Conceptualización, diseño e implementación de ... · ^Conceptualización, diseño e...

Alberto Aparicio Colis

Jesús María Aransay Azofra y Eloy Javier Mata Sotés

Facultad de Ciencias, Estudios Agroalimentarios e Informática

Grado en Ingeniería Informática

2014-2015

Título

Director/es

Facultad

Titulación

Departamento

TRABAJO FIN DE GRADO

Curso Académico

Conceptualización, diseño e implementación de infraestructura de red. Caso de estudio: Centro de

Rehabilitación Laboral de Nueva Vida

Autor/es

© El autor© Universidad de La Rioja, Servicio de Publicaciones, 2015

publicaciones.unirioja.esE-mail: [email protected]

Conceptualización, diseño e implementación de infraestructura de red. Caso de estudio: Centro de Rehabilitación Laboral de Nueva Vida, trabajo fin de grado

de Alberto Aparicio Colis, dirigido por Jesús María Aransay Azofra y Eloy Javier Mata Sotés(publicado por la Universidad de La Rioja), se difunde bajo una Licencia

Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported. Permisos que vayan más allá de lo cubierto por esta licencia pueden solicitarse a los

titulares del copyright.


Jesús María Aransay Azofra

Eloy Javier Mata Sotés


Grado en Ingeniería Informática, Universidad de La Rioja

Departamento de Matemáticas y Computación

Curso académico 2014-2015

Conceptualización, diseño e implementación de infraestructura de red

Caso de estudio:

Centro de Rehabilitación Laboral Nueva Vida

Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis 2

3 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

Resumen

“Conceptualización, diseño e implementación de infraestructura de red” es un proyecto de sistemas informáticos y redes basado en un caso real. El cliente es el Centro de Rehabilitación Laboral Nueva Vida, un centro de orientación y búsqueda de empleo para personas que padecen enfermedad mental localizado en Madrid. La red y los sistemas informáticos utilizados por los usuarios y el personal del centro están

obsoletos. Utilizan tecnologías y sistemas operativos antiguos que dificultan el desempeño de

los empleados, así como la formación y orientación de los usuarios.

El objetivo de este proyecto es proponer una solución que:

Facilite y agilice el trabajo del centro.

Optimice el rendimiento de la red y los sistemas.

Actualice el entorno de trabajo con los últimos sistemas operativos y tecnologías.

Minimice los costes aprovechando la infraestructura existente en la medida de lo

posible.

Summary

“Conceptualización, diseño e implementación de infraestructura de red” is a systems-networks

oriented project based on a real case. The client is the Centro de Rehabilitación Laboral Nueva

Vida, a centre of orientation and job searching for people who suffer mental illness located in

Madrid.

The network and the computing systems used by users and employees are obsolete. They use

old technologies and operating systems that difficult the work of the staff, as well as the users

training and orientation.

The objective of this project is to propose a solution that:

Facilitate and expedite the work done at the centre.

Optimize the network and systems performance.

Update the work environment with the newest technologies and operating systems.

Minimize costs taking advantage of the existing infrastructure as far as possible.


Índice

Capítulo 1: Descripción del proyecto

Introducción ................................................................................................................... 11

Captura de requisitos ..................................................................................................... 12

Enumeración de requisitos ............................................................................................. 13

Definición del alcance..................................................................................................... 14

Metodología del TFG ...................................................................................................... 15

Cronograma .................................................................................................................... 15

Diagrama de Gantt ......................................................................................................... 21

Capítulo 2: Análisis de la situación actual

Visita al centro y conclusiones ....................................................................................... 22

Infraestructura a utilizar ................................................................................................. 22

Plano de la situación actual ............................................................................................ 23

Capítulo 3: Diseño de la solución

Infraestructura a renovar o ampliar ............................................................................... 24

Plano de distribución de sistemas .................................................................................. 25

Software de sistemas ..................................................................................................... 25

Hardware de sistemas .................................................................................................... 27

Presupuesto .................................................................................................................... 27

Estudio y configuración LAN ........................................................................................... 29

Informes de aplicaciones, seguridad y servicios ............................................................ 31

Capítulo 4: Implementación de la solución

Instalación de sistemas operativos ................................................................................ 38

Plan de pruebas .............................................................................................................. 40

Escenario de restauración .............................................................................................. 47

Capítulo 5: Conclusiones

Lecciones aprendidas ..................................................................................................... 56

Conclusión ...................................................................................................................... 59

Bibliografía ...................................................................................................................... 60


Anexos

E–70 Formularios de consulta.

E–71 Diagrama de Gantt.

E–72 Memoria.

E–73 Reuniones y diario.

E–74 Hardware de sistemas.

E–75 Presupuesto de sistemas IT.

E–76 Presupuesto de software.

E–77 Esquema de copias de seguridad.

E–78 Instalación de Microsoft Windows Server 2012 R2.

E–79 Usuarios, grupos e implementación de seguridad.

E–80 Instalación de Microsoft Windows 8.1.

E–81 Desviaciones y lecciones aprendidas.

E–82 Plano de situación actual.

E–83 Plano de distribución.

E–84 Leyenda de planos de red.

E–85 Simulación de entorno de red.

E–86 Seguridad a nivel humano.

E–87 Fichas de sistemas.

E–88 Plan de pruebas.


A mi familia y amigos por formar parte de mi crecimiento personal y felicidad.

A mis tutores y profesores por ser parte activa de mi desarrollo profesional, aportar

valor a mi trabajo y contribuir en mi motivación cada día.

Dedicado a todos vosotros. Gracias.


Capítulo 1. Descripción del proyecto

En el punto de partida enunciaremos, de forma general, los puntos que tratará el proyecto

durante su desarrollo. Definiremos el alcance y la metodología a seguir, además de enumerar

los requisitos a cumplir en cada uno de los apartados.

Introducción

El proyecto “Conceptualización, diseño e implementación de infraestructura de red” tiene

como objetivo estudiar la implementación de una infraestructura informática completa y

conectada. Consiste en analizar la infraestructura actual, aprovechar los avances tecnológicos

y con ello proponer las mejoras aplicables a esta red de sistemas IT.

Teniendo en cuenta factores clave como conectividad, seguridad, servicios y rendimiento del

sistema se harán análisis detallados y se propondrán después alternativas que mejoren

notablemente estos conceptos en la organización.

Partiendo desde una arquitectura incompleta y obsoleta por el paso del tiempo trataremos de

amoldar las nuevas tecnologías de la información a este caso concreto.

Conceptos como la obsolescencia programada y el rápido avance tecnológico motivan este

estudio. Además, hacen de la renovación de infraestructuras informáticas en las empresas algo

necesario. Los equipos se vuelven lentos, los trabajadores se estresan y frustran porque sus

herramientas de trabajo son lentas y producen errores continuamente.

Un buen estudio que ofrezca mejoras informáticas a una empresa puede afectar

positivamente no sólo a la productividad de los sistemas, sino también a la de los propios

trabajadores.

Con buenas herramientas, se trabaja más y mejor. Es el objetivo.

El Centro de Rehabilitación Laboral “Nueva Vida” es el caso real sobre el que se realizará el

estudio. Se trata de un centro de atención a personas con enfermedad mental de la ciudad de

Madrid, en el cual se desempeñan dos roles sociales principalmente:

1. Atención, búsqueda de empleo y preparación para el entorno profesional de personas

con enfermedad mental.

2. Concienciación social, actividades y eventos que pretenden concienciar sobre el

estigma que envuelve a estas personas en su día a día.


Captura de requisitos

En la captura de requisitos se recoge la mayor cantidad de información posible sobre el centro.

Equipos hardware actualmente instalados, distribución física del centro, instalación actual y

configuración de los sistemas operativos y software en los distintos sistemas que componen la

red. También es necesario capturar los roles de la empresa, grupos de trabajo y usuarios de

estos sistemas.

Las vías de captura de requisitos del cliente son: formularios Web y entrevistas presenciales.

Además se detalla la información útil recogida para el desarrollo del proyecto.

En un primer momento creo un formulario Web, que envío directamente al responsable de la

empresa (ver formulario, anexo E-70) del que obtengo la siguiente información:

Nivel de usuario

o Número de usuarios de equipos TI (trabajadores y usuarios): 12 trabajadores y

20 usuarios de equipos informáticos actualmente.

o Roles en la empresa según necesidades TI (software y/o permisos específicos):

Dirección, administración y usuarios del centro.

Nivel de infraestructura

o Número de equipos de trabajo (máquinas cliente)

Para personal del centro: 4.

Para usuarios del centro: 24.

En una entrevista posterior, realizada el 27 de Octubre de 2014 de forma personal, se

completa la información necesaria hasta la fecha, que en principio será suficiente para

terminar el proyecto. Al cliente se le informa de que es posible que se le hagan más consultas

en otro momento. La información recogida en la entrevista es la siguiente:

Nivel de servicios

o Copias de seguridad de datos: La información sensible se encuentra registrada

y cumple con la LOPD (Ley Orgánica de Protección de Datos de carácter

personal). Es un fichero con información personal sobre usuarios que es

consultado por todo el personal contratado.

o Conexión a la red sin cables (WiFi): Necesaria para conectividad de tabletas y

teléfonos móviles corporativos.

Distribución física del centro

o Número de salas de formación y consulta de información para usuarios: 2. La

disposición de los equipos en las salas es de 12 equipos por sala.

o Número de despachos individuales del personal del centro: 4. De ellos, 2

corresponden a administración y 2 a dirección.

Aplicaciones: Se confecciona una lista en la entrevista que detalla las aplicaciones

necesarias en los equipos del personal del centro y de los usuarios. Incluyo la lista

recogida en el estudio de soluciones.


Enumeración de requisitos

A partir de la información capturada de la empresa podemos definir los siguientes requisitos

para la infraestructura, considerando no sólo la mejor alternativa a instalar, también el

aprendizaje derivado de elegir estas opciones:

1. Instalación y configuración de Windows Server 2012 R2: actualmente es una referencia

en el mundo de los sistemas operativos de servidor, no ha sido estudiado a lo largo de

la carrera. Instalando un servidor de este tipo aprenderé sobre la alternativa de

Microsoft para servidores:

a. Creación de dominio Windows.

b. Repositorio y directorio activo: usuarios y grupos.

2. Instalación y configuración de cliente Windows 8 para personal del centro (4 equipos):

el último sistema operativo de Microsoft para clientes, así aprenderé como trabajar

con este sistema en el entorno corporativo y es una alternativa real que pronto se hará

con el mercado relegando a la versión anterior (Windows 7):

a. Inicio de sesión en el dominio.

b. Copias de seguridad funcionales: la copia de respaldo se hace necesaria ya que

entre los documentos que maneja la empresa hay ficheros en formato digital

con datos de carácter personal. Es indispensable crear un contexto de copia

donde el personal del centro pueda guardar ficheros teniendo garantías de

respaldo de los mismos.

3. Instalación y configuración de cliente Windows 8 para usuarios (24 equipos).

a. Inicio de sesión en el dominio.

b. Copias de seguridad funcionales.

4. Presupuesto: sin un límite presupuestario, el objetivo es garantizar la funcionalidad y

unos mínimos de escalabilidad para el futuro, ajustarlo a las necesidades del caso

estudiado. Cada uno de los conceptos del presupuesto son argumentados

individualmente y justificada la inversión que suponen.

5. Pruebas del sistema.

a. Conectividad de la red local.

i. Servidor Cliente.

ii. Cliente Servidor.

iii. Acceso remoto al servidor.

b. Recursos compartidos (directorio centralizado).

c. Restauración de datos.


Definición del alcance

A la finalización del proyecto la empresa podrá disponer de:

Un entorno de trabajo funcional, personalizado, fiable y seguro que satisfaga las necesidades

tecnológicas de los empleados y de los usuarios del centro de trabajo.

Una red de ordenadores organizada y conectada que replique la información sensible y la

proteja de posibles fallos del sistema.

Despliegue de servicios que faciliten la administración del sistema completo desde una

estación de servicio centralizada. En el ámbito de la seguridad se diseñan e implementan

políticas de seguridad para toda la red, además de instalar software antivirus en cada equipo

de trabajo de forma individual.

Autenticación de usuarios, copias de seguridad y control de dominio. También se consideran

medidas especiales de seguridad como protección ante fallos eléctricos, redundancia de

equipos de almacenamiento y directivas especiales de seguridad.

El alcance de este proyecto garantiza la funcionalidad completa de la infraestructura a la

finalización del trabajo.

Un presupuesto adecuado a las peticiones realizadas por el cliente, recogidas en la captura de

requisitos. También contempla los aspectos técnicos detallados en la enumeración de

requisitos como: dominio Windows, directorio activo y recursos compartidos.

Por el contrario, el alcance no contempla el mantenimiento de la instalación una vez

completada. Tampoco se responsabiliza del mal uso de la instalación ni de las consecuencias

que esto pueda conllevar. Por último, las licencias software y la posterior renovación de las

mismas en un futuro corre a cargo de la empresa propietaria de la instalación.

La conexión de equipos externos (como tabletas o teléfonos móviles) a la red inalámbrica

disponible en el centro puede suponer compromisos de seguridad. La responsabilidad sobre

posibles problemas derivados de estas conexiones corre a cargo de los usuarios.

Si la seguridad, integridad o disponibilidad de la instalación se ve comprometida, la empresa

podrá facilitar la documentación generada del proyecto al responsable de su reparación.

La información disponible será meramente informativa para el servicio técnico responsable de

la reparación, sin hacerse responsable el desarrollador del proyecto de las consecuencias del

mal uso de dicha información.

Los datos de carácter personal procesados y/o almacenados por los empleados que hacen uso

de la instalación serán responsabilidad del centro (del responsable o del mismo usuario, según

corresponda).

El autor de este proyecto no se hace responsable del cumplimiento de la LOPD, pero si pondrá

a disposición del centro la información suficiente para actuar con arreglo a la legislación actual.


Metodología del TFG

Tras analizar otros proyectos de sistemas y obtener información sobre metodologías aplicables

a este tipo de proyectos, considero, como opción más adecuada, adoptar una metodología

personalizada.

El proyecto se desarrolla sin ajuste estricto a ninguna metodología convencional. Aun así, sí

estará guiado por una serie de fases convencionales reflejadas en capítulos separados. La

metodología seguida para el desempeño del proyecto desarrollará los siguientes capítulos:

1. Descripción del proyecto.

2. Análisis de la situación actual.

3. Diseño de la solución.

4. Implementación de la solución y pruebas.

5. Conclusiones.

Las distintas partes del proyecto según el cronograma se situarán en su epígrafe

correspondiente. Esta metodología responde a un patrón de ejecución cronológico,

comenzando en un capítulo de descripción y finalizando con las conclusiones recogidas a lo

largo de su realización. Puede haber fases del desempeño en las cuales se desarrollen dos

capítulos al mismo tiempo.

Cronograma

Organización básica – 3 horas

Recopilar aplicaciones necesarias para el desempeño del proyecto - 1 hora.

Organizar distribución de entregables para la confección de la memoria y

documentación - 0,5 horas.

Creación de directorio de proyecto y plantilla de documentos - 0,5 horas.

Plan de copias de seguridad del material del proyecto - 1 hora.

Reuniones y diario de actividad – 12 horas

Preparación: Reflexión y redacción de conclusiones – 3 horas.

Confeccionar actas de reuniones – 2 horas.

Realización de las mismas – 5 horas.

Registro de actividad en el diario – 2 horas.


*Estas tareas de la fase

de planificación incluyen

formación en el entorno

de trabajo Project de

Microsoft, lectura de

otros casos similares de

definición del alcance y

análisis de metodologías

aplicadas a este tipo de

proyectos.

Planteamiento – 8,5 horas

Resumen – 0,5 horas.

Traducir resumen a inglés – 0,5 horas.

Confección de formulario para obtener información sobre la empresa – 1 hora.

Documentar y procesar la información obtenida – 1,5 horas.

Entrevista presencial con la empresa – 2 horas.

Estudio inicial de soluciones informáticas a utilizar – 3 horas.

Planificación – 25 horas

Definir fases del proyecto – 0,5 horas.

Desglose de actividades por fases – 3 horas.

Definición del alcance* – 3 horas.

Metodología TFG* – 1,5 horas.

Análisis de requisitos – 8 horas.

Cronograma* – 5 horas.

Diagrama de Gantt* – 4 horas.

Diseño de infraestructura – 43,5 horas

Análisis e informe de:

o Plano de localización de equipos y distribución – 3 horas.

o Hardware de sistemas: Equipos a comprar y configurar – 8 horas.

o Red (equipamiento hardware y subredes) – 6 horas.

Hardware de enrutamiento y conmutación – 2 horas.

Intranet (IPs válidas, máscaras, gateway y subnetting) – 4 horas.

o Presupuesto – 7 horas.

Equipos cliente – 2 horas.

Equipo servidor – 3 horas.

Hardware de red – 2 horas.

o Aplicaciones – 5 horas.

Aplicaciones básicas (de uso

general) a instalar – 2 horas.

Aplicaciones específicas para

clientes – 1 hora.

Aplicaciones específicas para

servidor - 2 horas.

o Seguridad – 10,5 horas.

Medidas tecnológicas


(directivas y políticas) – 3,5 horas.

Medidas humanas (normas y buenas prácticas) – 2 horas.

Plan de acción reactivo ante compromisos – 5 horas.

o Informe de servicios – 4 horas.

Servicios básicos a desplegar – 4 horas.

Ejecución – 57 horas

Instalación de servidor virtualizado – 35 horas.

o Sistema operativo – 3,5 horas.

o Despliegue de servicios – 19 horas.

Controlador de dominio de nivel principal – 1,5 horas.

Directorio activo (LDAP) – 5,5 horas.

Usuarios – 1,5 horas.

Grupos – 1 hora.

Permisos – 3 horas.

DHCP (Configuración dinámica de host) – 2 horas.

Acceso remoto al servidor – 6 horas.

Políticas de seguridad y directivas de contraseñas – 4 horas.

o Configuración de red – 1,5 horas.

o Despliegue de aplicaciones – 7 horas.

Antivirus – 1 hora.

Navegador Web – 0,5 horas.

Copias de seguridad – 3 horas.

Monitor de rendimiento – 2,5 horas.

o Crear y almacenar imagen de sistema – 4 horas.

Instalación de cliente virtualizado (administrativo / dirección)* – 11 horas.

o Sistema operativo – 2 horas.

o Configuración de red – 2 horas.

Conectividad – 1 hora.

Asociación al dominio corporativo – 1 hora.



Cobian Backup – 1 hora.


Aplicación ofimática – 1 hora.

o Crear y almacenar imagen del sistema – 4 horas.

Instalación de cliente virtualizado (usuario del centro)* – 11 horas.

o Sistema operativo – 2 horas.

o Configuración de red – 2 horas.

Conectividad – 1 hora.


Asociación al dominio corporativo – 1 hora.



Cobian Backup – 1 hora.


Aplicación ofimática – 1 hora.

o Crear y almacenar imagen del sistema – 4 horas.

(*) Cada equipo incluye el alta en el directorio activo, configuración específica de asociación a

su propia unidad organizativa y de recursos compartidos en función de su departamento.

Ambos equipos contienen la parte común de instalación de software, pero sus configuraciones

son completamente diferentes, ya que se trata de recursos distintos con objetivos distintos. El

equipo de dirección es un portátil que tendrá la posibilidad de iniciar sesión y trabajar con

normalidad fuera del entorno de trabajo (y, por lo tanto, fuera del dominio). Los otros equipos

son de sobremesa pero pertenecen a distintos grupos de trabajo, por lo tanto su configuración

variará sustancialmente.

Plan de pruebas – 32,5 horas

Sistemas operativos – 5 horas.

o Funcionalidad, instalación y configuración correctas de Windows Server en la

estación de trabajo – 2 horas.

o Funcionalidad, instalación y configuración correctas de Windows 8 en el

entorno cliente – 3 horas.

Conectividad – 7 horas.

o Comunicación de la estación de servicio con los clientes virtualizados – 3

horas.

o Comunicación de equipos cliente con el controlador de dominio – 4 horas.

Aplicaciones – 5,5 horas.

o Comprobación de instalación de software ofimático, antivirus y navegador

Web – 2,5 horas.

o Compatibilidad de todos los productos software entre sí. Coexistencia en el

sistema cliente sin incidencias – 3 horas.

Servicios – 8,5 horas.

o Asociación al dominio, inicio de sesión desde el cliente con un perfil creado

desde el directorio activo – 3,5 horas.

o Usuarios y permisos: comprobación de los repositorios de recursos en el

equipo servidor – 1 hora.

o Seguridad: Verificación de las directivas de contraseña e inicio de sesión en el

dominio – 1,5 horas.

o DHCP: Estado del servicio una vez instalado, actividad y concesión de datos de

configuración IP a los clientes – 2,5 horas.


Acceso a recursos compartidos – 4 horas.

o Conexión con recursos comunes alojados en la estación de servicio, permisos

sobre el directorio compartido – 4 horas.

Copias de seguridad – 2,5 horas.

o Garantizar que el plan de copias es ejecutada en el servidor y en los clientes –

2,5 horas.

Escenario de restauración – 8 horas.

Simular compromiso de integridad de datos en un equipo cliente – 3 horas.

Restaurar información perdida y documentar el proceso – 5 horas.

Formación – 69 horas

El tiempo de formación incluye la obtención de información de Internet sobre proyectos

similares, metodologías, sistemas operativos y aprendizaje de tecnologías a utilizar. Muchos de

los puntos de ejecución y plan de pruebas requerirán documentarse previamente.

Metodologías de desarrollo de proyectos de sistemas – 3 horas.

Planes de seguridad en pequeñas y medianas empresas – 2,5 horas.

Tecnologías actuales en infraestructuras de servidor – 1,5 horas.

Software de monitorización de recursos – 1 hora.

Software Microsoft Project – 1 hora.

Sistemas operativos – 60 horas.

o Windows Server 2012 R2:

Instalación y configuración de controlador de dominio.

Perfiles, roles, grupos, usuarios. Repositorio y recursos.

Directorio activo: autenticación, políticas y directivas de seguridad.

Versiones disponibles.

o Windows 8:

Asociación de cliente a dominio Windows.

Presentación y defensa – 13 horas

Confeccionar y revisar documentación a depositar – 7 horas.

Preparar la presentación del proyecto y su defensa – 6 horas.


Total previsto: 271,5 horas.

La previsión inicial contempla una estimación horaria optimista, por lo que no alcanza las 300

horas estipuladas. Debido a las herramientas elegidas y a que no he sido formado en éstas (no

han sido estudiadas previamente), surgirán imprevistos a lo largo del desarrollo del proyecto

que seguro aumentarán sustancialmente las horas de trabajo.

Por todo esto creo conveniente liberar un 10% de horas de trabajo y así disponer de un

margen de contingencias que contemple estas desviaciones.


Diagrama de Gantt

A continuación se muestra una captura del diagrama de Gantt realizado para la planificación del proyecto. En él figuran las tareas a realizar a lo largo del

proyecto y su estimación en tiempo.

Vista resumen de Diagrama de Gantt

Para ver con más detalle las tareas que figuran en el diagrama de Gantt y en el cronograma ver anexo: E-71 “Diagrama de Gantt”.

La planificación sufrirá una desviación posterior de 30 días, en la que se para el desarrollo del proyecto por la realización de exámenes finales de enero. Los

detalles sobre dicha desviación se detallan en el anexo E-81 “Desviaciones y lecciones aprendidas”.


Capítulo 2. Análisis de la situación actual

En este capítulo vamos a estudiar la infraestructura actual. Las condiciones que presenta la

instalación hoy motivan la realización de este proyecto. Por otra parte, el análisis permite

decidir qué partes de la infraestructura no serán renovadas, por lo que ahorraremos costes sin

afectar a la calidad del producto final.

Visita al centro y conclusiones

La entrevista realizada a la empresa incluyó una visita a la misma en la que tuve la oportunidad

de tomar nota de la infraestructura informática actual. Se trata de un sistema algo anticuado

con carencias en comunicación interna, seguridad y recursos de red.

La instalación actual consiste en un router al cual se conecta un switch. A este último son

conectados todos los equipos de la Intranet.

Estos equipos corresponden a la generación de procesadores Pentium IV y AMD Athlon K7, ya

desfasados y cuyas velocidades nunca superan los 3Ghz, además de poseer un único núcleo de

proceso real. La memoria principal oscila entre los 512MB y 1GB lo cual es insuficiente para las

exigencias del software actual.

En consonancia con lo anterior, observo que los sistemas operativos instalados son Microsoft

Windows XP para arquitecturas de 32 bits. Es un sistema operativo adecuado para el hardware

existente, pero desfasado y desatendido por Microsoft desde hace meses.

Los equipos son lentos y no satisfacen las necesidades de trabajo de la empresa. Tampoco

existe la centralización de ningún servicio ni un plan de copias de seguridad, sólo un dispositivo

de almacenamiento externo USB.

Todos estos aspectos conllevan la necesidad de una renovación de los sistemas IT y en sus

comunicaciones.

Infraestructura a utilizar

Aprovecharemos la instalación cableada actual que comunica a los distintos equipos con el

router (a través del switch), el cual les da acceso a Internet actualmente. El switch centraliza el

enlace directo con los equipos del centro. Utilizaremos tanto el switch como el router actuales,

pero no será suficiente. Tenemos una impresora central en la zona administrativa, la cual

también aprovecharemos.


No es necesario sustituir un router proporcionado por el ISP que funciona correctamente, ya

que la conexión a Internet no presenta problemas.

El switch ya instalado servirá como eje de comunicaciones, en la misma ubicación, pero con un

cometido distinto que explicaremos más adelante.

Plano de la situación actual

Anexo E-82. Plano de distribución lógica de sistemas. Situación actual.

Leyenda: ver anexo E-84.

Nota aclarativa: la distribución espacial de los departamentos es orientativa, los planos aquí

presentados simbolizan las conexiones entre los equipos de la red. Estas conexiones están ya

implementadas en la empresa: enlaces Ethernet directos UTP con cable de red categoría 6 y

conectores RJ-45.


Capítulo 3. Diseño de la solución

Una vez analizada la situación actual del centro, el Capítulo 3 aborda la solución propuesta, la

cual tratará de ajustarse con la máxima precisión posible a las necesidades capturadas

anteriormente. Costes, sistemas, renovación y organización son las palabras claves de este

capítulo.

Infraestructura a renovar o ampliar

Enrutado: sin cambios, con un router es suficiente para dar salida a Internet desde la empresa.

El router instalado previamente funciona correctamente y proporciona acceso a Internet a los

equipos del centro.

Conmutación: añadiremos dos switch adicionales en cada una de las salas de formación.

Conectarán los equipos de dichas salas con el switch central de la sala de comunicaciones. Éste

a su vez conectará las salas de administración y dirección, así como el servidor y el router, al

resto de la Intranet. Como resultado habrá tres equipos de conmutación distribuidos por el

centro y conectados entre sí, con cometidos distintos.

Sistemas informáticos: se renovará completamente la infraestructura de sistemas informáticos

del centro. Los sistemas nuevos a adquirir son:

24 equipos para salas de formación. Serán equipos de trabajo sencillos pero que

garanticen la funcionalidad que necesitan los usuarios del centro.

2 equipos para personal administrativo. Especiales para trabajo ofimático.

2 equipos para dirección. Estos equipos, para favorecer la movilidad, serán portátiles.

Irán conectados por cable a la red para incrementar la seguridad de su conexión a la

red. Esto además posibilita que el personal de dirección pueda transportar su equipo

de trabajo a conferencias o eventos externos y poder trabajar fuera del entorno del

centro.

1 equipo de servidor. Un equipo especializado que albergue el dominio, las copias de

seguridad y el directorio activo. Además, administrará los recursos compartidos del

centro. Por otra parte instalaremos un SAI (Sistema de Alimentación Ininterrumpida)

que proteja el servidor de problemas eléctricos.

Por último, la impresora instalada en la zona administrativa permanecerá en su ubicación

actual, pero pasará de ser un recurso compartido por uno de los equipos de administración a

ser un recurso de red perteneciente al dominio.


Plano de distribución de sistemas

A la finalización del proyecto la infraestructura de red será la siguiente:

Anexo E-83. Plano de distribución lógica de sistemas final.

Leyenda: ver anexo E-84.

Software de sistemas

El software a implementar para el proyecto es el siguiente:

Sistemas operativos:

o Microsoft Windows Server 2012 R2: los usuarios del centro están

familiarizados con entornos de trabajo Microsoft. Además, por ampliación de

conocimientos sobre sistemas operativos de servidor, los servidores

GNU/Linux se estudian e implementan en asignaturas de la carrera.

o Microsoft Windows 8: Cliente elegido por compatibilidad con el dominio

alojado en el servidor. Se utiliza esta versión por motivos de seguridad ya que

versiones más antiguas podrían comprometerla.


Software:

o Servidor:

Microsoft Security Essentials: Acompaña a la licencia Microsoft

Windows Server 2012. Es un sistema antivirus y antispyware

propietario de Microsoft compatible con el sistema operativo.

Cobian Backup 11 (Gravity): Para la gestión de copias de respaldo de

datos. Herramienta de uso gratuito que va a permitir realizar copias de

seguridad de datos sensibles.

Navegador Google Chrome: Es conocido el aporte de este navegador

en términos de seguridad respecto al navegador predeterminado del

sistema operativo (Internet Explorer). Además, con esta alternativa

conseguiremos incrementar la velocidad, al ser la alternativa más

rápida.

Microsoft OneDrive: Plataforma SaaS de almacenamiento y

sincronización de ficheros en la nube. Sirve como soporte de backup

físicamente fuera de la organización.

o Servidor (Servicios):

Dominio Windows: Realiza labores de autenticación, establece un

marco de seguridad en toda la red y sirve como controlador para

proporcionar servicios y centralizarlos.

Active Directory: Servicio LDAP propio del sistema operativo instalado.

Proporciona un repositorio de dominio centralizado que contiene

usuarios, equipos y otros recursos disponibles en red.

DHCP (servicio de configuración dinámica de host): Para la distribución

de datos de configuración IP hacia los clientes que se conecten a

través de la red inalámbrica. Además, permite realizar seguimiento a

través de un log de las conexiones que se realicen fuera de la red

cableada.

o Clientes:

Microsoft Office 2013.

Adobe Reader.

Navegador Google Chrome.

Antivirus Avast.

No hay aplicaciones específicas para instalar en los equipos cliente. Tal y como

explicó el director del centro, utilizan principalmente herramientas ofimáticas

(concretamente Excel y Word) y el navegador Web para consultar el correo

electrónico y sitios Web.


Hardware de sistemas

El proveedor principal de sistemas para este proyecto es Dell. Por mi experiencia en

implementaciones reales Dell es una empresa fiable y cuyos equipos son enviados

especialmente protegidos. Además, son fabricados con componentes de alta calidad y tienen

unos acabados atractivos.

Como punto de inflexión a la hora de elegir este fabricante tenemos sus servicios de asistencia,

que garantizan la reparación de un equipo averiado durante el siguiente día hábil desde que se

notifica el problema. Este servicio se puede solicitar durante el primer año desde la compra del

producto y es gratuito. Por supuesto no es incompatible con los dos años de garantía en todos

los equipos adquiridos.

La descripción detallada de los equipos informáticos que conforman el hardware de sistemas

está incluida en el anexo E-74 “Hardware de sistemas”.

Presupuesto

Para la actualización de la infraestructura de red se detalla el siguiente presupuesto. Contiene

todas las renovaciones en equipos de sistemas necesarias para conseguir los requisitos

definidos en el Capítulo 1.

También se indica la inversión necesaria en paquetes software a instalar una vez ejecutado el

despliegue de los sistemas hardware. Por último se recoge un resumen global de costes,

incluyendo la mano de obra necesaria para la instalación y configuración de la infraestructura.

Resumen de presupuesto de sistemas IT

Equipo Precio

Equipos sobremesa cliente para salas de formación y administrativo (24+2).

17.537,2 €

Equipos portátiles para dirección (2). 921,44 €

Hardware de red y redundancia: switch (2) y SAI (1).

278 €

Hardware de servicios: server (1). 2.383,82 €

Subtotal en hardware de red y sistemas: 21.120,46 €

Para ver el presupuesto completo ver anexo “E-75 Presupuesto de sistemas IT”


Presupuesto de software

Este presupuesto contiene los programas cuya instalación se hace necesaria para el trabajo de

los empleados y usuarios. El software a instalar y configurar se adquiere según las peticiones

formuladas por la empresa, que se adecúan a sus preferencias de trabajo.

Nº Licencias Concepto Precio unitario Subtotal

01 28 Microsoft Office 2013 (OEM Dell). 119,00 € 3.332,0 €

02 1 Microsoft Windows Server 2012 R2 Standard Edition 64 bits (OEM Dell).

432,03 € 432,03 €

Subtotal en software: 3764,03 €

Anexo “E-76 Presupuesto de software”

Presupuesto completo

El presupuesto completo incluye los costes de instalación y configuración detallados en el

diseño de la solución. Se ajusta al mínimo coste posible para garantizar la infraestructura

propuesta, la calidad de los servicios y la funcionalidad de todo el sistema.

Módulo Precio

Equipos informáticos 21.120,46 €

Software (Sistemas Operativos y programas) 3.764,03 €

Instalación y configuración (90 horas)* 2.250 €

Subtotal: 27.134,49 € IVA (21%): 5.698,25 € Total: 32.832,74** €

*Para instalación y configuración de equipos y software se establece un precio unitario por

hora de trabajo durante el periodo de ejecución del proyecto. Dicho precio incluye la

instalación, configuración y el plan de pruebas.

**El precio total de la instalación no incluye el coste de 3,8 €/mes correspondiente a la licencia

para empresa de Microsoft OneDrive. No se incluye porque se trata de una cuota mensual y no

de una compra de equipamiento hardware o software.

Dell dispone de ofertas especiales para compras de este tipo que se pueden consultar

contactando con un comercial, por lo que puede reducirse el precio final indicado.


Estudio y configuración LAN

Para la distribución de red configurada en el proyecto voy a crear distintos ámbitos LAN que

coincidan con los emplazamientos físicos de los equipos. Es conveniente establecer rangos de

direcciones IP distintos para cada grupo de equipos, facilitará la administración de red y

además la difusión de información por departamentos. La distribución de departamentos

estará relacionada directamente con la distribución de rangos IP.

La configuración IP de conexión inalámbrica será administrada mediante un servicio DHCP.

Este servicio concede la configuración IP en un rango predeterminado de direcciones a los

dispositivos conectados. Así, será fácil identificar un equipo conectado mediante WiFi tan sólo

consultando su dirección IP.

En primer lugar elegimos una dirección de red IP privada para la empresa:

10.0.0.0 con máscara de red 255.255.0.0 (a partir de ahora 10.0.0.0/16)

Por claridad, dos bytes de la dirección serán de red y los dos siguientes de host. No existen bits

para subred, esto quiere decir que en la instalación real no existirán distintos dominios de

difusión a nivel de red local.

El hecho de no incluir subredes en la organización responde a un asunto de escalabilidad.

Tenemos un número muy pequeño de hosts en un único local, también de pequeño tamaño.

La distribución de departamentos también es pequeña y simple, por lo que no es necesario

establecer distintos dominios de difusión entre hosts.

En un futuro es posible que surja la necesidad de implementar subredes en la arquitectura

actual, por este motivo hay 16 bits de la dirección IP privada disponibles para crear subredes

(los marcados en color azul).

Si es necesario ampliar el local o se crean nuevas sucursales en distintas ubicaciones, existe la

posibilidad de aplicar técnicas de subnetting para aislar los dominios de difusión.

Con esta configuración podemos garantizar la escalabilidad y adaptabilidad de la instalación de

red: hasta 65534 equipos conectables (65536 – 2 por reserva de dirección de red y de

difusión).

00000000.00000000.00000000.00000000


Tabla de designaciones IP

Equipo (hostname) Ubicación Dirección

Router Sala de comunicaciones 10.0.0.1

Servidor Sala de comunicaciones 10.0.0.100

Equipo dirección 1 Depto. Dirección 10.0.1.1

Equipo dirección 2 Depto. Dirección 10.0.1.2

Equipo administrativo 1 Depto. Administrativo 10.0.2.1

Equipo administrativo 2 Depto. Administrativo 10.0.2.2

Equipos sala 1 Sala de formación 1 Rango:

10.0.100.1 a 10.0.100.12

Equipos sala 2 Sala de formación 2 Rango:

10.0.200.1 a 10.0.200.12

Conexión inalámbrica Todo el centro (ámbito WiFi) (DHCP) Rango:

10.0.150.1 a 10.0.150.254

Esquema y simulación

Para visualizar el funcionamiento de la red en una simulación realizada con Packet Tracer ver

anexo E-85 “Simulación de entorno de red”.


Aplicación de subredes para el ámbito local (escalabilidad de red)

Si decidiéramos aplicar técnicas de subredes, una posibilidad consistiría en aplicar una máscara

de subred 255.255.255.0, es decir, añadir un byte a la máscara de red para crear la máscara de

subred. Toda la instalación actual continuaría funcionando con normalidad, pero existiría la

posibilidad de asignar a cada sala o departamento un ámbito de subred diferente.

Con la máscara de subred propuesta tenemos:

254 subredes disponibles (256 – 2 por dirección de red global y broadcast de red).

254 direcciones para host disponibles para cada subred (256 – 2 que corresponden a

dirección de subred y broadcast de subred).

Por ejemplo, para la subred 10.0.1.0 tendríamos:

Desde 10.0.1.1 hasta 10.0.1.254: Direcciones válidas de host (asignables de manera

estática o por DHCP indistintamente).

10.0.1.0 para hacer referencia a toda la subred (dirección de subred).

10.0.1.255 como dirección de difusión para comunicarse con todos los equipos de la

subred “1”.

Igual que para 10.0.1.0, tendríamos la misma configuración para las direcciones de subred

10.0.x.0 (con x comprendido entre 0 y 254, ambos incluidos).

Cabe destacar que, aplicando técnicas de subnetting, se pierden direcciones IP válidas

asignables en la red local, ya que son necesarias las reservas propias de la dirección de subred

y broadcast para cada subred disponible.

Informes de aplicaciones, seguridad y servicios

Este apartado consiste en la elaboración de diferentes informes relacionados con las

aplicaciones a instalar y configurar, además de la seguridad y los servicios a implementar. La

información aquí recogida será útil para el cliente, ya que tendrá documentado todo lo

relacionado con el software y la seguridad.

Además, también será de utilidad para posteriores labores de reparación y mantenimiento del

sistema. Aportará facilidad a la hora de saber qué está instalado y funcionando. También las

posibles causas de fallos futuros, tanto de aplicaciones como compromisos de seguridad.


Informe de aplicaciones

A la finalización del TFG, las aplicaciones instaladas en los equipos de la empresa, versiones y

licencias adquiridas serán:

Versión instalada (fecha de versión)

Nombre Actualizable Licencia

8.1 (18/10/2013) Microsoft Windows 8.1

Profesional - 64 bits

Sí, automáticamente y mediante paquetes de actualización oficiales.

OEM Dell. Licencia adquirida para todos los equipos.

2012 R2 Standard (18/10/2013)

Microsoft Windows Server 2012 - 64 bits

Sí, automáticamente y mediante paquetes de actualización oficiales.

OEM Dell, personalizado para el equipo servidor. Licencia

para el servidor de la empresa.

2013 Profesional (19/01/2013)

Microsoft Office 2013 Profesional

Actualizaciones automáticas.

Adquirida para todos los equipos cliente de la

empresa.

2015.10.0.2208 (18/11/2014)

Avast Antivirus 2015

Actualizaciones automáticas de base de

datos de virus. Actualización manual de

software antivirus.

Licencia antivirus gratuita para todos los equipos.

Ampliable.

4.6.305.0 (10/09/2014)

Microsoft Security Essentials

Antivirus, anti spyware. Actualizaciones

automáticas través de Windows Update.

Incluida en la licencia de Windows Server.

17.3.1229.0918 (2013) Microsoft OneDrive Repositorio Cloud de ficheros. Para backup

externo.

3,8 € al mes por usuario (1 usuario instalado). 1TB de

almacenamiento en la nube para empresas.

4.0 (2012)

ADManager Plus Mediante instalación de

nueva versión. Software propietario con

versión gratuita.

1.12.4 (2015)

Wireshark Desde la propia aplicación,

menú Help. GNU, código open source.

Gratuito.

11.0.09 (29/05/2014)

Adobe Reader XI Sí, notificaciones de

actualización al usuario. Software propietario pero de

uso gratuito.

38.0.2125.111 (30/10/2014)

Google Chrome – Navegador Web

Sí, actualizaciones automáticas.

Descarga e instalación gratuitas.

11.2.0.582 (06/12/2012)

Cobian Backup 11 – Copias de seguridad

Actualización manual. Descarga e instalación

gratuitas.

Informe de seguridad

Seguridad hardware

Sala de comunicaciones accesible únicamente para:

El director de la empresa.

El servicio técnico del ISP.

El responsable de sistemas informáticos, si lo hubiera.


Sala cerrada a la que solo es necesario acceder para resolver incidencias hardware con el

router, el equipo servidor y el switch principal. Siempre previa notificación y consentimiento

del director, que documentará quién, cuándo y para qué se accede a la sala.

Sala bien ventilada en planta baja con aire acondicionado y protegida bajo llave.

Sistemas eléctricos (SAI), de red (doble NIC) y de almacenamiento secundario (RAID1 por

hardware) redundantes en sistemas críticos. Monitorización permanente del servidor. Bloqueo

de BIOS en los sistemas con contraseña maestra para evitar cambios en la configuración.

Seguridad de red

Puertos del router cerrados, salvo los que garantizan la navegabilidad como 80 para HTTP y

443 para HTTP con SSL (HTTPS). Además, se autoriza la apertura de puertos para las

aplicaciones documentadas en el informe de aplicaciones.

Dominio Windows con administración de cuentas de usuario centralizado, identificación y

autenticación contra un sistema seguro. No se permite el acceso a los recursos de la red sin

previa autenticación mediante un perfil de dominio.

Designación de grupos en el dominio con directivas de seguridad específicas, tanto para

usuarios como para trabajadores y directores de la empresa.

Contraseña WPA2 de acceso mediante conexión inalámbrica. No se garantiza la seguridad de

dominio para las conexiones realizadas a través del medio inalámbrico.

Seguridad software

Versión profesional del sistema operativo más actualizado de la familia Microsoft. Firewall de

Windows, actualizaciones automáticas y soporte de Microsoft en esta versión.

Antivirus Avast. Gratuito, ampliable con un coste mínimo, suficientemente seguro para las

necesidades de la empresa y cuya base de datos es actualizada diariamente. Por

compatibilidad del sistema, Microsoft Security Essentials instalado en el equipo servidor.

Log de dominio que registra la actividad de la red por parte de los usuarios. Análisis de

rendimiento de recursos en el servidor y detección de congestión o mal funcionamiento de los

servicios, ataques a través de la red, compromisos de seguridad, etc.

Política de copias de seguridad y restauración con el software Cobian Backup instalado en

todos los equipos de la red. Almacén de copias redundante con RAID1 en el servidor y en la

nube con un servicio de terceros (Microsoft OneDrive).

Dado que la información protegida mediante copias puede contener datos de carácter

personal, debe almacenarse y procesarse con arreglo a la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal (LOPD). Los datos pueden contener

información acerca del historial psiquiátrico del afectado, por lo que se consideran datos que

exigen un nivel alto de protección.


Los pasos a seguir para cumplir con la legislación vigente son los siguientes:

Establecer un responsable del tratamiento: el director del centro.

Establecer un encargado del tratamiento: el servicio OneDrive para el servicio Cloud y

el administrador del sistema para las copias locales.

Cumplir con la normativa de registro de fichero y uso de datos recogida en la AEPD

(Agencia Española de Protección de Datos: www.agpd.es).

Dado que el servicio es prestado en España y los datos se almacenan en EEUU, es

necesario pedir consentimiento a la AEPD para el traslado internacional de los datos

de carácter personal a EEUU.

Cumplir con el plan de seguridad definido en este documento.

Ante cualquier duda sobre este proceso es posible recurrir a la AEPD a través de

sedeagpd.gob.es para remitir directamente una consulta a la agencia.

Políticas de contraseña y acceso al dominio

Contraseñas de 8 caracteres de longitud mínima con al menos una letra mayúscula, una

minúscula y un número. Las contraseñas deben ser cambiadas cada año como mínimo. Tras

tres intentos fallidos de autenticación la cuenta será bloqueada durante 24 horas.

Para iniciar sesión en el dominio y poder trabajar en él será necesaria una cuenta de usuario

que cumpla con dichas políticas.

Sólo estarán habilitadas las cuentas de usuario necesarias para administración y trabajo. La

cuenta de invitado del dominio estará deshabilitada.

Se creará un Honeypot en el acceso al dominio. Esto quiere decir que la cuenta de

administrador tendrá un nombre de usuario convencional como si se tratase de uno más. A la

vez, crearemos un usuario con nombre “Administrador” sin ningún tipo de privilegio.

La creación de un Honeypot supone una ventaja en términos de seguridad, ya que existen

ataques externos que tratan de romper las contraseñas de administradores y escalar

privilegios.

Una máxima en seguridad consiste en evitar los valores por defecto que proporcionan los

sistemas (en este caso el sistema operativo). Con esta operación conseguimos proteger las

credenciales de administrador real con una cuenta ficticia que simula ser un usuario con

privilegios de sistema. No se trata de una operación de ocultamiento, lo cual sería ineficaz en

términos de seguridad, ya que el usuario administrador como tal sigue existiendo y es visible.

Si se produce un ataque contra la cuenta de administrador y se consigue romper la contraseña,

no será posible iniciar sesión en el dominio con ella (ya que se encuentra bloqueada) y aunque

así fuera no se dispondría de autorización ninguna para realizar operaciones con privilegios de

administración.

http://www.agpd.es/

http://sedeagpd.gob.es/


Consejos sobre contraseñas

No utilizar el nombre de usuario como parte de la contraseña.

No apuntar la contraseña en papel ni compartirla con otras personas.

No utilizar datos personales en la contraseña.

Utilizar símbolos especiales, tales como ¡”·$%&/()=.

Combinar mayúsculas, minúsculas, números y símbolos en la contraseña.

Ejemplos (no usar como contraseñas, son ejemplos demostrativos):

o $an)_oRenz0

o V1stAd3V€R

o ^\n0€nTr4R\^

Para comprobar la seguridad de una contraseña: http://passwordmeter.com/

Plan de copias de seguridad

A continuación se detalla el plan de copias de seguridad. Algunas de las tareas serán

automatizables pero tanto la supervisión de éstas como la realización de aquellas que se lleven

a cabo de forma manual corren a cargo del responsable de sistemas.

Imagen del sistema (tanto cliente como servidor) anual o eventual tras actualización crítica de

sistema operativo o software instalado. Almacenamiento de la imagen en un DVD-DL en la sala

de comunicaciones siguiendo la nomenclatura:

SYS-<tipo>_IMAGE-<numero>_<año>, donde:

<tipo> es SRVR o CLNT según si el sistema es cliente o servidor.

<numero> el identificador de imagen. Incremental desde 00.

<año> el año en el que se genera la imagen.

Ejemplo: SYS-SRVR_IMAGE-00_2014.

En el modelo virtual que vamos a implementar no dispondremos de medios de

almacenamiento DVD-DL por lo que recurriremos a volúmenes de datos independientes para

almacenar esta información de respaldo.

Estrategia de copias y datos a almacenar. Factores que motivan la estrategia de copias:

Es necesario proteger ante fallos los datos críticos, los cuales manejan administrativos

y directores del centro.

Copiar grandes cantidades de directorios y datos provoca que el usuario no se

interese por proteger su información, ya que si sabe que se le copiará todo, no

mantendrá su sistema organizado y en muchos casos no sabrá lo que guarda y dónde.

Por el punto anterior, la estrategia de copias se centra en proteger un único

directorio para cada usuario, en el cual deberá tener organizados todos aquellos

ficheros que requieran ser protegidos ante compromisos de seguridad.

El tráfico de red al almacenar en un equipo externo grandes cantidades de datos es

excesivo, se debe optimizar la cantidad de información a almacenar.

La carpeta del perfil de usuario es la ideal para mantener un backup sobre ella, ya que

es accesible por el usuario independientemente del equipo donde trabaje (perfiles

de dominio Windows).

http://passwordmeter.com/


El administrador de sistema tiene su propia estrategia de copia. Sólo se hará copia de

respaldo del directorio “Documents” de su carpeta personal cifrada.

Tipo de copia (programación)

Fecha Hora Datos a copiar

Completa (semanal) Todos los viernes 18:00 Documentos de todos

los usuarios

Diferencial (semanal) Todos los martes

y jueves 7:30

Documentos de todos los usuarios

Ver anexo E-77 Esquema de copias de seguridad

Si el día de copia es no laborable y los equipos no van a ser utilizados, el administrador debe

forzar la copia correspondiente el día anterior (forzar la tarea de copia próxima).

Buenas prácticas y seguridad a nivel humano

Además de los aspectos anteriormente detallados sobre seguridad, también existen una serie

de normas a cumplir por todos los usuarios para contribuir a la seguridad de la red. Los puntos

recogidos en este apartado deben ser accesibles fácilmente para todos los usuarios del centro,

quienes a su vez deben ser conscientes de que el no hacerlo puede suponer un problema grave

tanto para ellos como para la organización.

Anexo “E-86 Seguridad a nivel humano”.

Este plan de copias de seguridad se basa en mi propio criterio. Aplico los conceptos aprendidos

en la asignatura de seguridad y atendiendo a distintos boletines de seguridad informática

publicados en Internet.

Informe de servicios

DNS: Servicio de nombres de dominio en ejecución desde el servidor (10.0.0.100) para la

resolución de nombres de toda la infraestructura de la red y sus sistemas.

DHCP: Servicio de configuración dinámica IP para los equipos conectados a través de WLAN.

También será de utilidad para equipos nuevos que se instalen en la red, ya que pueden ser

configurados antes de ser incluidos en el entorno, que normalmente será de configuración IP

estática. Monitorizar concesiones y establecer rangos de direcciones permite clasificar los

distintos equipos que se conectan a la red, además de monitorizarlos de alguna manera.

Autenticación: La asociación de los equipos y el registro de usuarios centralizado en el

catálogo global permitirá administrar la autenticación de usuarios, políticas de contraseñas y

gestión de autenticación de forma segura. Todos los usuarios y las máquinas deberán validar

su pertenencia al dominio hacia el servidor de autenticación.


Directorio Activo: Administrador del catálogo global. Va a posibilitar la gestión de usuarios,

grupos, directivas de contraseñas y la administración de todos los recursos de la red, incluido

el servidor. Es una herramienta que facilita la administración de la red.

Copias de seguridad: Mediante las herramientas propias del sistema operativo y Cobian

Backup, tal y como se detalla en el informe de aplicaciones. Es necesario un servicio que

proteja el dominio contra la pérdida de información. En primer lugar, serán necesarias

imágenes de sistema completas (para replicar en varios equipos si es necesario y facilitar el

trabajo) y también sobre las carpetas compartidas y perfiles de usuarios.

Desviaciones

Configuración IP y subredes

La configuración IP de los equipos de la red estaba, en un primer momento, planteada

aplicando subredes. Más adelante, he considerado más oportuno no aplicar inicialmente

dichas técnicas y proponerlas como un cambio en términos de escalabilidad (para más

adelante, si fuera necesario).

Software necesario para el proyecto y costes de mano de obra

Para la realización de los planos he necesitado software adicional (y tiempo extra para

instalarlo y configurarlo). Por otra parte, ha habido ligeras desviaciones configurando el

servidor y los clientes, ocupando más y menos tiempo del estimado respectivamente. Aun

sufriendo estas desviaciones temporales, el cómputo de tiempos global para este apartado no

se ve alterado.

Por último, he añadido el coste de mano de obra al total de la implementación del proyecto

propuesto. En un principio, al ser un proyecto de carácter educativo, no contemplaba estos

costes.

Más detalles sobre desviaciones en anexo E-81 “Desviaciones y lecciones aprendidas”.


Capítulo 4. Implementación de la solución y pruebas

En este capítulo trataremos la puesta en marcha de la solución propuesta. Tecnologías y

aplicaciones concretas, un plan de organización en base a un dominio y, por último, un plan de

pruebas que incluye su propia especificación, ejecución y resultados.

Instalación de sistemas operativos

Como primer paso en la implementación de la solución, es necesario crear un modelo de

simulación que permita llevar a cabo el diseño creado anteriormente. Para este proceso hace

falta instalar el software de virtualización elegido, que será VirtualBox (versión 4.3.20-96997).

Instalación de Microsoft Windows Server 2012 R2

En este apartado se aborda la instalación del sistema operativo en el equipo servidor. Es un

punto crítico de la implementación ya que va a proporcionar servicios esenciales para que la

infraestructura funcione correctamente. Por este motivo y por las características especiales del

sistema operativo escogido debemos ser especialmente cautos durante el proceso, el cual

ocupará más de 30 horas de trabajo.

La instalación del sistema operativo se detalla en el anexo E-78 “Instalación de Microsoft

Windows Server 2012 R2”. En este proceso se realiza, además, la configuración de los servicios

y de la máquina servidor al completo.

Las operaciones realizadas durante esta fase son:

1. Instalación del sistema operativo.

2. Cómo cambiar de idioma a español.

3. Configuración del servidor:

a. Nombre del servidor.

b. Configurar acceso remoto para administración.

c. Configuración IP estática.

d. Windows Update (actualizaciones del sistema).

e. Firewall de Windows.

f. Instalación de software antivirus.

g. Servicio de Protocolo de Configuración Dinámica de Host (DHCP).

4. Controlador de dominio:

a. Instalación del rol de administrador de dominio.

b. Promoción del sistema a Controlador de dominio.


c. Resumen de configuración y script PowerShell equivalente.

5. Monitorización de rendimiento y actividad de usuarios:

a. Monitor de recursos.

b. Monitor de rendimiento.

c. ADManager Plus (alternativa de monitorización de dominio).

6. Registro de eventos del sistema.

Instalación de Microsoft Windows 8.1

Una vez instalado y comprobado el servidor, atendemos la instalación y configuración del

sistema operativo cliente. Aunque no es tan extenso como el apartado anterior, tendremos

que realizarlo dos veces (una por cliente, cada uno con sus peculiaridades) y servirá para

comprobar la validez de la instalación, tanto del sistema operativo cliente, como la de los

servicios configurados en el servidor.

En un primer momento configuraremos el ámbito local, como si de un equipo de trabajo

convencional se tratase. Después, trataremos aspectos como la conectividad con el servidor, el

acceso a recursos y la autenticación centralizada.

Este apartado incluye, no sólo la instalación de los sistemas operativos cliente, sino también su

configuración inicial, cambio de nombre de equipo, asociación al dominio y configuración de

seguridad.

Toda la información relativa a estas operaciones se encuentra detallada en el anexo E-80

“Instalación de Microsoft Windows 8.1”.

Usuarios y equipos en Active Directory

Una vez instalado y configurado el servidor utilizamos Active Directory para configurar:

1. Usuarios y grupos. Unidades organizativas.

2. Equipos hardware.

Y además, en el servidor configuramos otros aspectos como:

3. Aplicación de directivas de contraseñas (políticas de seguridad local y de dominio).

4. Implementación, ejecución y viabilidad del plan de copias de seguridad.

5. Instalación y configuración de servicio SaaS de almacenamiento remoto.

6. Imagen de sistema Windows Server 2012 y File History en sistemas cliente.

Todos estos puntos se detallan en el anexo E-79 “Usuarios, grupos e implementación de

seguridad”.


Plan de pruebas

El plan de pruebas de este proyecto tiene como objetivo la validación de las decisiones

adoptadas durante su desarrollo. Las alternativas elegidas a lo largo de su desarrollo deben ser

válidas y razonables conforme a los requisitos. Para comprobar que dichos requisitos son

alcanzados satisfactoriamente, aplicaremos el plan de pruebas sobre el entorno simulado.

En un primer paso detallamos una especificación del plan. En ella, enumeramos cada punto de

prueba con una breve explicación.

Después, ejecutamos cada punto de prueba en el entorno de simulación para así comprobar si

el resultado es satisfactorio o no.

Por último, documentamos el resultado y las conclusiones que han podido obtenerse del

proceso en la evaluación de puntos de prueba, al final del apartado de plan de pruebas.

Este plan de pruebas, en un caso real de aplicación, debe extenderse a todos y cada uno de los

sistemas instalados y configurados en el proyecto (incluidos los sistemas RAID, SAI, etc.).

Además, debe ser actualizado tras la inclusión de nuevos equipos, aplicaciones o servicios al

entorno de trabajo.

Para que un plan de pruebas sea útil y valioso, debe aplicarse periódicamente (por ejemplo,

una vez al año), solucionar los casos de prueba cuyo resultado es negativo y documentar los

pasos necesarios para alcanzar dicha solución.

Especificación

Enumeración y

descripción de

puntos de

prueba

Ejecución Evaluación

Comprobación

y verificación

de puntos de

prueba

Documentación

de resultados y

conclusiones

obtenidas


Especificación del plan

Los puntos de prueba a verificar son los siguientes:

1. Integridad de instalación del sistema operativo:

1.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.

1.2. Microsoft Windows 8.1:

1.2.1. Equipo de personal administrativo: crlnv-adm-00.

1.2.2. Equipo de personal de dirección: crlnv-dir-00.

2. Estado de actualizaciones del sistema operativo:

2.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.

2.2. Microsoft Windows 8.1:

2.2.1. Equipo de personal administrativo: crlnv-adm-00.

2.2.2. Equipo de personal de dirección: crlnv-dir-00.

3. Inicio de sesión en el sistema:

3.1. Dentro del ámbito de dominio:

3.1.1. Personal administrativo en equipo de administración.

3.1.2. Personal directivo en equipo de dirección.

3.1.3. Administrador de dominio en el sistema controlador de dominio.

3.2. Ámbito local:

3.2.1. Administrador local en equipo de administración.

3.2.2. Administrador local en equipo de dirección.

3.3. En ámbito de dominio sin conexión al servidor:

3.3.1. Personal administrativo en equipo de administración.

3.3.2. Personal directivo en equipo de dirección.

3.3.3. Administrador de dominio en equipo de administración.

3.3.4. Administrador de dominio en equipo de dirección.

4. Estado del software antivirus y análisis de amenazas:

4.1. En el sistema servidor (Microsoft Security Essentials):

4.1.1. Estado de actualizaciones.

4.1.2. Estado del servicio.

4.1.3. Análisis del sistema, búsqueda de malware.

4.2. En equipo de administración (Avast Antivirus):

4.2.1. Actualizaciones de base de datos de virus.

4.2.2. Estado del servicio (estado de escudos del antivirus).

4.2.3. Análisis del sistema en busca de archivos maliciosos.

4.3. En equipo de dirección (Avast Antivirus):

4.3.1. Actualizaciones de base de datos de virus.

4.3.2. Estado del servicio (estado de escudos del antivirus).

4.3.3. Análisis del sistema en busca de archivos maliciosos.


5. Conectividad y análisis de red:

5.1. Pruebas de transmisión de paquetes (LAN):

5.1.1. Entre equipos del mismo departamento.

5.1.2. Entre equipos de distintos departamentos.

5.2. Conexión a Internet:

5.2.1. Conectividad del servidor a Internet.

5.2.2. Conectividad de equipo de administración a Internet.

5.2.3. Conectividad de equipo de dirección a Internet.

5.3. Tráfico de red:

5.3.1. Monitorización de transmisión de paquetes con Wireshark.

6. Funcionalidad de aplicaciones:

6.1. Equipo de administración:

6.1.1. Navegación con Google Chrome.

6.1.2. Tareas administrativas con Microsoft Office: Word, Excel y

Powerpoint.

6.2. Equipo de dirección:

6.2.1. Navegación con Google Chrome.

6.2.2. Tareas administrativas con Microsoft Office: Word, Excel y

Powerpoint.

7. Repositorios de almacenamiento de backup y tareas de copia:

7.1. Tareas de copia en Cobian Backup.

7.2. Imagen del sistema Windows Server.

7.3. File history, almacenamiento de perfiles de usuario.

7.4. Soporte remoto (Unidad de red).

7.5. Repositorio sincronizado SaaS (OneDrive).

8. Disponibilidad y estado de servicios:

8.1. Servicio de nombres de dominio (DNS).

8.2. Servicio de configuración dinámica de host (DHCP).

8.3. Servicio AD DS (Directorio activo – Servicio de dominio).

9. Honeypot y cuentas de administración de dominio:

9.1. Imposibilidad de inicio de sesión como Administrador (cuenta deshabilitada y sin

permisos de dominio).

9.2. Comprobación de permisos de administrador de dominio e inicio de sesión

(uErArreglo, administrador de dominio).

10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):

10.1. Directorios de departamentos: administración, dirección, usuarios centro.

10.2. Carpeta común.


Ejecución de pruebas

En este apartado se ejecutan todos los pasos de comprobación para evaluar los puntos de

prueba enumerados anteriormente. Los resultados se verán reflejados en la tabla siguiente

(apartado “Evaluación de puntos de prueba”).

Algunos puntos de prueba requieren de varios pasos, aclaraciones, pruebas adicionales o

métodos especiales que son documentados en su anexo correspondiente. Para obtener

información completa de estos puntos revisar el anexo E-88 “Plan de pruebas”.

Los puntos más sencillos, aquellos que sólo requieren una observación o comprobación simple,

son documentados directamente en la tabla de evaluación. En esta tabla se recogen las

puntualizaciones y aclaraciones pertinentes.

Los 10 puntos de prueba definidos se evalúan de forma secuencial comprobando que,

efectivamente, se cumplen los requisitos de la infraestructura propuesta.

Evaluación de puntos de prueba

A continuación se muestra una tabla con los resultados obtenidos durante la realización del

plan de pruebas:

Punto de prueba Resultado Observaciones

1. Integridad de instalación:

CSNV.crlnuevavida.es Comprobación de integridad satisfactoria. crlnv-adm-00

crlnv-dir-00

2. Actualizaciones del sistema operativo:

CSNV.crlnuevavida.es Incluye configuración de Windows Update e instalación de actualizaciones importantes.

crlnv-adm-00 Revisión de Windows Update y reinicio del sistema. crlnv-dir-00

3. Inicio de sesión en el sistema:

Administrativo (en dominio) Marcos Alonso (administrativo).

Directivo (en dominio) Juan Pérez (directivo).

Administrador (en controlador de dominio)

Administrador local en equipo de administración Credenciales de “Administrador” de la máquina

local (fuera de dominio). Administrador local en equipo de dirección

Administrativo sin conexión al servidor (en dominio)

Estas

operaciones hacen uso de la caché SAM que

guarda las credenciales de

anteriores inicios de sesión

en el sistema

Marcos Alonso, usuario de administración en crlnv-adm-

00.

Directivo sin conexión al servidor (en dominio)

Yolanda Figueras, usuario de dirección en crlnv-dir-00.

Administrador de dominio en equipo de administración sin

conexión al servidor

Perfil de administrador de dominio uErArreglo.

Administrador de dominio en equipo de dirección sin

conexión al servidor

4. Estado del software antivirus y análisis de amenazas:

Microsoft Security Essentials (Servidor):

Estado de actualizaciones Últimas definiciones de virus disponibles.

Estado del servicio MSE activado y protegiendo el equipo.

Análisis del sistema Malware no encontrado en el sistema.

Avast Antivirus (en crlnv-adm-00):


Estado de actualizaciones

Estado del servicio

Análisis del sistema

Solicita instalación de software publicitario de la misma empresa (GrimeFighter). El análisis es

correcto y no encuentra amenazas.

Avast Antivirus (en crlnv-dir-00):

Estado de actualizaciones

Estado del servicio

Análisis del sistema

5. Conectividad y análisis de red:

Transmisión de paquetes entre equipos del mismo

departamento

Pruebas realizadas en el entorno de red simulado con Cisco Packet Tracer. Mensajes

ICMP.

Transmisión de paquetes entre equipos de distinto

departamento

La configuración de red propuesta funciona correctamente en las pruebas de simulación. La comunicación en el entorno virtual también es

correcta.

Conexión del servidor a Internet

Solicitud PING a www.google.es para comprobar conectividad y DNS.

Conexión de equipo de administración a Internet

Conexión de equipo de dirección a Internet

Tráfico de red Monitorización de red con Wireshark.

6. Funcionalidad de aplicaciones:

Navegación con Google Chrome en equipo de

administración

Visita al sitio Web www.unirioja.es sin incidencias. Acceso a Internet.

Tareas administrativas con Microsoft Office

Hoja de cálculo, procesador de textos y base de datos disponibles.

Navegación con Google Chrome en equipo de

dirección

Búsqueda en Google a través de www.google.es. Acceso a Internet.

7. Repositorios de almacenamiento de backup y tareas de copia:

Tareas de copia en Cobian Backup

Las rutas origen y destino de copia en las tareas creadas están configuradas correctamente.

Imagen del sistema Windows Server

Almacenada en soporte RAID (en simulación, unidad remota).

File history, almacenamiento de perfiles de usuario

Perfiles almacenados correctamente de forma automática con File History en la unidad remota.

Directorio WindowsImageBackup.

Soporte remoto (Unidad de red)

Acceso normal, contenido íntegro. Conectado como unidad E:\.

Repositorio sincronizado SaaS (OneDrive)

Funcionamiento adecuado. Forma parte de los destinos programados para las tareas de copia


en Cobian. La sincronización con la nube funciona correctamente.

8. Disponibilidad y estado de servicios:

Servicio de nombres de dominio (DNS)

Consulta de estado de servicios desde el dashboard de Administrador del Servidor en

Windows Server 2012.

Servicio de configuración dinámica de host (DHCP)

Servicio AD DS (Directorio activo – Servicio de dominio)

9. Honeypot y cuentas de administración de dominio:

Imposibilidad de inicio de sesión como Administrador

La cuenta está deshabilitada y además no

permite iniciar sesión con ella en ningún equipo de dominio.

Comprobación de permisos de administrador de dominio

e inicio de sesión

Inicio de sesión correcto y permisos asignados adecuados como administrador de dominio.

10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):

Directorios de departamentos:

administración, dirección, usuarios centro

Creación de ficheros en cada departamento:

pruebas de copia, edición y eliminación.

Carpeta común

El usuario que publica en ComunCRL puede solicitar que sólo él pueda modificarlo. Las

directivas de grupo permiten editar los permisos de los ficheros creados por ellos.

Como podemos observar, todas las pruebas han sido completadas satisfactoriamente. En la

evaluación de cada punto de prueba hemos conseguido el resultado esperado, tal y como

figura en la tabla anterior.

Con esta fase del proyecto podemos dar por concluido el apartado de implementación de la

solución y las pruebas de la misma.

A continuación abordamos el apartado de restauración, donde se plantean distintas

situaciones que pueden presentarse en la infraestructura en un futuro. Se trata de un paso

más en el cual se compromete al entorno simulado y se detalla a continuación la o las

soluciones que se pueden adoptar y su resultado final.


Escenario de restauración

Una vez implementada la infraestructura y ejecutado el plan de pruebas con éxito, pasamos al

escenario de restauración. En este apartado simularemos posibles problemas que puedan

existir en el futuro para comprobar la eficacia de los sistemas de seguridad aplicados en el

proyecto.

El escenario de restauración se divide en los siguientes puntos:

Recuperar una versión anterior de un documento del administrador de dominio.

Restablecer un perfil de dominio de un usuario.

Aplicar la imagen de sistema servidor.

Conectividad para un cliente con problemas de acceso a la red.

A continuación se detallan uno a uno los puntos del escenario:

Recuperación de un documento del administrador de dominio

Situación

El administrador elimina un documento importante

almacenado en su carpeta personal, lo sobrescribe o

existe un problema de integridad en el sistema de

ficheros que le impide acceder a esa información.

En esta ocasión el fichero ha sido eliminado de forma

permanente por accidente. No es posible acceder a él

desde la papelera de reciclaje.

Solución

La tarea de copia “SRVR_PERFILADMIN” realiza copias de respaldo de los documentos del

administrador, por lo que podemos recurrir a diferentes medios de recuperación:

1. Recurrir a la copia de respaldo del medio remoto.

2. Recuperar el fichero desde el servicio OneDrive.

3. Utilizar un software de recuperación de archivos.

Utilizamos la primera opción. Si accedemos al repositorio

donde se almacenan las copias nos encontramos con el

fichero, el cual si abrimos comprobamos que está cifrado.

Si queremos acceder al contenido descifrado, debemos

utilizar la herramienta “descifrador” de Cobian. Indicamos

la clave de administrador de dominio y el tipo de cifrado

AES 256 bits.


Descifrador en Cobian, descifrado del fichero a recuperar

Una vez realizada esta operación, podemos acceder al fichero perdido con total normalidad,

recuperando la versión destruida siempre y cuando sea el administrador de dominio quien

desee recuperar la información.

Restablecer un perfil de dominio de un usuario

Situación

El equipo de trabajo de un usuario tiene que ser reemplazado por una actualización

importante, un fallo de un componente hardware u otro tipo de reparación. Los datos con los

que trabaja dicho usuario están almacenados localmente en su estación de trabajo,

concretamente, en su perfil de dominio, con el que inicia sesión.

El servicio de dominio Active Directory sólo guarda las credenciales del usuario y la

información de su cuenta (pertenencia a grupos, unidades organizativas, permisos...) pero

nunca sus datos.

Solución

Podemos adoptar dos soluciones distintas en función de qué necesitamos recuperar:

Sólo datos: Con la tarea de Cobian “CLNT_PROFILES”. Tal y como hemos recuperado

los datos del punto anterior.

Perfil completo: Utilizando la herramienta File History que almacena los datos y la

configuración del perfil.

En este caso aplicaremos la segunda opción, File History. Los pasos a seguir son los siguientes:

1. Si el perfil ha sido eliminado, no hay más remedio que volverlo a crear. Si se han

perdido datos o configuraciones del perfil no es necesario crearlo de nuevo. Esta

operación debe realizarse creando un nuevo objeto de usuario en “Usuarios y Equipos

de Active Directory”.

2. Iniciamos sesión con el perfil de dominio en su equipo de trabajo, en nuestro caso es

Marcos Alonso en el equipo crlnv-adm-00.crlnuevavida.es.


3. Accedemos al servicio File History desde el panel de control (o mediante una búsqueda

desde el menú inicio). Elegimos el recurso de red donde el servidor almacena los datos

del perfil: \\CSNV\[email protected].

4. Marcamos el check “Quiero utilizar un backup previo de esta unidad”. Aparece

entonces otro cuadro en el que nos permite elegir el

backup a restaurar.

Accedemos a las tres copias de las que disponemos

actualmente sobre este perfil. Podemos navegar entre las

diferentes versiones y directorios para restaurar los datos

que deseemos.

Una vez seleccionada la información que queremos

restaurar, hacemos clic en el botón verde de la parte inferior de la pantalla.

De este modo, recuperamos la información del perfil satisfactoriamente.

Aplicar la imagen del sistema servidor

Situación

El servidor es un sistema más de la infraestructura y, como tal, puede fallar. Además, no

disponemos de un servidor de pruebas que nos permita mantener un sistema completo de

respaldo por si el primero falla. Tampoco tenemos un servidor de réplica, el cual realizaría esta

función de forma automática, gracias a los servicios de Active Directory y el catálogo global.

Descartando las soluciones más adecuadas, ya que aumentarían el coste del proyecto

notablemente, se hace necesario buscar otras alternativas.

Solución

Si se trata de un problema de hardware, ponerse en contacto con el fabricante es la solución

más adecuada. Si el administrador de sistemas es capaz de diagnosticar el problema, puede ser

más rápido que él mismo sustituya la pieza dañada.

Para los problemas derivados de un fallo de software, tenemos una imagen de sistema

operativo creada y almacenada. Esta imagen, por requisitos del plan de seguridad, es

actualizada con cada cambio significativo realizado en el servidor. ¿Cómo podemos restablecer

el estado del sistema operativo aplicando la imagen realizada?


Imágenes de sistema almacenadas durante la ejecución del plan de seguridad

Existen dos alternativas para aplicar la imagen y restaurar el sistema:

1. Utilizar la herramienta gráfica de realización de copias y restauración:

Cuando el sector de arranque del sistema no se ha visto afectado es preferible

utilizar esta opción, pero para ello es necesario que el sistema sea capaz de

arrancar con normalidad. En herramientas administrativas, Windows Server

Backup hacemos clic en recover y seguimos el asistente, seleccionando estos

parámetros:

Ubicación de la imagen de restauración: CSNV.crlnuevavida.es.

Obtenemos la información de las copias

almacenadas, elegimos la más reciente

o la más adecuada.

Recuperar estado del sistema (System state). Podemos elegir otras

opciones de recuperación como: Ficheros y directorios, volúmenes o

aplicaciones.

Destino de recuperación: Ubicación original.

Nota: el tipo de recuperación “estado del sistema” sólo puede realizarse desde el

modo de recuperación (modo DSRM), detallado a continuación en el punto dos.

2. Arrancar el sistema en modo recuperación y restaurar con imagen de sistema:

Utilizando este método podemos utilizar todas las opciones de recuperación,

incluida la de estado de sistema. Para poder volver a un estado anterior es

necesario que el sistema operativo no esté funcionando, los pasos a seguir son los

siguientes:

Arrancar la máquina en modo de recuperación (DSRM) pulsando F8 antes

de que el sistema operativo arranque con normalidad.

En opciones de arranque avanzadas, elegimos “Reparar el equipo”.

En el menú siguiente: Opciones avanzadas > Recuperación imagen de

sistema.

Seleccionar opción de recuperación: Estado de sistema.

Elegir la imagen más adecuada para restaurar de las opciones disponibles.

Ubicación de la restauración: Ubicación original.

Sea cual sea la opción que hemos elegido, se trata de una operación costosa que afecta a todo

el sistema, por lo que podemos estimar un tiempo de recuperación de entre dos y cuatro

horas. Una vez realizada la operación, el equipo se reiniciará y podremos iniciar sesión con

normalidad.


Conectividad para un cliente con problemas de acceso a la red

Situación

Un usuario informa de que no tiene posibilidad de acceder a la red. El administrador acude al

puesto de trabajo para averiguar qué sucede y quiere descartar problemas de configuración IP.

¿Cómo puede ayudar la infraestructura de servicios en esta situación? Si pasa en varios

equipos a la vez, ¿cómo atajar el problema con agilidad?

Solución

La solución más eficaz pasa por hacer modificaciones en la infraestructura de servicios actual y

ampliar la información sobre el estudio de configuración IP. El proceso consta de dos fases, un

apartado técnico de actuación sobre el servicio DHCP y otra de documentación para habilitar

configuraciones IP estáticas temporales.

Fase 1: Crear un ámbito DHCP de reserva para conceder a los clientes datos de configuración IP

dinámicos temporales y así comprobar su conectividad. Existe un conflicto explicado en

desviaciones con este servicio que nos impide crear un ámbito para atender estas peticiones,

así que ampliamos el rango de concesiones creando un ámbito global que atenderá las

peticiones de conexiones inalámbricas y las de IP de reserva para conectividad.

Configuración final del ámbito global en el servidor DHCP

Fase 2: Documentar un rango de direcciones IP de reserva utilizables en caso de ser necesaria

una configuración estática diferente en el equipo cliente. Debemos utilizar un rango fuera del

ámbito de concesiones del servidor DHCP, para evitar problemas de duplicación de

direcciones.

Para aplicar esta solución debemos añadir la siguiente fila en la tabla de direcciones contenida

en el estudio de configuración IP:

Equipo (hostname) Ubicación Dirección

Reserva de direcciones para asignación manual.

Todo el centro

10.0.151.0 – 10.0.151.254 Máscara: 255.255.0.0

Puerta de enlace: 10.0.0.1 DNS: 10.0.0.100

Utilidad y crecimiento del escenario de restauración

El informe que documenta las operaciones de restauración debe crecer con cada problema

resuelto. Es fundamental documentar correctamente la solución adoptada y la información

recogida. Esta información, junto a la contenida en el plan de seguridad, puede ahorrar mucho

tiempo a la hora de solucionar un problema en la infraestructura.


Tener actualizados y bien documentados estos informes ahorrará tiempo, problemas y hará

más efectiva la labor del administrador, evitando tener que investigar varias veces problemas

similares y buscar soluciones adoptadas en casos anteriores.

Desviaciones

Incompatibilidad de aplicación: Avast y Windows Server

Problemas de compatibilidad a la hora de instalar el antivirus Avast en el servidor. Este

software está pensado para ser utilizado en equipos cliente que ejecutan sistemas operativos

para equipos de este tipo. La solución más razonable pasa por instalar Microsoft Security

Essentials en lugar de Avast (sólo en el caso del equipo servidor, por sus características

especiales).

Servicio VSS (Volume Shadow Copy Service) y Cobian Backup

El software elegido para las tareas de backup, Cobian, requiere del uso del servicio de

Windows VSS para copiar ficheros protegidos por el sistema operativo. El uso de este servicio

requiere privilegios administrativos, por lo que ha sido necesaria una modificación adicional en

la configuración del programa Cobian Backup.

Inicio de sesión en Microsoft Windows Server 2012

Problemas de configuración en la máquina virtual (instalada en Virtualbox) impiden que el

sistema operativo permita iniciar sesión. La solución pasa por cambiar la configuración de la

máquina virtual desde el menú de configuración de Virtualbox. El fallo queda registrado y

documentado en el log del sistema operativo.

Problemas de servicio WDS (Windows Deployment Services) y

Administración Remota

Un error no documentado relacionado con el servicio WDS y Administración Remota me

impide habilitar servicios críticos para la realización del proyecto. El problema reside en una

instalación defectuosa del sistema operativo que me obliga a reinstalarlo y configurarlo de

nuevo.


Sistema RAID, simulación virtual

Tal y como queda especificado en los requisitos del proyecto, es necesario un sistema

redundante de almacenamiento (RAID) para las copias de seguridad. En el entorno real viene

configurado en el sistema servidor, pero en nuestro caso necesitamos una solución de

simulación. La aplicación más aproximada que podemos realizar es incluir en la máquina virtual

una ubicación de red adicional que funcionará como espejo (aplicando así un RAID tipo 1).

Accesibilidad a carpetas compartidas entre máquinas. Hora del

sistema y seguridad

El servidor de ficheros no permite acceder a los clientes a sus recursos compartidos si su hora y

fecha no están actualizadas. Guardar el estado de una máquina virtual sin tener instaladas las

Virtualbox Guest Additions puede provocar un desfase horario en la máquina virtualizada. Para

evitar esto, se añade a la instalación de las máquinas el paquete Guest Additions.

La fecha y hora de máquina servidor y cliente deben coincidir para permitir el acceso a los

recursos compartidos. Con esta solución, el problema de acceso desaparece.

Planificación y ejecución del plan de copias de seguridad

La estrategia de copias es válida, pero su implementación está mal realizada por un error al

aplicarla. Al intentar poner como destino de copia un directorio que forma parte de los

orígenes de copia (por ejemplo, guardar en C:\Copia el contenido del volumen C:\) provoca

una copia continua que no termina nunca (como una recursividad mal fundada). No existe

condición de parada y el sistema se satura.

Corregir la aplicación de la estrategia de copia resuelve este problema.

Cortafuegos a nivel de dominio y protocolo ICMP

El cortafuegos activado en el cliente a nivel de dominio impide que el servidor pueda realizar

solicitudes PING satisfactoriamente con sus clientes para comprobar la conectividad. Para

poder realizar labores de diagnóstico de red, comprobaciones de conectividad de red, estado

de servicios, etc. es necesario desactivar el firewall en el cliente, únicamente a nivel de

dominio.

Sin llegar a ser una práctica muy insegura, sí conviene desactivar el cortafuegos únicamente

cuando vayan a realizarse las labores mencionadas anteriormente. Mantener activadas las

medidas de seguridad es esencial.


Configuración del ámbito de red en los clientes

En Windows 8.1, así como en versiones anteriores del sistema operativo, es posible establecer

el ámbito de una conexión de red. Una conexión puede ser pública (si nos conectamos en

centros comerciales, aeropuertos…) o privada (si se trata de una red de trabajo o doméstica).

Tenemos el problema de que la interfaz que comunica a los equipos de la simulación está

configurada como pública de forma automática. Esto afecta a la conectividad, incluso a la

posibilidad de realizar copias de seguridad de los clientes, ya que el servidor no tiene acceso a

los clientes a través de una red pública. Es un problema que puede aparecer tanto en el

entorno virtual como en el real.

Para solucionar esto ha sido necesario reconfigurar las interfaces de red en los clientes desde

el centro de redes y recursos compartidos, en el panel de control de Windows.

Los ámbitos de concesiones en el servicio DHCP de Windows Server

Durante la realización del escenario de restauración, concretamente la primera fase del último

punto, necesitamos hacer modificaciones sobre el servicio DHCP. Se trata de una operación

aparentemente sencilla, añadir un ámbito con el rango 10.0.100.1 – 10.0.100.254 para ayudar

al administrador de sistemas a resolver posibles problemas de conectividad en los clientes.

Ya tenemos configurado el ámbito 10.0.150.1 – 10.0.150.254 para conexiones inalámbricas y

ambos son incompatibles. No se solapan entre ellos, pero Windows Server no permite activar

ambos ámbitos, ¿por qué? Pues es sencillo, tiene que ver con la máscara de subred.

Si establecemos una máscara de subred, como es el caso, 255.255.0.0, un ámbito de

concesiones con esta máscara ocupa todo el rango de direcciones aplicable sobre esa máscara,

un ejemplo aplicado a nuestra situación:

Si un ámbito DHCP está configurado con 10.0.150.1-254 con máscara 255.255.0.0, el ámbito

ocupa, en realidad, todas las direcciones 10.0.x.x (las que coinciden con la máscara), es decir:

Las que concedo: 10.0.150.1-254 con máscara 255.255.0.0.

Las que ocupo: 10.0.x.y, con x e y entre 1 y 254 con máscara 255.255.0.0.

No es fácil de explicar, posiblemente lo sería si tuviera sentido. Hay dos posibles soluciones,

engañar a Windows o modificar el planteamiento realizado y ajustar la máscara a las

exigencias del sistema operativo, apostamos por la primera.

Creamos un ámbito global (superscope) que abarca el rango 10.0.100.1 – 10.0.150.254 y luego

añadimos a la lista de exclusiones el rango 10.0.101.1 – 10.0.149.254. Así conseguimos que el

ámbito global atienda a las peticiones de ambos sectores de direcciones.

Más detalles sobre estas desviaciones en el anexo E-81 “Desviaciones y lecciones aprendidas”.


Capítulo 5. Conclusiones

Una vez ejecutada y verificada la solución, pasamos al último capítulo del proyecto. En estos

párrafos se detallarán las lecciones aprendidas durante todo el desarrollo. Como conclusión

del trabajo, un apartado de bibliografía y un comentario final que abarca, desde una

perspectiva global, las conclusiones obtenidas a lo largo de la realización del proyecto.

Lecciones aprendidas

Asociación al dominio

Encuentro un cambio respecto a mi experiencia con versiones anteriores de Windows Server.

En la versión 2003 era necesario ser administrador de dominio para unir un equipo al dominio.

Actualmente, en la versión 2012, esto ha cambiado y cualquier usuario perteneciente al grupo

“Domain Users” puede realizar esta operación.

Se trata de un cambio que puede generar controversia y que, además, puede suponer un

compromiso de seguridad.

Copias de seguridad de los usuarios y sus perfiles

La estrategia de copias de seguridad está ideada en un principio para realizar imágenes de

sistema de los equipos cliente. Es una práctica razonable cuando hay varios equipos cliente con

características diferenciadas entre ellos: diferente software, configuración, etc.

En este proyecto, no es necesario aplicar esta técnica, ya que la imagen de sistema cliente es

similar en todos los equipos. No existen aplicaciones ni características diferenciadoras para los

distintos departamentos, por lo que podemos incrementar la eficiencia de la estrategia de

copia si acotamos el respaldo a los perfiles de usuario.

La información específica que necesita cada equipo cliente reside en su totalidad en el servidor

(el cual sí posee su propia imagen de sistema). La información a proteger en los equipos cliente

son únicamente los perfiles de usuario, los cuales están englobados en la política de copias, ya

que los equipos cliente se encargan de enviar copias de los perfiles que contienen

periódicamente.


Directivas de contraseñas

También denominados “Requisitos de complejidad de contraseñas”. Constituyen una serie de

reglas que aplica el sistema a la hora de comprobar la validez de las contraseñas de usuario. Al

contrario de lo que yo creía inicialmente, estos requisitos no son editables.

Se trata de una limitación importante que puede suponer, en muchos casos, la adopción de

otra alternativa como sistema operativo servidor, por ejemplo un sistema GNU/Linux, que sí lo

permite.

Con Windows Server será posible establecer parámetros de caducidad, intentos fallidos,

memoria de contraseñas anteriores (para no repetir) y otros parámetros similares. Por el

contrario, en ningún caso será posible decidir cuántas mayúsculas queremos incluir en la

palabra de paso, ni cuántos símbolos especiales, si debe contenerlos o no, etc.

Este sistema operativo te permite habilitar o deshabilitar sus propios requisitos, pero nunca

editarlos.

Reiniciar el sistema

En un servidor, la operación “reiniciar el sistema” debe ser algo poco habitual y justificado.

Este segundo aspecto es necesario en Windows Server, ya que para reiniciar el servidor

necesitas documentar los motivos (que formarán parte del log del sistema desde ese

momento).

Ahora bien, reiniciar el sistema con un sistema operativo Windows Server no es poco habitual,

de hecho es algo demasiado habitual para un servidor. Es necesario reiniciar demasiadas

veces, más de las que creía inicialmente.

Tener que reiniciar el sistema implica cerrar servicios, imposibilitar operaciones de dominio en

los clientes y otras muchas consecuencias indeseables. Otras alternativas de sistemas

operativos como GNU/Linux no exigen reinicio del sistema para operaciones en las que

Windows Server sí lo requiere.

Autenticación centralizada (caché SAM)

Otro avance respecto a versiones anteriores de Windows Server (2003). En la versión 2012 es

posible iniciar sesión en el dominio sin que este esté accesible. Esto es posible gracias a que la

SAM (donde se almacenan las credenciales) de los sistemas cliente es actualizada con cada

inicio de sesión de usuario.

Si un sistema cliente no es capaz de conectar con el controlador de dominio (en nuestro caso

el servidor), recurrirá a su propia SAM para intentar autenticar al usuario que intenta iniciar

sesión. Si este mismo usuario inició sesión en el sistema anteriormente, podrá ser autenticado


y acceder a su perfil de dominio, aunque sin conexión al mismo. Es algo así como una

simulación de perfil de dominio a nivel local.

Es un aspecto positivo para la accesibilidad ya que permite iniciar sesión en el dominio aun

cuando el controlador no está disponible. Por el contrario, no lo es tanto para la seguridad,

porque esto implica que el sistema cliente está autorizado para autenticar usuarios de forma

local. Esta operación debería ser exclusiva del controlador de dominio.

En mi opinión, la autenticación local con un perfil de dominio no debería estar permitida

mientras el servidor no esté disponible. Normalmente un servidor es una máquina preparada

para funcionar continuamente, por lo que este problema debería ser algo excepcional.

Comprometes la seguridad en exceso para ganar accesibilidad en casos muy concretos que no

deberían suceder con regularidad.

La combinación OneDrive + Cobian Backup

Dos herramientas que, en fase de planificación, son incluidas de forma independiente en el

proyecto, cada una realizando una tarea propia.

OneDrive sirve como SaaS replicando ficheros en un medio externo, mientras que Cobian

centraliza las tareas de copia de respaldo. La combinación de ambas aplicaciones no estaba

prevista inicialmente, pero surge una sinergia del uso de ambas de forma sincronizada.

Cobian Backup pone a disposición de OneDrive los datos de respaldo. A su vez, este último

sincroniza de forma automática el repositorio local (un directorio) con el servicio de

almacenamiento alojado en Internet. Así, una tarea de copia de Cobian desencadena tres

operaciones distintas:

Copia de respaldo local en directorio de backup.

Duplicado de los archivos respaldados en el directorio OneDrive.

Sincronización del directorio OneDrive local con el servicio de almacenamiento en la

nube.

Para obtener información extendida sobre las lecciones aprendidas, ver anexo E-81

“Desviaciones y lecciones aprendidas”.


Conclusión

El desarrollo del proyecto “Conceptualización, diseño e implementación de infraestructura de

red” ha sido muy interesante. Un trabajo amplio en los conceptos que abarca: tecnologías,

programas, aspectos de la informática de sistemas y redes.

Se trata de un proyecto motivado por mi deseo de actualizar mis conocimientos en redes e

informática de sistemas, además de aplicar los conocimientos adquiridos en estos años de

grado.

De principio a fin han surgido numerosos problemas, desviaciones y complicaciones de todo

tipo. El tiempo dedicado a su resolución me ha ayudado a adquirir nuevos conocimientos y a

darme cuenta también de lo frágil que puede resultar una planificación.

Aprender, poner a prueba mi motivación y mi independencia profesional han sido los pilares

fundamentales. El trabajo continuado y la comunicación con mis tutores han contribuido

notablemente al resultado.

Estoy satisfecho, por tanto, con la labor realizada como equipo de trabajo, he recibido en todo

momento la ayuda que he necesitado, ha habido una comunicación eficaz y ha formado parte

activa de mi motivación durante este tiempo.

El cliente ha quedado también satisfecho con este resultado. Tras remitir una copia del

proyecto finalizado al responsable de informática del centro y al director, me han transmitido

su agradecimiento personalmente. Consideran este trabajo como una alternativa interesante

para el futuro del centro.

Como puntos críticos puedo destacar las limitaciones sufridas a causa del entorno de trabajo

virtual y, en algunos casos, la irreflexión mía a la hora de elegir ciertas aplicaciones, lo cual me

ha obligado a reconducir el proyecto en alguna ocasión.

Estas reconducciones me han generado cierta frustración, pero considero que no han afectado

al resultado final. Con la misma ilusión del primer día, afronto las nuevas posibilidades que han

surgido gracias a la realización de este trabajo.

Tiempo de trabajo real y estimado

Una vez terminado el proyecto repasamos la estimación inicial de tiempos y el diario de

actividad. El tiempo total de trabajo estimado fue de 271,5 horas. Según el diario de actividad,

donde están registradas las actividades realizadas y su dedicación temporal, el tiempo total de

trabajo en el proyecto ha sido de 290 horas.

Es una desviación positiva de un 6,8% en tiempo real de trabajo frente al estimado, cuando en

la planificación se estima hasta un 10% de posible aumento. El tiempo real, por tanto, se

encuentra dentro del margen previsto para la realización del proyecto.


Bibliografía

Tecnologías y servicios utilizados:

1. Google Docs (http://docs.google.com): Formularios de consulta.

2. Dreamspark (http://www.dreamspark.com): Licencias de aplicaciones con

fines educativos.

3. Virtualbox (https://www.virtualbox.org): Aplicación para crear el entorno

virtual.

4. Cisco Packet Tracer (https://www.netacad.com/es/web/about-us/cisco-

packet-tracer): Simulación de red y pruebas de comunicaciones.

Formación, tutoriales y orientación:

1. Comandos para consola CMD Windows

(http://www.oscarbernal.net/?/content/view/53/19).

2. Configuración de servidor, primeros pasos

(http://www.techrepublic.com/blog/data-center/ten-first-steps-with-

windows-server-2012).

3. Canal de Pablo Martínez: MVP de Microsoft. Administración de Windows

Server 2012 (https://www.youtube.com/user/PabloMartinezs3v).

4. Servicio TechNet de Microsoft para consultas y resolución de problemas

(https://technet.microsoft.com/es-es).

5. Tutoriales y artículos con información sobre sistemas operativos cliente y

servidor de Microsoft (http://www.windowsnetworking.com).

Términos de uso y boletines en Internet:

1. OneDrive: LOPD y posible cesión de datos, legislación

(http://windows.microsoft.com/es-xl/windows/microsoft-services-

agreement).

2. Hispasec: consultas de seguridad, boletines (http://www.hispasec.com).

3. Asociación de internautas: otras consultas de seguridad

(http://www.internautas.org/seguridad).

4. Blog de redes TCP/IP con información sobre subnetting, topologías y guías de

IPv4 e IPv6. También incluye información interesante sobre Packet Tracer y

descargas de software para administradores de redes

(http://cesarcabrera.info/blog).

Libro de consulta:

Redes de área local (2º Edición - Editorial Ra-Ma)

Fco. José Molina.

http://docs.google.com/

http://www.oscarbernal.net/?/content/view/53/19

http://www.techrepublic.com/blog/data-center/ten-first-steps-with-windows-server-2012

http://www.techrepublic.com/blog/data-center/ten-first-steps-with-windows-server-2012

https://www.youtube.com/user/PabloMartinezs3v

http://windows.microsoft.com/es-xl/windows/microsoft-services-agreement

http://windows.microsoft.com/es-xl/windows/microsoft-services-agreement

http://www.hispasec.com/

http://www.internautas.org/seguridad

Anexo E-70 Formularios de consulta

Cuestiones planteadas al cliente para obtener la información

necesaria sobre el proyecto

Conceptualización, diseño e implementación de

infraestructura de red




Universidad de La Rioja. Curso 2014-2015.

Formulario 1 (E70_FORM1):

HTTPS://DOCS.GOOGLE.COM/FORMS/D/1STDV9Q-XJYIJK-UCY2N-

JV6AQP3LFVWRDQJSGVXSQGK/VIEWFORM

Entrevista presencial

Realizada el lunes 27 de octubre en el centro donde se realizará el despliegue de la

infraestructura. En la reunión se trata de obtener más detalles sobre algunas de las respuestas

obtenidas a través del formulario online.

En la entrevista tratamos lo relacionado con las aplicaciones necesarias a instalar en los

equipos, atendiendo a las peticiones de empleados y usuarios. Por otra parte, se solicitó por

parte del centro una conexión inalámbrica para dispositivos móviles.

Respecto a infraestructura, comprobamos la conectividad del edificio y la distribución: existen

dos despachos en los que es necesario al menos un equipo, pero lo ideal serían dos por el

número de empleados que trabajan en ellos. Además, existen dos salas que requieren doce

equipos en cada una para usuarios del centro.

En lo que a LOPD (Ley Orgánica de Protección de Datos) se refiere, tenemos un fichero

registrado con información sensible sobre usuarios. Es necesario realizar copias de seguridad

de dicho fichero y por tanto será incluido en el plan de copias.

https://docs.google.com/forms/d/1STDv9Q-xjyiJk-uCY2n-JV6aqP3LFVwrdQjSGVXSqgk/viewform

https://docs.google.com/forms/d/1STDv9Q-xjyiJk-uCY2n-JV6aqP3LFVwrdQjSGVXSqgk/viewform

ID Task Mode Task Name Duration

1 Conceptualización, diseño e implementación de infraestructura de red

116 days

2 Reuniones y diario de actividad 116 days

3 Estudio de herramientas a utilizar 111 days

4 Organización básica 1 day

7 Completado: organización básica 0 days

8 Planteamiento 7 days

14 Completado: planteamiento 0 days

15 Planificación 12 days

22 Completado: planificación 0 days

23 Diseño de infraestructura 21 days

24 Plano de localización de equipos y distribución

3 days

25 Hardware de sistemas 4 days

26 Hardware de red 2 days

27 Enrutamiento y conmutación 1 day

28 Estudio y configuración LAN 2 days

29 Presupuesto de hardware 5 days

30 Aplicaciones 3 days

31 Seguridad 6 days

32 Servicios 3 days

33 Completado: diseño de infraestructura 0 days

34 Ejecución 55 days

35 Instalación de servidor virtualizado 13 days

36 Sistema operativo 1 day

37 Despliegue del servidor 8 days

38 Crear y almacenar imagen de sistema 2 days

39 Completado: equipo servidor 0 days

40 Parada por exámenes. Convocatoria de enero.

22 days

41 Instalación de cliente virtualizado (adm / dir)

9 days

42 Sistema operativo 2 days

43 Despliegue del cliente 5 days

44 Crear y almacenar imagen del sistema 3 days

45 Instalación de cliente virtualizado (usuarios)

9 days

46 Sistema operativo 2 days

47 Despliegue del cliente 5 days

48 Crear y almacenar imagen del sistema 2 days

49 Completado: ejecución 0 days

50 Plan de pruebas 13 days

51 Sistemas operativos 2 days

52 Conectividad 3 days

53 Aplicaciones 2 days

54 Servicios 5 days

55 Acceso a recursos compartidos 2 days

56 Copias de seguridad 2 days

57 Completado: plan de pruebas 0 days

58 Escenario de restauración 5 days

59 Simular compromiso de integridad de datos2 days

60 Restaurar información perdida 3 days

61 Completado: escenario de restauración 0 days

62 Presentación y defensa 5 days

63 Confeccionar y revisar documentación 3 days

64 Preparar presentación y defensa 3 days

65 Completado: presentación y defensa 0 days

66 Proyecto terminado 0 days

17/10

27/10

11/11

08/12

24/12

09 12 15 18 21 24 27 30 02 05 08 11 14 17 20 23 26 29 02 05

October 2014 November 2014 December 2014

Task

Split

Milestone

Summary

Project Summary

Inactive Task

Inactive Milestone

Inactive Summary

Manual Task

Duration-only

Manual Summary Rollup

Manual Summary

Start-only

Finish-only

External Tasks

External Milestone

Deadline

Progress

Manual Progress

Page 1

Project: E-71 Diagrama de Gant

Date: Thu 14/05/15

17/10

27/10

11/11

08/12

24/12

20/02

11/03

18/03

25/03

25/03

05 08 11 14 17 20 23 26 29 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 02 05 08 11 14 17 20 23 26 29

December 2014 January 2015 February 2015 March 2015

Task

Split

Milestone

Summary

Project Summary

Inactive Task

Inactive Milestone

Inactive Summary

Manual Task

Duration-only


Manual Summary

Start-only

Finish-only

External Tasks

External Milestone

Deadline

Progress

Manual Progress

Page 2


Date: Thu 14/05/15

08/12

24/12

20/02

11/03

18/03

25/03

25/03

29 01 04 07 10 13 16 19 22 25 28 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 30 03 06 09 12 15 18 21

March 2015 April 2015 May 2015 June 2015 July 2015

Task

Split

Milestone

Summary

Project Summary

Inactive Task

Inactive Milestone

Inactive Summary

Manual Task

Duration-only


Manual Summary

Start-only

Finish-only

External Tasks

External Milestone

Deadline

Progress

Manual Progress

Page 3


Date: Thu 14/05/15

Anexo E-74 Hardware de sistemas

En este documento se describe el hardware de sistemas a

implementar en el proyecto.

Conceptualización, diseño e implementación

De infraestructura de red





2

Equipos hardware

Equipos para salas de formación (24 unidades)

Dell OptiPlex 9020 Micro

Para las salas de formación escogemos un equipo de sobremesa de

pequeño tamaño, con componentes de última generación e ideales

para un entorno de oficina. Son especialmente silenciosos por lo que

pueden ser instalados en la mesa de trabajo, ocupando muy poco

espacio.

Tienen una relación calidad precio realmente buena. Además, permiten

trabajar rápida y cómodamente ya que incluyen un monitor LED,

además de un teclado y un ratón ergonómicos.

Microprocesador: Intel Core i5-4590T (4 núcleos, 6MB caché, 2.00Ghz) con tecnologías Intel

vPro e Hyper Threading.

Memoria principal: 8GB (DDR3L, 1600Mhz).

Memoria secundaria: 500GB (2.5” 5400rpm SATA3 con caché 8GB flash).

Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).

Monitor: Dell serie E-2014H (19,5” LED).

Accesorios: ratón óptico y teclado Dell.

Precio unitario: 678,80 €.

3

Equipos para departamento administrativo (2 unidades)

Dell Inspiron 3000

Los equipos de la serie Inspiron son puramente ofimáticos, sus

características centran el rendimiento en la capacidad de proceso para

textos, hojas de cálculo y la velocidad de encendido, apagado y

almacenamiento. Procesador rápido y nuevo, mucha capacidad para

almacenar datos y una pantalla grande y cómoda para poder trabajar

cómodamente largos periodos de tiempo.

Microprocesador: Intel Core i5-4460 (4 núcleos, 6MB caché, 3.40Ghz) con tecnología Hyper

Threading.

Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).

Memoria secundaria: 1TB (3.5” 7200rpm SATA3 con caché 8GB flash).


Monitor: Dell serie E-2414H (24” LED).

Accesorios: ratón óptico y teclado Dell.

Precio unitario: 623,00 €

Equipos para departamento de dirección (2 unidades)

Dell Inspiron 15 3542 (estación de trabajo portátil)

Portátil versátil y moderno. Buscamos movilidad para el equipo

de dirección, pero también compromiso entre rendimiento y

durabilidad de la batería. Si un directivo tiene que acudir a

eventos y trabajar fuera de la oficina, que tenga la mayor

facilidad y comodidad posible.

Microprocesador: Intel Core i5-4210U (2 núcleos, 3MB caché, 2,7Ghz).

Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).

Memoria secundaria: 1TB (2.5” 5400rpm SATA3).


Pantalla: 15,6” HD LED.

Precio unitario: 460,72 €

4

Switch para salas de formación (2 unidades)

Level One GSW-2457

Las claves son escalabilidad y rendimiento: el switch que va a ser

instalado aporta estas dos características fundamentales sin un

precio excesivo. La sala de formación podrá crecer y algún puerto

del switch podrá fallar. Aunque esto suceda la conectividad de la

sala no se verá afectada al haber una relación 1 a 2 entre equipos y puertos, todos siempre

conectados. Para cada puerto tenemos una velocidad de 1Gbps, acorde con la velocidad de la

línea instalada.

Numero de puertos: 24.

Velocidad: 1000Mbps/puerto.

Estándares: RJ-45, Gigabit Ethernet.

Precio unitario: 83 €

Servidor principal en sala de comunicaciones (1 unidad)

Dell PowerEdge T420 (servidor personalizado)

Servidor tipo torre personalizado. Se ajusta a las necesidades actuales

de la empresa y además proporciona fiabilidad y escalabilidad para

escenarios de alta exigencia y futuras ampliaciones. Elementos críticos

sustituibles en caliente y administrable remotamente. Arquitectura

hardware RAID y copias de seguridad para proteger los datos.

Precio unitario: 2.383,82 €

Configuración hardware:

Microprocesador Intel Xeon E5-2430 v2.

o Sockets: 2.

o Núcleos de proceso: 4 a 2.5Ghz de velocidad de reloj.

o Caché: 15MB.

Memoria 32GB DDR3-1600Mhz en dos módulos (16GB+16GB).

RAID y almacenamiento controlador PERC H310 RAID por hardware y dos discos duros

SATA de 1TB en configuración RAID1.

Red dos tarjetas de red Intel Ethernet I350 1Gbps con doble puerto. WakeOnLan y

gestión remota del sistema.

Alimentación fuente de 550W.

Chasis tipo torre montable en rack (ocupa 5 unidades estándar).

Documentación sobre configuración completa del sistema y su administración

mediante OpenManage.

5

SAI (para servidor – 1 unidad)

SAI Ovislink Chrome 1500VA

Sistema SAI con hasta 750W de potencia de salida y tres líneas de

salida estándar. Hasta 20 minutos de autonomía y conexión USB para

notificar fallos del sistema eléctrico al momento. Incluye software que

permite avisar al administrador del problema en la red eléctrica e

incluso apagar el servidor antes de producirse el fallo de alimentación.

Precio unitario: 112 €

Ficha de sistema

Todos los equipos que forman parte del hardware de sistemas incluyen su propia ficha de

sistema, en la cual figura la información relativa a cada equipo. La cabecera de la ficha irá junto

al equipo físico pegada en la parte superior para conocer su información principal de forma

fácil y rápida. Además, si el equipo requiere ser transportado a otra ubicación (por fallo en el

hardware, sistema operativo o cualquier otra incidencia) será fácil saber de qué equipo se

trata y cuáles son su ubicación y configuración correspondientes.

El administrador de sistemas, por otra parte, dispondrá de una copia de todas estas fichas con

su registro de eventos en cada una. Toda operación realizada sobre el equipo será registrada

aquí para guardar su traza y conocer en todo momento los cambios realizados en el equipo.

Modelos de ficha de equipo en anexo “E-87 Fichas de sistemas”.

Existen herramientas HPI (Hardware Platform Interface), de ticketing y de registro de eventos

que son una alternativa a este método de fichas de sistemas. No he encontrado una aplicación

específica que realice la misma función que las fichas. También es posible desarrollar una

aplicación a medida que tenga esta funcionalidad, pero dadas las características de este

proyecto, principalmente por el tamaño de la infraestructura, considero más adecuado el uso

de fichas.

Anexo E-75. Presupuesto de sistemas IT

Presupuesto de los equipos hardware a instalar en la empresa.


de infraestructura de red





Nº Cantidad Concepto Precio unitario Subtotal

01 24 Equipo completo Dell OptiPlex 9020 Micro (i5-4590T, 8GB, 500GB, Win8.1) Monitor Dell E-2014H (LED 19.5”) – Teclado y ratón óptico.

678,80 € 16.291,2 €

02 2 Equipo completo Dell Inspiron 3000 (i5-4460, 8GB, 1TB, Win8.1) Monitor Dell E-2414H (LED 24”) – Teclado y ratón óptico.

623,00 € 1.246,0 €

03 2 Equipo portátil Dell Inspiron 15 3542 (i5-4210U, 8GB, 1TB, Win8.1). Display LED 15,6” WiFi 802.11n. Incluye ratón óptico Dell.

460,72 € 921,44 €

04 2 Switch Level One GSW-2457 (24 puertos, Gigabit Ethernet, RJ45). 83,00 € 166,0 €

05 1 Servidor Dell PowerEdge T420 (Xeon E5-2430v2, 32GB, 1TB-RAID1, 2xEthernetNIC, PWRSupply550W, AdminDocs).

2.383,82 € 2.383,82 €

06 1 SAI Ovislink Chrome 1500VA (750W). 112,00 € 112,0 €

IVA (21%):

4.435,30 € Subtotal: 21.120,46 €

Total: 25.555,76 €

Anexo E-76. Presupuesto de software

Presupuesto de las aplicaciones a instalar y configurar en el sistema







Nº Licencias Concepto Precio unitario Subtotal

01 28 Microsoft Office 2013. 119,00 € 3.332,0 €

02 1 Microsoft Windows Server 2012 R2 Standard Edition 64 bits. 432,03 € 432,03 €

IVA (21%): 790,45 € Subtotal: 3.764,03 €

Total: 4.554,48 €

Administración

Dirección

Trabajo con datosCopia (ver tabla)

RAID 1

Repositorio Cloud

Cloud (OneDrive)

Tipo de copia

(programación)Fecha Hora Datos a copiar

Completa

(semanal)

Todos los

viernes18:00

Documentos de todos los

usuarios

Todos los

martes

y jueves

Diferencial

(semanal)7:30

Documentos de todos los

usuarios

Esquema y estrategia de copias de seguridad

Nombre:Alberto Aparicio Colis

Proyecto:

“Conceptualización, diseño e implementación de infraestructura de red”

Usuarios centro

Anexo E-78 Instalación de Microsoft Windows Server 2012 R2

En este documento se detalla la instalación y configuración básica

del sistema operativo que ejecutará el equipo servidor







2

Instalación del sistema operativo

La primera pantalla

que observamos al

instalar el sistema

operativo tiene un

aspecto similar a

ésta.

Desde aquí, paso a

paso, establecemos

los parámetros de

configuración básicos

para el servidor.

Página principal de instalación WS2012 R2

Language to install: English.

Time and currency format: Spanish (Spain, International Sort).

Keyboard or input method: Spanish.

Tras darle clic al botón “Next” aparece otra pantalla en la que pulsaremos

Clave de producto: en el cuadro de texto introducimos la clave de producto obtenida con la

compra del sistema operativo. Formato: XXXXX-XXXXX-XXXXX-XXXXX-XXXXX (los guiones los

introduce de forma automática).

Clic de nuevo en “Next”.

Una vez validada la clave de producto debemos elegir el modo de instalación:

En nuestro caso instalaremos el

modo “Server with a GUI”, las

características de ambos

modos son:

3

Server Core Installation: Realiza una instalación del núcleo de servidor Windows, en la

cual se trabaja mediante una consola de comando. Mejora el rendimiento pero hay

roles de servidor que no se pueden ejecutar en este modo.

Server with a GUI: Añade a la instalación Server Core una capa gráfica (GUI) que

proporciona compatibilidad con aplicaciones que sobre comandos no son operativas.

Como desventaja disminuye el rendimiento del sistema, al tener que procesar una

capa gráfica adicional.

Después de la elección de modo debemos aceptar los términos de la licencia de uso de

Microsoft Windows Server 2012.

Tipo de instalación: Actualización o instalación personalizada (para usuarios avanzados). Si

tuviéramos una instalación anterior de Windows Server o estuviéramos realizando labores de

restauración o recuperación, elegiríamos la opción de actualización. En nuestro caso,

seleccionamos la instalación personalizada.

Ubicación del sistema operativo: Ahora debemos elegir donde instalaremos el sistema

operativo. Este paso es importante entenderlo ya que en nuestro caso tenemos una

instalación RAID por hardware (independiente del sistema operativo) por lo que en esta

pantalla aparecerá un único disco duro lógico, aunque tengamos montadas dos unidades

físicas.

Clic en “New”, elegimos el

tamaño de la partición nueva

(una única partición de 1TB

en el servidor) y clicamos en

“Next” dejando la partición

primaria de 1TB seleccionada

(aquí es donde se instalará

Windows).

Nota: El resto de particiones

que aparecen son propias de

Windows Server y creadas de

forma automática.

4

Proceso de instalación: A partir de este momento esperamos a que la instalación de Windows

Server termine para continuar con la configuración.

Este proceso tardará unos minutos y después la máquina

se reiniciará. Ya se han copiado los ficheros de

instalación necesarios, ahora comienza la configuración

del sistema y de administración.

5

Contraseña de administrador y primer inicio de sesión

En la siguiente pantalla configuramos la contraseña de administrador.

Usuario: Administrator Password: R!NdtcE? (Root! Nunca desveles tu contraseña EH?)

Chequeo de contraseña (http://www.passwordmeter.com)

Introducción de contraseña para el administrador del sistema.

Primer inicio de sesión

http://www.passwordmeter.com/

6

Cambio de idioma a castellano

Para cambiar el idioma de Windows Server tenemos dos opciones:

Descargar el paquete de idioma desde Internet (Windows Server lo hace de forma

automática).

Instalar un pack de lenguaje que incluya el idioma que queremos instalar. Los packs de

lenguajes vienen en formato de imagen ISO que podemos montar en la máquina

virtual.

En el caso de que la primera opción no sea factible (por ejemplo por no tener configurada la

conexión a Internet todavía) podemos recurrir a la instalación del pack de lenguaje:

Una vez montado el disco con el lenguaje deseado, abrimos el panel de control y en el

apartado “clock, language and region” (reloj, idioma y región) clicamos en “add a

language” (añadir un idioma).

Sea cual sea el modo de actualización de idioma que elijamos, la pantalla de instalación tendrá

este aspecto:

Instalando paquete de idioma

Una vez terminada la instalación del nuevo paquete de idioma es necesario reiniciar la sesión

como administrador del sistema para hacer efectivos los cambios.

Comprobamos la instalación correcta del idioma

ya que, al iniciar sesión de nuevo, la aplicación de

administración central pasa de llamarse “Server

manager” a “Administrador del servidor”.

7

Configuración del servidor

Una vez comprobado que el servidor se inicia correctamente es necesario realizar las tareas

más básicas de un servidor de este tipo. La configuración básica de la estación de servicio

engloba los siguientes aspectos:

1. Nombre del servidor.

2. Configurar acceso remoto para administración.

3. Configuración IP estática.

4. Windows Update (actualizaciones del sistema).

5. Firewall de Windows.

6. Instalación de software antivirus.

7. Servicio de Protocolo de Configuración Dinámica de Host (DHCP).

8. Instalación de software para copias de seguridad.

Propiedades de la instalación de Windows Server (Administrador del servidor > Servidor local)

Para realizar los cambios de configuración en los puntos anteriores seguimos los siguientes

pasos:

1. Nombre del servidor: por defecto WIN-87OKJD1RD3G. Para cambiarlo, hacemos clic en el

nombre del equipo. Nombre nuevo: CSNV (Centro de Servicios Nueva Vida). Se llamará así

por simplicidad, es conveniente no dejar el nombre por defecto, que no sea muy largo y,

por seguridad, no llamarlo “SERVIDOR”, “SRVR”, etc.

Nota: Hacer efectivo el cambio de nombre implica reiniciar la máquina. Justificar el reinicio

del sistema al hacer clic en reiniciar con “Reconfiguración (planeado)” ya que estamos

configurando el servidor y el reinicio ha sido planeado previamente.

8

2. Habilitar acceso remoto para administración: permitir la accesibilidad del administrador

del sistema al servidor para gestionarlo desde cualquier ordenador perteneciente al

dominio. Puede parecer un riesgo de seguridad innecesario, pero:

2.1. Permite al administrador atender antes los problemas.

2.2. Facilita la administración, ya que el servidor no es un equipo que disponga de

teclado, ratón y monitor.

2.3. El acceso físico al servidor está limitado, por lo que el acceso remoto es más

sencillo, seguro y cómodo. Es preferible acceder vía red local y administrar que

estar entrando y saliendo de la sala de comunicaciones cada vez que es necesaria

una operación concreta sobre el servidor.

Para habilitar escritorio remoto para administración:

Permitir las conexiones remotas a

este equipo (con autenticación a nivel

de red) y habilitar la excepción del

firewall.

No es necesario seleccionar usuarios

ya que será el administrador el único

que pueda conectarse, y ya viene

incluido por defecto.

Una vez hecho esto, volvemos a

administrador del servidor para

habilitar administración remota, tal y

como hemos hecho anteriormente. Ya

no aparecerá el error y podremos

activar esta opción.

Gracias al firewall (el cual configuraremos más adelante) impedimos administrar el

servidor desde fuera de la red local y por supuesto también desde fuera del dominio.

Así conseguimos autenticación a nivel de host (sólo pertenecientes a red local y

dominio) y a nivel de usuario (sólo administrador de sistema).

Nota: No confundir “escritorio remoto para administración” con “administración

remota” ya que la segunda se refiere a administración sobre servicios de Internet (IIS) y

otros que no vamos a configurar en nuestro caso.

9

3. Configuración IP estática: para cambiar la configuración IP acudimos al estudio de

configuración realizado previamente y obtenemos la configuración a aplicar sobre el

servidor:

Dirección IP 10.0.0.100

Máscara de red 255.255.0.0 Puerta de enlace 10.0.0.1 Servidor de nombres (DNS) 10.0.0.100

Más adelante utilizaremos nuestro propio servicio DNS y añadimos uno secundario por

si se pierde la funcionalidad del primero (lo ideal será utilizar los servidores DNS que

proporcione el Proveedor de Servicios de Internet).

Aplicar la configuración: Ejecutamos “ncpa.cpl” para abrir el módulo de configuración

de red de Windows.

Tal y como se muestra en la imagen, propiedades del adaptador “Ethernet” >

“Protocolo de Internet versión 4” > “Propiedades” y rellenar los campos como se

indica.

10

4. Windows Update: es un módulo del sistema operativo que trata las actualizaciones del

sistema. Informa sobre ellas y, según la configuración, las instala de forma automática.

Configurando Windows Update vamos a conseguir mantener el sistema operativo

actualizado para minimizar las amenazas de seguridad debidas a agujeros de seguridad,

puertas traseras y otros tipos de operaciones no deseadas que puedan afectar al sistema.

Panel principal de gestión de actualizaciones “Windows Update”.

En el panel de servidor local de administración de servidor (o en panel de control > sistema y

seguridad > Windows Update) accedemos a la ventana que se ve en la imagen superior. Si

queremos una configuración básica clicaremos en “Activar Actualizaciones automáticas”, pero

en nuestro caso queremos una configuración avanzada, por lo que haremos clic en “Dejarme

elegir la configuración:

Elegimos una configuración

semiautomática, las

actualizaciones se descargarán

pero el administrador elegirá

si se instalan y cuándo.

Además, Windows Update

ofrecerá actualizaciones

recomendadas también, que

podemos valorar e instalar si

vemos oportuno.

11

Una vez hagamos clic en aceptar sólo hay que esperar a

encontrar actualizaciones y elegir si instalarlas o no.

Para instalar actualizaciones importantes, clic donde

indica la imagen y en la ventana siguiente clic en

“Instalar”. Al revisar las actualizaciones importantes

permito instalar únicamente las que figuran como

“Actualización de seguridad”.

5. Firewall de Windows: al no disponer de cortafuegos en la red, necesitamos activar un

cortafuegos a nivel de host en los equipos para evitar conexiones no deseadas a través de

los programas y servicios del sistema operativo que puedan dañar la infraestructura.

Panel de control del servicio “Firewall de Windows”

Desde el panel de administración podemos acceder al estado del cortafuegos. Debemos

configurarlo para nuestra red privada, ya que la red a la que está conectado el servidor es

privada. Si necesitamos permitir que una aplicación “atraviese” el cortafuegos, nunca lo

desactivaremos, añadiremos la excepción desde “Permitir una aplicación a través de

Firewall de Windows”.

12

6. Instalación de Microsoft Security Essentials (MSE) como software antivirus: en primer lugar

descargamos el archivo ejecutable mseinstall.exe desde la web de Microsoft

http://windows.microsoft.com/es-es/windows/security-essentials-all-versions

Una vez lo tenemos en

el sistema de archivos

del servidor, forzamos

la ejecución con compatibilidad para el sistema operativo. Después, abrimos una consola

de comandos CMD y ejecutamos el archivo con el modificador /disableoslimit.

El asistente es sencillo, sólo debemos aceptar las condiciones de uso. Recomienda y ofrece

activar Firewall de Windows para mayor seguridad, ya lo tenemos activado así que el

resultado será el mismo independientemente de la opción elegida.

Último paso en la instalación de MSE. Realizar análisis después de instalar.

MSE se inicia de forma automática

y comprueba las actualizaciones

antes de activar el servicio. Una vez

termina la operación obtenemos el

mensaje de estado del equipo.

Estado del equipo: protegido. Protección activada y definiciones actualizadas.

13

Microsoft Security Essentials realizará un análisis de amenazas de todo el sistema cada

domingo a las 2:00 de forma automática.

Nota: no instalaremos software antivirus adicional ya que Security Essentials advierte de

que pueden existir problemas de compatibilidad al combinarlo con otros servicios de

protección contra virus.

7. Instalación de servicio DHCP: desde el panel de administración del servidor, elegimos la

opción “2. Agregar roles y características”.

Punto 2. Agregar roles y características

En el siguiente paso,

marcamos el rol DHCP para

instalar, leemos la descripción

y las dependencias que deben

ser instaladas para que el

servicio funcione

correctamente.

Rol DHCP Server. Dependencias y descripción del servicio

Por último marcamos la

opción de reiniciar el

servidor si es necesario una

vez instalado el servicio

DHCP y clicamos en instalar.

Finalización de la instalación del rol DHCP

14

Configuración del ámbito DHCP para nuestra organización: en primer lugar recurrimos al

estudio de configuración IP realizado durante el diseño de la solución.

En el “asistente posterior a la instalación de DHCP” configuramos los siguientes parámetros:

El administrador del servicio DHCP es el

mismo administrador del servidor.

Creación de ámbito DHCP: un servicio DHCP no tiene ninguna funcionalidad si no se crea un

ámbito DHCP. Un ámbito es un bloque de configuración DHCP que se identifica con un nombre

único en el servidor. Las concesiones IP se realizan a los clientes por el servidor DHCP dentro

de un ámbito concreto.

Configuración del nuevo ámbito DHCP

Configuración de ámbito DHCP:

Nombre: WLAN_IPv4.

Descripción: Concesiones IP para conexiones inalámbricas.

Intervalo de direcciones: Desde 10.0.150.1 hasta 10.0.150.254.

Duración de concesión: 8 días.

Puerta de enlace: 10.0.0.1.

Servidores DNS: 10.0.0.100.

Ámbito WLAN_IPv4 activo

8. Instalación de software para copias de seguridad: para llevar a cabo las tareas de backup

de forma centralizada en el servidor, tal y como hicimos en la asignatura de seguridad,

15

instalamos el software Cobian Backup 11. Se trata de software gratuito, sencillo de

instalar, utilizar y suficiente para ejecutar con garantías la planificación de copias.

Las opciones de configuración en el instalador son las siguientes:

1. Idioma: español.

2. Aceptación de condiciones de uso.

3. Carpeta de instalación: C:\Program Files(x86)\Cobian Backup 11\

4. Instalar “Volume Shadow Copy”. Es un servicio de Windows que se ejecuta en

segundo plano y es utilizado por Cobian para tareas de copia sobre volúmenes

Windows.

5. En las opciones de servicio utilizamos la cuenta de administrador de dominio para

la realización de copias en toda la red. Necesitamos tener permisos sobre los

perfiles de usuario y las máquinas cliente para poder copiar sus datos sensibles.

Vista de Cobian Backup 11 instalado y en ejecución

16

Controlador de dominio

Para establecer un contexto de dominio en la Intranet de la empresa, vamos a promocionar la

máquina servidor a controlador de dominio. Con esta operación vamos a conseguir centralizar

la autenticación, crear un contexto seguro para compartir archivos y gestionar desde el

servidor todos los recursos del dominio (usuarios, equipos, etc.) y sus repositorios (grupos,

unidades organizativas, etc.).

Como primer paso instalaremos el rol y una vez añadido correctamente promocionaremos el

servidor a Controlador de dominio.

Instalación del rol de Administrador de dominio

Del mismo modo que el servidor DHCP, la operación de instalación del rol de controlador de

dominio la haremos desde el punto “2. Agregar roles y características”.

Panel de inicio rápido. Punto 2: “Agregar roles y características”

Antes de comenzar la operación, el asistente que aparece en la ventana siguiente nos advierte:

Estos tres puntos han sido

configurados previamente

en la configuración inicial.

En la ventana siguiente debemos elegir el tipo de instalación: “Instalación basada en

características y roles”. Controlador de dominio es un rol de sistema, es decir, Windows Server

actúa como Controlador de dominio.

17

Vista de selección de rol a instalar y características requeridas

En la pantalla de instalación de roles seleccionamos “Active Directory Domain Services” y

aparecerá una ventana con las dependencias necesarias para que el rol funcione

correctamente. Debemos incluir las herramientas de administración (viene activado por

defecto en el checkbox de la parte inferior).

Dependencias de la instalación del rol:

Active Directory module for Windows PowerShell: permite la gestión del directorio

activo a través de la consola de Windows y crear scripts que automaticen tareas de

administración. Para esto incluye las herramientas de línea de comando.

Active Directory Administrative Center: herramienta administrativa que proporciona

Windows para administrar el directorio activo desde una interfaz gráfica.

Confirmación de los valores de instalación para el rol “Controlador de dominio”

18

En la pantalla de confirmación, clicamos en el botón instalar.

Una vez terminada la instalación

recibimos el mensaje de que el nuevo rol

requiere configuración.

Volvemos al panel de administración del servidor y vemos una nueva notificación (marcada

con una señal de triángulo amarillo con exclamación dentro), corresponde a la configuración

que nos falta por realizar. Clicamos en notificaciones para realizar los últimos pasos de

configuración

19

Promoción del servidor a Controlador de dominio

La notificación obtenida anteriormente nos lleva, al clicar sobre ella, al asistente de promoción

del servidor a Controlador de dominio.

Configurar el nuevo bosque de dominio creando un dominio raíz

El dominio creado se llamará “crlnuevavida.es” y será la raíz del árbol de dominios creado. Se

trata de un dominio de nivel principal. Para cada dominio de nivel principal existe un bosque

de dominios que se completa con todos los controladores de dominio de nivel secundario. En

esta implementación sólo va a existir un dominio de nivel principal, que es el mismo que

estamos configurando ahora mismo.

En el siguiente paso

establecemos una contraseña

maestra para el modo de

restauración de servicios de

directorio. Después, clicamos en

siguiente para pasar a la próxima

pantalla del asistente.

20

El catálogo global (GC) contiene la información del bosque de dominio. Necesitamos añadirlo

también ya que es el único equipo que puede y debe almacenar esta información. Además,

vamos a necesitar el servicio DNS para la asignación de nombres a los equipos del dominio, ya

que este servicio de Windows trabaja con nombres, no con direcciones IP.

El nombre de dominio NetBIOS lo dejamos

como figura en la imagen, por defecto.

No necesitaremos esta funcionalidad ya que los sistemas de la Intranet trabajan con DNS

(Windows Server 2012 y Windows 8.1). El sistema de nombres NetBIOS no es más que una

forma de mantener la compatibilidad hacia atrás con otros sistemas operativos Windows más

antiguos.

Resumen de configuración de Controlador de dominio

- Primer controlador de dominio de Active Directory en un nuevo bosque.

- Nombre del nuevo dominio y del nuevo bosque: “crlnuevavida.es”.

- Nombre NetBIOS de dominio: “CRLNUEVAVIDA”.

- Nivel funcional del bosque y del dominio: Windows Server 2012 R2.

- Catálogo global almacenado en el servidor.

- Servicio DNS activado sin delegación.

- Los equipos de dominio pueden utilizar el servidor DNS del controlador principal como

servidor DNS preferido.

- La contraseña del administrador de dominio y del administrador local del servidor son

la misma.

La misma operación en script de PowerShell:

Estos comandos pueden ejecutarse en un terminal

PowerShell y obtener el mismo resultado que el

conseguido siguiendo el asistente anterior.

Una vez terminada la operación el servidor se reiniciará automáticamente como Controlador

de dominio y el servicio DNS habilitado. Ya tenemos configurado el servidor como:

1. Controlador de dominio de nivel principal bajo el nombre “CSNV.crlnuevavida.es”.

2. Servidor DNS principal de la Intranet.

3. Servidor de directorio activo.

21

Cómo monitorizar la actividad de usuarios y el rendimiento del

servidor

Monitorizar la actividad de los usuarios es fundamental para un administrador. Los eventos de

inicio de sesión y la actividad de los equipos; así como la existencia de contraseñas vacías,

objetos duplicados, etc. Son aspectos importantes a tener en cuenta.

Toda la actividad que se produce en el dominio es registrada por el controlador en el log de

sistema, pero, por su gran cantidad de información, muchas veces es complicado obtener de

forma sencilla y rápida la información que queremos consultar.

Existe un amplio mercado de software que organiza y formatea la información para que sea

legible y cómoda de revisar. Cada administrador de sistemas decide qué aplicaciones necesita

para realizar estas operaciones.

En este proyecto vamos a utilizar estas herramientas, propias del sistema operativo:

Resource monitor (monitor de recursos).

Performance monitor (monitor de rendimiento).

Y otro software específico de monitorización y administración, gratuito y disponible en

Internet: ADManager Plus.

Cada herramienta nos proporcionará diferentes recursos para monitorizar el sistema servidor y

el dominio.

Resource monitor

Ejecutable mediante el comando

“perfmon /res”. Tiene diferentes

vistas para personalizar la forma en la

que la aplicación muestra los datos. La

vista “overview” contiene toda la

información relativa a los recursos del

sistema que están siendo utilizados

por los diferentes procesos.

Uso de CPU, memoria, disco y tráfico

de red por cada tarea en ejecución del

sistema. Además, se muestran

gráficos de carga actualizados de cada

módulo de monitorización.

Vista de monitor de recursos

22

Performance monitor

Monitor de rendimiento del sistema, ejecutable con el comando “perfmon”. Muestra gráficos

personalizados mediante contadores. Existe una gran cantidad de contadores para añadir a un

mismo gráfico. Es útil para registrar en un lapso de tiempo uno o varios parámetros del

sistema. Es más costoso de configurar que el monitor de recursos, pero puede dar información

adicional como posibles sobrecargas de red, de peticiones a servicios, procesos de sistema,

etc.

En el ejemplo de configuración siguiente, creamos un nuevo gráfico que mostrará (contadores

añadidos):

Tiempo de proceso de todos los núcleos del microprocesador (carga de trabajo en %).

Errores de inicio de sesión.

Errores de sistema.

Carga de procesos de sistema.

Segmentos enviados y segmentos recibidos a través del protocolo IP.

Vista personalizada del monitor de rendimiento

Con esta herramienta podemos aislar y diagnosticar problemas de rendimiento tanto en el

ámbito de red como de sistema en general, sobre procesos, carga de CPU, de medios de

almacenamiento... Es ideal para análisis exhaustivos de rendimiento.

Además podemos almacenar esta información y realizar comparativas con otras

monitorizaciones similares. Es posible guardar la configuración de la consola (los contadores

que aparecen en el gráfico) y el propio gráfico por separado.

23

ADManager Plus

Se trata de una herramienta multifunción para administradores de dominio. Se ejecuta en

cualquier máquina que sea controlador de dominio (en nuestro caso en CSNV) con privilegios

de administración. Las funciones que ofrece este software son:

Herramientas de administración del dominio:

Búsqueda de usuarios con contraseña vacía.

Administrador de políticas de contraseña.

Buscador de último inicio de sesión.

Analizador de puertos en zona desmilitarizada.

Generador de CSV (scripts).

Herramienta de consultas para administrador de

dominio.

Monitorización del controlador de dominio.

Informador de DNS.

Administración de usuarios locales.

CMDlets (scripts en PowerShell): Útiles para servicio SharePoint y

replicación de controladores de dominio.

De todas las utilidades que ofrece la aplicación, sólo algunas nos son de utilidad en este

proyecto.

Las políticas de seguridad activas no permiten el uso de contraseñas vacías, por lo que el

software no va a encontrar casos en los que esto suceda.

Administrador de políticas de contraseñas

El administrador de políticas de contraseña facilita la

gestión de este tipo de políticas. Una vez

introducimos las credenciales de administrador

encontramos este formulario, que permite editar las

políticas de forma clara y rápida.

Vista de Password Policy Manager

24

Buscador de último inicio de sesión

Útil para el seguimiento de usuarios. A través de un cuadro de búsqueda, podemos introducir

un nombre de usuario y obtener detalles de inicio de sesión para ese usuario. En el ejemplo se

realiza una búsqueda sobre Juan Pérez (con nombre de usuario dJuPerez), perteneciente al

departamento de dirección.

Búsqueda para rastreo de sesión de Juan Pérez

Clicando en el botón “Get Last Logon Details” obtenemos un informe detallado del último

inicio de sesión de ese usuario: máquina en la que inició sesión, fecha y hora, etc. Para que

esta herramienta funcione correctamente necesitamos que las máquinas cliente donde haya

podido iniciar sesión el usuario buscado estén encendidas y con conexión a la red.

La herramienta sólo contempla los inicios

de sesión en el dominio, no los locales. Si

iniciamos sesión como Yolanda Figueras y

realizamos un análisis con esta

herramienta, obtenemos el informe

correspondiente. Informe: CSNV, Yolanda Figueras

DMZ Port Analyser

Escáner de puertos para servicios LDAP, Kerberos (autenticación), NetBIOS (servicio de

nombres), SMB (Samba, sistema para compartir ficheros en red), RPC (llamadas a

procedimientos remotos) y otros puertos de uso habitual.

Si bien es cierto que no tenemos una zona DMZ habilitada, como escáner de puertos es útil, ya

que podemos diagnosticar problemas de conectividad en inicios de sesión (LDAP, Kerberos),

problemas con servicio de nombres DNS (para aplicaciones que trabajen a través de NetBIOS) y

otros casos.

Su uso es sencillo, necesitamos introducir la

dirección IP de la máquina que ofrece estos

servicios para analizar sus puertos.

Si queremos un análisis exhaustivo de puertos existen otras herramientas más específicas

como nmap. Esta herramienta sólo analiza algunos servicios básicos para comprobar la

conectividad de algunos servicios de dominio en la red local.

25

Local User Management

Administración de usuarios locales para cada máquina del dominio. Podemos cambiar la

configuración de usuarios del dominio en varias máquinas a la vez con esta utilidad.

Selección de máquina para administrar los usuarios de dominio

Seleccionamos a continuación CSNV y clic en “Get Local Users”.

Operaciones en el módulo Local User Management

En la imagen anterior seleccionamos los usuarios del departamento de administración y

haciendo clic en “Enable” habilitamos sus cuentas para su uso en el dominio.

26

Con esta herramienta podemos agilizar las operaciones sobre varios usuarios al mismo tiempo,

ya que Active Directory sólo permite hacerlo de forma individual. Otra opción es utilizar scripts

que ejecuten este tipo de operaciones, pero esta herramienta crea dichos scripts y los ejecuta

de forma automática.

Registro de eventos

El registro de eventos es una herramienta administrativa que nos va a permitir conocer en

todo momento qué está pasando en el servidor. Ya hemos tratado la monitorización a nivel de

usuario y máquina (con las herramientas vistas en el punto anterior), ahora, con el visor de

eventos, controlaremos todas las actividades realizadas por los servicios que hemos

implementado.

Un evento es un suceso ocurrido en el sistema, registrado por él mismo y almacenado en

formato XML. Puede tratarse de mera información de actividad, informar de un error, una

advertencia, etc.

Existe un registro de eventos global que recoge la información de

todos los módulos del sistema operativo. Después, mediante el

visor de eventos, podemos aplicar filtros y formatos a dicha

información para facilitar su legibilidad y su búsqueda para casos

concretos.

En el apartado “Custom Views” podemos aplicar filtros que muestran los eventos que

corresponden a:

Roles de servidor: Para cada rol del sistema (por ejemplo, servidor DHCP o DNS).

Eventos administrativos: Operaciones de red, sobre aplicaciones, dispositivos…

Summary page events: Actualizaciones de políticas de grupo (gpupdate).

Por otra parte tenemos los logs de Windows, los cuales son registrados en todos los sistemas

operativos Windows, tanto cliente como servidor. Recogen la información de eventos del

sistema operativo.

Por último los logs de aplicación y servicios recogen, del mismo modo que los de roles de

servidor, los eventos relacionados con los servicios que ofrece el sistema. Además, recopila

también información de eventos de hardware, administración de claves, directorio activo…

27

Registro de eventos – Roles de servidor

Como última parte del apartado de monitorización, abordamos la relacionada con los servicios

implementados en el proyecto (o roles del sistema servidor, tal y como se denominan en el

sistema operativo Windows Server).

Dada la ingente cantidad de información almacenada en estos registros, vamos a recoger

algunos ejemplos para mostrar cómo debe un administrador de sistemas acudir a esta

herramienta para obtener información.

Ejemplos de eventos registrados

(Informativo) Servicios de dominio de Active Directory: El servicio detecta el catálogo

global sobre el que debe trabajar en la máquina CNSV.crlnuevavida.es.

(Advertencia) Servidor DHCP: El ámbito de concesiones “WLAN_IPv4” para conexiones

inalámbricas no tiene direcciones IP disponibles para conceder.

Cuando el registro captura un

evento de este tipo podemos

considerar que existe un

problema en el servidor DHCP.

Las causas pueden ser

sobrecarga del ámbito de

concesiones o que el intervalo

de direcciones IP indicado no

es válido, entre otras.

28

(Error) Eventos administrativos: Error de aplicación ADManager (módulo last logon).

Producido al no poder establecer conexión con crlnv-adm-00, por estar apagado.

En este caso sólo figura

como un error de

aplicación, para obtener

más detalles es necesario

acudir al log propio de la

aplicación, si en su caso lo

tiene y está activado.

Anexo E-79 Usuarios, grupos e implementación de seguridad

Configuración de Active Directory, directivas y políticas de

seguridad y copias de respaldo

Conceptualización, diseño e implementación de

infraestructura de red





2

Active Directory: usuarios y grupos.

Para que los usuarios puedan iniciar sesión y trabajar en el dominio necesitamos crear sus

perfiles en el repositorio del dominio. Además, para facilitar la administración de estos y

clasificarlos según sus roles, debemos crear grupos de trabajo a los que asignarlos.

La estructura de usuarios y grupos que vamos a crear es la siguiente:

Grupo gDirección: formado por los directores del centro.

Juan Pérez: dJuPerez.

Yolanda Figueras: dYoFigueras.

Grupo gAdministración: contiene al personal administrativo.

Marcos Alonso: aMaAlonso.

Sonia Miranda: aSoMiranda.

Grupo gUsuariosCentro: para los usuarios de las salas de formación.

Andrés Gallego: uAnGallego.

Laura Parejo: uLaParejo.

Marta Contreras: uMaContreras.

Nomenclatura:

g(grupo)

d(Dirección)

a(Administración) Nn(Primeras letras del nombre) +Primer apellido.

c(UsuariosCentro)

Para abrir la interfaz de Active Directory: Inicio > Herramientas Administrativas > Usuarios y

equipos de Active Directory.

En primer lugar vamos a crear los grupos y después los usuarios. En el mismo proceso de

creación de cada usuario los vincularemos a su unidad organizativa correspondiente.

3

Vista general de Usuarios y equipos de Active Directory. Nuevo grupo.

Nombre del grupo: gDireccion.

Ámbito de grupo:

Los usuarios pertenecientes a este grupo

trabajarán en el contexto de dominio local.

Tipo de grupo:

El objetivo del grupo es aplicar políticas de

seguridad sobre los usuarios

pertenecientes a él. Por tanto, creamos un

grupo de tipo seguridad.

Vista de grupos creados en Active Directory

gAdministracion y gUsuariosCentro también son grupos de seguridad en ámbito de dominio

local.

Los “grupos de distribución” crean listas para enviar correos electrónicos de difusión por

grupos, no incluyen seguridad. Los “grupos de seguridad” sirven para realizar un control de

acceso sobre usuarios y conceder o denegar permisos según DACLs (Discretionary Access

Control Lists).

4

Para crear un usuario y asignarlo a su grupo clicamos en nuevo usuario:

Usuarios y equipos de Active Directory. Nuevo usuario

Por motivos de seguridad exigimos el

cambio de contraseña en el primer inicio

de sesión. La primera contraseña para

todos los usuarios es: “Cambiame!”.

El resto de usuarios detallados en la estructura anterior son creados de la misma manera.

Estructura de usuarios una vez aplicada la estructura

propuesta. Ahora mismo los usuarios son objetos iguales y

aislados entre sí, cuando en realidad hay relaciones de

departamento que deben traducirse en grupos de Active

Directory y permisos sobre éstos. Así conseguiremos

clasificarlos y asignarles permisos comunes según sus roles

en la empresa.

Si más adelante un nuevo usuario necesita acceder al dominio del centro, tan sólo habrá que

crearle un objeto de perfil de usuario similar a éstos y posteriormente asociarlo con su unidad

organizativa. Así, recibirá los permisos necesarios para desempeñar su trabajo y el servidor se

encargará de proteger su información como un usuario más.

5

Para asignar a cada usuario a su grupo correspondiente:

Asociación de Andrés Gallego, usuario del

centro, a su grupo correspondiente.

La asociación del resto de usuarios en sus grupos se realiza de la misma manera.

El usuario Administrator con todos los privilegios del sistema pasa a llamarse Ernesto Arreglo,

con nombre de usuario uErArreglo. Después, creamos una cuenta de usuario con nombre

Administrator (contraseña sencilla e insegura: Soyadmin1) y sin privilegios. Así, conseguimos

implementar el honeypot detallado en el plan de seguridad.

Aplicación de directivas de contraseñas.

Accedemos a la herramienta de Administración de

Active Directory desde el menú de herramientas

administrativas.

En el menú

Añadimos un nuevo elemento “Password Settings”, con la configuración siguiente:

6

Una vez hemos configurado las contraseñas tenemos que comprobar que se aplican las

directivas de complejidad. Dichas directivas no pueden ser modificadas en este sistema

operativo, pero podemos comprobar cuáles son y exigir que se cumplan.

Para esto ejecutamos en primer lugar “gpmc.msc” para acceder a

la administración de políticas de grupo. Buscamos nuestro

dominio (crlnuevavida.es) y dentro, la política de dominio por

defecto, que es la que se aplica y la que vamos a revisar. Clic

derecho en ella y editar.

Nos aparecerá una ventana llamada editor de políticas de grupo,

donde tenemos que encontrar la política de requisitos de

complejidad de contraseña.

Esta política se encuentra en la siguiente ruta, siguiendo el árbol:

Vista de políticas de contraseña desde el administrador de políticas de grupo

Podemos ver, en la figura anterior, que los requisitos de complejidad están habilitados, las

contraseñas no utilizan cifrado reversible y que deben tener una longitud mínima de 7

caracteres. El formato válido para una contraseña está indicado en las propiedades de la

directiva de complejidad de contraseñas:

Estos requisitos de complejidad se aplican sin

excepción a todos los usuarios del dominio,

quienes cada vez que establezcan una nueva

contraseña deberán cumplir los requisitos que

indica la figura.

Este apartado tiene una limitación importante: no

podemos imponer nuestras propias restricciones

de complejidad, todos los parámetros

configurables se encuentran en la vista de políticas de contraseña, los cuales se refieren a

longitud, duración e historial de contraseñas. Lo deseable sería poder indicar una expresión

regular que validase las contraseñas de los usuarios, pero Windows Server 2012 no lo permite.

7

Sí podemos, por el contrario, elegir a quienes se aplican dichos requisitos. De hecho, en

nuestro caso, la política de grupo se aplica a todo el dominio (a sus usuarios), tal y como

hemos explicado anteriormente.

Copias de seguridad. Implementación del plan.

Para los datos sensibles del centro vamos a crear un entorno de seguridad de datos con un

directorio centralizado. Dentro de éste, sobre el cual tendrá permisos únicamente el

administrador, crearemos la siguiente estructura de directorios:

Desde el directorio local asignamos

todos los permisos al

administrador, así, podremos

realizar las tareas de backup sobre

todo el árbol de directorios.

Cada uno de los directorios

pertenece a un grupo de trabajo, el

cual tendrá permisos de lectura y

escritura únicamente sobre él. Por

ejemplo, los usuarios de dirección

compartirán el directorio “Dirección” alojado en el servidor para poder proteger y distribuir

ficheros entre ellos.

ComunCRL será una carpeta compartida con permiso de lectura y escritura para gDireccion,

gAdministracion y gUsuariosCentro.

Los clientes deberán acceder a sus carpetas compartidas y crear unidades de red utilizando las

rutas que se indican en la imagen superior.

Microsoft OneDrive

OneDrive es un SaaS (Software as a Service) ofrecido por Microsoft para respaldo de ficheros y

sincronización. Una vez tenemos implementados los servicios de copia de seguridad en el

servidor (incluidas las imágenes del sistema que se explican más adelante en este mismo

anexo) instalamos Microsoft OneDrive en el centro de servicios.

La instalación de OneDrive en el equipo es tan sencilla como

hacer doble clic en el instalador. Aparece la ventana que vemos

a la derecha y tras dos minutos de espera tenemos el servicio

activo.

8

Una vez completado tenemos que crear una cuenta Microsoft para vincular a OneDrive,

utilizamos los siguientes datos:

Usuario: [email protected]

Contraseña: la misma que el administrador de dominio.

Ya tenemos OneDrive instalado y funcionando en el servidor, podemos ver que esto es cierto

cuando el símbolo de la barra de tareas está en color blanco.

Por último combinamos Cobian Backup con el servicio

OneDrive creando una tarea nueva que envíe los datos a

proteger al directorio sincronizado de OneDrive. Se trata

de una simple copia de ficheros como cualquier otra tarea

de Cobian Backup, pero sabiendo que el destino de la

copia se sincronizará de forma automática en la nube.

El perfil de administrador necesita una configuración especial en el plan de copias, ya que el

respaldo de archivos que le corresponde será cifrado. Cobian realiza la tarea de copia y cifrado

de forma automática. Para esto es necesario introducir la clave con la que será cifrada la copia

(contraseña de administrador de dominio).

Sección “Archivo” en propiedades de tarea de copia. Cobian Backup: Cifrado de copia.

Creación de imagen del sistema

Windows Server 2012

Para la configuración de copias de imágenes del sistema, añadimos la característica (desde

agregar roles y características) de copias de seguridad de Windows Server. Una vez hecho esto,

administramos la creación de imagen de sistema desde Copias de seguridad de Windows

Server, en Herramientas Administrativas.

Por cada cambio que se produzca en el software servidor que pueda comprometer la

integridad del sistema (instalar un servicio, programa, rol, etc.) el administrador debe realizar

una imagen del sistema de forma manual.

mailto:[email protected]

9

Planificar la realización de una imagen del sistema servidor de forma automática es

innecesario puesto que no se van a realizar grandes cambios sobre la implementación ya

hecha. La información sensible es almacenada en otra ubicación y con éste método podemos

conseguir una restauración rápida del sistema si éste cae por cualquier motivo. Características

de la copia:

Copia de partición reservada del sistema, raíz local C: y estado del sistema. Utilizando Volume

Shadow Service (para ficheros vivos y/o protegidos). Copia sobre volumen BACKUP (E:).

Cuando el proceso de copia está en curso, muestra la tarea actual y el estado de los objetos de

copia.

Windows 8.1

Para los equipos cliente no es necesario crear una imagen de sistema completa para preservar

la integridad de los datos, ya que todos los equipos están configurados de forma similar. Una

alternativa más eficiente y razonable para este caso es copiar únicamente los perfiles de

usuario. Para ello vamos a utilizar la herramienta “File History”, propia de Windows.

Desde el panel de control, accedemos al historial de archivos “File history”. Esperamos unos

segundos hasta obtener la información de volúmenes. En nuestro caso no hay ninguno, pero

tampoco lo necesitamos porque haremos uso de una ubicación remota.

Revisamos los permisos de la carpeta donde será alojada la copia, sobre la cual sólo tienen

control los administradores de copia (unidad organizativa que incluye al administrador).

Vista principal del historial de archivos

10

Añadimos la ubicación remota donde almacenaremos la copia. En nuestro caso es

CSNV.crlnuevavida.es -> Volumen BACKUP -> WindowsImageBackup -> crlnv-adm.

Colección de recursos de red. Unidades para almacenamiento de copias.

Después activamos el módulo de historial de archivos tal y como se muestra en la figura

siguiente:

Ahora, necesitamos aplicar esta operación para el usuario del equipo. Para ello, creamos una

nueva carpeta dentro del directorio de copias con el nombre completo del usuario, por

ejemplo: [email protected] y le otorgamos permisos de escritura sobre ella.

Una vez hecho esto, abrimos de nuevo el módulo “File History” y establecemos, tal y como

hemos hecho anteriormente, el recurso de red destino para nuestra copia de respaldo.

Selección del recurso de red para dJuPerez.

Activamos el servicio para este usuario y por último comprobamos desde el servidor que la

copia ha sido realizada con éxito. Los cambios posteriores sobre datos o configuración del

perfil de este usuario producirán la actualización automática, cada hora (por defecto), de la

copia alojada en el servidor.

mailto:[email protected]

11

Comprobación del guardado de datos y configuración de dJuPerez en CRLNV-ADM-00.

Ejecución y viabilidad del plan de copias de seguridad

Una vez finalizada la implementación del plan de copias de seguridad en todos los sistemas,

procedemos a la ejecución del mismo para comprobar que es correcto y viable.

Para realizar esta operación es necesario que las máquinas pertenecientes al dominio estén en

funcionamiento. Ejecutamos la interfaz gráfica de Cobian y ordenamos la ejecución de todas

las tareas de copia.

El proceso de copia de ficheros de respaldo es complejo y costoso, más cuando el número de

ficheros y perfiles crece. Por ello y para garantizar la viabilidad del plan, hemos considerado

sólo los ficheros críticos de los sistemas del dominio para formar parte de las copias de

seguridad.

Anexo E-80 Instalación de Microsoft Windows 8.1

En este documento se detalla la instalación y configuración básica

del sistema operativo que ejecutarán los equipos cliente







2

Instalación del sistema operativo

Los parámetros de la instalación del sistema operativo cliente son:

Lenguaje: English.

Formato de fecha y hora: Spanish (Spain, International Sort).

Teclado o método de entrada: Spanish.

También es necesario aceptar el acuerdo de licencia (EULA) de usuario final e introducir el

número de licencia obtenido desde Dreamspark.

Contraseña de administrador y primer inicio de sesión

Para la administración local del sistema necesitamos una contraseña de administrador local,

que no coincidirá con la de administrador de dominio, ya que son perfiles distintos.

Usuario: Administrador Password: CldAS8.1 (Contraseña local de Administración Sistema 8.1)

Primer inicio de sesión en crlnv-adm-01 como Administrador Local

3

Asociación del equipo al dominio crlnuevavida.es

Desde Mi equipo > Propiedades asociamos el equipo cliente al dominio crlnuevavida.es. Para

que esta operación se realice correctamente necesitamos conectividad con el servidor, por lo

que anteriormente ha sido necesaria la configuración de los interfaces de red. En dicha

configuración he conectado dos interfaces de red, uno que comunica la máquina cliente con

Internet y otro de ámbito local para la comunicación con el equipo servidor y el resto de

clientes (Intranet).

Para añadir el equipo al catálogo global y por tanto que pase a formar parte del dominio (bajo

el nombre crlnv-adm-00.crlnuevavida.es, nombre de dominio) necesitamos autorizar la

operación con las credenciales de un usuario de dominio, no servirá una local, ya que es una

operación sobre el controlador de dominio.

Una vez reiniciado el

sistema, podemos ver

que la asociación del

equipo se ha realizado

correctamente. A partir

de éste momento

podemos iniciar sesión en ésta máquina con un perfil de dominio.

4

Asociación a recurso compartido

Para cada grupo de trabajo establecemos un directorio compartido específico desde el

servidor, con permisos totales sobre su contenido sólo para sus miembros. Para que el usuario

pueda acceder a ellos tenemos que agregar un nuevo recurso compartido a la máquina cliente.

Desde el servidor preparamos el entorno rompiendo la herencia de permisos (ya que de la

carpeta superior se heredan permisos que no deseamos) y establecemos la siguiente

configuración:

Hacemos esto para cada grupo con su carpeta

correspondiente. Es necesario considerar que

Users es un grupo al que todos pertenecen y por

tanto debemos denegar sus permisos de lectura

sobre éstos objetos. Así, conseguimos acceso

exclusivo de cada grupo a su directorio.

Una vez tenemos los permisos asignados para los

tres directorios compartidos, podemos asociar el

recurso a la máquina cliente para que los usuarios

puedan hacer uso de él.

Con el usuario dJuPerez, Juan Pérez – Departamento de dirección: Desde el cliente, una vez

hemos iniciado sesión, clic con el botón derecho en el escritorio y creamos un nuevo acceso

directo.

Escribimos el nombre de la

máquina que aloja el recurso,

en nuestro caso el servidor,

seguido de \ y el recurso

compartido.

Como se ve en la figura podemos crear

nuevos directorios y tenemos permisos

de lectura y escritura sobre todo el

directorio.

5

Para comprobar si hemos realizado bien este paso, vamos a intentar acceder a otro

departamento sin tener autorización.

Acceso denegado al intentar acceder a un recurso de otro departamento.

Juan Pérez es miembro de dirección, por lo tanto no podrá acceder a los documentos

compartidos entre los miembros de administración.

La política de permisos ha sido implementada correctamente y desde el cliente podemos

acceder a los recursos compartidos correspondientes a nuestro departamento.

Anexo E-81 Desviaciones y lecciones aprendidas

Imprevistos encontrados a lo largo del desarrollo del proyecto.

Conclusiones sobre uso de herramientas, configuraciones y

estrategias de uso







2

Desviaciones

En este anexo recogemos los errores encontrados al implementar la solución,

incompatibilidades e imprevistos que han generado problemas para alcanzar los requisitos.

Además, se documentan las soluciones propuestas y aplicadas en cada caso.

Planificación

Diagrama de Gantt, estimación de tiempos

He tenido que realizar correcciones importantes en la organización de fechas para el proyecto.

En un principio, estimé un trabajo diario de tres horas sobre el proyecto, de lunes a viernes,

además de considerar el sábado para corregir desviaciones en tiempo y completar lo

planificado si es necesario. Los exámenes en la convocatoria de enero han obligado a retrasar

el desarrollo del proyecto 30 días.

Diseño de la solución

Configuración IP, subredes

En un planteamiento inicial de la infraestructura de red, consideré la posibilidad de aplicar

subredes al entorno de red. La motivación de esta idea surge en los ejercicios habituales de

este tipo, en los cuales siempre aplican técnicas de subredes para organizar los

departamentos, áreas funcionales u otros tipos de separación.

En este proyecto, dado que el número de equipos es reducido, no tiene sentido aplicar una

configuración basada en subredes, por lo que decido no realizar una organización de este tipo.

Sin embargo, sí planteo una propuesta de escalabilidad para contemplar posibles expansiones

de la red. De darse esas circunstancias, puede aplicarse la propuesta de subredes

documentada en la memoria.

Software necesario y costes de mano de obra

Entre el software necesario para la ejecución del proyecto no estaba contemplado Microsoft

Visio 2010. He tenido que descargar de Dreamspark este software e instalarlo, lo que me

supone tiempo extra de trabajo respecto a la planificación inicial.

La configuración de las opciones de compra del servidor ha costado 1 hora más de lo estimado,

ya que he tenido que analizar la potencia consumida total del equipo y añadir sistemas

redundantes, configuraciones RAID por hardware, etc.

Compenso esta desviación con el margen de tiempo estimado para el hardware de sistemas

cliente, que me ha costado 1,5 horas menos de lo estimado.

3

En el presupuesto inicialmente no contemplaba la inclusión de mano de obra como parte del

precio, ya que forma parte de un proyecto educativo. Tras consultar con los tutores

responsables del proyecto este asunto he considerado más adecuado incluir el precio de mano

de obra también. Consideramos que aporta mayor nivel de realismo y proximidad al coste real

de un proyecto de este tipo.

Implementación de la solución

Incompatibilidad de antivirus Avast y Microsoft Windows Server 2012

Durante la instalación del software básico en el servidor encuentro un problema de

compatibilidad del software antivirus con el sistema operativo.

Avast no es compatible con

Windows Server 2012.

Como alternativa, instalaremos

Microsoft Security Essentials.

Servicio VSS (Volume Shadow Copy Service) y Cobian Backup

Problema a la hora de iniciar Cobian una vez realizado el cambio de nombre de la cuenta de

administrador, tal y como expliqué al hablar del honeypot. Cuando el sistema operativo es

iniciado, Cobian Backup genera un error ya que no puede iniciar los servicios propios con los

que trabaja, entre ellos Volume Shadow Copy, especialmente protegido por el sistema

operativo.

Para arreglar este problema he tenido que acceder

a los servicios de sistema (ejecutando services.msc)

y otorgando al servicio de Cobian permiso para

arrancar al inicio del sistema con las credenciales de

administrador (como uErArreglo). Al reiniciar la

máquina los servicios arrancan con normalidad y el

funcionamiento del programa es el esperado.

4

Inicio de sesión en Microsoft Windows Server 2012

Tras las últimas operaciones sobre directivas de seguridad: administración de roles del sistema

y permisos sobre ellos, creación de objetos (usuarios y grupos) en Active Directory, etc…

Reinicio el servidor por mantenimiento del sistema operativo (planeado) y al volver a

arrancarlo y pulsar CTRL+ALT+SUPR me encuentro la siguiente pantalla de inicio:

No tengo posibilidad de iniciar sesión para

saber el motivo del error, por lo que reinicio

el sistema para ver si se trata de algo

puntual.

Tras realizar los mismos pasos de arranque,

el servidor sigue sin funcionar. Buscando en

Internet, veo que el problema tiene que ver

en muchos casos con controladores RAID,

BIOS o de video desactualizados.

Yo no tengo ese problema ya que utilizo un servidor virtualizado, así que antes de arrancar el

sistema en modo de recuperación, pruebo a revisar la configuración de controladores de la

máquina virtual. En primer lugar, deshabilito los controladores de almacenamiento (tanto

disco duro como lector DVD) y desmonto el disco duro virtual principal. Reinicio VirtualBox y

monto únicamente el controlador de disco duro, esencial para el arranque.

Inicio el sistema de nuevo y el problema está resuelto, ha habido un fallo en la controladora

IDE del lector de DVD que me impedía iniciar el servidor, ya que sin ella conectada, el servidor

ha vuelto a funcionar. Una vez arrancada la máquina puedo montar el controlador IDE sin

problemas. El funcionamiento vuelve a ser el esperado.

Aquí vemos el inicio de sesión normal con el

problema ya solucionado. Además, en la imagen

inferior se muestra el registro de eventos, habilitado

tras aplicar las últimas directivas de seguridad.

El error también queda registrado en el sistema con

ID 1076, tipo de fallo y comportamiento.

Registro de evento (error) de parada del sistema

5

Copias de seguridad de Windows Server:

Windows Deployment Services y Administración Remota

Los servicios de despliegue de Windows o WDS (Windows Deployment Services) son un

conjunto de servicios de sistema que permiten administrar de forma remota varias

funcionalidades, entre ellas las copias de seguridad de los sistemas (todos los sistemas

pertenecientes al dominio, no sólo el servidor). El objetivo de su instalación es centralizar la

tarea de copia, pero va a ser necesaria una alternativa ya que cuando trato de instalarlos

obtengo el siguiente mensaje de error:

Viene dado por el error en la habilitación de administración remota:

No existe documentación sobre el fallo en Internet, Microsoft tampoco documenta cuál es el

fichero que almacena el estado de la funcionalidad remota. Tampoco se detalla si es accesible

ni si se puede editar. No se trata de un problema de incompatibilidad de aplicaciones, ya que

el único software instalado hasta la fecha es Cobian y al desinstalarlo da el mismo problema.

Alternativa: Uso de wbadmin “Copias de seguridad de Windows Server” para la realización de

la imagen del sistema.

Tampoco es posible utilizar wbadmin; tras instalar todas las dependencias y revisar el estado

del sistema con el comando “sfc /scannow” sin encontrar errores decido utilizar Cobian para

realizar la copia de respaldo. La copia utilizada para el estudio de implementación de Windows

Server obtenida de DreamSpark tiene limitada su funcionalidad. No permite que los servicios

WDS y WBADMIN actúen con normalidad.

6

La instalación del sistema operativo es íntegra y no presenta problemas.

Solución: uso de Cobian Backup para las copias de seguridad del sistema servidor.

Integridad del sistema operativo servidor y servicios críticos

Problema con el servicio de administración remota de Windows (winrm) que impide la

agregación al dominio de nuevas máquinas. Pese a que la máquina está funcionando

correctamente y el análisis de integridad no presenta problemas, obtengo un código de error

no documentado a la hora de intentar levantar el servicio winrm.

Una de las dependencias de la agregación de nuevos equipos al dominio consiste en la

autenticación del controlador de dominio a través de la máquina a agregar. Cuando se intenta

realizar la operación con unas credenciales válidas da un error de autenticación, provocado por

la imposibilidad de utilizar el servicio winrm para comprobar dichas credenciales

remotamente.

Windows Server 2012 necesita autenticar remotamente al controlador de dominio, y la

ausencia del servicio winrm imposibilita ésta operación. El aspecto del error producido es el

siguiente:

Error de Winrm, no permite la autenticación remota hacia el dominio

Según la documentación del error 0x80070002 por Microsoft Support, debemos ejecutar un

comando especial de recuperación que, a través de Windows Update, restaura archivos de

sistema que puedan no estar configurados correctamente.

7

Ejecución de herramienta de recuperación

El siguiente paso para la reparación consiste en ejecutar Windows Update y aplicar las

actualizaciones disponibles.

Una vez hecho esto vuelvo a comprobar la posibilidad de habilitar servicios necesarios para

que el sistema funcione, pero el problema sigue sin resolverse. Como último recurso, voy a

volver a instalar la máquina servidor desde el principio descargando de nuevo la imagen de

instalación.

Al instalar de nuevo el sistema operativo sobre la máquina virtual, el servicio dañado en la

instalación anterior comienza a funcionar desde el inicio correctamente. La solución ha sido la

reinstalación, por lo que podemos aislar la causa del problema: una instalación defectuosa

inicial del sistema, que ahora funciona con normalidad.

No es un problema de la versión del sistema operativo de Dreamspark ni del entorno virtual

(Virtualbox), sino de una instalación incorrecta, la cual no es detectada por los servicios de

análisis de Windows, que reconocen la instalación como íntegra y correcta. Esto quiere decir

que es un problema que puede producirse en el contexto de implementación real, siendo la

única solución válida la reinstalación de Windows Server 2012 en la máquina servidor.

Sistema RAID, simulación virtual

Problema en el comando wbadmin para copia del sistema servidor. Da errores genéricos a la

hora de acceder al recurso compartido, que simularía un medio externo almacenar la copia. En

un caso real se trataría de un volumen externo (HDD externo) por lo que la solución más

apropiada es crear un nuevo disco duro virtual, que simule a éste, para almacenar la copia.

8

Accesibilidad a carpetas compartidas entre máquinas:

Hora del sistema y seguridad

Problema de acceso a las carpetas compartidas desde el cliente. Compruebo la conectividad

mediante PING y es correcta. Los permisos sobre el recurso están bien configurados por lo que

debería poder acceder sin problemas, pero no es posible.

En el cuadro de la izquierda podemos ver un desfase entre la hora y fecha

del servidor (correcta en este momento) y la del equipo cliente, que tiene un

retraso de 3 días y 4 horas aproximadamente. Esto provoca que el servidor no permita acceder

a este cliente por no tener actualizados sus parámetros de fecha y hora.

Accediendo al reloj desde el cuadro de fecha y hora del cliente actualizamos la fecha y la hora

del sistema.

Con esta operación, resolvemos el problema de

conectividad y accedemos con normalidad al recurso

compartido por el servidor.

La instalación de Virtualbox Guest Additions en la máquina virtual mantiene la hora y fecha del

sistema sincronizadas automáticamente. De no hacerlo, es posible que al guardar el estado de

una máquina en vez de apagarla tengamos estos problemas.

Planificación y ejecución del plan de copias de seguridad

Error en la ejecución de las tareas de backup de Cobian. Se trata de un fallo a la hora de

implementar el plan de copias. El servidor intenta almacenar en una carpeta hija

(C:\Users\Administrador\OneDrive) la copia de respaldo del perfil de administrador

(C:\Users\Administrador). Esto provoca que el backup no termine nunca y sature el sistema.

Consigo identificar el problema cuando Cobian muestra un error: “La ruta es demasiado larga

para el sistema de archivos de destino”. Esto supone la interrupción de la tarea de respaldo de

ficheros.

La solución una vez encontrado el problema es sencilla: eliminar la carpeta OneDrive como

origen de la copia de respaldo. Así rompemos el bucle y la operación de backup se realiza con

normalidad. Asignamos una nueva ruta al directorio OneDrive para evitar en el futuro

problemas de este tipo (C:\OneDrive).

Este problema ha provocado además que Windows no me permita eliminar la carpeta por

contener rutas de archivo demasiado largas, pero si ha sido posible la eliminación accediendo

directamente al servicio OneDrive desde el navegador.

9

Cortafuegos a nivel de dominio y protocolo ICMP

Problema de conectividad al realizar una solicitud PING (protocolo ICMP) desde el servidor

hacia el cliente. Dicho cliente puede iniciar sesión en el dominio por lo que es capaz de

comunicarse con el servidor. Al realizar una solicitud del mismo tipo desde el servidor hacia el

cliente la comunicación no presenta problemas.

Con esta información podemos diagnosticar el problema y aislarlo, concentrándonos en el

firewall del equipo cliente, que no permite la entrada de solicitudes de eco por parte de otros

equipos de la red.

Para solucionarlo, hay que acudir al servicio Firewall de Windows en el equipo cliente y

deshabilitarlo en el ámbito de dominio. Para redes privadas y públicas es importante

mantenerlo activado, sólo permitirá conexiones a través del firewall de equipos que sean

previamente autenticados en el dominio.

Tras realizar esta operación, la comunicación cliente servidor se realiza sin problemas. Ambos

obtienen respuesta a sus respectivas solicitudes PING.

10

Lecciones aprendidas

Asociación al dominio

La asociación de equipos nuevos al dominio Windows ha cambiado desde la versión 2003 a la

2012. Anteriormente era necesario un administrador del dominio con permisos específicos

para la agregación de equipos nuevos al dominio. En la versión 2012 cualquier usuario

perteneciente a Users dentro del dominio puede hacerlo.

Considero este cambio algo potencialmente inseguro, ya que cualquier usuario básico puede

agregar un equipo al dominio. Mientras se pretende dar comodidad sobre una operación no

especialmente ardua para el administrador, se incurre en un riesgo de seguridad.

Para incluir un equipo al dominio son necesarios los siguientes permisos:

Acceso al catálogo global: Es el repositorio del dominio donde se almacena la

información de usuarios, equipos y otros recursos del bosque.

Acceso al bosque de dominio: Si en un bosque hay varios servidores que replican entre

sí el catálogo global, el usuario está accediendo indirectamente a todos ellos.

Acceso al directorio activo: Lo que administra el catálogo global, realizando cambios

sobre el mismo.

Copias de seguridad de los usuarios y sus perfiles

Las copias de seguridad de la información de los usuarios es una operación que puede llegar a

ser tremendamente costosa en esfuerzo de red y de los sistemas implicados, por lo que es vital

utilizar un recurso ligero, que copie exclusivamente aquello que se debe proteger y hacerlo de

forma automática.

El servicio Historial de archivos de Windows es una buena opción para realizar estas copias,

pero además, podemos combinarlo con los servicios del dominio para asegurar la copia. Con

esto conseguimos eficiencia, seguridad y rendimiento:

Eficiencia: Se copia lo necesario, de forma automática y para todos.

Seguridad: Los ficheros son alojados en el servidor, sólo son visibles para el usuario

propietario de los datos y los administradores de copia.

Rendimiento: Este servicio se basa en la detección de cambios para realizar sus copias,

por lo que detectará y sincronizará los cambios en la copia de forma automática.

Por todo esto, podemos llegar a la conclusión de que la combinación de un entorno de

dominio seguro con el módulo de historial de archivos de Windows conforma un servicio de

copias de seguridad sobre perfiles es una opción más que válida para asegurar los datos de los

usuarios en el entorno de administración de sistemas.

11

Directivas de contraseñas

Las directivas de contraseñas son reglas, también llamadas requisitos de complejidad de

contraseñas, que permiten validar aquellas contraseñas consideradas seguras. Si bien una

contraseña no es 100% segura, se suele considerar como tal si no es sencillo (ni hay un

mecanismo de descifrado conocido) que permita obtener la contraseña de forma fraudulenta.

En el contexto de Microsoft Windows Server 2012, no es posible considerar una directiva de

contraseñas propia, dado que hay una establecida por defecto. Sólo tenemos la posibilidad de

habilitarla o deshabilitarla según nos convenga, pero nunca editarla.

Los requisitos de complejidad de contraseñas en Windows Server 2012 son los siguientes:

Nombre de usuario no debe estar incluido en la contraseña. Si el nombre de usuario

tiene menos de 3 caracteres no se aplica.

Contener caracteres de 3 de estas 5 posibilidades:

o Mayúsculas.

o Minúsculas.

o Dígitos.

o Símbolos.

o Carácter Unicode clasificado como alfabético.

La longitud de la contraseña, caducidad y reusabilidad son aspectos que se tratan como

políticas de seguridad local de dominio, es decir, son independientes de estas

comprobaciones.

Entonces, si queremos aplicar una directiva distinta a la propuesta, tendremos que cambiar de

sistema operativo.

En GNU/Linux, por ejemplo, las directivas de contraseñas son “a la carta”, podemos editarlas

siguiendo nuestros propios criterios de complejidad utilizando la librería “libpam-cracklib”. El

uso de esta librería se asemeja al uso de expresiones regulares para validar cadenas de

caracteres. Podemos cambiar de este modo factores como:

Número de dígitos, letras mayúsculas, minúsculas y símbolos (no incluido en WS2012).

Longitud mínima.

Caducidad de contraseña, mínimo de días con la misma contraseña y memoria de

contraseñas anteriores (para evitar repeticiones).

Por el contrario, el método de validación de GNU/Linux descrito no evita utilizar parte del

nombre de usuario como parte de la contraseña.

12

Reiniciar el sistema

Reiniciar el sistema operativo es una operación habitual por administradores y usuarios de

Microsoft Windows desde sus primeras versiones. En un equipo de trabajo cliente no es algo

relevante, ya que puede hacerse al final de la jornada sin suponer una pérdida de tiempo

considerable ni afectar notablemente al trabajo.

Por el contrario, en los equipos que ofrecen servicios permanentes y necesarios para el

funcionamiento de la organización, una operación de reinicio es un compromiso importante.

Durante el desarrollo del proyecto han sido necesarios casi el mismo número de reinicios de

sistema para el servidor que para los clientes, lo que me parece un lastre importante si vamos

a elegir un sistema operativo servidor para una organización que necesita servicios activos

permanentemente.

Es un aspecto a mejorar por estos sistemas, ya que los entornos GNU/Linux de servidor

normalmente no requieren reinicios.

Por ejemplo: Una operación de actualización de un servicio sobre Windows Server descarga la

actualización, la instala y exige un reinicio para que ésta sea aplicada. En la actualización de un

servicio GNU/Linux, el daemon (servicio) afectado y sus posibles dependencias, si las hubiera,

se deshabilitan momentáneamente, aplicándose en ese momento la actualización y

levantando el daemon de nuevo.

Más rápido, menor tiempo de caída del servicio y, por tanto, mejor en casos de

implementación de servicios críticos (por su disponibilidad).

Autenticación centralizada (caché SAM)

Cuando realizas una operación de autenticación en el sistema cliente (utilizando un perfil de

administrador de dominio) no es necesario que el servidor esté operativo. Esto quiere decir

que, necesariamente, parte de los parámetros de autenticación se almacenan en el equipo

cliente.

La primera vez que utilizas unas credenciales concretas sí existe conexión al servidor, ya que

necesita ir al archivo de contraseñas del controlador de dominio para poder autenticar al

usuario.

Para las siguientes operaciones de autenticación, se comprueba si existe conexión con el

controlador de dominio. Si no la hay, el cliente tiene almacenado de veces anteriores una

“copia” del hash de contraseña de administrador en su SAM. Por tanto, aun no habiendo

conexión al servidor puedes autenticarte como administrador si ya lo hiciste anteriormente

con conexión.

13

El cliente prueba la conectividad al servidor (“just

a moment…”) y si no lo encuentra hace uso de

una especie de caché SAM en la que contiene

credenciales de anteriores autenticaciones de

administradores de dominio.

Como para operaciones anteriores con el

servidor habilitado utilicé credenciales de

administrador de dominio, ahora vuelvo a

introducirlas y el sistema autentica al usuario con

éxito.

Esta opción también es posible con usuarios de dominio “normales”, siempre y cuando, como

los administradores de dominio, hayan sido autenticados previamente en el cliente cara al

dominio.

No parece la mejor opción desde el punto de vista de la seguridad, ya que un cliente puede

almacenar credenciales de administrador. Por otra parte es un compromiso, de tal forma que

si el servidor no está disponible (por caída, mantenimiento, DoS…) el cliente podrá seguir

autenticándose en el dominio sin sobrecargar más todavía el servidor.

Hay casos en el proyecto en los que viene bien esta funcionalidad, concretamente en los

equipos de dirección. Como son equipos portátiles, cuando sean utilizados fuera de la red local

del centro podrán iniciar sesión con sus perfiles de dominio y acceder a sus ficheros contenidos

en dichos perfiles. Aun con esto, siempre será preferible adoptar otra alternativa que permita

comunicarse con el controlador de dominio, como VPN (Virtual Private Network).

Ceder seguridad para aumentar la disponibilidad.

La combinación OneDrive + Cobian Backup

Cobian Backup centraliza el servicio de copias de seguridad en tareas. OneDrive replica en la

nube la información alojada en un directorio concreto. Si combinamos ambas aplicaciones

conseguimos que el sistema de copias de seguridad sea más robusto y fiable, además de

cumplir con los requisitos establecidos en el plan de seguridad.

Desde Cobian Backup podemos incluir varios destinos para un mismo origen de copia en una

misma tarea, por lo que lo único que necesitamos es incluir como destino el directorio

sincronizado con OneDrive.

Así, aprovechando la sinergia que surge de combinar estas dos aplicaciones, conseguimos

replicar los datos sensibles y así protegerlos. No sólo en un medio de protección local, sino que

además almacenamos una copia protegida en un medio externo (una copia en la nube

utilizando un servicio Cloud).

Plano de distribución de red (situación actual)


Proyecto: “Conceptualización, diseño e implementación

de infraestructura de red”

Dirección

Office

36 sq m

Administrativo

Office

36 sq m

Sala de comunicaciones

Office

47 sq m

Sala 1

Office

169 sq m

Sala 2

Office

169 sq m

Plano de distribución de red y sistemas informáticos




Dirección

Office

36 sq m

Administrativo

Office

36 sq m

Sala de comunicaciones

Office

48 sq m

Sala 1

Office

208 sq m

Sala 2

Office

202 sq m

Leyenda de planos de red




Ubicación

Office

12 sq m

Host: equipo de trabajo.

Host: equipo de trabajo portátil.

Departamento. Ubicación lógica de equipos.

Conexiones de red. UTP Cat6. RJ45

Router WiFi 802.11a

Switch Ethernet

Host: servidor.

Sistema SAI (Sistema de Alimentación Ininterrumpida)

Impresora multifunción

Anexo E-86 Seguridad a nivel humano

Enumeración de buenas prácticas a seguir por el grupo de

trabajadores y usuarios. Compromiso por la seguridad de la

infraestructura del centro







1. Seguir todas las reglas aquí descritas, además de leer y cumplir, por parte de todos los

usuarios, el informe de seguridad.

2. No almacenar las credenciales ni compartirlas, es un riesgo de seguridad para toda la

empresa.

3. Toda la actividad realizada mediante el perfil de un usuario será responsabilidad del

mismo, por lo tanto es necesario que las credenciales sean únicamente propiedad del

usuario.

4. Nunca se deben utilizar credenciales ajenas para realizar una tarea. Si existe una sesión

iniciada previamente en un equipo, cerrarla inmediatamente e iniciar sesión con el

perfil propio.

5. Bajo ningún concepto se debe dejar el equipo de trabajo desatendido sin bloquear

previamente la sesión (para bloquear: tecla Windows + L).

6. Apagar el equipo cuando no vaya a ser utilizado.

7. No manipular por cuenta propia la estación de trabajo ni su cableado. Seguir el

proceso de notificación de la incidencia al director y esperar a que solucionen el

problema.

8. No instalar programas sin autorización previa ni actualizar versiones de software

instalado.

9. Notificar y seguir indicaciones del responsable de sistemas o en su defecto del director

del centro en los siguientes casos:

9.1. Catástrofe o fallo crítico del sistema.

9.2. Si las credenciales han podido ser comprometidas por cualquier

motivo. Además deberá solicitar un cambio de credenciales.

9.3. Si se desea extraer datos del puesto de trabajo mediante un medio

extraíble o Internet (como un dispositivo de almacenamiento USB o un

servicio de almacenamiento en la red como Dropbox o Mega).

9.4. Necesidad de instalar o actualizar cualquier programa para poder

trabajar adecuadamente.

9.5. Ante cualquier pérdida de datos.

9.6. Si se pierde una contraseña, se olvida o existe algún tipo de incidencia

o anomalía relacionada.

9.7. Para cualquier operación no detallada en esta lista.

Anexo E-87 Fichas de sistemas

Formularios para seguimiento de los sistemas informáticos del

centro







Nombre de equipo / Nº de serie crlnv-adm-00.crlnuevavida.es / 104991808165571

Tipo PC de escritorio

Fecha de instalación 12 / 7 / 2015

Conexión a la red Cableada: a switch de distribución


Dirección MAC 01:B9:3A:20:00:87

Departamento Administración

Grupo / U. Organizativa Equipos administración

Ubicación Despacho de Administración

Registro de eventos

Fecha Tipo Descripción Responsable

12 / 7 / 2015 Instalación de equipo.

Conexión y puesta en marcha del equipo crlnv-adm-00 en el despacho de administración.

E. Arreglo

8 / 10 / 2015 Sustitución de periférico

El ratón conectado a crlnv-adm-00 no funciona correctamente. Se sustituye el dispositivo.

E. Arreglo

2 / 11 / 2015 Desplazamiento de equipo

El equipo crlnv-adm-00 es desplazado al taller por problemas de inicio del sistema. En reparación.

E. Arreglo

Nombre de equipo / Nº de serie crlnv-dir-00.crlnuevavida.es / 117740979562412

Tipo PC portátil

Fecha de instalación 12 / 7 / 2015

Conexión a la red Cableada: a switch de distribución


Dirección MAC 01:A2:29:C7:53:42

Departamento Dirección

Grupo / U. Organizativa Equipos dirección

Ubicación Despacho de Dirección

Registro de eventos

Fecha Tipo Descripción Responsable

12 / 7 / 2015 Instalación de equipo.

Conexión y puesta en marcha del equipo crlnv-dir-00 en el despacho de dirección.

E. Arreglo

Anexo E-88 Plan de pruebas

Documentación de pruebas de sistemas desarrolladas siguiendo el

plan detallado en la memoria







2

Evaluación de puntos de prueba

Integridad de instalación

Microsoft Windows Server 2012

Comprobar la integridad de los ficheros que conforman el sistema operativo servidor es

importante, como hemos podido comprobar en la fase de implementación de éste. Para

realizar esta prueba, utilizaremos el comando “sfc /scannow”. Dicho comando ejecuta un

proceso que recorre todos los archivos que forman parte de la instalación de Windows (y sus

actualizaciones posteriores) en busca de errores que puedan comprometer el funcionamiento

del sistema.

Ejecución y resultado del examen de integridad del sistema Windows Server

3

Microsoft Windows 8.1 (Equipos de administración y dirección)

En el caso de los sistemas operativos ejecutados en los sistemas cliente, utilizaremos el mismo

comando, ya que también está disponible para esta versión. Una instalación corrupta del

sistema operativo puede ocasionar diversos problemas, por ello, es conveniente incluir en el

plan de pruebas una fase de verificación de instalación de los sistemas operativos.

Ejecución y resultado del examen de integridad del sistema Windows 8.1

Actualizaciones del sistema operativo

Microsoft Windows Server 2012

La comprobación de actualizaciones consta de dos fases:

1. Verificar la configuración de actualizaciones: Para garantizar que las actualizaciones

importantes de sistema son instaladas, este proceso debe estar activado de forma

automática. Las actualizaciones opcionales, al requerir tráfico adicional de red y no ser

críticas, debemos, por motivos de eficiencia, realizarlas de forma manual.

En Panel de control > Windows Update > Change Settings (o cambiar configuración)

elegimos la opción de instalar actualizaciones automáticamente:

Configuración correcta en Windows Update. Actualizaciones importantes automáticas

2. Comprobación e instalación de nuevas actualizaciones: Dado que el servidor es un

equipo que permanece continuamente encendido, debemos forzar algunas

actualizaciones necesarias (dado que la ventana de mantenimiento aparece al reiniciar

o apagar el equipo).

Accedemos a Panel de control > Windows Update y aparece la siguiente ventana:

4

Ahora, hacemos clic en el

botón “Install updates” para

forzar la instalación de

actualizaciones antes de

esperar a reiniciar el equipo

o apagarlo (ventana de

mantenimiento).

Una vez concluye el proceso de actualización recibimos un mensaje de confirmación y,

si es necesario, una petición de reinicio del sistema. El registro de actualizaciones de

Windows ahora muestra la siguiente información:

Necesitamos reiniciar el

servidor para que el sistema

aplique las actualizaciones.

Microsoft Windows 8.1

Del mismo modo que en el servidor, necesitamos realizar las dos fases (comprobación y

actualización) que forman parte de la comprobación de las actualizaciones del sistema.

Información sobre actualizaciones automáticas (Windows Update)

En este caso ya fue configurado anteriormente el punto 1, por lo que podemos ver la

diferencia respecto al mensaje obtenido en el sistema operativo servidor. Sin realizar más

operaciones, sencillamente reiniciamos el equipo. Estos equipos, al ser clientes y por tanto,

encendidos y apagados cada día, se actualizan automáticamente.

Instalando actualizaciones antes

de reiniciar el equipo.

No debería ser necesario reiniciar el sistema con tanta asiduidad, es un servidor y como tal

debe estar disponible en todo momento. En el anexo E-81 “Desviaciones y lecciones

aprendidas” (página 12) se detalla este hándicap de los sistemas operativos Windows Server.

5

Estado del software antivirus y análisis de amenazas

Microsoft Security Essentials

En el servidor tenemos instalado el software de protección Microsoft Security Essentials, el

cual se actualiza de forma automática, tanto el software antivirus como las definiciones de

virus.

Para comprobar el estado del servicio sólo tenemos que abrir el programa y revisar la página

principal:

Comprobamos que el equipo es protegido y supervisado por el programa. Además, el módulo

de protección en tiempo real está activado y las definiciones de virus actualizadas.

Por último, para realizar un análisis del sistema en busca de malware elegimos el tipo de

análisis que queremos realizar y hacemos clic en “Examinar ahora”. Una vez concluye el

examen podemos revisar los resultados en la pantalla que aparece a continuación:

Resultado del examen del sistema. Protección activa y definiciones de virus actualizadas.

Avast Antivirus

En los equipos cliente tenemos instalado y configurado Avast Antivirus como sistema de

protección contra malware. Al instalar Avast, éste sitúa en la barra inferior derecha de la

pantalla un icono. Si hacemos doble clic en este icono obtenemos la siguiente información:

Esta pantalla principal nos informa de que el software está activo y completamente

actualizado. Para realizar un análisis del sistema podemos utilizar el módulo de análisis

inteligente clicando en el botón correspondiente.

6

El análisis inteligente incluye un análisis de la seguridad de red, anti-malware, actualización del

antivirus y busca elementos que considera perjudiciales en el equipo.

En el resultado podemos ver

que el último punto no ha

tenido éxito.

Si hacemos clic en resolver

todo podremos comprobar

que ese punto trata de instalar

el software GrimeFighter. Este

software, dicen, limpia el equipo de archivos que no se usan o ralentizan el equipo. Se trata de

una forma de publicitar otro software desarrollado por la misma empresa.

Si queremos utilizar herramientas de limpieza (nuestros equipos simulados ahora mismo están

en perfecto estado) podemos instalar alternativas como CCleaner.

Conectividad y análisis de red

Tráfico de red

La conectividad de la red permite que todo funcione con normalidad. Un problema en la

comunicación entre equipos de la red puede provocar que no tengan acceso a servicios

fundamentales para trabajar, conexión a Internet y otros problemas graves.

Todos los puntos anteriores del apartado de conectividad en el plan de pruebas han sido

evaluados desde las máquinas virtuales o mediante el esquema de simulación realizado con

Cisco Packet Tracer.

En este último punto vamos a utilizar Wireshark para monitorizar la actividad de la red y

comprobar que la comunicación entre equipos es satisfactoria. En el ejemplo siguiente

provocamos la comunicación entre el equipo de administración (crlnv-adm-00 con IP 10.0.1.1)

y el servidor (CSNV con IP 10.0.0.100).

Opciones de captura: Wireshark

Interfaz: Ethernet 2 (interfaz que

simula la red de conmutación entre

máquinas virtuales).

Filtro de captura: Paquetes de la

red 10.0.0.0/16, es decir, cualquier

host cuya IP comience por 10.0 y su

máscara de red sea 255.255.0.0

(los equipos de la red simulada

cumplen con estas características).

7

Al activar la captura de paquetes enviamos dos mensajes entre ambas máquinas,

intercambiando origen y destino para analizarlos:

Mensaje 1: Solicitud PING desde CSNV hacia crlnv-adm-00.

Comprobamos que la comunicación se realiza correctamente y que podemos

monitorizar la actividad de red desde el servidor.

Mensaje 2: Inicio de sesión en el dominio con el perfil de Marcos Alonso

(administrativo).

En la captura realizada se distinguen las siguientes fases:

1. Sincronización (mensaje SYN) solicitada por crlnv-adm-00 hacia el servidor, justo

después, obtiene respuesta.

2. Consulta LDAP para comprobar si existe el usuario introducido para iniciar sesión,

el servidor responde con un ACK confirmando la existencia de sus credenciales.

3. Segunda sincronización (mensaje SYN) para realizar la autenticación de usuario.

4. Comunicación del protocolo Kerberos para comprobar las credenciales

introducidas y generar un Ticket-Granting-Ticket (TGT) que permita al usuario

iniciar sesión en el dominio.

5. Finalización (mensaje FIN) de la comunicación una vez se han realizado las

operaciones de autenticación. El usuario ya ha iniciado sesión en el dominio.

Disponibilidad y estado de servicios

Todo servidor, como parte de una red distribuida de equipos, ofrece servicios que, por sus

características, se encuentran centralizados en esa máquina en concreto. Cuando

implementamos los servicios de nuestra red sobre un sistema operativo Windows Server 2012,

podemos obtener fácilmente información sobre el estado actual de los servicios.

Dentro de la utilidad “Administrador del servidor”, tenemos un dashboard que actúa como

panel global de información. Desde este módulo accedemos a toda la información recogida en

este apartado del plan de pruebas.

8

Dashboard. Servicios activos en la máquina Windows Server 2012.

DNS (Domain Name Service – Servicio de nombres de dominio)

Tal y como figura en el informe de aplicaciones, el servicio DNS permite que, tanto el propio

servidor como los equipos miembros del dominio, hagan sus peticiones DNS a esta máquina.

Una petición DNS supone una búsqueda en la tabla DNS del servidor, actualizada por este de

forma dinámica.

Una petición DNS trata de resolver un nombre de dominio (por ejemplo CSNV.crlnuevavida.es)

con una dirección IP (10.0.0.100). Por lo tanto, DNS establece una relación entre nombres de

dominio (o nombres DNS) y direcciones IP asociadas a esos nombres.

La pestaña servicios dentro del módulo DNS del

dashboard nos da información sobre el estado del

servicio DNS. Actualmente se inicia de forma

automática con el servidor y está en

funcionamiento.

DHCP (Dynamic Host Configuration Protocol – Protocolo de configuración dinámica

de host)

Del mismo modo que en el punto anterior, recurrimos al dashboard para obtener información

relativa al servicio DHCP. Un servidor DHCP trata de asignar datos de configuración IP a

aquellos host del dominio que poseen una configuración IP dinámica.

Cuando un cliente solicite datos de configuración para su interfaz de red, este servicio

responderá y le otorgará unos datos de configuración IP válidos durante un tiempo de

concesión limitado. Cuando éste expire, será necesaria otra petición DHCP.

Tal y como configuramos durante la instalación de

Windows Server 2012, el servicio DHCP concede

direcciones actualmente (servicio activo) dentro

del ámbito configurado en el apartado de

instalación, llamado WLAN_IPv4 y orientado a

conceder datos de configuración IP a dispositivos

inalámbricos. Las máquinas que forman parte del dominio tienen sus interfaces de red

configuradas estáticamente.

9

AD DS (Active Directory Domain Services – Servicios de dominio de Active

Directory)

El servicio AD DS es el más complejo de los que forman parte del plan de pruebas. Se trata de

un grupo de servicios, todos ellos relacionados con la instalación de dominio. Cuando

promocionamos un servidor a controlador de dominio, se instalan y habilitan todos estos

servicios:

Estado de servicios AD DS.

Los servicios que forman parte de las dependencias de AD DS que deben funcionar

correctamente en este proyecto son:

Windows Time: Fecha y hora del sistema. Necesario por motivos de seguridad.

AD Web Services: Para implementación de sitios Web con IIS para el entorno de

dominio.

AD Domain Services: Recursos de Active Directory, catálogo global y administración de

usuarios, equipos y otros recursos del dominio.

Netlogon: Gestiona y verifica las peticiones de inicio de sesión de dominio.

DNS Server: Anteriormente revisado. Necesario para controlador de dominio.

Server: Rol de servidor en el dominio.

Kerberos KDC: Servicio de autenticación. Incrementa notablemente la seguridad a la

hora de acceder al dominio iniciando sesión con credenciales de usuario.

10

Honeypot y cuentas de administración de dominio

Imposibilidad de inicio de sesión como Administrador

En este punto comprobamos si efectivamente está bien configurado el apartado de cuentas de

administrador. Tal y como fue planteado, la cuenta de Administrador no debe poder ser

utilizada:

Se trata de una cuenta deshabilitada.

Su contraseña es relativamente fácil de descubrir.

No tiene permisos para trabajar en el dominio.

Aquel que realice un ataque intentará aprovecharse de esta cuenta (principalmente por su

nombre, que sugiere que le otorgará todos los permisos). Debemos comprobar que los puntos

anteriores se cumplen.

En propiedades de Administrador, dentro de

Usuarios y Equipos de Active Directory,

vemos que la cuenta está deshabilitada.

Desde el botón “Log On To” tiene prohibido

iniciar sesión en cualquier equipo del

dominio.

Equipos para iniciar sesión. Vacío.

Si intentamos iniciar sesión en el

dominio con esta cuenta, obtenemos el

mensaje que se ve a la derecha. Además

de no poder iniciar sesión, el sistema

guardará en los logs (del servicio

Netlogon) el intento de inicio de sesión,

por lo que podremos recopilar

información importante si tratan de

acceder a esa cuenta.

11

Como vimos en el punto “Tráfico de red”, podemos monitorizar con Wireshark la conexión a la

red del servidor y rastrear mensajes de protocolos LDAP y KRB para saber desde dónde se está

intentando utilizar la cuenta.

Comprobación de permisos de administrador e inicio de sesión

Tratamos de iniciar sesión como administrador de dominio. El administrador es Ernesto

Arreglo, con nombre de usuario uErArreglo. Como podemos ver en la captura realizada, el

sistema aplica la configuración de usuario para iniciar su sesión, por lo que las credenciales son

válidas y está autorizado a iniciar sesión en el servidor con su perfil de dominio.

Proceso de inicio de sesión del administrador de dominio uErArreglo en CSNV

En el módulo de usuarios y equipos de Active

Directory podemos acceder a sus propiedades

y ver que tiene permisos de administración.

Al contrario que “Administrador”, el usuario

de administración real uErArreglo pertenece a

los grupos de seguridad propios de un

administrador de dominio.

Plan de seguridad y backup específicos para el cliente

Servicios de dominio y directorio activo

Y tecnologías

Cloud de Microsoft


de infraestructura de red Alberto Aparicio Colis Jesús María Aransay Azofra – Eloy Javier Mata Sotés

“Conceptualización, diseño e implementación de infraestructura de red” es un

proyecto de sistemas y redes basado en un cliente real

Hardware y sistemas operativos de última generación R2 Standard x64 Pro x64

Imagen: CRL Nueva Vida. Las imágenes de marcas hardware/software son propiedad de sus respectivas marcas. Licencia: Creative Commons BY-NC-ND. Alberto Aparicio Colis. Grado en Ingeniería Informática - FCEAI

Infraestructura de red a medida

Plan de pruebas con 45 puntos de evaluación

Servicios centralizados Simulación y estudio de

DNS DHCP LDAP Kerberos configuración IP

Funcional Escalable

Eficiente

Conceptualización, diseño e implementación de ... · ^Conceptualización, diseño e...

Documents

Transcript of Conceptualización, diseño e implementación de ... · ^Conceptualización, diseño e...