style="font-family: trebuchet ms;"Windows Server 2012 Release Candidate (RC)

• Lo lleva más allá de la virtualización • Entrega la eficacia de muchos servidores con la simplicidad de uno • Abre la puerta para cada aplicación en cualquier nube • Permite el estilo de trabajo moderno

style="font-family: trebuchet ms;"Requerimientos del Sistema

• Procesador: 1.4 GHz 64-bit processor • RAM: 512 MB • Disco Duro: 32 GB • DVD drive • Super VGA (800 x 600) or higher-resolution monitor • Keyboard and Microsoft® mouse • Internet access• Mas info: http://technet.microsoft.com/library/jj134246#BKMK_sysreq

style="font-family: trebuchet ms;"Captura …

style="font-family: trebuchet ms;"EnlacesWindows Server 2012 RC (Español): Descargar

Windows Server 2012 RC (Chino (Simplificado)): DescargarWindows Server 2012 RC (Chino (Tradicional)): Descargar

Windows Server 2012 RC (Inglés): DescargarWindows Server 2012 RC (Francés): DescargarWindows Server 2012 RC (Alemán): DescargarWindows Server 2012 RC (Japonés): DescargarWindows Server 2012 RC (Coreano): Descargar

Windows Server 2012 RC (Portugués): DescargarWindows Server 2012 RC (Ruso): DescargarWindows Server 2012 RC (Sueco): DescargarWindows Server 2012 RC (Turco): Descargar

style="font-family:trebuchet ms;"Enlaces Relacionados

• Microsoft Windows 8 Release Preview Español

style="font-family:trebuchet ms;"Web del AutorHomePage

SEGURIDAD

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide

a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.

Introducción a la seguridadLos riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación.

La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.

Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones.

Objetivos de la seguridad informáticaGeneralmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

• Integridad: garantizar que los datos sean los que se supone que son • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos

que se intercambian • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información • Evitar el rechazo: garantizar de que no pueda negar una operación realizada. • Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

ConfidencialidadLa confidencialidad consiste en hacer que la información sea ininteligible para aquellos individuos que no estén involucrados en la operación.

IntegridadLa verificación de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisión (accidental o intencionalmente).

DisponibilidadEl objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos.

No repudioEvitar el repudio de información constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada.

AutenticaciónLa autenticación consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a las personas autorizadas.

Necesidad de un enfoque globalFrecuentemente, la seguridad de los sistemas de información es objeto de metáforas. A menudo, se la compara con una cadena, afirmándose que el nivel de seguridad de un sistema es efectivo únicamente si el nivel de seguridad del eslabón más débil también lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas.

Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos:

• Concienciar a los usuarios acerca de los problemas de seguridad • Seguridad lógica, es decir, la seguridad a nivel de los datos, en especial los datos de la

empresa, las aplicaciones e incluso los sistemas operativos de las compañías. • Seguridad en las telecomunicaciones: tecnologías de red, servidores de compañías,

redes de acceso, etc. • Seguridad física, o la seguridad de infraestructuras materiales: asegurar las habitaciones,

los lugares abiertos al público, las áreas comunes de la compañía, las estaciones de trabajo de los empleados, etc.

Cómo implementar una política de seguridadGeneralmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado.

Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece. Por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura.

Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas:

• Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias

• Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la

organización • Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse

informado acerca de las falencias en las aplicaciones y en los materiales que se usan • Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.

En este sentido, no son sólo los administradores de informática los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informática es el de asegurar que los recursos de informática y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización.

Es más, dado que el/la administrador/a es la única persona que conoce perfectamente el sistema, deberá proporcionar información acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación con los problemas y las recomendaciones de seguridad.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados

• Un procedimiento para administrar las actualizaciones • Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente • Un plan de recuperación luego de un incidente • Un sistema documentado actualizado

Las causas de inseguridadGeneralmente, la inseguridad se puede dividir en dos categorías:

• Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita)

• Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan)

Seguridad de servidoresCuando un sistema es usado como un servidor en una red pública, se convierte en un objetivo para ataques. Por esta razón, es de suma importancia para el administrador fortalecer el sistema y bloquear servicios.

Antes de extendernos en problemas particulares, debería revisar los siguientes consejos generales para mejorar la seguridad del servidor:

• Mantenga todos los servicios actualizados para así protegerse de las últimas amenazas informáticas.

• Utilice protocolos seguros siempre que sea posible.

• Proporcione sólo un tipo de servicio de red por máquina siempre que sea posible.

• Supervise todos los servidores cuidadosamente por actividad sospechosa.

5.1. Asegure los servicios con TCP Wrappers y xinetdLos TCP wrappers proporcionan control de acceso a una variedad de servicios. La mayoría de los servicios modernos de redes, tales como SSH, Telnet y FTP, hacen uso de TCP wrappers, que montan guardia entre las peticiones entrantes y el servicio solicitado.

Los beneficios ofrecidos por TCP wrappers son mejorados cuando se usan en conjunto con xinetd, un super servicio que proporciona acceso adicional, conexión, enlace, redirección y control de la utilización de recursos.

Sugerencia

 

Es una buena idea utilizar reglas de cortafuegos IPTables conjuntamente con TCP wrappers y xinetd para crear redundancia dentro de los controles de acceso a servicios. Consulte el Capítulo 7 para más información sobre la implementación de cortafuegos con comandos IPTables.

Se puede encontrar más información sobre la configuración de TCP wrappers y xinetd en el capítulo llamado TCP Wrappers y xinetd en el Manual de referencia de Red Hat Enterprise Linux.

Las siguientes subsecciones asumen que ya se tiene un conocimiento básico de cada tópico y se enfoca en opciones de seguridad específicas.

5.1.1. Mejorar la seguridad con TCP WrappersLos TCP wrappers son capaces de mucho más que simplemente negar el acceso a servicios. Esta sección ilustra cómo se pueden usar para enviar pancartas de conexión, avisar sobre ataques desde hosts particulares y mejorar la funcionalidad de conexión. Para una lista detallada de la funcionalidad y el lenguaje de control de los TCP wrappers, consulte la página del manual de hosts_options.

5.1.1.1. Los TCP Wrappers y las pancartas de conexión

Una buena forma de disfrazar qué sistema está ejecutando el servidor, es enviando un mensaje intimidante a las conexiones clientes para un servicio. Esto también permite dejarle saber al atacante que el administrador del sistema está atento y vigilante. Para implementar un mensaje de TCP wrapper para un servicio, utilice la opción banner.

Este ejemplo implementa una pancarta para vsftpd. Para comenzar, debe crear un archivo de pancartas. Este puede estar en cualquier lugar en el sistema, pero debe tener el mismo nombre que el demonio. Para este ejemplo, se nombrará al archivo /etc/banners/vsftpd.

Los contenidos del archivo se veran así:

220-Hello, %c220-All activity on ftp.example.com is logged.220-Act up and you will be banned.

La señal %c proporciona una variedad de información del cliente, tal como el nombre de usuario y del host, o el nombre del usuario y la dirección IP para hacer la conexión aún más intimidante. El

Manual de referencia de Red Hat Enterprise Linux tiene una lista de otras señales disponibles con los TCP wrappers.

Para que esta pancarta sea presentada a las conexiones entrantes, añada la siguiente línea al archivo /etc/hosts.allow:

vsftpd : ALL : banners /etc/banners/

5.1.1.2. TCP Wrappers y las advertencias de ataques

Si un host particular o red ha sido atrapada tratando de atacar el servidor, se pueden usar los TCP wrappers para advertir de ataques subsecuentes desde esa máquina o red a través de la directiva spawn.

En este ejemplo, se asume que el cracker desde la red 206.182.68.0/24 ha sido atrapado intentando atacar el servidor. Colocando la siguiente línea en el archivo /etc/hosts.deny, se niega el intento de conexión y se registra a un archivo especial.

ALL : 206.182.68.0 : spawn /bin/ 'date' %c %d >> /var/log/intruder_alert

La señal %d suministra el nombre del servicio que el atacante estaba tratando de acceder.

Para permitir la conexión y registrarla, coloque la directiva spawn en el archivo /etc/hosts.allow.

Nota

 

Puesto que la directiva spawn ejecuta cualquier comando del shell, puede crear un script especial para notificar al administrador o ejecutar una cadena de comandos en el evento de que un cliente particular intente conectarse al servidor.

5.1.1.3. TCP Wrappers y el mejoramiento de la conexión

Si ciertos tipos de conexión son de mayor preocupación que otros, se puede subir el nivel de conexión para ese servicio a través de la opción severity.

En este ejemplo, se asume que cualquiera que esté intentando conectarse al puerto 23 (el puerto de Telnet) en un servidor FTP, es un maleante informático. Para resaltar esto, coloque una bandera emerg en los archivos de registro en vez de la bandera por defecto, info, y niegue la conexión.

Para hacer esto, coloque la línea siguiente en /etc/hosts.deny:

in.telnetd : ALL : severity emerg

Esto usará la facilidad de conexión por defecto authpriv, pero subirá el nivel de prioridad del valor por defecto de info a emerg, lo cual coloca los mensajes de conexión directamente a la consola.

5.1.2. Aumento de la seguridad con xinetdEl super servidor xinetd es otra herramienta útil para controlar el acceso a sus servicios subordinados. Esta sección se enfocará en cómo se puede usar xinetd para colocar un servicio trampa y controlar la cantidad de recursos otorgados que cualquier servicio xinetd pueda usar para así frustrar posibles ataques de DoS. Para una lista de las opciones disponibles, consulte las páginas man para xinetd y xinetd.conf.

5.1.2.1. Colocando una Trampa

Una característica importante de xinetd es la habilidad de añadir hosts a una lista global de no_access. A los hosts en esta lista se les negará conexiones a los servicios manejados por xinetd por un tiempo determinado o hasta que se reinicie xinetd. Esto se logra usando el atributo SENSOR. Esta técnica es una forma fácil de bloquear máquinas que intenten escanear un puerto del servidor.

El primer paso en configurar un SENSOR es seleccionar un servicio que usted planea no utilizar. Para este ejemplo, se utilizará Telnet.

Modifique el archivo /etc/xinetd.d/telnet y cambie la línea flags para que muestre lo siguiente:

flags = SENSOR

Agregue la línea siguiente entre llaves:

deny_time = 30

Esto negará al host el acceso al puerto por 30 minutos. Otros valores aceptables para el atributo deny_time son FOREVER, lo que mantiene el bloqueo hasta que se reinicie xinetd, y NEVER, lo que permite la conexión y la conecta.

Finalmente, la última línea debería mostrar lo siguiente:

disable = no

Aún cuando el uso de SENSOR es una buena forma de detectar y detener conexiones de máquinas dañinas, tiene dos desventajas:

• No funcionará contra escaneos sigilosos.

• Un atacatante que sabe que usted está ejecutando un SENSOR, puede montar un ataque de rechazo de servicio (DoS) en contra de un host particular falsificando sus direcciones IP y conectándose al puerto prohibido.

5.1.2.2. Control de recursos del servidor

Otra característica importante de xinetd, es su habilidad para controlar la cantidad de recursos que los servicios bajo su control pueden utilizar.

Esto se hace a través de las siguientes directrices:

• cps = <number_of_connections> <wait_period> — Indica el número de conexiones permitidas al servicio por segundo. Esta directiva acepta solamente valores enteros.

• instances = <number_of_connections> — Indica el número total de conexiones permitidas al servicio. Esta directiva acepta bien sea un valor entero o UNLIMITED.

• per_source = <number_of_connections> — Indica las conexiones permitidas a un servicio por cada máquina. Esta directiva acepta un valor entero o UNLIMITED.

• rlimit_as = <number[K|M]> — Indica la cantidad de espacio de direcciones de memoria que el servicio puede ocupar, en kilobytes o megabytes. Esta directiva acepta valores enteros o UNLIMITED.

• rlimit_cpu = <number_of_seconds> — Indica la cantidad de tiempo en segundos que un servicio puede ocupar el CPU. Esta directiva acepta un valor entero o UNLIMITED.

Usando estas directivas puede ayudar a prevenir que cualquier servicio xinetd sobresature el sistema, resultando en un rechazo de servicio.

USUARIO

(user). En informática, un href="http://www.alegsa.com.ar/Dic/usuario.php#" rel="nofollow" onclick='Pal1936320433hw.hwClqnaj("usuario");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1936320433hw.hwShow(event, this, "usuario"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1936320433hw.hideMaybe(this, "usuario"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"usuario es un individuo que utiliza una computadora, sistema operativo, href="http://www.alegsa.com.ar/Dic/usuario.php#" rel="nofollow" onclick='Pal1936320433hw.hwClqnaj("servicio");return false;' style="color: rgb(0, 102, 0); text-decoration: underline; border-bottom: 1px dotted;" onmouseover='Pal1936320433hw.hwShow(event, this, "servicio"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1936320433hw.hideMaybe(this, "servicio"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"servicio o cualquier sistema informático. Por lo general es una única persona.

Un usuario generalmente se identifica frente al href="http://www.alegsa.com.ar/Dic/usuario.php#" rel="nofollow" onclick='Pal1936320433hw.hwClqnaj("sistema");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1936320433hw.hwShow(event, this, "sistema"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1936320433hw.hideMaybe(this, "sistema"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"sistema o servicio utilizando un nombre de usuario (nick) y a veces una contraseña, este tipo es llamado usuario registrado. Por lo general un usuario se asocia a una única cuenta de usuario, en cambio, una persona puede llegar a tener múltiples cuentas en un mismo sistema o servicio (si eso está permitido).

Un usuario registrado accede a un servicio a través de un login luego de su autentificación.

Un usuario también puede ser anónimo si no posee una cuenta de usuario, por ejemplo, al navegar por un sitio web sin registrase el usuario puede considerarse parcialmente anónimo (parcialmente porque puede ser identificado por su dirección IP). La href="http://www.alegsa.com.ar/Dic/usuario.php#" rel="nofollow" onclick='Pal1936320433hw.hwClqnaj("navegación");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1936320433hw.hwShow(event, this, "navegación"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1936320433hw.hideMaybe(this,

"navegación"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"navegación anónima sólo puede lograrse utilizando un proxy anónimo (sólo es más seguro, no es 100% anónimo). También se puede acceder a un servicio de forma anónima, por lo general se poseen menos opciones y posibilidades que un usuario registrado. Los usuarios anónimos a veces son referidos simplemente como "invitados".

Un sistema puede soportar múltiples usuarios (multiusuario) o un único usuario (monousuario).

CLIENTE SERVIDOREn el modelo cliente-servidor, los usuarios trabajan en computadoras denominadas sistemas frontales (front-end) e interaccionan con sistemas servidores denominados posteriores (back-end), que proporcionan servicios tales como el acceso a una base de datos, la gestión de red y el almacenamiento centralizado de archivos. Una red de computadoras ofrece la plataforma de comunicación en la que numerosos clientes pueden interactuar con uno o más servidores. La interacción entre la aplicación que ejecutan los usuarios en sus sistemas frontales y el programa (generalmente una base de datos o un sistema operativo de red) en el servidor posterior se denomina relación cliente-servidor. Esto implica que el usuario dispone de una computadora con su propia capacidad de procesamiento, que ejecuta un programa que puede efectuar la interacción con el usuario y la presentación de la información. Así, el modelo cliente-servidor reemplaza al paradigma de informática centralizada.

· En el modelo de informática centralizada, los usuarios situados en terminales no inteligentes se comunican con computadoras anfitrionas (hosts). Todo el procesamiento tiene lugar en el anfitrión, y los usuarios únicamente escriben órdenes que envían a dicho anfitrión y observan el resultado en su monitor.

· En el modelo de informática cliente-servidor, el sistema cliente ejecuta una aplicación que interacciona con otro programa que se ejecuta en el servidor.  

El modelo cliente-servidor se aplica en sistemas operativos y aplicaciones. Los sistemas operativos de red, tales como NetWare de Novell están orientados a este modelo puesto que los usuarios situados en las estaciones de trabajo realizan peticiones a los servidores NetWare. El cliente ejecuta un programa que redirecciona las peticiones de obtención de los servicios de la red al servidor adecuado, además de enviar las peticiones de servicios locales al sistema operativo local. En los sistemas gestores de bases de datos que siguen el modelo cliente-servidor, los clientes realizan las consultas a través de una aplicación frontal que atienden los servidores.

En una relación cliente-servidor el procesamiento se divide entre las dos partes. El sistema cliente ejecuta una aplicación que muestra una interfaz de usuario. Da formato a las peticiones de los servicios de la red y muestra la información o los mensajes enviados por el servidor. El servidor realiza el procesamiento posterior, como por ejemplo una clasificación de datos o la realización de un informe. Debido a que los datos se encuentran perfectamente accesibles, el cliente realiza este proceso de forma eficiente. Después de la clasificación, realización del informe o de cualquier otra tarea solicitada por un usuario, el servidor envía los resultados al cliente. El tráfico en la red se reduce debido a que el cliente únicamente obtiene la información que solicitó, no todo el conjunto de datos para clasificar, según el ejemplo anterior.

Los servidores en un entorno cliente-servidor son a menudo potentes sistemas superservidores, minicomputadoras o computadoras centrales, capaces de gestionar adecuadamente las múltiples y simultáneas peticiones que reciben de los clientes, además de realizar tareas de seguridad y gestión de red. Algunas organizaciones han reemplazado sus computadoras centrales, que proporcionaban cinco millones de instrucciones por segundo (MIPS, million instructions-per-second), por un grupo de servidores capaces de ejecutar 1.000 MIPS. Las diversas estrategias cliente-servidor ofrecen una forma de crear plataformas

informáticas relativamente asequibles y fáciles de configurar según las necesidades específicas de las aplicaciones.

El software de un sistema cliente-servidor habitualmente consiste en un sistema gestor de bases de datos (DBMS, database management system) instalado en un servidor posterior, hacia el que los clientes dirigen sus peticiones a través de un lenguaje de consulta estructurado (SQL, Structured Query Language). Es particularmente deseable disponer de un sistema de procesamiento de transacciones interactivo (OLTP, On-Line Transaction Processing) en el modelo cliente-servidor. Mientras que los servidores de archivo y los servidores de bases de datos son más comunes, un servidor posterior también puede proporcionar comunicaciones dedicadas y servicios de impresión.    

Arquitectura cliente-servidor

La arquitectura cliente-servidor define una relación entre el usuario de una estación de trabajo (el cliente frontal) y un servidor posterior de archivos, impresión, comunicaciones o fax, u otro tipo de sistema proveedor de servicios. El cliente debe ser un sistema inteligente con su propia capacidad de procesamiento para descargar en parte al sistema posterior (ésta es la base del modelo cliente-servidor). Esta relación consiste en una secuencia de llamadas seguidas de respuestas. Situar servicios de archivos (u otro tipo de servicios) en sistemas posteriores dedicados tiene muchas ventajas. Es más sencillo realizar el mantenimiento y la seguridad de unos servidores situados en un mismo lugar, y más simple el proceso de realización de copias de seguridad, siempre que los datos se encuentren en una única ubicación y una misma autoridad los gestione.

Existen numerosas configuraciones cliente-servidor posibles. En la Figura 3.1, varios clientes acceden a un único servidor. Esta es la configuración usual de una pequeña red de área local (LAN, Local Area Network). La Figura 3.2 muestra un modelo de base de datos distribuida en el que los clientes acceden a los datos ubicados en varios servidores.

Figura 3.1. Configuración cliente-servidor con un único servidor

   

Figura 3.2. Configuración cliente-servidor con servidores distribuidos

 

En un entorno de red par a par, tal como Windows para trabajo en grupos de Microsoft, NetWare Lite, LANtastic de Artisoft o NFS (Network File System), las estaciones de trabajo pueden ser tanto clientes como servidores, según muestra la Figura 3.3. Un usuario puede compartir los archivos ubicados en su disco duro con otros usuarios de la red. Así, la estación de trabajo de dicho usuario se convierte en un servidor de otro cliente. Al mismo tiempo, nuestro usuario puede acceder como cliente a los archivos compartidos de otras estaciones de trabajo.

Figura 3.3. Configuración cliente-servidor entre pares

Estudiemos algo más estos modelos para observar las tendencias tanto actuales como futuras del modelo cliente-servidor. En la parte izquierda de la Figura 3.4 se representa la reproducción de una base de datos en un sistema remoto de modo que los usuarios de dicho sistema puedan acceder a los datos sin necesidad de establecer un enlace a través de una red de área extensa (WAN). Los dos servidores se sincronizan periódicamente entre ellos para asegurarse de que los usuarios trabajan con información actualizada. En la parte derecha de la misma figura se representa el almacenamiento de grandes volúmenes de información de una empresa en un «almacén de datos». Los grupos de trabajo normalmente no acceden directamente a dicho almacén aunque esto sea posible. En lugar de ello, existe un sistema de apoyo que accede y almacena los bloques de datos usados más comúnmente por los usuarios del grupo de trabajo. Esta acción produce una reducción del tráfico en la red corporativa y garantiza el acceso del grupo de trabajo a los datos utilizados más frecuentemente. Al mismo tiempo, el almacén de datos proporciona la gestión, realización de copias de seguridad y otras de las ventajas del almacenamiento centralizado.  

Figura 3.4. Realización de una reproducción de una Base de datos y utilización de un sistema de

apoyo en un entorno cliente-servidor.

La exposición anterior asumía que el cliente es compatible a nivel de aplicaciones con el servidor, aunque ésta no es la única posibilidad si se tiene en cuenta la construcción de una red corporativa sobre LANs departamentales ya existentes. Existen dos modelos de compartición de datos dentro de un entorno corporativo, según se muestra en la Figura 3.5.

Figura 3.5. Modelos cliente-servidor con protocolo y pasarela común.

 

· En la parte izquierda se representa la utilización de una pasarela, que realiza la conversión de las peticiones de una serie de clientes a los formatos reconocidos por servidores no compatibles.

· En la parte derecha se ilustra la instalación de un nivel de protocolo común normalizado que actúa de interfaz entre los clientes no compatibles con los servidores. Numerosos fabricantes adoptan este enfoque.    

Internamente, el cliente y el servidor se dividen en varios procesos, representados en la Figura 3.6. Hay que tener en cuenta que el software de redirección de los clientes determina si las peticiones de los clientes van dirigidas hacia un servicio local o hacia un servidor de la red. En función del sistema operativo y/o de la aplicación, existen variaciones en la cantidad de trabajo que realiza el servidor. En algunos casos, el servidor realiza el menor trabajo posible con objeto de optimizar sus prestaciones hacia un grupo de clientes en aumento continuo. En otros casos,

el servidor trabaja con toda su potencia y gestiona la mayor parte de la carga de procesamiento.

Figura 3.6. Relación cliente-servidor.

 

En la mayoría de las configuraciones, la comunicación se efectúa sobre la LAN. Los servidores pueden formar parte de un departamento o grupo de trabajo local, o bien localizarse en una zona centralizada de acceso de la organización completa. Estos servidores de acceso centralizado se denominan servidores de empresa. Los servidores también pueden situarse en lugares remotos de modo que los usuarios deben acceder a ellos a través de un enlace de telecomunicaciones. En función del tipo de enlace utilizado, el tiempo de respuesta entre el cliente y el servidor remoto puede ser considerable, lo que necesitarán tener en cuenta los responsables del sistema. Si no se necesita acceso en tiempo real, pueden utilizarse técnicas de mensajería, a través de las cuales un usuario envía su petición al servidor y éste último responde en forma de un mensaje que se deposita en el buzón del cliente. La respuesta puede llegar en segundos, minutos o incluso horas, en función del tipo de conexión y de las restricciones impuestas por los diseñadores del sistema.    

Ventajas de la arqu¡tectura cllente-serv¡dor

A continuación se enumeran algunas de las ventajas del modelo cliente-servidor:

· El modelo cliente-servidor ayuda a las organizaciones a redimensionarse a partir de sus computadoras centrales y minicomputadoras hacia servidores y estaciones de trabajo sobre LANs, que se constituyen así como plataforma de comunicaciones corporativa.

·La carga de trabajo asociada a las aplicaciones se divide entre las distintas computadoras. Los sistemas cliente realizan parte del procesamiento, que se distribuye sobre todos los sistemas de escritorio.

· Los sistemas servidores realizan la distribución de la información centralizada hacia unidades de almacenamiento conectadas directamente a ellos, reduciéndose así la información enviada a través de la red.

· Un porcentaje importante de información se ubica directamente en la memoria del servidor, no en la memoria de cada estación de trabajo que lo necesite.

· El tráfico en la red se reduce, ya que el servidor envía al cliente únicamente la información solicitada, no grandes bloques de información que deba procesar.

· Los grandes sistemas servidores pueden descargarse de aplicaciones que se gestionan mejor en estaciones de trabajo personales.

· Los datos están más seguros si su ubicación es única. Los sistemas de almacenamiento de datos proporcionan una forma de suministrar datos específicos a servidores de grupos de trabajo, al mismo tiempo que mantienen control sobre aquéllos.

· En un almacenamiento centralizado de datos, los administradores pueden aplicar controles de seguridad para restringir el acceso a los mismos y utilizar mecanismos de supervisión de dicho acceso.

· El entorno cliente-servidor favorece el procesamiento paralelo múltiple. En este esquema, numerosas computadoras cooperan para realizar una tarea de procesamiento de forma conjunta. Cada sistema realiza una parte de la tarea, combinándose los resultados. La tarea se completa más rápidamente que si fuera realizada por un sistema autónomo.    

El modelo cliente-servidor en sistemas operativos autónomos

Así como el modelo cliente-servidor se trata habitualmente en términos de sistemas frontales y posteriores conectados a una red, puede aplicarse además al diseño arquitectural de la mayoría de sistemas operativos modernos. Por ejemplo, Windows NT de Microsoft implanta el modelo cliente-servidor como método estándar de interacción entre el usuario y el sistema operativo. El proceso servidor consiste en un núcleo en segundo término que trabaja con funciones de bajo nivel, como la planificación de tareas y la sincronización de procesos. El sistema frontal constituye la interfaz de usuario, el sistema de archivos y la aplicación que ejecuta el usuario. Esta estrategia proporciona un enfoque modular de los sistemas operativos. Por ejemplo, permite la conexión a un sistema de archivos DOS, Windows u OS/2, según las necesidades o preferencias. El núcleo posterior no depende de un sistema operativo concreto, ya que posee una interfaz común a través de la que ofrece sus servicios.    

Implantación de aplicaciones cliente-servidor

En un entorno distribuido de red, el objetivo es proporcionar datos de forma compartida a todos los usuarios de la organización. Los datos almacenados en numerosos sistemas diferentes se hacen accesibles a los clientes, de forma que idealmente adoptan el aspecto de una única base de datos lógica. La realización de un entorno compartido de datos engloba normalmente las siguientes funciones:

· Medidas de seguridad necesarias para el control del acceso a los datos.

· Medidas de integridad, requeridas para asegurar que las transacciones se realizan o no en función de su corrección.

· Medidas de concurrencia y disponibilidad, necesarias para permitir a los usuarios acceder y actualizar los datos.

· Necesidad de seguridad y recuperabilidad de los datos, mediante copias de seguridad y utilidades de tolerancia a fallos.    

Se debe realizar cada una de estas funciones si se trata de compartir datos entre muchos usuarios en la organización. Considérense las siguientes situaciones:

· ¿Qué clientes realizan una simple lectura de los datos en un servidor, y cuáles realizan lectura y escritura?

· Si dos usuarios acceden a los mismos datos de forma simultánea y uno de ellos efectúa modificaciones sobre aquéllos, ¿debería obtener el otro usuario una actualización? ¿Esto es factible?

· Cuando varios usuarios manipulan los mismos datos, ¿cuál es la operación de escritura que debe tener prioridad?    

Las soluciones a estos problemas se encuentran realizadas en la mayoría de los sistemas cliente-servidor, aunque la distribución de los datos entre un grupo numeroso de servidores dentro de una empresa plantea problemas insuperables de logística que hacen impracticable en muchos sistemas el acceso en tiempo real a los mismos datos por varios usuarios de forma simultánea. Los mecanismos de bloqueo pueden impedir el acceso de un usuario a un bloque de registros hasta que otro usuario haya finalizado la realización de cambios, si bien esta solución introduce sus propios problemas. Por ejemplo, dentro de un entorno sensible al tiempo, esperar que otro usuario libere un bloque de registros es impracticable. Una serie de actualizaciones parciales puede ayudar al servidor a mantener una traza de las modificaciones efectuadas. Si existe un grupo numeroso de usuarios que trabajan con el mismo bloque de datos, se necesitan métodos para que los clientes sepan cuándo otro usuario ha modificado los datos. Existen dos técnicas:

· Los clientes comprueban periódicamente con el servidor si los datos ubicados en su memoria se han modificado por otro usuario. Este método crea un tráfico excesivo en la red.

· El servidor envía actualizaciones a los clientes cuando los datos a los que éstos tienen acceso se modifican por uno de ellos.    

Los servidores deben proporcionar acceso a los datos paro también preocuparse de la concurrencia en dicho acceso. En los sistemas distribuidos, estos problemas se multiplican si existen bases de datos interdependientes sobre varios sistemas. Pueden utilizarse varios métodos para mantener sincronizados los sistemas, aunque esto puede añadir retardos. ¿Qué sucede si uno de los servidores sufre una caída durante una operación de escritura? La información que contiene dicho servidor debe actualizarse durante el proceso de arranque del mismo. Además, las transacciones incompletas deben volver atrás, no únicamente en el servidor afectado por la caída, sino en todos aquellos que hubieran recibido la transacción para mantener la sincronización.    

Métodos de conexión y comunicaciones

El mecanismo actual de transmisión de la información entre sistemas cliente y servidor en entornos distribuidos multiproveedor se denomina middleware. Existe una amplia variedad de estos productos, como por ejemplo sistemas de mensajería de almacenamiento y reenvío y llamadas a procedimientos remotos (RPCs, remote procedure calís):

· Una llamada a un procedimiento remoto (RPC) consiste en una llamada que conecta dos computadoras a través de una conexión síncrona. Esta conexión se mantiene para asegurar la integridad de los datos entre los dos sistemas en

tiempo real. Este tipo de conexión es esencial en aplicaciones tales como las transacciones bancarias.

· En un sistema de paso de mensajes, la información y las peticiones se envían entre las computadoras de la misma forma que los mensajes de correo electrónico entre usuarios. El mensaje se almacena y reenvía a lo largo de todo un trayecto hasta su destino. Aunque los sistemas de mensajes no son adecuados para la actualización de bases de datos en tiempo real, proporcionan servicios de lectura de información eficientes.    

La Arquitectura de sistemas abiertos de Windows (WOSA, Windows Open System Architecture) de Microsoft constituye una estrategia de construcción de middleware directamente dentro de los sistemas operativos de Microsoft, de modo tal que la información fluya más fácilmente a través de una compañía. Los sistemas clientes pueden conectarse a diversos servicios posteriores, tales como bases de datos, comunicaciones, aplicaciones y servidores de correo. En Windows NT de Microsoft, las RPCs se incorporan directamente dentro del sistema operativo.

IBM y otros fabricantes cuentan con el Entorno de informática distribuida (DCE, Distributed Computing Environment) de la Fundación de software abierto (OSF, Open Software Foundation) para apoyar la integración de aplicaciones distribuidas multiproveedor. DCE proporciona un extenso conjunto de servicios a través de los cuales las aplicaciones pueden comunicarse y los usuarios pueden conectarse a los diversos servicios de datos disponibles en una red corporativa.    

LLAMADA A PROCEDIMIENTO REMOTO (RPC)

La comunicación entre procesos (IPC, Interprocess Communications) es una técnica que usan los programas y procesos que se ejecutan sobre sistemas operativos multitarea o sobre dos computadores en red. Hay dos tipos de IPCs:

· Llamada a procedimiento local (LPC, Local Procedure Call). Las LPCs se usan en sistemas operativos multitarea para permitir la ejecución concurrente de tareas que se pasan información. Así pueden compartir espacios de memoria, sincronizar tareas y enviar mensajes de una a otra.

· Llamada a procedimiento remoto (RPC, Remote Procedure Call). La RPC es similar a la LPC, pero trabaja sobre redes. Las primeras RPCs aparecieron en las computadoras de Sun Microsystems, Inc. y Hewlett-Packard, y se ejecutaban bajo el sistema operativo UNIX.    

Con las IPCs y las RPCs, los programas pueden beneficiarse de procesos manejados por otros programas o computadoras. La informática de cliente-servidor usa las RPCs como un mecanismo de comunicación entre sistemas, junto con otras técnicas como la mensajería. Los clientes realizan algunas tareas por sí mismos, pero delegan en servidores el acceso a archivos posteriores (back-end). Las RPCs proporcionan el mecanismo de comunicación para que el cliente requiera los servicios del servidor posterior (back-end), como se ve en la Figura 3.7. Si se piensa en una aplicación cliente-servidor como en un programa que ha sido escindido, el servidor podría realizar la parte de acceso a los datos porque está más próximo a ellos y el cliente podría ejecutar la parte frontal (front-end) de presentar los datos e interactuar con el usuario. Desde este punto de vista, se puede considerar a la RPC como la componente que reintegra a través de la red las partes divididas del programa. En ocasiones las RPCs reciben el nombre de mecanismos de acoplamiento.

Figura 3.7. Llamadas a procedimiento remoto.

 

Mediante este tipo de división de un programa, se evita el tener que copiar toda la base de datos, o la mayor parte de ella, al sistema del usuario cada vez que éste necesita acceder a los datos. En vez de eso, el servidor puede simplemente procesar la petición, e incluso realizar algunos cálculos sobre los datos, y luego enviar el producto final al usuario. Además, este proceso permite que más de un usuario acceda a los mismos datos a la vez, puesto que la sincronización con la base de datos se hace más sencilla si el dato se gestiona en una única localización.

Los entornos de informática distribuida son colecciones de computadoras conectadas mediante un sistema de comunicación la red. Es fácil ver esta red como una plataforma de computación, en la cual cualquiera de las computadoras presentes puede ser un cliente o un servidor, dentro de un acuerdo entre pares. Los programas individuales podrían enviarse a computadores que estuviesen más capacitados para ejecutarlos, mientras que el procesamiento de algunas tareas podría separarse en rutinas, que se ejecutarían en paralelo en varios computadores diferentes de la red. Esta estrategia emplea los recursos de las computadoras que están desocupadas y es un motivo más para invertir en una red. Una típica red extendida por una corporación, consta de muchos sistemas de computadoras distintas que ejecutan diferentes sistemas operativos.

Como las redes corporativas ya son una realidad, los programadores deben crear software ejecutable en una extensa gama de computadores y con distintos protocolos de comunicación de red. Esto significa que los programadores no necesitan preocuparse por la red subyacente o del protocolo usado para transportar los datos por dicha red. La siguiente sección describe las RPCs, en relación con el modo en que las implementa el Entorno de informática distribuida(DCE, Distributed Computing Environment) de la Fundación de software abierto (OSF, Open Software Foundation). Las RPC de la OSF están diseñadas para que operen en entornos heterogéneos de informática distribuida.

Está muy difundido el uso del protocolo Informática de red abierta (ONC, Open Network Computing) Llamada a procedimiento remoto/Representación de los datos externos (RPC/XDR, Remote Procedure Call/External Data Representation). De los 31 millones de sistemas que ejecutan el Sistema de archivos en red (NFS, Network File System), cerca de 28 millones también usan la biblioteca ONC RPC y pueden actuar como clientes o servidores de aplicaciones distribuidas. Todos los sistemas operativos de IBM excepto el OS/400 soportan ONC RPC. Los laboratorios UNIX System incluyen RPC/XDR como una parte normalizada del UNIX System V Release 4. Novell soporta la tecnología de nueva generación ONC + Llamada a procedimiento remoto independiente del transporte (TI-RPC, Transport Independent Remote Procedure). TI-RPC usa el Interfaz de nivel de transporte (TLI) para transportar las interdependencias. TLI proporciona un modo muy extendido de acceso a los servicios de transporte orientados o no a conexión.  

Las RPC de la Fundac¡ón de software abierto (0SF)

Las herramientas RPC proporcionan un lenguaje de programación y un compilador para el desarrollo de aplicaciones modulares que se ejecutan tanto en sistemas clientes como en sistemas servidores del mismo modo que si fuesen procedimientos locales. Una facilidad en tiempo de ejecución permite que aplicaciones distribuidas se ejecuten en múltiples, heterogéneos sistemas, debido a que hace que las arquitecturas subyacentes y los protocolos sean transparentes a la aplicación.

El programador crea una definición de interfaz mediante un Lenguaje de definición de interfaces (IDL). IDL es una herramienta que usan los programadores para especificar procedimientos diseñados para que se ejecuten de forma remota. El compilador del IDL traduce la definición que se ha hecho en IDL del interfaz a fragmentos que están ligados tanto al cliente como al servidor. En la posición del cliente, el fragmento «permanece a la espera» del procedimiento servidor, y en la posición del servidor, el fragmento «permanece a la espera» del procedimiento cliente. Una facilidad en tiempo de ejecución de las RPCs, es que localizan al cliente y al servidor para que trabajen de acuerdo con los fragmentos para la realización de operaciones de RPC.

Uno de los problemas que se plantean con el uso de las RPCs en entornos heterogéneos, es que las diferentes máquinas representan los datos de forma diferente. Las OSF RPC evitan en cierto modo este problema mediante el etiquetado de las llamadas con la descripción de la representación de datos básica de la máquina que realiza la llamada. Cuando se recibe una llamada, y si la etiqueta indica que las dos máquinas representan de manera diferente los datos, el receptor convierte los datos.

La facilidad en tiempo de ejecución de las RPCs proporciona el mecanismo necesario para la transferencia de peticiones de los clientes a los servidores y para la recepción de respuestas a través de la red. La facilidad en tiempo de ejecución de las DCE RPCs también interactúa con otros servicios DCE de la red, como los servicios de nomenclatura, seguridad y tiempo. Dicha facilidad tiene las siguientes características:

·Se puede ejecutar en muchas redes diferentes. Los programadores no tienen que reescribir las aplicaciones para cada red.

· Proporciona recuperación de fallos tanto en la parte del cliente como en la del servidor, así como en la red. Soporta sistemas de archivos, bases de datos y otros servicios que transmiten datos de longitud variable.

·Proporciona un método basado en nombres para la localización de servidores, que es independiente de cualquier servicio de directorios en particular.

·Proporciona un interfaz para una facilidad de seguridad que protege la comunicación RPC de las intromisiones. El servicio de seguridad garantiza la privacidad de la información confidencial y protege la integridad de la comunicación mediante autentificación.

·Soporta el multihilado para el procesamiento concurrente o paralelo en la red, de manera que una aplicación puede realizar muchas acciones simultáneamente.

· Proporciona portabilidad e interoperabilidad con entornos de diferentes vendedores

PERMISOS O CONTROL DE ACCESO

(access rights, permisos de acceso). En seguridad, conjunto de permisos dados a un usuario o a un sistema para acceder a un determinado recurso. A mayor permiso para un href="http://www.alegsa.com.ar/Dic/derechos%20de%20acceso.php#" rel="nofollow" onclick='Pal1242593363hw.hwClqnaj("usuario");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1242593363hw.hwShow(event, this, "usuario"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1242593363hw.hideMaybe(this, "usuario"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"usuario/sistema, más posibilidades para manipular el recurso.

Los href="http://www.alegsa.com.ar/Dic/derechos%20de%20acceso.php#" rel="nofollow" onclick='Pal1242593363hw.hwClqnaj("sistemas");return false;' style="color: rgb(0, 102, 0); text-decoration: underline; border-bottom: 1px dotted;" onmouseover='Pal1242593363hw.hwShow(event, this, "sistemas"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1242593363hw.hideMaybe(this, "sistemas"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"sistemas de seguridad más simples tiene dos tipos de accesos posibles: permitido o no permitido. En cambio los sistemas más complejos pueden tener múltiples niveles de acceso para múltiples cuentas de usuario o sistemas.

Por ejemplo, un usuario puede tener el permiso para mirar y leer determinados href="http://www.alegsa.com.ar/Dic/derechos%20de%20acceso.php#" rel="nofollow" onclick='Pal1242593363hw.hwClqnaj("archivos");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1242593363hw.hwShow(event, this, "archivos"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1242593363hw.hideMaybe(this, "archivos"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"archivos o directorios, pero no tiene permiso para alterarlos o borrarlos. Este es un ejemplo de derechos de acceso a archivos (o permisos del sistema de archivos).

Cuando un usuario intenta hacer algo que está fuera de sus permisos suele obtener un mensaje de href="http://www.alegsa.com.ar/Dic/derechos%20de%20acceso.php#" rel="nofollow" onclick='Pal1242593363hw.hwClqnaj("actividad");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='Pal1242593363hw.hwShow(event, this, "actividad"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='Pal1242593363hw.hideMaybe(this, "actividad"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"actividad o acceso denegados.

Los derechos de acceso pueden ser enmarcados dentro de los controles de acceso.

CONTROL DE ACCESOaccess href="http://www.alegsa.com.ar/Dic/control%20de%20acceso.php#" rel="nofollow" onclick='hwPal2137964184.hwClqnaj("control");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='hwPal2137964184.hwShow(event, this, "control"); this.style.cursor="hand";

this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='hwPal2137964184.hideMaybe(this, "control"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"control). Es la href="http://www.alegsa.com.ar/Dic/control%20de%20acceso.php#" rel="nofollow" onclick='hwPal2137964184.hwClqnaj("habilidad");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='hwPal2137964184.hwShow(event, this, "habilidad"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='hwPal2137964184.hideMaybe(this, "habilidad"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"habilidad de permitir o denegar el uso de un recurso particular a una entidad en particular.

Los mecanismos para el control de acceso pueden ser usados para cuidar href="http://www.alegsa.com.ar/Dic/control%20de%20acceso.php#" rel="nofollow" onclick='hwPal2137964184.hwClqnaj("recursos");return false;' style="cursor: hand; color:#006600; text-decoration:underline; border-bottom:dotted 1px;" onmouseover='hwPal2137964184.hwShow(event, this, "recursos"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="solid";' onmouseout='hwPal2137964184.hideMaybe(this, "recursos"); this.style.cursor="hand"; this.style.textDecoration="underline"; this.style.borderBottom="dotted 1px"; ' oncontextmenu="return false;"recursos físicos (ej: acceso a una habitación donde hay servidores), recursos lógicos (ej: una cuenta de banco, de donde solo determinadas personas pueden extraer dinero) o recursos digitales (ej: un archivo informático que sólo puede ser leído, pero no modificado).

Un ejemplo de control de acceso son los derechos de acceso.

RESTRICCION A USUARIOS

son los diferentes derechos o niveles de seguridad que tienen los usuarios de un sistema, algunos solo pueden ver informacion, otros pueden ver y modificar, otros ver, modificar y eliminar, etc.

¿Qué restricciones tienen los usuarios para editar información?

Desde el momento en que el USUARIO crea su cuenta, debe escoger su perfil en función de su pertenencia o no a una institución. De esto dependerá su nivel de acceso y participación en la plataforma. Es decir, estará o no habilitado para editar (agregar, modificar y eliminar información ).

· USUARIO GENERAL: No representa ni está autorizado por ninguna institución. Por esta razón, no está habilitado para editar información; pero sí para participar en el foro de discusión de cada una de las secciones de las páginas de país.

· USUARIOS AUTORIZADOS POR INSTITUCIONES: Son aquéllos que representan y están autorizados por las instituciones registradas en la HRWeb y que por lo tanto están habilitados para editar su información.

· USUARIOS AUTORIZADOS DEL GOBIERNO: Son aquéllos que representan y están autorizados por los Gobiernos registrados en la HRWeb. Las secciones administradas exclusívamente por este tipo de USUARIO son:   

• Gobernanza y políticas; • Prioridades de investigación en salud, y • Financiación y alianzas institucionales

 · Las otras secciones pueden ser administradas por los otros usuarios autorizados por sus respectivas instituciones. Por ejemplo, si se ha creado cuenta e iniciado sesión como USUARIO AUTORIZADO POR una INSTITUCION como una facultad de medicina o de salud pública; una organización de la sociedad civil; un comité de ética, etc. el usuario sólo podrá administrar la información concerniente a su institución. Este tipo de USUARIO está habilitado también para agregar y editar información en las siguientes secciones:

o Publicaciones y proyectos de investigación en salud

o Recursos de información

FIREWALLUn cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada «zona desmilitarizada» o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso

VIRUSUn virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un computadora, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a sí mismos porque no tienen esa facultad[cita  requerida] como el gusano informático, son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al programa infectado y se graba en el disco, con

lo cual el proceso de replicado se completa.

SPAM

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming. La palabra spam proviene de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada, entre estas comidas enlatadas, estaba una carne enlatada llamada spam, que en los Estados Unidos era y sigue siendo muy común.[cita  requerida]

Aunque se puede hacer spam por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. Otras tecnologías de Internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, redes sociales, páginas web wiki, foros, web logs (blogs), a través de ventanas emergentes y todo tipo de imágenes y textos en la web.

El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes,Windows live ,etc.

También se llama correo no deseado a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes, drogas, software y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a enlaces en diversas páginas o inclusive sin antes acceder a ningún tipo de páginas de publicidad.

De todas formas, el spam ha tomado una resemantización dentro del contexto de foros, siendo considerado spam cuando un usuario publica algo que desvirtúa o no tiene nada que ver con el tema de conversación.1 También, en algunos casos, un mensaje que no contribuye de ninguna forma al tema es considerado spam. Una tercera forma de Spamming en foros es cuando una persona publica repetidamente mensajes acerca de un tema en particular en una forma indeseable (y probablemente molesta) para la mayor parte del foro. Finalmente, también existe el caso en que una persona publique mensajes únicamente con el fin de incrementar su rango, nivel o número de mensajes en el foro.

SPIASEl spyware o programa espía es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.

Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando anuncios relacionados.

Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que funciona como un parásito.

Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones de privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 50% en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espía conocidos son Gator, o Bonzi Buddy

2.3 SEGURIDAD MIXTA2.5 SEGURIDAD DEL CORTAFUEGOS

EN QUE CONSISTETodos, supongo, sabremos que un firewall es “un componente” de seguridad, todos sabemos que son los firewall “los que impiden que accedan a nuestros sistemas” pero… ¿sabes realmente que hace un firewall? ¿Porque protege nuestros pc’s? y otro tema importante ¿Es suficiente un firewall?

Si supieramos exactamente de que va un firewall podríamos contestar a todas estas preguntas, sin embargo, yo creo que muchos de vosotros no seréis capaces de asegurar estas respuestas, al menos no teniendo una base en la que validar vuestras respuestas. Yo quiero desde este espacio tratar de ofrecer otro punto más en Internet en el que puedan encontrar miles de usuarios respuesta a la pregunta ¿Qué es un firewall?

Un firewall es un componente bien hardware, bien software que se encarga de permitir o denegar la comunicación de nuestros sistemas/redes con el resto a fin de protegerlos ateniéndose a unas reglas que nosotros tendremos que configurar lo que nos da un control sobre las conexiones que podrán efectuarse entre nuestra red o pc y otras redes. Por norma general las reglas a las que nos enfrentamos los usuarios de casa son sencillas y consisten en permitir a un programa establecer una comunicación con otras redes pero esto en entornos más complejos es algo que puede llegar a ser un verdadero problema.

Como he comentado unas líneas más arriba la funcionalidad de un firewall es proteger un sistema, o red informática y aunque no es una medida que nos mantendrá a salvo del todo si es una medida muy importante que contemos con uno en nuestra red o en nuestro Pc.

Hay otros firewall “inteligentes” que llegan más lejos y que pueden incluso saber que tipo de información viaja a través de la red lo que permite, por ejemplo, saber si la información que viaja con el nombre de un programa realmente lo ha enviado ese programa o es otro que lo esta suplantando para permitir un acceso indebido o para enviar información confidencial, este tipo de firewall es habitual en empresas donde la seguridad es importante y constituyen una importante barrera de seguridad.

Y ya para terminar, un firewall o cortafuegos no nos protegerá de ataques de virus u otros, se limita a controlar las conexiones que se realizan en nuestra red según lo que nosotros le hayamos establecido prviamente, es decir, aunque tengamos un firewall en nuestro sistema, si lo tenemos mal configurado puede incluso ser problemático evitando conexiones que no debería y permitiendo otras que no debería de permitir.

Descripción de la característica

Firewall de Windows con seguridad avanzada constituye una parte importante en un modelo de seguridad por niveles. Al proveer a un equipo de un filtrado del tráfico de red bidireccional basado en host, el servicio Firewall de Windows con seguridad avanzada bloquea el tráfico de red no autorizado que entra y sale del equipo local. Además, Firewall de Windows con seguridad avanzada funciona con la característica Reconocimiento de redes de forma que puede aplicar configuraciones de seguridad acordes con los tipos de redes a las que los equipos se conectan. Como ahora las

opciones de configuración del Firewall de Windows y del protocolo de seguridad de Internet (IPsec) están integradas en una sola consola Microsoft Management Console (MMC) denominada Firewall de Windows con seguridad avanzada, el Firewall de Windows ha pasado a convertirse también en parte fundamental de la estrategia de aislamiento de una red.

Aplicaciones prácticas

Para ayudarle a enfrentar los desafíos de seguridad de red en la organización, Firewall de Windows con seguridad avanzada ofrece las siguientes ventajas:

• Reduce el riesgo de las amenazas para la seguridad de la red.  Firewall de Windows con seguridad avanzada reduce la superficie expuesta a ataques de un equipo, proporcionando una capa adicional al modelo de defensa exhaustiva. Al reducir la superficie expuesta a ataques de un equipo, aumenta la capacidad de administración del equipo y reduce la probabilidad de éxito de los ataques. Protección de acceso a redes (NAP), una característica de Windows Server 2012, también ayuda a garantizar que los equipos cliente cumplan las directivas que definen el software requerido y las configuraciones del sistema para los equipos que se conectan a la red. La integración de NAP ayuda a evitar las comunicaciones entre equipos compatibles y no compatibles.

• Protege los datos confidenciales y la propiedad intelectual.  Gracias a su integración con IPsec, Firewall de Windows con seguridad avanzada proporciona una manera sencilla de exigir comunicaciones de red de un extremo a otro autenticadas. Proporciona acceso escalable y por niveles a recursos de red de confianza, lo que ayuda a exigir la integridad de los datos y, de forma opcional, a proteger su confidencialidad.

• Amplía el valor de las inversiones existentes.  Como Firewall de Windows con seguridad avanzada es un firewall basado en host que se incluye con Windows Server 2012, y con sistemas operativos Windows anteriores, y dado que está totalmente integrado con los Servicios de dominio de Active Directory® (AD DS) y la directiva de grupo, no se requiere hardware ni software adicional. Firewall de Windows con seguridad avanzada también se ha diseñado para complementar las soluciones de seguridad de red existentes que no sean de Microsoft mediante una interfaz de programación de aplicaciones (API) documentada.

Funcionalidad nueva y modificada

En la siguiente lista se incluyen algunas de las características nuevas para Firewall de Windows con seguridad avanzada en Windows Server 2012.

 

Característica o funcionalidad Windows

Server 2008 R2 Windows Server

2012 Versión 2 de Intercambio de claves por red (IKEv2) para el modo de transporte IPsec

X

Aislamiento de red de aplicaciones de la Tienda Windows

X

Cmdlets de Windows PowerShell para Firewall de Windows

X

IKEv2 para el modo de transporte IPsec

En Windows Server 2012, IKEv2 admite escenarios adicionales, incluidas conexiones del modo de transporte de un extremo a otro de IPsec.

¿Cuáles son los beneficios de este cambio?

La compatibilidad de Windows Server 2012 con IKEv2 permite a Windows interoperar con otros sistemas operativos que usan IKEv2 para proporcionar seguridad de un extremo a otro, y admite los requisitos de Suite B (RFC 4869).

¿Qué funciona de manera diferente?

En Windows Server 2008 R2, IKEv2 está disponible como un protocolo de túnel de red privada virtual (VPN) que admite la reconexión automática con VPN. IKEv2 permite que la asociación de seguridad permanezca inalterada a pesar de que se realicen cambios en la conexión subyacente.

En Windows Server 2012, se amplió la compatibilidad con IKEv2.

Aislamiento de red de aplicaciones de la Tienda Windows

Los administradores pueden personalizar la configuración de Firewall de Windows para optimizar el acceso a redes si desean tener un mayor control sobre sus aplicaciones de la Tienda Windows.

¿Cuáles son los beneficios de este cambio?

La característica incorpora la posibilidad de establecer y aplicar límites de red para garantizar que las aplicaciones que están en peligro solo puedan obtener acceso a redes en las que se les ha concedido acceso de manera explícita. Esto reduce de manera significativa el impacto que puedan tener en otras aplicaciones, en el sistema y en la red. Además, las aplicaciones pueden aislarse y protegerse contra el acceso malintencionado desde la red.

¿Qué funciona de manera diferente?

Ahora podrá crear reglas de firewall no solo para programas y servicios, sino también para aplicaciones de la Tienda Windows y sus diversas funcionalidades.

Cmdlets de Windows PowerShell para Firewall de Windows

Windows PowerShell ofrece un gran número de cmdlets que permiten la configuración y administración de Firewall de Windows.

¿Cuáles son los beneficios de este cambio?

Ahora podrá configurar y administrar completamente Firewall de Windows, IPsec y las características relacionadas con Windows PowerShell, que es cada vez más eficaz y permite la ejecución de scripts.

¿Qué funciona de manera diferente?

En las versiones anteriores de Windows, podía usar Netsh para llevar a cabo muchas funciones de configuración y administración. Esta funcionalidad se ha ampliado de manera significativa gracias al eficaz lenguaje de scripting de Windows PowerShell.

2.6 COMO SE INSTALALa instalación se desarrolla en varias fases. Se le solicitará cierta información básica y, a continuación, el programa de instalación copiará los archivos y reiniciará el equipo. Al finalizar, el programa de instalación presentará el menú Tareas de configuración inicial, que puede usar para configurar el servidor conforme a sus necesidades específicas.

Información de preinstalación

Requisitos del sistema

A continuación se incluyen los requisitos del sistema estimados para Windows Server 2012. Si su equipo no cumple con los requisitos mínimos, no podrá instalar el producto correctamente. Los requisitos reales variarán según la configuración del sistema y las aplicaciones y características que instale.

Procesador

El rendimiento del procesador depende no solo de su frecuencia del reloj, sino también del número de núcleos y del tamaño de la caché del procesador. A continuación, se detallan los requisitos relativos al procesador para este producto:

• Mínimo: procesador de 64 bits a 1,4 GHz

RAM

A continuación, se detallan los requisitos estimados relativos a la memoria RAM para este producto:

• Mínimo: 512 MB

Requisitos de espacio en disco

A continuación se detallan los requisitos mínimos de espacio en disco estimados para la partición del sistema.

• Mínimo: 32 GB

Nota Tenga en cuenta que 32 GB debe considerarse como el valor mínimo absoluto para una instalación correcta. La partición del sistema requerirá espacio adicional en cualquiera de las siguientes circunstancias:

• Si se instala el sistema en una red.

• Los equipos con más de 16 GB de RAM necesitarán más espacio en disco para los archivos de paginación, hibernación y volcado.

Otros requisitos

También necesita lo siguiente:

• Unidad de DVD

• Pantalla Super VGA (800 x 600) o de mayor resolución

• Teclado y mouse de Microsoft® (u otro dispositivo señalador compatible)

• Acceso a Internet (pueden aplicarse las tarifas correspondientes)

Información importante para sistemas operativos basados en x64

Asegúrese de haber actualizado y firmado digitalmente los controladores modo kernel para Windows Server 2012.

Si instala un dispositivo Plug and Play, es posible que reciba una advertencia si el controlador no está firmado digitalmente. Si instala una aplicación que contiene un controlador que no está firmado digitalmente, no recibirá ningún error durante la instalación. En ambos casos, Windows Server 2012 no cargará el controlador sin firmar.

Si no está seguro de si el controlador está firmado digitalmente, o si no puede arrancar el equipo tras la instalación, use el siguiente procedimiento para deshabilitar el requisito de firma de controladores. Este procedimiento permite al equipo iniciarse correctamente y el controlador sin firmar se cargará de forma correcta.

Para deshabilitar el requisito de firma para el proceso de arranque actual:

1. Reinicie el equipo y, durante el inicio, presione F8.

2. Seleccione Opciones de arranque avanzadas.

3. Seleccione Deshabilitar el uso obligatorio de controladores firmados.

4. Arranque Windows® y desinstale el controlador sin firmar.

Para obtener más información, vea http://go.microsoft.com/fwlink/?LinkId=66577

Antes de iniciar el programa de instalación

Antes de instalar Windows Server 2012, siga los pasos de esta sección para preparar el equipo.

• Desconecte los dispositivos SAI (UPS). Si tiene conectado un sistema de alimentación ininterrumpida (SAI o UPS) al equipo de destino, desconecte el cable serie antes de ejecutar el programa de instalación. El programa de instalación intenta detectar automáticamente los dispositivos conectados a los puertos serie y los equipos SAI (UPS) pueden causar problemas en el proceso de detección.

• Realice una copia de seguridad de los servidores. Las copias de seguridad deben incluir todos los datos y toda la información de configuración que necesita el equipo para funcionar. Es importante que realice una copia de seguridad de la información de configuración de los servidores, sobre todo de aquellos que proporcionan la infraestructura de red, como los servidores de Protocolo de configuración dinámica de host (DHCP). Cuando realice las copias de seguridad, no olvide incluir las particiones de arranque y del sistema, así como los datos del estado del sistema. Otra forma de realizar copias de seguridad de la información de configuración es crear un conjunto de copia de seguridad para la Recuperación automática del sistema.

• Deshabilite el software de protección antivirus. El software de protección antivirus puede interferir en la instalación. Por ejemplo, puede ralentizar en gran medida la instalación si analiza cada uno de los archivos que se copia localmente en el equipo.

• Ejecute la Herramienta de diagnóstico de memoria de Windows. Debe ejecutar esta herramienta para probar la memoria RAM del equipo. Para usar la Herramienta de diagnóstico de memoria de Windows, siga las instrucciones del manual del usuario de diagnóstico de memoria de Windows (http://go.microsoft.com/fwlink/?LinkId=50362).

• Proporcione los controladores de almacenamiento masivo. Si el fabricante proporciona un archivo de controlador independiente, guárdelo en un disquete, CD, DVD o unidad flash USB (bus serie universal) en el directorio raíz del medio o en la carpeta amd64. Para proporcionar el controlador durante la instalación, en la página de selección de disco, haga clic en Cargar controlador (o presione F6). Puede buscar el controlador o dejar que el programa de instalación lo busque en el medio.

• Tenga en cuenta que el Firewall de Windows está activado de manera predeterminada. Las aplicaciones de servidor que deben recibir conexiones de entrada no solicitadas generarán errores hasta que cree reglas de entrada del firewall que las admitan. Consulte con el fabricante de la aplicación qué puertos y protocolos son necesarios para que la aplicación funcione correctamente.

Para obtener más información acerca de Firewall de Windows, vea http://go.microsoft.com/fwlink/?LinkID=84639.

Rutas de actualización compatibles

La siguiente tabla resume brevemente las rutas de actualización compatibles a Windows Server 2012. Para obtener información detallada sobre las rutas de actualización compatibles, advertencias importantes sobre la actualización e información adicional sobre las versiones de evaluación, vea http://go.microsoft.com/fwlink/?LinkId=260917.

Si no ve su versión actual en la columna de la izquierda, significa que no se admite la actualización a esta versión de Windows Server 2012.

Si ve más de una edición en la columna de la derecha, se admite la actualización a cualquier edición desde la misma versión inicial.

 

Si está ejecutando:Puede realizar una actualización a estas ediciones:

Windows Server 2008 Standard con SP2 o Windows Server 2008 Enterprise con SP2

Windows Server 2012 Standard, Windows Server 2012 Datacenter

Windows Server 2008 Datacenter con SP2 Windows Server 2012 Datacenter

Windows Web Server 2008 Windows Server 2012 Standard

Windows Server 2008 R2 Standard con SP1 o Windows Server 2008 R2 Enterprise con SP1

Windows Server 2012 Standard, Windows Server 2012 Datacenter

Windows Server 2008 R2 Datacenter con SP1 Windows Server 2012 Datacenter

Windows Web Server 2008 R2 Windows Server 2012 Standard