Universidad Centroamericana UCA

Unidad 2.2 Protocolo de Servicios

Ing. Edwin Lacayo C

Protocolo de Servicio de Internetworking

Contenido Protocolo de Nombramiento y Direciones

Domain Name System (DNS) Netwok Inrmation System (NIS).

Protocolo de asignación dinámica de host (DHCP) TELNET Protocolo de transferencia de archivos (FTP) Secure Shell (SSH) Protocolo de correo electronico

Simple Mail Protocol (SMTP) Multipurpose Internet Mail Extensions (MINE) Post Office Protocol (POP)

Protocolo de Servicio de Internetworking

Contenido (continuación) Protocolo de Wold Wide Web

Hypertext Transfer Protocol (HTTP) Servicio de directorio Cofiguracion de Samba Sockets y programa que usan sockets Apertura de puerto y configuracion de proxy El modelo cliente servidor Llamada de procesamiento remoto (RPC) Comunicación en grupo

DHCP(Protocolo de asignación dinámica

de host )

Objetivos.

Conocer el funcionamiento de DHCP.Conocer los requerimientos y

funcionamiento de Servidor-DHCP.Entender en que situaciones se hace

necesario un servidor DHCP.

Temario.

1 Características 2 Asignación de direcciones IP 3 Parámetros configurables 4 Anatomía del protocolo

4.1 DHCP Discovery 4.2 DHCP Offer 4.3 DHCP Request 4.4 DHCP Acknowledge 4.5 4DHCP Release 4.6 DHCP ACK 4.7 DHCP Inform

5. Enlaces externos

1. Funcionamiento del servidor DHCP

2. Protocolo de intercambio de mensajes

3. Configuración del servidor DHCP

4. Vemos otras opciones disponibles

5. DHCP y DNS 6. El fichero /var/state/dhcp/dhcpd.

leases

7. Configuración de los clientes 8. Win32 9. Linux

¿Qué es DHCP?

DHCP (sigla en inglés de Dynamic Host Configuration Protocol - Protocolo Dinámico de Configuración de Anfitrión) es un protocolo de red que permite a los nodos de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después..

Características

Provee los parámetros de configuración a las computadoras conectadas a la red informática con la pila de protocolos TCP/IP (Máscara de red, puerta de enlace y otros) y también incluyen mecanismo de asignación de direcciones de IP.

Este protocolo se publicó en octubre de 1993, estando documentado actualmente en la RFC 2131. Los últimos publicados como RFC 3415.

Asignación de direcciones IP Sin DHCP, cada dirección IP debe configurarse manualmente en

cada computadora y, si la computadora se mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si la computadora es conectada en un lugar diferente de la red.

El protocolo DHCP incluye tres métodos de asignación de direcciones IP:

Asignación manual o estática: Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.

Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.

Asignación de direcciones IP

Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada computadora conectada a la red está configurada para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable (parámetros default-lease-time y max-lease-time) . Esto facilita la instalación de nuevas máquinas clientes a la red.

Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los servidores para reflejar las nuevas direcciones IP mediante el protocolo de actualización de DNS establecido en RFC 2136 (Inglés).

El DHCP es una alternativa a otros protocolos de gestión de direcciones IP de red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo más avanzado, pero ambos son los usados normalmente.

Parámetros configurables Un servidor DHCP puede proveer de una configuración opcional a la

computadora cliente. Dichas opciones están definidas en RFC 2132 (Inglés)

Lista de opciones configurables:1. Dirección del servidor DNS 2. Nombre DNS 3. Puerta de enlace de la dirección IP 4. Dirección de Publicación Masiva (broadcast address) 5. Máscara de subred 6. Tiempo máximo de espera del ARP (Protocolo de Resolución de

Direcciones según siglas en inglés) 7. MTU (Unidad de Transferencia Máxima según siglas en inglés) para la

interfaz 8. Servidores NIS (Servicio de Información de Red según siglas en inglés) 9. Dominios NIS 10. Servidores NTP (Protocolo de Tiempo de Red según siglas en inglés)) 11. Servidor SMTP 12. Servidor TFTP 13. Nombre del servidor WINS

¿Cómo el DHCP asigna direcciones IP?

Proceso de Generación de Concesión DHCP Intercambio de mensaje

(Autoridad de Números Asignados en Internet según siglas en inglés) en BOOTP: 67/UDP para las computadoras servidor y 68/UDP para los clientes

Anatomía del protocolo (cont)

DHCP Discovery, El cliente envía un paquete DHCPDISCOVER. Las direcciones IP origen y destino de dicho paquete serán 0.0.0.0 y 255.255.255.255 (broadcast) respectivamente. El servidor almacena los campos del paquete CHADDR (dirección Ethernet origen, MAC) y el de identificación del cliente.

DHCP Offer, El servidor determina la configuración basándose en la dirección del soporte físico de la computadora cliente especificada en el registro CHADDRvbnv. El servidor especifica la dirección IP en el registro YIADDR. Como la cual se ha dado en los demás parámetros.

Anatomía del protocolo (cont)

DHCP Request El cliente selecciona la configuración de los paquetes recibidos de DHCP Offer. Una vez más, el cliente solicita una dirección IP específica que indicó el servidor

DHCP Acknowledge Cuando el servidor DHCP recibe el mensaje DHCPREQUEST del cliente, que inicia la fase final del proceso de configuración. Esta fase implica el reconocimiento DHCPACK el envío de un paquete al cliente. Este paquete incluye el arrendamiento de duración y cualquier otra información de configuración que el cliente pueda tener solicitada. En este punto, la configuración TCP / IP proceso se ha completado.

El servidor reconoce la solicitud y la envía acuse de recibo al cliente. El sistema en su conjunto espera que el cliente para configurar su interfaz de red con las opciones suministradas..

4 ¿Cómo funciona el proceso DHCP Lease Renewal?

DHCP Lease Renewal Process es el proceso por el cual un cliente DHCP renueva o actualiza sus datos de configuración IP con el DHCP Server.

Anatomía del protocolo (cont)

DHCP Release, Los clientes envían una petición al servidor DHCP para liberar su dirección IP. Como los clientes generalmente no de broadcast. El router puede ser configurado para redireccionar los paquetes DHCP a un servidor DHCP en una subred diferente. La implementación cliente crea un paquete UDP (Protocolo de Datagramas de Usuario según siglas en inglés) con destino 255.255.255.255 y requiere también su última dirección IP conocida, aunque esto no es necesario y puede llegar a ser ignorado por el servidor.

DHCP ACK, El servidor DHCP responde a la DHCPREQUEST con un DHCPACK, completando así el ciclo de iniciación. La dirección origen es la dirección IP del servidor de DHCP y la dirección de destino es todavía 255.255.255.255. El campo YIADDR contiene la dirección del cliente, y los campos CHADDR y DHCP: Client Identifier campos son la dirección física de la tarjeta de red en el cliente. La sección de opciones del DHCP identifica el paquete como un ACK.

Anatomía del protocolo (cont)

DHCP Inform, El cliente envía una petición al servidor de DHCP: para solicitar más información que la que el servidor ha enviado con el DHCPACK original; o para repetir los datos para un uso particular - por ejemplo, los browsers usan DHCP Inform para obtener la configuración de los proxies a través de WPAD. Dichas peticiones no hacen que el servidor de DHCP refresque el tiempo de vencimiento de IP en su base de datos.

¿Qué son los DHCP Scopes o Ambito?

Un scope es un rango de direcciones válidas IP que están disponibles para asignar a computadoras cliente en una subnet en particular. Usted puede configurar un scope en el DHCP Server para determinar el pool de direcciones IP que ese server asignará a clientes.

Los scopes determinan las direcciones IP que se asignan a los clientes. Usted debe definir y activar un scope antes que los clientes puedan usar el DHCP Server para una configuración dinámica TCP/IP. Asimismo puede configurar tantos scopes en el DHCP Server como lo necesite para su ambiente de red.

¿Qué es una reserva DHCP?

Una reserva es una dirección IP permanente reservada a un cliente específico. Usted puede reservar una dirección IP permanente a un dispositivo en la red. La reserva se realiza a la dirección MAC del dispositivo.

. ¿Qué son las opciones de DHCP? Las opciones de DHCP son los parámetros de configuración

que un servicio de DHCP asigna a los clientes cuando asigna la

dirección IP.

¿Qué es el DHCP Relay Agent?

El DHCP Relay Agent es una computadora o router configurado para escuchar broadcast DHCP/BOOTP de clientes DHCP y reenviar esos mensajes a los DCHP Servers en diferentes subnets. DHCP/BOOTP Relay Agents es parte de los estándares DHCP y BOOTP, y funciona según los documentos estándar Request for Comments (RFCs) que describen el diseño del protocolo y el comportamiento relacionado.

¿Cómo funciona el DHCP Relay Agent? El DHCP Relay

Agent soporta el proceso Lease Generation entre el cliente DHCP y el DHCP Server, cuando se separan por un router. Esto habilita al cliente DHCP para recibir una dirección IP del DHCP Server.

Enlaces externos (referencia)

ISC DHCP Server (inglés) Windows DHCP Server (inglés) Configurar un servidor DHCP, Configura

ción de un servidor DHCP en linux

Tutorial DHCP Videotutorial de DHCP en Linux

REFERENCIAS:Libros:

Intalación y configuración de un Servidor DHCP WINDOWS

2003Serv

demo

TELNET

Protocolo de Servicio de Internetworking

Contenido Protocolo de Nombramiento y Direciones

Domain Name System (DNS) Netwok Inrmation System (NIS).

Protocolo de asignación dinámica de host (DHCP) TELNET Protocolo de transferencia de archivos (FTP) Secure Shell (SSH) Protocolo de correo electronico

Simple Mail Protocol (SMTP) Multipurpose Internet Mail Extensions (MINE) Post Office Protocol (POP)

Objetivos.

Conocer las función del servicio TELNET

Describir el servicio y funcionamiento del protocolo cliente y servidor.

Temario.

¿Qué es TELNET?.Para que podemos usar TelnetAplicación

¿Qué es Telnet?

Las aplicaciones de acceso remoto, también llamadas TELNET (Telecommunicating Networks) nos permiten acceder a un servidor  emulando un terminal que se encontrase físicamente conectado a él.

Es una aplicación que permite desde nuestro sitio y con el teclado y la pantalla de nuestra computadora, conectarnos a otra remota a través de la red.

El telnet es un programa que permite emular una sesión con un servidor Unix desde una computadora personal

¿Qué es Telnet?

Una conexión mediante Telnet permite acceder a cualquiera de los servicios que la máquina remota ofrezca a sus terminales locales. De esta manera se puede abrir una sesión (entrar y ejecutar comandos) o acceder a otros servicios especiales: como por ejemplo consultar un catálogo de una biblioteca para buscar un libro, leer un periódico electrónico, buscar información sobre una persona, etc.

¿Para qué podemos usar Telnet?.

La usaremos para abrir una sesión remota. Pero podemos distinguir dos vertientes:

Uso cotidiano de una máquina multiusuario en la que tenemos una cuenta privada. Generalmente accedemos a ella para leer el correo, ejecutar nuestros programas que necesiten gran potencia de cálculo, o utilizar cualquier herramienta ins- talada en dicha máquina.

Uso de cuentas públicas para acceder a determinadas aplicaciones. Son cuentas de libre acceso con un nombre de entrada conocido, y sin palabra clave o también conocida. Para determinadas aplicaciones que veremos más adelante, puede ser necesario Telnet, ya que nos permite acceder a determinados servicios que no residen en nuestra máquina.

Telnet define un NVT (Network Virtual Terminal) que provee la interfaz a los sistemas remotos, sin tener en cuenta el tipo de terminal. Una implementación Telnet lo que hace es mapear la semántica del terminal local a NVT antes de enviar data por la conexión .

Servicios ofrecidos Consultar bases de datos disponibles.

Abarcan temas como Bancos genéticos, Centros nucleares de datos, Leyes, Información geográfica, servicios meteorológicos, etc.

Consultar catálogos de bibliotecas accesibles desde la red. Utilizar los servicios de información de la red.

Servicios de directorios : es algo parecido a las páginas amarillas que utilizamos para localizar un teléfono, pero en este caso nos permite obtener, entre muchas otras cosas direcciones de correo electrónico.

Servicios de información de gran área (WAIS) :  permite mediante búsquedas complejas hechas con el propio lenguaje natural localizar multitud de información relacionada con el tema que le interese.

ARCHIE :  permite localizar archivos, facilitándote todas las direcciones de ordenadores anonymous FTP donde estos se encuentran, permitiéndolo realizar búsquedas por el nombre de archivo o subcadenas contenidas en él.

Hace uso de clientes conversacionales interactivos de información. Conexiones a ordenadores de los cuales tiene cuenta, ya estén o no dentro de

su propio recinto físico.

¿PREGUNTAS?

Edwin Lacayo CEdwin_lacayo@ns.uca.edu.ni

REFERENCIAS:Libros:

Protocolo de transferencia de archivos (FTP)

Protocolo de Servicio de Internetworking

Contenido Protocolo de Nombramiento y Direciones

Domain Name System (DNS) Netwok Inrmation System (NIS).

Protocolo de asignación dinámica de host (DHCP) TELNET Protocolo de transferencia de archivos (FTP) Secure Shell (SSH) Protocolo de correo electronico

Simple Mail Protocol (SMTP) Multipurpose Internet Mail Extensions (MINE) Post Office Protocol (POP)

Objetivos.

Describir el servicio y el funcionamiento del protocolo aplicación FTP

Temario.

Qué es el FTP El Modelo FTP Servidor FTPCliente FTP Modos de conexión del cliente FTP Tipos de transferencia de archivos en

FTP

¿Qué es el FTP ?

FTP es uno protocolos de la red Internet, significa File Transfer Protocol (Protocolo de Transferencia de Archivos) y es el ideal para transferir grandes bloques de datos por la red.

Se precisa de un Servidor de FTP y un cliente FTP, puede darse el caso de que los servidores sean de libre acceso para todo el mundo y entonces estamos hablando de login anónimo o FTP anónimo. La mayoría de las páginas web a nivel mundial son subidas a los respectivos servidores mediante este protocolo.

Por defecto utiliza los puertos 20 y 21. El puerto 20 es el utilizado para el flujo de datos entre el cliente y el servidor y el puerto 21 para el flujo de control, es decir, para enviar las órdenes del cliente al servidor.

El FTP, en la mayoría de servidores, es la única manera de conectar con nuestro sitio, para así, poder subir (cargar) y bajar (descargar) archivos.

El Modelo FTP

Servidor FTP

Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.). Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores.

Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a uno y así intercambiar información con él.

Servidor FTP

Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan cifrados, como el SFTP (Secure File Transfer Protocol).

El soporte del servicio de Win-2000Serv FTP es llamado FTP publishing service,y esto tiene la misma aplicación en WWW Publishing Service: System32/inetsrv/Inetinfo.exe.

Cliente FTP Cuando un navegador no está equipado con la función FTP, o si se

quiere cargar archivos en un ordenador remoto, se necesitará utilizar un programa cliente FTP. Un cliente FTP es un programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP para conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos.

Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que reside (servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir el archivo (en caso de querer subirlo nosotros al servidor), y la carpeta en la que se encuentra.

Algunos clientes de FTP básicos en modo consola vienen integrados en los sistemas operativos, incluyendo Windows, DOS, Linux y Unix. Sin embargo, hay disponibles clientes con opciones añadidas e interfaz gráfica. Aunque muchos navegadores tienen ya integrado FTP, es más confiable a la hora de conectarse con servidores FTP no anónimos utilizar un programa cliente.

Qué es un cliente FTP

Un cliente FTP emplea el protocolo FTP para conectarse a un servidor FTP para transferir archivos.

Debido a la gran necesidad, existen muchos clientes FTP. Por nombrar algunos de estos tantos, está el: FileZilaa, CuteFTP, WSS FTP, Coffe Cup, CoreFTP, WorldWide FTP, FTP Now, Shuttle FTP Suite, y muchos más... Sin embargo, yo te recomiendo que uses el FileZilla, por varios motivos: Está en varios idiomas, cosa que no todos los clientes FTP

tienen. Se conecta rápido. Además de conectarse rápido, la velocidad de subir los

archivos es más rápida que cualquier otro.

Modos de conexión del cliente FTP

FTP admite dos modos de conexión del cliente. Estos modos se denominan Activo (o Estándar, o PORT, debido a que el cliente envía comandos tipo PORT al servidor por el canal de control al establecer la conexión) y Pasivo (o PASV, porque en este caso envía comandos tipo PASV). Tanto en el modo Activo como en el modo Pasivo, el cliente establece una conexión con el servidor mediante el puerto 21, que establece el canal de control

Modo Activo En modo Activo, el servidor siempre crea el canal de datos en su puerto 20,

mientras que en el lado del cliente el canal de datos se asocia a un puerto aleatorio mayor que el 1024. Para ello, el cliente manda un comando PORT al servidor por el canal de control indicándole ese número de puerto, de manera que el servidor pueda abrirle una conexión de datos por donde se transferirán los archivos y los listados, en el puerto especificado.

Modo Pasivo Cuando el cliente envía un comando PASV sobre el canal de control, el servidor

FTP abre un puerto efímero (cualquiera entre el 1024 y el 5000) e informa de ello al cliente FTP para que, de esta manera, sea el cliente quien conecte con ese puerto del servidor y así no sea necesario aceptar conexiones aleatorias inseguras para realizar la transferencia de datos.

Tipos de transferencia de archivos en FTP

Es importante conocer cómo debemos transportar un archivo a lo largo de la red. Si no utilizamos las opciones adecuadas podemos destruir la información del archivo. Por eso, al ejecutar la aplicación FTP, debemos acordarnos de utilizar uno de estos comandos (o poner la correspondiente opción en un programa con interfaz gráfica):

type ascii Adecuado para transferir archivos que sólo contengan caracteres

imprimibles (archivos ASCII, no archivos resultantes de un procesador de texto), por ejemplo páginas HTML, pero no las imágenes que puedan contener.

type binary Este tipo es usado cuando se trata de archivos comprimidos,

ejecutables para PC, imágenes, archivos de audio...

Cómo subir archivos por medio del cliente FTP

Primero, debemos tener un servidor en donde hospedarás tu sitio. Puedes usar gratuitos, como: http://www.shinranet.com http://www.geocites.com http://www.freewebs.com

Crea tu cuenta en el servidor, te mandarán los datos a tu mail o estarán en el panel de admin, los datos a aparecer serán algo así: host: debería empezar por ftp, algo así como: ftp.dominio.com o ftp.usuario.dominio.com usuario: tu nombre de usuario contraseña: tu contraseña

Esos datos los pondrás en los cuadros de arriba, en la pantalla de FileZilla: Host-Dirección

En el cuadro que dice puerto, escribes 21 o, si es distinto escribe el que te proporcionó tu servidor.

SmartFTC, potente cliente FTC para tranferir archivos de tu PC a tu servidor en Internet

Dentro de los programas capaces de soportar el ‘Protocolo de transferencia de archivos‘, es decir los software FTP. Uno de los que mejor sabe combinar su poderosa eficiencia junto con una moderna, fácil y atractiva interfaz, se encuentra SmartFTP.

Este cliente FTP, nos permite transferir casi cualquier archivo entre nuestro ordenador (computador o PC), y nuestro servidor en Internet (servicio de Hosting o donde se encuentra alojado tu sitio Web).

Como uno de los factores más importantes para este tipo de transferencias Online es la seguridad, SmartFTP cuenta con muchas características básicas y avanzadas, para ofrecer transferencias seguras, confiables y eficientes, con unos sencillos clics o con solo arrastrar y soltar.

SmartFTC

¿PREGUNTAS?

Edwin Lacayo CEdwin_lacayo@ns.uca.edu.ni

Protocolo de Servicio de Internetworking

Contenido Protocolo de Nombramiento y Direciones

Domain Name System (DNS) Netwok Inrmation System (NIS).

Protocolo de asignación dinámica de host (DHCP) TELNET Protocolo de transferencia de archivos (FTP) Secure Shell (SSH) Protocolo de correo electronico

Simple Mail Protocol (SMTP) Multipurpose Internet Mail Extensions (MINE) Post Office Protocol (POP)

SSH Secure Shell

¿Que es SSH?

SSH (Secure Shell o cáscara segura) es un protocolo y sirve para acceder a máquinas remotas a través de una red.

Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X arrancado..

SSH Factory es un sistema basados Java del cliente para comunicarse con SSH y los servidores del telnet.

Además, SSH Factory incluye un API scripting completamente equipado y fácil utilizar lengua scripting. Esto permite que los reveladores construyan y que automaticen tareas complejas con una cantidad mínima de esfuerzo.

SSH proporciona los siguientes tipos de protección:

Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones ulteriores.

El cliente puede transmitir su información de autenticación al servidor, como el nombre de usuario y la contraseña, en formato cifrado.

Todos los datos enviados y recibidos durante la conexión se transfieren por medio de encriptación fuerte, lo cual los hacen extremamente difícil de descifrar y leer.

El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el intérprete de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura (llamada reenvío por X11), proporciona un medio seguro para usar aplicaciones gráficas sobre una red.

Administración del servidor remoto

¿Porqué usar SSH? Entre las amenazas al tráfico de red están incluidos el husmeo de paquete

y la falsificación de DNS e IP y la promulgación de información de ruteo falso. Estas amenazas se pueden catalogar del siguiente modo: Intercepción de la comunicación entre dos sistemas Comunicación

que hace una copia de la información que pasa entre ellas, conservar la información, o puede modificar la información y luego enviarla al recipiente al cual estaba destinada.

Personificación de un determinado host — con esta estrategia, un sistema interceptor finge ser el recipiente a quien está destinado un mensaje. Si funciona la estrategia, el cliente no se da cuenta del engaño y continúa la comunicación con el interceptor como si su mensaje hubiese llegado a su destino satisfactoriamente.

Ambas técnicas causan que se intercepte información, posiblemente con propósitos hostiles. El resultado puede ser catastrófico, sometido a un hack que apunta hacia un host duplicado intencionalmente.

Si se utiliza SSH para inicios de sesión de shell remota y para copiar ficheros, estas amenazas a la seguridad se pueden disminuir notablemente. La firma digital de un servidor proporciona la verificación para su identidad. No es posible utilizar la comunicación entera entre los sistemas si ha sido interceptada, porque cada uno de los paquetes está cifrado.

Secuencia de eventos de una conexión SSH

Una cierta serie de eventos ayuda a proteger la integridad de una comunicación SSH entre dos hosts.

Primero, se crea una capa de transporte segura para que el cliente sepa que está efectivamente comunicando con el servidor correcto. Luego se cifra la comunicación entre el cliente y el servidor por medio de un código simétrico.

Después, con la conexión segura al servidor en su lugar, el cliente se autentica ante el servidor sin preocuparse de que la información de autenticación pudiese exponerse a peligro.

Por último, con el cliente autenticado ante el servidor, se pueden usar varios servicios diferentes con seguridad a través de la conexión, como una sesión shell interactiva, aplicaciones X11 y túneles TCP/IP.

Requisitos de SSH para conexiones remotas

Para que SSH sea realmente eficaz para proteger sus conexiones de red, deberá dejar de usar protocolos de conexión inseguros, como por ejemplo telnet y rsh. De otra manera, la contraseña de un usuario podría ser protegida un día si se usa ssh y luego ser capturada al día siguiente cuando inicia una sesión por medio de telnet.

Para deshabilitar los métodos de conexiones inseguras para su sistema, utilice el programa de línea de comandos chkconfig, el programa compatible ncurses ntsysv, o la aplicación gráfica serviceconf. Todas estas herramientas requieren el acceso a root.

Algunos servicios a deshabilitar incluyen: telnet rsh ftp rlogin wu-ftpd vsftpd

Los protocolos TCP/IP

5 Aplicación http, telnet, smtp, ftp, ping, time, etc.

4 Transporte TCP, UDP, Sockets puros

3 Red IPv4, IPv6, ICMP, IGMP

2 Enlace Ethernet, Token Ring, ATM, etc.

1 Física Dispositivo / Física

La mayoría de estos protocolos quedan fuera del alcance de este

curso. Sólo trataremos brevemente los temas más relevantes.

ALGUNOS SERVICIOS CONOCIDOS...:

Puerto – Servicio

13 Daytime (servicio de hora)

21 FTP (File Transfer Protocol)

22 SSH (Secure Shell)

23 Telnet (Admin. Remota)

25 SMTP (Simple Mail Transf. Prot.)

53 DNS (Domain Name Server)

80 HTTP (Hiper Text Transf. Prot.)

110 POP3 (Post Office Prot.)

443 HTTPS (Secure HTTP)

Cliente SFTP y FTP gráfico para Windows, con Protocolo SSH y SCP

Si tienes un blog o pagina Web alojada en algún Hosting o Server de pago. Sabrás muy bien lo importante que es contar con un buen software para transmitir toda clase de archivos, en los formatos SFTP y FTP.

Existen muchos programas gratuitos y de pago para ejercer de clientes FTP creados para enviar y resibir archivos desde y hacia el servidor.

WinSCP es otro software gratuito de código abierto para Windows, capaz de ejercer de cliente SFTP y FTP, preparado para los protocolos SCP y SSH.

La función principal de este cliente es efectuar las copias de archivos entre un servidor local y un ordenador remoto. Un función fundamental para la correcta gestión de un Sitio Web.

Recientemente se acaba de liberar la versión WinSCP 4.1.6. La incluye importantes mejoras y correcciones de bugs encontrados en la versión anterior.

Temario.

¿PREGUNTAS?

Edwin Lacayo CEdwin_lacayo@ns.uca.edu.ni

Apertura de puerto y configuracion de proxy

Temario.

En general 1.1 Ventajas 1.2 Desventajas 2 Funcionamiento 3 Proxy de web / Proxy cache de web 3.1 Funcionamiento 3.2 Ejemplo 3.3 Otros usos 3.4 Ventajas 3.5 Desventajas 4 Proxies transparentes 5 Reverse Proxy 6 Proxy NAT (Network Address Translation) / Enmascaramiento 7 Proxy Abierto 8 Enlaces externos

En general La palabra proxy se usa en muchas situaciones en donde tiene sentido un

intermediario: El uso más común es el de servidor proxy, que es un ordenador que

intercepta las conexiones de red que un cliente hace a un servidor de destino.

De ellos, el más famoso es el servidor proxy de web (comúnmente conocido solamente como «proxy»). Intercepta la navegación de los clientes por páginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc.

También existen proxies para otros protocolos, como el proxy de FTP. El proxy ARP puede hacer de enrutador en una red, ya que hace de

intermediario entre ordenadores. Un componente hardware también puede actuar como intermediario para

otros (por ejemplo, un teclado USB al que se le pueden conectar más dispositivos USB).

Fuera de la informática, un proxy puede ser una persona autorizada para actuar en representación de otra persona; por ejemplo, alguien a quien le han delegado el derecho a voto.

Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de intermediario. También se puede traducir por delegado o apoderado (el que tiene el poder).

Ventajas En general (no sólo en informática), los proxies hacen posibles varias cosas

nuevas: Control. Sólo el intermediario hace el trabajo real, por tanto se pueden

limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy. Ahorro. Por tanto, sólo uno de los usuarios (el proxy) ha de estar equipado

para hacer el trabajo real. Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede

hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.

Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas.

Modificación. Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo.

Anonimato. Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificación.

Desventajas En general (no sólo en informática), el uso de un intermediario

puede provocar: Abuso. Al estar dispuesto a recibir peticiones de muchos usuarios

y responderlas, es posible que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene acceso y quién no a sus servicios, cosa que normalmente es muy difícil.

Carga. Un proxy ha de hacer el trabajo de muchos usuarios. Intromisión. Es un paso más entre origen y destino, y algunos

usuarios pueden no querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.

Incoherencia. Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino.

Irregularidad. El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

Funcionamiento

Un proxy permite a otros equipos conectarse a una red de forma indirecta a través de él. Cuando un equipo de la red desea acceder a una información o recurso, es realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al equipo inicial. En unos casos esto se hace así porque no es posible la comunicación directa y en otros casos porque el proxy añade una funcionalidad adicional, como puede ser la de mantener los resultados obtenidos (p.ej.: una página web) en una cache que permita acelerar sucesivas consultas coincidentes. Con esta denominación general de proxy se agrupan diversas técnicas.

Esquema de funcionamiento de SIP.edu

Situación de Partida

InternetInternet

Eth1-194.176.170.2

194.176.170.1

Red Local: 194.176.170.0

Cable cruzado

Eth0 – 81.202.0.0

Servidores InternosUsuario Remoto

Oficinas Remotas

Usuario Remoto

Internet

Servidor Proxy

Usuarios

InternetInternet

Seguridad de la Red

Proxy de web / Proxy cache de web

Se trata de un proxy para una aplicación específica; el acceso a la web. Aparte de la utilidad general de un proxy, proporciona una cache para las páginas web y los contenidos descargados, que es compartida por todos los equipos de la red, con la consiguiente mejora en los tiempos de acceso para consultas coincidentes. Al mismo tiempo libera la carga de los enlaces hacia Internet.

Funcionamiento El cliente realiza una petición (p.e. mediante un

navegador web) de un recurso de Internet (una página web o cualquier otro archivo) especificado por una URL.

Cuando el proxy caché recibe la petición, busca la URL resultante en su caché local. Si la encuentra, devuelve el documento inmediatamente, si no es así, lo captura del servidor remoto, lo devuelve al que lo pidió y guarda una copia en su caché para futuras peticiones.

Proxy de web / Proxy cache de web

El caché utiliza normalmente un algoritmo para determinar cuándo un documento está obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos básicos son el LRU (el usado menos recientemente, en inglés "Least Recently Used") y el LFU (el usado menos frecuentemente, "Least Frequently Used").

Los proxies web también pueden filtrar el contenido de las páginas Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están implementadas como proxies Web. Otros tipos de proxy cambian el formato de las páginas web para un propósito o una audiencia específicos, para, por ejemplo, mostrar una página en un teléfono móvil o una PDA. Algunos operadores de red también tienen proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web remotas.

Proxy de web / Proxy cache de web

Ejemplo [editar] Un cliente de un ISP manda una petición a Google la cual llega

en un inicio al servidor Proxy que tiene este ISP, no va directamente a la dirección IP del dominio de Google. Esta página concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta en mucho menor tiempo. Cuando el usuario crea una búsqueda en Google el servidor Proxy ya no es utilizado; el ISP envía su petición y el cliente recibe su respuesta ahora sí desde Google.

Otros usos [editar] Como método extra y de ayuda en las descargas mediante

aplicaciones P2P; el cual es usado en Lphant y algunos Mods del Emule. (ver Webcaché en aplicaciones P2P).

Proxy de web / Proxy cache de web Ventajas Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor

Proxy y no a Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones.

Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita transferencias idénticas de la información entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe una respuesta más rápida.

Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través de él, los contenidos Web.

Filtrado de contenidos: El servidor proxy puede hacer un filtrado de páginas o contenidos basándose en criterios de restricción establecidos por el administrador dependiendo valores y características de lo que no se permite, creando una restricción cuando sea necesario.

Modificación de contenidos: Basándose en la misma función del filtrado, y llamado Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el contenido

Proxies transparentes

Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché. Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuración. Una ventaja de tal es que se puede usar para redes de empresa.

Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP). En España, la compañía más expandida en cuanto a ADSL se refiere, ISP Telefónica, dejó de utilizar proxy transparente con sus clientes a partir de Febrero de 2006.

Reverse Proxy Un reverse proxy es un servidor proxy instalado en el domicilio de

uno o más servidores web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores web pasa a través del servidor proxy. Hay varias razones para instalar un "reverse proxy":

Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege los servidores web.

Cifrado / Aceleración SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado por el "reverse proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets Layer).

Distribución de Carga: el "reverse proxy" puede distribuir la carga entre varios servidores web. En ese caso, el "reverse proxy" puede necesitar reescribir las URL de cada página web (traducción de la URL externa a la URL interna correspondiente, según en qué servidor se encuentre la información solicitada).

Caché de contenido estático: Un "reverse proxy" puede descargar los servidores web almacenando contenido estático como imágenes u otro contenido gráfico.

Proxy NAT (Network Address Translation) / Enmascaramiento

Otro mecanismo para hacer de intermediario en una red es el NAT. La traducción de direcciones de red (NAT, Network Address Translation) también es

conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ahí el "enmascaramiento").

Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet. Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y será el proxy el encargado de traducir las direcciones privadas a esa única dirección pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel usuario interno que la solicitó. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x

Esta situación es muy común en empresas y domicilios con varios ordenadores en red y un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior.

Mediante NAT también se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una máquina concreta que haya sido determinada para tal fin en el propio proxy.

La función de NAT reside en los Cortafuegos y resulta muy cómoda porque no necesita de ninguna configuración especial en los equipos de la red privada que pueden acceder a través de él como si fuera un mero encaminador.

Proxy Abierto

Este tipo de proxy que acepta peticiones desde cualquier ordenador, esté o no conectado a su red.

En esta configuración el proxy ejecutará cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si fuera una petición del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envío masivo de correos de spam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como el DNS o la navegación Web, mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración "abierta" a todo internet, se convierte en una herramienta para su uso indebido.

Debido a lo anterior, muchos servidores, como los de IRC, o correo electrónicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList").

Algunos Casos de Estudio...

Servidor de InternetElecciones 2001 120 Servidores Linux en Línea

Solución Firewall LTSP Biblioteca Nacional

LINUXTERMINAL

SERVER

Internet

ISP Windows NT

RS/6000S/390

FirewallLinux

Proyecto Servicio Nacional de Aduanas

● Automatización de Instalación ● Auto-configuración● Auto-actualización● Administración Centralizada

Sendmail Correo Envases del Pacífico

➔ Servidor de Datos➔ Servidor de Nombres ➔ DNS➔ DHCP➔ Compartir Impresoras➔ FTP ( transferencia de

Archivos )➔ NFS ( Sistema de

Archivo en Redes )➔ NIS ( Sistema de

información de Redes )➔ Compatible con redes

heterogéneas

Solución de Tricot y Soinco VPN (IPSEC)

Internet

ADSLISP

Server Windows

Linux Linux

VPN

¿PREGUNTAS?

Edwin Lacayo CEdwin_lacayo@ns.uca.edu.ni