´ UNIX: Administracion Servicios de red ´ Jesus ´ Montes Sanchez
[email protected]
Octubre 2013
[email protected]
´ UNIX: Servicios de red Administracion
1/30
Resumen
1 2
Acceso remoto. ´ de recursos. Comparticion • Sistemas de ficheros remotos. • Autenticacion. ´
3
Otros servicios.
4
´ Seguridad en maquinas conectadas en red.
[email protected]
´ UNIX: Servicios de red Administracion
2/30
Conexiones remotas ´ Herramientas historicas • telnet • rlogin (y rsh).
Presentan problemas de seguridad inherentes.
Secure Shell (ssh) • ssh es el protocolo mas ´ habitual para hacer login remoto. • La implementacion ´ libra mas ´ usada es OpenSSH. • Un programa ssh proporciona: • Un demonio servidor para aceptar conexiones entrantes (sshd) y un cliente (ssh). • Distintos metodos ´ ´ del canal seguro. de encriptacion • Autenticacion ´ por medio de pares de clave publica/privada ´ • Redireccion ´ de puertos (incluyendo servidor grafico). ´ • Otras utilidades: ssh-agent, ssh-add, ...
[email protected]
´ UNIX: Servicios de red Administracion
3/30
´ Conexiones graficas remotas Servidores X en remoto • Existen diversas herramientas para facilitar login grafico ´ a una
´ maquina remota • XDMCP es un protocolo que permite la encapsulacion ´ del
´ de red y tener un login remoto protocolo de X windows a traves de aspecto local. • VNC es otro protocolo que permite enviar eventos de interfaz de
´ una maquina a otra. Tiene servidor y clientes espec´ıficos. • Otras alternativas son ssh -X (X forwarding) y NoMachine
[email protected]
´ UNIX: Servicios de red Administracion
4/30
Servicio de Remote Procedure Call Remote Procedure Calls (RPCs) • Sistema de comunicacion ´ interproceso por red desarrollado por
Sun. • Un servidor llamado portmapper arranca en el puerto 111. • Los procesos locales registran programas con un ID unico. ´ • Los clientes consultan al protmapper para invocar funciones
de un programa.
Servicios comunes Dos servicios t´ıpicos basadas en RPC son: • NFS (Network File System) • NIS (Network Informatin Service)
[email protected]
´ UNIX: Servicios de red Administracion
5/30
Sistemas de ficheros en red: NFS ´ habitual de exportar y El Network File System (NFS) es la forma mas montar sistemas de ficheros remotos en sistemas UNIX.
NFS v2 • Primera version ´ abierta del protocolo e implementacion ´ • Servidor sin estado • Obsoleto
NFS v3 • Mejora de rendimiento frente a v2 • Trasporte por TCP y UCP • Cerrojos proporcionados por demonios separados (lockd y
statd)
[email protected]
´ UNIX: Servicios de red Administracion
6/30
Sistemas de ficheros en red: NFS ´ mas ´ actual NFS v4, version • Servidor con estado. • Integridad, privacidad y autenticacion ´ integradas • Los cerrojos forman parte integral del protocolo. • Soporte y cooperacion ´ con firewalls y NATs • Soporte para replicacion ´ y migracion ´ • ACLs • Solo ´ TCP • Mejor rendimiento,
[email protected]
´ UNIX: Servicios de red Administracion
7/30
Sistemas de ficheros en red: NFS ´ Arquitectura y configuracion • Servidor: • Exporta un directorio de su arbol ´ de directorios (v2/v3) o una ´ del arbol ´ seleccion ra´ız (v4). • Asigna permisos de acceso a hosts conocidos. • Normalmente se configura en (/etc/exports) /home nombre cliente(rw,sync,no root squash) ... • Un demonio atiende las peticiones de las clientes. • Cliente: • El sistema de ficheros se indica como servidor:directorio en vez de un nombre de dispositivo. • Montaje manual: # mount -t nfs laurel:/home /home • Montaje automatico ´ editando /etc/fstab: laurel:/home /home nfs defaults,auto 0 0
[email protected]
´ UNIX: Servicios de red Administracion
8/30
Sistemas de ficheros en red: NFS Cuestiones de seguridad • Los tipos de seguridad son: • AUTH NONE • AUTH SYS, basada en UIDs y GID, (root of an allowed client can access any users file by impersonation) • RPCSEC GSS (opcional en v3, obligatorio en v4), necesita Kerberos. • v2 y v3 no deben ser de visibilidad publica ´ • Para establecer la identidad de un cliente v2/v3 usan UID y GID,
v4 conf´ıa en un demonio que recibe cadenas user@domain y las transforma a IDs en el otro extremo. • Existe un usuario nobody y el root tiene tratamiento especial.
[email protected]
´ UNIX: Servicios de red Administracion
9/30
Sistemas de ficheros en red: Lustre Sistema de ficheros de alto rendimiento, distribuido con licencia GNU.
Arquitectura • Uno o mas metadata servers: Almacenan nombres de ficheros,
directorios, permisos de acceso, etc. • Uno o mas object storage servers: Almacenan los datos. Sulelen
emplear raids hardware como soporte f´ısico. • Capa de red (Lustre Networlk): Gestiona la comunicacion ´ entre
servidores y clientes.
Ventajas • Muestra toda la informacion ´ dentro de un unico espacio de ´
´ nombres usando semantica POSIX. • Permite lecturas y escrituras concurrentes. • Fiabilidad y alta disponibilidad.
[email protected]
´ UNIX: Servicios de red Administracion
10/30
Sistemas de ficheros en red: GPFS General Parallel File System, desarrolado por IBM.
• Solucion ´ propietaria, muy utilizada en la actualidad. • Orientado a clusters de alto rendimiento. • Permite organizar el espacio de almacenamiento en storage
pools y filesets. • Storage pools: Grupos de servidores de disco, separados en
´ de sus prestaciones, ubicacion, ´ fiabilidad, etc. funcion • Filesets: Subconjuntos de ficheros, separados por criterios
administrativos como cuotas, pol´ıticas de seguridad, etc. • Permite acceso simultaneo a mutiples servidores, para mejorar ´
el rendimiento. • Metadatos distribuidos por toda la infraestructura. No hay
servidores dedicados exclusivamente a metadatos. • Implementa semantica ´ POSIX.
[email protected]
´ UNIX: Servicios de red Administracion
11/30
Montaje por ssh, sshfs ´ de un Se trata de montar un sistema de ficheros remoto a traves tunel ssh usando la API de fuse (filesystem in userspace). • Proporciona mejoras de seguridad frente a NFS (NFSv4 con
´ AUTH SYS como unico metodo de control de acceso). ´ • Autenticacion. ´ • Confidencialidad. • Integridad.
• Como contrapartida, esta directamente ligado a un usuario de la
´ maquina remota. • Para montar un directorio remoto se usa el mandato
sshfs usuario@servidor:ruta punto de montaje • El desmontado se hace con
fusermount -u punto de montaje
[email protected]
´ UNIX: Servicios de red Administracion
12/30
´ remota Autenticacion ´ con NIS Autenticacion • Sistema comun ´ para sistemas conectados en red. • Mantiene bases de datos compartidas por varias maquinas. ´ • Usuarios y contrasenas ˜ (/etc/passwd, /etc/shadow). • Grupos (/etc/group). • Permite centralizar la gestion ´ usuarios. • Arquitectura cliente/servidor.
NIS+ ´ del sistema anterior que anade: ˜ NIS+ es una revision • Mayor seguridad (certificados y cifrado). • Organizacion ´ jerarquica ´ y replicada de servidores. • Pero una configuracion ´ mas ´ compleja.
[email protected]
´ UNIX: Servicios de red Administracion
13/30
´ remota Autenticacion ´ de servidor NIS Configuracion • Un servidor define un domino de autenticacion ´
(/etc/defaultdomain). • Gestiona y almacena las bases de datos de usuarios y las
publica a los clientes (/etc/ypserv.securenets). • El servicio funciona por medio de un demonio (ypserv). • Puede haber servidores maestros y esclavos (configurable en
/etc/default/nis).
´ de cliente NIS Configuracion • Un cliente se conecta a un domino NIS con ypbind para poder
consultar la base de datos. • La autenticacion ´ de la contrasena ˜ se resuelve localmente. • La configuracion ´ esta´ en /etc/yp.conf y /etc/nsswitch.
[email protected]
´ UNIX: Servicios de red Administracion
14/30
´ remota Autenticacion ´ con LDAP Autenticacion • LDAP es un protocolo de acceso a directorios de informacion ´
(Lightweight Directory Access Protocol) • La informacion ´ que puede almacenar un directorio de LDAP es
´ ´ generica y se organiza jerarquicamente. • Cada objecto de la base de datos tiene un DN (Distinguished
Name) que lo identifica y una serie de clases a las que pertenece. • El servidor de LDAP por defecto abre el puerto 389. • OpenLDAP es una implementacion ´ de la version ´ LDAPv3 que
funciona en casi todos los UNIX actuales. • • • •
slapd, demonio servidor de LDAP ´ y actualizacion. ´ slurpd, demonio de replicacion Bibliotecas de soporte. Herramientas, utilidades y clientes.
[email protected]
´ UNIX: Servicios de red Administracion
15/30
Super-servidores inetd e xinetd • Super-servidores historicos. ´ • Proceso unico que abre varios puertos de escucha y despacha ´
peticiones a esos puertos arrancando el servidor que atiende el servicio. • El demonio inetd se configura en dos ficheros: • Puertos estandar ´ de servicio,/etc/services:
#nombre puerto/protocolo alias telnet 23/tcp time 37/udp timeserver • Programas de servicio: /etc/inetd.conf #servicio socket proto flags usr serv telnet stream tcp nowait root in.telnetd time dgram udp wait root internal • xinetd es una version ´ mejorada con mas ´ opciones.
[email protected]
´ UNIX: Servicios de red Administracion
16/30
Otros servicios habituales
Demonios de env´ıo correo (SMTP)
Servidores de ficheros • FTP
• Sendmail
• TFTP
• Postfix
Servidores web
Servidores de correo (IMAP, POP)
• Apache (apached)
• Courier
• Cherokee
• Cyrus
• Lighttpd
Gestores de trabajos/colas
[email protected]
´ UNIX: Servicios de red Administracion
17/30
Gestores de trabajos/colas ´ que Servicios especiales, muy habituales en supercomputacion, ´ de trabajos en el sistema. gestionan el env´ıo y la ejecucion
Caracter´ısticas t´ıpicas • Interfaz para configurar, enviar y monitorizar trabajos. • Mecanismos para definir workflows y dependencias entre
trabajos. • Gestion ´ de los recursos de computo ´ disponibles. • Prioridades o colas para organizar la ejecucion ´ de trabajos.
Ejemplos Moab, Oracle Grid Engine (OGE), LoadLeveler, Condor, Slurm, etc.
[email protected]
´ UNIX: Servicios de red Administracion
18/30
´ IP avanzada Configuracion ´ como router Configuracion • Un router posee al menos dos interfaces de red para encaminar
´ ´ redes. trafico entre dos o mas • Un router intercambia informacion ´ de encaminamiento con otros
routers y emite mensajes de control de red ICMP. • Reenv´ıa los paquetes IP que recibe y de los que no es
destinatario.
´ de tablas de rutas Configuracion • Estatica ´ con route. • Dinamica ´ por medio de protocolos como RIP u OSPF (demonios
routed (obsoleto), gated (muerto), Quagga). • No es recomendable utilizar sistemas UNIX completos como
router.
[email protected]
´ UNIX: Servicios de red Administracion
19/30
´ IP avanzada Configuracion La pila IP del nucleo permite: ´ • IP Masquerading: • Una sola direccion ´ IP para varias maquinas. ´ • Vale para que varios equipos de una red compartan una unica IP ´
de salida. • Auditor´ıa: Estad´ısticas y analisis ´ de paquetes. • Alias: • Varias direcciones IP en la misma tarjeta. • Si se quiere discrimar entre varios servicios. • Redireccion ´ de paquetes • Para hacer encaminamiento. • Se activa haciendo sysctl -w net.ipv4.ip forward=1 o asignando 1 al campo net.ipv4.ip forward de /etc/sysctl.conf y recargando (sysctl -p /etc/sysctl.conf)
[email protected]
´ UNIX: Servicios de red Administracion
20/30
´ IP avanzada Configuracion IP tables • En Linux, muchas reglas de redireccion ´ y filtrado se aplican
usando la herramienta iptables. • iptables actua ´ sobre las tablas de reglas de filtrado de
paquetes del protocolo IP a nivel de nucleo. ´
Ejemplo: NAT y encaminamiento en un nodo con dos interfaces, una ethx conectada a Internet u otra ethy a una LAN, para permitir a la LAN acceso a Internet. # Regla para los paquetes de salida # iptables --table nat --append POSTROUTING \ --out-interface ethx -j MASQUERADE # Regla para los paquetes de entrada # iptables --append FORWARD --in-interface ethy -j ACCEPT
[email protected]
´ UNIX: Servicios de red Administracion
21/30
Conectividad con Windows Samba (http://www.samba.org) • El protocolo SMB (Server Message Block) los utilizan los
sistemas Windows para compartir discos e impresoras. • La implementacion ´ UNIX del protocolo se denomina Samba. • Samba permite a una maquina ´ UNIX acceder a recursos
compartidos de una red Windows. • Cuentas de usuarios. • Carpetas compartidas. • Impresoras.
[email protected]
´ UNIX: Servicios de red Administracion
22/30
Seguridad Aspectos que considerar • Seguridad interior. • Seguridad exterior. • Deteccion ´ de intrusiones.
Tipos de ataques segun ´ el objetivo. • Acceso privilegiado. • Acceso no privilegiado. • Denegacion ´ de servicio. • Corrupcion ´ de la integridad de datos. • Revelacion ´ de datos confidenciales. • Ejecucion ´ de codigo ´ ˜ danino. • Inspeccion ´ y analisis ´ de la red.
[email protected]
´ UNIX: Servicios de red Administracion
23/30
´ de los servicios de red Gestion
• Si un servicio no se usa: eliminarlo. • Se se usa: tenerlo actualizado. • Ademas ´ conviene saber quien ´ usa cada servicio para distinguir
´ ´ ´ trafico normal de trafico anomalo. • Servicios mal configurados o desactualizados facilitan el ataque
al sistema. • Una vez dentro es mas ´ facil ´ borrar las huellas.
[email protected]
´ UNIX: Servicios de red Administracion
24/30
Conexiones al sistema
• Ficheros de acceso (/var/log/wtmp), /var/log/btmp.
Formato binario. • Se consultan con last • En todo momento se puede obtener un listado de las conexiones
activas de cualquier protocolo. Para TCP/IP se usa el mandato netstat -ta: Proto Recib Enviad Direcci´ on local tcp 0 0 *:www tcp 0 0 *:ssh tcp 0 0 bb4:ipp tcp 0 0 bb4.cesvi:45964
[email protected]
Direcci´ on remota *:* *:* *:* laurel.dat:imap2
´ UNIX: Servicios de red Administracion
Estado ESCUCHAR ESCUCHAR ESCUCHAR ESTABLECIDO
25/30
Filtrado de conexiones TCP wrappers • Se trata de un sistema de seguridad basado en el filtrado de
conexiones que usan tcpwrappers (libwrap.so). • Se basa en dos ficheros de configuracion: ´ • /etc/hosts.allow (toma precedencia) • /etc/hosts.deny # hosts.allow ALL: 138.100.: allow sshd: ALL: deny # hosts.deny http: ALL EXCEPT LOCAL # DenyHosts: Wed May 11 11:28:43 2011 | ALL: 200.54.194.196 ALL: 200.54.194.196
• denyhosts es una herramienta que analiza los intentos de login
´ y genera reglas para hosts.deny automaticamente.
[email protected]
´ UNIX: Servicios de red Administracion
26/30
Cortafuegos
• La mejor opcion ´ de seguridad externa son los cortafuegos o
firewalls. • Filtran conexiones pero a un nivel inferior en la pila de protocolos
que TCP wrappers. • Se pueden configurar con iptables y reglas en la tabla de
filtrado que aceptar y rechazar paquetes segun ´ origen y destino. • Para facilitar la escritura de reglas existen herramientas que se
apoyan en iptables.
[email protected]
´ UNIX: Servicios de red Administracion
27/30
Integridad del sistema Rootkits • Antes de salir de un sistema hay borrar las huellas de la
´ (borrar logs, historiales, ...). intrusion • Pero los troyanos solo ´ pueden pasar desapercibidos si se
ocultan a s´ı mismos.
Verificaciones de integridad • Existen aplicaciones que comprueban periodicamente ´ la
integridad del sistema: • rkhunter: verifica la integridad de los ficheros de sistema. • unhide: detecta procesos ocultos.
• Cuanto menos estandar ´ ´ mas ´ dif´ıcil le sea la comprobacion
resultara´ al intruso detectarla.
[email protected]
´ UNIX: Servicios de red Administracion
28/30
´ de maquinas ´ Autenticacion ´ de identidad, IP spoofing Suplantacion • Muchos ataques se basan un suplantar la identidad de
´ maquinas en las que se conf´ıa (man-in-the-middle). • La unica ´ es implantar autenticacion ´ entre maquinas. ´ solucion ´
ssh fingerprints • Es un modo de autenticacion ´ rudimentario para conexiones ssh. • Se trata de un resumen de la clave publica. ´
[email protected]
´ UNIX: Servicios de red Administracion
29/30
´ de maquinas ´ Autenticacion IPsec • Encriptacion ´ y autenticacion ´ a nivel IP • IPsec-Tools (linux), KAME (FreeBSD, OpenBSD). • Bastante utilizado en la implementacion ´ a nivel de router de
VPNs corporativas.
Kerberos • Protocolo de autenticacion ´ en redes no confiables desarrollado
en el MIT. • Centraliza la autenticacion ´ en un servidor (KDC, Key Distribution
Center). • El sistema de concesion ´ de permisos se basa en testigos
autenticados.
[email protected]
´ UNIX: Servicios de red Administracion
30/30