Академический Документы
Профессиональный Документы
Культура Документы
Introduccin
Obteniendo Informacin Trabaje con su instructor para determinar la
informacin necesaria para configurar TCP/IP en su sistema y para
interconectar todos los hosts en el aula de laboratorio. Para facilitar su tarea
en este sentido, Ud. necesitar un diagrama de la topologa de red para la
sala de laboratorio. Su instructor le proveer de esta informacin.
Instrucciones de Ejercicio
Configuracin de TCP/IP
Nota: Cuando configure la red usando un entorno X, Ud. puede experimentar un comportamiento
extrao del entorno grfico, particularmente si cambia el hostname o la direccin IP. Tpicamente,
X parece rechazar la apertura de ventanas adicionales para aplicaciones. Si esto sucede, reinicie
su servidor X, haciendo logout del mismo y haciendo login nuevamente. Si X falla completamente,
use Ctrl-Alt-Backspace para terminar el servidor X.
1. Determine el hostname actual del sistema. Luego configure el hostname al indicado por el
instructor.
# hostname
# hostname sys1.example.com
2. Localice el archivo donde su hostname est almacenado, y cambie el hostname al que el
instructor le asign.
# vi /etc/sysconfig/network
3. Verifique que su adaptador de red est configurado correctamente, ejecutando el comando
ifconfig. Si es necesario, ejecute los comandos dmesg y lspci para descubrir qu est
mal. Si Ud. no sabe qu adaptadores tiene, consulte a su instructor.
# ifconfig eth0
Si obtiene el mensaje Device not found, Ud. necesita configurar su adaptador. Consulte al
instructor por los detalles.
4. Observe los archivos de configuracin de su adaptador de red.
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
5. Usando las herramientas que vienen con su distribucin, asigne la direccin IP adecuada,
mscara de subred y la ruta por defecto para el adaptador. Use la direccin IP asignada
por su instructor, y use la direccin IP de la mquina del instructor como la ruta por
defecto., a menos que el instructor especifique algo diferente. No use DHCP.
# system-config-network
6. Observe los archivos de configuracin del adaptador de red nuevamente. Puede observar
su configuracin?
# cd /etc/sysconfig/network-scripts
# ls ifcfg-*
# cat ifcfg-eth0
7. Cambie el archivo /etc/hosts, de modo que todos los sistemas en la clase estn listados
all.
# vi /etc/hosts
Edite el archivo de manera que se vea ms o menos as:
127.0.0.1
10.1.1.100
10.1.1.1
10.1.1.2
...
localhost.localdomain
instructor.example.com
sys1.example.com
sys2. example.com
localhost
instructor
sys1
sys2
8. Reinicie su mquina para asegurar que todos los cambios son persistentes luego de ello.
11. Haga ping a la mquina del instructor para verificar que la conexin a travs de la red
funciona.
# ping 10.1.1.100
12. Ahora use el comando arp para observar los contenidos del cach ARP.
# arp -a
13. Observe a su alrededor para ver si otros estudiantes han reiniciado sus sistema tambin.
Haga ping a algunos otros sistemas. Luego ejecute el comando arp nuevamente.
# ping 10.1.1.2
# arp -a
14. Use el comando netstat para verificar qu puertos locales estn abiertos.
# netstat -a | less
Instrucciones de Ejercicio
Configuracin del demonio xinetd
1. Asegrese de que su sistema utilice o tenga instalado sea inetd o xinetd.
# rpm -qa | grep inetd
2. Verifique que el demonio xinetd no se est ejecutando. Si lo est, detngalo.
# ps -aux | grep inet
Si el demonio xinetd est corriendo, detngalo:
# service xinetd stop
3. Haga una lista de todos los puertos que estn actualmente abiertos. Luego inicie el
demonio xinetd y verifique la lista de puertos nuevamente. Ve alguna diferencia?
Hay puertos adicionales abiertos?
# netstat -anut
# service xinetd start
# netstat -anut
4. Explore dentro de los archivos de configuracin de xinetd e intente encontrar las
ubicaciones de cada uno de los servicios siguientes:
- telnet
- talk
- ntalk
- ftp (vsftpd)
- rsh
- rlogin
- finger
Nota: En sistemas Fedora/RedHat/CentOS, el demonio ftp (vsftpd) est configurado por
defecto como un demonio independiente. Para el propsito d eesta unidad, eso no es un
problema.
Nota: En estos sistemas, debe instalar de manera adicional algunos paquetes, de modo
que tenga a su disposicin cada uno de los servicios anteriormente mencionados. Los
paquetes que debe instalar son:
finger-server,
rsh-server,
telnet-server,
rlogin-server
Estos paquetes se encuentran en los medios de instalacin de CentOs 5.2. Si no dispone
de ellos, acuda a su instructor para el efecto.
5. Una vez que haya instalado estos paquetes que funcionan bajo el dominio de xinetd,
debe habilitarlos pues por defecto, no lo estn. Para ello edite los archivos
correspondientes a cada uno de los servicios (telnet, talk, finger, ntalk, rsh, rlogin,
klogin, eklogin, kshell, rsync, krb5-telnet) ubicados dentro del directorio /etc/xinetd.d/ y
en cada uno de ellos modifique la opcin disable = yes por disable = no, y luego de
ello reinicie el servicio xinetd.
6. Nuevamente detenga el demonio xinetd, verifique el nmero de puertos abiertos. Inicie
el demonio nuevamente y haga una nueva verificacin de los puertos.
Administracin de Red y Seguridades
# ps -anut
# service xinetd stop
# ps -anut
# service xinetd start
7. Ahora asegrese de que los servicios telnet y ftp estn arriba cuando el sistema sea
reiniciado.
# chkconfig telnet on
# chkconfig vsftpd on
21. Haga logout del sistema remoto, logout del sistema local y login localmente como tux1
nuevamente.
22. Use el comando rcp para copiar el archivo tux1file del sistema remoto al sistema local
(en el cual Ud ahora est logueado como tux1). Funciona? Por qu?
tux1@sys1$ rcp sys2:tux1file tux1file
tux1@sys1$ cat tux1file
23. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero.
tux1@sys1$ rsh sys2 hostname
24. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero y guarde la salida del comando al archivo local hostname.remote.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.remote
tux1@sys1$ cat hostname.remote
25. Use el comando rsh para ejecutar remotamente el comando hostname en el sistema de
su compaero, y guarde la salida del comando en el archivo remoto hostname.local.
Observe los contenidos del archivo.
tux1@sys1$ rsh sys2 hostname > hostname.local
tux1@sys1$ rsh sys2 cat hostname.local
$ talk tux1@sys2
Introduccin
En este ejercicio Ud. configurar y utilizar OpenSSH de modo que sea
capaz de hacer login seguro a su sistema. Ud. tambin utilizar
autenticacin RSA/DSA para hacer login en su servidor.
Instrucciones de Ejercicio
Iniciando y probando sshd
1. Verifique que el demonio sshd est corriendo. Si no ha sido iniciado, incielo y asegrese
de que sea iniciado cada vez que su sistema se reinicie.
# service sshd status
# chkconfig sshd on
2. Verifique que puede hacer login sobre el dispositivo de loopback.
# ssh 127.0.0.1
root@127.0.0.1s passsword: (escriba su contrasea)
# logout
tux1@sys1$ pstree
tux1@sys1$ ssh root@sys2
tux1@sys1$ logout
14. Haga logout de su subshell actual e intente hacer ssh en el sistema de su compaero
nuevamente. Necesita ingresar el password de la llave privada nuevamente?
tux1@sys1$ exit
tux1@sys1$ ssh root@sys2
Ud. necesita escribir nuevamente su password de llave privada.
root@sys2# logout
15. Haga login como tux1, pero esta vez usando xdm, kdm o gdm (cualquiera que est por
defecto en su sistema). Abra un shell y ejecute el comando pstree para revisar que sshagent se inicie automticamente. Haga upload de sus llaves privadas con ssh-add e intente
hacer login en el sistema de su compaero nuevamente.
Haga login como tux1 en la interfaz grfica (no en un emulador)
# pstree
Ud. debera ver ssh-agent ejecutndose.
# ssh-add
# ssh root@sys2
Configurar un sistema Linux para que use PPP sobre una conexin
serial dedicada.
Introduccin
En este laboratorio ser necesario trabajar en pares, estableciendo
conexiones PPP entre dos sistemas de un mismo equipo. Uno de ellos ser
el cliente, el sistema que llama, y el otro ser el servidor, el sistema llamado.
Aunque es posible configurar ambos sistemas simultneamente, es mejor
configurar el sistema llamado primero. El ltimo ejercicio, de configuracin
de
una
conexin
permanente
null-modem,
puede
realizarse
simultneamente ya que no hay diferencia entre ambos sistemas.
Material necesario
Durante el desarrollo de esta prctica Ud. necesitar disponer de un cable
null mdem (serial) por cada grupo de trabajo (par de estudiantes).
Actualmente los mainboards suelen prescindir del puerto serial. En ese caso
necesitar utilizar adaptadores Serial-USB por cada mquina para realizar
est prctica. De otro modo no ser posible.
Instrucciones de Ejercicio
Nota:
En este ejercicio, Ud. Necesita trabajar junto con el sistema de un compaero. Un sistema (el
sistema que llama) se configurar como cliente PPP y llamar al otro sistema (el sistema llamado)
que acta como servidor PPP.
Asegrese de ejecutar cada paso en el sistema correcto.
a 38400 8N1 y setee Hardware flow control on y Software flow control off. Presione
Enter.
Vaya a Modem and dialing y asegrese de que Init string y Reset string estn vacos.
Presione Enter.
Guarde la configuracin como nullmodem.
Salga de minicom.
# minicom nullmodem
Ud. debera ahora verel screen de login del sistema llamado. (Ud. puede necesitar
presionar Enter una vez para activar el proceso de login).
Haga login como ppp con el password ppp. Ud debera observar un prompt de bash
regular.
Haga logout y salga de minicom com Ctrl-A, X
5. Regrese al servidor y cambie la configuracin del usuario ppp de modo que cuando
alguien haga login como ppp, /usr/sbin/pppd sea automticamente iniciado, en lugar de
/bin/bash.
# vipw
Cambie el shell de ppp a /usr/sbin/pppd
6. Cambie los permisos de /usr/sbin/pppd a 4755.
# chmod 4755 /usr/sbin/pppd
7. Configure las siguientes opciones globales para PPP: lock, nodetach, no authentication y
hardware flor control.
# vi /etc/ppp/options
Asegrese de que solamente las siguientes lneas existan en este archivo:
lock
-detach
noauth
crtcts
8. Configure las direcciones IP en el archivo de opciones PPP especfico del puerto.
# vi /etc/ppp/options.ttyS0
Agregue la siguiente lnea:
192.168.1.2:192.168.1.1
(reemplace 192.168.1.2 con su direccin IP local y 192.168.1.1 con la direccin remota de
su conexin PPP)
9. Cmbiese nuevamente al sistema llamante y pruebe otra vez la conexin con minicom.
Luego de hacer login como ppp, Ud. debera observar una gran cantidad de basura que
indica que pppd est tratando de sincronizarse. Si lo observa, salga de minicom.
# minicom nullmodem
Haga login como ppp con password ppp.
Ud. debera ver ahora PPP intentando sincronizarse:
Salga de minicom con Control-A, X
Configuracin de la autenticacin
Vamos ahora a extender este esquema para usar autenticacin PAP o CHAP. Vamos a configurar
el servidor de manera que solicite a cada cliente que se autentique usando PAP, y vamos a usar
el archivo /etc/passwd en lugar de /etc/pap-secrets. Adems, vamos a configurar el cliente de
manera que se autenticar usando cualquier protocolo requerido, con su nombre de usuario y
password.
16. en el servidor, cambie el archivo /etc/ppp/optins de manera que desde ahora a cada cliente
se le solicite autenticarse usando PAP. Tambin agregue la opcin que habilita chequeo
regular va /etc/`passwd.
# vi /etc/ppp/options
Borre la opcin noauth y agregue las opciones auth, login y +pap.
Su archivo ahora se ver como sigue:
lock
-detach
crtcts
auth
login
+pap
Administracin de Red y Seguridades
17. En el servidor, cambie el archivo /etc/ppp/pap-secrets de manera que contenga una lnea
como la que se menciona ms abajo.
# vi /etc/ppp/pap-secrets
Agregue la siguiente lnea:
*
*
noauth
crtcts
# ping 192.168.1.2
27. Mate uno de los demonios pppd y observe lo que pasa
# kill -INT cat /var/run/ppp0.pid
Un nuevo pppd debera ser iniciado por init automticamente.
Ejercicio 6: Enrutamiento
De qu se trata este ejercicio
Este ejercicio le dar la oportunidad de configurar enrutamiento entre
sistemas en redes diferentes. Ud. examinar inicialmente las tablas de
enrutamiento y luego se harn cambios, as como tambin se probarn
dichas rutas, utilizando comandos TCP/IP.
Introduccin
La clase consiste de lo que llamaramos una red plana, lo que significa que
no hay un router en ella. Sin embargo, usaremos la tarjeta de red adicional
de nuestros equipos para crear una red adicional.
Lo que haremos es lo siguiente: Conectar usando un cable cruzado las
tarjetas integradas de las mquinas de cada equipo. Entre las dos, cada
equipo deber decidir cual ser el router. Este router enrutar todos los
paquetes provenientes de la otra mquina de su equipo.
Instrucciones de Ejercicio
Preparacin del router para hacer enrutamiento
1. Decida entre los sistemas que se encuentran conectados a travs del cable cruzado, cual
ser el que funcione como router. Comunique su decisin al instructor y al resto de la
clase.
- En este ejemplo se asumir que sys1 es el router.
2. En el router solamente haga login como root. Active la funcin de IP forwarding y
asegrese de que est activa luego de reiniciar la mquina.
#cat /proc/sys/net/ipv4/ip_forward
Si la salida es 0, active el reenvo IP (IP forwarding)
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ahora asegrese de que esta opcin est activa an luego de un reinicio del sistema.
# vi /etc/sysctl.conf
Cambie la lnea ip_forward de manera que luzca como sigue:
net.ipv4.ip_forward = 1
Introduccin
En este ejercicio, Ud. configurar un dominio DNS para un nmero de hosts
en la red de la clase. Haga equipos de dominio en pares y decide qu
sistemas sern los servidores primarios y los secundarios.
Instrucciones de Ejercicio
Nota:
Aqu se asume que Ud. est configurando un dominio example.com. y tambin asumimos que
sys1 es su servidor DNS primario, sys2 es un DNS secundario y sys3 es un cliente DNS.
Asegrese de sustituir el nombre de dominio example.com por el dominio que necesita configurar,
y haga lo mismo para los hostnames y direcciones IP.
bind
bind-utils
bind-libs
caching-nameserver
Vamos a hacer referencia en estos ejercicios al archivo /etc/named.conf. Tomar en cuenta dos
datos:
- En las ltimas versiones de CentOS el archivo de configuracin ha
cambiado de nombre por named.caching-nameserver.conf. Dentro de /etc
cree en enlace simblico llamado named.conf y que apunte a
named.caching-nameserver.conf as:
# cd /etc
# ln -s named.caching-nameserver.conf named.conf
Con esto ya podr trabajar en /etc/named.conf como se indica a
continuacin.
- Si tiene instalado el paquete bind-chroot, la ubicacin del archivo de
confguracin named.caching-nameserver.conf ser /var/named/chroot/etc/.
En ese directorio tendr que localizar el archivo de configuracin.
1. Haga login como root.
2. Modifique el archivo named.conf para que refleje su situacin.
Recuerde nuevamente que si tiene el paquete bind-chroot instalado, el demonio named
se ejecuta en un ambiente enjaulado, relativo al directorio /var/named/chroot. Por lo tanto
deber crear el archivo named.conf en /var/named/chroot/etc/named.conf.
El archivo debera verse como sigue:
# vi /etc/named.conf
options {
directory
dump-file
};
"/var/named";
"/var/named/named_dump.db";
zone "example.com" IN {
type master;
file "named.example.com";
};
zone "1.10.10.in-addr.arpa" IN {
type master;
file "named.10.1.1";
};
Administracin de Red y Seguridades
Los materiales de este curso no pueden ser reproducidos en su totalidad
o en parte sin el permiso escrito previo de Syderix S.A.
3. Cree el archivo de zonas de nombres. Este debera incluir todos los hosts en su dominio.
# vi /var/named/named.example.com
Este archivo debera lucir como sigue:
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
NS
NS
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
4. Cree los archivos de zona IP, as como lo hizo para los archivos de zona de nombre.
# vi /var/named.10.1.1
$TTL 86400
@
IN
1
2
3
4
SOA
IN
IN
NS
NS
creative.sidevox.ec. root.creative.sidevox.ec.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
IN
IN
IN
IN
PTR
PTR
PTR
PTR
sys1.example.com.
sys2.example.com.
sys3.example.com.
sys4.example.com.
5. Verifique los archivos de zona local. Note que estos archivos son instalados por defecto
lo nico que debe verificar es que existan. No te tambin que su nombre vara de
distribucin en distribucin y que no todas las distribuciones son consistentes en referencia
a su esquema de nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.
Administracin de Red y Seguridades
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
IN AAAA
@
127.0.0.1
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
6. Copie el archivo /etc/hosts para crear un backup. Luego edtelo, borrando todos los hosts
excepto localhost y el de su sistema.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin que debera estar es :
127.0.0.1
10.1.1.1
localhost.localdomain
sys1.example.com
localhost
sys1
"/var/named";
"/var/named/data/cache_dump.db";
zone "example.com" IN {
type slave;
file "named.example.com.bck";
masters {
10.1.1.1;
};
};
zone "1.10.10.in-addr.arpa" IN {
type slave;
file "named.10.1.1.bck";
masters {
10.1.1.1;
};
};
zone "localhost" IN {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
};
11. Verifique los archivos de zona local. Note que estos archivos estn instalados por defecto
lo nico que debe hacer es verificar que existen. Note tambin que sus nombres difieren
de distribucin en distribucin y que no todas ellas son consistentes en su esquema de
nombrado.
# vi /var/named/localhost.zone
Este archivo ya debera existir. Revise si los contenidos estn bien, y cmbielos si es
necesario.
$TTL
@
86400
IN SOA
root (
43
3H
15M
1W
1D )
IN NS
IN A
@
127.0.0.1
::1
# vi /var/named/named.local
Este archivo igualmente ya debera existir. Revise si los contenidos estn bien y cmbielos
de ser necesario.
$TTL
@
86400
IN
SOA
IN
IN
NS
PTR
localhost. root.localhost.
1997022700 ;
28800
;
14400
;
3600000
;
86400 )
;
localhost.
localhost.
(
Serial
Refresh
Retry
Expire
Minimum
12. Copie el archivo /etc/hosts para crear un backup. Luego edite su archivo /etc/hosts,
borrando todos los hosts excepto localhost y su sistema.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin en el archivo debera ser :
127.0.0.1
10.1.1.2
localhost
sys2.example.com
Configuracin de un cliente
Todos los sistemas EXCEPTO los servidores de nombres deberan completar esta seccin.
Administracin de Red y Seguridades
17. Copie el archivo /etc/hosts para crear un backup. Luego edite el archivo comentando todas
las entradas excepto la lnea con localhost y la que hace referencia a su sistema. Este no
es un paso necesario, pero mostrar que Ud. est nicamente utilizando el servidor de
nombres.
# cp /etc/hosts /etc/hosts.bck
# vi /etc/hosts
La nica informacin presente debera ser:
127.0.0.1
10.1.1.3
localhost
sys3.example.com
# nslookup
> set d2
> sys1
> set nodebug
> exit
26. Use dig para consultar todos los registros SOA y NS en su dominio.
# dig @sys1.example.com example.com soa
# dig @sys1.example.com example.com ns
localhost;
"rndckey";
953;
# cd /etc
# vi named.conf
Modifique el archivo y agregue las siguientes lneas :
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { rndckey; };
};
include "/etc/rndc.key";
directorio donde desea crear el archivo de dump. En este caso ejecute un chown para
hacer al usuario named el dueo de ese directorio, o cree un directorio separado que
pueda ser escrito por el usuario named, y almacene el archivo de dump alli. (Ud. necesita
la directiva dump-file en el archivo named.conf para completar esto.)
# less /var/named/named_dump.db
Configurar aliases
Introduccin
En este ejercicio, Ud. configurar uno de sus sistemas en su dominio DNS
como un servidor de correo para ese dominio. Todos los sistemas enviarn
so correo electrnico a ese servidor, y recuperarn e-mail pendiente de l.
Instrucciones de Ejercicio
Configuracin de registros MX en el DNS
1. En su servidor DNS master, agregue los registros MX al archivo de zona de nombres y
reinicie el servicio named.
# vi /var/named/named.example.com
Edite el archive de manera que luzca as: (tome en cuenta el agregar el registro MX en la
lnea nmero 10)
$TTL 86400
@
IN
sys1
sys2
sys3
sys4
SOA
IN
IN
IN
NS
NS
MX
IN
IN
IN
IN
A
A
A
A
sys1.example.com. root.sys1.example.com.
2009060702
; serial
28800
7200
604800
86400 )
sys1.example.com.
sys2.example.com.
sys1.example.com.
10.1.1.1
10.1.1.2
10.1.1.3
10.1.1.4
protocols = pop3
# service dovecot start
# chkconfig dovecot on
11. Revise si hay un demonio escuchando en el Puerto 110, el Puerto de POP3.
# netstat -antp | grep 110
Ud. debera observar un demonio (dovecot) escuchando en este puerto.
12. Use telnet para configurar una conexin a localhost, puerto 110. Use comandos del
protocolo POP para revisar si algn mail para tux1 est presente. No borre el mensaje!
# telnet localhost 110
user tux1
pass tux1
list
retr 1
quit
Ahora haga login como tux2 y configure Evolution. Luego intente enviar
e-mail desde y hacia tux2 tambin.
Asimismo intente enviar correo a otros estudiantes en la clase.
Funciona?
Qu se debera hacer para que este ltimo paso funcione?
Observa
los
20. Deje el mensaje en la cola. Este eventualmente expirar, aunque probablemente no antes
de que la clase finalice.
Configuracin de Aliases
21. Agregue equipo como un alias para tux1 y tux2 al archivo /etc/aliases.
# vi /etc/aliases
Agregue la siguiente linea:
equipo:
tux1, tux2
22. Ejecute el comando newaliases para que los cambios de alias tomen efecto.
# newaliases
23. Enve un mensaje a equipo.
# mail equipo@example.com
24. Revise el correo para tux1 y tux2 para asegurar que su alias funciona.
Ejercicio 9: DHCP
De qu se trata este ejercicio
En este ejercicio Ud. configurar sistemas Linux para implementar funciones
de cliente y servidor DHCP.
Introduccin
En este ejercicio, el sistema router ser configurado como servidor DHCP y
todos los otros sistemas se configurarn como clientes. El servidor DHCP
proveer a los clientes con varios parmetros por su configuracin IP.
Instrucciones de Ejercicio
Configuracin de servidor DHCP
1. Junto con su compaero de equipo, decida qu sistema ser el servidor DHCP y qu
sistemas sern clientes.
Esta prctica asume que su servidor DHCP es 10.1.1.1.
2. Configure el servidor DHCP. Este debera proveer del nombre dominio, los servidores
DNS, la mscara de subred, el router por defecto, y la direccin IP a los clientes. Para el
rango de direcciones IP que cada servidor DHCP debera distribuir, consulte a su
instructor.
Para este ejercicio, asuma que el PC del instructor es el router por defecto para la red.
Use el archivo de configuracin (/etc/dhcpd.conf) de las diapositivas como modelo.
# vi /etc/dhcpd.conf
Edite el archivo de manera que luzca como sigue, pero aplique sus propios rangos de
direccionamiento IP, que sern asignados por el instructor.
max-lease-time 3600;
default-lease-time 600;
ddns-update-style none;
ddns-updates off;
option domain-name "example.com";
option domain-name-servers 10.1.1.1;
subnet 10.1.1.0 netmask 255.255.255.0 {
option routers 10.1.1.100;
option subnet-mask 255.255.255.0;
range 10.1.1.20 10.1.1.30;
}
3. Espere a que el instructor lo indique, e inicie el servidor DHCP (dhcpd).
# service dhcpd start
Introduccin
Para el resto de los ejercicios, Ud. trabajar en equipos. Seleccione un
sistema en su red para que sea su compaero de equipo. Ud. debe
coordinar con su compaero ya que depender de cada uno la finalizacin
de cada configuracin en el ejercicio, pues deber realizar montajes remotos
a nivel de cliente/servidor.
Seleccione un equipo para que sea el servidor NFS y el otro el cliente NFS.
Instrucciones de Ejercicio
Nota: Este ejercicio asume que tux1 en el servidor y tux1 en el cliente tienen el mismo UID. Este
puede no ser el caso: Red Hat y Fedora inician creando cuentas de usuario con UID 500, mientras
SuSE inicia en 1000. Por lo tanto, tener cuidado en referencia a esto.
$ logout
/etx/export (rw,no_root_squash)
Guarde el archive.
# exportfs -r -a
17. En el cliente y como usuario root, desmonte y luego monte el directorio /mnt/nfs
nuevamente. Cmbiese al directorio punto de montaje /mnt/nfs. Liste el contenido del
directorio. Intente editar el archivo rootfile nuevamente. Pudo hacerlo?
# cd
# umount /mnt/nfs
# mount sysy:/export /mnt/nfs
# cd /mnt/nfs
# ls -l
# vi /rootfile
/mnt/nfs
nfs
bg,hard,intr
0 0
Guarde el archivo.
20. Revise el montaje predefinido funcione correctamente.
# mount -t nfs -a
21. Asegrese de que el servicio que monta el filesystem NFS est activado cuando el sistema
arranca.
# chkconfig netfs on
22. Reinicie el sistema.
# shutdown -r now
23. Cuando el sistema ha reiniciado, haga login como root. Muestre la tabla de montaje para
asegurar que el montaje tom lugar. Cmbiese al directorio /mnt/nfs y muestre el archivo
tus1file montado desde el servidor de su compaero.
# mount
# cd /mnt/nfs
# cat tux1file
Administracin de Red y Seguridades
24. Desmonte el montaje preconfigurado. Revise la tabla de montaje para asegurarse de que
fue desmontada. Obtuvo un mensaje de error? _____________________
Si fue as, Por qu? ___________________________
Qu
necesita
hacer
para
desmontar
el
filesystem?
_______________________________________________________________________
Arregle el inconveniente, desmonte el filesystem, y revise para asegurarse de que fue
desmontado.
# umount /mnt/nfs
# cd
# umount /mnt/nfs
# mount
Introduccin
En este ejercicio Ud. configurar e instalar Squid como servidor de Proxy.
Esta aplicacin provee el servicio bsico para permitir compartir el acceso a
Internet de sus usuarios.
Instrucciones de Ejercicio
http_port 192.168.1.1:8080
icp_port 0
cache_mem 32 MB
cache_dir ufs /var/spool/squid 6000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
pid_filename /var/run/squid.pid
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 192.168.1.0/255.255.255.0
http_access allow allowed_hosts
http_access deny all
icp_access deny all
miss_access allow all
cache_effective_user squid
cache_effective_group squid
snmp_port 0
Guarde el archivo.
3. Inicie squid
# service squid start
4. Verifique que Squid escuche nicamente en la interfaz interna.
# netstat -an | less
Busque la lnea que indique el puerto 8080. Inmediatamente antes de 8080 debera estar
la direccin IP de la interfaz interna. Esto significa que nicamente las conexiones
entrantes en la interfaz interna en el puerto 8080 sern escuchadas.
5. En la estacin de trabajo verificar que todo vaya bien, cargando algunas pginas del
servidor del instructor.
Ingrese la direccin IP del servidor del instructor en su navegador. Ud. debera observar la
pgina web. Para asegurarse, haga clic en Reload. (Reload fuerza al servidor de Proxy a
recuperar la pgina nuevamente y no obtenerla de cach)
Recupere algunas otras pginas del servidor del instructor.
6. En el Proxy, observe los archivos de log del servicio de Proxy para observar lo que fue
recuperado.
# cd /var/log/squid
# less access.log
7. Observe el contenido del directorio de cach. Tambin observe el contenido de varios de
los archivos en esta jerarqua.
Administracin de Red y Seguridades
# cd /var/spool/squid
# ls -lR
# find . -type f
# less (cualquier archive de la lista generada por find)
8. Detener Squid.
# service squid stop
Introduccin
En este ejercicio Ud. implementar una configuracin en donde el servidor
NIS master almacena todos los nombres de usuarios y passwords. Sin
embargo, los usuarios siempre trabajaran en su propia estacin de trabajo,
ya que es all donde se encuentran sus archivos. Esto significa bsicamente
que nosotros tenemos que agregar la informacin de usuario al servidor NIS,
pero los archivos de datos de los usuarios se mantienen en el sistema
cliente.
Normalmente hay slo un dominio NIS con un servidor NIS master
funcionando en una red. Sin embargo, esto significa que solamente un
equipo observar el proceso de configuracin de un servidor NIS master; por
lo tanto, Ud. tendr equipos de 3 sistemas con cada servidor NIS. Recuerde,
en cada equipo, un sistema ser el servidor NIS master, uno el servidor NIS
esclavo y el otro ser el cliente NIS. (Los servidores master y esclavo sern
tambin clientes).
Para que todos tengan contacto con el proceso de configuracin de
servidores NIS, los usuarios en los sistemas designados como clientes NIS
deberan asistir y observar a los usuarios en los servidores NIS master y
esclavo.
Ud. y sus compaeros de equipo deben decidir qu sistemas sern master,
esclavo y cliente NIS. Su instructor asignar el nombre de dominio NIS de
cada equipo.
Instrucciones de Ejercicio
Preparacin para NIS
Esta seccin debera cumplirse en todos los sistemas.
1. Haga una copia de backup de /etc/passwd, /etc/shadow y /etc/hosts.
# cp /etc/passwd /etc/passwd.bck
# cp /etc/shadow /etc/shadow.bck
# cp /etc/hosts /etc/hosts.bck
2. Configure el nombre de dominio NIS para este instamte y para que el cambio se mantenga
luego del siguiente reinicio del sistema. Asegrese de que su configuracin PAM y del
archivo /etc/nsswitch.conf se actualicen para NIS tambin. Lo ms sencillo es hacerlo
usando la herramienta de configuracin que viene con su distribucin.
Nota: So Ud. usa la herramienta de configuracin que viene con su distribucin, necesita
configurar su sistema como si fuese un cliente, inicialmente. La herramienta de
configuracin entonces intentar automticamente agregar su sistema a un dominio NIS.
Pero debido a que el dominio NIS no est aun configurado, esto fallar luego de un tiempo.
No se preocupe por esto por ahora.
# domainname midominionis
# system-config-authentication
6. Asegrese de que los demonios de servidor master apropiados estn ejecutndose. Liste
los contenidos de /var/yp/<su_dominio_NIS> para observar la lista de mapas de
informacin creados durante la configuracin.
# ps ax | grep yp
# ls -al /var/yp/<su_dominio_NIS>
7. Verificar que est ligado al servidor NIS.
# ypwhich
8. Liste los contenidos del mapa de informacin passwd y revise las entradas contra ellos en
el archivo de entrada /etc/passwd. Qu paso con los contenidos de /etc/shadow? Haga lo
mismo con tux1.
# ypcat -k passwd
# ypcat -k passwd.byname
# ypcat -k passwd.byuid
# cat /etc/passwd
9. Haga logout de tux1 y nuevamente haga login.
10. Observe si puede ejecutar el comando ypcat tambin. considera esto un riesgo de
seguridad?
# $ ypcat -k passwd
11. Ahora que se ha logueado exitosamente la primera vez, ejecute el comando yppasswd
para asignarse a si mismo un nuevo password que actualizar el mapa de informacin
passwd automticamente con su nuevo password.
$ yppasswd
Changing NIS password for tux1
Old NIS password: tux1
tux1s new password: lpic2008
Enter the new password again: lpic2008
12. Ejecute el commando ypcat nuevamente. Cambio su password?
$ ypcat -k passwd
13. Agregue un nuevo usuario a su sistema, tux3. Luego ejecute el comando make en el
directorio /var/yp para agregar esta cuenta de usuario a sus mapas NIS tambin.
# su - root
# ypcat passwd
# useradd -m tux3
# passwd tux3
# cd /var/yp
# make
# ypcat passwd
16. Edite ela rchivo /etc/hosts para que contenga slo dos entradas: para su sistema y para el
local loopback
# vi /etc/hosts
17. Inicie el demonio de cliente NIS, ypbind.
# service ypbind start
18. Verifique que se ha ligado al servidor NIS master.
# ypwhich
19. En una Terminal virtual, haga login como tux2.
20. Ahora que Ud. ha hecho login exitosamente en la primera vez, ejecute yppasswd para
asignarse un nuevo password.
$ yppasswd
Changing NIS password for tux2
Old NIS password: tux2
tux2s new password: lpic2008
Enter the new password again: lpic2008
NIS password changed on sysx
21. Muestre el mapa de informacin passwd del servidor NIS master usando el comando
ypcat. Observe su cuenta. Tambin despliegue su archivo /etc/passwd.
$ ypcat -k passwd
$ cat /etc/passwd
# ls -la /var/yp/su_nombredominio
29. Liste los contenidos del mapa de informacin passwd y revise las entradas contra las
existentes en el archivo fuinte /etc/passwd.
# ypcat -k passwd
# cat /etc/passwd
30. Trabajando con sus compaeros, baje el servidor NIS master.
En la mquina servidor NIS master ejecute:
# service ypserv stop
31. Trabajando con sus compaeros, ejecute el comando ypwhich en el cliente NIS para
desplegar el servidor al que est ligado. Si el servidor no ha conmutado al servidor
esclavo, espere unos segundos e intente el comando ypwhich nuevamente.
En el cliente:
# ypwhich
Espere unos segundos:
# ypwhich
32. Reinicie el servidor NIS master.
En el master NIS.
# service ypserv start
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar LDAP. Uno de Uds. implementar un servidor LDAP master y el
otro un servidor LDAP esclavo.
Instrucciones de Ejercicio
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor LDAP master y quien
ser el servidor esclavo. Ambos implementarn la configuracin cliente.
2. Junto con su compaero de equipo, decida el Base DN que utilizar, si su instructor no le
ha dado uno ya. Debera ser algo como dc=example,dc=com.
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
access to attrs=userPassword
by self write
by anonymous auth
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * none
access to attrs=gecos
by self write
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
access to attrs=loginShell
by self write
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
access to *
by dn.base="uid=root,ou=People,dc=example,dc=com" write
by * read
Cambie los parmetros suffix, rootdn y rootpw de manera que se vean como sigue:
suffix "dc=example,dc=com"
rootdn "uid=root,ou=People,dc=example,dc=com"
Administracin de Red y Seguridades
rootpw secret
Guarde el archivo.
4. Cmbiese al directorio de herramientas de migracin y migre toda la informacin de
autenticacin a LDAP.
# cd /usr/share/openldap/migration
# vi migrate_common.ph
Cambie las variables $DEFAULT_MAIL_DOMAIN y $DEFAULT_BASE de manera que
luzcan como sigue:
$DEFAULT_MAIL_DOMAIN = "example.com";
$DEFAULT_BASE = "dc=example,dc=com";
Guarde el archivo.
5. Haga una ejecucin de prueba de migrate_all_offline.sh.
La experiencia ha mostrado que este script funcionar luego de algunos cambios. Algunas
de las causas ms comunes de error son:
- Archivos origen que no existen, particularmente /etc/netgroup
- Caracteres ilegales en algunos archivos fuente, particularmente tp++
en /etc/protocols y whois++ en /etc/services
- Rangos de nmeros de puertos en lugar de nmeros de puerto nicos
en /etc/services
- Entradas duplicadas en archivos fuente, particularmente echo en
/etc/services y localhost en /etc/hosts
Si Ud. recibe errores al ejecutar el script migrate_all_offline.sh, intente corregir estos
problemas conocidos primeramente, comentando las entradas identificadas en los archivos
mencionados anteriormente. Si eso no basta, modifique el script migrate_all_offline.sh de
manera que el archivo /tmp/nis.ldif.version no sea borrado despus para poder darnos
cuenta que sali mal dentro de este archivo el error tpicamente incluye un nmero de
lnea de este archivo, que debera darle una pista.
Antes de cada nueva ejecucin del script migrate_all_offline.sh, asegrese de borrar todos
los archivos creados en /var/lib/ldap.
# ./migrate_all_offline.sh
Para arreglar algunos problemas:
# vi /etc/services
Comente el protocolo echo 4/ddp. (Este hace conflicto con echo 7/tcp y con echo 7/udp).
# touch /etc/netgroup
# vi /etc/protocols
Comente el protocolo tp++
# vi /etc/services
Comente el protocolo whois++, tanto para tcp como para udp.
# vi /etc/services
Borre cualquier lnea que describa un nmero de puerto mayor que 1024. La experiencia
ha mostrado que hay muchas entradas incompatibles aqu.
Esta es la forma ms fcil de borrar estas lneas, utilizando el comando vi: :2000,$d
# vi /etc/hosts
Comente la lnea ::1 localhost
Administracin de Red y Seguridades
Trabajo con GQ
Los siguientes pasos pueden ejecutarse ya sea en el servidor esclavo y master.
8. Revise si gq est instalado. Si no lo est, instlelo. En su CD de informacin y material del
mdulo podr encontrar el rpm de esta aplicacin.
# rpm -q gq
Si gq no est instalado:
# rpm -ihv --nodeps gq-version.rpm
9. Asegrese de iniciar la interfaz grfica. Luego inicie el cliente gq. Vaya a File, Preferentes.
En el tab de Servers, borre el servidor localhost y agregue una entrada para su servidor
LDAP master. No configure an Bind DN o Bind Password. Salga de gq y reincielo
nuevamente. Luego intente explorar su servidor master LDAP. Puede encontrar a tux1?
Puede ver el password de tux1?
10. En gq, intente cambiar el campo gecos de tux1. Funciona?
11. Vaya a File, Preferentes, nuevamente. En el tab Servers, seleccione su servidor y clic en
Edit. En el tab Details, configure Bind DN y Bind Password de manera que Ud. se ligue
al dominio como tux1. (Configure Bind DN=uid=tux1,ou=People,dc=example,dc=com y
Bind Password con el password de tux1). Salga de gq e incielo nuevamente. Puede
observar el password de tux1 y tux2? Ahora intente cambiar el campo gecos de tux1
nuevamente. Funciona ahora? Puede cambiar otros campos? Puede cambiar el
campo gecos de tux2?
12. Vaya a File; Preferentes, de nuevo. En el tab Servers, seleccione su servidor y haga clic en
Edit. En el tab Details, configure Bind DN y Bind Password para que correspondan con
rootdn y rootpw que configur en /etc/openldap/slapd.conf.
Ahora intente cambiar el campo gecos de tux1 y tux2 nuevamente. Funciona?
Para una referencia posterior, anote el password encriptado de tux1 y tux2.
# vi /etc/openldap/ldap.conf
HOST sys1.example.com
BASE dc=example,dc=com
14. Use ldapsearch para buscar la entrada que describe a tux1. No se ligue al dominio como
ningn usuario en particular? Solamente obtenga la salida LDIF plana, ningn comentario.
Puede ver el password del usuario?
# ldapsearch -x -LLL "(uid=tux1)"
15. Use el mismo comando ldapsearch nuevamente, pero ahora lguese como tux1. Puede
ver el password ahora?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux1)"
16. Usando las mismas credenciales, busque la entrada que describe a tux2. Puede ver el
password de tux2?
# ldapsearch -x -LLL -W -D "uid=tux1,ou=People,dc=example,dc=com" "(uid=tux2)"
17. Ahora lguese al dominio como el Root DN, e intente ver las entradas para tux1 y tux2
nuevamente.
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux1)"
# ldapsearch -x -LLL -W -D "uid=root,ou=People,dc=example,dc=com" "(uid=tux2)"
18. Use el comando ldapmodify para cambiar el campo gecos de tux1.
# ldapmodify -x -D "uid=tux1,ou=People,dc=example=com" -W << END
> dn: uid=tux1,ou=People,dc=example,dc=com
> changetype: modify
> replace: gecos
> gecos: Tux the Penguin (1)
> > END
Replicacin LDAP
Administracin de Red y Seguridades
/etc/openldap/schema/core.schema
/etc/openldap/schema/cosine.schema
/etc/openldap/schema/inetorgperson.schema
/etc/openldap/schema/nis.schema
/etc/openldap/schema/misc.schema
by * read
28. Copie el archivo exportado LDAP desde el servidor master al esclavo, e imprtelo a la
base de datos LDAP local.
# scp sys1.example.com:/tmp/ldap-export.ldif /tmp
# rm -fr /var/lib/ldap/*
# slapadd -l /tmp/ldap-export.ldif
# chown -R ldap.ldap /var/lib/ldap
En el servidor master LDAP ejecute los siguientes pasos:
29. Inicie gq nuevamente y cambie el campo gecos de tux2.
# gq
30. Observe el archivo /var/lib/ldap/master-slapd.replog y observe los contenidos del directorio
/var/lib/ldap/replica.
# cat /var/lib/ldap/master-slapd.replog
Este archivo debera estar vaco: El demonio slapd almacena sus modificaciones aqu,
pero slurpd las borra inmediatamente. Las modificaciones son ordenadas por sistema y
almacenadas en el directorio propio de slurp, /var/lib/ldap/replica.
# ls -l /var/lib/ldap/replica
En el servidor LDAP esclavo ejecute los siguientes pasos:
31. Inicie el servidor LDAP. Verifique que nicamente el demonio slapd fue iniciado.
# service ldap start
32. Use gq para explorar el servidor LDAP esclavo. Asegrese de que Ud. no se ligue al
dominio como Root DN al servidor esclavo. Se replic el cambio? Haga otro cambio al
campo gecos de tux1 en el servidor master, luego de un vistazo al servidor esclavo
nuevamente. Qu sucedi? se replic ahora el cambio?
Introduccin
En este ejercicio, Ud. deber trabajar con un compaero de equipo para
implementar NTP. Uno de Uds. implementar un servidor NTP master que
es esclavo del reloj local y el otro implementar un cliente de tiempo que es
esclavo del anterior sistema.
Instrucciones de Ejercicio
Todos los sistemas
1. Junto con su compaero de equipo, decida quien ser el servidor de tiempo NTP y quien el
cliente de tiempo.
2. Tanto en el servidor como en el cliente de tiempo, haga login como root e inicie el
ambiente grfico, de ser necesario. Abra tres ventanas terminales,. En una de ellas, inicie
un tail -f /var/log/messages, y en la segunda ventana, match ntpq -c hostnames no
-c rl c peers. Esto muestra un reloj simple y algo de informacin de debugging. La tercera
ventana se usar para ingresar comandos.
Nota: Si est logueado usando una GUI, Ud. puede tambin utilizar el reloj presentado por
esa interfaz, mientras se asegura de que este reloj le muestre el contador de segundos.
3. Verificar que el paquete ntp est instalado. Note que en distribuciones anteriores el
demonio NTP se llamaba xntpd y ahora ntpd. Consecuentemente, el script de inicio
puede llamarse ntpd o xntpd.
server 127.127.1.0
driftfile /etc/ntp/drift
authenticate no
Borre o comente todas las otras lneas en el archivo, particularmente las lneas restrict.
5. Verifique que el tiempo en su sistema sea ms o menos correcto en comparacin con un
reloj de pared o uno de pulsera. De ser necesario, configure el tiempo usando el comando
date.
De ser necesario
# date MMDDhhmmCCYY.ss
6. Inicie el servidor de tiempo.
# service ntp start
7. Observe la salida de los comandos ntpq. Espere hasta que el stratum de su sistema no
sea ms 16. Esto podra tomar varios minutos.
driftfile /etc/ntp/drift
authenticate no
9. Usando el comando date configure el tiempo de manera que este sistema este un minuto o
mas atrasado o adelantado.
# date MMDDhhmmCCYY.ss
10. Inicie el servidor de tiempo.
# service ntpd start
11. Observe el archivo de log y observe el reloj improvisado. Ud. observar que el tiempo
automticamente se ajusta al servidor de tiempo. (esto podra tomar cinco minutos o ms)
Introduccin
En este ejercicio Ud. instalar Linux en la mquina que ser su firewall, as
como la Workstation. Adems configurar la conexin local entre los dos a
travs de un cable cruzado.
Materiales Requeridos
CDs de instalacin de CentOS 5.2 o superior.
250 MB
100 MB
250 MB
4000 MB
250 MB
250 MB
250 MB
512 MB
Instalacin de la Workstation
2. Esta Worksation necesita ser una estacin estndar Gnome o KDE. Asegrese de instalar
las Development Tools. No configure las interfaces de red y deshabilite el firewall y SE
Linux durante el proceso de instalacin.
Cree tambin dos cuentas de usuario: tux1 y tux2, con contraseas iguales a los nombres
de usuario.
Reforzando el Firewall
3. Regrese al firewall y haga login como root.
4. Revise si existen actualizaciones importantes para su distribucin, descrguelas de
Internet e instlelas.
Nota: Dependiendo de la cantidad de actualizaciones para su distribucin, y de la
velocidad de la conexin a Internet, este paso puede tomar varias horas. Puede desear
diferir este paso para realizarlo durante la noche.
# yum update
5. Configure una contrasea para el boot loader GRUB que los usuarios tengan que ingresar,
antes de ser capaces de arrancar el sistema con opciones especficas. (No use el
password de root aqu use otro diferente, pero no lo olvide).
Administracin de Red y Seguridades
# grub
grub> md5crypt
Password: <escriba el password de GRUB>
Encrypted: $1$6mtCx/$x/hrZyOo/JAOZspSoftTZA/
grub> quit
# vi /boot/grub/grub.conf
Agregue la lnea correspondiente al password encriptado que obtuvo en el paso anterior,
luego de la lnea de timeout.
password $1$6mtCx/$x/hrZyOo/JAOZspSoftTZA/
Guarde el archivo
6. Configure el lmite de timeout en 1 hora para todos los usuarios y todas las sesiones.
# vi /etc/profile
Agregue la siguiente lnea:
export TMOUT=3600
7. Liste todos los puertos abiertos para observar los servicios de red que estn habilitados:
# netstat -anut | less
8. Haga una lista de todos los servicios que estn iniciados:
# chkconfig --list | grep on | sort
9. Deshabilite todos los servicios innecesarios:
# chkconfig acpid off
Deshabilite todos los servicios no deseados. Deje nicamente los siguientes servicios
ejecutndose.
- anacron
- atd
- cron
- cpuspeed
- gpm
- irqbalance
- microcode_ctl
- network
- random
readahead
- readahead_early
- sendmail
- smartd
- syslog
10. Edite el archivo /etc/fstab y agregue opciones de filesystem para hacer el acceso un poco
ms seguro.
# vi /etc/fstab
El archivo debera lucir ms o menos as.
Administracin de Red y Seguridades
LABEL=/
LABEL=/boot
LABEL=/home
LABEL=/tmp
LABEL=/usr
LABEL=/usr/local
LABEL=/var
/
/boot
/home
/tmp
/usr
/usr/local
/var
ext3
ext3
ext3
ext3
ext3
ext3
ext3
defaults
defaults,noexec,nosuid,nodev
defaults,nosuid,nodev
defaults,nosuid,nodev
defaults,ro,nodev
defaults,ro,nodev
defaults,noexec,nosuid,nodev
11
12
12
12
12
12
12
# mount
Nota: Estos pasos se ejecutaron en la mquina virtual. Para efecto prctico, decida en la red del
laboratorio cual ser el host firewall y cul ser la Workstation en los equipos de trabajo y ejecute
en el sistema operativo preinstalado los pasos anteriores que sean posibles y apague la mquina
virtual.
Configuracin del enlace entre el firewall y la workstation
Nota: Estos pasos deben ejecutarse en las mquinas fsicas.
20. Tanto en firewall como Workstation, compruebe que el cable cruzado que emula la
conexin local de su grupo est adecuadamente configurada con los parmetros que
indica el instructor.
21. Una vez que funcione adecuadamente el enlace, configure el archivo /etc/hosts en el
firewall y la Workstation de manera que todas las interfaces visibles de cada mquina
estn incluidas.
Asegrese de que su hostname corresponda al nombre incluido en el archivo /etc/hosts.
En el firewall:
# hostname -f
La salida debera ser fw.teamnn.ec Si no es el caso haga lo siguiente:
# hostname fw.teamnn.ec
# vi /etc/sysconfig/network
Cambie aqu el nombre de host a fw.teamnn.ec.
# vi /etc/hosts
El archivo debera lucir as ms o menos (dependiendo de su propia configuracin):
127.0.0.1
10.0.0.1
192.168.1.1
192.168.1.2
loc alhost.localdomain
fw.team1.ec
fw-in.team1.ec
ws.team1.ec
localhost
fw
fw-in
ws
En la workstation:
# hostname -f
La salida debera ser ws.teamnn.ec Si no es el caso haga lo siguiente:
# hostname ws.teamnn.ec
# vi /etc/sysconfig/network
Cambie aqu el nombre de host a ws.teamnn.ec.
# vi /etc/hosts
El archivo debera lucir as ms o menos (dependiendo de su propia configuracin):
127.0.0.1
192.168.1.1
192.168.1.2
localhost.localdomain
fw-in.team1.ec
ws.team1.ec
localhost
fw-in
ws
22. En el firewall, verifique que el archivo /etc/resolv.conf liste el servidor del instructor como su
servidor de nombres. En la Workstation, verifique que el archivo /etc/resolv.conf est vaco.
En el firewall:
# vi /etc/resolv.conf
El archivo debera contener algo as:
search team1.ec
nameserver 10.0.0.100
En la Workstation:
# vi /etc/resolv.conf
El archivo debera estar vaco.
Introduccin
En este ejercicio de laboratorio Ud. enviar y recibir varios paquetes
TCP/IP y podr observar el registro de los mismos mediante tcpdump.
Luego diseccionar estos paquetes para observar su contenido. Esto le dar
una introspectiva del protocolo TCP/IP y le preparar para reconocer varias
trazas de tcpdump. Luego proceder a alterar algunas opciones del kernel
para TCP/IP.
6. En el firewall, verifique que los demonios xinetd y telnet estn presentes y habilitados. Si
no, habiltelos o instlelos.
7. Inicie tcpdump nuevamente como en el caso anterior, esta vez volcando la salida del
comando al archivo tcpdumo.telnet.
# tcpdump -i eth0 -l -n -x | tee tcpdump.ping
8. Desde la workstation, intente hacer telnet al firewall como root. No ser permitida la
conexin pues a root no se le permite hacer login remotamente, pero le dar una idea
general.
# telnet fw
Al intentar hacer login obtendremos un error.
9. En el firewall termine el comando tcpdump. Observe los contenidos del archivo
tcpdump.telnet. Trate de interpretar los primeros tres paquetes como anteriormente (estos
paquetes contienen la secuencia TCP de startup). Note que telnet, luego de que la
conexin TCP ha sido establecida pero antes de enviar cualquier dato de usuario que
pueda leerse, intenta negociar el tipo de terminal y algunas otras cosas.
10. Intente descubrir el password que fue provisto. (En la cabecera TCP de cada paquete, el
nmero entre corchetes es la cantidad de informacin en el paquete. El password est
dividido en mltiples paquetes: un paquete para cada carcter. De modo que busque
paquetes desde la Workstation al firewall que contengan solamente 1 byte de datos. Los
ltimos bytes en estos paquetes para el password.)
11. Mantenga el servicio telnet ejecutndose.
Configuracin de opciones de red de kernel
12. Edite el archivo /etc/sysctl.conf. Este debea contener todas las opciones de kernel
mencionadas en las diapositivas. Verifique que todo funcione, ejecutando el comando
sysctl con las opciones apropiadas para cargar el archivo /etc/sysctl.conf.
# vi /etc/sysctl.conf
Asegrese de que las siguientes lneas se encuentren en el archivo. Algunas ya estarn
presentes.
Guarde el archivo.
# sysctl -p /etc/sysctl.conf
Si obtiene errores, corrjalos.
# cat /proc/sys/net/ipv4/tcp_syncookies
La salida debera ser 1, pues eso es lo que se configur.
13. Reinicie su sistema para verificar que todas las opciones fueron configuradas
correctamente.
14. Verifique que las opciones de kernel especficas de dispositivo han sido configuradas
tambin.
# cat /proc/sys/net/ipv4/conf/eth0/rp_filter
La salida, como se la configur, debera ser 1.
pueden ser usadas para la LAN local que simula el Internet. No incluya ese rango en las
reglas posteriores de iptables.
10.0.0.0/8
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
# iptables -A OUTPUT -o eth1 -d 10.0.0.0/8 -j DROP
172.16.0.0/12
# iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
# iptables -A OUTPUT -o eth1 -d 172.16.0.0/12 -j DROP
192.168.0.0/16
# iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.0.0/16 -j DROP
127.0.0.0/8
# iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j DROP
# iptables -A OUTPUT -o eth1 -d 127.0.0.0/8 -j DROP
0.0.0.0 y 255.255.255.255
# iptables -A INPUT -i eth1 -s 0.0.0.0/32 -j DROP
# iptables -A OUTPUT -o eth1 -d 255.255.255.255/32 -j DROP
10. Configure las reglas de iptables para permitir pings entrantes y salientes y otros paquetes
ICMP hacia y desde su direccin IP.
Ping ICMP entrante
# iptables -A INPUT -i eth1 -p icmp -s 0.0.0.0/0 -d 10.0.0.1 --icmp-type 8 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p icmp -s 10.0.0.1 -d 0.0.0.0/0 --icmp-type 0 -j ACCEPT
Destination Unreachable
# iptables -A INPUT -i eth1 -p icmp -s 0.0.0.0/0 -d 10.0.0.1 --icmp-type 3 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p icmp -s 10.0.0.1 -d 0.0.0.0/0 --icmp-type 3 -j ACCEPT
11. Configure las reglas de iptables para permitir conexiones tcp y udp salientes en la interfaz
externa.
TCP saliente
# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 1024: -d any/0 --dport :1023 -j ACCEPT
# iptables -A INPUT -i eth1 -p tcp -s any/0 --sport :1023 -d 10.0.0.1 --dport 1024: -j ACCEPT
Administracin de Red y Seguridades
UDP saliente
# iptables -A OUTPUT -o eth1 -p udp -s 10.0.0.1 --sport 1024: -d any/0 --dport :1023 -j ACCEPT
# iptables -A INPUT -i eth1 -p udp -s any/0 --sport :1023 -d 10.0.0.1 --dport 1024: -j ACCEPT
12. Configure las reglas iptables para rechazar (REJECT) las peticiones entrantes IDENTD en
lugar de descartarlas (DROP).
# iptables -A INPUT -i eth1 -p tcp -s 0.0.0.0/0 -d 10.0.0.1 -dport 113 -j REJECT
Verificacin de reglas
13. Desde la estacin de trabajo, verifique que se pueda:
a. Hacer ping al firewall
b. Hacer telnet al firewall
14. Desde el firewall verifique que pueda:
a. Hacer ping a la Workstation
b. Hacer ping a la mquina del instructor
c. Hacer telnet a la mquina del instructor
15. Desde la mquina del instructir verificar que pueda:
a. Hacer ping al firewall
Verificar que no pueda:
b. Hacer telnet al firewall
c. Hacer ping a la Workstation
d. Hacer telnet a la Workstation
Network Address Translation
16. Configure NAT de manera que todas las conexiones tcp, udp e icmp de la mquina cliente
a un servidor en Internet sea enmascaradas. Luego, active IP forwarding y asegrese de
que est encendido luego de cada reinicio.
Reglas de enmascaramiento para TCP/UDP/ICMP:
# iptables -t nat -A POSTROUTING -o eth1 -p tcp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o eth1 -p udp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o eth1 -p icmp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j MASQUERADE
Reglas FORWARD para TCP/UDP/ICMP eth0 <-> eth1
# iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j ACCEPT
# iptables A FORWARD -i eth1 o eth0 p tcp s ! 192.168.1.0/24 --sport :1023 -d
192.168.1.0/24 --dport 1024: -j ACCEPT
# iptables -A FORWARD -i eth0 -o eth1 -p udp -s 192.168.1.0/24 --sport 1024: -d !
192.168.1.0/24 --dport :1023 -j ACCEPT
Administracin de Red y Seguridades
Panic iptables
22. Ejecute una denegacin de pnico de todos los paquetes. Verifique que de hecho todas las
conexiones son imposibles desde, hacia y a travs del firewall.
# service iptables panic
Nota: No haga esto si est conectado al firewall a travs de una conexin de red. Pues su
conexin tambin se cortar.
Administracin de Red y Seguridades
Introduccin
Introduccin
# vim /etc/named.conf
Cambie el archivo de manera que luzca ms o menos as:
options {
directory "/var/named";
forward only;
forwarders { 192.168.1.1; };
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndckey; };
};
zone "team1.com" IN {
type master;
file "named.team1.com";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.1";
};
zone "localhost" IN {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
};
include "/etc/rndc.key";
Guarde el archivo.
3. Verifique que el archivo /etc/rndc.key exista. Si no existe, crelo.
# rndc-confgen a
Ahora el archivo /etc/rndc.key debera existir.
Administracin de Red y Seguridades
fw
fw-in
ws
IN
IN
IN
IN
SOA
NS
A
A
A
ws.team1.ec.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ws.team1.ec.
10.0.0.1
192.168.1.1
192.168.1.2
Guarde el archivo.
5. Cree el archivo de zonas IP (named.192.168.n). Este archivo debera contener todas las
direcciones IP de todos los hosts en su Intranet.
# vim /var/named/named.192.168.1
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
SOA
ws.team1.ec.
IN
IN
IN
NS
PTR
PTR
ws.team1.ec.
fw-in.team1.ec.
ws.team1.ec.
1
2
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
6. Cree el archivo de zonas de nombre local (localhost.zone). Este archivo debera contener a
localhost.
# vim /var/named/localhost.zone
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
SOA
ws.team1.ec.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN
localhost. IN
NS
A
ws.team1.ec.
127.0.0.1
Guarde el archivo.
7. Cree el archivo de zona IP local (named.local). Este archivo debera contener a localhost.
# vim /var/named/named.local
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
SOA
ws.team1.ec.
IN
IN
NS
PTR
ws.team1.ec.
localhost.
root.ws.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
8. Modifique el archivo /etc/resolv.conf de manera que contenga su nombre de dominio y
apunte a su direccin local.
# vim /etc/resolv.conf
Modifique el archivo de manera que luzca as.
domain team1.ec
nameserver 127.0.0.1
Guarde el archivo.
9. Inicie el servidor de nombres y verifique que todo funcione.
# service named start
# tail -100 /var/log/messages | grep named | less
No deberan mostrarse mensajes de error.
# host fw.team1.ec
La respuesta debera ser 10.0.0.1
# host fw-in.team1.ec
La respuesta debera ser 192.168.1.1
# host ws.team1.ec
La respuesta debera ser 192.168.1.2
# host 10.0.0.1
La respuesta debera ser fw.team1.ec
# host 192.168.1.1
La respuesta debera ser fw-in.team1.ec
Administracin de Red y Seguridades
# host 192.168.1.2
La respuesta debera ser ws.team1.ec
10. Asegrese de que el servicio named se inicie cada vez que el sistema reinicie.
# chkconfig named on
allow-update { none; };
allow-query { any; };
allow-transfer { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
"named.local";
allow-update{ none; };
allow-query { any; };
allow-transfer { none; };
};
include "/etc/rndc.key";
Guarde el archivo.
12. Verifique que el archivo /etc/rndc.key exista. Si no existe, crelo.
# rndc-confgen a
Ahora el archivo /etc/rndc.key debera existir.
13. Cree el archivo de zonas de nombres (named.teamn.ec). Este archivo debera contener
todos los nombres de todos los hosts en su DMZ.
# vim /var/named/named.team1.ec
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
fw
IN
IN
SOA
fw.team1.ec.
NS
A
fw.team1.ec.
10.0.0.1
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
14. Cree el archivo de zonas IP (named.10.0.0). Este archivo debera contener las direcciones
IP y nombres de dominio del firewall en el lado de Internet.
# vim /var/named/named.10.0.0
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
IN
SOA
fw.team1.ec.
NS
fw.team1.ec.
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN
PTR
fw.team1.ec.
Guarde el archivo.
15. Cree el archivo de zonas de nombre local (localhost.zone). Este archivo debera contener a
127.0.0.1.
# vim /var/named/named/localhost.zone
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
localhost
IN
IN
SOA
fw.team1.com.
NS
A
fw.team1.ec.
127.0.0.1
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
16. Cree el archivo de zonas IP local (named.local). Este archivo debera contener a localhost.
# vim /var/named/named.local
Cambie el archivo, de manera que luzca as:
$TTL 86400
@
IN
SOA
fw.team1.ec.
IN
IN
NS
PTR
fw.team1.ec.
localhost.
root.team1.ec. (
2000050900 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
Guarde el archivo.
17. Cree el archivo de hints (named.ca). Este archivo debera contener la direccin IP del
servidor del instructor, dado que este host funcionar como el servidor de nombres raz
para este ejercicio.
# vim /var/named/named.ca
Cambie el archivo, de manera que luzca as:
$TTL 86400
.
www.instructor.ec.
Guarde el archivo.
IN
IN
NS
A
www.instructor.ec.
10.0.0.100
Login:team1
Password: team1
$ host fw.team1.ec
Este host debera ser desconocido
$ host 10.0.0.1
La respuesta debera ser fw.team1.ec
$ host 192.168.1.1
Este host debera ser desconocido
$ host 192.168.1.2
Este host debera ser desconocido
23. En la Workstation, pruebe si el reenvo funciona.
# host www.instructor.ec
La respuesta debera ser 10.0.0.100.
Modificar las reglas de iptables
24. Modifique las reglas de iptables de manera que las consultas DNS entrantes y salientes
(tanto tcp como udp) del internet al firewall y viceversa estn permitidas.
# service iptables start
# iptables -A INPUT -i eth1 -p tcp -s any/0 --sport 1024: -d 10.0.0.1 --dport 53 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p tcp -s 10.0.0.1 --sport 53 -d any/0 --dport 1024: -j ACCEPT
# iptables -A INPUT -i eth1 -p udp -s any/0 --sport 1024: -d 10.0.0.1 --dport 53 -j ACCEPT
# iptables -A OUTPUT -o eth1 -p udp -s 10.0.0.1 --sport 53 -d any/0 --dport 1024: -j ACCEPT
Introduccin
# rpm q dovecot
# vim /etc/dovecot.conf
Modifique la lnea protocols de modo que luzca as:
protocols = pop3
# service dovecot restart
# chkconfig dovecot on
3. Cambie el archivo named.team1.ec de manera que el registro MX para su dominio sea la
Workstation. No olvide incrementar el serial. Luego reinicie el demonio named.
# vim /var/named/named.team1.ec
Cambie el archivo de manera que luzca como sigue:
$TTL 86400
@
IN
fw
fw-in
ws
IN
IN
IN
IN
IN
SOA
NS
MX
A
A
A
ws.team1.ec.
10
root.ws.team1.ec. (
2000050901 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ws.team1.ec.
ws.team1.ec.
10.0.0.1
192.168.1.1
192.168.1.2
Guarde el archive.
# service named restart
4. Cmbiese al entorno GUI y haga login como tux1. Inicie un cliente de correo y configrelo
de manera que tux1 sea capaz de enviar correo y de recibirlo. Use su workstation como
servidor de correo saliente (SMTP) y entrante (POP3).
Nota: su direccin de correo electrnico es tux1@team1.ec y no tux1@ws.team1.ec.
5. Intente enviar un correo a Ud. mismo.
Configuracin del mail relay
En esta seccin, Ud. configurar un mail relay. Estos pasos deben cumplirse en su firewall.
6. En el firewall, configure el mail relay.
# cd /etc/mail
# vi Access
Agregue la siguiente lnea.
team1.ec RELAY
Administracin de Red y Seguridades
Guarde el archivo.
# vim mailertable
Agregue la siguiente lnea.
team1.ec smtp:ws.team1.ec
# make
# vim sendmail.mc
Comente la lnea que contiene DAEMON_OPTIONS de modo que luzca as:
dnl DAEMON_OPTIONS(Port=smtp,Addr=127.0.0.1, Name=MTA)dnl
Guarde el archivo.
# m4 sendmail.mc > sendmail.cf
# chkconfig sendmail on
# service sendmail restart
7. Cambie el archivo named.team1.ec en el firewall de manera que el registro MX para su
dominio apunte al firewall. No olvide incrementar el valor del serial. Reinicie el demonio
named.
# vim /var/named/named.team1.ec
Cambie el archivo de manera que luzca as:
$TTL 86400
@
IN
fw
IN
IN
IN
SOA
NS
MX 10
A
fw.team1.ec.
root.team1.ec. (
2000050901 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
fw.team1.ec.
fw.team1.ec.
10.0.0.1
Guarde el archivo.
# service named restart
8. Agregue reglas de iptables de manera que permita conexiones SMTP entrantes.
# service iptables restart
# cd /etc/mail
# vi Access
Agregue la siguiente lnea:
team2.ec REJECT
Guarde el archivo.
# make
# service sendmail restart
14. Desde la red de sus compaeros en el dominio team2.ec intente enviar un mensaje a su
dominio (team1.ec). Qu sucede?
15. Bloquee todos los mensajes desde el dominio de sus compaeros, esta vez utilizando la
clusula DISCARD. (Sendmail)
# cd /etc/mail
# vi Access
Cambie la siguiente lnea as:
team2.ec DISCARD
Guarde el archivo.
# make
# service sendmail restart
16. Desde la red de sus compaeros intente enviar otro mensaje a su propia red. Qu sucede
ahora?
17. Borre los bloqueos de su servidor de correo para que pueda continuar con la prctica.
MailScanner (en el firewall)
Nota: Antes de instalar el MailScanner, asegurarse de que sendmail est funcionando
adecuadamente puesto que de aqu en adelante MailScanner tomar control del ser vicio de
correo electrnico.
18. Instalar el paquete MailScanner descargado de la web o solicitar el mismo al instructor.
# tar zxvf MailScanner*.tar.gz
# cd MailScanner*
# ./install.sh
Si hacen falta dependencias, el proceso de instalacin nos indicar cules instalar.
19. Asegurar que MailScanner tome el control del servicio de correo y que se levante cada vez
que reinicie la mquina.
# chkconfig sendmail off
# service sendmail stop
# chkconfig MalScanner on
Administracin de Red y Seguridades
Todo correo que supere el valor de 6, ser marcado como Alto riesgo, y ser borrado.
26. Reiniciar el servicio de correo (OJO)
# service MailScanner restart
Administracin de Red y Seguridades
Pruebas de funcionamiento
27. En el servidor de correo (mail relay - firewall) donde se instalaron las herramientas de
antivirus y antispam monitorear el contenido de los logs en /var/log/maillog.
# tail f /var/log/maillog
28. Enviar un correo desde la workstation usando el usuario tux1 dirigido a tux1. Adjuntando,
en primera instancia un archivo de prueba que siempre debera ser reconocido como virus.
Solicite a su instructor este archivo. (Descargarlo de aqu:
http://www.eicar.org/anti_virus_test_file.htm)
29. Una vez que enve el mail con el adjunto, verifique en los logs que sea reconocido como
virus.
30. Para comprobar los filtros antispam enve un nuevo mail poniendo en el cuerpo del
mensaje la siguiente lnea.
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Introduccin
En este ejercicio Ud. configurar una VPN entre dos equipos (team) del
laboratorio. Esta VPN permitir que las dos redes de estos equipos puedan
comunicarse entre s a travs de sus firewall cuya conexin simular ser el
Internet. La comunicacin entre los firewall transitar a travs de las
interfaces virtuales (tun) que se crearn al instalar la herramienta OpenVPN.
ca.crt
ca.key
server.key
server.crt
dh1024.pem
En el caso por supuesto de que haya creado los certificados del cliente con el nombre
clienteX. Si no, depender de los Common Name que haya utilizado.
Nota: La transferencia de estos archivos debe hacerse de manera segura, utilizando
cifrado de la informacin o algn medio magntico pues se trata de las claves de
encriptacin de los clientes.
10. Edite el archivo de configuracin del servidor de VPN /etc/openvpn/server.conf
como indican sus diapositivas de manera que conforme una VPN entre los equipos
involucrados en el ejercicio. Cree tambin el directorio ccd con el archivo
correspondiente a la ruta ms adecuada.
Configuracin del Cliente de la VPN (firewall cliente VPN)
11. Edite el archivo /etc/openvpn/client.conf (Si no existe, crelo). Agregue el contenido
adecuado de acuerdo a su esquema de red, refirindose especialmente al
direccionamiento IP de las redes locales que est enlazando y a las indicaciones que
se detallan en sus diapositivas.
Verificar que los certificados y las llaves (correspondientes a ese cliente) estn en su
lugar /etc/openvpn y asegurarse de que sus nombres concuerden con las llamadas que
a esos archivos se hacen en el archivo de configuracin /etc/openvpn/client.conf.
12. Una vez configuradas ambas partes, reinicie el servicio de VPN en ambos firewall
(cliente y servidor).
13. Verifique la creacin de las interfaces virtuales en cada miembro de la VPN.
14. Identifique si las direcciones IP que se han asignado coinciden con el rango indicado
en el archivo de configuracin. Pruebe conectividad entre las interfaces virtuales.
15. Verificando las reglas de enrutamiento y de configuracin de rutas por defecto,
compruebe que puede establecer conectividad entre las Workstation de cada red local.
Consideraciones de firewall
16. Tomando en cuenta que el puerto en el cual escucha el servicio de VPN en cada
Administracin de Red y Seguridades
Introduccin
Este laboratorio le dar la oportunidad de usar varias herramientas de
hacking para intentar vulnerar su firewall. Obviamente, el acceso ilcito a un
firewall se intentar del lado de Internet del firewall, por lo tanto el escaneo
se realizar desde la Workstation, pero no conectada directamente a la
interfaz LAN del firewall si no a la red del laboratorio que simula el Internet.
Advertencia
Muchas empresas en el mundo tienen una poltica de seguridad de red que
prohbe el uso de sniffers de red y escneres contra otros sistemas que no
sean los suyos. Esta poltica aplica tambin en el ambiente de clase. Por lo
tanto, Ud. est nicamente autorizado a iniciar ataques contra su propio
sistema, o contra sistemas de sus compaeros, asumiendo que ellos lo han
consentido primero.
Wireshark
2. Instale wireshark. Encontrar los paquetes necesarios en la carpeta respectiva de su
material de apoyo.
# rpm -ihv wireshark-*
3. Ejecute wireshark e inicie una captura. Espere a tener unos 100 paquetes capturados.
Observe los contenidos de varios de los paquetes. Tambin pruebe la funcionalidad
Follow TCP strea a la que puede acceder dando clic derecho en un paquete determinado.
# wireshark
Nota: Si Ud. est conectado a un switch Ethernet o a una red sin mucha actividad, puede
que no observe nada. En ese caso puede intentar una conexin telnet al servidor del
instructor para capturar ese trfico.
4. Cierre wireshark
Nmap
5. Instale nmap y el frontend grfico.
# rpm -ihv nmap-*
6. En el firewall inicie un tail f de su archivo de logs.
# tail -f /var/log/messages
7. Escanee su firewall desde la Workstation usando varias opciones diferentes. Mientras
escanea, observe en el archivo de logs del firewall y trate de identificar los signos de
escaneo. Un escaneo completo desde nmapfe puede tomar varios minutos. Seleccionar
Fast Scan le ahorrar algo de tiempo.
# xnmap
O
# nmapfe
Administracin de Red y Seguridades
O
# nmap -sS -O 10.0.0.1
# nmap -sT -O 10.0.0.1
Nessus
En la mquina cliente.
8. Instale los paquetes: Nessus-4.0.1-es5.i386.rpm y NessusClient-4.0.1-es5.i386.rpm en su
firewall.
# rpm -ihv Nessus*
9. Cree un certificado para Nessus. Llene la informacin que se le solicita.
# /opt/nessus/sbin/nessus-mkcert
10. Necesitar agregar un usuario administrador del servicio. Agregue uno y asgnele una
contrasea.
# /opt/nessus/sbin/nessus-adduser
11. Necesitar tambin descargar los plugins necesarios para que Nessus pueda efectuar los
ataques y escaneos pertinentes.
# /opt/nessus/sbin/nessus-update-plugins
12. Verifique que el servicio de nessus est ejecutndose, si no es as, incielo.
# /etc/init.d/nessusd status
# /etc/init.d/nessusd start
13. En su barra de escritorio en el men Administracin, en el submen Internet encontrar el
acceso a Nessus Client, a travs del cual podr iniciar la aplicacin grfica de escaneo de
puertos. Una opcin puede ser tambin ejecutar el script correspondiente al ejecutable de
NessusClient.
# /opt/nessus/bin/NessusClient
14. Agregue una red a escanear (Network to scan). En hostname coloque la direccin IP de su
objetivo de escaneo (firewall). Haga clic en Connect y agregue una nueva conexin,
colocando la informacin de la Workstation como servidor de escaneo Nessus. El nombre
de host podra ser 127.0.0.1, el nombre de la conexin que Ud. desee, el puerto por
defecto y los datos del usuario administrador que cre en un paso anterior.
15. Conctese al servicio usando la nueva conexin creada.
16. Ahora cree una nueva poltica de escaneo. Observe las opciones y plugins de ataque
disponibles y guarde la poltica con los valores por defecto.
17. Seleccione la red y la poltica creadas e inicie el escaneo (Scan Now).
Administracin de Red y Seguridades
18. Cuando el escaneo haya terminado, lea y analice el reporte, comparando la informacin
con la que Ud. conoce de su firewall.
FIN DEL LABORATORIO
Introduccin
Este ejercicio brinda la oportunidad de intentar contrarrestar intrusiones de
firewall. Ud crear una lnea base de su sistema y luego configurar varios
mecanismos de deteccin.
NORMAL
NORMAL
Snort
5. Instale Snort en su firewall (el paquete puede bajrselo de la pgina de snort
www.snort.org o el instructor le proveer del software).
6. Inicie snort en modo sniffer. Genere algo de trfico. Le da snort ms informacin que
tcpdump? Salga de snort con Control-C.
# tcpdump -v
<Ctrl-C>
7. Inicie Snort en modo de captura de paquetes. Capture la informacin en formato
compatible tcpdump. Intente dar un vistazo al archivo. Analice este archivo utilizando
tcpdump.
# snort -v
<Ctrl-C>
# file /var/log/snort/snort.log.timestamp
# less /var/log/snort/snort.log.timestamp
# snort -v -r /var/log/snort/snort.log.timestamp | less
8. Eche un vistazo del archivo de configuracin de snort /etc/snort/snort.conf. Reconoce las
secciones? No haga ningn cambio al archivo.
# vim /etc/snort/snort.conf
9. Copie el contenido de la carpeta rules que le dar el instructor dentro del directorio
/etc/snort/rules. (estas reglas las puede encontrar en la pgina de snort en Internet). Luego
observe algunas de las reglas. Probablemente ser necesario comentar la directiva include
que incluye un preprocesador que no est presente para continuar. Comentar las lneas
correspondientes a dcerpc2 y dcerpc2_server, as como netbios.rules.
10. Inicie Snort en modo NIDS con alerta completa. Inicie un escaneo de puertos desde la
Workstation y observe los resultados de esto en /var/log/snort.
En el firewall:
# snort -A full -c /etc/snort/snort.conf
En otra ventana:
# cd /var/log/snort
# tail -f alert
Desde la workstation:
# nmap -sS -O -v fw1.team1.ec