Post on 24-Jan-2019
Administracion UNIX:Redes en UNIX
Juan Hernando Vieitesjhernando@fi.upm.es
Octubre 2014
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 1/1
Resumen
1 Configuracion de redes y conexiones.2 Acceso remoto.3 Comparticion de recursos.
• Sistemas de ficheros remotos.• Autenticacion.
4 Otros servicios.5 Seguridad en maquinas conectadas en red.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 2/1
Conceptos basicos
Diseno de una redA la hora de disenar una red hay que considerar:
• Polıticas: uso, servicios, seguridad, confidencialidad,administracion.
• Equipos: numero y SSOO.• Topologıa: subredes y direcciones.• Protocolos: IPv4, IPv6 y otros protocolos de aplicacion.• Tecnologıas: red fısica, dispositivos de red, anchos de
banda.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 3/1
Configuracion de redes TCP/IP
Pasos de configuracion basicosEn redes cableadas
• Configurar la direccion IP de las interfaces.• Configurar la tabla de rutas.• Asignar un nombre de host (/etc/hostname) y servidores
de resolucion de nombres (DNS).• Establecer la configuracion para que se fije al arranque o
se solicite a un servidor de manera dinamica.En redes inalambricas, ademas:
• Parametros adicionales (nombre de red).• Sistema de autenticacion.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 4/1
Configuracion de red IPv4
Configuracion de la interfaz
• Se usa ifconfig (interface configurator, obsoleto) o ip
• Parametros tıpicos: nombre de interfaz, protocolo (inetpara IPv4), direccion, mascara de subred (paradirecciones Classless Inter-Domain Routing, CIDR)
• Ejemplos: ifconfig eth0 inet 138.100.9.35 netmask
138.100.15.255
ip addr add 138.100.9.35 dev eth0
• En algunas interfaces tambien se puede cambiar ladireccion de acceso al medio fısico (MAC en redesethernet).
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 5/1
Configuracion de red IPv4Encaminamiento de paquetesTras la interfaz, se configura el encaminamiento para aquellospaquetes que no estan destinados a la subred de la interfaz.Hay 3 tipos de paquetes:
• Paquetes internos (dentro de la maquina).• Paquetes hacia la subred (mismo medio fısico).• Paquetes hacia el exterior (Internet)
Tabla de rutasSe usa el mandato route para anadir y quitar entradas.Ejemplos:
• route add -host 127.0.0.1 lo
• route add -net 138.100.8.0 netmask 255.255.248.0 eth0
• route default gw 192.168.1.1 eth0
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 6/1
Configuracion de red IPv6
Direcciones IPv6
• Una direccion se divide en 64 bits de red y 64 de host, delos cuales 48 suelen hacer referencia a la MAC.
• Existen 3 classes de direcciones: unicast, multicast yanycast (no hay direcciones de broadcast).
Tipo de direccion Prefijo NotacionNo espeficado 00...0 (128 bits) ::/128Loopback 00...1 (128 bits) ::1/128Multicast 11111111 FFxy::/16Unicast nivel enlace 1111111010 FE80::/10Unicast nivel sitio (obsoleto) 1111111011 FEC0::/10Unicast global resto direcciones
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 7/1
Configuracion de red IPv6Configuracion de la interfaz
• Basicamente se configuran igual que en IPv4• Una diferencia es que una interfaz puede tener varias
direcciones IPv6 asociadas.• Con ifconfig:
• ifconfig interfaz inet6 add parametros• ifconfig interfaz inet6 del direccion• Puede ser necesario levantar la interfaz para poder anadir
la primera direccion.• Con ip:
• ip addr add,del direccion dev interfaz [...]
Encaminamiento
• Igual que IPv4, pero debe anadirse -inet6 o -A init6 almandato route
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 8/1
Resolucion de nombres (DNS)Resolucion de nombres
• Es el proceso que transforma un nombre simbolicowww.fi.upm.es en una direccion IP 138.100.243.10.
• Suele ir implementado en la librerıa de C del sistema.
Configuracion basica en un cliente
• Fichero de resolucion local /etc/hosts: Una coleccion delıneas <direccion IP> <nombre1> <nombre2> ....
• Fichero de resolucion remota /etc/resolv.conf:search fi.upm.es
nameserver 138.100.8.1
nameserver 138.100.8.23
• Fichero de configuracion global /etc/host.conf: Entreotras determina el orden de resolucion de nombres.
• Existe una pagina de manual para cada fichero.jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 9/1
Resolucion de nombres (DNS)
Configuracion dinamica y estatica
• Por lo normal la configuracion de resolv.conf es estatica,pero puede ser generada dinamicamente.
• Determinados gestores de configuracion(NetworkManager, VPNs) pueden sobreescribir sucontenido segun las interfaces activas y configuradas.
• Tambien existe un gestor de configuracion llamdoresolvconf, que arbitra los cambios dinamicos enresolv.conf. En este caso la configuracion estatica debeincluirse en /etc/resolvconf/resolv.conf.d/ o conreglas en /etc/network/interfaces:
dns-nameservers 138.100.8.1 138.100.8.23
dns-search fi.upm.es
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 10/1
Servidor de nombres DNS
Cuando un nombre de host no puede traducirse localmente esnecesario contactar un servidor de DNS para resolverlo
• Un servidor DNS es una maquina que entiende elprotocolo DNS y atiende peticiones de resolucion declientes locales u otros servidores DNS.
• Puede ser:• DNS modo cache: resuelve peticiones y almacena
resultados. Confıa en un DNS superior.• DNS autonomo: Mantiene su propia base de datos para
nombres predeterminados y trabaja en modo cache para elresto.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 11/1
Servidor de nombres DNS
• El servicio se implementa como un demonio de red queescucha en el puerto adecuado, por ejemplo named.
• El servidor mas usado en BIND (implementacion dereferencia del Internet Systems Consortium - ISC)
• Muchas distribuciones de Linux modernas incluyen unservidor llamado local dnsmasq. En este caso el contenidode /etc/resolv.conv es 127.0.0.1.Este servidor puede:
• Realizar traducciones a partir de entrads estaticas (ej./etc/hosts) or consultando a otros servidores,posiblemente seleccionados dinamicamente.
• Redirigir consultas basandose en los nombres de dominio.• Cache de nombres.• Servidor para configuracion dinamica.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 12/1
Configuracion IP dinamica
Aparte de la configuracion estatica las maquinas conectadas auna red pueden configurarse dinamicamente.
• La maquina cliente hace una peticion por broadcastindicando su direccion fısica (MAC).
• El servidor de configuracion responde concediendo unaconfiguracion de red.
Protocolos de descubrimiento y configuracion son:• DHCP: Protocolo cliente servidor que permite obtener a un
cliente: su direccion y mascara IP, la direccion delencaminador por defecto y la direcciones de los DNS. Uncliente habitual es dhclient. Un servidor de referencia esDHCP v3 o v4 (tambien del ISC).
• BOOTP: Protocolo obsoleto y reemplazado por DHCP.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 13/1
Configuracion IP dinamicaConfiguracion de servidor DHCPExisten varias alternativas para configurar un servidor DHCPen una maquina UNIX:
• La implementacion de referencia del ISC para DHCP v3• dnsmasq
Configuracion de DHCP en Debian
• Se instala con el paquete isc-dhcp-server
• El proceso demonio se llama y puede ser arrancado yparado con el script /etc/init.d/isc-dhcp-server.
• La configuracion reside en /etc/dhcp/dhcpd.conf y/etc/default/isc-dhcp-server.
• La pagina de manual contiene toda la informacion acercade la ejecucion y configuracion del servidor y el fichero deconfiguracion contiene numerosos ejemplos.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 14/1
NetworkManager
Objetivo
• Simplificar la configuracion de red, ya se cableada, Wifi,3G, o de otro tipo, principalmente en equipos de escritorio.
Architectura
• Nucleo formado por scripts de configuracion y un demonioque se registra a eventos de udev.
• Interfaz grafica independiente de la distribucion• Interfaz DBus para comunicarse con clientes.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 15/1
NetworkManagerAplicaciones y mandatos
• nm-tool muestra el estado de NetworkManager y lasconexiones.
• nmcli es la herramienta de control por lınea de mandatos.• nm-applet es el proceso cliente para las GUIs.
Configuracion
• La configuracion se encuentra en /etc/NetworkManager/.• Se puede deshabilitar anadiendo a NetworkManager.conf.
[ifupdown]
managed=false
Y mencionando las interfaces que no queremos quemaneje NM en /etc/network/interfaces (con auto ethx
es suficiente). Otra opcion temporal es parar el demonio.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 16/1
Inicializacion de interfaces de red
Una distribucion actual de Linux sigue una secuencia de esteestilo:
• Udev detecta la des/conexion fısica del dispositivo ygenera un evento.
• El evento da lugar a la ejecucion de reglas en/etc/udev/rules.d y puede ser capturado porNetworkManager.
• Para conexiones cableadas en ultima instania se ejecutaifup (conexion) o ifdown (desconexion).
• ifup lee la configuracion de /etc/network/interfaces
(consultar interfaces(5)).• Ejemplos:
iface lo inet loopback
auto eth0
iface eth0 inet dhcp
iface eth0 inet static
address 138.100.9.23
netmask 255.255.0.0
gateway 138.100.8.1
up <some-command>
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 17/1
Redes inalambricasInterfaces inalambricas
• iwconfig es el equivalente a ifconfig para interfacesinalambricas 802.11.
• Otras utilidades permiten permitir informacion adicional delas redes inalambricas circundantes (iwlist, iwspy).
Autenticacion
• La autenticacion basada en WEP se hace con unparametro en iwconfig u opciones de configuracion en/etc/network/interfaces.
• Para autenticacion basada en WAP hace falta instalar unsupplicant, una implementacion libre de WPA Supplicantdel estandar 802.11 es wpa supplicant. Las opciones deconfiguracion en interfaces llevan el prefijo wpa-.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 18/1
Configuracion IP avanzadaConfiguracion como router
• Un router posee al menos dos interfaces de red paraencaminar trafico entre dos o mas redes.
• Un router intercambia informacion de encaminamiento conotros routers y emite mensajes de control de red ICMP.
• Reenvıa los paquetes IP que recibe y de los que no esdestinatario.
Configuracion de tablas de rutas
• Estatica con route.• Dinamica por medio de protocolos como RIP u OSPF
(demonios routed (obsoleto), gated (muerto), Quagga).• No es recomendable utilizar sistemas UNIX completos
como router.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 19/1
Configuracion IP avanzada
La pila IP del nuclero permite:• IP Masquerading:
• Una sola direccion IP para varias maquinas• Vale para que varios equipos de una red compartan una
unica IP de salida.
• Auditorıa: Estadısticas y analisis de paquetes.• Alias:
• Varias direcciones IP en la misma tarjeta.• Si se quiere discrimar entre varios servicios.
• Redireccion de paquetes• Para hacer encaminamiento.• Se activa haciendo sysctl -w net.ipv4.ip forward=1 o
asignando 1 al campo net.ipv4.ip forward de/etc/sysctl.conf y recargando (sysctl -p
/etc/sysctl.conf)
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 20/1
Configuracion IP avanzadaIP tables
• En Linux, muchas reglas de redireccion y filtrado seaplican usando la herramienta iptables.
• iptables actua sobre las tablas de reglas de filtrado depaquetes del protocolo IP a nivel de nucleo.
Ejemplo:NAT y encaminamiento en un nodo con dos interfaces, unaethx conectada a Internet u otra ethy a una LAN, para permitira la LAN acceso a Internet.
# Regla para los paquetes de salida
# iptables --table nat --append POSTROUTING \
--out-interface ethx -j MASQUERADE
# Regla para los paquetes de entrada
# iptables --append FORWARD --in-interface ethy -j ACCEPT
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 21/1
Configuracion IP avanzada
Virtual Private Networks (VPNs)
• Una VPN es una extension virtual de una red privada atraves de redes no confiables.
• Las maquinas externas a la red se conectan por medio detuneles IP establecidos con un servidor accesible.
• Tiene aplicaciones como:• Permitir el acceso a maquinas externas a redes con acceso
restringido.• Usar una direccion publica en Internet diferente.• Cifrar todo el trafico entre una maquina conectada a una
red publica y una red privada.
• Algunas opciones para configurar VPNs son: PPTP,OpenVPN
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 22/1
Diagnostico y solucion de problemas
Existen varios madatos que pueden ayudar en la resolucion deproblemas de conectividad:
• ping: Comprobacion de conectividad a nivel 3 (IP) pormedio de datagrams IGMP (ping6 es la variante paraIPv6).
• traceroute: Descubrimiento de rutas seguidas por lospaquetes IP.
• dig: Para el diagnostico de la resolucion de nombres.• netstat: Permite analizar los sokets abiertos por los
procesos de un sistema. Ası se puede comprobar, por ej.,si un servidor esta caıdo.
• nmap o telnet: Inspeccion de puertos y serviciosdisponibles en una red.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 23/1
Conexiones remotasHerramientas historicas
• telnet
• rlogin (y rsh).
Presentan problemas de seguridad inherentes.
Secure Shell (ssh)
• ssh es el protocolo mas habitual para hacer login remoto.• La implementacion libra mas usada es OpenSSH.• Un programa ssh proporciona:
• Un demonio servidor para aceptar conexiones entrantes(sshd) y un cliente (ssh).
• Distintos metodos de encriptacion del canal seguro.• Autenticacion por medio de pares de clave publica/privada• Redireccion de puertos (incluyendo servidor grafico).• Otras utilidades: ssh-agent, ssh-add, ...
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 24/1
SSH sin contrasena (password-less)Creacion del par de claves publica-privada
• Se genera un par de claves con ssh-keygen.• Por defecto las claves son RSA y se almacenan como/.ssh/id rsa y /.ssh/id rsa.pub.
• La clave pulica de debe copiar al fichero/.ssh/authorized keys de la maquina remota.
Claves privadas protegidas con contrasena
• Para evitar tener que introducir repetidamente lacontrasena de una clave privada cifrada se usa ssh-agent.
• Se ejecuta ssh-agent y se ejecuta su salida en el shell:eval ‘ssh-agent‘.
• El mandato ssh-add descifra las claves privadas y se laspasa al agente para que las almacene en memoria.
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 25/1
Conexiones graficas remotas
Servidores X en remoto
• Existen diversas herramientas para facilitar login grafico auna maquina remota
• XDMCP es un protocolo que permite la encapsulacion delprotocolo de X windows a traves de red y tener un loginremoto de aspecto local.
• VNC es otro protocolo que permite enviar eventos deinterfaz de una maquina a otra. Tiene servidor y clientesespecıficos.
• Tambien es posible redirigir las peticiones de X a traves deuna conexion de ssh con ssh -X (X forwarding).
• Otras alternativas son NX de NoMachine, XPra, ...
jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 26/1
Resumen sobre la configuración de red de una máquina
(sin NetworkManager)
Administración de sistemas informáticos
Fernando Pérez Costoya – Noviembre de 2015
Noviembre de 2015 Fernando Pérez Costoya 2
Configuración estática “manual”● Configuración IP
● ifconfig (o ip) para fijar dirección IP y máscara– Incluye automáticamente la ruta en tabla de rutas
● route (o ip) para añadir salida a Internet (gateway)– Y rutas a otras sub-redes, si procede
● Configuración nombres● Nombre máquina en /etc/hostname● Conjunto mínimo de traducciones en /etc/hosts● /etc/resolv.conf: dominio y dir. servidores de nombres
– search nameserver
Noviembre de 2015 Fernando Pérez Costoya 3
Configuración estática “automática”● Solución Debian/Ubuntu
● Fichero /etc/network/interfacesiface eth0 inet static
address 138.100.9.35 ….................................– Incluye IP, máscara, broadcast, gateway (router), …
● E incluso dominio DNS y servidores de nombres– dns-search dns-nameservers
– auto interfaz: interfaz se activa en arranque● ifup/ifdown interfaz:
– Configura interfaz según definida en /etc/network/interfaces– ifup/ifdown -a: activa/desactiva todas las interfaces auto
Noviembre de 2015 Fernando Pérez Costoya 4
Configuración dinámica DHCP● Servidor DHCP: Fichero /etc/dhcp.conf
● Por cada sub-red servida:– Rango de IPs a asignar
● Puede asignarse IP fija a una determinada MAC (fixed-address)– Configuración estática pero basada en DHCP
– Máscara de red, broadcast, routers (gateways), dominio DNS, servidores de nombres,...
● Cliente DHCP:● Asignación “manual”: dhclient interfaz● Debian/Ubuntu: en fichero /etc/network/interfaces
– iface eth0 inet dhcp