Administración de la Red

Transcripción

1 Administración de la Red Departamento de Sistemas Telemáticos y Computación (GSyC) gsyc-profes (arroba) gsyc.es Mayo de 2009 GSyC Administración de la Red 1

2 c 2009 GSyC Algunos derechos reservados. Este trabajo se distribuye bajo la licencia Creative Commons Attribution Share-Alike disponible en GSyC Administración de la Red 2

3 Contenidos Configuración básica de la red 1 Configuración básica de la red Interfaces de red /etc/hosts 2 NFS 3 Seguridad 4 OpenSSH GSyC Administración de la Red 3

4 Interfaces de red Configuración básica de la red Interfaces de red El Hardware de red puede ser muy variable, pero en TCP/IP se define un interfaz abstracto. Permite enviar y recibir paquetes de la misma forma, con independencia del tipo de dispositivo Interfaz loopback: lo (Con dirección y nombre localhost) Interfaces ethernet: eth0, eth1, eth2,... Interfaces wifi: wlan0, wlan1... Interfaces ppp (teléfonos fijos o móviles): ppp0, ppp1, ppp2,... GSyC Administración de la Red 4

5 Configuración básica de la red Interfaces de red Cada ordenador puede tener varios interfaces. Cada interfaz normalmente tiene exactamente 1 dirección En rigor, las máquinas no tienen dirección IP. (Pertenecen a los interfaces) El interfaz lo es distinto de eth0. Deben tener direcciones y nombres distintos. (Un error frecuente es mezclarlos) GSyC Administración de la Red 5

6 Configuración básica de la red Interfaces de red Configuración de los interfaces de red 1 Con herramientas de bajo nivel: Se pasan parámetros a ifconfig, route. La configuración se pierde al reiniciar la máquina. 2 Con herramientas de alto nivel: Se modifican ficheros de configuración de red. Se leen al iniciar la máquina, o al llamar a las órdenes ifup, ifdown No está estandarizada la localización y el formato de muchos de estos ficheros Sistemas basado en Red Hat /etc/sysconfig/network-scripts Sistemas basados en Debian /etc/network/ GSyC Administración de la Red 6

7 Configuración básica de la red Interfaces de red Nombre de la máquina: /etc/hostname (Red Hat) /etc/hostname (Debian) Activación y desactivación ifup eth0 Activa el interfaz eth0, atendiendo a lo indicado en el fichero de configuración ifdown eth0 Desactiva el interfaz eth0 ifconfig Muestra todos los interfaces activos GSyC Administración de la Red 7

8 Configuración básica de la red Interfaces de red Configuración de Debian y derivados /etc/network/interfaces: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask gateway dns-nameservers iface eth1 inet dhcp GSyC Administración de la Red 8

9 Configuración básica de la red Interfaces de red Se pueden poner comentarios con #, pero solo a comienzo de linea auto ethn Todos los interfaces auto se activan al hacer ifup -a (En el arranque se hace ifup -a) Método static Se indica una configuración de red fija para ese interfaz (dirección IP, máscara de red y puerta de enlace) La configuración de los servidores de DNS tradicionalmente se indicaba en el fichero estático /etc/resolv.conf. Las distribuciones actuales suelen usar la aplicación resolvconf, que modifica dinámicamente este fichero, a partir de la opción dns-nameservers de /etc/network/interfaces o del resultado de las consultas DHCP Método dhcp La configuración de red se obtiene por DHCP GSyC Administración de la Red 9

10 Configuración básica de la red Interfaces Inalámbricos Interfaces de red Para configurar una red WiFi los parámetros son: wireless-essid mi identificador de red wireless-mode [Ad-Hoc Managed] Ad-Hoc: Sin Access Point Managed: Con Access Point wireless-key mi clave wireless-keymode [restricted open] restricted: El interfaz solo acepta conexiones encriptadas open: El interfaz acepta conexiones de cualquier tipo wireless-channel mi canal GSyC Administración de la Red 10

11 Configuración básica de la red Interfaces de red Ejemplo: iface wlan0 inet dhcp wireless-essid WLAN_01 wireless-mode Managed wireless-key wireless-keymode open wireless-channel 6 GSyC Administración de la Red 11

12 /etc/hosts Configuración básica de la red /etc/hosts Se usaba para resolver direcciones cuando no existía DNS localhost mi_pc pantuflo.escet.urjc.es pantuflo gamma02.escet.urjc.es gamma02 En la actualidad es útil para Resolver direcciones que no están en ningún servidor de DNS Resolver direcciones muy frecuentes sin usar su nombre de dominio completo (FQDN) Este fichero tiene precedencia sobre el DNS Algunas aplicaciones exigen (indebidamente) que tanto localhost como el nombre de la máquina puedan resolverse GSyC Administración de la Red 12

13 Contenidos NFS 1 Configuración básica de la red Interfaces de red /etc/hosts 2 NFS 3 Seguridad 4 OpenSSH GSyC Administración de la Red 13

14 NFS NFS NFS: Network File System Sun Microsystems, año 1984 Sistema de archivos distribuido. Permite acceder a través de la red a un fichero como si fuera local. Muy usado en Unix, hay versiones para Microsoft Windows donde no está muy extendido Usa RPC, Remote procedure call. Una tecnología más general, para invocación de métodos remotos RPC no emplea puertos TCP/IP directamente, sino una tupla (n o de programa, versión) Portmap o Portmapper(Mapeador de puertos) es un demonio que traduce n o y versión a puertos TCP o UDP convencionales El demonio portmap invoca al demonio NFS rpcinfo -p GSyC Administración de la Red 14

15 NFS El servidor especifica en el fichero /etc/exports los directorios a exportar, a qué direcciones se permite y acceso y con qué opciones Ejemplo: /home /usr/local / (rw) / (ro) Si se necesita un ajuste más fino, pueden usarse los ficheros /etc/hosts.allow y /etc/hosts.deny (Aplicables a cualquier demonio) ro: Read Only rw: Read and Write root_squash: Hace que el usuario el usuario root en el cliente no sea root en el servidor no_root_squash: Permite que si el cliente hace peticiones como root, también será root en el servidor. Opción por omisión. Peligrosa GSyC Administración de la Red 15

16 Montaje de NFS NFS El cliente debe montar el sistema de ficheros remoto. Directamente con mount o con el fichero /etc/fstab, tal y como vimos en el tema de Sistemas de Ficheros # <filesystem> <mount point> <type> <options> <dump> :/home /home nfs defaults :/usr/local /usr/local nfs defaults,ro 0 GSyC Administración de la Red 16

17 Contenidos Seguridad 1 Configuración básica de la red Interfaces de red /etc/hosts 2 NFS 3 Seguridad 4 OpenSSH GSyC Administración de la Red 17

18 Seguridad: Problemas Seguridad Privacidad o secreto. Mantener la información fuera de las manos de usuarios no autorizados Autenticación. Determinar de la identidad del interlocutor No repudio. Poder demostrar quien es el autor de un mensaje Control de integridad. Garantizar que un mensaje no ha sido modificado. GSyC Administración de la Red 18

19 Seguridad:Soluciones Seguridad Nivel físico: Proteger el cable de escuchas Nivel de enlace: Cifrar al enviar y descifrar al recibir Nivel de red: IPsec, cifrado en IPv6. Cortafuegos Nivel de transporte: Cifrado de conexiones. SSL GSyC Administración de la Red 19

20 Seguridad Principios criptográficos Criptología = criptografía (inventar códigos) + criptoanálisis (atacarlos) Principio de Kerckhoff: Los algoritmos deben ser públicos; sólo las claves son secretas Los mensajes cifrados deben incluir redundancia. Esto evita que una modificación de los mismos resulte en otro mensaje válido. El necesario controlar la frescura de los mensajes recibidos, para evitar ataques con mensajes antiguos. GSyC Administración de la Red 20

21 Seguridad Criptografía de Clave Secreta La misma clave que cifra, descifra Muchos algoritmos: DES (obsoleto), triple DES, AES (o Rijndael. Oficial gobierno EEUU desde 2001), twofish, etc etc Problemas Haces falta muchas claves: una por cada pareja de posibles comunicantes Cómo transmitir las claves de forma segura? GSyC Administración de la Red 21

22 Seguridad Criptografía de clave pública Año 1976, Diffie y Hellman. Clave de cifrado o pública E y de descifrado o privada D distintas (asimétricas) D(E(P)) = P Muy dificil romper el sistema (p.e. obtener D) teniendo E. La clave privada sirve para descifrar. Debe mantenerse en secreto La clave pública sirve para cifrar. Puede conocerla todo el mundo (lo importante es que se conozca la clave correcta) Conociendo la clave pública de alguien, podemos cifrar un mensaje que solo él, con su clave privada, podrá descifrar GSyC Administración de la Red 22

23 RSA Seguridad De Rivest, Shamir y Adleman. Los algoritmos de clave pública son mucho más lentos que los de clave secreta (100 a 1000 veces). Por eso se suelen usar sólo para el intercambio de claves simétricas de sesión. GSyC Administración de la Red 23

24 Seguridad Autenticación con clave pública 1,2: A obtiene la clave pública de B 3: A envía su remite y un reto cifrados con la clave de B 4,5: B obtiene la clave pública de A 6: B cifra, con la clave de A: el reto de A, un reto nuevo y una clave simétrica 7: A envía el reto de B con la clave simétrica, que se empleará en la sesión GSyC Administración de la Red 24

25 Firmas digitales Seguridad Algoritmos como RSA tienen la propiedad de que también puede usarse la clave privada para cifrar y la pública para descifrar E(D(P)) = P A partir de un mensaje, se genera un código hash El código se encripta con la clave privada y se transmite junto con el mensaje El receptor Descifra el mensaje con la clave pública del emisor Genera de nuevo el código hash Si el código hash de la firma y del mensaje coinciden, el mensaje solo puedo enviarlo el origen GSyC Administración de la Red 25

26 Contenidos OpenSSH 1 Configuración básica de la red Interfaces de red /etc/hosts 2 NFS 3 Seguridad 4 OpenSSH GSyC Administración de la Red 26

27 OpenSSH OpenSSH PGP: Pretty Good Privacy. Software criptográfico creado por Phil Zimmermann. Base de la norma Open PGP. GPG: GNU Privacy Guard. Herramienta para cifrado y firmas digitales, que reemplaza a PGP Desde Debian Woody (2002) se usa OpenSSH v2 Se puede emplear el algoritmo RSA o DSA Digital Signature Algorithm, año 1991 GSyC Administración de la Red 27

28 OpenSSH ssh Abre una sesión remota mediante una conexión segura en la máquina indicada, con el usuario indicado. La primera vez que abrimos una sesión en una máquina, ssh nos indica la huella digital de la máquina remota The authenticity of host gamma23 ( ) can t be established. RSA key fingerprint is de:fa:e1:02:dc:12:8d:ab:a8:79:8e:8f:c9:7d:99:eb. Are you sure you want to continue connecting (yes/no)? Si necesitamos la certeza absoluta de que esta máquina es quien dice ser, deberíamos comprobar esta huella digital por un medio seguro, alternativo GSyC Administración de la Red 28

29 OpenSSH El cliente ssh almacena las huellas digitales de las máquinas en las que ha abierto sesión en el fichero ~/.ssh/known_hosts El servidor almacena su propia huella digital en los ficheros /etc/ssh/ssh_host_rsa_key /etc/ssh/ssh_host_dsa_key Si la máquina se reinstala y el administrador no conserva estos ficheros, el cliente ssh se quejará de que la huella digital ha cambiado, lo que también sucedería en caso de suplantación de identidad GSyC Administración de la Red 29

30 OpenSSH ssh -C -X La opción -X (mayúscula) redirige la salida del cliente X Window de la máquina remota con el servidor X Window de la máquina local Esto permite lanzar aplicaciones gráficas en la máquina remota, usarán la pantalla local Es necesario X11Forwarding yes en /etc/sshd/sshd_config en la máquina remota Que la máquina local admita conexiones entrantes La opción -C (mayúscula) comprime el tráfico. En conexiones rápidas es conveniente omitir esta opción GSyC Administración de la Red 30

31 OpenSSH Además de para abrir una sesión en una máquina remota, ssh permite la ejecución de una única orden en la máquina remota ssh ls Ejecuta ls en la máquina remota. Muestra en la máquina local el stdout. ssh echo hola > /tmp/prueba Ejecuta en pantuflo echo hola > /tmp/prueba GSyC Administración de la Red 31

32 OpenSSH ssh "echo $HOSTNAME > /tmp/prueba" Al poner comilla doble, la variable se expande en la máquina local ssh echo $HOSTNAME > /tmp/prueba Al no poner comilla, la variable se expande en la máquina local. El resultado se redirige al fichero /tmp/prueba de la máquina local ssh echo $HOSTNAME > /tmp/prueba Al poner comilla simple y recta, la variable se expande en la máquina remota GSyC Administración de la Red 32

33 Generación de claves OpenSSH Para evitar teclear contraseña en cada ssh, scp, sshfs, etc, podemos autentificarnos con criptografía asimétrica Se generan con ssh-keygen Se puede añadir una pass phrase. Es una contraseña adicional, tradicional. Equivalente a la llave del armario de las llaves GSyC Administración de la Red 33

34 OpenSSH Un usuario genera sus claves ejecutando en su home la orden ssh-keygen rsa: generar las claves: ssh-keygen -t rsa fichero clave privada: id_rsa fichero clave pública: id_rsa.pub dsa: generar las claves: ssh-keygen -t dsa fichero clave privada: id_dsa fichero clave publica: id_dsa.pub GSyC Administración de la Red 34

35 OpenSSH Para poder entrar en máquina remota sin emplear contraseña, añado mi clave pública al fichero $HOME/.ssh/authorized_keys de la máquina remota (o lo creo si no existe) Es necesario que el directorio ~/.ssh (local y remoto): Tenga el dueño y el grupo del usuario Tenga permisos 700 Contenga todos sus ficheros con permisos 600 Es necesario que en mi home solo yo pueda escribir GSyC Administración de la Red 35

36 ssh-agent OpenSSH La manera habitual de autentificarse es mediante el demonio ssh-agent ssh-agent contestará por nosotros, gestionando retos y repuestas cifrados ssh-agent tiene que ser el padre de nuestra shell, o nuestra sesión x Las distribuciones Linux con X Windows suelen tenerlo instalado Si no está funcinando (como en ubuntu server) exec ssh-agent /bin/bash Esto hace que nuestra shell actual sea reemplazada por ssh-agent, quien a su vez creará una shell hija suya GSyC Administración de la Red 36

37 Depuración OpenSSH ssh-add ssh-add -l ssh-agent añade una identidad a ssh-agent indica las identidades manejadas por el En ocasiones, por ejemplo si no empleamos pass phrase, el ssh-agent no es necesario En el cliente ssh -v o ssh -vv o -vvv en el servidor, consultar /var/log/auth.log GSyC Administración de la Red 37