Proxy transparente

Para configurar un proxy transparente en ubuntu comenzaremos instalando el squid (sudo apt-get install squid), el servidor proxy trabaja por defecto en el puerto 3128 y se usa ademas de para controlar el trafico de la red para darle agilidad a una red ya que guarda en una memoria cache las ultimas visitas.


1.-Para comenzar con la configuración del servidor proxy configuraremos la puerta de enlace por defecto del servidor.
Lo haremos así:


sudo su

# route del default


# ifconfig eth2 192.168.10.22

# route add -net (ip de la puerta de enlace)/24 dev (interfaz de red "eth2") 

# route add -host (direccion ip del host) dev (interfaz de red "eth2") 
# route add default gw (puerta de enlace por defecto) dev (interfaz de red "eth2") 
# route



Con esto habremos configurado el acceso a otra puerta de enlace por la que queremos salir a internet.


Una vez hecho esto configuraremos el servidor proxy para lo cual editaremos el archivo /etc/squid/squid.conf, eliminaremos todo su contenido y insertaremos unicamente lo que nos interesa, cambiando los parametros por los de nuestro equipo.


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src 192.168.1.0/255.255.255.0
#acl redlocal2 src 192.168.10.0/24

http_access allow localhost
http_access deny manager !localhost
http_access allow redlocal
#http_access allow redlocal2
http_access deny all


#acl aulaSER src 192.168.1.0/255.255.255.0
#http_access allow aulaSER
acl HorarioLaborable time MTWHF 8:00-15:00
acl Strands dstdomain www.strands.com
acl gobierno url_regex la-moncloa mpr meh mpt maec mjusticia mde mir mec
acl MaxGente maxconn 32

cache_effective_user proxy
cache_effective_group proxy
cache_mgr admin@aulaSER.com
#visible_hostname servidor22

http_port 192.168.1.22:3128
cache_mem 64 MB
cache_dir ufs /var/spool/squid 10000 64 256

access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log


Una vez hecho esto reiniciaremos squid (sudo service squid), y seguidamente limpiaremos y restauraremos la cache del servidor (sudo  squid -z)




Una vez hecho esto activaremos el reenvío del servidor para que todas las peticiones al puerto 80 se redirijan al puerto 3128 y asi pase por el proxy y luego a Internet.


 sudo su

route

route delete default dev eth0


route add -net 192.168.10.0/24 dev eth3
route add -host 192.168.10.22 dev eth3
route add default gw 192.168.10.1 dev eth3

route


"eth3" es la interfaz conectada a la red que sale a Internet.

Edita el fichero /etc/squid/squid.conf y modifica la línea http_port de la siguiente manera:

http_port 3128 transparent

http_port 192.168.1.22:3128 transparent

Se reinicia el proxy (sudo service squid restart)



iptables -F

"eth0" es la interfaz de red conectada a la red privada.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Vocabulario Tema 9.

Vocabulario:

Voz sobre IP o VoIP. Tecnología (conjunto de normas, dispositivos, protocolos, etcétera) empleada en el proceso de adaptación de señales de audio analógicas para convertirlas en datos digitales que se transmiten a través de Internet a una dirección IP donde se adaptan de nuevo al oído humano.

Telefonía sobre IP. Aplicación de VoIP que aporta nuevas funciones a la telefonía convencionalidad mediante el uso de IP en redes de datos.

RTC/ RTB o PSTN/POTS. Líneas de acceso conmutado que permiten realizar llamadas telefónicas analógicas de voz adaptadas al oído humano.

Arterisk. Software de fuente abierta bajo licencias GPL que implementa las funcionalidades de las centralitas IP.

Centralitas o PBX/ PABX. Dispositivos que permiten reutilizar una línea telefónica entra varios terminales de una misma empresa. El procedimiento se ha aplicado a la telefonía IP.

Dialplan. Configuración lógica de la centralita IP que marca el camino que sigue una llamada entrante o saliente hasta su destino.

Softphone. Software emulador de teléfonos. Programa que simula el funcionamiento de un teléfono tradicional a través del ordenador.

Videoconferencia. Tecnología que permite establecer encuentros o reuniones entre varias personas que se hallan en sitios distantes y que pueden conversar y verse como si estuvieran juntas en la misma sala.

Gatekeeper. Elemento de la red que controlo y gestiona los recursos e impide que se sature. Actúa como una centralita o conmutador virtual de todas las llamadas a teléfonos IP.

Protocolos de señalización por canal. Conocidos también como canal, son las normas que se utilizan para establecer el lenguaje con el que se realizara una conversación a través de paquetes IP. Por ejemplo, SIP utiliza comandos de texto parecidos a SMTP o POP empleados en el correo electrónico.

Ancho de banda. Cantidad de información enviada por segundo.

Cancelación de eco. Proceso que permite eliminar reverberaciones para mejorar la calidad de la llamada.

Codec. Elemento de software que realiza un proceso de compresión y descompresión. Codifica la señal (paso de analógico a digital), la comprime en el origen y la descodifica y descomprime al llegar a su destino para recuperar la señal original.

Eco acústico. Fenómeno que se produce en la telefonía tradicional cuando la señal pasa de 4 hilos a dos a causa de la impedancia entre ellas.

Muestreo. Frecuencia de valores de la señal vocal.

Tema 9.

1. Conceptos básicos acerca de los servicios de voz sobre IP (VoIP)

El auge de las comunicaciones a través de IP es evidente. Hoy en día pueden distribuirse a través de la red y en tiempo real mensajes escritos o que incorporen voz e imagines en forma de paquetes de información. La tecnología VoIP, de acuerdo con la definición establecida en 1996 por la Unión Internacional de Telecomunicaciones (UIT), permite la fusión de dos elementos hasta entonces separadas: la voz y los datos. De este modo, pueden aprovecharse mejor los recursos que ofrece Internet  para disminuir el coste de las llamadas y el de los servicios multimedia.

Pero no todo son ventajas: por el momento, la calidad del servicio es inferior que la ofrecida por los sistemas de telefonía tradicional. En buena parte se debe a la propia arquitectura de la red, ya que la velocidad y el ancho de banda disponible pueden variar en cada caso. Sin embargo, se espera que la nueva versión 6 de IP mejore estas condiciones.

La calidad del servicio (QoS) de una red VoIP que funciona con protocolos de tiempo real (RTP) sobre UDP puede resentirse a causa de los siguientes problemas:

· Latencia o retardo: tiempo que necesita un paquete para llegar desde la fuente al destino. La entrega de paquetes de voz no puede sufrir un retraso demasiado grande.

· Perdida de paquetes (jitter): dado que en Internet la información no viaja siempre por el mismo camino, habrá que reducir las pérdidas para que la conversación sea aceptable.

· Eco: repetición de sonido o ruido que debe evitarse o solucionarse mediante el uso de técnicas especializadas.

2. Telefonía convencional y telefonía sobre IP.

Telefonía convencional.

· Diseñada: para voz, no para datos

· Desarrollo de aplicaciones nuevas: complicado y muy costoso

· Arquitectura: cerrada: dependencia del proveedor.

· Aprovechamiento de la red: no, ocupación exclusiva del circuito durante una llamada.

· Sector: muy regulado, bajo licencias nacionales, en manos de las grandes operadores multinacionales.

· Precio: vario según el tiempo y  la distancia

Telefonía sobre IP.

· Diseñada: para datos, aunque pueden adaptarse las señales de voz.

· Desarrollo de aplicaciones nuevas: sencillo y muy económico

· Arquitectura: cerrada: dependencia del proveedor. Abierta: según estándares.

· Aprovechamiento de la red: si, permite combinar el ancho de banda con otros servicios.

· Sector: libre. De momento, aun no se ha regulado a escala internacional.

· Precio: entre dispositivos de VoIP, es gratuito y no depende de la distancia siempre y cuando no  se llame a un teléfono convencional

3. Elementos

3.1. Adaptadores telefónicos analógicos IP (ATA)

Se trata de dispositivos específicos concebidos para conectar teléfonos convencionales, de modo que puedan realizar la conversión de las señales analógicas de voz a datos digitales durante la transmisión y hacer la operación inversa en la recepción.

Estos dispositivos pueden funcionar en dos modos:

· Conectados directamente a la línea telefónica a través de una clavija RJ11, haciendo de puente entre el proveedor de telefonía IP y el terminal convencional.

· Conectados indirectamente a través del enrutador de la LAN que proporcione la conexión  Internet.

Los adaptadores suelen tener estos dos tipos de conexión:

· La interfaz de abonado externo (FXS): el puerto que envía la señal de línea analógica al teléfono. Se encarga de enviar el tono de marcado, axial como la corriente y tensión de llamada.

· La interfaz de central externa (FXO): el puerto que recibe la señal de la línea analógica. Se encarga de enviar una señal que indica si se ha colgado o descolgado (es decir, si el bucle de abonado permanece abierto o cerrado).

3.2 Teléfonos IP

Con este nombre se conoce a los nuevos dispositivos, tanto físicos como virtuales, que permiten realizar conversaciones telefónicas (o incluso videollamadas y videoconferencias) sin una ATA, ya que incluyen esa función.

Los teléfonos IP se pueden clasificar en dos clases:

· Hardphones: teléfonos físicos con un diseño tradicional o innovador, específicos para telefonía IP; utilizan una clavija RJ45 en vez de una RJ11. Existen tres tipos:

-          Fijos: deben estar conectados por cable a una centralita IP.

-          Inalámbricos: se conectan a la centralita IP mediante tecnologías inalámbricas, como Wi-Fi.

-          Por USB: concebidos para conectarse a ordenadores portátiles y facilitar la conversación en el caso de que no se disponga de cascos y altavoces.

· Softphones: aplicaciones que emulan el funcionamiento de los teléfonos físicos y que permiten usar cualquier ordenador para realizar llamadas telefónicas.

3.3 Centralitas IP (IP PBX/IP PBAX)

Las centralitas IP, ya sean propietarias o libres como Asterisk, realizan las mismas funciones que las conversaciones e incluso implementan otras nuevas. Capacitadas para codificar y comprimir la señal de voz en paquetes de datos, permiten conectarse a las redes IP para gestionar llamadas de VoIP y pueden utilizar todos los tipos de teléfonos existentes.

Las operadoras también ofrecen servicios de centralitas IP virtuales para sus clientes al igual que lo hacen con las tradicionales desde sus infraestructuras.

4. Funcionamiento básico

Una comunicación por telefonía IP o VoIP defiere de la tradicional en ciertos aspectos en cuanto a su funcionamiento básico, como la conversión de la señal analógica y la codificación posterior para enviarla como un paquete IP a través de Internet, además de los elementos intermedios existentes como centralitas IP o gatekeeper. Si se realiza una llamada a un número telefónico convencional, la señal se reconstruirá de nuevo en el otro extremo.

Los pasos que deben seguirse para realizar una conversación IP son los siguientes:

1. Para iniciar el proceso de comunicación hay que descolgar el teléfono. La terminal enviara una señal analógica al ATA. Si en cambio se emplea dispositivo IP, este la transmitirá directamente.

2. Cuando el ATA haya recibido la señal, emitirá un tono de llamada, al igual que en la telefonía convencional. A partir de entonces se dispondrá de una línea a través de Internet.

3. A continuación, se marcara el número de teléfono al que se desea llamar. El ATA convertirá los números en datos digitales y los enviara al proveedor de VoIP utilizado.

4. Los ordenadores del proveedor de VoIP validaran la información del número solicitado y determinaran a quien corresponde para transformarlo en una dirección IP.

5. El proveedor conecta los dos dispositivos que realizaran la llamada y envía al destinatario una señal a través del ATA para que suene el teléfono.

6. Cuando el destinatario descuelga se establece la comunicación entre ambos ATA. Se abren dos canales, uno en cada sentido. A partir de estos momentos cada dispositivo estará esperando recibir paquetes del otro. En medio de la comunicación, los enrutadores de Internet manejaran los paquetes de voz de igual manera que se haría con el correo electrónico o con una pagina web. Como es lógico, deben utilizar el mismo protocolo para que puedan entenderse.

7. Durante la conversación, ambos sistemas intercambiaran paquetes sin cesar.

8. Al finaliza, ambos sistemas colgaran y el circuito se cerrara.

9. el ATA que estableció la llamada enviara un mensaje o una señal al proveedor de telefonía IP para informarle de que la conversación ha terminado.

5. Protocolos de señalización por canal.

Existen muchos protocolos de señalización por canal que pueden utilizarse en telefonía IP o VoIP, por ejemplo:

· Jabber: protocolo abierto basado en el estándar XML y desarrollado en un principio para la mensajera instantánea. En la actualidad, además del intercambio en tiempo real de mensajes, se ha adaptado a VoIP.

· Gtalk: servicio de mensajería instantánea y llamadas de voz gratuitas de PC a PC, propiedad de Google y utilizado dentro de Gmail.

· H323: protocolo estándar de la ITU que utilizan aplicaciones como Microsoft Netmeeting y Ekiga (antes conocido como GnomeMeeting), basado en una versión libre denominada OpenH323.

· IAX/IAX2 (Internet Asterisk Exchange Protocol): propio de las centralitas IP de fuente abierta basadas en Asterisk.

· SIP (Session Initiation Protocol): protocolo estándar de la EITF. Aunque se creo para las transmisiones multimedia, también se utiliza en la VoIP.

· Skype: protocolo de señalización por canal propietario empleado en la aplicación del mismo nombre.

6. Códecs

Las conversaciones entre personas generan una onda de voz analógica. Sin embargo, los ordenadores y las redes de datos que han de transmitir la información trabajan de forma digital, por lo que es preciso adaptar la señal de voz analógica a su equivalente en formato digital. Este proceso de transformación en ambos sentidos se realiza con un codificador-decodificador (codec). Este proceso de conversión no es trivial; su funcionamiento se basa en la utilización de determinados algoritmos de compresión y descompresión específicos para cada tipo de codec. La mayoría utiliza variantes estandarizadas de la modulación codificada mediante pulsos (PCM).

Además de realizar esa adaptación entre medios para el paso de analógico a digital, el codec ha sido diseñado para aprovechar el ancho de banda al máximo mediante los dispositivos siguientes:

· Compresión de datos: comprime la secuencia de información.

· Cancelación de eco (G.168): elimina tanto el eco acústico como el hibrido.

· Supresión de silencio (VAD): evita que se envíen los paquetes de voz entre silencios.

Los codecs mas utilizados hoy son los siguientes:

· G.711. Modulación codificada mediante pulsos (PCM). Ancho de banda de 65 kbps.

· G.729. Codificación de voz a 8Kbit/s usando estructura conjugada con código de salida algebraica de predicción lineal (CS-ACELP).

· GSM 06.10. Excitación por pulsos regulares con predicción a largo plazo (RPE-LTP). Ancho de banda de 13 kbps.

· EVRC. Codificador (decodificador mejorado de tasa variable. Ancho de banda 9,6/4,8/1,2. Muestreo de 8 kbps.

El codec que deberá utilizarse dependerá de los siguientes parámetros:

· Calidad de audio: cuanto mayor sea, mas información se enviara, por l oque dependerá de las prestaciones del servicio del operador.

· Capacidad del procesador: según la cantidad de llamadas que envíe o reciba la centralita, se requerirá un hardware de mayores prestaciones o no.

· Dispositivos que deben comunicarse: ambos deben poseer el mismo codec.

· Propietario o libre: es fundamental saber si el codec es propietario o libre; de este detalle dependerá si se ha de pagar por uso o no.

7. Proveedores de voz IP

Las licencias nacionales que suelen pagar las operadoras en cada país operar como proveedores de telefonía tradicional (RTC, RDSI, GSM, UMTS, etcétera) no afectan a la telefonía IP. Por este motivo, cualquier empresa de telecomunicaciones puede ofrecer en cualquier parte del mundo servicios de VoIP.

Si el proveedor de servicio de VoIP asigna un número de teléfono regular, podrán recibirse llamadas de teléfonos regulares que no necesitan ningún equipo especial y seguramente se podrá marcar como siempre se ha hecho. En las llamadas entre el mismo operador habrá que utilizar también ese numero. Con otros operadores de telefonía IP que utilicen el estándar SIP (por ejemplo si:nombre-o-numero-abonado@dominio-operador.com), habrá que concatenar ese número como si fuera una dirección de correo electrónico, en la que el nombre del dominio corresponderá al del operador.

8. Configuración básica de una centralita IP

Las alternativas tecnológicas de centralitas IP se pueden dividir en dos grandes grupos:

· Tecnologías privativas y cerradas, como Skype o Cisco Skinny Client Control Protocol (SCCP).

· Tecnologías libres y abiertas, cono el proyecto Zapata, a partir del que se desarrollo Asterisk, mucho más utilizado.

8.1 ¿Qué es Asterisk?

Asterisk es un proyecto de código abierto que permite disponer de una centralita software y, al mismo tiempo, de un sistema interactivo de voz. Creado en un principio por Mark Spencer, posteriormente lo libero y lo distribuyo bajo licencia GNU/GPL (aunque también existen licencias comerciales). Escrito en C, se creo para GNU/Linux, si bien hoy existen versiones para Unix, Mac OS X y Windows, entre otros.

Sus principales características son las siguientes:

· Soporta telefonía tradicional: líneas analógicas RTC/RTB (PSTN/POTS), líneas digitales RDSI (EI, T1, accesos básicos, accesos primarios), etcétera.

· Establece un puente transparente entre diferentes protocolos VoIP: SIP, H.323, IAX/IAX2, etcétera.

· Crea también un puente transparente entre diferentes tecnologías: RTC/RTB, RDSI, GSM, etcétera.

· Dispone de un API independiente del hardware.

· Posee una interfaz de comunicación con aplicaciones.

TEMA 8

Estándares de conexión

802.11a: Especificaciones WLAN de 54 Mbps en la banda de 5 GHZ (no utilizada en Europa)

802.11b: Especificaciones WLAN de 11 Mbps en la banda de 2,4 GHz.

802.11g: Especificaciones WLAN de 54 Mbps en la banda de 2,4 GHz.

802.11n: Especificaciones WLAN de hasta 600 Mbps en la banda de 2,4 y 5 GHz.

Elementos inalámbricos

Antenas. Tipos:

· Omnidireccionales. Radian la señal en todas direcciones. En realidad, lo hacen según un diagrama en forma de toro. A medida que se aumenta la ganancia de este tipo de antenas pueden lograrse conexiones o mayores distancias, si bien la potencia se centra cada vez más en el eje horizontal.

· Direccionales. Concentran la señal en una sola dirección y cubren cierto ángulo alrededor de la dirección a la que se apunta. Cuanto mayor sea la ganancia de la antena, menor será el ángulo de radiación con lo que se resultara más difícil apuntar al otro extremo y mantener una conexión estable.

Características de antenas

· El alcance, es decir, la distancia física en línea recta entre dos puntos.

· Las dimensiones, imprescindibles para saber si cabe en la ubicación donde necesita colocarse.

· Los rangos de temperaturas que soporta en funcionamiento, sabiendo si es para interior o exterior.

· El tipo de polarización (vertical u horizontal).

· La frecuencia de trabajo (para Wi-Fi oscila entre 2400 y 2485 MHz).

· La ganancia o potencia, expresada en DBi (fabricantes) o en DBd (reales).

· Los ángulos de recepción del ancho de banda, tanto horizontal como vertical (Horizontal or Vertial Beam Bandwith).

Adaptadores inalámbricos

Se trata de tarjetas inalámbricas integradas en todos los dispositivos inalámbricos, desde los clientes, que aparecen mas visibles y pueden tener diferentes maneras de conectarse (PCI, PCMCIA y USB), hasta los elementos de interconexión inalámbricas (puntos de acceso, puentes y enrutadores Wi-Fi) que los llevan incrustados.

Puntos de acceso

Las redes Wi-Fi tienen una topología sin organización, con uno o varios dispositivos emisores y receptores denominados puntos de acceso (AP), conectados a una red troncal. Se trata de un elemento clave dentro de estas redes, ya que dirige el trafico y permite o no la circulación de los datos.

Tipos:

· Para redes de alto rendimiento, como empresas, que requieren el mayor ancho de banda posible en cada momento.

· Para redes de entornos de radiofrecuencia (RF) complicados, como almacenes o zonas de producción en fábricas.

· Para redes de interior, muy indicados a la hora de cubrir los espacios interiores de edificios de oficinas.

· Para redes malladas, donde todos los elementos inalámbricos están interconectados siguiendo una topología de malla en que cualquier nodo sirve como repetidor o destino de la información.

Modos de conexión

· Modo punto a punto o ad hoc (IBSS): se establece entre dos clientes que pueden comunicarse directamente con tarjetas WLAN compatibles sin necesidad de elementos de interconexión inalámbricos. Se trata de un servicio básico entre iguales semejante al uso de un cable cruzado.

·Modo infraestructura (BSS): es la configuración construida en torno a un punto de acceso activo que gestiona todo el tráfico y ejerce como puerta de enlace entre la red inalámbrica y otra cableada que puede o no estar conectada a Internet. Se diferencia del modo anterior en que los clientes inalámbricos no pueden comunicarse directamente entre si.

También existe la posibilidad de crear un conjunto extendido (ESS) uniendo dos o mas BSS entre si para extender redes sin cables, en cuyo caso uno actuara como maestro (root) y el resto como esclavos (no root). De este modo, los servicios que ofrecen cada uno de los puntos de acceso a los clientes se unen para permitir la movilidad entre diferentes zonas, si bien parte del trafico inalámbrico será utilizado para el envío de tramas de control entre los AP.

Existe un tercer modo que consiste en la fusión de los dos anteriores para constituir redes malladas (mesh Networks). En un principio, se ideo para aplicarse en países en vías de desarrollo, ya que no disponen de tantos puntos de acceso.

Identificadores de servicio

Todo elemento de interconexión inalámbrico siempre ha de tener al menos un servicio de identificación (SSID), que consta de un valor alfanumérico de hasta 32 caracteres –una especie de nombre de red- que debe utilizarse en todos los paquetes que se transmitan, ya que en caso de solapamiento de zonas permite diferenciar el tráfico de los clientes.

En modo punto a punto, mas básico, recibe el nombre de BSSID, ya que esta relacionado con la MAC de las propias tarjetas inalámbricas, mientras que en el modo infraestructura se denomina ESSID, de extendido (ver Claves y consejos).

El funcionamiento de un cliente activo en una WLAN es el siguiente: el dispositivo escucha o escanea la red y, cuando localiza algún punto compatible con la tarjeta, intenta conectarse de alguna de estas dos formas:

· Activa: el cliente envía un mensaje de conexión que contiene el SSID de la red a la que pretende unirse (puede que este oculto como medida de seguridad en el PA que esta configurado para no difundirlo). Si existe algún PA con el mismo SSID, le reenvía una respuesta de aceptación y el cliente se asocia y autentica en la red.

· Pasiva: el cliente limita a escanear en busca de unas tramas de administración de balizas, llamadas beacons, emitidas por el PA cada cierto tiempo y que contienen básicamente el SSID de la red. Una vez obtenida la baliza, el cliente intentara unirse a la red usando el SSID. Si el proceso se completa, este se asociara y autenticara.

TEMA 8

La tecnología inalámbrica se encuentra en todos los tipos de redes:
· Redes de área ancha inalámbricas (WWAN) como GSM/EGPRS (2G), UMTS (3G), HSDPA/HSUPA (3,5G) o LTE/SAE / (4G) o la MBWA (IEEE 802.20), en fase de estudio y desarrollo.
Fredes de área metropolitana inalámbricas (WMAN) como WiMaX (IEEE 802.16) o MMDS/LMDS o la ETSI HiperMAN & HiperAccess.
· Redes de área local inalámbricas (WLAN) que utilizan para su interconexión el estándar Wi-Fi (IEEE 802.11) o la ETSI HiperLAN.
· Redes de área personal inalámbricas (WPAN) como Bluetooth, infrarrojos (irDA), HomeRF o la ETSI HiperPAN.

Redes inalámbricas personales (WPAN)
Las redes de área personal inalámbricas surgieron a raíz del interés de un grupo de trabajo (IEEE 802.15) por desarrollar un sistema que permitiese comunicar directamente entre si dispositivos móviles de uso personal o distancias cortas, de igual a igual y sin que fuese precisa una infraestructura intermedia. Se caracterizan por disponer de una cobertura relativamente pequeña (hasta unos 10 metros), si bien con antenas específicas se puede ampliar, ya que la potencia con que transmiten es muy baja.
Dentro de este grupo de redes las tecnologías mas conocidas son:
IrDA: Fue la primera en aparecer, en 1993. Trabaja en el espectro de infrarrojos. Aunque se ha quedado estancada en los últimos años, puede llegar hasta velocidades de transmisión de 4 Mbps.
HomeRF: Mas centrada en los hogares digitales, se basa en las normas del los teléfonos DECT y los teléfonos Wi-Fi para interconectar todos los dispositivos y formar una única red de voz y datos. La versión 2 puede llegar hasta velocidades de transmisión de 10 Mbps.
Bluetooth. Convertido en el estándar del sector, se halla en todo tipo de dispositivos de uso personal. La versión 3 puede alcanzar velocidades de transmisión que oscilan entre los 53 y 480 Mbps.


Redes Wi-Fi (WLAN)
Wi-Fi es una tecnología de redes de área local inalámbricas (WLAN) de paquetes no guiados basados en la transmisión de la señal por ondas electromagnéticas de radio entorno a los 2,4 GHz o los 5 GHz. Aunque el ancho de banda es menor con respecto a las redes guiadas que utilizan cableado, su implantación prolifera de forma significativa gracias a la disminución de los costes de los componentes. Las WLAN no surgen para sustituir a las LAN, sino más bien para complementarias, ya que permiten tanto a los usuarios como a los dispositivos mantenerse conectados y disfrutar de plena libertad de movimientos.
Inconvenientes

-          Ancho de banda inferior.

-          Pueden sufrir interferencias entre distintos aparatos.

-          Requiere un mayor mantenimiento.

-          Menor seguridad.

-          Cobertura o distancia de conexión limitada.

Ventajas:

-          Disminución de costes.

-          Fácil instalación (no requiere cableado).

-          Reducción del tiempo para implantación.

-          Mayor flexibilidad para ampliar o modificar la red

-          Permite total movilidad de los clientes (roaming).

De cara a su implantación, y a la hora de adquirir el hardware Wi-Fi, hay que considerar los siguientes factores:
· Alta disponibilidad: la conexión inalámbrica tiene que estar en servicio en todo momento.
· Arquitectura abierta: todos sus elementos siguen los estándares existentes, de modo que los dispositivos suministrados por fabricantes distintos funcionan correctamente entre sí.
· Escalabilidad: permite disponer de diversos puntos de acceso (PA o AP, Access Point) en una misma red  para proporcionar un mayor ancho de banda. A partir de una configuración minima de un AP, la tecnología permite su ampliación para llegar a cubrir las nuevas necesidades o requerimientos de la empresa.
· Manejabilidad: todos los elementos implicados en las redes inalámbricas han de ser de fácil configuración y manejo.

Redes de área metropolitana inalámbricas (WMAN)
Las tecnologías para MAN inalámbricas (WMAN) como WiMaX o MMDS/LMDS ya se han comentado en la unidad dedicada a la interconexión de redes. Sin embargo, es interesante volver a incidir en la tecnología 802.16 debido a la gran expansión que esta teniendo, tanto en las empresas como en ámbitos domésticos, para dar servicio de Internet mediante subcontratas promovidas por ayuntamientos o compañías operadoras de telecomunicaciones. Sin embargo, aunque se parece a la norma 802.11 utilizada en las WLAN, no son idénticas, pero si que resultan compatibles.

Redes de área ancha inalámbricas (WWAN)

Las tecnologías para WAN inalámbrica (WWAN) como GSM/EGPRS, UMTS, HSPAD/HSUPA o LTE –también comentadas en la unidad dedicada a la interconexión de redes- constituyen otra opción a la hora de realizar despliegues de redes inalámbricas entre dos puntos muy distantes que sobrepasen los limites físicos de las anteriores, si bien siempre resultara mas económico emplear WPAN, WLAN, WMAN, que utilizan bandas de frecuencias libres de costes para su utilización. No hay que olvidar que las licencias para telefonía movil son limitadas y el gobierno de cada país las cede a través de concesiones a operadores de telecomunicaciones para que realicen una explotación comercial de las mismas.

Definiciones

El servidor proxy, que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP.

Squid es un servidor proxy cache para clientes web que soportaFTP, gopher y HTTP.

Una configuración de proxy transparente hace que no sea necesaria modificación alguna en las
máquinas clientes, eliminando el riesgo de que un usuario modifique dicha configuración a su
antojo. El uso de un proxy transparente combina un servidor proxy con NAT, de forma que todas
las conexiones son encaminadas a través del proxy sin la intervención de la máquina cliente.

proxy transparente + iptables

sudo su

route

route delete default dev eth0


route add -net 192.168.10.0/24 dev eth3
route add -host 192.168.10.22 dev eth3
route add default gw 192.168.10.1 dev eth3

route
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz
192.168.1.0     *               255.255.255.0   U     1      0        0 eth0
192.168.10.0    *               255.255.255.0   U     1      0        0 eth3
link-local      *               255.255.0.0     U     1000   0        0 eth0
default         192.168.10.1    0.0.0.0         UG    0      0        0 eth3



Edita el fichero /etc/squid/squid.conf y modifica la línea http_port de la siguiente manera:

http_port 3128 transparent

http_port 192.168.1.22:3128 transparent

Se reinicia el proxy
sudo service squid stop
squid stop/waiting
sudo service squid start
squid start/running, process 2977



iptables -F

En este caso asumimos que "eth0" es nuestra interfaz de red conectada a la red privada.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


En el cliente se pone como puerta de enlace 192.168.1.22

Variante de la regla iptables
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

En este caso, eth0 es el interfaz conectado a la red local. Todo lo procedente de 192.168.1.0/24 , pero que no vaya encaminado a 192.168.1.0/24 , nos lo va a encaminar al puerto 3128, que es donde normalmente tendremos squid.

Proxy minimo

Fichero de configuración reducido.

sudo gedit /etc/squid/squid.conf

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src 192.168.1.0/255.255.255.0
#acl redlocal2 src 192.168.10.0/24

http_access allow localhost
http_access deny manager !localhost
http_access allow redlocal
#http_access allow redlocal2
http_access deny all


#acl aulaSER src 192.168.1.0/255.255.255.0
#http_access allow aulaSER
acl HorarioLaborable time MTWHF 8:00-15:00
acl Strands dstdomain www.strands.com
acl gobierno url_regex la-moncloa mpr meh mpt maec mjusticia mde mir mec
acl MaxGente maxconn 32

cache_effective_user proxy
cache_effective_group proxy
cache_mgr admin@aulaSER.com
#visible_hostname servidor22

http_port 192.168.1.22:3128
cache_mem 64 MB
cache_dir ufs /var/spool/squid 10000 64 256

access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log


En el navegador se configura la IP 192.168.1.22 y PUERTO 3128 del proxy.

Leer los ficheros .log

sudo cat /var/log/squid/access.log
sudo cat /var/log/squid/cache.log
sudo cat /var/log/squid/store.log


Atención a la caché, se borra o restaura con:
sudo  squid -z

Webmin

A continuacion dejo un video con el modulo de Webmin.


WEBMIN

Se trata de una herramienta de configuración remota (también funciona en local) tanto del sistema (cron, usuarios, etc.) como de múltiples aplicaciones (sendmail, apache, vsftpd, etc.). Es una forma estupenda de gestionar un servidor remoto, simplificando en gran medida las tareas más usuales de un administrador de sistemas.

Usuarios de Webmin

El usuario por defecto es el root, una vez que entramos en Webmin podemos crearnos uno o varios

usuarios de administraci on Webmin.

En el caso de que se nos olvide la contrase~na de acceso y tengamos acceso como root al ordenador, se

puede crear una nueva utilizando el comando:

/usr/share/webmin/.changepass.pl /etc/webmin usuario nuevo_password

En el m odulo usuarios de Webmin se encuentran las diferentes opciones disponibles para de nir y

con gurar los usuarios que tendr an acceso aWebmin. Permite al administrador del sistema crear diferentes

usuarios para determinadas tareas. Por ejemplo, si el ordenador se utiliza como servidor de correo, podemos

crear un usuario que tan s olo tenga acceso al m odulo de administraci on de Exim, o si se emplea como

servidor de impresi on crear amos un usuario que pudiera administrar las colas de impresi on.

De esta forma es posible crear diferentes usuarios en funci on de los m odulos a los que tendr an acceso,

delegando f acilmente la administraci on de determinados servicios del ordenador a diferentes usuarios y

siendo posible incluso determinar que aspectos de un determinado servicio podr a administrar.

Protocolo IMAP Y POP

PROTOCOLOS IMAP Y POP

El siguiente paso despues de haber instalado un servidor SMTP, es ofrecer al usuario la posibilidad de acceder a su correo. Los clientes de correo (MUA's) serán los encargados de proporcionar esta facilidad
Existen clientes que acceden directamente al buzón del usuario si este tiene la posibilidad de acceder a la maquina que mantiene los buzones (elm, pine, mutt). Pero la alternativa más utilizada es proporcionar al usuario un acceso remoto a su buzón, evitando de esta forma que los usuarios puedan entrar en la maquina que mantiene el servidor de correo.
Los protocolos IMAP y POP permiten al usuario a través de un cliente de mail que los soporte, acceder remotamente a los buzones.

PROTOCOLO IMAP

IMAP permite a un usuario acceder remotanmente a su correo electrónico como si este fuera local. Además permite leer el correo desde diferentes puestos (clientes) sin la necesidad de transferir los mensajes entre las diferentes máquinas. Por tanto se entiende que los buzones se almacenan en el servidor.
El protocolo incluye funciones de creación, borrado y renombrado de buzones. Es completamente compatible con standars como MIME. Permite el acceso y la administración de mensajes desde más de un ordenador. Soporta accesos concurrentes a buzones compartidos. El cliente de correo no necesita conocer el formato de almacenamiento de los ficheros en el servidor.


PROTOCOLO POP

POP fue diseñado para soportar el procesamiento de correo fuera de linea. Su funcionamiento se basa en que el cliente de mail se conecta periodicamente a un servidor de correo y se baja (download) todo el correo pendiente a la maquina local del usuario. Por tanto, todo el procesamiento del correo es local a la maquina del usuario, ya que una vez obtenido el correo desde el servidor este es borrado ( si el usuario asi lo desea ).
POP es un protocolo más simple que IMAP y más fácil de implementar.



INSTALACION IMAP Y POP

En RedHat la instalación de ambos servicios es una tarea sencilla, ya que en la distribución existe un paquete rpm que soporta ambos protocolos.
La forma de instalación sería la siguiente:

root@mis21$ rpm -ivh  imap-2002d-3.i386.rpm

 CONFIGURACION DE IMAP Y POP

Tanto POP como IMAP son servicios bajo demanda, es decir, el demonio 

correspondiente se invoca via xinetd cuando se le requiere. 

Por tanto, la única configuración que tenemos que tener en cuenta, 

hace referencia al fichero de configuración del superdemonio xinetd:
 

/etc/xinetd.d/imap|pop.

Este fichero debería las entradas siguientes:

service imap
       {
        socket_type             = stream
        wait                    = no
        user                    = root
        server                  = /usr/sbin/imapd
        only_from               = 127.0.0.1
        log_on_success  += HOST DURATION USERID
        log_on_failure  += HOST
        disable                 = no
       }

Como podemos observar el control de acceso a ambos servicios viene definido

por el demonio xinetd  y como xinetd depende de tcpwrappers el cual utiliza dos

ficheros de configuración, /etc/hosts.allow y /etc/hosts.deny , se pueden utilizar para

definir los clientes que tienen permitido el acceso a los servicios.

#
# hosts.allow   :This file describes the names of the hosts which are
#                     allowed to use the local INET services, as decided# 

by the '/usr/sbin/tcpd' server.#
     imapd ipop3d : ALL

Servicios en Windows Server 2008

 SERVICIO DNS

A continuacion dejo un video de la instalacion del servicio DNS en Windows Server 2008. El DNS se instala conjuntamente con el Active Directory. Al finalizar, se crean las zonas.

Este sistema asocia información variada con nombres de dominio asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.

SERVICIO DHCP

A continuacion dejo un video de la instalacion del servicio DHCP en Windows Server 2008. El DHCP es facil de instalar y no tiene muchas complicaciones.

DHCP es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.

SERVICIO ISS


A continuacion dejo un video de la instalacion del servicio ISS en Windows Server 2008.

Este servicio convierte a una PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar pàginas web tanto local como remotamente.

SERVICIO FTP

 A continuacion dejo un video sobre la instalacion del servicio FTP en Windows Server 2008.

FTP es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor para descargar archivos desde él o para enviarle archivos, independientemente del sistema operativo utilizado en cada equipo.

Webmin

Webmin es una herramienta de configuración de sistemas accesible vía web para OpenSolaris, GNU/Linux y otros sistemas Unix. Con él se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, cuotas de espacio, servicios, archivos de configuración, apagado del equipo, etcétera, así como modificar y controlar muchas aplicaciones libres, como el servidor web Apache, PHP, MySQL, DNS, Samba, DHCP, entre otros.
Webmin está escrito en Perl, versión 5, ejecutándose como su propio proceso y servidor web. Por defecto se comunica a través del puerto TCP 10000, y puede ser configurado para usar SSL si OpenSSL está instalado con módulos de Perl adicionales requeridos.
Está construido a partir de módulos, los cuales tienen una interfaz a los archivos de configuración y el servidor Webmin. Esto hace fácil la adición de nuevas funcionalidades sin mucho esfuerzo. Debido al diseño modular de Webmin, es posible para cualquier interesado escribir extensiones para configuración de escritorio.
Webmin también permite controlar varias máquinas a través de una interfaz simple, o iniciar sesión en otros servidores webmin de la misma subred o red de área local.
Codificado por el australiano Jamie Cameron, Webmin está liberado bajo LICENCIA BSD. Existe también Usermin que es la versión reducida del Webmin.

Configuracion Postfix

Configuración local
La configuración local es bastante sencilla. De hecho, es posible que el sistema funcionara sin
necesidad de tocar nada. No obstante, es preferible asegurarse modificando los siguientes valores del
archivo /etc/postfix/main.cf (es posible que algunos de estos parámetros ya figuren con los valores
indicados):
myhostname = milinux.midominio
mydomain = midominio
myorigin = $myhostname
mail_spool_directory = /var/spool/mail
Además, hay que modificar el archivo de alias. Normalmente el archivo de alias está en
/etc/aliases. Sin embargo, en vuestro sistema con Postfix es fácil que encontréis que /etc/aliases
es un enlace simbólico a /etc/postfix/aliases. Este archivo contiene alias, es decir, equivalencias
entre una dirección local (probablemente ficticia) y una dirección real. Así, si el servidor recibe un
mensaje dirigido a "postmaster@milinux.midominio", y en /etc/aliases hay una línea como ésta:
postmaster root
(como, de hecho, hay), será root quien realmente reciba el mensaje. El archivo aliases ya contiene
algunas líneas comunes. La única línea que puede interesar añadir es la que redirige el correo de root
a un usuario normal (que será la que habitualmente utiliza el administrador cuando no precisa
privilegios de supervisión). La línea sería, simplemente:
root pepito
En "man 5 aliases" se puede obtener más información, para aprender cómo establecer más de un
destino para cada alias, enviar el mensaje a un archivo, etc.
Para que aliases sea tenido en cuenta por Postfix, en /etc/postfix/main.cf debe haber una línea del
tipo:
alias_maps = hash:/etc/postfix/aliases
Y, además, cada vez que se modifica el archivo aliases debe ejecutarse el comando (como root):
newaliases
Este comando genera el archivo /etc/aliases.db, que es una versión indexada de aliases, para
mejorar el acceso durante la ejecución de Postfix.
(Para no complicar las cosas, no entraremos en detalles sobre el formato db. Al tener todos estos
cambios realizados y funcionando, deberíais poder enviar mensajes desde un usuario a otro, siendo
ambos de vuestro Linux.

Postfix

El servicio de correo electrónico consta de dos partes bien diferenciadas: aquella con la que trata el usuario, y aquella que se encarga de transportar los mensajes del origen al destino. A menudo hay un
componente adicional encargado de distribuir el correo que llega a la máquina destino a una
ubicación especial dentro de ésta, propia de cada usuario. Los nombres de estos componentes son:
- MUA (Mail User Agent): es un programa que permite leer y escribir correos. Suelen tener
muchas funcionalidades que superan la estricta lectura y composición de mensajes, como el
mantenimiento de libretas de direcciones, gestión de anexos (attachments), gestión de múltiples
carpetas para organizar el correo, filtros de correo para borrarlo, responderlo, o redirigirlo a
carpetas determinadas, todo ello automáticamente y en función de las características del
mensaje, etc. Nombres habituales de MUAs son: mail, elm, pine, kmail (entorno KDE),
Netscape Messenger, Microsoft Outlook Express, Qualcomm Eudora (en Windows), Pegasus
Mail (en Windows) ...
- MTA (Mail Transport Agent): es un programa encargado de recoger mensajes y enviarlos,
comunicando para ello con otros MTA según sea preciso. Lo normal es que funcione como
servicio (es decir, de modo continuo, esperando peticiones de los MUAs o de otros MTAs y
atendiéndolas). En Unix/Linux se implementan como uno o más demonios. El MTA más
famoso y utilizado es sendmail; otros MTAs son Postfix, QMail... Además, productos de
groupware como Microsoft Exchange, Lotus Domino Server, Novell Groupwise o Netscape
Messaging Server incluyen MTAs.
Utilidades diversas: dependiendo de las circunstancias, se usarán otras pequeñas utilidades
adicionales, que se encargarán de "colocar" los mensajes en el buzón de cada usuario, de
recoger el correo de servidores externos, etc. Postfix utiliza procmail para la primera función;
nosotros utilizaremos fetchmail para recoger el correo del servidor POP3 de nuestro proveedor.

SSH

En vuestros repositorios ya tenéis SSH dispuesto a instalar, así pues:
$ sudo apt-get install ssh
Una vez instalado se autoiniciará el demonio que ejecuta el servidor SSH y gestiona las solicitudes de login remoto.


 Configuracion: Mayor seguridad
Como decía antes no es muy inteligente usar SSH sin modificar el fichero de configuración del servidor. Vamos a modificar algunas opciones para conseguir una seguridad aceptable.
$ sudo gedit /etc/ssh/sshd_config
(nota) Si algunas de las opciones que aquí comento no aparecen en vuestro sshd_config, simplemente agregadlas. Podéis hacerlo donde queráis, aunque lo suyo es que lo hagáis al principio o al final para que sepáis cuales son las opciones que vosotros habéis agregado.
Vemos un fichero de configuración típico basado en “opción valor”. Vamos a comenzar las modificaciones por el puerto que es lo primero que vemos y una de las cosas más importantes. SSH usa por defecto el puerto 22. Esto significa que si no lo cambiamos estamos entregando a un caco que sabe la dirección de dónde vivimos (nuestra IP) también la llave del portal.
Cambiaremos el puerto para evitarlo. Esto no quita que el caco pueda intentar averiguar “el portal” si sabe cómo hacerlo pero al menos le ponemos impedimentos. También hay scripts que atacan directamente el puerto 22, por lo que el cambio de puerto es algo obligatorio. Poned el que queráis y abridlo también en el router para que podáis acceder a vuestro ordenador desde otro. Usaremos por ejemplo el 4321, podéis poner el que queráis. Así pues en el fichero de configuración:
port 4321
Un poco más abajo buscad la opción “Protocol” debe estar a valor 2, si no es así (valor 1 ó 2,1 ponedla. Hay dos versiones de protocolo SSH. La primera está ya en desuso y tiene varias vulnerabilidades. Así debéis dejarlo en vuestra configuración:
Protocol 2
Buscad la sección “Authentication”. Sus dos primeras opciones son también importantes. La primera es el número de segundos que tendrá el usuario remoto para hacer login en tu máquina. Poned ese valor a pocos segundos, no tardamos mucho en hacer login si sabemos la cuenta y la password. De esta forma evitamos ciertos scripts que se aprovechan de ese tiempo. El valor típico en términos de seguridad es 30, aunque podéis poned incluso menos si estáis más conformes.
LoginGraceTime 30
Justo debajo tenéis otras de las opciones más importantes, PermitRootLogin. Si antes usé la metáfora del caco y el portal, esta opción viene a ser que le digáis también en qué planta del bloque de pisos vivís y qué puerta, faltándole sólo la llave. Con esto lo que insinúo es que si sabe por qué puerto entrar, tan sólo le queda averiguar dos datos: el nombre de una cuenta y su contraseña.
Si tenemos esta opción habilitada (yes) el caco ya tiene la mitad del trabajo hecho, pues el usuario “root” existe en todas las máquinas GNU/Linux, tan sólo le queda averiguar la contraseña. Por eso es más que recomendable deshabilitar esta opción. No os preocupéis los que tenéis en mente usar SSH para hacer un uso administrativo, podéis hacerlo con vuestra cuenta y sudo sin problema alguno. Así pues…
PermitRootLogin no
También podéis señalar con el dedo las cuentas que tienen permitido el uso SSH (AllowUsers). Pongamos un ejemplo, que es como mejor se entienden las cosas: Supongamos que tienes un amigo con el que quieres compartir algo vía SSH y además tiene un hermano que es un enreda y en el que no confías por si te la puede liar. Llamaremos a las cuentas “amigo” y “pesado” respectivamente. Para restringir el uso de SSH a tu amigo y a tu propia cuenta (llamémosla “pepino”) podemos indicárselo mediante configuración. Incluso podemos indicar también que tu amigo sólo se pueda conectar a tu ordenador desde el suyo, sabiendo su IP (supongamos que es 83.45.258.21). Pondríamos en la configuración:
AllowUsers pepino amigo@83.45.258.21
De esta forma tú podrías usar tu cuenta (pepino) para conectar a tu equipo desde cualquier lugar, tu amigo podría hacerlo sólo desde su ordenador (si tiene esa IP) y tu hermano no podría conectar a tu máquina vía SSH, si no tiene tu cuenta.
Otra opción interesante es el número de intentos que tiene el usuario remoto para hacer login (MaxAuthTries). Como comenté antes, quien intente conectar debe acordarse de su login y password, por lo que es tontería darle un número grande de intentos. En principio con dos son más que suficientes. Si al segundo intento no lo ha conseguido se cortará la conexión SSH. Siempre se puede volver a conectar y reintentarlo, pero así nos quitamos de encima ciertos scripts que intentan encontrar el login por fuerza bruta a base de ensayo y error.
MaxAuthTries 2
Por último hay otra opción que define el número máximo de usuarios conectados simultáneamente a tu máquina. Esto ha de adaptarse a tus propias necesidades. Si estamos hablando de un ordenador personal donde sólo vas a conectar tú, pues lo lógico sería que como mucho hubiera una. Si estamos hablando de un ordenador que hará las veces de servidor compartiendo una carpeta a varias máquinas, deberás decidir cuántos son. Cuanto tengas claro el número indícalo en la opción siguiente en lugar de la ‘X’:
MaxStartups X
Ya podéis guardar y cerrar gedit. Con esto tenéis un servidor SSH bastante seguro. Como comenté antes nunca es 100% seguro pero a priori podéis estar bien tranquilos. Sólo resta reiniciar el propio servidor SSH para que tome los cambios que hemos efectuado en su configuración. Escribid en consola:
$ sudo /etc/init.d/ssh restart
Un último consejo. Como habéis visto podemos poner trabas al caco en cuanto a nuestra dirección y puerta, pero ¿podemos ponerle problemas con la llave? La llave se entiende que es la contraseña. Y la respuesta es afirmativa. Podéis hacerlo pero vosotros mismos. Poned claves en condiciones a vuestras cuentas. Usad como poco 5 ó 6 caracteres y a ser posible que se entremezclen mayúsculas, minúsculas y números, por ejemplo: entr3TuXeSyp3p1n0s.
Es un ejemplo exagerado, enrevesado a la hora de escribir e incómodo para meterlo en sudo cada dos por tres, pero intentad que sea del estilo y procurad que no sea algo tan simple como vuestro nombre, el de vuestra mascota, vuestra fecha de nacimiento, grupo favorito, etc.

VSFTPD

Opciones de demonios

La lista siguiente presenta las directrices que controlan el comportamiento general del demonio vsftpd.

• listen — Cuando está activada, vsftpd se ejecuta en modo independiente. Red Hat Enterprise Linux configura este valor a YES. Esta directriz no se puede utilizar en conjunto con la directriz listen_ipv6.
  El valor predeterminado es NO.
• listen_ipv6 — Cuando esta directriz está activada vsftpd se ejecuta en modo independiente, pero solamente escucha a los sockets IPv6. Esta directriz no se puede utilizar junto con la directriz listen.
  El valor predeterminado es NO.
• session_support — Si está activada, vsftpd intentará mantener sesiones de conexión para cada usuario a través de Pluggable Authentication Modules (PAM).

Opciones de conexión y control de acceso

La siguiente es una lista de las directrices que controlan el comportamiento de los inicios de sesión y los mecanismos de control de acceso.

• anonymous_enable — Al estar activada, se permite que los usuarios anónimos se conecten. Se aceptan los nombres de usuario anonymous y ftp.
  El valor por defecto es YES.
  
  
• banned_email_file — Si la directriz deny_email_enable tiene el valor de YES, entonces esta directriz especifica el archivo que contiene una lista de contraseñas de correo anónimas que no tienen permitido acceder al servidor.
  El valor predeterminado es /etc/vsftpd.banned_emails.
• banner_file — Especifica un archivo que contiene el texto que se mostrará cuando se establece una conexión con el servidor. Esta opción supersede cualquier texto especificado en la directriz ftpd_banner.
  Esta directriz no tiene un valor predeterminado.
• cmds_allowed — Especifica una lista delimitada por comas de los comandos FTP que permite el servidor. Se rechaza el resto de los comandos.
  Esta directriz no tiene un valor predeterminado.
• deny_email_enable — Si está activada, se le niega el acceso al servidor a cualquier usuario anónimo que utilice contraseñas de correo especificadas en /etc/vsftpd.banned_emails. Se puede especificar el nombre del archivo al que esta directriz hace referencia usando la directriz banned_email_file.
  El valor predeterminado es NO.
• ftpd_banner — Si está activada, se muestra la cadena de caracteres especificada en esta directriz cuando se establece una conexión con el servidor. banner_file puede sobreescribir esta opción.
  Por defecto, vsftpd muestra su pancarta estándar.
• local_enable — Al estar activada, los usuarios locales pueden conectarse al sistema.
  El valor por defecto es YES.
  
  
• pam_service_name — Especifica el nombre de servicio PAM para vsftpd.
  El valor predeterminado es ftp, sin embargo, bajo Red Hat Enterprise Linux, el valor es vsftpd.
• tcp_wrappers — Al estar activada, se utilizan TCP wrappers para otorgar acceso al servidor. También, si el servidor FTP está configurado en múltiples direcciones IP, la opción VSFTPD_LOAD_CONF se puede utilizar para cargar diferentes archivos de configuración en la dirección IP solicitada por el cliente.
  El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor está configurado a YES.
• userlist_deny — Cuando se utiliza en combinación con la directriz userlist_enable y con el valor de NO, se les niega el acceso a todos los usuarios locales a menos que sus nombres esten listados en el archivo especificado por la directriz userlist_file. Puesto que se niega el acceso antes de que se le pida la contraseña al cliente, al configurar esta directriz a NO previene a los usuarios locales a proporcionar contraseñas sin encriptar sobre la red.
  El valor por defecto es YES.
• userlist_enable — Cuando está activada, se les niega el acceso a los usuarios listados en el archivo especificado por la directriz userlist_file. Puesto que se niega el acceso al cliente antes de solicitar la contraseña, se previene que los usuarios suministren contraseñas sin encriptar sobre la red.
  El valor predeterminado es NO, sin embargo, bajo Red Hat Enterprise Linux el valor está configurado a YES.
• userlist_file — Especifica el archivo al que vsftpd hace referencia cuando la directriz userlist_enable está activada.
  El valor predeterminado es /etc/vsftpd.user_list y es creado durante la instalación.
• cmds_allowed — Especifica una lista separada por comas de los comandos FTP que permite el servidor. Cualquier otro comando es rechazado.
  Esta directriz no tiene un valor predeterminado.

Opciones de usuario anónimo

A continuación, se presenta una lista de las directrices que controlan el acceso de usuarios anónimos al servidor. Para utilizar estas opciones, la directriz anonymous_enable debe tener el valor de YES.

• anon_mkdir_write_enable — Cuando se activa en combinación con la directriz write_enable, los usuarios anónimos pueden crear nuevos directorios dentro de un directorio que tiene permisos de escritura.
  El valor predeterminado es NO.
• anon_root — Especifica el directorio al cual vsftpd cambia luego que el usuario anónimo se conecta.
  Esta directriz no tiene un valor predeterminado.
• anon_upload_enable — Cuando se usa con la directriz write_enable, los usuarios anónimos pueden cargar archivos al directorio padre que tiene permisos de escritura.
  El valor predeterminado es NO.
• anon_world_readable_only — Si está activada, los usuarios anónimos solamente pueden descargar archivos legibles por todo el mundo.
  El valor por defecto es YES.
• ftp_username — Especifica la cuenta del usuario local (listada en /etc/passwd) utilizada por el usuario FTP anónimo. El directorio principal especificado en /etc/passwd para el usuario es el directorio raíz del usuario FTP anónimo.
  El valor por defecto es ftp.
• no_anon_password — Cuando está activada, no se le pide una contraseña al usuario anónimo.
  El valor predeterminado es NO.
• secure_email_list_enable — Cuando está activada, solamente se aceptan una lista de contraseñas especificadas para las conexiones anónimas. Esto es una forma conveniente de ofrecer seguridad limitada al contenido público sin la necesidad de usuarios virtuales.
  Se previenen las conexiones anónimas a menos que la contraseña suministrada esté listada en /etc/vsftpd.email_passwords. El formato del archivo es una contraseña por línea, sin espacios al comienzo.
  El valor predeterminado es NO.

Opciones del usuario local

La siguiente es una lista de las directrices que caracterizan la forma en que los usuarios locales acceden al servidor. Para utilizar estas opciones, la directriz local_enable debe estar a YES.

• chmod_enable — Cuando está activada, se permite el comando FTP SITE CHMOD para los usuarios locales. Este comando permite que los usuarios cambien los permisos en los archivos.
  El valor por defecto es YES.
• chroot_list_enable — Cuando está activada, se coloca en una prisión de chroot a los usuarios locales listados en el archivo especificado en la directriz chroot_list_file.
  Si se utiliza en combinación con la directriz chroot_local_user, los usuarios locales listados en el archivo especificado en la directriz chroot_list_file, no se colocan en una prisión chroot luego de conectarse.
  El valor predeterminado es NO.
• chroot_list_file — Especifica el archivo que contiene una lista de los usuarios locales a los que se hace referencia cuando la directriz chroot_list_enable está en YES.
  El valor por defecto es /etc/vsftpd.chroot_list.
• chroot_local_user — Si está activada, a los usuarios locales se les cambia el directorio raíz (se hace un chroot) a su directorio principal luego de la conexión.
  El valor predeterminado es NO.

Servidor y cliente FTP

Servidor FTP

Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado a Internet. Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores.
Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a uno y así intercambiar información con él.
Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes; o como servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan cifrados, como el SFTP (Secure File Transfer Protocol).

Cliente FTP

Cuando un navegador no está equipado con la función FTP, o si se quiere cargar archivos en un ordenador remoto, se necesitará utilizar un programa cliente FTP. Un cliente FTP es un programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP para conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos.
Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que reside (servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir el archivo (en caso de querer subirlo nosotros al servidor), y la carpeta en la que se encuentra.
Algunos clientes de FTP básicos en modo consola vienen integrados en los sistemas operativos, incluyendo Miscrosoft Windows, DOS, GNU/Linux y Unix. Sin embargo, hay disponibles clientes con opciones añadidas e interfaz gráfica. Aunque muchos navegadores tienen ya integrado FTP, es más confiable a la hora de conectarse con servidores FTP no anónimos utilizar un programa cliente.