1. Administracin y gestin de una red de rea local 7 Al finalizar esta Unidad podrs Conocer las principales tareas y responsabilidades del administrador de red. Analizar los parmetros de los que depende el rendimiento de una red, proponiendo mejoras. Disear la estructura de servicios de una red de rea local y realizar el despliegue de los mismos. Conocer los criterios de seguridad que garanticen el correcto funcionamiento de los servicios de la red y la confidencialidad de los datos de usuario. Elaborar la documentacin necesaria tanto para los usuarios como para el mantenimiento de la red.

2. 07193 Introduccin En la Unidad anterior estudiamos la configuracin de un servidor para que corriera distintos tipos de protocolos coexistiendo entre s, analizando las preguntas habitua- les que se suelen hacer en tiempo de instalacin o pos- teriormente en la configuracin del sistema. Llegados a este punto, una vez que el servidor est en marcha y los distintos protocolos de conexin configu- rados, tanto en el servidor como en los clientes, es nece- saria la definicin de los servicios, modos de acceso y parmetros de los sistemas de ficheros de cada servidor o de todo su conjunto; es decir, hay que darle forma al conjunto de servidores y clientes de modo que faciliten su utilizacin a los usuarios autorizados. Todas estas funciones son propias de la administracin, gestin y seguridad de los sistemas en red de rea local. 7. Administracin y gestin de una red de rea local 7.2 Organizacin de la red 7.1 El administrador de la red 7.2 Organizacin de la red La persona encargada de las tareas de administracin, ges- tin y seguridad en los equipos conectados a la red y de la red en su conjunto, tomada como una unidad global, es el administrador de red. Este conjunto abarca tanto a servidores como a las estaciones clientes, el hardware y el software de la red, los servicios de red, las cuentas de usuario, las relaciones de la red con el exterior, etctera. Algunas de estas tareas han sido previamente explicadas: configuracin de protocolos, instalacin del NOS, diseo e implementacin del cableado, etc. No obstante, apare- cen funciones nuevas que se apoyan en las anteriormente citadas y que estudiaremos a continuacin. De entre las muchas funciones que se le pueden asignar al administrador de red vamos a destacar algunas de ellas, por la especial importancia que revisten: Instalacin y mantenimiento de la red. Es la funcin primaria del administrador. No basta con instalar el NOS en los equipos, sino que adems hay que garan- tizar su correcto funcionamiento con el paso del tiempo. Ello exige tener las herramientas adecuadas y los conocimientos necesarios para realizar esta funcin. En ocasiones, estos conocimientos slo se pueden adquirir en los departamentos de formacin de las compaas suministradoras del hardware y software de las redes o entidades similares. El trabajo pro- pio de mantenimiento puede ser realizado por miembros de la propia empresa, o bien contratar estos servicios con terceras empresas (outsourcing). Determinar las necesidades y el grado de utilizacin de los distintos servicios de la red, as como los accesos de los usuarios a la red. Diagnosticar los problemas y evaluar las posibles mejoras. Documentar el sistema de red y sus caractersticas. Informar a los usuarios de la red. Corresponde al administrador de la red, como tarea espe- cialmente importante, la decisin de planificar qu orde- nadores tendrn la funcin de servidores y cules la de estaciones clientes, de acuerdo con las necesidades exis- tentes en cada departamento u organizacin. Del mismo modo, se ocupar de las relaciones con otros departamentos, grupos o dominios de red, en lo que se refiere a la utilizacin de los recursos de otros grupos, as como de la comunicacin entre los diferentes domi- nios de gestin. En la actualidad es comn la utilizacin de servicios que se encuentran en el exterior de la red, es decir, de apli- caciones que se instalan sobre el sistema operativo y que ayudan al administrador a gestionar la red con pro- cedimientos preestablecidos, atendiendo a los eventos que se producen mediante un sistema de alarmas. Adems, los usuarios se benefician de estos servicios remotos de modo transparente, debido al avance que han tenido los protocolos y aplicaciones de capas supe- riores. La tendencia en los NOS contempla la posibilidad de uti- lizar los recursos de red (ficheros, impresoras, progra- mas, etc.) sin preocuparse de su localizacin fsica en la red. 3. A. Servidores de la red Cuando se establece una estrategia de red es importante, en primer lugar, realizar una buena eleccin de los ser- vidores con los que se contar. El nmero y prestaciones de los servidores de red estn en funcin de las necesi- dades de acceso, velocidad de respuesta, volumen de datos y seguridad en una organizacin. Las caractersticas tcnicas de los servidores de acuerdo con la funcin que vayan a desempear es un tema que ya ha sido estudiado en la Unidad 6. El nmero de servidores determina en gran medida la configuracin de la red. Efectivamente, si slo dispone- mos de un nico servidor, ste debe ser compartido por toda la organizacin. Sin embargo, si se dispone de varios servidores cabe la posibilidad de arbitrar distin- tas configuraciones. A pesar de que la carga de trabajo en una organizacin no exija ms de un servidor, puede ser recomendable la existencia de varios servidores, por razones de seguridad, de reparto de flujo de datos, de localizacin geogrfica, etctera. En este sentido, los NOS disponen de herramientas de trabajo en red para establecer dominios o grupos que pueden compartir configuraciones de acceso y seguri- dad. Tambin incorporan capacidades de administracin centralizada de los nodos de la red. Cuanto mayor es el nmero de servidores de una red, mayor es la carga administrativa, incrementndose tam- bin los costes de mantenimiento. Por tanto, en una red no debe haber ms servidores que los necesarios. El crecimiento de la red hace que paulatinamente se vayan incrementando el nmero de servidores, lo que provoca que ocasionalmente haya que replantearse la asignacin de servicios a servidores de modo que se ins- talen servidores ms grandes pero en menor nmero. A esta operacin se le denomina consolidacin de servi- dores. B. Estaciones clientes En las estaciones de trabajo se han de instalar y confi- gurar todos los protocolos necesarios para la conexin a cuantos servidores necesiten los usuarios. Por ejemplo, habr que instalar TCP/IP si se desea hacer una conexin hacia mquinas UNIX, NetBEUI para reali- zar conexiones sencillas a servidores Microsoft e IPX para la conexin con servidores Novell, aunque ya hemos estudiado en la Unidad anterior que el mundo inform- tico habla, en general, TCP/IP. Si instalamos ms protocolos de los que realmente se utilizarn haremos un consumo excesivo e intil de memoria central, as como una sobrecarga en el software de red de las estaciones, lo que ralentizar tanto los pro- cesos informticos como los de comunicaciones. Tambin hay que asegurarse de que si una aplicacin tiene previsto utilizar un interfaz de aplicaciones con- creto, por ejemplo, NetBIOS, debe estar instalado, ya que de lo contrario la aplicacin de usuario no podr gestionar las unidades de red remotas. ste sera el tra- bajo tpico de un redirector, como ya se vea en la Uni- dad anterior. El administrador debe valorar el modo en que trabajarn los usuarios, con informacin local o centralizada. Pode- mos encontrarnos con tres tipos de configuraciones para los clientes: Los programas y aplicaciones estn instalados en el disco duro local de la estacin y no son compartidos por la red. Cada usuario tiene una copia de cada aplicacin. Los datos residen tambin de modo habi- tual en el disco local, aunque es posible centralizar la informacin en los servidores. Los programas estn instalados en el servidor y todos los usuarios acceden al servidor para disparar sus aplicaciones. Por tanto, se instala una nica copia de las aplicaciones, lo que ahorra espacio en disco. Hay que tener en cuenta, no obstante, que no todas las aplicaciones permiten esta operativa de trabajo. Los datos de usuario pueden seguir estando distribuidos por las estaciones clientes, aunque tam- bin pueden residir en el servidor. Hay un caso particular de esta configuracin: los clientes ligeros o las estaciones que no poseen disco local (o que poseyndolo, no lo utilizan para alma- cenar aplicaciones o datos) y que deben arrancar remotamente a travs de la red desde un servidor de sistemas operativos. La instalacin de aplicaciones distribuidas exige la colaboracin del cliente y del servidor, o entre varios servidores, para completar la aplicacin. Por ejem- plo, una aplicacin de correo electrnico consta de una parte denominada cliente, que se instala en la estacin cliente, y una parte denominada servidor, que se instala en el servidor de correo. Otros ejemplos de aplicaciones distribuidas son las construidas segn la tecnologa cliente-servidor, 7. Administracin y gestin de una red de rea local 7.2 Organizacin de la red 07194 4. como las bases de datos distribuidas. Han aparecido nuevas tendencias en la programacin de objetos que facilitan la comunicacin entre componentes a travs de la red. Algunos nombres que nos hablan de estas tcnicas son CORBA, DCOM, COM+, ORB, etc- tera. La clasificacin anterior est muy simplificada. La reali- dad es mucho ms compleja. Lo habitual en el mundo de los sistemas de red son combinaciones de todas estas posibilidades y, por ejemplo, mquinas que son servido- ras con respecto de un tipo de servicio son clientes con respecto de otros. De la eficacia al disear esta estructura de red depende el xito del administrador de red dando un buen servicio a los usuarios de la red que administra. C. Conexiones externas a la red Adems de los clientes y servidores de la red, es comn la comunicacin de datos entre la red de rea local y el exterior, ya sea con usuarios de la misma o de distinta organizacin, pertenecientes o no a la misma red corpo- rativa. Por ejemplo, una red corporativa puede estar constituida por distintas LAN en lugares geogrficos dis- tintos. Tambin es posible la comunicacin entre dos LAN per- tenecientes a distintas organizaciones. Esta comunica- cin se realiza a travs de redes WAN. El acceso de un usuario remoto puede ser similar al acceso de un usuario local, disponiendo de los mismos servicios, aunque con rendimientos menores, debido a la inferior capacidad de transferencia de las lneas de trans- misin de las redes WAN utilizadas en la conexin. Para ello, basta con disponer de los servicios de conexin y validacin apropiados. ste es el fundamento del tele- trabajo. Para poder acceder a estos servicios remotos, es necesa- rio que las LAN posean nodos especializados en servicios de comunicaciones remotas, que tambin deben estar correctamente configurados. Las conexiones con el exterior requieren dispositivos especializados que dependen del tipo de conexin y de la WAN que se utilice. Por ejemplo, servidores y clientes RAS o de redes privadas virtuales, interfaces X.25, RDSI, ATM, etc., que sern estudiados en la Unidad 8. 7. Administracin y gestin de una red de rea local 7.2 Organizacin de la red 07195 En la Figura 7.1 tenemos un ejemplo de red de rea extendida de una compaa distribuida en varias sedes. En estos diagramas se pueden observar las lneas de comunicacin a lo largo de todo un amplio territorio, as como los modos de conexin entre los distintos seg- mentos de red remotos. Figura 7.1. Ejemplos de diagramas de red WAN para una compaa con varias sedes sociales. WAN 3 servidores 3 servidores 3 servidores 3 servidores 3 servidores 5. El acceso a la red es el primer aspecto en que debemos fijarnos una vez instalado el software de red. Los servi- cios que ofrece una estacin conectada a la red pueden ser utilizados por cualquier usuario que utilice esa esta- cin de trabajo. El orden y la confidencialidad de cada puesto de trabajo o proyecto requieren un sistema que garantice que cada persona tenga acceso a sus datos y aplicaciones, evitando que otros usuarios puedan ser perjudicados por el uso indebido del sistema o por la falta de una intencin recta. Todo esto apunta a un nuevo problema que siempre hay que tener en cuenta y que afecta a la seguridad de los sistemas: el intrusismo o hacking. En general, hay tres trminos que definen la actuacin ilegal oculta en la red: Hackers. Es la persona que trata de reventar el sistema operativo, violando su sistema de claves de acceso, con objeto de apoderarse de informacin reservada o por la mera satisfaccin de superar esa dificultad. Crackers. En este caso, se violentan las proteccio- nes anticopia del software. Phreakers. Son individuos que buscan la forma de usar o abusar del telfono ajeno a su antojo. Cualquier administrador de sistema o de red tiene que tener en cuenta el posible asalto a la red por parte de personas que se dedican a este tipo de actividades, sabiendo que el ataque puede venir tanto desde fuera como desde dentro de su organizacin. El modo de hacer distinciones entre los diferentes usua- rios, implica la confeccin de cuentas de acceso perso- nalizadas y un sistema de validacin o autenticacin que permite o impide el acceso de los usuarios a los recursos disponibles. A. Asignacin de nombres y direcciones El primer problema al que hay que hacer frente en el diseo de la estructura lgica de la red consiste en la asignacin de nombres y direcciones de red a todos los ordenadores que vayan a convivir con ella. Tanto los nombres como las direcciones han de ser nicos en la red, pues identifican a los equipos. Una vez que hayamos dado un nombre a cada host, ten- dremos que registrar ste en algn servicio de directo- rio, el equivalente a las pginas amarillas de una gua telefnica. Sobre este tema abundaremos ms adelante. Por ahora, basta con aclarar que los nombres de red suelen ser un trmino alfanumrico, o varios separados por puntos, aunque esto depende del tipo de red. En el caso de las direcciones ocurre algo parecido. La tec- nologa de red condiciona el tipo de direccin. Para nues- tro estudio, nos centraremos en el sistema de direcciona- miento IP, que ya conocemos de Unidades anteriores. Si el host que pretendemos configurar va a estar en Internet, su direccin IP viene condicionada por la nor- mativa internacional de asignacin de direcciones IP. Sin embargo, si el nodo va estar en una red de rea local, podemos asignarle una direccin elegida entre un rango que la normativa IP ha reservado para estos casos y que vienen especificadas en el RFC 1918. Estos bloques de direcciones son del 10.0.0.0 al 10.255.255.255, del 172.16.0.0 al 172.31.255.255 y del 192.168.0.0 al 192.168.255.255. Adems de la direccin IP tendremos que configurar otros parmetros como la mscara. De la asignacin de rutas nos ocuparemos con ms detalle en la Unidad 9. B. Cuentas de usuario Las cuentas de usuario son el modo habitual de perso- nalizar el acceso a la red. As, toda persona que utilice la red con regularidad debe tener una cuenta de acceso. Para que el control de este acceso sea suficientemente bueno, las cuentas deben ser personales, es decir, dos usuarios no deben compartir la misma cuenta. La cuenta proporciona el acceso a la red y lleva asocia- das todas las caractersticas y propiedades del usuario tiles en las labores de administracin (Figura 7.2). Las cuentas de usuario suelen tener parmetros semejantes a los que a continuacin se describen, aunque cada sis- tema operativo de red tiene los suyos propios. Nombre de usuario. Es el nombre nico atribuido al usuario y que utiliza para identificarse en la red. Suele ser una cadena de caracteres corta (entre uno y 16 caracteres, normalmente). 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 7.3 El sistema de acceso a la red 07196 6. Contrasea. Es la cadena de caracteres que codifica una clave secreta de acceso a la red para cada usua- rio. La contrasea va ligada al nombre de usuario. Proporciona la llave que protege los datos persona- les del usuario que la posee1 . Nombre completo del usuario. Es una cadena de caracteres con el nombre completo del usuario. El nombre de usuario suele ser una abreviatura del nombre completo. En este campo se permite un n- mero mayor de caracteres, incluyendo espacios en blanco, para identificar totalmente al usuario. Algu- nos examinadores de red muestran este nombre al solicitar una inspeccin de la red. Horario permitido de acceso a la red. Es un campo que describe las horas y los das en que el usuario tiene acceso a la red. En cualquier otro tiempo el usuario no puede presentarse en la red o es forzado a abandonarla. Por defecto, los sistemas operativos de red permiten el acceso de los usuarios cualquier da a cualquier hora. Estaciones de inicio de sesin. Describe el nombre de los equipos desde los que el usuario puede pre- sentarse en la red. Caducidad. Describe la fecha en que la cuenta expi- rar. Es til para cuentas de usuarios que slo requieren accesos por periodos de tiempo concretos. Al desactivarse la cuenta, se impide que otros posi- bles usuarios (intrusos) se apropien indebidamente de ella y, por tanto, protegen y descargan al servi- dor de accesos indebidos o indeseados. Directorio particular. Es el lugar fsico dentro del sistema de ficheros de la red en donde el usuario puede guardar sus datos. Al presentarse en la red, el sistema operativo le posiciona en su directorio par- ticular o le concede acceso al mismo. Archivos de inicio de sesin. Permiten configurar un conjunto de comandos que se ejecutarn auto- mticamente al inicio de la sesin de red. Estn ligados a cada cuenta de usuario, aunque se permite que varios usuarios compartan el archivo de inicio. Otros parmetros. Algunos sistemas operativos per- miten configurar otros parmetros como son los perfi- les de usuario, la cantidad de disco de que dispondr cada usuario, disponibilidad de memoria central, tiempo de CPU, capacidad de entrada/salida, etc. Estos parmetros tienen una especial importancia en gran- des sistemas multiusuario. En la Figura 7.2 se pueden ver las fichas que se han de rellenar para la creacin de un usuario en el Directorio Activo de Windows. Adems, el administrador puede establecer una serie de condiciones por defecto asignadas a cada cuenta y ges- tionadas mediante polticas (policies), que facilitan su gestin o que mejoran su seguridad. Entre ellas se encuentran las siguientes: El usuario debe cambiar la contrasea en el si- guiente inicio de sesin. El usuario no puede cambiar su contrasea. La contrasea no caducar nunca. La cuenta quedar desactivada en un plazo de tiempo. La cuenta se bloquear si ocurre un nmero de fallos de presentacin consecutivos previamente fijado. Adems de las cuentas que puede definir el administra- dor de la red, los sistemas operativos de red poseen unas cuentas por defecto con una funcionalidad especfica, que normalmente no se pueden borrar, aunque s modi- ficar y desactivar. Entre estas cuentas se encuentran: El supervisor (en Novell), administrador (en Win- dows), root (en UNIX o Linux), system (en VMS), etc. Es la cuenta privilegiada por excelencia y que suele ser utilizada por el administrador del sistema. Invitado o guest. Es una cuenta a la que normal- mente no se le asocia contrasea y que carece de privilegios. Sirve para que aquellos usuarios que no 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07197 1 El establecimiento de una buena contrasea es muy importante para la seguridad del sistema. Se recomiendan contraseas suficientemente largas, con caracteres tanto en maysculas como en minsculas, e incluso combi- nados con dgitos, espacios en blanco u otros caracteres especiales. No se recomien- dan como contraseas trmi- nos que se puedan encontrar en algn diccionario, con independencia del idioma. Figura 7.2. Ficha de creacin de un nuevo usuario en un Directorio Activo de Windows. 7. tienen cuenta en el sistema puedan acceder a los servicios mnimos, que define el administrador. Por defecto, esta cuenta est desactivada al instalar el sistema operativo de red con objeto de no generar agujeros de seguridad sin el consentimiento expl- cito del administrador, que regular los derechos y permisos de estos usuarios invitados. En sistemas integrados con dominios o servicios de directorio es posible crear cuentas de acceso tanto en las estaciones locales, para usuarios que slo se podran presentar en el sistema local y acceder slo a sus recur- sos, o en el dominio o directorio activo. En este segundo caso, las cuentas son vlidas para todos los ordenadores que se gestionen desde ese dominio de administracin. sta es la situacin ms comn en corporaciones gran- des y medianas. C. Derechos de acceso Una vez que se ha identificado a cada usuario con acceso a la red, se pueden arbitrar sus derechos de acceso. Corresponde al administrador determinar el uso de cada recurso de la red o las operaciones que cada usuario puede realizar en cada estacin de trabajo. Ejemplo de estas operaciones son el derecho de acceso a un servidor o a otro equipo a travs de la red, forzar el apagado de otro equipo remotamente, reiniciar un equipo, cambiar la hora del sistema, etctera. Cada recurso, servicio o utilidad tiene, de este modo, una informacin asociada que le indica quin puede utilizar- los o ejecutarlos y quin carece de privilegios sobre ellos. No hay que confundir derechos con permisos: Un derecho autoriza a un usuario o a un grupo de usuarios a realizar determinadas operaciones sobre un servidor o estacin de trabajo. Un permiso o privilegio es una marca asociada a cada recurso de red: ficheros, directorios, impreso- ras, etc., que regulan qu usuario tiene acceso y de qu manera. De esta forma, los derechos se refieren a operaciones propias del sistema operativo, por ejemplo, el derecho a hacer copias de seguridad. Sin embargo, un permiso se refiere al acceso a los distintos objetos de red, por ejem- plo, derecho a leer un fichero concreto. Los derechos pre- valecen sobre los permisos. Por ejemplo, un operador de consola tiene derecho para hacer una copia de seguridad sobre todo un disco; sin embargo, puede tener restringido el acceso a determi- nados directorios de usuarios porque se lo niega un per- miso sobre esos directorios: podr hacer la copia de seguridad, puesto que el derecho de backup prevalece a la restriccin de los permisos. La asignacin de permisos en una red se hace en dos fases: a) En primer lugar, se determina el permiso de acceso sobre el servicio de red; por ejemplo, se puede asig- nar el permiso de poderse conectar a un disco de un ordenador remoto. Esto evita que se puedan abrir unidades remotas de red sobre las que despus no se tengan privilegios de acceso a los ficheros que con- tiene, lo que puede sobrecargar al servidor. b) En segundo lugar, deben configurarse los permisos de los ficheros y directorios (o carpetas) que con- tiene ese servicio de red. 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07198 Figura 7.3. Parmetros habituales en la definicin de una cuenta de usuario en Windows. Figura 7.4. Parmetros habituales en la definicin de una cuenta de usuario en un gestor de usuarios con interfaz KDE en Linux. 8. D. Cuentas de grupo Para facilitar las tareas de administracin de red, el uso de los servicios o recursos y organizar coherentemente el acceso a la red, existen en los sistemas operativos de red otras entidades de administracin denominadas cuentas de grupo o simplemente grupos. Una cuenta de grupo es una coleccin de cuentas de usuario. Al conceder a un usuario la pertenencia a un grupo se le asignan automticamente todas las propie- dades, derechos, caractersticas, permisos y privilegios de ese grupo. En este sentido, las cuentas de grupo pro- porcionan una forma sencilla de configurar los servicios de red para un conjunto de usuarios de caractersticas similares. Los NOS tienen unos grupos predefinidos que ayudan a la administracin de la red segn las necesidades ms comu- nes que se suelen presentar: administradores, operadores de copia, operadores de cuentas, operadores de impresin, usuarios avanzados, usuarios comunes, etctera. 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07199 Dependiendo del sistema operativo de red, las marcas asociadas al objeto de red varan, aunque en general podemos encontrar las de lectura, escritura, ejecucin, borrado, privilegio de cambio de permisos, etctera. En redes en las que hay que hacer coexistir sistemas operativos de red de distintos fabricantes, hay que determinar los permisos para cada uno de ellos. A veces los permisos de un tipo de sistema son trasladables fcilmente a otros sistemas, aunque normalmente no coinciden con exactitud. Por ejemplo, en los sistemas de Apple hay tres permisos posibles: ver archivos, ver carpetas y hacer cambios (Figura 7.5, abajo a la dere- cha). Sin embargo en Windows NT aparecen nuevos permisos: lectura, escritura, borrado, ejecucin, cambio de per- miso y toma de posesin. Windows 2000 complica extraordinariamente su sistema de permisos cuando las particiones de disco son NTFS, aunque mantiene com- patibilidad con particiones FAT, que carece totalmente de permisos. Figura 7.5. Configuracin de privilegios sobre ficheros en distintos sistemas operativos de red. 9. E. Perfiles de usuario En ocasiones interesa que el usuario pueda presentarse en ms de una estacin de trabajo y que esa conexin sea independiente del lugar, haciendo transparente el trabajo en una u otra estacin. Adems, puede interesar al administrador tener la posi- bilidad de forzar el uso de determinados programas o restringir los cambios en la apariencia del interfaz gr- fico a ciertos grupos de usuarios. De este modo, los NOS incorporan utilidades que asocian a cada cuenta de usuario o grupo un perfil concreto. En Novell el login script general, es decir, el conjunto de rdenes que se ejecutan automticamente en la presen- tacin, permite asignar los parmetros de inicio que ten- dr el usuario. Adems de este login general, cada usua- rio tiene un login script propio con el fin de personalizar a su medida el comienzo de la sesin. Las ltimas versiones del NOS de Novell incorporan un sistema de administracin de red orientado a objetos: todos los elementos de la red se tratan como obje- tos. Los perfiles de usuario son un objeto ms. Un objeto-perfil es un login script que se ejecuta entre el login script general del sistema y el del usuario. Este sistema de administracin se llama NDS (Novell Directory System). Windows tiene su equivalente en su Directorio Activo. En otros NOS se pueden encontrar herramientas especia- lizadas en la construccin de perfiles. En Windows, los perfiles contienen todas las preferencias y opciones de configuracin para cada usuario: una instantnea del escritorio, las conexiones de red permanentes, las impre- soras a las que se tendr acceso, etctera. Los perfiles de usuario pueden estar asociados a una estacin de red concreta o bien pueden ser depositados en un servidor de red, de modo que cuando un usuario se presenta, se le asocie el perfil de su propiedad inde- pendientemente de la estacin por la que acceda a la red: son perfiles mviles. En sistemas operativos que soportan otros interfaces grficos como X-Windows para UNIX, OpenVMS, etc., tambin son posibles las configuraciones de perfiles, aunque son mucho ms simples que las de los sistemas basados en Windows o Macintosh. Sin embargo, el sistema de cuentas y de comandos de inicio (login de presentacin) es ms flexible, es decir, permite al administrador un mayor control sobre los usuarios. En Windows integrado con su Directorio Activo es posi- ble configurar las cuentas de los usuarios de modo que cuando alguien se presente al sistema desde distintos puntos, incluso remotos, esto se haga de modo que al usuario le sigan tanto su escritorio como sus datos, e incluso, sus aplicaciones (tecnologa IntelliMirror). F. Sistemas globales de acceso El crecimiento de las redes (en cuanto al nmero de nodos se refiere) y su organizacin en grupos de tra- bajo (subredes, dominios, etc.), as como la integra- cin de NOS de distintos fabricantes, ha llevado a dise- ar un sistema de presentacin de los usuarios ms globalizador. De este modo, el usuario no tiene que presentarse en mltiples sistemas; basta con que se presente en uno de ellos y la red se encarga de facilitarle el acceso a todos los servicios y sistemas de la red en los que tiene dere- cho de modo automtico. En algunos NOS, como en Windows, se establecen unas relaciones de confianza entre los distintos grupos de red. En las organizaciones en las que el nmero de nodos es elevado, conviene ordenar todo el conjunto de la red en grupos o dominios. El sistema de cuentas es propio de cada grupo o dominio. Una relacin de confianza es un vnculo entre grupos o dominios que facilita la utilizacin de recursos de ambos grupos o dominios, dando lugar a una nica unidad administrativa de gestin de red. Con el fin de optimizar la organizacin de la red, es con- veniente establecer un dominio maestro centralizador de todas las cuentas de la organizacin y crear una serie de dominios poseedores de recursos sobre los que esta- blecer las relaciones de confianza necesarias para su uti- lizacin. En la configuracin del sistema habr que indicar el modo en que se transmitirn las contraseas de los usua- rios, que son informaciones extraordinariamente sensi- bles y delicadas. Hay varios mecanismos para realizar este procedimiento, que abarcan desde enviar las contraseas por la red tal y como son escritas por el usuario, sin ningn tipo de proteccin, hasta la utilizacin de los ms sofisticados sistemas de encriptacin, utilizando procedimientos de interrogacin y respuesta o servidores de autenticacin basados en polticas de certificaciones digitales, como el sistema Kerberos, utilizado por muchos sistemas UNIX y Windows. 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07200 10. G. Un ejemplo: el Directorio Activo de Microsoft El Directorio Activo, como su nombre indica, es un ser- vicio de directorio propietario de Microsoft que consiste en una gran base de datos jerrquica (vase Figura 7.6) que organiza todos los objetos necesarios para adminis- trar un sistema Windows en red: usuarios, equipos, datos, aplicaciones, etctera. Las principales caractersticas del Directorio Activo (DA) son: El DA proporciona toda la informacin necesaria sobre directivas de seguridad y las cuentas de acceso al sistema de cada usuario o grupos de ellos. Permite la delegacin de la administracin, es decir, el administrador puede delegar parte de su trabajo en otras cuentas en las que confa. Gestiona un sistema de nombres articulado y jerar- quizado en mltiples niveles agrupando todas las cuentas en unidades organizativas, que se conver- tirn en unidades especficas de administracin. Las relaciones de confianza establecidas entre dos dominios cualesquiera del DA son transitivas. Todos los servidores que son controladores de domi- nio en la misma red de un DA estn permanente- mente sincronizados, por lo que es fcil la confec- cin de configuraciones de seguridad. El esquema de objetos utilizados por el DA es exten- sible, es decir, se puede personalizar para que incluya cualquier tipo de informacin til al admi- nistrador del sistema. Lleva un servidor DDNS (Dynamic DNS) integrado en el propio DA, lo que le convierte en un servicio extraordinariamente flexible. Todas las tareas del DA se pueden automatizar a tra- vs de scripts o mediante aplicaciones con lenguajes de programacin tradicionales orientados a objetos. Se permite una gestin basada en polticas o directi- vas aplicables a las unidades organizativas accesibles mediante consolas de administracin (Figura 7.7). 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07201 Figura 7.6. Modelos de estructuras de dominios en un Directorio Activo de Microsoft. Figura 7.7. Consola de administracin de directivas para un dominio de un Directorio Activo Windows. 11. 7. Administracin y gestin de una red de rea local 7.3 El sistema de acceso a la red 07202 a) Despus de familiarizarte con las utilidades de administracin de usuarios y grupos, crea un sistema de cuentas para un sistema Linux. Prueba las distintas cuentas. Escribe una gua de operacin bsica de gestin de usuarios para administradores de sistemas Linux. b) Realiza esta misma operacin sobre sistemas Windows en dos con- figuraciones: sobre clientes independientes de un dominio y sobre un servidor controlador de dominio en un Directorio Activo. El administrador de usuarios en Linux Linux aporta varias herramientas para la gestin de usuarios y grupos. Es muy importante que la administracin de usuarios est bien dise- ada, especialmente si debe habilitarse posteriormente un buen sistema de permisos de acceso a ficheros, servicios y aplicaciones. La instalacin del sistema operativo crea automticamente la cuenta del administrador del sistema, que es llamada root. La clave de acceso de esta cuenta es generada en tiempo de instalacin. Adems, Linux crea algunas cuentas y grupos ms en tiempo de instalacin. Sin embargo, toda la gestin de usuarios debe hacerse posterior- mente. Materiales necesarios Un PC con Linux instalado. Acceso a la cuenta root de administrador en Linux o similar. Documentacin: manual de instalacin de Linux y la utilidad man del propio Linux. Operativa Linuxconf es una utilidad general para la configuracin del sistema ope- rativo. Uno de los elementos que puede gestionar son los usuarios y grupos. Tambin se pueden utilizar otras herramientas como el gestor de usuarios. El gestor de usuarios de Linux es la herramienta por exce- lencia y especfica para la gestin de usuarios y grupos. Es una herra- mienta de aspecto similar al gestor de usuarios en Windows. Las anteriores herramientas funcionan en un entorno grfico X-Windows o similar en Linux. No obstante, este sistema operativo, como cualquier sis- tema UNIX, permite la gestin de usuarios y grupos desde la lnea de comandos. Para ello se pueden utilizar comandos como /usr/sbin/ addu- ser que gestionan los ficheros de cuentas y claves de acceso, que son: /etc/passwd (fichero de cuentas y claves de acceso). /etc/group (fichero de grupos). /etc/shadow (fichero de claves de acceso, si hemos elegido la opcin shadow passwords en tiempo de instalacin). El aspecto de estos ficheros es el siguiente: 1 Ejercicio Tabla 7.1. Aspecto de los ficheros /etc/passwd y /etc/group. /etc/pwawd root:/wbUU5z9dJjlo:0:0:root:/root:/bin/bash uucp:*:10:14:uucp:/var/spool/uucp: bin:*:1:1:bin:/bin: operator:*:11:0:operator:/root: daemon:*:2:2:daemon:/sbin: games:*:12:100:games:/usr/games: adm:*:3:4:adm:/var/adm: gopher:*:13:30:gopher:/usr/lib/gopher-data: lp:*:4:7:lp:/var/spool/lpd: ftp:*:14:50:FTP User:/home/ftp: sync:*:5:0:sync:/sbin:/bin/sync nobody:*:99:99:Nobody:/: shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown postgres:!!:100:233:PostgreSQL Server:/var/lib/pgsql:/bin/bash halt:*:7:0:halt:/sbin:/sbin/halt xfs:!!:101:234:X Font Server:/etc/X11/fs:/bin/false mail:*:8:12:mail:/var/spool/mail: gdm:!!:42:42::/home/gdm:/bin/bash news:*:9:13:news:/var/spool/news: /etc/group root::0:root mail::12:mail console:x:101: bin::1:root,bin,daemon news::13:news utmp:x:102: daemon::2:root,bin,daemon uucp::14:uucp pppusers:x:230: sys::3:root,bin,adm man::15: popusers:x:231: adm::4:root,adm,daemon games::20: slipusers:x:232: tty::5: gopher::30: postgres:x:233: disk::6:root dip::40: slocate:x:21: lp::7:daemon,lp ftp::50: xfs:x:234: mem::8: nobody::99: gdm:x:42: kmem::9: users::100: Usuarios:*:501: wheel::10:root floppy:x:19: 12. Una vez cubierta la fase de acceso a la red, cada usuario podr utilizar los servicios a los que tenga derecho de acceso. Sin embargo, una consideracin previa del admi- nistrador debe ser el modo de disponer los servicios. Una buena eleccin en el diseo de estos servicios propor- cionar un mayor rendimiento de la red. A continuacin estudiaremos los parmetros que hay que tener en cuenta para conseguir mayor eficacia en los ser- vicios de red. Para la utilizacin pblica de los servicios de red, el administrador debe publicarlos en un servicio de direc- torio. El servicio ms bsico es NetBIOS, pero se pueden sofisticar con la tecnologa de servicios de directorio ms complejos, como NDS o Directorio Activo. A. Gestin de los discos En el caso de los servidores de ficheros es importante la configuracin de los discos duros; en ellos reside la informacin centralizada, tanto del NOS como de los datos de los usuarios. Por tanto, la correcta eleccin del sistema de discos influir positivamente en la velocidad y en la seguridad del sistema. En el caso de servidores interesan interfaces rpidos, por ejemplo, discos SCSI, especialmente las ltimas versiones de esta tecnologa (Ultra/Wide SCSI). En las estaciones de trabajo basta con interfaces IDE o simi- lares. Otros sistemas de red tienen interfaces propie- tarios para conectar sus discos. Especial importancia cobra la conexin Fibre Channel para la conexin de discos con unas especificaciones de velocidad extre- mas. Fibre Channel es la tecnologa tradicionalmente utili- zada para la creacin de redes SAN (Storage Area Net- work, red de rea de almacenamiento), que sern estu- diadas ms adelante. No obstante, por la importancia que reviste este estndar en la arquitectura de comuni- caciones de los sistemas, asimilaremos aqu algunas de sus caractersticas. La tendencia actual de los sistemas de almacenamiento se dirige a hacer transparente a los usuarios el lugar y modo en que residen los datos en el sistema, por ello se puede hablar de una autntica virtualizacin del alma- cenamiento, que no es ms que un sistema que permite generar y administrar volmenes virtuales (lgicamente simulados) a partir de volmenes fsicos en disco. A tra- vs de este mecanismo se logran eliminar las rgidas caractersticas de los volmenes, dado que los objetos o volmenes virtuales (lgicos) son ms flexibles y mane- jables. Un volumen virtual puede crecer o disminuir su tamao sin afectar la informacin que contiene. Tanto para el usuario como para las aplicaciones, un disco vir- tual tiene el mismo aspecto que un disco fsico. Para el administrador del sistema, los discos virtuales pueden reasignarse sin esfuerzo y sin realizar modificaciones fsicas en el hardware ni interrumpir las aplicaciones en ejecucin. Adicionalmente, un sistema de virtualizacin significa una sencillez en la administracin del almace- namiento. Estndar Fibre Channel Fibre Channel naci en 1988 como una tecnologa de interconexin de banda ancha, aunque los primeros pro- ductos comerciales no aparecieron hasta 1994. Este estndar consta de un conjunto de normas desarrolladas por ANSI que definen nuevos protocolos para alcanzar transferencias de datos de gran volumen y de muy alto rendimiento. Su mbito de utilizacin es muy variado, pero funda- mentalmente se est utilizando en las comunicaciones de alta velocidad por red y en el acceso a los medios masivos de almacenamiento. Se puede aplicar, por tanto, a redes locales, redes de campus, conjuntos asociados de ordenadores (clusters), etc. La distancia mxima permi- tida por esta tecnologa es de 10 Km. 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 7.4 Gestin de los servicios 07203 Sobre un sistema Windows, en un volumen del disco duro que no sea el del sis- tema, crea un conjunto de particiones y formatalas en distintos formatos: FAT y NTFS. Una vez creadas, arranca el PC con un disquete botable DOS y comprueba que slo se pueden ver las particiones FAT, al ser DOS incompatible con sistemas de ficheros NTFS. Utiliza el administrador de discos del sistema para probar varias configuraciones con los discos de que se dispongan. Tomando un sistema Linux, instlale un disco duro nuevo. Prueba las utilidades de creacin de particiones y formatea las particiones creadas. Realiza particiones de dife- rente naturaleza: FAT, ext2, etc. Monta los nuevos volmenes y prueba su funciona- miento. Crea una impresora en Windows y Linux para su conexin al puerto paralelo o USB. Aade permisos para que pueda imprimir algn usuario y realiza pruebas de impresin. Cambia algunas propiedades de la impresora y prueba los cambios. Realiza una gua de operacin. 1 Actividad 13. El estndar Fibre Channel es capaz de transportar los protocolos SCSI, IP, IPI (Intelligent Peripheral Interface), HIPPI (High Performance Parallel Interface), los proto- colos IEEE 802 e incluso ATM. Actualmente se encuen- tran en el mercado suficiente nmero de productos como para poder construir sistemas de comunicacin comple- tos: hubs, switches, sistemas, adaptadores y sistemas de almacenamiento. Originalmente, Fibre Channel se implement sobre fibra ptica, por eso inicialmente se llam Fiber Channel. Pos- teriormente se introdujo tambin el cable de cobre y cambi su terminologa inglesa Fiber por la francesa Fibre, en un intento de desligar la tecnologa a la fibra ptica con exclusividad. En las instalaciones reales, se suelen utilizar tpicamente distancias de 20 m para seg- mentos de cobre y hasta 500 m para segmentos sobre fibra. Con Fibre Channel son posibles tres topologas de red distintas: Punto a punto. Se utiliza para conectar dos dispo- sitivos, tpicamente un ordenador a un perifrico o dos ordenadores entre s. Bucle o Arbitrated Loop. Permite la conexin de hasta 126 dispositivos en bucle cerrado. Fabric. Permite la interconexin de los dispositivos con un comportamiento orientado a la conexin, similar al de una red telefnica convencional. La red de comunicaciones y la red de datos Es frecuente que el volumen de datos a los que se tenga que acceder por una red sea inmenso. En estas situacio- nes, mover los datos por la red origina fuertes cuellos de botella que hacen que se tengan que modificar las arqui- tecturas de red para dar respuesta a estas especificacio- nes tan exigentes, por encima de tecnologas como Gigabit Ethernet o ATM. Tradicionalmente, el mercado de tecnologas de almace- namiento ha dado varias soluciones que se relacionan a su vez con sendas arquitecturas: Almacenamiento de conexin directa (Direct Atta- ched Storage, DAS). Cada estacin de red tiene sus discos y los sirve a la red a travs de su interfaz de red. DAS es la solucin de almacenamiento natural de cualquier ordenador. Almacenamiento centralizado (Centralized sto- rage). Varios servidores o estaciones pueden com- partir discos fsicamente ligados entre s. Almacenamiento de conexin a red (Network atta- ched storage, NAS). Los discos estn conectados a la red y las estaciones o servidores utilizan la red para acceder a ellos. Con servidores NAS la red de rea local hace crecer su capacidad de almacena- miento de una forma fcil y rpida sin necesidad de interrumpir su funcionamiento y a un menor coste que si se adquiere un servidor de archivos tradicio- nal DAS (vase Figura 7.8). Redes de rea de almacenamiento (Storage area network, SAN). SAN es una arquitectura de almace- namiento en red de alta velocidad y gran ancho de banda, creada para aliviar los problemas surgidos por el crecimiento del nmero de los servidores y los datos que contienen en las redes modernas. SAN sigue una arquitectura en la que se diferencian y separan dos redes: la red de rea local tradicional y la red de acceso a datos. Hay, por tanto, dos redes: un backbone de transmisin de mensajes entre nodos y una estructura de switches de canal de fibra (duplicados por seguridad) y de muy alto rendimiento que conecta todos los medios de alma- cenamiento. Los entornos en que est indicada una solucin SAN son aqullos en que los backups son crticos, en los clusters de alta disponibilidad, en las aplicaciones con bases de datos de gran volu- men, etc. Los equipos SAN ms modernos pueden alcanzar velocidades de transmisin de datos desde los discos de varios Gbps (vase Figura 7.8). 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 07204 Figura 7.8. Modelo de almacenamiento NAS (a la izquierda) y SAN (a la derecha). Servidor NAS Servidor Switch Fibre Channel Servidores Disco LAN Disco Red de almacenamiento SAN 14. Los switches de una red SAN suelen utilizar la tecnolo- ga Fibre Channel y frecuentemente estn duplicados para garantizar el servicio. Como veamos, estn apare- ciendo otras tecnologas que no siguen este estndar, por ejemplo, la tecnologa iSCSI, que utiliza protocolos TCP/IP para transportar por la red comandos propios de la tecnologa SCSI. B. Gestin deimpresoras No todos los usuarios de una red tienen a su disposicin dispositivos de impresin en sus ordenadores locales. Las redes ofrecen la posibilidad de compartir estos dis- positivos, de modo que las inversiones sean ms asequi- bles. Las redes de rea local permiten a los clientes la conexin a las impresoras disponibles en toda la red y a las que tengan derecho de acceso. Incluso es posible la conexin a impresoras que estn conectadas a redes de otros fabricantes. Por ejemplo, desde una estacin Win- dows se puede imprimir en una impresora conectada al puerto paralelo de un servidor NetWare. La labor del administrador de red se simplifica cuando el sistema de impresoras est centralizado en los servido- res, ya que tendr un mayor control sobre los recursos de impresin. El administrador puede controlar los servido- res de impresin, las impresoras remotas, las colas de impresoras, etctera. Existen servidores de impresin expresamente dedicados a este tipo de tareas, gestionando todas las tareas de impresin con arreglo a unos parmetros concretos: velocidad de impresin, calidad de impresin, privile- gios, prioridades, costes, etc. Otras configuraciones, ms comunes, para los servidores no dedicados se limitan a servir las impresoras que se les conectan a sus puertos de comunicaciones. Conceptos relativos al sistema deimpresin de red Describiremos aqu los trminos y conceptos ms utiliza- dos para la descripcin de un sistema de impresin en red: Dispositivo de impresin. Son los dispositivos fsi- cos (hardware) que son capaces de producir un docu- mento impreso. Son dispositivos de impresin las impresoras de papel, las filmadoras de pelcula foto- grfica, los plotters o trazadores grficos, etctera. Impresoras lgicas. Son los dispositivos lgicos (software) que nos proporciona el NOS y que conec- tan con el dispositivo de impresin a travs de un puerto de comunicaciones. Controlador de impresora. Es un programa que convierte el documento electrnico de su formato original a un formato legible por el dispositivo de impresin. Existen varios lenguajes descriptores de pginas (PDL) legibles por los dispositivos de impresin como PCL de Hewlett-Packard, PostScript de Adobe, Interpress de Xerox, etctera. Cola de impresora. Es un sistema gestor de los documentos que permanecen a la espera para ser impresos. En algunos sistemas operativos de red, las colas de impresora coinciden con las impresoras lgicas, siendo aqullas una caracterstica tcnica ms de stas. Administrador de trabajos en espera o spooler. Es un sistema que gestiona las colas de impresora, es decir, es el encargado de recibir trabajos, distribuir- los entre las impresoras, descargarlos de la cola una vez impresos, avisar de la finalizacin de la impre- sin, informar de posibles errores, etctera. Para conseguir un rendimiento elevado y equilibrado de los dispositivos de impresin, estos parmetros deben estar correctamente configurados en el NOS (Figura 7.9). Como con cualquier otro recurso de red, tambin aqu son aplicables los permisos de uso y su administracin remota. Para ello, es recomendable la utilizacin de los documen- tos de ayuda que proporciona el fabricante del NOS. 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 07205 Figura 7.9. Entorno de impresoras en Windows: arriba, conexin a una impresora de red; abajo, admi- nistrador de impresoras desde donde se dispara el asistente de conexin; a la derecha, ficha de propie- dades de la impresora. 15. Diseo del sistema deimpresin Un buen diseo del sistema de impresin redunda en una mayor eficacia del sistema, as como en un abaratamiento de los costes de instalacin, al poder reducir el nme- ro de impresoras sin perder funcionalidad. Articularemos el diseo del sistema de impresin en diversas fases: a) Eleccin de los dispositivos de impresin. Deben ser elegidos de acuerdo con las necesidades de los usuarios. Es til considerar los siguientes elementos antes de tomar las decisiones de instalacin: Pocos dispositivos de impresin de alto rendi- miento frente a muchos dispositivos de ren- dimiento moderado. Nmero de pginas totales que se van a impri- mir y velocidad de impresin de las mismas. Calidad de impresin, eleccin de color o blanco y negro, tamao de la pgina impresa, etctera. Conectividad del dispositivo de impresin. Impresoras conectadas a un puerto paralelo o USB de un servidor, impresoras conectadas directamente a la red, etctera. Tecnologa de impresin. Las impresoras pueden ser matriciales, lser, de inyeccin de tinta, de sublimacin, etctera. Protocolos de comunicacin. En el caso de las impresoras de red, hay que tener en cuenta el protocolo que utiliza para que los clientes rea- licen la conexin con la impresora. Costes de los equipamientos de impresin y de sus consumibles, costes por pgina impresa, etctera. b) Asignacin de las impresoras a los equipos. Seguidamente, hemos de distribuir las impresoras por toda la red teniendo en cuenta las caracters- ticas de los equipos. Se puede considerar lo si- guiente: El proceso de impresin consume muchos recur- sos de CPU; por tanto, las impresoras servidas a la red deben residir en mquinas con suficiente potencia si se prev que la impresin va a ser frecuente. Adems, normalmente, cada trabajo por impri- mir debe almacenarse en el disco duro del servidor de la impresora, con lo que debemos asegurarnos que tendr suficiente espacio libre. Las impresoras deben estar geogrficamente dis- tribuidas por toda la organizacin de acuerdo con unos criterios. Hay empresas que prefieren centralizar todas las impresoras con el fin de evitar ruidos, especialmente en el caso de im- presoras matriciales o de lnea, mientras que otras prefieren una distribucin por departa- mentos o, incluso, la asignacin de una impre- sora por cada usuario. c) Acceso a las impresoras. Para definir el acceso a las impresoras, hemos de considerar dos partes bien diferenciadas: La asignacin de impresoras lgicas a dispositi- vos de impresin. Pueden darse los casos de una a uno, una a varios y varias a uno. Todos los sis- temas admiten la asignacin uno a uno. El resto de asignaciones son posibles en funcin de los sistemas operativos: frecuentemente es necesa- rio instalar software de terceras partes. La asignacin de los derechos de acceso para cada usuario o para cada grupo (Figura 7.10). Algunos NOS disponen de herramientas de administra- cin para lograr que las impresoras disparen trabajos en determinadas circunstancias. Por ejemplo, a partir de cierta hora nocturna, una impresora matricial inicia la impresin de unos recibos que han sido confeccionados y enviados a la impresora durante el da. Del mismo modo, se pueden asignar prioridades a los diferentes trabajos, de modo que se altere el orden en que los trabajos sern seleccionados por el spooler para ser impresos. Adems, cuando una cola atiende a varios dispositivos de impresin, el primero que quede libre recibir el siguiente de entre todos los trabajos pen- dientes en esa cola. 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 07206 Figura 7.10. Asignacin de permisos para un recurso de impresin. 16. Creacin de unaimpresora lgica El proceso de creacin de una impresora lgica suele ser un procedimiento asistido por el NOS, que facilita la tarea del administrador (Figuras 7.9 y 7.10). En general se puede dividir en tres fases: Seleccin de la impresora y del software contro- lador. En esta primera fase se le indica al NOS qu tipo de impresora queremos instalar, as como cul ser el controlador que debe utilizar para la gestin de la impresora. Cada NOS admite una amplia varie- dad de impresoras, que adems se actualizan fre- cuentemente. No obstante, si la impresora es posterior a la fecha de fabricacin del NOS, es posible que el fabrican- te de la impresora tenga que suministrarnos un dis- quete o CD-ROM con el software controlador propio del sistema operativo sobre el que pretendemos rea- lizar la instalacin. Conviene pasarse peridicamente por las sedes web de los fabricantes del hardware de que disponemos por si han liberado nuevas versiones de los drivers con errores corregidos, mejores prestaciones o mayor funcionalidad. Establecimiento del nombre de la impresora. Con- siste en la asignacin de un nombre que identificar unvocamente a la impresora. En algunos NOS, tam- bin se proporcionan otros datos informativos como la situacin geogrfica en donde se ubicar el dispo- sitivo impresor, el nombre del propietario, etctera. Eleccin de los parmetros por defecto de la impresora (Figura 7.11). Aqu se especifica el ta- mao del papel, la resolucin, la conversin de color a gris, etctera. Impresoras IPP IPP o Internet Printing Protocol (Protocolo de Impresin Internet) es el modo de utilizar tecnologa web para transmitir los ficheros que se quiere imprimir a una impresora compatible con esta tecnologa. IPP utiliza HTTP para realizar estas transmisiones, lo que la hace muy interesante ya que puede atravesar los cor- tafuegos con los que las organizaciones se protegen sin necesidad de abrir nuevos puertos de comunicacin que aumenten la superficie de exposicin a riesgos innece- sarios. En la parte izquierda de la Figura 7.12 pueden verse las propiedades del puerto de una impresora conectada a la red y compatible con IPP; en la parte derecha aparece una pgina web con la administracin de la impresora. 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 07207 Figura 7.12. Configuracin del puerto de una impresora IPP y pgina de administracin. Figura 7.11. Configuracin de una impresora de red instalada en un entorno Windows. 17. Windows incorpora IPP para que las impresoras defini- das en sus servidores puedan ser gestionadas a travs de IPP. Como el protocolo de transporte de informacin se basa en HTTP, es indispensable que el servidor tenga instalado IIS, el servidor web de Windows. Se puede acceder a las impresoras una vez instalados el compo- nente IPP y el servidor web a travs de la direccin http://nombre_servidor/printers (vase Figura 7.13). C. Configuracin del correo electrnico El correo electrnico es una de las aplicaciones de red ms utilizadas en las redes de rea local corporativas. Proporciona un medio de comunicacin eficaz y libre de errores entre los usuarios de la red y puede dejar cons- tancia escrita de los mensajes intercambiados. Una aplicacin completa de correo electrnico consta de un cliente y un servidor. El servidor gestiona los mensa- jes de modo que lleguen a sus destinatarios. Para ello, a veces ha de pasar los mensajes a los sistemas de correo de otras redes (relay o retransmisin de mensajes). Por ejemplo, si una corporacin tiene dos delegaciones situadas en distintas ciudades y quieren conectar sus sis- temas de mensajera electrnica, necesitarn un servi- dor de correo que se encargue de traspasar los mensajes en una y otra direccin, de modo que todos alcancen su destino. Adems, los servidores de correo contienen los buzones de sus usuarios, que almacenan sus mensajes en espera de ser ledos. El cliente de correo electrnico es el interfaz que permite a los usuarios la edicin, visualizacin y la impresin de mensajes, as como otras funciones propias de los siste- mas de correo. El administrador de red debe encargarse de la gestin de cuentas de correo, de situar la oficina de correos en un lugar accesible a todos los usuarios con derecho a correo y de velar por el correcto funcionamiento del servicio de correos. La operativa que permite enviar un mensaje de correo electrnico tiene los siguientes pasos: a) Se ejecuta la aplicacin cliente de correo electr- nico, presentndose en el sistema a travs de su nombre de usuario y su clave de acceso. b) Si en el momento de la presentacin hay correo en el buzn del usuario, el sistema le informa de la existencia de nuevos mensajes por si desea leerlos. c) Seguidamente, se redacta el mensaje que deseamos enviar. Algunos sistemas de correo permiten editar el texto utilizando procesadores de texto comunes en el mercado ofimtico. Tambin se permite la incorporacin de ficheros externos al mensaje en cualquier formato (ficheros adjuntos). d) A continuacin, se rellenan los parmetros de envo: nombre del destinatario, direccin del destinatario (si se encuentra en otra red), solicitud de acuse de recibo, prioridad del mensaje, etctera. 7. Administracin y gestin de una red de rea local 7.4 Gestin de los servicios 07208 Crea una impresora en Windows y Linux para su conexin al puerto paralelo o USB. Aade permisos para que pueda imprimir algn usuario y realiza pruebas de impre- sin. Cambia algunas propiedades de la impresora y prueba los cambios. Asigna permisos a los distintos usuarios de la impresora y verifica que su funciona- miento es correcto. Sirve la impresora a la red y comprueba que desde otros clientes que se puedan conec- tar a la impresora se puede imprimir por ella a travs de la red. Ahora, sobre el sistema Windows, instala el protocolo de impresin por Internet, es decir, el protocolo IPP. Comprueba que puedes gobernar la impresora desde el explo- rador de Internet mediante el protocolo IPP. 2 Figura 7.13. Configuracin desde Windows de una impresora gestionada va web. Actividad 18. La proteccin de la red comienza inmediatamente des- pus de la instalacin. Un sistema que cubra muchas necesidades, antes de pasar al rgimen de explotacin debe ser muy seguro, ya que es una herramienta de la que depende el trabajo de muchas personas. La seguridad ocupa gran parte del tiempo y esfuerzo de los administradores. Lo habitual es que antes de hacer una instalacin de red, el administrador ya haya pensado en su seguridad. Hay que establecer unos mecanismos de seguridad con- tra los distintos riesgos que pudieran atacar al sistema de red. Analizaremos aqu los riesgos ms comunes. A. Proteccin elctrica Todos los dispositivos electrnicos de una red necesitan corriente elctrica para su funcionamiento. Los ordena- dores son dispositivos especialmente sensibles a pertur- baciones en la corriente elctrica. Cualquier estacin de trabajo puede sufrir estas perturbaciones y perjudicar al usuario conectado en ese momento en la estacin. Sin embargo, si el problema se produce en un servidor, el dao es mucho mayor, ya que est en juego el trabajo de toda o gran parte de una organizacin. Por tanto, los servidores debern estar especialmente protegidos de la problemtica generada por fallos en el suministro del fluido elctrico. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 7.5 Proteccin del sistema 07209 e) En la fase final se procede al envo del mensaje, dejando al sistema la responsabilidad de la entrega a su destinatario una vez lo haya convertido a un formato de envo adecuado. Adems, el sistema de correo permite otras operaciones bsicas sobre los mensajes recibidos: hacer copias en forma de ficheros independientes, responder al remitente, responder a todos los miembros de la oficina de correos, eliminar un mensaje, imprimirlo, almacenarlo en alguna carpeta pblica o privada, encriptarlo, certificarlo, etc. En el caso de que se disponga de un servidor de correo, la configuracin es ms compleja, pero mucho ms verstil. D. Configuracin del servicio de fax Algunos sistemas operativos permiten la conexin de un mdem/fax interno o externo que habilitan las conexio- nes de fax tanto en envo como en recepcin. La confi- guracin de un fax exige tres pasos: a) Preparacin del mdem/fax con los parmetros adecuados. Se debe configurar el mdem para ade- cuar la velocidad de transmisin y recepcin, el puerto serie o USB al que se conectar, etc. Normal- mente, esta configuracin se realiza a travs de comandos Hayes. En la actualidad casi todos los mdems analgicos (y tambin gran parte de los digi- tales a partir de la implantacin de RDSI) incorporan las normas fax, por lo que se les llama fax-mdem. b) Configuracin del software en el NOS. La mayor parte de las aplicaciones de fax configuran el soft- ware como si se tratara de una impresora ms que, en vez de imprimir en un papel, enva los datos a travs de una lnea de telfono. En recepcin, el fax recoge la informacin en un fichero grfico, que seremos capaces de visualizar por un monitor o de imprimir por una impresora. El software suele incor- porar utilidades para rotar la imagen, cortarla, aa- dir notas, etc. Para el usuario, el fax no es ms que una cola de impresora y su gestin es similar a la descrita para la gestin de estas colas. c) En una tercera fase, el sistema de fax se puede integrar dentro del sistema de mensajera elec- trnica de la red, por ejemplo, en un servidor de mail. Esta opcin se utiliza, sobre todo, para la recepcin centralizada de faxes, con el servidor como encargado de su distribucin a los destinata- rios apropiados. De este modo, los mensajes se reparten eficazmente entre los usuarios de la red, independientemente de que provengan de correo electrnico interno, correo de Internet o mensajes grficos en formato facsmil. Se empiezan a instalar sistemas en los que se integra la voz (telfono), el fax y el correo electrnico en un nico sistema de mensajera electrnico que contiene todas las pasarelas necesarias para que pueda haber intercomuni- cacin entre sistemas tan distintos: nos referimos a la convergencia de tecnologas de mensajera. Sobre un sistema Windows instala el servicio de comunicacin por fax. Observa- rs que si tienes definido un mdem-fax, el servicio de fax ver a ste como una impresora: cualquier documento que sea impreso por esa impresora lgica seguir el protocolo de comunicacin por fax. Prueba su funcionamiento. 3 Actividad 19. Algunos factores elctricos que influyen en el funciona- miento del sistema de red son los siguientes: Potencia elctrica en cada nodo, especialmente en los servidores, que son los que soportan ms dispo- sitivos, por ejemplo, discos. A un servidor que posea una fuente de alimentacin de 200 vatios no le podemos conectar discos y tarjetas que superen este consumo, o incluso que estn en el lmite. Hay que guardar un cierto margen de seguridad si no quere- mos que cualquier pequea fluctuacin de corriente afecte al sistema. Los grandes servidores corporati- vos suelen tener fuentes de alimentacin de mayor potencia con objeto de poder alimentar ms hard- ware y, adems, redundantes para evitar problemas en caso de fallos en la fuente. La corriente elctrica debe ser estable. Si la ins- talacin elctrica es defectuosa, deberemos instalar unos estabilizadores de corriente que aseguren los parmetros bsicos de la entrada de corriente en las fuentes de alimentacin de los equipos. Por ejem- plo, garantizando tensiones de 220 voltios y 50 Hz de frecuencia. El estabilizador evita los picos de corriente, especialmente los producidos en los arran- ques de la maquinaria. Correcta distribucin del fluido elctrico y equili- brio entre las fases de corriente. En primer lugar, no podemos conectar a un enchufe de corriente ms equipos de los que puede soportar. Encadenar ladro- nes de corriente en cascada no es una buena solu- cin. Adems, las tomas de tierra (referencia comn en toda comunicacin) deben ser lo mejores posibles. Si la instalacin es mediana o grande, deben insta- larse picas de tierra en varios lugares y asegurarse de que todas las tierras de la instalacin tienen valores similares. Una toma de tierra defectuosa es una gran fuente de problemas intermitentes para toda la red, adems de un importante riesgo para los equipos. Garantizar la continuidad de la corriente. Esto se consigue con un SAI (Sistema de Alimentacin Inin- terrumpida) o UPS. Normalmente, los sistemas de alimentacin ininterrum- pida corrigen todas las deficiencias de la corriente elc- trica: actan de estabilizadores, garantizan el fluido frente a cortes de corriente, proporcionan el flujo elc- trico adecuado, etctera. El SAI contiene en su interior unos acumuladores que se cargan en el rgimen normal de funcionamiento. En caso de corte de corriente, los acumuladores producen la energa elctrica que permite cerrar el sistema de red adecuadamente, guardar los datos que tuvieran abiertos las aplicaciones de los usuarios y cerrar ordenadamente los sistemas operativos. Si adems no queremos vernos obligados a parar nuestra actividad, hay que instalar grupos electrgenos u otros generadores de corriente conectados a nuestra red elc- trica. Bsicamente hay dos tipos de SAI: SAI de modo directo. La corriente elctrica ali- menta al SAI y ste suministra energa constan- temente al ordenador. Estos dispositivos realizan tambin la funcin de estabilizacin de corriente. SAI de modo reserva. La corriente se suministra al ordenador directamente. El SAI slo acta en caso de corte de corriente. Los servidores pueden comunicarse con un SAI a travs de alguno de sus puertos de comunicaciones, de modo que el SAI informa al servidor de las incidencias que observa en la corriente elctrica. En la Figura 7.14 se pueden observar algunos de los parmetros que se pueden configurar en un ordenador para el gobierno del SAI. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07210 Figura 7.14. Parmetros configurables en una estacin para el gobierno de un SAI. 20. Windows, por ejemplo, lleva ya preconfigurada una lista de SAI de los principales fabricantes con objeto de faci- litar lo ms posible la utilizacin de estos tiles dispo- sitivos. B. Proteccin contra virus Los virus informticos son programas o segmentos de cdigo maligno que se extienden (infeccin) por los ficheros, memoria y discos de los ordenadores produ- ciendo efectos no deseables y, en ocasiones, altamente dainos. Algunas empresas de software, especializadas en segu- ridad, han creado programas (antivirus) que detectan y limpian las infecciones virulentas. Si ya es importante que una estacin de trabajo aislada no se infecte con virus, mucho ms importante es evitar las infecciones en un servidor o en cualquier puesto de red, ya que al ser nodos de intercambio de datos, propa- garan extraordinariamente la infeccin por todos los puestos de la red. Es posible la instalacin de aplicaciones antivirus en los servidores, corriendo en background, que analizan cual- quier fichero que se deposita en el servidor. Esto ralentiza el servidor, puesto que consume parte de los recursos de procesamiento, pero eleva la seguridad. El auge de Internet y las aplicaciones instaladas en ella o que se pueden descargar desde servidores web ha pro- vocado una explosin de virus transmitidos a su travs: los virus ms comunes en la actualidad se transmiten dentro de los mismos mensajes de correo electrnico. Las compaas fabricantes de software antivirus han tenido que idear utilidades antivricas que chequean estos correos electrnicos y vigilar intensivamente cual- quier software que entre por las lneas de conexin a Internet. Los ms modernos antivirus pueden llegar a centralizar sus operaciones sobre una consola que vigila atenta- mente toda la red (Figura 7.15). Corresponde al administrador advertir de estos riesgos a los usuarios de la red, limitar los accesos a las aplica- ciones y a los datos que puedan portar virus e impedir la entrada de datos indeseados, por ejemplo, a travs de disquetes, CD-ROM o Internet. Debe planificar las copias de seguridad con la debida fre- cuencia para restituir el sistema en caso de desastre. C. Proteccin contra accesos indebidos Adems de las cuentas personalizadas de usuario, los NOS disponen de herramientas para limitar, impedir o frustrar conexiones indebidas a los recursos de la red. Para ello, se pueden realizar auditoras de los recursos y llevar un registro de los accesos a cada uno de ellos. Si un usuario utilizara algn recurso al que no tiene derecho, seramos capaces de detectarlo o, al menos, de registrar el evento. Conviene realizar un plan de auditoras en que se dise- en los sucesos que sern auditados. Las auditoras se pueden realizar sobre conexiones, accesos, utilizacin de dispositivos de impresin, uso de ficheros o aplica- ciones concretas, etctera. El auditor genera un registro de accesos que puede ser consultado por el administra- dor de red en cualquier momento. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07211 Instala una aplicacin antivirus que puedes descargar de Internet en una esta- cin cliente. Verifica la limpieza del sistema en que se ha instalado. Seguidamente, descarga de Internet la versin de servidor de un antivirus y prueba a hacer una instalacin en red. Para realizar esto debers seguir las instrucciones del fabricante. Desde la consola de administracin, ensaya la instalacin del antivirus de cliente desde un punto central hasta el resto de las estaciones de la red. 4 Figura 7.15. Consola de administracin centralizada para toda una red de un conocido antivirus sobre Windows. Actividad 21. Adems, es posible definir el disparo de alarmas que avi- sen de que ciertos eventos han ocurrido en la red, utili- zando el sistema de mensajera electrnica del NOS (Figura 7.16). Tambin es posible visualizar el estado de las conexio- nes y accesos al servidor: observar la correccin de su utilizacin, detener conexiones, estadsticas de utiliza- cin, etctera. Cada conexin al servidor consume recursos del servidor, normalmente CPU y memoria. Por tanto, es aconsejable limitar el nmero mximo de conexiones que se permiti- rn en cada recurso, teniendo en cuenta las necesidades de los usuarios y el rendimiento del sistema. Hay programas cuyo propsito es la captura del nombre y la contrasea de los usuarios de la red o hacerse con informacin privilegiada para su posterior uso ilegal. Estos programas pertenecen al grupo de los denomina- dos caballos de Troya. Los sistemas deben estar prote- gidos contra estos programas. Ante la abundancia de redes de organizaciones que se conectan a otras redes WAN, se deben instalar unos dis- positivos denominados cortafuegos, que limitan los accesos de usuarios externos a la propia LAN. En la Uni- dad 9 se estudiarn con mayor profundidad estos dispo- sitivos de red. D. Proteccin de los datos El software ms importante en las estaciones de traba- jo de cualquier organizacin est representado por los datos de usuario, ya que cualquier aplicacin puede ser reinstalada de nuevo en caso de problemas; los datos, no. La duplicacin de los datos El modo ms seguro de proteger los datos ante cualquier tipo de problemas es duplicarlos. Se puede tener un doble sistema de almacenamiento en disco, pero esto genera nuevos problemas, entre los que destacamos: Cuando se tiene informacin duplicada es difcil determinar cul de las copias es la correcta. La duplicacin de informacin requiere la inversin de ms recursos econmicos, al ocupar ms espacio en los dispositivos de almacenamiento. Copias de seguridad La copia de seguridad o backup es una duplicacin controlada de los datos o aplicaciones de los usuarios. Se realiza a travs de utilidades propias de los sistemas operativos y del hardware apropiado. Cabe la posibilidad de que las unidades de backup estn centralizadas en los servidores, de modo que con pocas unidades se puedan realizar las copias de todo el sistema. El software de las utilidades de backup puede automati- zarse para que las copias se realicen automticamente en periodos apropiados, por ejemplo, por la noche, salvando los datos que hayan sido modificados durante el da. Los medios fsicos ms comunes para realizar este tipo de volcado son la cinta magntica y el CD o DVD regraba- bles. La relacin capacidad/coste es mayor que en el caso de discos duplicados. Las desventajas residen en que la lectura de los datos de un backup no es directa por las aplicaciones y requieren un volcado inverso (de cinta a disco) previo. Ejemplos de cintas utilizadas para backup son las DLT, QIC, DAT, streamers, etc. Algunas de ellas pueden alcan- zar una gran capacidad utilizando sofisticadas tcnicas de compresin de datos, por encima de los 100 Gbytes. En la operacin de backup tambin se pueden utilizar discos, normalmente removibles, e incluso CD o DVD grabables. En cualquier caso, siempre hay que exigir que el dispo- sitivo de backup tenga capacidad para almacenar los datos que haya que guardar, lo que normalmente exigir que el sistema pueda generar mltiples volmenes en un nico backup. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07212 Define en un sistema un conjunto de alertas y auditoras que dejen un rastro claro de la actividad del sistema o de los accesos de los usuarios. Deja el sistema fun- cionando durante un tiempo provocando accesos no autorizados y vuelve ms tarde a observar los ficheros de registro de actividad. Extrae las conclusiones per- tinentes y propn soluciones contra los accesos indebidos. 5 Figura 7.16. Visor de sucesos de Windows. Actividad 22. Se pueden establecer distintos tipos de copias de segu- ridad, destacamos aqu dos de ellas: Backup normal. Es una copia de los archivos selec- cionados sin ninguna restriccin, posiblemente directorios completos y sus subdirectorios. Backup progresivo, diferencial o incremental. En este caso, la copia slo se realiza sobre los ficheros seleccionados que hayan sido modificados o creados despus del anterior backup. Las copias de seguridad realizadas sobre cualquier sis- tema deben estar perfectamente etiquetadas y docu- mentadas con el fin de garantizar que la recuperacin de ficheros, en caso de problemas, sea de la copia correcta (Figura 7.17). Sistemas tolerantes a errores Un sistema tolerante a errores es aqul que est capaci- tado para seguir operando aunque se presenten fallos en alguno de sus componentes. La tolerancia a fallos est diseada para combatir fallos en perifricos, en el software de sistema operativo, en la alimentacin elctrica de los equipos, etctera. La tolerancia a fallos ms comn es la que consiste en duplicar los elementos del sistema, por ejemplo, que cada equipo posea dos fuentes de alimentacin: cuando falla una de ellas, automticamente se pone en funcio- namiento la segunda. En el caso de discos, el mtodo de redundancia ms senci- llo es la configuracin de discos espejo (mirror). Para ello, se duplican los discos, de modo que cualquier operacin de escritura sobre uno de los discos se duplica en el otro. En la lectura, cualquier disco puede proporcionar los datos solicitados, puesto que son iguales. Los sistemas operativos de red avanzados poseen soft- ware para la automatizacin de los procesos de toleran- cia a errores. En los sistemas actuales se proporcionan un conjunto de tecnologas que, en conjunto, contribuyen a crear siste- mas seguros, escalables y de alta disponibilidad. La exi- gencia de muchos sistemas es 24 x 7, es decir, 24 horas diarias y 7 das por semana. Se considera que un sistema es seguro si tiene una dis- ponibilidad superior al 99,99 %, es decir, un da de paro de sistema por cada 10 000 de utilizacin. Tecnologa RAID La tecnologa ms extendida para la duplicacin de dis- cos es la RAID (Redundant Array of Inexpensive Disks, serie redundante de discos econmicos), que ofrece una serie de niveles de seguridad o crecimiento de presta- ciones catalogados de 0 a 5, aunque algunos no se uti- lizan: RAID de nivel 0. Los datos se reparten entre varios discos mejorando las prestaciones del acceso a disco, aunque no se ofrece ningn tipo de redun- dancia. RAID de nivel 1. La redundancia de datos se obtiene almacenando copias exactas cada dos dis- cos, es decir, es el sistema de espejos al que nos hemos referido anteriormente. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07213 Figura 7.17. Utilidad para la copia de seguridad en Windows. Establece un directorio de datos como objetivo de un backup. Realiza una copia de seguridad del mismo. Ahora elimina el directorio copiado y restaura la infor- macin comprobando que la informacin restaurada es idntica a la que se salv. Ahora, segn vas cambiando algunos datos del directorio objetivo, ve haciendo bac- kups incrementales. Finalmente, restaura todos los backups y comprueba que la infor- macin restaurada es la correcta. Genera un automatismo para que se haga un backup del sistema a cierta hora y com- prueba que a la hora prevista se dispara el backup. 6 Actividad 23. RAID de nivel 2. No ha sido implementado comer- cialmente, pero se basa en la redundancia conse- guida con mltiples discos una vez que los datos se han dividido en el nivel de bit. RAID de nivel 3. Los datos se dividen en el nivel de byte. En una unidad separada se almacena la infor- macin de paridad. RAID de nivel 4. Es similar al nivel 3, pero divi- diendo los datos en bloques. RAID de nivel 5. Los datos se dividen en bloques repartindose la informacin de paridad de modo rotativo entre todos los discos. Por ejemplo, Windows NT, Windows 2000 y Windows 2003 soportan RAID 1 y RAID 5 en cualquiera de sus ver- siones servidoras. Microsoft denomina espejos o mirrors a RAID 1 y sistemas de bandas con paridad a RAID 5. En la Figura 7.18 hay un ejemplo de gestor de discos con RAID 1 en un sistema servidor Windows. Para establecer discos espejo (RAID 1) slo son necesa- rios dos discos, mientras que para la utilizacin de las bandas con paridad, el mnimo de discos es de tres. Todas las operaciones de gestin de discos se realizan desde el administrador de discos que se halla integrado en la consola de administracin local del equipo en el caso de Windows (Figura 7.18). Dispositivos extrables en caliente Llegar a estos niveles de disponibilidad en los sistemas no es nada sencillo; los ordenadores no son ms que mquinas electrnicas y, por tanto, estn expuestos a todo tipo de catstrofes. Algunas compaas han diseado componentes de orde- nadores que son intercambiables en caliente, es decir, sin apagar el ordenador. Esta caracterstica est muy extendida en los discos duros de un cierto nivel. De hecho, en general, los dis- cos en configuracin RAID suelen residir en torres de discos conectadas al procesador central o a la red a tra- vs de buses de comunicaciones muy rpidos, y suelen ser intercambiables en caliente. ltimamente, en servidores muy especializados, estn apareciendo tarjetas que tambin se pueden cambiar en caliente. El desarrollo de las tcnicas Plug & Play en los sistemas operativos, por ejemplo en Windows, hace que el sis- tema reconozca inmediatamente la nueva tarjeta y pro- siga su funcionamiento en pocos segundos. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07214 Figura 7.18. Gestor de discos en Windows Server con un volumen RAID 1. Sobre un servidor Windows (no funcionara sobre una versin cliente), instala dos dis- cos duros, en uno de los cuales instalars el sistema operativo. Una vez instalado, comprueba que el sistema ve los dos discos fsicos desde el administrador de discos de Windows. Ahora convierte en dinmicos los dos discos. Crea un espejo del disco de sis- tema en el segundo disco. Una vez terminada la operacin, comprueba que puedes arrancar un sis- tema idntico desde cualquiera de los dos discos. Posteriormente, estando el sistema en funciona- miento con el espejo correctamente realizado, apaga abruptamente el equipo desconectando la alimentacin. Vuelve a encender el equipo, pre- sntate en l y arranca el administrador de discos. Observars que el espejo se est reconstruyendo para garantizar la integridad de la informacin en los dos discos: el apagn no permiti la sin- cronizacin de datos y ahora el sistema pone en marcha mecanismos de reparacin. 7 Actividad 24. Configuraciones en cluster Para una instalacin, disponer de un nico servidor es un gran riesgo: el trabajo de una empresa se puede paralizar si su servidor corporativo falla. Los clusters de servidores vienen a solucionar, entre otros, este pro- blema. Un cluster es una asociacin de ordenadores que com- parten perifricos de almacenamiento y entre los que se establecen unas fuertes relaciones de cooperacin en el trabajo que realizan. As, si uno de los servidores del cluster deja de funcio- nar, otro miembro de ese cluster absorber su trabajo. El rendimiento del sistema se resentir de algn modo (se ha perdido un servidor), pero no se perder la funciona- lidad total del sistema. Entre los sistemas operativos de red capaces de organi- zarse en forma de clusters estn algunas versiones de UNIX, Windows NT Advanced Sever, Windows 2000 Advanced Server y Datacenter Server, y las versiones superiores de Windows 2003 Server. Plan de contingencias ante desastres Aunque se pongan todas las medidas imaginables, siem- pre puede darse una situacin no prevista en la que el sistema deje de funcionar. El tiempo de parada ser menor si est previsto (e incluso probado) con antelacin cmo hacer frente a cada avera concreta. El documento que recoge qu hacer en cada momento se denomina plan de contingencias. Es uno de los docu- mentos ms importantes que debe preparar el adminis- trador de red. El plan de contingencias es la mayor garanta de que no se dejar llevar por la precipitacin ante una situacin de desastre. E. La seguridad en la red Teniendo en cuenta que muchas redes se conectan a Internet a travs de dispositivos que las ocultan, la cifra de ordenadores que pueden volcar datos a Internet es gigantesca. Lo que a nosotros nos interesa ahora es que la inseguri- dad de nuestro sistema puede venir, entre otros facto- res, por cualquiera de esos nodos de la red. Pretendemos aqu dar, a modo de ejemplo, unos cuantos consejos tomados de publicaciones del sector que se deben tener en cuenta cuando se planifica la seguridad de la red de una corporacin: La seguridad y la complejidad suelen guardar una relacin de proporcionalidad inversa, es decir, a mayor seguridad, se simplifican los procedimientos, ya que la seguridad es limitadora de las posibilida- des. Adems, la educacin de los usuarios de la red debe ser lo ms intensa posible. La seguridad y la facilidad de uso suelen guardar fre- cuentemente una relacin de proporcionalidad inversa; por tanto, resulta conveniente concentrarse en reducir el riesgo, pero sin desperdiciar recursos intentando eliminarlo por completo, lo que es impo- sible. Un buen nivel de seguridad ahora es mejor que un nivel perfecto de seguridad nunca. Por ejemplo, se pueden detectar diez acciones por hacer; si de ellas lleva a cabo cuatro, el sistema ser ms seguro que si se espera a poder resolver las diez. Es mejor conocer los propios puntos dbiles y evitar riesgos imposibles de cuantificar. La seguridad es tan potente como su punto ms dbil, por lo que interesa centrarse en estos ltimos puntos. Lo mejor es concentrase en amenazas probables y conocidas. La seguridad no es un gasto para la empresa, sino que debe ser considerada como una inversin. Al plantearse el diseo de la seguridad de la red a la luz de los consejos anteriores, hay que seguir una serie de pasos, entre los que destacan los siguientes: Evaluar los riesgos que corremos. Definir la poltica fundamental de seguridad de la red. Elegir el diseo de las tcticas de seguridad. Tener previstos unos procedimientos de incidencias- respuesta, etctera. 7. Administracin y gestin de una red de rea local 7.5 Proteccin del sistema 07215 25. Cuando una instalacin de red es de tamao reducido o no se extiende mucho en su mbito geogrfico, el admi- nistrador de red puede desplazarse con facilidad por las distintas estaciones y servidores para realizar su funcin profesional sobre ellos. Sin embargo, cuando no se cumplen estos requisitos, son necesarias herramientas especializadas en la gestin remota de los ordenadores y dispositivos de la red. La mayor parte de estas herramientas son capaces de saltar la barrera impuesta por la redes de rea local, propor- cionando sus beneficios tambin a travs de redes de rea extensa. El objetivo bsico de cualquiera de estas herramientas es reducir al mximo posible el coste total de propiedad (TCO, Total Cost of Ownership) de los equi- pos, facilitando el retorno de la inversin (ROI, Return Of Investment). Fundamentalmente, hay dos modelos de gestores remo- tos: los que se encargan de la gestin de equipos y los que tienen por funcin la gestin de consolas. El nmero de elementos en una red que se puede gestionar es tan grande que es imposible abarcarlo todo, proponemos como ejemplo la iniciativa WfM (Wired for Management, conectado para la gestin) de Intel, o la interfaz WMI de Microsoft. A. El gestor de equipos einstalaciones Un gestor de instalaciones es un conjunto de herra- mientas integradas entre s y con el sistema operativo sobre el que se instala que es capaz de llevar un control exhaustivo sobre el software de cada sistema, as como de su configuracin y funcionamiento. En muchos casos, este software es capaz de controlar tambin los escritorios y accesos de los usuarios que se presentan en cada estacin de la red. Cada fabricante de software incorpora unas funciones a sus productos de gestin; sin embargo, las funciones bsicas ms comu- nes de un gestor de equipos son las siguientes: Despliegue de sistemas y de software. El gestor es capaz de instalar sistemas operativos y software adi- cional desde los servidores de gestin en los que se apoya de acuerdo con la parametrizacin que disea el administrador de sistemas. Configuracin de los equipos. Una vez instalados los equipos, el gestor es capaz de proporcionar las configuraciones bsicas de cada equipo o de cada usuario; por ejemplo, el administrador del sistema podra definir las aplicaciones a las que se tienen acceso, los recursos que sern visibles para cada usuario, etctera. Control de equipos y de la red. El gestor puede analizar cada una de las incidencias ocurridas en los equipos de la red y tomar las acciones previstas por el administrador de red en cada uno de los eventos. Con Windows 2000 Server y versiones superiores, Micro- soft ha dado un gran paso adelante, integrando en su sistema herramientas avanzadas de instalacin, todo ello controlado a travs de una poltica de directivas inte- gradas en su Directorio Activo, aunque su herramienta de gestin por excelencia para grandes redes es SMS (Server Management System). B. El gestor de consolas Un gestor de consolas o simplemente gestor de control remoto es una aplicacin que es capaz de visualizar sobre una consola local lo que est ocurriendo en una consola remota. Los ms avanzados son capaces tam- bin de crear verdaderas sesiones remotas, no slo simu- larlas. 7. Administracin y gestin de una red de rea local 7.6 Control remoto en la red 7.6 Control remoto en la red 07216 Figura 7.19. Conexin remota desde Windows 2000 con destino en otro sistema Windows con Remote Administrator, un gestor de conexiones comercial. 26. Adems, los gestores ms avanzados son capaces de eje- cutar acciones en el sistema remoto comandados desde el sistema local. Un gestor remoto ofrece grandes ayudas; sin embargo, las funciones ms beneficiadas son las siguientes: Administracin de red. Desde un nico punto geo- grfico pueden controlar todos los servidores y esta- ciones de la red: crear, modificar o eliminar usuarios o grupos, instalar o configurar aplicaciones, reini- ciar ordenadores, etctera. Teletrabajadores. Cualquier persona desde el exte- rior de la red podr conectarse y acceder a su infor- macin de red. Soporte, asistencia tcnica y mantenimiento. Estas funciones constituyen uno de los mayores mbitos comerciales para este tipo de aplicaciones, pues se pueden brindar todos estos servicios remo- tamente sin necesidad de costosos desplazamien- tos. Formacin. La tecnologa utilizada por un gestor de consolas es muy apropiada para su configuracin en forma de aula virtual, en el seno de la cual se pueda impartir formacin. Para ello, es necesario que el gestor permita que varias sesiones locales puedan conectarse a una nica sesin remota. El transporte de red necesitado por estos gestores para mover datos a travs de la red utiliza los protocolos bsicos que ya hemos estudiado: TCP/IP, IPX/SPX, etc- tera. Destacamos la solucin VNC por ser freeware y de amplio uso (se puede descargar desde www.realvnc.com) y, ade- ms, por estar soportada por muchos UNIX, Linux, Win- dows en todas sus variantes, OS/2, BeOS, MacOS, PalmOS y muchos ms sistemas operativos. Microsoft con Windows NT propuso un modelo de crea- cin de sesiones remotas desde estaciones de la red con su versin Terminal Edition. Windows 2000 ha recogido esta tecnologa y permite que una estacin de trabajo se conecte a un servidor Windows 2000 como si fuera un cliente ligero. Se permiten hasta dos conexiones con objeto de hacer administracin remota sin necesidad de licencia adicio- nal. El cliente puede ser cualquiera de las versiones Win- dows de Microsoft, incluida Windows 3.11. En la Figura 7.20 se puede ver el asistente de conexin y la consola local una vez realizada la conexin remota. En Windows XP y Windows 2003 Server tambin se pue- den crear conexiones remotas a travs de la gestin remota del escritorio. C. Iniciativa WfM de Intel WfM (Wired for Management, conectado para la gestin) es una iniciativa de Intel para establecer un estndar con algunas de las propiedades de la gestin remota de las estaciones de red. 7. Administracin y gestin de una red de rea local 7.6 Control remoto en la red 07217 Figura 7.20. Asistente de conexin y conexin realizada desde una estacin Wi