Linux. Servidores

ESCUELA SUPERIOR POLITÉCNICA DE

CHIMBORAZO

ACADEMIA LINUX

PROYECTO FINAL

Integrantes: Cristian Guamán Marlid Gaibor Eduardo Tenezaca Jorge Remache

RIOBAMBA-ECUADOR

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FIE ACADEMIA LINUX

1. INTRODUCCION

En el pasado las comunicaciones se realizaban por correo, teléfono o fax.

Hoy en día hay factores que hacen necesaria la implementación de

soluciones más sofisticadas de conectividad entre las oficinas de las

organizaciones a lo largo del mundo.

Dichos factores son:

La aceleración de los procesos de negocios y su consecuente

aumento en la necesidad de intercambio flexible y rápido de

información.

Muchas organizaciones tienen varias sucursales en diferentes

ubicaciones así como también tele trabajadores remotos desde sus

casas, quienes necesitan intercambiar información sin ninguna

demora, como si estuvieran físicamente juntos.

La necesidad de las redes de computación de cumplir altos estándares

de seguridad que aseguren la autenticidad, integridad y disponibilidad.

Con la llegada de Internet y la baja de costos en conectividad se

desarrollaron nuevas tecnologías. Surgiendo entonces la idea de utilizar a

Internet como medio de comunicación entre los diferentes sitios de la

organización.

2. OBJETIVOS:

2.1 General

Levantar el escenario propuesto que dispone de una red de servidores,

firewall y acceso a la nube.

2.2 Específicos

Establecer la interconexión entre los equipos que intervienen en el

escenario.

Configurar firewalls que proporcionen seguridad y filtrado de red.

Levantar servidores dns, web, email y vpn

Proporcionar a todos los equipos en la red salida a internet


FIE ACADEMIA LINUX

3. ESCENARIO

FUNCION SISTEMA

OPERATIVO

INTERFAZ IP GATEWAY

CLIENTE Windows Etho 10.0.2.10 10.0.2.1

Ubuntu Etho 10.0.2.11 10.0.2.1

ROUTER/FIREWALL

intermedio

Centos eth2 10.0.2.1 --

eth3 192.168.2.1 --

ROUTER/FIREWALL Centos eth6 192.168.2.20 --


FIE ACADEMIA LINUX

Frontera eth7 172.30.104.199 --

SERVIDOR VPN

SERVIDOR WEB

Centos eth0 192.168.240.1

192.168.2.10

192.168.2.20

SERVIDOR DNS Centos eth1 192.168.2.11 192.168.2.20

SERVIDOR

CORREO

Centos eth3 192.168.2.12 192.168.2.20

Requerimientos

Conexión entre todos los equipos de la red y salida a internet

Servicio de resolución de nombres de dominio

Servicio de correo entre lo clientes

Conexión segura con VPN

Filtraje por puertos y enmascaramiento de direcciones

4. MARCO TEORICO

ROUTER FIREWALL

El firewall utilizado para gestionar las conexiones en Linux es iptables. Las

posibilidades de iptables son prácticamente infinitas y un administrador que quiera

sacarle el máximo provecho, puede realizar configuraciones extremadamente

complejas. Para simplificar, diremos que básicamente, iptables permite crear reglas

que analizarán los paquetes de datos que entran, salen o pasan por nuestra

máquina, y en función de las condiciones que establezcamos, tomaremos una

decisión que normalmente será permitir o denegar que dicho paquete siga su curso.


FIE ACADEMIA LINUX

El firewall controla las comunicaciones entre la red y el exterior

Los paquetes pueden entrar, salir o pasar

Una forma sencilla de trabajar con iptables es permitir las comunicaciones que nos

interesen y luego denegar el resto de las comunicaciones. Lo que se suele hacer es

definir la política por defecto aceptar (ACCEPT), después crear reglas concretas

para permitir las comunicaciones que nos interesen y finalmente, denegar el resto de

comunicaciones. Lo mejor será crear un script en el que dispondremos la secuencia

de reglas que queremos aplicar en nuestro sistema.

OPENVPN

OpenVPN es una solución de conectividad basada en software libre: SSL (Secure

Sockets Layer) VPN Virtual Private Network (red virtual privada), OpenVPN ofrece

conectividad punto-a-punto y punto multipunto.

Se utiliza este tipo de VPN cuando se necesita enlazar a los sitios que son parte de

una compañía, en nuestro caso será compuesto por un servidor Central que conecta

a los clientes Window y Ubuntu

Usos de las VPN's

http://es.wikipedia.org/wiki/Software_libre

http://es.wikipedia.org/wiki/Transport_Layer_Security

http://es.wikipedia.org/wiki/Red_privada_virtual


FIE ACADEMIA LINUX

Las VPN's se usan generalmente para:

Conexión entre diversos puntos de una organización a través de

Internet

Conexiones de trabajadores domésticos o de campo con IP's

dinámicas

Soluciones extranet para clientes u organizaciones asociadas con los

cuales se necesita intercambiar cierta información en forma privada

pero no se les debe dar acceso al resto de la red interna.

Además brinda una excelente fiabilidad en la comunicación de usuarios

móviles así como también al unir dos puntos distantes como agencias

de una empresa dentro de una sola red unificada.

SERVIDOR WEB

Básicamente, un servidor web sirve contenido estático a un navegador, carga

un archivo y lo sirve a través de la red al navegador de un usuario. Este

intercambio es mediado por el navegador y el servidor que hablan el uno con

el otro mediante HTTP.

Se pueden utilizar varias tecnologías en el servidor para aumentar su potencia

más allá de su capacidad de entregar páginas HTML; éstas incluyen scripts

CGI, seguridad SSL y páginas activas del servidor (ASP).

Arquitectura Modelo Cliente – Servidor

Diversas aplicaciones se ejecutan en un entorno Cliente/servidor. Esto

significa que los equipos clientes (equipos que forman parte de una red)

contactan a un servidor, un equipo generalmente muy potente en materia de

http://www.ecured.cu/index.php/Archivo:Cliente_servidor.png


FIE ACADEMIA LINUX

capacidad de entrada/salida, que proporciona servicios a los equipos

clientes. Estos servicios son programas que proporcionan datos como la

hora, archivos, una conexión, etc.

Los servicios son utilizados por programas denominados programas clientes

que se ejecutan en equipos clientes. Por eso se utiliza el término "cliente"

(cliente FTP, cliente de correo electrónico, etc.) cuando un programa que se

ha diseñado para ejecutarse en un equipo cliente, capaz de procesar los

datos recibidos de un servidor (en el caso del cliente FTP se trata de

archivos, mientras que para el cliente de correo electrónico se trata de correo

electrónico).

SERVIDOR DNS

Los servidores DNS son parte de la cadena que queda formada cuando

hacemos una petición mediante nuestro navegador de cualquier página

web. Estos servidores no son más que computadoras que en sus

discos duros almacenan enormes bases de datos.

Tienen registrada la relación que existe entre cada nombre de dominio

y su dirección IP correspondiente. Los seres humanos identificamos los

sitios de internet mediante nombres, como son Google.com, Yahoo.es,

Apple.com, etc. lo que los hace más fácil de recordar y de escribir,

estos nombres es lo que conocemos como nombres de dominio.

Las computadoras identifican los sitios web y se conectan a ellos

utilizando el formato numérico, algo parecido a la numeración

telefónica, pero más complejo y con más recursos, es lo que

conocemos como las direcciones IP. Ahí es donde entran en acción los

servidores DNS, ellos son como enormes y complejas guías

telefónicas, que a petición nuestra traducen o convierten los nombres

de dominio que le solicitemos, en las direcciones IP que les

corresponden.

Por ejemplo

http://www.ecured.cu/index.php/FTP

http://www.ecured.cu/index.php/FTP

http://www.ecured.cu/index.php/Correo_electr%C3%B3nico

http://www.ecured.cu/index.php/Correo_electr%C3%B3nico


FIE ACADEMIA LINUX

Escribimos la dirección http://www.pagina.com/poco-comun/, que es una

página poco conocida, con escaso tráfico y que queda en un país remoto,

automáticamente nuestro servidor hace la petición al servidor DNS que tiene

configurada nuestra conexión.

Si ese servidor DNS no posee en su base de datos el nombre de dominio de

esa página (nombre de dominio es el dato que está antes de la primera barra,

seria en este caso www.pagina.com), hará la petición a otro servidor DNS y

así sucesivamente y nos devolverá al final la dirección IP solicitada con la

demora lógica que eso significa.

5. CONFIGURACION DE LOS EQUIPOS

ROUTER/FREWALL INTERMEDIO

El router cumple la función de comunicar la red a la que pertenecen los

clientes (10.0.2.0/24) y la red de servidores (192.168.2.0/24), por lo que la

interfaz eth2 y eth3 estarán en su respectiva red.


FIE ACADEMIA LINUX

En la siguiente figura se muestra el archivo donde se halla la configuracipon

de iptables. Se observa que se aceptan los paquetes enviados con el

protocolo, tcp, udp e icmp. Posteriormente se hace un filtrado por puertos

para los paquetes que pasen por el firewall, y finalmente se realiza el

enmascaramiento necesario para que pueda haber conexión entre las dos

redes distintas.


FIE ACADEMIA LINUX

ROUTER-FIREWALL FRONTERA

La siguiente es la configuración que se halla en la interfaz eth6 del router

frontera.

DEVICE=eth6

HWADDR=00:0c:29:98:d0:69

TYPE=Ethernet

UUID=799640cb-3a1d-43ae-acc0-bf044df808b4

ONBOOT=yes

NM_CONTROLED=no

BOOTPROTO=no

IPADDR=192.168.2.20

NETMASK=255.255.255.0

Para el eth7 se tiene lo siguiente

DEVICE=eth7

HWADDR=0:0c:29:98:d0:73

TYPE=Ethernet

UUID=799640cb-3a1d-43ae-acc0-bf044df808b4

ONBOOT=yes

NM_CONTROLED=no


FIE ACADEMIA LINUX

BOOTPROTO=none

IPADDR=172.30.104.199

NETMASK=255.255.255.0

Configuración de iptables

Aquí se realiza un funci[on importante que es la de comunicar la red interna

con las redes en la web, por lo que además de un buen filtrado se requerirá

el enmascaramiento necesario de una red privada a una red pública, que es

lo que se hace nat.

#! /bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -X

iptables -Z

iptables -F

iptables -t nat -X

iptables -t nat -F

iptables -t nat -Z

iptables -t filter -P INPUT DROP

iptables -t filter -P OUTPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P PREROUTING ACCEPT

iptables -A INPUT -p tcp -j ACCEPT

iptables -A OUTPUT -p tcp -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT

iptables -A INPUT -p udp -j ACCEPT

iptables -A OUTPUT -p udp -j ACCEPT

iptables -A FORWARD -i eth7 -o eth6 -p tcp -m multiport --dport

80,53,443,22,25,465,109,110,143 -j ACCEPT

iptables -A FORWARD -i eth6 -o eth7 -p tcp -m multiport --sport

80,53,443,22,25,465,109,110,143 -j ACCEPT

iptables -A FORWARD -i eth7 -o eth6 -p udp -m multiport --dport

80,53,443,22,25,465,109,110,143 -j ACCEPT

iptables -A FORWARD -i eth6 -o eth7 -p udp -m multiport --sport

80,53,443,22,25,465,109,110,143 -j ACCEPT

iptables -A FORWARD -i eth6 -o eth7 -p icmp -j ACCEPT

iptables -A FORWARD -i eth7 -o eth6 -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o eth7 -p tcp -j SNAT --to-source 172.30.104.199

iptables -t nat -A POSTROUTING -o eth7 -p udp -j SNAT --to-source 172.30.104.199


FIE ACADEMIA LINUX

iptables -t nat -A POSTROUTING -o eth7 -p icmp -j SNAT --to-source 172.30.104.199

iptables -t nat -A PREROUTING -i eth7 -p tcp --dport 80 -j DNAT --to 192.168.2.10:80



SERVIDOR VPN

Cambie al directorio /etc/openvpn:

cd /etc/openvpn/

A fin de facilitar los procedimientos, se copiarán dentro del directorio

/etc/openvpn/ los archivos openssl.cnf, whichopensslcnf, pkitool y vars,

que se localizan en /etc/openvpn/easy-rsa/2.0/:

cp /usr/share/easy-rsa/openssl-1.0.0.cnf ./

cp /usr/share/easy-rsa/whichopensslcnf ./

cp /usr/share/easy-rsa/pkitool ./

cp /usr/share/easy-rsa/vars ./

Utilizar el editor de texto y abrir el archivo /etc/openvpn/vars:

vi /etc/openvpn/vars

Reemplazar los valores predeterminados por los que se consideren

pertinentes. Ejemplo:

export KEY_SIZE=2048

export KEY_COUNTRY="EC"

export KEY_PROVINCE="CH"

export KEY_CITY="RIOBAMBA"

export KEY_ORG="linux.dom2.com"

Se ejecuta el archivo /usr/share/easy-rsa/clean-all para limpiar

cualquier firma digital que accidentalmente estuviera presente.


FIE ACADEMIA LINUX

sh /usr/share/easy-rsa/clean-all

Lo anterior realiza un rm -fr (eliminación recursiva) sobre el directorio

/etc/openvpn/keys, por lo que se eliminarán todas los certificados y

firmas digitales que hubieran existido con anterioridad.

A fin de crear el certificado del servidor, se crea un certificado:

sh /usr/share/easy-rsa/build-ca

Se creará el archivo dh2048.pem, el cual contendrá los parámetros del

protocolo Diffie-Hellman, de 2048 bits:

sh /usr/share/easy-rsa/build-dh

Para generar la firma digital, se utilizan el siguiente comando:

sh /usr/share/easy-rsa/build-key-server server

Finalmente se crean los certificados para los clientes.

sh /usr/share/easy-rsa/build-key cliente1



Iniciamos el servicio con: service openvpn start

CLIENTE

Para el cliente ubuntu se requiere instalar openvpn con el primer comando

mostrado. Mientras que si se desea también una interfaz gráfica para facilitar

la configuración de openvpn se puede hacer utilizando el comando posterior.

Yum –y install openvpn


FIE ACADEMIA LINUX

Yum –y install network-manager-openvpn-gnome

Una vez que se ha establecido eficientemente la vpn se tendrá un tunel como

se muestra en la figura.

Cliente Windows

En este sistema una vez instalado openvpn, se debera copiar los certificados

y las llaves a la carpeta C://Archivos-de-Prrograma/Openvpn/config


FIE ACADEMIA LINUX

Este archivo se guarda como cliente1-udp-1194.ovpn.

client

dev tun

proto udp

remote 192.168.2.10 1194

float

resolv-retry infinite

nobind

persist-key

persist-tun

#------ SECCION DE LLAVES --------

ca /etc/openvpn/keys/ca.crt

cert /etc/openvpn/keys/cliente1.crt

key /etc/openvpn/keys/cliente1.key

ns-cert-type server

#---------------------------------

comp-lzo

verb 3

Al establecerse la conexión tendremos avisos como el siguiente


FIE ACADEMIA LINUX

Se lo puede observar tan solo con poner el puntero sobre el aviso

SERVIDOR WEB

La interfz eth0 del servidor web esta configurada con la ip 192.168.2.10, como se muestra a

continuación


FIE ACADEMIA LINUX

DEVICE=eth0

HWADDR=00:0C:29:30:A1:4A

TYPE=Ethernet

UUID=d5777d5b-af05-4676-9f9d-09ef91ff0224

ONBOOT=yes

NM_CONTROLLED=no

BOOTPROTO=none

IPADDR=192.168.2.10

NETMASK=255.255.255.0

DNS1=192.168.2.11

GATEWAY=192.168.2.20

Mientras que lo siguiente es el archivo.conf que se encarga de hacer

referencia a la ubicación del index que será mostrado a los clientes que

ingresen a la página web

Alias /grupoChevere "/usr/local/grupoChevere/www"

<Directory "/usr/local/grupoChevere/www">

Options None

AllowOverride None

Order allow,deny

Allow from all

</Directory>

La página wen mostrada es la siguiente, esta fue visualizada desde el cliente

Windows.


FIE ACADEMIA LINUX

SERVIDOR DNS

El servidor DNS se lo configuró con la ip estática 192.168.2.11

DEVICE=eth1

HWADDR=00:0c:29:0b:f6:87

TYPE=Ethernet

UUID=b9925d7f-38c4-4b0a-8689-825e9f296226

ONBOOT=yes

NM_CONTROLLED=no

BOOTPROTO=none

IPADDR=192.168.2.11

NETMASK=255.255.255.0

DNS1=192.168.2.11

GATEWAY=192.168.2.20

El archivo named.conf contiene la información de dominios con su respectiva

red a la que pertenecen.

options {

directory "/var/named";

forwarders { 172.30.60.40; 172.30.60.39; };


FIE ACADEMIA LINUX

forward first;

};

zone "dom2.com" IN {

type master;

file "named.dom2.com";

};

zone "2.168.192.in-addr.arpa" IN {

type master;

file "named.192.168.2";

};

zone "linux.com" IN {

type master;

file "named.linux.com";

};

zone "104.30.172.in-addr.arpa" IN {

type master;

file "named.172.30.104";

};

zone "localhost" IN {

type master;

file "localhost.zone";

};

zone "0.0.127.in-addr-arpa" IN {

type master;

file "127.0.0.zone";

};

Para cada dominio que DNS debe resolver, existe un archivo llamado

named.dominiox.com y en estos ubicaremos las direcciones que serán

traducidas

$TTL 86400

@ IN SOA CentOSdns.dom2.com. root.CentOS.dom2.com. (

2015052302 ; Serial

10800 ; Refresh

3600 ; Retry

604800 ; Expire

86400 ) ; Minimum TTL


FIE ACADEMIA LINUX

IN NS CentOSdns.dom2.com.

IN A 127.0.0.1

$TTL 86400

@ IN SOA CentOSdns.dom2.com. root.CentOSdns.dom2.com. (

2015052302 ; Serial

10800 ; Refresh

3600 ; Retry

604800 ; Expire

86400 ) ; Minimum TTL


1 IN PTR localhost.

Archivo named.linux.com

$TTL 86400


2015052302 ; serial

28800 ; refresh

7200 ; retry

604800 ; expire

86400 ) ; minimum TTL


correo1 IN A 172.30.104.111

correo3 IN A 172.30.104.177

correo4 IN A 172.30.104.227

Archivo named.dom2.com

$TTL 86400


2015052302 ; serial

28800 ; refresh

7200 ; retry

604800 ; expire

86400 ) ; minimum TTL


FIE ACADEMIA LINUX


sys91 IN A 192.168.2.10

CentOSdns IN A 192.168.2.11

correo IN A 192.168.2.12

Es necesario igualmente poner como servidor dns a la ip configurada en los clientes en

ubuntu se deberá modificar el fichero resolv.conf y en Windows de la siguiente manera

Una vez que el servidor DNS este correctamente instalado se podrá acceder a la web con tan

solo nombres en los exploradores


FIE ACADEMIA LINUX

SERVIDOR DE CORREO

La configuración de la interfaz es la siguiente

DEVICE=eth3

HWADDRR=00:0c:29:33:7a:1d

UUID=d2ab7bce-2635-4d97-97e9-98943a6fdac3

TYPE=Ethernet

NM_CONTROLLED=no

BOOTPROTO=none

ONBOOT=yes

IPADDR=192.168.2.12

NETMASK=255.255.255.0

DNS1=192.168.2.11

GATEWAY=192.168.2.20

Es necesario ubicar el nombre del dominio como se muestra en local-host-names

# local-host-names - include all aliases for your machine here.

correo.dom2.com

dom2.com

Se debe también incluir el nombre del dominio en el archivo access


FIE ACADEMIA LINUX

# Check the /usr/share/doc/sendmail/README.cf file for a description

# of the format of this file. (search for access_db in that file)

# The /usr/share/doc/sendmail/README.cf is part of the sendmail-doc

# package.

#

# If you want to use AuthInfo with "M:PLAIN LOGIN", make sure to have the

# cyrus-sasl-plain package installed.

#

# By default we allow relaying from localhost...

Connect:localhost.localdomain RELAY

Connect:localhost RELAY

Connect:127.0.0.1 RELAY

dom2.com RELAY

En el cliente Windows se puede ingresar mediante Outlook al correo para poder usar el

servicio

De igual manera en ubuntu con Thunderbird


FIE ACADEMIA LINUX

Gracias al servidor DNS levantado tamién e puede obtener acceso al correo mediante el

navegador

Dede los clientes se deberá tener conexión con todos los equipo de la red y hacia la nube


FIE ACADEMIA LINUX

Una vez que todo se ha levantado correctamente se pueden aprovechar los servicios que se

ofrecen, además del acceso a la web


FIE ACADEMIA LINUX

6. CONCLUCIONES

Un filtrado mientras mas robusto y complejo significa menor posibilidad de

que datos no deseados esten en la red.

El enmascaramiento de red nos da la opcion de que sin la necesidad de

realizar un enrutamiento se puedan comunicar distintas redes

Una configuración de iptables puede ser desarrollado directamente o en un

script, en ambos casos es necesaria la verificación del correcto trabajo

Levantar servidores implica proporcionar beneficios a los clientes por lo que

dependiendo del servidor unos mas importantes como dns y otros no tanto,

pero igualmente debe asegurar un excelente servicio continuo y rápido.

Una vpn puede ofrece seguridad para la transmisión de datos para quienes la

usan ya que proporciona un camino distinto en el que se requieren claves

para que se puedan dar las conexiones.


FIE ACADEMIA LINUX

7. RECOMENDACIONES

Asegurarse de que exista conexión entre los equipos, enviando pings, para

ello es necesario monitorear en todo momento si existe comunicación con

todo los elementos en la red

Para un correcto filtrado por puertos se debe tener en cuenta todos los

servicio que ofrece la red y que puerto ocupa cada uno de ellos para permitir

dicho tráfico

Los servidores deberán mantener ips estáticas

Mantener copias de lo archivos de configuración sin editar, para que puedan

ser recuperados de ser neceario.

8. WEBGRAFIA

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-fw.html

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/cortafuego

s_iptables.html

http://www.welivesecurity.com/la-es/2013/12/13/firewall-sistemas-linux-

iptables/

http://www.desarrolloweb.com/articulos/513.php

http://www.seguridad.unam.mx/descarga.dsc?arch=422

https://www.masadelante.com/faqs/servidor-web

http://www.ecured.cu/index.php/Servidor_Web

http://norfipc.com/internet/servidores-dns.html

PDFs del CURSO DE ACADEMIA LINUX 15va Edición

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/cortafuegos_iptables.html

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/cortafuegos_iptables.html

http://www.welivesecurity.com/la-es/2013/12/13/firewall-sistemas-linux-iptables/

http://www.welivesecurity.com/la-es/2013/12/13/firewall-sistemas-linux-iptables/

http://www.desarrolloweb.com/articulos/513.php

http://www.seguridad.unam.mx/descarga.dsc?arch=422

https://www.masadelante.com/faqs/servidor-web

http://www.ecured.cu/index.php/Servidor_Web

Documents

Linux. Servidores