Administracion UNIX:Redes en UNIX

Juan Hernando Vieitesjhernando@fi.upm.es

Octubre 2014

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 1/1

Resumen

1 Configuracion de redes y conexiones.2 Acceso remoto.3 Comparticion de recursos.

• Sistemas de ficheros remotos.• Autenticacion.

4 Otros servicios.5 Seguridad en maquinas conectadas en red.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 2/1

Conceptos basicos

Diseno de una redA la hora de disenar una red hay que considerar:

• Polıticas: uso, servicios, seguridad, confidencialidad,administracion.

• Equipos: numero y SSOO.• Topologıa: subredes y direcciones.• Protocolos: IPv4, IPv6 y otros protocolos de aplicacion.• Tecnologıas: red fısica, dispositivos de red, anchos de

banda.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 3/1

Configuracion de redes TCP/IP

Pasos de configuracion basicosEn redes cableadas

• Configurar la direccion IP de las interfaces.• Configurar la tabla de rutas.• Asignar un nombre de host (/etc/hostname) y servidores

de resolucion de nombres (DNS).• Establecer la configuracion para que se fije al arranque o

se solicite a un servidor de manera dinamica.En redes inalambricas, ademas:

• Parametros adicionales (nombre de red).• Sistema de autenticacion.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 4/1

Configuracion de red IPv4

Configuracion de la interfaz

• Se usa ifconfig (interface configurator, obsoleto) o ip

• Parametros tıpicos: nombre de interfaz, protocolo (inetpara IPv4), direccion, mascara de subred (paradirecciones Classless Inter-Domain Routing, CIDR)

• Ejemplos: ifconfig eth0 inet 138.100.9.35 netmask

138.100.15.255

ip addr add 138.100.9.35 dev eth0

• En algunas interfaces tambien se puede cambiar ladireccion de acceso al medio fısico (MAC en redesethernet).

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 5/1

Configuracion de red IPv4Encaminamiento de paquetesTras la interfaz, se configura el encaminamiento para aquellospaquetes que no estan destinados a la subred de la interfaz.Hay 3 tipos de paquetes:

• Paquetes internos (dentro de la maquina).• Paquetes hacia la subred (mismo medio fısico).• Paquetes hacia el exterior (Internet)

Tabla de rutasSe usa el mandato route para anadir y quitar entradas.Ejemplos:

• route add -host 127.0.0.1 lo

• route add -net 138.100.8.0 netmask 255.255.248.0 eth0

• route default gw 192.168.1.1 eth0

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 6/1

Configuracion de red IPv6

Direcciones IPv6

• Una direccion se divide en 64 bits de red y 64 de host, delos cuales 48 suelen hacer referencia a la MAC.

• Existen 3 classes de direcciones: unicast, multicast yanycast (no hay direcciones de broadcast).

Tipo de direccion Prefijo NotacionNo espeficado 00...0 (128 bits) ::/128Loopback 00...1 (128 bits) ::1/128Multicast 11111111 FFxy::/16Unicast nivel enlace 1111111010 FE80::/10Unicast nivel sitio (obsoleto) 1111111011 FEC0::/10Unicast global resto direcciones

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 7/1

Configuracion de red IPv6Configuracion de la interfaz

• Basicamente se configuran igual que en IPv4• Una diferencia es que una interfaz puede tener varias

direcciones IPv6 asociadas.• Con ifconfig:

• ifconfig interfaz inet6 add parametros• ifconfig interfaz inet6 del direccion• Puede ser necesario levantar la interfaz para poder anadir

la primera direccion.• Con ip:

• ip addr add,del direccion dev interfaz [...]

Encaminamiento

• Igual que IPv4, pero debe anadirse -inet6 o -A init6 almandato route

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 8/1

Resolucion de nombres (DNS)Resolucion de nombres

• Es el proceso que transforma un nombre simbolicowww.fi.upm.es en una direccion IP 138.100.243.10.

• Suele ir implementado en la librerıa de C del sistema.

Configuracion basica en un cliente

• Fichero de resolucion local /etc/hosts: Una coleccion delıneas <direccion IP> <nombre1> <nombre2> ....

• Fichero de resolucion remota /etc/resolv.conf:search fi.upm.es

nameserver 138.100.8.1

nameserver 138.100.8.23

• Fichero de configuracion global /etc/host.conf: Entreotras determina el orden de resolucion de nombres.

• Existe una pagina de manual para cada fichero.jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 9/1

Resolucion de nombres (DNS)

Configuracion dinamica y estatica

• Por lo normal la configuracion de resolv.conf es estatica,pero puede ser generada dinamicamente.

• Determinados gestores de configuracion(NetworkManager, VPNs) pueden sobreescribir sucontenido segun las interfaces activas y configuradas.

• Tambien existe un gestor de configuracion llamdoresolvconf, que arbitra los cambios dinamicos enresolv.conf. En este caso la configuracion estatica debeincluirse en /etc/resolvconf/resolv.conf.d/ o conreglas en /etc/network/interfaces:

dns-nameservers 138.100.8.1 138.100.8.23

dns-search fi.upm.es

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 10/1

Servidor de nombres DNS

Cuando un nombre de host no puede traducirse localmente esnecesario contactar un servidor de DNS para resolverlo

• Un servidor DNS es una maquina que entiende elprotocolo DNS y atiende peticiones de resolucion declientes locales u otros servidores DNS.

• Puede ser:• DNS modo cache: resuelve peticiones y almacena

resultados. Confıa en un DNS superior.• DNS autonomo: Mantiene su propia base de datos para

nombres predeterminados y trabaja en modo cache para elresto.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 11/1

Servidor de nombres DNS

• El servicio se implementa como un demonio de red queescucha en el puerto adecuado, por ejemplo named.

• El servidor mas usado en BIND (implementacion dereferencia del Internet Systems Consortium - ISC)

• Muchas distribuciones de Linux modernas incluyen unservidor llamado local dnsmasq. En este caso el contenidode /etc/resolv.conv es 127.0.0.1.Este servidor puede:

• Realizar traducciones a partir de entrads estaticas (ej./etc/hosts) or consultando a otros servidores,posiblemente seleccionados dinamicamente.

• Redirigir consultas basandose en los nombres de dominio.• Cache de nombres.• Servidor para configuracion dinamica.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 12/1

Configuracion IP dinamica

Aparte de la configuracion estatica las maquinas conectadas auna red pueden configurarse dinamicamente.

• La maquina cliente hace una peticion por broadcastindicando su direccion fısica (MAC).

• El servidor de configuracion responde concediendo unaconfiguracion de red.

Protocolos de descubrimiento y configuracion son:• DHCP: Protocolo cliente servidor que permite obtener a un

cliente: su direccion y mascara IP, la direccion delencaminador por defecto y la direcciones de los DNS. Uncliente habitual es dhclient. Un servidor de referencia esDHCP v3 o v4 (tambien del ISC).

• BOOTP: Protocolo obsoleto y reemplazado por DHCP.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 13/1

Configuracion IP dinamicaConfiguracion de servidor DHCPExisten varias alternativas para configurar un servidor DHCPen una maquina UNIX:

• La implementacion de referencia del ISC para DHCP v3• dnsmasq

Configuracion de DHCP en Debian

• Se instala con el paquete isc-dhcp-server

• El proceso demonio se llama y puede ser arrancado yparado con el script /etc/init.d/isc-dhcp-server.

• La configuracion reside en /etc/dhcp/dhcpd.conf y/etc/default/isc-dhcp-server.

• La pagina de manual contiene toda la informacion acercade la ejecucion y configuracion del servidor y el fichero deconfiguracion contiene numerosos ejemplos.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 14/1

NetworkManager

Objetivo

• Simplificar la configuracion de red, ya se cableada, Wifi,3G, o de otro tipo, principalmente en equipos de escritorio.

Architectura

• Nucleo formado por scripts de configuracion y un demonioque se registra a eventos de udev.

• Interfaz grafica independiente de la distribucion• Interfaz DBus para comunicarse con clientes.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 15/1

NetworkManagerAplicaciones y mandatos

• nm-tool muestra el estado de NetworkManager y lasconexiones.

• nmcli es la herramienta de control por lınea de mandatos.• nm-applet es el proceso cliente para las GUIs.

Configuracion

• La configuracion se encuentra en /etc/NetworkManager/.• Se puede deshabilitar anadiendo a NetworkManager.conf.

[ifupdown]

managed=false

Y mencionando las interfaces que no queremos quemaneje NM en /etc/network/interfaces (con auto ethx

es suficiente). Otra opcion temporal es parar el demonio.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 16/1

Inicializacion de interfaces de red

Una distribucion actual de Linux sigue una secuencia de esteestilo:

• Udev detecta la des/conexion fısica del dispositivo ygenera un evento.

• El evento da lugar a la ejecucion de reglas en/etc/udev/rules.d y puede ser capturado porNetworkManager.

• Para conexiones cableadas en ultima instania se ejecutaifup (conexion) o ifdown (desconexion).

• ifup lee la configuracion de /etc/network/interfaces

(consultar interfaces(5)).• Ejemplos:

iface lo inet loopback

auto eth0

iface eth0 inet dhcp

iface eth0 inet static

address 138.100.9.23

netmask 255.255.0.0

gateway 138.100.8.1

up <some-command>

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 17/1

Redes inalambricasInterfaces inalambricas

• iwconfig es el equivalente a ifconfig para interfacesinalambricas 802.11.

• Otras utilidades permiten permitir informacion adicional delas redes inalambricas circundantes (iwlist, iwspy).

Autenticacion

• La autenticacion basada en WEP se hace con unparametro en iwconfig u opciones de configuracion en/etc/network/interfaces.

• Para autenticacion basada en WAP hace falta instalar unsupplicant, una implementacion libre de WPA Supplicantdel estandar 802.11 es wpa supplicant. Las opciones deconfiguracion en interfaces llevan el prefijo wpa-.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 18/1

Configuracion IP avanzadaConfiguracion como router

• Un router posee al menos dos interfaces de red paraencaminar trafico entre dos o mas redes.

• Un router intercambia informacion de encaminamiento conotros routers y emite mensajes de control de red ICMP.

• Reenvıa los paquetes IP que recibe y de los que no esdestinatario.

Configuracion de tablas de rutas

• Estatica con route.• Dinamica por medio de protocolos como RIP u OSPF

(demonios routed (obsoleto), gated (muerto), Quagga).• No es recomendable utilizar sistemas UNIX completos

como router.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 19/1

Configuracion IP avanzada

La pila IP del nuclero permite:• IP Masquerading:

• Una sola direccion IP para varias maquinas• Vale para que varios equipos de una red compartan una

unica IP de salida.

• Auditorıa: Estadısticas y analisis de paquetes.• Alias:

• Varias direcciones IP en la misma tarjeta.• Si se quiere discrimar entre varios servicios.

• Redireccion de paquetes• Para hacer encaminamiento.• Se activa haciendo sysctl -w net.ipv4.ip forward=1 o

asignando 1 al campo net.ipv4.ip forward de/etc/sysctl.conf y recargando (sysctl -p

/etc/sysctl.conf)

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 20/1

Configuracion IP avanzadaIP tables

• En Linux, muchas reglas de redireccion y filtrado seaplican usando la herramienta iptables.

• iptables actua sobre las tablas de reglas de filtrado depaquetes del protocolo IP a nivel de nucleo.

Ejemplo:NAT y encaminamiento en un nodo con dos interfaces, unaethx conectada a Internet u otra ethy a una LAN, para permitira la LAN acceso a Internet.

# Regla para los paquetes de salida

# iptables --table nat --append POSTROUTING \

--out-interface ethx -j MASQUERADE

# Regla para los paquetes de entrada

# iptables --append FORWARD --in-interface ethy -j ACCEPT

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 21/1

Configuracion IP avanzada

Virtual Private Networks (VPNs)

• Una VPN es una extension virtual de una red privada atraves de redes no confiables.

• Las maquinas externas a la red se conectan por medio detuneles IP establecidos con un servidor accesible.

• Tiene aplicaciones como:• Permitir el acceso a maquinas externas a redes con acceso

restringido.• Usar una direccion publica en Internet diferente.• Cifrar todo el trafico entre una maquina conectada a una

red publica y una red privada.

• Algunas opciones para configurar VPNs son: PPTP,OpenVPN

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 22/1

Diagnostico y solucion de problemas

Existen varios madatos que pueden ayudar en la resolucion deproblemas de conectividad:

• ping: Comprobacion de conectividad a nivel 3 (IP) pormedio de datagrams IGMP (ping6 es la variante paraIPv6).

• traceroute: Descubrimiento de rutas seguidas por lospaquetes IP.

• dig: Para el diagnostico de la resolucion de nombres.• netstat: Permite analizar los sokets abiertos por los

procesos de un sistema. Ası se puede comprobar, por ej.,si un servidor esta caıdo.

• nmap o telnet: Inspeccion de puertos y serviciosdisponibles en una red.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 23/1

Conexiones remotasHerramientas historicas

• telnet

• rlogin (y rsh).

Presentan problemas de seguridad inherentes.

Secure Shell (ssh)

• ssh es el protocolo mas habitual para hacer login remoto.• La implementacion libra mas usada es OpenSSH.• Un programa ssh proporciona:

• Un demonio servidor para aceptar conexiones entrantes(sshd) y un cliente (ssh).

• Distintos metodos de encriptacion del canal seguro.• Autenticacion por medio de pares de clave publica/privada• Redireccion de puertos (incluyendo servidor grafico).• Otras utilidades: ssh-agent, ssh-add, ...

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 24/1

SSH sin contrasena (password-less)Creacion del par de claves publica-privada

• Se genera un par de claves con ssh-keygen.• Por defecto las claves son RSA y se almacenan como/.ssh/id rsa y /.ssh/id rsa.pub.

• La clave pulica de debe copiar al fichero/.ssh/authorized keys de la maquina remota.

Claves privadas protegidas con contrasena

• Para evitar tener que introducir repetidamente lacontrasena de una clave privada cifrada se usa ssh-agent.

• Se ejecuta ssh-agent y se ejecuta su salida en el shell:eval ‘ssh-agent‘.

• El mandato ssh-add descifra las claves privadas y se laspasa al agente para que las almacene en memoria.

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 25/1

Conexiones graficas remotas

Servidores X en remoto

• Existen diversas herramientas para facilitar login grafico auna maquina remota

• XDMCP es un protocolo que permite la encapsulacion delprotocolo de X windows a traves de red y tener un loginremoto de aspecto local.

• VNC es otro protocolo que permite enviar eventos deinterfaz de una maquina a otra. Tiene servidor y clientesespecıficos.

• Tambien es posible redirigir las peticiones de X a traves deuna conexion de ssh con ssh -X (X forwarding).

• Otras alternativas son NX de NoMachine, XPra, ...

jhernando@fi.upm.es Administracion UNIX: Redes en UNIX 26/1