CEDIA: Taller de Redes

Fechas: Febrero 29 hasta el 6 de Marzo, 2004
Lugar: Quito (Sangolquí), Ecuador (ESPE)
Auspiciado Por: CEDIA (Consorcio Ecuatoriano para el Desarrollo de Internet
                Avanzado) y el NSRC (Network Startup Resource Center)
Instructores:          Hervey Allen (HA), Network Startup Resource Center
                       Brian Candler (BC), Voluntario, Network Startup Resource Center
                       Carlos Vicente (CV), Servicios de Redes, Univ. de Oregon

Resumen del Curso

Domingo: Día 1, Febrero 29 (Día Opcional, Medio Día)
Tarde (Hervey Allen)

* Introducción al Linux: Día 1 [Materias]

* Instalar Servidor 9 de Red Hat
* Crear cuentas de usuarios, eliminar cuentas de usuarios
* Discusión /etc/passwd, /etc/group, /etc/shadow
* Comandos de Sistema (cp, ls, cd, rm, etc.)
* Uso de editor básico, como vi.
* Uso del comando 'su' para obtener 'root', y /etc/sudoers
* Bajar paquetes de RPM usando FTP e instalarlos
* Aprender como apagar y reiniciar el servidor. Discurso de los niveles de inicializacion
* Discurso de /etc/ y /etc/rc.d/init.d/
* Si hay tiempo, practicar con ayuda del instructor.

Lunes: Dia 2, Marzo 1
Mañana (Hervey Allen)

* Introducción al Linux: Día 2 [Materias]

* Introducciones
* Configuración de Taller, incluyendo cuentas usuario, particiones, y horarios
* Discurso de particiones en Linux y opciones - /etc/mtab, /dev
* Discurso de servicios de Linux y cómo saber qué se está ejecutando
* Configuración de servicios por alumnos usando Linuxconf y/o chkconfig
* Iniciar y detener servicios
* Presentar de /etc/rc.d, /etc/sysconfig, /proc
* Cambios de configuracion a /etc/sysconfig/network-scripts
* Presentar /etc/crontab
* Mencionar los 'firewalls'
* Gnome vs. KDE y XWindows. Qué son. Por qué no son necesarios para un servidor
* Logs y donde se guardan. Inspección de los Logs. Anota /etc/syslog.conf

Tarde (Carlos Vicente)

* Conceptos de Interconexion de Redes [Materias]

* Paquetes y Protocolos
    Presentar los conceptos fundamentales de cómo están empaquetados los datos usando 
    paquetes de IP.
    En términos generales hablaremos de:
    - Nivel físico
    - Ethernet
    - Diseño de paquete de IP
    - IP (niveles)
    - TCP/UDP/ICMP
    - Secuencias
* Conceptos básicos de IP y de las Redes [Materias]
    Temas incluyen: la pila de protocolos, reenvío salto a salto, direcciones IP, 
    mascara de red (netmask), notación de prefijo CIDR, ARP, cálculo binario
* Los alumnos serán capaces de:
    - Reconocer el modelo OSI de siete nivels de ISO 
    - Entender la relación entre el modelo TCP/IP y el modelo OSI
    - Describir el efecto de unificación de IP
    - Describir cómo se construyen las direcciones IP; la parte de red y la de host
    - Entender la terminología clásica de redes "classful": clases A, B, C. 
      Entender el modelo actual sin clases y su terminologia: CIDR, longitud de
      prefijo, y VLSM
    - Convertir entre longitud de prefijo y notación de "netmask"
    - Identificar direcciones de la red y de broadcast
    - Encontrar las direcciones más baja y más alta en un subred
    - sub-dividir los prefijos
    - Entender loc concepto de "subnetting" y "supernetting"
    - Distinguir entre diferente tipos de redes: broadcast, punto-a-punto, NBMA
    - Explicar para qué existe ARP
    - Describir el proceso de reenvío (forwarding) y las reglas de "longest match"

Mañana Opcional (HA)

* Más práctica con Linux con el instructor

Martes: Día 3
Mañana (Carlos Vicente/Brian Candler)

* Conceptos básicos de IP y de las Redes (continuado): [Materias]

* Ejercicios de rutas estáticas usando un PC con Linux [Materias]   
  Los alumnos serán capaces de:
  - Configurar rutas estáticas en los PCs de Linux
  - Configurar direcciones de IP en los interfaces de las redes en Linux
  - Configurar rutas estáticas por defecto en los PCs de Linux
  - Cambiar direcciones de IP en los interfaces en Linux
  - Agregar rutas estáticas a un sistema de Linux (route, netstat)
  - Entender el uso de Linux como un terminal serie
  - Hacer tareas basicas de resolver problems de las redes usando comandos
    como ping y traceroute.
  - Explicar que es una ruta por defecto

Tarde (Carlos Vicente/Brian Candler)

* Ejecercicios de rutas estáticas (continuado)
* Presentacion de conceptos de "switching" [Materias]

Miercoles: Dia 4 (Hervey Allen)

* Seguridad de los Servidores [Materias]
* Seguridad fisica
* Firewalls no protegen de los ataques internos
* Restricciones de las cuentas usuarios. Claves seguras.
* Correr sólo servicios necesarios. Algunos servicios que no se deben correr:
* Seguridad al nivel de servicio
    - tcpwrappers
    - /etc/hosts.deny y /etc/hosts.allow (viejo)
    - /etc/xinet.d/* (nuevo)
* Servicios restringidos a redes internas (Por ejemplo NFS)
    - Alumnos podrán hacer un chequeo de servicios
    - Alumnos podrán reconfigurar un servicio 
* Políticas de cifrado de transacciones con usuarios/claves para:
    - Correo electrónico (POP y IMAP)
    - Web (HTTPS)
    - Shell (SSH)
    - Transferencia de archivos (SCP/SFTP) 
*Aplicando parches y actualizaciones de seguridad. Listas de correo disponible. Los alumnos 
 se registarán en las listas de seguridad apropiadas.
    - Aplicar una actualización
* Detección de intrusos y sistemas para asegurar integridad del sistema
    - Deberían ser aplicados _antes_ de conectarse a una red.
    - Mostrar los proyectos de Tripwire, AIDE, Snort.
* Ataques de desbordamiento de pila (buffer overflow)
    - Instalar libsafe, notar el problema can 'cal'
* Logging y syslogd.
    - Editar y revisar syslog.conf
    - Revisar los logs y practicar con los alumnos 'tail -f', mensajes enviados a root,
      y hablar sobre posile problemas de logging.
* Respaldos: presentación de las maneras de hacer un respaldo al servidor.
    - Mencionar y usar el comando de tar
    - Usa tar para crear archivos de tar.gz de un directorio que tenga múltiples archivos.
      Usa tar para descomprimir y expandir un archivo. Notar zip, también.

Tarde (Hervey Allen/Brian Candler)

* Seguridad de servidor y servicios (continuado):
* Conceptos básicos de cifrado. Cifrado de clave pública y privada. Certificados
  digitales. [Materias]
* Instalar Apache+mod_ssl [Materias]
    - Generar un certificado local
    - Configurar /etc/httpd/conf.d/httpd.conf 
    - Reiniciar el servidor apache y conectar al puerto 443 (notar problemas con firewall)

Jueves: Día 5 (Día más corto)
Mañana (Hervey/Carlos)

* Terminar Apache+mod_ssl (Hervey Allen)
* Presentación de SSH y ejercicios  (Hervey Allen) [Materias]
    - Archivos de known_hosts y autorización
    - Autenticación por "password challenge"
    - Autenticación por "private key passphrase challenge"
    - Generación de claves de RSA/DSA Privadas/Públicas
    - Conexión al servidor sin usar contraseña
    - Usando los túneles SSH
* Discurso de NAT. Qué es? Qué no es? (Carlos Vicente) [Materias]
    - Ventajas: forzar control de paquetes salientes, restringir tráfico
      entrante, esconder red interna.
    - Desventaja: Perder el estado de información de paquete, problemas 
      con IPs dentro del campo de datos, problemas con cifrado y autenticación, 
      problemas con "streaming media", asignación dinámica de puertos
      interfiere con los filtros de paquetes.
* Seguridad en Redes Universitarias 802.11 (Carlos Vicente) [Materias]
    - SSIDs
    - Ineficacias de WEP
    - "Spoofing" de direcciones de MAC
    - RADIUS 
    - Problemas de escalabilidad y soluciones actuales en campus universitarios

Terminar temprano - Descanso

Tarde

* Descanso por los alumnos

Mañana Opcional (BC)

* Zebra routing manager [Materias]

Viernes: Día 6
Mañana (Brian Candler)

* Sistema de Nombres de Dominios (Domain Name System) [Materias] 
    - Objetivos
    - Por qué nombres
    - HOSTS.TXT
    - Que había de malo con HOSTS.TXT?
    - Qué es DNS?
    - La estructura jerárquica de DNS
    - Dominios
    - Modelo cliente-servidor
    - Tipos de servidores de nombres
    - Ejercicio 1
    - Búsquedas de "client resolver"
    - Utilidades de clientes para probar DNS
    - La utilidad 'dig'  
    - Entender la salida de dig
    - Ejercicio 2
    - Consejos (el lado cliente)
* Operacion recursiva (caching) de servidor de nombres
    - Cómo funciona caching de NS (1)
    - Qué pasa si un servidor de nombre no esta en el cache?
    - Cómo funciona caching de NS (2)
    - Cómo se sabe a qué servidor de nombres preguntar?
    - Servidores de nombres intermedios responden con un record de recursos "NS"
    - Come se inicia este proceso?
    - Sistemas distribuidos tiene muchos puntos de fallo
    - Caching reduce el cargo en los servidore autorizados de servidores de nombres
    - Ejemplo 1: www.tiscali.co.uk (con una cache vacía)
    - Ejemplo 2: smtp.tiscali.co.uk (después que el ejemplo anterior)
    - Los caches se pueden cambiar por ser un problema si el cache se pone viejo
    - El dueño de un servidor de autorización puede controlar cómo sus datos están 
      puestos en un cache
    - Una política de compromiso
    - Qué tipo de problemas pueden pasar cuando un servidor de caching está funcionando?
    (1) Un servidor de autoridad está fuera servicio, o no alcanzable.
    (2) Todo los servidores de autoridad están fuera servicio, o no alcanzables!
    (3) Puntos de referencias a un servidor de nombres de que no tienen autorización
        para esta zona.
    (4) No hay consistencia entre servidores autorizados.
    (5) No hay consistencia en las delegaciones.
    (6) Mezclando servidores de nombres con autoridad y de caching
    (7) Elección no apropiada de parámetros

Tarde:(Brian Candler)

* DNS continuado [Materias] 
    - Cómo reparar un dominio usando "dig +norec" (3)
    - Ejercicio - Construyendo un servidor de nombre sólo caching
    - Los archivos de datos de zonas
    - Poninendo el TTL por defecto (RFC-2308)
    - La estructura de los records de Recursos
    - RRs en un archivo de zona
    - Record de recurso: SOA
    - El archivo named.conf
    - Named.conf: - Configuración maestra para un dominio
    - Named.conf: - Configuración esclava para un dominio
    - Elección de servidor de nombre secundario (RFC-2182)
    - Reiniciando un servidor que ya está corriendo
    - Algunos errores comunes

Manana Opcional (CV)

* Diseño de la Red de la Universidad de Oregon

Sabado: Día 7
Mañana (Brian Candler)

* DNS continuado [Materias]
    - Ejercicio - Construyendo un Autorizado-Sólo Servidor de Nombres Maestro
    - Ejercicio - Construyendo un Autorizado-Sólo Servidor de Nombres Esclavo
* MTA, POP, IMAP y Servidores de correo Web [Materias]
    - Presentación que depende del tiempo que tenemos
* Discurso de MTAs. Por qué no usar Sendmail.
* Instalar MTA opcional - Exim [Materias]
* Configurar IMAP/POP con SSL
    - Asegurar que el MTA está funcionando
    - Instalar Courier IMAP
    - Configurar los daemons (servicios)
    - Configurar para uso con SSL
    - Crear cuentas usuarios en los PCs
    - Probar pop/imap por ssl desde los PCs vecinos
    - Instalar un servidor de correo via web
    - Probar servidor de correo por web usando ssl (https)
* Examen y resolver problemas prácticos (BC/CV/HA) [Materias]

Tarde (Hervey/Brian/Carlos)

* Instalación de servidor Red Hat (Hervey Allen)
* Entrega de Certificados por Marcelo Jaramillo y Enrique Peláez
* Sesión abierta de preguntas y respuestas sobre las temas, problemas locales, etc. 
  (Carlos, Brian, Hervey)
* Conclusión: Resumen de qué ha estado enseñando y por qué. Un discurso sobre dónde 
  hay mas recursos para educación y asistencia, dónde se puede ir por ayuda, listas 
  de correo relevantes, preguntas en general, etc.