Filtro HTTP

Esta ficha le permite configurar las opciones de anlisis de comunicacin de HTTP / HTTPS.

Activar anlisis de HTTP Si se activa esta opcin, todo el trfico que pasa a travs del protocolo HTTP se analiza en busca de software malicioso. Puertos usados por el protocolo HTTP Si se selecciona esta opcin, aparece una lista de puertos HTTP sujetos a anlisis. Los puertos 80, 8080, 3128 estn configurados de manera predeterminada. El antivirus ESET NOD32 tambin admite el anlisis de protocolo HTTPS. Este tipo de comunicacin utiliza un canal cifrado para transmitir informacin entre el servidor y el cliente. El antivirus ESET NOD32 analiza la comunicacin mediante los mtodos de cifrado SSL (Capa de sockets seguros) y TLS (Seguridad de la capa de transporte). Modo de filtrado HTTPS No utilizar el anlisis de protocolo HTTPS No se analiza la comunicacin cifrada. Utilizar la comprobacin del protocolo HTTPS para los puertos seleccionados Marque esta opcin para activar el anlisis HTTPS slo de los puertos definidos en Puertos usados por el protocolo HTTPS. Utilizar la comprobacin del protocolo HTTPS para aplicaciones marcadas como navegadores de Internet que empleen los puertos seleccionados El programa slo analizar aquellas aplicaciones que estn especificadas en la seccin navegadores y que utilizan los puertos definidos en Puertos usados por el protocolo HTTPS. Puertos usados por el protocolo HTTPS Una lista de puertos HTTPS sujetos a anlisis. El puerto 443 est establecido de forma predeterminada.

FTP Seguridad y restricciones

Cal sera el mejor mtodo para conseguir mayor seguridad y poder restringir acceso a determinadas carpetas dentro de un servidor FTP con IIS? El acceso al servidor no ser a travs de internet, sino a travs de una red interna.

Cal sera el mejor mtodo para conseguir mayor seguridad y poder restringir acceso a determinadas carpetas dentro de un servidor FTP con IIS? El acceso al servidor no ser a travs de internet, sino a travs de una red interna. TELNET.
Telnet (TELecommunication NETwork) es el nombre de un protocolo de red que sirve para acceder mediante una red a otra mquina para manejarla remotamente como si estuviramos sentados delante de ella. Tambin es el nombre del programa informtico que implementa el cliente. Para que la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23.

Telnet slo sirve para acceder en modo terminal, es decir, sin grficos, pero fue una herramienta muy til para arreglar fallos a distancia, sin necesidad de estar fsicamente en el mismo sitio que la mquina que los tena. Tambin se usaba para consultar datos a distancia, como datos personales en mquinas accesibles por red, informacin bibliogrfica, etc. Aparte de estos usos, en general telnet se ha utilizado (y an hoy se puede utilizar en su variante SSH) para abrir una sesin con una mquina UNIX, de modo que mltiples usuarios con cuenta en la mquina, se conectan, abren sesin y pueden trabajar utilizando esa mquina. Es una forma muy usual de trabajar con sistemas UNIX. Hoy en da este protocolo tambin se usa para acceder a los BBS, que inicialmente eran accesibles nicamente con un mdem a travs de la lnea telefnica. Para acceder a un BBS mediante telnet es necesario un cliente que d soporte a grficos ANSI y protocolos de transferencia de ficheros. Los grficos ANSI son muy usados entre los BBS. Con los protocolos de transferencia de ficheros (el ms comn y el que mejor funciona es el ZModem) podrs enviar y recibir ficheros del BBS, ya sean programas o juegos o ya sea el correo del BBS (correo local, de FidoNet u otras redes). Algunos clientes de telnet (que soportan grficos ANSI y protocolos de transferencias de ficheros como Zmodem y otros) son mTelnet!, NetRunner, Putty, Zoc, etc..

Definicin de DNS

Definicin de DNS
DNS es una abreviatura para Sistema de nombres de dominio (<i>Domain Name System</i>), un sistema para asignar nombres a equipos y servicios de red que se organiza en una jerarqua de dominios. La asignacin de nombres DNS se utiliza en las redes TCP/IP, como Internet, para localizar equipos y servicios con nombres descriptivos. Cuando un usuario escriba un nombre DNS en una aplicacin, los servicios DNS podrn traducir el nombre a otra informacin asociada con el mismo, como una direccin IP. Por ejemplo, la mayora de los usuarios prefieren un nombre descriptivo, fcil de utilizar, como ejemplo.microsoft.com para localizar un equipo (como un servidor Web o de correo electrnico) en la red. Un nombre descriptivo resulta ms fcil de aprender y recordar. Sin embargo, los equipos se comunican a travs de una red mediante direcciones numricas. Para facilitar el uso de los recursos de red, los sistemas de nombres como DNS proporcionan una forma de asignar estos nombres descriptivos de los equipos o servicios a sus direcciones numricas. La siguiente ilustracin muestra un uso bsico de DNS, consistente en la bsqueda de la direccin IP de un equipo basada en su nombre.

En este ejemplo, un equipo cliente consulta a un servidor DNS, preguntando la direccin IP de un equipo configurado para utilizar host-a.ejemplo.microsoft.com como nombre de dominio. Como el servidor puede utilizar la base de datos local para responder la consulta, contesta con una respuesta que contiene la informacin solicitada, un registro de recursos de host (A) que contiene la informacin de direccin IP para host-a.ejemplo.microsoft.com. El ejemplo muestra una consulta DNS sencilla entre un nico cliente y un servidor DNS. En la prctica, las consultas DNS pueden ser ms complicadas que sta e incluyen pasos adicionales que no se muestran aqu. Para obtener ms informacin, vea Cmo funcionan las consultas DNS.

POP
El significado de las siglas POP es Post Office Protocol (Protocolo de Oficina de Correos).

Al contrario de otros protocolos creados con anterioridad como el SMTP el POP no necesita una conexin permanente a Internet, puesto que es en el momento de la conexin cuando solicita al servidor el envo de la correspondencia almacenada en el servidor para dicho usuario. Si se est permanentemente conectado a internet pueden configurarse los programas cliente de correo de tal forma que la peticin al servidor de correo se efecte automticamente cada cierto tiempo y de esta forma avise al usuario de que tiene correo pendiente de recibir. La situacin actual es que se utiliza el protocolo SMTP para el envo de correo y para la recepcin de correo se utiliza el protocolo POP, pero ya en su tercera versin desde su aparicin, el POP3. 3 Servidores SMTP y POP3

Para poder dar el servicio de mail, es necesario saber que existen dos programas: el encargado de enviar los emails (SMTP) y el de recogida de mails (POP). Por lo tanto deberemos configurar dos servicios, el de POP3 (ya que POP2 ha pasado un poco a la historia) y el SMTP (esto no es del todo cierto, ya que el servicio SMTP se encarga de transportar el correo entre servidores, y slo se habla con servidores, de tal modo que POP es el protocolo usado para entregar el correo a los clientes).
Servidor SMTP

Debian trae por defecto el programa exim que se encarga del correo saliente del servidor. Durante la instalacin de Debian se ejecuta un programa llamado eximconfig que nos permite configurar de una manera fcil exim. Despus de la instalacin podremos ejecutar cuando nos plazca dicho programa para modificar la configuracin existente. eximconfig nos har una serie de preguntas a las cuales deberemos responder segn nos interese: - Uso del servidor: ser la primera pregunta que se nos mostrar. Aqu deberemos pulsar el nmero 1, puesto que queremos configurar un servidor de correo electrnico a Internet. Las otras opciones son para otras configuraciones que no nos ataen. - Nombre visible de la mquina: es lo que queremos que aparezca como remitente en los emails que enviemos. Yo puse "dominio.org" que es nuestro dominio que compremos. - Tiene otros nombres nuestro sistema a parte del anterior? En nuestro caso no, pondremos "none" o le daremos al enter ya que por defecto es "none". - En este apartado se nos informa que nuestro servidor de correo aceptar correo que venga de Internet con destino a nuestra mquina y todo el correo que se enve de forma local con destino a Internet (correo local es el que tiene como destino un usuario de nuestra mquina; correo saliente es el que tiene como destino otras mquinas o Internet), pero no reenviar correo (hacer relay) para otros que se conecten desde Internet a nuestra mquina. De esta manera evitaremos que alguien se aproveche de nuestro servidor para enviar mails masivos, publicidad, etc... (spamming). De todas

formas podemos indicarle a exim que s lo deje hacer para ciertos dominios. En nuestro caso no nos interesaba, as que "none". - Para qu dominios queremos actuar de servidor de mail (a parte del nuestro)? Ahora se lo podemos indicar. "none" para mi configuracin. - Ahora podemos escoger para qu mquinas haremos de servidor de correo. Podemos indicarle direcciones IP o dominios. Yo le puse "*.dominio.org" (con el asterisco), que en realidad es una misma mquina, pero que puede ser mail.dominio.org, ftp.dominio.org o dns.dominio.org.

- A qu usuario se redirigir el correo que vaya para el superusuario (root). Esto tambin es por razones de seguridad, de esta manera el correo nunca podr ser ledo por el administrador y por lo tanto se reducirn los posibles ataques con correos malintencionados. En mi caso pues el usuario "ies", que soy yo mismo. - Nos informa que ya tenemos un /etc/aliases y si deseamos reemplazarlo por uno nuevo que generar exim o si queremos mantener el nuestro. Si elegimos la primera opcin no perderemos nuestro fichero, sino que ser renombrado a /etc/aliases.0 . Yo le indiqu que s, que lo reemplazara por el nuevo. - El ltimo paso es un resumen de todos los datos que le hemos introducido durante el proceso de configuracin. Si son correctos pulsaremos "y", y si no, podemos repetir el cuestionario pulsando "n".

Una vez tengamos esta configuracin, queda hacer una pequea cosa. Durante las preguntas, respondimos que no queramos reenviar correo de gente que vena de Internet, pero claro, es justamente lo que queremos nosotros, que los usuarios desde su casa configuren su cliente de correo electrnico para que puedan conectarse a este servidor y poder enviar sus emails con la direccin nombre-de-usuario@dominio.org. Entonces era necesario controlar quin se conectaba al servidor SMTP para dejarle o no enviar emails. Una de las maneras es hacerlo por IPs, especificar qu IPs dejamos conectar a nuestro servidor. Pero no todos los usuarios tendran una IP fija, sino que la mayora se conectaran por mdem, y cada vez que lo hicieran se les asignara una IP distinta y sera imposible controlarlos. Entonces no resultaba muy til este mtodo y decid controlar el reenvo de correo (relay) por direccin de correo origen. Esto es, que solo se dejaran enviar aquellos correos cuyo remitente figurase en una lista elaborada por nosotros. Es decir, si alguien intentase enviar un correo a miamigo@cualquier.com con remite pepe@otro.org utilizando nuestro servidor de correo, se le denegara el envo, solo podra enviar emails con nuestro servidor si pusiera como remite usuariovalido@dominio.org. Para llevar a cabo este control, editaremos el /etc/exim/exim.conf y aadiremos lo siguiente: # cp /etc/exim/exim.conf /etc/exim/exim.conf.old # vi /etc/exim/exim.conf

Nos dirigiremos hacia host_accept_relay (para tenerlo un poco ordenado) y justo debajo escribiremos lo siguiente: relay_match_host_or_sender sender_address_relay = /etc/exim/lista_relay Esto le indica a exim que utilice el mtodo de control del relay por host o por direccin de origen, y que la lista de los usuarios permitidos para hacer relay se encuentra en /etc/exim/lista_relay. Por lo tanto solo nos queda aadir qu direcciones permitiremos que hagan relay: # vi /etc/exim/lista_relay Y escribir las direcciones al estilo "mnicolau@dominio.org". Aqu tambin se hizo un pequeo script para aadir a todos los usuarios del sistema en esa lista. Ahora abriremos el puerto 25 en el router, como hemos hecho desde siempre.
Servidor FTP

El servidor de FTP es necesario para que los usuarios del sistema puedan subir los ficheros de sus pginas web. Es una tarea fcil y sencilla. Decid instalar proftpd, uno de los mejores servidores para Linux: # apt-get proftpd

Editaremos el archivo de configuracin principal, despus de hacer una copia del archivo: # cp /etc/proftpd.conf /etc/proftpd.conf.old # vi /etc/proftpd.conf Podremos ver que es bastante parecido al httpd.conf del apache. Pero de este fichero solo nos interesa modificar una pequea cosa. DefaultRoot ~ Esta definicin debera quedar como se muestra. El DefaultRoot es el directorio raz donde iremos a parar si entramos por el FTP. El smbolo "~" indica que sea el directorio home de cada usuario, de esta manera, si soy el usuario gonssal y conecto al servidor FTP, ir a parar a /home/users/gonssal/ que es mi directorio home y no podr acceder a los directorios superiores a ste, solo podr moverme dentro de home/users/gonssal/. Es por una razn de seguridad. El proftpd trae por defecto que DefaultRoot sea "/", y esto sera bastante peligroso porque los usuarios podran moverse por todo el sistema (recordemos que / es el direcotrio raz de todo el sistema) y seran capaces de subir y bajar archivos sensibles de configuraciones.

Nos quedara hacer lo de siempre, abrir el puerto 21 (que es el del FTP) en el router y redirigirlo a nuestra mquina. Como ya sabemos cmo hacerlo, no volver a repetirlo. Si recordamos lo que pusimos en el archivo de la zona dominio.org en la configuracin del servidor DNS vemos lo siguiente: ftp IN CNAME dns Como vemos, ftp no tiene un punto al final, por lo que acabara siendo ftp.dominio.org que es un alias (CNAME) de dns (dns.dominio.org porque no tiene punto tampoco) y que en la configuracin de ms arriba definimos dns como la IP 80.80.80.80. De esta manera ftp.dominio.org equivaldra la misma IP que dns.dominio.org. Esto resulta til porque si queremos acceder al FTP de dominio.org, lo podremos hacer indicando como host ftp.dominio.org que queda ms esttico. De esta manera ya quedara todo a punto para que los usuarios puedan subir sus pginas personales.