Академический Документы
Профессиональный Документы
Культура Документы
Servicios de red
Jesus Montes Sanchez
jmontes@fi.upm.es
Octubre 2013
1 Acceso remoto.
2 Comparticion de recursos.
Sistemas de ficheros remotos.
Autenticacion.
3 Otros servicios.
4 Seguridad en maquinas conectadas en red.
Servidores X en remoto
Existen diversas herramientas para facilitar login grafico a una
maquina remota
XDMCP es un protocolo que permite la encapsulacion del
protocolo de X windows a traves de red y tener un login remoto
de aspecto local.
VNC es otro protocolo que permite enviar eventos de interfaz de
una maquina a otra. Tiene servidor y clientes especficos.
Otras alternativas son ssh -X (X forwarding) y NoMachine
Servicios comunes
Dos servicios tpicos basadas en RPC son:
NFS (Network File System)
NIS (Network Informatin Service)
NFS v3
Mejora de rendimiento frente a v2
Trasporte por TCP y UCP
Cerrojos proporcionados por demonios separados (lockd y
statd)
Cuestiones de seguridad
Los tipos de seguridad son:
AUTH NONE
AUTH SYS, basada en UIDs y GID, (root of an allowed client can
access any users file by impersonation)
RPCSEC GSS (opcional en v3, obligatorio en v4), necesita
Kerberos.
v2 y v3 no deben ser de visibilidad publica
Para establecer la identidad de un cliente v2/v3 usan UID y GID,
v4 confa en un demonio que recibe cadenas user@domain y las
transforma a IDs en el otro extremo.
Existe un usuario nobody y el root tiene tratamiento especial.
Ventajas
Muestra toda la informacion dentro de un unico espacio de
nombres usando semantica POSIX.
Permite lecturas y escrituras concurrentes.
Fiabilidad y alta disponibilidad.
NIS+
NIS+ es una revision del sistema anterior que anade:
Mayor seguridad (certificados y cifrado).
Organizacion jerarquica y replicada de servidores.
Pero una configuracion mas compleja.
Super-servidores historicos.
Proceso unico que abre varios puertos de escucha y despacha
peticiones a esos puertos arrancando el servidor que atiende el
servicio.
El demonio inetd se configura en dos ficheros:
Puertos estandar de servicio,/etc/services:
#nombre puerto/protocolo alias
telnet 23/tcp
time 37/udp timeserver
Programas de servicio: /etc/inetd.conf
#servicio socket proto flags usr serv
telnet stream tcp nowait root in.telnetd
time dgram udp wait root internal
xinetd es una version mejorada con mas opciones.
Ejemplos
Moab, Oracle Grid Engine (OGE), LoadLeveler, Condor, Slurm, etc.
Ejemplo:
NAT y encaminamiento en un nodo con dos interfaces, una ethx
conectada a Internet u otra ethy a una LAN, para permitir a la LAN
acceso a Internet.
# Regla para los paquetes de salida
# iptables --table nat --append POSTROUTING \
--out-interface ethx -j MASQUERADE
# Regla para los paquetes de entrada
# iptables --append FORWARD --in-interface ethy -j ACCEPT
Samba (http://www.samba.org)
El protocolo SMB (Server Message Block) los utilizan los
sistemas Windows para compartir discos e impresoras.
La implementacion UNIX del protocolo se denomina Samba.
Samba permite a una maquina UNIX acceder a recursos
compartidos de una red Windows.
Cuentas de usuarios.
Carpetas compartidas.
Impresoras.
# hosts.deny
http: ALL EXCEPT LOCAL
# DenyHosts: Wed May 11 11:28:43 2011 | ALL: 200.54.194.196
ALL: 200.54.194.196
Rootkits
Antes de salir de un sistema hay borrar las huellas de la
intrusion (borrar logs, historiales, ...).
Pero los troyanos solo pueden pasar desapercibidos si se
ocultan a s mismos.
Verificaciones de integridad
Existen aplicaciones que comprueban periodicamente la
integridad del sistema:
rkhunter: verifica la integridad de los ficheros de sistema.
unhide: detecta procesos ocultos.
Cuanto menos estandar sea la comprobacion mas difcil le
resultara al intruso detectarla.
ssh fingerprints
Es un modo de autenticacion rudimentario para conexiones ssh.
Se trata de un resumen de la clave publica.
Kerberos
Protocolo de autenticacion en redes no confiables desarrollado
en el MIT.
Centraliza la autenticacion en un servidor (KDC, Key Distribution
Center).
El sistema de concesion de permisos se basa en testigos
autenticados.