3 Configuracion y Servicios de Red

(1)

Administración y Seguridad en Redes GNU/Linux

INICTEL 1 Módulo 3

MÓDULO 3: CONFIGURACIÓN Y SERVICIOS

DE RED

Objetivo General

Al finalizar este módulo, será capaz de configurar los equipos GNU/Linux para un adecuado acceso a los recursos de la red.

Objetivos Específicos

• Comprender las reglas que gobiernan las clases y direcciones IP.

• Abrir y cerrar interfaces, definir sus direcciones y máscaras IP.

• Definir el enrutamiento predeterminado en la tabla de enrutamiento del kernel.

• Explicar el significado del archivo /etc/services.

(2)

INICTEL 2 Módulo 3

Introducción

El motivo de la creación de la infraestructura de una red es el habilitar a los usuarios para obtener servicios a través de la red.

(3)

INICTEL 3 Módulo 3

Sumario:

3.1. Protocolo TCP/IP 4 - 6

3.1.1. Estandarización de Procesos en la Internet 3.1.2. Dirección IP

3.1.3. Clases de direcciones IP 3.1.4. Máscara

3.1.5. Direcciones IP usadas en la red

3.2. Interfaces de red 7 - 9

3.2.1. Archivos de configuración 3.2.1.1. /etc/sysconfig/network

3.2.1.2. /etc/sysconfig/network-scripts/ifcfg-eth0 3.2.1.3. /etc/hots

3.2.1.4. /etc/resolv.conf 3.3. Enrutamiento

3.4. Comandos 10 - 12

3.4.1. Comando ifconfig 3.4.2. Comando ping 3.4.3. Comando netstat 3.4.4. Comando traceroute

3.5. Servicios de red 13 - 14

3.5.1. TCP y UDP

3.5.1.1. Número de puertos

3.5.1.2. Puertos reservados y efímeros 3.6. xinetd: el super-server

3.7. Inicio y parada de los servicios 17

3.8. Actividades del módulo 18 -19

(4)

INICTEL 4 Módulo 3

3.1. Protocolo TCP/IP

Es un protocolo de red que proporciona comunicación a través de redes interconectadas construidas de equipos con diversas arquitectura de hardware y varios sistemas operativos.

Es un conjunto de protocolos diseñados para la conectividad de redes de área extendida (WAN - Wide Área Network) y adaptable a un rango de hardware de red.

3.1.1. Estandarización de Procesos en la Internet

v Internet Society (ISOC), es la responsable de las tecnologías de interconexión. Ver Figura 1

v Internet Architecture Board (IAB), responsable de la configuración de estándares.

v Los estándares TCP/IP son publicados en los Request for Comments, que se clasifican en:

Ø Requerido (Required)

Ø Recomendado (Recommended)

Ø Electivo (Elective)

Ø Uso Limitado (Limited use)

Ø No Recomendado (Not Recommented)

Figura 1. Protocolo TCP/IP

3.1.2. Dirección IP (Internet Protocol)

Una dirección lógica de 32 bits usada para identificar un host TCP/IP. Cada dirección tiene dos partes. Esta división simplifica el enrutamiento. Ver Figura 2.

v ID de red. Identifica todos los hosts en la misma red física.

(5)

INICTEL 5 Módulo 3

Figura 2. Dirección IP

3.1.3. Clases de Direcciones IP

Como las direcciones IP están divididas entre porciones de host, la red dependen parcialmente de reglas locales y parcialmente de reglas de Internet. Las reglas son reflejadas en la clasificación de las direcciones IP en clase A, clase B y clase C basados en su primer byte. Ver Tabla 1 y Figuras 3-6

Tipo Rango del primer byte

Número de bytes por red

Número de bytes por host

Clase A 0 – 127 1 3

Clase B 128 – 191 2 2

Clase C 192 – 222 3 1

Reservada 223 - 255 N/A N/A

Tabla 1. Direccionamiento IP

Figura 3. Clase A

Figura 4. Clase B

(6)

INICTEL 6 Módulo 3

Figura 6. Clase D

Las direcciones especiales pueden observarse a través de la Tabla 2.

Direcciones Función

Red 0.0.0.0 Referencia de la ruta predeterminada

Red 127.0.0.1 Referencia al equipo local. Reservada para lookback

Una dirección de host con todos los bits definidos en 0

Referencia a la red entera.

Una dirección de host con todos los bits definidos en 1

Referencia a la direccón broadcast para toda la red.

255.255.255.255 Broadcast

Tabla 2. Direcciones IP especiales

3.1.4. Máscara

La máscara es un número que revela al software TCP/IP que es una porción de la dirección del host y de la red.

La máscara es un número de 32 bits con un bit uno definido en cada posición de la dirección de red y un bit cero en cada posición de la dirección host. Ver Tabla 3.

Clase Máscara

A 255.0.0.0

B 255.255.0.0 C 255.255.255.0

Tabla 3. Máscara

3.1.5. Direcciones IP usada en la red

La asignación de nodos IP en Internet es asignada por ciertas organizaciones, sin embargo cuando se requieren utilizar direcciones IP que no interfieran con estas direcciones globales se utilizan tres rangos definidos por RFC-1918. Se asume que ningún router deberá rutear información con estos nodos IP.

Los 3 rangos de nodos IP que deben de ser utilizados para configurar redes locales (Ver Cuadro 1), son:

Cuadro 1. Rango de direcciones para ser usadas en la red 10.0.0.0 - 10.255.255.255

(7)

INICTEL 7 Módulo 3

El que no sean ruteables estos números IP garantiza que no surgirán conflictos con nodos de Internet también llamados "Routing Loops".

Además incrementa el nivel de seguridad en la Red Local (LAN), ya que estos nodos no pueden ser observados del exterior; ahora bien, para que este tráfico pueda ser ruteado al exterior (Internet) se requiere un mecanismo de traducción.

3.2. Interfaces de red

Cada host tiene uno o más interfaces.

v Cada interface es un punto de conexión a una red (a menudo una NIC o un modem)

Ø MODEM: ttyS0, ttyS1, etc.

Ø NIC: eth0, eth1, eth2, etc.

Puede tener más de una interface.

v Las interfaces podrían estar en diferentes red.

v Puede actuar como un router, reenviando paquetes.

GNU/Linux soporta la mayoría de tarjetas de red existentes en el mercado: 3com, Intel, Dlink, IBM, etc.

v Ethernet (10 /100), 1GB, Token Ring, FDDI, ATM, etc.

v PNP ( Auto detecta interrupción y dirección )

v Pcmcia para portátiles.

La marca es lo que menos interesa, lo que es importante es que se determine con exactitud que chipset utiliza la tarjeta de red. Esto puede determinarse examinando físicamente la tarjeta de red o bien examinando a detalle la salida en pantalla que se obtiene al ejecutar el siguiente comando

( Ver Cuadro 2):

less /proc/pci | grep Ethernet

Cuadro 2. Identificando la interface de red

Debe verificarse que el módulo de su tarjeta de red esté especificado correctamente, el archivo

/etc/modules.conf o conf.modules contiene dicha información( Ver Figura 7).

Figura 7. Archivo /etc/modules.conf # less /proc/pci | grep Ethernet

(8)

INICTEL 8 Módulo 3

3.2.1 Archivos de configuración

3.2.1.1. Archivo /etc/sysconfig/network

Define la puerta de enlace (gateway) y el nombre de su equipo. (Ver Cuadro 3).

Ejemplo:

Cuadro 3. Archivo /etc/sysconfig/network

3.2.1.2. Archivo /etc/sysconfig/network-scripts/ifcfg-eth0

Define los parámetros de la tarjeta de red. (Ver Cuadro 4)

Ejemplo:

Cuadro 4. Archivo /etc/sysconfig/network-scripts/ifcfg-eth0

Los parámetros anteriores son proporcionados por el administrador de la red local en donde se localice el equipo que está siendo configurado. El administrador de la red deberá proporcionar una dirección IP (IPADDR), una máscara de la subred (NETMASK), dirección IP de la red (NETWORK) y el Broadcast (BROADCAST).

3.2.1.3 Archivo /etc/hosts

Si no se tiene un servidor DNS interno se puede configurar el archivo /etc/hosts, para poder realizar una resolución de nombres a direcciones IP internamente. (Ver Cuadro 5).

Ejemplo:

Cuadro 5. Archivo /etc/hosts NETWORKING=yes

HOSTNAME=nombre_equipo.dominio.com GATEWAY=192.168.1.254

DEVICE=eth0 BOOTPROTO=static IPADDR=192.168.1.50 NETMASK=255.255.255.0 NETWORK=192.168.1.0 BROADCAST=192.168.1.255 ONBOOT=yes

(9)

INICTEL 9 Módulo 3

3.2.1.4. Archivo /etc/resolv.conf

Para que los equipos puedan salir a la Internet se debe modificar el archivo /etc/resolv.conf y agregarse en este los servidores de resolución de nombres de dominio (DNS). (Ver Cuadro 6)

Ejemplo:

Cuadro 6. Archivo /etc/resolv.conf

3.3. Enrutamiento

El enrutamiento TCP/IP puede ser manejado de dos formas: enrutamiento estático o enrutamiento dinámico. En el enrutamiento estático, la información de enrutamiento es programada al inicializarse el equipo. En el enrutamiento dinámico, un programa (un demonio route) se comunica con otros demonios de enrutamiento para continuamente actualizar la información de los sistemas de enrutamiento en respuesta a los cambios de las condiciones de la red. En este curso, sólo discutiremos el enrutamiento estático.

El enrutamiento es controlado por la tabla de enrutamiento, la cual es mantenida por el kernel. Para ver la tabla de enrutamiento, use el comando route ( Ver Figura 8):

Figura 8. Tabla de enrutamiento

La tabla de enrutamiento proporciona una lista de potenciales destinos y para cada destino lista la dirección IP de un gateway.

La columnas flags incluyen U para indicar que la ruta está abierta (up) y G para indicar que la ruta es un gateway.

Para definir el gateway predeterminado, use la siguiente sintaxis ( Ver Cuadro 7):

route add default gw [dirección] [interface]

Cuadro 7. Gateway predeterminado nameserver 200.48.225.130

nameserver 200.48.225.146

(10)

INICTEL 10 Módulo 3

Para borrar el gateway predeterminado, use la siguiente sintaxis ( Cuadro 8):

route del default gw [dirección] [interface]

Cuadro 8. Gateway predeterminado

3.4. Comandos

3.4.1. Comando ifconfig

Para la configuración de la interface de red podemos usar el comando ifconfig. Este comando tiene tres propósitos: listar la configuración de las interfaces y configurar la dirección IP y la máscara. Ver Figura 9.

Figura 9. Comando ifconfig

Activando y desactivando las interfaces

(11)

Ejemplo: Para alternar el estado del dispositivo /dev/eth0, use la siguiente sintaxis (down significa deshabilitar y up significa habilitar)- Ver Cuadro 9:

Cuadro 9. Comando ifconfig

Configurando la dirección IP y la máscara

El comando ifconfig definirá la dirección IP y la máscara, estos valores son temporales; sólo durarán el tiempo que el equipo esté encendido. Para que estos valores sean permanentes hay que ingresar estos valores en el archivo /etc/sysconfig/network-scripts/ifcfg-eth0.

Ejemplo: Para definir la dirección IP 172.20.100.10 y máscara 255.255.255.0, use la siguiente sintaxis ( Ver Cuadro 10):

Cuadro 10. Comando ifconfig

3.4.2. Comando ping

El comando ping es una herramienta de diagnóstico que verifica la conectividad con otro host. Esta herramienta usa el protocolo ICMP (Internet Control Message Protocol).Ver Figura 10.

La sintaxis de este comando es:

ping <dirección IP>

Figura 10. Comando ping # ifconfig /dev/eth0 down

# ifconfig /dev/eth0 up

(12)

3.4.3. Comando netstat

Este comando examina muchas de las tablas que el kernel involucra en las conexiones de red. Una de las más útiles aplicaciones es para listar la actividad de las conexiones de red que involucra su equipo. Ver Figura 11 y la Tabla 4.

Figura 11. Comando netstat

Estado Descripción

ESTABLISHED Esta es una conexión TCP continua. CLOSE_WAIT La conexión TCP fue recientemente

cerrada y el puerto está en un estado de reposo obligatorio.

FIN_WAIT, FIN_WAIT2 Estado TCP intermitente que también indica una conexión en proceso de finalización.

Tabla 4. Estados de conexión

3.4.4. Comando traceroute

El comando traceroute puede ser usado para localizar fallas remotas que pueden afectar la eficiencia de su red local. Esta interrupción puede causar fallas en el servicio de nombres, pérdida del servicio de mensajes o la queja de sus usuarios quienes no pueden usar la Web.

(13)

3.5. Servicios de Red

El propósito de una red es proveer recursos y servicios compartidos. Un recurso de red es todo lo que se puede usar, tal como una impresora de red o un directorio en un disco duro. Un servicio de red es el sistema o método empleado para proporcionar un recurso. La mayor parte de los recursos y servicios los proporcionan los servidores GNU/Linux y pueden ser compartidos simultáneamente por múltiples clientes que se encuentren en cualquier punto de la red.

En la mayoría de servicios cada conexión entre dos equipos tiene asociados un par de procesos servidor y cliente, con diferentes procesos servidor y cliente para cada una de las transacciones.

Como estas transacciones cliente/servidor son configuradas bajo GNU/Linux serán explicadas a continuación.

3.5.1. TCP y UDP

Bajo TCP/IP, las transacciones cliente/servidor ocurren de dos formas. La primera es un sencillo formato request-reply. La segunda forma de transacción client/servidor de una continua transferencia confiable de datos.

TCP/IP proporciona dos protocolos en la capa de transporte para permitir los dos diferentes tipos de transacciones cliente/servidor. La sencilla transacción reply-request usa el User Datagram Protocol (UDP) el cual, es sencillo y eficiente pero no proporciona garantía de confiabilidad. Aquellas transacciones que requieren un continua transferencia de datos confiables usan la Transmisión Control Protocol (TCP).

3.5.1.1. Número de puertos

Debido a que múltiples procesos servidor se pueden ejecutar en el sistema , el mecanismo de direcciones IP es insuficiente. Así que, la capa de transporte (TCP y UDP) proporcionan un nivel adicional, llamado número de puertos. Ambos TCP y UDP tienen un rango de 16 bits de número de puertos de modo que, por ejemplo TCP puerto 62 y UDP puerto 62 son diferentes.

Al final de cada conexión de red usando TCP y UDP tiene asociado un número de puerto.

La Internet Assigned Numbers Authority (IANA) administra un conjunto de convenciones que establecen la asociación entre servicios y puertos. Estos números de puertos asignados son llamados número de puerto “web-known”.

El archivo /etc/services es una lista de nombres convencionales para servicios TCP/IP y asocia los números de puerto. (Ver Figura 10)

3.5.1.2. Puertos reservados y efímeros

Un proceso servidor de red debe usar un número de puerto web-known para que los potenciales clientes puedan localizarlo. El cliente también necesita un número de puerto para crear una conexión TCP/IP. Los clientes tienen números de puertos asignados por el sistema operativo; esta operación es parte de la secuencia de llamadas que crean una conexión de red. Estos números de puertos son llamados “efímeros” porque ellos son válidos únicamente por la vida de la conexión y no tienen un significado especial.

(14)

Figura 12. Archivo /etc/services

3.6. xinetd: el super-server

El xinetd es un servicio conocido como metaserver o súper-server pues consiste en un daemon que se encarga de controlar el funcionamiento de otros múltiples servicios. Como ejemplos clásicos de servicios que se pueden configurar para ser controlados por xinetd, se pueden citar: talk, telnet y FTP. (Ver Figura 13)

La función fundamental de xinetd es escuchar todas las solicitudes de los clientes de los servicios que supervisa y ejecuta de forma controlada el servidor correspondiente para que atienda a su cliente.

Según la forma en que funcionan los servicios que controla xinetd, estos pueden dividirse en dos grupos:

v los que son multi-hilos; para atender a cada cliente se ejecuta un servidor; y

v los de un único hilo, sólo existe un servidor activo que interactúa con todos los clientes.

Los primeros siempre dependerán de xinetd para responder a cada cliente, mientras que en el caso de los de un sólo hilo, una vez iniciada la instancia del servidor, este tomará el control de su puerto para responder al resto de sus clientes sin la intervención de xinetd.

(15)

Figura 13. Demonio xinetd – Servidor FTP

La configuración, además de ser más flexible y funcional, se organiza mucho mejor pues en el archivo inicial, en este caso /etc/xinetd.conf, sólo se colocan los aspectos por defecto y se incluye un directorio donde existe un archivo de configuración para cada servicio instalado. Este directorio es

/etc/xinetd.d/. Ver Cuadro 11.

La entrada que permite describir un determinado servicio en estos archivo toma la forma:

Cuadro 11. Formato del archivo de configuración de un servicio

Donde, los parámetros pueden observarse en la Tabla 5:

<nombre> Es el nombre genérico del servicio. Debe coincidir con el de la entrada correspondiente en /etc/services. Ejemplos: ftp, telnet, echo, etc. <operador> Puede ser “ = “ si el atributo toma exactamente los valores expresados,

“- = “ si se eliminan los valores expresados del conjunto de valores por defecto, y “+ = “ cuando se adicionan los valores expresados a los por defecto.

<atributo> Permite expresar como funciona el servicio. Tabla 5. service <nombre>

{

(16)

A continuación se listan los atributos más comunes e interesantes( Ver Tabla 6):

wait indica si el servicio es multi-hilo (valor ``no'') o no (valor ``yes''). Ejemplo: wait = yes

id permite asignarle un identificador único al servicio. Por defecto es su propio nombre. Es útil para servicios que funcionan a través de distintos protocolos por lo que necesitan más de una entrada en el archivo de configuración. Ejemplo: id = ftpudp

socket_type especifica el tipo de socket que emplea el servicio para la comunicación entre el cliente y el servidor. Ejemplo: socket_type = stream

disable permite habilitar y deshabilitar un servicio de forma sencilla. Toma los valores ``yes'' o ``no''. Ejemplo: disable = yes

protocol indica el protocolo empleado por el servicio. Ejemplo: protocol = tcp

user y group indican el ID de usuario y de grupo respectivamente con los que se ejecuta el servidor. Ejemplo: user = pepe

nice determina la prioridad con que se ejecuta el proceso del servidor. Ejemplo: nice = 10

server indica el ejecutable correspondiente al servicio. Los argumentos de dicho programa se especifican a través del atributo server_args. Ejemplo: server = /usr/sbin/in.ftpd

only_from permite especificar aquellas máquinas que tienen acceso al servicio. Los valores de este atributo pueden tomar múltiples formas. Ejemplo: only_from = 192.168.40/24 192.168.100.1 192.168.70.0

no_access permite especificar aquellas máquinas que no tienen acceso al servicio. Este atributo se relaciona con el anterior. Si ninguno está presente el acceso es libre y si están ambos se aplica la regla que más se ajuste al cliente. Ejemplo: no_access = 192.168.40.1

access_time define el intervalo de tiempo en que estará activo el servicio. El valor de este atributo toma la forma hora:minuto-hora:minuto donde hora oscila entre 0 y 23 y minuto, entre 0 y 59. Ejemplo: access_time = 8:00-18:30

port indica el puerto al que se asocia el servicio. Si este aparece descrito en /etc/services ambos puertos deben coincidir. Ejemplo: port = 100

log_type permite indicar la forma en que se tratarán las trazas del servicio. Puede ser utilizando el servicio de logs o un archivo. Ejemplo: log_type = FILE /var/log/telnetlogs

log_on_success y log_on_failure

especifican cual información se almacena en los logs cuando el servicio comienza exitosamente y cuando falla. Ejemplo: log_on_success += DURATION USERID

bind permite asociar el servicio a una interfaz de red determinada. Ejemplo: bind = 192.168.100.3

instances determina el número máximo de instancias del servidor que se pueden ejecutar simultáneamente (para servicios multi-hilos). El valor cero indica que no hay límites. Ejemplo: instances = 10

per_source permite establecer la cantidad máxima de conexiones permitidas a un mismo cliente. Ejemplo: per_source = 1

redirect permite redireccionar un servicio TCP a otra máquina especificando su dirección IP (o nombre) y el puerto por el cual, esta va a dar el servicio. Si se especificara además el atributo server, este tendría prioridad. Ejemplo: redirect = 192.168.100.1 80

include permite incluir otro archivo de configuración. Ejemplo: include = /etc/otroxinetd.conf

includedir permite incluir todos los archivos presentes en un directorio. Ejemplo: includedir = /etc/xinetd.d

(17)

El archivo de configuración /etc/xinetd.conf por defecto tiene una forma similar a la siguiente( Ver Cuadro 12):

Cuadro 12. Archivo /etc/xinetd.conf

3.7. Inicio y parada de los servicios

Todos los servicio son activados o detenidos a través de la ejecución de scripts que permiten iniciar o parar a los demonios que están asociados a cada servicio.

Estos scripts se almacenan en el directorio /etc/init.d ( Ver Figura 14)

Figura 14. Directorio /etc/init.d

El siguiente comando nos permite iniciar, detener ó reiniciar

/etc/init.d/<script> start | stop | restart

Ejemplo1:

Para activar el servicio de red, debe ejecutarse el siguiente comando:

/etc/init.d/network star

Ejemplo2:

Para detener el servicio de xinetd, debe ejecutarse el siguiente comando:

/etc/init.d/xinetd stop

defaults {

instances = 60

log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST RECORD }

(18)

3.8. Actividades del Módulo

3.8.1. Auto evaluación

1. El archivo /var/log/secure muestra conexiones repetidas al puerto TCP 110. ¿Cuál es el nombre del servicio que está siendo accedido?

(a) smbd (b) nmbd (c) pop3 (d) smtp

2. ¿Cuáles de la siguientes oraciones son verdaderas? (Seleccione 2 opciones)

q La dirección 127.0.0.1 es usada por el loopback.

q El rango de direcciones 192.168.0.0 puede ser usado en Internet.

q En el archivo /etc/resolv.conf se definen los servidores de nombre..

q El comando ifconfig permite configurar el enrutamiento del equipo.

q TCP es un protocolo no orientado a la conexión.

3. Se desea que el servidor Web se active cada vez que el equipo se reinicie, ¿dónde se puede realizar esta configuración?:

(a) ntsysv (b) xinetd

(c) /etc/rc.d/rc.local (d) inetd

(e) httpd

4. ¿Qué archivo es usado para asociar los números de puertos a nombres de servicios? (a) /etc/services

(19)

3.8.2. Laboratorio

Duración:

• 30 minutos

Objetivos:

• Aprender la configuración básica de las interfaces de red.

• Conocer los números de puerto asociados a los distintos servicios.

Recursos a utilizar:

• Un computador con GNU/Linux.

• Un nombre de usuario y su contraseña respectiva (super-usuario = “root”)

Procedimiento de ejecución:

1. ¿Qué puertos y protocolos son usados para ejecutar los siguientes servicios?

a. telnet

b. SMTP

c. talk

d. FTP

2. Usando ifconfig, explore las interfaces disponibles en su equipo.