Administración UNIX: Servicios de red

´ UNIX: Administracion Servicios de red ´ Jesus ´ Montes Sanchez [email protected] Octubre 2013 [email protected] ´ UNIX: Servicios de red Administ
Author:  Nieves Ramos Redondo
15 downloads 67 Views 121KB Size
Report
DOWNLOAD PDF

Recommend Stories

Sistemas operativos de red: Unix, Netware, NT
Seguridad
Unix
Unix
Permisos. Estructura. Historia. Versiones. Directorios. Sistema de ficheros. Shell. AWK. Procesos
Unix
Sistemas operativos. Linux. Entrada. Cadenas regulares
UNIX
RED DE SERVICIOS MSPAS
Unix
Unix
Unix
Unix

Story Transcript

´ UNIX: Administracion Servicios de red ´ Jesus ´ Montes Sanchez [email protected]

Octubre 2013

[email protected]

´ UNIX: Servicios de red Administracion

1/30

Resumen

1 2

Acceso remoto. ´ de recursos. Comparticion • Sistemas de ficheros remotos. • Autenticacion. ´

3

Otros servicios.

4

´ Seguridad en maquinas conectadas en red.

[email protected]

´ UNIX: Servicios de red Administracion

2/30

Conexiones remotas ´ Herramientas historicas • telnet • rlogin (y rsh).

Presentan problemas de seguridad inherentes.

Secure Shell (ssh) • ssh es el protocolo mas ´ habitual para hacer login remoto. • La implementacion ´ libra mas ´ usada es OpenSSH. • Un programa ssh proporciona: • Un demonio servidor para aceptar conexiones entrantes (sshd) y un cliente (ssh). • Distintos metodos ´ ´ del canal seguro. de encriptacion • Autenticacion ´ por medio de pares de clave publica/privada ´ • Redireccion ´ de puertos (incluyendo servidor grafico). ´ • Otras utilidades: ssh-agent, ssh-add, ... [email protected]

´ UNIX: Servicios de red Administracion

3/30

´ Conexiones graficas remotas Servidores X en remoto • Existen diversas herramientas para facilitar login grafico ´ a una

´ maquina remota • XDMCP es un protocolo que permite la encapsulacion ´ del

´ de red y tener un login remoto protocolo de X windows a traves de aspecto local. • VNC es otro protocolo que permite enviar eventos de interfaz de

´ una maquina a otra. Tiene servidor y clientes espec´ıficos. • Otras alternativas son ssh -X (X forwarding) y NoMachine

[email protected]

´ UNIX: Servicios de red Administracion

4/30

Servicio de Remote Procedure Call Remote Procedure Calls (RPCs) • Sistema de comunicacion ´ interproceso por red desarrollado por

Sun. • Un servidor llamado portmapper arranca en el puerto 111. • Los procesos locales registran programas con un ID unico. ´ • Los clientes consultan al protmapper para invocar funciones

de un programa.

Servicios comunes Dos servicios t´ıpicos basadas en RPC son: • NFS (Network File System) • NIS (Network Informatin Service)

[email protected]

´ UNIX: Servicios de red Administracion

5/30

Sistemas de ficheros en red: NFS ´ habitual de exportar y El Network File System (NFS) es la forma mas montar sistemas de ficheros remotos en sistemas UNIX.

NFS v2 • Primera version ´ abierta del protocolo e implementacion ´ • Servidor sin estado • Obsoleto

NFS v3 • Mejora de rendimiento frente a v2 • Trasporte por TCP y UCP • Cerrojos proporcionados por demonios separados (lockd y

statd)

[email protected]

´ UNIX: Servicios de red Administracion

6/30

Sistemas de ficheros en red: NFS ´ mas ´ actual NFS v4, version • Servidor con estado. • Integridad, privacidad y autenticacion ´ integradas • Los cerrojos forman parte integral del protocolo. • Soporte y cooperacion ´ con firewalls y NATs • Soporte para replicacion ´ y migracion ´ • ACLs • Solo ´ TCP • Mejor rendimiento,

[email protected]

´ UNIX: Servicios de red Administracion

7/30

Sistemas de ficheros en red: NFS ´ Arquitectura y configuracion • Servidor: • Exporta un directorio de su arbol ´ de directorios (v2/v3) o una ´ del arbol ´ seleccion ra´ız (v4). • Asigna permisos de acceso a hosts conocidos. • Normalmente se configura en (/etc/exports) /home nombre cliente(rw,sync,no root squash) ... • Un demonio atiende las peticiones de las clientes. • Cliente: • El sistema de ficheros se indica como servidor:directorio en vez de un nombre de dispositivo. • Montaje manual: # mount -t nfs laurel:/home /home • Montaje automatico ´ editando /etc/fstab: laurel:/home /home nfs defaults,auto 0 0

[email protected]

´ UNIX: Servicios de red Administracion

8/30

Sistemas de ficheros en red: NFS Cuestiones de seguridad • Los tipos de seguridad son: • AUTH NONE • AUTH SYS, basada en UIDs y GID, (root of an allowed client can access any users file by impersonation) • RPCSEC GSS (opcional en v3, obligatorio en v4), necesita Kerberos. • v2 y v3 no deben ser de visibilidad publica ´ • Para establecer la identidad de un cliente v2/v3 usan UID y GID,

v4 conf´ıa en un demonio que recibe cadenas user@domain y las transforma a IDs en el otro extremo. • Existe un usuario nobody y el root tiene tratamiento especial.

[email protected]

´ UNIX: Servicios de red Administracion

9/30

Sistemas de ficheros en red: Lustre Sistema de ficheros de alto rendimiento, distribuido con licencia GNU.

Arquitectura • Uno o mas metadata servers: Almacenan nombres de ficheros,

directorios, permisos de acceso, etc. • Uno o mas object storage servers: Almacenan los datos. Sulelen

emplear raids hardware como soporte f´ısico. • Capa de red (Lustre Networlk): Gestiona la comunicacion ´ entre

servidores y clientes.

Ventajas • Muestra toda la informacion ´ dentro de un unico espacio de ´

´ nombres usando semantica POSIX. • Permite lecturas y escrituras concurrentes. • Fiabilidad y alta disponibilidad.

[email protected]

´ UNIX: Servicios de red Administracion

10/30

Sistemas de ficheros en red: GPFS General Parallel File System, desarrolado por IBM.

• Solucion ´ propietaria, muy utilizada en la actualidad. • Orientado a clusters de alto rendimiento. • Permite organizar el espacio de almacenamiento en storage

pools y filesets. • Storage pools: Grupos de servidores de disco, separados en

´ de sus prestaciones, ubicacion, ´ fiabilidad, etc. funcion • Filesets: Subconjuntos de ficheros, separados por criterios

administrativos como cuotas, pol´ıticas de seguridad, etc. • Permite acceso simultaneo a mutiples servidores, para mejorar ´

el rendimiento. • Metadatos distribuidos por toda la infraestructura. No hay

servidores dedicados exclusivamente a metadatos. • Implementa semantica ´ POSIX.

[email protected]

´ UNIX: Servicios de red Administracion

11/30

Montaje por ssh, sshfs ´ de un Se trata de montar un sistema de ficheros remoto a traves tunel ssh usando la API de fuse (filesystem in userspace). • Proporciona mejoras de seguridad frente a NFS (NFSv4 con

´ AUTH SYS como unico metodo de control de acceso). ´ • Autenticacion. ´ • Confidencialidad. • Integridad.

• Como contrapartida, esta directamente ligado a un usuario de la

´ maquina remota. • Para montar un directorio remoto se usa el mandato

sshfs usuario@servidor:ruta punto de montaje • El desmontado se hace con

fusermount -u punto de montaje

[email protected]

´ UNIX: Servicios de red Administracion

12/30

´ remota Autenticacion ´ con NIS Autenticacion • Sistema comun ´ para sistemas conectados en red. • Mantiene bases de datos compartidas por varias maquinas. ´ • Usuarios y contrasenas ˜ (/etc/passwd, /etc/shadow). • Grupos (/etc/group). • Permite centralizar la gestion ´ usuarios. • Arquitectura cliente/servidor.

NIS+ ´ del sistema anterior que anade: ˜ NIS+ es una revision • Mayor seguridad (certificados y cifrado). • Organizacion ´ jerarquica ´ y replicada de servidores. • Pero una configuracion ´ mas ´ compleja.

[email protected]

´ UNIX: Servicios de red Administracion

13/30

´ remota Autenticacion ´ de servidor NIS Configuracion • Un servidor define un domino de autenticacion ´

(/etc/defaultdomain). • Gestiona y almacena las bases de datos de usuarios y las

publica a los clientes (/etc/ypserv.securenets). • El servicio funciona por medio de un demonio (ypserv). • Puede haber servidores maestros y esclavos (configurable en

/etc/default/nis).

´ de cliente NIS Configuracion • Un cliente se conecta a un domino NIS con ypbind para poder

consultar la base de datos. • La autenticacion ´ de la contrasena ˜ se resuelve localmente. • La configuracion ´ esta´ en /etc/yp.conf y /etc/nsswitch. [email protected]

´ UNIX: Servicios de red Administracion

14/30

´ remota Autenticacion ´ con LDAP Autenticacion • LDAP es un protocolo de acceso a directorios de informacion ´

(Lightweight Directory Access Protocol) • La informacion ´ que puede almacenar un directorio de LDAP es

´ ´ generica y se organiza jerarquicamente. • Cada objecto de la base de datos tiene un DN (Distinguished

Name) que lo identifica y una serie de clases a las que pertenece. • El servidor de LDAP por defecto abre el puerto 389. • OpenLDAP es una implementacion ´ de la version ´ LDAPv3 que

funciona en casi todos los UNIX actuales. • • • •

slapd, demonio servidor de LDAP ´ y actualizacion. ´ slurpd, demonio de replicacion Bibliotecas de soporte. Herramientas, utilidades y clientes.

[email protected]

´ UNIX: Servicios de red Administracion

15/30

Super-servidores inetd e xinetd • Super-servidores historicos. ´ • Proceso unico que abre varios puertos de escucha y despacha ´

peticiones a esos puertos arrancando el servidor que atiende el servicio. • El demonio inetd se configura en dos ficheros: • Puertos estandar ´ de servicio,/etc/services:

#nombre puerto/protocolo alias telnet 23/tcp time 37/udp timeserver • Programas de servicio: /etc/inetd.conf #servicio socket proto flags usr serv telnet stream tcp nowait root in.telnetd time dgram udp wait root internal • xinetd es una version ´ mejorada con mas ´ opciones.

[email protected]

´ UNIX: Servicios de red Administracion

16/30

Otros servicios habituales

Demonios de env´ıo correo (SMTP)

Servidores de ficheros • FTP

• Sendmail

• TFTP

• Postfix

Servidores web

Servidores de correo (IMAP, POP)

• Apache (apached)

• Courier

• Cherokee

• Cyrus

• Lighttpd

Gestores de trabajos/colas

[email protected]

´ UNIX: Servicios de red Administracion

17/30

Gestores de trabajos/colas ´ que Servicios especiales, muy habituales en supercomputacion, ´ de trabajos en el sistema. gestionan el env´ıo y la ejecucion

Caracter´ısticas t´ıpicas • Interfaz para configurar, enviar y monitorizar trabajos. • Mecanismos para definir workflows y dependencias entre

trabajos. • Gestion ´ de los recursos de computo ´ disponibles. • Prioridades o colas para organizar la ejecucion ´ de trabajos.

Ejemplos Moab, Oracle Grid Engine (OGE), LoadLeveler, Condor, Slurm, etc.

[email protected]

´ UNIX: Servicios de red Administracion

18/30

´ IP avanzada Configuracion ´ como router Configuracion • Un router posee al menos dos interfaces de red para encaminar

´ ´ redes. trafico entre dos o mas • Un router intercambia informacion ´ de encaminamiento con otros

routers y emite mensajes de control de red ICMP. • Reenv´ıa los paquetes IP que recibe y de los que no es

destinatario.

´ de tablas de rutas Configuracion • Estatica ´ con route. • Dinamica ´ por medio de protocolos como RIP u OSPF (demonios

routed (obsoleto), gated (muerto), Quagga). • No es recomendable utilizar sistemas UNIX completos como

router. [email protected]

´ UNIX: Servicios de red Administracion

19/30

´ IP avanzada Configuracion La pila IP del nucleo permite: ´ • IP Masquerading: • Una sola direccion ´ IP para varias maquinas. ´ • Vale para que varios equipos de una red compartan una unica IP ´

de salida. • Auditor´ıa: Estad´ısticas y analisis ´ de paquetes. • Alias: • Varias direcciones IP en la misma tarjeta. • Si se quiere discrimar entre varios servicios. • Redireccion ´ de paquetes • Para hacer encaminamiento. • Se activa haciendo sysctl -w net.ipv4.ip forward=1 o asignando 1 al campo net.ipv4.ip forward de /etc/sysctl.conf y recargando (sysctl -p /etc/sysctl.conf)

[email protected]

´ UNIX: Servicios de red Administracion

20/30

´ IP avanzada Configuracion IP tables • En Linux, muchas reglas de redireccion ´ y filtrado se aplican

usando la herramienta iptables. • iptables actua ´ sobre las tablas de reglas de filtrado de

paquetes del protocolo IP a nivel de nucleo. ´

Ejemplo: NAT y encaminamiento en un nodo con dos interfaces, una ethx conectada a Internet u otra ethy a una LAN, para permitir a la LAN acceso a Internet. # Regla para los paquetes de salida # iptables --table nat --append POSTROUTING \ --out-interface ethx -j MASQUERADE # Regla para los paquetes de entrada # iptables --append FORWARD --in-interface ethy -j ACCEPT

[email protected]

´ UNIX: Servicios de red Administracion

21/30

Conectividad con Windows Samba (http://www.samba.org) • El protocolo SMB (Server Message Block) los utilizan los

sistemas Windows para compartir discos e impresoras. • La implementacion ´ UNIX del protocolo se denomina Samba. • Samba permite a una maquina ´ UNIX acceder a recursos

compartidos de una red Windows. • Cuentas de usuarios. • Carpetas compartidas. • Impresoras.

[email protected]

´ UNIX: Servicios de red Administracion

22/30

Seguridad Aspectos que considerar • Seguridad interior. • Seguridad exterior. • Deteccion ´ de intrusiones.

Tipos de ataques segun ´ el objetivo. • Acceso privilegiado. • Acceso no privilegiado. • Denegacion ´ de servicio. • Corrupcion ´ de la integridad de datos. • Revelacion ´ de datos confidenciales. • Ejecucion ´ de codigo ´ ˜ danino. • Inspeccion ´ y analisis ´ de la red.

[email protected]

´ UNIX: Servicios de red Administracion

23/30

´ de los servicios de red Gestion

• Si un servicio no se usa: eliminarlo. • Se se usa: tenerlo actualizado. • Ademas ´ conviene saber quien ´ usa cada servicio para distinguir

´ ´ ´ trafico normal de trafico anomalo. • Servicios mal configurados o desactualizados facilitan el ataque

al sistema. • Una vez dentro es mas ´ facil ´ borrar las huellas.

[email protected]

´ UNIX: Servicios de red Administracion

24/30

Conexiones al sistema

• Ficheros de acceso (/var/log/wtmp), /var/log/btmp.

Formato binario. • Se consultan con last • En todo momento se puede obtener un listado de las conexiones

activas de cualquier protocolo. Para TCP/IP se usa el mandato netstat -ta: Proto Recib Enviad Direcci´ on local tcp 0 0 *:www tcp 0 0 *:ssh tcp 0 0 bb4:ipp tcp 0 0 bb4.cesvi:45964

[email protected]

Direcci´ on remota *:* *:* *:* laurel.dat:imap2

´ UNIX: Servicios de red Administracion

Estado ESCUCHAR ESCUCHAR ESCUCHAR ESTABLECIDO

25/30

Filtrado de conexiones TCP wrappers • Se trata de un sistema de seguridad basado en el filtrado de

conexiones que usan tcpwrappers (libwrap.so). • Se basa en dos ficheros de configuracion: ´ • /etc/hosts.allow (toma precedencia) • /etc/hosts.deny # hosts.allow ALL: 138.100.: allow sshd: ALL: deny # hosts.deny http: ALL EXCEPT LOCAL # DenyHosts: Wed May 11 11:28:43 2011 | ALL: 200.54.194.196 ALL: 200.54.194.196

• denyhosts es una herramienta que analiza los intentos de login

´ y genera reglas para hosts.deny automaticamente.

[email protected]

´ UNIX: Servicios de red Administracion

26/30

Cortafuegos

• La mejor opcion ´ de seguridad externa son los cortafuegos o

firewalls. • Filtran conexiones pero a un nivel inferior en la pila de protocolos

que TCP wrappers. • Se pueden configurar con iptables y reglas en la tabla de

filtrado que aceptar y rechazar paquetes segun ´ origen y destino. • Para facilitar la escritura de reglas existen herramientas que se

apoyan en iptables.

[email protected]

´ UNIX: Servicios de red Administracion

27/30

Integridad del sistema Rootkits • Antes de salir de un sistema hay borrar las huellas de la

´ (borrar logs, historiales, ...). intrusion • Pero los troyanos solo ´ pueden pasar desapercibidos si se

ocultan a s´ı mismos.

Verificaciones de integridad • Existen aplicaciones que comprueban periodicamente ´ la

integridad del sistema: • rkhunter: verifica la integridad de los ficheros de sistema. • unhide: detecta procesos ocultos.

• Cuanto menos estandar ´ ´ mas ´ dif´ıcil le sea la comprobacion

resultara´ al intruso detectarla.

[email protected]

´ UNIX: Servicios de red Administracion

28/30

´ de maquinas ´ Autenticacion ´ de identidad, IP spoofing Suplantacion • Muchos ataques se basan un suplantar la identidad de

´ maquinas en las que se conf´ıa (man-in-the-middle). • La unica ´ es implantar autenticacion ´ entre maquinas. ´ solucion ´

ssh fingerprints • Es un modo de autenticacion ´ rudimentario para conexiones ssh. • Se trata de un resumen de la clave publica. ´

[email protected]

´ UNIX: Servicios de red Administracion

29/30

´ de maquinas ´ Autenticacion IPsec • Encriptacion ´ y autenticacion ´ a nivel IP • IPsec-Tools (linux), KAME (FreeBSD, OpenBSD). • Bastante utilizado en la implementacion ´ a nivel de router de

VPNs corporativas.

Kerberos • Protocolo de autenticacion ´ en redes no confiables desarrollado

en el MIT. • Centraliza la autenticacion ´ en un servidor (KDC, Key Distribution

Center). • El sistema de concesion ´ de permisos se basa en testigos

autenticados.

[email protected]

´ UNIX: Servicios de red Administracion

30/30

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.