Janeiro 30 IRS. Gonçalo Afonso nº 29143

Transcrição

1 Janeiro 30 IRS 2012 Gonçalo Afonso nº 29143

2 Índice Máquina Virtual... 2 Sistema Operativo... 2 Instalação... 2 Sistema de ficheiros... 4 Gestor de Pacotes... 5 Bootloader... 6 DNS... 6 Objectivos:... 6 Router... 7 DHCP... 8 IPTables... 9 FreeRADIUS Conclusão

3 Introdução O objectivo deste trabalho é o de implementar um servidor de rede com os serviços mínimos para um funcionamento de uma rede assim como demonstrar as potencialidades do software opensource. Máquina Virtual Foi criada uma máquina virtual usando o software Oracle Virtual box. Foi usado este software pois é de fácil utilização, versátil e gratuito tornando-o assim uma ferramenta para criação de sistemas operativos. A máquina tinha as seguintes características: Disco rígido Memória MAC Interface de rede Externa 8 GB 1024MB FE Sistema Operativo O sistema operativo escolhido foi o Linux/Gentoo. Esta escolha deveu-se ao facto de o gentoo ser extremamente leve e configurável não tendo automatismos de instalação presentes noutras distribuições o que nos permite aprofundar o conhecimento do funcionamento interno do Linux. Foi utilizado para a instalação a imagem de CD install-x86-minimal iso. Instalação Começou-se por colocar o cd na drive da máquina virtual e arrancar com a mesma e arrancamos. 2

4 Figura 1 Arranque No menu de arranque pressiona-se F1 para escolher o kernel de arranque Figura 2 - Escolha do Kernel de arranque gentoo gentoo-nofb memtest86 Kernel 2.6 com suporte para multiplos CPUs O mesmo que o gentoo mas sem suporte para framebuffer Teste de memória RAM por erros 3

5 Figura 3 - Ecrã inicial Foi definido o formato do teclado para português com o comando loadkeys pt-latin1. Verificou-se se a rede estava bem configurada usando o comando ifconfig. O gentoo no arranque detecta automaticamente o hardware o que configura muitas coisas incluindo a rede. Sistema de ficheiros O sistema de ficheiros usado no Linux é o extended file system que existe desde 1996 e baseado no Unix File System. Deste tipo de sistema de ficheiros existem 4 versões: ext, ext2, ext3, ext4. As versões ext 3 e 4 são baseadas em sistemas de ficheiros Journaling file system em que os metadados são guardados num registo (journal) antes de serem escritos no sistema principal. Todos os sistemas operativos possuem um sistema de gestão de memória denominado paginação. No Linux esse sistema denomina-se swap e possui um sistema de ficheiros próprio com o mesmo nome. 4

6 O sistema de ficheiros ext4 é um upgrade da versão anterior suportando, entre outras coisas, alocação de mais espaço (até 1 exbibyte). Por estas e outras características foram escolhidos os seguintes sistemas de ficheiros: Neste caso existe 3 partições: Figura 4 fstab /dev/sda1 - onde vai estar tudo o que seja necessário para o arranque do sistema; /dev/sda3 - onde está o sistema e todos os outro ficheiros; /dev/sda2 onde está a partição swap. As outras partições representam o cdrom e a drive de disquetes. Usando a ferramenta de sistema fdisk, preparamos as partições: Tipo Dispositivo Dimensão Tipo Sistema de ficheiros Boot /dev/sda1 32MB Linux Ext2 Swap /dev/sda2 512MB Swap Swap Root /dev/sda3 7.5GB Linux Ext4 Depois de definirmos as partições necessitamos do conjunto básico de ferramentas para instalarmos o sistema. Essas ferramentas encontram-se no Stage Tarball. Foi feito o download de um mirror português por ser o mais perto. Após isto foi instalado o gestor de pacotes do gentoo Portage. Gestor de Pacotes O gestor de pacotes do gentoo funciona fazendo o download do código fonte da aplicação que queremos instalar e compilar com as optimizações necessárias para o nosso sistema assim como outras flags de compilação definidas por nos no ficheiro /mnt/gentoo/etc/make.conf. 5

7 De seguida foi gerado o kernel. Foi utilizado a gestão automática do kernel através do programa genkernel. Bootloader O bootloader é um processo iniciado quando um utilizador arranca o computador e que prepara o sistema para executar as operações normais, normalmente arrancado o sistema operativo. Dos diversos bootloaders existentes para Linux, foi escolhido o GRUB por ser recomendado pelos autores do gentoo. Depois executou-se o grub-install para instalar o bootloader e indicar qual o ponto de arranque. Foi definido depois outras definições como o teclado: pt-latin1; o hostname e activado o ssh no arranque para gestão remota da máquina. DNS Depois da máquina preparada, o primeiro passo pedido foi o de implementar um servidor de domínio de nomes (DNS Domain Name Server). O escolhido foi o BIND (Berkeley Internet Name Domain) feito pela universidade de Berkley e mantido pela Internet Systems Consortium e considerado o standard de-facto de servidores DNS. Objectivos: 1. Ser servidor autoritário do domínio g3.lrcd.e.ipl.pt 2. Ser resolver para a rede /28 3. Ser servidor secundário para o domínio g5.lrcd.e.ipl.pt De forma a ser servidor DNS é necessário um IP estático. Isso foi atingido colocando o endereço MAC da máquina no servidor DHCP indicando que para aquele endereço devia ser dado sempre o mesmo endereço ( ). Foi colocado as seguintes configurações gerais: 1. Escutar pedidos em todas as interfaces, 2. Activar recursão e desactivar a cache Figura 5- Opções BIND As configurações de cada zona são indicadas em ficheiros dentro da pasta pri. Neste trabalho as configurações são as seguintes: 1. Start Of Authority (SOA) indicações sobre o domínio como timers, correio electrónico do administrador; 2. Indicação dos registos de servidores de correio electrónico (MX), nomes dos servidores de correio electrónico e de domínio 3. Endereços de máquinas do domínio. 6

8 Figura 6 - Configurações de zona Router De forma a dotar a nossa máquina de capacidade de encaminhamento da rede interna para o exterior foi necessário instalar o Quagga. O quagga é um software que implementa OSPFv2, OSPFv3, RIP v1 e v2, RIPng e BGP-4 em unix baseado no GNU Zebra e desenvolvido por Kunihiro Ishiguro. O quagga utiliza uma interface tipo consola semelhante á consola dos equipamentos cisco que pode ser acedida através do comando vtysh. Na rede de laboratório, o protocolo criação de tabelas de encaminhamento é o OSPFv2 com as seguintes configurações: Área 75 Nº de série da chave 20 Password mesmosimples Tipo de autenticação MD5 Referencia para custos 1000Mbps interface Lo ip ospf network point-to-point! interface eth0 ip ospf message-digest-key 20 md5 mesmosimples! interface eth1! interface lo! router ospf ospf router-id passive-interface eth1 network /24 area network /28 area area 75 authentication message-digest 7

9 Como se pode ver pela figura 7, os comandos do quagga são semelhantes aos da cisco excepto no nome das interfaces que ficam com o nome que Linux lhes dá. A interface eth1 que é a nossa ligação para a rede interna foi declarada como passive-interface de forma a não poluir a rede interna com pedidos OSPF que sabemos nunca vão ser utilizados. DHCP Para que as máquinas que ligam na nossa rede interna consigam trabalhar sem configurações manuais, é necessário configurar um servidor DHCP para fornecer os dados necessários para funcionar na nossa rede como endereço IP, máscara, gateway e servidor DNS. option domain-name "g3.lrcd.e.ipl.pt"; option domain-name-servers ; default-lease-time 600; max-lease-time 7200; subnet netmask { range ; option routers ; } Figura 8 - Configurações do DHCP Nestas configurações podemos ver que o servidor DNS e o gateway são o , ou seja a própria maquina que estamos a configurar. Vemos também que a sub rede onde está ligado é a rede /28. 8

10 IPTables Todas as rede deventre uma firewall para proteger os sus utilizadores de ataques vidos do exterior assim como para conter ameaças internas ao próprio sistema. No Linux isso é conseguido através do iptables Objectivos: São aceites do exterior (eth0) Tráfego pertencente a comunicações originadas no router ou que atravessam o router vindas da rede interna (eth1) (validação baseada em estado conntrack) Ligações SSH para a rede interna e router Pedidos PING (ICMP Echo) para a rede interna e router Os acessos SSH exteriores têm de se fazer para o port (mantendo o SSH a escutar no port 22) Todo o restante tráfego exterior é negado É aceite a saída de tráfego para o exterior (eth1) Negadas as comunicações para servidores SMTP Comunicações originadas no router ou na rede interna (eth1) Os pedidos DNS provenientes da rede interna e destinados aos endereços e devem após forwarding ir sempre destinados ao Os pedidos HTTP da rede interna destinados ao IP devem ser alterados para o IP destino Todo o restante tráfego é negado O IPTables possui 5 pontos onde podemos introduzir regras quando os pacotes de rede passam pelo kernel: prerouting, Input, forward, output e postrouting. Prerouting Routing Forward Postrouting Input Output Processamento Local Figura 9 - Diagrama do comportamento do IPTables #accept input from localhost iptables -A INPUT -i lo -j ACCEPT #accept output from localhost iptables -A OUTPUT -o lo -j ACCEPT #allow traffic already established iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 9

11 #block SMTP traffic iptables -A FORWARD -p tcp -o eth0 --dport 25 -j REJECT iptables -A OUTPUT -p tcp -o eth0 --dport 25 -j REJECT #allow protocol 89(ospf) from the out network iptables -A INPUT -i eth0 -s /24 -p 89 -j ACCEPT #allow protocol 89(ospf) from broadcast iptables -A OUTPUT -o eth0 -d /30 -p 89 -j ACCEPT #deixa passer tudo o que venha da rede interna iptables -A FORWARD -i eth1 -j ACCEPT #deixa sair tudo que seja da máquina para o exterior iptables -A OUTPUT -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG --log-prefix " [TEST 1 - IN] " iptables -A OUTPUT -j LOG --log-prefix " [TEST 1 - OUT] " iptables -A FORWARD -j LOG --log-prefix " [TEST 1 - FORWARD] " #drop everthing iptables -A INPUT -j DROP iptables -A FORWARD -j DROP iptables -A OUTPUT -j DROP Figura 11 - Regras gerais do iptables(cont.) #redirect ssh from the outside to port iptables -t nat -A PREROUTING -p tcp -d dport i eth0 -j REDIRECT --to-port 22 #redirect todos os pedidos para o servidos de DNS para outro iptables -t nat -A PREROUTING -p tcp -d /31 --dport 53 -j DNAT -- to-destination iptables -t nat -A PREROUTING -p udp -d /31 --dport 53 -j DNAT -- to-destination iptables -t nat -A PREROUTING -p tcp -d dport 80 -j DNAT --todestination :80 Figura 12 - Regras de NAT FreeRADIUS RADIUS (Remote Authentication Dial-In Service) é um protocol utilizado para gestão de autenticação, autorização e accounting. 10

12 Autenticação refere-se ao acto de confirmar a identidade de uma entidade Autorização Refere-se ao acto de confirmar se uma entidade tem permissão para aceder a determinado recurso. Accounting refere-se ao acto de reportar o comportamento de um utilizador ao servidor RADIUS. client cisco_router{ ipaddr = secret = 321 nastype = cisco } client localhost { ipaddr = secret = testing123 } Figura 12 - Configuração de clientes testuser Cleartext-Password := "123" Service-Type = NAS-Prompt-User, cisco-avpair = "shell:priv-lvl=15", Reply-Message = "Hello %{user-name}" Figura 11 - Configuração de um utilizador Conclusão Este trabalho permitiu-nos um aumento do conhecimento sobre o funcionamento interno do linux assim sobre o que é utilizado para o deployment de um servidor de diferentes serviços de rede. Este trabalho também nos permite criar uma plataforma que nos vai permitir aprender mais sobre serviços de rede como servidores web e correio electrónico. 11