Buscar Más buscado
Capitulos de este wiki
  1. 1 Cómo determinar qué asegurar y cómo asegurarlo
  2. 2 Instalación segura de Linux
  3. 3 Conceptos generales, servidores versus estaciones de trabajo, etc
  4. 4 Ficheros del sistema
  5. 5 Seguridad de Ficheros / Sistema de ficheros
  6. 6 Pam
  7. 7 Seguridad Física / de Arranque
  8. 8 Seguridad de contraseñas
  9. 9 Almacenamiento de Contraseñas
  10. 10 Seguridad basica de servicios de red
  11. 11 Ficheros basicos de configuración de red
  12. 12 TCP-IP y seguridad de redes
  13. 13 Seguridad PPP
  14. 14 Seguridad IP (IPSec)
  15. 15 Cifrado de servicios / datos
  16. 16 Rutado
  17. 17 Software de Proxy
  18. 18 Cortafuegos
  19. 19 Telnet
  20. 20 Ssh
  21. 21 Ftp
  22. 22 Http / https
  23. 23 Smtp
  24. 24 Pop
  25. 25 Imapd
  26. 26 Dns
  27. 27 Nntp
  28. 28 Dhcpd
  29. 29 Rsh, rexec, rcp
  30. 30 Nfsd
  31. 31 Tftp
  32. 32 Bootp
  33. 33 Snmp
  34. 34 Finger
  35. 35 Identd
  36. 36 Ntpd
  37. 37 Cvs
  38. 38 Rsync
  39. 39 Lpd
  40. 40 Samba
  41. 41 Servidores LDAP Linux
  42. 42 Sistema X Window
  43. 43 Conectividad SNA
  44. 44 Software de Autoridad de Certificación para Linux
  45. 45 El kernel de Linux
  46. 46 Parches de seguridad del kernel y del compilador
  47. 47 Herramientas administrativas
  48. 48 Gestión de Software
  49. 49 Herramientas de monitorización de Hosts
  50. 50 Ficheros de Log y otros métodos de monitorización
  51. 51 Limitación y monitorización de usuarios
  52. 52 Lista de comprobación para la conexión a Internet
  53. 53 Métodos de compartición de ficheros
  54. 54 Lectores de correo basados en WWW
  55. 55 Autentificación Basada en Red
  56. 56 Software de Listas de correo
  57. 57 Escaneo / herramientas de prueba de intrusos
  58. 58 Herramientas de escaneo y detección de intrusos
  59. 59 Sniffers de Paquetes
  60. 60 Normas de comportamiento / integridad de ficheros
  61. 61 Gestión de auditorías
  62. 62 Copias de Seguridad
  63. 63 Enfrentandose a los ataques
  64. 64 Ataques de Negación de Servicio
  65. 65 Ejemplos de ataques
  66. 66 Virus, Caballos de Troya y Gusanos
  67. 67 Distribuciones seguras de Linux
  68. 68 Información específica por Distribuidor / Vendedor
  69. 69 Información de contacto con vendedores
  70. 70 Programación segura
  71. 71 Apéndice A: Libros y Revistas
  72. 72 Apéndice B: Otra documentación de seguridad sobre Linux
  73. 73 Apéndice C: Documentación de seguridad en línea
  74. 74 Apéndice D: Sitios de seguridad en general
  75. 75 Apéndice E: Sitios de Linux en general

Guía de Seguridad del Administrador de Linux - Dhcpd

28 - Dhcpd

[editar]
Tutorial creado por Kurt Seifried. Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/
16 de Febrero de 2006
< anterior | 1 ... 26 27 28 29 30 31 32 ... 75 | siguiente >
El DHCPD es algo que deberían utilizar todos los administradores de redes. Permite servir información a clientes en cuanto a configuraciones de red/etc, lo cual significa que la única configuración que se necesita implantar en el cliente es aquella por defecto, y encender la máquina. También permite reconfigurar máquinas cliente con facilidad (es decir, pasar de utilizar 10.0.1.0 a 10.0.2.0, o un conjunto nuevo de servidores DNS). A la larga (e incluso a la corta) DHCP ahorra un montón de trabajo, dinero y stress. Yo lo ejecuto en casa con sólo 8 máquinas clientes y he descubierto que la vida es mucho más fácil. DHCPD lo mantiene el ISC, y se encuentra en: http://www.isc.org/dhcp.html

También recomendaría ejecutar la versión 2.x (la versión 3.x está en pruebas), tiene muchas características nuevas, es más fácil de configurar y de trabajar con ella. Sin embargo, la ultimísima versión tiende a ser algo más neurótica, ten en cuenta que es software en fase beta. Definitivamente hay que filtrar el DHCPD de Internet. El tráfico DHCP sólo debería existir en segmentos locales, posiblemente reenviado a un servidor DHCP en otro segmento, pero el único tráfico DHCP que se vería proveniente de Internet sería un ataque/DOS (podrían reservar todas tus IP’s, dejando secos a los auténticos clientes). Si estás reenviando el tráfico DHCP a Internet, NO lo hagas. Es una idea muy mala por multitud de motivos ( primero por rendimiento / consistencia, pero también por seguridad).

Recomiendo que el servidor DHCPD sea exclusivamente servidor de DHCP, bloqueado en alguna parte (si confías en DHCP para tu red y el servidor DHCP se cae, la red tiene un serio problema), permitiéndole hacer su trabajo en silencio. Si se necesita abarcar subredes (p. ej., se tienen múltiples segmentos ethernet, sólo uno de los cuales tiene un servidor DHCP físicamente conectado) utiliza un transmisor DHCP (NT viene con uno, el software DHCP de Linux tiene esta característica, etc.). También existen problemas conocidos con NT y DHCP, NT RAS tiene la mala costumbre de consumir direcciones IP como un loco (he visto a un servidor NT coger 64 y quedárselas indefinidamente), debido a que está intentando reservar IP’s para los clientes a que vayan a hacer un dial in. Esto no tiene porqué ser problema, pero puede (y lo ha hecho) conducir al agotamiento de recursos (en concreto, la cola de direcciones IP se puede terminar). O bien se apaga el RAS del NT o se le coloca en su propia subred, la dirección MAC que envía al servidor DHCP es muy extraña (y deletrea RAS en los primeros bytes) y no es fácil de mapear.

Haciendo Chroot al DHCPD

El DHCPD consiste en 2 ejecutables principales:

  • dhcpd – el DHCP
  • dhcrelay – un transmisor DHCP (para transmitir peticiones a un servidor DHCP central, puesto que el DHCP está basado en broadcasts, las cuales por lo general no se extienden (o no deberían) a routers.

DHCPD requiere 2 librerías:

  • /lib/ld-linux.so.2
  • /lib/libc.so.6

Un fichero de configuración:

  • /etc/dhcpd.conf – información de configuración, situación de los ficheros de arranque, etc.

Y varios otros ficheros:

  • /etc/dhcpd.leases – una lista de las conexiones activas
  • un fichero de inicio, se puede modificar el que viene o hacerte el tuyo propio

La forma más sencilla de configurar el dhcpd con chroot es sencillamente instalar el dhcpd (preferiblemente la última versión) y mover/editar los ficheros necesarios. Una buena idea es crear un directorio (como /chroot/dhcpd/), preferiblemente en un sistema de ficheros separado de /,/usr, etc (enlaces simbólicos…), y después crear una estructura de ficheros por debajo para dhcpd. Lo siguiente es un ejemplo, simplemente reemplaza /chroot/dhcpd/ por tu elección. Por supuesto que es necesario ejecutar estos pasos como root para que funcione.

# Se instala bind para tener los ficheros apropiados

#

rpm –i dhcpd-2.0b1p10-1.i386.rpm

#

# Se crea la estructura de directorios

#

cd /chroot/dhcpd/ # o dondequiera que esté

mkdir ./etc

mkdir ./usr/sbin

mkdir ./usr

mkdir ./var/dhcpd

mkdir ./var

mkdir ./lib

#

# Se empiezan a llenar los ficheros

#

cp /usr/sbin/dhcpd ./usr/sbin/dhcpd

cp /etc/dhcpd.conf ./etc/dhcpd.conf

cp /etc/rc.d/init.d/dhcpd ./etc/dhcpd.init

cp /etc/rc.d/init.d/functions ./etc/functions

#

# Para conseguir las últimas librerías, cambiar lo oportuno

#

cp /lib/ld-linux.ld-linux.so.2 ./lib/

cp /lib/libc.so.6 ./lib/

#

# Y se crean los enlaces simbólicos necesarios para que funcione

# Recuerda que el dhcpd piensa que /chroot/dhcpd/ es /, de modo

# que utiliza enlaces relativos

Después modifica o crea tu script de inicio.

Una vez que se ha hecho esto, simplemente hay que borrar el fichero de inicio original y crear un enlace simbólico desde donde apuntaba al nuevo, y el dhcpd se portará con "normalidad" (es decir, se iniciará automáticamente al arrancar), mientras que en realidad se encuentra separado de tu sistema. Quizás también quieras eliminar los ficheros DHCPD originales que anden por ahí, aunque no es necesario.

Si se ha hecho lo anterior correctamente, deberías tener un /chroot/dhcpd/ (u otro directorio si se especifica algo diferente) que contenga todo lo requerido para ejecutar dhcpd. Un ps –xau debería mostrar algo así:

USER PID %CPU %MEM SIZE RSS TTY STAT START TIME COMMAND

root 6872 0.0 1.7 900 532 p0 S 02:32 0:00 ./usr/sbin/dhcpd -d –q

root 6873 0.0 0.9 736 288 p0 S 02:32 0:00 tee ./etc/dhcpd.log

Definitivamente DHCPD debería de filtrarse con el cortafuegos de hosts externos, pues no hay ninguna razón para que un host externo lance una petición a tu servidor DHCP en busca de IP’s, además, tenerlo disponible al mundo exterior podría dar como resultado que el atacante consumiera los recursos de direcciones del servidor DHCP, suponiendo que se utilicen colas dinámicas de direcciones, se le podría acabar la suerte a tu red interna, y aprender acerca de la estructura de tu red interna. El DHCP se ejecuta en el puerto 67, con udp, porque las cantidades de datos involucradas son pequeñas, y la rapidez en la respuesta es crítica.

ipfwadm –I –a accept –P udp –S 10.0.0.0/8 –D 0.0.0.0/0 67

ipfwadm –I –a accept –P udp –S un.host.fiable –D 0.0.0.0/0 67

ipfwadm –I –a deny –P udp –S 0.0.0.0/0 –D 0.0.0.0/0 67

o

ipchains –A input –p udp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 67

ipchains –A input –p udp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 67

ipchains –A input –p udp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 67
[editar]
< anterior | 1 ... 26 27 28 29 30 31 32 ... 75 | siguiente >

Opinar
8 opiniones

Tecnico.

Super completo, me va a tomar un tiempo repasar cada apartado. Me tome el trabajo de re-edicion y transformacion a documento de open-office (extension odt) de esta forma lo tengo en mi server y lo puedo usar con consultas en todo momento. Muchas gracias. Ahora tengo lectura por un buen rato. Bye bye.
Pdf?.

Hola, es muy interesante, habéis trabajado mucho y es una lástima que tenga que guardar todas las páginas en caché o en otro formato. Por favor, ¿podéis subir o enviar una versión actualizada de este pedazo de manual en pdf?

gracias mil.
Aprende mas.

Bueno creo que puede ser mejor.
Identificarse con los buenos comportamientos.

La verdad, siempre en la cultura debemos de tener unas normas de conducta para cumplirlas así pues, este recurso ayudan a informarnos a cerca de lo q esta bien o mal y llevar a cabo todas esas reglas q solo implementan la regulación de el comportamiento de las actitudes.
Buscando solucion.

Es oportuno para abocar conocimiento sobre linux, tenemos linux en cabinas con varios dias fuera de servicio porque se desconfiguro, pide clave de mantenimiento y no lo sabemos. Eperamos este recurso ayude.
1 2 | siguiente >

Tutoriales relacionados con 'Guía de Seguridad del Administrador de Linux'

Guía de Seguridad del Administrador de Linux
Esta guía no es un documento general de seguridad. Esta guía está específicamente orientada a... Más »
Spanish Linux
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que... Más »
El Sonido en LiNUX
Este documento describe el soporte de sonido para Linux. Enumera el hardware de sonido soportado,... Más »
Usenet bajo Linux
Este documento describe la puesta en marcha y mantenimiento de noticias de Usenet bajo Linux.... Más »
Cortafuegos
El objetivo de este documento es enseñar las bases de la instalación de un cortafuegos... Más »

Anuncios Google

Autor y licencia de 'Guía de Seguridad del Administrador de Linux'


Tutorial de Kurt Seifried. Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/ CopyLeft
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.