![[tokkee]](http://tokkee.org/images/avatar.png){kind=avatar}
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (parent: b97eb4d)
raw | patch | inline | side by side (parent: b97eb4d)
| author | blainett <blainett@594d385d-05f5-0310-b6e9-bd551577e9d8> | |
| Thu, 14 Jul 2005 18:08:44 +0000 (18:08 +0000) | ||
| committer | blainett <blainett@594d385d-05f5-0310-b6e9-bd551577e9d8> | |
| Thu, 14 Jul 2005 18:08:44 +0000 (18:08 +0000) |
14 files changed:
index 6aaff0c5398936a46535d75e6dc2702c28fe7ddf..a69b644eb8612c712708b00a187f610333d122b5 100644 (file)
If you have questions, please visit the following url: http://www.gnu.org/licenses/fdl.txt\\ And contact at: \htmladdnormallink{blainett@yahoo.es}{mailto://blainett@yahoo.es}
+\include{manual_gosa_es_certificates}
+
+\include{manual_gosa_es_kerberos}
\include{manual_gosa_es_ldap}
@@ -67,14 +70,19 @@ If you have questions, please visit the following url: http://www.gnu.org/licens
\chapter{GOsa}
+\include{manual_gosa_es_dns}
+\include{manual_gosa_es_mail}
+\include{manual_gosa_es_fileserver}
+\include{manual_gosa_es_printing}
+\include{manual_gosa_es_proxy}
+\include{manual_gosa_es_gw}
+\include{manual_gosa_es_ssh}
+\include{manual_gosa_es_vpn}
+\include{manual_gosa_es_ftp}
+\include{manual_gosa_es_im}
+
\chapter{Los Servidores}
\label{servidores}
-\section{Postfix}
-\section{Cyrus-IMAP}
-\section{Samba 2/3}
-\section{Pure-Ftpd}
-\section{Squid}
-\section{Egroupware}
\bibliography{referencias_gosa}
\bibliographystyle{unsrt}
diff --git a/doc/guide/admin/es/manual_gosa_es_certificates.tex b/doc/guide/admin/es/manual_gosa_es_certificates.tex
--- /dev/null
@@ -0,0 +1,96 @@
+\chapter{Seguridad y Certificados}
+\section{Introduction SSL}
+\section{Creación de certificados}
+La seguridad es uno de los puntos mas importantes al configurar un servidor, necesitaremos un entorno seguro donde no permitir que los usuarios manipulen y accedan a codigo o programas.
+
+Una formas de conseguir esto es usando encriptación, con lo que buscamos que los usuarios y el servidor se comuniquen de forma que nadie mas pueda acceder a los datos. Esto se consigue con encriptación.
+
+La otra manera de asegurar el sistema es que si existe algún fallo en el sistema o en el código, y un intruso intenta ejecutar codigo, este se vea incapacitado, ya que existen poderosas limitaciones, como no permitir que ejecute comandos, lea el codigo de otros script, no pueda modificar nada y tenga un usuario con muy limitados recursos.
+\subsection{ Certificados SSL}
+
+\noindent Existe amplia documentación sobre encriptación y concretamente sobre SSL, un sistema de encriptación con clave publica y privada.\\
+\\
+\noindent Como el paquete openSSL ya lo tenemos instalado a partir de los pasos anteriores, debemos crear los certificados que usaremos en nuestro servidor web.\\
+\\
+\noindent Supongamos que guardamos el certificado en /etc/apache2/ssl/gosa.pem\\
+\\
+\begin{tabular}{|l|}\hline
+\#>FILE=/ect/apache2/ssl/gosa.pem\\
+\#>export RANDFILE=/dev/random\\
+\#>openssl req -new -x509 -nodes -out \$FILE -keyout /etc/apache2/ssl/apache.pem\\
+\#>chmod 600 \$FILE\\
+\#>ln -sf \$FILE /etc/apache2/ssl/`/usr/bin/openssl x509 -noout -hash < \$FILE`.0\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Con esto hemos creado un certificado que nos permite el acceso SSL a nuestras páginas.\\
+\\
+\noindent Si lo que queremos es una configuración que nos permita no solo que el tráfico esté encriptado, sino que además el cliente garantice que es un usuario válido, debemos provocar que el servidor pida una certificación de cliente. \\
+\\
+\noindent En este caso seguiremos un procedimiento mas largo, primero la creación de una certificación de CA:\\
+\\
+\begin{tabular}{|l|}\hline
+\#>CAFILE=gosa.ca\\
+\#>KEY=gosa.key\\
+\#>REQFILE=gosa.req\\
+\#>CERTFILE=gosa.cert\\
+\#>DAYS=2048\\
+\#>OUTDIR=.\\
+\#>export RANDFILE=/dev/random\\
+\#>openssl req -new -x509 -keyout \$KEY -out \$CAFILE -days \$DAYS\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Después de varias cuestiones tendremos una CA, ahora hacemos un requerimiento para un nuevo certificado:\\
+\\
+\begin{tabular}{|l|}\hline
+\#>DAYS=365\\
+\#>openssl req -new -keyout \$REQFILE -out \$REQFILE -days\$DAYS\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Creamos una configuración para usar la CA con openssl y la guardamos en openssl.cnf:\\
+\\
+\begin{tabular}{|l|}\hline
+\verb|HOME = .|\\
+\verb|RANDFILE = $ENV::HOME/.rnd|\\
+\verb|[ ca ]|\\
+\verb|default_ca = CA_default|\\
+\verb|[ CA_default ]|\\
+\verb|dir = .|\\
+\verb|database = index.txt|\\
+\verb|serial = serial|\\
+\verb|default_days = 365|\\
+\verb|default_crl_days= 30|\\
+\verb|default_md = md5|\\
+\verb|preserve = no|\\
+\verb|policy = policy_anything|\\
+\verb|[ policy_anything ]|\\
+\verb|countryName = optional|\\
+\verb|stateOrProvinceName = optional|\\
+\verb|localityName = optional|\\
+\verb|organizationName = optional|\\
+\verb|organizationalUnitName = optional|\\
+\verb|commonName = supplied|\\
+\verb|emailAddress = optional|\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Firmamos el nuevo certificado:\\
+\\
+\begin{tabular}{|l|}\hline
+\#>\verb|touch index.txt|\\
+\#>\verb|touch index.txt.attr|\\
+\#>\verb|echo "01" >serial|\\
+\#>\verb|openssl ca -config openssl.cnf -policy policy_anything \|\\\verb|-keyfile $KEY -cert $CAFILE -outdir . -out $CERFILE -infiles $REQFILE|\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Y creamos un pkcs12 para configurar la certificación en los clientes:\\
+\\
+\begin{tabular}{|l|}\hline
+\#>openssl pkcs12 -export -inkey \$KEY -in \$CERTFILE -out certificado\_cliente.pkcs12\\
+\hline \end{tabular}
+\vspace{0.5cm}
+\\
+\noindent Este certificado se puede instalar en el cliente, y en el servidor mediante la configuración explicada en cada uno, esto nos dará la seguridad de que su comunicación será estrictamente confidencial.\\
diff --git a/doc/guide/admin/es/manual_gosa_es_dns.tex b/doc/guide/admin/es/manual_gosa_es_dns.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servidores de Dominios de Nombres - DNS}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_fileserver.tex b/doc/guide/admin/es/manual_gosa_es_fileserver.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servidores de archivos - Samba}
diff --git a/doc/guide/admin/es/manual_gosa_es_ftp.tex b/doc/guide/admin/es/manual_gosa_es_ftp.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servidores de FTP - PureFtpd}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_gw.tex b/doc/guide/admin/es/manual_gosa_es_gw.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servicios de trabajo en grupo}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_im.tex b/doc/guide/admin/es/manual_gosa_es_im.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servidores de mensajeria instantanea - Jabber}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_kerberos.tex b/doc/guide/admin/es/manual_gosa_es_kerberos.tex
--- /dev/null
@@ -0,0 +1,123 @@
+\chapter{Servicios de seguridad - Kerberos}
+
+\section{Seguridad e identificación}
+¿Quién se conecta al servidor?\\
+¿Puedo estar seguro de que se puede confiar en el cliente, y el cliente en el servidor?
+
+Esto es solo un pequeño resumen, para mas documentación vease Criptografía y Seguridad en Computadores\cite{cripto1} en español.
+
+\subsection{Caso 1: Las contraseñas van en texto plano}
+Están ahí, todo aquel que vea el tráfico de la red las verá.
+Solo es factible si se están usando canales que se consideren seguros (SSL,ipsec,etc).
+
+\subsection{El problema del hombre de enmedio}
+Si alguien ve tu usuario y tu contraseña puede hacer algo peor que simplemente ver que haces, puede suplantarte.
+
+El hombre de enmedio (man in the middle) es un sistema que esta entre el cliente y el servidor que coge las peticiones del cliente, las manipula y las envia al servidor, por supuesto tambien puede manipular lo que viene del servidor.
+
+\subsection{Caso 2: Las contraseñas tienen codificación simetrica}
+
+\begin{enumerate}
+\item Mejora mucho la seguridad, cuanto mejor sea la encriptación sera mas seguro.
+\item Aún así es problemático y deberia usarse bajo canales seguros.
+\item ¿Como enviamos la clave con la que encriptamos la contraseña?
+\item Si esta clave cae, se producira una situación como la del envio en texto plano, y volvemos a estar en situación de que un sistema intermedio tome nuestra personalidad.
+\item Se considera segura a partir de 128bits de longitud.
+\item No autentifica quien envio el mensaje.
+\end{enumerate}
+
+\subsection{Caso 3: Cifrado por bloques (Hashes)}
+
+\begin{enumerate}
+\item Las contraseñas se codifican de tal manera que no se puede volver a conseguir la contraseña por otro metodo que no sea la fuerza bruta.
+\item Es menos problemático, pero deberia usarse solo bajo canales seguros.
+\item Se envían de esta manera por la red, cualquiera puede identificar que es una contraseña e intentar romper por fuerza bruta la contraseña.
+\item Sigue siendo sensible al problema del robo de identidad, ya que no autentifica quien envio el mensaje.
+\item Se puede mejorar usando tecnicas de desafio, enviando antes de pedir la clave un codigo al usuario con el que mejorar la seguridad del código resultante.
+\end{enumerate}
+
+\subsection{Caso 4: Cifrado Asimetrico, Certificados SSL}
+\begin{enumerate}
+\item Se dividen en dos partes: la privada, aquella con la que codificamos, y la publica, que es aquella con la que decodifican los mensajes los clientes.
+\item Necesita logitudes de clave muy largas para ser seguros (>1024bits) y mucho mas tiempo de computación que los cifrados simetricos.
+\item En la práctica se utilizan para el envio de la clave y despues los mensaje se envian con codificación simetrica.
+\item Es mas resistente a sistemas intermedios, ya que este no puede acceder a la clave privada y por lo tanto no puede codificar mensajes.
+\end{enumerate}
+
+
+\subsection{Caso 5: Kerberos para identificación}
+\begin{enumerate}
+\item El protocolo supone que la red es insegura y que hay sistemas intermedios que pueden escuchar.
+\item Los usuarios y servicios (principales) deben autentificarse ante un tercero, el servidor kerberos, el cual es aceptado como autentico.
+\item Usa cifrado simetrico y asimetrico convirtiendo el conjunto en una red segura.
+\end{enumerate}
+
+
+\section{El protocolo Kerberos}
+
+\subsection{El servidor Kerberos}
+El servidor kerberos no sirve un unico servicio, sino tres: \\
+AS = Servidor de autentificación.\\
+TGS = Servidor de Tickets.\\
+SS = Servidor de servicios.\\
+
+\subsection{Clientes y Servidores}
+
+El cliente autentifica contra el AS, despues demuestra al TGS que esta autorizado para recibir el ticket para el servicio que quiere usar, y por último demuestra ante el SS que esta autorizado para usar el servicio.
+
+\subsection{Que es un ticket y como funciona Kerberos}
+
+\begin{enumerate}
+\item[1.-] Un usuario introduce una clave y contraseña en el cliente.
+\item[2.-] El Cliente usa un hash sobre la contraseña y la convierte en la clave secreta del cliente.
+\item[3.-] El cliente envía un mensaje al AS pidiendo servicio para el cliente.
+\item[4.-] El AS comprueba si el usuario existe en la base de datos. Si existe le envia dos mensajes al cliente.\\
+El mensaje A: Tiene una clave de sesión del TGS codificada usando la clave secreta del usuario.\\
+El mensaje B: (TGT)Ticket-Granting Ticket. Este incluye el identificador del cliente, la dirección de red es este, un periodo de valided, y la clave de sesión del TGS, todo codificado usando la clave secreta del TGS.
+\item[5.-] El cliente recibe los mensajes A y B, con su clave secreta decodifica el mensaje A y coge la clave de sesión del TGS, con esta podra comunicarse con el TGS. Se observa que el cliente no puede decodificar el mensaje B al no tener la clave secreta del TGS.
+\item[6.-] Cuando el cliente quiere usar algún servicio, envia los siguientes mensajes al TGS:\\
+Mensaje C: Compuesto por el TGT del mensaje B y el identificador de petición de servicio.\\
+Mensaje D: Autentificador (El cual está compuesto por el identificador del cliente y una marca horaria - timestamp -) codificado con la clave de sesión del TGS.
+\item[7.-] Al recibir los dos mensajes, el TGS decodifica el autentificador usando la clave de sesión del usuario y envia los siguientes mensajes al cliente:\\
+Mensaje E: Ticket Cliente Servidor, que contiene el identificador del cliente, su dirección de red, un periodo de valided, y la clave de sesión del TGS, codificado usando la clave secreta del servidor.\\
+Mensaje F: Clave de sesión Cliente / Servidor codificada con la clave de sesión del TGS del cliente.
+\item[8.-] Una vez recibidos desde el TGS los mensajes, el cliente tiene información suficiente para autentificarse ante el SS. El cliente se conectara al SS y le enviara los siguientes mensajes:\\
+Mensaje G: El ticket de cliente / servidor codificado con la clave secreta del servidor. (Mensaje E).\\
+Mensaje H: Un nuevo autentificador que contiene el identificador del cliente, una marca horaria y que esta codificado usando la clave de sesión cliente / servidor.
+\item[9.-] El SS decodifica el Mensaje G usando su propia clave secreta y usando la clave Cliente/TGS en el mensaje F consigue la clave de sesion cliente/servidor, entonces le enviara el siguiente mensaje al cliente para confirmar su identidad:\\
+Mensaje I: La marca horaria del Autentificador mas 1, codificado usando la clave de sesión cliente/servidor.
+\item[10.-] El cliente decodifica el mensaje de confirmación y comprueba si la marca horaria ha sido actualizada correctamente. Si todo es correcto, el cliente confiara en el servidor y puede comenzar a hacer peticiones al servidor.
+\item[11.-] El servidor responde a las peticiones de ese cliente que ha sido autentificado.
+
+\end{enumerate}
+
+\section{MIT Kerberos}
+
+\subsection{Instalación}
+
+\subsection{Configuración y funcionamiento}
+
+\subsection{Repliación - kprop}
+
+\subsection{Ventajas y desventajas}
+
+\section{El servidor Heimdal Kerberos}
+
+\subsection{Instalación}
+
+\subsection{Configuración y funcionamiento}
+
+\subsection{Repliación - hprop}
+
+\subsection{Repliación incremental - iprop}
+
+\subsection{Heimdal sobre ldap}
+
+\subsection{Ventajas y desventajas}
+
+\section{La configuración de SASL}
+
+\subsection{Modulos para kerberos}
+
+\section{La configuración de clientes MS Windows}
+
diff --git a/doc/guide/admin/es/manual_gosa_es_mail.tex b/doc/guide/admin/es/manual_gosa_es_mail.tex
--- /dev/null
@@ -0,0 +1,3 @@
+\chapter{Servidores de Correo Electrónico}
+\section{Postfix}
+\section{Cyrus-IMAP}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_printing.tex b/doc/guide/admin/es/manual_gosa_es_printing.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servidores de impresión - Cupsys}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_proxy.tex b/doc/guide/admin/es/manual_gosa_es_proxy.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Seguridad en la navegación web - Squid}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_ssh.tex b/doc/guide/admin/es/manual_gosa_es_ssh.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Servicios de terminal seguros - ssh}
\ No newline at end of file
diff --git a/doc/guide/admin/es/manual_gosa_es_vpn.tex b/doc/guide/admin/es/manual_gosa_es_vpn.tex
--- /dev/null
@@ -0,0 +1 @@
+\chapter{Conexiones remotas seguras - OpenVPN}
\ No newline at end of file
index 8c8100b9623a439ceded4906604424923c8a877e..80b3f3e75ddd5f2ad8606555a374814f0edb2683 100644 (file)
year = {},
address = {http://www.ietf.org/rfc/rfc2616.txt},
}
+
+@TechReport{cripto1,
+author = {Manuel José Lucena López},
+title = {Criptografía y Seguridad en Computadores},
+institution = {},
+year = {},
+address = {http://www.telefonica.net/web2/lcripto/lcripto.html},
+}