Embed Doc
Copy Link
Readcast
Collections

CommentGo Back

Download

TOMA UNA IP, RESUELVE UNAURL Y NAVEGA CON LINUXDiego Ademir Duarte Santana

En muchas oportunidades conectamos nuestrascomputadoras personales en la oficina o en casabuscando poder visitar aquella página de internetque tanto nos interesa y no nos percatamos de lacantidad de herramientas que permiten visualizaraquella simple dirección digitada en la barra dedirecciones de nuestro navegador, ni de la identidadque tenemos en internet y mucho menos de algunosfiltros de seguridad que permiten acceder a un sitioweb o restringirme de otros de manera controlada yauditable.El presente artículo pretende profundizar sobreaquellas tareas que se realizan a nivel de softwareen los servidores de nuestra empresa o en lasentidades proveedoras de internet, como son losservicios de resolución de nombres, asignacióndinámica de direcciones IP y definición de reglas deacceso y control hacia direcciones de internet.Asimismo se observarán algunas recomendacionesen cuanto a versiones de software sin olvidar, porsupuesto, el alcance de seguridad que puedenbrindarnos estas herramientas.DNS, DHCP, PROXY, SERVICIOS, LINUX.A lot of opportunities connect our personalcomputers in the office or home searching visit thiswebsite very interesting and we do not realize of alot of tools that permit watch this simple addresswritten into address-bar of our browser, neither theidentity we have into internet and much less of some security filters that permit access of a websiteor restricted of others so controlled or auditable.This article is intended to deepen about those asksbeing made to software level in the enterpriseservers or in the Internet Service Provider, such asresolution name services, dynamic assign of ipaddress and definition access rule and control tointernet address. Also be observed somerecommendations about software versions well, of course, the security scope that these tools can give.DNS, DHCP, PROXY, SERVICES, LINUX

Ingeniero

Sistemas,

Universidad

Industrial

Santander

UPB

CTIC

Bucaramanga,

email:

dadhemir@gmail.com

1. INTRODUCCIONLa presente investigación brinda lasherramientas a profesionales en lastecnologías de información ycomunicaciones de cuales herramientasutilizar bajo ambientes de software libre,específicamente LINUX para instalar,configurar y poner en marcha en sus redescorporativas servicios como son DNS,DHCP y PROXY.Para resolver direcciones de internet, elsoftware de servicio DNS que utilizaremosbajo licencia GPL

es BIND en su versión9.0 como la versión más estable y menosvulnerada hasta el momento.El protocolo DHCP se presenta como elencargado de asignar direcciones IP demanera dinámica a un grupo de usuariossin la modificación de sus configuracionesde red. Para esto trabajaremos con laversión DHCP 3.0 para Linux.Finalmente, para describir el concepto dePROXY asociado a un primer nivel deseguridad en redes corporativasutilizaremos el software SQUID.En general, iniciaremos con unadescripción del software seguido por lainstalación y configuración para finalizarcon una sencilla prueba a través de uncliente.2. PLANTEAMIENTO DEL PROBLEMAIntroducción al DNSEl internet u otras redes trabajan local oglobalmente asignando direcciones IP

apuntos finales como son hosts, servidores,enrutadores, etc. Pero sin la habilidad deasignar un nombre correspondiente a cadadispositivo; cada vez que se quiere accedera un dispositivo de la red, por ejemplo,

General

Public

License

Internet

Protocol

www.tuconsulta.net debería conocerse ladirección IP tal como 192.168.12.12.Con miles de millones de hosts y más de50 millones de sitios web, esto es una tareaimposible.Para resolver el problema, el concepto de

servidores de nombres

fue creado amediados de 1970 para asociar direccionesfísicas a nombres.La idea era que fuera más simple recordaruna dirección física camuflada en unnombre claro y relativo al contenido, afunciones o a un propósito.Algo de historiaEl problema de convertir nombres adirecciones físicas es tan antiguo como lasredes de computadoras. Incluso desdemucho tiempo atrás las personasencontraron un método fácil para recordarlos nombres utilizando un dispositivo deteletipo llamado “tty2” ó “puerto 57 delMCCU”.En los años 70’s, con el auge de las redesde computadoras el problema se tornó másagudo. La arquitectura de sistema red deIBM (SNA

), probablemente el abuelo delas redes, contenía una enorme base dedatos para traducción de nombres que fuepublicada en 1974. Hacia 1978 surge elmodelo OSI

desarrollado por la ISO

, elcual definió servicios de traducción denombres en direcciones en su capa detransporte (capa 4).NetBIOS propuso luego el NetBIOS NameServer (NBNS) en 1984, el cual luego setransformó en Microsoft Windows InternetNaming Services (WINS).El proyecto ARPANET RFC

, que luegosería la base de Internet, manejaría un

Systems

Network

Architecture

Open

System

Interconnection

Organización

Internacional

Normalización

Request

For

Comments

concepto de dominio de nombres desde1981 (RFC 799), y las especificacionesdefinitivas del Sistema de Nombres deDominio de Internet que conocemos hoy endía fue publicado en 1987.Conceptos BásicosDNSEs una base de datos distribuida jerárquicamente. Almacena informaciónsobre mapeo de nombres de host eninternet a direcciones IP o viceversa,información de enrutamiento de correos yotros datos usados por aplicaciones web.Los usuarios observan información en elDNS gracias a una librería

resolver

la cualenvía consultas a uno o más servidores queinterpretan las diferentes respuestas.El software BIND9 contiene un servidor denombres llamado

named

y dos librerías queresuelven nombres,

libwres

libbind

.Dominios y Nombres de DominiosLos datos almacenados en el DNS sonorganizados jerárquicamente como unárbol organizacional. Cada nodo de éseárbol es un dominio y posee una etiqueta.El nombre de dominio del nodo es laconcatenación de todas las etiquetas desdeel nodo actual hasta el nodo padre (root).Esto es lo que conocemos como cadapalabra separada por el carácter punto (.).Ver figura 1.

Fig. #1Tomada de http://technet.microsoft.com/en-us/library/Bb727085.dsgn0117_big(en-us,TechNet.10).gif

Observamos en la figura que existe un host

server.com

en el primer nivel del árbol bajoel dominio

com

.Luego existe otro host como extremo delárbol al cual se le bautizó con el nombre

server.contoso.com

bajo el dominio

contoso.com

. Este último es sub-dominiode

com

.De esta forma se crea toda la estructura dedominios que conocemos en internet y queutilizamos diariamente.Para propósitos administrativos, el espaciode nombres es particionado en áreasllamadas

zonas

, cada una de ellas define unnodo de la cual se extienden otros nodosque inician otras zonas. Los datos de cadazona se almacenan en un servidor denombres, el cual responde consultasutilizando el protocolo DNS.Servidor de Autorización de NombresCada zona sirve al menos a un

servidor deautorización de nombres

, el cual contienedatos completos de la zona. Para hacer elDNS tolerante a fallas de red, la mayoría delas zonas tienen más servidores deautorización.Primario MaestroAquí es donde se realiza el mantenimientode los datos de una zona previamentedefinida. Normalmente está contenida todala configuración en un archivo editable.Servidor EsclavoSon servidores de autorización tambiénllamados

servidores secundarios

quecargan la información de una zona desdeotros servidores usando un proceso dereplicación llamado

transferencia de zona

.Normalmente lo hacen tomandoinformación de un servidor maestro.ForwardersSon aquellos servidores que sirven derespaldo a nuestro servidor maestro paraque en caso de no poder resolver algúnnombre remita su petición a otro que sí estáen capacidad de hacerlo.A continuación observaremos la fortalezade los servidores de nombres utilizandouna de las herramientas más usadas enmillones de servidores del mundo bajoplataformas LINUX, BIND.¿Qué es BIND?Sigla de Berkeley Internet Name Domaines la más común de las implementacionesdel protocolo DNS en Internet. Es gratuitoy se rige por la licencia BSD.Los servidores BIND DNS se cree queacaparan el 80% de los servicios DNS delmundo. Fue desarrollado por la universidadde California en Berkeley.La más reciente versión en la 9.4.2 y desdela 9 soporta DNS SEC, TSIG, IPv6 y otrosprotocolos.Aspectos de seguridadUna de las más importantesconsideraciones de seguridad que manejaBIND son las listas de control de acceso(ACL). Con ellas se puede quien accede asu servidor de nombres.Con esto se pueden prevenir ataques tipo

spoofing

o de

Denegación de servicios

.A continuación podemos ver unaconfiguración básica de seguridad.

// Set up an ACL named "bogusnets" that will block RFC1918 space, // which is commonly used in spoofing attacks.acl bogusnets { 0.0.0.0/8; 1.0.0.0/8; 2.0.0.0/8;192.0.2.0/24; 224.0.0.0/3; 10.0.0.0/8; 172.16.0.0/12;192.168.0.0/16; }; // Set up an ACL called our-nets. Replace this with thereal IP numbers.acl our-nets { x.x.x.x/24; x.x.x.x/21; };options {......