Ejecutar un script en el arranque del sistema

Hay dos maneras de hacerlo

Supongamos que el script se llama “scriptinicio” ,  es un script del tipo bash y que se encuentra en mi carpeta personal

#sudo chmod +x scriptinicio.sh con esta instrucción le damos permiso de ejecución.

1- Editamos  el fichero rc.local y añadimos la instrucción sh antes para indicar que se ha de ejecutar y   antes del ‘exit 0′.

sudo nano /etc/rc.local

quedará de la siguiente forma:

 

#!/bin/sh -e

#

# rc.local

#

# This script is executed at the end of each multiuser runlevel.

# Make sure that the script will “exit 0” on success or any other

# value on error.

#

# In order to enable or disable this script just change the execution

# bits.

#

# By default this script does nothing.

sh /home/antonio/scriptinicio.sh

exit 0

Para desistalarlo, basta con comentar con el simbolo # al principio de la línea añadida o eliminar la línea.

Para evitar que rc.local se inicie antes que otros servicios necesarios podemos añadir sleep 30 para retrasar su inicio 30 segundos

#!/bin/sh -e

sleep 30

Si eliminamos el parámetro “-e” de !/bin/sh no parará la ejecución del script al encontrar posibles errores.

 

2- La otra opción, es ejecutarlo junto con el resto de servicios del sistema, para ello movemos el script a la carpeta init.d, le damos permisos de ejecución y actualizamos el rc.d con configuración por defecto:

sudo mv /home/antonio/scriptinicio.sh /etc/init.d/

sudo chmod +x /etc/init.d/script.sh

sudo update-rc.d scriptinicio.sh defaults

Para desistalarlo, ejecutamos:

sudo update-rc.d -f scriptinicio.sh remove

y después eliminamos manualmente el scriptinicio de init.d si no lo vamos a utilizar más:

sudo rm /etc/init.d/scriptinicio.sh

Crear virtual host en Apache

Es una solución para poder tener  varios dominios con una sola ip.

Mediante los virtual host en Apache podemos  configurar nuestro servidor para servir a múltiples dominios mediante el uso de máquinas virtuales en resumen esto quiere decir que en una misma máquina con una instancia de Apache, es posible tener los diferentes dominios

Cada dominio que es configurado apuntará al visitante a una carpeta específica que contiene la información del sitio, nunca indicará que el mismo servidor es responsable de otros sitios

Requisitos previos

Simplemente hay que tener instalado el servidor Apache. Para ello se ejecutan los siguientes comandos:

sudo apt-get update

sudo apt-get install apache2

  1. Crear los directorios

El primer paso es crear los directorios donde se encontrará el código de las aplicaciones web:

sudo mkdir -p /var/www/html/directorio1.com

sudo mkdir -p /var/www/html/directorio2.com

  1. Permisos

El usuario root es ahora mismo el propietario de los directorios que acabamos de crear, por lo que para poder modificar los archivos contenidos en dichos directorios con nuestro usuario es necesario dar permisos:

sudo chown -R $USER:$USER /var/www/html/directorio1.com

sudo chown -R $USER:$USER /var/www/html/directorio2.com

La variable $USER contiene el valor del usuario que está ejecutando la acción. Aparte de esto, para poder acceder a las páginas correctamente, conviene dar otros permisos a la carpeta raíz del servidor:

sudo chmod -R 755 /var/www/html

  1. Crear los Virtual Host

Los archivos Virtual Host contienen información específica para cada dominio. Ya existe un archivo de configuración por defecto que utilizaremos como plantilla para crear los archivos de directorio1.com y directorio2.com:

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/directorio1.com.conf

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/directorio2.com.conf

Tras eliminar los comentarios de los archivos para hacerlos más legibles, quedarán ambos así:

nano /etc/apache2/sites-available/directorio2.com.conf

<VirtualHost *:80>

ServerAdmin webmaster@localhost

DocumentRoot /var/www/html

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Como podéis observar, ambos apuntan al directorio /var/www/html, por lo que hay que hacer que apunten a los directorios creados anteriormente. En el archivo de configuración directorio1.com.conf, cambiamos el DocumentRoot a DocumentRoot /var/www/html/directorio1.com y directorio2.com.conf a DocumentRoot /var/www/html/directorio2.com. Además de esto, hay que modificar las opciones ServerAdmin, ServerName y ServerAlias para que cada uno responda a un dominio diferente. El archivo de configuración de directorio1.com quedará de la siguiente manera:

<VirtualHost *:80>

ServerAdmin webmaster@localhost

ServerName directorio1.com

ServerAlias www.directorio1.com

DocumentRoot /var/www/html/directorio1.com

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Y el de directorio2.com será el siguiente:

<VirtualHost *:80>

ServerAdmin webmaster@localhost

ServerName directorio2.com

ServerAlias www.directorio2.com

DocumentRoot /var/www/html/directorio2.com

ErrorLog ${APACHE_LOG_DIR}/error.log

CustomLog ${APACHE_LOG_DIR}/access.log combined

</VirtualHost>

Habilitar los nuevos Virtual Host

Para habilitar los nuevos Virtual Host utilizaremos la herramienta a2ensite de Apache:

sudo a2ensite directorio1.com.conf

sudo a2ensite directorio2.com.conf

Vamos a realizar algunas pruebas

Cuando hayas concluido, deberás reiniciar Apache para asegurarte de que tus cambios surtan efecto:

sudo service apache2 restar

Actualmente tenemos la estructura en su lugar. Vamos a crear contenido para mostrar.

Solo vamos a hacer una demostración, así que nuestras páginas serán muy simples. Solo crearemos un archivo index.html para cada sitio.

Empecemos con directorio1.com Podemos abrir un archivo index.html mediante un editor escribiendo:

nano /var/www/html/directorio1.com/index.html

En este archivo, crea un documento HTML simple que indicara que el sitio está conectado. Mi archivo quedó así:

<html>

<head>

<title>Bienvenido Antonio Rodríguez Castro!</title>

</head>

<body>

<h1>Éxito! El Virtual Host Antonio Rodríguez Castro esta funcionando!</h1>

</body>

</html>

Guarda y cierra el archivo cuando termines.

Podemos copiar este archivo y usarlo de base para nuestro segundo sitio escribiendo:

cp /var/www/html/directorio1.com/index.html /var/www/html/diectorio2.com/index.html

Ahora podemos abrir el archivo y modificar la información relevante:

nano /var/www/html/index.html

<html>

<head>

<title>Bienvenido a Antonio Rodríguez</title>

</head>

<body>

<h1>Éxito! El Virtual Host creo que está funcionando!</h1>

</body>

</html>

 

Ahora mismo, si accediésemos a directorio1.com y directorio2.com

 

Configuración e Instalación de NTOP

Ntop (de Network Top) es una herramienta que permite monitorizar en tiempo real una red. Es útil para controlar los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y para ayudarnos a detectar malas configuraciones de algún equipo, (facilitando la tarea ya que, justo al nombre del equipo, aparece sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio.

Posee un microservidor web

Videotutorial

 

Guia

Instalación de NTOP

INSTALACION

 La instalación de NTOP es muy sencilla solamente tendremos que tener configurado correctamente nuestro servidor de repositorios debían. Podemos instalarlo con el comando aptitude o por medio del comando apt-get install, que en nuestro caso fue el que se utilizó. Debemos asegurarnos de que estén instaladas las dependencias necesarias para que se ejecute Ntop. A continuación se muestran los paquetes que deben ser instalados antes de Ntop

(rrdtool y rrdtool-devel)

Para la instalación ejecutamos la siguiente línea de comando:

monitor:~# apt-get install ntop graphviz

El paquete graphviz se utiliza para generar los gráficos que serán mostradas en la interface web.

PASSWORD ADMIN

Después de instalado el ntop debemos establecer una clave para el user admin lo cual haremos tecleando el siguiente comando.

monitor:~# ntop –set-admin-password

A continuación se nos pide que establezcamos la contraseña, tecleamos una y damos enter, a continuación se nos pide confirmar, volvemos a teclearla y damos enter nuevamente.

Please enter the password for the admin user:

Please enter the password again:

Thu Agu 17 13:13:50 2014 Admin user password has been set

CONFIGURACION

En la configuración de Ntop solamente es necesario que le indiquemos que interface o interfaces de red va escuchar. En este caso modificamos en fichero init.cfg. Para esto usamos cualquier editor de texto, aquí usamos vim.

monitor:~# vim /var/lib/ntop/init.cfg

Este archivo contiene solo 2 parámetros que indican el usuario encargado de la ejecución y que interfaz de red va a escuchar.

USER=”ntop”

INTERFACES=”eth0″

En caso que deseemos analizar varias interfaces de red solamente tenemos que escribirlas separadas por comas entre cada interfaz de red.

Ejemplo:

INTERFACES=”eth0, eth1″

PUERTO

Ntop usa por defecto el puerto 3000/tcp, en caso de que necesitemos cambiar este puerto a otro puerto por estar siendo utilizando por alguna otra aplicación, o por razones de seguridad, podemos hacerlo modificando el fichero ntop como se muestra a continuación.

monitor:~# vim /etc/default/ntop

En este archivo existe el parámetro GETOPT=”“, este parámetro es el encargado de la configuración del puerto de Ntop, por defecto viene comentado con el símbolo (#), solamente tendremos que habilitarlo eliminando el símbolo de comentario (#) y agregarle el puerto deseado.

Ejemplo:

Cambiar   #GETOPT=””

Por GETOPT=”-w 4000″

En este ejemplo se habilitó el puerto 4000, usted puede utilizar el puerto que desee, siempre que no entre en conflicto con otra aplicación.

INICIANDO NTOP

Iniciamos el servicio de Ntop de la siguiente manera:

monitor:~# /etc/init.d/ntop start

Starting network top daemon: Thu Jun 17 13:31:52 2010 NOTE: Interface merge enabled by default

Thu Jun 17 13:31:52 2010 Initializing gdbm databases ntop

Podremos acceder a la consola administrativa web desde cualquier navegador simplemente tecleando la siguiente

“http://ip-de-su-servidor:puerto”

ejemplo:

http://192.168.x.x:3000

Debe tener en cuenta que 3000 es el puerto por defecto configurado con ntop, si usted lo ha cambiado debe especificar el nuevo puerto en la dirección web.

RECONFIGURACION

En caso de que usted desee reconfigurar algunos de los parámetros de Ntop después de instalado, como puede ser adicionar o eliminar alguna interface de red lo puede hacer mediante el comando:

monitor:~# dpkg –reconfigure ntop

Esto abrirá un from-end que le permitirá cambiar alguno de los parámetros ya configurados de Ntop.

 

Configuración de Ipsec en windows server 2008

Configuración IPSec

 

IP Security (IPsec) es una forma de proteger los datos que viajan por la red para asegurarnos su autenticidad, su confidencialidad, o ambas cosas.

En redes Windows Server 2008, por norma general se suele implementar IPsec a través de las Políticas de Grupo, Políticas IPSec o mediante reglas de seguridad de conexión.

 

      • Introducción a IPSec

La arquitectura IPsec fue creada para proteger las comunicaciones a nivel del protocolo IP. Está definido en el estándar RFC 2401 y puede ser implementado para ofrecer la seguridad tanto a IPv4 como a IPv6, ofreciendo funcionalidades a los protocolos de nivel superior como TCP, UDP, ICMP, etc..

IPsec está compuesto por dos modos y dos protocolos principales:

 

        • Modos de túnel y de transporte.

 

        • Protocolo de encabezado de autenticación (AH) para la autenticación y el protocolo de carga de seguridad encapsulada (ESP) para la encriptación y la autenticación.

 

Un túnel IPsec estará formado por dos asociaciones de seguridad (SA) unidireccionales que se encontrarán situadas una a cada extremo del túnel. Estas asociaciones SA tendrán la información relativa al índice de parámetros de seguridad (SPI), la dirección IP de destino de la comunicación y el protocolo de seguridad que podrá ser AH o ESP.

Gracias a esta SA, el túnel IPsec nos brindará las siguientes funcionalidades relativas a la seguridad:

 

        • Privacidad, mediante técnicas de encriptación.

 

        • Integridad de los datos, mediante técnicas de autenticación de datos.

 

        • Autenticación del remitente, y si usamos certificados, conseguiremos prevenir el rechazo mediante la técnica de autenticación por origen de datos.

 

Que utilicemos unos u otros de los anteriores mecanismos de seguridad dependerá de cuáles sean nuestros objetivos finales al establecer el túnel VPN:

 

        • Si solo necesitamos autenticar el origen del paquete IP y la integridad de la información que contiene, nos bastará con autenticar el paquete y no haría falta utilizar ninguna técnica de encriptación.

 

 

          • Si solo nos preocupa garantizar la privacidad del contenido, tendremos que utilizar técnicas de encriptación y no haría falta utilizar ninguna técnica de autenticación.

 

          • Y como es obvio, podremos tanto encriptar como autenticar la información añadiendo también protección contra el reprocesamiento de paquetes para el tráfico VPN que se genere.

 

Para ofrecer los servicios de autenticación y confidencialidad tendremos que utilizar un sistema de claves que serán generadas por unos algoritmos criptográficos o bien serán establecidas de forma manual en cada uno de los hosts IPsec. Algunos de estos protocolos podrían ser los siguientes:

 

          • ISAKMP (Internet Security Association and Key Management Protocol), definido en el estándar RFC 2408.

 

          • IKE (Internet Key Exchange), definido en el estándar RFC 2409.

 

          • Protocolo de intercambio de claves OAKLEY, definido en el estándar RFC 2412.

 

Todos estos atributos comentados anteriormente quedarán reunidos en un dominio de interpretación (DOI) de tal forma que quedarán recogidas todas las definiciones de todos los parámetros de seguridad requeridos en la negociación del túnel VPN.

Para mostrar un resumen gráfico de lo que acabamos de contar, podemos observar la figura 5.34 y podremos ver cómo se relacionan cada uno de estos protocolos y mecanismos:

Modo de transporte

Modo de túnel

image

image

Protocolo AH Protocolo ESP

 

image

Algoritmo de autenticación (MD5, SHA-1)

image

Algoritmo de encriptación (DES, 3DES)

 

 

image

Algoritmo de interpretación (MCI)

 

 

 

 

 

Políticas IPSec

 

En Windows Server 2008, podremos utilizar IPSec mediante Políticas IPSec o con reglas de seguridad de conexión.

 

Las políticas IPSec por defecto intentan negociar tanto los servicios de autenticación como los de encriptación. Las reglas de conexión de seguridad por defecto intentan negociar solo los servicios de autenticación. En cualquier caso, podremos configurar Políticas IPSec y reglas de conexión de seguridad para suministrar cualquier combinación de servicios de protección de datos.

 

image

 

 

Al ser IPSec un protocolo estandarizado, puede ser implementado para realizar comunicaciones seguras entre equipos con sistemas Windows y con equipos que no sean Windows.

 

image

 

Las políticas IPSec definen cómo un equipo o un grupo de equipos manejan las comunicaciones IPSec.

 

Podremos asignar una Política IPSec bien de manera individual a un equipo, o bien a un grupo de equipos miembros de un dominio mediante la implementación de GPO. Aunque podemos definir numerosas Políticas IPSec para su uso en un equipo o una red, solo una política será asignada a un equipo en un momento dado.

 

Para poder editar nuestra GPO para implementar políticas IPSec, tendremos que abrir la GPO creada por defecto para el dominio o la que queramos utilizar para la ocasión y desplegar la siguiente ruta: Configuración del Equipo – Directivas – Configuración de Windows – Configuración de Seguridad – Directivas de seguridad IP en AD:

 

image

 

 IPSec mediante GPO.

 

 

Nos encontraremos con tres tipos de políticas:

 

        • Servidor Seguro (requerir seguridad) – Secure Server (require security): deberíamos asignar esta política a servidores de nuestra intranet que requieren de comunicaciones seguras, como por ejemplo un servidor que transmite datos altamente sensibles para la seguridad.

 

        • Servidor (solicitar seguridad) – Server (request security): deberíamos asignar esta política a los equipos para los cuales la encriptación es preferida, pero no requerida. Con esta política, los equipos podrán aceptar tráfico no seguro pero siempre intentarán asegurar las comunicaciones adicionales mediante la solicitud de la seguridad del remitente original

 

        • Cliente (solo responder)- Client (respond only): cuando asignamos esta política a un equipo a través de una GPO, ese equipo nunca podrá iniciar una petición para establecer un canal de comunicaciones IPSec con otro equipo. Sin embargo, cualquier equipo al que asignemos esta política sí que podrá negociar y establecer comunicaciones IPsec cuando sea solicitado por otro equipo. Suele asignarse esta política en equipos de nuestra intranet que necesitan comunicarse con servidores seguros, pero que no necesitan proteger todo el tráfico.

 

Podremos asignar una sola política IPsec a un equipo al mismo tiempo. Si asignamos una segunda política IPSec al mismo equipo, la primera automáticamente se convierte en una política no asignada.

 

Cada política IPSec está compuesta de una o más reglas de políticas IPSec que determinan cuándo y cómo el tráfico IP debería ser protegido. Cada regla de política, a su vez, está asociada con un listado de filtros de IP y una acción de filtrado.

 

El listado de filtro de IP contiene un conjunto de uno o más filtros IP que capturan el tráfico IP para una Política IPSec. Los filtros IP definen direcciones de origen o de destino, rangos de direcciones, nombres de equipos, puertos TCP/UDP o un tipo de servidor (DNS, WINS, DHCP, puerta de enlace por defecto). Si el tráfico abandona o llega a un equipo que tenga una política asignada, comprobará un filtro en una de las reglas de las políticas asignadas, y la acción de filtrado asociada con la regla será aplicada.

 

 

Algunas de las posibles acciones de filtrado incluyen bloquear, permitir o negociar la seguridad.

 

Reglas IPSec

 

Podemos usar también las reglas de conexión de seguridad para configurar IPSec para conexiones entre equipos. Al igual que las políticas IPSec, estas reglas van a evaluar el tráfico de red y entonces bloquearán, permitirán o negociarán la seguridad para los mensajes basados en unos criterios que hayamos establecido previamente.

 

A diferencia de las políticas IPSec, las reglas de seguridad no incluyen filtros o acciones de filtrado. Las reglas de conexión no se aplican a tipos de tráfico IP, como por ejemplo, el tráfico IP que pueda pasar por el puerto 23. En su lugar, son aplicadas para todo el tráfico IP que esté originado o tenga por destino determinadas direcciones IP, subredes o servidores en la red.

 

Una regla IP primero autentifica a los equipos definidos en la regla antes de que ellos comiencen la comunicación. A continuación, asegura la información que es enviada entre dos equipos autenticados. Si hemos configurado una regla IP que requiere seguridad para una conexión determinada y los dos equipos en cuestión no pueden autenticarse uno con el otro, la conexión es bloqueada.

 

Por defecto, las reglas de conexión suministran solo seguridad de autenticación de datos. Por esta razón, las reglas de conexión son conocidas como conexiones de autenticación. Sin embargo, podemos configurar la encriptación de datos para estas reglas de tal forma que las conexiones en cuestión sean realmente seguras y no simplemente autentificadas.

 

Podemos configurar estas reglas en cualquier equipo mediante el Firewall de Windows a nivel individual, pero lo más interesante para nosotros será poder forzar estas configuraciones específicas para múltiples equipos de la red mediante el uso de GPO.

 

Podemos realizar estas configuraciones editando una GPO en la ruta: Configuración del Equipo – Directivas – Configuración de Windows – Configuración de Seguridad – Firewall de Windows con seguridad avanzada:

 

 

image

Figura 5.36. Configuración de GPO para creación de reglas en el Firewall de Windows.

 

 

IPSec en Modo Túnel

 

IPSec por defecto trabaja en modo transporte, que es usado para suministrar seguridad punto a punto entre equipos. El modo transporte también es utilizado en la mayoría de Redes Privadas Virtuales (VPN) basadas en IPSec, donde también es utilizado el protocolo L2TP para poder crear un túnel a través de Internet.

 

No obstante, cuando un dispositivo VPN no es compatible con un escenario L2TP/IPSec, podremos utilizar IPSec en modo túnel en su lugar.

 

Mediante el complemento Directivas de seguridad IP Directiva de grupo podremos configurar y habilitar las dos reglas siguientes en la directiva relacionadas con IPSec en modo túnel:

 

        • Una regla para el tráfico saliente del túnel: la regla para el tráfico saliente se configura con una lista de filtros que describe el tráfico que se envía a través del túnel y un extremo del túnel de una dirección IP configurada en el elemento del mismo nivel del túnel IPsec (el equipo o enrutador situado en el otro extremo del túnel).

 

        • Una regla para el tráfico entrante del túnel: la regla para el tráfico entrante se configura con una lista de filtros que describe el tráfico que se recibe a través del túnel y un extremo del túnel de una dirección IP local (el equipo o enrutador situado en este lado del túnel).

 

A continuación, podemos ver una imagen descriptiva de una conexión IPSec en modo túnel:

 

image

Encrypted Traffic Encrypted Traffic

 

Unencrypted Traffic

Unencrypted Traffic

 

 

Windows Client

 

Site A: Boston

 

Third-Party IPSec Gateway

IPSec Tunnel Internet

 

Windows Server 2008 IPSec GateWay

 

FTP server

 

Site B: Binghamton

 

 

IPSec en modo túnel.

 

 

Tipos de autenticación IPSec

 

Un concepto esencial para la implementación de IPSec es que éste necesita un mecanismo de autenticación compartido entre los equipos que se quieran comunicar. Podremos utilizar cualquiera de los siguientes tres métodos de autenticación:

 

        • Kerberos: el protocolo de autenticación Kerberos versión 5 es la tecnología de autenticación por defecto para un entorno Active Directory. Este método se puede usar para cualquier equipo que ejecute el protocolo de autenticación Kerberos V5 y pertenezca al mismo dominio o a un dominio de confianza. Este método resulta útil para aislar el dominio con el protocolo de seguridad de Internet (IPsec).

 

        • Certificados: si necesitamos implementar IPSec en un entorno donde no esté disponible Kerberos, podemos utilizar un certificado de clave pública. Para ello es necesario haber configurado, al menos, una entidad de certificación (CA) de confianza. En esta solución, cada host debe obtener e instalar un certificado de equipo desde una autoridad de certificación pública o privada (CA).

 

        • Clave previamente compartida (Pre-Shared Key): una clave previamente compartida es una contraseña secreta y compartida que dos usuarios acuerdan previamente. Su uso es sencillo y no requiere que el cliente ejecute el protocolo de autenticación Kerberos V5 ni que tenga un certificado de claves públicas. Ambas partes deben configurar IPsec manualmente para utilizar esta clave previamente compartida. Se trata de un método simple para autenticar equipos independientes o equipos que no utilicen el protocolo de autenticación Kerberos V5.

 

Creación de una Política IPSec

 

Para crear una nueva Política IPSec personalizada, tendremos que abrir el editor de políticas GPO y situarnos en la ruta tal y como hemos visto anteriormente: Configuración del Equipo – Directivas – Configuración de Windows – Configuración de Seguridad – Directivas de seguridad IP en AD, y mediante el botón derecho del ratón, iniciar el asistente mediante la opción “Crear directiva de seguridad IP”:

 

 

image

 

Iniciar asistente de creación de directiva de seguridad IP.

 

El proceso de creación de una directiva, suele tener los siguientes pasos:

 

        • Creación de listas de filtros IP que se ajusten a los equipos, las subredes y las condiciones del entorno.

 

        • Creación de acciones de filtrado que se correspondan con la forma en la que queremos autenticar las conexiones, aplicar la integridad de datos y cifrar los datos. La acción de filtrado también puede ser Bloquear o Permitir, donde la acción Bloquear tiene prioridad sobre el resto de las acciones.

 

        • Creación de un conjunto de directivas que se ajusten a los requisitos de filtrado y acción de filtrado (seguridad) que estimemos oportunos.

 

        • Primero, implementar directivas que utilicen las acciones de filtrado Permitir y Bloquear y, a continuación, revisar el entorno de IPsec para localizar problemas que puedan necesitar el ajuste de estas directivas.

 

        • Implementación de las directivas mediante la acción de filtrado Negociar la seguridad con la opción de retroceso para borrar comunicaciones de texto. Esto nos permitirá probar el funcionamiento de IPsec en su entorno sin interrumpir las comunicaciones.

 

        • Cuando hayamos realizado los ajustes de refinamiento necesarios en las directivas, eliminaremos el retroceso para borrar la acción de comunicaciones de texto, donde corresponda. Esto hará que las directivas requieran autenticación y seguridad antes de poder crear una conexión.

 

 

        • Supervisión del entorno en busca de comunicaciones que no estén teniendo lugar, lo que puede verse reflejado en un aumento repentino de la estadística de errores de negociación del modo principal.

 

Una vez iniciado el asistente, en primer lugar introduciremos el nombre que queremos asignar a esta directiva, y a continuación, nos preguntará si queremos activar la opción de regla de respuesta predeterminada, que la podremos activar o no, en función de los sistemas operativos que tengan los clientes. Si la activamos, a continuación, tendremos que especificar cuál será el método de autenticación escogido de entre los anteriormente explicados:

 

image

 

Regla de respuesta activada y método de autenticación asociado.

 

Una vez que hayamos terminado con el asistente, dejaremos activa la opción Editar Propiedades, y así podremos empezar a configurar esta nueva directiva con las opciones que describimos a continuación.

 

Podremos iniciar el asistente para la creación de reglas de directivas mediante el botón Agregar en las Propiedades de la regla.

 

En la primera pantalla podremos especificar si esta regla va a ser aplicada a un túnel o por el contrario no va a ser aplicada. Esta opción solo la utilizaremos si vamos a configurar IPSec en modo túnel.

 

A continuación, nos cuestionará sobre el tipo de red al cual vamos a asignar esta regla. Podemos limitarla solo a nuestra red o a las conexiones de acceso remoto.

 

image

 

Punto final de túnel y tipo de red.

 

 

Mediante la página de creación de filtros IP, podremos configurar en principio si queremos activar esta regla para todo el tráfico IP o solo para los paquetes ICMP. El tráfico ICMP suele ser producido por los comandos PING y TRACERT. Podremos también añadir un nuevo filtro IP mediante el botón Agregar de tal forma que, por ejemplo, podamos añadir direcciones IP de origen o destino, nombres DNS, servidores de funciones como DHCP, WINS y tipos de protocolos mediante la inclusión de puertos TCP y UDP.

 

image

 

Filtros IP.

 

En la página de Acción de filtrado podremos especificar la acción que queremos aplicar a la regla. Por defecto existen tres tipos de posibilidades:

 

        • Permit: este filtro de acción permitirá a los paquetes IP pasar sin ninguna seguridad.

 

        • Request Security (Optional): este filtro permitirá a los paquetes IP pasar sin ninguna seguridad, pero solicitará a los clientes negociar la seguridad (preferentemente la encriptación).

 

        • Require Security: este filtro obliga al equipo local a solicitar comunicaciones seguras desde el cliente que está enviando los paquetes IP. Si los métodos de seguridad no pueden ser establecidos, el equipo local detendrá las comunicaciones con ese cliente.

 

 

Podremos crear un nuevo filtro de acción mediante el botón Agregar, lanzando el asistente para la creación de un nuevo filtro de acción.

 

 

image

 

Acción de filtrado.

 

Creación de una Regla IPSec

 

Para comenzar a crear una regla tendremos que comenzar editando una GPO en la ruta: Configuración del Equipo – Directivas – Configuración de Windows – Configuración de Seguridad – Firewall de Windows con seguridad avanzada, y mediante el botón derecho del ratón sobre “Reglas de seguridad de conexión”, escoger la opción Nueva Regla:

 

image

 

Crear nueva regla.

 

El proceso consta de cinco pasos. En el primero tendremos que especificar qué

tipo de regla de seguridad queremos crear:

 

        • Aislamiento: es usada para autenticar todo el tráfico para el perfil de red seleccionado. Cuando la red definida para el equipo local en Centro de Redes y Recursos compartidos se corresponda a uno de los perfiles seleccionados en la regla, el equipo local intentará negociar la seguridad tal y como esté definido en la regla.

 

        • Exención de autenticación: podremos utilizarla si queremos que queden exentos equipos específicos o un rango de direcciones IP.

 

 

  • De servidor a servidor: con esta regla podremos permitir autenticar las comunicaciones entre direcciones IP o conjunto de direcciones, incluyendo a equipos específicos o subredes.

 

  • Túnel: para configurar IPSec en modo túnel.

 

  • Personalizada: para crear reglas personalizadas o combinaciones de las anteriores.

 

image

 

Tipo de regla.

 

En el segundo paso tenemos que especificar si las comunicaciones autenticadas tienen que ser solicitadas o requeridas.

 

image

 

Requisitos.

 

 

En el tercer paso tenemos que especificar el tipo de autenticación que queremos aplicar a la comunicación entre los equipos. Si elegimos la opción Predeterminada, el método de autenticación que la conexión utilizará es el que fue seleccionado para el perfil en la pestaña Perfil de las propiedades de Firewall de Windows con Seguridad Avanzada. El resto de posibilidades nos dan a elegir entre Kerberos para ambos equipos y usuarios, Kerberos solo para equipos, utilizar un certificado de equipo desde una infraestructura de certificados y las opciones avanzadas de autenticación, que nos permitirán configurar un orden de preferencia de los métodos de autenticación para ambos usuarios y equipos.

 

 

 

image

 

Tipo de autenticación.

 

En este paso podemos limitar el ámbito de la red al que queremos aplicar esta regla, pudiendo elegir Dominio, Privado o Público.

 

image

Perfil de aplicación de regla.

 

En la última página de configuración, tendremos que especificar un nombre y una descripción para esta regla.

 

 

Instalación de un servidor de logs. RsysLog + phpLogCon + MySQL

Instalando un servidor de logs. RsysLog + phpLogCon + MySQL

Cuando el número de dispositivos en una red aumenta, así como los servicios, resulta difícil mantener los
mensajes de registros que generan cada uno de ellos. Un modo de centralizar estos mensajes es montando un
servidor de logs, donde cada dispositivo o servicio enviará sus mensajes a este.
Existen varios productos de pago que cumplen estas necesidades, pero en nuestro caso vamos a usar
software de código abierto, en concreto una combinación de RSyslog y phpLogCon. Con RSyslog recibimos los
mensajes clientes y los almacenamos en un servidor de bases de datos MySQL, para posteriormente ser
consultados mediante una gestión web con phpLogCon.

Para acceder al resto  el documento  puede hacerlo desde aqui

 

 

Convertir un equipo con Linux en un router

Guía corta acerca de cómo convertir una maquina con Linux en un router para una red local. Imaginemos que tenemos una maquina con Debian/Ubuntu instalado que tiene dos interfaces de red. Una de las interfaces está conectado a switch de nuestro LAN, la otra al router de nuestro proveedor de Internet.

Pasos para seguir:
1. Configuración de las interfaces de red
2. Activación de enrutamiento
3. Configuración de servicio NAT
4. Configuración de servicio DHCP
5. Configuración de servicio DNS de cache
Configuración de las interfaces de red
Antes de todo nos deshacemos de network-manager:
apt-get remove network-manager
A hora modificamos /etc/network/interfaces:
# The loopback network interface auto lo iface lo inet loopback # External auto eth1 iface eth1 inet dhcp # Internal auto eth0 iface eth0 inet static address 192.168.0.1 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255
Administración de Redes Linux | Router básico
2
Como podéis ver hemos configurado la interfaz de red interna (eth0) para que tenga una IP estática privada (192.168.0.1/24), y la interfaz externa para que obtenga su configuración de red mediante dhcp.
Para aplicar la configuración ejecutamos:
/etc/init.d/networking restart
Activación de enrutamiento
Para convertir nuestro Linux en un router tenemos que modificar el archivo /etc/sysctl.conf. Hay que añadir la línea:
net.ipv4.ip_forward = 1
Para aplicar la configuración ejecutamos:
sudo sysctl -p
Configuración de servicio NAT
NAT es un mecanismo inventado para solucionar problema de falta de direcciones IPv4. La maquina que hace NAT oculta todos los equipos de la red local, haciendo las peticiones a Internet en sus nombres.
Para configurar el servicio NAT en nuestra maquina con Linux añadimos dos reglas al firewall (iptables):
iptables -P FORWARD ACCEPT iptables –table nat -A POSTROUTING -o eth1 -j MASQUERADE
Para que estas reglas sobrevivan reboot, las tenemos que añadir también a /etc/rc.local
Configuración de servicio DHCP
El servicio DHCP sirve para la suministrar la configuración de red (IP, mascara, gateway, DNS) a los equipos de nuestra LAN. Para hacerlo hay que instalar un programa dnsmasq, que nos servirá para poner funcionando tanto el servicio DHCP como el DNS de cache.
apt-get install dnsmasq
La configuración es bastante simple. Tenéis que abrir el archivo /etc/dnsmasq.conf, vaciar su contenido y añadir estas líneas:
listen-address=192.168.0.1 cache-size=300 dhcp-range=192.168.0.4,192.168.0.20,24h
Administración de Redes Linux | Router básico
3
Especificamos la dirección IP en la que el programa va a escuchar las solicitudes DHCP y DNS, el tamaño máximo de cache y el rango de direcciones IPs dinámicas disponibles a los equipos de red local (dnsmasq es bastante inteligente para averiguar automáticamente el resto de los parámetros de configuración de red que tendrá que ir suministrando a los equipos de nuestra LAN).
Reiniciamos el programa:
sudo /etc/init.d/dnsmasq restart
Configuración de servicio DNS de cache
El servicio de DNS de cache hace la resolución de nombres de dominios a direcciones IP para los equipos de red local. Vamos a ponerlo funcionando con dnsmasq, el mismo programa que ya nos hace el DHCP.
En principio no nos hará falta tocar la configuración de dnsmasq. El programa cogerá la configuración necesaria acerca de los servidores DNS desde el archivo /etc/resolv.conf. Ahora bien, en el principio de articulo hemos dicho que nuestra interfaz de red externa (eth1) obtendrá su configuración de red mediante DHCP del router de proveedor de Internet. Esto se supone que el contenido de /etc/resolv.conf se modificara automáticamente después de cada reboot. Así que vamos a configurar el programa-cliente DHCP de nuestro router para que incluye la IP de nuestro router en el archivo /etc/resolv.conf cada vez que obtenga la configuración de red. Modificaremos el archivo /etc/dhcp3/dhclient.conf.
Allí habrá que buscar la linea:
#prepend domain-name-servers 127.0.0.1;
Y cambiarla por:
prepend domain-name-servers 192.168.0.1;
Hemos terminado la configuración. Para aplicarla ejecutamos el comando:
sudo /etc/init.d/networking restart