Gura » 2005

Lista de acceso en routers Cisco

Hoy es lo que hemos hecho de tarde, listas de acceso en Cisco 2600. En resumidas cuentas, un cortafuegos.
Tenemos las listas de acceso standarrd que solo permiten especificar la red/IP de origen. Tenemos por otro lado las ACL extendidas, que además de permitir añadir comentarios, permiten seleciconar origen, destino, protocolo, puerto… etc. La verdad que los señores de Cisco Systems se complican demasiado la vida en el IOS, con lo facil que es IPTables…
En fin, ahora toca seguridad en redes, segimos con criptografiía y tal, en el descando voy a jugar una partida al counter.

Agur

Escrito por Gura 31.May.05 Clases o cursos, INEM, Redes Leer más Comentarios (1)

Ya están ahí los exámenes

EL día 1 de Junio un examen de Hardware (Práctica), el día 3 el de RET y de ahí en adelante, hasta el 10 tengo el de Sistemas, Redes, Hardware teórico y Office. Suerte que ya terminamos

Quedan 51 días….

Agur

Escrito por Gura 29.May.05 Clases o cursos Leer más Comentarios (2)

NAT, DMZ, servidores y la red privada de una empresa

Buenas de nuevo. Hoy de tarde fue brutal, nunca trabajé tanto, en serio. Bermejo nos mando un ejercicio bastante peculiar, os explico:

Imaginad que tenemos una empresa con conexión a internet. Ésta pasa por un router que a la vez hace funciones de cortafuegos, por lo tanto este cortafuegos, de ahora en adelante “Router externo”, tiene una IP pública y una privada que es 172.16.0.254. En esta red 172.16.0.0/16 y sin haber subredes, es la zona desmilitarizada (DMZ) donde se encuentra un servidor Web con acceso SSH (172.16.0.1), un servidor DNS (172.16.0.2) y una máquina con “Escritorio remoto de Windows 2003″ (172.16.0.3). Después de esta zona DMZ, hay aún otra red, la de los ordenadores de la empresa en sí, montaba en 10.0.0.0/24. Los equipos son 10.0.0.1, 10.0.0.2 y 10.0.0.3.
Estos clientes tienes que poder navegar, recibir correo y demás, y a la vez estar protegidos de internet.
Por otra parte, los clientes 1 y 3 pueden acceder al servidor DNS, escritorio remoto y a la Web del servidor, pero no a SSH. El otro equipo, el equipo 2, con IP 10.0.0.2/24, tendría prohibido el acceso a escritorio remoto. SSH como es un servicio privilegiado, solo una IP debería poder acceder a él y es la IP 192.168.16.114 (Si, es privada, pero luego el explico).

Como veis es algo lioso, hoy hemos terminado casi lo que comprende la zona privada (DMZ y Clientes). Nos falta pasarle unos filtros en Windows 2003, con políticas por defecto DROP (perdón, denegar xD) y permitir solo lo que queremos.

El router externo tendrá que hacer prerouting con el puerto 22 y permitir navegar y demás. El prerouting se usaría para que un ssh -p 22 usuaario@IPPublica, le llebase hasta el servidor interno de la red donde el servidor SSH está corriendo.

El tema de por qué el Cliente externo que ha de estar solamente autorizado a conectar a SSH , tenga una IP 192.168.16.114 es la siguiente. El esquema en clase está así:

Internet –> 212.x.x.x || EISO (Enrrutador de la academia) || 192.168.x.x (En nuestor caso, aula 16, sería 192.168.16.1) –> 192.168.16.254 || Router externo || 172.16.0.254 –> DMZ en 172.16.0.0/16 –> 172.168.0.253 || Router Interno || 10.0.0.253 –> Clientes en 10.0.0.0/24

Bien, así, desde 192.168.16.114 se tendrá que pasar por el Router externo para acceder a la DMZ.

Muy útil y entretenido, solo le falta uan cosa, hacerlo bajo la SuSE Enterprise y sí, lo haremos

Agur

Escrito por Gura 27.May.05 Clases o cursos, INEM, Microsoft, Redes Leer más Comentarios (0)

Me sale Windows 2003 por las orejas

Arf, estioy asqueado, ayer después de haber comido en “El descanso” e ir para clase, nos tocó clase con Bermejo. Como es de costumbre aún, estumimos dando NAT en Windows 2003. Vamos resumiendo, haciendo de pasarela de conexiones y haciendo de router, la primera se basaba en un equipo 10.0.0.2 pidiese a 192.168.16.169 (SuSE Enterprise 9) una web teniendo como puerta de enlace 10.0.0.1 (El router Windows 2003).
El otro método era poner tanto el servidor como el cliente en clase C (pero diferentes redes) y como gateway a 10.0.0.1 (el 2003). Luego el cliente (192.168.9.112) accedería a 192.168.9.216 (La interface 2 del router) y éste le redirigiese la petición al puerto 80 a 192.168.16.169 (El servidor web), vamos, como un router propiamente dicho hace.
En IPTAbles si no me equivoco elprimer caso sería POSTROUTING y el segundo PREROUTING.

Luego estuvimos con Angel, enrrutando los marávillosos Cisco 2600. Una estaba en Asturias, otro Cantabria, Galicia y León y teniamos que usar RIP v.2 para el encaminamiento entre ellos. El tema del enrrutamiento ya está terminado, empezaremos con algo nuevo pero no recuerdo lo que dijo, os informaré.

Hoy tenemos 6 horas con Bermejo, dijo que nos dejaría salir antes, a ver a que hora nos suelta y que coño haremos… sobre las 6 y media os escribiré algo.

Agur

Escrito por Gura 27.May.05 Clases o cursos, INEM, Microsoft, Redes Leer más Comentarios (0)

Una tarde muy gocha

Buenas. No se si a causa del calor o de la falta de sexo, pero es impresionante las patochadas que se pueden decir (Versión literal)
Misa a Dani: ¿Eso que ye el jalf life? –> Como suena
Dani a Misa: No, es el Cunter estrike –> Idem

Bueno, al grano, son las 4 de la trade y he instalado en el ordenador de al lao una flamante SuSE Linux Enterprise Server 9, que me ha decepcionado en 1 cosa: Las actualizaciones de YOU son mediante suscripción. En la Pro no hace falta suscripción. Bueno, una pena, de todos modos a ver si me descargo un kernel nuevo y se lo compilo.

Hastaaa luego.

Escrito por Gura 25.May.05 Clases o cursos, GNU/Linux, INEM Leer más Comentarios (1)

Stunnel en Windows y sus archivos de configuración

Ayer en clase estuvimos haciendo un túnel SSL, para usar telnet cifrado añadiéndole así seguridad, no solo para telnet sino para cualquier otro servicio que queramos.

Telnet:
net start/stop tlntsvr –> Activa o desactiva el server

TelnetClients –> Se ha de crear un grupo co el mismo nombre y dentro introducir los usuarios que queramos que inicien sesión.

tlntadmn config sec -NTLM –> Desactivar NTLM, que es el uso de usuario del cliente automaticamente.
tlntadmn start/stop –> Otro metodo de activar/desactivar el servidor

Stunnel: Con esta utilidad disponible para Windows y para GNU/Linux podremos hacer un túnel SSL cifrado.

Del equipo A al equipo B conectaremos mediante el puerto 23 al 1100 del servidor con stunnel, por ejemplo, y en el servidor (B) se redirigirá al 23.

En el Cliente:

stunnel -c -d 100 -r B:23
-c –> cliente
-d puerto –> Escuchar en el puerto 23
-r –> Para que conecte remotamente al equipo B:puerto donde estará otrro servidor escuchando.

En el servidor ejecutamos:
stunnel -p /ruta/hasta/el/certificado/stunnelo.pem -d 1100 -r 23
Al hacer telnet a localhost conectaremos al servidor remoto.

Bajamos stunnel y lo ejecutamos, vemos que da un error porque falta un archivo de configuracion, lo creamos:

Cliente: stunnel.conf
client=yes [telnet] accept=23 connect=servidor_remoto:6060

Servidor: stunnel.conf
client=no cert=stunnel.pem [telnet] accept=6060 connect=23
Si no tenemos el “stunnel.pem” lo descargaremos de La web de Stunnel, aunque lo más recomendable sería hacernos un propio certificado para que no nos secuestren las sesiones. Para crearlo:

# openssl req -x509 -nodes -newkey rsa:4096 -days 365 -keyout stunnel.pem -out stunnel.pem

Proximamente haremos un túnel SSL UDP, pues el anterior era sólo TCP y no servía para jugar a juegos on-line. Y claro, como bien dice Javi:

Así nadie sabrá la configuración de alerones, de neumáticos ni nada y ganaréis siempre.

Escrito por Gura 25.May.05 Clases o cursos, INEM, Microsoft, Redes Leer más Comentarios (0)

Por fin he vuelto

Buenas :D. Siento haber tardado tanto en publicar pero estuve muy liado en clase y cuando llegaba a casa. Bueno, que contaros… mucho. En clase way, el día 3 empezamos los exámenes, el 10 vacaciones y luego solo tengo clase por las mañanas del curso del INEM. En el curso he instalado SuSE Linux Enterprise Server 9, un cañón. Ahora tendré esa máquina para postear y el mio con W2k3 para las prácticas de bermejo.
Al servidor le he añadido 32 MB más de RAM, toda a 133 MHz. Ahora tiene 224 MB. Le he configurado las ACL (Access Control List, o listas de control de acceso, como querais llamarlo) de modo que el método de permisos UNIX (UGO - User Group Other) no se me queda pequeño cuando disponemos de varios usuarios con directorios compartidos a diferentes usuarios, éstos últimos con diferentes permisos sobre él. He metido un kernel 2.6.11.9 con el parche Grsecurity, he de profundizar en él, tiempo al tiempo. También he redimensionado los discos y hecho una partición de 1 GB para /var/log.

Ya por otra parte me he hecho un router, si, como leeis xD. Hace unos meses Diego, u chaval de mi clase me dio un P75 de la oficina del padre, con 16 MB de RAM y 850 MB de HD. El otro día decidí ponerle una distribución específica para hacer routers, llamada IPCop. Va perfecto, soporta variedad de modems adsl USB. Lo monté de la siguiente manera:

En el P75 instalé IPCop y luego configuré la red GREEN (la que va a la red local). Luego la red RED, que es la que sale a internet por el modem adsl. Como no quería comprar aún el switch le pedí a Javi, mi profesor de redes un cable cruzado, conecté entonces mi equipo al P75. funcionaba.
Luego, vistos los resultados hice copia de seguridad de la configuración del router USRobotics y lo borré, de modo que conecte mediante cable directo la targeta 10 mbps del P75 a la boca 10/100 del switch y luego también con cable directo, del switch a los equipos. Ahora va perfecto. Es estáble, no peta, lo único malo es que Telefónica sigue cambiando la IP a menudo. Esta distro tiene acceso web SSL, ssh y demás, tambien incluye snort, squid, dhcp, dns… todo esto si lo quieres activar, una pasada.

Queda cada vez menos para la Euskal, aqúi estamos esperándola con ganas. Maiky sigue con su caja que está quedándole divina, ya os subiré unas fotos de ella en proceso.

Agur

Escrito por Gura 22.May.05 Clases o cursos, Euskal Encounter, Hardware, INEM, Parties, Servidor, Software Leer más Comentarios (0)

Configurando redes con el simulador

Bueno, este blog como comprobaréis va un día atrasado, pues no dispongo de tiempo para escribirlo al día.

Pues bien, ayer estuvo interesante. La jornada de tarde empezó con Cisco, con el emulador hicimos 3 redes, 2 de ellas (192.168.1.0 y 192.168.2.0) a un switch y el switch a la boca F0/0 del router A. otros 2 equipos a otro switch y luego este último a la boca F071 del router A. Por otra parte, una red 192.168.3.0 que tiene 2 equipos, conectados a un switch y a la vez conectado a la boca F0/0 del router B. Luego, router A y B conectados entre si por un cable de serie del puerto S0/0 del Router A al S0/1 del router B, configurado el Router A como DCE. Una vez hicimos esto y publicando el enrrutamiento las redes se veían :).
Y os preguntareis, ¿Cómo se configura mas o menos un router Cisco 2500?
Pues bien, hasta el momento solo hemos visto configuraciones básicas de la red y enrrutamiento mediante RIP.
Comenzamos a configurar la interface eth0 con una IP 192.168.1.1 y máscara de subred 255.255.255.0

# enable –> Entramos a modo privilegiado
# config ter –> Entramos a la configuración
# interface F0/0 –> Configuramos la FastEthernet 0
# ip address 192.168.1.1 255.255.255.0 –> Configuramos IP y máscara
# no shutdown –> Levantamos la interface (La activamos)

Ahora vamos a salir a modo privilegiado con CTRL+Z

Vamos a revisar la configuración y luego gaurdarla

# show running-config –> Esto nos dará una salida con “more” :D:D y veremos la config.
# copy running-config startup-config –> Guardará la configuración actual y la guardará en la memoria del router

No voy a extenderme más con la configuración de los puertos de serie para interconectar redes pues es lo mismo que para las F0/0, pero con S0/0 y S0/1. Otra diferencia es que el equipo que hace de DCE, el router A en nuestro caso, ha de configurar la velocidad del puerto de serie con:

# clock rate 56000 –> Para configurar por ejemplo la velocidad a 56000 bps

Para publicar mediante RIP y asi poder hacer enrrutamiento entre 2 routers, una vez hecho “config ter”, ejecutaremos:

# network 192.168.3.0 –> La red que queremos publicar, eso lo haremos en el router B, en el A publicaremos la 192.168.1.0 y 192.168.2.0

Revisamos la config con “show run” o “show running-config” (Sin abreviar)

Para ver la tabra d eenrrutamiento usaremos:

# show ip route

Al principio es algo lioso porque son comandos que nunca hemos visto, peor después de hacer un par de ejercicios con el emulador está mamado, al menos de momento.

Hoy por la mañana, si, hoy, 11 de Mayo, tuvimos 2 horas de redes por la mañana. Estuvimos viendo como dar acceso a X equipos a partir de uno, ternicas como proxy, NAT y NAPT.
NAT que es Network Address Translation y NAPT que es Network Address Port Translation. La diferencia entre ambas es que la segunda enmascara además el puerto, de ese modo si 2 equipos piden a la vez lo mismo, al mismo servidor y por el mismo puerto, se arma la picha un lio xD. Con NAPT no pasa, pues todas las peticiones son convertidas, tanto en IP como el puerto desde donde se pide, de modo que nunca coincidan y haya conflictos. Si al intentar conectar, despues de un tiempo no se consigue, el servidor que natea la conexión elimina la entrada de la tabla NAT para dejarla libre y así poder usar de nuevo ese puerto.

Algo rollo pero útil y conciso, quizá haya algún fallo pero para eso están los comentarios

Ahora me toca con Bermejo, Seguridad en sistemas y luego Seguridad en Redes con Javi.

Agur

Escrito por Gura 11.May.05 Clases o cursos, INEM Leer más Comentarios (4)

Primer contacto con IOS

Bueno, después del tiempo de espera hemos tocado algo IOS (Internet Operative System) o algo así. No, aún toqué los Cisco 2600 que están encarados, usamos un emulador el cual no recuerdo el nombre. La sintaxis de configuración es complicada de cojones, más de lo que pensaba, pero con gana se aprenderá rápido. El simulador permite routers 2600, switches 2900 (creo recordad) y equipos normales. Los routers tienes 2 ethernet, EthernetFast 0/0 y 0/1, los equipos son una simulación de máquinas Windows, en consola de MS-DOS, solo tienen un insignificante “ping” para comprobar la red,que entre una red y otra se ven… etc. Los switches aún no los hemos configurado. En realidad creo que tiene u interfaz gráfica muy bonita y fácil, peor no es tan potente como la línea de comandos. Se me olvidaba decir que una hora antes con javi en “Seguridad de redes” estuvimos viendo los proxys CGI, HTTP y socks, donde los más efectivo (y a la vez incómodos) son los CGI, siguiendoles los HTTP y como último los socks. Las clases empiezan a prometer, ya se ha terminado el instalar equipos. Hoy me ha molado la clase de Cisco, antes de empezar con el emulador dimos las VLSM, Variable Lenth Subnet Mask, que en redes del módulo no lo había dado. Consiste en hacer máscaras de subred de longitud variable, para así controlar el número de bits que se reservan para identificador de host y para identificador de subred, obteniendo así, redes a medida, y si necesitamos un una subred 60 equipos y en otra 10 solamente, en la subred de 10 equipos no desaprovechar 52 IP’’s aproximadamente. Además del mejor aprovechamiento de la red, mejorará el tráfico, sobretodo en redes con mucho broadcast como pueden ser redes Windows con NetBios.

Bueno, piro a sobar que ya hay sueño.

PD: Ya dispongo de un módulo de 32 MB e SDRAM para el servidor (Gracias Javi), cuando actualice el kernel y reinicie posiblemente se lo ponga, no hasta entonces.

Agur

Escrito por Gura 09.May.05 Clases o cursos, INEM Leer más Comentarios (0)

Esto ya se empieza a poner interesante

Buenas de nuevo

El Viernes pasado tuvimos todo el día con Bermejo y el Windows 2003. Comenzamos a usar sniffers de red como Ethereal o el Monitor de red de Windows 2003, después de analizar las tramas capturadas comanzamos a configurar un red un tanto peculiar. Hariamos grupos de 2 o 3 personas, uno haría de servidor, en este caso yo, y otro haría de cliente, es este caso David. Hariamos 7 subredes en clase, desde 10.0.1.x a 10.0.7.x, donde x sería 1 en caso del servidor y 2 o 3 en caso de ser un cliente. Mediante el servicio de enrrutado (NAT) del Windows 2003 conectamos todos en una red.

Agur

Escrito por Gura 09.May.05 Clases o cursos, INEM Leer más Comentarios (0)

Todo el contenido de este blog se ha publicado bajo una Licencia Creative Commons.

Gura
- Inicio
- Buscar
Las opiniones son personales o ni siquiera son opiniones.
La información se proporciona como está sin garantías de ninguna clase, y no otorga ningún derecho.
Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.
Información
- Acerca del autor
- Acerca del servidor
Categorías
- Clases o cursos (48)
  - AcaLug (9)
  - INEM (14)
  - Seresco (11)
- Hardware (18)
- lost+found (113)
- Parties (10)
  - Euskal Encounter (10)
- Protesta (2)
- Redes (22)
- Servidor (21)
- Sistemas (136)
  - *BSD (28)
    - FreeBSD (9)
    - NetBSD (4)
    - OpenBSD (18)
  - GNU/Linux (72)
    - Debian (10)
    - Gentoo (25)
    - Otras distros (3)
    - SuSE (3)
  - Mac OS (3)
  - Microsoft (40)
  - Unix (6)
    - Plan9 (2)
    - Solaris (3)
- Software (32)
Blogroll
Archivo
- April 2008 (4)
- March 2008 (4)
- February 2008 (6)
- January 2008 (4)
- December 2007 (4)
- November 2007 (8)
- October 2007 (10)
- September 2007 (2)
- August 2007 (4)
- July 2007 (4)
- June 2007 (10)
- May 2007 (11)
- April 2007 (4)
- March 2007 (4)
- February 2007 (5)
- January 2007 (6)
- December 2006 (4)
- November 2006 (4)
- October 2006 (5)
- September 2006 (5)
- August 2006 (5)
- July 2006 (13)
- June 2006 (12)
- May 2006 (13)
- April 2006 (9)
- March 2006 (15)
- February 2006 (18)
- January 2006 (13)
- December 2005 (12)
- November 2005 (11)
- October 2005 (9)
- September 2005 (10)
- July 2005 (4)
- June 2005 (11)
- May 2005 (12)
- April 2005 (3)
Publicidad
- Vuelos Baratos
- Text Link Ads
Gura | RSS Feed

Información

Categorías

Blogroll

Archivo

Publicidad