EQUIPO-1
Sistema : Ubuntu-Server-16.04.1-amd64
Nombre -> Servidor-DNS
IP –> 192.168.0.1
Servicios -> ISC-DHCP-SERVER -> BIND9 – > -> SSH – Server
EQUIPO-2
Sistema : Ubuntu-Server-16.04.1-amd64
Nombre -> Servidor-Web
IP -> 192.168.0.2
Servicios-> Apache2 -> SSH-Server
EQUIPO-3
Sistema : Ipcop
Nombre -> Firewall
Ip -> 192.168.0.3
Servicios -> Firewall -> Router
Herramientas -> Monitorización De Servicios -> Monitorización de Red -> Cortafuego
Equipo 1- Dns -Dhcp
Empecemos a configurar el DNS que se va ir actualizando de forma dinámica
- Dentro del directorio de bind9, vamos a copiar los ficheros que vienen listos para funcionar, después los editaremos y los modificaremos. Renombre los ficheros.
db.local -> Es el fichero de zona directa
db.127 -> Es el fichero de zona inversa
2. Generaremos una clave para que el DNS y el DHCP puedan comunicarse entre ellos.
3. Una vez creada, vamos a crear nuestro dominio dentro del fichero «/etc/bind/named.conf.local» incluimos la clave generada anteriormente en el fichero con la linea «include «/etc/bind/rndc.key»; «
ATENCIÓN: LOS FICHEROS DE BIND9 SON MUY RESTRICTIVOS,
FINAL DE LINEA DENTRO DE UN CORCHETE SE PONE ;
LOS CORCHETES NO PUEDEN ESTAR PEGADOS A LOS CARACTERES UN ESPACIO ENTRE CARÁCTER Y CORCHETE.
DESPUÉS DE UN CIERRE DE CORCHETE ;
4. Ahora iremos al fichero «/etc/bind/named.conf.options» en este fichero le vamos a dar más información al DNS, que vamos a gestionar internamente nuestro DNS, todas las transferencias, la recursividad, y las consultas.
5. Vamos ahora a configurar las zonas en /var/lib/bind/directa
a los servicios de nuestra red como van a tener IP estática, configuro el nombre del equipo que tiene la pagina web que se llama Servidor-Web y un CNAME que va ser www, asín lograremos que resuelva el www.one-esecurity.es
6. La inversa , igual pero con una diferencia que en vez de A son PTR
la intención es que cuando el Servicio de DHCP conceda una ip a un cliente, el Cliente quede registrador dentro de los ficheros DNS, vamos a configurar ahora el DHCP
en «nano /etc/dhcp/dhcpd.conf» todo es importante, pero lo que mas
zone, include, authoritative, ddns-updates,ddns-update-style, y el rango de concesión que va a conceder nuestro servidor de DHCP,
ya nos faltaría editar «/etc/apparmor.d/usr.sbin.dhcpd» y en la lineas ultimas del fichero comentar el parámetro # /etc/dhcp/ddns-keys/** r, y agregar la linea
/etc/bind/rndc.key r,
entre la …key r hay dos espacios
pues estaría, ahora haber si hay errores:
reiniciar servicio -> /etc/init.d/isc-dhcp-server restart
ver estado del servicio -> /etc/init.d/isc-dhcp-server status
si sale esto
mala mente tendríamos que mostrar el syslog, para ver los errores
tail -fn25 /var/log/syslog
y buscaríamos el fallo de configuración que estaría en el dhcpd.conf seguramente, igualmente sustituyendo el isc-dhcp-server por el servicio de bind9 y comprobamos, que este todo ok.
bind9 status:
isc-dhcp-server status:
Equipo-2 -> APACHE2
Lo instale , y poco más direcciones ip estáticas.
El SSH simplemente para interconectarnos entre los servidores, para una administración remota en caso que sea necesario, unos de los métodos de seguridad más simple es ir al fichero de configuración en -> «/etc/ssh/sshd_config» y no permitir conexión con root.
PermitRootLogin no
Equipo-3 -> Ipcop
- Configuramos las interfaces
Las interfaces tienen un color y esos colores tienen una configuración predeterminada, en el manual de ipcop , más información:
- Verde -> van a estar los equipos de los trabajadores.
- Naranja -> DMZ , zona de Desmilitarización donde deberíamos colocar los Servidores
- Roja -> Es la interfaces que nos va a sacar a Internet , conectados al router, para realizar un filtrado de que va a entrar y que va salir de nuestra red.
- Azul -> Para la red Wifi
ATENCION!! -> Si metemos a los servidores dentro de la Interface dentro de la interface naranja, vamos a tener que Permitir los protocolos de comunicación entre el servidor al cliente, si no el firewall va a bloquearlo, así que por ahora en la misma interfaces. la verde, junto con los clientes.
empecemos
1 ) Solo conectamos la interfaces que va a salir a internet , y cuando terminemos , le conectamos la interfaces de nuestra LAN. En pocas palabras la interfaces ROJA.
Aceptamos
2)La configuración del teclado «es «
3) Horario
4) Lo a detectado. esta interfaces la tengo en NAT en VirtualBox , por eso se auto configura.
5) Aceptamos el disco completo.
6) Lo dejamos por defecto
7) Aceptamos todo lo siguiente las ip se auto configuraran, nos pedirá unas series de contraseñas, Admin -> para el entorno Web, Root -> Para el sistema . Cuando lo terminemos , saldrá esto .
Ahora , conectamos la interface verde , yo le hice una reserva en el DHCP , y en el DNS introduje la ip que reserve en la zona directa, y estaría.
ifconfig – IPCOP
DNS- Directa
DHCP- dhcpd.conf
Conectamos un cliente a nuestra Intranet, el Servidor DNS va a registrar las concesiones de las ip, en caso de que el Firewall, vea trafico en red, de sitios que no son venimos al fichero , como el Firewall, nos va a decir que ip es, solo nos quedaría saber el nombre
Vamos hacer la prueba. No conectamos por red interna, y vamos a comprobar con un cliente todas, las configuraciones hechas anteriormente:
- Que el equipo aunque este en red interna en el VirtualBox, tenga internet gracias al IPcop.
Red interna
Ping a google.
vamos a comprobar la configuración que le a pasado nuestro servidor DHCP y DNS, ya que añadí servidores externos de DNS , para que la configuración de los usuarios sea automática.
si no fijamos en el Servidores DNS : 192.168.0.1-> UBUNTU-Server , 8.8.4.4 , 8.8.8.8 -> y las de Google, no nos puede funcionar si no agregamos algún servidor DNS externo nuestra red, el servidor de DNS Ubuntu resolverá los servicios internos, pero para resolver fuera necesitaremos los de google o otros.
2) Otra prueba es que nuestro servidor de DNS nos resuelva las direcciones de nuestra pagina Web interna, y nos resuelva los siguientes CNAMES y HOST:
hacemos en el cliente:
nslookup firewall.one.esecurity.es
nslookup f1r3w4ll.one.esecurity.es
nslookup www.one.esecurity.es
nslookup Servidor-DNS.one.esecurity.es
nslookup Servidor-Web.one.esecurity.es
3) Vemos que nos podremos conectar a los servidores, si somos Administradores desde nuestro equipo de trabajo, directamente , podremos hacer una Administración de todo lo que sucede en nuestra red.
– Servidor-DNS.one-esecurity.es
Podemos decir al SSH que reciba solo atienda peticiones a una ip, pero para eso nos deberemos crear una reserva de nuestro lugar de trabajo en el DHCP,
– Servidor-Web.one-esecurity.es
Vamos al navegado y vamos a ver nuestra pagina:
finalmente tenemos el Administrador de IPCOP
nos resolverá con https://f1r3w4ll.one-esecurity.es:8443 –
https://firewall.one-esecurity.es:8443
y aquí podremos tener el control de entrada y salida de nuestra red, ya que el que hace que tengamos internet es el que lo esta cogiendo por la interfaces NAT, para ver todo el IPcop tendría que hacer 300 guías como esta. los mas interesante:
Cortafuego, Drop en la roja, drop en base de datos es eliminar. La interfaces roja es la que nos da internet.
conexiones vemos mi ip
verde -> Red Lan es mi IP
Negra -> Ipcop
Roja -> Internet vemos 8.8.8, googles
Con esto lograremos una Red Lan, Segura y faltaría estabilidad haciendo un Fail-lover en el DHCP y un DNS-Slave, tendríamos garantizada la estabilidad, aunque como comente la interfaces apropiada de los servidores es la naranja , por falta de tiempo, se tendría que configurar todo esto primero y cuando tengamos acceso a la configuración del ipcop, permitir los protocolos de comunicación que vallan a utilizar nuestros servidores en el cortafuegos, y sería de 10 🙂 .
Esto ha sido todo.
Un saludo,