domingo, 26 de agosto de 2012

Ejercicio 3


Cual es el Firewall de CentOS?
CentOS tiene un firewall muy potente integrado, comúnmente conocida como iptables, pero más exactamente es iptables / netfilter.Iptables es el módulo de espacio de usuario, la parte que usted, el usuario, interactuar con la línea de comandos para introducir las reglas del cortafuegos en tablas predefinidas. Netfilter es un módulo del núcleo, construido en el núcleo, que en realidad hace el filtrado. Hay muchas interfaces GUI para iptables que permiten a los usuarios agregar o definir reglas basadas en un punto y haga clic en la interfaz de usuario, pero a menudo carecen de la flexibilidad de usar la interfaz de línea de comandos y limitar a los usuarios la comprensión de lo que realmente está sucediendo. Vamos a aprender la interfaz de línea de comandos de iptables.
Antes de que podamos llegar a enfrentarse con iptables, es necesario tener al menos un conocimiento básico de la forma en que funciona. Iptables utiliza el concepto de direcciones IP, protocolos (TCP, UDP, ICMP) y puertos. No necesitamos ser expertos en estos para empezar (como se puede buscar cualquiera de la información que necesitamos), pero esto ayuda a tener una comprensión general.
Lugares reglas de iptables en las cadenas predefinidas (INPUT, OUTPUT y FORWARD) que están desprotegidos contra el tráfico de red (paquetes IP) correspondiente a esas cadenas y una decisión se tomó sobre qué hacer con cada paquete en función del resultado de las mismas, es decir, aceptar o dejar caer el paquete. Estas acciones se refieren como objetivos, de los cuales los dos objetivos predefinidos más comunes son DROP para descartar un paquete o ACEPTAR para aceptar un paquete.

 Que es SeLinux?
Security-Enhanced Linux o SELinux, es una arquitectura de seguridad integrada en el kernel 2.6.x usando los módulos de seguridad linux(o linux security modulesLSM). Este es un proyecto de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos y de la comunidad SELinux. La integración de SELinux en Red Hat Enterprise Linux fue un esfuerzo conjunto entre al NSA y Red Hat.
SELinux proporciona un sistema flexible de control de acceso obligatorio (mandatory access controlMAC) incorporado en el kernel. Bajo el Linux estándar se utiliza el control de acceso a discreción (discretionary access controlDAC), en el que un proceso o aplicación ejectutándose como un usuario (UID o SUID) tiene los permisos y de ese usuario en los objetos, archivos, zócalos y otros procesos. Al ejecutar un kernel SELinux MAC se protege al sistema de aplicaciones maliciosas o dañadas que pueden perjudicar o destruir el sistema. SELinux define el acceso y los derechos de transición de cada usuario, aplicación, proceso y archivo en el sistema. SELinux gobierna la interacción de estos sujetos y objectos usando una política de seguridad que especifica cuán estricta o indulgente una instalación de Red Hat Enterprise Linux dada debería de ser.
En su mayor parte, SELinux es casi invisible para la mayoría de los usuarios. Solamente los administradores de sistemas se deben de preocupar sobre lo estricto que debe ser una política a implementar en sus entorno de servidores. La política puede ser tan estricta o tan indulgente como se requiera, y es bastante detallada. Este detalle le dá al kernel SELinux un control total y granular sobre el sistema completo.
Cuando un sujeto, tal como una aplicación, intenta acceder a un objeto tal como a un archivo, el servidor de aplicación de políticas verifica un caché de vector de acceso (AVC), donde se registran los permisos de objeto y del sujeto. Si no se puede tomar una decisión basado en los datos en el AVAC, la petición continua al servidor de seguridad, el cual busca el contexto de securidad de la aplicación y del archivo en una matriz. Los permisos son entonces otorgados o negados, con un mensaje de avc: denied detallado en /var/log/messages. Los sujetos y objetos reciben su contexto de seguridad a partir de la política instalada, que también proporciona información para llenar la matriz de seguridad del servidor.
Además de ejecutarse en un modo impositivo, SELinux puede ejecutarse en un modo permisivo, donde el AVC esverificado y se registran los rechazos, pero SELinux no hace cumplir esta política.

Publicado por en No hay comentarios:

RFC Sobre DNS


RFC de DNS

Las solicitudes de comentarios (RFC, Requests for Comments) son un conjunto de informes, propuestas de protocolos y estándares de protocolos utilizados por la comunidad de Internet. Las especificaciones del Sistema de nombres de dominio (DNS) están basadas en las RFC aprobadas y publicadas por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) y otros grupos de trabajo.

RFC para el servicio Servidor DNS

Los siguientes RFC contienen especificaciones para diseñar e implementar los servicios de Servidor y Cliente DNS:

 

RFCTítulo
1034
Nombres de dominio: conceptos y servicios
1035
Nombres de dominio: implementación y especificación
1123
Requisitos para hosts de Internet: aplicación y soporte
1886
Extensiones DNS para admitir IP Versión 6 (DNS Extensions to Support IP Version 6)
1995
Transferencia incremental de zona en DNS (Incremental Zone Transfer in DNS)
1996
Un mecanismo para la notificación de los cambios de zona (A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY))
2136
Actualizaciones dinámicas en el Sistema de nombres de dominio (DNS UPDATE) (Dynamic Updates in the Domain Name System)
2181
Aclaraciones respecto a la especificación DNS (Clarifications to the DNS Specification)
2308
Almacenamiento en caché de las consultas DNS (DNS NCACHE) negativas (Negative Caching of DNS Queries)
2535
Extensiones de seguridad del sistema de nombres de dominio (DNSSEC)
2671
Mecanismos de extensión para DNS (EDNS0)
2782
Un registro de recursos DNS para especificar la ubicación de los servicios (SRV DNS) (A DNS RR for Specifying the Location of Services (DNS SRV))
2930
Definición de claves secretas para DNS (TKEY RR) (Secret Key Establishment for DNS (TKEY RR))
3645
Algoritmo de servicio de seguridad genérico para Autenticación de transacciones con clave secreta para DNS (GSS-TSIG)
3646
Opciones de configuración DNS para Protocolo de configuración dinámica de host para IPv6 (DHCPv6)

Cómo obtener las RFC de DNS ?

Se Puede obtener las RFC en sitio Web del Editor de RFC. 
Los documentos RFC están clasificados de la siguiente forma: 
estándares Internet aprobados, estándares Internet propuestos (que se han distribuido en borrador para su revisión), prácticas recomendadas para Internet o documentos informativos (FYI).
Notas
  • Las RFC 1034 y 1035 definen el protocolo DNS estándar original para admitir los servicios de nombres de dominio en un entorno TCP/IP. Estas RFC describen los protocolos de forma detallada, profundizando en las ideas y técnicas en que se basan todas las implementaciones de DNS.
  • Las direcciones Web pueden cambiar, por lo que es posible que no pueda conectar con el sitio o los sitios Web mencionados aquí. 
Publicado por en No hay comentarios:

Recourses Record (RR)



Los Registros de Recursos y Zonas
Para resolver los nombres de los servidores consultar sus zonas (también llamados archivos de base de datos DNS o simplemente archivos db). Las zonas contienen registros de recursos (RR) que componen la información de recursos asociado con el dominio DNS. Por ejemplo, algunos registros de recursos asignan nombres a direcciones IP y otros asignar direcciones IP a nombres descriptivos.

Los diferentes tipos de registros de recursos se pueden utilizar para proporcionar DNS basados ​​en datos sobre las computadoras en una red TCP / IP. En esta sección se describen los registros de recursos siguientes:
  • SOA
  • NS
  • La
  • PTR
  • CNAME
  • MX
  • SRV
A continuación, se enumeran algunos de los otros registros de recursos especificados por las normas RFC. Por último, se enumeran los registros de recursos que son específicos para la implementación de Windows 2000 y un registro de recursos especificado por el Foro ATM.

Registros de recursos SOA

Cada zona contiene un inicio de registro de autoridad de recursos (SOA) en el comienzo de la zona. SOA registros de recursos incluyen los siguientes campos:
  • El propietario , TTL , Clase y Tipo de campo, tal como se describe en "Formato de registro de recursos", anteriormente en este capítulo.
  • El servidor autorizado campo muestra el servidor DNS autorizado para la zona.
  • La persona responsable campo muestra la dirección de correo electrónico del administrador responsable de la zona. Se utiliza un punto (.) En lugar de un símbolo de arroba (@).
  • El número de serie campo muestra cuántas veces la zona se ha actualizado. Cuando los contactos secundarios de una zona de servidor en el servidor maestro para esa zona para determinar si se necesita para iniciar una transferencia de zona, servidor secundario de la zona compara su propio número de serie con el del maestro.Si el número de serie del maestro es más alto, el servidor secundario inicia una transferencia de zona.
  • La actualización de campo muestra la frecuencia con el servidor secundario para la zona se comprueba para ver si la zona ha sido cambiado.
  • El reintento campo muestra cuánto tiempo después de enviar una solicitud de transferencia de zona del servidor secundario de la zona de espera una respuesta desde el servidor maestro antes de volver a intentarlo.
  • El expirar campo muestra cuánto tiempo después de la transferencia de la zona anterior del servidor secundario de la zona continúa respondiendo a las preguntas de la zona antes de desechar su propia zona como no válido.
  • El mínimo TTL campo se aplica a todos los registros de recurso en la zona cada vez que un valor de tiempo de vida no se ha especificado en un registro de recursos. Cada vez que una resolución de una consulta al servidor, el servidor devuelve los registros de recursos junto con el tiempo mínimo para vivir. Las respuestas negativas se almacenan en caché para el mínimo TTL del registro de recursos SOA de la zona autorizada.


    NS registros de recursos

    El servidor de nombres (NS) registro de recursos indica los servidores con autoridad para la zona. 
    Indican los servidores primario y secundario para la zona especificada en el registro de recursos SOA, e indican los servidores de las zonas delegadas.
     Cada zona debe contener al menos un registro NS en la raíz de la zona.


    Registros de recursos

    La dirección (a) mapas de registros de recursos de un FQDN a la dirección IP, por lo que los dispositivos de resolución puede solicitar la dirección IP correspondiente a un nombre de dominio completo. Por ejemplo, el siguiente registro de recursos, que se encuentra en la zona nomijo.escuchame.com, asigna el nombre completo del servidor a su dirección IP:


    IN A 172.16.48.1 nomec1

    Los registros PTR

    El puntero (PTR) de los recursos , en contraste con el registro de recursos A, asigna una dirección IP a un nombre de dominio completo. 
    Por ejemplo, el siguiente registro de recursos PTR asigna la dirección IP de noamdc1.noam.reskit.com a su FQDN:

    1.48.16.172.in-addr.arpa. IN PTR jose.nacional.com.

    Registros de recursos CNAME

    El nombre canónico (CNAME) registro de recursos crea un alias (nombre sinónimo) para el FQDN especificado. Puede usar registros CNAME para ocultar los detalles de implementación de su red desde los clientes que se conectan a él.
    Ejemplo:
    nal    IN  CNAME  nacionalreydecopas.conmebol.com.

    Nota
    Según el RFC 2181, debe haber un solo nombre canónico por alias.

    MX Registros de Recursos

    El intercambio de correo (MX) especifica un servidor de intercambio de correo para un nombre de dominio DNS. Un servidor de intercambio de correo es un anfitrión que, o bien procesar o enviar correo para el nombre de dominio DNS. 
    Procesar el correo significa o bien la entrega al destinatario, o pasarlo a otro tipo de transporte de correo.
    Reenviar el correo significa enviarlo a su servidor de destino final, enviándolo mediante el Protocolo simple de transferencia de correo (SMTP) a otro servidor de intercambio de correo que está más cerca del destino final, o haciendo cola fuera por un período de tiempo especificado.

     Nota

    Sólo los servidores de intercambio de correo utilizar los registros MX.
    Si desea utilizar varios servidores de intercambio de correo en un dominio DNS, puede tener varios registros de recursos MX para el dominio. El siguiente ejemplo muestra los registros de recursos MX para los servidores de correo para el dominio noam.reskit.com.:

    *. Nomijo.escuchame.com. IN MX 0 esportubien1.nomijo.escuchame.com.
    *. Nomijo.escuchame.com. IN MX 10 esportubien2.nomijo.escuchame.com.
    *. Nomijo.escuchame.com. IN MX 10 esportubien3.nomijo.escuchame.com.

    Los tres primeros campos de este registro de recursos es el propietario estándar, de clase, y los campos de tipo. El cuarto campo es la prioridad del servidor de correo , o el valor de preferencia. El valor de preferencia especifica la preferencia dada a los registros MX de los registros MX. Menores registros prioritarios son los preferidos. Así, cuando un cliente de correo tiene que enviar un correo a un cierto dominio DNS, primero contacta con un servidor DNS para ese dominio y recupera todos los registros MX. A continuación, en contacto con el programa de correo con el valor de preferencia más bajo.
    Para evitar bucles de correo, si el cliente de correo se encuentra en un host que está catalogado como un MX para el host de destino, el cliente de correo puede entregar sólo a un MX con un valor de preferencia más bajo que su propio host.

     Nota
    El sendmail programa requiere una configuración especial si un CNAME no se hace referencia en el registro MX.

    Los registros SRV

    Con los registros MX, usted puede tener múltiples servidores de correo en un dominio DNS, y cuando un cliente de correo debe enviar un correo a un host en el dominio, puede encontrar la ubicación de un servidor de intercambio de correo. Pero ¿qué pasa con otras aplicaciones, como la World Wide Web o telnet?

    De servicio (SRV) de recursos le permiten especificar la ubicación de los servidores para un servicio específico, el protocolo y el dominio DNS. 
    Por lo tanto, si tiene dos servidores web de dominio, puede crear registros de recursos SRV que especifican que los ejércitos sirven como servidores web, y resolución de continuación, puede recuperar todos los registros de los recursos SRV para los servidores Web.

    El formato de un registro SRV es la siguiente:

    _Service._Proto.Name TTL clase SRV prioridad peso puerto de destino
    • El _ Servicio campo especifica el nombre del servicio, tales como http o telnet. Algunos servicios se definen en las normas, y otros se pueden definir localmente.
    • La _ Proto campo especifica el protocolo, tal como TCP o UDP.
    • El Nombre de campo especifica el nombre de dominio al que el registro de recursos se refiere.
    • El TTL y Clase campos son los mismos que los campos definidos anteriormente en este capítulo.
    • La Prioridad campo especifica la prioridad del huésped. Clientes intentará comunicarse con el host con la prioridad más baja.
    • El Peso de campo es un mecanismo de equilibrio de carga. Cuando el campo de prioridad es el mismo para dos o más registros en el mismo dominio, los clientes deben tratar de registros con mayores pesos más a menudo, a menos que los clientes son compatibles con algún mecanismo de equilibrio de carga de otro.
    • El Puerto de campo muestra el puerto del servicio en este host.
    • El Objetivo campo muestra el nombre de dominio completo del host que soporta el servicio.

    El siguiente ejemplo muestra los registros SRV para servidores web:

    _http._tcp.rojo.com. IN SRV 0 0 80 w1.dim.rojo.com.
    _http._tcp.rojo.com. IN SRV 10 0 80 w2.dim.rojo.com.


    Menos comunes registros de recursos


    Tipo de registroRFCDescripción
    AAAA
    1886
    Registro de dirección especial que asigna un host (ordenador o dispositivo de red) nombre a una dirección IPv6.
    AFSDB
    1183
    Da la ubicación de cualquiera de un sistema de archivos Andrew (AFS) servidor de base de datos celular, o un Distributed Computing Environment (DCE) de servidor autenticado célula. El sistema AFS utiliza DNS para asignar un nombre de dominio DNS para el nombre de un servidor de base de datos AFS celular. El Software Libre DCE Fundación Servicio de nombres DNS utiliza para una función similar.
    HINFO
    1035
    La información del host identifica el tipo de registro de recursos de una gran cantidad de hardware y sistema operativo. El tipo de CPU y los identificadores del sistema operativo provienen de los nombres de equipo y nombres de sistema que aparecen en RFC 1700.
    ISDN
    1183
    La Red Digital de Servicios Integrados (RDSI) registro de recursos es una variación del registro de recursos A (dirección). En lugar de asignar un nombre de dominio completo a una dirección IP, los mapas de registros RDSI el nombre a una dirección RDSI. Una dirección RDSI es un número de teléfono que consta de un código de país / región, el código de área o código de país / región, un número de teléfono local y, opcionalmente, una subdirección. El registro de recursos ISDN está diseñado para ser usado en conjunción con la ruta a través de registro de recursos (RT).
    MB
    1035
    El buzón (MB) registro de recursos es un registro experimental que especifica un host DNS con el buzón especificado. Otros registros experimentales relacionados son el grupo de correo (MG) registro de recursos, el cambio de nombre de buzón (MR) registro de recursos, y la información del buzón (MINFO) registro de recursos.
    MG
    1035
    El grupo electrónico (MG) registro de recursos es un disco experimental que especifica un buzón que es un miembro del grupo de correo (mailing list) especificado por el nombre de dominio DNS. Otros registros experimentales relacionados son el registro de recursos de MB, el registro de recursos MR, y el registro de recursos MINFO.
    MINFO
    1035
    El registro de recursos MINFO es un disco experimental que especifica un buzón que es responsable de esa lista de correo o buzón de correo. Otros registros experimentales relacionados son el registro de recursos de MB, el registro de recursos MG, y el registro de recursos MR.
    MR
    1035
    El registro de recursos RM es un disco experimental que especifica un buzón que se encuentra el cambio de nombre propio de otro buzón especificado. Otros registros experimentales relacionados son el registro de recursos de MB, el registro de recursos MG, y el registro de recursos MINFO.
    RP
    1183
    Identifica a la persona responsable (RP) con el objetivo específico de dominio DNS o host.
    RT
    1183
    La ruta a través de registro de recursos (RT) especifica un huésped intermedio que enruta paquetes a un host de destino. El registro RT se utiliza en conjunción con los registros de recursos RDSI y X25. Es sintácticamente y semánticamente similar al tipo de registro MX y se utiliza en la misma forma.
    TXT
    1035
    El recurso de texto (TXT) asocia registro general de información textual con un elemento de la base de datos DNS. Un uso típico es para identificar la ubicación de un host (por ejemplo, Ubicación: 26S Building, Room 2499). Un único registro TXT puede contener varias cadenas, hasta 64 kilobytes (KB).
    WKS
    1035
    El conocido servicio (WKS) registro de recursos se describen los servicios proporcionados por un determinado protocolo en una interfaz particular. El protocolo es generalmente UDP o TCP, pero puede ser cualquiera de las que figuran en el archivo de protocolos de Windows 2000 se encuentra en% SystemRoot % \ System32 \ Drivers \ Etc \ Protocolo. Los servicios son los servicios por debajo de 256 el número de puerto de los Servicios de Windows 2000 archivo que se encuentra en%SystemRoot % \ System32 \ Drivers \ Etc \ Services.
    X.25
    1183
    El registro de recursos X.25 es una variación del registro de recursos A (dirección). En lugar de la asignación de un nombre de dominio completo a una dirección IP, X.25 los mapas de registro el nombre a una dirección X.121. X.121 es la Organización Internacional de Normalización (ISO) que especifica el formato de las direcciones usadas en las redes X.25. El registro de recursos X.25 está diseñado para ser usado en conjunción con la ruta a través de registro de recursos (RT).

    Registros de Recurso no definidos en el RFC


    NombreDescripción
    GANA
    El servidor de Windows 2000 DNS puede utilizar un servidor WINS para buscar la parte del host de un nombre DNS que no existe en la zona DNS autoritativo para el nombre.
    Búsqueda inversa WINS (WINS-R)
    Esta entrada se utiliza en una zona de búsqueda inversa para encontrar la parte del host del nombre DNS si se le da su dirección IP. A los problemas del servidor DNS de un adaptador de NetBIOS consulta de estado si la zona autorizada para la dirección IP consultada no contiene el disco y contiene el registro de recursos WINS-R.
    ATMA
    El registro de recursos ATMA, definida por el Foro ATM, se utiliza para los nombres de dominio DNS del mapa a direcciones ATM. Para obtener más información, póngase en contacto con el Foro ATM para el cajero automático Name System Version 1.0.

    Delegación y pegamento Registros

    Delegación y registros de adherencia son registros que se agregan a una zona con el fin de delegar un subdominio en una zona separada. Una delegación es un registro NS en la zona principal que contiene el servidor de nombres con autoridad para la zona delegada. Un registro de adherencia es un registro A para el servidor de nombres con autoridad para la zona delegada.

    Las delegaciones son necesarios para la resolución de nombres. 
    Pegue los registros también son necesarios si el servidor de nombres con autoridad para la zona delegada también es miembro de ese dominio. 

     Sin embargo, si se trataba de un miembro de un dominio diferente, el sistema puede realizar la resolución de nombres estándar para resolver el nombre del servidor de nombres con autoridad a una dirección IP.

    Cuando una resolución envía una consulta de un nombre en la zona secundaria al servidor de nombres que tiene autoridad para la zona principal, el servidor autoritativo para la zona principal comprueba su zona. La delegación se indica qué servidor de nombres con autoridad para la zona secundaria. El servidor autoritativo para la zona principal puede devolver una referencia a la resolución.


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)