SlideShare une entreprise Scribd logo

Interconexion de redes

Télécharger en tant que DOCX, PDF
Kary Gomez
Kary Gomez
1  sur  14
1.- ¿Que son los circuitos virtuales? El X.25 es una red de conmutación de paquetes que utiliza circuitos virtuales. Los circuitos virtuales son creados en el nivel de red, esto significa que una conexión física entre un DTE y un DCE puede transportar varios circuitos virtuales en el nivel de red, siendo cada circuito responsable de la transmisión de datos o de control (señalización en banda). Cada circuito virtual debe estar identificado para ser usado por los paquetes, y este identificador se denomina: número de canal lógico (LCN), cuando se establece un canal virtual siempre hay un par de LCN: uno define el circuito virtual entre el DTE y el DCE locales y el otro el circuito virtual entre el DCE y el DTE remotos. La razón de tener dos LCN es hacer al LCN de dominio local. El LCN local permite que el mismo conjunto de LCN pueda ser utilizado por dos pares diferentes de enlaces DTE-DCE sin ninguna confusión. 2.- ¿Cuales son los tipos de firewall incluir imágenes explicadas? Las firewalls a nivel de red generalmente, toman las decisiones basándose en la fuente, dirección de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación con quién está hablando un paquete ahora o desde donde está llegando en este momento. Las modernas firewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre el estado de las conexiones que están pasando a través de ellas, los contenidos de algunos datagramas y más cosas. Un aspecto importante que distingue a las firewall a nivel de red es que ellas enrutan el tráfico directamente a través de ellas, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios. Un ejemplo de una firewall a nivel de red se muestra en la figura anterior. En este ejemplo se representa una firewall a nivel de red llamada "Screend Host Firewall". En dicha firewall, se accede a y desde un único host el cual es controlado por un router operando a nivel de red. El host es como un bastión, dado que está muy defendido y es un punto seguro para refugiarse contra los ataques.
Otros ejemplo sobre una firewall a nivel de red es el mostrado en la figura anterior.En este ejemplo serepresenta una firewall a nivel de red llamada "screened subnet firewall". En dicha firewall se accede a y desdeel conjunto de la red, la cual es controlada por un router operando a nivel de red. Es similar al firewall indicadaen el ejemplo anterior salvo que esta si que es una red efectiva de hosts protegidos. Los Firewalls a nivel de aplicación son generalmente, hosts que corren bajo servidores proxy, que no permitentráfico directo entre redes y que realizan logines elaborados y auditan el tráfico que pasa a través de ellas. Las firewall a nivel de aplicación se puede usar como traductoras de direcciones de red, desde que el tráfico entrapor un extremo hasta que sale por el otro. Las primeras firewalls a nivel de aplicación eran poco transparentes alos usuarios finales, pero las modernas firewalls a nivel de aplicación son bastante transparentes. Las firewalls anivel de aplicación, tienden a proporcionar mayor detalle en los informes auditados e implementan modelos deconservación de la seguridad. Esto las hace diferenciarse de las firewalls a nivel de red. 3.- ¿Que es una DMZ? Una DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ’s puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. 4.-Mencione y explique por lo menos 5 algoritmos de encriptación DES y 3DES El algoritmo DES (Data Encryption Standard) creado en 1976 requiere una clave de 64 bits, de los cuales utiliza únicamente 56 bits siendo los otros 8 un control de paridad. Para mejorar la seguridad se creo Triple DES (TDES o 3DES), que consiste en utilizar tres veces DES, cifrando y/o descifrando con una, dos o tres claves diferentes. Así DES-EEE1 cifra tres veces con la misma
clave, mientras que DES-EDE3 cifra-descifra-cifra con tres claves diferentes (al usar para descifrar una clave diferente que para cifrar, en realidad se complica el cifrado). Las variantes más seguras son DES- EEE3 y DES-EDE354. Si se utilizan 3 claves diferentes la longitud de la clave usada es de 168 bits (56x3) pero la seguridad efectiva55 es de 112 bits. 3DES es un algoritmo seguro pero lento, que permitió seguir utilizando dispositivos creados para DES. Sin embargo está siendo sustituido por AES (Advanced Encryption Standard). AES AES (Advanced Encryption Standard) es uno de los algoritmos más utilizados, ya que se convirtió en estándar en 2002. Utiliza un tamaño de bloque de 128 bits y claves de 128, 192 o 256 bits. AES es rápido tanto por software como por hardware, es relativamente sencillo de implementar y requiere poca memoria en el proceso. RCx RC4 (Rivest Cipher o Rons Code) era el algoritmo de cifrado por software más utilizado en parte por ser el algoritmo utilizado por SSL y WEP. Este algoritmo utiliza un sistema de cifrado de flujo (stream cipher) no de trasposición de bloques. Esto hace que sea rápido y sencillo. Sin embargo este algoritmo es fácilmente atacable si la clave de flujo (keystream) no se descarta, o no es aleatoria o cambia en relación a la clave anterior o se usa varias veces la misma. Utiliza una clave de entre 40 y 256 bits y no se recomienda su uso ya que no aporta seguridad suficiente. RC4 ha sido sustituido por RC5 y RC6 que utilizan trasposición de bloques. RC6 utiliza un tamaño de bloque de 128 bits y claves de 128, 192 o 256 bits (como AES), aunque puede parametrizarse con otros valores. ARCFour (Alleged RC4) es un algoritmo libre al parecer compatible con RC4 (algoritmo patentado y cerrado). IDEA IDEA (International Data Encryption Algorithm) es un algoritmo de trasposici ón de bloques de 64 bits con clave de 128 bits. Se usa en PGPv2 (Pretty Good Privacy) y es opcional en OpenPGP dado que está sujeto a licencia en algunos paises. RSA (Rivest, Shamir and Adlman) Es el más popular y utilizado de los algoritmos asimétricos. Fue inventado en 1978 por Rivest, Shamir y Adlman que dan nombre al algoritmo. Patentaron el algoritmo y cuando alcanzó popularidad fundaron una empresa, RSA Data Security Inc., para la explotación comercial. Para su implementación y comercialización se deben pagar derechos a esta empresa, pero actualmente se encuentran muchas versiones gratuitas en Internet. Fuera de los EE.UU. sólo está permita la utilización del algoritmo conclaves menores o iguales a 512 bits. El algoritmo utiliza las siguientes claves: · Como públicas dos números grandes elegidos por un programa: e y n. · Como privada un número grande d, consecuencia de los anteriores. El cálculo de estas claves se realiza en secreto en la máquina depositaria de la privada. Este proceso tiene mucha importancia para la posterior seguridad del sistema. El proceso es el siguiente: 1. Se buscan dos número grandes (entre 100 y 300 dígitos) y primos: p y q. 2. Se calcula f = (p-1) * (q-1) y n = p * q. 3. Se busca e como un número sin múltiplos comunes a f. 4. Se calcula d = e-1 mod f. (mod = resto de la división de enteros).
5. Se hace públicas las claves n y e, se guarda d como clave privada y se destruyen p, q y f. Mediante “prueba y ensayo” es muy difícil calcular d ya que es un número de 512 bits o más. Así el sistema de criptoanálisis utilizado es buscar la clave privada d a partirde las públicas e y n. Para esto basta con encontrar los números p y q, estos son la descomposición en factores primos de n, ya que n = p * q. No se ha descubierto aún ninguna forma analítica de descomponer números grandes en factores primos. 5.- ¿Qué son las firmas digitales? Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital, que puede ser por ejemplo un documento electrónico. Una firma digital da al destinatario seguridad de que el mensaje fue creado por el remitente (autenticidad de origen), y que no fue alterado durante la transmisión (integridad). La firma digital consiste en un método criptográfico que asocia la identidad de una persona o de un equipo informático, al mensaje o documento. En función del tipo de firma, puede además asegurar la integridad del documento o mensaje. El proceso de firma consiste en cifrar una cadena de texto llamada digesto, que es confeccionadautilizando funciones que resumen un texto a una cadena de caracteres de longitud fija predeterminada. 6.- ¿Cómo configurar un servidor de autenticación? Instale el paquete LDAP necesario Primero, debería asegurarse de tener los paquetes apropiados en ambos, el servidor LDAP y las máquinas cliente LDAP. El servidor LDAP requiere el paquete openldap-server. Los paquetes openldap, openldap-clients, y nss_ldap necesitan estar instalados en todas las máquinas LDAP clientes. Modifique los archivos de configuración En el servidor, modifique el archivo /etc/openldap/slapd.conf en el servidor LDAP para asegurarse de que se corresponde con las especificaciones de su organización. Por favor refiérase a Sección 13.6.1 para instrucciones sobre la modificación de slapd.conf. En las máquinas clientes, ambos archivos /etc/ldap.conf y /etc/openldap/ldap.conf necesitan contener el servidor apropiado y la información base de búsqueda para la organización. Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario. También puede editar estos archivos manualmente. En las máquinas clientes, el archivo /etc/nsswitch.conf debe ser editado para usar LDAP. Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario. Si está modificando el archivo /etc/nsswitch.conf manualmente, agregue ldap a las líneas adecuadas. Por ejemplo: passwd: files ldap shadow: files ldap group: files ldap
13.7.1. PAM y LDAP Para tener aplicaciones PAM estándar utilice LDAP para la autenticación, ejecutando la Herramienta de configuración de autenticación (system-config-authentication) y luego seleccionando Activar soporte LDAP bajo la pestaña Autenticación. Para más información sobre la configuración de PAM, consulte el Capítulo 16 y las páginas del manual de PAM . 13.7.2. Migrar la información de autenticación antigua al formato LDAP El directorio /usr/share/openldap/migration/ contiene un conjunto de scripts de shell y Perl para la migración de información de autenticación en el formato LDAP. Primero, modifique el archivo migrate_common.ph para que refleje el dominio correcto. El dominio DNS por defecto debería ser modificado desde su valor por defecto a algo como lo siguiente: $DEFAULT_MAIL_DOMAIN = "example"; La base por defecto también debería ser modificada, para que se parezca a: $DEFAULT_BASE = "dc=example,dc=com"; La tarea de migrar una base de datos de usuario a un formato que pueda leer LDAP le corresponde a un grupo de scripts de migración instalado en el mismo directorio. Usando la Tabla 13-1, decida cúal script va a ejecutar para poder migrar su base de datos de usuario. Ejecute el script apropiado basándose en el nombre del servicio actual. Los archivos README y migration-tools.txt en el directorio /usr/share/openldap/migration/ dan más detalles sobre cómo migrar la información. Nombre del servicio actual ¿Está LDAP ejecutándose? Utilice este script /etc archivos planos si migrate_all_online.sh /etc archivos planos no migrate_all_offline.sh NetInfo si migrate_all_netinfo_online.sh NetInfo no migrate_all_netinfo_offline.sh NIS (YP) si migrate_all_nis_online.sh NIS (YP) no migrate_all_nis_offline.sh 7.- Explique como configurar apache con ssl Requisitos. Es necesario disponer de una dirección IP pública para cada sitio de red virtual que se quiera configurar con soporte SSL/TLS. Debido a la naturaleza de los protocolos SSL y TLS, no es posible utilizar múltiples sitios de red virtuales con soporte SSL/TLS utilizando una misma dirección IP. Cada certificado utilizado requerirá una dirección IP independiente en el anfitrión virtual. El paquete mod_ssl instala el archivo /etc/httpd/conf.d/ssl.conf, mismo que no es necesario modificar, puesto que se utilizarán archivos de inclusión, con extensión *.conf, dentro del directorio /etc/httpd/conf.d/, a fin de respetar la configuración predeterminada y podre contar con la misma, que es funcional, brindando un punto de retorno en el caso de que algo saliera mal. Equipamiento lógico necesario. Instalación a través de yum.Si se utiliza de CentOS 5 o 6, o bien Red Hat Enterprise Linux 5 o 6, ejecute lo siguiente: yum -y install mod_ssl Procedimientos. Generando firma digital y certificado. Acceda al sistema como el usuario root. Acceda al directorio /etc/pki/tls/.
cd /etc/pki/tls En caso de que existieran previamente, debe eliminar los archivos certs/dominio.tld.crt, certs/dominio.tld.crs, private/dominio.tld.key y private/dominio.tld.pem. rm -f certs/dominio.tld.crt private/dominio.tld.key rm -f certs/dominio.tld.csr private/dominio.tld.pem Se debe crear una clave con algoritmo RSA de 2048 octetos y estructura x509, la cual se cifra utilizado Triple DES (Data Encryption Standard), almacenado en formato PEM de modo que sea interpretable como texto ASCII. se solicitará una clave de acceso para asignar a la firma digital, por lo que se recomienda utilizar una muy buena clave de acceso, la cual, mientras más complicada y difícil sea, mejor. openssl genrsa -des3 -out private/dominio.tld.key 2048 Si se utiliza este archivo (dominio.tld.key) para la configuración del anfitrión virtual, se requerirá de interacción del administrador cada vez que se tenga que iniciar, o reiniciar, el servicio httpd, ingresando la clave de acceso de la firma digital. Este es el procedimiento más seguro, sin embargo, debido a que resultaría poco práctico tener que ingresar una clave de acceso cada vez que se inicie el servicio httpd, resulta más conveniente generar una firma digital RSA, la cual permita iniciar normalmente y sin interacción alguna, al servicio httpd. openssl rsa -in private/dominio.tld.key -out private/dominio.tld.pem El archivo dominio.tld.pem será el que se especifique más adelante como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. A continuación, genere el archivo CSR (Certificate Signing Request), el cual es el archivo de solicitud que se hace llegar a una RA (Registration Authority o Autoridad de Registro), como Verisign, quienes, tras el correspondiente pago, envían de vuelta un certificado (para ser utilizado como el archivo dominio.tld.crt) firmado por dicha autoridad certificadora. openssl req -new -key private/dominio.tld.key -out certs/dominio.tld.csr Lo anterior solicitará se ingresen varios datos: Código de dos letras para el país. Estado o provincia. Ciudad. Nombre de la empresa o razón social. Unidad o sección.
Nombre del anfitrión. Debe ser el nombre con el que se accederá hacia el servidor, y dicho nombre deberá estar resuelto en un DNS. SI lo desea, puede utilizar también *.dominio.tld. Dirección de correo electrónico válida del administrador del sistema. De manera opcional se puede añadir otra clave de acceso y nuevamente el nombre de la empresa. Poco recomendado, a menos que quiera ingresar ésta cada vez que se inicie o reinicie el servicio httpd. La salida devuelta sería similar a la siguiente: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:MX State or Province Name (full name) [Berkshire]:Distrito Federal Locality Name (eg, city) [Newbury]:Mexico Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V. Organizational Unit Name (eg, section) []:Direccion Comercial Common Name (eg, your name or your server's hostname) []:*.dominio.tld Email Address []:webmaster@dominio.tld Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Si requiere un certificado auto-firmado, en lugar de un certificado firmado por un RA, puede generarse éste utilizando el archivo de petición CSR (dominio.tld.csr). En el ejemplo a continuación, se crea un certificado con estructura X.509 en el que se establece una validez por 730 días (dos años). openssl x509 -req -days 730 -in certs/dominio.tld.csr -signkey private/dominio.tld.key -out certs/dominio.tld.crt Con la finalidad de que sólo el usuario root pueda acceder a los archivos creados, se deben cambiar los permisos de éstos a sólo lectura para root. chmod 400 private/dominio.tld.key private/dominio.tld.pem chmod 400 certs/dominio.tld.csr certs/dominio.tld.crt Configuración simple de Apache para un solo dominio. Edite el archivo /etc/httpd/conf.d/ssl.conf: vim /etc/httpd/conf.d/ssl.conf Localice lo siguiente: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command.
SSLCertificateFile /etc/pki/tls/certs/localhost.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key Cambie localhost.crt y localhost.key, por dominio.tld.crt y dominio.tld.pem: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pem A fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restart Lo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando se creo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. Configuración de Apache para múltiples dominios. Omita el procedimiento anterior. Es importante resaltar que cada dominio deberá contar con su propia dirección IP, pues el protocolo HTTPS impedirá utilizar más de un certificado por dirección IP. El primer paso consiste en crear la estructura de directorios para el anfitrión virtual. mkdir -p /var/www/dominio.tld/{cgi-bin,html,logs,etc} De todos directorios creados, sólo /var/www/dominio.tld/html, /var/www/dominio.tld/etc y /var/www/dominio.tld/cgi-bin pueden pertenecer a un usuario sin privilegios, quien administrará este anfitrión virtual. Crear el archivo /etc/httpd/conf.d/dominio.conf: vim /etc/httpd/conf.d/dominio.conf Adaptar la siguiente plantilla como contenido de este archivo, donde a.b.c.d corresponde a una dirección IP, y dominio.tld corresponde al nombre de dominio a configurar para el anfitrión virtual: ### dominio.tld ### NameVirtualHost a.b.c.d:80 <VirtualHost a.b.c.d:80> ServerAdmin webmaster@dominio.tld
DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ServerAlias dominio.tld Redirect 301 / https://www.dominio.tld/ CustomLog logs/dominio.tld-access_log combined Errorlog logs/dominio.tld-error_log </VirtualHost> NameVirtualHost a.b.c.d:443 <VirtualHost a.b.c.d:443> ServerAdmin webmaster@dominio.tld DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ScriptAlias /cgi-bin/ /var/www/dominio.tld/cgi-bin/ <Directory "/var/www/dominio.tld/cgi-bin"> SSLOptions +StdEnvVars </Directory> SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/dominio.tld-ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b" Errorlog logs/dominio.tld-ssl_error_log TransferLog logs/dominio.tld-ssl_access_log LogLevel warn </VirtualHost> A fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restart Lo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando se creo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. Comprobación. Sólo basta dirigir cualquier navegador HTTP hacia https://www.dominio.tld/ a fin de verificar que todo esté trabajando correctamente. Tras aceptar el certificado, en el caso de que éste no haya sido firmado por un RA, deberá poderse observar un signo en la barra de estado del navegador, el cual indica que se trata de una conexión segura. Modificaciones necesarias en el muro cortafuegos. Si se utiliza un cortafuegos, es necesario abrir, además del puerto 80 por TCP (HTTP), el puerto 443 por TCP (HTTPS). Si utiliza Shorewall, edite el archivo /etc/shorewall/rules: vim /etc/shorewall/rules Las reglas corresponderían a algo similar a lo siguiente:
#ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT all fw tcp 80,443 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Al terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguiente mandato: service shorewall restart 8.- ¿Que es un certificado y como se obtiene uno? El Certificado Digital es un Documento Digital que nos permite : Identificarnos. Firmar digitalmente un Documento Digital. Trabajar con Documentos Digitales firmados digitalmente teniendo certeza respecto del remitente y el destinatario. Efectuar transacciones de tipo comercial con total seguridad y sustento legal. Mantener la confidencialidad de la información entre el Remitente y el Destinatario utilizando cifrado. Estar seguros de que un Documento Digital no ha sido alterado. En síntesis, la utilización de Certificados Digitales garantiza Autentificación, Integridad, Confidencialidad, No Repudio. A la Entidad que otorga Certificados Digitales se la llama Autoridad de Certificación. Es un Documento Digital emitido por una Autoridad de Certificación a solicitud de una Autoridad de Registro que garantiza la veracidad de los datos contenidos referentes a una persona física o jurídica. El Certificado Digital está compuesto de 2 partes. Una de ellas es Privada (Porción Privada) y la otra parte es Pública (Porción Pública). (Ver el tema : ¿Cómo es un Certificado Digital?) Estas dos partes son generadas en el mismo momento por el usuario ejecutando un programa provisto por la Autoridad de Certificación desde su sitio en la web (www.certificadodigital.com.ar). Según qué datos están verificados por la Autoridad de Registro y cual fue el procedimiento de verificación, se otorgan diferentes Clases de Certificado Digital. Podemos encontrar que los Certificados Digitales también se utilizan, entre otras cosas, para : Verificar autenticidad de un Sitio Web. Verificar autenticidad e integridad de un programa de computación. Verificar el Momento en que fue firmado o enviado un Documento Digital Órgano Licenciante Es el organismo del Estado que habilita a una Empresa de Certificación Digital como Autoridad de Certificación. Entidad Auditante Es la Entidad que ha sido designada para efectuar la Auditoría y Control de la Autoridad de Certificación. Autoridad de Certificación La Autoridad de Certificación es responsable de brindar las herramientas para poder emitir, con calidad técnica y de manera segura e irrepetible por otros medios o en otras circunstancias, el par de claves, pública y privada, que constituye el eje del certificado, así como de : Aprobar o Rechazar las Solicitudes generadas por la Autoridad de Registro. Poner a salvo su propia clave privada (Clave Privada Raíz) que es la que utiliza para aprobar las Solicitudes. Garantizar la calidad técnica del sistema informático. Proveer el libre y fácil acceso a las listas y directorios de claves públicas para la verificación de firmas emitidas por lamisma.
Publicar las Claves Públicas que ha aprobado y las Revocaciones de Certificados Digitales que ha realizado. La potestad para Emitir Certificados Digitales le es concedida por el Órgano Licenciante y la calidad del servicio es controlada por una Entidad Auditante. En nuestro país este esquema ya está siendo usado en el Ámbito Público del Estado, sin embargo las leyes que regulan la actividad privada están en vías de promulgación. Es por ello que en el Ámbito Privado se aplica actualmente la legislación que rige el Acuerdo de Partes. Autoridad de Registro La Autoridad de Registro es responsable de realizar la identificación de la persona física o jurídica en forma fehaciente y completa, debe efectuar los trámites con fidelidad a la realidad. Además es quien se encarga de solicitar la Aprobación, y/o Revocación de un Certificado Digital. Su objetivo primario es asegurarse de la veracidad de los datos que fueron utilizados para solicitar el Certificado Digital. 9.- Explique paso a paso como configurar RADIUS Una vez preparada la máquina para la compilación, podremos ir al directorio en el que se ha descomprimido (“cd freeradius-server-2.1.1”). El proceso básico de la instalación se encuentra descrito en el fichero de texto INSTALL (lo puedes editar usando gedit). En primer lugar, debemos hacer una operación de configuración. Mediante la orden “./configure --help” podemos ver las opciones disponibles, nosotros usaremos las opciones por defecto. Una vez configurado el proceso, realizaremos la compilación mediante “make”, y posteriormente, si no ha ocurrido ningún error, instalaremos el software en el sistema mediante “make install” como superusuario. Si el proceso es correcto, ya podremos ejecutar el servidor. Sin embargo, como la primera vez que se ejecute el servidor se crearán los certificados necesarios para operar con EAP, antes de esta primera ejecución es conveniente que configuremos estos certificados con los atributos que más se ajusten a nuestra instalación. En concreto la configuración de los certificados se puede realizar editando los ficheros de configuración que se encuentran en /usr/local/etc/raddb/certs. Aquí podremos editar la configuración de los certificados de la autoridad certificadora (fichero ca.cnf), los usados como servidor (server.cnf), y los de cliente (client.cnf). Los atributos a configurar son el país, provincia, localidad, organización, dirección de correo electrónico y nombre común. Observa que para su correcto funcionamiento, el servidor y la autoridad certificadora deben coincidir en país, estado y organización. Una vez configurados los certificados, ya podremos ejecutar el servidor (como root), mediante la orden “radiusd –X” (la X se utiliza para funcionar en modo debug, y así recibir información sobre los eventos que se suceden en el servidor). Tal y como hemos dicho previamente, la primera vez que se ejecute el servidor se crearán los certificados necesarios. Si todo va bien, el servidor debe quedarse escuchando en los puertos asociados a los servicios que ofrece. Para comprobar que el servidor está funcionando correctamente, podremos hacer uso de la herramienta “radtest” como root, de la siguiente manera: $ radtest usuario contraseña localhost 10 testing123 donde “usuario” y “contraseña” son las credenciales de un usuario local de la máquina. “tesing123” es lo que se denomina un secreto, que permite asociar de manera segura un cliente al servidor. Este cliente ya está configurado en la máquina, tal y como veremos posteriormente, por tanto, y si todo es correcto la respuesta debe ser “Access-Accept”. 4.3 Configuración básica del servidor La configuración del servidor se hace mediante el fichero “radiusd.conf” del directorio /usr/local/etc/raddb. Aquí podemos seleccionar aspectos relacionados con el servidor (ficheros de log, parámetros de uso
máximo, usuarios, grupos, …), bases de datos a utilizar para autenticar y autorizar (ficheros, SQL, LDAP, …), métodos de AAA. Para evitar una excesiva longitud de este fichero y por cuestiones de organización, “radiusd.conf” se subdivide en varios ficheros mediante la directiva “$INCLUDE”:  eap.conf: Se utiliza para configurar el tipo de EAP a emplear  clients.conf: Tien la lista de clientes que están autorizados para usar los servicios de AAA e proporcionados.  proxy.conf: Este fichero configura directivas relacionadas con el funcionamiento en modo proxy y la lista de realms.  Otros ficheros como sql.conf (para config urar el acceso a bases de datos SQL), policy.conf, etc. Además, el fichero “users” contiene información sobre la autenticación de suplicantes, de forma que incluso podemos añadir credenciales en forma de usuario y contraseña para permitir una configuración sencilla de usuarios (ten en cuenta que estos usuarios serán realmente clientes del NAS, y no directamente del servidor RADIUS). Como vamos a trabajar con suplicantes bajo Windows XP, configurados como en hemos visto previamente para eduroam en la UPV, vamos a necesitar soporte de PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el atributo “default_eap_type” general, de “md5” a “peap” (en minúsculas), y en el apartado de peap asegúrate de que “default_eap_type” esté a “mschapv2”. En principio, si usamos la versión 2.1.1 de Radius no deberíamos necesitar cambiar nada más en este fichero, ya que la parte de “peap” está descomentada por defecto. A continuación tenemos que informar al servidor RADIUS de que va a tener como cliente un punto de acceso. Para ello, editamos el fichero clients.conf, y añadimos las siguientes líneas: client 192.168.1.1 { secret = secretotra shortname = ap nastype = cisco } Fíjate que el punto de acceso va a tener como dirección IP por defecto “192.168.1.1”, por la configuración del propio punto de acceso que vamos a emplear, y que como secreto para la configuración posterior de NAS e el punto de acceso usaremos “secretotra” 12 10.- Explique paso a paso como configurar Linux centos 5 o superior las jaulas chroot Para empezar como usuario root ejecuta la siguiente sintaxis, la cual instalara los paquetes correspondientes al servidor DNS; yum install -y bind bind-chroot bind-libs bind-utils caching-nameserver Archivo de configuración Abra el fichero hosts que se encuentra ubicado en la ruta /etc/hosts. En donde se ingresara la dirección IP del servidor de ejemplo; 192.168.5.119 y el dominio ficticio de nombre dns1.grupo7vesp.edu. luego de haber ingresado los campos correspondientes en el archivo cerrarlo y guardar los cambios. Abrir el archivo o fichero network que se encuentra en la ruta; /etc/sysconfig/network
En el parámetro HOSTNAME se declara el nombre de dominio del servidor que desempeña la función de servicio DNS en nuestro caso sustituiremos localhost.localdomain por dns1.grupo7vesp.edu. Cree en la jaula chroot los ficheros de zonas, los cuales serán invocados por el fichero named.conf; touch /var/named/chroot/var/named/grupo7vesp.edu.zone Ahora el archivo de zona inversa; touch /var/named/chroot/var/named/5.168.191.in-addr-arpa.zone Edite el fichero de zona de nombre grupo7vesp.edu.zone (recuerde que se encuentra en la ruta /var/named/chroot/var/named/grupo7vesp.edu.zone); Edite el fichero de zona inversa 5.168.191.in-addr.arpa.zone (recuerde que se encuentra en la ruta /var/named/chroot/var/named/5.168.191.in-addr-arpa.zone); Donde; los equipos clientes , pertenecen a partir de las direcciones IP´s 192.168.5.120 a 192.168.5.126. Nota: En el parámetro NS (Name Server) de ambos archivos de zonas puede ingresar los servidores DNS de su Proveedor de Servicio de Internet (I.S.P), así; NS ServidorDNS1.com NS ServidorDNS2.com Cree el fichero named.conf, ejecutando la siguiente sintaxis; touch /var/named/chroot/etc/named.conf Asigne los permisos de propietario y grupo root:named al fichero named.conf y con permisos 644; chown root:named named.conf chmod 644 named.conf Posteriormente edite y configurar el archivo named.conf; vim /var/named/chroot/etc/named.conf Volcar el contenido del archivo configuración de ejemplo de nombre named.rfc1912.zones ubicado en /var/named/chroot/etc; cat /var/named/chroot/etc/named.rfc1912.zones >> /var/named/chroot/etc/named.conf Agregar la configuración de las dos zonas creadas con anterioridad en el named.conf ;
Interconexion de redes

Recommandé

Cifrado vpn
Cifrado vpnCifrado vpn
Cifrado vpnIng Jaab
 
Recursos de una red
Recursos de una redRecursos de una red
Recursos de una redAlan Gerardo
 
Métodos encriptación en vpns
Métodos encriptación en vpnsMétodos encriptación en vpns
Métodos encriptación en vpnsbryan_azr
 
2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y MonitoresFrancisco Medina
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadsandramilenarojas
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En RedesSHARITO21
 

Recommandé

Cifrado vpn
Cifrado vpnCifrado vpn
Cifrado vpnIng Jaab
 
Recursos de una red
Recursos de una redRecursos de una red
Recursos de una redAlan Gerardo
 
Métodos encriptación en vpns
Métodos encriptación en vpnsMétodos encriptación en vpns
Métodos encriptación en vpnsbryan_azr
 
2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y Monitores2014-2 Tema 2. Sniffer y Monitores
2014-2 Tema 2. Sniffer y MonitoresFrancisco Medina
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De SeguridadMISION BOGOTA
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadsandramilenarojas
 
Unidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíaUnidad 5: Aplicaciones de la criptografía
Unidad 5: Aplicaciones de la criptografíacarmenrico14
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En RedesSHARITO21
 
Mantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasMantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasCristian Sierra
 
Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones Rafa Bojorquez
 
ALGORITMOS
ALGORITMOSALGORITMOS
ALGORITMOSguest6ae1d9
 
Seguridad en redes de la información
Seguridad en redes de la información Seguridad en redes de la información
Seguridad en redes de la información jeiseldos
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Siomara chango
Siomara changoSiomara chango
Siomara changosiomarachango
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wirelesslatinloco001
 
9197757 los-sniffers
9197757 los-sniffers9197757 los-sniffers
9197757 los-sniffers1 2d
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8William Dick Davalos Minaya
 
Redes
RedesRedes
RedesGerardo Jose Inciarte Villalobos
 
Presentacion
PresentacionPresentacion
PresentacionManuel Mancera
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreTesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreLeidy Reyes Rodriguez
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSIEmmanuel Estrada H
 
Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5JJF93
 
D resumenes
D resumenesD resumenes
D resumeneskarenlara47
 
Vpn
VpnVpn
Vpnpaulguachamin
 
Vpn
VpnVpn
Vpnpaulguachamin
 
Vpn
VpnVpn
Vpnpaulguachamin
 
Vpn
VpnVpn
Vpnpaulguachamin
 
Kevin chipantashi taller#1_seguridades
Kevin chipantashi taller#1_seguridadesKevin chipantashi taller#1_seguridades
Kevin chipantashi taller#1_seguridadesKevin Leonardo Chipantashi Idrovo
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 

Contenu connexe

Tendances

Mantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasMantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasCristian Sierra
 
Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones Rafa Bojorquez
 
Seguridad en redes de la información
Seguridad en redes de la información Seguridad en redes de la información
Seguridad en redes de la información jeiseldos
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wirelessing.ricardo
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wirelesslatinloco001
 
9197757 los-sniffers
9197757 los-sniffers9197757 los-sniffers
9197757 los-sniffers1 2d
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxFrancisco Medina
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreTesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreLeidy Reyes Rodriguez
 
Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5JJF93
 

Tendances (16)

Mantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes ElectricasMantenimiento Computadores Y Redes Electricas
Mantenimiento Computadores Y Redes Electricas
 
Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones Seguridad en redes de comunicaciones
Seguridad en redes de comunicaciones
 
ALGORITMOS
ALGORITMOSALGORITMOS
ALGORITMOS
 
Seguridad en redes de la información
Seguridad en redes de la información Seguridad en redes de la información
Seguridad en redes de la información
 
Seguridad En Redes Wireless
Seguridad En Redes WirelessSeguridad En Redes Wireless
Seguridad En Redes Wireless
 
Siomara chango
Siomara changoSiomara chango
Siomara chango
 
Seguridad en redes_wireless
Seguridad en redes_wirelessSeguridad en redes_wireless
Seguridad en redes_wireless
 
9197757 los-sniffers
9197757 los-sniffers9197757 los-sniffers
9197757 los-sniffers
 
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/LinuxTema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux
 
Expo semana 8
Expo semana 8Expo semana 8
Expo semana 8
 
Redes
RedesRedes
Redes
 
Presentacion
PresentacionPresentacion
Presentacion
 
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libreTesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
Tesis ucsm sistema_de_seguridad_en_redes_informaticas_basado_en_sw_libre
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSI
 
Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5Algoritmos de Encriptacion / MD2, MD4 y MD5
Algoritmos de Encriptacion / MD2, MD4 y MD5
 
D resumenes
D resumenesD resumenes
D resumenes
 

Similaire à Interconexion de redes

Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesESPE
 
taller servidores
taller servidorestaller servidores
taller servidoressena
 
Recursos de una red
Recursos de una redRecursos de una red
Recursos de una redAlan Gerardo
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacionESPE
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes3123753782
 
VPN, tipos, implementacion
VPN, tipos, implementacionVPN, tipos, implementacion
VPN, tipos, implementacioncodox87
 
Seguridad Protocolos
Seguridad ProtocolosSeguridad Protocolos
Seguridad Protocolosguestea241d
 

Similaire à Interconexion de redes (20)

Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 
Kevin chipantashi taller#1_seguridades
Kevin chipantashi taller#1_seguridadesKevin chipantashi taller#1_seguridades
Kevin chipantashi taller#1_seguridades
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
Métodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtualesMétodos de encriptación en las redes privadas virtuales
Métodos de encriptación en las redes privadas virtuales
 
VPNs
VPNsVPNs
VPNs
 
taller servidores
taller servidorestaller servidores
taller servidores
 
Recursos de una red
Recursos de una redRecursos de una red
Recursos de una red
 
Stiveeeeeeeeeeen[1]
Stiveeeeeeeeeeen[1]Stiveeeeeeeeeeen[1]
Stiveeeeeeeeeeen[1]
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacion
 
Metodos de encriptacion
Metodos de encriptacionMetodos de encriptacion
Metodos de encriptacion
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Unidad 4 trabajo 6
Unidad 4 trabajo 6Unidad 4 trabajo 6
Unidad 4 trabajo 6
 
VPN, tipos, implementacion
VPN, tipos, implementacionVPN, tipos, implementacion
VPN, tipos, implementacion
 
Vpn
VpnVpn
Vpn
 
Seguridad Protocolos
Seguridad ProtocolosSeguridad Protocolos
Seguridad Protocolos
 
Seguridad Protocolos
Seguridad ProtocolosSeguridad Protocolos
Seguridad Protocolos
 

Interconexion de redes

  • 1. 1.- ¿Que son los circuitos virtuales? El X.25 es una red de conmutación de paquetes que utiliza circuitos virtuales. Los circuitos virtuales son creados en el nivel de red, esto significa que una conexión física entre un DTE y un DCE puede transportar varios circuitos virtuales en el nivel de red, siendo cada circuito responsable de la transmisión de datos o de control (señalización en banda). Cada circuito virtual debe estar identificado para ser usado por los paquetes, y este identificador se denomina: número de canal lógico (LCN), cuando se establece un canal virtual siempre hay un par de LCN: uno define el circuito virtual entre el DTE y el DCE locales y el otro el circuito virtual entre el DCE y el DTE remotos. La razón de tener dos LCN es hacer al LCN de dominio local. El LCN local permite que el mismo conjunto de LCN pueda ser utilizado por dos pares diferentes de enlaces DTE-DCE sin ninguna confusión. 2.- ¿Cuales son los tipos de firewall incluir imágenes explicadas? Las firewalls a nivel de red generalmente, toman las decisiones basándose en la fuente, dirección de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación con quién está hablando un paquete ahora o desde donde está llegando en este momento. Las modernas firewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre el estado de las conexiones que están pasando a través de ellas, los contenidos de algunos datagramas y más cosas. Un aspecto importante que distingue a las firewall a nivel de red es que ellas enrutan el tráfico directamente a través de ellas, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios. Un ejemplo de una firewall a nivel de red se muestra en la figura anterior. En este ejemplo se representa una firewall a nivel de red llamada "Screend Host Firewall". En dicha firewall, se accede a y desde un único host el cual es controlado por un router operando a nivel de red. El host es como un bastión, dado que está muy defendido y es un punto seguro para refugiarse contra los ataques.
  • 2. Otros ejemplo sobre una firewall a nivel de red es el mostrado en la figura anterior.En este ejemplo serepresenta una firewall a nivel de red llamada "screened subnet firewall". En dicha firewall se accede a y desdeel conjunto de la red, la cual es controlada por un router operando a nivel de red. Es similar al firewall indicadaen el ejemplo anterior salvo que esta si que es una red efectiva de hosts protegidos. Los Firewalls a nivel de aplicación son generalmente, hosts que corren bajo servidores proxy, que no permitentráfico directo entre redes y que realizan logines elaborados y auditan el tráfico que pasa a través de ellas. Las firewall a nivel de aplicación se puede usar como traductoras de direcciones de red, desde que el tráfico entrapor un extremo hasta que sale por el otro. Las primeras firewalls a nivel de aplicación eran poco transparentes alos usuarios finales, pero las modernas firewalls a nivel de aplicación son bastante transparentes. Las firewalls anivel de aplicación, tienden a proporcionar mayor detalle en los informes auditados e implementan modelos deconservación de la seguridad. Esto las hace diferenciarse de las firewalls a nivel de red. 3.- ¿Que es una DMZ? Una DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ’s puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. 4.-Mencione y explique por lo menos 5 algoritmos de encriptación DES y 3DES El algoritmo DES (Data Encryption Standard) creado en 1976 requiere una clave de 64 bits, de los cuales utiliza únicamente 56 bits siendo los otros 8 un control de paridad. Para mejorar la seguridad se creo Triple DES (TDES o 3DES), que consiste en utilizar tres veces DES, cifrando y/o descifrando con una, dos o tres claves diferentes. Así DES-EEE1 cifra tres veces con la misma
  • 3. clave, mientras que DES-EDE3 cifra-descifra-cifra con tres claves diferentes (al usar para descifrar una clave diferente que para cifrar, en realidad se complica el cifrado). Las variantes más seguras son DES- EEE3 y DES-EDE354. Si se utilizan 3 claves diferentes la longitud de la clave usada es de 168 bits (56x3) pero la seguridad efectiva55 es de 112 bits. 3DES es un algoritmo seguro pero lento, que permitió seguir utilizando dispositivos creados para DES. Sin embargo está siendo sustituido por AES (Advanced Encryption Standard). AES AES (Advanced Encryption Standard) es uno de los algoritmos más utilizados, ya que se convirtió en estándar en 2002. Utiliza un tamaño de bloque de 128 bits y claves de 128, 192 o 256 bits. AES es rápido tanto por software como por hardware, es relativamente sencillo de implementar y requiere poca memoria en el proceso. RCx RC4 (Rivest Cipher o Rons Code) era el algoritmo de cifrado por software más utilizado en parte por ser el algoritmo utilizado por SSL y WEP. Este algoritmo utiliza un sistema de cifrado de flujo (stream cipher) no de trasposición de bloques. Esto hace que sea rápido y sencillo. Sin embargo este algoritmo es fácilmente atacable si la clave de flujo (keystream) no se descarta, o no es aleatoria o cambia en relación a la clave anterior o se usa varias veces la misma. Utiliza una clave de entre 40 y 256 bits y no se recomienda su uso ya que no aporta seguridad suficiente. RC4 ha sido sustituido por RC5 y RC6 que utilizan trasposición de bloques. RC6 utiliza un tamaño de bloque de 128 bits y claves de 128, 192 o 256 bits (como AES), aunque puede parametrizarse con otros valores. ARCFour (Alleged RC4) es un algoritmo libre al parecer compatible con RC4 (algoritmo patentado y cerrado). IDEA IDEA (International Data Encryption Algorithm) es un algoritmo de trasposici ón de bloques de 64 bits con clave de 128 bits. Se usa en PGPv2 (Pretty Good Privacy) y es opcional en OpenPGP dado que está sujeto a licencia en algunos paises. RSA (Rivest, Shamir and Adlman) Es el más popular y utilizado de los algoritmos asimétricos. Fue inventado en 1978 por Rivest, Shamir y Adlman que dan nombre al algoritmo. Patentaron el algoritmo y cuando alcanzó popularidad fundaron una empresa, RSA Data Security Inc., para la explotación comercial. Para su implementación y comercialización se deben pagar derechos a esta empresa, pero actualmente se encuentran muchas versiones gratuitas en Internet. Fuera de los EE.UU. sólo está permita la utilización del algoritmo conclaves menores o iguales a 512 bits. El algoritmo utiliza las siguientes claves: · Como públicas dos números grandes elegidos por un programa: e y n. · Como privada un número grande d, consecuencia de los anteriores. El cálculo de estas claves se realiza en secreto en la máquina depositaria de la privada. Este proceso tiene mucha importancia para la posterior seguridad del sistema. El proceso es el siguiente: 1. Se buscan dos número grandes (entre 100 y 300 dígitos) y primos: p y q. 2. Se calcula f = (p-1) * (q-1) y n = p * q. 3. Se busca e como un número sin múltiplos comunes a f. 4. Se calcula d = e-1 mod f. (mod = resto de la división de enteros).
  • 4. 5. Se hace públicas las claves n y e, se guarda d como clave privada y se destruyen p, q y f. Mediante “prueba y ensayo” es muy difícil calcular d ya que es un número de 512 bits o más. Así el sistema de criptoanálisis utilizado es buscar la clave privada d a partirde las públicas e y n. Para esto basta con encontrar los números p y q, estos son la descomposición en factores primos de n, ya que n = p * q. No se ha descubierto aún ninguna forma analítica de descomponer números grandes en factores primos. 5.- ¿Qué son las firmas digitales? Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensaje digital, que puede ser por ejemplo un documento electrónico. Una firma digital da al destinatario seguridad de que el mensaje fue creado por el remitente (autenticidad de origen), y que no fue alterado durante la transmisión (integridad). La firma digital consiste en un método criptográfico que asocia la identidad de una persona o de un equipo informático, al mensaje o documento. En función del tipo de firma, puede además asegurar la integridad del documento o mensaje. El proceso de firma consiste en cifrar una cadena de texto llamada digesto, que es confeccionadautilizando funciones que resumen un texto a una cadena de caracteres de longitud fija predeterminada. 6.- ¿Cómo configurar un servidor de autenticación? Instale el paquete LDAP necesario Primero, debería asegurarse de tener los paquetes apropiados en ambos, el servidor LDAP y las máquinas cliente LDAP. El servidor LDAP requiere el paquete openldap-server. Los paquetes openldap, openldap-clients, y nss_ldap necesitan estar instalados en todas las máquinas LDAP clientes. Modifique los archivos de configuración En el servidor, modifique el archivo /etc/openldap/slapd.conf en el servidor LDAP para asegurarse de que se corresponde con las especificaciones de su organización. Por favor refiérase a Sección 13.6.1 para instrucciones sobre la modificación de slapd.conf. En las máquinas clientes, ambos archivos /etc/ldap.conf y /etc/openldap/ldap.conf necesitan contener el servidor apropiado y la información base de búsqueda para la organización. Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario. También puede editar estos archivos manualmente. En las máquinas clientes, el archivo /etc/nsswitch.conf debe ser editado para usar LDAP. Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) y seleccione Activar soporte LDAP bajo la pestaña Información de usuario. Si está modificando el archivo /etc/nsswitch.conf manualmente, agregue ldap a las líneas adecuadas. Por ejemplo: passwd: files ldap shadow: files ldap group: files ldap
  • 5. 13.7.1. PAM y LDAP Para tener aplicaciones PAM estándar utilice LDAP para la autenticación, ejecutando la Herramienta de configuración de autenticación (system-config-authentication) y luego seleccionando Activar soporte LDAP bajo la pestaña Autenticación. Para más información sobre la configuración de PAM, consulte el Capítulo 16 y las páginas del manual de PAM . 13.7.2. Migrar la información de autenticación antigua al formato LDAP El directorio /usr/share/openldap/migration/ contiene un conjunto de scripts de shell y Perl para la migración de información de autenticación en el formato LDAP. Primero, modifique el archivo migrate_common.ph para que refleje el dominio correcto. El dominio DNS por defecto debería ser modificado desde su valor por defecto a algo como lo siguiente: $DEFAULT_MAIL_DOMAIN = "example"; La base por defecto también debería ser modificada, para que se parezca a: $DEFAULT_BASE = "dc=example,dc=com"; La tarea de migrar una base de datos de usuario a un formato que pueda leer LDAP le corresponde a un grupo de scripts de migración instalado en el mismo directorio. Usando la Tabla 13-1, decida cúal script va a ejecutar para poder migrar su base de datos de usuario. Ejecute el script apropiado basándose en el nombre del servicio actual. Los archivos README y migration-tools.txt en el directorio /usr/share/openldap/migration/ dan más detalles sobre cómo migrar la información. Nombre del servicio actual ¿Está LDAP ejecutándose? Utilice este script /etc archivos planos si migrate_all_online.sh /etc archivos planos no migrate_all_offline.sh NetInfo si migrate_all_netinfo_online.sh NetInfo no migrate_all_netinfo_offline.sh NIS (YP) si migrate_all_nis_online.sh NIS (YP) no migrate_all_nis_offline.sh 7.- Explique como configurar apache con ssl Requisitos. Es necesario disponer de una dirección IP pública para cada sitio de red virtual que se quiera configurar con soporte SSL/TLS. Debido a la naturaleza de los protocolos SSL y TLS, no es posible utilizar múltiples sitios de red virtuales con soporte SSL/TLS utilizando una misma dirección IP. Cada certificado utilizado requerirá una dirección IP independiente en el anfitrión virtual. El paquete mod_ssl instala el archivo /etc/httpd/conf.d/ssl.conf, mismo que no es necesario modificar, puesto que se utilizarán archivos de inclusión, con extensión *.conf, dentro del directorio /etc/httpd/conf.d/, a fin de respetar la configuración predeterminada y podre contar con la misma, que es funcional, brindando un punto de retorno en el caso de que algo saliera mal. Equipamiento lógico necesario. Instalación a través de yum.Si se utiliza de CentOS 5 o 6, o bien Red Hat Enterprise Linux 5 o 6, ejecute lo siguiente: yum -y install mod_ssl Procedimientos. Generando firma digital y certificado. Acceda al sistema como el usuario root. Acceda al directorio /etc/pki/tls/.
  • 6. cd /etc/pki/tls En caso de que existieran previamente, debe eliminar los archivos certs/dominio.tld.crt, certs/dominio.tld.crs, private/dominio.tld.key y private/dominio.tld.pem. rm -f certs/dominio.tld.crt private/dominio.tld.key rm -f certs/dominio.tld.csr private/dominio.tld.pem Se debe crear una clave con algoritmo RSA de 2048 octetos y estructura x509, la cual se cifra utilizado Triple DES (Data Encryption Standard), almacenado en formato PEM de modo que sea interpretable como texto ASCII. se solicitará una clave de acceso para asignar a la firma digital, por lo que se recomienda utilizar una muy buena clave de acceso, la cual, mientras más complicada y difícil sea, mejor. openssl genrsa -des3 -out private/dominio.tld.key 2048 Si se utiliza este archivo (dominio.tld.key) para la configuración del anfitrión virtual, se requerirá de interacción del administrador cada vez que se tenga que iniciar, o reiniciar, el servicio httpd, ingresando la clave de acceso de la firma digital. Este es el procedimiento más seguro, sin embargo, debido a que resultaría poco práctico tener que ingresar una clave de acceso cada vez que se inicie el servicio httpd, resulta más conveniente generar una firma digital RSA, la cual permita iniciar normalmente y sin interacción alguna, al servicio httpd. openssl rsa -in private/dominio.tld.key -out private/dominio.tld.pem El archivo dominio.tld.pem será el que se especifique más adelante como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. A continuación, genere el archivo CSR (Certificate Signing Request), el cual es el archivo de solicitud que se hace llegar a una RA (Registration Authority o Autoridad de Registro), como Verisign, quienes, tras el correspondiente pago, envían de vuelta un certificado (para ser utilizado como el archivo dominio.tld.crt) firmado por dicha autoridad certificadora. openssl req -new -key private/dominio.tld.key -out certs/dominio.tld.csr Lo anterior solicitará se ingresen varios datos: Código de dos letras para el país. Estado o provincia. Ciudad. Nombre de la empresa o razón social. Unidad o sección.
  • 7. Nombre del anfitrión. Debe ser el nombre con el que se accederá hacia el servidor, y dicho nombre deberá estar resuelto en un DNS. SI lo desea, puede utilizar también *.dominio.tld. Dirección de correo electrónico válida del administrador del sistema. De manera opcional se puede añadir otra clave de acceso y nuevamente el nombre de la empresa. Poco recomendado, a menos que quiera ingresar ésta cada vez que se inicie o reinicie el servicio httpd. La salida devuelta sería similar a la siguiente: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:MX State or Province Name (full name) [Berkshire]:Distrito Federal Locality Name (eg, city) [Newbury]:Mexico Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V. Organizational Unit Name (eg, section) []:Direccion Comercial Common Name (eg, your name or your server's hostname) []:*.dominio.tld Email Address []:webmaster@dominio.tld Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Si requiere un certificado auto-firmado, en lugar de un certificado firmado por un RA, puede generarse éste utilizando el archivo de petición CSR (dominio.tld.csr). En el ejemplo a continuación, se crea un certificado con estructura X.509 en el que se establece una validez por 730 días (dos años). openssl x509 -req -days 730 -in certs/dominio.tld.csr -signkey private/dominio.tld.key -out certs/dominio.tld.crt Con la finalidad de que sólo el usuario root pueda acceder a los archivos creados, se deben cambiar los permisos de éstos a sólo lectura para root. chmod 400 private/dominio.tld.key private/dominio.tld.pem chmod 400 certs/dominio.tld.csr certs/dominio.tld.crt Configuración simple de Apache para un solo dominio. Edite el archivo /etc/httpd/conf.d/ssl.conf: vim /etc/httpd/conf.d/ssl.conf Localice lo siguiente: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command.
  • 8. SSLCertificateFile /etc/pki/tls/certs/localhost.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.key Cambie localhost.crt y localhost.key, por dominio.tld.crt y dominio.tld.pem: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # you've both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pem A fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restart Lo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando se creo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. Configuración de Apache para múltiples dominios. Omita el procedimiento anterior. Es importante resaltar que cada dominio deberá contar con su propia dirección IP, pues el protocolo HTTPS impedirá utilizar más de un certificado por dirección IP. El primer paso consiste en crear la estructura de directorios para el anfitrión virtual. mkdir -p /var/www/dominio.tld/{cgi-bin,html,logs,etc} De todos directorios creados, sólo /var/www/dominio.tld/html, /var/www/dominio.tld/etc y /var/www/dominio.tld/cgi-bin pueden pertenecer a un usuario sin privilegios, quien administrará este anfitrión virtual. Crear el archivo /etc/httpd/conf.d/dominio.conf: vim /etc/httpd/conf.d/dominio.conf Adaptar la siguiente plantilla como contenido de este archivo, donde a.b.c.d corresponde a una dirección IP, y dominio.tld corresponde al nombre de dominio a configurar para el anfitrión virtual: ### dominio.tld ### NameVirtualHost a.b.c.d:80 <VirtualHost a.b.c.d:80> ServerAdmin webmaster@dominio.tld
  • 9. DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ServerAlias dominio.tld Redirect 301 / https://www.dominio.tld/ CustomLog logs/dominio.tld-access_log combined Errorlog logs/dominio.tld-error_log </VirtualHost> NameVirtualHost a.b.c.d:443 <VirtualHost a.b.c.d:443> ServerAdmin webmaster@dominio.tld DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ScriptAlias /cgi-bin/ /var/www/dominio.tld/cgi-bin/ <Directory "/var/www/dominio.tld/cgi-bin"> SSLOptions +StdEnvVars </Directory> SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/dominio.tld-ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b" Errorlog logs/dominio.tld-ssl_error_log TransferLog logs/dominio.tld-ssl_access_log LogLevel warn </VirtualHost> A fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restart Lo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando se creo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor del parámetro SSLCertificateKeyFile en la configuración de Apache. Comprobación. Sólo basta dirigir cualquier navegador HTTP hacia https://www.dominio.tld/ a fin de verificar que todo esté trabajando correctamente. Tras aceptar el certificado, en el caso de que éste no haya sido firmado por un RA, deberá poderse observar un signo en la barra de estado del navegador, el cual indica que se trata de una conexión segura. Modificaciones necesarias en el muro cortafuegos. Si se utiliza un cortafuegos, es necesario abrir, además del puerto 80 por TCP (HTTP), el puerto 443 por TCP (HTTPS). Si utiliza Shorewall, edite el archivo /etc/shorewall/rules: vim /etc/shorewall/rules Las reglas corresponderían a algo similar a lo siguiente:
  • 10. #ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT all fw tcp 80,443 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE Al terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguiente mandato: service shorewall restart 8.- ¿Que es un certificado y como se obtiene uno? El Certificado Digital es un Documento Digital que nos permite : Identificarnos. Firmar digitalmente un Documento Digital. Trabajar con Documentos Digitales firmados digitalmente teniendo certeza respecto del remitente y el destinatario. Efectuar transacciones de tipo comercial con total seguridad y sustento legal. Mantener la confidencialidad de la información entre el Remitente y el Destinatario utilizando cifrado. Estar seguros de que un Documento Digital no ha sido alterado. En síntesis, la utilización de Certificados Digitales garantiza Autentificación, Integridad, Confidencialidad, No Repudio. A la Entidad que otorga Certificados Digitales se la llama Autoridad de Certificación. Es un Documento Digital emitido por una Autoridad de Certificación a solicitud de una Autoridad de Registro que garantiza la veracidad de los datos contenidos referentes a una persona física o jurídica. El Certificado Digital está compuesto de 2 partes. Una de ellas es Privada (Porción Privada) y la otra parte es Pública (Porción Pública). (Ver el tema : ¿Cómo es un Certificado Digital?) Estas dos partes son generadas en el mismo momento por el usuario ejecutando un programa provisto por la Autoridad de Certificación desde su sitio en la web (www.certificadodigital.com.ar). Según qué datos están verificados por la Autoridad de Registro y cual fue el procedimiento de verificación, se otorgan diferentes Clases de Certificado Digital. Podemos encontrar que los Certificados Digitales también se utilizan, entre otras cosas, para : Verificar autenticidad de un Sitio Web. Verificar autenticidad e integridad de un programa de computación. Verificar el Momento en que fue firmado o enviado un Documento Digital Órgano Licenciante Es el organismo del Estado que habilita a una Empresa de Certificación Digital como Autoridad de Certificación. Entidad Auditante Es la Entidad que ha sido designada para efectuar la Auditoría y Control de la Autoridad de Certificación. Autoridad de Certificación La Autoridad de Certificación es responsable de brindar las herramientas para poder emitir, con calidad técnica y de manera segura e irrepetible por otros medios o en otras circunstancias, el par de claves, pública y privada, que constituye el eje del certificado, así como de : Aprobar o Rechazar las Solicitudes generadas por la Autoridad de Registro. Poner a salvo su propia clave privada (Clave Privada Raíz) que es la que utiliza para aprobar las Solicitudes. Garantizar la calidad técnica del sistema informático. Proveer el libre y fácil acceso a las listas y directorios de claves públicas para la verificación de firmas emitidas por lamisma.
  • 11. Publicar las Claves Públicas que ha aprobado y las Revocaciones de Certificados Digitales que ha realizado. La potestad para Emitir Certificados Digitales le es concedida por el Órgano Licenciante y la calidad del servicio es controlada por una Entidad Auditante. En nuestro país este esquema ya está siendo usado en el Ámbito Público del Estado, sin embargo las leyes que regulan la actividad privada están en vías de promulgación. Es por ello que en el Ámbito Privado se aplica actualmente la legislación que rige el Acuerdo de Partes. Autoridad de Registro La Autoridad de Registro es responsable de realizar la identificación de la persona física o jurídica en forma fehaciente y completa, debe efectuar los trámites con fidelidad a la realidad. Además es quien se encarga de solicitar la Aprobación, y/o Revocación de un Certificado Digital. Su objetivo primario es asegurarse de la veracidad de los datos que fueron utilizados para solicitar el Certificado Digital. 9.- Explique paso a paso como configurar RADIUS Una vez preparada la máquina para la compilación, podremos ir al directorio en el que se ha descomprimido (“cd freeradius-server-2.1.1”). El proceso básico de la instalación se encuentra descrito en el fichero de texto INSTALL (lo puedes editar usando gedit). En primer lugar, debemos hacer una operación de configuración. Mediante la orden “./configure --help” podemos ver las opciones disponibles, nosotros usaremos las opciones por defecto. Una vez configurado el proceso, realizaremos la compilación mediante “make”, y posteriormente, si no ha ocurrido ningún error, instalaremos el software en el sistema mediante “make install” como superusuario. Si el proceso es correcto, ya podremos ejecutar el servidor. Sin embargo, como la primera vez que se ejecute el servidor se crearán los certificados necesarios para operar con EAP, antes de esta primera ejecución es conveniente que configuremos estos certificados con los atributos que más se ajusten a nuestra instalación. En concreto la configuración de los certificados se puede realizar editando los ficheros de configuración que se encuentran en /usr/local/etc/raddb/certs. Aquí podremos editar la configuración de los certificados de la autoridad certificadora (fichero ca.cnf), los usados como servidor (server.cnf), y los de cliente (client.cnf). Los atributos a configurar son el país, provincia, localidad, organización, dirección de correo electrónico y nombre común. Observa que para su correcto funcionamiento, el servidor y la autoridad certificadora deben coincidir en país, estado y organización. Una vez configurados los certificados, ya podremos ejecutar el servidor (como root), mediante la orden “radiusd –X” (la X se utiliza para funcionar en modo debug, y así recibir información sobre los eventos que se suceden en el servidor). Tal y como hemos dicho previamente, la primera vez que se ejecute el servidor se crearán los certificados necesarios. Si todo va bien, el servidor debe quedarse escuchando en los puertos asociados a los servicios que ofrece. Para comprobar que el servidor está funcionando correctamente, podremos hacer uso de la herramienta “radtest” como root, de la siguiente manera: $ radtest usuario contraseña localhost 10 testing123 donde “usuario” y “contraseña” son las credenciales de un usuario local de la máquina. “tesing123” es lo que se denomina un secreto, que permite asociar de manera segura un cliente al servidor. Este cliente ya está configurado en la máquina, tal y como veremos posteriormente, por tanto, y si todo es correcto la respuesta debe ser “Access-Accept”. 4.3 Configuración básica del servidor La configuración del servidor se hace mediante el fichero “radiusd.conf” del directorio /usr/local/etc/raddb. Aquí podemos seleccionar aspectos relacionados con el servidor (ficheros de log, parámetros de uso
  • 12. máximo, usuarios, grupos, …), bases de datos a utilizar para autenticar y autorizar (ficheros, SQL, LDAP, …), métodos de AAA. Para evitar una excesiva longitud de este fichero y por cuestiones de organización, “radiusd.conf” se subdivide en varios ficheros mediante la directiva “$INCLUDE”:  eap.conf: Se utiliza para configurar el tipo de EAP a emplear  clients.conf: Tien la lista de clientes que están autorizados para usar los servicios de AAA e proporcionados.  proxy.conf: Este fichero configura directivas relacionadas con el funcionamiento en modo proxy y la lista de realms.  Otros ficheros como sql.conf (para config urar el acceso a bases de datos SQL), policy.conf, etc. Además, el fichero “users” contiene información sobre la autenticación de suplicantes, de forma que incluso podemos añadir credenciales en forma de usuario y contraseña para permitir una configuración sencilla de usuarios (ten en cuenta que estos usuarios serán realmente clientes del NAS, y no directamente del servidor RADIUS). Como vamos a trabajar con suplicantes bajo Windows XP, configurados como en hemos visto previamente para eduroam en la UPV, vamos a necesitar soporte de PEAP y mschapv2. Para esto editamos el fichero eap.conf, y cambiamos el atributo “default_eap_type” general, de “md5” a “peap” (en minúsculas), y en el apartado de peap asegúrate de que “default_eap_type” esté a “mschapv2”. En principio, si usamos la versión 2.1.1 de Radius no deberíamos necesitar cambiar nada más en este fichero, ya que la parte de “peap” está descomentada por defecto. A continuación tenemos que informar al servidor RADIUS de que va a tener como cliente un punto de acceso. Para ello, editamos el fichero clients.conf, y añadimos las siguientes líneas: client 192.168.1.1 { secret = secretotra shortname = ap nastype = cisco } Fíjate que el punto de acceso va a tener como dirección IP por defecto “192.168.1.1”, por la configuración del propio punto de acceso que vamos a emplear, y que como secreto para la configuración posterior de NAS e el punto de acceso usaremos “secretotra” 12 10.- Explique paso a paso como configurar Linux centos 5 o superior las jaulas chroot Para empezar como usuario root ejecuta la siguiente sintaxis, la cual instalara los paquetes correspondientes al servidor DNS; yum install -y bind bind-chroot bind-libs bind-utils caching-nameserver Archivo de configuración Abra el fichero hosts que se encuentra ubicado en la ruta /etc/hosts. En donde se ingresara la dirección IP del servidor de ejemplo; 192.168.5.119 y el dominio ficticio de nombre dns1.grupo7vesp.edu. luego de haber ingresado los campos correspondientes en el archivo cerrarlo y guardar los cambios. Abrir el archivo o fichero network que se encuentra en la ruta; /etc/sysconfig/network
  • 13. En el parámetro HOSTNAME se declara el nombre de dominio del servidor que desempeña la función de servicio DNS en nuestro caso sustituiremos localhost.localdomain por dns1.grupo7vesp.edu. Cree en la jaula chroot los ficheros de zonas, los cuales serán invocados por el fichero named.conf; touch /var/named/chroot/var/named/grupo7vesp.edu.zone Ahora el archivo de zona inversa; touch /var/named/chroot/var/named/5.168.191.in-addr-arpa.zone Edite el fichero de zona de nombre grupo7vesp.edu.zone (recuerde que se encuentra en la ruta /var/named/chroot/var/named/grupo7vesp.edu.zone); Edite el fichero de zona inversa 5.168.191.in-addr.arpa.zone (recuerde que se encuentra en la ruta /var/named/chroot/var/named/5.168.191.in-addr-arpa.zone); Donde; los equipos clientes , pertenecen a partir de las direcciones IP´s 192.168.5.120 a 192.168.5.126. Nota: En el parámetro NS (Name Server) de ambos archivos de zonas puede ingresar los servidores DNS de su Proveedor de Servicio de Internet (I.S.P), así; NS ServidorDNS1.com NS ServidorDNS2.com Cree el fichero named.conf, ejecutando la siguiente sintaxis; touch /var/named/chroot/etc/named.conf Asigne los permisos de propietario y grupo root:named al fichero named.conf y con permisos 644; chown root:named named.conf chmod 644 named.conf Posteriormente edite y configurar el archivo named.conf; vim /var/named/chroot/etc/named.conf Volcar el contenido del archivo configuración de ejemplo de nombre named.rfc1912.zones ubicado en /var/named/chroot/etc; cat /var/named/chroot/etc/named.rfc1912.zones >> /var/named/chroot/etc/named.conf Agregar la configuración de las dos zonas creadas con anterioridad en el named.conf ;