Como recordatorio y para tener un lugar donde revisar en caso de que no me acuerde, estos son los comandos para cambiar la hora y fecha en linux.
Para cambiar la fecha al 18-Septiembre-2013 y la hora a 09:14.
Para ello como root colocamos el siguiente comando.
date --set "2013-09-18 09:14"
Wed Sep 18 09:14:00 BOT 2013
Para realizar eñl cambio de la hora y fecha en el BIOS colocamos.
hwclock --set --date="2013-09-18 09:14"
Y comprobamos con los comandos basicos.
date
mié sep 18 09:17:27 BOT 2013
hwclock
mié 18 sep 2013 09:19:52 BOT -0.697630 segundos
Con eso tenemos la hora configurada.
miércoles, 18 de septiembre de 2013
jueves, 14 de junio de 2012
CCNA SECURITY PARTE I
INTRODUCCION - GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN LA ACTUALIDAD
CURRÍCULA CCNA
SECURITY (640-554 IINS)
Los doce (12) ámbitos de la seguridad de la red proporcionan una segmentación conveniente para tratar los elementos de seguridad de la red. Si bien no es importante memorizar estos 12 ámbitos, es importante ser conscientes de su existencia y la declaración formal de la norma ISO.
La política de seguridad de la red es un documento con un amplio escenario, comprende de extremo a extremo los documentos diseñados para ser claramente aplicables a las operaciones de una organización. La política debe ser utilizada en el diseño de la red para transmitir los principios de seguridad y facilitar el despliegue de la red.
Dentro de la política de seguridad de la red se describen las reglas para el acceso a la misma, además determina cómo se aplican las políticas y describe claramente la arquitectura básica de seguridad de red del entorno de la organización. El documento en general cuenta con varias páginas, debido a la amplitud de la cobertura y el impacto sobre todos los procesos de la organización, por lo general es compilado por un comité.
Se trata de un documento complejo destinado a gobernar los elementos tales como el acceso de datos, la navegación web, uso de contraseñas, cifrado de datos, manejo de archivos adjuntos en mensajes de correo electrónico, etc.
Una política de seguridad debe tomar en cuenta que cualquier usuario puede tener malas intenciones y debe tomar control sobre los usuarios potencialmente peligrosos.
Para crear una política primero hay que entender qué servicios están disponibles para los usuarios y en base a este análisis establecer una jerarquía de permisos de acceso, dando a los empleados sólo el acceso mínimo necesario para realizar su trabajo.
Las políticas de seguridad de la red deben especificar que los activos de la organización que brinden alguna funcionalidad con respecto a los servicios tecnológicos, deben ser protegidos y además describir cómo debe ser protegido.
Esto será utilizado para determinar los dispositivos de seguridad y estrategias de mitigación además de los procedimientos que se deben implementar en la red. Si bien la política de seguridad debe ser integral, también debe ser lo suficientemente concisa como para ser utilizada por los profesionales de tecnologías de la información en la organización.
Uno de los pasos más importantes es la creación de una política que identifique los elementos críticos. Estos según el escenario podrán ser: bases de datos, aplicaciones principales, los clientes y la información del empleado, la información comercial reservada, unidades compartidas, servidores de correo, servidores web, etc.
Se puede entender a una política de seguridad como un conjunto de objetivos para la empresa, las reglas de comportamiento para los usuarios y administradores y los requisitos para la gestión del sistema, colectivamente garantizarán la seguridad de los sistemas de red y los equipos de usuarios en una organización.
Plataformas Cisco IOS con Sistemas de prevención de intrusiones (IPS), concentradoras de redes privadas virtuales (VPN) y estado de Firewall integrado, para asegurar la conectividad IP.
El objetivo de esta certificación es demostrar
que el profesional en seguridad se encuentra capacitado para implementar una
infraestructura de datos segura, además de reconocer y mitigar las amenazas y
vulnerabilidades en las redes de comunicación.
INTRODUCCIÓN
Desde el primer momento que se implementan las
redes de comunicación, aparecen amenazas sobre el manejo de las mismas, y a raíz
de estas amenazas surge la necesidad de brindar seguridad a la comunicación sobre
una red. Es por ello que el avance de las redes seguras se convierte en un ámbito
importante dentro del desarrollo de las tecnologías de la información,
abarcando todos los campos actuales de las TIC.
La currícula de la certificación Cisco CCNA
Security aborda varios de sus primeros temas como referencia y antecedentes de
lo que es la historia de las amenazas de seguridad en las redes de
comunicación, punto que no es relevante para el examen de certificación por lo
que no se tomara en cuenta.
GESTION DE LA
SEGURIDAD DE LA INFORMACIÓN EN LA ACTUALIDAD
En la actualidad existen doce (12) ámbitos de
la seguridad que deben tomarse en cuenta y deben cumplirse según la norma ISO/IEC 27002 establecida por la Organización Internacional para la
Estandarización (ISO por sus siglas en ingles) y la Comisión Electrotécnica Internacional (IEC por sus siglas en ingles).
Estos doce (12) ámbitos de la seguridad están destinados a servir como una base común para la elaboración de normas
de organización de seguridad y prácticas eficaces de gestión de la seguridad,
además de ayudar a construir relaciones de confianza entre organizaciones.
Ámbitos de la
seguridad según norma ISO/IEC 27002.
Evaluación del riesgo.
Estudio para determinar el valor
cualitativo/cuantitativo relativo a una situación o una amenaza conocida.
Políticas de Seguridad.
Declaración formal que engloba las limitaciones
y comportamientos de los miembros de una organización y especifica como y quien
puede acceder a los datos de dicha organización.
Organización de la
seguridad de la información.
Modelo de gobierno o administración jerárquica
establecida por una organización para el manejo de la seguridad de la información.
Administración de
activos.
Esquema de organización o inventario para la
clasificación de los activos pertenecientes a una organización.
Seguridad de recursos
humanos.
Engloba los procedimientos en cuanto a la unión,
movimiento y abandono de los usuarios de una organización.
Seguridad física y del
ambiente.
Describe la protección de acceso a los
servicios computacionales (equipos de usuario, equipos de red, equipos
servidores, etc.) dentro de una organización.
Administración de la
comunicación y las operaciones.
Describe la administración de los controles de
seguridad técnica en los sistemas y redes.
Control de Acceso
Engloba el control de acceso y los
derechos/permisos de acceso a los sistemas, aplicaciones, funciones y datos.
Adquisición,
implementación y administración de los sistemas de información.
Engloba la integración de la seguridad entre
aplicaciones.
Administración de los
incidentes de seguridad de la información.
Engloba/describe los protocolos de acción/reacción
frente a intrusiones o amenazas en la seguridad de la información.
Administración de la
continuidad de los procesos.
Describe la protección, administración y
recuperación de sistemas y procesos críticos para la empresa.
Conformidad.
Describe los procesos para garantizar la
conformidad con las políticas, estándares y regulaciones con la seguridad de la
información.
Los doce (12) ámbitos de la seguridad de la red proporcionan una segmentación conveniente para tratar los elementos de seguridad de la red. Si bien no es importante memorizar estos 12 ámbitos, es importante ser conscientes de su existencia y la declaración formal de la norma ISO.
Uno de los ámbitos más importantes es la Política de Seguridad. Como se había
definido, una política de seguridad es
una declaración formal de los comportamientos y
limitaciones que las personas deben
cumplir con respecto al acceso a los servicios tecnológicos e información de una organización.
La concepción, el desarrollo y la aplicación de
una política de seguridad juegan un
papel importante en la administración de una organización segura y es responsabilidad de un
profesional de seguridad de la información diseñar y armar la política de seguridad en todos los aspectos
de las operaciones dentro de una
organización.
La política de seguridad de la red es un documento con un amplio escenario, comprende de extremo a extremo los documentos diseñados para ser claramente aplicables a las operaciones de una organización. La política debe ser utilizada en el diseño de la red para transmitir los principios de seguridad y facilitar el despliegue de la red.
Dentro de la política de seguridad de la red se describen las reglas para el acceso a la misma, además determina cómo se aplican las políticas y describe claramente la arquitectura básica de seguridad de red del entorno de la organización. El documento en general cuenta con varias páginas, debido a la amplitud de la cobertura y el impacto sobre todos los procesos de la organización, por lo general es compilado por un comité.
Se trata de un documento complejo destinado a gobernar los elementos tales como el acceso de datos, la navegación web, uso de contraseñas, cifrado de datos, manejo de archivos adjuntos en mensajes de correo electrónico, etc.
Una política de seguridad debe tomar en cuenta que cualquier usuario puede tener malas intenciones y debe tomar control sobre los usuarios potencialmente peligrosos.
Para crear una política primero hay que entender qué servicios están disponibles para los usuarios y en base a este análisis establecer una jerarquía de permisos de acceso, dando a los empleados sólo el acceso mínimo necesario para realizar su trabajo.
Las políticas de seguridad de la red deben especificar que los activos de la organización que brinden alguna funcionalidad con respecto a los servicios tecnológicos, deben ser protegidos y además describir cómo debe ser protegido.
Esto será utilizado para determinar los dispositivos de seguridad y estrategias de mitigación además de los procedimientos que se deben implementar en la red. Si bien la política de seguridad debe ser integral, también debe ser lo suficientemente concisa como para ser utilizada por los profesionales de tecnologías de la información en la organización.
Uno de los pasos más importantes es la creación de una política que identifique los elementos críticos. Estos según el escenario podrán ser: bases de datos, aplicaciones principales, los clientes y la información del empleado, la información comercial reservada, unidades compartidas, servidores de correo, servidores web, etc.
Se puede entender a una política de seguridad como un conjunto de objetivos para la empresa, las reglas de comportamiento para los usuarios y administradores y los requisitos para la gestión del sistema, colectivamente garantizarán la seguridad de los sistemas de red y los equipos de usuarios en una organización.
Cabe destacar que una política de seguridad es un documento no definido a totalidad,
lo que significa que el documento no
está terminado y debe actualizarse contantemente
de acuerdo a la evolución de la tecnología, los negocios y el cambio de la parte laboral (personal).
Por ejemplo las computadoras portátiles de la
organización de los empleados estarán
sujetos a varios tipos de ataques, como virus de correo electrónico. En este caso una
política de seguridad de la red define
explícitamente la frecuencia de
actualizaciones de virus y actualizaciones de software
que deben ser instaladas.
Una política de seguridad de la red lleva a todas las medidas que deben adoptarse
para asegurar los recursos de red.
A medida que avanza a través de este
supuesto, las políticas de seguridad
serán revisadas para asegurar que el usuario entienda su naturaleza integral en una organización bien administrada.
Redes de seguridad CISCO
Una Red
de Auto-defensa de Cisco (SDN) (Self-Defending Network)
utiliza la red para identificar, prevenir y adaptarse a las amenazas. A diferencia de
las estrategias de solución de punto,
donde los productos son adquiridos de
forma individual sin tener en cuenta qué productos funcionan mejor en conjunto.
Un SDN de Cisco comienza
con una fuerte plataforma de
red segura y flexible a partir de
la cual se construye una solución de
seguridad.
Una topología de Cisco SDN
incluye Cisco Security Manager brindando una alta supervisión,
análisis y respuesta (MARS),
una o varias IPS, uno o más servidores de seguridad, varios routers y concentradores
VPN. Algunos de éstos pueden
aparecer como hojas en un switch Catalyst 6500 o como módulos en un
Router de Servicios Integrados (ISR),
o como software aplicativo instalado
en los servidores o dispositivos independientes.
El portafolio de seguridad integrada de Cisco está diseñado para cumplir con los requisitos y modelos diversos de implementación de cualquier red y
cualquier entorno.
Cabe mencionar que la SDN de Cisco se compone de varios dispositivos, entre los cuales se encuentra:
Cabe mencionar que la SDN de Cisco se compone de varios dispositivos, entre los cuales se encuentra:
Plataformas Cisco IOS con Sistemas de prevención de intrusiones (IPS), concentradoras de redes privadas virtuales (VPN) y estado de Firewall integrado, para asegurar la conectividad IP.
Dispositivos de seguridad de
la serie PIX 500 con concentradoras VPN integradas, para garantizar el perímetro de seguridad y el
control de acceso a la red. (La serie PIX se encuentra descontinuada y no se
brinda mas soporte sobre los equipos pertenecientes a esta familia).
Red integrada de IDS (Sistemas
de detección de Intrusiones) e IPS (Sistemas de prevención de Intrusiones), para garantizar la detección y prevención
de intrusiones por parte de atacantes externos o internos, anteriormente se
encontraban integrados en equipos Router Cisco IOS, Dispositivos de seguridad
PIX Cisco y Dispositivos de Seguridad Adaptiva Cisco (ASA).
Módulos de seguridad para
Switches serie Cisco Catalyst 6500 y routers serie Cisco 7500, para proveer seguridad a través del
Centro de Cómputo, incluyendo control de acceso y seguridad por puerto.
Dispositivos de Seguridad
Adaptiva de la serie Cisco ASA 5500 con concentradoras de VPN integradas, para garantizar el perímetro de
seguridad brindando control de acceso y prevención de intrusiones.
Sistema de detección de
intrusiones basada en dispositivos de red (IDS) y sistemas de prevención de
intrusiones (IPS), dispositivo
independiente que asegura la detección y prevención de intrusiones.
Seguridad Cisco ACS, dispositivo que asegura que los usuarios
cuenten con la correcta autorización para acceder a los recursos tecnológicos de
la organización.
Software Agente de Seguridad
Cisco para protección de punto final, diseñado para la protección de servidores y equipos de usuario del daño
de amenazas conocidas y desconocidas.
Administrador de Seguridad
Cisco (CSM), Seguridad Cisco MARS, Administrador de dispositivos de seguridad y
Router Cisco (SDM) y otros administradores de dispositivos basados en interfaz
GUI, diseñados para
brindar una administración mas eficaz de los dispositivos de seguridad.
Proyecto CCNA Security
Nuevo post para compartir, Edú al teclado, en
esta oportunidad para iniciar un pequeño proyecto, hace un par de meses me
certifique como Asociado de Red Cisco (CCNA para hacerlo más simple XD) y ahora
me encuentro revisando material y estudiando para rendir mi examen de
certificación CCNA Security, todo esto sin pisar un instituto o pasar un curso
de seguridad CCNA (esto por no pagar grandes sumas en cursos que no estoy
seguro sirvan de mucho).
Como introducción decir que recopile bastante información sobre la currícula de seguridad de Cisco, al principio pensaba seriamente hacer un curso de CCNA Security en algún centro capacitador de Cisco, pero al realizar las averiguaciones correspondientes opté por realizar la preparación por mi mismo, me explico: el curso de CCNA Security acá en Bolivia cuesta un aproximado de 1000 $us ya sea un curso de 40 horas en CTT o un semestre en STC, ambos cuentan con certificación como centro de capacitación, con lo cual al aprobar el curso uno obtiene el Voucher Cisco que es un descuento del 70 -75 % para el examen de certificación, el cual tiene un costo de 200 $us y con el descuento del Voucher llegaría a costar 50 $us, además de los 200 Bs que te cuesta el uso del ambiente de certificación.
En La Paz uno tiene 3 opciones para certificarse Cognos, CTT o Solusoft, siendo los tres opciones validas y recomendables para rendir el examen de certificación y el precio no varia por mucho en los tres casos, tomando en cuenta esto hagamos cálculos: Curso CCNA Security + Examen de Certificación + Uso del Ambiente (1000 $us + 200 $us + 30 $us) = 1230 $us (8549 Bs).
Ahora bien aclaremos algo, no es por tacaño que decidí estudiar por mi cuenta para la certificación, aunque gastarme 8000 Bs no se me hace muy divertido y menos si es estudiando, es mas que todo por pereza, pereza de tener que salir de la oficina corriendo para pasar clases hasta las nueve y pico de la noche, pereza de tener que atrasarme o incluso faltar a clases por que el trabajo así me lo exige (como encargado de red trabajo mas a deshoras que en horario laboral) y mas que todo pereza de ir y pasar las clases con la mente en otro lado, por ello decidí estudiar por mi cuenta para rendir la certificación, por lo que en mi caso el examen llegaría a costarme: Examen de Certificación + Uso de ambiente (200 $us + 30 $us) = 230 $us (1610 Bs.) hasta acá todo bien y bonito, pero el problema es: ¿Lo haré?
Y bueno decidí que lo intentare y no se me ocurre mejor método de estudio que revisar documentación sobre la currícula, sacar información importante, practicar sobre casos posibles de laboratorios, ya sean simulados o reales (puedo aprovechar algunos equipos del trabajo) y finalmente probar con las simulaciones de los exámenes de certificación. Es por ello que iré publicando todo mi avance en el blog a fin de poder ofrecer información útil a otras personas que se encuentren interesadas en el tema.
Adicionando más información deseo realizar mi certificación a mediados del mes de agosto, ¿lograre certificarme? Solo el tiempo lo dirá, por mi parte pondré todo el esfuerzo y la voluntad posible.
martes, 5 de junio de 2012
Dia Mundial IPv6 ...... compartila
Edú al teclado, con una noticia que me corria por la mente desde hace un par de días, la llegada del IPv6, lamentablemente debido al trabajo, las clases y la novia, no pude escribir nada en el blog, pero ahora si me saque mas tiempo y esto debido a un pequeñisimo problema que me paso en la oficina el dia de hoy.
Sucede que hoy, al llegar con toda alegria a mi oficina (saltando mientras cantaba Singin' in the Rain) me esperaba uno de los encargados de soporte tecnico para indicarme que la navegacion se encontraba por demas lenta y que algunos usuarios (extrañamente madrugadores) estaban teniendo problemas, grande fue mi sorpresa al encontrar tal informacion verdadera cuando ingreso a los susodichos equipos, al revisar la disponibilidad y el ancho de banda de los enlaces, descubro que estos se encontraban trabajando de forma correcta y desde mi equipo la navegacion no tiene problema alguno, ¿entonces cual podria ser el problema? al revisar el historial de navegación descubro que hay paginas que responden de forma correcta, al intentar acceder paginas locales y algunas menos conocidas internacionales me encuentro con una respuesta rapida y sin complicaciones.
Segundos despues al mirar mi reloj me doy cuenta que hoy 5 de mayo de 2012 empieza la migracion de las grnades empresas de la internet a IPv6, ooooooo ¿podria ser acaso esta la razon de que mis madrugadores usuarios no puedan conectarse correctamente a las paginas de ocio que acostumbran? pues no, la migracion a IPv6 no afecta a las empresas que se estan preparando hace tanto tiempo para el Día Mundial del IPv6 pero si afecta a un grado infimo a los usuarios que nunca actualizan ciertos componentes de sus equipos, tal es el caso de utilizar navegadores de hace muchos años atras, me refiero a Internet Explorer 6 y/o Mozilla Firefox 4, en mi caso o bueno en el caso de mis madrugadores usuarios.
Solucion: Actualizar sus navegadores, a pesar de la oposicion de algunos de mis "colegas" que exigian utilizar IE 6 por la compatibilidad con sistemas, por demas, antiguos.
Aprovechando este episodio, quiero escribir algunas cosas, supongo que un poco tarde, sobre la compatibilidad de IPv4 e IPv6, este 06 de Junio de 2012 a horas 00:00, grandes empresas del ambito de los servicios tecnologicos, realizaran el cambio de sus plataformas a IPv6, esto significa que al fin despues de muchisimo tiempo (IPv6 se origina como protocolo alla por los años 70 - 80) al fin se realizara una implementación del protocolo de forma global, un gran paso para IPv6 que pronto nos dara un monton de alegrias y tristezas, topicos que les comentara en algun post mas adelante.
En cuanto a las personas que seguimos utilizando el querido y bien conocido IPv4, no esta demas decir que no hay mucho que temer, la compatibilidad entre ambos protocolos es completa y es muy dificil que se presenten complicaciones en la comunicacion entre equipos IPv4 y equipos IPv6.
Como dato adicional les dejo una lista de las empresas que adoptan el protocolo el dia de hoy 05/06/2012 a horas 20:00 hora Bolivia, informacion que pueden encontrar en esta dirección.
jueves, 3 de mayo de 2012
Servidor DNS con BIND en CENTOS 5.7
A pedido de un amigo, les doy una ayuda con la
configuracion del servidor DNS con BIND en Centos 5.7.
Basicamente un servidor de DNS es aquel que
resuleve los nombres en una red, esto ayuda bastante cuando tienes una red LAN
con servidores y necesitas que los usuarios de la red accedan a los diferentes
sistemas de dichos servidores.
BIND DNS es uno de los servidores mas utilizados a
nivel mundial, el DNS de Google (8.8.8.8) esta en BIND, al ser un servidor
opensource es bastante accesible para utilizar practicar y entender como
trabaja el servicio de resolución de nombres de domnio (DNS).
Los componentes basicos de un servidor DNS son 3:
- Dominio (Nombre de dominio de la red)
- Servidor DNS (equipo que aloja el servicio DNS y
las listas de nombres e IP's, pertenecientes al dominio)
- Cliente DNS (equipos de la red que realicen
peticiones al servidor DNS)
Basicamente el funcionamiento es el siguiente:
El cliente DNS (equipo de trabajo) ingresa a traves
de su navegador al sistema Contabilidad, esta peticion se envia al servidor DNS
el cual revisa sus tablas de nombres y encuentra que Contabilidad pertenece al
dominio ejemplo.net y tiene la dirección 192.168.1.10, el servidor envia esta
información al cliente DNS y este envia la peticion al servidor con la
dirección 192.168.1.10.
Para configurar el servidor BIND en un servidor con
Centos 5.7 o Red Hat 6 los pasos basicos a seguir son:
Instalacion de BIND en el servidor
Lo mas facil es instalarlo mediante YUM.
yum -y
install bind bind-chroot caching-nameserver
Una vez instalado el BIND
necesitamos configurar nuestras dos zonas necesarias, la del dominio y la del
dominio inverso, para ello creamos un nuevo directorio llamado dynamics donde
se guardaran nuestras dos zonas.
mkdir
/var/named/chroot/var/named/dynamics
Asignamos permisos de lectura,
escritura y ejecución para el usuario y grupo named (770).
chmod 770
dynamics/
chown
named.named dynamics/
Creamos nuestra primera zona
(dominio ejemplo.net) dentro del directorio dynamics y despues lo editamos.
touch
/var/named/chroot/var/named/dynamics/ejemplo.net.zone
vim
/var/named/chroot/var/named/dynamics/ejemplo.net.zone
Dentro del archivo
ejemplo.net.zone escribimos los parametros basicos de la zona.
$TTL 86400
@ IN SOA dns1.ejemplo.net. root.ejemplo.net. (
2009081501 ; número de serie
28800 ; tiempo
necesario para el refresco de la tabla
7200 ; tiempo
necesario entre reintentos
604800 ; tiempo que
la zona expira si deja de resolver
86400 ; tiempo total
de vida (1 día)
)
@ IN NS dns1.ejemplo.net.
@ IN A 192.168.1.2
dns1 IN A 192.168.1.2
Donde lo principal es definir la entrada del servidor DNS, que en nuestro caso es el equipo dns1.ejemplo.net, colocamos su traducción indicando que su dirección es la 192.168.1.2.
Guardamos la configuracion (esc
:x enter) y continuamos con la creacion de nuestra segunda zona (zona inversa),
para ello creamos el archivo dentro del directorio /dynamics y lo editamos.
touch
/var/named/chroot/var/named/dynamics/1.168.192.in-addr.arpa.zone
vi /var/named/chroot/var/named/dynamics/1.168.192.in-addr.arpa.zone
Dentro del archivo escribimos los
parametros basicos de la zona inversa.
$TTL 86400
@ IN SOA dns1.ejemplo.net. root.ejemplo.net. (
2009081501 ; número de serie
28800 ; tiempo necesario
para el refresco de la tabla
7200 ; tiempo
necesario entre reintentos
604800 ; tiempo que
la zona expira si deja de resolver
86400 ; tiempo total
de vida (1 día)
)
@ IN NS dns1.ejemplo.net.
1 IN PTR proxy.ejemplo.net.
De la misma forma lo
principal es indicar cual es nuestro servidor principal que en nuestro caso es
dns1.ejemplo.net y colcamos los datos de la resolucion inversa para nuestra
red.
Ahora asignamos
permisos a ambos archivos:
cd /var/named/chroot/var/named/dynamics/
chown named:named ejemplo.net.zone
chown named:named 1.168.192.in-addr.arpa.zone
chcon -u system_u -r object_r -t named_zone_t ejemplo.net.zone
chcon -u system_u -r object_r -t named_zone_t 1.168.192.in-addr.arpa.zone
Con nuestras zonas
creadas y con permisos asignados, lo ultimo que nos queda es crear y editar
nuestro archivo named.conf, que es el servidor DNS en si.
touch /var/named/chroot/etc/named.conf
vim /var/named/chroot/etc/named.conf
Dentro del archivo
named.conf escribimos la configuracion basica del servidor DNS.
acl "ejemplo" {
127.0.0.1/32;
192.168.1.0/24;
};
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-recursion { red-local; };
allow-query { red-local; };
forwarders { 8.8.8.8; 4.2.2.2;};
forward first;
};
include "/etc/named.rfc1912.zones";
include "/etc/rndc.key";
zone "ejemplo.net" {
type master;
file "/var/named/dynamics/ejemplo.net.zone";
allow-update { key "rndckey"; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/var/named/dynamics/1.168.192.in-addr.arpa.zone";
allow-update { key "rndckey"; };
};
Donde lo primero que
realizamos es la creación de una lista de acceso llamada "ejemplo"
(nombre del dominio, si el dominio fuera ejemplo.com.bo, la lista seria
ejemplo.com) dentro de la lista de acceso definimos cuales son las subredes que
pertenecen a este dominio, en este caso la interfaz del servidor 127.0.0.1/32 y
la subred 192.168.1.0/24.
En forwarders
indicamos al servidor donde realizar las consultas de direcciones que no
conozca, en nuestro caso colocamos los DNS de Google (8.8.8.8) y de Sprint
(4.2.2.2), finalmente indicamos al servidor la locacion de nuestros archivos de
zonas.
Salimos de la
configuracion (Esc :x enter) e iniciamos nuestro servidor DNS, cuyo servicio es
named.
service named start
Si el servidor no nos
indica ningun error, podemos configurar nuevas entradas en las zonas.
vim /var/named/chroot/var/named/dynamics/ejemplo.net.zone
$TTL 86400
@ IN SOA dns1.ejemplo.net. root.ejemplo.net. (
2009081501 ; número de serie
28800 ; tiempo necesario para el refresco de la tabla
7200 ; tiempo necesario entre reintentos
604800 ; tiempo que la zona expira si deja de resolver
86400 ; tiempo total de vida (1 día)
)
@ IN NS dns1.ejemplo.net.
@ IN A 192.168.1.2
dns1 IN A 192.168.1.2
Contabilidad.ejemplo.net IN A 192.168.1.10
Guardamos y salimos
(Esc :x Enter).
Para comprobar si el
servidor esta resolviendo los nombres correctamente, podemos realizar un ping
desde el servidor a nuestro mismo nombre.
ping dns1
Si el servidor
funciona correctamente nos entregara la siguiente respuesta.
PING dns1.ejemplo.net (192.168.1.2) 56(84) bytes of data.
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=1 ttl=64 time=0.075 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=2 ttl=64 time=0.024 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=3 ttl=64 time=0.045 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=4 ttl=64 time=0.021 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=5 ttl=64 time=0.033 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=1 ttl=64 time=0.075 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=2 ttl=64 time=0.024 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=3 ttl=64 time=0.045 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=4 ttl=64 time=0.021 ms
64 bytes from dns1.ejemplo.net (192.168.1.2): icmp_seq=5 ttl=64 time=0.033 ms
Probamos con nuestro
servidor Contabilidad.ejemplo.net
ping Contabilidad
PING Contabilidad.ejemplo.net(192.168.1.10) 56(84) bytes of data.
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=1 ttl=64 time=0.065 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=2 ttl=64 time=0.022 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=3 ttl=64 time=0.034 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=4 ttl=64 time=0.021 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=5 ttl=64 time=0.038 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=1 ttl=64 time=0.065 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=2 ttl=64 time=0.022 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=3 ttl=64 time=0.034 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=4 ttl=64 time=0.021 ms
64 bytes from Contabilidad.ejemplo.net (192.168.1.10): icmp_seq=5 ttl=64 time=0.038 ms
Con esto comprobamos que nuestro
servidor DNS con BIND se ha configurado correctamente, configuramos el servicio
named para que arranque con el sistema.
chkconfig named on
Por ultimo
verificamos que nuestro puerto 53 (DNS) este habilitado en las reglas del
servidor para esponder a peticiones de otras maquinas.
service iptables status
Verificamos en la
cadena INPUT (Chain INPUT) que el puerto 53 este permitido.
Tabla: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123
4 ACCEPT udp -- 200.160.7.186 0.0.0.0/0 udp dpt:123
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
7 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Como en nuestro caso no esta permitido, lo habilitamos, pero solamente permitimos que reciba peticiones en la interfaz de la LAN (nuestro caso toma en cuenta un servidor con salida a internet).
Chain INPUT (policy ACCEPT)
num target prot opt source destination
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123
4 ACCEPT udp -- 200.160.7.186 0.0.0.0/0 udp dpt:123
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
7 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Como en nuestro caso no esta permitido, lo habilitamos, pero solamente permitimos que reciba peticiones en la interfaz de la LAN (nuestro caso toma en cuenta un servidor con salida a internet).
iptables -I INPUT -i eth0 -p udp --dport 53 -j ACCEPT
Verificamos que el
puerto aparezca en nuestra cadena INPUT.
Tabla: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123
4 ACCEPT udp -- 200.160.7.186 0.0.0.0/0 udp dpt:123
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
7 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:123
4 ACCEPT udp -- 200.160.7.186 0.0.0.0/0 udp dpt:123
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
6 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
7 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Guardamos la
configuración de nuestras Iptables.
service iptables save
Y finalmente
reiniciamos todos los servicios modificados.
service iptables restart
service network restart
service named restart
Una vez que todo
inicia sin ningun error, podemos comprobar que el servidor responde a
peticiones desde la LAN, realizando un ping desde un equipo en la red local.
ping Contabilidad
PING Contabilidad.ejemplo.net(192.168.1.10) 56(84) bytes of data.
64 bytes from 192.168.1.10: icmp_seq=1 ttl=32 time=0.125 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=32 time=0.092 ms
64 bytes from 192.168.1.10: icmp_seq=3 ttl=32 time=0.044 ms
64 bytes from 192.168.1.10: icmp_seq=4 ttl=32 time=0.011 ms
64 bytes from 192.168.1.10: icmp_seq=1 ttl=32 time=0.125 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=32 time=0.092 ms
64 bytes from 192.168.1.10: icmp_seq=3 ttl=32 time=0.044 ms
64 bytes from 192.168.1.10: icmp_seq=4 ttl=32 time=0.011 ms
Con esto tenemos un
servidor DNS funcional.
Suscribirse a:
Entradas (Atom)