PDF de programación - Seguridad y Configuración de Redes de Computadoras con GNU/Linux

Imágen de pdf Seguridad y Configuración de Redes de Computadoras con GNU/Linux

Seguridad y Configuración de Redes de Computadoras con GNU/Linuxgráfica de visualizaciones

Actualizado el 24 de Octubre del 2020 (Publicado el 30 de Octubre del 2017)
1.110 visualizaciones desde el 30 de Octubre del 2017
38,9 KB
6 paginas
Creado hace 20a (10/01/2004)
Seguridad y Configuraci´on de Redes de Computadoras

con GNU/Linux

Enrique Bonilla Enr´ıquez y Luis Gerardo de la Fraga

Secci´on de Computaci´on

Departamento de Ingenier´ıa El´ectrica

CINVESTAV-IPN

Av. Instituto Polit´ecnico Nacional 2508. 07300 M´exico, D.F.

E-mail: [email protected]

Resumen

Se expondr´an los mecanismos que hemos
usado en la Secci´on de Computaci´on del
CINVESTAV para la seguridad y manteni-
miento de nuestros laboratorios de c´omputo:
a trav´es de cortafuegos y zonas militarizadas
(redes con direcciones IP privadas), el arran-
que del sistema v´ıa red (usando PXE ´o Ether-
boot) y usando un sistema de archivos distri-
buido (NFS y AFS). Estos mecanismos nos
han permitido optimizar el uso de los recur-
sos en la red: facilita el mantenimiento de la
misma red, el uso de discos duros y la im-
plantaci´on de pol´ıticas de respaldo.

1.

Introducci´on

Actualmente en la red de la Secci´on de
Computaci´on se tienen cinco subredes, dos
redes con computadoras Linux, dos redes de
computadoras Windows, una red de compu-
tadoras MaC y tambi´en una red inal´ambrica;
conjuntamente suman en total unas cincuenta
computadoras fijas con unas dos docenas de
computadoras que accesan la red inal´ambri-
ca.

Tambi´en tenemos que dar servicio a cer-
ca de 80 estudiantes de posgrado, 12 investi-
gadores, varios servidores generales (correo,

WEB, nombres [DNS], disco, etc) a los que
hay que proteger; y algunos de nuestros estu-
diantes est´an trabajando en sus tesis con redes
y servicios experimentales, tal como IPv6,
monitoreo de redes y redes inal´ambricas.

En este escenario existen dos preocupacio-
nes b´asicas: seguridad y facilidad de mante-
nimiento de toda nuestra red.

La seguridad es b´asica porque hemos esta-
blecido que los estudiantes solo deben acce-
der a los servicios que les tiene permitido (se
ha establecido la pol´ıtica de que que los labo-
ratorios son para realizaci´on de trabajo, pero
no para recreaci´on), se deben de proteger los
servidores centrales y tambi´en se debe prote-
ger toda la red de los posibles ataques exter-
nos.

El mantenimiento tambi´en es un punto
b´asico porque tener en estado ´optimo a tantas
computadoras aisladas se hab´ıa convertido en
un trabajo arduo y dif´ıcil.

En este art´ıculo describiremos las solucio-
nes encontradas para conseguir tanto segu-
ridad como facilidad de mantenimiento de
nuestra red usando el sistema GNU/Linux.
Se ha usado el sistema operativo libre
GNU/Linux [1] debido a que ha demostrado
ser altamente eficiente y confiable, adem´as ha
permitido un enorme ahorro en gastos de li-
cencias que se tendr´ıan que pagar si se usara

1

software propietario. Todos los servidores de
la Secci´on, por ejemplo, funcionan desde ha-
ce m´as de cuatro a˜nos con GNU/Linux.

2. Seguridad

Es f´acil imaginarnos que una configura-
ci´on de red “normal” – cada computadora
dentro de nuestra red con una direcci´on IP
est´atica –, no nos permitir´ıa trabajar a todos
armoniosamente. Hist´oricamente se han teni-
do los siguientes problemas. Los estudiantes
en su trabajo de tesis se les asigna una com-
putadora propia e instalaban servidores pro-
pios, como chat o m´usica, que consum´ıan to-
do el ancho de banda de la red; esto es, el
tr´afico era tan intenso que Internet se volv´ıa
inexistente para todos los dem´as usuarios.
Otro problema fue que los estudiantes co-
met´ıan fallos al empezar a trabajar en redes
TCP/IP; y si se realiza una mala configura-
ci´on se ve´ıa afectada toda la red. Y la seguri-
dad de toda la red contra ataques provenientes
de Internet nos pone en una actitud defensiva,
en que debemos contar con una plataforma
que nos permita, tanto saber que est´a pasan-
do en nuestra red, como corregir sus posibles
fallos.

La soluci´on encontrada fue aislar los labo-
ratorios y las redes experimentales de nues-
tra red local. El esquema general puede ver-
se en la Fig. 1. Los laboratorios se aislaron
con un cortafuegos con el servicio de traduc-
ci´on de direcciones (NAT, del ingl´es Network
Address Translation) activado. Esto nos per-
mite poner direcciones IP inv´alidas 1 Esta ca-
racter´ıstica hace casi imposible acceder a las
m´aquinas de la red interna (solo es posible
accesarla si directamente se ingresa al corta-
fuegos, lo que podr´ıa ser un hueco de segu-
ridad), pero a su vez todas las computadoras

1Direcciones IP inv´alidas son las especificadas en
el RFC1918 [2, 3, 4] para dise˜nar redes privadas o in-
tranets, y son las recomendadas para usarse cuando se
experimenta con redes. Estas direcciones son 10.∗.∗.∗,
172,16. ∗ .∗ a 172,31. ∗ .∗ y 192,168. ∗ .∗.

en la red interna pueden acceder la los ser-
vidores generales e Internet. La interface de
red del cortafuegos que se conecta a la red lo-
cal tiene una direcci´on IP v´alida (no mostra-
da en la figura) y la otra interface de red tie-
ne una direcci´on IP inv´alida El esquema de
la red privada, con n´umeros IP inv´alidos, lo
hemos llamado red militarizada.

Figura 1: Esquema general de la red de la Secci´on
de Computaci´on del CINVESTAV. El ruteador es
inteligente, lo que nos permite crear pol´ıticas de
acceso para toda la red, lo que crea un esquema
de zona desmilitarizada. Dentro de cada cuadro
de laboratorio n existe otro etherswitch con varias

computadoras conectadas a ´el.

El ruteador mostrado en la Fig. 1 es tan
inteligente que nos permite poner reglas de
acceso (es si, forma otro cortafuegos) para
nuestros servidores y cortafuegos con NAT,
que tienen n´umeros IP v´alidos. Este esquema
de una red, con n´umeros IP v´alidos, protegi-
da con un cortafuegos lo hemos llamado red
desmilitarizada.

Los usuarios de los laboratorios pueden
accesar a todo Internet con los servicios de
WEB y ssh (puertos 80 y 22). Tambi´en tie-
nen acceso a los servicios de POP3 e imap
para el servidor local de correo electr´onico.
Cualquier otro servicio es denegado.

Las m´aquinas que hemos usado para los
cortafuegos con NAT de la Fig. 1 han sido
m´aquinas con procesador Pentium, de 190
MHz a 300 MHz, y con 64MB en RAM. Es-
to a sido suficiente para mantener a alrededor
de 40 usuarios, aunque no hemos pruebas ex-
haustivas de cuantos usuarios podr´ıa sostener

2

con NATCortafuegoscon NATCortafuegoscon NATCortafuegosLaboratorio1LaboratorioLaboratorio2n. . .. . .RuteadorServidor WEBServidor de nombresServidor de correoEtherswitchInternetZona desmilitarizadaZona militarizada una configuraci´on dada.

Hemos usado tanto IP-Chains [2] y ´ultima-
mente se ha emigrado a IP-Tables [5, 6] para
la realizaci´on de los cortafuegos con NAT. La
configuraci´on para IP-Tables se ha tomado de
[7]. Para el acceso a nuestra red inal´ambri-
ca se ha configurado un Punto Caliente en el
mismo cortafuegos como se describe en [8]
realizado con el software NoCat [8], se usa
una autentificaci´on de usuarios con un servi-
dor LDAP en nuestro servidor WEB.

3. El Problema en la Red de
la Secci´on de Computa-
ci´on

En cada una de las redes de la Secci´on de
Computaci´on no existe una homogeneidad en
el acceso a sistemas de archivos: dos de las
redes (Linux) se pueden accesar con un mis-
mo login y password, pero no se tiene acceso
a los mismos sistemas de archivos, al accesar-
se cada una de las redes se tiene un contenido
de archivos diferente. Se pretende realizar un
esquema con el cual, desde cualquier red, del
tipo que sea, cualquier persona registrada en
alg´un servidor central de la secci´on pueda ver
sus archivos de una forma transparente. Ac-
tualmente este es un tema de tesis de maestr´ıa
[9] que se desarrolla en la Secci´on.

Con la disposici´on de un mismo ´arbol de
directorios a todos los usuarios de la red, se
conseguir´ıa eficientar el uso de los recursos.
En espec´ıfico, se obtendr´ıa lo siguiente:

1. Cada usuario, al poder accesar su cuenta
desde cualquier punto de la Secci´on evi-
ta tener que enviar archivos v´ıa e-mail
o utilizaci´on de otros medios para poder
mover informaci´on de un laboratorio a
otro.

2. Al contar con una centralizaci´on del ser-
vicio de acceso a disco, se podr´a tener
una soluci´on eficiente para el respaldo

de la informaci´on almacenada en los dis-
cos duros.

3. Al tener un servidor central de archivos,
se eficientar´a el uso de discos duros. Ac-
tualmente ya no se pueden adquirir dis-
cos de baja capacidad (abajo de 10GB)
para almacenar solo el sistema operativo
de arranque, como actualmente se usa en
un laboratorio Linux. El servidor central
evita que las computadoras tengan frac-
ciones grandes de disco duro sin utilizar.

4. Se pretende eliminar el uso de discos du-
ros por parte de las m´aquinas cliente, ha-
bilitando el arranque remoto v´ıa red.

5. Se incrementar´a la seguridad de acceso.
Se desea que ahora se valide al usuario
que intenta accesar los archivos y no a la
m´aquina que quiere accesar al archivo;
ahora se busca autenticaci´on a nivel de
usuario.

Con el punto 4, el arranque v´ıa red, pre-
tendemos solucionar el problema de la admi-
nistraci´on del tipo de sistema operativo y las
aplicaciones instaladas en cada computadora
dentro de un laboratorio. Esto puede llegar a
ser una tarea compleja y costosa, dado que
se tiene que realizar la misma tarea por cada
cliente, ´o computadora. Por ello es deseable
tener el control de ambas cosas, tanto el tipo
de sistema operativo a ejecutar en una m´aqui-
na, como las aplicaciones a las que ´esta puede
acceder.

3.1. Los sistemas de archivos dis-

tribuidos

Un sistema de archivos distribuido [10]
es una aplicaci´on del tipo cliente-servidor la
cual permite al usuario usar sus archivos co-
mo si estos estuvieran localmente, todo el in-
tercambio de informaci´on necesaria entre el
cliente y el servidor es transparente para el
usuario. La siguiente lista muestra diferentes
tipos de sistemas de archivos distribuidos:

3

AFS - Andrew Filesystem [10]. Protocolo

utilizado para redes LAN y WAN.

CODA - Protocolo experimental para equi-

pos desconectados (wireless) [11].

NFS - Network filesystem (Unix). Protocolo

utilizado en sistemas Unix [10].

N
  • Links de descarga
http://lwp-l.com/pdf7320

Comentarios de: Seguridad y Configuración de Redes de Computadoras con GNU/Linux (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad