Introducción a los servicios de red · El protocolo DHCP ... DNS ... UNIX, y Linux soportan...

Paacutegina 1 de 33

Introduccioacuten a los servicios de red 2 Administracioacuten remota y Acceso remoto 3

Teleinformaacutetica 3 Servicios de emulacioacuten de Terminal 3 Servicio Telnet 4 Servicio SSH 4 Terminal Service 4 Administracioacuten remota de un Sistema operativo Windows 5 Administracioacuten remota de un Sistema operativo Linux 6

Servicios de directorio 7 Definicioacuten 7 Estaacutendares 8 Windows 2000 Active Directory 9 Linux Network Information Service 11

Servicio de asignacioacuten dinaacutemica de direcciones IP 13 El protocolo DHCP 13 Configuracioacuten de un servidor DHCP en Windows 13 Configuracioacuten de un servidor DHCP en Linux 14

Servicio de nombre de dominios 15 DNS 15 Configuracioacuten de un servidor DNS en Windows 15 Configuracioacuten de BIND en Linux 17

Servicio Web 18 El protocolo http 18 Windows Internet Information Service 18 Apache 19

Servicio FTP 20 El protocolo FTP 20 Windows Internet Information Service 20 Servidores FTP en Linux 21

Servicio de correo electroacutenico 21 El protocolo SMTP 21 El protocolo POP 21 El protocolo IMAP 22

Seguridad de red 22 Poliacuteticas de seguridad 22 Estaacutendares de usuarios y claves 22 Proteccioacuten antivirus 23 Ataque por Negacioacuten de servicio 23 Ataque por Negacioacuten de servicio distribuido 25 Encriptacioacuten de archivos 26 Seguridad IP 27 Secure Socket Layer (SSL) 27 Encriptacioacuten por clave puacuteblicaprivada 28 Firewalls 29 Filtrado de paquetes 31 VPN 32

Paacutegina 2 de 33

Introduccioacuten a los servicios de red Los sistemas operativos de networking estaacuten disentildeados para proporcionar procesos de red a clientes y peers Los servicios de red incluyen la World Wide Web (WWW) archivos compartidos intercambio de mail servicios de directorio y servicios de impresioacuten La administracioacuten remota es un potente servicio que permite a los administradores configurar sistemas en red a kiloacutemetros de distancia Es importante comprender que estos procesos de red se denominan servicios en Windows daemons en Linux y Moacutedulos Descargables Netware (NLMs) en Novell Esencialmente todos ellos proporcionaraacuten las mismas funciones pero la forma en que se cargan e interactuacutean con el NOS (Sistema Operativo de Red) es diferente en cada sistema operativo Servicios Daemons y NLMs se tratan en maacutes detalle en secciones posteriores Dependiendo del NOS algunos de estos procesos de red clave pueden habilitarse durante una instalacioacuten por defecto La mayoriacutea de los procesos de red populares se basan en la suite de protocolos TCPIP La Figura enumera algunos de los servicios basados en TCPIP maacutes populares Puesto que TCPIP es un conjunto de protocolos abierto y bien conocido los servicios basados en TCPIP son especialmente vulnerables a escaneos sin autorizacioacuten y ataques maliciosos Los ataques de Denegacioacuten del Servicio (DoS) virus de computadora y gusanos de Internet de raacutepida expansioacuten han forzado a los disentildeadores de NOSs a reconsiderar queacute servicios de red se inician automaacuteticamente

Recientes versiones de NOSs populares tanto Windows y como Linux restringen la cantidad de servicios de red activos por defecto Cuando se implementa un NOS seraacute necesario habilitar manualmente algunos servicios de red clave

Paacutegina 3 de 33

Administracioacuten remota y Acceso remoto Teleinformaacutetica Una gran cantidad de empleados incluyendo todo tipo de personal escritores teacutecnicos programadores de software vendedores y oficinistas trabajan desde su casa todo o parte del tiempo Estos trabajadores teleconmutan a la oficina y permanecen en contacto todo el diacutea mediante el e-mail chat en vivo e incluso audio y videoconferencia La teleconmutacioacuten es atractiva para los empleados porque ahorra tiempo de viaje y otros costos asociados con el trabajo en una oficina como ropa de trabajo comer afuera y costo de transporte Ahorra a la compantildeiacutea dinero tambieacuten porque no se requiere espacio de oficina para los empleados teleconmutadores El acceso telefoacutenico es la forma maacutes comuacuten en que los empleados teleconmutadores se conectan a la LAN de la compantildeiacutea aunque en algunos casos una conexioacuten dedicada podriacutea tener maacutes sentido Si una compantildeiacutea tiene muchos empleados teleconmutadores el servidor de acceso remoto requiere muacuteltiples moacutedems (un banco de moacutedems) para que numerosas conexiones puedan efectuarse simultaacuteneamente Por supuesto cada moacutedem requiere su propia liacutenea telefoacutenica separada como lo muestra la Figura

Servicios de emulacioacuten de Terminal La emulacioacuten de terminal es el proceso de acceder a un escritorio remoto o servidor a traveacutes de una terminal de computadora local (ver la Figura) La terminal local ejecuta software que emula o imita el aspecto de la terminal del sistema remoto Usando emulacioacuten de terminal el usuario local puede tipear comandos y ejecutar programas en el sistema remoto El programa de emulacioacuten de terminal se ejecuta en el sistema local como cualquier otro programa En un sistema Windows los usuarios pueden ejecutar un programa de emulacioacuten de terminal en una ventana mientras se estaacuten ejecutando aplicaciones separadas en otras ventanas

Se requieren diferentes tipos de emulacioacuten de terminal para tipos especiacuteficos de terminales A continuacioacuten algunos de los tipos de terminal comunes en networking informaacutetico sect IBM 3270 sect DEC VT100 sect AS400 5250 sect TTY sect xterm

La aplicacioacuten maacutes comuacuten de la emulacioacuten de terminal es Telnet que es parte de la suite de protocolos TCPIP Telnet proporciona una interfaz de liacutenea de comandos (CLI) que

permite a los clientes acceder a un servidor remoto Los NOSs Windows UNIX y Linux soportan servicios Telnet La utilidad xterm es un emulador de terminal para el Sistema X Window X Window se trataraacute en maacutes detalle en el capiacutetulo 9 Es el moacutedulo que ejecuta la GUI en Linux La Utilidad xterm proporciona terminales compatibles con DEC VT102 y Tektronix 4014 para programas que no pueden utilizar el sistema de ventanas directamente La versioacuten maacutes reciente y bien soportada de xterm es la versioacuten XFree86 no obstante existen varias otras versiones de xterm

Paacutegina 4 de 33

Ademaacutes de para administracioacuten remota la emulacioacuten de terminal puede usarse para entregar aplicaciones y servicios a clientes Por ejemplo una organizacioacuten puede instalar una aplicacioacuten de alta potencia en el servidor y luego permitir que clientes de baja potencia accedan a la aplicacioacuten mediante emulacioacuten de terminal Desde el punto de vista del usuario final la aplicacioacuten de alta potencia parece ejecutarse localmente en la maacutequina cliente En realidad la aplicacioacuten se ejecuta en el servidor que probablemente tiene significativamente maacutes potencia y RAM

Servicio Telnet Telnet es el principal protocolo de Internet para crear una conexioacuten con una maacutequina remota Da al usuario la oportunidad de estar en un sistema informaacutetico y trabajar en otro que puede estar cruzando la calle o a miles de kiloacutemetros de distancia Telnet proporciona una conexioacuten libre de errores Telnet tiene las siguientes consideraciones de seguridad que recaen en la forma que estaacute implementado el protocolo sect Hacking sect Deduccioacuten de contrasentildeas sect Ataques de Denegacioacuten de Servicio (DoS) sect Packet sniffing (datos de texto visualizables)

Servicio SSH SSH (Secure SHell) es el nombre de un protocolo (y ocasionalmente del programa que lo implementa) Sirve para acceder a maacutequinas remotas en forma segura a traveacutes de una red Permite manejar por completo el servidor mediante un inteacuterprete de comandos y tambieacuten puede redirigir el traacutefico de la interfaz graacutefica X para poder ejecutar programas graacuteficos si se dispone de un Servidor X iniciado SSH trabaja de forma similar a como se hace con telnet La diferencia principal es que SSH usa teacutecnicas de cifrado que hacen que la informacioacuten que viaja por el medio de comunicacioacuten vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contrasentildea de la conexioacuten ni lo que se escribe durante toda la sesioacuten

Terminal Service Los servicios de terminal (o terminal services) son un componente de los sistemas operativos Windows que permite a un usuario acceder a las aplicaciones y datos almacenados en otro ordenador mediante un acceso por red Basado en el protocolo de escritorio remoto (Remote Desktop Protocol (RDP)) aparece por primera vez en Windows NT 40 (Terminal Server Edition) Los productos Windows 2000

Paacutegina 5 de 33

Server Windows 2000 Advanced Server Windows 2000 Datacenter Server y Windows Server 2003 han introducido algunas mejoras y funcionalidades nuevas Microsoft proporciona el software cliente para todas las versiones de Windows 32 bits y para Mac OS X de Apple El uso de los servicios de terminal requiere de tres componentes sect Servidor de Terminal Server sect Cliente de Terminal Server sect Protocolo de escritorio remoto

Con la utilizacioacuten de Terminal Service se puede acceder desde una estacioacuten a un servidor a traveacutes de la red obteniendo en una ventana el acceso al servidor y como si el usuario estuviera en eacuteste uacuteltimo accediendo en forma transparente a los recursos y servicios que disponga en forma local

Administracioacuten remota de un Sistema operativo Windows A continuacioacuten se describen las principales herramientas de administracioacuten remota con las que cuenta (ya integradas) el sistema operativo sect Terminal Services Los Servicios de Terminal son un nuevo servicio del sistema

operativo Microsoftreg Windowsreg que permiten contar con el escritorio Windows y con las maacutes modernas aplicaciones Windows a traveacutes de la emulacioacuten de terminal Una vez instalados los Servicios de Terminal en Windows la ejecucioacuten de aplicaciones cliente el procesamiento de datos y el almacenamiento de informacioacuten tienen lugar en el servidor Los Servicios de Terminal tambieacuten pueden ser usados como herramienta de administracioacuten para servidores de aplicaciones o de archivo e impresioacuten para llevar a cabo una administracioacuten remota de dichos servidores asiacute como clientes que necesiten soporte o la reconfiguracioacuten de alguacuten servicio de forma remota

sect Remote Asiacutestanse Es una caracteriacutestica de Windows XP Professional que puede

proveer de asistencia remota habilita al usuario a enviar una peticioacuten para ayuda remota Quien le de el soporte que puede ser la gente de Help Desk acepta la peticioacuten y es capaz de

sect Conversar con el usuario sect Ver el escritorio del usuario sect Tomar un control compartido de la computadora del usuario si el usuario lo permite

o si estaacute configurado para ello sect Enviar y recibir archivos del usuario

sect El Remote Desktop habilita a los usuarios obtener ayuda remota de un profesional de

IT maacutes experimentado Como Professional de IT o gente de soporte el Remote Desktop te permite ver y controlar la computadora del usuario sin la necesidad de ir fiacutesicamente a la maacutequina afectada Ver la pantalla de la maacutequina del usuario te puede ayudar a encontrar soluciones a problemas que de otra forma no seriacuteas capaz de resolver Por ejemplo si la computadora del usuario tiene un mal funcionamiento o se desconfiguroacute un driver y necesitaras desinstalarlo puedes remotamente correr programas como administrador del equipo y desinstalar el driver De esta forma puedes enviar el driver correcto al equipo objetivo e instalarlo en la maacutequina

sect Computer Management Utilice la herramienta de Computer Management para

administrar equipos locales o remotos mediante una uacutenica herramienta de escritorio consolidada Esta aplicacioacuten combina varios programas de administracioacuten de Windows 2000 en un solo aacuterbol de consola lo que facilita el acceso a las propiedades de administracioacuten y herramientas de un equipo especiacutefico

Paacutegina 6 de 33

sect Telnet El cliente de Telnet y el servidor trabajan juntos para permitir a los usuarios

comunicarse con una computadora remota El cliente de Telnet permite a los usuarios conectarse a una computadora remota e interactuar con una computadora a traveacutes de una ventana de terminal Este servicio provee al usuario la capacidad de conectarse de forma remota y ejecutar aplicaciones de consola para levantar alguacuten servicio revisar archivos cambiar permisos pero siempre a traveacutes de la liacutenea de comando El Servidor de Telnet permite a los usuarios del cliente de Telnet autentificarse en el equipo donde corre el servidor de Telnet y correr aplicaciones de tipo caraacutecter en esa computadora El servidor de Telnet actuacutea como un gateway a traveacutes del cual sus clientes se pueden comunicar entre ellos El servidor de Telnet incluido con windows 2000 soporta un maacuteximo de dos clientes a la vez

sect Registry en Windows 9598 y NT2000XP Windows incluye dos versiones del Editor

del Registro Regedt32exe y Regeditexe Regedt32exe se instala automaacuteticamente en la carpeta windowsSystem32 Regeditexe se instala automaacuteticamente en la carpeta windows Puede modificar el Registro con cualquiera de estos editores del Registro No obstante siempre que sea posible se recomienda utilizar otras herramientas y programas que se incluyen en el Resource Kit o evitar modificarlo dado que es una pieza fundamental para el sistema operativo Cuando se modifica el Registro con el Editor del Registro el programa no busca errores de sintaxis ni de otro tipo Por otra parte una modificacioacuten del Registro puede provocar una serie de cambios en todo el Registro El resultado de una modificacioacuten incorrecta del Editor del Registro es imprevisible y puede afectar seriamente al sistema operativo

Administracioacuten remota de un Sistema operativo Linux Un beneficio de usar el sistema operativo Linux en un servidor es que proporciona muchas formas de administrar remotamente el sistema Esta es la razoacuten por la cual es tan importante controlar los derechos de acceso Al igual que sucede con cualquier tipo de acceso remoto a un sistema existen riesgos de seguridad que es necesario tratar No obstante la administracioacuten remota puede ser muy conveniente y tambieacuten necesaria en algunos casos Linux proporciona varias herramientas para la administracioacuten remota Estas incluyen inicios de sesioacuten en modo texto inicios de sesioacuten en GUI transferencias de archivos y protocolos de administracioacuten remota dedicados Inicios de Sesioacuten en Modo Texto Un inicio de sesioacuten en modo texto consiste en iniciar sesioacuten en un sistema mediante Telnet o SSH Un usuario puede usar Telnet o SSH para administrar remotamente el servidor Linux desde cualquier sistema operativo como Mac OS o Windows por ejemplo No tiene por queacute ser un sistema operativo Linux Esto se hace normalmente iniciando sesioacuten con una cuenta de usuario regular y luego usando el comando su con la contrasentildea raiacutez para obtener privilegios de superusuario En este punto los usuarios realmente pueden hacer cualquier cosa que pudieran hacer desde el prompt del shell en la consola principal La sintaxis de comandos correcta para utilizar Telnet en Linux es telnet hostname donde hostname es el nombre DNS del sistema al que el usuario estaacute intentando obtener acceso La Figura ilustra un ejemplo del comando telnet que se estaacute utilizando SSH funciona igual no obstante no utiliza el prompt login Los usuarios no necesitan especificar un nombre de usuario o contrasentildea En cambio SSH pasa el nombre de usuario actual al sistema al que el usuario estaacute intentando acceder remotamente para

Paacutegina 7 de 33

autenticar el usuario No obstante el usuario puede iniciar sesioacuten a un servidor SSH con un nombre de usuario y contrasentildea diferentes utilizando el paraacutemetro -l username La salida es como sigue (note que en la siguiente salida hostname representa el nombre DNS del sistema remoto) $ ssh hostname -l jsmithjsmithhostname password Last login Wed Feb 18 083423 2002 from hostname [jsmithhostname jsmith]$ Una vez que el usuario ha obtenido acceso al sistema exitosamente puede hacer praacutecticamente todo lo que puede hacerse desde un prompt de shell en la consola principal Para administrar remotamente un servidor Linux mediante una sesioacuten GUI en primer lugar los usuarios necesitaraacuten instalar alguacuten software en los sistemas desde el cual estaacuten intentando administrar remotamente El software que tendraacuten que instalar es X server Si estaacuten haciendo el intento desde un sistema Linux X server ya deberiacutea estar instalado Los usuarios tambieacuten pueden usar un sistema Windows con X server instalado en eacutel para administrar un servidor Linux mediante una GUI Al igual que con Telnet y SSH una vez que los usuarios han iniciado sesioacuten pueden usar el comando su con la contrasentildea raiacutez para adquirir los privilegios del raiacutez Transferencias de Archivos En general la transferencia de archivos no es lo que una persona podriacutea llamar administracioacuten remota No obstante es de hecho una forma para editar y configurar archivos remotamente Una herramienta de transferencia de archivos como FTP puede utilizarse para transferir archivos de un sistema a otro editarlos y luego volver a enviarlos Por ejemplo un usuario podriacutea tener un servidor Linux que esteacute configurado como servidor de impresora Puesto que este servidor es un servidor de impresora podriacutea no tener las herramientas apropiadas de edicioacuten y configuracioacuten necesarias para editar archivos en el servidor de impresora lo cual hariacutea que hacer telnet al servidor careciera de sentido Si FTP NFS o Samba estuvieran instalados en el servidor de impresora entonces un usuario podriacutea iniciar sesioacuten en el servidor de impresora remotamente y transferir el archivo a un sistema que tuviera las herramientas de edicioacuten y configuracioacuten apropiadas editar el archivo y volver a transferirlo al servidor de impresora

Servicios de directorio Definicioacuten A medida que las intranets continuacutean creciendo de tamantildeo las complejidades de estas redes tambieacuten crecen raacutepidamente Las modernas intranets pueden contar con miles de usuarios y cada uno de ellos necesita diferentes servicios y diversos niveles de seguridad en la red La tarea de administrar este desafiacuteo logiacutestico ha crecido maacutes allaacute de la capacidad del NOS por siacute solo Muchos administradores de sistemas usan ahora servicios de directorio para suplementar las herramientas de administracioacuten de un NOS La Figura muestra los conceptos baacutesicos respecto a coacutemo se construye un servicio de directorio El objeto superior en un directorio que contiene a todos los otros objetos se denomina objeto raiacutez

Un servicio de directorio proporciona a los administradores de sistema un control centralizado de todos los usuarios y recursos en toda la red Proporciona a un administrador la capacidad de organizar informacioacuten Ayuda a simplificar la administracioacuten de la red proporcionando una interfaz estaacutendar para tareas de administracioacuten de sistema comunes Esta funcioacuten es importante cuando una red grande estaacute ejecutando varios sistemas

Paacutegina 8 de 33

operativos y diversos protocolos de red Con un uacutenico servicio de directorio el administrador de red puede administrar centralmente todos esos recursos con un conjunto definido de herramientas en lugar de atender manualmente cada dispositivo por separado Estos servicios de directorio pueden ser locales lo cual significa que estaacuten restringidos a una uacutenica maacutequina o la informacioacuten del directorio puede estar diseminada en varias maacutequinas Esto se denomina base de datos de directorio distribuida En el mundo informaacutetico un directorio puede ser algo diferente Los alumnos probablemente estaacuten familiarizados con el teacutermino directorio en lo que se refiere a los sistemas de archivos de computadora en los cuales un directorio es una coleccioacuten de archivos agrupados bajo un nombre identificatorio Los servicios de directorios usados por un NOS son diferentes pero son conceptos relacionados En este contexto un directorio es un tipo especial de base de datos Puede contener variados tipos de informacioacuten Beneficios del Uso de una Estructura de Directorio Los beneficios de usar servicios de directorio en una red incluyen sect Los datos pueden ser faacutecilmente organizados sect Los datos pueden ser faacutecilmente asegurados sect Los datos pueden ser faacutecilmente localizados y accedidos

Hay ventajas en usar servicios de directorio para acceder a los recursos de la red Tradicionalmente los archivos y carpetas compartidos se almacenaban en las unidades de disco riacutegido de estaciones de trabajo individuales o servidores de archivos Para conectarse a los archivos compartidos el usuario necesitaba saber doacutende estaban ubicados Un servicio de directorio elimina este requisito Los recursos compartidos se publican en el directorio Los usuarios pueden localizarlos y acceder a ellos sin siquiera saber en queacute maacutequina residen fiacutesicamente los recursos Los archivos directorios y compartidos a los que los usuarios acceden desde un uacutenico punto pueden distribuirse a traveacutes de varios servidores y ubicaciones usando servicios de directorio distribuido y replicacioacuten Los siguientes dos meacutetodos pueden usarse para buscar en todo el directorio distribuido desde una uacutenica ubicacioacuten Buscar en la Red de Microsoft Windows de manera tradicional Buscar en cada maacutequina individual para localizar los archivos compartidos Buscar en el Directorio Esta opcioacuten muestra todos los recursos publicados en el Active Directory

Estaacutendares Es necesario conformarse a un estaacutendar al crear directorios distribuidos Para operar dentro de un NOS diferentes servicios de directorio necesitan tener un meacutetodo comuacuten de nombrar y hacer referencia a los objetos Sin estos estaacutendares cada aplicacioacuten tendriacutea que usar su propio directorio que requiere maacutes espacio en disco Ademaacutes los productos de un fabricante pueden no usar las bases de datos compiladas por los productos de otro fabricante Sin estos estaacutendares seriacutea imposible tener una estructura de directorio funcional Los fabricantes de servicios de directorio que cumplen con los estaacutendares disentildean sus servicios para que sean compatibles con un amplio rango de plataformas y con otros servicios de directorio X500 X500 define los estaacutendares del Servicio de Directorio Electroacutenico (EDS) Los servicios de directorio descritos en X500 estaacuten disentildeados para trabajar en conjuncioacuten con servicios de mensajeriacutea X400 Un directorio que cumpla con X500 tiene tres componentes principales sect Agente del Sistema de Directorios (DSA) Administra los datos del directorio sect Agente del Usuario del Directorio (DUA) Otorga a los usuarios acceso a servicios de

directorio

Paacutegina 9 de 33

sect Base de Informacioacuten de Directorio (DIB) Actuacutea como el almaceacuten central de datos o base de datos en la cual se guarda la informacioacuten del directorio

Los estaacutendares X500 tratan coacutemo se almacena la informacioacuten en el directorio y coacutemo los usuarios y sistemas informaacuteticos acceden a esa informacioacuten La seguridad de los datos el modelo de nombrado y la replicacioacuten de datos del directorio entre servidores estaacute todo definido en X500 Las especificaciones X500 definen la estructura del directorio como un aacuterbol invertido y la base de datos es jeraacuterquica Un servicio de directorio que cumpla con X500 usa el Protocolo de Acceso al Directorio (DAP) que se trata a continuacioacuten DAP y LDAP DAP permite que el DUA se comunique con el DSA DAP define el medio mediante el cual el usuario puede buscar en el directorio para leer agregar borrar y modificar entradas del directorio DAP es un protocolo potente pero la sobrecarga asociada es alta El Protocolo de Acceso al Directorio Liviano (LDAP) fue desarrollado como un subconjunto de DAP para simplificar el acceso a directorios tipo X500 LDAP se ha convertido en un estaacutendar popular porque integra directorios de diferentes fabricantes LDAP estaacute disentildeado para usar menos recursos de sistema que DAP y es maacutes faacutecil de implementar La versioacuten actual de LDAP es LDAPv3 LDAPv3 ofrece varias mejoras importantes sobre versiones anteriores de LDAP La mejora a la seguridad es un foco principal de la nueva versioacuten LDAPv3 soporta cifrado Secure Sockets Layer (SSL) entre cliente y servidor y habilita la autenticacioacuten de certificados X509 LDAPv3 tambieacuten habilita al servidor para que refiera al cliente LDAP a otro servidor si no es capaz de responder a la consulta del cliente La Figura ilustra un ejemplo de un servicio de directorio DAP y LDAP tiacutepico

Windows 2000 Active Directory Con el lanzamiento de Windows 2000 Server Microsoft hizo cambios fundamentales en sus componentes de networking que son incluso maacutes draacutesticos que aqueacutellos efectuados por Novell en la transicioacuten de NetWare 3 a 4 El Active Directory es central a estos cambios Donde el Novell NDS funciona como servicio que funciona con el NOS el NOS el Microsoft Active Directory funciona como aplicacioacuten profundamente integrada al sistema operativo Estructura de la Base de Datos de Active Directory La informacioacuten de Active Directory se almacena en tres archivos sect Base de Datos de Active Directory sect Archivos de Registro de Active Directory sect Volumen de Sistema Compartido

La base de datos es el directorio Los archivos de registro toman nota de los cambios efectuados en la base de datos El Volumen de Sistema Compartido (llamado Sysvol) contiene scripts y objetos de poliacutetica de grupo en los controladores de dominio de Windows 2000 La Poliacutetica de Grupo es el medio por el cual los administradores de Windows 2000 controlan los

Paacutegina 10 de 33

escritorios de los usuarios implementan aplicaciones automaacuteticamente y configuran los derechos de los usuarios Dominios de Windows 2000 La estructura loacutegica del Active Directory se basa en unidades llamados Dominios Aunque se usa la misma terminologiacutea los dominios en Windows 2000 funcionan de manera diferente a los de Windows NT Tanto en Windows NT como en Windows 2000 un dominio representa un liacutemite de seguridad y administrativo asiacute como una unidad de reacuteplica No obstante Windows NT usa una estructura de dominio plana y Windows 2000 dispone los dominios en aacuterboles de dominio jeraacuterquicos El concepto de aacuterbol jeraacuterquico funciona de manera diferente en Active Directory que en NDS NDS no divide la red en dominios Las redes Windows 2000 pueden tener muacuteltiples dominios organizados en aacuterboles de dominio Adicionalmente a estos aacuterboles pueden uniacuterseles otros aacuterboles para formar bosques Un bosque es el teacutermino que usa Microsoft para llamar a una coleccioacuten de los aacuterboles de un dominio enteramente diferente que se incluyen en la estructura jeraacuterquica de Active Directory Unidades de Organizacioacuten (OUs) de Windows 2000 Active Directory como NDS usa Unidades de Organizacioacuten (OUs) para organizar los recursos dentro de los dominios La autoridad administrativa puede delegarse a OUs individuales Por el contrario el networking de NT permite la asignacioacuten de privilegios administrativos soacutelo al nivel del dominio Active Directory y DNS Active Directory usa convenciones de nombrado DNS y es dependiente de DNS para operar Debe haber un servidor DNS en cada red Windows 2000 Ademaacutes las actualizaciones de informacioacuten de la zona DNS puede integrarse con la replicacioacuten de Active Directory que es maacutes eficiente que los meacutetodos de actualizacioacuten DNS tradicionales Windows 2000 soporta DNS Dinaacutemico (DDNS) que permite la actualizacioacuten automaacutetica de la base de datos DNS Servidores Active Directory Para usar Active Directory al menos un servidor debe configurarse como Controlador de Dominio (DC) Se recomienda que haya al menos dos DCs en cada dominio para tolerancia de fallos Configurar el primer controlador de dominio en la red crea el directorio para ese dominio A diferencia de los servidores Windows NT los Servidores Windows 2000 que ejecutan Active Directory no tienen un controlador de dominio principal (PDC) o controlador de dominio de respaldo (BDC) En los dominios Windows NT soacutelo el PDC conteniacutea una copia completa de lecturaescritura del directorio de cuentas de usuario e informacioacuten de seguridad El PDC autenticariacutea los nombres de usuario y contrasentildeas cuando los miembros iniciaran sesioacuten en la red El BDC mantendriacutea una copia de respaldo de soacutelo lectura del directorio master del PDC y por lo tanto cualquier cambio necesitariacutea efectuarse en el PDC Los servidores Windows 2000 que ejecutan Active Directory toman el concepto de controlador de dominio de manera un tanto diferente A diferencia de Windows NT Server donde un PDC debe ser accesible para efectuar cambios en el directorio Windows 2000 Server se basa en el modelo de replicacioacuten multimaster de Active Directory para actualizar todos los controladores de dominio dentro del Bosque cuando se hace un cambio en cualquier otro controlador de Dominio No hay PDC o BDC Todos los controladores de dominio son iguales Todos los Controladores de Dominio contienen una copia de lecturaescritura de la particioacuten del Active Directory Esta informacioacuten se mantiene actualizada y sincronizada mediante el proceso de replicacioacuten Este proceso se trata en la siguiente seccioacuten de este capiacutetulo Replicacioacuten del Active Directory Replicacioacuten es el proceso de copiar datos de una computadora a una o maacutes computadoras y sincronizar esos datos para que sean ideacutenticos en todos los sistemas


Active Directory usa replicacioacuten multimaster para copiar informacioacuten del directorio entre los controladores de dominio de un dominio Pueden efectuarse cambios en cualquier controlador de dominio y esos cambios luego se replican a los otros excepto durante el desempentildeo de una operacioacuten de master uacutenico Los administradores de Windows 2000 pueden establecer poliacuteticas de replicacioacuten que determinen cuaacutendo y cuaacuten a menudo tiene lugar la replicacioacuten de directorios Esto permite el uso oacuteptimo del ancho de banda de la red Controlar el cronograma de replicaciones es especialmente importante cuando los controladores de dominio estaacuten ubicados en lados opuestos de un viacutenculo lento como un viacutenculo WAN de 56K Seguridad de Active Directory Cada objeto de Active Directory tiene una Lista de Control de Acceso (ACL) que contiene todos los permisos de acceso asociados con ese objeto Los permisos pueden ser expliacutecitamente permitidos o denegados granularmente Existen dos tipos diferentes de permisos sect Permisos asignados Permisos expliacutecitamente otorgados por un usuario autorizado sect Permisos heredados Permisos que se aplican a objetos hijos porque fueron heredados

de un objeto padre Los permisos pueden asignarse a un usuario individual o a un grupo de usuarios Windows 2000 permite a los administradores controlar este proceso Compatibilidad de Active Directory Active Directory depende del sistema operativo y se ejecuta soacutelo en servidores Windows 2000 Puesto que Active Directorio es compatible con LDAP puede accederse a los servicios y la informacioacuten o intercambiarse con otros servicios de directorio LDAP Microsoft tambieacuten proporciona herramientas para migrar informacioacuten desde otros directorios como NDS a Active Directory

Linux Network Information Service Linux usa su propia versioacuten de Servicios de Directorio llamada Servicio de Informacioacuten de Red (NIS) NIS proporciona un simple servicio de buacutesqueda que consiste en bases de datos y procesos NIS es un servicio que proporciona la informacioacuten requerida en todas las maacutequinas de la red Hay soporte para NIS en la libreriacutea libc estaacutendar de Linux al que se denomina NIS tradicional NIS a diferencia de Active Directory de Windows puede instalarse por defecto cuando se instala el Sistema Operativo No obstante esta opcioacuten soacutelo estaacute disponible en determinadas distribuciones NIS es un Daemon al que hay que cargar despueacutes de instalado el sistema operativo Configurar NIS en el sistema permitiraacute al Servidor Linux obtener informacioacuten acerca de cuentas de usuario cuentas de grupo sistemas de archivos y otras bases de datos ubicadas en otros servidores de toda la Red NIS funciona de manera muy similar para Linux como NDS lo hace para Novell y Active Directory lo hace para Windows Un sistema que usa NIS podraacute acceder a los archivos y a informacioacuten de cualquier sistema de la Red Para establecer correctamente esta relacioacuten NIS a menudo trabajaraacute en conjuncioacuten con el Sistema de Archivos de Red (NFS) NFS ejecutado en Linux permite a un usuario montar sistemas de archivos que pueden ubicarse en cualquier servidor de la Red a un directorio local del usuario La Estructura de NIS En una configuracioacuten de NIS la red consistiraacute en el servidor NIS esclavos y clientes El servidor NIS es donde la base de datos de NIS se crea y mantiene Los esclavos NIS actuacutean igual que los servidores NDS actuacutean en Novell Las bases de datos NIS se copian a todos los servidores esclavos NIS Los esclavos son entonces capaces de proporcionar informacioacuten de directorios NIS a los clientes pero cualquier cambio efectuado a la base de datos debe llevarse a cabo en el servidor NIS Los clientes NIS son los sistemas que solicitaraacuten informacioacuten sobre la base de datos de los servidores y esclavos Los esclavos NIS llevan a cabo Equilibrio de la


Carga para los servidores NIS La Figura muestra un ejemplo de la disposicioacuten loacutegica de una topologiacutea NIS Linux

Configuracioacuten de NIS en un Cliente Si un usuario estaacute configurando NIS durante la instalacioacuten de Linux entonces todo lo que se necesitaraacute es seleccionar la opcioacuten cuando se presente Luego el usuario tendraacute que seleccionar el nombre de dominio de NIS asiacute como la direccioacuten IP del servidor NIS Es importante notar que el nombre de dominio de NIS no es necesariamente el mismo que el nombre de dominio DNS Para configurar NIS despueacutes de instalar Linux el usuario usa la utilidad linuxconf para configurar un cliente NIS En este punto el usuario necesitaraacute introducir el nombre de dominio NIS y la direccioacuten IP del servidor NIS yppassword e ypinit El comando yppasswd cambia la contrasentildea de red asociada con el usuario username en la base de datos del Servicio de Informacioacuten de Red (NIS+) yppasswd pide la antigua contrasentildea NIS y luego la nueva Se debe tipear la antigua contrasentildea correctamente para que el cambio tenga efecto No se recomienda el uso de yppasswd ya que ahora es soacutelo un viacutenculo al comando passwd que es el que deberiacutea usarse en cambio Usar passwd con la opcioacuten -r nis lograraacute los mismos resultados y seraacute consistente en todos los servcios de nombre diferentes disponibles La contrasentildea de los Servicios de Informacioacuten de Red (NIS) puede ser diferente de una de su propia maacutequina En esta instancia se utilizariacutea el comando yppasswd en lugar del comando passwd Los usuarios raiacutez de un servidor NIS pueden cambiar la contrasentildea de otro usuario sin conocer la contrasentildea original del usuario Para ello el usuario Raiacutez introduce su contrasentildea en lugar de la contrasentildea original del usuario La yppasswd Tenga en cuenta que el daemon yppassword debe estar ejecutaacutendose para que los usuarios puedan usar el comando yppasswd El daemon yppasswdd es un servidor que recibe y ejecuta solicitudes de nuevas contrasentildeas del comando yppasswd Estas solicitudes requieren el daemon para verificar la antigua contrasentildea del usuario y cambiarla El daemon cambia la contrasentildea en el archivo que se especifica en el paraacutemetro FileName que tiene el mismo formato que el archivo etcpasswd Para hacer posible la actualizacioacuten del mapa de contrasentildeas del Servicio de Informacioacuten de Red (NIS) desde maacutequinas remotas el daemon yppasswdd debe ejecutarse en el servidor master que contiene el mapa de contrasentildeas NIS El daemon yppasswdd no se ejecuta por defecto ni puede iniciarse desde el daemon inetd como otros daemons Llamada de Procedimiento Remoto (RPC) El daemon yppasswdd puede iniciarse y detenerse con los siguientes comandos Controlador de Recursos del Sistema (SRC) startsrc -s yppasswdd stopsrc -s yppasswd El comando ypinit configura mapas NIS en un servidor master de Servicios de Informacioacuten de Red (NIS) o servidor esclavo NIS Soacutelo los usuarios con autoridad de usuario raiacutez pueden usar el comando ypinit La sintaxis de comandos para usar el comando ypinit es la siguiente


usrsbinypinit [ -o] [ -n ] [ -q] ndashm [ SlaveName ] usrsbinypinit -s MasterName El primer comando se usa para configurar NIS en un Servidor Master NIS y el segundo comando configuraraacute NIS en un Servidor Esclavo NIS

Servicio de asignacioacuten dinaacutemica de direcciones IP El protocolo DHCP La funcioacuten baacutesica de este protocolo es evitar que el administrador tenga que configurar manualmente las caracteriacutesticas propias del protocolo TCPIP en cada equipo Para ello existe en la red un sistema especial denominado servidor DHCP que es capaz de asignar la configuracioacuten TCPIP al resto de maacutequinas presentes en la red o clientes DHCP cuando estos arrancan Entre los datos que maacutes habitualmente proporciona el servidor a los clientes se incluyen sect Una direccioacuten IP por cada tarjeta de red o NIC (Network Interface Card) que posea el

cliente sect La maacutescara de subred sect La puerta de enlace o gateway sect Otros paraacutemetros adicionales como el sufijo del dominio DNS o la direccioacuten IP del

servidor DNS En una red pueden convivir equipos que sean clientes DHCP con otros cuya configuracioacuten se haya establecido manualmente Aquellos que esteacuten configurados como clientes DHCP necesitaraacuten encontrar en la red local un servidor DHCP para que les proporciones los paraacutemetros TCPIP Cuando un cliente arranca por primera vez lanza por la red un mensaje de difusioacuten (broadcast solicitando una direccioacuten IP Si en la red existe un solo servidor DHCP cuando este reciba el mensaje contestaraacute al cliente asociaacutendole una direccioacuten IP junto con el resto de paraacutemetros de configuracioacuten En concreto el servidor DHCP puede estar configurado para asignar al cliente una direccioacuten IP cualquiera de las que tenga disponibles o bien para asignarle una direccioacuten en concreto (o direccioacuten reservada) en funcioacuten de la direccioacuten fiacutesica de la tarjeta ethernet del cliente En ambos casos una vez el cliente recibe el mensaje del servidor ya tiene una configuracioacuten IP con la que poder acceder a la red de forma normal

Configuracioacuten de un servidor DHCP en Windows Antes de poder configurar el servicio DHCP primero debe instalarlo en el servidor DHCP no se instala de manera predeterminada durante la instalacioacuten tiacutepica de Windows 2000 Server o Windows 2000 Advanced Server Puede instalar DHCP durante la instalacioacuten inicial de Windows 2000 o despueacutes de que la instalacioacuten inicial haya terminado Para instalar el servicio DHCP en un servidor existente sect Haga clic en Inicio seleccione Configuracioacuten y a continuacioacuten haga clic en Panel de

control sect Haga doble clic en Agregar o quitar programas y despueacutes haga clic en Agregar o

quitar componentes de Windows sect En el Asistente para componentes de Windows en la lista Componentes haga clic en

Servicios de red y despueacutes haga clic en Detalles sect En el cuadro de diaacutelogo Servicios de red active la casilla de verificacioacuten Protocolo de

configuracioacuten dinaacutemica de host (DHCP) si no estaacute ya activada y haga clic en Aceptar sect En el Asistente para componentes de Windows haga clic en Siguiente para iniciar el

programa de instalacioacuten de Windows 2000 Cuando se le pida introduzca el CD-ROM de Windows 2000 en la unidad de CD-ROM o de DVD-ROM El programa de instalacioacuten copiaraacute al equipo el servidor DHCP y los archivos de herramientas


sect Cuando termine el programa de instalacioacuten haga clic en Finalizar Despueacutes de instalar e iniciar el servicio DHCP debe crear un aacutembito que es un intervalo de direcciones IP vaacutelidas que se pueden conceder a los equipos cliente de DHCP de la red Cada servidor DHCP del entorno debe tener al menos un aacutembito que no se superponga con ninguacuten otro aacutembito del servidor DHCP de su entorno En Windows 2000 los servidores DHCP de un entorno de dominios basado en Active Directory deben estar autorizados para impedir que se pongan en conexioacuten servidores DHCP falsos Windows 2000 cierra todos los servidores DHCP no autorizados que encuentra Para crear un nuevo aacutembito sect Haga clic en Inicio seleccione Programas Herramientas administrativas y a

continuacioacuten haga clic en DHCP sect En el aacuterbol de consola haga clic con el botoacuten secundario del mouse (ratoacuten) en el

servidor DHCP en el que desee crear el nuevo aacutembito DHCP y a continuacioacuten haga clic en Aacutembito nuevo

sect En el Asistente para aacutembito nuevo haga clic en Siguiente y escriba un nombre y una descripcioacuten para el aacutembito Puede utilizar cualquier nombre que desee pero debe ser lo suficientemente descriptivo como para identificar la finalidad del aacutembito de la red (por ejemplo podriacutea utilizar Direcciones de clientes del edificio de administracioacuten)

sect Escriba el intervalo de direcciones que se pueden conceder como parte de este aacutembito por ejemplo un intervalo con una direccioacuten IP inicial de 1921681001 hasta una direccioacuten final 192168100100 Puesto que estas direcciones se conceden a clientes todas ellas deben ser direcciones vaacutelidas de la red y que no esteacuten en uso actualmente Si desea utilizar una maacutescara de subred diferente escriba la nueva maacutescara de subred Haga clic en Siguiente

sect Escriba todas las direcciones IP que desee excluir del intervalo especificado Esto incluye todas las direcciones del intervalo anterior que puedan haberse asignado estaacuteticamente a varios equipos de su organizacioacuten Haga clic en Siguiente

sect Escriba el nuacutemero de diacuteas horas y minutos que deben transcurrir antes de que caduque la concesioacuten de una direccioacuten IP de este aacutembito Esto determina el periacuteodo de tiempo que un cliente puede tener una direccioacuten concedida sin renovarla Haga clic en Siguiente y despueacutes en Configurar estas opciones ahora para extender el asistente de manera que incluya valores para las opciones de DHCP maacutes comunes Haga clic en Siguiente

sect Escriba la direccioacuten IP de la puerta de enlace predeterminada que deben utilizar los clientes que obtienen una direccioacuten IP de este aacutembito Haga clic en Agregar para poner en la lista la direccioacuten de la puerta de enlace predeterminada y despueacutes haga clic en Siguiente

sect Si utiliza servidores del Sistema de nombres de dominio (DNS) en su red escriba el nombre de dominio de la organizacioacuten en el cuadro Dominio principal Escriba el nombre de su servidor DNS y haga clic en Resolver para asegurarse de que el servidor DHCP puede ponerse en contacto con el servidor DNS y determinar su direccioacuten Haga clic en Agregar para incluir ese servidor en la lista de servidores DNS asignados a los clientes DHCP Haga clic en Siguiente

sect Haga clic en Activar este aacutembito ahora para activar el aacutembito y permitir que los clientes obtengan concesiones del mismo y haga clic en Siguiente

sect Haga clic en Finalizar Finalizado se deberiacutea verificar que se inicie el servicio y utilizar el visor de

Configuracioacuten de un servidor DHCP en Linux Esta seccioacuten trataraacute en cambio algunos de los archivos y pasos baacutesicos involucrados en la configuracioacuten de los servicios DHCP Cuando DHCP inicia lee el archivo etcdhcpconf Usa los comandos que hay aquiacute para configurar su red Normalmente puede encontrarse una copia de muestra de dhcpdconf en el siguiente directorio que siempre puede usarse como guiacutea


usrsharedocdhcp- ltnuacutemero-versioacutengt dhcpdconf Antes de iniciar el servidor DHCP por primera vez fallaraacute a menos que haya un archivo dhcpdleases existente Use el siguiente comando para crear el archivo si no existe touch varlibdhcpdhcpd leases Una vez que el daemon DHCP se ha instalado lo primero que hacer seriacutea iniciar DHCP de la siguiente manera etcinitddhcpd start Para configurar dhcpd para que inicie automaacuteticamente cuando el servidor arranca use el siguiente comando chkconfig --level 35 dhcpd on

Servicio de nombre de dominios DNS El Domain Name System (DNS) es una base de datos distribuida y jeraacuterquica que almacena informacioacuten asociada a nombres de dominio en redes como Internet Aunque como base de datos el DNS es capaz de asociar distintos tipos de informacioacuten a cada nombre los usos maacutes comunes son la asignacioacuten de nombres de dominio a direcciones IP y la localizacioacuten de los servidores de correo electroacutenico de cada dominio La asignacioacuten de nombres a direcciones IP es ciertamente la funcioacuten maacutes conocida de los protocolos DNS Por ejemplo si la direccioacuten IP del sitio FTP de wwwclarincom es 200641284 la mayoriacutea de la gente llega a este equipo especificando wwwclarincom y no la direccioacuten IP (ademaacutes de ser maacutes faacutecil de recordar el nombre es maacutes fiable) La direccioacuten numeacuterica podriacutea cambiar por muchas razones sin que tenga que cambiar el nombre Para la operacioacuten praacutectica del sistema DNS se utilizan tres componentes principales sect Los Clientes DNS (resolvers) un programa cliente DNS que se ejecuta en la

computadora del usuario y que genera peticiones DNS de resolucioacuten de nombres a un servidor DNS (Por ejemplo iquestQueacute direccioacuten IP corresponde a nombredominio)

sect Los Servidores DNS (name servers) que contestan las peticiones de los clientes los servidores recursivos tienen la capacidad de reenviar la peticioacuten a otro servidor si no disponen de la direccioacuten solicitada

sect Y las Zonas de autoridad porciones del espacio de nombres de dominio que almacenan los datos Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios si estos uacuteltimos no son delegados a otras zonas de autoridad

El protocolo DNS utiliza como transporte a TCP yo UDP seguacuten la informacioacuten que transporte en el puerto 53

Configuracioacuten de un servidor DNS en Windows Antes de poder configurar el servicio DNS primero debe instalarlo en el servidor DNS no se instala de manera predeterminada durante la instalacioacuten de Windows 2000 Server o Windows 2000 Advanced Server Puede instalar DNS durante o despueacutes de la instalacioacuten Para instalar el servicio DNS en un servidor existente sect Haga clic en Inicio seleccione Configuracioacuten y a continuacioacuten haga clic en Panel de


quitar componentes de Windows


sect En el Asistente para componentes de Windows en la lista Componentes haga clic en Servicios de red y despueacutes haga clic en Detalles

sect En el cuadro de diaacutelogo Servicios de red active la casilla de verificacioacuten Sistema de nombres de dominio (DNS) si no estaacute ya activada y haga clic en Aceptar

sect En el Asistente para componentes de Windows haga clic en Siguiente para iniciar el programa de instalacioacuten de Windows 2000 Cuando se le pida introduzca el CD-ROM de Windows 2000 en la unidad de CD-ROM o de DVD-ROM El programa de instalacioacuten copiaraacute al equipo el servidor DNS y los archivos de herramientas

sect Cuando termine el programa de instalacioacuten haga clic en Finalizar Para que un servidor DNS funcione correctamente necesita una zona de buacutesqueda directa para que su dominio local aloje los registros del localizador Una zona de buacutesqueda directa contiene informacioacuten necesaria para resolver nombres en el dominio DNS Puede que tambieacuten desee configurar una zona de buacutesqueda inversa que permita a los usuarios determinar el nombre de un recurso local seguacuten su direccioacuten IP Ademaacutes para simplificar al maacuteximo la administracioacuten del servicio DNS debe configurar estas zonas para que acepten actualizaciones dinaacutemicas Una vez instalado el servicio DNS utilice el Asistente para configurar servidor DNS con el fin de configurar el servicio DNS Para configurar el servicio DNS sect Haga clic en Inicio seleccione Programas haga clic en Herramientas administrativas y

despueacutes haga doble clic en DNS para iniciar la consola de administracioacuten DNS sect En el panel de exploracioacuten haga clic con el botoacuten secundario del mouse (ratoacuten) en el

objeto Servidor DNS del servidor y a continuacioacuten haga clic en Configurar el servidor con el fin de iniciar el Asistente para configurar servidor DNS En el Asistente para configurar servidor DNS haga clic en Siguiente

sect Seleccione uno de los elementos siguientes y a continuacioacuten haga clic en Siguiente o Si eacuteste es el primer servidor DNS de la red y no necesita resolver nombres de

otros dominios haga clic en Eacuteste es el primer servidor DNS en esta red o Si en esta red tambieacuten se va a ejecutar uno o maacutes servidores DNS o si va a

reenviar solicitudes DNS a otra red (como Internet) haga clic en Uno o maacutes servidores DNS estaacuten funcionando en esta red y escriba la direccioacuten IP de un servidor DNS conocido

NOTA si el servidor donde estaacute instalado DNS ya estaacute configurado para utilizar un servidor DNS el asistente consultaraacute los servidores raiacutez Si encuentra los servidores raiacutez el asistente completa las sugerencias de raiacutez con los nombres de los servidores DNS raiacutez Si el asistente no encuentra ninguacuten servidor raiacutez crea una zona raiacutez en el servidor DNS convirtieacutendolo en un servidor raiacutez

sect Haga clic en Siacute crear una zona de buacutesqueda directa y despueacutes haga clic en Siguiente Haga clic en Principal estaacutendar para configurar este servidor como servidor DNS principal (un servidor DNS principal almacena una copia maestra de la nueva zona en un archivo de texto) y despueacutes haga clic en Siguiente Escriba el nombre de dominio completo (FQDN) de la nueva zona y haga clic en Siguiente Acepte el valor predeterminado para crear un nuevo archivo con este nombre y haga clic en Siguiente

sect Haga clic en Siacute crear una zona de buacutesqueda inversa y despueacutes haga clic en Siguiente Haga clic en Principal estaacutendar para crear la zona de buacutesqueda inversa como zona principal y despueacutes haga clic en Siguiente

sect En el cuadro Id de red escriba los tres primeros octetos de la direccioacuten IP del servidor DNS en orden inverso Por ejemplo si la direccioacuten IP del servidor es 192168100102 escriba 100168192 Haga clic en Siguiente Haga clic en el valor predeterminado para crear un nuevo archivo de zona con el nombre seleccionado automaacuteticamente por el asistente y despueacutes haga clic en Siguiente Haga clic en Finalizar

Despueacutes de configurar la nueva zona de buacutesqueda directa debe configurar estas zonas para que acepten actualizaciones dinaacutemicas


Configuracioacuten de BIND en Linux Tratar todo lo involucrado en configurar su sistema Linux como servidor DNS iriacutea maacutes allaacute del alcance de este curso Esta seccioacuten trataraacute en cambio algunos de los archivos y pasos baacutesicos involucrados en la configuracioacuten de servicios DNS Seguacuten se explicoacute al principio de la seccioacuten el Sistema de Nombres de Dominio (DNS) es la forma en la cual una direccioacuten IP se resuelve a un URL o nombre de dominio como wwwgooglecom para asignar un nombre faacutecilmente localizado administrado y recordado a una direccioacuten IP arbitrariamente numeacuterica BIND es una sigla para el proyecto Berkeley Internet Name Domain que mantiene a la suite de software relacionada con DNS que se ejecuta bajo Linux El programa mejor conocido en BIND es named el daemon que responde a las consultas DNS desde maacutequinas remotas Una vez que BIND ha sido instalado la primera cosa que hacer seriacutea iniciar el BIND de la siguiente manera etcinitdnamed start Para configurar BIND para que se inicie automaacuteticamente cuando el servidor arranca use el siguiente comando chkconfig --level 35 named on El archivo etcresolvconf es usado por clientes DNS (servidores que no ejecutan BIND) para determinar tanto la ubicacioacuten de su servidor DNS como los dominios a los cuales pertenecen En general tiene dos columnas la primera contiene una palabra clave y la segunda contiene el o los valor(es) deseado(s) separados por comas La configuracioacuten DNS principal se guarda en el archivo etcnamedconf que se usa para decirle a BIND doacutende encontrar los archivos de configuracioacuten para cada dominio que posee Por lo general hay dos zonas en este archivo sect Definiciones del archivo de la zona hacia delante que enumera los archivos para

mapear dominios a direcciones IP sect Definiciones del archivo de la zona en reversa que enumera los archivos para mapear

direcciones IP a dominios sect

El archivo etchosts enumera el nombre y la direccioacuten IP de los hosts locales Su servidor en general verificaraacute este archivo antes de hacer referencia a DNS si el nombre se encuentra entonces DNS no seraacute consultado Desgraciadamente si la direccioacuten IP de ese host cambia tendraacute que actualizarse el archivo Para que sea faacutecil la administracioacuten lo mejor es limitar las entradas en este archivo soacutelo a la interfaz loopback y tambieacuten al nombre de host local El archivo etchosts tiene el siguiente formato direccioacuten-ip nombre-dominio-totalmente-calificado alias1 alias2 etc dig La utilidad dig (buscador de informacioacuten de dominio) es una flexible herramienta para interrogar servidores de nombre DNS Lleva a cabo buacutesquedas DNS y muestra las respuestas que son devueltas por el o los servidor(es) de nombre que fueron consultado(s) La mayoriacutea de los administradores de DNS usan dig para detectar y solucionar problemas de DNS a causa de su flexibilidad facilidad de uso y claridad de resultados Otras herramientas de buacutesquedas tienden a tener menos funcionalidad que dig A menos que se le indique que consulte un servidor de nombre especiacutefico dig probaraacute cada uno de los servidores enumerados en etcresolvconf Un ejemplo del uso del comando dig es el que sigue dig servidor nombre tipo sect servidor El nombre o direccioacuten IP del servidor de nombre a consultar Eacutesta puede ser

una direccioacuten IPv4 en notacioacuten decimal de punto o una direccioacuten IPv6 en notacioacuten delimitada por dos puntos Cuando el argumento del servidor proporcionado es un


nombre de host dig resuelve ese nombre antes de consultar al servidor de nombre Si no se proporcoina ninguacuten argumento de servidor dig consulta etcresolvconf y consulta los servidores de nombre enumerados ahiacute La respuesta del servidor de nombre se muestra

sect nombre El nombre del registro de recursos donde hay que buscar sect tipo Indica queacute tipo de consulta se requiere - ANY A MX SIG etc tipo puede ser

cualquier tipo de consulta vaacutelido Si no se proporciona ninguacuten argumento tipo dig llevaraacute a cabo una buacutesqueda de un registro A

Servicio Web El protocolo http El protocolo de transferencia de hipertexto (HTTP HyperText Transfer Protocol) es el protocolo usado en cada transaccioacuten de la Web (WWW) El hipertexto es el contenido de las paacuteginas web y el protocolo de transferencia es el sistema mediante el cual se enviacutean las peticiones de acceso a una paacutegina y la respuesta con el contenido Tambieacuten sirve el protocolo para enviar informacioacuten adicional en ambos sentidos como formularios con campos de texto HTTP es un protocolo sin estado es decir que no guarda ninguna informacioacuten sobre conexiones anteriores Al finalizar la transaccioacuten todos los datos se pierden Por esto se popularizaron las cookies que son pequentildeos ficheros guardados en el propio ordenador que puede leer un sitio web al establecer conexioacuten con eacutel y de esta forma reconocer a un visitante que ya estuvo en ese sitio anteriormente Gracias a esta identificacioacuten el sitio web puede almacenar gran nuacutemero de informacioacuten sobre cada visitante ofrecieacutendole asiacute un mejor servicio

Windows Internet Information Service Configurar servicios del Protocolo de Transferencia de Hipertexto (HTTP) en Windows XP es lo mismo que configurar servicios HTTP en Windows 2000 Habilitando el servicio HTTP en un NOS la computadora se vuelve un servidor web capaz de enviar informacioacuten a traveacutes de la World Wide Web (WWW) En versiones anteriores del NOS Windows eran necesarios programas separados para permitir al sistema manipular tales operaciones No obstante con el lanzamiento de Windows 2000 las herramientas para llevar a cabo servicios de Internet se incluyen y estaacuten incorporadas al software Como se tratoacute anteriormente estos servicios se activan y configuran mediante el uso de la herramienta Servicios de Informacioacuten de Internet (IIS) que se encuentra bajo el menuacute Inicio gt Programas gt Herramientas Administrativas

Lanzar esta herramienta muestra la computadora actual y la lista de servicios de Internet disponibles El servicio web HTTP se encuentra aquiacute bajo el nombre Sitio Web por Defecto Seleccionar este iacutecono o hacer clic en el signo maacutes para expandir el aacuterbol de navegacioacuten revela los muchos directorios y archivos por defecto incluidos en este servicio Hacer clic con el botoacuten derecho del mouse en el iacutecono Sitio Web por Defecto muestra un menuacute habilitando al administrador para que

inicie ponga en pausa o detenga el servicio ademaacutes de configurar sus diversas propiedades Algunas de estas propiedades son bastante auto-explicativas basaacutendose en sus descripciones pero la mayoriacutea requeriraacute un administrador de sistemas experimentado para configurar apropiada y seguramente el servicio HTTP


Una vez que este servicio ha sido iniciado los usuarios pueden ver la paacutegina web por defecto del sistema enviando la siguiente direccioacuten a su navegador web http127001 Esta direccioacuten IP se denomina direccioacuten loopback Es una direccioacuten estaacutendar de networking que siempre apunta a la computadora local A menos que exista una entrada de Sistema de Nombre de Dominio (DNS) para la direccioacuten IP del sistema NOS esta direccioacuten loopback o la verdadera direccioacuten IP del sistema seraacuten necesarias para acceder a estas paacuteginas a traveacutes de la World Wide Web Por defecto Windows 2000 mostraraacute el archivo llamado localstartasp al recibir una solicitud de informacioacuten entrante de un navegador web Si el servicio HTTP del NOS estaacute habilitado con el propoacutesito de hosting de paacutegina web es probable que el administrador del sistema actualice la mayoriacutea de estos archivos y configuraciones

Apache El NOS Linux no es capaz de proporcionar el daemon HTTP a los usuarios En cambio un programa de web-hosting separado y extremadamente popular llamado Apache es la solucioacuten comuacuten Apache proporciona los mismos daemons HTTP para Linux que la herramienta Servicios de Informacioacuten de Internet (IIS) proporciona para Windows 2000 La diferencia entre las dos implementaciones es que la configuracioacuten basada en texto CLI de Apache difiere de las opciones manejadas con menuacutees de Windows 2000 Ademaacutes Apache tiende a ser mucho maacutes complejo proporcionando un nivel maacutes profundo de personalizacioacuten y potencia a los administradores de sistemas Una configuracioacuten tiacutepica del servidor web Apache se muestra en la Figura Note coacutemo el graacutefico demuestra coacutemo cualquier usuario que ejecute cualquier sistema operativo puede acceder al servidor web No tiene que estar ejecutando un sistema Linux para acceder al daemon del servidor web Apache porque el servidor web Apache es accedido mediante el protocolo HTTP que es independiente del sistema operativo La complejidad adicional de Apache requiere a menudo un soacutelido conocimiento de web hosting y temas de seguridad antes de que los administradores del sistema intenten configurar su servicio HTTP para Linux El proceso de configuracioacuten tiene lugar editando cuatro archivos de configuracioacuten httpdconf srmconf accessconf y mimestypes Eacutestos se encuentran en el directorio conf de la instalacioacuten de Apache Estos archivos contienen todas las configuraciones de inicializacioacuten para Apache como los tipos de datos a servir y las estructuras de directorios web Solamente administradores de sistemas experimentados deberiacutean intentar editar estos archivos en un servidor web ya que una configuracioacuten inapropiada podriacutea crear agujeros de seguridad en el sistema Apache como Linux estaacute disponible para su descarga sin costo para los usuarios Apache estaacute disponible en httpwwwapacheorg Diferentes versiones del programa se configuran empaquetan y enviacutean con la mayoriacutea de las opciones populares de Linux como Red Hat Linux En tales casos Linux inicia Apache automaacuteticamente y el servicio HTTP (HTTPD) ademaacutes de otros daemons como FTP (FTPD) cada vez que arranca el sistema


A los usuarios de un sistema Linux habilitado para HTTP se les da tiacutepicamente un directorio especial dentro de su directorio home para colocar archivos web puacuteblicos Este directorio a menudo se llama public_html y se convierte automaacuteticamente en el directorio web raiacutez del usuario Por ejemplo si un usuario llamado jdoe existe en un sistema Linux con una direccioacuten IP de 123456790 el usuario tendriacutea tambieacuten una direccioacuten web por defecto http123456790~jdoe

Servicio FTP El protocolo FTP FTP (File Transfer Protocol) es un protocolo de transferencia de ficheros entre sistemas conectados a una red TCP basado en la arquitectura cliente-servidor de manera que desde un equipo cliente nos podemos conectar a un servidor para descargar ficheros desde eacutel o para enviarle nuestros propios archivos independientemente del sistema operativo utilizado en cada equipo El Servicio FTP es ofrecido por la capa de Aplicacioacuten del modelo de capas de red TCPIP al usuario utilizando normalmente el puerto de red 20 y el 21 Un problema baacutesico de FTP es que estaacute pensado para ofrecer la maacutexima velocidad en la conexioacuten pero no la maacutexima seguridad ya que todo el intercambio de informacioacuten desde el login y password del usuario en el servidor hasta la transferencia de cualquier fichero se realiza en texto plano sin ninguacuten tipo de cifrado con lo que un posible atacante lo tiene muy faacutecil para capturar este traacutefico acceder al servidor o apropiarse de los ficheros transferidos

Windows Internet Information Service En las primeras versiones del NOS Microsoft Windows proporcionar a los usuarios el servicio del Protocolo de Transferencia de Archivos (FTP) soacutelo era posible mediante la instalacioacuten de un programa separado Con el lanzamiento del NOS Windows 2000 actual este servicio ha sido incluido como caracteriacutestica estaacutendar que puede ser faacutecilmente configurada Antes de iniciar el servicio debe determinarse si se han cargado las herramientas apropiadas durante la instalacioacuten de Windows 2000 Especiacuteficamente las herramientas de Servicios de Informacioacuten de Internet (IIS) son necesarias para ejecutar los servicios de FTP y HTTP (entre otros) para las computadoras Windows 2000 Para determinar si es necesario instalar el paquete de Servicios de Informacioacuten de Internet seleccione Inicio gt Configuracioacuten gt Panel de Control gt AgregarQuitar Programas Haga clic en el botoacuten AgregarQuitar Componentes de Windows y aseguacuterese de que el recuadro IIS esteacute tildado indicando que estaacute listo para usar Si el recuadro no estaacute tildado un administrador de sistemas debe tildar el recuadro y proporcionar el software Windows 2000 necesario para actualizar el NOS para que incluya el componente Una vez que se agregoacute el componente IIS de Windows 2000 el servicio FTP estaacute listo para ser configurado Lanzar la herramienta Servicios de Informacioacuten de Internet hace esto Seleccione

Inicio gt Programas gt Herramientas Administrativas gt Administrador de Servicios de Internet para mostrar la ventana Hacer clic en el signo maacutes junto al nombre de la computadora revela los diversos servicios relacionados con Internet que mantiene esta herramienta incluyendo el servicio de FTP para Windows 2000 Abriendo el


menuacute contextual sobre el iacutecono Sitio FTP por Defecto el administrador del sistema puede iniciar detener o poner en pausa el servicio ademaacutes de configurar sus diversas propiedades Una vez que el servicio FTP se inicia los usuarios autorizados pueden conectarse remotamente y transferir archivos

Servidores FTP en Linux Aunque el servicio FTP de Windows 2000 puede o no estar disponible por defecto el servicio FTP de Linux no necesita configuracioacuten Esta configuracioacuten se encuentra en etcrcdinitdxinetd Si un administrador de sistemas desea inhabilitar el servicio un signo numeral () puede ubicarse al principio de la liacutenea De otro modo Linux inicia automaacuteticamente el daemon FTP (FTPD) durante el proceso de inicio y los usuarios pueden usar FTP remotamente a la maacutequina en cualquier momento Al iniciar sesioacuten en una maacutequina Linux usando FTP los usuarios a menudo son llevados inmediatamente a su directorio home En otros casos los administradores de sistemas pueden crear un directorio especial para que sirva como punto de entrada al sistema para todos los usuarios Este directorio raiacutez virtual aparece ante los usuarios FTP en la parte superior de la estructura de directorios del sistema y no permite un acceso maacutes alto dentro del sistema Implementar este meacutetodo proporciona a un administrador de sistemas mayor control sobre los datos y proporciona una seguridad del sistema maacutes estrecha Tambieacuten proporciona una ubicacioacuten central para crear directorios puacuteblicos donde los datos puedan compartirse libremente entre usuarios FTP Recuerde que las mismas pertenencias y permisos de archivos y directorios se aplican en el entorno FTP que los que se aplican en cualquier otro entorno Linux Por ejemplo los usuarios que desean obtener un archivo remoto ubicado en un directorio especiacutefico deben tener permisos de usuario grupo u otros para ese directorio De otro modo el acceso al directorio se denegaraacute de manera muy similar a como se denegariacutea en un prompt de comandos estaacutendar de Linux

Servicio de correo electroacutenico El protocolo SMTP Simple Mail Transfer Protocol (SMTP) o protocolo simple de transferencia de correo electroacutenico Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electroacutenico entre computadoras o distintos dispositivos (PDAs teleacutefonos moacuteviles etc) SMTP se basa en el modelo cliente-servidor donde un cliente enviacutea un mensaje a uno o varios receptores La comunicacioacuten entre el cliente y el servidor consiste enteramente en liacuteneas de texto compuestas por caracteres ASCII El tamantildeo maacuteximo permitido para estas liacuteneas es de 1000 caracteres En el conjunto de protocolos TCPIP el SMTP va por encima del TCP usando normalmente el puerto 25 en el servidor para establecer la conexioacuten Los clientes de correo como Outlook Express utilizan el protocolo SMTP con los servidores de correo para hacer entrega de los correos que el usuario desea enviar a traveacutes de la red

El protocolo POP En informaacutetica se utiliza el Post Office Protocol (POP3) en clientes locales de correo para obtener los mensajes de correo electroacutenico almacenados en un servidor remoto La mayoriacutea de los usuarios de Internet acceden a sus correos a traveacutes de POP3 Las versiones del protocolo POP (informalmente conocido como POP1) y POP2 se han hecho obsoletas debido a las uacuteltimas versiones de POP3 En general cuando uno se refiere al teacutermino POP nos referimos a POP3 dentro del contexto de protocolos de correo electroacutenico


El disentildeo de POP3 y sus predecesores permite que los usuarios con conexiones intermitentes (tales como las conexiones moacutedem) descarguen su correo-e cuando se encuentren conectados de tal manera que puedan ver y manipular sus mensajes sin necesidad de permanecer conectado Cabe mencionar que la mayoriacutea de los clientes de correo incluyen la opcioacuten de dejar los mensajes en el servidor de manera tal que un cliente que utilice POP3 se conecta obtiene todos los mensajes los almacena en la computadora del usuario como mensajes nuevos los elimina del servidor y finalmente se desconecta En contraste el protocolo IMAP permite los modos de operacioacuten conectado y desconectado Para establecer una conexioacuten a un servidor POP el cliente de correo abre una conexioacuten TCP en el puerto 110 del servidor Cuando la conexioacuten se ha establecido el servidor POP enviacutea al cliente POP una invitacioacuten y despueacutes las dos maacutequinas se enviacutean entre siacute otras oacuterdenes y respuestas que se especifican en el protocolo

El protocolo IMAP IMAP (acroacutenimo ingleacutes de Internet Message Access Protocol) es un protocolo de red de acceso a mensajes electroacutenicos almacenados en un servidor Mediante IMAP se puede tener acceso al correo electroacutenico desde cualquier equipo que tenga una conexioacuten a Internet IMAP tiene varias ventajas sobre POP que es el otro protocolo empleado para obtener correo desde un servidor Por ejemplo es posible especificar en IMAP carpetas del lado servidor Por otro lado es maacutes complejo que POP IMAP le permite a los usuarios acceder a los nuevos mensajes instantaacuteneamente en sus computadoras ya que el correo estaacute almacenado en el servidor Con POP3 los usuarios tendriacutean que descargar el e-mail a sus computadoras en su lugar este meacutetodo tomariacutea maacutes tiempo de lo que le tomariacutea a IMAP y se tiene que descargar el e-mail nuevo para posteriormente leerlo IMAP fue disentildeado como una evolucioacuten de POP Fundamentalmente los dos protocolos le permiten a los clientes de correo acceder a los mensajes almacenados en un servidor de correo Ya sea empleando POP3 o IMAP4 para obtener los mensajes los clientes utilizan SMTP para enviar mensajes Los clientes de correo electroacutenico son comuacutenmente denominados clientes POP o IMAP pero en ambos casos se utiliza SMTP IMAP utiliza como transporte el protocolo TCP con el puerto 143

Seguridad de red Poliacuteticas de seguridad El primer paso en crear una poliacutetica de seguridad para una red de compantildeiacutea es definir una poliacutetica de uso aceptable (AUP) Una poliacutetica de uso aceptable indica a los usuarios queacute es aceptable y permitido en la red de la compantildeiacutea Esto puede incluir cosas como sitios web aceptables para visitar asiacute como queacute momentos son aceptables para navegar por Internet Por ejemplo la poliacutetica de uso aceptable puede incluir informacioacuten acerca de la instalacioacuten de software o hardware El administrador del sistema puede determinar el alcance de queacute incluir en la poliacutetica de uso aceptable El administrador del sistema puede incluir cualquier cosa que pudiera ser dantildeina para la red si se la usa inapropiadamente

Estaacutendares de usuarios y claves Usualmente el administrador del sistema definiraacute la convencioacuten de nombrado para los nombres de usuario de una red Un ejemplo comuacuten es la primera inicial del nombre de la persona y luego todo el apellido como lo muestra la Figura Es recomendable mantener la convencioacuten de nombrado de nombres de usuario simple para que a la gente no le cueste recordarla Una convencioacuten de nombrado de nombre de usuario compleja no es tan importante como tener un estaacutendar de contrasentildea compleja


Al asignar contrasentildeas el nivel de control de la contrasentildea deberaacute coincidir con el nivel de proteccioacuten requerido Una buena poliacutetica de seguridad deberaacute aplicarse estrictamente e incluir pero no limitarse a lo siguiente sect Las contrasentildeas deben expirar despueacutes de un periodo especiacutefico sect Las contrasentildeas deberaacuten contener una mezcla de letras y nuacutemeros para que no

puedan quebrarse faacutecilmente sect Los estaacutendares de contrasentildeas deberaacuten evitar que los usuarios las escriban y las dejen

desprotegidas de la vista puacuteblica sect Deberaacuten definirse reglas acerca de la expiracioacuten y lockout de contrasentildeas Las reglas

de lockout se aplican cuando se ha hecho un intento no exitoso de acceder al sistema o cuando se ha detectado un cambio especiacutefico en la configuracioacuten del sistema

Proteccioacuten antivirus Estaacutendares apropiados de proteccioacuten contra virus requieren que se instale software de proteccioacuten contra virus actualizada se instale en todos los sistemas de la red Ubique filtros apropiados y listas de acceso en todos los gateways entrantes para proteger la red de un acceso no deseado Para evitar virus poliacuteticas de e-mail tambieacuten necesitan desarrollarse que enuncien queacute puede enviarse y recibirse Estas poliacuteticas pueden encontrar resistencia porque a los usuarios les gusta chatear y enviar e-mail no orientado a los negocios mientras estaacuten en el trabajo Los usuarios necesitan estar conscientes de los problemas de seguridad y del efecto que las violaciones de seguridad pueden tener en la red asiacute como en los datos de los usuarios Ademaacutes es importante contar con un procedimiento que requiera que todas las advertencias de virus provengan de un administrador central Seriacutea la responsabilidad de una uacutenica persona determinar si una alerta de virus es real o si es un engantildeo y luego tomar la accioacuten apropiada Un hoax puede no ser tan malicioso como un virus pero puede ser igual de frustrante Lleva valioso tiempo y recursos si un hoax no es identificado Un excelente recurso para determinar si una advertencia es real o un hoax es el sitio web de maacutes abajo

Ataque por Negacioacuten de servicio Un ataque DoS ocurre cuando el sistema blanco no puede servir solicitudes legiacutetimas de la red eficazmente Como resultado el sistema se ha vuelto sobrecargado por mensajes ilegiacutetimos Los ataques DoS vienen en muchas formas Los ataques DoS comunes intentan aprovechar las debilidades de TCPIP o debilidades del coacutedigo del software del NOS Los ataques DoS se originan en un host o grupo de hosts Cuando el ataque viene de un grupo coordenado de hosts esos ataques se denominan DoS Distribuida (DDoS) Un ataque DoS comuacuten es sobrecargar un sistema blanco enviando maacutes datos que los que puede manejar Por ejemplo un atacante enviacutea un gran volumen de paquetes a un blanco El mero volumen del traacutefico resultante puede agobiar al software blanco haciendo que el software se caiga Ademaacutes un volumen lo suficientemente grande de traacutefico DoS puede llenar un viacutenculo a Internet blanco Como resultado de tal ataque el blanco es esencialmente sacado de Internet Hay varios tipos especiacuteficos de ataques DoS Un ataque de desbordamiento del buffer estaacute disentildeado para agobiar al software que se corre en el sistema blanco Las aplicaciones de software se escriben de manera tal que pueden contener datos entrantes y salientes en un buffer de memoria En algunos casos puede ser posible enviar maacutes datos que los que un buffer puede contener Tambieacuten puede ser posible enviar datos formateados de tal manera que el programa o su buffer se confundan Si el coacutedigo del software no estaacute escrito para manejar un desbordamiento del buffer apropiadamente el programa puede caerse El mal llamado ping de la muerte es un bien conocido ataque DoS por desbordamiento del buffer Para ejecutar un ataque del ping de la muerte el atacante enviacutea solicitudes de eco del


Internet Control Message Protocol (ICMP) ilegalmente grandes al blanco El software TCPIP antiguo no podiacutea manejar apropiadamente tales pings y por lo tanto se caiacutea Los desbordamientos del buffer por lo comuacuten aprovechan debilidades especiacuteficas del software NOS El ataque de sincronizacioacuten TCP (SYN) explota el handshake de tres viacuteas del protocolo TCP El atacante enviacutea un gran volumen de solicitudes de sincronizacioacuten TCP (solicitudes SYN) Estas solicitudes representan la primera parte del handshake de tres viacuteas El sistema blanco responde con la segunda parte del handshake y luego espera una respuesta La respuesta es la parte tercera y final del handshake El blanco no esperaraacute por siempre El blanco debe esperar lo suficiente como para permitir que se establezcan sesiones legiacutetimas El sistema atacante no responde en cambio enviacutea solicitudes SYN adicionales tan raacutepidamente como es posible El volumen resultante de conexiones a medio abrir puede ser demasiado para que el blanco las maneje haciendo que su software se caiga Incluso si el blanco no se cae puede estar tan ocupado con las conexiones a medio abrir que no puede servir eficazmente solicitudes SYN legiacutetimas En 1997 se descubrioacute una variante del ataque SYN TCP llamada land El ataque land usa un programa que altera el encabezado IP de la solicitud SYN Esta alteracioacuten hace que la solicitud SYN parezca provenir del blanco mismo Alterar el encabezado IP para ocultar la fuente es spoofing o falsificacioacuten El blanco recibe el paquete falso e intenta responderse a siacute mismo solamente para caerse o colgarse casi inmediatamente Cuando se lo descubrioacute por primera vez varios sistemas con TCPIP habilitado estaban afectados incluyendo Windows 95NT BSD UNIX y Solaris Los dispositivos de red pueden configurarse para bloquear ataques SYN TCP provenientes de una uacutenica fuente Una defensa contra los ataques SYN TCP incluye incrementar la cantidad de conexiones a medio abrir permitidas por el software Otra defensa contra ataques SYN TCP puede ser disminuir la cantidad de tiempo que el software espera una respuesta Hoy los ataques SYN TCP incluyendo a land son bien conocidos y en su mayor parte evitables Teardrop es el nombre de un programa que aprovecha la forma en que IP maneja la fragmentacioacuten Las reglas de TCPIP permiten a un paquete IP grande el ser dividido en fragmentos maacutes pequentildeos y manejables de ser necesario Los fragmentos se enviacutean cada uno como paquetes individuales Cada paquete fragmento contiene la informacioacuten necesaria para que el paquete maacutes grande pueda reensamblarse en el destino Teardrop enviacutea fragmentos que tienen informacioacuten de reesamblaje superpuesta lo cual confunde al software blanco ocasionando una caiacuteda Se conoce que Teardrop afecta a Windows 31 95 NT y algunas versiones de Linux Hoy virtualmente todos los OSs contienen coacutedigo para protegerse contra este ataque Como el de land el ataque Smurf se basa en hacer spoofing del encabezado del paquete IP Smurf tambieacuten se basa en ICMP o ping Muchas organizaciones usan tecnologiacutea firewall para bloquear solicitudes ping provenientes de redes externas No obstante las respuestas ping usualmente se permiten dentro de una red para que los hosts internos puedan usar ping para probar la conectividad externa Si una organizacioacuten permite la entrada de respuestas de ping a su red puede ser vulnerable a Smurf En un ataque Smurf el atacante enviacutea un gran volumen de solicitudes ping a una red blanco Eacutesta puede o no ser la misma red en la que reside el host blanco El atacante hace spoofing de los encabezados IP de estas solicitudes ping para que parezcan haberse originado en el blanco Una vez que los hosts de la red blanco recibieron la solicitud de ping dirigen todas sus respuestas al host blanco En consecuencia el host blanco yo sus conexiones a la red pueden ser sobrecargadas denegando eficazmente el servicio Los ejemplos enumerados aquiacute son todas vulnerabilidades bien conocidas El software de los OS se escribe ahora teniendo en cuenta estos ataques Por ejemplo la mayoriacutea de los sistemas son ahora inmunes a land y Teardrop


Las vulnerabilidades conocidas en software representan agujeros en el sistema Estos agujeros pueden repararse o se puede aplicar patches a ellos instalando actualizaciones de software cuando las haga disponible el fabricante Al instalar cualquier OS verifique con el fabricante para determinar si cualesquiera patches de seguridad estaacuten disponibles para el OS Ciertamente existen vulnerabilidades adicionales esperando a ser descubiertas Es inteligente verificar con autoridades de seguridad en la World Wide Web como CERTCC regularmente

Ataque por Negacioacuten de servicio distribuido La mayoriacutea de los ataques DoS funcionan sobrecargando un blanco con paquetes Los desarrolladores de hardware y software han creado formas de identificar patrones de traacutefico sospechosos que provienen de una direccioacuten de host individual Una vez identificado el traacutefico sospechoso un filtro o firewall puede bloquear el traacutefico proveniente de esa direccioacuten A fines de los 90 los ataques DoS sufrieron una evolucioacuten perturbadora Los hackers desarrollaron formas de coordinar varios hosts en un intento por denegar el servicio Los ataques de Denegacioacuten del Servicio Distribuida (DDoS) pueden ser muy difiacuteciles de detener porque pueden originarse en cientos o incluso miles de hosts coordinados iquestCoacutemo puede un blanco diferenciar entre solicitudes legiacutetimas e ilegiacutetimas En algunos casos la uacutenica diferencia entre paquetes legiacutetimos y paquetes falsos es su intencioacuten Determinar la intencioacuten de un paquete puede ser extremadamente difiacutecil si no imposible El ataque DDoS claacutesico comienza con semanas o incluso meses de hacking El ataque DDoS Tribal Flood Network se ilustra en la Figura Antes de que el hacker pueda atacar al blanco definitivo una flota de sistemas deben coordinarse para el ataque Una flota estaacute compuesta por hosts zombies Un zombie es en general un host inseguro con una conexioacuten permanente de alta velocidad a Internet El hacker aprovecha la falta de seguridad del zombie El hacker irrumpe en el sistema directamente o mediante un virus de e-mail El objetivo de la irrupcioacuten o virus es instalar software en el sistema zombie El software instalado proporciona un control parcial de ese sistema al hacker El siguiente paso para el hacker es obtener un control parcial de una gran cantidad de zombies El hacker usa los zombies para lanzar un ataque DDoS sobre el blanco definitivo Una reciente tendencia en ataques DDoS es el uso de tecnologiacutea Internet Relay Chat (IRC) para controlar zombies y lanzar ataques

Construir una flota de sistemas zombie ha resultado ser demasiado faacutecil para algunos atacantes DDoS La proliferacioacuten de servicio de Internet de banda ancha ha estimulado los ataques DDoS Millones de usuarios hogarentildeos tienen ahora conexiones permanentes de alta velocidad a Internet Los usuarios hogarentildeos son notablemente susceptibles a virus de e-mail Abriendo un adjunto de e-mail el usuario puede involuntariamente convertir su PC hogarentildea en


un zombie Las computadoras de la universidad y otras redes escolares tambieacuten son probables candidatos a convertirse en zombies Las redes de los campus son notablemente grandes y difiacuteciles de administrar Muchas redes escolares sufren de poliacuteticas de seguridad laxas acceso inalaacutembrico inseguro y acceso sin regulacioacuten de los alumnos

Encriptacioacuten de archivos Proteger los datos de la red a menudo requiere que se aplique una combinacioacuten de meacutetodos de seguridad Esta seccioacuten examina coacutemo los datos sensibles pueden cifrarse en archivos en el disco o en paquetes que viajan a traveacutes de la red Las tecnologiacuteas disponibles para asegurar mensajes de e-mail son el foco de esta seccioacuten puesto que el e-mail es una de las aplicaciones de red maacutes ampliamente usadas Es tambieacuten la forma de comunicacioacuten por red que es maacutes probable que contenga informacioacuten confidencial Esta seccioacuten detalla coacutemo se implementan las medidas de seguridad y coacutemo estas medidas funcionan realmente 3DES El cifrado es la transformacioacuten de datos en una forma que sea imposible de leer sin el conocimiento o clave apropiada 3DES es un criptosistema que puede cifrar y descifrar datos usando una uacutenica clave secreta DES (Estaacutendar de Cifrado de Datos) fue originalmente desarrollado por IBM a principios de los 70 aunque IBM lo llamoacute Lucifer DES fue adoptado como estaacutendar federal en 1976 No obstante DES se hizo vulnerable a medida que las computadoras se hicieron maacutes potentes y simples DES ya no es seguro y desde entonces se ha vuelto faacutecil de crackear Por lo tanto NIST definioacute 3DES o Triple DES en 1999 3DES usa tres etapas de DES por lo cual es mucho maacutes seguro y es suficiente para la mayoriacutea de las aplicaciones actualmente DES es un cifrado de bloque lo cual significa que actuacutea sobre un bloque de longitud fija de texto llano y lo convierte en un bloque de texto cifrado del mismo tamantildeo usando la clave secreta En DES el tamantildeo del bloque para el texto llano es de 64 bits La longitud de la clave es tambieacuten de 64 bits pero 8 bits se usan para paridad De ahiacute que la longitud de clave eficaz es soacutelo de 56 bits En 3DES se aplican 3 etapas de DES con una clave separada para cada etapa Por lo tanto la longitud de la clave en 3DES es de 168 bits El descifrado se hace aplicando la transformacioacuten inversa al bloque de texto cifrado usando la misma clave DES es conocido como cifrado de clave simeacutetrica porque la misma clave se usa tanto en el cifrado como en el descifrado 3DES tiene muchas ventajas y desventajas que se enumeran a continuacioacuten Ventajas sect Es faacutecil de implementar tanto en hardware como en software en comparacioacuten con otros

algoritmos sect Estaacute basado en DES que es un cifrado muy confiable DES ha sido estudiado

exhaustivamente durante maacutes de 25 antildeos y ha probado tener una base segura aunque la longitud de la clave es demasiado pequentildea ahora

sect Es mucho maacutes raacutepido que los meacutetodos de criptografiacutea de clave puacuteblica como el meacutetodo RSA Eacutesta es una de las principales ventajas de usar un sistema como 3DES

Desventajas sect Algoritmos maacutes modernos son mucho maacutes raacutepidos que 3DES ya que fueron

construidos mucho despueacutes y con desempentildeo como objetivo sect La transmisioacuten de la clave secreta entre usuarios es insegura Es en esto donde

sobresale la criptografiacutea de clave puacuteblica sect El nuevo estaacutendar AES ha sido especificado por lo cual la mayoriacutea de los sistemas

probablemente se pasaraacuten a eacutel pronto sect Como se mencionoacute anteriormente DES ya no es seguro y 3DES es soacutelo un arreglo

temporal Desde entonces NIST ha publicado el AES (Estaacutendar de Cifrado Avanzado) en 2001

El AES ahora formalmente reemplaza al 3DES como estaacutendar de cifrado 3DES es un algoritmo de cifrado muy bien estudiado basado en DES Puede otorgar un nivel aceptable de


seguridad dada la potencia de computacioacuten actual No obstante otros algoritmos potentes se han desarrollado que ofrecen muchas funciones que 3DES no ofrece Por lo tanto ha sido reemplazado por AES como estaacutendar de cifrado aunque probablemente auacuten estaraacute en uso durante un tiempo futuro

Seguridad IP El cifrado de archivos protege los datos almacenados en un disco No obstante el cifrado de archivos no ofrece seguridad para los datos que se enviacutean por la red El protocolo Seguridad IP (IPSec) fue desarrollado para remediar esta desventaja IPSec asegura los datos a nivel del paquete Puesto que IPSec trabaja en la capa de red del modelo de referencia de Interconexioacuten de Sistemas Abiertos (OSI) las aplicaciones no estaacuten al tanto de eacutel Cisco Systems incluye soporte para IPSec en sus routers Windows 2000 incluye IPSec en su pila TCPIP Encabezado de Autenticacioacuten (AH) y Encapsulamiento de la Carga de Seguridad (ESP) son dos protocolos usados por IPSec El Encabezado de Autenticacioacuten (AH) habilita la verificacioacuten de la identidad del emisor Encapsulamiento de la Carga de Seguridad (ESP) asegura la confidencialidad de los datos en siacute Estos dos protocolos pueden usarse separadamente o juntos

IPSec puede operar en modo de transporte o en modo tuacutenel como lo muestra la Figura No obstante los encabezados de los paquetes diferiraacuten El modo de transporte proporciona una seguridad de extremo a extremo Esto significa que el cifrado estaacute en su lugar desde la computadora de origen a la computadora de destino El modo tuacutenel protege los datos desde el punto de salida de una red al punto de entrada de otra

Secure Socket Layer (SSL) Secure Sockets Layer (SSL) es otra forma de asegurar las comunicaciones en la red La desventaja de SSL es que puesto que opera en la capa de aplicacioacuten debe ser soportada por la aplicacioacuten del usuario La Figura explica coacutemo funciona SSL


SSL fue desarrollado por Netscape para proporcionar seguridad para su navegador web Usa cifrado de clave puacuteblica y privada El cifrado de clave puacuteblica y privada se trata en una seccioacuten posterior

Encriptacioacuten por clave puacuteblicaprivada Aunque a menudo se lo denomina cifrado de clave puacuteblica el teacutermino maacutes preciso es cifrado de clave puacuteblicaprivada Esto se debe a que este tipo de cifrado usa dos claves Una clave es publicada y es ampliamente disponible La otra clave es privada y conocida soacutelo por el usuario Ambas claves se requieren para completar la comunicacioacuten segura Este tipo de cifrado como lo ilustra la Figura tambieacuten se denomina cifrado asimeacutetrico

En este tipo de cifrado cada usuario tiene tanto una clave puacuteblica como una privada llamadas par de claves El siguiente ejemplo trata el uso del cifrado puacuteblicoprivado Carol y Ted intercambian sus claves puacuteblicas No importa que sea de manera insegura porque los mensajes no pueden descifrarse con soacutelo la clave puacuteblica Carol desea enviar un mensaje a Ted por lo tanto cifra el mensaje usando la clave puacuteblica de Ted Una clave puacuteblica estaacute asociada soacutelo con una uacutenica clave privada Para descifrar un mensaje que se cifroacute usando una clave puacuteblica se requiere la clave privada asociada a ella Lo inverso tambieacuten se aplica Para descifrar un mensaje que se cifroacute usando una clave privada se requiere la clave puacuteblica asociada a ella Ted usando su clave privada puede descifrar el mensaje ya que fue cifrado usando su clave puacuteblica Note que solamente las claves de Ted puacuteblica y privada se usaron en este proceso de cifrado Si Carol hubiera cifrado el mensaje usando su clave privada cualquiera podriacutea descifrar el mensaje usando su clave puacuteblica que estaacute disponible para todo el mundo


Ambas claves del mismo par de claves deben usarse para que este cifrado funcione y no hay necesidad de que nadie sepa la clave privada de nadie Una buena forma de comprender este tipo de cifrado es pensar en las dos piezas de informacioacuten requeridas para entrar a una casa protegida por una cerradura de combinacioacuten digital Si alguien desea entrar a la casa deben conocerse tanto la direccioacuten de la calle como la secuencia de nuacutemeros para introducirlas en el dispositivo de cerradura La direccioacuten es informacioacuten puacuteblica que se publica en la guiacutea telefoacutenica Estaacute disponible para cualquiera asiacute como la clave de cifrado puacuteblica del usuario estaacute disponible para cualquiera La combinacioacuten de la cerradura es anaacuteloga a la clave privada del usuario Solamente el duentildeo de casa la conoce Ambas claves son uacutenicas para esa casa en particular pero una es conocida puacuteblicamente mientras que la otra se mantiene en secreto

Firewalls La defensa clave contra atacantes de Internet es un firewall de Internet Un firewall es software hardware especializados o una combinacioacuten de los dos El propoacutesito de un firewall de Internet es evitar que paquetes IP no deseados o maliciosos lleguen a una red segura Durante la pasada deacutecada la tecnologiacutea de firewall ha evolucionado significativamente Los primeros firewalls filtraban los paquetes basaacutendose en la informacioacuten de direccionamiento Estos firewalls estaban construidos y eran mantenidos por grandes organizaciones Los OSs de escritorio de hoy como Windows XP incluyen capacidades de firewall incorporadas dirigidas hacia el usuario hogarentildeo promedio La creciente cantidad de explotaciones de hackers y gusanos de Internet hacen a la tecnologiacutea de firewall un aspecto esencial de cualquier red empresarial El teacutermino firewall se usa libremente para referirse a varios enfoques diferentes para proteger redes como se describe en las siguientes secciones Filtros de Paquetes En general un firewall de Internet es un host que se ejecuta en software de filtrado de paquetes IP La mayoriacutea de las LANs ejecutan filtros de paquetes IP en un router o host especializado Un host especializado que tambieacuten lleve a cabo enrutamiento Los usuarios hogarentildeos pueden ejecutar filtrado de paquetes IP en un sistema final como una PC Windows Listas de Control de Acceso (ACLs) Los filtros de paquetes son llamados en ocasiones listas de control de acceso (ACLs) Un filtro de paquetes comienza con una lista de reglas Las reglas le indican al router o host coacutemo manipular paquetes que cumplan con los criterios especificados Por ejemplo un paquete que coincida con una direccioacuten de origen en particular puede descartarse enviarse o procesarse de alguna manera especial Existen varios aspectos de los criterios coincidentes comunes sect Direccioacuten IP origen y destino sect Nuacutemero de puerto TCPUDP (Protocolo de Datagramas del Usuario) origen y destino sect Protocolo de capa superior HTTP FTP etceacutetera

Un host configurado con un filtro de paquetes IP verifica los paquetes que entran o salen de una interfaz o interfaces especificadas Basaacutendose en las reglas definidas el host puede descartar un paquete o aceptarlo Este enfoque tambieacuten se refiere al enviacuteo basado en reglas Usando este enfoque los administradores pueden configurar los routers para que descarten paquetes no deseados o potencialmente dantildeinos Los administradores configuran los routers antes de que los paquetes lleguen a la LAN segura Servicios Proxy En networking un proxy es software que interactuacutea con redes externas para beneficio de un host cliente La Figura ilustra el servidor proxy que responde a estaciones de trabajo La Figura ilustra un servidor proxy con servidores web internos Por lo comuacuten los hosts cliente de una LAN segura solicitan una paacutegina web de un servidor que ejecuta servicios proxy El servidor proxy despueacutes sale a Internet para conseguir la paacutegina web La paacutegina web se copia entonces al servidor proxy Este proceso se denomina caching Finalmente el servidor proxy transmite la paacutegina web al cliente Usando los servicios de un proxy el cliente nunca interactuacutea directamente con hosts externos Esto protege a los clientes de amenazas potenciales


provenientes de Internet Los administradores pueden configurar servidores proxy para rechazar ciertas solicitudes del cliente o respuestas externas de Internet Por ejemplo las escuelas pueden usar servidores proxy para controlar a queacute sitios web puede accederse Puesto que todas las solicitudes web van dirigidas al proxy los administradores tienen un estrecho control sobre queacute solicitudes se cumplen Microsoft tiene un servicio de proxy abarcativo para su NOS llamado Microsoft Proxy Server 20 Los servidores proxy trabajan para aislar las LANs y proteger los hosts de amenazas externas La capacidad de servidor proxy para guardar paacuteginas web en su cacheacute es importante El beneficio es el uso de un servicio proxy para HTTP Varios clientes pueden acceder al contenido HTTP con un tiempo de respuesta significativamente mejorado Responsable de esto es el almacenar en la cacheacute el contenido HTTP al que se accede frecuentemente Traduccioacuten de Direcciones de Red (NAT) La Traduccioacuten de Direcciones de Red (NAT) es un proceso que se ejecuta en un router Por lo comuacuten un router actuacutea como gateway a Internet Un router que ejecuta NAT reescribe la informacioacuten de direccionamiento contenida en los paquetes IP Los administradores usan NAT para alterar la direccioacuten de origen de paquetes que se originan en una LAN segura Esto permite direccionar las LANs seguras usando direcciones IP privadas como muestra la Figura

Las direcciones IP privadas no se enrutan a Internet Un hacker externo no puede alcanzar directamente una computadora con una direccioacuten privada Por supuesto los hosts con direcciones IP privadas no pueden tampoco llegar directamente a los hosts de Internet No obstante un router NAT puede llevar un paquete que se origina en un host con una direccioacuten privada El router NAT luego reemplaza la direccioacuten IP del paquete por una direccioacuten puacuteblica globalmente enrutable El router NAT registra esta traduccioacuten de direcciones en una tabla Una vez reescrita la informacioacuten de direccionamiento el router NAT enviacutea el paquete hacia el host de destino Cuando el destino externo responde el paquete de respuesta es enrutado nuevamente al router NAT El router NAT luego consulta la tabla de traduccioacuten Basaacutendose en las entradas de la tabla el router NAT reescribe la informacioacuten de direccionamiento Una vez que la direccioacuten es reescrita el paquete puede enrutarse nuevamente al host original direccionado privadamente NAT a menudo se implementa en conjuncioacuten con servicios proxy yo filtros de paquetes IP Tambieacuten se estaacute convirtiendo en una tecnologiacutea importante en hogares y pequentildeas oficinas


Esto se debe a que NAT permite que cientos de computadoras tomen prestada una uacutenica direccioacuten IP puacuteblica y globalmente enrutable Este proceso se denomina a veces NAT de muchos a uno sobrecarga de direcciones o traduccioacuten de direcciones de puerto (PAT) Sistemas operativos de escritorio populares incluyen servicios NAT incorporados tales como Microsoft Windows Internet Connection Sharing Los servicios NAT tambieacuten se incluyen en los NOSs Linux usa el programa ipchains para llevar a cabo NAT Otros programas NAT son ip masquerade y natd Algunos expertos hacen una distincioacuten entre NAT y un firewall Otros consideran a NAT como parte de una solucioacuten de firewall abarcativa Independientemente de ello una NAT puede tener el efecto de proteger la red de un ataque Esto se debe a que los extrantildeos pueden no ser capaces de enviar paquetes directamente a blancos internos o usar teacutecnicas de escaneo para mapear la red interna

Filtrado de paquetes La solucioacuten de firewall maacutes baacutesica es un filtro de paquetes IP Para configurar un filtro de paquetes un administrador de red debe definir las reglas que describan coacutemo manipular los paquetes especificados Un ejemplo de un conjunto de reglas o lista de acceso se muestra en la Figura

En un principio se filtraban los paquetes basaacutendose en la informacioacuten de direccionamiento contenida en el encabezado del paquete Es decir la direccioacuten IP de origen y destino En el momento el encabezado del paquete IP operaba en la capa 3 del modelo OSI Al mismo tiempo los filtros de paquetes funcionaban solamente en la capa 3 Posteriormente los filtros de paquetes estuvieron disentildeados para basar sus decisiones en la informacioacuten contenida en el encabezado TCP o UDP en la capa 4 Tanto TCP como UDP usan nuacutemeros de puerto para direccionar aplicaciones especiacuteficas que se ejecutan en un host Las listas de acceso de capa 4 pueden configurarse para permitir o denegar paquetes Esta configuracioacuten se basa en puertos de origen o destino asiacute como en informacioacuten de la direccioacuten IP Por ejemplo una lista de acceso de capa 4 puede configurarse para permitir traacutefico destinado a una IP especiacutefica del puerto 80 Eacuteste es un puerto bien conocido que los servidores de web escuchan El firewall tambieacuten puede configurarse para examinar los bits de coacutedigo TCP Los seis bits de coacutedigo TCP se usan para establecer conexiones entre hosts usando un handshake de tres viacuteas Un firewall de capa 4 puede identificar si un paquete es la primera parte de un handshake de tres viacuteas o parte de una conexioacuten ya establecida En otras palabras el firewall puede mantener afuera el traacutefico no invitado a la vez que permite entrar al traacutefico invitado Esta


teacutecnica solamente funciona con TCP porque el firewall estaacute examinando los bits de coacutedigo TCP Un firewall tiene que ser inteligente El firewall debe poder mantener afuera el traacutefico UDP no invitado a la vez que permite entrar al traacutefico UDP invitado Ademaacutes puede usarse un IP sin TCP y UDP en la capa 4 Por ejemplo un ping ICMP no usa un encabezado de capa 4 No hay forma de determinar si un datagrama es parte de una conexioacuten establecida Esto se debe a que IP y UDP son ambos sin conexioacuten No hay conexioacuten establecidas con estos protocolos Como recordatorio un datagrama es un paquete IP sin encabezado TCP El software de firewall debe suponer queacute traacutefico sin conexioacuten es invitado y queacute traacutefico sin conexioacuten no lo es Los firewalls inteligentes lo hacen monitoreando queacute tipo de traacutefico sin conexioacuten se origina en la LAN segura Los puertos UDP de origen y destino se anotan y almacenan en una tabla Las direcciones IP de origen y destino tambieacuten se anotan y almacenan en un tabla Un firewall puede detectar traacutefico sin conexioacuten que parece ser invitado Cuando se hace esta deteccioacuten los puertos UDP y las direcciones IP coinciden con un flujo de traacutefico recientemente detectado proveniente de un host interno El firewall entonces deja pasar el traacutefico Este tipo de filtrado de paquetes se llama filtrado de paquetes stateful Se llama asiacute porque el firewall mantiene un rastreo de estado [state] de las conversaciones pero soacutelo durante un corto periodo Ese periodo puede a veces ser de unos pocos segundos Esos firewalls son dinaacutemicos Las reglas que se usan para determinar queacute paquetes se permiten en una red variacutean Se basan en los flujos de traacutefico que se originan en los hosts internos La forma maacutes abarcativa de filtrado de paquetes examina no soacutelo los encabezados de capa 3 y 4 sino tambieacuten los datos de aplicacioacuten de capa 7 Los firewalls de capa 7 buscan patrones en el payload del paquete Esto se hace en un esfuerzo por determinar queacute aplicacioacuten se estaacute usando como HTTP FTP etceacutetera El filtrado de paquetes stateful de capa 7 tiene muchas ventajas Esto incluye la capacidad de filtrar una aplicacioacuten en particular independientemente del nuacutemero de puerto TCP o UDP utilizado No obstante este tipo de filtrado de paquetes solamente funciona con software preprogramado para reconocer una aplicacioacuten determinada Ademaacutes este tipo de filtrado de paquetes agrega una significativa cantidad de retraso y sobrecarga al proceso de enrutamiento

VPN La VPN es una tecnologiacutea de red que permite una extensioacuten de la red local sobre una red puacuteblica o no controlada como por ejemplo Internet El ejemplo maacutes comuacuten es la posibilidad de conectar dos o maacutes sucursales de una empresa utilizando como viacutenculo Internet permitir a los miembros del equipo de soporte teacutecnico la conexioacuten desde su casa al centro de coacutemputo o que un usuario pueda acceder a su equipo domeacutestico desde un sitio remoto como por ejemplo un hotel Todo esto utilizando la infraestructura de Internet Para hacerlo posible de manera segura es necesario proveer los medios para garantizar la autenticacioacuten integridad y confidencialidad de toda la comunicacioacuten sect Autenticacioacuten y autorizacioacuten iquestQuieacuten estaacute del otro lado Usuarioequipo y queacute nivel de

acceso debe tener sect Integridad La garantiacutea de que los datos enviados no han sido alterados Para ello se

utiliza un metodo de comparacioacuten (Hash)Los algoritmos comunes de comparacion son Message Digest(MD) y Secure Hash Algorithm (SHA)

sect Confidencialidad Dado que los datos viajan a traveacutes de un medio potencialmente hostil como Internet los mismos son susceptibles de intercepcioacuten por lo que es fundamental el cifrado de los mismos De este modo la informacioacuten no debe poder ser interpretada por nadie maacutes que los destinatarios de la mismaSe hace uso de algoritmos de cifrado como Digital Encryption Standard (DES)Triple DES(3DES) y Advanced Encryption Standard (AES)


sect No repudio es decir un mensaje tiene que ir firmado y el que lo firma no puede negar que el mensaje lo envioacute eacutel

Paacutegina 2 de 33

Introduccioacuten a los servicios de red Los sistemas operativos de networking estaacuten disentildeados para proporcionar procesos de red a clientes y peers Los servicios de red incluyen la World Wide Web (WWW) archivos compartidos intercambio de mail servicios de directorio y servicios de impresioacuten La administracioacuten remota es un potente servicio que permite a los administradores configurar sistemas en red a kiloacutemetros de distancia Es importante comprender que estos procesos de red se denominan servicios en Windows daemons en Linux y Moacutedulos Descargables Netware (NLMs) en Novell Esencialmente todos ellos proporcionaraacuten las mismas funciones pero la forma en que se cargan e interactuacutean con el NOS (Sistema Operativo de Red) es diferente en cada sistema operativo Servicios Daemons y NLMs se tratan en maacutes detalle en secciones posteriores Dependiendo del NOS algunos de estos procesos de red clave pueden habilitarse durante una instalacioacuten por defecto La mayoriacutea de los procesos de red populares se basan en la suite de protocolos TCPIP La Figura enumera algunos de los servicios basados en TCPIP maacutes populares Puesto que TCPIP es un conjunto de protocolos abierto y bien conocido los servicios basados en TCPIP son especialmente vulnerables a escaneos sin autorizacioacuten y ataques maliciosos Los ataques de Denegacioacuten del Servicio (DoS) virus de computadora y gusanos de Internet de raacutepida expansioacuten han forzado a los disentildeadores de NOSs a reconsiderar queacute servicios de red se inician automaacuteticamente

Recientes versiones de NOSs populares tanto Windows y como Linux restringen la cantidad de servicios de red activos por defecto Cuando se implementa un NOS seraacute necesario habilitar manualmente algunos servicios de red clave

Paacutegina 3 de 33






Paacutegina 4 de 33





Paacutegina 5 de 33













Paacutegina 6 de 33






Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 3 de 33






Paacutegina 4 de 33





Paacutegina 5 de 33













Paacutegina 6 de 33






Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 4 de 33





Paacutegina 5 de 33













Paacutegina 6 de 33






Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 5 de 33













Paacutegina 6 de 33






Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 6 de 33






Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 7 de 33




Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 8 de 33




directorio

Paacutegina 9 de 33




















































































































































Paacutegina 9 de 33




















































































































































Introducción a los servicios de red · El protocolo DHCP ... DNS ... UNIX, y Linux soportan...

Documents

Transcript of Introducción a los servicios de red · El protocolo DHCP ... DNS ... UNIX, y Linux soportan...