Archivos para la Categoría 'INEM'

Proxy caché con ISA Server 2004 y DHCP

Publicado 28 Junio 2005 Clases o cursos , INEM , Microsoft , Redes 67 Comments

Como deje a medio comentar el otro día, habíamos configurado el cliente y el servidor DNS de modo que, con un alias llamado “WPAD” apuntando a la máquina con ISA Server el cliente en modo “Detección automática de proxy” se autoconfigurase. Pero claro, vemos más cómodo configurarlo por DHCP, pues configuramos el servidor DHCP de Windows de modo que dé IP’s desde 10.10.0.115 a 10.10.0.120 por ejemplo. En la opciones de la “zona” (no me acuerdo de como se llamaba exactamente, y lo tengo en la punta de la lengua), delegación creo recordar, asignamos la opción “router”, “dns” y creamos una nueva llamada “WPAD” que luego explicaré.
En la opción router pondremos el la IP privada del ISA Server, en nuestro caso es 10.10.0.215, en servidores DNS pondremos los de la academia, que son 192.168.0.2 y 192.168.0.1. la nueva “pción” que añadiremos se llamará WPAD, cuyo identificador sera 252, del tipo “cadena” y cuya cadena será:
http://10.10.0.215/wpad.dat

Lo que hace es, que el cliente al pedir por difusión al servidor DHCP (cualquiera) IP, este le asignará una IP, una gateway, unos DNS y un “alias” WPAD, de modo que el explorador sepa por que puerto conectarse al proxy del ISA Server.

A ver que hornada nueva os traigo el próximo día, agur.

Primeros pasos con ISA Server 2004

Publicado 24 Junio 2005 Clases o cursos , GNU/Linux , INEM , Microsoft 106 Comments

Muy buenas, hace unos días que no posteo, pero ahora tengo material nuevo :)

Microsoft ISA Server 2004, que ISA Server viene a significar Internet Security and Aceleration Server. Bueno, lo primero al instalarlo, que hicimos una gochada, os comento.
Bien, redes privadas de clase A, B y C el ISA Server la determina como privadas, evidentemente, pero… ¿Qué hacemos cuando la supuesta IP Pública es una IP Privada como 192.168.16.117? Facil, fuimos en su intuitiva interfaz gráfica y modificamos la tabla LAT, Local Address Table, donde quitamos todos los rangos de IP’s y introducimos solo un rango desde 10.10.0.0 a 10.10.255.255. Para tener un cliente “desde fuera” usamos VMware y un XP con la red en modo host only, e modo que nos quedó así:
IP Pública del ISA: 192.168.16.117
IP privada del ISA: 10.10.0.215
IP del XP: 10.10.0.115

Por defecto, y algo que me gustó mucho, es que la regla por defecto es denegar todo, eso deja aislado todo el tráfico, pues si necesitamos navegar desde el server, tenemos que crear una regla para que desde el host local se pueda acceder a la red externa mediante protocolo HTTP.
Con la instalación inicial ISA Server usa el modo SecureNAT, es decir, un NAT normal y corriente, y tiene otros 2 modos, el modo firewall y otro que no recuerdo. El modo firewall aún no hemos llegado a él, peor os puedo adelantar que hay que instalar en el cliente un cliente firewal, lo que hace que solo sirva para maquinas Windows. Este metodo tiene sus ventajas y sus desventajas.
Ventajas: La seguridad que ofrece al controlar mediante usuarios, contenidos… etc
Desventajas: Solo equipos con Windows.

Más cosas que me gustan del ISA Server es que, como comente antes, puede hacer reglas diferentes para diferentes usuarios, o permitir una regla a unos y a otros denegarla. Imaginad esta ventaja unido a un servidor paralelo que hace de controlador de dominio (Active Directory). Tendríamos una red de 50 equipos cliente, con un ISA Server que haría de salida a internet y un controlador de dominio en la red. Los clientes inician sesión en el controlador de dominio remotamente (O Localmente modificando la directiva de seguridad, aunque no me parece seguro) y con el cliente firewall podrían conseguir que el ISA trabajase contra el, autentificando usuarios y todo.

Además de seguridad, aporta el sistema caché, que escucha en el puerto 8080, así que en navegador tendríamos que configurarlo a mano. Otro método manual de asignar el proxy sería, peor que aún no he probado, modificando la directiva de seguridad del Controlador de Dominio, donde los clientes inician sesión. Los metodos automáticos que hemos visto, hay 2, fue el método mediante DNS, de modo que el servidor DNS tenga un ALIAS de nombre WPAD que apunte a la maquina ISA Server. Ahora en el cliente, pensado para Internet Explorer, marcamos la casilla “Explorar proxy automáticamnete” (O similar, no recuerdo). Esto, junto que tenemos como DNS primario al controlador de dominio, hará la consulta por DNS y sabrá a donde ir. Pero para que realmente funcione hay que descubrir el puerto 80 del ISA Server para que funcione como proxy transparente en la red 10.10.0.0. Según la documentación de Microsoft, no es recomendable tener ISA Server instalado… anda que… con cambiarlo de puerto sirve. El otro método es mediante DHCP que ya os comentaré.

Bueno, me gusta, ahora pensando algo parecido pero con alternativas libres… sería factiblñe IPTables con flash para controlar acceso de uid y gid, un servidor NIS y el fabuloso Squid? Espero vuestros comentarios.

Saludos

DNS y Servidor de correo en 2003

Publicado 15 Junio 2005 Clases o cursos , INEM , Microsoft , OpenBSD , Sistemas Comment

No se si alguna vez lo habeis hecho, pero da puto asco. Somos 14 maquinas en el aula, de las cuales la 192.168.16.109 y 192.168.16.106 eran serviodres DNS maestros. Los demás haciamos de servidores esclavos. Todos teniamos servidor POP3 y SMTP, y con un magnifico cliente de correo como Outlook Express. Un avez todo montado, todos podiamos enviarnos correos menos uno, yo, que podía enviar peor no recibir. Después de probear 50 veces, configurarlo como los demás, etc etc seguía sin tirar. Parece ser que “esto” nada más que le soplas, casca. Vamos, que donde este Postfix y Bind9…

Tengo descanso, me he desahogado, ahora voy a leer más a fondo en barrapunto la noticia de la pasarela de correo basada en OpenBSD, que me gustaría porbarla peor me da que exige mucho.

Ah, si teneis equipos viejo de los que os quereis desacer, mandadme un correo a gura_caleya en elgura.com y hablamos.

Agur

Lista de acceso en routers Cisco

Publicado 31 Mayo 2005 Clases o cursos , INEM , Redes Comments

Hoy es lo que hemos hecho de tarde, listas de acceso en Cisco 2600. En resumidas cuentas, un cortafuegos.
Tenemos las listas de acceso standarrd que solo permiten especificar la red/IP de origen. Tenemos por otro lado las ACL extendidas, que además de permitir añadir comentarios, permiten seleciconar origen, destino, protocolo, puerto… etc. La verdad que los señores de Cisco Systems se complican demasiado la vida en el IOS, con lo facil que es IPTables…
En fin, ahora toca seguridad en redes, segimos con criptografiía y tal, en el descando voy a jugar una partida al counter.

Agur

NAT, DMZ, servidores y la red privada de una empresa

Publicado 27 Mayo 2005 Clases o cursos , INEM , Microsoft , Redes Cerrado

Buenas de nuevo. Hoy de tarde fue brutal, nunca trabajé tanto, en serio. Bermejo nos mando un ejercicio bastante peculiar, os explico:

Imaginad que tenemos una empresa con conexión a internet. Ésta pasa por un router que a la vez hace funciones de cortafuegos, por lo tanto este cortafuegos, de ahora en adelante “Router externo”, tiene una IP pública y una privada que es 172.16.0.254. En esta red 172.16.0.0/16 y sin haber subredes, es la zona desmilitarizada (DMZ) donde se encuentra un servidor Web con acceso SSH (172.16.0.1), un servidor DNS (172.16.0.2) y una máquina con “Escritorio remoto de Windows 2003″ (172.16.0.3). Después de esta zona DMZ, hay aún otra red, la de los ordenadores de la empresa en sí, montaba en 10.0.0.0/24. Los equipos son 10.0.0.1, 10.0.0.2 y 10.0.0.3.
Estos clientes tienes que poder navegar, recibir correo y demás, y a la vez estar protegidos de internet.
Por otra parte, los clientes 1 y 3 pueden acceder al servidor DNS, escritorio remoto y a la Web del servidor, pero no a SSH. El otro equipo, el equipo 2, con IP 10.0.0.2/24, tendría prohibido el acceso a escritorio remoto. SSH como es un servicio privilegiado, solo una IP debería poder acceder a él y es la IP 192.168.16.114 (Si, es privada, pero luego el explico).

Como veis es algo lioso, hoy hemos terminado casi lo que comprende la zona privada (DMZ y Clientes). Nos falta pasarle unos filtros en Windows 2003, con políticas por defecto DROP (perdón, denegar xD) y permitir solo lo que queremos.

El router externo tendrá que hacer prerouting con el puerto 22 y permitir navegar y demás. El prerouting se usaría para que un ssh -p 22 usuaario@IPPublica, le llebase hasta el servidor interno de la red donde el servidor SSH está corriendo.

El tema de por qué el Cliente externo que ha de estar solamente autorizado a conectar a SSH , tenga una IP 192.168.16.114 es la siguiente. El esquema en clase está así:

Internet –> 212.x.x.x || EISO (Enrrutador de la academia) || 192.168.x.x (En nuestor caso, aula 16, sería 192.168.16.1) –> 192.168.16.254 || Router externo || 172.16.0.254 –> DMZ en 172.16.0.0/16 –> 172.168.0.253 || Router Interno || 10.0.0.253 –> Clientes en 10.0.0.0/24

Bien, así, desde 192.168.16.114 se tendrá que pasar por el Router externo para acceder a la DMZ.

Muy útil y entretenido, solo le falta uan cosa, hacerlo bajo la SuSE Enterprise y sí, lo haremos :D

Agur

Me sale Windows 2003 por las orejas

Publicado 27 Mayo 2005 Clases o cursos , INEM , Microsoft , Redes Cerrado

Arf, estioy asqueado, ayer después de haber comido en “El descanso” e ir para clase, nos tocó clase con Bermejo. Como es de costumbre aún, estumimos dando NAT en Windows 2003. Vamos resumiendo, haciendo de pasarela de conexiones y haciendo de router, la primera se basaba en un equipo 10.0.0.2 pidiese a 192.168.16.169 (SuSE Enterprise 9) una web teniendo como puerta de enlace 10.0.0.1 (El router Windows 2003).
El otro método era poner tanto el servidor como el cliente en clase C (pero diferentes redes) y como gateway a 10.0.0.1 (el 2003). Luego el cliente (192.168.9.112) accedería a 192.168.9.216 (La interface 2 del router) y éste le redirigiese la petición al puerto 80 a 192.168.16.169 (El servidor web), vamos, como un router propiamente dicho hace.
En IPTAbles si no me equivoco elprimer caso sería POSTROUTING y el segundo PREROUTING.

Luego estuvimos con Angel, enrrutando los marávillosos Cisco 2600. Una estaba en Asturias, otro Cantabria, Galicia y León y teniamos que usar RIP v.2 para el encaminamiento entre ellos. El tema del enrrutamiento ya está terminado, empezaremos con algo nuevo pero no recuerdo lo que dijo, os informaré.

Hoy tenemos 6 horas con Bermejo, dijo que nos dejaría salir antes, a ver a que hora nos suelta y que coño haremos… sobre las 6 y media os escribiré algo.

Agur

Una tarde muy gocha

Publicado 25 Mayo 2005 Clases o cursos , GNU/Linux , INEM Comment

Buenas. No se si a causa del calor o de la falta de sexo, pero es impresionante las patochadas que se pueden decir (Versión literal)
Misa a Dani: ¿Eso que ye el jalf life? –> Como suena
Dani a Misa: No, es el Cunter estrike –> Idem

Bueno, al grano, son las 4 de la trade y he instalado en el ordenador de al lao una flamante SuSE Linux Enterprise Server 9, que me ha decepcionado en 1 cosa: Las actualizaciones de YOU son mediante suscripción. En la Pro no hace falta suscripción. Bueno, una pena, de todos modos a ver si me descargo un kernel nuevo y se lo compilo.

Hastaaa luego.

Stunnel en Windows y sus archivos de configuración

Publicado 25 Mayo 2005 Clases o cursos , INEM , Microsoft , Redes Cerrado

Ayer en clase estuvimos haciendo un túnel SSL, para usar telnet cifrado añadiéndole así seguridad, no solo para telnet sino para cualquier otro servicio que queramos.

Telnet:
net start/stop tlntsvr –> Activa o desactiva el server

TelnetClients –> Se ha de crear un grupo co el mismo nombre y dentro introducir los usuarios que queramos que inicien sesión.

tlntadmn config sec -NTLM –> Desactivar NTLM, que es el uso de usuario del cliente automaticamente.
tlntadmn start/stop –> Otro metodo de activar/desactivar el servidor

Stunnel: Con esta utilidad disponible para Windows y para GNU/Linux podremos hacer un túnel SSL cifrado.

Del equipo A al equipo B conectaremos mediante el puerto 23 al 1100 del servidor con stunnel, por ejemplo, y en el servidor (B) se redirigirá al 23.

En el Cliente:


stunnel -c -d 100 -r B:23

-c –> cliente
-d puerto –> Escuchar en el puerto 23
-r –> Para que conecte remotamente al equipo B:puerto donde estará otrro servidor escuchando.

En el servidor ejecutamos:

stunnel -p /ruta/hasta/el/certificado/stunnelo.pem -d 1100 -r 23

Al hacer telnet a localhost conectaremos al servidor remoto.

Bajamos stunnel y lo ejecutamos, vemos que da un error porque falta un archivo de configuracion, lo creamos:

Cliente: stunnel.conf

client=yes
[telnet]
accept=23
connect=servidor_remoto:6060

Servidor: stunnel.conf

client=no
cert=stunnel.pem
[telnet]
accept=6060
connect=23

Si no tenemos el “stunnel.pem” lo descargaremos de La web de Stunnel, aunque lo más recomendable sería hacernos un propio certificado para que no nos secuestren las sesiones. Para crearlo:

# openssl req -x509 -nodes -newkey rsa:4096 -days 365 -keyout stunnel.pem -out stunnel.pem

Proximamente haremos un túnel SSL UDP, pues el anterior era sólo TCP y no servía para jugar a juegos on-line. Y claro, como bien dice Javi:

Así nadie sabrá la configuración de alerones, de neumáticos ni nada y ganaréis siempre.

Por fin he vuelto

Publicado 22 Mayo 2005 Clases o cursos , Euskal Encounter , Hardware , INEM , Parties , Servidor , Software Cerrado

Buenas :D . Siento haber tardado tanto en publicar pero estuve muy liado en clase y cuando llegaba a casa. Bueno, que contaros… mucho. En clase way, el día 3 empezamos los exámenes, el 10 vacaciones y luego solo tengo clase por las mañanas del curso del INEM. En el curso he instalado SuSE Linux Enterprise Server 9, un cañón. Ahora tendré esa máquina para postear y el mio con W2k3 para las prácticas de bermejo.
Al servidor le he añadido 32 MB más de RAM, toda a 133 MHz. Ahora tiene 224 MB. Le he configurado las ACL (Access Control List, o listas de control de acceso, como querais llamarlo) de modo que el método de permisos UNIX (UGO – User Group Other) no se me queda pequeño cuando disponemos de varios usuarios con directorios compartidos a diferentes usuarios, éstos últimos con diferentes permisos sobre él. He metido un kernel 2.6.11.9 con el parche Grsecurity, he de profundizar en él, tiempo al tiempo. También he redimensionado los discos y hecho una partición de 1 GB para /var/log.

Ya por otra parte me he hecho un router, si, como leeis xD. Hace unos meses Diego, u chaval de mi clase me dio un P75 de la oficina del padre, con 16 MB de RAM y 850 MB de HD. El otro día decidí ponerle una distribución específica para hacer routers, llamada IPCop. Va perfecto, soporta variedad de modems adsl USB. Lo monté de la siguiente manera:

En el P75 instalé IPCop y luego configuré la red GREEN (la que va a la red local). Luego la red RED, que es la que sale a internet por el modem adsl. Como no quería comprar aún el switch le pedí a Javi, mi profesor de redes un cable cruzado, conecté entonces mi equipo al P75. funcionaba.
Luego, vistos los resultados hice copia de seguridad de la configuración del router USRobotics y lo borré, de modo que conecte mediante cable directo la targeta 10 mbps del P75 a la boca 10/100 del switch :) y luego también con cable directo, del switch a los equipos. Ahora va perfecto. Es estáble, no peta, lo único malo es que Telefónica sigue cambiando la IP a menudo. Esta distro tiene acceso web SSL, ssh y demás, tambien incluye snort, squid, dhcp, dns… todo esto si lo quieres activar, una pasada.

Queda cada vez menos para la Euskal, aqúi estamos esperándola con ganas. Maiky sigue con su caja que está quedándole divina, ya os subiré unas fotos de ella en proceso.

Agur

Configurando redes con el simulador

Publicado 11 Mayo 2005 Clases o cursos , INEM Comments

Bueno, este blog como comprobaréis va un día atrasado, pues no dispongo de tiempo para escribirlo al día.

Pues bien, ayer estuvo interesante. La jornada de tarde empezó con Cisco, con el emulador hicimos 3 redes, 2 de ellas (192.168.1.0 y 192.168.2.0) a un switch y el switch a la boca F0/0 del router A. otros 2 equipos a otro switch y luego este último a la boca F071 del router A. Por otra parte, una red 192.168.3.0 que tiene 2 equipos, conectados a un switch y a la vez conectado a la boca F0/0 del router B. Luego, router A y B conectados entre si por un cable de serie del puerto S0/0 del Router A al S0/1 del router B, configurado el Router A como DCE. Una vez hicimos esto y publicando el enrrutamiento las redes se veían :) .
Y os preguntareis, ¿Cómo se configura mas o menos un router Cisco 2500?
Pues bien, hasta el momento solo hemos visto configuraciones básicas de la red y enrrutamiento mediante RIP.
Comenzamos a configurar la interface eth0 con una IP 192.168.1.1 y máscara de subred 255.255.255.0

# enable –> Entramos a modo privilegiado
# config ter –> Entramos a la configuración
# interface F0/0 –> Configuramos la FastEthernet 0
# ip address 192.168.1.1 255.255.255.0 –> Configuramos IP y máscara
# no shutdown –> Levantamos la interface (La activamos)

Ahora vamos a salir a modo privilegiado con CTRL+Z

Vamos a revisar la configuración y luego gaurdarla

# show running-config –> Esto nos dará una salida con “more” :D :D y veremos la config.
# copy running-config startup-config –> Guardará la configuración actual y la guardará en la memoria del router

No voy a extenderme más con la configuración de los puertos de serie para interconectar redes pues es lo mismo que para las F0/0, pero con S0/0 y S0/1. Otra diferencia es que el equipo que hace de DCE, el router A en nuestro caso, ha de configurar la velocidad del puerto de serie con:

# clock rate 56000 –> Para configurar por ejemplo la velocidad a 56000 bps

Para publicar mediante RIP y asi poder hacer enrrutamiento entre 2 routers, una vez hecho “config ter”, ejecutaremos:

# network 192.168.3.0 –> La red que queremos publicar, eso lo haremos en el router B, en el A publicaremos la 192.168.1.0 y 192.168.2.0

Revisamos la config con “show run” o “show running-config” (Sin abreviar)

Para ver la tabra d eenrrutamiento usaremos:

# show ip route

Al principio es algo lioso porque son comandos que nunca hemos visto, peor después de hacer un par de ejercicios con el emulador está mamado, al menos de momento.

Hoy por la mañana, si, hoy, 11 de Mayo, tuvimos 2 horas de redes por la mañana. Estuvimos viendo como dar acceso a X equipos a partir de uno, ternicas como proxy, NAT y NAPT.
NAT que es Network Address Translation y NAPT que es Network Address Port Translation. La diferencia entre ambas es que la segunda enmascara además el puerto, de ese modo si 2 equipos piden a la vez lo mismo, al mismo servidor y por el mismo puerto, se arma la picha un lio xD. Con NAPT no pasa, pues todas las peticiones son convertidas, tanto en IP como el puerto desde donde se pide, de modo que nunca coincidan y haya conflictos. Si al intentar conectar, despues de un tiempo no se consigue, el servidor que natea la conexión elimina la entrada de la tabla NAT para dejarla libre y así poder usar de nuevo ese puerto.

Algo rollo pero útil y conciso, quizá haya algún fallo pero para eso están los comentarios ;)

Ahora me toca con Bermejo, Seguridad en sistemas y luego Seguridad en Redes con Javi.

Agur

Entradas siguientes »

Las opiniones reflejadas en este blog son personales o ni siquiera son opiniones, y bajo ningún concepto representan las estrategias, opiniones o posturas de mi empresa actual, ni de ninguna en las que he trabajado, así como tampoco de ninguno de los clientes o proveedores de todas ellas.
La información se proporciona como está, sin garantías de ninguna clase, y no otorga ningún derecho. Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.

Categorías

Archivos