido de varios de
los archivos en esta jerarqua.
# cd /var/spool/squid
# ls -lR
# find . -type f
# less (cualquier archive de la lista generada por find)
8. Detener Squid.
# service squid stop
FIN DEL EJERCICIO
Ejercicio 12: Configuracin y uso de NIS

El propsito de este ejercicio es configurar un servidor master NIS, un
servidor esclavo NIS, un cliente NIS y va a usar los mapas de informacin
de passwords y hosts.

Luego de completar este ejercicio, los estudiantes deberan ser capaz de:
-
Configurar un servidor NIS master
Configurar un servidor NIS esclavo
Configurar un cliente NIS
Editar el archivo /etc/passwd en el servidor NIS master y usarlo como

entrada para construir el mapa de informacin passwd
Hacer login desde cualquier sistema en su dominio NIS
Introduccin
En este ejercicio Ud. implementar una configuracin en donde el servidor
NIS master almacena todos los nombres de usuarios y passwords. Sin
embargo, los usuarios siempre trabajaran en su propia estacin de trabajo,
ya que es all donde se encuentran sus archivos. Esto significa bsicamente
que nosotros tenemos que agregar la informacin de usuario al servidor NIS,
pero los archivos de datos de los usuarios se mantienen en el sistema
cliente.
Normalmente hay slo un dominio NIS con un servidor NIS master
funcionando en una red. Sin embargo, esto significa que solamente un
equipo observar el proceso de configuracin de un servidor NIS master; por
lo tanto, Ud. tendr equipos de 3 sistemas con cada servidor NIS. Recuerde,
en cada equipo, un sistema ser el servidor NIS master, uno el servidor NIS
esclavo y el otro ser el cliente NIS. (Los servidores master y esclavo sern
tambin clientes).
Para que todos tengan contacto con el proceso de configuracin de
servidores NIS, los usuarios en los sistemas designados como clientes NIS
deberan asistir y observar a los usuarios en los servidores NIS master y
esclavo.
Ud. y sus compaeros de equipo deben decidir qu sistemas sern master,
esclavo y cliente NIS. Su instructor asignar el nombre de dominio NIS de
cada equipo.
Preparacin para NIS
Esta seccin debera cumplirse en todos los sistemas.
1. Haga una copia de backup de /etc/passwd, /etc/shadow y /etc/hosts.
# cp /etc/passwd /etc/passwd.bck
# cp /etc/shadow /etc/shadow.bck
2. Configure el nombre de dominio NIS para este instamte y para que el cambio se mantenga
luego del siguiente reinicio del sistema. Asegrese de que su configuracin PAM y del
archivo /etc/nsswitch.conf se actualicen para NIS tambin. Lo ms sencillo es hacerlo
usando la herramienta de configuracin que viene con su distribucin.
Nota: So Ud. usa la herramienta de configuracin que viene con su distribucin, necesita
configurar su sistema como si fuese un cliente, inicialmente. La herramienta de
configuracin entonces intentar automticamente agregar su sistema a un dominio NIS.
Pero debido a que el dominio NIS no est aun configurado, esto fallar luego de un tiempo.
No se preocupe por esto por ahora.
# domainname midominionis
# system-config-authentication
Configuracin de Servidor NIS Master

Ejecute los pasos siguientes, nicamente en el servidor NIS Master. El resto de estudiantes
deberan observar y asistir la configuracin del servidor Master.
3. Asegrese de que su compaero de equipo cliente NIS se encuentre junto a Ud. para
observar el proceso de configuracin. Haga login como root.
4. Como mnimo el archivo /etc/hosts debe contener una entrada para cada sistema en su
dominio NIS. Revise el archivo y edtelo apropiadamente de ser necesario.
# less /etc/hosts
# /vi /etc/hosts (de ser necesario)
5. Configure el servidor NIS master para que inicie los demonios correspondientes y cree los
mapas de informacin NIS por defecto del sistema.
# service ypserv start
# /usr/lib/yp/ypinit -m
En este punto se debe construir una lista de los hosts que corrern servidores NIS.
sysx.example.com est en la lista de hosts servidores NIS. Por favor contine agregando
los nombres para otros servidores esclavo, uno por lnea. Cuando haya terminado con la
lista, digite Control-D en una lnea vaca.
# service ypbind restart
# service yppasswdd start
# service ypxfrd start
6. Asegrese de que los demonios de servidor master apropiados estn ejecutndose. Liste
los contenidos de /var/yp/<su_dominio_NIS> para observar la lista de mapas de
informacin creados durante la configuracin.
# ps ax | grep yp
# ls -al /var/yp/<su_dominio_NIS>
7. Verificar que est ligado al servidor NIS.
# ypwhich
8. Liste los contenidos del mapa de informacin passwd y revise las entradas contra ellos en
el archivo de entrada /etc/passwd. Qu paso con los contenidos de /etc/shadow? Haga lo
mismo con tux1.
# ypcat -k passwd
# ypcat -k passwd.byname
# ypcat -k passwd.byuid
# cat /etc/passwd
9. Haga logout de tux1 y nuevamente haga login.
10. Observe si puede ejecutar el comando ypcat tambin. considera esto un riesgo de
seguridad?
# $ ypcat -k passwd
11. Ahora que se ha logueado exitosamente la primera vez, ejecute el comando yppasswd
para asignarse a si mismo un nuevo password que actualizar el mapa de informacin
passwd automticamente con su nuevo password.
$ yppasswd
Changing NIS password for tux1
Old NIS password: tux1
tux1s new password: lpic2008
Enter the new password again: lpic2008
12. Ejecute el commando ypcat nuevamente. Cambio su password?
$ ypcat -k passwd
13. Agregue un nuevo usuario a su sistema, tux3. Luego ejecute el comando make en el
directorio /var/yp para agregar esta cuenta de usuario a sus mapas NIS tambin.
# su - root
# ypcat passwd
# useradd -m tux3
# passwd tux3
# cd /var/yp
# make
# ypcat passwd
Configuracin del Cliente NIS

Haga lo siguiente en el cliente NIS solamente. El resto de estudiantes deberan observar y asistir.
14. Asegrese de que su compaero de equipo est presente para observar la configuracin
del sistema como cliente NIS. Haga login como root.
15. Edite el archivo /etc/passwd y /etc/shadow y borre las cuentas de tux1 y tux2.
# vi /etc/passwd
# vi /etc/shadow
16. Edite ela rchivo /etc/hosts para que contenga slo dos entradas: para su sistema y para el
local loopback
# vi /etc/hosts
17. Inicie el demonio de cliente NIS, ypbind.
# service ypbind start
18. Verifique que se ha ligado al servidor NIS master.
# ypwhich
19. En una Terminal virtual, haga login como tux2.
20. Ahora que Ud. ha hecho login exitosamente en la primera vez, ejecute yppasswd para
asignarse un nuevo password.
$ yppasswd
Changing NIS password for tux2
Old NIS password: tux2
tux2s new password: lpic2008
Enter the new password again: lpic2008
NIS password changed on sysx
21. Muestre el mapa de informacin passwd del servidor NIS master usando el comando
ypcat. Observe su cuenta. Tambin despliegue su archivo /etc/passwd.
$ ypcat -k passwd
$ cat /etc/passwd
Configuracin del Servidor NIS Esclavo

Ejecute los pasos siguientes en el servidor NIS esclavo solamente. El resto de estudiantes
observarn y asistirn.
23. Edite los archivos /etc/passwd y /etc/shadow y borre las cuentas tux1 y tux2.
# vi /etc/passwd
# vi /etc/shadow
24. Edite el archivo /etc/hosts de manera que contenga slo una entrada para su sistema y
para el local loopback.
# vi /etc/hosts
25. Inicie el demonio NIS cliente, ypbind.
# service ypbind start
26. Verifique que se ha ligado con el servidor NIS master.
# ypwhich
27. Inicie el servidor NIS y transfiera los mapas de informacin NIS por defecto desde el
servidor NIS master.
# /usr/lib/yp/ypinit -s servidor_NIS_master
28. Asegrese de que los demonios de servidor NIS esclavo estn ejecutndose. Liste el
contenido de /var/yp/su_dominio_NIS para mirar la lista de mapas de informacin creada
durante la configuracin.
# ps ax | grep yp
# ls -la /var/yp/su_nombredominio
29. Liste los contenidos del mapa de informacin passwd y revise las entradas contra las
existentes en el archivo fuinte /etc/passwd.
# ypcat -k passwd
# cat /etc/passwd
30. Trabajando con sus compaeros, baje el servidor NIS master.
En la mquina servidor NIS master ejecute:
# service ypserv stop
31. Trabajando con sus compaeros, ejecute el comando ypwhich en el cliente NIS para
desplegar el servidor al que est ligado. Si el servidor no ha conmutado al servidor
esclavo, espere unos segundos e intente el comando ypwhich nuevamente.
En el cliente:
# ypwhich
Espere unos segundos:
# ypwhich
32. Reinicie el servidor NIS master.
En el master NIS.
FIN DEL EJERCICIO
Ejercicio 13: El Ptocolo LDAP

Este ejercicio le permitir configurar autenticacin en UNIX basada en
LDAP.

-
Configurar un servidor LDAP
Migrar archivos de autenticacin existentes a LDAP
Configurar clientes para usar autenticacin LDAP
Configurar replicacin LDAP
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar LDAP. Uno de Uds. implementar un servidor LDAP master y el
otro un servidor LDAP esclavo.
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor LDAP master y quien
ser el servidor esclavo. Ambos implementarn la configuracin cliente.
2. Junto con su compaero de equipo, decida el Base DN que utilizar, si su instructor no le
ha dado uno ya. Debera ser algo como dc=example,dc=com.
Configuracin del servidor Master LDAP

Los siguientes pasos deben ejecutarse nicamente en el servidor LDAP master.
3. Configure su servidor OpenLDAP con el Base DN, Root DN y el password de Root DN.
Agregue lneas de autenticacin de manera que todos tengan acceso de lectura a todos
los atributos, excepto para el atributo UserPassword. Este ltimo atributo nicamente se
puede leer/escribir por el usuario que lo posee, pero el usuario annimo debe ser capaz de
autenticar contra l. Un usuario debera tambin ser capaz de actualizar sus propios
atributos gecos y LoginShell. Adems el Root DN debera tener acceso de escritura a
todos los atributos.
Asegrese de incluir los siguientes schema: core.schema, cosine.schema,
inetorgperson.schema, nis.schema y misc.schema. Otros schema pueden ser
comentados.
# vi /etc/openldap/slapd.conf
Revise que los schema listados estn incluidos. Borre o comente el resto.
include
include
include
include
include
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
Agregue las siguientes lneas de autenticacin:
access to attrs=userPassword
by self write
by anonymous auth
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * none
access to attrs=gecos
by self write
by * read
access to attrs=loginShell
by self write
by * read
access to *
by * read
Cambie los parmetros suffix, rootdn y rootpw de manera que se vean como sigue:
suffix "dc=example,dc=com"
rootdn "uid=root,ou=People,dc=example,dc=com"
rootpw secret
Guarde el archivo.
4. Cmbiese al directorio de herramientas de migracin y migre toda la informacin de
autenticacin a LDAP.
# cd /usr/share/openldap/migration
# vi migrate_common.ph
Cambie las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE de manera que
luzcan como sigue:
$DEFAULT_MAIL_DOMAIN = "example.com";
$DEFAULT_BASE = "dc=example,dc=com";
Guarde el archivo.
5. Haga una ejecucin de prueba de migrate_all_offline.sh.
La experiencia ha mostrado que este script funcionar luego de algunos cambios. Algunas
de las causas ms comunes de error son:
- Archivos origen que no existen, particularmente /etc/netgroup
- Caracteres ilegales en algunos archivos fuente, particularmente tp++
en /etc/protocols y whois++ en /etc/services
- Rangos de nmeros de puertos en lugar de nmeros de puerto nicos
en /etc/services
- Entradas duplicadas en archivos fuente, particularmente echo en
/etc/services y localhost en /etc/hosts
Si Ud. recibe errores al ejecutar el script migrate_all_offline.sh, intente corregir estos
problemas conocidos primeramente, comentando las entradas identificadas en los archivos
mencionados anteriormente. Si eso no basta, modifique el script migrate_all_offline.sh de
manera que el archivo /tmp/nis.ldif.version no sea borrado despus para poder darnos
cuenta que sali mal dentro de este archivo el error tpicamente incluye un nmero de
lnea de este archivo, que debera darle una pista.
Antes de cada nueva ejecucin del script migrate_all_offline.sh, asegrese de borrar todos
los archivos creados en /var/lib/ldap.
# ./migrate_all_offline.sh
Para arreglar algunos problemas:
# vi /etc/services
Comente el protocolo echo 4/ddp. (Este hace conflicto con echo 7/tcp y con echo 7/udp).
# touch /etc/netgroup
# vi /etc/protocols
Comente el protocolo tp++
# vi /etc/services
Comente el protocolo whois++, tanto para tcp como para udp.
# vi /etc/services
Borre cualquier lnea que describa un nmero de puerto mayor que 1024. La experiencia
ha mostrado que hay muchas entradas incompatibles aqu.
Esta es la forma ms fcil de borrar estas lneas, utilizando el comando vi: :2000,$d
# vi /etc/hosts
Comente la lnea ::1 localhost
Cuando haya terminado de arreglar estos inconvenientes, y quiera intentarlo de nuevo:

# rm -f /var/lib/ldap/*
# ./migrate_all_offline
6. Haga una lista larga de todos los archivos dentro de /var/lib/ldap. Cambie el dueo de
estos archivos, de ser necesario.
# ls -l /var/lib/ldap
# chown -R ldap.ldap /var/lib/ldap
7. Inicie el servicio LDAP, y asegrese de que iniciar junto con el sistema. Verifique que el
servicio inici exitosamente.
# service ldap start
# chkconfig ldap on
# tail /var/log/messages
Trabajo con GQ
Los siguientes pasos pueden ejecutarse ya sea en el servidor esclavo y master.
8. Revise si gq est instalado. Si no lo est, instlelo. En su CD de informacin y material del
mdulo podr encontrar el rpm de esta aplicacin.
# rpm -q gq
Si gq no est instalado:
# rpm -ihv --nodeps gq-version.rpm
9. Asegrese de iniciar la interfaz grfica. Luego inicie el cliente gq. Vaya a File, Preferentes.
En el tab de Servers, borre el servidor localhost y agregue una entrada para su servidor
LDAP master. No configure an Bind DN o Bind Password. Salga de gq y reincielo
nuevamente. Luego intente explorar su servidor master LDAP. Puede encontrar a tux1?
Puede ver el password de tux1?
10. En gq, intente cambiar el campo gecos de tux1. Funciona?
11. Vaya a File, Preferentes, nuevamente. En el tab Servers, seleccione su servidor y clic en
Edit. En el tab Details, configure Bind DN y Bind Password de manera que Ud. se ligue
al dominio como tux1. (Configure Bind DN=uid=tux1,ou=People,dc=example,dc=com y
Bind Password con el password de tux1). Salga de gq e incielo nuevamente. Puede
observar el password de tux1 y tux2? Ahora intente cambiar el campo gecos de tux1
nuevamente. Funciona ahora? Puede cambiar otros campos? Puede cambiar el
campo gecos de tux2?
12. Vaya a File; Preferentes, de nuevo. En el tab Servers, seleccione su servidor y haga clic en
Edit. En el tab Details, configure Bind DN y Bind Password para que correspondan con
rootdn y rootpw que configur en /etc/openldap/slapd.conf.
Ahora intente cambiar el campo gecos de tux1 y tux2 nuevamente. Funciona?
Para una referencia posterior, anote el password encriptado de tux1 y tux2.
Trabajo con clientes LDAP basados en lnea de comandos

13. Cambie el archivo /etc/openldap/ldap.conf de manera que los clientes locales sepan el
nombre o direccin IP del servidor LDAP, y el Base DN.
# vi /etc/openldap/ldap.conf
HOST sys1.example.com
BASE dc=example,dc=com
14. Use ldapsearch para buscar la entrada que describe a tux1. No se ligue al dominio como
ningn usuario en particular? Solamente obtenga la salida LDIF plana, ningn comentario.
Puede ver el password del usuario?
# ldapsearch -x -LLL "(uid=tux1)"
15. Use el mismo comando ldapsearch nuevamente, pero ahora lguese como tux1. Puede
ver el password ahora?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux1)"
16. Usando las mismas credenciales, busque la entrada que describe a tux2. Puede ver el
password de tux2?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux2)"
17. Ahora lguese al dominio como el Root DN, e intente ver las entradas para tux1 y tux2
nuevamente.
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux1)"
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux2)"
18. Use el comando ldapmodify para cambiar el campo gecos de tux1.
# ldapmodify -x -D "uid=tux1,ou=People,dc=example=com" -W << END
> dn: uid=tux1,ou=People,dc=example,dc=com
> changetype: modify
> replace: gecos
> gecos: Tux the Penguin (1)
> > END
Configuracin de Autenticacin UNIX utilizando LDAP

Los pasos siguientes pueden ser ejecutados en el servidor master y esclavo de manera
simultnea. Mientras ejecute estos pasos, asegrese de que siempre tenga una sesin de root
abierta, en caso de que algo vaya mal.
19. Use su herramienta de la distribucin para configurar la autenticacin va LDAP.
# system-config-authentication
O
# setup
20. En otra Terminal virtual, intente hacer login como tux1. Funciona? Una vez logueado,
ejecute el comando id para verificar la informacin de su cuenta.
Login: tux1
Password: tux1
$ id
21. Intente cambiar el password de tux1. Funciona?
$ passwd
22. En el servidor, inicie gq nuevamente. Revise si el password de tux1 cambi realmente.
Replicacin LDAP
En el servidor master LDAP ejecute los siguientes pasos:

23. Detenga el servicio LDAP.
# service ldap stop
24. Cambie el archivo de configuracin de manera que el demonio slapd cree
automticamente un log de replicacin, y agregue los detalles del servidor esclavo.
Descomente la lnea repologfile, directamente bajo la lnea argsfile, de modo que se vea
as:
replogfile /var/lib/ldap/master-slapd.replog
Agregue lo siguiente a la seccin de directorio al final del archivo (nota: todo debe estar en
una lnea)
replica host=sys2.example.com:389 bindmethod=simple
binddn="uid=root,ou=People,dc=example,dc=com" credentials=secret
25. Inicie el servicio LDAP. Verifique que los dos demonios slapd y slurpd han iniciado.
26. Use slapcat para crear un archivo exportado de la base de datos LDAP en formato LDIF.
# slapcat -l /tmp/ldap-export.ldif
En el servidor LDAP esclavo, ejecute los siguientes pasos:

27. Configure el demonio slapd de manera que sea capaz de servir el directorio LDAP, y que
sea capaz de recibir actualizaciones del servidor master.
Asegrese de incluir la misma autenticacin de informacin y schema como el servidor
master.
Revise que el schema listado est incluido:
include
include
include
include
include
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
Agregue las siguientes lneas de autenticacin:

access to attrs=userPassword
by self write
by anonymous auth
by * none
access to attrs=gecos
by self write
by * read
access to attrs=loginShell
by self write
by dn.base="uid=root,ou=People,dc=example,dc" write
by * read
access to *
by dn.base="uid=root,ou=People,dc=example,dc" write
by * read
28. Copie el archivo exportado LDAP desde el servidor master al esclavo, e imprtelo a la
base de datos LDAP local.
# scp sys1.example.com:/tmp/ldap-export.ldif /tmp
# rm -fr /var/lib/ldap/*
# slapadd -l /tmp/ldap-export.ldif
# chown -R ldap.ldap /var/lib/ldap
En el servidor master LDAP ejecute los siguientes pasos:
29. Inicie gq nuevamente y cambie el campo gecos de tux2.
# gq
30. Observe el archivo /var/lib/ldap/master-slapd.replog y observe los contenidos del directorio
/var/lib/ldap/replica.
# cat /var/lib/ldap/master-slapd.replog
Este archivo debera estar vaco: El demonio slapd almacena sus modificaciones aqu,
pero slurpd las borra inmediatamente. Las modificaciones son ordenadas por sistema y
almacenadas en el directorio propio de slurp, /var/lib/ldap/replica.
# ls -l /var/lib/ldap/replica
En el servidor LDAP esclavo ejecute los siguientes pasos:
31. Inicie el servidor LDAP. Verifique que nicamente el demonio slapd fue iniciado.
32. Use gq para explorar el servidor LDAP esclavo. Asegrese de que Ud. no se ligue al
dominio como Root DN al servidor esclavo. Se replic el cambio? Haga otro cambio al
campo gecos de tux1 en el servidor master, luego de un vistazo al servidor esclavo
nuevamente. Qu sucedi? se replic ahora el cambio?
FIN DEL EJERCICIO
Ejercicio 14: El protocolo NTP

Este ejercicio le permitir instalar un servidor de tiempo basado en NTP, as
como un cliente para el mismo.

-
Implementar servidores de tiempo y clientes de tiempo
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar NTP. Uno de Uds. implementar un servidor NTP master que
es esclavo del reloj local y el otro implementar un cliente de tiempo que es
esclavo del anterior sistema.
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor de tiempo NTP y quien el
cliente de tiempo.
2. Tanto en el servidor como en el cliente de tiempo, haga login como root e inicie el
ambiente grfico, de ser necesario. Abra tres ventanas terminales,. En una de ellas, inicie
un tail -f /var/log/messages, y en la segunda ventana, match ntpq -c hostnames no
-c rl c peers. Esto muestra un reloj simple y algo de informacin de debugging. La tercera
ventana se usar para ingresar comandos.
Nota: Si est logueado usando una GUI, Ud. puede tambin utilizar el reloj presentado por
esa interfaz, mientras se asegura de que este reloj le muestre el contador de segundos.
3. Verificar que el paquete ntp est instalado. Note que en distribuciones anteriores el
demonio NTP se llamaba xntpd y ahora ntpd. Consecuentemente, el script de inicio
puede llamarse ntpd o xntpd.
# rpm -qa | grep ntp

En el servidor solamente
4. Edite el archivo de configuracin ntp de manera que el demonio ntpd se esclavice al reloj
local. El driftfile debera ser /etc/ntp/drift. No se usar autenticacin. Deshabilite todas las
otras opciones.
# vi /etc/ntp.conf
Edite el archivo de manera que luzca as:
server 127.127.1.0
driftfile /etc/ntp/drift
authenticate no
Borre o comente todas las otras lneas en el archivo, particularmente las lneas restrict.
5. Verifique que el tiempo en su sistema sea ms o menos correcto en comparacin con un
reloj de pared o uno de pulsera. De ser necesario, configure el tiempo usando el comando
date.
De ser necesario
# date MMDDhhmmCCYY.ss
6. Inicie el servidor de tiempo.
# service ntp start
7. Observe la salida de los comandos ntpq. Espere hasta que el stratum de su sistema no
sea ms 16. Esto podra tomar varios minutos.
En el cliente de tiempo solamente

8. Edite el archivo de configuracin ntp de manera que el demonio ntpd sea esclavo del
servidor de tiempo. El driftfile debera ser /etc/ntp/drift. No se usar autenticacin.
Deshabilite el resto de opciones.
# vi /etc/ntp.conf
Edite el archivo de manera que se vea as:
server <ip address del ntp server>

driftfile /etc/ntp/drift
authenticate no
9. Usando el comando date configure el tiempo de manera que este sistema este un minuto o
mas atrasado o adelantado.
# date MMDDhhmmCCYY.ss
10. Inicie el servidor de tiempo.
# service ntpd start
11. Observe el archivo de log y observe el reloj improvisado. Ud. observar que el tiempo
automticamente se ajusta al servidor de tiempo. (esto podra tomar cinco minutos o ms)
FIN DEL EJERCICIO
Ejercicio 15: Seguridades de Red y Firewall

Nota: Esta unidad no tiene ejercicios. Esta pgina simplemente asegura que la numeracin de los
ejercicios se mantenga sincronizada.
Ejercicio 16: Instalando y Asegurando Linux

En este ejercicio Ud. instalar Linux en su mquina firewall y la asegurar.
Mientras asegura su firewall, tambin instalar su Workstation y configurar
la conexin local (mediante cable cruzado) entre su firewall y Workstation.
Qu debera ser capaz de hacer

- Instalar Linux
- Asegurar un sistema Linux instalado
Introduccin
En este ejercicio Ud. instalar Linux en la mquina que ser su firewall, as
como la Workstation. Adems configurar la conexin local entre los dos a
travs de un cable cruzado.
Materiales Requeridos
CDs de instalacin de CentOS 5.2 o superior.
Instrucciones del ejercicio

Instalacin del firewall
Nota: Debido a que probablemente ya tendr instalado en su mquina el sistema operativo y los
inconvenientes que causa en laboratorio realizar una nueva instalacin sobre el disco fsico, este
proceso de instalacin se recomienda hacerlo en una mquina virtual. Las unidades posteriores se
trabajarn sobre las mquinas fsicas con la instalacin que disponga en el laboratorio.
1. Instale el firewall con la distribucin recomendada. Haga una instalacin minimalista,
tomando en cuenta lo siguiente:
Cree particiones separadas para /, /boot, /var, /usr, /usr/local, /home y /tmp.
Los siguientes tamaos de particiones son los mnimos recomendados:
/
/boot
/var
/usr
/usr/local
/home
/tmp
swap
250 MB
100 MB
250 MB
4000 MB
250 MB
250 MB
250 MB
512 MB
Configure una direccin IP esttica en su adaptador de red. Su instructor le indicar

la direccin IP a utilizar.
No configure ninguna regla de firewall, deshabilite el firewall, as como el
mecanismo SE Linux.
Instale los siguientes paquetes o grupos de paquetes: Web Server, Mail Server,
DNS Server, Software Base, System Tools y Development Tools. No instale X, KDE
o Gnome.
Instalacin de la Workstation
2. Esta Worksation necesita ser una estacin estndar Gnome o KDE. Asegrese de instalar
las Development Tools. No configure las interfaces de red y deshabilite el firewall y SE
Linux durante el proceso de instalacin.
Cree tambin dos cuentas de usuario: tux1 y tux2, con contraseas iguales a los nombres
de usuario.
Reforzando el Firewall
3. Regrese al firewall y haga login como root.
4. Revise si existen actualizaciones importantes para su distribucin, descrguelas de
Internet e instlelas.
Nota: Dependiendo de la cantidad de actualizaciones para su distribucin, y de la
velocidad de la conexin a Internet, este paso puede tomar varias horas. Puede desear
diferir este paso para realizarlo durante la noche.
# yum update
5. Configure una contrasea para el boot loader GRUB que los usuarios tengan que ingresar,
antes de ser capaces de arrancar el sistema con opciones especficas. (No use el
password de root aqu use otro diferente, pero no lo olvide).
# grub
grub> md5crypt
Password: <escriba el password de GRUB>
Encrypted: $1$6mtCx/$x/hrZyOo/JAOZspSoftTZA/
grub> quit
# vi /boot/grub/grub.conf
Agregue la lnea correspondiente al password encriptado que obtuvo en el paso anterior,
luego de la lnea de timeout.
password $1$6mtCx/$x/hrZyOo/JAOZspSoftTZA/
Guarde el archivo
6. Configure el lmite de timeout en 1 hora para todos los usuarios y todas las sesiones.
# vi /etc/profile
export TMOUT=3600
7. Liste todos los puertos abiertos para observar los servicios de red que estn habilitados:
# netstat -anut | less
8. Haga una lista de todos los servicios que estn iniciados:
# chkconfig --list | grep on | sort
9. Deshabilite todos los servicios innecesarios:
# chkconfig acpid off
Deshabilite todos los servicios no deseados. Deje nicamente los siguientes servicios
ejecutndose.
- anacron
- atd
- cron
- cpuspeed
- gpm
- irqbalance
- microcode_ctl
- network
- random
readahead
- readahead_early
- sendmail
- smartd
- syslog
10. Edite el archivo /etc/fstab y agregue opciones de filesystem para hacer el acceso un poco
ms seguro.
# vi /etc/fstab
El archivo debera lucir ms o menos as.
LABEL=/
LABEL=/boot
LABEL=/home
LABEL=/tmp
LABEL=/usr
LABEL=/usr/local
LABEL=/var
/
/boot
/home
/tmp
/usr
/usr/local
/var
ext3
ext3
ext3
ext3
ext3
ext3
ext3
defaults
defaults,noexec,nosuid,nodev
defaults,nosuid,nodev
defaults,nosuid,nodev
defaults,ro,nodev
defaults,ro,nodev
defaults,noexec,nosuid,nodev
11
12
12
12
12
12
12
11. Deshabilite Ctrl-Alt-Del

# vi /etc/inittab
Comente la lnea correspondiente y guarde el archivo.
12. Cambie los archivos /etc/issue de modo que no revele informacin de su sistema operativo,
pero que contenga directivas de uso del mismo.
# vi /etc/issue
Borre las lneas en el archivo y reemplcelo por algo como esto:
Este sistema es para usuarios autorizados solamente. Si Ud. no lo
es, desconctese ahora mismo.
Guarde el archivo.
# cp /etc/issue /etc/issue.net
13. Cambie el archivo /etc/motd de manera que muestre los trminos de uso de su sistema.
# vi /etc/motd
Cambie el archivo para que se vea ms o menos como sigue:
*****************************************ADVERTENCIA******************************************
Este sistema de computacin es para usuario autorizados solamente, si Ud no es un
usuario autorizado, puede enfrentar acciones administrativas o civiles.
El uso de este sistema es monitoreado por razones de seguridad. Todas sus acciones son
registradas y pueden usarse en su contra. En este sistema, su privacidad no se garantiza.
******************************************************************************************************
14. Reinicie su sistema.
15. Cuando aparezca el prompt de arranque, asegrese de que se le pida un password
cuando intente especificar parmetros de arranque. Luego arranque de forma regular.
Verifique que el texto Press enter to boot the selected OS or p to enter a password to
unlock the next set of features aparezca.
Arranque Linux de manera regular.
16. Verifique que Ctrl-Alt-Del ya no funcione.
17. Haga login como root en una VT y verifique que /etc/motd se muestre luego de hacer login.
18. Verifique que todos los servicios de red estn detenidos, excepto SSH.
# netstat -anut | less
19. Verifique que todos los filesystems estn montados con las opciones correctas.
# mount
Nota: Estos pasos se ejecutaron en la mquina virtual. Para efecto prctico, decida en la red del
laboratorio cual ser el host firewall y cul ser la Workstation en los equipos de trabajo y ejecute
en el sistema operativo preinstalado los pasos anteriores que sean posibles y apague la mquina
virtual.
Configuracin del enlace entre el firewall y la workstation
Nota: Estos pasos deben ejecutarse en las mquinas fsicas.
20. Tanto en firewall como Workstation, compruebe que el cable cruzado que emula la
conexin local de su grupo est adecuadamente configurada con los parmetros que
indica el instructor.
21. Una vez que funcione adecuadamente el enlace, configure el archivo /etc/hosts en el
firewall y la Workstation de manera que todas las interfaces visibles de cada mquina
estn incluidas.
Asegrese de que su hostname corresponda al nombre incluido en el archivo /etc/hosts.
En el firewall:
# hostname -f
La salida debera ser fw.teamnn.ec Si no es el caso haga lo siguiente:
# hostname fw.teamnn.ec
Cambie aqu el nombre de host a fw.teamnn.ec.
# vi /etc/hosts
El archivo debera lucir as ms o menos (dependiendo de su propia configuracin):
127.0.0.1
10.0.0.1
192.168.1.1
192.168.1.2
loc alhost.localdomain
fw.team1.ec
fw-in.team1.ec
ws.team1.ec
localhost
fw
fw-in
ws
En la workstation:
# hostname -f
La salida debera ser ws.teamnn.ec Si no es el caso haga lo siguiente:
# hostname ws.teamnn.ec
Cambie aqu el nombre de host a ws.teamnn.ec.
# vi /etc/hosts
El archivo debera lucir as ms o menos (dependiendo de su propia configuracin):
127.0.0.1
192.168.1.1
192.168.1.2
fw-in.team1.ec
ws.team1.ec
localhost
fw-in
ws
22. En el firewall, verifique que el archivo /etc/resolv.conf liste el servidor del instructor como su
servidor de nombres. En la Workstation, verifique que el archivo /etc/resolv.conf est vaco.
En el firewall:
El archivo debera contener algo as:
search team1.ec
nameserver 10.0.0.100
En la Workstation:
El archivo debera estar vaco.
FIN DEL LABORATORIO
Ejercicio 17: Suite de Protocolos TCP/IP

Este ejercicio le permitir usar tcpdump para observar el contenido de
paquetes TCP/IP.

- Usar tcpdump para observar trfico TCP/IP
- Interpretar varios paquetes TCP/IP
- Configurar opciones de kernel para TCP/IP
Introduccin
En este ejercicio de laboratorio Ud. enviar y recibir varios paquetes
TCP/IP y podr observar el registro de los mismos mediante tcpdump.
Luego diseccionar estos paquetes para observar su contenido. Esto le dar
una introspectiva del protocolo TCP/IP y le preparar para reconocer varias
trazas de tcpdump. Luego proceder a alterar algunas opciones del kernel
para TCP/IP.

Instalacin de tcpdump
1. Verifique que tcpdump est disponible en su firewall, si no lo est, instlelo.
# which tcpdump
Si tcpdump no estuviese disponible, use sus medios de instalacin para buscar el paquete
correspondiente e instalarlo.
Uso de tcpdump
En este ejercicio registrar varias conexione mediante tcpdump y escribir la salida de tcpdump en
un archivo de texto. Luego de eso decodificar la salida y entender los contenidos de varios
paquetes TCP/IP.
2. En el firewall inicie tcpdump de manera que el contenido de los paquetes sea registrado.
Solamente registre la interfaz correspondiente a su conexin local con la Workstation.
Utilice la opcin buffered, no traduzca direcciones a nombres. Use tee para volcar la salida
a un archivo llamado tcpdump.ping.
# tcpdump ii eth0 -l -n -x | tee tcpdump.ping
3. En la workstation haga ping al firewall. Asegrese de enviar solamente un paquete echo
request. Use el contenido hexadecimal deadbeef como contenido del paquete.
# ping -c 1 -p deadbeef 192.168.1.1
4. En el firewall aborte el tcpdump. Observe los contenidos de tcpdump.ping.
5. Tome una pieza de papel y escriba los paquete echo request y echo reply ICMP.
Asegrese de especificar nicamente, 8 dgitos hexadecimales en cada lnea. Convierta
estos cdigos a binario e intente interpretar su significado. Utilice el ejemplo que sigue
como gua.
Utilice esta tabla para transformar de hexadecimal a binario.
6. En el firewall, verifique que los demonios xinetd y telnet estn presentes y habilitados. Si
no, habiltelos o instlelos.
7. Inicie tcpdump nuevamente como en el caso anterior, esta vez volcando la salida del
comando al archivo tcpdumo.telnet.
# tcpdump -i eth0 -l -n -x | tee tcpdump.ping
8. Desde la workstation, intente hacer telnet al firewall como root. No ser permitida la
conexin pues a root no se le permite hacer login remotamente, pero le dar una idea
general.
# telnet fw
Al intentar hacer login obtendremos un error.
9. En el firewall termine el comando tcpdump. Observe los contenidos del archivo
tcpdump.telnet. Trate de interpretar los primeros tres paquetes como anteriormente (estos
paquetes contienen la secuencia TCP de startup). Note que telnet, luego de que la
conexin TCP ha sido establecida pero antes de enviar cualquier dato de usuario que
pueda leerse, intenta negociar el tipo de terminal y algunas otras cosas.
10. Intente descubrir el password que fue provisto. (En la cabecera TCP de cada paquete, el
nmero entre corchetes es la cantidad de informacin en el paquete. El password est
dividido en mltiples paquetes: un paquete para cada carcter. De modo que busque
paquetes desde la Workstation al firewall que contengan solamente 1 byte de datos. Los
ltimos bytes en estos paquetes para el password.)
11. Mantenga el servicio telnet ejecutndose.
Configuracin de opciones de red de kernel
12. Edite el archivo /etc/sysctl.conf. Este debea contener todas las opciones de kernel
mencionadas en las diapositivas. Verifique que todo funcione, ejecutando el comando
sysctl con las opciones apropiadas para cargar el archivo /etc/sysctl.conf.
Asegrese de que las siguientes lneas se encuentren en el archivo. Algunas ya estarn
presentes.
Guarde el archivo.
# sysctl -p /etc/sysctl.conf
Si obtiene errores, corrjalos.
# cat /proc/sys/net/ipv4/tcp_syncookies
La salida debera ser 1, pues eso es lo que se configur.
13. Reinicie su sistema para verificar que todas las opciones fueron configuradas
correctamente.
14. Verifique que las opciones de kernel especficas de dispositivo han sido configuradas
tambin.
# cat /proc/sys/net/ipv4/conf/eth0/rp_filter
La salida, como se la configur, debera ser 1.
FIN DEL LABORATORIO
Ejercicio 18: Filtrado de Paquetes y NAT

En este ejercicio Ud. configurar filtrado de paquetes y NAT mediante el uso
de iptables, la herramienta de interfaz de usuario para reglas de filtrado a
nivel de kernel.

- Entender filtrado IP
- Utilizar iptables para listar y especificar reglas de filtrado
- Entender NAT
- Usar iptables para implementar NAT
- Guardar y restaurar reglas de iptables
- Ejecutar una denegacin de pnico de todos los paquetes de las
cadenas entrante, saliente y de reenvo.

Nota: Todos estos laboratorios asumen que Ud est en el equipo team1 y que:
Su interfaz externa es eth1 y tiene una direccin IP 10.0.0.1
Su interfaz interna es erh0 y tiene una direccin IP 192.168.1.1
Configuracin de reglas de iptables
1. En el firewall liste el set actual de reglas de iptables.
# iptables -L -n
2. Borre todas las cadenas de usuario definidas, haga flush de las reglas aplicadas
actualmente, configure la poltica por defecto para las cadenas de INPUT, OUTPUT y
FORWARD en DROP.
# iptables -X
# iptables -F
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
3. Intente hacer ping desde la Workstation al firewall. Intente tambin hacer telnet.
Funciona? Intente tambin hacer ping desde el firewall a la Workstation y a la direccin
de loopback.
4. En el firewall, agregue las reglas para permitir trfico sobre la interfaz de loopback.
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
5. Intente hacer ping a la interfaz de loopback nuevamente. Funciona ahora? Intente hacer
tambin telnet a la interfaz de loopback.
6. Agregue las reglas para permitir trfico ilimitado sobre la interfaz interna.
# iptables -A INPUT -i eth0 -j ACCEPT
# iptables -A OUTPUT -o eth0 -j ACCEPT
7. Desde la workstation intente nuevamente hacer ping y telnet al firewall.
8. Proteja su interfaz externa de recibir/enviar paquetes que no estn destinados/se originan
en la direccin IP de la interfaz externa.
# iptables -A INPUT -i eth1 -s 0.0.0.0/0 -d ! 10.0.0.1 -j DROP
# iptables -A OUTPUT -o eth1 -s ! 10.0.0.1 -d 0.0.0.0/0 -j DROP
9. Proteja su interfaz externa de recibir/enviar paquetes desde/hacia direcciones IP que son
explcitamente falsificadas. Esto debera incluir:
a. Direcciones reservadas de clase A, B, C
b. El rango de direcciones de loopback
c. Direcciones de broadcast malformadas
Nota: Dependiendo de la situacin local de la clase, una de estas direcciones reservadas
pueden ser usadas para la LAN local que simula el Internet. No incluya ese rango en las
reglas posteriores de iptables.
10.0.0.0/8
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
# iptables -A OUTPUT -o eth1 -d 10.0.0.0/8 -j DROP
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8
0.0.0.0 y 255.255.255.255
10. Configure las reglas de iptables para permitir pings entrantes y salientes y otros paquetes
ICMP hacia y desde su direccin IP.
Ping ICMP entrante
# iptables -A INPUT -i eth1 -p icmp -s 0.0.0.0/0 -d 10.0.0.1 --icmp-type 8 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p icmp -s 10.0.0.1 -d 0.0.0.0/0 --icmp-type 0 -j ACCEPT
Ping ICMP saliente

# iptables -A OUTPUT -o eth1 p icmp -s 10.0.0.1 -d 0.0.0.0/0 --icmp-type 8 -j ACCEPT
Destination Unreachable
Source Quench (ICMP tipo 4)

Time Exceeded (ICMP tipo 11)

Parameter Problem (ICMP tipo 12)

11. Configure las reglas de iptables para permitir conexiones tcp y udp salientes en la interfaz
externa.
TCP saliente
# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 1024: -d any/0 --dport :1023 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp -s any/0 --sport :1023 -d 10.0.0.1 --dport 1024: -j ACCEPT
UDP saliente
# iptables -A OUTPUT -o eth1 -p udp -s 10.0.0.1 --sport 1024: -d any/0 --dport :1023 -j ACCEPT
# iptables -A INPUT -i eth1 -p udp -s any/0 --sport :1023 -d 10.0.0.1 --dport 1024: -j ACCEPT
12. Configure las reglas iptables para rechazar (REJECT) las peticiones entrantes IDENTD en
lugar de descartarlas (DROP).
# iptables -A INPUT -i eth1 -p tcp -s 0.0.0.0/0 -d 10.0.0.1 -dport 113 -j REJECT
Verificacin de reglas
13. Desde la estacin de trabajo, verifique que se pueda:
a. Hacer ping al firewall
b. Hacer telnet al firewall
14. Desde el firewall verifique que pueda:
a. Hacer ping a la Workstation
b. Hacer ping a la mquina del instructor
c. Hacer telnet a la mquina del instructor
15. Desde la mquina del instructir verificar que pueda:
a. Hacer ping al firewall
Verificar que no pueda:
b. Hacer telnet al firewall
c. Hacer ping a la Workstation
d. Hacer telnet a la Workstation
Network Address Translation
16. Configure NAT de manera que todas las conexiones tcp, udp e icmp de la mquina cliente
a un servidor en Internet sea enmascaradas. Luego, active IP forwarding y asegrese de
que est encendido luego de cada reinicio.
Reglas de enmascaramiento para TCP/UDP/ICMP:
# iptables -t nat -A POSTROUTING -o eth1 -p tcp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o eth1 -p udp -s 192.168.1.0/24 --sport 1024: -d !
# iptables -t nat -A POSTROUTING -o eth1 -p icmp -s 192.168.1.0/24 --sport 1024: -d !
Reglas FORWARD para TCP/UDP/ICMP eth0 <-> eth1
# iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j ACCEPT
# iptables A FORWARD -i eth1 o eth0 p tcp s ! 192.168.1.0/24 --sport :1023 -d
192.168.1.0/24 --dport 1024: -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -p udp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j ACCEPT
# iptables A FORWARD -i eth1 o eth0 p udp s ! 192.168.1.0/24 --sport :1023 -d

192.168.1.0/24 --dport 1024: -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -p icmp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j ACCEPT
# iptables A FORWARD -i eth1 o eth0 p icmp s ! 192.168.1.0/24 --sport :1023 -d
192.168.1.0/24 --dport 1024: -j ACCEPT
Activar IP forwarding:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Cambiar la lnea referente a ip_forward.
net.ipv4.ip_forward = 1
17. Desde la Workstation verifique que pueda:
a. Hacer ping a la mquina del instructor
b. Hacer telnet a la mquina del instructor
c. Usar su explorador web para recuperar una pgina web de la mquina del instructor
18. Desde la mquina del instructor, verifique que pueda:
a. Hacer ping a la Workstation
b. Hacer telnet a la Workstation
Listando y guardando las reglas de firewall
19. Liste todas las reglas de firewall
# iptables -L -n -v --line-numbers
20. Utilizando el script de System V de iptables, guarde las reglas de iptables.
# service iptables sabe
21. Asegure que sus reglas de iptables se activen cada vez que arranque el sistema. Luego
reinicie la mquina y compruebe que todas las reglas funcionen conrrectamente.
# chkconfig iptables on
# reboot
# iptables -L -n -v --line-numbers
Panic iptables
22. Ejecute una denegacin de pnico de todos los paquetes. Verifique que de hecho todas las
conexiones son imposibles desde, hacia y a travs del firewall.
# service iptables panic
Nota: No haga esto si est conectado al firewall a travs de una conexin de red. Pues su
conexin tambin se cortar.
23. Restaure todas las reglas de iptables.

# service iptables restart
FIN DEL LABORATORIO
Ejercicio 19: SSH y Secure Copy

En este ejercicio Ud. utilizar algunos trucos avanzados de OpenSSH.

- Configurar autenticacin RSA/DSA
- Configurar y usar el demonio cliente ssh-agent
- Usar SSH tunneling
Introduccin
En este ejercicio Ud. configurar OpenSSH de modo que sea capaz de

hacer login en su firewall de manera segura. Verificar que la sesin actual
est cifrada. Luego podr usar algunos trucos avanzadas de SSH.

Configuracin de sshd
1. En el firewall, configure el demonio sshd de manera que X11 Forwarding est apagado
y que el archivo /etc/issue se muestre.
# vi /etc/ssh/ssh_config
Modifique la lnea ForwardX11 de manera que luzca as:
ForwardX11 no
2. En el firewall, reinicie el demonio sshd y asegrese de que reinicia cada vez que inicia
su mquina.
# service sshd restart
# chkconfig sshd on
Uso de ssh y scp
3. En la workstation, haga login como tux1 con el password correspondiente.
4. Desde la Workstation, intente hacer login al firewall como root, usando SSH.
$ ssh root@192.168.1.1
Ud. debera observar una advertencia acerca de que la autenticacin no puede ser
establecida. Esto es normal la primera vez que se conecta a un servidor SSH, ya que
la Workstation no tiene todava el certificado del firewall. De manera que ignore esto
(responda con yes) y contine con la conexin.
Ud. debera recibir un prompt de Shell.
5. Haga logoff, luego haga login una segunda vez. La advertencia que observ la primera
vez ya no aparece ahora ya que su host es ahora capaz de verificar la autenticacin
del servidor. Haga log off nuevamente.
# logout
$ ssh root@192.168.1.1
# logout
6. En la Workstation, cree un archivo llamado testfile. Ponga algunas lneas de texto en
l, de manera que se de cuenta de que es su archivo. Guarde el archivo y cpielo en el
firewall con scp, renombrndolo a /tmp/myfile en el proceso.
$ vi ~/testfile
Ponga algunas lneas de texto aqu. Guarde el archivo.
$ scp ~/testfile root@192.168.1.1:/tmp/myfile
7. Verifique que el archivo lleg.
$ ssh root@192.168.1.1 cat /tmp/myfile
Configuracin de reglas de iptables para SSH

8. En el firewall solamente, configure iptables para permitir conexiones SSh desde el
Internet.
Guarde estas reglas de iptables.
# iptables -A INPUT -i eth1-p tcp -s any/0 --sport 1024: -d 10.0.0.1 --dport 22 -j
ACCEPT
# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 22 -d any/0 --dport 1024: -j
ACCEPT
9. Compruebe desde la mquina del instructor o desde otro firewall que puede hacer login
en su firewall utilizando SSH.
# ssh 10.0.0.1
Uso de autenticacin de usuario DSA
10. En la Workstation haga login en la VT 1 como tux1.
11. Genere un par de llaves DSA. Proteja su llave privada con un password.
$ ssh-keygen -t dsa
Espere mientras la llave se genera. Guarde la llave en /home/tux1/.ssh/id_dsa. Ingrese
un buen password (uno que no haya usado antes, al menos 8 caracteres y que tenga
maysculas y algunos dgitos)
12. Observe los permisos en los archivos que se han creado. Observe los contenidos de
ambos archivos.
$ cd .ssh
$ ls -la
# vi id_dsa
# vi id_dsa.pub
13. Copie el archivo id_dsa.pub a la cuenta root en el firewall. Dele un nombre temporal.
Luego haga login en el firewall y agregue los contenidos de ese archivo al archivo
authorized_keys2. Asegrese de que este archivo tenga los permisos correctos.
$ scp id_dsa.pub root@192.168.1.1:id_dsa.one
Acepte la host key de ser necesario. Digite el password de root cuando se le solicite.
$ ssh root@192.168.1.1
Digite el password de root cuando se le solicite.
# ls
Ud. debera observar el archivo id_dsa.one.
# mkdir .ssh
# chmod 600 .ssh
# cat id_dsa.one >> .ssh/authorized_keys2
# chmod 600 .ssh/authorized_keys2
14. Haga logoff e intente hacer nuevamente logon en el firewall. Qu sucede?

# logout
$ ssh l root 192.168.1.1
Ud no debera tener que ingresar su contrasea de root en el servidor, pero si se le
preguntar el password que desbloquea su llave privada.
15. Haga logoff nuevamente.
# logout
Trabajo con ssh-agent y ssh-add

16. Observe el PID de su shell actual. Inicie ssh-agent y permita a ssh-agent iniciar un
Shell. Luego observe el PID de su Shell actual. Ejecute tambin el comando pstree
para determinar los procesos iniciados como hijos del proceso ssh-agent.
$ echo $$
$ ssh-agent bash
$ echo $$
$ pstree
17. Suba su llave privada a ssh-agent.
$ ssh-add
Cuando se le solicite, digite su contrasea
18. Intente hacer login en el firewall. Necesita nuevamente proveer el password? Haga
logout.
$ ssh root@192.168.1.1
# logout
19. Haga login en la VT 7 como tux1.
20. Verifique que sus scripts de logon X iniciaron el ssh-agent por Ud.
# ps aux | grep ssh-agent
21. Suba su llave privada de nuevo al ssh-agent.
$ ssh-add
Cuando se le solicite, digite su password.
22. Intente hacer login al firewall. Necesit proveer de un password? Haga logout
nuevamente.
$ ssh root@192.168.1.1
# logout
23. Abra otra ventana terminal, y verifique que esta ventana es tambin un proceso hijo de
ssh-agent. Desde esta ventana intente hacer login al firewall tambin. Necesit
proveer un password ac?
En otra ventana terminal.

$ pstree
$ ssh root@192.168.1.1
Monitoreando una conexion SSH con tcpdump
24. En el firewall, inicie una sesin tcpdump, volcando los contenidos a un archivo llamado
tcpdump.ssh.
# tcpdump i eth0 l n x | tee tcpdump.ssh
25. Desde la workstation, haga ssh en el firewall como root. Digite unos pocos comandos,
luego haga logout.
# ssh root@192.168.1.1
# ls
# pstree
# logout
26. En el firewall aborte tcpdump. Observe los contenidos del archivo tcpdump.ssh. Trate
de interpretar los paquetes que ah encuentra.
27. Deshabilite telnet en el firewall y asegrese de que SSH es el nico servicio de red
disponible.
Tunneling SSH
28. En la Workstation habilite el servicio daytime que forma parte de xinetd. Luego reinicie
xinetd.
Nota: daytime es un servicio sencillo que retorna el tiempo y fecha cuando alguien se
conecta a su puerto (puerto TCP 13).
29. En la Workstation haga telnet al puerto daytime. Puede observar la hora y fecha
actuales?
30. Vaya al servidor del instructor, el firewall o el firewall de un compaero. Configure un
tnel SSH de manera que si Ud. se conecta al puerto local 6543 (en el servidor del
instructor, en su firewall, o en el firewall de un compaero), esta conexin es tunelizada
a su firewall, a travs de la cual su demonio sshd debera conectarle al puerto daytime
de su Workstation.
Nota: Piense cuidadosamente en su comando. Hay tres sistemas involucrados, cada
uno con su propia asignacin de puerto.
# ssh L 6543:192.168.1.2:13 10.0.0.1
En otra ventana o VT.
31. Deshabilite el servicio daytime.
FIN DEL LABORATORIO

Ejercicio 20: Aseguramiento del Servicio DNS

Este ejercicio le brinda la oportunidad de configurar DNS en un esquema de
firewall.

- Configurar un servidor DNS en la DMZ
- Configurar el servidor DNS de la intranet
- Configurar todos los clientes
Introduccin
En este ejercicio Ud. configurar una situacin DNS de su dominio.

Necesitar configurar dos servidores DNS:
- En el firewall, Ud. configurar el servidor DNS de la DMZ, que
resolver consultas externas.
- En la Workstation, configurar el servidor DNS de la intranet, que
resolver consultas internas y reenviar el resto al servidor DNS
de la DMZ.
En la mquina del instructor, ste configurar un servidor DNS raz al cual
Ud, podr apuntar. Esto permitir probar tambin la configuracin de otros
equipos de trabajo.

Configuracin de la Workstation como un DNS de la intranet
Ud. necesitar configurar su Workstation como un servidor DNS de la intranet, que pueda resolver
consultas sobre la intranet y reenve el resto de consultas al servidor DNS de la DMZ.
1. Instale el rpm de bind si an no se encuentra instalado en su sistema.
2. Cree el archivo de configuracin named.conf. Este archivo debera contener:
-
Un parmetro indicando el directorio por defecto

Las entradas de reenvo (forwarders)
La seccin de controles, especificando la llave rndc
La entrada de la zona de nombres master para su dominio
La entrada de la zona IP para su Intranet
La entrada de localhost
# vim /etc/named.conf
Cambie el archivo de manera que luzca ms o menos as:
options {
directory "/var/named";
forward only;
forwarders { 192.168.1.1; };
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "team1.com" IN {
type master;
file "named.team1.com";
};
type master;
file "named.192.168.1";
};
type master;
};
type master;
file "named.local";
};
Guarde el archivo.
3. Verifique que el archivo /etc/rndc.key exista. Si no existe, crelo.
# rndc-confgen a
Ahora el archivo /etc/rndc.key debera existir.
4. Cree el archivo de zonas de nombres (named.teamn.ec). Este archivo debera contener

todos los nombres de todos los hosts en su dominio (incluyendo los hosts en la DMZ).
# vim /var/named/named.team1.com
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
fw
fw-in
ws
IN
IN
IN
IN
SOA
NS
A
A
A
ws.team1.ec.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ws.team1.ec.
10.0.0.1
192.168.1.1
192.168.1.2
Guarde el archivo.
5. Cree el archivo de zonas IP (named.192.168.n). Este archivo debera contener todas las
direcciones IP de todos los hosts en su Intranet.
# vim /var/named/named.192.168.1
$TTL 86400
@
IN
SOA
ws.team1.ec.
IN
IN
IN
NS
PTR
PTR
ws.team1.ec.
fw-in.team1.ec.
ws.team1.ec.
1
2
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
6. Cree el archivo de zonas de nombre local (localhost.zone). Este archivo debera contener a
localhost.
# vim /var/named/localhost.zone
$TTL 86400
@
IN
SOA
ws.team1.ec.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN
localhost. IN
NS
A
ws.team1.ec.
127.0.0.1
Guarde el archivo.
7. Cree el archivo de zona IP local (named.local). Este archivo debera contener a localhost.
# vim /var/named/named.local
$TTL 86400
@
IN
SOA
ws.team1.ec.
IN
IN
NS
PTR
ws.team1.ec.
localhost.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
8. Modifique el archivo /etc/resolv.conf de manera que contenga su nombre de dominio y
apunte a su direccin local.
# vim /etc/resolv.conf
Modifique el archivo de manera que luzca as.
domain team1.ec
Guarde el archivo.
9. Inicie el servidor de nombres y verifique que todo funcione.
# tail -100 /var/log/messages | grep named | less
No deberan mostrarse mensajes de error.
# host fw.team1.ec
La respuesta debera ser 10.0.0.1
# host fw-in.team1.ec
# host ws.team1.ec
# host 10.0.0.1
La respuesta debera ser fw.team1.ec
# host 192.168.1.1
La respuesta debera ser fw-in.team1.ec
# host 192.168.1.2
La respuesta debera ser ws.team1.ec
10. Asegrese de que el servicio named se inicie cada vez que el sistema reinicie.
# chkconfig named on
Configuracin del servidor DNS en el firewall

11. Cree el archivo de configuracin named (named.conf). Este archivo debera incluir:
- Un parmetro indicando el directorio por defecto
- Un parmetro describiendo la llave de control para rndc
- Una entrada hints
- La entrada para la zona de nombres master de su dominio
- La entrada para la zona IP master para su DMZ
Agregue sentencias acl de manera que las actualizaciones y transferencias de zona
estn prohibidas, pero las consultas permitidas.
# vim /etc/named.conf
options {
directory "/var/named";
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "." IN {
type hint;
file "named.ca";
};
zone "team1.ec" IN {
type master;
file "named.team1.ec";
allow-update { none; };
allow-query { any; };
allow-transfer { none; };
};
type master;
file "named.10.0.0";
};
type master;
};
type master;
"named.local";
allow-update{ none; };
};
Guarde el archivo.
12. Verifique que el archivo /etc/rndc.key exista. Si no existe, crelo.
# rndc-confgen a
Ahora el archivo /etc/rndc.key debera existir.
13. Cree el archivo de zonas de nombres (named.teamn.ec). Este archivo debera contener
todos los nombres de todos los hosts en su DMZ.
# vim /var/named/named.team1.ec
$TTL 86400
@
IN
fw
IN
IN
SOA
fw.team1.ec.
NS
A
fw.team1.ec.
10.0.0.1
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
14. Cree el archivo de zonas IP (named.10.0.0). Este archivo debera contener las direcciones
IP y nombres de dominio del firewall en el lado de Internet.
# vim /var/named/named.10.0.0
$TTL 86400
@
IN
IN
SOA
fw.team1.ec.
NS
fw.team1.ec.
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN
PTR
fw.team1.ec.
Guarde el archivo.
15. Cree el archivo de zonas de nombre local (localhost.zone). Este archivo debera contener a
127.0.0.1.
# vim /var/named/named/localhost.zone
$TTL 86400
@
IN
localhost
IN
IN
SOA
fw.team1.com.
NS
A
fw.team1.ec.
127.0.0.1
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
16. Cree el archivo de zonas IP local (named.local). Este archivo debera contener a localhost.
# vim /var/named/named.local
$TTL 86400
@
IN
SOA
fw.team1.ec.
IN
IN
NS
PTR
fw.team1.ec.
localhost.
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
17. Cree el archivo de hints (named.ca). Este archivo debera contener la direccin IP del
servidor del instructor, dado que este host funcionar como el servidor de nombres raz
para este ejercicio.
# vim /var/named/named.ca
$TTL 86400
.
www.instructor.ec.
Guarde el archivo.
IN
IN
NS
A
www.instructor.ec.
10.0.0.100
18. Modifique el archivo /etc/resolv.conf de manera que contenga su nombre de dominio y

apunte a la direccin de su Workstation.
Nota: Esto podra parecer extrao al principio. La razn para usar la Workstation como
servidor DNS para todos los clientes DNS en el firewall es que estos clientes,
particularmente el servidor de correo necesitan ser capaces de resolver direcciones de la
intranet, adems de direcciones de internet. Ya que el servidor DNS de la intranet reenva
al servidor DNS de internet, podemos todava resolver direcciones de internet con esta
configuracin.
# vim /etc/resolv.conf
domain team1.ec
Guarde el archivo.
19. Inicie el servidor de nombre y verifique que todo funcione.
# tail -100 /var/log/messages | grep named | less
No deberan mostrarse mensajes de error.
# host fw.team1.ec
# host fw-in.team1.ec
# host ws.team1.ec
# host 10.0.0.1
# host 192.168.1.1
La respuesta debera ser fw-in.team1.ec
# host 192.168.1.2
La respuesta debera ser ws.team1.ec
20. Asegrese de que el servicio named se inicie cada vez que el sistema reinicie.
# chkconfig named on
Prueba del firewall DNS desde afuera
21. Temporalmente deshabilite todas las reglas de iptables.
# service iptables stop
22. Haga login en el servidor del instructor y pruebe su firewall nuevamente .
# ssh 10.0.0.100
Login:team1
Password: team1
$ host fw.team1.ec
Este host debera ser desconocido
$ host 10.0.0.1
$ host 192.168.1.1
$ host 192.168.1.2
23. En la Workstation, pruebe si el reenvo funciona.
# host www.instructor.ec
La respuesta debera ser 10.0.0.100.
Modificar las reglas de iptables
24. Modifique las reglas de iptables de manera que las consultas DNS entrantes y salientes
(tanto tcp como udp) del internet al firewall y viceversa estn permitidas.
# service iptables start
# iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 1024: -d 10.0.0.1 --dport 53 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 53 -d any/0 --dport 1024: -j ACCEPT
# iptables -A INPUT -i eth1 -p udp -s any/0 --sport 1024: -d 10.0.0.1 --dport 53 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p udp -s 10.0.0.1 --sport 53 -d any/0 --dport 1024: -j ACCEPT
# service iptables save

25. Haga login al servidor del instructor nuevamente y realice las mismas pruebas que
anteriormente.
# ssh 10.0.0.100
Login:team1
Password: team1
$ host fw.team1.ec
$ host 10.0.0.1
$ host 192.168.1.1
$ host 192.168.1.2
FIN DEL LABORATORIO
Ejercicio 21: Aseguramiento del Servicio de E-Mail

Este ejercicio brinda la oportunidad de instalar y configurar un Gateway de
reenvo de correo electrnico.

- Configurar un Gateway de reenvo de correo electrnico.
- Configurar su MTA para rechazar mensajes demasiado grandes
- Configurar su MTA para rechazar mensajes de determinados
dominios
- Configurar su MTA para revisar sus mensajes contra virus
- Configurar su MTA para filtrar spam
Introduccin
En este ejercicio Ud. configurar su MTA dos veces:

La primera configuracin ser una configuracin de dominio de correo
regular en la Workstation. Esta funcionar como su servidor de correo de la
intranet.
La segunda configuracin ser un servidor de correo de reenvo en el
firewall.
Luego de esto, configurar el servidor de relay para descartar spam,
mensajes muy grandes y para rechazar mensajes que contengan virus.
Nota: Esta prctica requiere que trabaje conjuntamente con otro equipo
para enviar mensajes entre los dos.

Configuracin del servidor de correo de la intranet
En este ejercicio, Ud. configurar un servidor de correo comn y corriente para su intranet en la
Workstation.
1. En la Workstation, configure su MTA como un servidor de correo local para su dominio,
usando su firewall como SmartMTA para correo electrnico no local. Tambin, si su
distribucin configura el MTA para escuchar nicamente en la interfaz de loopback,
deshabilite esta caracterstica.
En este ejercicio vamos a trabajar eminentemente con Sendmail.
# cd /etc/mail
# vim sendmail.mc
Descomente la declaracin SMART_HOST y coloque su firewall como smart MTA. Las
lneas deberan lucir as:
define(SMART_HOST, fw-ppp0.team1.ec)
Comente la lnea DAEMON_OPTIONS de manera que luzca as:
dnl DAEMON_OPTIONS(Port=smtp,Addr=127.0.0.1, Name=MTA)dnl
MASQUERADE_DOMAIN(team1.ec)dnl
Guarde el archivo.
# vi local-host-names
team1.ec
# vi access
team1.ec RELAY
# make
2. Asegrese de tener instalado los rpms necesarios para implementar POP3. En un sistema
RedHat, Fedora, CentOS, esto implica que se tenga instalado dovecot. Habilite pop3 y
reinicie el demonio.
# rpm q dovecot
# vim /etc/dovecot.conf
Modifique la lnea protocols de modo que luzca as:
protocols = pop3
# service dovecot restart
# chkconfig dovecot on
3. Cambie el archivo named.team1.ec de manera que el registro MX para su dominio sea la
Workstation. No olvide incrementar el serial. Luego reinicie el demonio named.
Cambie el archivo de manera que luzca como sigue:
$TTL 86400
@
IN
fw
fw-in
ws
IN
IN
IN
IN
IN
SOA
NS
MX
A
A
A
ws.team1.ec.
10
root.ws.team1.ec. (
2000050901 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ws.team1.ec.
ws.team1.ec.
10.0.0.1
192.168.1.1
192.168.1.2
Guarde el archive.
4. Cmbiese al entorno GUI y haga login como tux1. Inicie un cliente de correo y configrelo
de manera que tux1 sea capaz de enviar correo y de recibirlo. Use su workstation como
servidor de correo saliente (SMTP) y entrante (POP3).
Nota: su direccin de correo electrnico es tux1@team1.ec y no tux1@ws.team1.ec.
5. Intente enviar un correo a Ud. mismo.
Configuracin del mail relay
En esta seccin, Ud. configurar un mail relay. Estos pasos deben cumplirse en su firewall.
6. En el firewall, configure el mail relay.
# cd /etc/mail
# vi Access
Agregue la siguiente lnea.
team1.ec RELAY
Guarde el archivo.
# vim mailertable
team1.ec smtp:ws.team1.ec
# make
# vim sendmail.mc
Comente la lnea que contiene DAEMON_OPTIONS de modo que luzca as:
dnl DAEMON_OPTIONS(Port=smtp,Addr=127.0.0.1, Name=MTA)dnl
Guarde el archivo.
# chkconfig sendmail on
7. Cambie el archivo named.team1.ec en el firewall de manera que el registro MX para su
dominio apunte al firewall. No olvide incrementar el valor del serial. Reinicie el demonio
named.
Cambie el archivo de manera que luzca as:
$TTL 86400
@
IN
fw
IN
IN
IN
SOA
NS
MX 10
A
fw.team1.ec.
root.team1.ec. (
2000050901 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
fw.team1.ec.
fw.team1.ec.
10.0.0.1
Guarde el archivo.
8. Agregue reglas de iptables de manera que permita conexiones SMTP entrantes.
# iptables -A INPUT -i eth1 -p tcp -s any/0 -d 10.0.0.1 --dport 25 j ACCEPT

# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 25 -d any/0 j ACCEPT
# service iptables save

9. Espere hasta que sus otros compaeros (del otro equipo) lleguen a este punto. Luego,
enve algunos mensajes entre cuentas de ambos dominios para probar que todo funciona.
De un vistazo de algunos de los archivos de log (/var/log/messages y /var/log/maillog) en
los sistemas.
Si los mensajes parecen no llegar, observe las colas con el comando mailq.
Nota: La mayora de problemas en esta parte del ejercicio pueden resumirse en un
servidor DNS mal configurado. Asegrese de que todos los sistemas pasen las pruebas al
final del ejercicio anterior.
Particularmente, asegrese de que su firewall utilice la Workstation como su DNS.
Tambin, note que aqu estamos utilizando team1.ec y otros dominios que podran ser
vlidos en Internet. Si la configuracin DNS en la clase no est completamente asilada de
Internet, entonces sus servidores DNS podran estar usando direcciones IP relacionadas
con dominios oficiales.
Limitando el tamao del mensaje
En esta seccin Ud. configurar un tamao mximo de mensaje.
10. En el mail relay, limite el tamao del mensaje de todos los mensajes que son enviados a
travs de este relay a un mximo de 50 KB (Sendmail).
# vim /etc/mail/sendmal.mc
define(confMAX_MESSAGE_SIZE, 50000)
Observe las comillas (quotes) cuidadosamente. La primera es una backquote (`), la
segunda es una comilla normal () y as sucesivamente.
# cd /etc/mail
11. Intente enviar un mensaje de una sola lnea desde y hacia su dominio e intente enviar un
mensaje con un adjunto bastante grande. Qu sucede?
12. Deshabilite el tamao lmite del mensaje.
# vim sendmail.mc
Borre la siguiente lnea.
define(confMAX_MESSAGE_SIZE, 50000)
Bloqueo de dominios
13. Bloquee todos los mensajes desde el dominio de sus compaeros usando la clusula
REJECT (Sendmail).
# cd /etc/mail
# vi Access
team2.ec REJECT
Guarde el archivo.
# make
14. Desde la red de sus compaeros en el dominio team2.ec intente enviar un mensaje a su
dominio (team1.ec). Qu sucede?
15. Bloquee todos los mensajes desde el dominio de sus compaeros, esta vez utilizando la
clusula DISCARD. (Sendmail)
# cd /etc/mail
# vi Access
Cambie la siguiente lnea as:
team2.ec DISCARD
Guarde el archivo.
# make
16. Desde la red de sus compaeros intente enviar otro mensaje a su propia red. Qu sucede
ahora?
17. Borre los bloqueos de su servidor de correo para que pueda continuar con la prctica.
MailScanner (en el firewall)
Nota: Antes de instalar el MailScanner, asegurarse de que sendmail est funcionando
adecuadamente puesto que de aqu en adelante MailScanner tomar control del ser vicio de
correo electrnico.
18. Instalar el paquete MailScanner descargado de la web o solicitar el mismo al instructor.
# tar zxvf MailScanner*.tar.gz
# cd MailScanner*
# ./install.sh
Si hacen falta dependencias, el proceso de instalacin nos indicar cules instalar.
19. Asegurar que MailScanner tome el control del servicio de correo y que se levante cada vez
que reinicie la mquina.
# chkconfig sendmail off
# service sendmail stop
# chkconfig MalScanner on
# service MailScanner start

De aqu en adelante para reiniciar o detener el servicio de correo, lo har a travs del
MailScanner.
Instalacin del antivirus (clamav)
20. Descargue el paquete clamav del repo DAG o en su defecto solicite al instructor el
paquete. Luego instlelo.
# rpm ihv clamav*
21. Actualizar la base de datos de antivirus de clamav.
# freshclam
Por defecto MailScanner se encargar de mantener actualizada la base de datos del
clamav ejecutando el comando feshclam cada hora.
Instalacin del Spamassassin
22. Descargue el paquete spamassassin del repo DAG o en su defecto solicite al instructor el
paquete. Luego instlelo.
# rpm ihv spamassassin*
23. Instalar los paquetes perl-Archive-Tar, perl-IO-Zlib, perl-libwww-perl de manera que
spamassassin sea auto actualizable. (el instructor le proveer de los mismos o puede
instalarlos va yum utilizando el repo DAG)
24. Actualice la base de datos de spam. (este paso debera cumplirse peridicamente en un
entorno en produccin)
# sa-update
Configuracin del MailScanner
25. Editar el archivo de configuracin master de MailScanner de modo que las cotas de control
de correo sean 3.9 y 6.
# vim /etc/MailScanner/MailScanner.conf
Editar el archivo de modo que luzca as:
Required SpamAssassin Score = 3.9
High SpamAssassin Score = 6
Spam Actions = deliver header "X-Spam-Status: Yes"
High Scoring Spam Actions = delete
Todo correo que supere el valor de 6, ser marcado como Alto riesgo, y ser borrado.
26. Reiniciar el servicio de correo (OJO)
# service MailScanner restart
Pruebas de funcionamiento
27. En el servidor de correo (mail relay - firewall) donde se instalaron las herramientas de
antivirus y antispam monitorear el contenido de los logs en /var/log/maillog.
# tail f /var/log/maillog
28. Enviar un correo desde la workstation usando el usuario tux1 dirigido a tux1. Adjuntando,
en primera instancia un archivo de prueba que siempre debera ser reconocido como virus.
Solicite a su instructor este archivo. (Descargarlo de aqu:
http://www.eicar.org/anti_virus_test_file.htm)
29. Una vez que enve el mail con el adjunto, verifique en los logs que sea reconocido como
virus.
30. Para comprobar los filtros antispam enve un nuevo mail poniendo en el cuerpo del
mensaje la siguiente lnea.
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
En los logs, el envo de este correo debera detectarse como spam.
FIN DEL LABORATORIO
Ejercicio 22: Virtual Private Networks

Este ejercicio brinda la oportunidad de instalar y configurar una red privada
virtual en un firewall basado en Linux.

- Configurar un servidor de VPN para su conexin en modalidad
red-a-red entre dos redes, que simularn redes locales, a travs
de otra que simular ser Internet.
-
Introduccin
Creacin de certificados de seguridad para los firewall servidores

y cliente de la VPN.
En este ejercicio Ud. configurar una VPN entre dos equipos (team) del
laboratorio. Esta VPN permitir que las dos redes de estos equipos puedan
comunicarse entre s a travs de sus firewall cuya conexin simular ser el
Internet. La comunicacin entre los firewall transitar a travs de las
interfaces virtuales (tun) que se crearn al instalar la herramienta OpenVPN.

Descripcin del Escenario
Pngase de acuerdo con su compaero de equipo y con un equipo vecino. En este caso
asumiremos que los equipos participantes son team1 y team2. El firewall de team1 funcionar
como servidor de la VPN y el firewall de team2 ser el cliente.
Asegrese de que los segmentos locales que se enlazarn va VPN manejen un
esquema de direccionamiento distinto.
Asegrese tambin de deshabilitar cualquier regla de firewall en los hosts que formarn
parte de la VPN.
Instalacin de la Herramienta OpenVPN (en firewall cliente y servidor)
1. Descargue o solicite a su instructor el paquete correspondiente a openvpn y sus
dependencias, e instale estos paquetes.
# rpm ihv openvpn*
# rpm ihv lzo2*
2. Para corroborar el adecuado funcionamiento detenga el servicio openvpn, incielo
nuevamente y asegrese de que se active cada vez que arranque el sistema.
Configuracin del Servidor de la VPN (firewall servidor VPN)
3. Copie el directorio easy-rsa generado durante la instalacin de openvpn dentro del
directorio /etc/openvpn. Este directorio contiene scripts que nos ayudarn a generar
certificados y llaves necesarios para implementar la VPN.
4. Dentro del directorio creado ejecute los scripts vars para inicializar las variables
necesarias, clean-all para limpia cualquier configuracin anterior y build-ca para
generar el certificado de autoridad del servidor.
# cd /etc/openvpn/easy-rsa
# . vars
# sh clean-all
# sh build-ca
Responda las preguntas, recordando el nombre Common Name que Ud. asigna.
5. Generar el certificado y la clave de encripcin con el script build-key-server. Entregue
la informacin solicitada, asegurando que el Common Name indicado sea diferente al
anterior y que sea el mismo nombre que Ud. pase como parmetro al script
mencionado.
6. Ahora genere tambin (en el servidor) los certificados para el firewall que funcionar
como cliente en la VPN, ejecutando el script build-key y pasando como parmetro una
palabra como el nombre del cliente por ejemplo (cliente1). Entregue la informacin
solicitada, asegurando nuevamente que el Common Name indicado sea diferente a los
anteriores y que sea el mismo nombre que dio como parmetro al ejecutar este script.
7. Genere el parmetro de Diffie Hellman, ejecutando el script build-dh. Esto tomar unos
pocos minutos.
o Todos estos mencionado scripts se encuentran almacenados en el patth

/etc/openvpn/easy-rsa y debern ejecutarse con el comando sh
o La ejecucin de estos scripts generar archivos correspondientes a las llaves y
certificados del servidor y los clientes y se almacenarn en el path
/etc/openvpn/easy-rsa/keys.
8. Copie los siguientes archivos dentro del directorio /etc/openvpn del servidor:
-
ca.crt
ca.key
server.key
server.crt
dh1024.pem
9. Copie los siguientes

clientes.
-
archivos dentro del directorio /etc/openvpn de cada uno de los

ca.crt
clienteX.crt
clienteX.key
En el caso por supuesto de que haya creado los certificados del cliente con el nombre
clienteX. Si no, depender de los Common Name que haya utilizado.
Nota: La transferencia de estos archivos debe hacerse de manera segura, utilizando
cifrado de la informacin o algn medio magntico pues se trata de las claves de
encriptacin de los clientes.
10. Edite el archivo de configuracin del servidor de VPN /etc/openvpn/server.conf
como indican sus diapositivas de manera que conforme una VPN entre los equipos
involucrados en el ejercicio. Cree tambin el directorio ccd con el archivo
correspondiente a la ruta ms adecuada.
Configuracin del Cliente de la VPN (firewall cliente VPN)
11. Edite el archivo /etc/openvpn/client.conf (Si no existe, crelo). Agregue el contenido
adecuado de acuerdo a su esquema de red, refirindose especialmente al
direccionamiento IP de las redes locales que est enlazando y a las indicaciones que
se detallan en sus diapositivas.
Verificar que los certificados y las llaves (correspondientes a ese cliente) estn en su
lugar /etc/openvpn y asegurarse de que sus nombres concuerden con las llamadas que
a esos archivos se hacen en el archivo de configuracin /etc/openvpn/client.conf.
12. Una vez configuradas ambas partes, reinicie el servicio de VPN en ambos firewall
(cliente y servidor).
13. Verifique la creacin de las interfaces virtuales en cada miembro de la VPN.
14. Identifique si las direcciones IP que se han asignado coinciden con el rango indicado
en el archivo de configuracin. Pruebe conectividad entre las interfaces virtuales.
15. Verificando las reglas de enrutamiento y de configuracin de rutas por defecto,
compruebe que puede establecer conectividad entre las Workstation de cada red local.
Consideraciones de firewall
16. Tomando en cuenta que el puerto en el cual escucha el servicio de VPN en cada
equipo es el 1194, asegrese de levantar el firewall en cada equipo (servidor y cliente)

agregando las reglas pertinentes que permitan todava el funcionamiento de la VPN a
travs del firewall.
17. Pruebe nuevamente la conectividad completa entre las redes levantando algn servicio
a travs de la VPN.
FIN DEL LABORATORIO
Ejercicio 23: Herramientas de Hacking

Este ejercicio brinda la oportunidad de usar varias herramientas de hacking
que podran ser utilizadas en Internet para atacar a su site.

- Instalar, configurar y usar Wireshark, sucesor de Ethereal.
- Instalar, configurar y usar Nmap.
- Instalar, configurar y usar Nessus.
Introduccin
Este laboratorio le dar la oportunidad de usar varias herramientas de
hacking para intentar vulnerar su firewall. Obviamente, el acceso ilcito a un
firewall se intentar del lado de Internet del firewall, por lo tanto el escaneo
se realizar desde la Workstation, pero no conectada directamente a la
interfaz LAN del firewall si no a la red del laboratorio que simula el Internet.
Advertencia
Muchas empresas en el mundo tienen una poltica de seguridad de red que
prohbe el uso de sniffers de red y escneres contra otros sistemas que no
sean los suyos. Esta poltica aplica tambin en el ambiente de clase. Por lo
tanto, Ud. est nicamente autorizado a iniciar ataques contra su propio
sistema, o contra sistemas de sus compaeros, asumiendo que ellos lo han
consentido primero.

Conexin de la Workstation a la LAN local
Este ejercicio requiere que Ud. tenga una base de ataque que est conectada a la LAN local que
simula ser el Internet. Ud. necesitar, por tanto, desconectar la conexin entre el firewall y la
Workstation y configurar la conexin LAN.
1. En la Workstation baje la conexin de la interfaz eth0 y luego levntela con una nueva
direccin IP dentro del rango de la LAN local que simula el internet.
# ifdown eth0
# ifconfig eth0 10.0.0.101 netmask 255.255.255.0 up
Wireshark
2. Instale wireshark. Encontrar los paquetes necesarios en la carpeta respectiva de su
material de apoyo.
# rpm -ihv wireshark-*
3. Ejecute wireshark e inicie una captura. Espere a tener unos 100 paquetes capturados.
Observe los contenidos de varios de los paquetes. Tambin pruebe la funcionalidad
Follow TCP strea a la que puede acceder dando clic derecho en un paquete determinado.
# wireshark
Nota: Si Ud. est conectado a un switch Ethernet o a una red sin mucha actividad, puede
que no observe nada. En ese caso puede intentar una conexin telnet al servidor del
instructor para capturar ese trfico.
4. Cierre wireshark
Nmap
5. Instale nmap y el frontend grfico.
# rpm -ihv nmap-*
6. En el firewall inicie un tail f de su archivo de logs.
# tail -f /var/log/messages
7. Escanee su firewall desde la Workstation usando varias opciones diferentes. Mientras
escanea, observe en el archivo de logs del firewall y trate de identificar los signos de
escaneo. Un escaneo completo desde nmapfe puede tomar varios minutos. Seleccionar
Fast Scan le ahorrar algo de tiempo.
# xnmap
O
# nmapfe
O
# nmap -sS -O 10.0.0.1
# nmap -sT -O 10.0.0.1
Nessus
En la mquina cliente.
8. Instale los paquetes: Nessus-4.0.1-es5.i386.rpm y NessusClient-4.0.1-es5.i386.rpm en su
firewall.
# rpm -ihv Nessus*
9. Cree un certificado para Nessus. Llene la informacin que se le solicita.
# /opt/nessus/sbin/nessus-mkcert
10. Necesitar agregar un usuario administrador del servicio. Agregue uno y asgnele una
contrasea.
# /opt/nessus/sbin/nessus-adduser
11. Necesitar tambin descargar los plugins necesarios para que Nessus pueda efectuar los
ataques y escaneos pertinentes.
# /opt/nessus/sbin/nessus-update-plugins
12. Verifique que el servicio de nessus est ejecutndose, si no es as, incielo.
# /etc/init.d/nessusd status
# /etc/init.d/nessusd start
13. En su barra de escritorio en el men Administracin, en el submen Internet encontrar el
acceso a Nessus Client, a travs del cual podr iniciar la aplicacin grfica de escaneo de
puertos. Una opcin puede ser tambin ejecutar el script correspondiente al ejecutable de
NessusClient.
# /opt/nessus/bin/NessusClient
14. Agregue una red a escanear (Network to scan). En hostname coloque la direccin IP de su
objetivo de escaneo (firewall). Haga clic en Connect y agregue una nueva conexin,
colocando la informacin de la Workstation como servidor de escaneo Nessus. El nombre
de host podra ser 127.0.0.1, el nombre de la conexin que Ud. desee, el puerto por
defecto y los datos del usuario administrador que cre en un paso anterior.
15. Conctese al servicio usando la nueva conexin creada.
16. Ahora cree una nueva poltica de escaneo. Observe las opciones y plugins de ataque
disponibles y guarde la poltica con los valores por defecto.
17. Seleccione la red y la poltica creadas e inicie el escaneo (Scan Now).
18. Cuando el escaneo haya terminado, lea y analice el reporte, comparando la informacin
con la que Ud. conoce de su firewall.
FIN DEL LABORATORIO
Ejercicio 24: Detectando y contrarrestando intrusiones

de firewall
Este ejercicio le permite practicar a detectar y contrarrestar intrusos en la
red.

- Utilizar AIDE para checar cambios en el sistema
- Configurar Monitoreo de Paquetes de red
- Contrarrestar intrusiones de firewall
Introduccin
Este ejercicio brinda la oportunidad de intentar contrarrestar intrusiones de
firewall. Ud crear una lnea base de su sistema y luego configurar varios
mecanismos de deteccin.

Instalacin y configuracin de AIDE
1. Descargar el paquete AIDE de la pgina web, o instalarlo mediante yum, utilizando el
repositorio DAG. (En el laboratorio, Ud. dispondr de una copia en su CD de material o el
instructor le proveer el software).
2. Observe y edite el archivo de configuracin de AIDE, de modo que las reglas para creacin
de una imagen en base de datos, se aplique nicamente sobre su archivo /etc. Crear una
lnea base sobre el resto de directorios del sistema operativo tomar demasiado tiempo
para el laboratorio. Verifique las variables DBDIR y LOGDIR que gobiernan la ubicacin de
las bases de datos a compararse.
# vim /etc/aide.conf
Modificar las lneas correspondientes de manera que luzcan como se indica a
continuacin:
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
database=file:@@{DBDIR}/aide.db
database_out=file:@@{DBDIR}/aide.db
gzip_dbout=no
Comente todas las lneas que incluyan cualquier directorio que no sea /etc para la
generacin de la imagen .db.
Por ejemplo:
#/boot
#/bin
NORMAL
NORMAL
3. Ahora genere la imagen del directorio /etc, utilizando el comando aide.

# aide -i
Se crea un archivo llamado aide.db dentro del directorio /var/lib/aide, que almacena una
imagen de todo el contenido del directorio /etc.
4. Para comprobar la herramienta, cambie el contenido del archivo /etc/hosts, agregando una
lnea cualquiera, o cambiando sus permisos (recuerde regresar la configuracin original) y
luego de hacerlo ejecute el comando aide para comprobar el contenido actual del directorio
/etc con el guardado en la imagen.
# aide
Comente lo sucedido.
Snort
5. Instale Snort en su firewall (el paquete puede bajrselo de la pgina de snort
www.snort.org o el instructor le proveer del software).
6. Inicie snort en modo sniffer. Genere algo de trfico. Le da snort ms informacin que
tcpdump? Salga de snort con Control-C.
# tcpdump -v
<Ctrl-C>
7. Inicie Snort en modo de captura de paquetes. Capture la informacin en formato
compatible tcpdump. Intente dar un vistazo al archivo. Analice este archivo utilizando
tcpdump.
# snort -v
<Ctrl-C>
# file /var/log/snort/snort.log.timestamp
# less /var/log/snort/snort.log.timestamp
# snort -v -r /var/log/snort/snort.log.timestamp | less
8. Eche un vistazo del archivo de configuracin de snort /etc/snort/snort.conf. Reconoce las
secciones? No haga ningn cambio al archivo.
# vim /etc/snort/snort.conf
9. Copie el contenido de la carpeta rules que le dar el instructor dentro del directorio
/etc/snort/rules. (estas reglas las puede encontrar en la pgina de snort en Internet). Luego
observe algunas de las reglas. Probablemente ser necesario comentar la directiva include
que incluye un preprocesador que no est presente para continuar. Comentar las lneas
correspondientes a dcerpc2 y dcerpc2_server, as como netbios.rules.
10. Inicie Snort en modo NIDS con alerta completa. Inicie un escaneo de puertos desde la
Workstation y observe los resultados de esto en /var/log/snort.
En el firewall:
# snort -A full -c /etc/snort/snort.conf
En otra ventana:
# cd /var/log/snort
# tail -f alert
Desde la workstation:
# nmap -sS -O -v fw1.team1.ec
FIN DEL LABORATORIO

Módulo II Administración de Red y Seguridades

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Módulo II Administración de Red y Seguridades

Загружено:

Авторское право:

Доступные форматы

Ejercicios del Estudiante

Ejercicio 1: Conceptos TCP/IP

Administracin de Red y Seguridades

Ejercicios del Estudiante

Ejercicio 2: Configuracin TCP/IP

Qu seremos capaces de hacer

Configurar TCP/IP en Linux

Probar para verificar la configuracin correcta de TCP en Linux

Administracin de Red y Seguridades

Ejercicios del Estudiante

Administracin de Red y Seguridades

Ejercicios del Estudiante

Verificacin de configuracin TCP/IP

route para verificar que la ruta por defecto fue configurada

FIN DEL EJERCICIO

Administracin de Red y Seguridades

Ejercicios del Estudiante

Ejercicio 3: Demonio xinetd y servicios xinetd

Qu seremos capaces de hacer

Instalar y configurar el demonio xinetd

Ejecutar un login remoto usando telnet y rlogin

Realizar ejecucin remota de comandos usando rsh

Transferir archivos utilizando ftp y rcp

Administracin de Red y Seguridades

Ejercicios del Estudiante

Ejercicios del Estudiante

Trabajo con comandos ARPA

Ejercicios del Estudiante

(en el sistema de su compaero)

Trabajo con comandos Berkeley

Ejercicios del Estudiante

tux2@sys1$ rcp tux1@sys2:tux1file tux1file

Trabajo con talk y finger

Ejercicios del Estudiante

Trabajo con rsync

Trabajo con los archivos hosts.allow y hosts.deny

Ejercicios del Estudiante

ALL: ALL: spawn logger t hosts.deny Conexion desde %c hacia

FIN DEL EJERCICIO

Administracin de Red y Seguridades

Ejercicios del Estudiante

Ejercicio 4: Secure Shell y Secure Copy

Qu seremos capaces de hacer

Configurar y utilizar ssh, scp y sshd

Utilizar RSA/DSA para autenticacin

Administracin de Red y Seguridades

Ejercicios del Estudiante

Uso de ssh y scp

Uso de autenticacin de usuario DSA

Ejercicios del Estudiante

tux1@sys1$ ssh-keygen -t dsa

Uso de ssh-agent y ssh-add

Ejercicios del Estudiante

Uso de rsync sobre ssh

FIN DEL EJERCICIO

Administracin de Red y Seguridades

Ejercicios del Estudiante

Ejercicio 5: Configuracin de PPP

Qu seremos capaces de hacer

Configurar un sistema Linux para que acte como un sistema llamante,

Configurar un sistema Linux para que acte como un sistema llamado,

Administracin de Red y Seguridades

Ejercicios del Estudiante

Configuracin del sistema llamado (servidor)