• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Interconexion de redes
 

Interconexion de redes

on

  • 348 views

 

Statistics

Views

Total Views
348
Views on SlideShare
348
Embed Views
0

Actions

Likes
0
Downloads
2
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Interconexion de redes Interconexion de redes Document Transcript

    • 1.- ¿Que son los circuitos virtuales?El X.25 es una red de conmutación de paquetes que utiliza circuitos virtuales. Los circuitos virtuales soncreados en el nivel de red, esto significa que una conexión física entre un DTE y un DCE puede transportarvarios circuitos virtuales en el nivel de red, siendo cada circuito responsable de la transmisión de datos o decontrol (señalización en banda).Cada circuito virtual debe estar identificado para ser usado por los paquetes, y este identificador sedenomina: número de canal lógico (LCN), cuando se establece un canal virtual siempre hay un par de LCN:uno define el circuito virtual entre el DTE y el DCE locales y el otro el circuito virtual entre el DCE y el DTEremotos. La razón de tener dos LCN es hacer al LCN de dominio local. El LCN local permite que el mismoconjunto de LCN pueda ser utilizado por dos pares diferentes de enlaces DTE-DCE sin ninguna confusión.2.- ¿Cuales son los tipos de firewall incluir imágenes explicadas?Las firewalls a nivel de red generalmente, toman las decisiones basándose en la fuente, dirección dedestino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" firewall a nivelde red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación conquién está hablando un paquete ahora o desde donde está llegando en este momento. Las modernasfirewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre elestado de las conexiones que están pasando a través de ellas, los contenidos de algunos datagramas ymás cosas. Un aspecto importante que distingue a las firewall a nivel de red es que ellas enrutan el tráficodirectamente a través de ellas, de forma que un usuario cualquiera necesita tener un bloque válido dedirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a losusuarios.Un ejemplo de una firewall a nivel de red se muestra en la figura anterior. En este ejemplo se representauna firewall a nivel de red llamada "Screend Host Firewall". En dicha firewall, se accede a y desde un únicohost el cual es controlado por un router operando a nivel de red. El host es como un bastión, dado que estámuy defendido y es un punto seguro para refugiarse contra los ataques.
    • Otros ejemplo sobre una firewall a nivel de red es el mostrado en la figura anterior.En este ejemploserepresenta una firewall a nivel de red llamada "screened subnet firewall". En dicha firewall se accede a ydesdeel conjunto de la red, la cual es controlada por un router operando a nivel de red. Es similar al firewallindicadaen el ejemplo anterior salvo que esta si que es una red efectiva de hosts protegidos.Los Firewalls a nivel de aplicación son generalmente, hosts que corren bajo servidores proxy, que nopermitentráfico directo entre redes y que realizan logines elaborados y auditan el tráfico que pasa a travésde ellas. Las firewall a nivel de aplicación se puede usar como traductoras de direcciones de red, desdeque el tráfico entrapor un extremo hasta que sale por el otro. Las primeras firewalls a nivel de aplicacióneran poco transparentes alos usuarios finales, pero las modernas firewalls a nivel de aplicación sonbastante transparentes. Las firewalls anivel de aplicación, tienden a proporcionar mayor detalle en losinformes auditados e implementan modelos deconservación de la seguridad. Esto las hace diferenciarse delas firewalls a nivel de red.3.- ¿Que es una DMZ?Una DMZ (del inglés Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o redperimetral es una red local que se ubica entre la red interna de una organización y una red externa,generalmente Internet.El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas,mientras que las conexiones desde la DMZ sólo se permitan a la red externa, es decir: los equipos locales(hosts) en la DMZ no pueden conectar con la red interna.Esto permite que los equipos (hosts) de la DMZ’s puedan dar servicios a la red externa a la vez queprotegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situadosen la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la redinterna, la zona desmilitarizada se convierte en un callejón sin salida.La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera,como servidores de e-mail, Web y DNS.4.-Mencione y explique por lo menos 5 algoritmos de encriptaciónDES y 3DESEl algoritmo DES (Data Encryption Standard) creado en 1976 requiere una clave de 64 bits, de los cualesutiliza únicamente 56 bits siendo los otros 8 un control de paridad. Para mejorar la seguridad se creo Triple DES (TDES o 3DES), que consiste en utilizar tres veces DES,cifrando y/o descifrando con una, dos o tres claves diferentes. Así DES-EEE1 cifra tres veces con la misma
    • clave, mientras que DES-EDE3 cifra-descifra-cifra con tres claves diferentes (al usar para descifrar unaclave diferente que para cifrar, en realidad se complica el cifrado). Las variantes más seguras son DES-EEE3 y DES-EDE354. Si se utilizan 3 claves diferentes la longitud de la clave usada es de 168 bits (56x3) pero la seguridadefectiva55 es de 112 bits.3DES es un algoritmo seguro pero lento, que permitió seguir utilizando dispositivos creados para DES. Sinembargo está siendo sustituido por AES (Advanced Encryption Standard).AES AES (Advanced Encryption Standard) es uno de los algoritmos más utilizados, ya que se convirtió enestándar en 2002. Utiliza un tamaño de bloque de 128 bits y claves de 128, 192 o 256 bits. AES es rápidotanto por software como por hardware, es relativamente sencillo de implementar y requiere poca memoriaen el proceso.RCxRC4 (Rivest Cipher o Rons Code) era el algoritmo de cifrado por software más utilizado en parte por ser elalgoritmo utilizado por SSL y WEP. Este algoritmo utiliza un sistema de cifrado de flujo (stream cipher) node trasposición de bloques. Esto hace que sea rápido y sencillo. Sin embargo este algoritmo es fácilmenteatacable si la clave de flujo (keystream) no se descarta, o no es aleatoria o cambia en relación a la claveanterior o se usa varias veces la misma.Utiliza una clave de entre 40 y 256 bits y no se recomienda su uso ya que no aporta seguridad suficiente. RC4 ha sido sustituido por RC5 y RC6 que utilizan trasposición de bloques. RC6 utiliza un tamaño debloque de 128 bits y claves de 128, 192 o 256 bits (como AES), aunque puede parametrizarse con otrosvalores. ARCFour (Alleged RC4) es un algoritmo libre al parecer compatible con RC4 (algoritmo patentadoy cerrado).IDEA IDEA (International Data Encryption Algorithm) es un algoritmo de trasposici ón de bloques de 64 bits conclave de 128 bits. Se usa en PGPv2 (Pretty Good Privacy) y es opcional en OpenPGP dado que está sujetoa licencia en algunos paises.RSA (Rivest, Shamir and Adlman)Es el más popular y utilizado de los algoritmos asimétricos. Fue inventado en 1978 por Rivest, Shamiry Adlman que dan nombre al algoritmo. Patentaron el algoritmo y cuando alcanzó popularidad fundaron unaempresa, RSA Data Security Inc., para la explotación comercial. Para su implementación ycomercialización se deben pagar derechos a esta empresa, pero actualmente se encuentran muchasversiones gratuitas en Internet. Fuera de los EE.UU. sólo está permita la utilización del algoritmoconclaves menores o iguales a 512 bits.El algoritmo utiliza las siguientes claves:· Como públicas dos números grandes elegidos por un programa: e y n.· Como privada un número grande d, consecuencia de los anteriores.El cálculo de estas claves se realiza en secreto en la máquina depositaria de la privada.Este proceso tiene mucha importancia para la posterior seguridad del sistema. El proceso es el siguiente:1. Se buscan dos número grandes (entre 100 y 300 dígitos) y primos: p y q.2. Se calcula f = (p-1) * (q-1) y n = p * q.3. Se busca e como un número sin múltiplos comunes a f.4. Se calcula d = e-1 mod f. (mod = resto de la división de enteros).
    • 5. Se hace públicas las claves n y e, se guarda d como clave privada y se destruyen p, q y f.Mediante “prueba y ensayo” es muy difícil calcular d ya que es un número de 512 bits o más. Así elsistema de criptoanálisis utilizado es buscar la clave privada d a partirde las públicas e y n. Paraesto basta con encontrar los números p y q, estos son la descomposición en factores primos de n, ya que n= p * q. No se ha descubierto aún ninguna forma analítica de descomponer números grandes en factoresprimos.5.- ¿Qué son las firmas digitales?Una firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensajedigital, que puede ser por ejemplo un documento electrónico. Una firma digital da al destinatario seguridadde que el mensaje fue creado por el remitente (autenticidad de origen), y que no fue alterado durante latransmisión (integridad). La firma digital consiste en un método criptográfico que asocia la identidad de unapersona o de un equipo informático, al mensaje o documento. En función del tipo de firma, puede ademásasegurar la integridad del documento o mensaje.El proceso de firma consiste en cifrar una cadena de texto llamada digesto, que esconfeccionadautilizando funciones que resumen un texto a una cadena de caracteres de longitud fijapredeterminada.6.- ¿Cómo configurar un servidor de autenticación?Instale el paquete LDAP necesarioPrimero, debería asegurarse de tener los paquetes apropiados en ambos, el servidor LDAP y las máquinascliente LDAP. El servidor LDAP requiere el paquete openldap-server.Los paquetes openldap, openldap-clients, y nss_ldap necesitan estar instalados en todas las máquinasLDAP clientes.Modifique los archivos de configuraciónEn el servidor, modifique el archivo /etc/openldap/slapd.conf en el servidor LDAP para asegurarse de quese corresponde con las especificaciones de su organización. Por favor refiérase a Sección 13.6.1 parainstrucciones sobre la modificación de slapd.conf.En las máquinas clientes, ambos archivos /etc/ldap.conf y /etc/openldap/ldap.conf necesitan contener elservidor apropiado y la información base de búsqueda para la organización.Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) yseleccione Activar soporte LDAP bajo la pestaña Información de usuario.También puede editar estos archivos manualmente.En las máquinas clientes, el archivo /etc/nsswitch.conf debe ser editado para usar LDAP.Para hacer esto, ejecute la Herramienta de configuración de autenticación (system-config-authentication) yseleccione Activar soporte LDAP bajo la pestaña Información de usuario.Si está modificando el archivo /etc/nsswitch.conf manualmente, agregue ldap a las líneas adecuadas.Por ejemplo: passwd: files ldapshadow: files ldapgroup: files ldap
    • 13.7.1. PAM y LDAPPara tener aplicaciones PAM estándar utilice LDAP para la autenticación, ejecutando la Herramienta deconfiguración de autenticación (system-config-authentication) y luego seleccionando Activar soporte LDAPbajo la pestaña Autenticación. Para más información sobre la configuración de PAM, consulte el Capítulo16 y las páginas del manual de PAM .13.7.2. Migrar la información de autenticación antigua al formato LDAPEl directorio /usr/share/openldap/migration/ contiene un conjunto de scripts de shell y Perl para la migraciónde información de autenticación en el formato LDAP.Primero, modifique el archivo migrate_common.ph para que refleje el dominio correcto. El dominio DNS pordefecto debería ser modificado desde su valor por defecto a algo como lo siguiente:$DEFAULT_MAIL_DOMAIN = "example";La base por defecto también debería ser modificada, para que se parezca a: $DEFAULT_BASE ="dc=example,dc=com";La tarea de migrar una base de datos de usuario a un formato que pueda leer LDAP le corresponde a ungrupo de scripts de migración instalado en el mismo directorio. Usando la Tabla 13-1, decida cúal script vaa ejecutar para poder migrar su base de datos de usuario.Ejecute el script apropiado basándose en el nombre del servicio actual.Los archivos README y migration-tools.txt en el directorio /usr/share/openldap/migration/ dan más detallessobre cómo migrar la información.Nombre del servicio actual ¿Está LDAP ejecutándose? Utilice este script/etc archivos planos si migrate_all_online.sh/etc archivos planos no migrate_all_offline.shNetInfo si migrate_all_netinfo_online.shNetInfo no migrate_all_netinfo_offline.shNIS (YP) si migrate_all_nis_online.shNIS (YP) no migrate_all_nis_offline.sh7.- Explique como configurar apache con sslRequisitos.Es necesario disponer de una dirección IP pública para cada sitio de red virtual que se quiera configurarcon soporte SSL/TLS. Debido a la naturaleza de los protocolos SSL y TLS, no es posible utilizar múltiplessitios de red virtuales con soporte SSL/TLS utilizando una misma dirección IP. Cada certificado utilizadorequerirá una dirección IP independiente en el anfitrión virtual.El paquete mod_ssl instala el archivo /etc/httpd/conf.d/ssl.conf, mismo que no es necesario modificar,puesto que se utilizarán archivos de inclusión, con extensión *.conf, dentro del directorio /etc/httpd/conf.d/,a fin de respetar la configuración predeterminada y podre contar con la misma, que es funcional, brindandoun punto de retorno en el caso de que algo saliera mal.Equipamiento lógico necesario.Instalación a través de yum.Si se utiliza de CentOS 5 o 6, o bien Red Hat Enterprise Linux 5 o 6, ejecutelo siguiente: yum -y install mod_sslProcedimientos.Generando firma digital y certificado.Acceda al sistema como el usuario root.Acceda al directorio /etc/pki/tls/.
    • cd /etc/pki/tlsEn caso de que existieran previamente, debe eliminar los archivos certs/dominio.tld.crt,certs/dominio.tld.crs, private/dominio.tld.key y private/dominio.tld.pem. rm -f certs/dominio.tld.crt private/dominio.tld.key rm -f certs/dominio.tld.csr private/dominio.tld.pemSe debe crear una clave con algoritmo RSA de 2048 octetos y estructura x509, la cual se cifra utilizadoTriple DES (Data Encryption Standard), almacenado en formato PEM de modo que sea interpretable comotexto ASCII. se solicitará una clave de acceso para asignar a la firma digital, por lo que se recomiendautilizar una muy buena clave de acceso, la cual, mientras más complicada y difícil sea, mejor. openssl genrsa -des3 -out private/dominio.tld.key 2048Si se utiliza este archivo (dominio.tld.key) para la configuración del anfitrión virtual, se requerirá deinteracción del administrador cada vez que se tenga que iniciar, o reiniciar, el servicio httpd, ingresando laclave de acceso de la firma digital. Este es el procedimiento más seguro, sin embargo, debido a queresultaría poco práctico tener que ingresar una clave de acceso cada vez que se inicie el servicio httpd,resulta más conveniente generar una firma digital RSA, la cual permita iniciar normalmente y sin interacciónalguna, al servicio httpd. openssl rsa -in private/dominio.tld.key -out private/dominio.tld.pemEl archivo dominio.tld.pem será el que se especifique más adelante como valor del parámetroSSLCertificateKeyFile en la configuración de Apache.A continuación, genere el archivo CSR (Certificate Signing Request), el cual es el archivo de solicitud quese hace llegar a una RA (Registration Authority o Autoridad de Registro), como Verisign, quienes, tras elcorrespondiente pago, envían de vuelta un certificado (para ser utilizado como el archivo dominio.tld.crt)firmado por dicha autoridad certificadora. openssl req -new -key private/dominio.tld.key -out certs/dominio.tld.csrLo anterior solicitará se ingresen varios datos: Código de dos letras para el país. Estado o provincia. Ciudad. Nombre de la empresa o razón social. Unidad o sección.
    • Nombre del anfitrión. Debe ser el nombre con el que se accederá hacia el servidor, y dicho nombre deberá estar resuelto en un DNS. SI lo desea, puede utilizar también *.dominio.tld. Dirección de correo electrónico válida del administrador del sistema. De manera opcional se puede añadir otra clave de acceso y nuevamente el nombre de la empresa. Poco recomendado, a menos que quiera ingresar ésta cada vez que se inicie o reinicie el servicio httpd. La salida devuelta sería similar a la siguiente: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ., the field will be left blank. ----- Country Name (2 letter code) [GB]:MX State or Province Name (full name) [Berkshire]:Distrito Federal Locality Name (eg, city) [Newbury]:Mexico Organization Name (eg, company) [My Company Ltd]:Empresa, S.A. de C.V. Organizational Unit Name (eg, section) []:Direccion Comercial Common Name (eg, your name or your servers hostname) []:*.dominio.tld Email Address []:webmaster@dominio.tld Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []:Si requiere un certificado auto-firmado, en lugar de un certificado firmado por un RA, puede generarseéste utilizando el archivo de petición CSR (dominio.tld.csr). En el ejemplo a continuación, se crea uncertificado con estructura X.509 en el que se establece una validez por 730 días (dos años). openssl x509 -req -days 730 -in certs/dominio.tld.csr -signkey private/dominio.tld.key -out certs/dominio.tld.crtCon la finalidad de que sólo el usuario root pueda acceder a los archivos creados, se deben cambiar lospermisos de éstos a sólo lectura para root. chmod 400 private/dominio.tld.key private/dominio.tld.pem chmod 400 certs/dominio.tld.csr certs/dominio.tld.crtConfiguración simple de Apache para un solo dominio.Edite el archivo /etc/httpd/conf.d/ssl.conf: vim /etc/httpd/conf.d/ssl.confLocalice lo siguiente: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command.
    • SSLCertificateFile /etc/pki/tls/certs/localhost.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # youve both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/localhost.keyCambie localhost.crt y localhost.key, por dominio.tld.crt y dominio.tld.pem: # Server Certificate: # Point SSLCertificateFile at a PEM encoded certificate. If # the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A new # certificate can be generated using the genkey(1) command. SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt # Server Private Key: # If the key is not combined with the certificate, use this # directive to point at the key file. Keep in mind that if # youve both a RSA and a DSA private key you can configure # both in parallel (to also allow the use of DSA ciphers, etc.) SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pemA fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restartLo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando secreo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor delparámetro SSLCertificateKeyFile en la configuración de Apache.Configuración de Apache para múltiples dominios.Omita el procedimiento anterior.Es importante resaltar que cada dominio deberá contar con su propia dirección IP, pues el protocoloHTTPS impedirá utilizar más de un certificado por dirección IP.El primer paso consiste en crear la estructura de directorios para el anfitrión virtual. mkdir -p /var/www/dominio.tld/{cgi-bin,html,logs,etc}De todos directorios creados, sólo /var/www/dominio.tld/html, /var/www/dominio.tld/etc y/var/www/dominio.tld/cgi-bin pueden pertenecer a un usuario sin privilegios, quien administrará esteanfitrión virtual.Crear el archivo /etc/httpd/conf.d/dominio.conf: vim /etc/httpd/conf.d/dominio.confAdaptar la siguiente plantilla como contenido de este archivo, donde a.b.c.d corresponde a una direcciónIP, y dominio.tld corresponde al nombre de dominio a configurar para el anfitrión virtual: ### dominio.tld ### NameVirtualHost a.b.c.d:80 <VirtualHost a.b.c.d:80> ServerAdmin webmaster@dominio.tld
    • DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ServerAlias dominio.tld Redirect 301 / https://www.dominio.tld/ CustomLog logs/dominio.tld-access_log combined Errorlog logs/dominio.tld-error_log </VirtualHost> NameVirtualHost a.b.c.d:443 <VirtualHost a.b.c.d:443> ServerAdmin webmaster@dominio.tld DocumentRoot /var/www/dominio.tld/html ServerName www.dominio.tld ScriptAlias /cgi-bin/ /var/www/dominio.tld/cgi-bin/ <Directory "/var/www/dominio.tld/cgi-bin"> SSLOptions +StdEnvVars </Directory> SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/tls/certs/dominio.tld.crt SSLCertificateKeyFile /etc/pki/tls/private/dominio.tld.pem SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0 CustomLog logs/dominio.tld-ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b" Errorlog logs/dominio.tld-ssl_error_log TransferLog logs/dominio.tld-ssl_access_log LogLevel warn </VirtualHost>A fin de que surtan efecto los cambios, es necesario reiniciar el servicio httpd. service httpd restartLo anterior deberá de proceder sin solicitar la clave de acceso de la firma digital (la que asignó cuando secreo dominio.tld.key). En caso contrario, significa que estableció dominio.tld.key como valor delparámetro SSLCertificateKeyFile en la configuración de Apache.Comprobación.Sólo basta dirigir cualquier navegador HTTP hacia https://www.dominio.tld/ a fin de verificar que todoesté trabajando correctamente. Tras aceptar el certificado, en el caso de que éste no haya sido firmado porun RA, deberá poderse observar un signo en la barra de estado del navegador, el cual indica que se tratade una conexión segura.Modificaciones necesarias en el muro cortafuegos.Si se utiliza un cortafuegos, es necesario abrir, además del puerto 80 por TCP (HTTP), el puerto 443 porTCP (HTTPS).Si utiliza Shorewall, edite el archivo /etc/shorewall/rules: vim /etc/shorewall/rulesLas reglas corresponderían a algo similar a lo siguiente:
    • #ACTION SOURCE DEST PROTO DEST SOURCE # PORT PORT(S)1 ACCEPT all fw tcp 80,443 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVEAl terminar de configurar las reglas para Shorewall, reinicie el muro cortafuegos, ejecutando el siguientemandato: service shorewall restart8.- ¿Que es un certificado y como se obtiene uno?El Certificado Digital es un Documento Digital que nos permite : Identificarnos. Firmar digitalmente un Documento Digital. Trabajar con Documentos Digitales firmados digitalmente teniendo certeza respecto del remitente y el destinatario. Efectuar transacciones de tipo comercial con total seguridad y sustento legal. Mantener la confidencialidad de la información entre el Remitente y el Destinatario utilizando cifrado. Estar seguros de que un Documento Digital no ha sido alterado.En síntesis, la utilización de Certificados Digitales garantiza Autentificación, Integridad, Confidencialidad,No Repudio.A la Entidad que otorga Certificados Digitales se la llama Autoridad de Certificación.Es un Documento Digital emitido por una Autoridad de Certificación a solicitud de una Autoridad deRegistro que garantiza la veracidad de los datos contenidos referentes a una persona física o jurídica.El Certificado Digital está compuesto de 2 partes. Una de ellas es Privada (Porción Privada) y la otra partees Pública (Porción Pública). (Ver el tema : ¿Cómo es un Certificado Digital?)Estas dos partes son generadas en el mismo momento por el usuario ejecutando un programa provisto porla Autoridad de Certificación desde su sitio en la web (www.certificadodigital.com.ar).Según qué datos están verificados por la Autoridad de Registro y cual fue el procedimiento de verificación,se otorgan diferentes Clases de Certificado Digital.Podemos encontrar que los Certificados Digitales también se utilizan, entre otras cosas, para : Verificar autenticidad de un Sitio Web. Verificar autenticidad e integridad de un programa de computación. Verificar el Momento en que fue firmado o enviado un Documento DigitalÓrgano LicencianteEs el organismo del Estado que habilita a una Empresa de Certificación Digital como Autoridad deCertificación.Entidad AuditanteEs la Entidad que ha sido designada para efectuar la Auditoría y Control de la Autoridad de Certificación.Autoridad de CertificaciónLa Autoridad de Certificación es responsable de brindar las herramientas para poder emitir, con calidadtécnica y de manera segura e irrepetible por otros medios o en otras circunstancias, el par de claves,pública y privada, que constituye el eje del certificado, así como de : Aprobar o Rechazar las Solicitudes generadas por la Autoridad de Registro. Poner a salvo su propia clave privada (Clave Privada Raíz) que es la que utiliza para aprobar las Solicitudes. Garantizar la calidad técnica del sistema informático. Proveer el libre y fácil acceso a las listas y directorios de claves públicas para la verificación de firmas emitidas por lamisma.
    • Publicar las Claves Públicas que ha aprobado y las Revocaciones de Certificados Digitales que ha realizado.La potestad para Emitir Certificados Digitales le es concedida por el Órgano Licenciante y la calidad delservicio es controlada por una Entidad Auditante.En nuestro país este esquema ya está siendo usado en el Ámbito Público del Estado, sin embargo lasleyes que regulan la actividad privada están en vías de promulgación.Es por ello que en el Ámbito Privado se aplica actualmente la legislación que rige el Acuerdo de Partes.Autoridad de RegistroLa Autoridad de Registro es responsable de realizar la identificación de la persona física o jurídica enforma fehaciente y completa, debe efectuar los trámites con fidelidad a la realidad.Además es quien se encarga de solicitar la Aprobación, y/o Revocación de un Certificado Digital.Su objetivo primario es asegurarse de la veracidad de los datos que fueron utilizados para solicitar elCertificado Digital.9.- Explique paso a paso como configurar RADIUSUna vez preparada la máquina para la compilación, podremos ir al directorio en el que se hadescomprimido (“cd freeradius-server-2.1.1”). El proceso básico de la instalación se encuentra descrito enel fichero de texto INSTALL (lo puedes editar usando gedit). En primer lugar, debemos hacer una operaciónde configuración. Mediante la orden “./configure --help” podemos ver las opciones disponibles, nosotrosusaremos las opciones por defecto.Una vez configurado el proceso, realizaremos la compilación mediante “make”, y posteriormente, si no haocurrido ningún error, instalaremos el software en el sistema mediante “make install” como superusuario.Si el proceso es correcto, ya podremos ejecutar el servidor. Sin embargo, como la primera vez que seejecute el servidor se crearán los certificados necesarios para operar con EAP, antes de esta primeraejecución es conveniente que configuremos estos certificados con los atributos que más se ajusten anuestra instalación.En concreto la configuración de los certificados se puede realizar editando los ficheros de configuración quese encuentran en /usr/local/etc/raddb/certs. Aquí podremos editar la configuración de los certificados de laautoridad certificadora (fichero ca.cnf), los usados como servidor (server.cnf), y los de cliente (client.cnf).Los atributos a configurar son el país, provincia, localidad, organización, dirección de correo electrónico ynombre común. Observa que para su correcto funcionamiento, el servidor y la autoridad certificadora debencoincidir en país, estado y organización.Una vez configurados los certificados, ya podremos ejecutar el servidor (como root), mediante la orden“radiusd –X” (la X se utiliza para funcionar en modo debug, y así recibir información sobre los eventos quese suceden en el servidor). Tal y como hemos dicho previamente, la primera vez que se ejecute el servidorse crearán los certificados necesarios. Si todo va bien, el servidor debe quedarse escuchando en lospuertos asociados a los servicios que ofrece.Para comprobar que el servidor está funcionando correctamente, podremos hacer uso de la herramienta“radtest” como root, de la siguiente manera:$ radtest usuario contraseña localhost 10 testing123donde “usuario” y “contraseña” son las credenciales de un usuario local de la máquina. “tesing123” es loque se denomina un secreto, que permite asociar de manera segura un cliente al servidor. Este cliente yaestá configurado en la máquina, tal y como veremos posteriormente, por tanto, y si todo es correcto larespuesta debe ser “Access-Accept”.4.3 Configuración básica del servidorLa configuración del servidor se hace mediante el fichero “radiusd.conf” del directorio /usr/local/etc/raddb.Aquí podemos seleccionar aspectos relacionados con el servidor (ficheros de log, parámetros de uso
    • máximo, usuarios, grupos, …), bases de datos a utilizar para autenticar y autorizar (ficheros, SQL, LDAP,…), métodos de AAA.Para evitar una excesiva longitud de este fichero y por cuestiones de organización, “radiusd.conf” sesubdivide en varios ficheros mediante la directiva “$INCLUDE”: eap.conf: Se utiliza para configurar el tipo de EAP a emplear clients.conf: Tien la lista de clientes que están autorizados para usar los servicios de AAA eproporcionados. proxy.conf: Este fichero configura directivas relacionadas con el funcionamiento en modo proxy y la listade realms. Otros ficheros como sql.conf (para config urar el acceso a bases de datos SQL), policy.conf, etc.Además, el fichero “users” contiene información sobre la autenticación de suplicantes, de forma que inclusopodemos añadir credenciales en forma de usuario y contraseña para permitir una configuración sencilla deusuarios (ten en cuenta que estos usuarios serán realmente clientes del NAS, y no directamente delservidor RADIUS).Como vamos a trabajar con suplicantes bajo Windows XP, configurados como en hemos visto previamentepara eduroam en la UPV, vamos a necesitar soporte de PEAP y mschapv2. Para esto editamos el ficheroeap.conf, y cambiamos el atributo “default_eap_type” general, de “md5” a “peap” (en minúsculas), y en elapartado de peap asegúrate de que “default_eap_type” esté a “mschapv2”. En principio, si usamos laversión 2.1.1 de Radius no deberíamos necesitar cambiar nada más en este fichero, ya que la parte de“peap” está descomentada por defecto.A continuación tenemos que informar al servidor RADIUS de que va a tener como cliente un punto deacceso. Para ello, editamos el fichero clients.conf, y añadimos las siguientes líneas:client 192.168.1.1 {secret = secretotrashortname = apnastype = cisco}Fíjate que el punto de acceso va a tener como dirección IP por defecto “192.168.1.1”, por la configuracióndel propio punto de acceso que vamos a emplear, y que como secreto para la configuración posterior deNAS e el punto de acceso usaremos “secretotra” 1210.- Explique paso a paso como configurar Linux centos 5 o superior las jaulas chrootPara empezar como usuario root ejecuta la siguiente sintaxis, la cual instalara los paquetescorrespondientes al servidor DNS;yum install -y bind bind-chroot bind-libs bind-utils caching-nameserverArchivo de configuraciónAbra el fichero hosts que se encuentra ubicado en la ruta /etc/hosts. En donde se ingresara la dirección IPdel servidor de ejemplo; 192.168.5.119 y el dominio ficticio de nombre dns1.grupo7vesp.edu. luego dehaber ingresado los campos correspondientes en el archivo cerrarlo y guardar los cambios.Abrir el archivo o fichero network que se encuentra en la ruta;/etc/sysconfig/network
    • En el parámetro HOSTNAME se declara el nombre de dominio del servidor que desempeña la función deservicio DNS en nuestro caso sustituiremos localhost.localdomain por dns1.grupo7vesp.edu.Cree en la jaula chroot los ficheros de zonas, los cuales serán invocados por el fichero named.conf;touch /var/named/chroot/var/named/grupo7vesp.edu.zoneAhora el archivo de zona inversa;touch /var/named/chroot/var/named/5.168.191.in-addr-arpa.zoneEdite el fichero de zona de nombre grupo7vesp.edu.zone (recuerde que se encuentra en la ruta/var/named/chroot/var/named/grupo7vesp.edu.zone);Edite el fichero de zona inversa 5.168.191.in-addr.arpa.zone (recuerde que se encuentra en la ruta/var/named/chroot/var/named/5.168.191.in-addr-arpa.zone);Donde; los equipos clientes , pertenecen a partir de las direcciones IP´s 192.168.5.120 a 192.168.5.126.Nota: En el parámetro NS (Name Server) de ambos archivos de zonas puede ingresar los servidores DNSde su Proveedor de Servicio de Internet (I.S.P), así;NS ServidorDNS1.comNS ServidorDNS2.comCree el fichero named.conf, ejecutando la siguiente sintaxis;touch /var/named/chroot/etc/named.confAsigne los permisos de propietario y grupo root:named al fichero named.conf y con permisos 644;chown root:named named.confchmod 644 named.confPosteriormente edite y configurar el archivo named.conf;vim /var/named/chroot/etc/named.confVolcar el contenido del archivo configuración de ejemplo de nombre named.rfc1912.zones ubicado en/var/named/chroot/etc;cat /var/named/chroot/etc/named.rfc1912.zones >> /var/named/chroot/etc/named.confAgregar la configuración de las dos zonas creadas con anterioridad en el named.conf ;