Serveis en Xarxa
René Serral-Gracià1
1Universitat Politècnica de Catalunya (UPC)
November 26, 2020
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Temari
1 Introducció a l’Administració de Sistemes2 Instal·lació del Sistema Operatiu3 Gestió d’usuaris4 Gestió d’aplicacions5 Monitorització del sistema6 Manteniment del sistema de fitxers7 Serveis locals8 Serveis de xarxa9 Protecció i seguretat
10 Virtualització
R. Serral-Gracià, et. al Xarxes 2
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 Servidors
3 Serveis
4 Sistemes de fitxers
5 Monitoratge
6 Exercici
R. Serral-Gracià, et. al Xarxes 3
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 IntroduccióObjectiusConsideracions prèviesNetwork Address TranslationFirewalls
2 Servidors
3 Serveis
4 Sistemes de fitxers
5 Monitoratge
6 ExerciciR. Serral-Gracià, et. al Xarxes 4
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Objectius
Coneixements
Principals serveis i protocols de xarxaSuperservidor, portmapper, DNS, FTP, WWW, e-mail
Habilitats
Dimensionat dels servidorsUbicació dels serveis de xarxaLocalització de Firewalls
R. Serral-Gracià, et. al Xarxes 5
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Consideracions de l’Administració de xarxes (I)
Mesures de seguretat
Mai executar serveis amb permís de superusuariExposar només els serveis necessaris – firewallsConfigurar tots els serveis oferts amb cura
No deixar configuracions per defecteDesactivar els serveis no utilitzats
Mirar els log dels serveisMonitoritzar per forats de seguretat – estar al dia
R. Serral-Gracià, et. al Xarxes 6
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Consideracions de l’Administració de xarxes (i II)
Classificació dels ports
Ports privilegiats: 0 - 1023Controlats i assignats per IANANomés l’usuari privilegiat (root) pot posar serveis enaquests ports
Ports enregistrats: 1024 - 49151No controlats, però enregistrats per IANARegistre dels serveis típics que usen cada port –/etc/services
Ports dinàmics: 49152 - 65535Usats per a connexions temporals
R. Serral-Gracià, et. al Xarxes 7
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
/etc/services
Relaciona els serveis amb el corresponent número de portho consulten diversos programes (netstat, . . . )nomservei port/protocol llista alias
echo 7/tcpecho 7/udpsystat 11/tcp userssystat 11/udp usersftp-data 20/tcpftp-data 20/udp# 21 is registered to ftp, but also used by fspftp 21/tcpftp 21/udp fsp fspdssh 22/tcpssh 22/udptelnet 23/tcptelnet 23/udp# 24 - private mail systemsmtp 25/tcp mailsmtp 25/udp maildomain 53/tcpdomain 53/udphttp 80/tcp www www-httphttp 80/udp www www-http
R. Serral-Gracià, et. al Xarxes 8
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Network Address Translation – NAT
El router tradueix adreces internes per una de pròpiaPermet usar una IP reservada i mantenir la connectivitatamb l’exterior
El router recorda les connexions de sortida per reconèixerles connexions de tornada
Connexió de sortida:192.168.1.25 (port 1085) → 212.106.192.142 (11086)
Connexió de tornada:212.106.192.142 (11086) → 192.168.1.25 (1085)
Eines: iptables (SNAT), dnsmasq
R. Serral-Gracià, et. al Xarxes 9
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Efectes colaterals del NAT
Les adreces internes no són visibles des de l’exteriorNomés el router pot ser víctima d’atacs – excepte enconnexions funcionant
La seguretat de la xarxa depèn de la seguretat del routerLes màquines internes no poden oferir serveis a l’exterior
Excepte si usem Destination Network Address Translation(DNAT)
Impacte important sobre el rendiment de la xarxaTotes les connexions exteriors passen per un sol routerCada paquet requereix un cert càlcul de CPU
Alguns serveis no es poden usar amb NATAquells que fan connexions cap a dinsFTP, IRC, Netmeeting, . . .
R. Serral-Gracià, et. al Xarxes 10
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Destination Network Address Translation (DNAT)
Indicar al router configurat amb NAT que fagi portforwarding d’algunes connexionsMapejar ports del router a ports d’una màquina interna
147.83.159.200
192.168.12.1/24
.2
.3
.4
.5
Port 22, 25, 80
Port 22
Port 25, 80
Eines: iptables (DNAT)
R. Serral-Gracià, et. al Xarxes 11
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Firewalls
Servidor que determina quines comunicacions poden serestablertes entre dues xarxes
Treballa típicament a nivell de xarxa i de transportEn general no coneix detalls de l’aplicació
Pot mantenir estat (Connection Tracking)Permetre connexions relacionades: “de tornada“
R. Serral-Gracià, et. al Xarxes 12
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Firewall == Seguretat?
Un firewall és un suplement a la seguretat del sistemaEl seu ús pot oferir una falsa idea de seguretatNo es poden relaxar altres aspectes de la seguretat
Configuració correcta de les aplicacionsActualitzar el software que té forats de seguretatLimitar l’accès concurrent
Altres eines de seguretat a la xarxa interna i als servidorscontinuen sent necessàries
R. Serral-Gracià, et. al Xarxes 13
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 ServidorsTipus de serveisTipus de servidors
3 Serveis
4 Sistemes de fitxers
5 Monitoratge
6 Exercici
R. Serral-Gracià, et. al Xarxes 14
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Tipus de serveis
Orientats a connexióEl servidor manté l’estat de la sessióIncrementa el rendimentRedueix la tolerància a fallades
No orientats a connexióNo es guarda cap estat sobre els clientsNo hi ha sessionsLes peticions han de ser autocontingudesLa petició del client ha de contenir tota la informacióIncrementa la tolerància a fallades
R. Serral-Gracià, et. al Xarxes 15
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Tipus de servidors – Segons Autoritat
PrimarisMantenen la còpia principal de la informacióEn cas de divergència es confia en el servidor primariN’hi ha un per servei
SecundarisMantenen còpies de la informacióActualitzacions periòdiques des del servidor primariPot haver-n’hi més d’un per serveiBalanceig de la càrregaActuen com a backup si cau el servidor principal
Cache (i/o proxies)Mantenen còpies –parcials– de la informació més usadaPot haver-n’hi més d’un per servei
Augment del rendiment
S’hi poden afegir funcions de seguretat, filtratge, log, . . .
R. Serral-Gracià, et. al Xarxes 16
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 Servidors
3 ServeisSuperservidorDomain Name System (DNS)Dynamic Host Configuration Protocol (DHCP)Hypertext Transfer Protocol (HTTP)File Transfer Protocol (FTP)Simple Mail Transfer Protocol (SMTP)Recepció de correu electrònicSecure Shell (SSH)Virtual Private Networks (VPN)
4 Sistemes de fitxers
5 Monitoratge
6 Exercici
R. Serral-Gracià, et. al Xarxes 17
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Superservidor
Un servei consumeix recursos encara que no es faci servirMolts serveis es demanen de forma esporàdica: telnet,ftp, ssh, . . .
El superservidor escolta tots els ports i activa el serveinomés quan és necessari
Detecta la peticióInicia el servidorPassa el missatge
LimitacionsNo es pot guardar a memòria informació entre connexionsOverhead de creació de processos
Implementacions: inetd, xinetd
R. Serral-Gracià, et. al Xarxes 18
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
/etc/xinetd.conf, /etc/xinetd.d
Especifica els serveis atesos pel superservidorServei, Protocol, Usuari/grup, Servidor, Arguments
$ cat /etc/xined.confincludedir /etc/xinetd.d
$ cat /etc/xined.d/ftpservice ftp{
socket_type = streamwait = nouser = rootserver = /usr/sbin/vsftpdlog_on_success += HOST DURATIONlog_on_failure += HOSTdisable = no
}
R. Serral-Gracià, et. al Xarxes 19
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Domain Name System (DNS)
Servei de traducció de nomsHostname → adreça IPAdreça IP → hostname
DificultatsGran quantitat de màquinesGran número de canvis
SolucióDistribució jeràrquica de la informació (dominis)Delegació de l’autoritat
R. Serral-Gracià, et. al Xarxes 20
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Funcionament del DNS
Delegació de l’autoritat
Cada domini administra el seu propi servidorTothom coneix els servidors principals (root)Tothom coneix al servidor del seu dominiResolució de noms iterativa
/etc/resolv.conf:
search ac.upc.edunameserver 147.83.33.45
www.google.com
Servidor DNSLocal
a.root-server b.root-server
internic.net...
www.google.com?
.com
.comiana.orgalldomains.com
www.google?
www?www
NS3.google.comgoogle.com
DNS: RFCs 1034/1035
R. Serral-Gracià, et. al Xarxes 21
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Eficiència del servei
És convenient l’ús de ”caches“
Alta localitat temporalEvitar repetir la mateixa cerca
Alta localitat espacialEvitar visitar continuament el servidor arrel
Evitar passos d’una cerca iterativa
DNS es pot usar per fer balanceig de càrrega
Afegir vàries adreces IP per un mateix nomCada resposta ofereix una IP different: Round Robin o bé Criteris ”geogràfics“
$ nslookup www.google.comName: www.google.comAddress: 212.106.221.23Name: www.google.comAddress: 212.106.221.27Name: www.google.comAddress: 212.106.221.25...
R. Serral-Gracià, et. al Xarxes 22
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Configuració del client de DNS
/etc/host.confOn es busca un nom i l’ordre de cerca
/etc/hostsMàquines traduides localment
/etc/resolv.confDominis on buscar automàticamentAdreces IP dels servidors de noms
R. Serral-Gracià, et. al Xarxes 23
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Configuració del servidor de DNS
/etc/bind/named.confQuè administrem?
Dominis de DNSRangs d’adreces IP
Indica si som primari, secundari o de cacheFitxers de traducció directa
Nom.domini → adreça IP1 fitxer per cada domini que administrem
Fitxers de traducció inversaAdreça IP → nom.domini1 fitxer per rang d’adreces que administrem
R. Serral-Gracià, et. al Xarxes 24
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Tipus de registres DNS
SOA (Start of Authority)Nombre de sèrieTemps de refresc i retryTemps d’expiracióTTL mínim
A - traducció directaNom → adreça IP
romeu IN A 147.83.32.4
CNAME - sinònimsNom → nom
romeu IN CNAME lp_romeu
R. Serral-Gracià, et. al Xarxes 25
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Tipus de registres DNS
PTR - traducció inversaAdreça IP → nom DNS
4 IN PTR romeu.ac.upc.edu.
NS - delegació de dominisDomini DNS → servidor
ac IN NS 147.83.32.3
MX - mail exchangerDomini DNS → servidor
ac IN MX 147.83.33.10
I altres. . .HINFO, WKS, . . .
R. Serral-Gracià, et. al Xarxes 26
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Exemple de configuració de DNS
Zona ”cluster.craax.upc.edu“, com a primari.
$ cat /etc/bind/named.confoptions {
directory "/var/cache/bind";forwarders {
147.83.159.217;};auth-nxdomain no; # conform to RFC1035listen-on-v6 { any; };
};zone "cluster.craax.upc.edu" {type master;file "/etc/bind/cluster.zone";
};
zone "1.1.10.in-addr.arpa" {type master;file "/etc/bind/cluster.rev";
};
R. Serral-Gracià, et. al Xarxes 27
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Exemple de configuració de DNS
$ cat /etc/bind/cluster.zone$TTL 604800@ IN SOA cluster. cluster.craax.upc.edu. (
20101220 ; Serial604800 ; Refresh86400 ; Retry
2419200 ; Expire604800 ) ; Negative Cache TTL
;@ IN NS gandalf$ORIGIN cluster.craax.upc.edu.gandalf IN A 10.1.1.1boromir-1 IN A 10.1.1.2
$ cat /etc/bind/cluster.rev$TTL 604800@ IN SOA cluster. cluster.craax.upc.edu. (
20101220 ; Serial604800 ; Refresh86400 ; Retry
2419200 ; Expire604800 ) ; Negative Cache TTL
;@ IN NS gandalf$ORIGIN cluster.craax.upc.edu.1 IN PTR gandalf.cluster.craax.upc.edu.2 IN PTR boromir-1.cluster.craax.upc.edu.
R. Serral-Gracià, et. al Xarxes 28
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Tenim 3 servidors (server1, server2 i server3) ambaquests registresserver1 IN A 123.123.123.1server2 IN A 123.123.123.2server3 IN A 123.123.123.3
Volem afegir resolució de noms per als serveiswww a server1ftp a server1 i server2correu entrant/sortint a server3
Quins registres afegireu?
R. Serral-Gracià, et. al Xarxes 29
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Eines relacionades amb el DNS
whois dominiProporciona informació de contacte per un domini
dig [@server] peticióFa una petició de DNSPossibilitat de controlar diversos paràmetres
Servidor, tipus de registre, resolució iterativa/recursiva, . . .Retorna els registres associats a la nostra petició
Se li pot demanar debugging
R. Serral-Gracià, et. al Xarxes 30
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Dynamic Host Configuration Protocol (DHCP)
Proporciona de forma automàtica la configuració de laxarxa a un equip
Assignació d’IP, Gateway i DNSLa màquina no té perquè ser coneguda!
Per defecte assumeix que si algú es pot connectar és unusuari legítimPossibilitat de proporcionar control d’accés a nivell MAC
Les adreces IP s’obtenen de conjunts definits perl’administrador
R. Serral-Gracià, et. al Xarxes 31
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Dynamic Host Configuration Protocol (DHCP)
Suport de boot remot mitjançant BOOTP i PXE
Preboot Execution Environment (PXE)La targeta de xarxa obté informació de la xarxadirectament per la BIOSPermet indicar una imatge del kernel
Descarregada per TFTPAmb possibilitat de muntar un directori arrel remot
R. Serral-Gracià, et. al Xarxes 32
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Dynamic Host Configuration Protocol (DHCP)
Per /etc/resolv.conf
Per PXE
Per ifconfig
Per route
ddns-update-style none;option domain-name-servers 192.168.1.1;
allow booting;allow bootp;default-lease-time 600;max-lease-time 7200;authoritative;
subnet 192.168.1.0 netmask 255.255.255.0 {range dynamic-bootp 192.168.1.172 192.168.1.254;range 192.168.1.2 192.168.1.171;filename "pxelinux.0";
option subnet-mask 255.255.255.0;option broadcast-address 192.168.1.255;option routers 192.168.1.1;
}
R. Serral-Gracià, et. al Xarxes 33
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Discutir en grup
Quin problema pot haver-hi si es cau el servidor de DHCP?Com es podria implementar per evitar-lo?
R. Serral-Gracià, et. al Xarxes 34
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Hypertext Transfer Protocol (HTTP)
Servei de transferència de dadesNo orientat a connexió
No es recorda l’estat d’un clientCada petició és autocontinguda
No obstant això, usa TCP!
Client httpd
connect/accept
GET /path/to/file
transfer file contents
R. Serral-Gracià, et. al Xarxes 35
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Apache Web Server
Implementa suport per HTTP/etc/apache/httpd.conf
Principals funcionalitats
Execució com a usuari no privilegiatAtenció de peticions per processos/fluxos independents
Model de compartició de memòria configurableNúmero màxim de processos configurable
Opcions de configuració per cada directoriConfiguració per dominis virtuals
Separació per adreça IPSeparació per nom del DNS
R. Serral-Gracià, et. al Xarxes 36
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
File Transfer Protocol (FTP)
Servei de transferència de dadesOrientat a connexióConnexió de control
Manté estat d’una petició a l’altra: cwdConnexió de dades
activa: no suporta NATpassiva: suport per NATNova connexió de dades per cada transferència
Client ftpd
Comanda
ok/error
data connection
21
21
20
R. Serral-Gracià, et. al Xarxes 37
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Configuració del FTP
Hi ha molts servidorswu-ftpd, proftpd, vsftpd, . . .
Control d’accés a nivell d’usuari: /etc/ftpusersLlistat d’usuaris que NO poden accedir per FTP
Utilitzar chroot per seguretat amb FTP anònimCanvia l’arrel del sistemaRequereix configuració extraInstal·lar comandes bàsiques i fitxers de configuració
/etc/passwd, /etc/shadow/bin/ls, /lib/libc.so, . . .
Inclús per usuaris regulars
R. Serral-Gracià, et. al Xarxes 38
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Simple Mail Transfer Protocol (SMTP)
Elements que composen el sistema de correu
MUA - Mail User AgentAplicació d’usuari per llegir i escriure correu - mail
MSA - Mail Submission AgentAplicació que transmet el correu del client a l’MTAFa totes les comprovacions d’error prèvies
MTA - Mail Transport AgentAplicació que dirigeix el correu entre màquines
Delivery AgentAplicació que guarda el correu al mailbox de l’usuariDe vegades una base de dades en lloc d’un fitxer
Access AgentAplicació que permet a l’usuari accedir al seu mailbox - mail
R. Serral-Gracià, et. al Xarxes 39
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Components del sistema de correu
Client de mailComplet
MUA
Client de mailSimple
MUA
Servidor de Mail(SSMTP)
MSA
Servidor de Mail(SMTP)
MTA
Servidor de Mail(SMTP)
MTA
Client de MailSimple
MUA
mbox
MailClassification
DA
MailStorage
DA
Client de mailComplet
AA/MUA
SSMTP
SMTP
SMTP
SMTP
POP3/IMAP
R. Serral-Gracià, et. al Xarxes 40
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Anatomia d’un correu electrònic
Sobre (envelope)Destinatari del missatgeOrigenInvisible per als usuaris – visible per als servidors
CapçaleresConjunt de propietats del missatge
Data d’enviamentRemitent i destinatari (mostrat pels clients de mail)Llista d’equips pels que ha passat el missatge
Cos del missatgeAmb format ASCII de 7 bitsFitxers adjunts amb Base-64
R. Serral-Gracià, et. al Xarxes 41
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Configuració del client de correu
Recepció de correu
Accés a Mailbox localInterpret del format mailbox/maildir
Accés a un Mailbox remotPOP3IMAP
Enviament de correu
A través del servidor SMTP
R. Serral-Gracià, et. al Xarxes 42
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Consideracions de seguretat
Autenticació d’usuaris
Per defecte el servidor de correu no demana credencialsEs pot afegir SASL
Es pot falsificar el sobre de correu — SPAM . . .
Relay de correu electrònicEl servidor sempre intenta entregar el correu al destinatariFins i tot si el sobre no té res a veure amb ell (Open Relays)
R. Serral-Gracià, et. al Xarxes 43
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Consideracions de seguretat
Privacitat del correu
El correu s’envia sense encriptarUs de TLS (SSL) només entre MUA i MTA
PGP - Pretty Good PrivacyEncriptació i signatura de missatgesBasat en clau pública
S/MIME
Instal·lació de Filtres
Anti-spamSpamassasin, gray lists, black lists, . . .
Anti-virusClam AV, Amavis, f-prot,. . .
R. Serral-Gracià, et. al Xarxes 44
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Recepció de correu electrònic
Post Office Protocol (POP)
Permet els usuaris accedir al seu mailboxPorta els missatges cap a la màquina localAutenticació d’usuari sense encriptació
pop3s funciona sobre SSL
Internet Message Access (IMAP)
Permet els usuaris manipular al seu mailboxRealitza les manipulacions remotamentAutenticació d’usuari
Permet encriptació
imaps treballa sobre SSLR. Serral-Gracià, et. al Xarxes 45
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat – En grup
Hem posat un filtre per detectar el spam
Quan es detecta un correu d’aquestes característiques,quina acció programaríeu?I si el filtre és d’anti-virus?
R. Serral-Gracià, et. al Xarxes 46
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Secure Shell
Substitueix els serveis de rsh/rlogin i telnetAfegeix seguretat
Realitza autenticació basada en RSA, DSA, ECDSAEl client signa l’identificador de sessió amb la clau privadaEl servidor usa la clau pública (.ssh/authorized_keys)per comprovar si la signatura és correctaTams bé es pot usar autenticació basada en password
Encripta la informació que s’envia per la connexióConfidencialitat: 3DES, Blowfish, . . .Integritat: hmac-md5, . . .
El servidor executa la comanda donada o l’intèrpret decomandes de l’usuariSessió transparent
Quan no es demana usar un pseudo-terminalEs pot fer servir per transferir dades en format binari
Sessió de loginTambé pot fer forwarding de TCP i X11
R. Serral-Gracià, et. al Xarxes 47
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat – En grup
Accions amb Secure Shell
Com implementaríeu secure copy i secure file transfersobre ssh?
R. Serral-Gracià, et. al Xarxes 48
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Virtual Private Networks (VPN)
Servidor i client negocien una connexió seguraEs disposa d’una @IP interna
És té accés a tots els serveis de la Intranet
192.168.1.31Internet 88.40.135.97 (wlan0)VPN 192.168.1.200 (tun0)
192.168.1.30
192.168.1.32
192.168.1.33
CtrlFn
Alt
Alt Gr
Ctrl
Shift
ZX
CV
BN
M,
./
AS
DF
GH
JK
L;
'
QW
ER
TY
UI
OP
[]
12
34
56
78
90
-=
!@
#$
%^
&*
()
_+
45
6*
{}
78
9/
12
3_
0
\
|
:"
<>
?
.+
`~Esc F1
F2F3
F14F5
F6F7
F8F9
F10F11
F12
Caps LockTab
NumLkScr Lk SysRqPrtSc BreakPause Ins
Del
Backspace
Enter
Shift
Home
Pg Up
Pg Dn
End
$
€
WebCAM
Internet 147.83.159.97 (eth0)VPN 192.168.1.1 (tun0)
R. Serral-Gracià, et. al Xarxes 49
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 Servidors
3 Serveis
4 Sistemes de fitxersRemote Procedure Calls (RPC)Network File System (NFS)Samba (SMB)
5 Monitoratge
6 ExerciciR. Serral-Gracià, et. al Xarxes 50
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Remote Procedure Calls (RPC)
Execució remota de subrutinesIdentificades amb un número de servei
Servidors de RPCImplementen un conjunt de subrutines remotesEscolten en un port no fixat
PortmapperRegistra els servidors d’RPC
Associa el port amb les subrutinesNecessari per altres serveis
NFS, . . .
int read(int fd, ...
...b = read(8, ......
int read(int fd, ...
Stub Implementation
R. Serral-Gracià, et. al Xarxes 51
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Portmapper
Tot l’estat es guarda en memòriaSi falla el procés, no n’hi ha prou amb reiniciar-loS’han de reiniciar tots els servidors d’RPC
Cal enregistrar tots els servidors al inici del portmapper
demanar serveiport
1
2
3
Crida RPC
Resultat
Client
Portmapper
Server
Reg
istr
ar
serv
ei
R. Serral-Gracià, et. al Xarxes 52
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Network File System (NFS)
Accés a fitxers guardats en un disc remotMantenint la semàntica del sistema de fitxers local
Actua de forma transparent a l’usuariImplementat usant RPC’s
OS
NFS Client
...open/closeread/write...
OS
NFS ServerNFS Protocol
shared disk
R. Serral-Gracià, et. al Xarxes 53
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Mount Remot per NFS
El directori muntat es veu com si fos local
OS
NFS Client
OS
NFS Server
shared disklocal disk
/
/usr
/home
/home
R. Serral-Gracià, et. al Xarxes 54
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Permisos d’accés
Els UIDs a la màquina remota i a la màquina local han deser els mateixos
El sistema de fitxers guarda UIDs, no usernamesPossibilitat de mapejar usuaris amb idmapd
Traducció automàtica de UID’s (idmapd)root, nobody
Opcionsno_root_squash, root pot fer su a qualsevol usuari!all_squash, es pot fer que tots els usuaris siguin nobodyEs pot definir qui serà nobody
anonuid=UID,anongid=GID
R. Serral-Gracià, et. al Xarxes 55
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Configuració d’NFS
Determinar quins recursos s’exportenMàquines a qui exportar-losFlags de configuració
/etc/exports
/ master(rw) trusty(rw,no_root_squash)/projects proj*.local.domain(rw)/usr *.local.domain(ro) @trustedgroup(rw)/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)/pub (ro,insecure,all_squash)
R. Serral-Gracià, et. al Xarxes 56
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
SMB — Samba
Permet exportar fitxers i impressoresControl d’accés a nivell d’usuari
Autenticació amb usuari i passwordBasat en username, no en UIDTransmissió de passwords de forma encriptada o no
Restricció d’accés també a nivell de màquinaNo permet distingir flags segons la màquina que estiguiaccedintUsar noms de recurs diferents
R. Serral-Gracià, et. al Xarxes 57
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 Servidors
3 Serveis
4 Sistemes de fitxers
5 Monitoratge
6 Exercici
R. Serral-Gracià, et. al Xarxes 58
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Packet Sniffing — tcpdump
R. Serral-Gracià, et. al Xarxes 59
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Packet Sniffing — wireshark
R. Serral-Gracià, et. al Xarxes 60
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Detecció de serveis—netstat
Syntaxnetstat [options]
-a - Show all socket-p - Show program using the socket
aso@localhost:~$ netstat -anp(Not all processes could be identified, non-owned process infowill not be shown, you would have to be root to see it all.)
Active Internet connections (servers and established)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nametcp 0 0 0.0.0.0:17500 0.0.0.0:* LISTEN 22643/dropboxtcp 0 0 0.0.0.0:9020 0.0.0.0:* LISTEN 22096/skypetcp 0 0 192.168.1.7:55741 192.168.78.189:443 ESTABLISHED 22122/iceweaselActive UNIX domain sockets (servers and established)Proto RefCnt Flags Type State I-Node PID/Program name Pathunix 2 [ ACC ] STREAM LISTENING 2586 - /tmp/.font-unix/fs7101unix 2 [ ACC ] STREAM LISTENING 12043594 22643/dropbox /home/rserral/.dropbox/command_socketunix 2 [ ACC ] STREAM LISTENING 12043596 22643/dropbox /home/rserral/.dropbox/iface_socketunix 2 [ ACC ] STREAM LISTENING 12038213 - /tmp/.X11-unix/X0
R. Serral-Gracià, et. al Xarxes 61
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Detecció de serveis—nmap
Syntaxnmap [options] IP_list
aso@localhost:~$ nmap 192.168.1.2
Starting Nmap 6.47 ( http://nmap.org ) at 2014-11-19 00:18 CETNmap scan report for 192.168.1.2Host is up (0.057s latency).Not shown: 988 closed portsPORT STATE SERVICE22/tcp open ssh53/tcp open domain80/tcp open http111/tcp open rpcbind143/tcp open imap443/tcp open https514/tcp open shell993/tcp open imaps2049/tcp open nfs6566/tcp open sane-port9101/tcp open jetdirect9103/tcp open jetdirect
Nmap done: 1 IP address (1 host up) scanned in 3.36 seconds
R. Serral-Gracià, et. al Xarxes 62
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Altres aplicacions
snort - Intrusion detection systemlogwatch - Log Watcherntop - Network Top
R. Serral-Gracià, et. al Xarxes 63
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Outline
1 Introducció
2 Servidors
3 Serveis
4 Sistemes de fitxers
5 Monitoratge
6 Exercici
R. Serral-Gracià, et. al Xarxes 64
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Una empresa de màrketing ha muntat una xarxa amb lessegüents característiques:
El departament de direcció consta de 15 PC.El departament d’administració té 10 PC.Sabem que disposem del rang d’adreces IP180.45.23.0/28.Cada departament té els seus propis servidorsLa empresa requereix els següents serveis:
Web
Correu Electrònic
File Sharing (NFS)
VPN
SSH
FTP
DNS
Impressió
Intranet
R. Serral-Gracià, et. al Xarxes 65
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Càrrega dels serveis
Web Molt alta
Correu Electrònic Alta
File Sharing (NFS) Molt alta
VPN Molt baixa
SSH Molt baixa
FTP Baixa
DNS Normal
Impressió Molt Baixa
Intranet Normal
De tots aquests serveis:El web està desdoblat amb tres parts una per cadadepartamentLa compartició de fitxers, la intranet, i la impressió sónespecífiques a cada departamentL’FTP, el Correu, l’SSH i el DNS són compartits a nivell del’empresa
R. Serral-Gracià, et. al Xarxes 66
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Afegeix el hardware que consideris oportú i assigna adreces IP
Internet
Servidor 1
Client 11
Servidor 2
Client 1
Client 10
Client 25
R. Serral-Gracià, et. al Xarxes 67
Introducció Servidors Serveis Sistemes de fitxers Monitoratge Exercici
Activitat
Preguntes
Indica si compraries algun equip més a part dels equips dexarxa anteriorsDistribueix els serveis entre tots els servidorsIndica on instal·laries el (o els) firewall i quins criterisseguiries per configurar-los
R. Serral-Gracià, et. al Xarxes 68
Top Related