Embed Size (px)
Citation preview
UNIDAD IVSERVICE DE GATEWAY
OBJETIVOS• Use Asistente para configuración de Gateway
para configurar de servicios Firewall, NAT y VPN.
• Use Asistente para habilitar, configurar, monitorear servicio de Firewall.
• Obtener reglas de Firewall, determinar que reglas es aplicada a los paquetes.
• Use Server Admin para filtrar trafico basados en direcciones IP de destinos, puertos y direcciones IP de origen.
• Use Server Admin para habilitar, configurar, monitorear servicio NAT.
• Describir las relación entre puertos IP y servicios en un host IP.
• Conocer la configuración de servicio VPN.
Servicio Gateway•Es necesario considerar la seguridad como
medida preventiva antes de ajustar o configurar cualquier servidor.
•Este capitulo introduce a usted a diferentes servicios que permiten a usted corren en Mac OS X Server como un gateway en internet.
•Ademas provee seguridad en curso de los usuarios hacia el acceso de la información.
•Mac OS X Server tiene un método simple de manejo de estas opciones en base a 4 áreas.
Areas• Gateway Setup Assistant: configuración
básica de servicios como firewall, virtual private network (VPN), network address translation (NAT), y Domain Name Services (DNS) en Mac OS X Server.
• A firewall ayuda a restringir el acceso a ciertos peticiones.
• Network Address Translation: permite a direcciones publicas de protocolo internet (IP) a actuar en nombre de su red de ingreso.
• Virtual Private Networking: permite a computadoras conectadas al Server Mac ajustar la seguridad de la red.,
Protejiendo su Network
• En un ambiente actual provee servicios de seguridad (IP) para que puedan cambiar ajustes.
• Consideraciones:
• Acceso a servicios desde externos con la finalidad de limitar accesos.
• Clientes remotos necesitan recursos de red via Internet.
• Internal clientes: necesita compartir una interfaz externa de red.
• Cuando combine estos servicios usted tendrá una potente equipo de seguridad implementado en su red.
•Si es necesario futuras configuraciones estos tres servicios estan en la capacidad de:
•Expandirse.
•Personalizar.
•Adaptarse al acceso de las redes.
Gateway Setup Assistant•Es una herramienta de configuración
básica que usted puede usar para levantar servicios como firewall, NAT and VPN que proveen funcionalidad gateway (entrada).
• Usted ingresa la información adecuada al asistente de configuración de Gateway y este se encarga de habilitar los servicios para alta integración de los mismos.
• Tambien permite configurar DHCP y DNS porque son requerimientos de Firewall, NAT y VPN para su correcto funcionamiento.
•Diseñado para ayudar a crear una básica configuración de estos servicios, usted puede utilizar el Server Admin para personalizar su configuración o implementar avances en los servicios.
•No puede ser usado para para cualquier servicio.
•Puede sobre-escribir ajustes ya sean de los servicios de DHCP, DNS, Firewall, NAT, VPN.
•Puede cambiar información de los puertos TCP/IP
Gateway Assistant• Assign the “internal” interfaces on the server an address
that fails in the 192.168.x.1 range.
• Set aside address in the 192.168.x.x range is hard-coded in the tool. Gateway Setup Assistant writes over the port information each time it executes.
• Enable DCHP server and configure it to provide the address set aside to computers on the internal network.
• Optionally start VPN server and set aside a range of address for VPN clients.
• Enable NAT to allow machines on the internal network to share the server’s Inernet connection.
• Enable firewall and block all traffic coming the Internet, will allowing all traffic from internal clients to go out.
• Enable the DNS server, which is configured by default as a caching server, to improve preformance of named services for internal clients.
Practica de Configuración de Gateway Setup
Assistant
Configuración Gateway Setup
Assistant•Trabajar con:
•2 redes separadas.
•Configurar servidor para que actúe con el Gateway.
Protocolos• Protocolo de red o también Protocolo de Comunicación
es el conjunto de reglas que especifican el intercambio de datos u órdenes durante la comunicación entre las entidades que forman parte de una red.
• Propiedades:
• Detección de la conexión física sobre la que se realiza la conexión (cableada o sin cables)
• Pasos necesarios para comenzar a comunicarse (Handshaking)
• Negociación de las características de la conexión.
• Cómo se inicia y cómo termina un mensaje.
• Formato de los mensajes.
• Qué hacer con los mensajes erróneos o corruptos (corrección de errores)
• Cómo detectar la pérdida inesperada de la conexión, y qué hacer en ese caso.
• Terminación de la sesión de conexión.
• Estrategias para asegurar la seguridad
Definición de protocolo de aplicación•Definir el modelo de comunicación:
Tenemos dos opciones: Orientado a conexión o No orientado a conexión
•Definir el servicio de transporte: Que sea fiable o no. tenemos que definir la fiabilidad que tiene. Si queremos total fiabilidad: TCP, y sino se quiere UDP.
•Definir el tipo de sintaxis: Hay dos tipos. Nos fijamos en la unidad que va a ser capaz de comprender. Bits o Caracteres.
TCP• Este no es un protocolo, si no un conjunto de
protocolos, que toma su nombre de los dos más conocidos: TCP (Transmission Control Protocol, protocolo de control de transmisión) e IP (Internet Protocol).
• Esta familia de protocolos es la base de la red Internet, la mayor red de ordenadores del mundo. Por lo cual, se ha convertido en el más extendido.
• El protocolo IP permite llevar los datos de un ordenador a otro, sin necesidad de que exista una conexión directa. Cada paquete lleva incluida la dirección del remitente y del destinatario, por lo que puede llegar a término moviendose por distintas redes, dirigido por enrutadores.
AppleTalk• Es el protocolo de comunicación para
ordenadores Apple Macintosh y viene incluido en su sistema operativo, de tal forma que el usuario no necesita configurarlo. Existen tres variantes de este protocolo:
• LocalTalk. La comunicación se realiza a través de los puertos serie de las estaciones. La velocidad de transmisión es pequeña pero sirve por ejemplo para compartir impresoras.
• Ethertalk. Es la versión para Ethernet. Esto aumenta la velocidad y facilita aplicaciones como por ejemplo la transferencia de archivos.
• Tokentalk. Es la versión de Appletalk para redes Tokenring.
UDP• UDP (User Datagram Protocol) es uno de los dos
principales protocolos de transporte utilizados en las redes IP.
• El protocolo UDP existe en la capa de transporte del modelo OSI.
• Cuando decimos que la UDP no es fiable, es decir, que UDP no ofrece mecanismos para la detección de errores y la corrección de los errores entre la fuente y el destino. Because of this, UDP utilized bandwidth more efficiently than TCP. Debido a esto, el ancho de banda UDP utilizados de manera más eficiente que TCP.
• Las aplicaciones que utilizan UDP y que requieren un transporte fiable debe aportar su propia detección y corrección de errores mecanismos.
Diferencias entre TCP y UDP• En primer lugar no son puertos, son protocolos de
transmisión de datos a través de redes.
• El protocolo TCP está orientado a conexión, es decir, se crea una conexión entre el equipo emisor y receptor. Cuando se transmite algo por un equipo, el receptor debe decirle que, efectivamente, lo ha recibido. Si el transmisor no recibe esa confirmación, vuelve a mandar la información hasta que pasado un tiempo determinado sin recibir las confirmaciones, se "rompe" la conexión.
• El protocolo UDP no genera conexión ninguna entre los equipos. El transmisor envía los datos sin recibir confirmación por parte del receptor. Con este protocolo se puede tener más de un receptor a la vez de una misma trasmisión, cosa que con el TCP hay que hacer una transmisión por cada equipo receptor.
FireWalls• Mac OS X Server incluye un servicio de Firewall
que usted puede usar para restringir el acceso a su servidor basado en direcciones IP de las maquinas.
• Cuando el Firewall es habilitado, cada request IP que Mac OS X Server recibe, primero chequea una lista de reglas Firewall que se definen con direcciones IP tienen acceso especifico al numero de puerto.
• El numero de puerto es usado para identificar servicios especificos, tales como Apple File Service (AFS; puerto 548) y Web Services (port 80).
• Con el Firewall habilitado, un Mac OS X Server puede permitir a una maquina acceder a un servicio mientras el tipo de petición para otra maquina sea del mismo servicio.
• El acceso a través de un Firewall es basado en un requesting machine direcciones IP.
• Requesting machine’s IP address: es donde se especifican un rango de direcciones, el request es denegado o permitido, dependiendo de la regla de Firewall aplicada.
• Servicio Firewall esencialmente determina que maquinas estan permitiendo el acceso a cierto servidor, este es una buena herramienta para considerar el nivel de seguridad que el administrador planifica implementar.
• NOTA: si el Firewall no encuentra una especifica regla que aplicar al request, este aplica la regla general, la cual deniega todo Transport Control Protocol (TCP) connections.
Configuración básica Firewall
• Por defecto, servicio firewall bloquea toda entrada a conexión TCP.
• Antes de encender servicio firewall, asegurase tener levantadas todas las reglas de firewall para acceso por IP.
• Cuando usted inicia servicio firewall en primer instancia, los paquetes TCP son denegados y usted tiene que cambiar las reglas para permitir el acceso.
• Puertos que se incluyen por defecto:
• Remote Directory Access (625).
• Server Admin (687).
• Secure Shell (22).
•Para cualquier otro servicio de red usted puede crear reglas, o configurar reglas existentes, para permitir o denegar acceso a su servidor. Si usted apaga el servicio firewall todas las direcciones son habilitadas para acceder a su servidor.
•El grupo “any” su servicio de firewall permite acceso a cualquier IP. Pero usted puede definir otros grupos de direcciones IP para sus reglas firewall.
•Pare crear un grupo de direcciones, click botón Add (+) en el panel de IP Address Groups.
• Ingrese el nombre del grupo.
• Ingrese la direccion y mascara de subnets.
Firewall-Services Monitor
• Un firewall es la primer linea de defensa de una red contra intrusos maliciosos. Un camino para monitorear la seguridad es monitorear su firewall para hacer seguro que este esta trabajando apropiadamente y que esta detectando configuraciones de acceso.
• Para monitorear los logs, habilite el Tab Logging en settings in el Server Admin.
• Usted puede ver el log usando el panel Log del servicio firewall.
• Cada regla creada en Server Admin corresponde a uno o mas reglas en el correspondiente software firewall.
Practica Test Firewall
NAT(Network Address Traslation)
•NAT permite enmascarar IP o IP alias, es una técnica que usted ingresa un grupo de dispositivos de red en una red privada usando una simple direccion IP para comunicarse con dispositivos de otras redes.
•Gráfico:
Formas NAT• Static NAT: mapea una dirección IP
privada a una publica. (mapeo es 1a1).
• Dynamic NAT: mapea una direccion IP privada para primero disponer direcciones de una lista de direcciones publicas.
• Port Address Translation (PAT): mapea multiples direcciones IP para asignar una publica usando diferentes puertos. Este es tambien conocido como port overloading, single address NAT, and port-level multiplexed NAT.
Como Trabaja NAT•Un sistema Mac OS X Server que
este corriendo NAT, toma todo el trafico de su red privada con direcciones internas para hacer request.
•Luego el router NAT recibe las respuestas a los request, este reenvía las respuestas a las computadoras originales.
•Gráfico:
Configuración Básica NAT•You use Server Admin to start NAT
Services.
•In the Computers & Services list, click NAT and then click in Settings.
•En “Network connection to share” pop-up menu, choose the newtwork interface that connects to the Internet or the external network.
•Save your settings, and click then Start Service.
NAT automáticamente crea una regla de Firewall para transferir paquetes de
entradas a un proceso de nateo.
Monitoreo•El panel de vista general del
Servicio NAT, usted puede ver:
•Si el servicio esta habilitado o deshabilitado.
•Y los Protocolos están activos:
•TCP:
•UDP:
•ICMP (Internet Control Message Protocol.)
Virtual Private Networking
• Provee una solución para encriptar transacciones.
• VPN es la solución para redes inseguras, tales como Internet y trafico de redes privadas.
• Este trafico permanece privado porque las transacciones son encriptadas.
• El resultado es que usted puede conectarse remotamente a una red privada como si la computadora remota esta adjunta directamente a esta red privada.
• Con VPN, su organización puede redistribuir sus oficinas sobre internet, permitiendo verificar usuarios móviles remotos accedan a recursos privados en cualquier conexión a internet y enlazar a múltiples LAN’s a través grandes distancias.
•Un servicio VPN configurado, usuarios crean un túnel pero abierto a la conexión.
•Cada conexión es hecha por el server sobre una conexión insegura, el usuario es advertido que se autentifique.
•Luego que el usuario se ha autentificado correctamente, el server VPN emite al cliente una nueva dirección IP con el rango de una red segura.
•En este punto todo adicional transacción de una red privada son enrutadas a través del túnel usando una nueva dirección IP.
Configuración Básica VPN
• Ante de configurar VPN usted necesita decidir el método de autentificación que usted puede usar.
• La autentificación por “MS-CHARPv2” es simplemente con el “nombre de usuario”/ “password”, usa hash (********) en el password. Pero no provee un alto nivel de seguridad que su organización necesita.
• Para mayor nivel de seguridad usted puede utilizar otro método de autentificación, con 2 factores de autentificación donde el password es combinado Token y un identificador personal PIN, y este metodo se llama Kerberos (Key Distribution Center “KDC”).
Si usted escoge el método por defecto MS-CHARPv2, esto envuelve copias de configuración o archivos de preferencias del servicio, y hay que cambiar manualmente los ajustes VPN para usar los archivos y leer la información del servidor.
