SlideShare una empresa de Scribd logo

Servidores windows

Descargar como DOC, PDF
rulo182, profile picture
rulo182

El documento describe la configuración e instalación de Active Directory en Windows Server 2003. Explica que se debe instalar primero Active Directory siguiendo el asistente de instalación, el cual permite seleccionar entre instalar un nuevo controlador de dominio o uno adicional. Al seleccionar un nuevo controlador, se debe elegir entre crear un nuevo árbol de dominio o uno secundario.

1 de 62
Descargado 29 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
Configuración e instalación de directorio activo (Windows 2003 Server) 1. 2. 3. Dominios en Windows 2000/2003 Server Instalando active Directory Configuración de DNS Antes de proceder a la instalación de un servidor debemos tener dos conceptos claros, saber la diferencia entre redes con servidor que es la que vamos a instalar y la diferencia entre redes entre iguales. Por lo tanto encontramos estos dos tipos de LAN diferentes: -Redes con servidor: La característica principal es que en este tipo de redes tenemos al menos una equipo llamado servidordonde se van a encontrar todos los recursos a compartir, con esto me refiero tanto carpetas, como impresoras, grabadoras, lectores, etc... . A parte del servidor encontramos diferentes equipos llamados clientes o estaciones de trabajo , que solo tendrán permisos sobre los recursos locales o del servidor, importante no de las otras estaciones de trabajo. Dependiendo del tipo de sistema operativo instalado en el servidor encontramos: -Servidor dedicado: Utilizado únicamente para gestionar los recursos de la red. -Servidor no dedicado: Que además de llevar la gestión de la red también puede funcionar como estación de trabajo. -Redes entre iguales: En este tipo cada máquina puede compartir sus recursos con todas las demas máquinas, de forma que actuan como clientes y servidores a la vez, esto en windows se le denomina como un grupo de trabajo, donde cada maquina se integran en ese grupo y tiene privilegios sobre todos los recursos compartidos de las de mas maquinas. Esto es lo que se vemos en windows, ya que se puede burlar, escaneando toda la red y podemos introducirnos en los documentos compartidos de toda la red, aunque esa equipo no este dentro del grupo de trabajo, esto todo a través de netBIOS. Teniendo claro estos dos conceptos podemos proceder a la explicación de la configuración de active directory (directorio activo). DOMINIOS EN WINDOWS 2000/2003 SERVER Una basada en windows 2000/2003 server utiliza un servicio de directorio para almacenar toda la información relativa a la administración seguridad de la red. En este tipo de servidores existe el concepto de dominio, existiendo así el servicio de directorios llamado active diretory (directorio activo) donde se almacena toda la información de la red, integrando así todos los servicios de la red, como la gestión de nombres de dominio DNS así como el protocolo encargado de la asignación de direcciones dinámicas de la red, el protocolo DHCP. Este conjunto de dominio es muy idéntico al de NT, es un conjunto de servidores, estaciones y otros recursos de la red que comparten el mismo modelo de seguridad, incluyendo en windows 2000/2003 server la integración del DNS, de esta forman éstos se nombran siguiendo la misma nomeclatura,
Las unidades organizativas, se pueden crear otros usuarios, grupos y otros recursos, así este dominio puede establecer relaciones entre ellos, formando una estructurajerárquica llamada árbol de dominio. Un ejemplo de al estructura arborescente: Un árbol de dominio es un conjunto de dominios que están conectados mediante unas relaciones de confianza por as decirlo, y así mismo, cuando varios árboles se conectan mediante relaciones, se forma un bosque. INSTALANDO ACTIVE DIRECTORY: Comenzamos instalando active directory siguiendo el patrón de instalación por defecto, a este podemos llegar desde herramientas administrativas y ejecutamos configuración del servidor o de una forma mas reducida iniciamos ejecutar e introducimos el comando Dcpromo.exe y así ejecutamos la función de instalación del controlador. Una vez accedemos a la configuración de active directory nos encontramos con el asistente: Como vemos tenemos dos opciones a señalar, el tipo de controlador de dominios: Controlador de dominio para un nuevo dominio: de esta forma instalamos active directory en el servidor y se configura como el primer controlador de dominio.
Controlador de dominio adicional para un dominio: Si seleccionamos esta opción elimina todas las cuentas locales en el servidor y se elimina todas las claves de cifrado. Si vamos a instalar e configurar nuestro primero directorio activo, seleccionamos controlador de dominio para un nuevo dominio, así se creara un nuevo dominio y será registrado el DNS. Crear árbol o dominio secundario. En este punto es donde elegiremos el nombre de dominio, podemos elegir entre: Crear un nuevo árbol de dominios: seleccionamos este para crear un nuevo árbol de dominios y así mismo alojar el primer dominio en el árbol, esta opción es la que vamos a seleccionar para configurar por primera vez nuestro active directory.
Microsoft Windows Server 2003 Indice 1. Funciones del Servidor 2. Fundamentos Empresariales de Microsoft Windows Server 2003 3. Ediciones microsoft windows server 2003 4. Tecnologías Básicas de Windows Server 2003 5. Mejoras funcionales 1. Funciones del Servidor Windows Server 2003 es un sistema operativo de propósitos múltiples capaz de manejar una gran gama de funciones de servidor, en base a sus necesidades, tanto de manera centralizada como distribuida. Algunas de estas funciones del servidor son: • • • • • • • • Servidor de archivos e impresión. Servidor Web y aplicaciones Web. Servidor de correo. Terminal Server. Servidor de acceso remoto/red privada virtual (VPN). Servicio de directorio, Sistema de dominio (DNS), y servidor DHCP. Servidor de transmisión de multimedia en tiempo real (Streaming). Servidor de infraestructura para aplicaciones de negocios en línea (tales como planificación de recursos de una empresa y software de administración de relaciones con el cliente). Windows Server 2003 cuenta con cuatro beneficios principales: Beneficio Descripción Seguro Windows Server 2003 es el sistema operativo de servidor más rápido y más seguro que ha existido. Windows Server 2003 ofrece fiabilidad al: • • Productivo Proporcionar una infraestructura integrada que ayuda a asegurar que su información de negocios estará segura. Proporcionar fiabilidad, disponibilidad, y escalabilidad para que usted pueda ofrecer la infraestructura de red que los usuarios solicitan. Windows Server 2003 ofrece herramientas que le permiten implementar, administrar y usar su infraestructura de red para obtener una productividad máxima. Windows Server 2003 realiza esto al: • Proporcionar herramientas flexibles que ayuden a ajustar su diseño e implementación a sus necesidades organizativas y de red.
• • Conectado Ayudarle a administrar su red proactivamente al reforzar las políticas, tareas automatizadas y simplificación de actualizaciones. Ayudar a mantener bajos los gastos generales al permitirles a los usuarios trabajar más por su cuenta. Windows Server 2003 puede ayudarle a crear una infraestructura de soluciones de negocio para mejorar la conectividad con empleados, socios, sistemas y clientes. Windows Server 2003 realiza esto al: • • • Proporcionar un servidor Web integrado y un servidor de transmisión de multimedia en tiempo real para ayudarle a crear más rápido, fácil y seguro una Intranet dinámica y sitios de Internet. Proporcionar un servidor de aplicaciones integrado que le ayude a desarrollar, implementar y administrar servicios Web en XML más fácilmente. Brindar las herramientas que le permitan conectar servicios Web a aplicaciones internas, proveedores y socios. Mejor economía Windows Server 2003, cuando está combinado con productos Microsoft como hardware, software y servicios de los socios de negocios del canal brindan la posibilidad de ayudarle a obtener el rendimiento más alto de sus inversiones de infraestructura. Windows Server 2003 lleva a cabo esto al: • • • Proporcionar una guía preceptiva y de fácil uso para soluciones que permitan poner rápidamente la tecnología a trabajar. Ayudarle a consolidar servidores aprovechando lo último en metodologías, software y hardware para optimizar la implementación de su servidor. Bajar el coste total de propiedad (TCO) para recuperar rápido la inversión. 2. Fundamentos Empresariales de Microsoft Windows Server 2003 Más por menos. Microsoft Windows Server 2003 ofrece más rapidez, fiabilidad, escalabilidad y disponibilidad que Microsoft Windows NT Server, siendo además mucho más fácil de gestionar. Puede ser implementado y gestionado en menos tiempo, con un esfuerzo menor, complejidad reducida y un coste total de propiedad inferior. • Permite a los clientes ser más productivos. • Está construido sobre la robustez y fiabilidad de Microsoft Windows 2000 Server.
• Es el Sistema Operativo Windows más rápido, fiable y seguro que jamás haya existido. ¿Por qué Microsoft Windows Server 2003? • Como servidor de ficheros es de un 100% a un 139% más rápido que Windows 2000 Server y un 200% más que Windows NT Server 4.0. • Como servidor de impresión, es un 135% más eficiente que Windows NT Server 4.0. • Como servidor web es de un 100% a un 165% más rápido que Windows 2000 Server. • Las características mejoradas del Directorio Activo permiten realizar tareas más fácilmente, entre las que destacan la habilidad de renombrar dominios, la posibilidad de redefinir el esquema y una replicación más eficiente. • Mayor disponibilidad a través del Windows System Resource Manager, de las actualizaciones del sistema automáticas y gracias a un servidor cuyos parámetros le confieren la máxima seguridad por defecto. • Ofrece la mejor conectividad, facilitando al máximo la configuración de enlaces entre delegaciones, acceso inalámbrico seguro y acceso remoto a aplicaciones a través de los Terminal Services, así como en su integración mejorada con dispositivos y aplicaciones. • Combinado con Visual Studio .NET 2003, se convierte en la plataforma más productiva para implementar, ejecutar y gestionar aplicaciones conectadas mediante la nueva generación de servicios Web basados en XML. En una palabra, Microsoft Windows Server 2003 es productividad: más por menos. 3. Ediciones microsoft windows server 2003 • MICROSOFT WINDOWS SERVER 2003 STANDARD EDITION. El sistema operativo servidor fiable ideal para satisfacer las necesidades diarias de empresas de todos los tamaños, proporcionando la solución óptima para compartir archivos e impresoras, conectividad segura a Internet, implementación centralizada de aplicaciones y un entorno de trabajo que conecta eficazmente a empleados, socios y clientes. Soporta hasta 4 procesadores y 4 Gb de Memoria RAM. • MICROSOFT WINDOWS SERVER 2003 ENTERPRISE EDITION. La plataforma preferida tanto por las grandes compañías como por las de tamaño medio para implementar aplicaciones de forma segura, así como servicios Web. Integrándose en infraestructuras aportando fiabilidad, mejores rendimientos y un elevado valor empresarial, se presenta tanto en 32 como en 64 bit. Soporta hasta 8 procesadores, hasta 64 Gb de memoria RAM y permite clustering de hasta 8 nodos. • MICROSOFT WINDOWS SERVER 2003 DATACENTER EDITION. Es el servidor escogido para aplicaciones críticas de negocio así como las consideradas de misión crítica, que exigen los más altos niveles de uptime, escalabilidad y fiabilidad. Sólo disponible a través del Datacenter Program de la mano de los fabricantes y proveedores de servicios líderes del mercado, se presenta en las versiones de 32 y 64 bit. y permite escalar por encima de las 8 vías o procesadores alcazando hasta 64 procesadores en paralelo.
• MICROSOFT WINDOWS SERVER 2003 WEB EDITION. Optimizado específicamente para albergar y servir páginas web, manteniendo las funcionalidades esenciales que garantizan la fiabilidad, seguridad y facilidad de gestión características de Windows Server. Es la edición adecuada para implementar servidores web dedicados a bajo coste. 4. Tecnologías Básicas de Windows Server 2003 Windows Server 2003 contiene tecnologías básicas construidas en base a las fortalezas de Windows 2000 Server para ofrecer un sistema operativo rentable y superior. Aprenda sobre diferentes y nuevas tecnologías y características que hacen de Windows Server 2003 una plataforma de servidor ideal para organizaciones de cualquier tamaño. Conozca como este sistema operativo de servidor seguro puede hacer que su organización y sus empleados sean más productivos y estén mejor conectados. Seguro Windows Server 2003 cuenta con la fiabilidad, disponibilidad, escalabilidad y seguridad que lo hace una plataforma altamente segura. • Disponibilidad. Windows Server 2003 ofrece una disponibilidad mejorada de soporte a clustering. Los servicios de clustering han llegado a ser esenciales para las organizaciones en cuanto a implementación de negocios críticos, comercio electrónico y aplicaciones de negocios en línea, porque proporcionan mejoras significativas en disponibilidad, escalabilidad y manejabilidad. La instalación y configuración de clustering es más fácil y más robusta en Windows Server 2003, mientras que algunas características de red mejoradas en el producto ofrecen mejor recuperación de fallos y un tiempo productivo alto del sistema. La familia de Windows Server 2003 soporta clusters de servidor de hasta 8 nodos. Si uno de los nodos en un cluster no se puede usar debido a un fallo o por mantenimiento, inmediatamente otro nodo empieza a dar servicio, un proceso conocido como recuperación de fallos. Windows Server 2003 también soporta balanceo de carga de red, el cual nivela el tráfico de entrada dentro del Protocolo de Internet (IP), a través de los nodos en un cluster. • • Escalabilidad. Windows Server 2003 ofrece escalabilidad a través de "Scale-up", habilitado por multiprocesamiento simétrico (SMP) y "Scale-out", habilitado por clustering. Pruebas internas indican que, comparado con Windows 2000 Server, Windows Server 2003 da hasta un 140 por ciento de mejor desempeño en la administración de archivos y un rendimiento más significativo en varias otras características incluyendo servicio Microsoft Active Directory, servidor Web y componentes Terminal Server así como servicios de red. Windows Server 2003 abarca desde soluciones de procesador únicas hasta sistemas de 32 vías. Esto soporta procesadores tanto de 32-bits como de 64 bits. Fiabilidad. Los negocios han hecho crecer la tradicional red de área local (LAN) al combinar redes internas, externas y sitios de Internet. Como resultado de esto, el aumento de seguridad en los sistemas es ahora más crítica que antes. Como parte del compromiso de Microsoft de brindar computación segura, la compañía ha revisado intensamente la familia Windows para identificar posibles fallos y debilidades. Windows Server 2003
• • ofrece muchas mejoras y características nuevas e importantes de seguridad incluyendo: El tiempo de ejecución. Esta función del software es un elemento clave de Windows Server 2003 que mejora la fiabilidad y ayuda a asegurar un entorno seguro. Esto reduce el número de fallos y huecos de seguridad causados por errores comunes de programación. Como resultado, hay menor vulnerabilidad de que ocurran ataques. El tiempo de ejecución de lenguaje común también verifica que estas aplicaciones puedan correr sin errores y chequea permisos de seguridad válidos, asegurando que el código realice solamente las operaciones correspondientes. Internet Information Services 6.0. Para incrementar la seguridad del servidor Web, Internet Information Services (IIS) 6.0 está configurado para una máxima seguridad - la instalación por defecto está "asegurada". Características de seguridad avanzadas en IIS 6.0 incluyen: servicios de criptografía selectiva, advanced digest authentication, y acceso configurable de control de procesos. Estas son algunas de las muchas características de seguridad en IIS 6.0 que le permiten llevar a cabo negocios con seguridad en la Web. Productivo En numerosas áreas, Windows Server 2003 tiene capacidades que pueden hacer que su organización y empleados sean más productivos, como: • • • Servicios de impresión y archivos. En el corazón de cualquier organización TI, la habilidad que se tenga de administrar eficientemente los recursos de archivo e impresión, es lo que permitirá que estos estén disponibles y seguros para los usuarios. Al aumentar las redes en tamaño con más usuarios localizados en sitios, en ubicaciones remotas, o en compañías de socios, los administradores de TI enfrentan cada vez más carga pesada. La familia Windows ofrece servicios inteligentes de manejo de archivos e impresión con una funcionalidad y rendimiento elevado, permitiéndole reducir TCO. Active Directory. Active Directory es un servicio de directorio de la familia de Windows Server 2003. Esto almacena información acerca de objetos en la red y hace que esta información sea fácil de encontrar por los administradores y usuarios - proporcionando una organización lógica y jerárquica de información en el directorio. Windows Server 2003 trae muchas mejoras para Active Directory, haciéndolo mas versátil, fiable y económico de usar. En Windows Server 2003, Active Directory ofrece una escalabilidad y rendimiento elevado. Esto también le permite mayor flexibilidad para diseñar, implementar y administrar el directorio de su organización. Servicios de Administración. Mientras que la computación se ha proliferado en ordenadores de sobremesa y dispositivos portátiles, el coste real de mantenimiento de una red distribuida de ordenadores personales ha aumentado significativamente. Reducir el mantenimiento día a día a través de la automatización, es la clave para reducir costes de operación. Windows Server 2003 contiene varias herramientas importantes de administración automatizada como Microsoft Software Update Services (SUS) y asistentes de configuración de servidor para ayudar a automatizar la implementación. La Administración de Políticas de Grupo se hace más fácil con la nueva
• • Consola para Administración de Políticas de Grupo (GPMC), permitiendo que más organizaciones utilicen mejor el servicio Active Directory para sacar beneficio de sus poderosas características de administración. En conclusión, las herramientas de líneas de comandos permiten que los administradores realicen la mayoría de las tareas desde la consola de comandos. Administración de almacenamiento. Windows Server 2003 introduce características nuevas y mejoradas herramientas para la administración del almacenamiento, haciendo que sea más fácil y más seguro manejar y dar mantenimiento a discos y volúmenes, respaldar y recuperar datos, y conectarse a una red de almacenamiento (SANs). Terminal Services. Terminal Services, componente de Microsoft Windows Server 2003, se construye en el modo de servidor de aplicaciones en Windows 2000 Terminal Services. Terminal Services le permite enviar aplicaciones en Windows, virtualmente a cualquier dispositivo - incluyendo a aquellos que no pueden correr Windows. Conectado Windows Server 2003 incluye características y mejoras nuevas para asegurarse de que su organización y usuarios permanezcan conectados: • • • • Servicios Web XML. IIS 6.0 es un componente importante de la familia Windows. Los administradores y desarrolladores de aplicaciones Web demandan una plataforma Web rápida que sea tanto escalable como segura. Las mejoras significativas de arquitectura en IIS abarcan un modelo de procesos nuevo que en gran medida aumenta la fiabilidad, la escalabilidad y el desempeño. IIS está instalado predeterminadamente en estado seguro (Lock down). La seguridad se incrementa debido a que el administrador del sistema habilita y deshabilita funciones del sistema de acuerdo a requerimientos de la aplicación. En conclusión, el apoyo directo de edición de XML mejora la administración. Comunicaciones y redes. Las comunicaciones y redes nunca han sido tan críticas para las organizaciones que enfrentan el reto de competir en el mercado global. Los empleados necesitan conectarse a la red desde cualquier lugar y cualquier dispositivo. Socios, vendedores y otros fuera de la red necesitan interactuar eficientemente con recursos clave, y la seguridad es más importante que nunca. Las nuevas características y mejoras en redes en la familia de Windows Server 2003 incrementan la versatilidad, manejabilidad y fiabilidad de infraestructura de red. Servicios empresariales UDDI. Windows Server 2003 incluye servicios empresariales UDDI, una infraestructura dinámica y flexible para servicios Web XML. Esta solución basada en estándares le permite a las compañías llevar a cabo sus propios servicios internos UDDI para redes de uso interno y externo. Los desarrolladores pueden encontrar y reutilizar fácil y rápidamente los servicios Web disponibles dentro de la organización. Los administradores TI pueden catalogar y administrar los recursos programables de su red. Con servicios empresariales UDDI, las compañías pueden crear e implementar aplicaciones más inteligentes y seguras. Servicios de Windows Media. Windows Server 2003 incluye los servicios de medios digitales más poderosos de la industria. Estos servicios son parte de la nueva versión de la plataforma de tecnologías de Microsoft Windows Media que también incluyen un nuevo reproductor de Windows Media, un
codificador de Windows Media, codecs de audio y video y un paquete para desarrollo de software de Windows Media. Mejor economía Microsoft diseñó Windows Server 2003 para ayudar a las compañías a darle valor añadido a sus negocios al mantener costes bajos. La alta fiabilidad de Windows Server 2003 ayuda a controlar costes al reducir fallos y tiempo de inactividad. Windows Server 2003 tiene la flexibilidad de escalar según la demanda. Las herramientas poderosas de administración y configuración en Windows Server 2003 le permiten a los negocios implementar y administrar sistemas tan fácil y eficientemente como sea posible. La compatibilidad con aplicaciones heredadas y productos de otras compañías hará que las organizaciones no pierdan su inversión de infraestructura existente. Con la familia de Windows Server 2003, las organizaciones se benefician de una plataforma poderosa y robusta que ayuda a darle a los negocios valor hoy en día y en el futuro. .NET y los Servicios Web XML Microsoft .NET está altamente integrado en la familia de Windows Server 2003. Permite un nivel sin precedentes de integración de software al usar servicios Web XML: aplicaciones discretas, con elementos básicos que se conectan entre sí - así como con otras aplicaciones más grandes - vía Internet. Al implantar en los productos la estructura de la plataforma de Microsoft, .NET brinda la posibilidad de crear, alojar, implementar y usar rápida y fiablemente soluciones seguras y conectadas a través de servicios Web XML. La plataforma Microsoft proporciona una serie de herramientas de desarrollo, aplicaciones cliente, servicios Web XML y de servidores necesarios para participar en este mundo conectado. Estos servicios Web XML proporcionan componentes reciclables construidos en base a los estándares de la industria que integran capacidades de otras aplicaciones independientemente de como las aplicaciones fueron creadas, de su plataforma o sistema operativo o de los dispositivos usados para acceder a ellos. Con servicios Web XML, los desarrolladores pueden integrar aplicaciones dentro de las empresas y a través de las fronteras de la red con socios y clientes. Este avance - abre la puerta a una colaboración federada y a relaciones de negocio a negocio y de negocio a cliente más eficiente - puede tener un impacto potencial significativo en las ganancias. Millones de otras empresas pueden usar estos componentes en varias combinaciones para producir experiencias altamente personales e inteligentes. Otros beneficios de .NET en la familia de Windows Server 2003 para los desarrolladores de aplicaciones son: • • Aprovechar sus inversiones existentes. Las aplicaciones existentes basadas en Windows continuarán corriendo en Windows Server 2003 y pueden ser fácilmente empaquetadas como servicios Web XML. Escribir menos código y usar herramientas y lenguajes de programación que conozcan. Esto es posible por estar los servicios de aplicación creados
• en Windows Server 2003, tales como Microsoft ASP .NET, monitoreo de transacciones, mensajes en espera y acceso a datos. Usar monitoreo de procesos, reciclaje e instrumentación integrada para dar fiabilidad, disponibilidad y escalabilidad a sus aplicaciones. Todos estos beneficios están en la infraestructura básica mejorada del servidor de Windows y forman la base de .NET. 5. Mejoras funcionales • DIRECTORIO ACTIVO. Destaca la nueva capacidad de renombrar dominios, la posibilidad de redefinir el esquema, de desactivar tanto atributos como definiciones de clase en el esquema, la selección múltiple de objetos sobre los cuales realizar cambios simultáneamente, y la de establecer relaciones de confianza en bosques cruzados, evitando problemas con políticas de usuarios y grupos. El soporte de metadirectorios y del inetOrgPerson permite la integración de información de identidades procedente de múltiples directorios, bases de datos y ficheros, así como la migración de objetos de un directorio LDAP al Directorio Activo. Las mejoras en la gestión de políticas de grupo, en el interfaz del usuario a través de la Microsoft Management Console (MMC), y en la conexión con oficinas remotas. En este último aspecto se ha optimizado la sincronización y replicación tanto del Directorio Activo como del Catálogo Global entre controladores de dominio, que puede ser verificada con nuevas herramientas como Health Monitor y cuya compresión puede ser ahora desactivada para disminuir la carga en la CPU a costa de consumir mayor ancho de banda en las comunicaciones. • ADMINISTRACIÓN. A través de la Consola de Gestión de Políticas de Grupo (GPMC) se mejora y facilita la administración, integrándose aún más con los servicios del Directorio Activo, con el consiguiente ahorro de costes. Se proporcionan herramientas y servicios de implementación más potentes, entre los que cabe citar Windows Management Instrumentation (WMI), Resultant Set of Policy (RsoP), las mejoras en los servicios de IntelliMirror y la nueva tecnología de Instalación Remota (RIS), con cuya implementación los usuarios pueden disponer de sus aplicaciones y datos sin importar desde donde se conecten a la red corporativa. Se ha potenciado la gestión a través de comandos, admitiendo scripting y facilitando la administración remota. • SERVICIOS FILE & PRINT. Al mejorar la infraestructura del sistema de archivos (destacando las tecnologías DFS, EFS y el nuevo soporte de tecnologías Antivirus) ahora es más fácil utilizar, asegurar y almacenar tanto archivos como otros recursos esenciales, y acceder a la información con herramientas de indexación de contenidos más rápidas. Con el Automated System Recovery (ASR) es más sencillo recuperar el sistema, hacer copias de seguridad de los ficheros y mantener la máxima disponibilidad, sin depender de la asistencia del departamento de TI. La conectividad se ve beneficiada con las características mejoradas de compartición de documentos a lo largo de toda la organización gracias al redirector WebDAV (Web Digital Authoring & Versioning). En lo que respecta a la impresión, además de contar con soporte a más de 3.800
periféricos, los servicios disponen de tecnología tolerante a fallos en cluster, aceptando tareas de otras plataformas como Macintosh, UNIX, Linux o Novell, así como Wireless LAN y Bluetooth. El monitor de estado aporta un mayor rendimiento y más información sobre la situación de los dispositivos, cuyas características (ubicación, color, velocidad, etc) se pueden publicar en el Directorio Activo para un mayor aprovechamiento de estos recursos. • INTERNET INFORMATION SERVICES 6.0. Totalmente rediseñado con el objetivo de mejorar la seguridad, fiabilidad y rendimiento, se instala completamente bloqueado por defecto. Basado en una nueva arquitectura, las aplicaciones web en ejecución están aisladas una de la otra, permitiéndose la monitorización y administración proactiva de aplicaciones así como cambios de configuración en línea, reduciendo el tiempo que precisan los administradores para reiniciar servicios con el fin de mantener las aplicaciones operativas. IIS 6.0 ha demostrado su compatibilidad con miles de aplicaciones de clientes e ISVs, y opcionalmente puede ser configurado para funcionar en modo de aislamiento IIS 5.0, lo que asegura la máxima compatibilidad. Además con el nuevo IIS 6.0 la replicación de configuraciones de servicio web en diferentes servidores se convierte en una tarea totalmente automatizada permitiendo a los administradores reducir el tiempo de implementación al mínimo. • CLUSTERING. Con características avanzadas de recuperación ante fallos y balanceo de carga, ofrecen la máxima disponibilidad 7x24. Integrándose en el Directorio Activo (en el que cada cluster es visto como un objeto "virtual") y con soporte tanto de 32 como de 64 bit, en Microsoft Windows Server 2003 se ha incrementado de 4 a 8 el número máximo de nodos por cluster, disponiendo así el administrador de más opciones para garantizar el servicio para las necesidades de la empresa. Del Clustering cabe destacar la mayor facilidad de configuración (con preconfiguraciones y administración remota) y de administración de sus recursos (entre ellos el gestor de Balanceo de Carga), las métricas para análisis de disponibilidad, las capacidades mejoradas en seguridad (soporte de Kerberos, EFS e integración con Seguridad IP), de almacenamiento (con funciones específicas para redes SAN) y las destinadas a la recuperación de fallos, contribuyendo todo ello al máximo uptime. • NETWORKING & COMUNICACIONES. Con ayuda de la Resultant Set of Policy se puede analizar el impacto de la implementación de políticas de red y comunicaciones, simplificando así la resolución de problemas. Mediante los servicios de Instalación Remota, las herramientas para migración de configuraciones de usuarios, el nuevo Windows Installer (con soporte de aplicaciones de 64 bit, así como de firmas digitales y CLR), los Software Update Services (SUS) para testear las actualizaciones de Windows Update antes de ser aplicadas en la organización y muchas otras nuevas características de Microsoft Windows Server 2003, se logra una mejor gestión centralizada de recursos y servicios, contribuyendo así a la reducción del TCO y el aumento de la productividad de los usuarios.
• TERMINAL SERVICES. Permiten disponer de aplicaciones Windows e incluso de los propios escritorios Windows en prácticamente cualquier dispositivo, incluyendo aquellos que ni siquiera funcionan bajo sistemas operativos Windows. Los nuevos Terminal Services, construidos sobre la base y la experiencia de los existentes en Microsoft Windows 2000 Server, ofrecen nuevas opciones para la implementación de aplicaciones, un acceso más eficiente a los datos con conexiones de menor ancho de banda, mayor número de usuarios concurrentes, y mediante Session Directory proporciona el soporte necesario para el balanceo de carga de red (tanto el desarrollado por Microsoft como el de otras tecnologías de terceros). Además con el nuevo Terminal Server el usuario podrá ver sus unidades y dispositivos locales en sus sesiones remotas, así como recibir audio y video en diferentes calidades a su elección. La administración de sesiones se mejora permitiendo visualizar diferentes sesiones a la vez en consola por parte del administrador e interactuar con ellas aportando valor a la sesión. • STORAGE MANAGEMENT. Añade nuevas y mejoradas funcionalidades para la gestión del almacenamiento, haciendo más fácil y fiable la manipulación de discos y volúmenes, copias de seguridad y procesos de restauración, así como la conexión a redes SAN (Storage Area Networks). El IFS (Intelligent File Storage) protege los datos de los usuarios, facilita el acceso a redes complejas y proporciona una arquitectura de almacenamiento flexible. Shadow Copy Restore permite a los usuarios la recuperación de versiones previas de archivos sin interrumpir su trabajo y sin necesidad de intervención administrativa. DFS (Distributed File System) permite a los administradores asignar un único name-space, proporcionando a los usuarios un único acceso virtual a elementos agrupados de forma lógica, aunque estén almacenados en diferentes localizaciones físicas. La encriptación de datos de los usuarios (EFS, Encrypting File Systems) es ahora más sencilla e incluye la encriptación offline de carpetas y archivos, siendo particularmente beneficioso para los usuarios móviles. • WINDOWS MEDIA SERVICES. Los Windows Media Services ofrecen nuevas oportunidades de comunicación (eLearning y broadcasting, tanto comercial como corporativo), y eliminan el buffering para clientes que acceden a contenidos ricos en elementos multimedia, con lo que se puede dar soporte al doble de los usuarios actuales con Microsoft Windows 2000 Server. A esto contribuye también el Audio Acceleration, que da prioridad, a la carta, al tráfico multimedia sobre otros flujos de datos en servidores de acceso remoto, lo que proporciona un mejor rendimiento, beneficiando especialmente a las redes de baja velocidad. • .NET FRAMEWORK. El .NET Framework está formado por tres elementos principales: el runtime del lenguaje común (Common Language Runtime, CLR), un conjunto jerárquico de librerías de clases unificadas, y una versión avanzada de Páginas de Servidor Activas llamada ASP+. Integrando el entorno de desarrollo de aplicaciones .NET Framework en Microsoft Windows Server 2003, los desarrolladores ya no tendrán que escribir más código para resolver tareas de "fontanería informática", centrándose exclusivamente en crear valor en los procesos de
negocio. Además, los nuevos Enterprise UDDI Services permiten descubrir y reutilizar fácilmente servicios web dentro de la propia organización, ejecutándose el servicio UDDI para su uso en la intranet o la extranet, beneficiando así también a los desarrolladores. • APPLICATION SERVICES. Los avances en Microsoft Windows Server 2003 proporcionan numerosos beneficios para el desarrollo de aplicaciones, lo que redunda en una significativa reducción del TCO (Coste Total de Propiedad) y en un mejor rendimiento. Entre ellos destacan una integración e interoperabilidad más simplificada (con el soporte nativo de servicios Web XML, así como de los estándares UDDI, SOAP y WSDL), mejoras en la productividad (al incluir Microsoft .NET Framework, Message Queuing, COM+ y ASP .NET), una escalabilidad y eficiencia superiores (gracias a la integración de ASP .NET en IIS 6.0, al soporte asíncrono de .NET Framework y al caché inteligente de ASP .NET), una seguridad garantizada end-to-end y a una implementación y gestión mas eficientes con los servicios Windows Installer y nuevas herramientas como Fusion, que soporta el versionado de DLLs side-by-side. Microsoft Windows Server 2003: El doble de rendimiento Windows Server 2003 Windows Server 2003 Windows Server 2003 Windows Server 2003 Web Edition Standard Edition Enterprise Edition Datacenter Edition Sí Sí, incluido Sí, incluido metadirectorio metadirectorio Sí Sí Sí Sí Sí Sí No 8 Nodos 8 Nodos Sí Sí Sí Servidor Sí Sí Sí Servicios de Sí Directorio Activo Servicios de Limitado ** Ficheros Servicio de No Impresión Clustering No Servicios de Sí Balanceo de Carga Servicios IIS Sí web dedicado a este propósito
Servicios de No Fax Sí Sí Sí Cortafuegos No básico Sí Sí No Servidor, Servidor, Servicios de Administración Servidor, Terminal Remota Administración Administración Administración Remota Remota Remota Session Directory Límite VPN 1 1000 conexiones Session Directory Ilimitada Ilimitada Si Si concurrentes Windows System No disponible No disponible Resource Manager ** Limitado a 10 conexiones SMB para publicación web exclusivamente. Capacidades Del Sistema Windows Windows Windows Windows Server 2003 Server 2003 Server 2003 Server 2003 Web Edition Standard Enterprise Datacenter Edition Edition Edition Nº Máximo procesadores soportados de 2 Memoria máxima 2 GB 4 8 64 4 GB 32 GB (32 bit) 32 GB (32 bit) 64 GB (64 bit) 512 GB (64 bit) Requerimientos Procesador a Procesador a Procesador a Procesador a del sistema 550 Mhz, 550 Mhz, 550 Mhz, 550 Mhz, recomendados 256 MB 256 MB RAM, 256 MB RAM, 1 GB RAM, RAM, 1.5 GB de 1.5-2.0 GB de 1.5 GB de 1.5 GB de espacio en espacio en espacio en espacio en disco disco disco disco
Comparativa Con Versiones Anteriores Windows NT Windows Server 4.0 Server 2000 Windows Server 2003 Directorio Activo No disponible Incluido Mejorado con renombrado de directorios, modo de aplicación de Directorio Activo y replicación más eficiente Políticas grupo de No disponible Incluido Mejorada con decenas de nuevas características Consola gestión Políticas grupo de No disponible No disponible de de Proporciona gestión de estaciones de trabajo basada en directorios, permitiendo cambios sobre múltiples usuarios / máquinas mediante una sola orden administrativa No disponible No disponible Mejoras significativas en la arquitectura realizadas para superar los requisitos de fiabilidad de los clientes Recuperación No disponible No disponible Automática del Sistema (ASR) ASR permite la restauración en un solo paso del sistema operativo, el estado del sistema y la configuración del hardware Servicio Volume No disponible No disponible Shadow Copy Permite a los usuarios recuperar versiones previas de archivos almacenados en unidades de red sin intervención administrativa Internet information Services 6.0 .NET Framework No disponible Está disponible Plataforma de aplicaciones integrada la descarga de completamente integrada algunos componentes * Servicios UDDI No disponible No disponible Empresariales Ayuda a las empresas a organizar y catalogar los
servicios Web ReNo disponible No disponible autentificación wireless más rápida Asegura una experiencia de usuario sin interrupciones Gestor Recursos Sistema Windows Empleado para establecer las limitaciones de recursos asignadas a aplicaciones servidor Gestiona servidor/ configura servidor de No disponible No disponible del de tu No disponible Limitado a la Muestra tareas configuración del administrativas comunes, tu servidor listas de comprobación y ayuda relevante para realizar estas tareas Windows Server 2003: Activación del producto La familia de productos al menudeo Windows Server 2003 cuentan con la tecnología de activación de producto lo que significa que deben activar su copia de Windows Server 2003 antes de utilizarlo. Algunos servidores nuevos comprados con Windows Server 2003 pre-instalado también requieren la activación. Si su organización utiliza licencias de Windows Server 2003 por volumen como Open License, Select License, o Enterprise Agreement, entonces no es necesario activar estas licencias. Resumen de la activación del producto La Activación de Producto Microsoft es una tecnología de anti-piratería diseñada para verificar que el software es legal. La meta de la activación del producto es reducir una forma de piratería conocida como copia casual. La activación también ayuda a proteger contra la clonación de discos duros. La activación es rápida, simple, discreta, y mantiene su privacidad. Microsoft se compromete a la protección de la propiedad intelectual y la reducción en la piratería de software. Todos en la cadena económica —no sólo el fabricante— del software es herido por la piratería incluso el revendedor, el proveedor de soporte, y usted, el usuario. El software de Microsoft auténtico le asegura un software de calidad superior y libre de virus-. El software pirata no lo hace. La activación del producto trabaja verificando que la llave del producto de un programa de software no se utilice en un número mayor de computadoras al qué está especificado en la licencia. Debe utilizar la llave del producto para instalar el software y entonces se transformará en un número de ID de instalación. Mediante un asistente de activación usted proporcionará a Microsoft su número de ID de instalación mediante una transferencia segura sobre Internet o vía telefónica. Una ID de confirmación será enviada a su servidor para activar el producto.
El número de ID de instalación incluye una encriptación del la ID del producto y un digerido del hardware. No son requeridos datos personales. El ID de confirmación es simplemente un código de desbloqueo de una instalación de Windows Server 2003 en particular.
Análisis de los requerimientos tecnológicos para la implementación de servidores web seguros Indice 1. 2. 3. 4. 5. 6. 7. 8. Anexos Análisis y Tecnologías de Técnicas de Consideraciones Objetivos resultados seguridad protección técnicas Conclusiones Bibliografía 1. Objetivos Objetivo General Orientar sobre el mejor curso de acción para la puesta en marcha de un servidor Web que garantice la seguridad de la información. Objetivos Específicos Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web. 2. Enunciar los requerimientos del equipo necesarios para el desarrollo del Sistema Operativo seleccionado. 1. 1. Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema. 1. Proporcionar técnicas de protección que brinden soluciones óptimas a la vulnerabilidad de los servidores Web. 1. Presentar una serie de recomendaciones para el desempeño satisfactorio del sistema mencionado, así como para su correcta instalación. Justificación La extensión de la microinformática y de las redes de ámbito mundial que interconectan recursos informáticos de todo tipo, ha hecho que los peligros que sufre la información almacenada en los diversos sistemas crezcan considerablemente y se diversifiquen, y que las medidas adoptadas internamente sean insuficientes. En los últimos años no sólo la prensa especializada en informática, sino todos los medios de difusión han hecho eco del futuro de las autopistas de la información, cuyo embrión está representado por la red Internet. Que con el gran crecimiento que ha tenido permite mayores formas de ataque a la seguridad en red, incluyendo los virus, Caballos de Troya y penetración de las redes internas. A raíz de la interconexión del mundo empresarial a esta red, viaja por ella y se
almacena información de todo tipo, que abarca desde noticias o cotilleos, documentos, normas y aplicaciones informáticas de libre distribución hasta complejas transacciones que requieren medidas de seguridad que garanticen la confidencialidad, la integridad y el origen de los datos. La escucha electrónica, que permite la obtención y posible manipulación de información privada, y los sabotajes realizados tanto por atacantes externos como internos, están causando últimamente la pérdida de grandes cantidades de dinero. Los servidores Web son designados para recibir solicitudes anónimas desde auténticos hosts en la Internet y a liberar las solicitudes de información en una manera rápida y eficiente. De tal forma, ellos proveen un portal que puede ser usado por amigos y enemigos igualmente. Por su naturaleza, son complicados programas que demandan un alto nivel de seguridad. El tipo de tecnología que mejor cumple con estas demandas se deduce a través de estudios que se realizan para la implementación de servidores Web seguros. El presente trabajo pretende contribuir a este fin. Resumen Los Servidores Web suministran páginas Web a los navegadores (como por ejemplo, Netscape Navigator, Internet Explorer de Microsoft) que lo solicitan. En términos más técnicos, los servidores Web soportan el Protocolo de Transferencia de Hypertexto conocido como HTTP (HyperText Transfer Protocol), el estándar de Internet para comunicaciones Web. Usando HTTP, un servidor Web envía páginas Web en HTML y CGI, así como otros tipos de scripts a los navegadores o browsers cuando éstos lo requieren. Cuando un usuario hace clic sobre un enlace (link) a una página Web, se envía una solicitud al servidor Web para localizar los datos nombrados por ese enlace. El servidor Web recibe esta solicitud y suministra los datos que le han sido solicitados (una página HTML, un script interactivo, una página Web generada dinámicamente desde una base de datos,...) o bien devuelve un mensaje de error. Seguridad La seguridad en redes de telecomunicaciones está fundamentada en tres elementos: • • • La Integridad.- Se refiere a que el contenido y el significado de la información no se altere al viajar por una red, no obstante el número y tipo de equipos que se encuentren involucrados; la infraestructura utilizada debe ser transparente para el usuario. La Confiabilidad.- Implica que el servicio debe estar disponible en todo momento. La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya que contribuye a impedir que personas no autorizadas lean y conozcan la información que se transmite. La verdadera seguridad de un sistema va más allá de la instalación de la actualización más reciente, la configuración de un cierto fichero, o la cuidadosa administración del acceso de los usuarios a los recursos de sistema. Es una manera de ver las diferentes amenazas que acechan su sistema y lo que se está dispuesto a hacer para evitarlas.
Ningún sistema es totalmente seguro a menos que esté apagado (y aún así, es posible que se lo roben). Cada vez que el sistema esté encendido puede ser atacado, desde una broma inocua a un virus capaz de destruir el hardware, a la posibilidad que los datos sean borrados. Pero no todo está perdido. Con una actitud apropiada además de algunas buenas herramientas, se puede gozar de un sistema sano sin problemas de seguridad. El Dilema De Seguridad Inevitable Todo usuario de cualquier sistema operativo se enfrenta a un dilema en común al construir un paradigma de seguridad para su sistema. Por un lado, intenta evitar hacer el sistema tan seguro que nada en él funcionará correctamente. Pero por otro lado, también trata de evitar dejar el sistema tan inseguro que cualquiera podría (y lo haría seguramente) hacerle lo que se le antoje, incluido borrar el trabajo de otros o cosas peores. No existe una manera exacta para resolver este dilema. Algunos sistemas, ya sea por la naturaleza de su utilidad o la importancia de los datos que protegen, caen por un lado del dilema mientras que otros sistemas, ya sea por la amplia variedad de usuarios que los utilizan o el hecho de ser máquinas de prueba, caen por el otro lado. Enfoque Activo Contra Pasivo Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas las actividades ideadas para prevenir que se abra una brecha en el modelo de seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las actividades desempeñadas para supervisar la seguridad de su sistema basándose en ese modelo de seguridad. Seguridad De Redes Si usa su sistema en una red (como una red de área local, red de área amplia o Internet), deberá ser consciente de que su sistema estará a un nivel más alto de riesgo que si no estuviese conectado a una. Además de atentados brutales a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su sistema en una red más grande aumenta la oportunidad de que ocurra un problema de seguridad y la forma posible en que pueda ocurrir. Posibles Problemas De Seguridad: • Búsqueda entre los datos de autenticación — muchos métodos de autenticación por defecto en los sistemas operativos dependen de enviarle su información de autentificación "en abierto" donde su nombre de usuario y contraseña se le envían por medio de la red en texto común o sin encriptar. Existen herramientas a disposición para quienes tengan accesos a su red (o Internet, si obtiene acceso a su sistema mientras la usa) para "husmear" o detectar su contraseña grabando todos los datos transferidos por medio de la red y examinarlos para encontrar declaraciones de inicios de sesión comunes. Este método se puede usar para encontrar cualquier información enviada sin encriptar, hasta su contraseña de root. Es esencial que utilice herramientas (utilidades) para evitar que contraseñas y otros datos delicados se envíen sin encriptación. Si por cualquier motivo no es posible utilizar estas herramientas con su sistema, entonces asegúrese de no iniciar nunca sesiones como root a menos que no esté presente delante de la máquina.
• Ataque frontal —ataques de denegación de servicio (DoS) y su tipo pueden dañar hasta un sistema seguro inundándolo con peticiones inapropiadas o mal formuladas que aplastarían su sistema o crearían procesos que pondrían en peligro su sistema o sus datos, además de otros sistemas que comuniquen con él. Existe una cantidad de protecciones diferentes a disposición para ayudar a detener el ataque y minimizar el daño, como los firewalls que filtran los paquetes. Sin embargo, los ataques frontales se encaran con una mirada exhaustiva a la manera en que los sistemas no fiables se comunican con sus sistemas fiables, erigiendo barreras protectoras entre los dos y desarrollando una forma de reaccionar velozmente ante cualquier evento para que la irrupción y los posibles daños sean limitados. • Aprovechándose de un bug de seguridad o de un loophole (rendija) — de vez en cuando se encuentran errores en el software que, si son explotados, podrían causar graves daños a un sistema no protegido. Por este motivo trate de ejecutar procedimientos desde el root lo menos posible. Use todas las herramientas que estén a su disposición, como actualizaciones de paquetes de Network y alertas de seguridad, para resolver problemas de seguridad tan pronto como sean descubiertos. Por último, asegúrese que su sistema no tenga programas innecesarios que inicien a la hora del arranque. Mientras menos programas se ejecuten, menos probabilidades hay que un bug o error de seguridad le afecte. El Desarrollo De Políticas De Seguridad Todo sistema, desde una máquina usada sólo por una persona a un servidor en el ámbito empresarial utilizado por miles de usuarios, debería tener políticas de seguridad. Las políticas de seguridad son un conjunto de pautas utilizadas para medir si una determinada actividad o aplicación debiese o no ser desempeñada o utilizada en un sistema, basándose en los particulares objetivos para ese sistema. Las políticas de seguridad entre sistemas diferentes pueden variar mucho, pero lo más importante es que exista una para su sistema no importa si está escrita en el manual de políticas de la empresa o simplemente se recuerda. Criptografía La Criptografía proporciona comunicaciones seguras en canales inseguros. Se divide en Sistemas de Clave Secreta, donde el emisor y el receptor utilizan la misma clave secreta; y Sistemas de Clave Pública donde cada usuario posee un par de claves una secreta y otra pública. DES (Data Encryption Standard) es el sistema de clave secreta más utilizado, desarrollado por IBM es un algoritmo de cifrado-descifrado de bloques de 64 bits basado en permutaciones, mediante una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es el más extendido de los sistemas de Clave Pública en el que la clave pública y la privada se componen de un exponente y un módulo que es producto de dos números primos grandes. Este modo de cifrado requiere de una identificación de usuario, Firma Digital. Actualmente se han desarrollado otros sistemas más eficientes como Gamal y Curvas Elípticas. ISO define los siguientes Servicios de Seguridad en las Redes: 1.Autenticación de Entidad Par; 2.Control de Acceso; 3.Confidencialidad de Datos; 4.Integridad de Datos, 5.No Repudio, con Prueba de Origen y 6. No Repudio con Prueba de Entrega.
Requieren incorporar en el Nivel apropiado del modelo OSI Mecanismos de Seguridad: Cifrado: técnicas criptográficas que se aplican extremo a extremo o a cada enlace; Firma Digital: conjunto de datos que se añaden a una unidad de Datos para protegerlos contra la falsificación, utiliza el esquema criptográfico. Se necesita realizar una autenticación a través de un Certificado firmado por la Autoridad de Certificación válido durante un tiempo límite. Firewalls (Muros de Fuego) Estas entidades han proliferado debido a Internet. Limitan la exposición de la red privada con el mundo exterior restringiendo accesos. Pueden monitorear toda la actividad hacia la llamada red de redes de forma efectiva, además de ayudar a mantener las políticas de seguridad, ya que son puntos centrales. Cabe destacar que no protege contra malas intenciones de personas dentro de la red privada, ni resguarda conexiones que no sean controladas por él y tampoco contra virus. Virus Los virus informáticos son programas, generalmente destructivos, que se introducen en la computadora (al leer un disco o acceder a una red informática) y pueden provocar pérdida de la información (programas y datos) almacenada en el disco duro. Existen programas antivirus que los reconocen y son capaces de 'inmunizar' o eliminar el virus del ordenador. 2. Análisis y resultados Introducción Los Servidores Web son aquéllos que permiten a los clientes compartir datos, documentos y multimedia en formato Web. Aunque es parte de la tecnología Cliente-Servidor, el servidor Web aporta algunas ventajas adicionales; como acceso más simple a la información (con un simple clic). En el sentido más estricto, el término cliente/servidor describe un sistema en el que una máquina cliente solicita a una segunda máquina llamada servidor que ejecute una tarea específica. El programa cliente cumple dos funciones distintas: por un lado gestiona la comunicación con el servidor, solicita un servicio y recibe los datos enviados por aquél. Por otro, maneja la interfaz con el usuario: presenta los datos en el formato adecuado y brinda las herramientas y comandos necesarios para que el usuario pueda utilizar las prestaciones del servidor de forma sencilla. El programa servidor en cambio, básicamente sólo tiene que encargarse de transmitir la información de forma eficiente. No tiene que atender al usuario. De esta forma un mismo servidor puede atender a varios clientes al mismo tiempo. La mayoría de servidores añaden algún nivel de seguridad a sus tareas. Por ejemplo, si usted ha ido a alguna página y el navegador presenta una ventana de diálogo que pregunta su nombre de usuario y contraseña, ha encontrado una página protegida por contraseñas. El servidor deja que el dueño o el administrador del servidor mantenga una lista de nombres y contraseñas para las personas a las que se les permite ver la página, y el servidor deja que sólo esas personas quienes saben la contraseña tengan acceso.
Los servidores más avanzados añaden seguridad para permitir una conexión encriptada entre el servidor y el navegador así la información de suma importancia como números de tarjetas de crédito pueda ser enviada por Internet. Sistemas UNIX Características • • • • • • • • • • • • • • Operativos Es un sistema operativo multiusuario, con capacidad de simular multiprocesamiento y procesamiento no interactivo Está escrito en un lenguaje de alto nivel: C Dispone de un lenguaje de control programable llamado SHELL Ofrece facilidades para la creación de programas y sistemas y el ambiente adecuado para las tareas de diseños de software Emplea manejo dinámico de memoria por intercambio o paginación Tiene capacidad de interconexión de procesos Permite comunicación entre procesos Emplea un sistema jerárquico de archivos, con facilidades de protección de archivos, cuentas y procesos Tiene facilidad para redireccionamiento de Entradas/Salidas Contiene 4 aportaciones importantes que han aumentado la viabilidad de los sistemas UNIX como base para los sistemas distribuidos: Conectores Berkely Los Streams de AT&T El sistema de archivos de red NFS El sistema de archivos remoto RFS de AT&T Seguridad Para poder identificar a las personas, UNIX realiza un proceso denominado ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos. Estos permisos le indican al sistema operativo quien puede leer, escribir o ejecutar como programa determinado archivo. UNIX reconoce tres tipos diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo"; por último, está el "resto" que no son ni propietarios ni pertenecen al grupo, denominados "otros". Una computadora UNIX ofrece generalmente una serie de servicios a la red, mediante programas que se ejecutan continuamente llamados daemon (demonio). Por supuesto, para usar estos programas hay que tener primero permiso para usar tal puerto o protocolo, y luego acceso a la máquina remota, es decir, hay que ''autentificarse'', o identificarse como un usuario autorizado de la máquina. Algunos de estos programas son telnet, rlogin, rsh, ftp, etc. Microsoft Windows Características de Windows NT Server • • • • NT Soporta Sistemas Intel y los basados en RISC. Incorpora un NOS (Sistema Operativo de Red) de 32 bits. Ofrece una solución de red punto a punto. Requiere un mínimo de 16MB en RAM, por lo que es más caro de instalar que la mayor parte de los NOS.
• • • • • • • • • • • • • • • Soporta multitarea simétrica. Puede usar hasta 4 procesadores concurrentes. Además de ser multitarea, el Windows NT Server también es de lectura múltiple o multilectura. Soporta administración centralizada y control de cuenta de usuarios individuales. Las multitareas, priorizadas permiten que se ejecute simultáneamente varias aplicaciones. Las operaciones de red adquieren prioridad sobre otros procesos menos críticos. Incluye extensos servicios para Mac. Una computadora Mac puede acceder a Windows NT Server, como si accesara al servidor Appleshare. Los archivos se traducen automáticamente de un formato a otro. Los usuarios de PC y Mac tienen acceso a las mismas impresoras. Incluso una Mac puede imprimir trabajos Postscript en una impresora PC que no sea Postscript. Windows NT Server soporta integración con otras redes (Con Software adicional), que incluyen: NetWare, VINES, Lan Manager OS/2, UNIX, VMS y redes SNA. Es tolerante a fallas. Posee el reflejado a sistema espejo y separación de discos. Proporciona utilerías para administración y control fácil de usar. Proporciona acceso remoto por marcación telefónica. Seguridad Windows NT ofrece gran seguridad por medio del acceso por cuentas y contraseñas. Es decir un usuario debe tener su cuenta asignada y una contraseña para poder tener acceso al sistema. Contiene protecciones para directorios, archivos, y periféricos, es decir que todo esto se encuentra con una contraseña para poder ser utilizados. CONCEPTO DE DERECHOS.- Permite a un grupo de usuarios efectuar determinadas operaciones. CUENTA ADMINISTRADOR.- Controla todos los permisos y con ellas se puede: • • • Dar de alta Asignar cuentas Cancelar derechos Novell Netware Características de NetWare • • • • • • Multitarea Multiusuario No requiere demasiada memoria RAM, y por poca que tenga el sistema no se ve limitado por ej. Netware 4.0 (Requiere 6 Mb de RAM) Brinda soporte y apoyo a la MAC Apoyo para archivos de DOS y MAC en el servidor El usuario puede limitar la cantidad de espacio en el disco duro
• • • • • • • • Permite detectar y bloquear intrusos Soporta múltiples protocolos Soporta acceso remoto Permite instalación y actualización remota Muestra estadísticas generales del uso del sistema Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios Permite realizar auditorías de acceso a archivos, conexión y desconexión, encendido y apagado del sistema, etc. Soporta diferentes arquitecturas Desventajas de NetWare • • • • • • • No cuenta con listas de control de acceso (ACLs) administradas en base a cada archivo. Algunas versiones no permiten criptografía de llave pública ni privada. No carga automáticamente algunos manejadores en las estaciones de trabajo. No ofrece mucha seguridad en sesiones remotas. No permite el uso de múltiples procesadores. No permite el uso de servidores no dedicados. Para su instalación se requiere un poco de experiencia. Seguridad del Sistema. Aunque los fabricantes que se dedican exclusivamente a los sistemas de seguridad de redes pueden ofrecer sistemas más elaborados, NetWare de Novell ofrece los sistemas de seguridad integrados más importantes del mercado. NetWare proporciona seguridad de servidores de archivos en cuatro formas diferentes: 1.Procedimiento de registro de entrada 2.Derechos encomendados 3.Derechos de directorio 4.- Atributos de archivo Linux Características • • • Es un clon del sistema operativo UNIX por tanto es Multitarea y Multiusuario Se puede correr la mayoría del software popular para UNIX, incluyendo el Sistema X-Window Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene la capacidad de comunicarse con sistemas distintos a él. Ventajas de Linux • • • • • Precio. Es una implementación de UNIX sin costo Estabilidad Libre de virus, es muy difícil que sea infectado por virus Seguridad, es mucho más seguro que otros servidores Compatibilidad, reconoce la mayoría de los otros sistemas operativos en una red
• • • • • • • • Velocidad, es mucho más veloz para realizar las tareas Posee el apoyo de miles de programadores a nivel mundial El paquete incluye el código fuente, lo que permite modificarlo de acuerdo a las necesidades del usuario Se puede usar en casi cualquier computadora, desde una 386 Puede manejar múltiples procesadores. Incluso hasta 16 procesadores Maneja discos duros de hasta 16 TeraBytes Soporta acceso remoto Soporte nativo de TCP/IP (Fácil conexión a Internet y otras redes) Desventajas de Linux • • Carencia de soporte técnico. Inconvenientes de hardware, no soporta todas las plataformas, y no es compatible con algunas marcas específicas. Sistem Multi- Multia Conectivi Confiabili Estabili Escalabili POSI Propieta usuari platafor Operati dad dad dad dad X rio o ma vo UNIX Excelente Muy Alta Windo Muy ws NT Buena Excelen Muy Alta Si te Si Si Múltiple Si Regular Media Inseg Limita Parcial Si uro da Netwar Excelente Alta e Excelen Alta te Si Linux Excelen Muy Alta Si te Baja Excelente Muy Alta Si No Si Si Múltiple Si No Tabla No.1 Comparación de las Características Generales de los Sistemas Operativos Sistema Operativo UNIX Mac OS X Server 10.2 Propietario Apple Precio US $499.00 (10 usuarios) US $999.00 (sin limite de usuarios) Windows 2000 Advanced Microsoft Server US $809 (5 US $1,129 (10 Usuarios) Netware 6.0 US $1,395 (5 usuarios) Novell usuarios)
US $47,995 (1000 usuarios) Linux Red Hat 8.0 Gratis o sobre US $49.95 para una distribución en CD-ROM Tabla No.2 Precio de Algunas Versiones de los Sistemas Operativos Sistema Operativo Seguridad UNIX Realiza un proceso denominado ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos. Hay que ''autentificarse'', o identificarse como un usuario autorizado de la máquina. UNIX reconoce tres tipos diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo"; por último, el "resto" que no son ni propietarios ni pertenecen al grupo, denominados "otros". El usuario debe tener su cuenta asignada y una contraseña para poder tener acceso al sistema. El sistema está protegido del acceso ilegal a las aplicaciones en las diferentes configuraciones. Windows NT Ofrece la detección de intrusos. Permite cambiar periódicamente las contraseñas. No permite criptografía de llave pública ni privada. Netware Linux Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios. Permite detectar y bloquear intrusos. Algunas versiones no permiten criptografía de llave pública ni privada. Presenta las mismas características que UNIX lo que lo hace mucho más seguro que otros servidores. Tabla No.3 Comparación de la Seguridad de los Sistemas Operativos LINUX RED HAT 8.0 Red Hat puso en el mercado la versión 8.0 de su sistema operativo de fuente abierta que ofrece un interfaz gráfico más agradable. El nuevo interfaz de Bluecurve, basado en Gnome 2,0, ofrece temas, barras, menús y muchas más nuevas opciones gráficas. La nueva versión también contiene un buen número de aplicaciones actualizadas incluyendo la suite de fuente abierta para la oficina, Open Office, así como el cliente de E-mail Evolution, y el browser Mozilla 1.0.1. También se incluye una suite de herramientas de configuración para configurar diversos servicios del sistema incluyendo los servidores de Apache, samba, ajustes de la red, firewall, y los periféricos. La compañía también ha incluido versiones mejoradas de su compilador de C y del kernel del sistema operativo.
Herramientas Básicas De Seguridad En Red Hat Módulos de Autentificación Conectables (PAM) Los programas que ofrecen privilegios a los usuarios deben autentificar (verificar la identidad de) adecuadamente cada usuario. Al iniciar una sesión en un sistema, el usuario proporciona su nombre de usuario y contraseña y el procedimiento de inicio de sesión usa el nombre de usuario y la contraseña para autentificar el inicio de sesión para verificar que el usuario es quien dice ser. Son posibles otras formas de autentificación además de las contraseñas. Los Pluggable Authentication Modules (PAM) son una manera de permitir que el administrador de sistema establezca una política de autentificación sin tener que recompilar programas de autentificación. Las ventajas de PAM Cuando se usa correctamente, PAM provee muchas ventajas para un administrador de sistema, como las siguientes: • • • • Un esquema de autentificación común que se puede usar con una gran variedad de aplicaciones. PAM puede ser ejecutado con varias aplicaciones sin tener que recompilar las aplicaciones para soportar PAM específicamente. Gran flexibilidad y control sobre la autentificación para el administrador y para el desarrollador de aplicaciones. Los desarrolladores de aplicaciones no necesitan desarrollar su programa para usar un determinado esquema de autentificación. En su lugar, pueden concentrarse puramente en los detalles de su programa. Kerberos Kerberos era el perro de tres cabezas de la mitología griega que por ser quien cuidaba las puertas del infierno, representa seguridad. Kerberos Es un servicio de autenticación desarrollado en MIT (Massachusetts Institute of Technology) en colaboración con IBM y con Digital Equipment Corporation y diseñado por Miller y Neuman en el contexto del Proyecto Athena en 1987. Esta basado en el protocolo de distribución de claves presentado por Needham y Schroeder en 1978. El objetivos principal de Kerberos es el de proporcionar un sistema de autenticación entre clientes y servidores que evite que las passwords de los usuarios viajen continuamente por la red. El sistema se basa en una serie de intercambios cifrados, denominados "tickets" o vales, que permiten controlar el acceso desde las estaciones de trabajo a los servidores. Kerberos proporciona, asimismo, una serie de verificaciones criptográficas para garantizar que los datos transferidos entre estaciones y servidores no estén corrompidos, bien por accidente o bien por ataques intencionados.
Fig.1 Funcionamiento de Kerberos ¿Por qué no se usa en todas las redes? Kerberos elimina una amenaza de seguridad común pero debido a que se deben configurar y sincronizar algunos parámetros puede ser difícil de implementar. Tripwire El software Tripwire puede ayudar a asegurar la integridad de ficheros y directorios de sistema esenciales identificando todos los cambios hechos a ellos. Las opciones de configuración de Tripwire incluyen la capacidad de recibir alertas por medio de correo electrónico si hay ficheros específicos que han sido modificados y el control de integridad automatizado a través de un trabajo cron. El uso de Tripwire para detectar intrusiones y fijar daños le ayuda a mantenerlo al tanto de los cambios del sistema y puede agilizar el restablecimiento de una entrada forzada reduciendo el número de ficheros que hay que restablecer para reparar el sistema. Compara los ficheros y directorios con una base de datos de la ubicación de los ficheros, las fechas en que han sido modificados y otros datos. Tripwire genera la base tomando una instantánea de ficheros y directorios específicos en estado conocido como seguro. (Para máxima seguridad, Tripwire debería ser instalado y la base debería ser creada antes que el sistema sea expuesto al riesgo de intrusión.) Después de haber creado la base de datos de base, Tripwire compara el sistema actual con la base y proporciona información sobre cualquier modificación, añadidura, o supresión. SSH SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos sistemas. Usando SSH, la máquina del cliente inicia una conexión con una máquina de servidor. SSH proporciona los siguientes tipos de protección: • • • • Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones ulteriores. El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado. Todos los datos enviados y recibidos durante la conexión se transfieren por medio de encriptación fuerte, lo cual los hacen extremamente difícil de descifrar y leer. El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el indicador de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura (llamada reenvío por X11).
El servidor también obtiene beneficios por parte de SSH, especialmente si desempeña una cierta cantidad de servicios. Si usa el reenvío por puerto, los protocolos que en otros casos serían considerados inseguros (POP, por ejemplo) se pueden cifrar para garantizar comunicación segura con máquinas remotas. SSH hace relativamente sencilla la tarea de cifrar tipos diferentes de comunicación que normalmente se envía en modo inseguro a través de redes públicas. Uso de Apache como servidor Web Seguro (https) La combinación del servidor Apache World Wide Web (WWW o Web) con el módulo de seguridad mod_ssl y con las librerías y el kit de herramientas OpenSSL proporcionados por Red Hat Linux, es lo que se conoce como secure Web server o simplemente como servidor seguro. El servidor Web Apache está diseñado de forma modular; consiste en muchas porciones de código que hacen referencia a diferentes aspectos o funcionalidades del servidor Web. Esta modularidad es intencionada, con lo cual, cada desarrollador puede escribir su propia porción de código para cubrir una necesidad en particular. Su código, llamado módulo, puede ser integrado en el servidor Web Apache con relativa facilidad. El módulo mod_ssl es un módulo de seguridad para el Servidor Web Apache. El módulo mod_ssl usa las herramientas suministradas por el OpenSSL Project para añadir una característica muy importante al Apache, la posibilidad de encriptar las comunicaciones. A diferencia de las comunicaciones entre un navegador y un servidor web usando HTTP "normal", en la que se envía el texto íntegro, pudiendo ser interceptado y leído a lo largo del camino entre servidor y navegador. El OpenSSL Project incluye un kit de herramientas que implementa los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), así como una librería de codificación de propósito general. El protocolo SSL se usa actualmente para la transmisión de datos segura sobre Internet; El protocolo TLS es un estándar de Internet para comunicaciones privadas (seguras) y fiables a través de Internet. Las herramientas OpenSSL son usadas por el módulo mod_ssl para aportar seguridad en las comunicaciones Web. Requerimientos Mínimos De Instalación • • • • • Procesador: Pentium-class RAM: 32MB para modo texto; 128MB para modo gráfico Disco Duro: 650MB de espacio Monitor: SVGA (1024x768) para ambiente gráfico CD –ROM: 12x o superior que soporte auto inicialización Requerimientos Recomendados • • • • Procesador: Pentium-class 200 MHz o superior RAM: 192MB para modo gráfico Disco Duro: 2.5GB de espacio; 4.5GB para instalación completa Monitor: SVGA (1028x1024) para ambiente gráfico
• CD –ROM: 32x con auto inicialización 3. Tecnologías de seguridad Firewalls ¿Qué es un firewall? "Un firewall es un sistema o grupo de sistemas que establece una política de control de acceso entre dos redes". Tienen las siguientes propiedades: • • • Todo el tráfico de adentro hacia afuera, y viceversa debe pasar a través de él. Sólo el tráfico autorizado, definido por la política de seguridad es autorizado para pasar por él. El sistema es realmente resistente a la penetración. Tráfico en Internet Cuando nos referimos a que todo el tráfico de adentro hacia afuera y viceversa, debe pasar por un firewall, esto es respecto al protocolo TCP/IP. Para controlar el tráfico de TCP/IP se debe tener una clara idea de cómo funciona el protocolo. Un Protocolo es una descripción formal de cómo serán intercambiados los mensajes y las reglas que deben seguir dos o más sistemas para transferirlos de tal forma que ambos puedan entenderse. TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados paquetes, y le da a cada uno un número. Estos paquetes pueden representar texto, gráficas, sonido o vídeo; o cualquier elemento que la red pueda transmitir. La secuencia de números ayuda a asegurar que los paquetes puedan ser re ensamblados una vez recibidos. Entonces cada paquete consiste en contenido, o datos, y la información que el protocolo necesita para hacerlo funcionar, llamado protocolo encabezado. Software SPX Es la arquitectura de seguridad desarrollada por Digital E. C. y propuesta para su elección como estándar dentro de la iniciativa DCE del llamado "Grupo de Gibraltar". Usa claves asimétricas RSA certificadas según la norma X.509 combinadas con el uso de DES como algoritmo de cifrado con claves de sesión. Al igual que Kerberos dispone de un centro de autenticación ante el que se identifican los usuarios (LEAF: Login Enrollment Agent Facility). El otro componente básico es un Centro de Distribución de Certificados (CDC) que gestiona un repositorio con los certificados de las claves públicas de clientes y servidores. El proceso de autenticación se basa en el uso inicial de una clave privada RSA por parte del usuario que se autentica, esta clave se sustituye por una clave temporal llamada clave de delegación disminuyendo la exposición de la clave privada del usuario. El uso de una jerarquía de certificados de clave pública permite solucionar los problemas de escalabilidad que presenta Kerberos.
IPSec Es una extensión del protocolo IP. Proporciona servicios criptográficos de seguridad basados en estándares definidos por el IETF como control de acceso, integridad, autenticación del origen de los datos, confidencialidad. Proporciona encriptación y autenticación a nivel de red. Es transparente al usuario ya que no se tienen que modificar los sistemas finales. Los paquetes tienen la misma apariencia que un paquete IP corriente. Combina distintas tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash, certificados digitales, entre otros. Utiliza los Protocolos de seguridad: • • • AH (Authentication Header): Integridad y autenticación de origen (HMAC, MD5, SHA–1) ESP (Encapsulating Security Payload): Confidencialidad (DES, 3DES, RC5, IDEA) AH y ESP proporcionan control de acceso. Pueden ser aplicados solos o en combinación para proporcionar la seguridad deseada Dentro de Gestión de claves: • IKE (Internet Key Exchange): Establece la comunicación segura (Security Association y clave DH) Modos de funcionamiento • • Modo transporte: es el host el que genera los paquetes. Solo se encriptan los datos, la cabecera intacta añade pocos bytes. Permite ver las direcciones de origen y de destino. Modo túnel: uno de los extremos de la comunicación es un gateway. El paquete IP se encripta entero, para el sistema final el paquete es transparente Firewalls internos Alguien fuera de la empresa podría solicitar cierta información, pero no necesariamente necesita accesar a toda la información interna. En estas circunstancias, los firewalls juegan un papel importante forzando políticas de control de acceso entre redes confiables protegidas y redes que no son confiables. En una WAN que debe ofrecer conexión de cualquier persona a cualquiera, otras formas en el nivel de aplicación pueden ser implementadas para proteger datos importantes. Sin embargo, separar las redes por medio de firewalls reduce significativamente los riesgos del ataque de un hacker desde adentro, esto es acceso no autorizado por usuarios autorizados. Agregando encriptación a los servicios del firewall lo convierte en una conexión firewall a firewall muy segura. Esto siempre permite redes grandes interconectadas por medio de internet. Agregando autenticación se puede aumentar el nivel de seguridad. Por ejemplo un vendedor que necesite ver la base de datos del inventario, tendrá que comprobar que es él. Servidores proxy Un servidor proxy (algunas veces se hace referencia a él con el nombre de
"gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es una aplicación que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutos de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logins auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente). Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genérico que puede ser compilado en una aplicación cliente para hacerla trabajar a través de un Firewall. Hardware Routers de Selección Muchos routers comerciales proporcionan la capacidad de seleccionar paquetes con base a criterios como el tipo de protocolo, los campos de dirección de origen y dirección de destino para un tipo particular de protocolo y los campos de control que son parte del protocolo. A esos routers se les llama routers de selección. Estos pueden proporcionar un mecanismo poderoso para controlar el tipo de tráfico de red que puede existir en cualquier segmento de una red. Al controlar ese tipo de tráfico, los routers de selección pueden controlar el tipo de servicios que pueden existir en un segmento de red. Por lo tanto, pueden restringirse servicios que pueden poner en peligro la seguridad de la red. Los routers de selección pueden discriminar entre el tráfico de red con base en el tipo de protocolo y en los valores de los campos del protocolo en el paquete. A la capacidad del router para discriminar entre paquetes y restringirlos en sus puertos con base en criterios específicos de protocolo se le denomina filtración de paquetes. Por esta razón, los routers de selección son llamados también routers de filtración de paquetes. Fabricantes de routers como Cisco, Wellfleet, 3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que pueden programarse para desarrollar funciones de filtración de paquetes. La filtración de paquetes se hace para restringir el tráfico de red para los servicios que habrán de rechazarse. Routers como Firewalls El Router es un tipo especial de switch el cual realiza el trabajo de hacer las conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN. Los paquetes de datos transmitidos hacia internet, desde un visualizador de una PC, pasarán a través de numerosos ruteadores a lo largo del camino, cada uno de los cuales toman la decisión de hacia donde dirigir el trabajo. Los ruteadores toman sus decisiones basándose en tablas de datos y reglas, por medio de filtros, así que, por ejemplo, sólo datos de una cierta dirección pueden pasar a través del ruteador, esto transforma un ruteador que puede filtrar paquetes en un dispositivo de control de acceso o firewall. Si el ruteador puede generar un registro de accesos esto lo convierte en un valioso dispositivo de seguridad.
Si el servidor de internet solicita información, o bien la suministra hacia sistemas de bases de datos distribuidas, entonces esta conexión entre el servidor y la estación de trabajo debería ser protegida. Firewalls con Encriptación Algunos firewalls proveen servicios de seguridad adicionales. Como encriptación y desencriptación, ambas deben usar sistemas compatibles de encriptación. Existen varios fabricantes que ofrecen dichos sistemas. Encriptación de firewall a firewall es la forma que se usa en el Internet de hoy. Verificar la autenticidad del usuario así como el sistema que esté usando también es importante, y los firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros métodos. Las firewalls, pueden incluso proteger otras redes exteriores. Una compañía puede aplicar las mismas restricciones de tráfico, mejorado con autenticación. 4. Técnicas de protección Aplicación Gateway Para contar algunas de las debilidades asociadas con el ruteador de filtrado de paquetes, los desarrolladores han creado aplicaciones de software que adelantan y filtran conexiones para servicios tal como telnet y ftp. Las aplicaciones referidas son servidores proxy, también conocido como aplicación gateway. Las máquinas host corriendo los servidores proxy se conocen como firewalls de aplicación gateway. Trabajando junto, firewalls de aplicación gateway y el ruteador de filtrado de paquetes pueden potencialmente dar más altos niveles de seguridad y flexibilidad que una sola. Por ejemplo, considera un sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un host solamente. Un usuario quien desea conectarse a través del sistema debe tener que conectar primero a la aplicación gateway, y entonces al host de destino. Los firewalls de aplicación gateway únicamente permiten esos servicios para cuales hay un proxy. En otras palabras, si un gateway de aplicación contiene proxy para ftp y telnet, entonces solo ftp y telnet puede permitirse en la subred protegida y todos los otros servicios son completamente bloqueados. Para algunos sitios, este grado de seguridad es importante, como garantiza que sólo los servicios considerados confiables se permiten mediante el firewall. Esto también previene que otros servicios intrusos estén siendo implementados a espaldas de los administradores del firewall. Las aplicaciones gateway ofrecen un número de ventajas generales sobre el modo default de permitir que la aplicación trafique directamente para hosts internos. Estas ventajas incluyen: • • Ocultamiento de la información. Los nombres de sistemas internos no necesariamente necesitan ser conocidos por medio del DNS para los sistemas externos, desde la aplicación gateway puede ser el host el único cuyo nombre debe hacerse conocido afuera de los sistemas. Robusta autenticación y registro. La gateway puede autentificar el tráfico de la aplicación antes que este llegue a los hosts internos. El tránsito puede entonces ser registrado más efectivamente que con el registro estándar del host.
• • Costo - eficacia. La tercera parte de software o hardware para la autenticación o registro necesario puede ser ubicada sólo en la aplicación gateway. Menos complejas las reglas de filtrado. Las reglas en el ruteador de filtrado de paquetes serán menos complejas que aquellas que serían si el ruteador necesitara el filtrar el tráfico de la aplicación y dirigir éste a un número de sistemas específicos. El ruteador necesita solo permitir tráfico destinado para la aplicación gateway y rechaza el resto. El Monitoreo De Paquetes Otro punto de vista que gana aceptación es la inspección de paquetes que no sólo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los firewalls de este tipo emplean una inspección de módulos, aplicable a todos los protocolos que comprenden los datos de los paquetes destinados desde el nivel network (IP) hasta el nivel de aplicación. Esta estrategia puede proveer seguridad sensitiva al contexto para complejas aplicaciones y puede ser más efectiva que la tecnología que sólo tiene acceso a los datos en ciertos niveles. Por ejemplo las aplicaciones gateway sólo acceden a los datos de nivel aplicación, los ruteadores tienen acceso solamente a niveles bajos, el enfoque de la inspección de paquetes integra toda la información reunida de todos los niveles en un simple punto de inspección. Algunos firewall de inspección también toman en cuenta el estado de la conexión, por ejemplo, la legítima entrada de paquetes puede ser probada con la petición de salida para ese paquete y se le permite entrar. Por el contrario, un paquete de entrada se enmascara con su respuesta a una inexistente petición de salida, este será bloqueado. Esto lleva el enfoque de tan llamado estado (stateful) más allá del filtrado de paquetes. La inspección de módulos usa previas comunicaciones para derivar el estado actual de la comunicación que se está realizando. El filtrado inteligente puede efectivamente combinarse con la habilidad del rastreo de la sesión de red. Para usar la información acerca del inicio y fin de la sesión en la decisión de filtrado. Esto es conocido como filtrando sesión (sesión filtering). Los filtros usan reglas inteligentes, así aumenta el proceso de filtrado y controlando el rastreo de sesiones de la network que controla los paquetes individuales. Firewalls Híbridos En la práctica, muchos de los firewalls comerciales de hoy usan una combinación de estas técnicas. Por ejemplo, un producto que se originó como un firewall filtrador de paquetes puede haber sido mejorado con filtrado inteligente a nivel de aplicación. Las aplicaciones proxy en áreas establecidas como ftp pueden agregar una inspección de filtrado en base a su esquema. Nota: Agregando los métodos de seguridad no significa necesariamente un aumento en la seguridad. Los mecanismos adicionales pueden aumentar, disminuir, o dejar establecida la postura de seguridad del firewall. 5. Consideraciones técnicas Particiones Del Definición de la Partición de Discos • Partición Única Disco Duro
• • • Múltiples Particiones en un sólo disco Múltiples Discos con una partición por disco Múltiples Discos con múltiples particiones por disco ¿Cuántas particiones? Llegados a este punto en el proceso de preparación de la instalación de Red Hat Linux, tendrá que considerar el número y el tamaño de las particiones que serán utilizadas por el nuevo sistema operativo. Le aconsejamos crear, a menos que no tenga una razón para hacerlo de forma distinta, las particiones siguientes: • • • Partición swap: Las particiones swap son utilizadas para soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no hay bastante memoria disponible para contener los datos que su ordenador está procesando. Si su ordenador tiene 16 Megas de RAM o incluso menos, tiene que crear una partición swap. También si tiene más memoria, se recomienda la utilización de una partición swap. El tamaño mínimo para una partición de swap tendría que ser igual a la cantidad de memoria RAM presente en su ordenador, o por lo menos 16MB (entre las dos se aconseja elegir la cantidad mayor). Una /boot partición: La partición que se crea bajo /boot contiene el kernel del sistema operativo (que permite el arranque de su sistema con Red Hat Linux), junto con algunos ficheros utilizados durante el proceso de arranque. Debido a las limitaciones de la mayoría de BIOSes de PCs, es una buena idea crear una partición pequeña para estos ficheros. Esta partición no debería superar los 32 MB. Partición root (/): La partición root es donde se encuentra / (el directorio de root). En esta configuración de las particiones, todos los ficheros (excepto los que residen en /boot) están en la partición de root. Por ello sería una buena elección hacer lo más grande posible el tamaño de su partición de root. Una partición root de 1.2 GB es equivalente a la que es instalada por una instalación de clase estación de trabajo (con poquísimo espacio libre), mientras que una partición root de 2.4 GB le permitirá instalar todos los paquetes. Es obvio que cuanto más espacio pueda darle a la partición root mejor. Arreglo de Discos Duros RAID Los discos duros son menos eficaces que el rendimiento general del sistema, provocando una descompensación entre el tratamiento de la información del sistema (muy rápido) y la lectura – grabación de datos en el disco duro (muy lenta). Para ello se invento un sistema para guardar información en varios discos duros a la vez por lo que el acceso se hace mas rápido ya que la carga se distribuía entre los diferentes discos duros, a esto se le llamo RAID Redundant Arrays of Inexpensive Disks (Arreglo redundante de discos baratos). Los arreglos RAID se pueden lograr en dos formas: por hardware y por software. Los arreglos basados en software ocupan memoria y consumen ciclos del CPU. Como compiten con las demás aplicaciones de la computadora, degradan el desempeño total del host. En arreglos por hardware el CPU se puede encargar de las aplicaciones mientras el procesador del arreglo se
encarga de sus propias funciones al mismo tiempo. Además no ocupa memoria ni depende del sistema operativo. Niveles de RAID RAID-0 RAID nivel 0 no es redundante, o sea que no es tolerante a fallas y en realidad no va de acuerdo con las especificaciones "RAID". En este nivel, los datos están repartidos en los diferentes discos, lo cual nos da una alta transferencia de datos. Como no se graba ningún tipo de información redundante, el desempeño es muy bueno, sin embargo una falla en cualquier disco significa la perdida total de la información. Este nivel es comúnmente referido como "Striping". RAID-1 RAID nivel 1 nos provee de información redundante ya que graba todos los datos en dos o más discos. El desempeño del nivel 1 tiende a ser más rápido en lectura y más lento en escritura comparado con la de un sólo disco. Sin embargo, si un disco falla no se pierde la información. Este es un buen sistema redundante básico, ya que sólo requiere de dos discos duros; sin embargo, un disco es usado para duplicar los datos, lo cual significa que se pierde un 50% de capacidad y que el costo por MB es muy alto. Por ejemplo dos discos de 30GB cada uno, daría un total de 30GB de espacio utilizable en vez de 60GB si no se hace este arreglo. A este nivel se le conoce como "Mirroring" (Espejo). RAID-2 RAID nivel 2 usa corrección de errores según el código Hamming, y está pensado para discos que no tienen corrección de errores integrada. Todos los discos duros SCSI tienen corrección de errores integrada, de manera que no hay mucho uso para este nivel si usas discos SCSI. RAID-3 RAID nivel 3 graba los datos a nivel de bytes entre varios discos, grabando la paridad en un sólo disco. Es similar al arreglo de nivel 4 y requiere de un hardware especial. RAID-4 RAID nivel 4 graba los datos a nivel de blocks entre varios discos, grabando la paridad en uno sólo. La paridad permite recuperar los datos en caso de que algún disco falle. El desempeño de nivel 4 es muy bueno para lecturas. La escritura es más lenta pues requiere la grabación adicional de la paridad. El costo por MB no es tan caro ya que sólo un disco graba la paridad. RAID-5 RAID nivel 5 es similar al nivel 4, pero distribuye la información de paridad entre todos los discos. Esto hace que la grabación de datos pequeños en sistemas multiproceso sea más rápida, ya que el disco de paridad ya no es el cuello de botella. La lectura de información es un poco más lenta que en el nivel 4 ya que la paridad debe ser leída de varios discos. El costo por MB es igual al del nivel 4.
Soluciones híbridas o alternativas Hay otros tipos de arreglos que son híbridos o variaciones de RAIDs estándar. Muchos de estos RAIDs han sido definidos por marcas como Compaq o IBM. RAID-10 Este arreglo es un híbrido entre RAID-0 "Striping" y RAID-1 "Mirroring". Es pues un mirror de dos RAID-0, o un RAID-1 de dos RAID-0. De esta forma tienes un backup completo del RAID-0 y garantizas la integridad de datos. RAID-7 Definido por Compaq e IBM como "Hotspare", es un arreglo RAID-5 al que se le agrega un disco extra que sólo entra a funcionar automáticamente cuando uno de los discos del arreglo falla. Protección Física Del Servidor En esta parte no se pretende dar especificaciones sobre el diseño de edificios resistentes a terremotos, ni complicadas alarmas de seguridad electrónica, ya que cada sitio es diferente y por tanto lo son también sus necesidades de seguridad; de esta forma, no se pueden dar recomendaciones específicas sino pautas generales a tener en cuenta, que pueden variar desde el simple sentido común (como es el cerrar con llave el cuarto de servidores cuando salimos de él) hasta medidas mucho más complejas, como la prevención de radiaciones electromagnéticas de los equipos o la utilización de degaussers. En entornos habituales suele ser suficiente con un poco de sentido común para conseguir una mínima seguridad física. El conocimiento y análisis de estas pautas es responsabilidad de todo Administrador de sistemas informáticos por lo que han sido incluidas para ser leídas detenidamente (Anexo 2). La "seguridad física" de los sistemas son todas aquellas medidas y mecanismos de protección y detección que sirven para proteger cualquier recurso del sistema, desde un simple teclado hasta un disco de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Se dividen en varias categorías: o o    o    o Protección del hardware Acceso físico  Prevención  Detección Desastres naturales  Terremotos  Tormentas eléctricas  Inundaciones y humedad Desastres del entorno  Electricidad  Ruido eléctrico  Incendios y humo  Temperaturas extremas Protección de los datos Eavesdropping Backups Otros elementos Radiaciones electromagnéticas
6. Conclusiones Todos los Sistemas Operativos analizados en el presente trabajo representan opciones viables para la implementación de seguridad en los servidores. Red Hat Linux es un Sistema Operativo que debe considerarse seriamente ya que presenta numerosas ventajas, además de lo económico de su adquisición, las herramientas de seguridad que incluye hacen factible su configuración como servidor Web. Los Requerimientos de Hardware para la Instalación de Red Hat son otra ventaja en la utilización de este Software ya que demanda pocos recursos para un funcionamiento óptimo. Por tanto los costos de adquisición de Hardware disminuyen considerablemente en relación a otro Sistema Operativo. Aunque debe verificarse la Lista de Compatibilidad de Hardware previamente a su adquisición Anexo 3. Las técnicas de protección estudiadas son soluciones eficientes a los problemas de seguridad, ya que son una combinación de Hardware y Software capaces de detectar, prevenir y atenuar cualquier situación de peligro para el sistema. La decisión sobre su implantación al sistema está en dependencia de las necesidades de la empresa o del grado de seguridad que se desee adquirir. "Agregando métodos de seguridad no significa necesariamente un aumento en la seguridad". Para un desempeño óptimo del servidor deben tomarse muy en cuenta las consideraciones técnicas enunciadas ya que proporcionan un incremento en el rendimiento del sistema según las características de éste. Debe darse mucha importancia a la "seguridad física" del sistema ya que si no se analizan los factores físicos que puedan ocurrir todos los esfuerzos por asegurar un sistema con la tecnología más eficiente no van a servir de nada; se debe pensar más allá de las maneras elementales de sobrepasar los métodos de seguridad, no se debe poner énfasis en una sola manera en que el sistema puede ser atacado. Recomendaciones La seguridad de un sistema no sólo está en dependencia de la calidad del software o del hardware que se utiliza, es parte fundamental seguir ciertas recomendaciones que garantizarán la verdadera seguridad de los sistemas. El desarrollo de Cualquier política de seguridad características como pautas: • • • políticas debería estar de construida seguridad con estas Sencilla y no compleja, mientras más sencilla y clara la política de seguridad, más fácil será que las pautas sean respetadas y el sistema permanezca seguro. Fácil de mantener y no difícil, como todo, los métodos y herramientas de seguridad pueden cambiar dependiendo de necesidades y retos nuevos. La política de seguridad debería construirse con un enfoque hacia la minimización del impacto que los cambios tendrán en su sistema y en sus usuarios. Promover la libertad a través de la confianza en la integridad del sistema en vez de una sofocante utilización de sistema, evitar métodos y herramientas de seguridad que limiten innecesariamente la utilidad del
• • • sistema. Los métodos y herramientas de seguridad de calidad son casi siempre una ventaja segura y ofrecen más elecciones a los usuarios cada vez que sea posible. El reconocimiento de la falibilidad en vez de una falsa sensación de seguridad, una de las maneras más exitosas de atraer un problema de seguridad es a través de la creencia que el sistema no podría tener un problema como ese. En vez de dormirse en los laureles, hay que estar siempre alerta. El enfoque debería estar en los problemas reales en vez de en problemas teóricos. Emplear tiempo y esfuerzo ocupándose de los problemas reales más grandes y luego proseguir con los menores. La inmediatez en vez de la desidia, resolver los problemas como vayan surgiendo y determinar que equivalen a un riesgo. No creer que es posible ocuparse del problema más tarde. En realidad no hay mejor momento que ahora mismo, especialmente cuando se trata de una amenaza a la incolumidad del sistema. Introducción a Windows NT Server Capítulo 1 1 de 4. Introducción a Windows NT Server Microsoft Windows NT Server es un sistema operativo diseñado para su uso en servidores de red de área local (LAN). Ofrece la potencia, la manejabilidad y la capacidad de ampliación de Windows NT en una plataforma de servidor e incluye características, como la administración centralizada de la seguridad y tolerancia a fallos más avanzada, que hacen de él un sistema operativo idóneo para servidores de red. Windows NT Server es a la vez un sistema operativo para computadoras (ordenadores) personales y un sistema operativo para red. Puesto que incorpora funciones de red, las redes de Windows NT Server se integran de forma óptima con el sistema operativo básico, facilitando el uso y la administración de las funciones. Este capítulo ofrece un breve resumen de las funciones de Windows NT Server y explica su funcionamiento en relación con otros productos de software para red fabricados por Microsoft. También describe la finalidad de este manual y el modo más eficaz de utilizarlo. Introducción a Windows NT Server 2 de 4 Descripción general de Windows NT Server Windows NT Server es un sistema operativo para servidores, ampliable e independiente de la plataforma. Puede ejecutarse en sistemas basados en procesadores Intel x86, RISC y DEC Alpha, ofreciendo al usuario mayor libertad a la hora de elegir sus sistemas informáticos. Es ampliable a sistemas de multiproceso simétrico, lo que permite incorporar procesadores adicionales cuando se desee aumentar el rendimiento. Internamente posee una arquitectura de 32 bits. Su modelo de memoria lineal de 32 bits elimina los segmentos de memoria de 64 KB y la barrera de 640 KB
de MS-DOS. Posee múltiples threads (subprocesos) de ejecución, lo que permite utilizar aplicaciones más potentes. La protección de la memoria garantiza la estabilidad mediante la asignación de áreas de memoria independientes para el sistema operativo y para las aplicaciones, con el fin de impedir la alteración de los datos. La capacidad de multitarea de asignación prioritaria permite al sistema operativo asignar tiempo de proceso a cada aplicación de forma eficaz. Windows NT Server incluye, asimismo, diversas funciones de red, que se describen brevemente en las siguientes secciones y con más detalle en capítulos posteriores de este manual. Arquitectura de redes abiertas Windows NT Server es compatible con los estándares NDIS (Especificación de la interfaz del controlador de red) y TDI (Interfaz del controlador de transporte). NDIS es una interfaz estándar para comunicación entre controladores de tarjetas adaptadoras de red y protocolos de red. NDIS le permite combinar y coordinar tarjetas y protocolos de red sin que sea necesario disponer de una versión diferente del protocolo de red para cada tipo de tarjeta. Permite también utilizar varios protocolos en una misma tarjeta de red. Con Windows NT Server se suministran cuatro protocolos compatibles con el estándar NDIS: TCP/IP, Microsoft NWLink, NetBEUI y DLC (Control de vínculos de datos). La interfaz TDI se comunica entre el protocolo de red y el software de red de alto nivel (como el servidor y el redirector). TDI elimina la necesidad de que el redirector y el servidor se comuniquen directamente con los protocolos de red, o de tener información de los mismos, permitiendo de esta forma utilizar protocolos, servidores o redirectores diferentes con Windows NT Server. También es compatible con aplicaciones de RPC (Llamada a procedimientos remotos), aplicaciones de sistema de entrada/salida básico de red (NetBIOS) y aplicaciones con Windows Sockets. Instalación desde la red Es posible instalar Windows NT en estaciones de trabajo a través de la red, en lugar de utilizar disquetes o discos CD-ROM para cada estación. Este proceso es mucho más fácil ya que no necesita mover el medio de instalación de una computadora (ordenador) a otra. Seguridad incorporada Windows NT Server incorpora la seguridad en el sistema operativo. El control de acceso discrecional le permite asignar permisos a archivos individuales. El concepto de derechos de usuario le ofrece un sistema de control discrecional de las funciones básicas del sistema, como establecer la hora y cerrar la computadora (ordenador). Se incluyen, asimismo, funciones completas de auditoría. Administración centralizada de la seguridad. Windows NT Server permite crear dominios y establecer relaciones de confianza, con el fin de centralizar las cuentas de usuario de la red y otro tipo de información de seguridad, facilitando el uso y la administración de la red. Con una administración centralizada de la seguridad, sólo es necesario administrar una cuenta por cada usuario. Dicha cuenta permite al usuario acceder a todos los recursos de la red.
Registro de configuración. Windows NT Server y Windows NT Workstation mantienen una base de datos denominada Registro. Esta base de datos contiene información acerca del sistema operativo, de la computadora (ordenador) y de los usuarios que anteriormente hayan iniciado sesiones en esta computadora. Las aplicaciones que detecten la presencia de Windows NT podrán almacenar en el Registro la información de inicialización. El Registro reemplaza la necesidad de separar los archivos de configuración, como CONFIG.SYS, AUTOEXEC.BAT, LANMAN.INI, WIN.INI y PROTOCOL.INI. Sin embargo, para ser compatible con aplicaciones escritas para utilizar CONFIG.SYS y AUTOEXEC.BAT, Windows NT automáticamente mantiene y usa versiones de estos archivos que contienen solamente la información de la aplicación. Administración de las estaciones de trabajo de los usuarios. Los perfiles de usuario de Windows NT Server le permiten proporcionar mayor facilidad de uso a los usuarios y al mismo tiempo restringir sus actividades en las estaciones de trabajo. Si desea utilizar perfiles para aumentar la productividad de los usuarios, puede guardar en los servidores un perfil con la configuración y las preferencias de los usuarios, tales como las conexiones de red, los grupos de programas e incluso los colores de la pantalla. Este perfil se utilizará cada vez que el usuario inicie una sesión en cualquier computadora con Windows NT, de forma que el entorno definido por el usuario le siga de una estación de trabajo a otra. Si desea utilizar los perfiles de usuario para limitar las actividades de los usuarios, deberá agregar restricciones al perfil, como por ejemplo, impedir que el usuario cambie los grupos y los elementos de programas que usted haya definido, o inhabilitar parte de la interfaz de Windows NT cuando el usuario haya iniciado una sesión. Administración de la impresión en red Windows NT incorpora una potente interfaz del Administrador de impresión que simplifica los procedimientos de instalación y administración de las impresoras que deben realizar los administradores, y que facilita las operaciones de examen y conexión de impresoras que deben realizar los usuarios. Los usuarios de computadoras con Windows NT que se conecten a impresoras compartidas por computadoras en las que se esté ejecutando Windows NT Server no necesitarán disponer de controladores de impresora instalados en la propia estación de trabajo. Windows NT Server es plenamente compatible con impresoras que disponen de interfaz de red (como la Hewlett-Packard LaserJet IIIsi), que cuentan con una tarjeta adaptadora de red incorporada, y que se conectan directamente al cable de la red y no a un puerto serie o paralelo del servidor. Copia de seguridad en cinta Windows NT incluye una utilidad de copia de seguridad en cinta que permite hacer copias de seguridad centralizadas de los discos duros de las computadoras en red, incluyendo servidores de Microsoft LAN Manager 2.x, computadoras con Windows NT Workstation y computadoras con Windows
para Trabajo en Grupo, así como servidores en los que se esté ejecutando Windows NT Server. Monitorización del rendimiento. Windows NT Server incluye también una sofisticada aplicación que permite monitorizar el rendimiento. Puede utilizar esta herramienta para observar, representar gráficamente y registrar cientos de datos estadísticos acerca de tipos específicos de rendimiento, agrupados en categorías generales tales como tráfico entre servidores de la red, rendimiento de los discos, uso de los procesadores, y estadísticas de los servidores y las estaciones de trabajo. El Monitor de sistema le permite supervisar simultáneamente el rendimiento de un gran número de computadoras remotas, de forma que pueda controlar y comparar simultáneamente el rendimiento y el uso de un gran número de servidores. Seguimiento de la actividad de la red. Windows NT Server proporciona numerosas herramientas para realizar el seguimiento de la actividad y el uso de la red. Puede observar los servidores y examinar qué recursos están compartiendo, ver qué usuarios están conectados a un servidor de la red y observar qué archivos tienen abiertos, registrar y ver las anotaciones de auditoría de seguridad, mantener registros de error exhaustivos y especificar las alertas que se deben enviar a los administradores en caso de que se produzcan determinados sucesos. Si su red utiliza el protocolo TCP/IP, podrá emplear también la utilidad de administración SNMP, suministrada con Windows NT Server. Administración remota. Todas las funciones administrativas de la red, incluyendo la administración de servidores, la administración de seguridad, la administración de impresoras y la monitorización del rendimiento, pueden realizarse de forma remota. Es posible utilizar una computadora de la red para monitorizar las actividades de cualquier servidor en la misma. Introducción a Windows NT Server 3 de 4 Funcionamiento de Windows NT Server con otro software de red Windows NT Server está diseñado para su uso en servidores de grandes redes. Funciona de forma óptima con otros sistemas operativos de red fabricados por Microsoft. Windows NT Workstation es el sistema operativo más adecuado para los clientes que Precisen altos rendimientos de la red. Windows NT Workstation está diseñado para usuarios Avanzados, desarrolladores de software y para aplicaciones críticas; además, traslada al escritorio muchas de las funciones de seguridad de Windows NT Server. Al igual que ocurre en Windows NT Server, tanto la seguridad como las funciones de red están integradas en él sistema operativo.
Si desea disponer de funcionamiento de red pero no necesita la potencia de Windows NT, Windows para Trabajo en Grupo puede ser la solución. Windows para Trabajo en Grupo se ejecuta en computadoras bajo MS-DOS e incorpora funciones de red al conocido sistema operativo Windows 3.1. Al igual que Windows NT Workstation y Windows NT Server, Windows para Trabajo en Grupo incluye aplicaciones de correo electrónico y planificación que permiten aumentar la productividad de los grupos de trabajo. Windows NT Server también es compatible con los sistemas Microsoft LAN Manager 2.x. Las computadoras que funcionen bajo MS-DOS, Windows 3.1 y OS/2 que posean software para estaciones de trabajo LAN Manager pueden acceder a servidores en los que se ejecute Windows NT Server. Los servidores de LAN Manager 2.x (tanto en sistemas OS/2 como UNIX) pueden funcionar con servidores en los que se esté ejecutando Windows NT Server, incluso en el mismo dominio. Esta familia de productos le permitirá ampliar su red de acuerdo a sus necesidades. Su red puede ser de gran tamaño, con un gran número de servidores de Windows NT Server y cientos de estaciones de trabajo con Windows NT, o de pequeña dimensión que posea una sola computadora con Windows NT Server y varias computadoras clientes con MS-DOS. Introducción a Windows NT Server 4 de 4 Uso de este manual En este manual se explican los conceptos fundamentales de Windows NT Server. Mediante su lectura podrá comprender el funcionamiento de Windows NT Server y el modo de utilizarlo para aumentar el rendimiento de su red de área local. En este manual no encontrará instrucciones detalladas para realizar tareas. Para ver procedimientos detallados de todos los aspectos de Windows NT Server, consulte el Manual de sistema de Windows NT Server; para ver procedimientos relacionados con el servidor, consulte la Referencia rápida para operaciones de red de Windows NT Server. Capítulo 2 1 de 12 Elección de controladores y protocolos de red Cuando esté instalando Windows NT en su red, deberá elegir el tipo de controladores de tarjeta adaptadora de red y los protocolos de red que utilizará. Debido a la arquitectura abierta de Windows NT, podrá disfrutar de una gran flexibilidad a la hora de tomar esta decisión. Windows NT admite los estándares NDIS (Especificación de interfaz de controlador de red) y TDI (Interfaz de controlador de transporte). Estos estándares permiten a Windows NT comunicarse con muchos otros productos de red, y le ofrecen la posibilidad de elegir entre una amplia variedad de tarjetas adaptadoras y protocolos para la red. Windows NT incorpora además una versión de STREAMS, el entorno y la interfaz de protocolos desarrollados originariamente para funcionar sobre UNIX
System V versión 4.0. La incorporación de un entorno compatible con STREAMS significa que los protocolos desarrollados inicialmente para STREAMS bajo UNIX podrán trasladarse fácilmente a Windows NT. Antes de profundizar sobre los protocolos y controladores específicos que admite Windows NT, es conveniente comprender tanto el modelo de referencia OSI (Interconexión de sistemas abiertos) como la función que desempeñan los protocolos de transporte y los controladores de tarjetas de red. Si ya conoce el significado de estos términos, puede pasar directamente a la sección "Ventajas de NDIS", más adelante en este mismo capítulo. Elección de controladores y protocolos de red 2 de 12 Significado del modelo de referencia OSI En 1978, la Organización Internacional de Normalización (International Standards Organization [ISO]) elaboró un modelo para la interconexión de computadoras (ordenadores) en red denominado modelo de referencia para la Interconexión de sistemas abiertos (OSI). Este modelo describe el flujo de datos dentro de una red, desde las conexiones físicas hasta el nivel superior, es decir, las aplicaciones que utilizan los usuarios finales. El modelo de referencia OSI consta de siete niveles, como se muestra en la ilustración siguiente. El nivel más bajo, conocido como nivel físico, es donde los bits de datos se transfieren físicamente al cable. El nivel más alto es el de aplicación, que corresponde a la presentación de las aplicaciones a los usuarios. El nivel físico es responsable de la transferencia de bits de una computadora (ordenador) a otra. Se encarga de regular la transmisión de una secuencia de bits a través de un medio físico. Este nivel define el modo en que se conecta el cable a la tarjeta adaptadora de red y la técnica de transmisión empleada para enviar los datos a través del cable. También define la sincronización de bits y las operaciones de comprobación. El nivel de vínculos de datos empaqueta los bits sin procesar procedentes del nivel físico, agrupándolos en tramas. Una trama es un paquete lógico estructurado en el cual pueden colocarse datos. El nivel de vínculos de datos es responsable de transferir tramas de una computadora (ordenador) a otra, sin errores. Una vez que el nivel de vínculos de datos envía una trama, queda esperando una aceptación o acuse de recibo procedente de la computadora destinataria. Las tramas para las cuales no se recibe una aceptación vuelven a enviarse. El nivel de redes direcciona los mensajes y traduce las direcciones y nombres lógicos, convirtiéndolos en direcciones físicas. También determina la ruta a través de la red entre la computadora de origen y la de destino, y administra aspectos asociados al tráfico en la red como la conmutación, el encaminamiento y el control de la congestión de paquetes de datos. El nivel de transporte es responsable de detectar y resolver errores, con el fin de garantizar la fiabilidad en la entrega de los mensajes. También se encarga
de volver a empaquetar los mensajes cuando es necesario, dividiendo los mensajes de gran longitud en mensajes más cortos para su transmisión y reconstruyendo posteriormente, en el extremo receptor, el mensaje original a partir de los paquetes más pequeños. El nivel de transporte del extremo receptor se ocupa también de enviar la aceptación o acuse de recibo. El nivel de sesiones permite a dos aplicaciones situadas en distintas computadoras establecer, utilizar y terminar una sesión. Este nivel establece el control del diálogo entre las dos computadoras que participan en una sesión, regulando cuál de los dos extremos transmite, cuándo lo hace y durante cuánto tiempo. El nivel de presentación traduce los datos desde el nivel de aplicación hasta un formato intermedio. Este nivel se encarga también de cuestiones relacionadas con la seguridad, proporcionando servicios como encriptado de datos o compresión de la información, para que se transmitan menos bits a través de la red. El nivel de aplicación es el que permite a las aplicaciones de usuario final acceder a los servicios de la red. Cuando dos computadoras se comunican a través de una red, el software de cada uno de los niveles asume que se está comunicando con el nivel homólogo de la otra computadora. Por ejemplo, el nivel de transporte de una de las computadoras se comunicará con el nivel de transporte de la otra. El nivel de transporte de la primera computadora no necesita preocuparse del modo en que la comunicación atraviesa realmente los niveles inferiores de la primera computadora, recorre el medio físico y, por último, vuelve a ascender a través de los niveles inferiores de la segunda computadora. El modelo de referencia OSI es una representación idealizada de las interconexiones en red. En realidad, pocos sistemas lo cumplen de forma estricta, pero este modelo se utiliza para la discusión y comparación de redes. En el resto de este capítulo se muestra cuáles son los componentes de Windows NT que intervienen en los distintos niveles del modelo. Elección de controladores y protocolos de red 3 de 12 Función de los protocolos y controladores de tarjetas adaptadoras Una tarjeta adaptadora de red (también conocida como tarjeta de interfaz de red o NIC) es una tarjeta de hardware que se instala en una computadora para permitir su uso dentro de una red. La tarjeta adaptadora de red proporciona uno o varios puertos en los cuales se conecta físicamente el cable de la red. La tarjeta realiza la transmisión física de los datos de la computadora a la red y viceversa. Toda computadora que forme parte de una red debe tener un controlador de tarjeta adaptadora de red, es decir, un controlador de software que gobierne el funcionamiento de la tarjeta de red. Cada controlador de tarjeta adaptadora de red está configurado expresamente para funcionar con un determinado tipo de tarjeta de red.
Además del controlador de tarjeta de red y de la propia tarjeta, una computadora conectada en red debe poseer también un controlador de protocolo (también conocido como protocolo de transporte o, simplemente, protocolo). El controlador de protocolo actúa entre el software de red de un nivel superior (por ejemplo, la estación de trabajo y el servidor) y la tarjeta adaptadora de red. El protocolo empaqueta los datos que van a enviarse a la red de modo que la computadora situada en el otro extremo pueda entenderlos. El proceso de asociar un controlador de protocolo a la tarjeta adaptadora de red con la que deberá funcionar, así como el establecimiento de un canal de comunicación entre ambos, se conoce como enlace. Para que dos computadoras se comuniquen en una red, es necesario que ambas utilicen protocolos idénticos. En ocasiones una computadora puede estar configurada para utilizar varios protocolos. En tales casos, para que dos computadoras puedan comunicarse, bastará con que ambas tengan un protocolo en común. Por ejemplo, un servidor que utilice tanto NetBEUI como TCP/IP podrá comunicarse tanto con estaciones de trabajo que utilicen únicamente NetBEUI como con aquéllas que sólo usen TCP/IP. En algunas redes, el protocolo y el controlador de la tarjeta adaptadora de red de cada computadora son elementos de software independientes. En otras redes, por el contrario, un mismo elemento de software, conocido como pila de protocolos monolítica, desempeña las funciones tanto del protocolo como del controlador de la tarjeta adaptadora. La siguiente ilustración muestra el modo en que estos tipos de controladores se ajustan al modelo de referencia OSI. Windows NT admite NDIS (versión 3.0), que permite utilizar controladores de tarjetas adaptadoras y protocolos por separado. Todos los protocolos y controladores de tarjetas de red que se suministran con Windows NT Server se ajustan al estándar NDIS. Elección de controladores y protocolos de red 4 de 12 Ventajas de NDIS NDIS ofrece un conjunto de normas para la comunicación entre protocolos y controladores de tarjetas adaptadoras. Así, en cualquier estación de trabajo podrá utilizarse cualquier combinación de controladores de protocolo compatibles con NDIS junto con cualquier controlador de tarjeta adaptadora de red compatible con NDIS. (Todos los controladores de protocolos y de tarjetas adaptadoras de red que se suministran con Windows NT se ajustan al estándar NDIS). Es probable que las computadoras existentes en su red tengan distintos tipos de tarjetas adaptadoras de red, por lo que necesitará distintos controladores de tarjetas adaptadoras de red. Gracias al estándar NDIS, podrá utilizar exactamente el mismo controlador de protocolo en todas sus estaciones de trabajo, sin necesidad de disponer de una versión diferente del protocolo para cada tarjeta adaptadora de red, como sucedería si utilizase pilas de protocolos monolíticas.
Además, NDIS permite que varios protocolos utilicen una misma tarjeta de red. Normalmente, cuando se utiliza un protocolo monolítico con una tarjeta adaptadora de red, dicho protocolo monopoliza la tarjeta de red, impidiendo la utilización de otros protocolos con dicha tarjeta. Cuando una computadora incorpora varios protocolos, la computadora transmite los datos utilizando primero un protocolo, después el siguiente protocolo y así sucesivamente. Cuando instale varios protocolos en una misma computadora, designará el orden en que la computadora los utilizará. El primer protocolo de esta serie suele conocerse como protocolo principal. En una computadora con Windows NT, cada uno de los enlaces entre un protocolo y una tarjeta adaptadora de red tiene asignado un número de adaptador de red local. Por ejemplo, un protocolo unido a dos tarjetas de red necesitará dos números de adaptador de red local; dos protocolos unidos a dos tarjetas de red necesitarán cada uno de ellos cuatro números de adaptador de red local. Cuando instale Windows NT en una computadora (y cuando instale tarjetas adaptadoras de red o protocolos adicionales), Windows NT asignará automáticamente números de adaptador de red local a los enlaces entre protocolos y tarjetas adaptadoras de red. Sólo necesitará cambiar estos números de adaptador de red local si tiene alguna aplicación NetBIOS que exija la utilización de un determinado número de adaptador de red local. Si necesita instrucciones para configurar los números de adaptador de red local, consulte la sección dedicada a la opción Red del Panel de control en el Manual de sistema de Windows NT Server. Elección de controladores y protocolos de red 5 de 12 Elección de una tarjeta adaptadora de red Por lo general, cada modelo específico de tarjeta adaptadora de red compatible con Windows NT tiene asociado un controlador de tarjeta adaptadora de red. Este controlador puede ser uno de los que se incluyen con Windows NT o bien puede estar suministrado por el fabricante. Por lo tanto, más que elegir un controlador de tarjeta adaptadora de red se trata de elegir una tarjeta de red. Cuando elija una tarjeta adaptadora de red, debe asegurarse de que la tarjeta elegida admita la arquitectura de su red (por ejemplo, Ethernet o Token-Ring) y su sistema de cableado (por ejemplo, coaxial delgado o par trenzado). Además de estos factores, debe tenerse en cuenta tanto la velocidad como el costo, así como los compromisos entre ambos parámetros. En las tarjetas adaptadoras de red, la velocidad depende principalmente del ancho del bus y de la memoria que incorpore la tarjeta. El ancho del bus de una tarjeta de red es el número de contactos que se utilizan para conectar la tarjeta al bus de la computadora. Se obtendrá mayor rendimiento cuanto más se aproxime el ancho del bus de la tarjeta al ancho del bus interno de la computadora. La memoria incorporada en la propia tarjeta permite a ésta almacenar temporalmente las tramas que entran y salen por la red. Sin embargo, no siempre una tarjeta con más memoria constituye la opción óptima, ya que a partir de un cierto punto, las ventajas asociadas a la mayor cantidad de memoria disminuyen y es la velocidad máxima de otros componentes de la red lo que limita el rendimiento, impidiendo mejoras adicionales.
Algunas tarjetas incorporan también procesadores integrados (estas tarjetas suelen conocerse como tarjetas inteligentes). Sin embargo, con Windows NT las tarjetas inteligentes apenas representan una ventaja, ya que es Windows NT, con sus controladores, quien realiza la mayor parte del trabajo de procesamiento relacionado con la red. Al considerar el costo de las tarjetas de red, reserve una parte de la inversión para adquirir tarjetas de reserva con las que reemplazar a las que fallen. Asegúrese también de que el presupuesto asignado al hardware de la red contemple el cableado, los concentradores, repetidores, encaminadores y otros dispositivos, además de las tarjetas, así como el costo de la mano de obra necesaria para instalarlas. Antes de invertir en un determinado tipo de tarjeta de red, asegúrese de que exista un controlador conforme al estándar NDIS para dicha tarjeta. Además, cerciórese de que el fabricante dispone de infraestructura suficiente para atender las necesidades de su empresa. Si está tratando con un distribuidor, asegúrese de que éste posea una vía de comunicación adecuada con el fabricante de la tarjeta. Con Windows NT, una vez instalada una tarjeta de red en una computadora, la instalación del controlador correspondiente resultará muy sencilla. Basta con utilizar el programa de instalación o la opción Red del Panel de control y elegir el nombre de la tarjeta adaptadora de red entre las que aparecen en la lista. El controlador de tarjeta de red se enlazará automáticamente a todos los protocolos NDIS que se estén ejecutando en ese momento en la computadora; si posteriormente se agregan otros protocolos, también quedarán enlazados de forma automática al controlador de la tarjeta de red. Elección de controladores y protocolos de red 6 de 12 Elección de un protocolo Microsoft ofrece cuatro protocolos para utilizar con Windows NT: TCP/IP, NWLink, NetBEUI y DLC (Control de vínculo de datos). Debe elegir el modo en que se utilizará uno o varios de estos protocolos en su red. En las siguientes secciones se indican el uso, las ventajas y desventajas de cada uno de ellos. Elección de controladores y protocolos de red 7 de 12 Elección de un protocolo Funcionamiento de TCP/IP TCP/IP son las siglas en inglés de Protocolo de control de transmisión/Protocolo Internet. Fue desarrollado a finales de los años 70, como resultado de un proyecto de investigación sobre interconexión de redes realizado por la Agencia de proyectos de investigación avanzada para la defensa (DARPA) de Estados Unidos. La principal ventaja y utilidad de TCP/IP es que es un protocolo estándar y reencaminable; se trata del protocolo más completo y aceptado de todos los existentes. Permite comunicarse a través de redes interconectadas con distintos sistemas operativos y arquitecturas de hardware, como UNIX o computadoras principales, así como con Windows NT.
TCP/IP ofrece además compatibilidad con Internet, un conjunto de redes y pasarelas (gateways) interconectadas que vinculan numerosas universidades, empresas, organismos gubernamentales e instalaciones militares de todo el mundo. Además, TCP/IP es necesario para poder utilizar el sistema de administración de red SNMP (Protocolo simple para la administración de redes). SNMP puede utilizarse para monitorizar cualquier computadora con Windows NT que utilice TCP/IP como protocolo principal o como protocolo adicional. TCP/IP ofrece la interfaz de Windows Sockets 1.1, un marco multiplataforma cliente-servidor que resulta idóneo para desarrollar aplicaciones cliente-servidor que puedan funcionar con pilas de otros fabricantes que se ajusten a Windows Sockets. Las aplicaciones Windows Sockets pueden aprovechar otros protocolos de red, como Microsoft NWLink. TCP/IP de Microsoft utiliza también la interfaz de NetBIOS, comúnmente conocida como Petición para comentarios (RFC) de NetBIOS. Además, Microsoft proporciona diversas utilidades TCP/IP para su uso con TCP/IP en Windows NT. En la siguiente tabla se resumen las ventajas y desventajas de la utilización de TCP/IP. Para obtener información completa sobre TCP/IP en Windows NT, consulte el manual Windows NT Server TCP/IP. Ventajas Desventajas Es el protocolo más aceptado. No es tan rápido como NetBEUI en redes locales de pequeño tamaño. Ofrece conectividad a través de distintas plataformas de Hardware y sistemas operativos. Permite conectarse a Internet. Admite encaminamiento. Admite Windows Sockets. Admite SNMP Elección de controladores y protocolos de red 8 de 12 Elección de un protocolo Funcionamiento de NWLink Microsoft NWLink es una versión compatible con NDIS del protocolo IPX/SPX, que se utiliza en las redes de Novell NetWare. NWLink es compatible con TDI, así como con NetBIOS y con Windows Sockets, una versión para Windows NT de la interfaz Sockets desarrollada originariamente para computadoras con
UNIX. NWLink proporciona un protocolo compatible con el protocolo IPX/SPX de Novell NetWare. Para mejorar aún más la compatibilidad de Windows NT con NetWare, Windows NT también proporciona Servicio cliente para NetWare y Servicio pasarela para NetWare. Si desea más información al respecto, consulte Servicios para redes NetWare de Windows NT Server. Ventajas Desventajas Ofrece compatibilidad con Novell NetWare No es tan rápido como NetBEUI en redes locales de pequeño tamaño. Elección de controladores y protocolos de red 9 de 12 Elección de un protocolo Funcionamiento de NetBEUI NetBEUI (Interfaz extendida de usuario de NetBIOS) fue presentado por primera vez por IBM en 1985. NetBEUI es un protocolo compacto, eficiente y rápido. En 1985, cuando fue desarrollado el protocolo NetBEUI, se consideró que las redes locales estarían segmentadas en grupos de trabajo de entre 20 y 200 computadoras y que se utilizarían pasarelas (gateways) para conectar cada segmento de red local con otro segmento de red local, o con una computadora principal. NetBEUI está optimizado para obtener un rendimiento muy elevado cuando se utiliza en redes locales o segmentos de redes locales departamentales. En cuanto al tráfico cursado dentro de un segmento de red local, NetBEUI es el más rápido de los protocolos suministrados con Windows NT. La versión de NetBEUI que se entrega con Windows NT es NetBEUI 3.0. NetBEUI 3.0 corrige algunas limitaciones de versiones anteriores de NetBEUI, incluyendo las siguientes: NetBEUI 3.0, junto con el nivel TDI, elimina la limitación anterior de 254 sesiones por servidor en una misma tarjeta adaptadora de red. NetBEUI 3.0 es completamente autoajustable. NetBEUI 3.0 ofrece un rendimiento mucho mayor sobre vínculos lentos que las versiones Anteriores de NetBEUI. En sentido estricto, NetBEUI 3.0 no es realmente NetBEUI, sino más bien un protocolo con formato de trama de NetBIOS (NBF). NetBEUI utiliza la interfaz NetBIOS como su interfaz de nivel superior, mientras que NBF se ajusta al estándar de Interfaz de controlador de transporte (TDI). (Si desea obtener más
información sobre TDI, consulte la sección "Concepto de nivel adelante en este mismo capítulo). No obstante, NBF es totalmente e interoperable con el NetBEUI incluido en productos anteriores Microsoft y, en las pantallas de Windows NT, se hace referencia NetBEUI. TDI", más compatible de red de a él como Para ver un ejemplo de cómo aprovechar las ventajas de velocidad que ofrece NetBEUI dentro de un segmento de red local, sin verse limitado por sus restricciones de encaminamiento y de funcionamiento en redes de área amplia (WAN), consulte la sección siguiente, "Estrategias para el uso de NetBEUI". La siguiente tabla muestra un resumen de las ventajas y desventajas de NetBEUI: Ventajas Desventajas Concebido expresamente para la No admite encaminamiento comunicación dentro de redes locales Su rendimiento en redes de área pequeñas y, por lo tanto, muy rápido. amplia (WAN) es pobre. Buena protección frente a errores Utiliza poca memoria. Estrategias para el uso de NetBEUI Puesto que NetBEUI es muy rápido para comunicaciones dentro de redes locales de pequeño tamaño, pero su rendimiento es peor para las comunicaciones con redes de área amplia (WAN), un método recomendable para configurar una red es utilizar NetBEUI y otro protocolo, como TCP/IP, en cada una de las computadoras que necesiten acceder a otras computadoras a través de un encaminador o una red de área amplia. Si instala ambos protocolos en cada una de las computadoras y configura NetBEUI como el primer protocolo que deberá utilizarse, Windows NT empleará NetBEUI para la comunicación entre las computadoras con Windows NT situadas dentro de cada uno de los segmentos de red local, mientras que empleará TCP/IP para las comunicaciones a través de encaminadores y con otras partes de la red de área amplia. Elección de controladores y protocolos de red 10 de 12 Elección de un protocolo Funcionamiento de DLC (Control de vínculo de datos) A diferencia de NetBEUI y TCP/IP, el protocolo DLC no ha sido diseñado para servir de protocolo principal entre PC. Por el contrario, los únicos motivos por los que puede interesar utilizar DLC con Windows NT son los dos siguientes: Si necesita que las computadoras con Windows NT accedan a computadoras principales IBM. Si está configurando una impresora que se conecta directamente a un cable de red, en lugar de conectarse a través de un puerto serie o paralelo de un servidor de impresión
Si desea utilizar DLC para permitir la comunicación entre computadoras con Windows NT y computadoras principales, bastará con añadir el protocolo DLC como protocolo adicional en cada una de las computadoras que se comunican realmente con las computadoras principales. No será necesario que instale DLC en todas las computadoras de la red. Para utilizar DLC con una impresora conectada a la red, por ejemplo una Hewlett-Packard LaserJet IIIsi, sólo necesita instalar DLC en la computadora con Windows NT que actúa como servidor de impresión para dicha impresora. No es necesario que instale DLC en las computadoras que envían documentos a la impresora conectada directamente a la red. Si desea obtener más información al respecto, consulte el capítulo 6, "Uso compartido de impresoras". A diferencia de los otros protocolos de Windows NT, como NetBEUI o TCP/IP, el protocolo DLC no se encuadra dentro de los niveles de redes o de transporte del modelo de referencia OSI, sino que ofrece a los programas de alto nivel una interfaz directa con el nivel de vínculos de datos. La siguiente tabla muestra un resumen de las ventajas y desventajas de la utilización de DLC: Ventajas Desventajas Permite a las computadoras con No suele utilizarse como protocolo Windows NT ejecutar software que principal para la comunicación de PC acceda a computadoras principales. a PC. Permite a las computadoras con Windows NT actuar como servidores de impresión para impresoras conectadas directamente a la red. Elección de controladores y protocolos de red 11 de 12 Concepto de nivel TDI Para la comunicación entre los niveles de sesiones y de transporte del modelo de referencia OSI, Microsoft ha desarrollado y admite la Interfaz de controlador de transporte (TDI). En una computadora con Windows NT, los procesos servidor y redirector se comunican con los protocolos de transporte utilizando la interfaz TDI. Al igual que NDIS, TDI aumenta la versatilidad de conexión en red de Windows NT, al permitir que distintos protocolos de transporte y componentes de red de niveles superiores (como el servidor y el redirector) puedan comunicarse a través de una interfaz común. Varios protocolos diferentes que se ajusten al estándar TDI podrán cooperar con distintos componentes de niveles superiores que también admitan TDI. Cuando un redirector o un servidor realice una llamada a un transporte, se utilizará la interfaz TDI para realizar la llamada, por lo que no será necesario conocer nada acerca de los protocolos de transporte que se estén utilizando. La incorporación de TDI en Windows NT significa que otros protocolos alternativos, o incluso redirectores o servidores alternativos, que hayan sido
creados por otros fabricantes siguiendo las normas del estándar TDI, podrán funcionar con Windows NT. El uso de TDI permite a Windows NT superar las limitaciones de anteriores productos para LAN Manager 2.x. Por ejemplo, TDI no impone ningún límite en cuanto al número de estaciones de trabajo que pueden conectarse a un servidor, mientras que LAN Manager 2.x estaba limitado a 254 conexiones de estación de trabajo en cada una de las tarjetas adaptadoras de red del servidor. Aunque TDI es ahora la interfaz de comunicación entre los protocolos de transporte y elementos de software de nivel superior como el redirector o el servidor, también es compatible con NetBIOS. NetBIOS se ha incluido como controlador y DLL adicionales; permite a Windows NT conservar la compatibilidad con aplicaciones de NetBIOS y ejecutar software que requiera expresamente NetBIOS. El software NetBIOS sólo se utiliza en estos casos. Del mismo modo, se dispone de una biblioteca de Windows Sockets para aquellas aplicaciones que la necesiten. Windows Sockets es una versión para Windows NT de la interfaz Sockets desarrollada originariamente para computadoras con UNIX. Elección de controladores y protocolos de red 12 de 12 Configuración de RPC Windows NT permite utilizar aplicaciones distribuidas basadas en RPC (Llamada a procedimientos remotos). Microsoft RPC consta de un conjunto de servicios y bibliotecas de tiempo de ejecución que permiten ejecutar bajo Windows NT una aplicación distribuida. Una aplicación distribuida consta de múltiples procesos que colaboran para llevar a cabo una determinada tarea. Estos procesos pueden estar ejecutándose en una misma computadora o en varias diferentes. Microsoft RPC utiliza un proveedor de servicio de nombres para localizar y registrar los servidores de la red. Los proveedores de servicio de nombres para Microsoft RPC deben ajustarse al estándar NSI (Interfaz de servicio de nombres) de Microsoft RPC. NSI consta de un conjunto de funciones de la API (Interfaz de programación de aplicaciones) que permiten el acceso y la manipulación de una base de datos del servicio de nombres. Una base de datos de servicio de nombres es una base de datos que contiene entradas para servidores, para grupos y para perfiles. Microsoft RPC versión 1.0 interactúa con dos proveedores de servicio de nombres: Microsoft Localizador y el CDS (Servicio de directorio de celdas) del DCE (Entorno de computación distribuida). Cuando se instala Windows NT, se selecciona automáticamente Microsoft Localizador como proveedor de servicio de nombres. Microsoft Localizador es el proveedor de servicio de nombres optimizado para una red de Windows NT. Cuando un servidor registre su aplicación distribuida utilizando un proveedor de servicio de nombres, las otras computadoras que deseen trabajar con él deberán utilizar el mismo proveedor de servicio de nombres. Por ejemplo, cuando una computadora con Windows NT registre una aplicación distribuida utilizando Microsoft Localizador, todas las demás computadoras que deseen utilizar un proveedor de servicio de nombres para acceder a la información
sobre la aplicación distribuida deberán utilizar también Microsoft Localizador. Cuando un cliente de Windows NT desee trabajar con un servidor de DCE, tanto él como el servidor deberán emplear como proveedor de servicio de nombres el CDS de DCE. Si desea obtener información sobre el cambio de los proveedores de servicio de nombres, consulte el Manual de sistema de Windows NT Server. Capítulo 3 1 de 41 Funcionamiento de la seguridad en la red Windows NT Server incorpora diversos métodos de seguridad. Estos métodos proporcionan numerosas formas de controlar la actividad de los usuarios, sin impedirles por ello el acceso a los recursos que necesitan. El fundamento de la seguridad de Windows NT es que todos los recursos y acciones están protegidos por el control de acceso discrecional, que significa que es posible permitir a determinados usuarios acceder a un recurso o realizar una determinada acción, y al mismo tiempo impedírselo a otros usuarios. Además, la seguridad es muy granular. Por ejemplo, es posible establecer distintos permisos sobre diferentes archivos de un mismo directorio. Con Windows NT Server, la seguridad está integrada en el sistema operativo desde el principio, en lugar de incorporarse al mismo como un componente adicional. Esto significa que los archivos y otros recursos pueden protegerse incluso de los usuarios que trabajan en la misma computadora (ordenador) donde se encuentre el recurso, así como de los usuarios que accedan al recurso a través de la red. Windows NT Server incorpora medidas de seguridad incluso para las funciones básicas del sistema, como el propio reloj de la computadora (ordenador). Windows NT Server ofrece asimismo un modelo lógico de administración que le ayudará a administrar de un modo eficaz una red de gran tamaño. Cada usuario sólo necesita disponer de una única cuenta, que se almacena de modo centralizado. Esta única cuenta puede proporcionar al usuario el acceso a cualquier recurso de la red, independientemente del lugar donde se encuentre. De este modo, Windows NT Server facilita a los administradores de la red la administración de las cuentas y, al mismo tiempo, simplifica el uso de la red por parte de los usuarios. Funcionamiento de la seguridad en la red 2 de 41 Conceptos de dominios y relaciones de confianza La unidad básica de la administración centralizada y la seguridad en Windows NT Server es el dominio. Un dominio es un grupo de servidores que ejecutan Windows NT Server y que, en cierto modo, funcionan como un único sistema. Todos los servidores con Windows NT Server de un dominio utilizan el mismo conjunto de cuentas de usuario, por lo que sólo es necesario escribir una vez la información de una cuenta de usuario para que todos los servidores del dominio reconozcan dicha cuenta. Las relaciones de confianza son vínculos entre dominios, que permiten realizar una autenticación transparente, en virtud de la cual un usuario sólo poseerá una cuenta de usuario en un dominio pero podrá acceder a toda la red. Si se
organizan adecuadamente los dominios y relaciones de confianza de la red, todas las computadoras (ordenadores) con Windows NT reconocerán todas las cuentas de usuario, por lo que el usuario tendrá que iniciar una sesión y facilitar una contraseña sólo una vez para acceder a cualquier servidor de la red. Funcionamiento de la seguridad en la red 3 de 41 Conceptos de dominios y relaciones de confianza Dominios: unidades administrativas básicas La agrupación de computadoras (ordenadores) en dominios proporciona dos grandes ventajas a los usuarios y administradores de la red. Lo que es más importante, los servidores de un dominio constituyen una unidad administrativa única que comparte la información de seguridad y de cuentas de usuario. Cada dominio posee una base de datos que contiene las cuentas de los usuarios y grupos, y las configuraciones del plan de seguridad. Todos los servidores del dominio que funcionen como controlador principal de dominio o como controlador de reserva mantendrá una copia de esta base de datos. Ello significa que los administradores sólo necesitarán administrar una cuenta para cada usuario y que cada usuario sólo tendrá que utilizar una cuenta (y recordar una sola contraseña). Al extender la unidad administrativa desde la computadora individual hasta todo un dominio, Windows NT Server ahorra tiempo y esfuerzo tanto a los administradores como a los usuarios. La segunda ventaja de los dominios es la comodidad que brindan al usuario: cuando un usuario examine la red para buscar recursos disponibles, observará que está agrupada en dominios, en lugar de ver los servidores e impresoras de toda la red al mismo tiempo. Esta ventaja de los dominios es idéntica al concepto de grupo de trabajo que incorpora Windows para Trabajo en Grupo. Además, los dominios de Windows NT Server son compatibles con los grupos de trabajo de Windows para Trabajo en Grupo. Si desea obtener más información sobre Windows para Trabajo en Grupo, consulte la sección "Interacción con computadoras con Windows para Trabajo en Grupo", más adelante en este mismo capítulo. Nota: No debe confundirse el concepto de dominio de Windows NT Server con los dominios del protocolo de red TCP/IP. Un dominio TCP/IP describe parte de la Internet TCP/IP y no tiene nada que ver con los dominios de Windows NT Server. Funcionamiento de la seguridad en la red 4 de 41 Conceptos de dominios y relaciones de confianza Relaciones de confianza: vínculos entre dominios Estableciendo relaciones de confianza entre los dominios de la red, podrá permitir que determinadas cuentas de usuario y grupos globales puedan utilizarse en dominios distintos de aquél en el que estén situadas dichas cuentas. (Si desea obtener más información sobre los grupos globales, consulte la sección "Utilidad de los grupos", más adelante en este mismo capítulo). Ello facilita en gran medida la administración, ya que cada cuenta de
usuario tiene que crearse una sola vez para toda la red. Además, ofrece la posibilidad de acceder a cualquier computadora de la red y no únicamente a las computadoras de uno de los dominios. Cuando establezca una relación de confianza entre dominios, uno de los dominios (el dominio que confía) confiará en el otro (el dominio en el cual se confía). A partir de entonces, el dominio que confía reconocerá a todos los usuarios y cuentas de grupo globales del dominio en el cual se confía. Estas cuentas podrán utilizarse como se desee dentro del dominio que confía; podrán iniciar sesiones en estaciones de trabajo situadas en el dominio que confía, integrarse en grupos locales dentro de dicho dominio, y recibir permisos y derechos dentro de ese dominio. Las relaciones de confianza pueden ser unidireccionales o bidireccionales. Una relación de confianza bidireccional es simplemente un par de relaciones unidireccionales, en virtud del cual cada dominio confía en el otro. En la ilustración siguiente, los dominios Finanzas y Envío confían mutuamente entre sí y las cuentas de cada uno de estos dominios pueden utilizarse en el otro. Sin embargo, puesto que Producción confía en Ventas pero Ventas no confía en Producción, las cuentas de Ventas podrán utilizarse en el dominio Producción pero las cuentas de Producción no podrán emplearse en Ventas. La confianza entre dominios no es una operación transitiva. Por ejemplo, si Ventas confía en Producción y Producción confía en Finanzas, Ventas no confiará automáticamente en Finanzas. Si desea que Ventas confíe en Finanzas (para de este modo poder utilizar las cuentas de Finanzas en el dominio Ventas), deberá establecer una relación de confianza adicional directamente entre estos dominios. Funcionamiento de la seguridad en la red 5 de 41 Conceptos de dominios y relaciones de confianza Constitución de un dominio El requisito mínimo de un dominio es un servidor con Windows NT Server, que actúa como controlador principal de dominio y que almacena la copia principal de la base de datos de grupos y usuarios del dominio. Si se desea, un dominio puede incluir también otros servidores adicionales que ejecuten Windows NT Server (que actúen como controladores de reserva), computadoras con Windows NT Server que actúen como servidores estándar, servidores con LAN Manager 2.x, clientes de Windows NT Workstation y otros clientes, por ejemplo aquellos que ejecuten Windows para Trabajo en Grupo y MS-DOS. En las secciones siguientes se describen con mayor detalle cada uno de estos componentes del dominio. Controlador principal de dominio
El controlador principal de dominio de un dominio de Windows NT Server debe ser un servidor que ejecute Windows NT Server. Cualquier modificación a la base de datos de grupos y usuarios del dominio deberá realizarse en la base de datos que está almacenada en el controlador principal de dominio. Sin embargo, no es necesario recordar el nombre de la computadora del controlador principal de dominio para cada uno de los dominios. Cuando utilice el Administrador de usuarios para dominios con el fin de modificar la base de datos de usuarios, sólo necesitará seleccionar el nombre del dominio en el cual desee realizar los cambios. El cambio se realizará Automáticamente en el controlador principal de dominio. El Administrador de usuarios para dominios no permite modificar directamente la base de datos de usuarios de un servidor de dominio que no sea el controlador principal de dominio. Controladores de reserva Los controladores de reserva que ejecuten Windows NT Server almacenarán también copias de la base de datos de cuentas del dominio. La base de datos de cuentas del dominio estará duplicada en todos los controladores de reserva del dominio. Todos los controladores de reserva, además del controlador principal de dominio, podrán procesar las peticiones de inicio de sesión por parte de las cuentas de usuario del dominio. Cuando el dominio reciba una petición de inicio de sesión, el controlador principal de dominio o cualquier controlador de reserva podrá autentificar el intento de inicio de sesión. Es conveniente que en un dominio haya uno o varios controladores de reserva, además del controlador principal de dominio. Estos servidores adicionales proporcionan un mecanismo de seguridad: si el controlador principal de dominio no está disponible, un controlador de reserva podrá ser promovido al puesto de controlador principal de dominio, lo cual permitirá al dominio seguir funcionando. La existencia de varios controladores de dominio permite también distribuir la carga de trabajo relacionada con las peticiones de inicio de sesión, lo cual resulta especialmente útil en dominios con un gran número de cuentas de usuario. Si en un dominio hay varios servidores que ejecutan Windows NT Server, uno de ellos será el controlador principal de dominio. Debe configurar al menos otro servidor como controlador de reserva. Si el dominio tiene servidores situados en distintas ubicaciones físicas conectadas mediante un vínculo de red de área amplia (WAN), cada ubicación deberá tener al menos un controlador de reserva. Servidores Además de los controladores principales y de reserva de dominio, existe otro tipo de servidor que ejecuta Windows NT Server. Se trata de servidores designados como "servidores", no como controladores de dominio, durante la instalación de Windows NT. Estos servidores pueden participar en un dominio, si bien no es necesario. Un servidor que participa en un dominio no consigue realmente una copia de la base de datos de usuarios del dominio, pero tiene acceso a todas las ventajas de la base de datos de usuarios y grupos del dominio. Cuando asigne derechos
de usuario y permisos de objetos, o cuando cree grupos locales, dispondrá de cuentas de usuario del dominio en el que participa el servidor, así como de todos los dominios en los que confíe el dominio en el que participe el servidor. Estas cuentas de usuario pueden acceder al servidor y utilizar sus recursos, si usted lo permite. Un servidor que no participa en ningún dominio sólo tiene su propia base de datos de usuarios y procesa por su cuenta las peticiones de inicio de sesión. No comparte la información sobre cuentas con ninguna otra computadora y no puede utilizar cuentas de ningún otro dominio. En un servidor que funciona de esta forma, sólo las cuentas de usuario creadas en el propio servidor podrán iniciar una sesión en dicho servidor; además, sólo se les concederán derechos y permisos en ese servidor. Estos servidores tienen los mismos tipos de cuentas de usuarios y grupos que las computadoras con Windows NT Workstation, no los tipos de cuentas existentes en los dominios de Windows NT Server. Habrá veces, como en las siguientes situaciones, en las que querrá configurar una computadora como un servidor, en lugar de hacerlo como un controlador de reserva: Si el servidor realiza tareas extremadamente críticas en cuanto a tiempo y no desea que pierda tiempo en autorizar intentos de inicio de sesión en el dominio o que reciba una copia duplicada de una base de datos de usuarios del dominio. Si desea que el servidor tenga distintas cuentas de administrador o de usuarios que los restantes servidores de un dominio. Por ejemplo, podría tener una persona dedicada a administrar una base de datos SQL Server. Si convierte el servidor SQL en un servidor estándar, podrá hacer que dicha persona sea un administrador del servidor SQL. De esta forma, esa persona podrá administrar ese servidor pero no tener control sobre la base de datos de usuarios del dominio o sobre sus demás servidores. Si es posible que el servidor se mueva a otro dominio en el futuro. Es más sencillo mover un servidor de un dominio a otro que mover un controlador de reserva de un dominio a otro. Servidores con LAN Manager 2.x Los servidores con LAN Manager 2.x pueden funcionar dentro de un dominio cuyo controlador principal ejecute Windows NT Server. Sin embargo, un servidor con LAN Manager 2.x no puede ser un controlador principal dentro de un dominio que ejecuta Windows NT Server, ya que LAN Manager 2.x no incorpora todos los tipos de información que contienen las cuentas de Windows NT Server. Los servidores con LAN Manager 2.x almacenarán una copia de la base de datos de seguridad del dominio. Podrán validar los intentos de inicio de sesión que realicen computadoras con Windows para Trabajo en Grupo o software de
estación de trabajo LAN Manager 2.x, pero no podrán validar los intentos de inicio de sesión que realicen los usuarios de Windows NT. No es aconsejable recurrir únicamente a servidores con LAN Manager 2.x como servidores de reserva dentro de un dominio que ejecuta Windows NT Server, ya que no pueden autentificar las peticiones de inicio de sesión desde computadoras con Windows NT Workstation y no podrán ser promovidos a controladores principales dentro de un dominio de Windows NT Server. Si desea obtener más información sobre el empleo de servidores con LAN Manager 2.x en la red, consulte la sección "Interacciones con servidores que ejecutan otros sistemas de red", más adelante en este mismo capítulo. Computadoras con Windows NT Workstation Para cada una de las computadoras con Windows NT Workstation de la red, podrá optar entre integrar la estación de trabajo en un dominio o en un grupo de trabajo. En la mayoría de los casos, lo más conveniente será integrar cada una de las estaciones de trabajo en un dominio. Este es el único modo de que un usuario con cuenta en un dominio de Windows NT Server pueda iniciar una sesión con esa cuenta en una computadora con Windows NT Workstation. Una computadora con Windows NT Workstation que forme parte de un dominio no obtendrá en realidad una copia de la base de datos de usuarios del dominio. Sin embargo, podrá aprovechar las ventajas que ofrece la base de datos de grupos y usuarios del dominio. Para obtener más información al respecto, consulte la sección "Interacciones con computadoras con Windows NT Workstation", más adelante en este mismo capítulo. Una computadora con Windows NT Workstation perteneciente a un grupo de trabajo dispondrá de su propia base de datos de usuarios y procesará personalmente las peticiones de inicio de sesión. Ninguna de las computadoras de un grupo de trabajo comparte información sobre cuentas. En este tipo de estaciones de trabajo, sólo será posible iniciar sesiones o recibir derechos o permisos para la estación de trabajo cuando se utilicen cuentas de usuario que hayan sido creadas en la propia estación de trabajo. Si desea obtener más información sobre los dominios y grupos de trabajo, consulte la sección "Interacciones con computadoras con Windows para Trabajo en Grupo", más adelante en este mismo capítulo. Estaciones de trabajo con MS-DOS Las computadoras con MS-DOS no pueden almacenar cuentas de usuario, por lo que no es necesario que pertenezcan a dominios como sucede con las computadoras con Windows NT. Normalmente, cada computadora con MS-DOS dispondrá de un conjunto de dominios predeterminado para examinar la red. Si un usuario de una computadora con MS-DOS posee una cuenta en el dominio, podrá configurar
cualquier dominio como dominio examinador de la computadora del usuario; no es necesario que sea el dominio que contiene la cuenta del usuario.

Más contenido relacionado

PPT
Redes Locales 3
conrado perea
 
PPTX
Windows Server 2003
rossemary jazmin
 
PPTX
Luis manuel negrete olivares 6 f
ackroes
 
PPT
Introduccion A Windows Server 2003
guestde4364
 
PPTX
Presentacion 3 archivos
ackroes
 
PPT
Introduccion Windows 2003 Server
Fernando Ramirez
 
PPTX
Active
cpgssandy
 
ODT
instalación de Active directory windows 2012
YinaGarzon
 
Redes Locales 3
conrado perea
 
Windows Server 2003
rossemary jazmin
 
Luis manuel negrete olivares 6 f
ackroes
 
Introduccion A Windows Server 2003
guestde4364
 
Presentacion 3 archivos
ackroes
 
Introduccion Windows 2003 Server
Fernando Ramirez
 
Active
cpgssandy
 
instalación de Active directory windows 2012
YinaGarzon
 

La actualidad más candente (19)

PPTX
Todo Sobre El Dns
Edwin Cusco
 
PPTX
windows 2003
beto25
 
PPT
Microsoft Exchange Server 2003, Definición características y aplicación
slidesilvia
 
PPTX
Windows server 2003
Miguel Diliegros
 
PPT
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
xxhowardxx
 
PDF
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
Grupo Smartekh
 
PPTX
Windows server 2003 Requerimientos del sistema y funciones
Miguel Diliegros
 
PPTX
Active directory
Andrea Mejía
 
PPT
Windows server 2008
Alejandro Dominguez Santamaria
 
PPTX
Active directory
silitariaidelo
 
DOCX
Práctica 7
Caleb Betancourt
 
PPTX
Servidor de datos
belazam
 
PDF
Manual de instalación y administración de active directory en windows server ...
camilaml
 
PPTX
Active directory
Erii Amaya
 
PPTX
Active directory
josejosh56
 
PDF
OPENLDAP Red Hat Enterprise Linux 6.2
cyberleon95
 
PDF
Server 2008
Ivan Vargas
 
PPTX
Caracteristicas windows server 2003_oscar_cruz
oscar_rubens1703
 
PPTX
Active directory
Julio César Siesquén Mairena
 
Todo Sobre El Dns
Edwin Cusco
 
windows 2003
beto25
 
Microsoft Exchange Server 2003, Definición características y aplicación
slidesilvia
 
Windows server 2003
Miguel Diliegros
 
ESTRUCTURA DE DOMINIOS Y ACTIVE DIRECTORY EN WINDOWS 2003 SERVER
xxhowardxx
 
[WEBINAR] 10 cosas que debes saber sobre Active Directory.
Grupo Smartekh
 
Windows server 2003 Requerimientos del sistema y funciones
Miguel Diliegros
 
Active directory
Andrea Mejía
 
Windows server 2008
Alejandro Dominguez Santamaria
 
Active directory
silitariaidelo
 
Práctica 7
Caleb Betancourt
 
Servidor de datos
belazam
 
Manual de instalación y administración de active directory en windows server ...
camilaml
 
Active directory
Erii Amaya
 
Active directory
josejosh56
 
OPENLDAP Red Hat Enterprise Linux 6.2
cyberleon95
 
Server 2008
Ivan Vargas
 
Caracteristicas windows server 2003_oscar_cruz
oscar_rubens1703
 
Active directory
Julio César Siesquén Mairena
 
Publicidad

Destacado (13)

PPTX
Unidad 2-servidores-con-software-propietario
Sacro Undercrown
 
DOCX
Software libre y propietario
'Daniela Gomez
 
PPT
Proyecto de sistemas operativos 2
Hector Arauz
 
PDF
Exámen de informatica
danielalopezg
 
PPT
Ensayo 1ra unidad.
shellyrv
 
PPTX
Software propietario
sandragarrido
 
DOCX
Ensayo maquina virtual
alejandra65
 
DOC
Ensayo
Tecnologico de Estudios Superiores de Ecatepec
 
PPTX
Análisis y esquema comparativo de los principales componentes de los sistemas...
marjorieyadiragualli
 
DOCX
Software propietario
Maria Fabiola
 
PPTX
Licencia de software power point
matein999
 
PPTX
software libre y software propietario
Deily Yuliana Galindo Leon
 
DOCX
Taller de Sistemas Operativos
Jean Carlos Bedoya Arce
 
Unidad 2-servidores-con-software-propietario
Sacro Undercrown
 
Software libre y propietario
'Daniela Gomez
 
Proyecto de sistemas operativos 2
Hector Arauz
 
Exámen de informatica
danielalopezg
 
Ensayo 1ra unidad.
shellyrv
 
Software propietario
sandragarrido
 
Ensayo maquina virtual
alejandra65
 
Ensayo
Tecnologico de Estudios Superiores de Ecatepec
 
Análisis y esquema comparativo de los principales componentes de los sistemas...
marjorieyadiragualli
 
Software propietario
Maria Fabiola
 
Licencia de software power point
matein999
 
software libre y software propietario
Deily Yuliana Galindo Leon
 
Taller de Sistemas Operativos
Jean Carlos Bedoya Arce
 
Publicidad

Similar a Servidores windows (20)

PPT
5 redes locales
conrado perea
 
PPT
Redes Locales 3
conrado perea
 
PDF
Labaratorio 2 REDES2_CONFIGURACION_AD_EN_WINDOWS_2016_SERVER.pdf
NicolasFalconi2
 
PDF
Funciones win server
ELKIN JAVIER DE AVILA MANTILLA
 
DOCX
Instalacion windows server 2003
yonatan77
 
PPT
5 redes locales
conrado perea
 
PPTX
Sistema operativo windows server 2003
Masiel Quevedo
 
DOCX
Sistema operativo windows nt
Ramiro Alfonzo Gomez
 
PPTX
Administración de redes
Samir Miranda
 
PPT
Windows Server
Pedro Peraza Xicum
 
DOC
Caracteristicas
manuelit17
 
DOC
Caracteristicas
manuelit17
 
PPTX
Configuración básica antes de inicio de implementar los.pptx
jhonatanvladimir1
 
PDF
3 parcial m2m
Joorge Meendes
 
PPT
1 corte de plataforma(javier mponfellis y jesus gonzalez)
JavierMponfellis
 
DOC
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
DOC
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
DOC
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
PPTX
Características De Un Servidor De Red
Victor S Barrios
 
PPTX
Tipos de servidores
Ana María Citlali Díaz Hernández
 
5 redes locales
conrado perea
 
Redes Locales 3
conrado perea
 
Labaratorio 2 REDES2_CONFIGURACION_AD_EN_WINDOWS_2016_SERVER.pdf
NicolasFalconi2
 
Funciones win server
ELKIN JAVIER DE AVILA MANTILLA
 
Instalacion windows server 2003
yonatan77
 
5 redes locales
conrado perea
 
Sistema operativo windows server 2003
Masiel Quevedo
 
Sistema operativo windows nt
Ramiro Alfonzo Gomez
 
Administración de redes
Samir Miranda
 
Windows Server
Pedro Peraza Xicum
 
Caracteristicas
manuelit17
 
Caracteristicas
manuelit17
 
Configuración básica antes de inicio de implementar los.pptx
jhonatanvladimir1
 
3 parcial m2m
Joorge Meendes
 
1 corte de plataforma(javier mponfellis y jesus gonzalez)
JavierMponfellis
 
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
E:\Windows Server 2003
tatiana nallely hernandez vallejo
 
Características De Un Servidor De Red
Victor S Barrios
 
Tipos de servidores
Ana María Citlali Díaz Hernández
 

Más de rulo182 (18)

DOC
Introduccion electricidad
rulo182
 
DOC
Circuitos digitales
rulo182
 
DOC
Sistemas de calidad iso
rulo182
 
DOC
Diseño web visual basic 2005
rulo182
 
PDF
Precauciones al usar_internet
rulo182
 
DOC
Lenguajes de programación
rulo182
 
DOC
Introducción a los algoritmos
rulo182
 
DOC
Principios de programacion
rulo182
 
DOC
Diseño de bases de datos
rulo182
 
DOC
Administracion de proyectos
rulo182
 
PDF
Manual de instalacion de un segundo sist. operativo [19 paginas en español]
rulo182
 
DOC
Arquitectura del computador
rulo182
 
DOC
Windows NT
rulo182
 
DOC
Las computadoras portatiles
rulo182
 
DOC
Redes y telefonia
rulo182
 
DOC
Arquitectura servidores
rulo182
 
DOC
Configuraciones del hardware
rulo182
 
DOC
Bases de datos en sitios web
rulo182
 
Introduccion electricidad
rulo182
 
Circuitos digitales
rulo182
 
Sistemas de calidad iso
rulo182
 
Diseño web visual basic 2005
rulo182
 
Precauciones al usar_internet
rulo182
 
Lenguajes de programación
rulo182
 
Introducción a los algoritmos
rulo182
 
Principios de programacion
rulo182
 
Diseño de bases de datos
rulo182
 
Administracion de proyectos
rulo182
 
Manual de instalacion de un segundo sist. operativo [19 paginas en español]
rulo182
 
Arquitectura del computador
rulo182
 
Windows NT
rulo182
 
Las computadoras portatiles
rulo182
 
Redes y telefonia
rulo182
 
Arquitectura servidores
rulo182
 
Configuraciones del hardware
rulo182
 
Bases de datos en sitios web
rulo182
 

Servidores windows

  • 1. Configuración e instalación de directorio activo (Windows 2003 Server) 1. 2. 3. Dominios en Windows 2000/2003 Server Instalando active Directory Configuración de DNS Antes de proceder a la instalación de un servidor debemos tener dos conceptos claros, saber la diferencia entre redes con servidor que es la que vamos a instalar y la diferencia entre redes entre iguales. Por lo tanto encontramos estos dos tipos de LAN diferentes: -Redes con servidor: La característica principal es que en este tipo de redes tenemos al menos una equipo llamado servidordonde se van a encontrar todos los recursos a compartir, con esto me refiero tanto carpetas, como impresoras, grabadoras, lectores, etc... . A parte del servidor encontramos diferentes equipos llamados clientes o estaciones de trabajo , que solo tendrán permisos sobre los recursos locales o del servidor, importante no de las otras estaciones de trabajo. Dependiendo del tipo de sistema operativo instalado en el servidor encontramos: -Servidor dedicado: Utilizado únicamente para gestionar los recursos de la red. -Servidor no dedicado: Que además de llevar la gestión de la red también puede funcionar como estación de trabajo. -Redes entre iguales: En este tipo cada máquina puede compartir sus recursos con todas las demas máquinas, de forma que actuan como clientes y servidores a la vez, esto en windows se le denomina como un grupo de trabajo, donde cada maquina se integran en ese grupo y tiene privilegios sobre todos los recursos compartidos de las de mas maquinas. Esto es lo que se vemos en windows, ya que se puede burlar, escaneando toda la red y podemos introducirnos en los documentos compartidos de toda la red, aunque esa equipo no este dentro del grupo de trabajo, esto todo a través de netBIOS. Teniendo claro estos dos conceptos podemos proceder a la explicación de la configuración de active directory (directorio activo). DOMINIOS EN WINDOWS 2000/2003 SERVER Una basada en windows 2000/2003 server utiliza un servicio de directorio para almacenar toda la información relativa a la administración seguridad de la red. En este tipo de servidores existe el concepto de dominio, existiendo así el servicio de directorios llamado active diretory (directorio activo) donde se almacena toda la información de la red, integrando así todos los servicios de la red, como la gestión de nombres de dominio DNS así como el protocolo encargado de la asignación de direcciones dinámicas de la red, el protocolo DHCP. Este conjunto de dominio es muy idéntico al de NT, es un conjunto de servidores, estaciones y otros recursos de la red que comparten el mismo modelo de seguridad, incluyendo en windows 2000/2003 server la integración del DNS, de esta forman éstos se nombran siguiendo la misma nomeclatura,
  • 2. Las unidades organizativas, se pueden crear otros usuarios, grupos y otros recursos, así este dominio puede establecer relaciones entre ellos, formando una estructurajerárquica llamada árbol de dominio. Un ejemplo de al estructura arborescente: Un árbol de dominio es un conjunto de dominios que están conectados mediante unas relaciones de confianza por as decirlo, y así mismo, cuando varios árboles se conectan mediante relaciones, se forma un bosque. INSTALANDO ACTIVE DIRECTORY: Comenzamos instalando active directory siguiendo el patrón de instalación por defecto, a este podemos llegar desde herramientas administrativas y ejecutamos configuración del servidor o de una forma mas reducida iniciamos ejecutar e introducimos el comando Dcpromo.exe y así ejecutamos la función de instalación del controlador. Una vez accedemos a la configuración de active directory nos encontramos con el asistente: Como vemos tenemos dos opciones a señalar, el tipo de controlador de dominios: Controlador de dominio para un nuevo dominio: de esta forma instalamos active directory en el servidor y se configura como el primer controlador de dominio.
  • 3. Controlador de dominio adicional para un dominio: Si seleccionamos esta opción elimina todas las cuentas locales en el servidor y se elimina todas las claves de cifrado. Si vamos a instalar e configurar nuestro primero directorio activo, seleccionamos controlador de dominio para un nuevo dominio, así se creara un nuevo dominio y será registrado el DNS. Crear árbol o dominio secundario. En este punto es donde elegiremos el nombre de dominio, podemos elegir entre: Crear un nuevo árbol de dominios: seleccionamos este para crear un nuevo árbol de dominios y así mismo alojar el primer dominio en el árbol, esta opción es la que vamos a seleccionar para configurar por primera vez nuestro active directory.
  • 4. Microsoft Windows Server 2003 Indice 1. Funciones del Servidor 2. Fundamentos Empresariales de Microsoft Windows Server 2003 3. Ediciones microsoft windows server 2003 4. Tecnologías Básicas de Windows Server 2003 5. Mejoras funcionales 1. Funciones del Servidor Windows Server 2003 es un sistema operativo de propósitos múltiples capaz de manejar una gran gama de funciones de servidor, en base a sus necesidades, tanto de manera centralizada como distribuida. Algunas de estas funciones del servidor son: • • • • • • • • Servidor de archivos e impresión. Servidor Web y aplicaciones Web. Servidor de correo. Terminal Server. Servidor de acceso remoto/red privada virtual (VPN). Servicio de directorio, Sistema de dominio (DNS), y servidor DHCP. Servidor de transmisión de multimedia en tiempo real (Streaming). Servidor de infraestructura para aplicaciones de negocios en línea (tales como planificación de recursos de una empresa y software de administración de relaciones con el cliente). Windows Server 2003 cuenta con cuatro beneficios principales: Beneficio Descripción Seguro Windows Server 2003 es el sistema operativo de servidor más rápido y más seguro que ha existido. Windows Server 2003 ofrece fiabilidad al: • • Productivo Proporcionar una infraestructura integrada que ayuda a asegurar que su información de negocios estará segura. Proporcionar fiabilidad, disponibilidad, y escalabilidad para que usted pueda ofrecer la infraestructura de red que los usuarios solicitan. Windows Server 2003 ofrece herramientas que le permiten implementar, administrar y usar su infraestructura de red para obtener una productividad máxima. Windows Server 2003 realiza esto al: • Proporcionar herramientas flexibles que ayuden a ajustar su diseño e implementación a sus necesidades organizativas y de red.
  • 5. • • Conectado Ayudarle a administrar su red proactivamente al reforzar las políticas, tareas automatizadas y simplificación de actualizaciones. Ayudar a mantener bajos los gastos generales al permitirles a los usuarios trabajar más por su cuenta. Windows Server 2003 puede ayudarle a crear una infraestructura de soluciones de negocio para mejorar la conectividad con empleados, socios, sistemas y clientes. Windows Server 2003 realiza esto al: • • • Proporcionar un servidor Web integrado y un servidor de transmisión de multimedia en tiempo real para ayudarle a crear más rápido, fácil y seguro una Intranet dinámica y sitios de Internet. Proporcionar un servidor de aplicaciones integrado que le ayude a desarrollar, implementar y administrar servicios Web en XML más fácilmente. Brindar las herramientas que le permitan conectar servicios Web a aplicaciones internas, proveedores y socios. Mejor economía Windows Server 2003, cuando está combinado con productos Microsoft como hardware, software y servicios de los socios de negocios del canal brindan la posibilidad de ayudarle a obtener el rendimiento más alto de sus inversiones de infraestructura. Windows Server 2003 lleva a cabo esto al: • • • Proporcionar una guía preceptiva y de fácil uso para soluciones que permitan poner rápidamente la tecnología a trabajar. Ayudarle a consolidar servidores aprovechando lo último en metodologías, software y hardware para optimizar la implementación de su servidor. Bajar el coste total de propiedad (TCO) para recuperar rápido la inversión. 2. Fundamentos Empresariales de Microsoft Windows Server 2003 Más por menos. Microsoft Windows Server 2003 ofrece más rapidez, fiabilidad, escalabilidad y disponibilidad que Microsoft Windows NT Server, siendo además mucho más fácil de gestionar. Puede ser implementado y gestionado en menos tiempo, con un esfuerzo menor, complejidad reducida y un coste total de propiedad inferior. • Permite a los clientes ser más productivos. • Está construido sobre la robustez y fiabilidad de Microsoft Windows 2000 Server.
  • 6. • Es el Sistema Operativo Windows más rápido, fiable y seguro que jamás haya existido. ¿Por qué Microsoft Windows Server 2003? • Como servidor de ficheros es de un 100% a un 139% más rápido que Windows 2000 Server y un 200% más que Windows NT Server 4.0. • Como servidor de impresión, es un 135% más eficiente que Windows NT Server 4.0. • Como servidor web es de un 100% a un 165% más rápido que Windows 2000 Server. • Las características mejoradas del Directorio Activo permiten realizar tareas más fácilmente, entre las que destacan la habilidad de renombrar dominios, la posibilidad de redefinir el esquema y una replicación más eficiente. • Mayor disponibilidad a través del Windows System Resource Manager, de las actualizaciones del sistema automáticas y gracias a un servidor cuyos parámetros le confieren la máxima seguridad por defecto. • Ofrece la mejor conectividad, facilitando al máximo la configuración de enlaces entre delegaciones, acceso inalámbrico seguro y acceso remoto a aplicaciones a través de los Terminal Services, así como en su integración mejorada con dispositivos y aplicaciones. • Combinado con Visual Studio .NET 2003, se convierte en la plataforma más productiva para implementar, ejecutar y gestionar aplicaciones conectadas mediante la nueva generación de servicios Web basados en XML. En una palabra, Microsoft Windows Server 2003 es productividad: más por menos. 3. Ediciones microsoft windows server 2003 • MICROSOFT WINDOWS SERVER 2003 STANDARD EDITION. El sistema operativo servidor fiable ideal para satisfacer las necesidades diarias de empresas de todos los tamaños, proporcionando la solución óptima para compartir archivos e impresoras, conectividad segura a Internet, implementación centralizada de aplicaciones y un entorno de trabajo que conecta eficazmente a empleados, socios y clientes. Soporta hasta 4 procesadores y 4 Gb de Memoria RAM. • MICROSOFT WINDOWS SERVER 2003 ENTERPRISE EDITION. La plataforma preferida tanto por las grandes compañías como por las de tamaño medio para implementar aplicaciones de forma segura, así como servicios Web. Integrándose en infraestructuras aportando fiabilidad, mejores rendimientos y un elevado valor empresarial, se presenta tanto en 32 como en 64 bit. Soporta hasta 8 procesadores, hasta 64 Gb de memoria RAM y permite clustering de hasta 8 nodos. • MICROSOFT WINDOWS SERVER 2003 DATACENTER EDITION. Es el servidor escogido para aplicaciones críticas de negocio así como las consideradas de misión crítica, que exigen los más altos niveles de uptime, escalabilidad y fiabilidad. Sólo disponible a través del Datacenter Program de la mano de los fabricantes y proveedores de servicios líderes del mercado, se presenta en las versiones de 32 y 64 bit. y permite escalar por encima de las 8 vías o procesadores alcazando hasta 64 procesadores en paralelo.
  • 7. • MICROSOFT WINDOWS SERVER 2003 WEB EDITION. Optimizado específicamente para albergar y servir páginas web, manteniendo las funcionalidades esenciales que garantizan la fiabilidad, seguridad y facilidad de gestión características de Windows Server. Es la edición adecuada para implementar servidores web dedicados a bajo coste. 4. Tecnologías Básicas de Windows Server 2003 Windows Server 2003 contiene tecnologías básicas construidas en base a las fortalezas de Windows 2000 Server para ofrecer un sistema operativo rentable y superior. Aprenda sobre diferentes y nuevas tecnologías y características que hacen de Windows Server 2003 una plataforma de servidor ideal para organizaciones de cualquier tamaño. Conozca como este sistema operativo de servidor seguro puede hacer que su organización y sus empleados sean más productivos y estén mejor conectados. Seguro Windows Server 2003 cuenta con la fiabilidad, disponibilidad, escalabilidad y seguridad que lo hace una plataforma altamente segura. • Disponibilidad. Windows Server 2003 ofrece una disponibilidad mejorada de soporte a clustering. Los servicios de clustering han llegado a ser esenciales para las organizaciones en cuanto a implementación de negocios críticos, comercio electrónico y aplicaciones de negocios en línea, porque proporcionan mejoras significativas en disponibilidad, escalabilidad y manejabilidad. La instalación y configuración de clustering es más fácil y más robusta en Windows Server 2003, mientras que algunas características de red mejoradas en el producto ofrecen mejor recuperación de fallos y un tiempo productivo alto del sistema. La familia de Windows Server 2003 soporta clusters de servidor de hasta 8 nodos. Si uno de los nodos en un cluster no se puede usar debido a un fallo o por mantenimiento, inmediatamente otro nodo empieza a dar servicio, un proceso conocido como recuperación de fallos. Windows Server 2003 también soporta balanceo de carga de red, el cual nivela el tráfico de entrada dentro del Protocolo de Internet (IP), a través de los nodos en un cluster. • • Escalabilidad. Windows Server 2003 ofrece escalabilidad a través de "Scale-up", habilitado por multiprocesamiento simétrico (SMP) y "Scale-out", habilitado por clustering. Pruebas internas indican que, comparado con Windows 2000 Server, Windows Server 2003 da hasta un 140 por ciento de mejor desempeño en la administración de archivos y un rendimiento más significativo en varias otras características incluyendo servicio Microsoft Active Directory, servidor Web y componentes Terminal Server así como servicios de red. Windows Server 2003 abarca desde soluciones de procesador únicas hasta sistemas de 32 vías. Esto soporta procesadores tanto de 32-bits como de 64 bits. Fiabilidad. Los negocios han hecho crecer la tradicional red de área local (LAN) al combinar redes internas, externas y sitios de Internet. Como resultado de esto, el aumento de seguridad en los sistemas es ahora más crítica que antes. Como parte del compromiso de Microsoft de brindar computación segura, la compañía ha revisado intensamente la familia Windows para identificar posibles fallos y debilidades. Windows Server 2003
  • 8. • • ofrece muchas mejoras y características nuevas e importantes de seguridad incluyendo: El tiempo de ejecución. Esta función del software es un elemento clave de Windows Server 2003 que mejora la fiabilidad y ayuda a asegurar un entorno seguro. Esto reduce el número de fallos y huecos de seguridad causados por errores comunes de programación. Como resultado, hay menor vulnerabilidad de que ocurran ataques. El tiempo de ejecución de lenguaje común también verifica que estas aplicaciones puedan correr sin errores y chequea permisos de seguridad válidos, asegurando que el código realice solamente las operaciones correspondientes. Internet Information Services 6.0. Para incrementar la seguridad del servidor Web, Internet Information Services (IIS) 6.0 está configurado para una máxima seguridad - la instalación por defecto está "asegurada". Características de seguridad avanzadas en IIS 6.0 incluyen: servicios de criptografía selectiva, advanced digest authentication, y acceso configurable de control de procesos. Estas son algunas de las muchas características de seguridad en IIS 6.0 que le permiten llevar a cabo negocios con seguridad en la Web. Productivo En numerosas áreas, Windows Server 2003 tiene capacidades que pueden hacer que su organización y empleados sean más productivos, como: • • • Servicios de impresión y archivos. En el corazón de cualquier organización TI, la habilidad que se tenga de administrar eficientemente los recursos de archivo e impresión, es lo que permitirá que estos estén disponibles y seguros para los usuarios. Al aumentar las redes en tamaño con más usuarios localizados en sitios, en ubicaciones remotas, o en compañías de socios, los administradores de TI enfrentan cada vez más carga pesada. La familia Windows ofrece servicios inteligentes de manejo de archivos e impresión con una funcionalidad y rendimiento elevado, permitiéndole reducir TCO. Active Directory. Active Directory es un servicio de directorio de la familia de Windows Server 2003. Esto almacena información acerca de objetos en la red y hace que esta información sea fácil de encontrar por los administradores y usuarios - proporcionando una organización lógica y jerárquica de información en el directorio. Windows Server 2003 trae muchas mejoras para Active Directory, haciéndolo mas versátil, fiable y económico de usar. En Windows Server 2003, Active Directory ofrece una escalabilidad y rendimiento elevado. Esto también le permite mayor flexibilidad para diseñar, implementar y administrar el directorio de su organización. Servicios de Administración. Mientras que la computación se ha proliferado en ordenadores de sobremesa y dispositivos portátiles, el coste real de mantenimiento de una red distribuida de ordenadores personales ha aumentado significativamente. Reducir el mantenimiento día a día a través de la automatización, es la clave para reducir costes de operación. Windows Server 2003 contiene varias herramientas importantes de administración automatizada como Microsoft Software Update Services (SUS) y asistentes de configuración de servidor para ayudar a automatizar la implementación. La Administración de Políticas de Grupo se hace más fácil con la nueva
  • 9. • • Consola para Administración de Políticas de Grupo (GPMC), permitiendo que más organizaciones utilicen mejor el servicio Active Directory para sacar beneficio de sus poderosas características de administración. En conclusión, las herramientas de líneas de comandos permiten que los administradores realicen la mayoría de las tareas desde la consola de comandos. Administración de almacenamiento. Windows Server 2003 introduce características nuevas y mejoradas herramientas para la administración del almacenamiento, haciendo que sea más fácil y más seguro manejar y dar mantenimiento a discos y volúmenes, respaldar y recuperar datos, y conectarse a una red de almacenamiento (SANs). Terminal Services. Terminal Services, componente de Microsoft Windows Server 2003, se construye en el modo de servidor de aplicaciones en Windows 2000 Terminal Services. Terminal Services le permite enviar aplicaciones en Windows, virtualmente a cualquier dispositivo - incluyendo a aquellos que no pueden correr Windows. Conectado Windows Server 2003 incluye características y mejoras nuevas para asegurarse de que su organización y usuarios permanezcan conectados: • • • • Servicios Web XML. IIS 6.0 es un componente importante de la familia Windows. Los administradores y desarrolladores de aplicaciones Web demandan una plataforma Web rápida que sea tanto escalable como segura. Las mejoras significativas de arquitectura en IIS abarcan un modelo de procesos nuevo que en gran medida aumenta la fiabilidad, la escalabilidad y el desempeño. IIS está instalado predeterminadamente en estado seguro (Lock down). La seguridad se incrementa debido a que el administrador del sistema habilita y deshabilita funciones del sistema de acuerdo a requerimientos de la aplicación. En conclusión, el apoyo directo de edición de XML mejora la administración. Comunicaciones y redes. Las comunicaciones y redes nunca han sido tan críticas para las organizaciones que enfrentan el reto de competir en el mercado global. Los empleados necesitan conectarse a la red desde cualquier lugar y cualquier dispositivo. Socios, vendedores y otros fuera de la red necesitan interactuar eficientemente con recursos clave, y la seguridad es más importante que nunca. Las nuevas características y mejoras en redes en la familia de Windows Server 2003 incrementan la versatilidad, manejabilidad y fiabilidad de infraestructura de red. Servicios empresariales UDDI. Windows Server 2003 incluye servicios empresariales UDDI, una infraestructura dinámica y flexible para servicios Web XML. Esta solución basada en estándares le permite a las compañías llevar a cabo sus propios servicios internos UDDI para redes de uso interno y externo. Los desarrolladores pueden encontrar y reutilizar fácil y rápidamente los servicios Web disponibles dentro de la organización. Los administradores TI pueden catalogar y administrar los recursos programables de su red. Con servicios empresariales UDDI, las compañías pueden crear e implementar aplicaciones más inteligentes y seguras. Servicios de Windows Media. Windows Server 2003 incluye los servicios de medios digitales más poderosos de la industria. Estos servicios son parte de la nueva versión de la plataforma de tecnologías de Microsoft Windows Media que también incluyen un nuevo reproductor de Windows Media, un
  • 10. codificador de Windows Media, codecs de audio y video y un paquete para desarrollo de software de Windows Media. Mejor economía Microsoft diseñó Windows Server 2003 para ayudar a las compañías a darle valor añadido a sus negocios al mantener costes bajos. La alta fiabilidad de Windows Server 2003 ayuda a controlar costes al reducir fallos y tiempo de inactividad. Windows Server 2003 tiene la flexibilidad de escalar según la demanda. Las herramientas poderosas de administración y configuración en Windows Server 2003 le permiten a los negocios implementar y administrar sistemas tan fácil y eficientemente como sea posible. La compatibilidad con aplicaciones heredadas y productos de otras compañías hará que las organizaciones no pierdan su inversión de infraestructura existente. Con la familia de Windows Server 2003, las organizaciones se benefician de una plataforma poderosa y robusta que ayuda a darle a los negocios valor hoy en día y en el futuro. .NET y los Servicios Web XML Microsoft .NET está altamente integrado en la familia de Windows Server 2003. Permite un nivel sin precedentes de integración de software al usar servicios Web XML: aplicaciones discretas, con elementos básicos que se conectan entre sí - así como con otras aplicaciones más grandes - vía Internet. Al implantar en los productos la estructura de la plataforma de Microsoft, .NET brinda la posibilidad de crear, alojar, implementar y usar rápida y fiablemente soluciones seguras y conectadas a través de servicios Web XML. La plataforma Microsoft proporciona una serie de herramientas de desarrollo, aplicaciones cliente, servicios Web XML y de servidores necesarios para participar en este mundo conectado. Estos servicios Web XML proporcionan componentes reciclables construidos en base a los estándares de la industria que integran capacidades de otras aplicaciones independientemente de como las aplicaciones fueron creadas, de su plataforma o sistema operativo o de los dispositivos usados para acceder a ellos. Con servicios Web XML, los desarrolladores pueden integrar aplicaciones dentro de las empresas y a través de las fronteras de la red con socios y clientes. Este avance - abre la puerta a una colaboración federada y a relaciones de negocio a negocio y de negocio a cliente más eficiente - puede tener un impacto potencial significativo en las ganancias. Millones de otras empresas pueden usar estos componentes en varias combinaciones para producir experiencias altamente personales e inteligentes. Otros beneficios de .NET en la familia de Windows Server 2003 para los desarrolladores de aplicaciones son: • • Aprovechar sus inversiones existentes. Las aplicaciones existentes basadas en Windows continuarán corriendo en Windows Server 2003 y pueden ser fácilmente empaquetadas como servicios Web XML. Escribir menos código y usar herramientas y lenguajes de programación que conozcan. Esto es posible por estar los servicios de aplicación creados
  • 11. • en Windows Server 2003, tales como Microsoft ASP .NET, monitoreo de transacciones, mensajes en espera y acceso a datos. Usar monitoreo de procesos, reciclaje e instrumentación integrada para dar fiabilidad, disponibilidad y escalabilidad a sus aplicaciones. Todos estos beneficios están en la infraestructura básica mejorada del servidor de Windows y forman la base de .NET. 5. Mejoras funcionales • DIRECTORIO ACTIVO. Destaca la nueva capacidad de renombrar dominios, la posibilidad de redefinir el esquema, de desactivar tanto atributos como definiciones de clase en el esquema, la selección múltiple de objetos sobre los cuales realizar cambios simultáneamente, y la de establecer relaciones de confianza en bosques cruzados, evitando problemas con políticas de usuarios y grupos. El soporte de metadirectorios y del inetOrgPerson permite la integración de información de identidades procedente de múltiples directorios, bases de datos y ficheros, así como la migración de objetos de un directorio LDAP al Directorio Activo. Las mejoras en la gestión de políticas de grupo, en el interfaz del usuario a través de la Microsoft Management Console (MMC), y en la conexión con oficinas remotas. En este último aspecto se ha optimizado la sincronización y replicación tanto del Directorio Activo como del Catálogo Global entre controladores de dominio, que puede ser verificada con nuevas herramientas como Health Monitor y cuya compresión puede ser ahora desactivada para disminuir la carga en la CPU a costa de consumir mayor ancho de banda en las comunicaciones. • ADMINISTRACIÓN. A través de la Consola de Gestión de Políticas de Grupo (GPMC) se mejora y facilita la administración, integrándose aún más con los servicios del Directorio Activo, con el consiguiente ahorro de costes. Se proporcionan herramientas y servicios de implementación más potentes, entre los que cabe citar Windows Management Instrumentation (WMI), Resultant Set of Policy (RsoP), las mejoras en los servicios de IntelliMirror y la nueva tecnología de Instalación Remota (RIS), con cuya implementación los usuarios pueden disponer de sus aplicaciones y datos sin importar desde donde se conecten a la red corporativa. Se ha potenciado la gestión a través de comandos, admitiendo scripting y facilitando la administración remota. • SERVICIOS FILE & PRINT. Al mejorar la infraestructura del sistema de archivos (destacando las tecnologías DFS, EFS y el nuevo soporte de tecnologías Antivirus) ahora es más fácil utilizar, asegurar y almacenar tanto archivos como otros recursos esenciales, y acceder a la información con herramientas de indexación de contenidos más rápidas. Con el Automated System Recovery (ASR) es más sencillo recuperar el sistema, hacer copias de seguridad de los ficheros y mantener la máxima disponibilidad, sin depender de la asistencia del departamento de TI. La conectividad se ve beneficiada con las características mejoradas de compartición de documentos a lo largo de toda la organización gracias al redirector WebDAV (Web Digital Authoring & Versioning). En lo que respecta a la impresión, además de contar con soporte a más de 3.800
  • 12. periféricos, los servicios disponen de tecnología tolerante a fallos en cluster, aceptando tareas de otras plataformas como Macintosh, UNIX, Linux o Novell, así como Wireless LAN y Bluetooth. El monitor de estado aporta un mayor rendimiento y más información sobre la situación de los dispositivos, cuyas características (ubicación, color, velocidad, etc) se pueden publicar en el Directorio Activo para un mayor aprovechamiento de estos recursos. • INTERNET INFORMATION SERVICES 6.0. Totalmente rediseñado con el objetivo de mejorar la seguridad, fiabilidad y rendimiento, se instala completamente bloqueado por defecto. Basado en una nueva arquitectura, las aplicaciones web en ejecución están aisladas una de la otra, permitiéndose la monitorización y administración proactiva de aplicaciones así como cambios de configuración en línea, reduciendo el tiempo que precisan los administradores para reiniciar servicios con el fin de mantener las aplicaciones operativas. IIS 6.0 ha demostrado su compatibilidad con miles de aplicaciones de clientes e ISVs, y opcionalmente puede ser configurado para funcionar en modo de aislamiento IIS 5.0, lo que asegura la máxima compatibilidad. Además con el nuevo IIS 6.0 la replicación de configuraciones de servicio web en diferentes servidores se convierte en una tarea totalmente automatizada permitiendo a los administradores reducir el tiempo de implementación al mínimo. • CLUSTERING. Con características avanzadas de recuperación ante fallos y balanceo de carga, ofrecen la máxima disponibilidad 7x24. Integrándose en el Directorio Activo (en el que cada cluster es visto como un objeto "virtual") y con soporte tanto de 32 como de 64 bit, en Microsoft Windows Server 2003 se ha incrementado de 4 a 8 el número máximo de nodos por cluster, disponiendo así el administrador de más opciones para garantizar el servicio para las necesidades de la empresa. Del Clustering cabe destacar la mayor facilidad de configuración (con preconfiguraciones y administración remota) y de administración de sus recursos (entre ellos el gestor de Balanceo de Carga), las métricas para análisis de disponibilidad, las capacidades mejoradas en seguridad (soporte de Kerberos, EFS e integración con Seguridad IP), de almacenamiento (con funciones específicas para redes SAN) y las destinadas a la recuperación de fallos, contribuyendo todo ello al máximo uptime. • NETWORKING & COMUNICACIONES. Con ayuda de la Resultant Set of Policy se puede analizar el impacto de la implementación de políticas de red y comunicaciones, simplificando así la resolución de problemas. Mediante los servicios de Instalación Remota, las herramientas para migración de configuraciones de usuarios, el nuevo Windows Installer (con soporte de aplicaciones de 64 bit, así como de firmas digitales y CLR), los Software Update Services (SUS) para testear las actualizaciones de Windows Update antes de ser aplicadas en la organización y muchas otras nuevas características de Microsoft Windows Server 2003, se logra una mejor gestión centralizada de recursos y servicios, contribuyendo así a la reducción del TCO y el aumento de la productividad de los usuarios.
  • 13. • TERMINAL SERVICES. Permiten disponer de aplicaciones Windows e incluso de los propios escritorios Windows en prácticamente cualquier dispositivo, incluyendo aquellos que ni siquiera funcionan bajo sistemas operativos Windows. Los nuevos Terminal Services, construidos sobre la base y la experiencia de los existentes en Microsoft Windows 2000 Server, ofrecen nuevas opciones para la implementación de aplicaciones, un acceso más eficiente a los datos con conexiones de menor ancho de banda, mayor número de usuarios concurrentes, y mediante Session Directory proporciona el soporte necesario para el balanceo de carga de red (tanto el desarrollado por Microsoft como el de otras tecnologías de terceros). Además con el nuevo Terminal Server el usuario podrá ver sus unidades y dispositivos locales en sus sesiones remotas, así como recibir audio y video en diferentes calidades a su elección. La administración de sesiones se mejora permitiendo visualizar diferentes sesiones a la vez en consola por parte del administrador e interactuar con ellas aportando valor a la sesión. • STORAGE MANAGEMENT. Añade nuevas y mejoradas funcionalidades para la gestión del almacenamiento, haciendo más fácil y fiable la manipulación de discos y volúmenes, copias de seguridad y procesos de restauración, así como la conexión a redes SAN (Storage Area Networks). El IFS (Intelligent File Storage) protege los datos de los usuarios, facilita el acceso a redes complejas y proporciona una arquitectura de almacenamiento flexible. Shadow Copy Restore permite a los usuarios la recuperación de versiones previas de archivos sin interrumpir su trabajo y sin necesidad de intervención administrativa. DFS (Distributed File System) permite a los administradores asignar un único name-space, proporcionando a los usuarios un único acceso virtual a elementos agrupados de forma lógica, aunque estén almacenados en diferentes localizaciones físicas. La encriptación de datos de los usuarios (EFS, Encrypting File Systems) es ahora más sencilla e incluye la encriptación offline de carpetas y archivos, siendo particularmente beneficioso para los usuarios móviles. • WINDOWS MEDIA SERVICES. Los Windows Media Services ofrecen nuevas oportunidades de comunicación (eLearning y broadcasting, tanto comercial como corporativo), y eliminan el buffering para clientes que acceden a contenidos ricos en elementos multimedia, con lo que se puede dar soporte al doble de los usuarios actuales con Microsoft Windows 2000 Server. A esto contribuye también el Audio Acceleration, que da prioridad, a la carta, al tráfico multimedia sobre otros flujos de datos en servidores de acceso remoto, lo que proporciona un mejor rendimiento, beneficiando especialmente a las redes de baja velocidad. • .NET FRAMEWORK. El .NET Framework está formado por tres elementos principales: el runtime del lenguaje común (Common Language Runtime, CLR), un conjunto jerárquico de librerías de clases unificadas, y una versión avanzada de Páginas de Servidor Activas llamada ASP+. Integrando el entorno de desarrollo de aplicaciones .NET Framework en Microsoft Windows Server 2003, los desarrolladores ya no tendrán que escribir más código para resolver tareas de "fontanería informática", centrándose exclusivamente en crear valor en los procesos de
  • 14. negocio. Además, los nuevos Enterprise UDDI Services permiten descubrir y reutilizar fácilmente servicios web dentro de la propia organización, ejecutándose el servicio UDDI para su uso en la intranet o la extranet, beneficiando así también a los desarrolladores. • APPLICATION SERVICES. Los avances en Microsoft Windows Server 2003 proporcionan numerosos beneficios para el desarrollo de aplicaciones, lo que redunda en una significativa reducción del TCO (Coste Total de Propiedad) y en un mejor rendimiento. Entre ellos destacan una integración e interoperabilidad más simplificada (con el soporte nativo de servicios Web XML, así como de los estándares UDDI, SOAP y WSDL), mejoras en la productividad (al incluir Microsoft .NET Framework, Message Queuing, COM+ y ASP .NET), una escalabilidad y eficiencia superiores (gracias a la integración de ASP .NET en IIS 6.0, al soporte asíncrono de .NET Framework y al caché inteligente de ASP .NET), una seguridad garantizada end-to-end y a una implementación y gestión mas eficientes con los servicios Windows Installer y nuevas herramientas como Fusion, que soporta el versionado de DLLs side-by-side. Microsoft Windows Server 2003: El doble de rendimiento Windows Server 2003 Windows Server 2003 Windows Server 2003 Windows Server 2003 Web Edition Standard Edition Enterprise Edition Datacenter Edition Sí Sí, incluido Sí, incluido metadirectorio metadirectorio Sí Sí Sí Sí Sí Sí No 8 Nodos 8 Nodos Sí Sí Sí Servidor Sí Sí Sí Servicios de Sí Directorio Activo Servicios de Limitado ** Ficheros Servicio de No Impresión Clustering No Servicios de Sí Balanceo de Carga Servicios IIS Sí web dedicado a este propósito
  • 15. Servicios de No Fax Sí Sí Sí Cortafuegos No básico Sí Sí No Servidor, Servidor, Servicios de Administración Servidor, Terminal Remota Administración Administración Administración Remota Remota Remota Session Directory Límite VPN 1 1000 conexiones Session Directory Ilimitada Ilimitada Si Si concurrentes Windows System No disponible No disponible Resource Manager ** Limitado a 10 conexiones SMB para publicación web exclusivamente. Capacidades Del Sistema Windows Windows Windows Windows Server 2003 Server 2003 Server 2003 Server 2003 Web Edition Standard Enterprise Datacenter Edition Edition Edition Nº Máximo procesadores soportados de 2 Memoria máxima 2 GB 4 8 64 4 GB 32 GB (32 bit) 32 GB (32 bit) 64 GB (64 bit) 512 GB (64 bit) Requerimientos Procesador a Procesador a Procesador a Procesador a del sistema 550 Mhz, 550 Mhz, 550 Mhz, 550 Mhz, recomendados 256 MB 256 MB RAM, 256 MB RAM, 1 GB RAM, RAM, 1.5 GB de 1.5-2.0 GB de 1.5 GB de 1.5 GB de espacio en espacio en espacio en espacio en disco disco disco disco
  • 16. Comparativa Con Versiones Anteriores Windows NT Windows Server 4.0 Server 2000 Windows Server 2003 Directorio Activo No disponible Incluido Mejorado con renombrado de directorios, modo de aplicación de Directorio Activo y replicación más eficiente Políticas grupo de No disponible Incluido Mejorada con decenas de nuevas características Consola gestión Políticas grupo de No disponible No disponible de de Proporciona gestión de estaciones de trabajo basada en directorios, permitiendo cambios sobre múltiples usuarios / máquinas mediante una sola orden administrativa No disponible No disponible Mejoras significativas en la arquitectura realizadas para superar los requisitos de fiabilidad de los clientes Recuperación No disponible No disponible Automática del Sistema (ASR) ASR permite la restauración en un solo paso del sistema operativo, el estado del sistema y la configuración del hardware Servicio Volume No disponible No disponible Shadow Copy Permite a los usuarios recuperar versiones previas de archivos almacenados en unidades de red sin intervención administrativa Internet information Services 6.0 .NET Framework No disponible Está disponible Plataforma de aplicaciones integrada la descarga de completamente integrada algunos componentes * Servicios UDDI No disponible No disponible Empresariales Ayuda a las empresas a organizar y catalogar los
  • 17. servicios Web ReNo disponible No disponible autentificación wireless más rápida Asegura una experiencia de usuario sin interrupciones Gestor Recursos Sistema Windows Empleado para establecer las limitaciones de recursos asignadas a aplicaciones servidor Gestiona servidor/ configura servidor de No disponible No disponible del de tu No disponible Limitado a la Muestra tareas configuración del administrativas comunes, tu servidor listas de comprobación y ayuda relevante para realizar estas tareas Windows Server 2003: Activación del producto La familia de productos al menudeo Windows Server 2003 cuentan con la tecnología de activación de producto lo que significa que deben activar su copia de Windows Server 2003 antes de utilizarlo. Algunos servidores nuevos comprados con Windows Server 2003 pre-instalado también requieren la activación. Si su organización utiliza licencias de Windows Server 2003 por volumen como Open License, Select License, o Enterprise Agreement, entonces no es necesario activar estas licencias. Resumen de la activación del producto La Activación de Producto Microsoft es una tecnología de anti-piratería diseñada para verificar que el software es legal. La meta de la activación del producto es reducir una forma de piratería conocida como copia casual. La activación también ayuda a proteger contra la clonación de discos duros. La activación es rápida, simple, discreta, y mantiene su privacidad. Microsoft se compromete a la protección de la propiedad intelectual y la reducción en la piratería de software. Todos en la cadena económica —no sólo el fabricante— del software es herido por la piratería incluso el revendedor, el proveedor de soporte, y usted, el usuario. El software de Microsoft auténtico le asegura un software de calidad superior y libre de virus-. El software pirata no lo hace. La activación del producto trabaja verificando que la llave del producto de un programa de software no se utilice en un número mayor de computadoras al qué está especificado en la licencia. Debe utilizar la llave del producto para instalar el software y entonces se transformará en un número de ID de instalación. Mediante un asistente de activación usted proporcionará a Microsoft su número de ID de instalación mediante una transferencia segura sobre Internet o vía telefónica. Una ID de confirmación será enviada a su servidor para activar el producto.
  • 18. El número de ID de instalación incluye una encriptación del la ID del producto y un digerido del hardware. No son requeridos datos personales. El ID de confirmación es simplemente un código de desbloqueo de una instalación de Windows Server 2003 en particular.
  • 19. Análisis de los requerimientos tecnológicos para la implementación de servidores web seguros Indice 1. 2. 3. 4. 5. 6. 7. 8. Anexos Análisis y Tecnologías de Técnicas de Consideraciones Objetivos resultados seguridad protección técnicas Conclusiones Bibliografía 1. Objetivos Objetivo General Orientar sobre el mejor curso de acción para la puesta en marcha de un servidor Web que garantice la seguridad de la información. Objetivos Específicos Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web. 2. Enunciar los requerimientos del equipo necesarios para el desarrollo del Sistema Operativo seleccionado. 1. 1. Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema. 1. Proporcionar técnicas de protección que brinden soluciones óptimas a la vulnerabilidad de los servidores Web. 1. Presentar una serie de recomendaciones para el desempeño satisfactorio del sistema mencionado, así como para su correcta instalación. Justificación La extensión de la microinformática y de las redes de ámbito mundial que interconectan recursos informáticos de todo tipo, ha hecho que los peligros que sufre la información almacenada en los diversos sistemas crezcan considerablemente y se diversifiquen, y que las medidas adoptadas internamente sean insuficientes. En los últimos años no sólo la prensa especializada en informática, sino todos los medios de difusión han hecho eco del futuro de las autopistas de la información, cuyo embrión está representado por la red Internet. Que con el gran crecimiento que ha tenido permite mayores formas de ataque a la seguridad en red, incluyendo los virus, Caballos de Troya y penetración de las redes internas. A raíz de la interconexión del mundo empresarial a esta red, viaja por ella y se
  • 20. almacena información de todo tipo, que abarca desde noticias o cotilleos, documentos, normas y aplicaciones informáticas de libre distribución hasta complejas transacciones que requieren medidas de seguridad que garanticen la confidencialidad, la integridad y el origen de los datos. La escucha electrónica, que permite la obtención y posible manipulación de información privada, y los sabotajes realizados tanto por atacantes externos como internos, están causando últimamente la pérdida de grandes cantidades de dinero. Los servidores Web son designados para recibir solicitudes anónimas desde auténticos hosts en la Internet y a liberar las solicitudes de información en una manera rápida y eficiente. De tal forma, ellos proveen un portal que puede ser usado por amigos y enemigos igualmente. Por su naturaleza, son complicados programas que demandan un alto nivel de seguridad. El tipo de tecnología que mejor cumple con estas demandas se deduce a través de estudios que se realizan para la implementación de servidores Web seguros. El presente trabajo pretende contribuir a este fin. Resumen Los Servidores Web suministran páginas Web a los navegadores (como por ejemplo, Netscape Navigator, Internet Explorer de Microsoft) que lo solicitan. En términos más técnicos, los servidores Web soportan el Protocolo de Transferencia de Hypertexto conocido como HTTP (HyperText Transfer Protocol), el estándar de Internet para comunicaciones Web. Usando HTTP, un servidor Web envía páginas Web en HTML y CGI, así como otros tipos de scripts a los navegadores o browsers cuando éstos lo requieren. Cuando un usuario hace clic sobre un enlace (link) a una página Web, se envía una solicitud al servidor Web para localizar los datos nombrados por ese enlace. El servidor Web recibe esta solicitud y suministra los datos que le han sido solicitados (una página HTML, un script interactivo, una página Web generada dinámicamente desde una base de datos,...) o bien devuelve un mensaje de error. Seguridad La seguridad en redes de telecomunicaciones está fundamentada en tres elementos: • • • La Integridad.- Se refiere a que el contenido y el significado de la información no se altere al viajar por una red, no obstante el número y tipo de equipos que se encuentren involucrados; la infraestructura utilizada debe ser transparente para el usuario. La Confiabilidad.- Implica que el servicio debe estar disponible en todo momento. La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya que contribuye a impedir que personas no autorizadas lean y conozcan la información que se transmite. La verdadera seguridad de un sistema va más allá de la instalación de la actualización más reciente, la configuración de un cierto fichero, o la cuidadosa administración del acceso de los usuarios a los recursos de sistema. Es una manera de ver las diferentes amenazas que acechan su sistema y lo que se está dispuesto a hacer para evitarlas.
  • 21. Ningún sistema es totalmente seguro a menos que esté apagado (y aún así, es posible que se lo roben). Cada vez que el sistema esté encendido puede ser atacado, desde una broma inocua a un virus capaz de destruir el hardware, a la posibilidad que los datos sean borrados. Pero no todo está perdido. Con una actitud apropiada además de algunas buenas herramientas, se puede gozar de un sistema sano sin problemas de seguridad. El Dilema De Seguridad Inevitable Todo usuario de cualquier sistema operativo se enfrenta a un dilema en común al construir un paradigma de seguridad para su sistema. Por un lado, intenta evitar hacer el sistema tan seguro que nada en él funcionará correctamente. Pero por otro lado, también trata de evitar dejar el sistema tan inseguro que cualquiera podría (y lo haría seguramente) hacerle lo que se le antoje, incluido borrar el trabajo de otros o cosas peores. No existe una manera exacta para resolver este dilema. Algunos sistemas, ya sea por la naturaleza de su utilidad o la importancia de los datos que protegen, caen por un lado del dilema mientras que otros sistemas, ya sea por la amplia variedad de usuarios que los utilizan o el hecho de ser máquinas de prueba, caen por el otro lado. Enfoque Activo Contra Pasivo Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas las actividades ideadas para prevenir que se abra una brecha en el modelo de seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las actividades desempeñadas para supervisar la seguridad de su sistema basándose en ese modelo de seguridad. Seguridad De Redes Si usa su sistema en una red (como una red de área local, red de área amplia o Internet), deberá ser consciente de que su sistema estará a un nivel más alto de riesgo que si no estuviese conectado a una. Además de atentados brutales a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su sistema en una red más grande aumenta la oportunidad de que ocurra un problema de seguridad y la forma posible en que pueda ocurrir. Posibles Problemas De Seguridad: • Búsqueda entre los datos de autenticación — muchos métodos de autenticación por defecto en los sistemas operativos dependen de enviarle su información de autentificación "en abierto" donde su nombre de usuario y contraseña se le envían por medio de la red en texto común o sin encriptar. Existen herramientas a disposición para quienes tengan accesos a su red (o Internet, si obtiene acceso a su sistema mientras la usa) para "husmear" o detectar su contraseña grabando todos los datos transferidos por medio de la red y examinarlos para encontrar declaraciones de inicios de sesión comunes. Este método se puede usar para encontrar cualquier información enviada sin encriptar, hasta su contraseña de root. Es esencial que utilice herramientas (utilidades) para evitar que contraseñas y otros datos delicados se envíen sin encriptación. Si por cualquier motivo no es posible utilizar estas herramientas con su sistema, entonces asegúrese de no iniciar nunca sesiones como root a menos que no esté presente delante de la máquina.
  • 22. • Ataque frontal —ataques de denegación de servicio (DoS) y su tipo pueden dañar hasta un sistema seguro inundándolo con peticiones inapropiadas o mal formuladas que aplastarían su sistema o crearían procesos que pondrían en peligro su sistema o sus datos, además de otros sistemas que comuniquen con él. Existe una cantidad de protecciones diferentes a disposición para ayudar a detener el ataque y minimizar el daño, como los firewalls que filtran los paquetes. Sin embargo, los ataques frontales se encaran con una mirada exhaustiva a la manera en que los sistemas no fiables se comunican con sus sistemas fiables, erigiendo barreras protectoras entre los dos y desarrollando una forma de reaccionar velozmente ante cualquier evento para que la irrupción y los posibles daños sean limitados. • Aprovechándose de un bug de seguridad o de un loophole (rendija) — de vez en cuando se encuentran errores en el software que, si son explotados, podrían causar graves daños a un sistema no protegido. Por este motivo trate de ejecutar procedimientos desde el root lo menos posible. Use todas las herramientas que estén a su disposición, como actualizaciones de paquetes de Network y alertas de seguridad, para resolver problemas de seguridad tan pronto como sean descubiertos. Por último, asegúrese que su sistema no tenga programas innecesarios que inicien a la hora del arranque. Mientras menos programas se ejecuten, menos probabilidades hay que un bug o error de seguridad le afecte. El Desarrollo De Políticas De Seguridad Todo sistema, desde una máquina usada sólo por una persona a un servidor en el ámbito empresarial utilizado por miles de usuarios, debería tener políticas de seguridad. Las políticas de seguridad son un conjunto de pautas utilizadas para medir si una determinada actividad o aplicación debiese o no ser desempeñada o utilizada en un sistema, basándose en los particulares objetivos para ese sistema. Las políticas de seguridad entre sistemas diferentes pueden variar mucho, pero lo más importante es que exista una para su sistema no importa si está escrita en el manual de políticas de la empresa o simplemente se recuerda. Criptografía La Criptografía proporciona comunicaciones seguras en canales inseguros. Se divide en Sistemas de Clave Secreta, donde el emisor y el receptor utilizan la misma clave secreta; y Sistemas de Clave Pública donde cada usuario posee un par de claves una secreta y otra pública. DES (Data Encryption Standard) es el sistema de clave secreta más utilizado, desarrollado por IBM es un algoritmo de cifrado-descifrado de bloques de 64 bits basado en permutaciones, mediante una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es el más extendido de los sistemas de Clave Pública en el que la clave pública y la privada se componen de un exponente y un módulo que es producto de dos números primos grandes. Este modo de cifrado requiere de una identificación de usuario, Firma Digital. Actualmente se han desarrollado otros sistemas más eficientes como Gamal y Curvas Elípticas. ISO define los siguientes Servicios de Seguridad en las Redes: 1.Autenticación de Entidad Par; 2.Control de Acceso; 3.Confidencialidad de Datos; 4.Integridad de Datos, 5.No Repudio, con Prueba de Origen y 6. No Repudio con Prueba de Entrega.
  • 23. Requieren incorporar en el Nivel apropiado del modelo OSI Mecanismos de Seguridad: Cifrado: técnicas criptográficas que se aplican extremo a extremo o a cada enlace; Firma Digital: conjunto de datos que se añaden a una unidad de Datos para protegerlos contra la falsificación, utiliza el esquema criptográfico. Se necesita realizar una autenticación a través de un Certificado firmado por la Autoridad de Certificación válido durante un tiempo límite. Firewalls (Muros de Fuego) Estas entidades han proliferado debido a Internet. Limitan la exposición de la red privada con el mundo exterior restringiendo accesos. Pueden monitorear toda la actividad hacia la llamada red de redes de forma efectiva, además de ayudar a mantener las políticas de seguridad, ya que son puntos centrales. Cabe destacar que no protege contra malas intenciones de personas dentro de la red privada, ni resguarda conexiones que no sean controladas por él y tampoco contra virus. Virus Los virus informáticos son programas, generalmente destructivos, que se introducen en la computadora (al leer un disco o acceder a una red informática) y pueden provocar pérdida de la información (programas y datos) almacenada en el disco duro. Existen programas antivirus que los reconocen y son capaces de 'inmunizar' o eliminar el virus del ordenador. 2. Análisis y resultados Introducción Los Servidores Web son aquéllos que permiten a los clientes compartir datos, documentos y multimedia en formato Web. Aunque es parte de la tecnología Cliente-Servidor, el servidor Web aporta algunas ventajas adicionales; como acceso más simple a la información (con un simple clic). En el sentido más estricto, el término cliente/servidor describe un sistema en el que una máquina cliente solicita a una segunda máquina llamada servidor que ejecute una tarea específica. El programa cliente cumple dos funciones distintas: por un lado gestiona la comunicación con el servidor, solicita un servicio y recibe los datos enviados por aquél. Por otro, maneja la interfaz con el usuario: presenta los datos en el formato adecuado y brinda las herramientas y comandos necesarios para que el usuario pueda utilizar las prestaciones del servidor de forma sencilla. El programa servidor en cambio, básicamente sólo tiene que encargarse de transmitir la información de forma eficiente. No tiene que atender al usuario. De esta forma un mismo servidor puede atender a varios clientes al mismo tiempo. La mayoría de servidores añaden algún nivel de seguridad a sus tareas. Por ejemplo, si usted ha ido a alguna página y el navegador presenta una ventana de diálogo que pregunta su nombre de usuario y contraseña, ha encontrado una página protegida por contraseñas. El servidor deja que el dueño o el administrador del servidor mantenga una lista de nombres y contraseñas para las personas a las que se les permite ver la página, y el servidor deja que sólo esas personas quienes saben la contraseña tengan acceso.
  • 24. Los servidores más avanzados añaden seguridad para permitir una conexión encriptada entre el servidor y el navegador así la información de suma importancia como números de tarjetas de crédito pueda ser enviada por Internet. Sistemas UNIX Características • • • • • • • • • • • • • • Operativos Es un sistema operativo multiusuario, con capacidad de simular multiprocesamiento y procesamiento no interactivo Está escrito en un lenguaje de alto nivel: C Dispone de un lenguaje de control programable llamado SHELL Ofrece facilidades para la creación de programas y sistemas y el ambiente adecuado para las tareas de diseños de software Emplea manejo dinámico de memoria por intercambio o paginación Tiene capacidad de interconexión de procesos Permite comunicación entre procesos Emplea un sistema jerárquico de archivos, con facilidades de protección de archivos, cuentas y procesos Tiene facilidad para redireccionamiento de Entradas/Salidas Contiene 4 aportaciones importantes que han aumentado la viabilidad de los sistemas UNIX como base para los sistemas distribuidos: Conectores Berkely Los Streams de AT&T El sistema de archivos de red NFS El sistema de archivos remoto RFS de AT&T Seguridad Para poder identificar a las personas, UNIX realiza un proceso denominado ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos. Estos permisos le indican al sistema operativo quien puede leer, escribir o ejecutar como programa determinado archivo. UNIX reconoce tres tipos diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo"; por último, está el "resto" que no son ni propietarios ni pertenecen al grupo, denominados "otros". Una computadora UNIX ofrece generalmente una serie de servicios a la red, mediante programas que se ejecutan continuamente llamados daemon (demonio). Por supuesto, para usar estos programas hay que tener primero permiso para usar tal puerto o protocolo, y luego acceso a la máquina remota, es decir, hay que ''autentificarse'', o identificarse como un usuario autorizado de la máquina. Algunos de estos programas son telnet, rlogin, rsh, ftp, etc. Microsoft Windows Características de Windows NT Server • • • • NT Soporta Sistemas Intel y los basados en RISC. Incorpora un NOS (Sistema Operativo de Red) de 32 bits. Ofrece una solución de red punto a punto. Requiere un mínimo de 16MB en RAM, por lo que es más caro de instalar que la mayor parte de los NOS.
  • 25. • • • • • • • • • • • • • • • Soporta multitarea simétrica. Puede usar hasta 4 procesadores concurrentes. Además de ser multitarea, el Windows NT Server también es de lectura múltiple o multilectura. Soporta administración centralizada y control de cuenta de usuarios individuales. Las multitareas, priorizadas permiten que se ejecute simultáneamente varias aplicaciones. Las operaciones de red adquieren prioridad sobre otros procesos menos críticos. Incluye extensos servicios para Mac. Una computadora Mac puede acceder a Windows NT Server, como si accesara al servidor Appleshare. Los archivos se traducen automáticamente de un formato a otro. Los usuarios de PC y Mac tienen acceso a las mismas impresoras. Incluso una Mac puede imprimir trabajos Postscript en una impresora PC que no sea Postscript. Windows NT Server soporta integración con otras redes (Con Software adicional), que incluyen: NetWare, VINES, Lan Manager OS/2, UNIX, VMS y redes SNA. Es tolerante a fallas. Posee el reflejado a sistema espejo y separación de discos. Proporciona utilerías para administración y control fácil de usar. Proporciona acceso remoto por marcación telefónica. Seguridad Windows NT ofrece gran seguridad por medio del acceso por cuentas y contraseñas. Es decir un usuario debe tener su cuenta asignada y una contraseña para poder tener acceso al sistema. Contiene protecciones para directorios, archivos, y periféricos, es decir que todo esto se encuentra con una contraseña para poder ser utilizados. CONCEPTO DE DERECHOS.- Permite a un grupo de usuarios efectuar determinadas operaciones. CUENTA ADMINISTRADOR.- Controla todos los permisos y con ellas se puede: • • • Dar de alta Asignar cuentas Cancelar derechos Novell Netware Características de NetWare • • • • • • Multitarea Multiusuario No requiere demasiada memoria RAM, y por poca que tenga el sistema no se ve limitado por ej. Netware 4.0 (Requiere 6 Mb de RAM) Brinda soporte y apoyo a la MAC Apoyo para archivos de DOS y MAC en el servidor El usuario puede limitar la cantidad de espacio en el disco duro
  • 26. • • • • • • • • Permite detectar y bloquear intrusos Soporta múltiples protocolos Soporta acceso remoto Permite instalación y actualización remota Muestra estadísticas generales del uso del sistema Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios Permite realizar auditorías de acceso a archivos, conexión y desconexión, encendido y apagado del sistema, etc. Soporta diferentes arquitecturas Desventajas de NetWare • • • • • • • No cuenta con listas de control de acceso (ACLs) administradas en base a cada archivo. Algunas versiones no permiten criptografía de llave pública ni privada. No carga automáticamente algunos manejadores en las estaciones de trabajo. No ofrece mucha seguridad en sesiones remotas. No permite el uso de múltiples procesadores. No permite el uso de servidores no dedicados. Para su instalación se requiere un poco de experiencia. Seguridad del Sistema. Aunque los fabricantes que se dedican exclusivamente a los sistemas de seguridad de redes pueden ofrecer sistemas más elaborados, NetWare de Novell ofrece los sistemas de seguridad integrados más importantes del mercado. NetWare proporciona seguridad de servidores de archivos en cuatro formas diferentes: 1.Procedimiento de registro de entrada 2.Derechos encomendados 3.Derechos de directorio 4.- Atributos de archivo Linux Características • • • Es un clon del sistema operativo UNIX por tanto es Multitarea y Multiusuario Se puede correr la mayoría del software popular para UNIX, incluyendo el Sistema X-Window Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene la capacidad de comunicarse con sistemas distintos a él. Ventajas de Linux • • • • • Precio. Es una implementación de UNIX sin costo Estabilidad Libre de virus, es muy difícil que sea infectado por virus Seguridad, es mucho más seguro que otros servidores Compatibilidad, reconoce la mayoría de los otros sistemas operativos en una red
  • 27. • • • • • • • • Velocidad, es mucho más veloz para realizar las tareas Posee el apoyo de miles de programadores a nivel mundial El paquete incluye el código fuente, lo que permite modificarlo de acuerdo a las necesidades del usuario Se puede usar en casi cualquier computadora, desde una 386 Puede manejar múltiples procesadores. Incluso hasta 16 procesadores Maneja discos duros de hasta 16 TeraBytes Soporta acceso remoto Soporte nativo de TCP/IP (Fácil conexión a Internet y otras redes) Desventajas de Linux • • Carencia de soporte técnico. Inconvenientes de hardware, no soporta todas las plataformas, y no es compatible con algunas marcas específicas. Sistem Multi- Multia Conectivi Confiabili Estabili Escalabili POSI Propieta usuari platafor Operati dad dad dad dad X rio o ma vo UNIX Excelente Muy Alta Windo Muy ws NT Buena Excelen Muy Alta Si te Si Si Múltiple Si Regular Media Inseg Limita Parcial Si uro da Netwar Excelente Alta e Excelen Alta te Si Linux Excelen Muy Alta Si te Baja Excelente Muy Alta Si No Si Si Múltiple Si No Tabla No.1 Comparación de las Características Generales de los Sistemas Operativos Sistema Operativo UNIX Mac OS X Server 10.2 Propietario Apple Precio US $499.00 (10 usuarios) US $999.00 (sin limite de usuarios) Windows 2000 Advanced Microsoft Server US $809 (5 US $1,129 (10 Usuarios) Netware 6.0 US $1,395 (5 usuarios) Novell usuarios)
  • 28. US $47,995 (1000 usuarios) Linux Red Hat 8.0 Gratis o sobre US $49.95 para una distribución en CD-ROM Tabla No.2 Precio de Algunas Versiones de los Sistemas Operativos Sistema Operativo Seguridad UNIX Realiza un proceso denominado ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos. Hay que ''autentificarse'', o identificarse como un usuario autorizado de la máquina. UNIX reconoce tres tipos diferentes de individuos: primero, el propietario del archivo; segundo, el "grupo"; por último, el "resto" que no son ni propietarios ni pertenecen al grupo, denominados "otros". El usuario debe tener su cuenta asignada y una contraseña para poder tener acceso al sistema. El sistema está protegido del acceso ilegal a las aplicaciones en las diferentes configuraciones. Windows NT Ofrece la detección de intrusos. Permite cambiar periódicamente las contraseñas. No permite criptografía de llave pública ni privada. Netware Linux Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos de usuarios. Permite detectar y bloquear intrusos. Algunas versiones no permiten criptografía de llave pública ni privada. Presenta las mismas características que UNIX lo que lo hace mucho más seguro que otros servidores. Tabla No.3 Comparación de la Seguridad de los Sistemas Operativos LINUX RED HAT 8.0 Red Hat puso en el mercado la versión 8.0 de su sistema operativo de fuente abierta que ofrece un interfaz gráfico más agradable. El nuevo interfaz de Bluecurve, basado en Gnome 2,0, ofrece temas, barras, menús y muchas más nuevas opciones gráficas. La nueva versión también contiene un buen número de aplicaciones actualizadas incluyendo la suite de fuente abierta para la oficina, Open Office, así como el cliente de E-mail Evolution, y el browser Mozilla 1.0.1. También se incluye una suite de herramientas de configuración para configurar diversos servicios del sistema incluyendo los servidores de Apache, samba, ajustes de la red, firewall, y los periféricos. La compañía también ha incluido versiones mejoradas de su compilador de C y del kernel del sistema operativo.
  • 29. Herramientas Básicas De Seguridad En Red Hat Módulos de Autentificación Conectables (PAM) Los programas que ofrecen privilegios a los usuarios deben autentificar (verificar la identidad de) adecuadamente cada usuario. Al iniciar una sesión en un sistema, el usuario proporciona su nombre de usuario y contraseña y el procedimiento de inicio de sesión usa el nombre de usuario y la contraseña para autentificar el inicio de sesión para verificar que el usuario es quien dice ser. Son posibles otras formas de autentificación además de las contraseñas. Los Pluggable Authentication Modules (PAM) son una manera de permitir que el administrador de sistema establezca una política de autentificación sin tener que recompilar programas de autentificación. Las ventajas de PAM Cuando se usa correctamente, PAM provee muchas ventajas para un administrador de sistema, como las siguientes: • • • • Un esquema de autentificación común que se puede usar con una gran variedad de aplicaciones. PAM puede ser ejecutado con varias aplicaciones sin tener que recompilar las aplicaciones para soportar PAM específicamente. Gran flexibilidad y control sobre la autentificación para el administrador y para el desarrollador de aplicaciones. Los desarrolladores de aplicaciones no necesitan desarrollar su programa para usar un determinado esquema de autentificación. En su lugar, pueden concentrarse puramente en los detalles de su programa. Kerberos Kerberos era el perro de tres cabezas de la mitología griega que por ser quien cuidaba las puertas del infierno, representa seguridad. Kerberos Es un servicio de autenticación desarrollado en MIT (Massachusetts Institute of Technology) en colaboración con IBM y con Digital Equipment Corporation y diseñado por Miller y Neuman en el contexto del Proyecto Athena en 1987. Esta basado en el protocolo de distribución de claves presentado por Needham y Schroeder en 1978. El objetivos principal de Kerberos es el de proporcionar un sistema de autenticación entre clientes y servidores que evite que las passwords de los usuarios viajen continuamente por la red. El sistema se basa en una serie de intercambios cifrados, denominados "tickets" o vales, que permiten controlar el acceso desde las estaciones de trabajo a los servidores. Kerberos proporciona, asimismo, una serie de verificaciones criptográficas para garantizar que los datos transferidos entre estaciones y servidores no estén corrompidos, bien por accidente o bien por ataques intencionados.
  • 30. Fig.1 Funcionamiento de Kerberos ¿Por qué no se usa en todas las redes? Kerberos elimina una amenaza de seguridad común pero debido a que se deben configurar y sincronizar algunos parámetros puede ser difícil de implementar. Tripwire El software Tripwire puede ayudar a asegurar la integridad de ficheros y directorios de sistema esenciales identificando todos los cambios hechos a ellos. Las opciones de configuración de Tripwire incluyen la capacidad de recibir alertas por medio de correo electrónico si hay ficheros específicos que han sido modificados y el control de integridad automatizado a través de un trabajo cron. El uso de Tripwire para detectar intrusiones y fijar daños le ayuda a mantenerlo al tanto de los cambios del sistema y puede agilizar el restablecimiento de una entrada forzada reduciendo el número de ficheros que hay que restablecer para reparar el sistema. Compara los ficheros y directorios con una base de datos de la ubicación de los ficheros, las fechas en que han sido modificados y otros datos. Tripwire genera la base tomando una instantánea de ficheros y directorios específicos en estado conocido como seguro. (Para máxima seguridad, Tripwire debería ser instalado y la base debería ser creada antes que el sistema sea expuesto al riesgo de intrusión.) Después de haber creado la base de datos de base, Tripwire compara el sistema actual con la base y proporciona información sobre cualquier modificación, añadidura, o supresión. SSH SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos sistemas. Usando SSH, la máquina del cliente inicia una conexión con una máquina de servidor. SSH proporciona los siguientes tipos de protección: • • • • Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones ulteriores. El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado. Todos los datos enviados y recibidos durante la conexión se transfieren por medio de encriptación fuerte, lo cual los hacen extremamente difícil de descifrar y leer. El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el indicador de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura (llamada reenvío por X11).
  • 31. El servidor también obtiene beneficios por parte de SSH, especialmente si desempeña una cierta cantidad de servicios. Si usa el reenvío por puerto, los protocolos que en otros casos serían considerados inseguros (POP, por ejemplo) se pueden cifrar para garantizar comunicación segura con máquinas remotas. SSH hace relativamente sencilla la tarea de cifrar tipos diferentes de comunicación que normalmente se envía en modo inseguro a través de redes públicas. Uso de Apache como servidor Web Seguro (https) La combinación del servidor Apache World Wide Web (WWW o Web) con el módulo de seguridad mod_ssl y con las librerías y el kit de herramientas OpenSSL proporcionados por Red Hat Linux, es lo que se conoce como secure Web server o simplemente como servidor seguro. El servidor Web Apache está diseñado de forma modular; consiste en muchas porciones de código que hacen referencia a diferentes aspectos o funcionalidades del servidor Web. Esta modularidad es intencionada, con lo cual, cada desarrollador puede escribir su propia porción de código para cubrir una necesidad en particular. Su código, llamado módulo, puede ser integrado en el servidor Web Apache con relativa facilidad. El módulo mod_ssl es un módulo de seguridad para el Servidor Web Apache. El módulo mod_ssl usa las herramientas suministradas por el OpenSSL Project para añadir una característica muy importante al Apache, la posibilidad de encriptar las comunicaciones. A diferencia de las comunicaciones entre un navegador y un servidor web usando HTTP "normal", en la que se envía el texto íntegro, pudiendo ser interceptado y leído a lo largo del camino entre servidor y navegador. El OpenSSL Project incluye un kit de herramientas que implementa los protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), así como una librería de codificación de propósito general. El protocolo SSL se usa actualmente para la transmisión de datos segura sobre Internet; El protocolo TLS es un estándar de Internet para comunicaciones privadas (seguras) y fiables a través de Internet. Las herramientas OpenSSL son usadas por el módulo mod_ssl para aportar seguridad en las comunicaciones Web. Requerimientos Mínimos De Instalación • • • • • Procesador: Pentium-class RAM: 32MB para modo texto; 128MB para modo gráfico Disco Duro: 650MB de espacio Monitor: SVGA (1024x768) para ambiente gráfico CD –ROM: 12x o superior que soporte auto inicialización Requerimientos Recomendados • • • • Procesador: Pentium-class 200 MHz o superior RAM: 192MB para modo gráfico Disco Duro: 2.5GB de espacio; 4.5GB para instalación completa Monitor: SVGA (1028x1024) para ambiente gráfico
  • 32. • CD –ROM: 32x con auto inicialización 3. Tecnologías de seguridad Firewalls ¿Qué es un firewall? "Un firewall es un sistema o grupo de sistemas que establece una política de control de acceso entre dos redes". Tienen las siguientes propiedades: • • • Todo el tráfico de adentro hacia afuera, y viceversa debe pasar a través de él. Sólo el tráfico autorizado, definido por la política de seguridad es autorizado para pasar por él. El sistema es realmente resistente a la penetración. Tráfico en Internet Cuando nos referimos a que todo el tráfico de adentro hacia afuera y viceversa, debe pasar por un firewall, esto es respecto al protocolo TCP/IP. Para controlar el tráfico de TCP/IP se debe tener una clara idea de cómo funciona el protocolo. Un Protocolo es una descripción formal de cómo serán intercambiados los mensajes y las reglas que deben seguir dos o más sistemas para transferirlos de tal forma que ambos puedan entenderse. TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados paquetes, y le da a cada uno un número. Estos paquetes pueden representar texto, gráficas, sonido o vídeo; o cualquier elemento que la red pueda transmitir. La secuencia de números ayuda a asegurar que los paquetes puedan ser re ensamblados una vez recibidos. Entonces cada paquete consiste en contenido, o datos, y la información que el protocolo necesita para hacerlo funcionar, llamado protocolo encabezado. Software SPX Es la arquitectura de seguridad desarrollada por Digital E. C. y propuesta para su elección como estándar dentro de la iniciativa DCE del llamado "Grupo de Gibraltar". Usa claves asimétricas RSA certificadas según la norma X.509 combinadas con el uso de DES como algoritmo de cifrado con claves de sesión. Al igual que Kerberos dispone de un centro de autenticación ante el que se identifican los usuarios (LEAF: Login Enrollment Agent Facility). El otro componente básico es un Centro de Distribución de Certificados (CDC) que gestiona un repositorio con los certificados de las claves públicas de clientes y servidores. El proceso de autenticación se basa en el uso inicial de una clave privada RSA por parte del usuario que se autentica, esta clave se sustituye por una clave temporal llamada clave de delegación disminuyendo la exposición de la clave privada del usuario. El uso de una jerarquía de certificados de clave pública permite solucionar los problemas de escalabilidad que presenta Kerberos.
  • 33. IPSec Es una extensión del protocolo IP. Proporciona servicios criptográficos de seguridad basados en estándares definidos por el IETF como control de acceso, integridad, autenticación del origen de los datos, confidencialidad. Proporciona encriptación y autenticación a nivel de red. Es transparente al usuario ya que no se tienen que modificar los sistemas finales. Los paquetes tienen la misma apariencia que un paquete IP corriente. Combina distintas tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash, certificados digitales, entre otros. Utiliza los Protocolos de seguridad: • • • AH (Authentication Header): Integridad y autenticación de origen (HMAC, MD5, SHA–1) ESP (Encapsulating Security Payload): Confidencialidad (DES, 3DES, RC5, IDEA) AH y ESP proporcionan control de acceso. Pueden ser aplicados solos o en combinación para proporcionar la seguridad deseada Dentro de Gestión de claves: • IKE (Internet Key Exchange): Establece la comunicación segura (Security Association y clave DH) Modos de funcionamiento • • Modo transporte: es el host el que genera los paquetes. Solo se encriptan los datos, la cabecera intacta añade pocos bytes. Permite ver las direcciones de origen y de destino. Modo túnel: uno de los extremos de la comunicación es un gateway. El paquete IP se encripta entero, para el sistema final el paquete es transparente Firewalls internos Alguien fuera de la empresa podría solicitar cierta información, pero no necesariamente necesita accesar a toda la información interna. En estas circunstancias, los firewalls juegan un papel importante forzando políticas de control de acceso entre redes confiables protegidas y redes que no son confiables. En una WAN que debe ofrecer conexión de cualquier persona a cualquiera, otras formas en el nivel de aplicación pueden ser implementadas para proteger datos importantes. Sin embargo, separar las redes por medio de firewalls reduce significativamente los riesgos del ataque de un hacker desde adentro, esto es acceso no autorizado por usuarios autorizados. Agregando encriptación a los servicios del firewall lo convierte en una conexión firewall a firewall muy segura. Esto siempre permite redes grandes interconectadas por medio de internet. Agregando autenticación se puede aumentar el nivel de seguridad. Por ejemplo un vendedor que necesite ver la base de datos del inventario, tendrá que comprobar que es él. Servidores proxy Un servidor proxy (algunas veces se hace referencia a él con el nombre de
  • 34. "gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es una aplicación que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutos de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logins auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente). Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genérico que puede ser compilado en una aplicación cliente para hacerla trabajar a través de un Firewall. Hardware Routers de Selección Muchos routers comerciales proporcionan la capacidad de seleccionar paquetes con base a criterios como el tipo de protocolo, los campos de dirección de origen y dirección de destino para un tipo particular de protocolo y los campos de control que son parte del protocolo. A esos routers se les llama routers de selección. Estos pueden proporcionar un mecanismo poderoso para controlar el tipo de tráfico de red que puede existir en cualquier segmento de una red. Al controlar ese tipo de tráfico, los routers de selección pueden controlar el tipo de servicios que pueden existir en un segmento de red. Por lo tanto, pueden restringirse servicios que pueden poner en peligro la seguridad de la red. Los routers de selección pueden discriminar entre el tráfico de red con base en el tipo de protocolo y en los valores de los campos del protocolo en el paquete. A la capacidad del router para discriminar entre paquetes y restringirlos en sus puertos con base en criterios específicos de protocolo se le denomina filtración de paquetes. Por esta razón, los routers de selección son llamados también routers de filtración de paquetes. Fabricantes de routers como Cisco, Wellfleet, 3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que pueden programarse para desarrollar funciones de filtración de paquetes. La filtración de paquetes se hace para restringir el tráfico de red para los servicios que habrán de rechazarse. Routers como Firewalls El Router es un tipo especial de switch el cual realiza el trabajo de hacer las conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN. Los paquetes de datos transmitidos hacia internet, desde un visualizador de una PC, pasarán a través de numerosos ruteadores a lo largo del camino, cada uno de los cuales toman la decisión de hacia donde dirigir el trabajo. Los ruteadores toman sus decisiones basándose en tablas de datos y reglas, por medio de filtros, así que, por ejemplo, sólo datos de una cierta dirección pueden pasar a través del ruteador, esto transforma un ruteador que puede filtrar paquetes en un dispositivo de control de acceso o firewall. Si el ruteador puede generar un registro de accesos esto lo convierte en un valioso dispositivo de seguridad.
  • 35. Si el servidor de internet solicita información, o bien la suministra hacia sistemas de bases de datos distribuidas, entonces esta conexión entre el servidor y la estación de trabajo debería ser protegida. Firewalls con Encriptación Algunos firewalls proveen servicios de seguridad adicionales. Como encriptación y desencriptación, ambas deben usar sistemas compatibles de encriptación. Existen varios fabricantes que ofrecen dichos sistemas. Encriptación de firewall a firewall es la forma que se usa en el Internet de hoy. Verificar la autenticidad del usuario así como el sistema que esté usando también es importante, y los firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros métodos. Las firewalls, pueden incluso proteger otras redes exteriores. Una compañía puede aplicar las mismas restricciones de tráfico, mejorado con autenticación. 4. Técnicas de protección Aplicación Gateway Para contar algunas de las debilidades asociadas con el ruteador de filtrado de paquetes, los desarrolladores han creado aplicaciones de software que adelantan y filtran conexiones para servicios tal como telnet y ftp. Las aplicaciones referidas son servidores proxy, también conocido como aplicación gateway. Las máquinas host corriendo los servidores proxy se conocen como firewalls de aplicación gateway. Trabajando junto, firewalls de aplicación gateway y el ruteador de filtrado de paquetes pueden potencialmente dar más altos niveles de seguridad y flexibilidad que una sola. Por ejemplo, considera un sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un host solamente. Un usuario quien desea conectarse a través del sistema debe tener que conectar primero a la aplicación gateway, y entonces al host de destino. Los firewalls de aplicación gateway únicamente permiten esos servicios para cuales hay un proxy. En otras palabras, si un gateway de aplicación contiene proxy para ftp y telnet, entonces solo ftp y telnet puede permitirse en la subred protegida y todos los otros servicios son completamente bloqueados. Para algunos sitios, este grado de seguridad es importante, como garantiza que sólo los servicios considerados confiables se permiten mediante el firewall. Esto también previene que otros servicios intrusos estén siendo implementados a espaldas de los administradores del firewall. Las aplicaciones gateway ofrecen un número de ventajas generales sobre el modo default de permitir que la aplicación trafique directamente para hosts internos. Estas ventajas incluyen: • • Ocultamiento de la información. Los nombres de sistemas internos no necesariamente necesitan ser conocidos por medio del DNS para los sistemas externos, desde la aplicación gateway puede ser el host el único cuyo nombre debe hacerse conocido afuera de los sistemas. Robusta autenticación y registro. La gateway puede autentificar el tráfico de la aplicación antes que este llegue a los hosts internos. El tránsito puede entonces ser registrado más efectivamente que con el registro estándar del host.
  • 36. • • Costo - eficacia. La tercera parte de software o hardware para la autenticación o registro necesario puede ser ubicada sólo en la aplicación gateway. Menos complejas las reglas de filtrado. Las reglas en el ruteador de filtrado de paquetes serán menos complejas que aquellas que serían si el ruteador necesitara el filtrar el tráfico de la aplicación y dirigir éste a un número de sistemas específicos. El ruteador necesita solo permitir tráfico destinado para la aplicación gateway y rechaza el resto. El Monitoreo De Paquetes Otro punto de vista que gana aceptación es la inspección de paquetes que no sólo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los firewalls de este tipo emplean una inspección de módulos, aplicable a todos los protocolos que comprenden los datos de los paquetes destinados desde el nivel network (IP) hasta el nivel de aplicación. Esta estrategia puede proveer seguridad sensitiva al contexto para complejas aplicaciones y puede ser más efectiva que la tecnología que sólo tiene acceso a los datos en ciertos niveles. Por ejemplo las aplicaciones gateway sólo acceden a los datos de nivel aplicación, los ruteadores tienen acceso solamente a niveles bajos, el enfoque de la inspección de paquetes integra toda la información reunida de todos los niveles en un simple punto de inspección. Algunos firewall de inspección también toman en cuenta el estado de la conexión, por ejemplo, la legítima entrada de paquetes puede ser probada con la petición de salida para ese paquete y se le permite entrar. Por el contrario, un paquete de entrada se enmascara con su respuesta a una inexistente petición de salida, este será bloqueado. Esto lleva el enfoque de tan llamado estado (stateful) más allá del filtrado de paquetes. La inspección de módulos usa previas comunicaciones para derivar el estado actual de la comunicación que se está realizando. El filtrado inteligente puede efectivamente combinarse con la habilidad del rastreo de la sesión de red. Para usar la información acerca del inicio y fin de la sesión en la decisión de filtrado. Esto es conocido como filtrando sesión (sesión filtering). Los filtros usan reglas inteligentes, así aumenta el proceso de filtrado y controlando el rastreo de sesiones de la network que controla los paquetes individuales. Firewalls Híbridos En la práctica, muchos de los firewalls comerciales de hoy usan una combinación de estas técnicas. Por ejemplo, un producto que se originó como un firewall filtrador de paquetes puede haber sido mejorado con filtrado inteligente a nivel de aplicación. Las aplicaciones proxy en áreas establecidas como ftp pueden agregar una inspección de filtrado en base a su esquema. Nota: Agregando los métodos de seguridad no significa necesariamente un aumento en la seguridad. Los mecanismos adicionales pueden aumentar, disminuir, o dejar establecida la postura de seguridad del firewall. 5. Consideraciones técnicas Particiones Del Definición de la Partición de Discos • Partición Única Disco Duro
  • 37. • • • Múltiples Particiones en un sólo disco Múltiples Discos con una partición por disco Múltiples Discos con múltiples particiones por disco ¿Cuántas particiones? Llegados a este punto en el proceso de preparación de la instalación de Red Hat Linux, tendrá que considerar el número y el tamaño de las particiones que serán utilizadas por el nuevo sistema operativo. Le aconsejamos crear, a menos que no tenga una razón para hacerlo de forma distinta, las particiones siguientes: • • • Partición swap: Las particiones swap son utilizadas para soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no hay bastante memoria disponible para contener los datos que su ordenador está procesando. Si su ordenador tiene 16 Megas de RAM o incluso menos, tiene que crear una partición swap. También si tiene más memoria, se recomienda la utilización de una partición swap. El tamaño mínimo para una partición de swap tendría que ser igual a la cantidad de memoria RAM presente en su ordenador, o por lo menos 16MB (entre las dos se aconseja elegir la cantidad mayor). Una /boot partición: La partición que se crea bajo /boot contiene el kernel del sistema operativo (que permite el arranque de su sistema con Red Hat Linux), junto con algunos ficheros utilizados durante el proceso de arranque. Debido a las limitaciones de la mayoría de BIOSes de PCs, es una buena idea crear una partición pequeña para estos ficheros. Esta partición no debería superar los 32 MB. Partición root (/): La partición root es donde se encuentra / (el directorio de root). En esta configuración de las particiones, todos los ficheros (excepto los que residen en /boot) están en la partición de root. Por ello sería una buena elección hacer lo más grande posible el tamaño de su partición de root. Una partición root de 1.2 GB es equivalente a la que es instalada por una instalación de clase estación de trabajo (con poquísimo espacio libre), mientras que una partición root de 2.4 GB le permitirá instalar todos los paquetes. Es obvio que cuanto más espacio pueda darle a la partición root mejor. Arreglo de Discos Duros RAID Los discos duros son menos eficaces que el rendimiento general del sistema, provocando una descompensación entre el tratamiento de la información del sistema (muy rápido) y la lectura – grabación de datos en el disco duro (muy lenta). Para ello se invento un sistema para guardar información en varios discos duros a la vez por lo que el acceso se hace mas rápido ya que la carga se distribuía entre los diferentes discos duros, a esto se le llamo RAID Redundant Arrays of Inexpensive Disks (Arreglo redundante de discos baratos). Los arreglos RAID se pueden lograr en dos formas: por hardware y por software. Los arreglos basados en software ocupan memoria y consumen ciclos del CPU. Como compiten con las demás aplicaciones de la computadora, degradan el desempeño total del host. En arreglos por hardware el CPU se puede encargar de las aplicaciones mientras el procesador del arreglo se
  • 38. encarga de sus propias funciones al mismo tiempo. Además no ocupa memoria ni depende del sistema operativo. Niveles de RAID RAID-0 RAID nivel 0 no es redundante, o sea que no es tolerante a fallas y en realidad no va de acuerdo con las especificaciones "RAID". En este nivel, los datos están repartidos en los diferentes discos, lo cual nos da una alta transferencia de datos. Como no se graba ningún tipo de información redundante, el desempeño es muy bueno, sin embargo una falla en cualquier disco significa la perdida total de la información. Este nivel es comúnmente referido como "Striping". RAID-1 RAID nivel 1 nos provee de información redundante ya que graba todos los datos en dos o más discos. El desempeño del nivel 1 tiende a ser más rápido en lectura y más lento en escritura comparado con la de un sólo disco. Sin embargo, si un disco falla no se pierde la información. Este es un buen sistema redundante básico, ya que sólo requiere de dos discos duros; sin embargo, un disco es usado para duplicar los datos, lo cual significa que se pierde un 50% de capacidad y que el costo por MB es muy alto. Por ejemplo dos discos de 30GB cada uno, daría un total de 30GB de espacio utilizable en vez de 60GB si no se hace este arreglo. A este nivel se le conoce como "Mirroring" (Espejo). RAID-2 RAID nivel 2 usa corrección de errores según el código Hamming, y está pensado para discos que no tienen corrección de errores integrada. Todos los discos duros SCSI tienen corrección de errores integrada, de manera que no hay mucho uso para este nivel si usas discos SCSI. RAID-3 RAID nivel 3 graba los datos a nivel de bytes entre varios discos, grabando la paridad en un sólo disco. Es similar al arreglo de nivel 4 y requiere de un hardware especial. RAID-4 RAID nivel 4 graba los datos a nivel de blocks entre varios discos, grabando la paridad en uno sólo. La paridad permite recuperar los datos en caso de que algún disco falle. El desempeño de nivel 4 es muy bueno para lecturas. La escritura es más lenta pues requiere la grabación adicional de la paridad. El costo por MB no es tan caro ya que sólo un disco graba la paridad. RAID-5 RAID nivel 5 es similar al nivel 4, pero distribuye la información de paridad entre todos los discos. Esto hace que la grabación de datos pequeños en sistemas multiproceso sea más rápida, ya que el disco de paridad ya no es el cuello de botella. La lectura de información es un poco más lenta que en el nivel 4 ya que la paridad debe ser leída de varios discos. El costo por MB es igual al del nivel 4.
  • 39. Soluciones híbridas o alternativas Hay otros tipos de arreglos que son híbridos o variaciones de RAIDs estándar. Muchos de estos RAIDs han sido definidos por marcas como Compaq o IBM. RAID-10 Este arreglo es un híbrido entre RAID-0 "Striping" y RAID-1 "Mirroring". Es pues un mirror de dos RAID-0, o un RAID-1 de dos RAID-0. De esta forma tienes un backup completo del RAID-0 y garantizas la integridad de datos. RAID-7 Definido por Compaq e IBM como "Hotspare", es un arreglo RAID-5 al que se le agrega un disco extra que sólo entra a funcionar automáticamente cuando uno de los discos del arreglo falla. Protección Física Del Servidor En esta parte no se pretende dar especificaciones sobre el diseño de edificios resistentes a terremotos, ni complicadas alarmas de seguridad electrónica, ya que cada sitio es diferente y por tanto lo son también sus necesidades de seguridad; de esta forma, no se pueden dar recomendaciones específicas sino pautas generales a tener en cuenta, que pueden variar desde el simple sentido común (como es el cerrar con llave el cuarto de servidores cuando salimos de él) hasta medidas mucho más complejas, como la prevención de radiaciones electromagnéticas de los equipos o la utilización de degaussers. En entornos habituales suele ser suficiente con un poco de sentido común para conseguir una mínima seguridad física. El conocimiento y análisis de estas pautas es responsabilidad de todo Administrador de sistemas informáticos por lo que han sido incluidas para ser leídas detenidamente (Anexo 2). La "seguridad física" de los sistemas son todas aquellas medidas y mecanismos de protección y detección que sirven para proteger cualquier recurso del sistema, desde un simple teclado hasta un disco de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina. Se dividen en varias categorías: o o    o    o Protección del hardware Acceso físico  Prevención  Detección Desastres naturales  Terremotos  Tormentas eléctricas  Inundaciones y humedad Desastres del entorno  Electricidad  Ruido eléctrico  Incendios y humo  Temperaturas extremas Protección de los datos Eavesdropping Backups Otros elementos Radiaciones electromagnéticas
  • 40. 6. Conclusiones Todos los Sistemas Operativos analizados en el presente trabajo representan opciones viables para la implementación de seguridad en los servidores. Red Hat Linux es un Sistema Operativo que debe considerarse seriamente ya que presenta numerosas ventajas, además de lo económico de su adquisición, las herramientas de seguridad que incluye hacen factible su configuración como servidor Web. Los Requerimientos de Hardware para la Instalación de Red Hat son otra ventaja en la utilización de este Software ya que demanda pocos recursos para un funcionamiento óptimo. Por tanto los costos de adquisición de Hardware disminuyen considerablemente en relación a otro Sistema Operativo. Aunque debe verificarse la Lista de Compatibilidad de Hardware previamente a su adquisición Anexo 3. Las técnicas de protección estudiadas son soluciones eficientes a los problemas de seguridad, ya que son una combinación de Hardware y Software capaces de detectar, prevenir y atenuar cualquier situación de peligro para el sistema. La decisión sobre su implantación al sistema está en dependencia de las necesidades de la empresa o del grado de seguridad que se desee adquirir. "Agregando métodos de seguridad no significa necesariamente un aumento en la seguridad". Para un desempeño óptimo del servidor deben tomarse muy en cuenta las consideraciones técnicas enunciadas ya que proporcionan un incremento en el rendimiento del sistema según las características de éste. Debe darse mucha importancia a la "seguridad física" del sistema ya que si no se analizan los factores físicos que puedan ocurrir todos los esfuerzos por asegurar un sistema con la tecnología más eficiente no van a servir de nada; se debe pensar más allá de las maneras elementales de sobrepasar los métodos de seguridad, no se debe poner énfasis en una sola manera en que el sistema puede ser atacado. Recomendaciones La seguridad de un sistema no sólo está en dependencia de la calidad del software o del hardware que se utiliza, es parte fundamental seguir ciertas recomendaciones que garantizarán la verdadera seguridad de los sistemas. El desarrollo de Cualquier política de seguridad características como pautas: • • • políticas debería estar de construida seguridad con estas Sencilla y no compleja, mientras más sencilla y clara la política de seguridad, más fácil será que las pautas sean respetadas y el sistema permanezca seguro. Fácil de mantener y no difícil, como todo, los métodos y herramientas de seguridad pueden cambiar dependiendo de necesidades y retos nuevos. La política de seguridad debería construirse con un enfoque hacia la minimización del impacto que los cambios tendrán en su sistema y en sus usuarios. Promover la libertad a través de la confianza en la integridad del sistema en vez de una sofocante utilización de sistema, evitar métodos y herramientas de seguridad que limiten innecesariamente la utilidad del
  • 41. • • • sistema. Los métodos y herramientas de seguridad de calidad son casi siempre una ventaja segura y ofrecen más elecciones a los usuarios cada vez que sea posible. El reconocimiento de la falibilidad en vez de una falsa sensación de seguridad, una de las maneras más exitosas de atraer un problema de seguridad es a través de la creencia que el sistema no podría tener un problema como ese. En vez de dormirse en los laureles, hay que estar siempre alerta. El enfoque debería estar en los problemas reales en vez de en problemas teóricos. Emplear tiempo y esfuerzo ocupándose de los problemas reales más grandes y luego proseguir con los menores. La inmediatez en vez de la desidia, resolver los problemas como vayan surgiendo y determinar que equivalen a un riesgo. No creer que es posible ocuparse del problema más tarde. En realidad no hay mejor momento que ahora mismo, especialmente cuando se trata de una amenaza a la incolumidad del sistema. Introducción a Windows NT Server Capítulo 1 1 de 4. Introducción a Windows NT Server Microsoft Windows NT Server es un sistema operativo diseñado para su uso en servidores de red de área local (LAN). Ofrece la potencia, la manejabilidad y la capacidad de ampliación de Windows NT en una plataforma de servidor e incluye características, como la administración centralizada de la seguridad y tolerancia a fallos más avanzada, que hacen de él un sistema operativo idóneo para servidores de red. Windows NT Server es a la vez un sistema operativo para computadoras (ordenadores) personales y un sistema operativo para red. Puesto que incorpora funciones de red, las redes de Windows NT Server se integran de forma óptima con el sistema operativo básico, facilitando el uso y la administración de las funciones. Este capítulo ofrece un breve resumen de las funciones de Windows NT Server y explica su funcionamiento en relación con otros productos de software para red fabricados por Microsoft. También describe la finalidad de este manual y el modo más eficaz de utilizarlo. Introducción a Windows NT Server 2 de 4 Descripción general de Windows NT Server Windows NT Server es un sistema operativo para servidores, ampliable e independiente de la plataforma. Puede ejecutarse en sistemas basados en procesadores Intel x86, RISC y DEC Alpha, ofreciendo al usuario mayor libertad a la hora de elegir sus sistemas informáticos. Es ampliable a sistemas de multiproceso simétrico, lo que permite incorporar procesadores adicionales cuando se desee aumentar el rendimiento. Internamente posee una arquitectura de 32 bits. Su modelo de memoria lineal de 32 bits elimina los segmentos de memoria de 64 KB y la barrera de 640 KB
  • 42. de MS-DOS. Posee múltiples threads (subprocesos) de ejecución, lo que permite utilizar aplicaciones más potentes. La protección de la memoria garantiza la estabilidad mediante la asignación de áreas de memoria independientes para el sistema operativo y para las aplicaciones, con el fin de impedir la alteración de los datos. La capacidad de multitarea de asignación prioritaria permite al sistema operativo asignar tiempo de proceso a cada aplicación de forma eficaz. Windows NT Server incluye, asimismo, diversas funciones de red, que se describen brevemente en las siguientes secciones y con más detalle en capítulos posteriores de este manual. Arquitectura de redes abiertas Windows NT Server es compatible con los estándares NDIS (Especificación de la interfaz del controlador de red) y TDI (Interfaz del controlador de transporte). NDIS es una interfaz estándar para comunicación entre controladores de tarjetas adaptadoras de red y protocolos de red. NDIS le permite combinar y coordinar tarjetas y protocolos de red sin que sea necesario disponer de una versión diferente del protocolo de red para cada tipo de tarjeta. Permite también utilizar varios protocolos en una misma tarjeta de red. Con Windows NT Server se suministran cuatro protocolos compatibles con el estándar NDIS: TCP/IP, Microsoft NWLink, NetBEUI y DLC (Control de vínculos de datos). La interfaz TDI se comunica entre el protocolo de red y el software de red de alto nivel (como el servidor y el redirector). TDI elimina la necesidad de que el redirector y el servidor se comuniquen directamente con los protocolos de red, o de tener información de los mismos, permitiendo de esta forma utilizar protocolos, servidores o redirectores diferentes con Windows NT Server. También es compatible con aplicaciones de RPC (Llamada a procedimientos remotos), aplicaciones de sistema de entrada/salida básico de red (NetBIOS) y aplicaciones con Windows Sockets. Instalación desde la red Es posible instalar Windows NT en estaciones de trabajo a través de la red, en lugar de utilizar disquetes o discos CD-ROM para cada estación. Este proceso es mucho más fácil ya que no necesita mover el medio de instalación de una computadora (ordenador) a otra. Seguridad incorporada Windows NT Server incorpora la seguridad en el sistema operativo. El control de acceso discrecional le permite asignar permisos a archivos individuales. El concepto de derechos de usuario le ofrece un sistema de control discrecional de las funciones básicas del sistema, como establecer la hora y cerrar la computadora (ordenador). Se incluyen, asimismo, funciones completas de auditoría. Administración centralizada de la seguridad. Windows NT Server permite crear dominios y establecer relaciones de confianza, con el fin de centralizar las cuentas de usuario de la red y otro tipo de información de seguridad, facilitando el uso y la administración de la red. Con una administración centralizada de la seguridad, sólo es necesario administrar una cuenta por cada usuario. Dicha cuenta permite al usuario acceder a todos los recursos de la red.
  • 43. Registro de configuración. Windows NT Server y Windows NT Workstation mantienen una base de datos denominada Registro. Esta base de datos contiene información acerca del sistema operativo, de la computadora (ordenador) y de los usuarios que anteriormente hayan iniciado sesiones en esta computadora. Las aplicaciones que detecten la presencia de Windows NT podrán almacenar en el Registro la información de inicialización. El Registro reemplaza la necesidad de separar los archivos de configuración, como CONFIG.SYS, AUTOEXEC.BAT, LANMAN.INI, WIN.INI y PROTOCOL.INI. Sin embargo, para ser compatible con aplicaciones escritas para utilizar CONFIG.SYS y AUTOEXEC.BAT, Windows NT automáticamente mantiene y usa versiones de estos archivos que contienen solamente la información de la aplicación. Administración de las estaciones de trabajo de los usuarios. Los perfiles de usuario de Windows NT Server le permiten proporcionar mayor facilidad de uso a los usuarios y al mismo tiempo restringir sus actividades en las estaciones de trabajo. Si desea utilizar perfiles para aumentar la productividad de los usuarios, puede guardar en los servidores un perfil con la configuración y las preferencias de los usuarios, tales como las conexiones de red, los grupos de programas e incluso los colores de la pantalla. Este perfil se utilizará cada vez que el usuario inicie una sesión en cualquier computadora con Windows NT, de forma que el entorno definido por el usuario le siga de una estación de trabajo a otra. Si desea utilizar los perfiles de usuario para limitar las actividades de los usuarios, deberá agregar restricciones al perfil, como por ejemplo, impedir que el usuario cambie los grupos y los elementos de programas que usted haya definido, o inhabilitar parte de la interfaz de Windows NT cuando el usuario haya iniciado una sesión. Administración de la impresión en red Windows NT incorpora una potente interfaz del Administrador de impresión que simplifica los procedimientos de instalación y administración de las impresoras que deben realizar los administradores, y que facilita las operaciones de examen y conexión de impresoras que deben realizar los usuarios. Los usuarios de computadoras con Windows NT que se conecten a impresoras compartidas por computadoras en las que se esté ejecutando Windows NT Server no necesitarán disponer de controladores de impresora instalados en la propia estación de trabajo. Windows NT Server es plenamente compatible con impresoras que disponen de interfaz de red (como la Hewlett-Packard LaserJet IIIsi), que cuentan con una tarjeta adaptadora de red incorporada, y que se conectan directamente al cable de la red y no a un puerto serie o paralelo del servidor. Copia de seguridad en cinta Windows NT incluye una utilidad de copia de seguridad en cinta que permite hacer copias de seguridad centralizadas de los discos duros de las computadoras en red, incluyendo servidores de Microsoft LAN Manager 2.x, computadoras con Windows NT Workstation y computadoras con Windows
  • 44. para Trabajo en Grupo, así como servidores en los que se esté ejecutando Windows NT Server. Monitorización del rendimiento. Windows NT Server incluye también una sofisticada aplicación que permite monitorizar el rendimiento. Puede utilizar esta herramienta para observar, representar gráficamente y registrar cientos de datos estadísticos acerca de tipos específicos de rendimiento, agrupados en categorías generales tales como tráfico entre servidores de la red, rendimiento de los discos, uso de los procesadores, y estadísticas de los servidores y las estaciones de trabajo. El Monitor de sistema le permite supervisar simultáneamente el rendimiento de un gran número de computadoras remotas, de forma que pueda controlar y comparar simultáneamente el rendimiento y el uso de un gran número de servidores. Seguimiento de la actividad de la red. Windows NT Server proporciona numerosas herramientas para realizar el seguimiento de la actividad y el uso de la red. Puede observar los servidores y examinar qué recursos están compartiendo, ver qué usuarios están conectados a un servidor de la red y observar qué archivos tienen abiertos, registrar y ver las anotaciones de auditoría de seguridad, mantener registros de error exhaustivos y especificar las alertas que se deben enviar a los administradores en caso de que se produzcan determinados sucesos. Si su red utiliza el protocolo TCP/IP, podrá emplear también la utilidad de administración SNMP, suministrada con Windows NT Server. Administración remota. Todas las funciones administrativas de la red, incluyendo la administración de servidores, la administración de seguridad, la administración de impresoras y la monitorización del rendimiento, pueden realizarse de forma remota. Es posible utilizar una computadora de la red para monitorizar las actividades de cualquier servidor en la misma. Introducción a Windows NT Server 3 de 4 Funcionamiento de Windows NT Server con otro software de red Windows NT Server está diseñado para su uso en servidores de grandes redes. Funciona de forma óptima con otros sistemas operativos de red fabricados por Microsoft. Windows NT Workstation es el sistema operativo más adecuado para los clientes que Precisen altos rendimientos de la red. Windows NT Workstation está diseñado para usuarios Avanzados, desarrolladores de software y para aplicaciones críticas; además, traslada al escritorio muchas de las funciones de seguridad de Windows NT Server. Al igual que ocurre en Windows NT Server, tanto la seguridad como las funciones de red están integradas en él sistema operativo.
  • 45. Si desea disponer de funcionamiento de red pero no necesita la potencia de Windows NT, Windows para Trabajo en Grupo puede ser la solución. Windows para Trabajo en Grupo se ejecuta en computadoras bajo MS-DOS e incorpora funciones de red al conocido sistema operativo Windows 3.1. Al igual que Windows NT Workstation y Windows NT Server, Windows para Trabajo en Grupo incluye aplicaciones de correo electrónico y planificación que permiten aumentar la productividad de los grupos de trabajo. Windows NT Server también es compatible con los sistemas Microsoft LAN Manager 2.x. Las computadoras que funcionen bajo MS-DOS, Windows 3.1 y OS/2 que posean software para estaciones de trabajo LAN Manager pueden acceder a servidores en los que se ejecute Windows NT Server. Los servidores de LAN Manager 2.x (tanto en sistemas OS/2 como UNIX) pueden funcionar con servidores en los que se esté ejecutando Windows NT Server, incluso en el mismo dominio. Esta familia de productos le permitirá ampliar su red de acuerdo a sus necesidades. Su red puede ser de gran tamaño, con un gran número de servidores de Windows NT Server y cientos de estaciones de trabajo con Windows NT, o de pequeña dimensión que posea una sola computadora con Windows NT Server y varias computadoras clientes con MS-DOS. Introducción a Windows NT Server 4 de 4 Uso de este manual En este manual se explican los conceptos fundamentales de Windows NT Server. Mediante su lectura podrá comprender el funcionamiento de Windows NT Server y el modo de utilizarlo para aumentar el rendimiento de su red de área local. En este manual no encontrará instrucciones detalladas para realizar tareas. Para ver procedimientos detallados de todos los aspectos de Windows NT Server, consulte el Manual de sistema de Windows NT Server; para ver procedimientos relacionados con el servidor, consulte la Referencia rápida para operaciones de red de Windows NT Server. Capítulo 2 1 de 12 Elección de controladores y protocolos de red Cuando esté instalando Windows NT en su red, deberá elegir el tipo de controladores de tarjeta adaptadora de red y los protocolos de red que utilizará. Debido a la arquitectura abierta de Windows NT, podrá disfrutar de una gran flexibilidad a la hora de tomar esta decisión. Windows NT admite los estándares NDIS (Especificación de interfaz de controlador de red) y TDI (Interfaz de controlador de transporte). Estos estándares permiten a Windows NT comunicarse con muchos otros productos de red, y le ofrecen la posibilidad de elegir entre una amplia variedad de tarjetas adaptadoras y protocolos para la red. Windows NT incorpora además una versión de STREAMS, el entorno y la interfaz de protocolos desarrollados originariamente para funcionar sobre UNIX
  • 46. System V versión 4.0. La incorporación de un entorno compatible con STREAMS significa que los protocolos desarrollados inicialmente para STREAMS bajo UNIX podrán trasladarse fácilmente a Windows NT. Antes de profundizar sobre los protocolos y controladores específicos que admite Windows NT, es conveniente comprender tanto el modelo de referencia OSI (Interconexión de sistemas abiertos) como la función que desempeñan los protocolos de transporte y los controladores de tarjetas de red. Si ya conoce el significado de estos términos, puede pasar directamente a la sección "Ventajas de NDIS", más adelante en este mismo capítulo. Elección de controladores y protocolos de red 2 de 12 Significado del modelo de referencia OSI En 1978, la Organización Internacional de Normalización (International Standards Organization [ISO]) elaboró un modelo para la interconexión de computadoras (ordenadores) en red denominado modelo de referencia para la Interconexión de sistemas abiertos (OSI). Este modelo describe el flujo de datos dentro de una red, desde las conexiones físicas hasta el nivel superior, es decir, las aplicaciones que utilizan los usuarios finales. El modelo de referencia OSI consta de siete niveles, como se muestra en la ilustración siguiente. El nivel más bajo, conocido como nivel físico, es donde los bits de datos se transfieren físicamente al cable. El nivel más alto es el de aplicación, que corresponde a la presentación de las aplicaciones a los usuarios. El nivel físico es responsable de la transferencia de bits de una computadora (ordenador) a otra. Se encarga de regular la transmisión de una secuencia de bits a través de un medio físico. Este nivel define el modo en que se conecta el cable a la tarjeta adaptadora de red y la técnica de transmisión empleada para enviar los datos a través del cable. También define la sincronización de bits y las operaciones de comprobación. El nivel de vínculos de datos empaqueta los bits sin procesar procedentes del nivel físico, agrupándolos en tramas. Una trama es un paquete lógico estructurado en el cual pueden colocarse datos. El nivel de vínculos de datos es responsable de transferir tramas de una computadora (ordenador) a otra, sin errores. Una vez que el nivel de vínculos de datos envía una trama, queda esperando una aceptación o acuse de recibo procedente de la computadora destinataria. Las tramas para las cuales no se recibe una aceptación vuelven a enviarse. El nivel de redes direcciona los mensajes y traduce las direcciones y nombres lógicos, convirtiéndolos en direcciones físicas. También determina la ruta a través de la red entre la computadora de origen y la de destino, y administra aspectos asociados al tráfico en la red como la conmutación, el encaminamiento y el control de la congestión de paquetes de datos. El nivel de transporte es responsable de detectar y resolver errores, con el fin de garantizar la fiabilidad en la entrega de los mensajes. También se encarga
  • 47. de volver a empaquetar los mensajes cuando es necesario, dividiendo los mensajes de gran longitud en mensajes más cortos para su transmisión y reconstruyendo posteriormente, en el extremo receptor, el mensaje original a partir de los paquetes más pequeños. El nivel de transporte del extremo receptor se ocupa también de enviar la aceptación o acuse de recibo. El nivel de sesiones permite a dos aplicaciones situadas en distintas computadoras establecer, utilizar y terminar una sesión. Este nivel establece el control del diálogo entre las dos computadoras que participan en una sesión, regulando cuál de los dos extremos transmite, cuándo lo hace y durante cuánto tiempo. El nivel de presentación traduce los datos desde el nivel de aplicación hasta un formato intermedio. Este nivel se encarga también de cuestiones relacionadas con la seguridad, proporcionando servicios como encriptado de datos o compresión de la información, para que se transmitan menos bits a través de la red. El nivel de aplicación es el que permite a las aplicaciones de usuario final acceder a los servicios de la red. Cuando dos computadoras se comunican a través de una red, el software de cada uno de los niveles asume que se está comunicando con el nivel homólogo de la otra computadora. Por ejemplo, el nivel de transporte de una de las computadoras se comunicará con el nivel de transporte de la otra. El nivel de transporte de la primera computadora no necesita preocuparse del modo en que la comunicación atraviesa realmente los niveles inferiores de la primera computadora, recorre el medio físico y, por último, vuelve a ascender a través de los niveles inferiores de la segunda computadora. El modelo de referencia OSI es una representación idealizada de las interconexiones en red. En realidad, pocos sistemas lo cumplen de forma estricta, pero este modelo se utiliza para la discusión y comparación de redes. En el resto de este capítulo se muestra cuáles son los componentes de Windows NT que intervienen en los distintos niveles del modelo. Elección de controladores y protocolos de red 3 de 12 Función de los protocolos y controladores de tarjetas adaptadoras Una tarjeta adaptadora de red (también conocida como tarjeta de interfaz de red o NIC) es una tarjeta de hardware que se instala en una computadora para permitir su uso dentro de una red. La tarjeta adaptadora de red proporciona uno o varios puertos en los cuales se conecta físicamente el cable de la red. La tarjeta realiza la transmisión física de los datos de la computadora a la red y viceversa. Toda computadora que forme parte de una red debe tener un controlador de tarjeta adaptadora de red, es decir, un controlador de software que gobierne el funcionamiento de la tarjeta de red. Cada controlador de tarjeta adaptadora de red está configurado expresamente para funcionar con un determinado tipo de tarjeta de red.
  • 48. Además del controlador de tarjeta de red y de la propia tarjeta, una computadora conectada en red debe poseer también un controlador de protocolo (también conocido como protocolo de transporte o, simplemente, protocolo). El controlador de protocolo actúa entre el software de red de un nivel superior (por ejemplo, la estación de trabajo y el servidor) y la tarjeta adaptadora de red. El protocolo empaqueta los datos que van a enviarse a la red de modo que la computadora situada en el otro extremo pueda entenderlos. El proceso de asociar un controlador de protocolo a la tarjeta adaptadora de red con la que deberá funcionar, así como el establecimiento de un canal de comunicación entre ambos, se conoce como enlace. Para que dos computadoras se comuniquen en una red, es necesario que ambas utilicen protocolos idénticos. En ocasiones una computadora puede estar configurada para utilizar varios protocolos. En tales casos, para que dos computadoras puedan comunicarse, bastará con que ambas tengan un protocolo en común. Por ejemplo, un servidor que utilice tanto NetBEUI como TCP/IP podrá comunicarse tanto con estaciones de trabajo que utilicen únicamente NetBEUI como con aquéllas que sólo usen TCP/IP. En algunas redes, el protocolo y el controlador de la tarjeta adaptadora de red de cada computadora son elementos de software independientes. En otras redes, por el contrario, un mismo elemento de software, conocido como pila de protocolos monolítica, desempeña las funciones tanto del protocolo como del controlador de la tarjeta adaptadora. La siguiente ilustración muestra el modo en que estos tipos de controladores se ajustan al modelo de referencia OSI. Windows NT admite NDIS (versión 3.0), que permite utilizar controladores de tarjetas adaptadoras y protocolos por separado. Todos los protocolos y controladores de tarjetas de red que se suministran con Windows NT Server se ajustan al estándar NDIS. Elección de controladores y protocolos de red 4 de 12 Ventajas de NDIS NDIS ofrece un conjunto de normas para la comunicación entre protocolos y controladores de tarjetas adaptadoras. Así, en cualquier estación de trabajo podrá utilizarse cualquier combinación de controladores de protocolo compatibles con NDIS junto con cualquier controlador de tarjeta adaptadora de red compatible con NDIS. (Todos los controladores de protocolos y de tarjetas adaptadoras de red que se suministran con Windows NT se ajustan al estándar NDIS). Es probable que las computadoras existentes en su red tengan distintos tipos de tarjetas adaptadoras de red, por lo que necesitará distintos controladores de tarjetas adaptadoras de red. Gracias al estándar NDIS, podrá utilizar exactamente el mismo controlador de protocolo en todas sus estaciones de trabajo, sin necesidad de disponer de una versión diferente del protocolo para cada tarjeta adaptadora de red, como sucedería si utilizase pilas de protocolos monolíticas.
  • 49. Además, NDIS permite que varios protocolos utilicen una misma tarjeta de red. Normalmente, cuando se utiliza un protocolo monolítico con una tarjeta adaptadora de red, dicho protocolo monopoliza la tarjeta de red, impidiendo la utilización de otros protocolos con dicha tarjeta. Cuando una computadora incorpora varios protocolos, la computadora transmite los datos utilizando primero un protocolo, después el siguiente protocolo y así sucesivamente. Cuando instale varios protocolos en una misma computadora, designará el orden en que la computadora los utilizará. El primer protocolo de esta serie suele conocerse como protocolo principal. En una computadora con Windows NT, cada uno de los enlaces entre un protocolo y una tarjeta adaptadora de red tiene asignado un número de adaptador de red local. Por ejemplo, un protocolo unido a dos tarjetas de red necesitará dos números de adaptador de red local; dos protocolos unidos a dos tarjetas de red necesitarán cada uno de ellos cuatro números de adaptador de red local. Cuando instale Windows NT en una computadora (y cuando instale tarjetas adaptadoras de red o protocolos adicionales), Windows NT asignará automáticamente números de adaptador de red local a los enlaces entre protocolos y tarjetas adaptadoras de red. Sólo necesitará cambiar estos números de adaptador de red local si tiene alguna aplicación NetBIOS que exija la utilización de un determinado número de adaptador de red local. Si necesita instrucciones para configurar los números de adaptador de red local, consulte la sección dedicada a la opción Red del Panel de control en el Manual de sistema de Windows NT Server. Elección de controladores y protocolos de red 5 de 12 Elección de una tarjeta adaptadora de red Por lo general, cada modelo específico de tarjeta adaptadora de red compatible con Windows NT tiene asociado un controlador de tarjeta adaptadora de red. Este controlador puede ser uno de los que se incluyen con Windows NT o bien puede estar suministrado por el fabricante. Por lo tanto, más que elegir un controlador de tarjeta adaptadora de red se trata de elegir una tarjeta de red. Cuando elija una tarjeta adaptadora de red, debe asegurarse de que la tarjeta elegida admita la arquitectura de su red (por ejemplo, Ethernet o Token-Ring) y su sistema de cableado (por ejemplo, coaxial delgado o par trenzado). Además de estos factores, debe tenerse en cuenta tanto la velocidad como el costo, así como los compromisos entre ambos parámetros. En las tarjetas adaptadoras de red, la velocidad depende principalmente del ancho del bus y de la memoria que incorpore la tarjeta. El ancho del bus de una tarjeta de red es el número de contactos que se utilizan para conectar la tarjeta al bus de la computadora. Se obtendrá mayor rendimiento cuanto más se aproxime el ancho del bus de la tarjeta al ancho del bus interno de la computadora. La memoria incorporada en la propia tarjeta permite a ésta almacenar temporalmente las tramas que entran y salen por la red. Sin embargo, no siempre una tarjeta con más memoria constituye la opción óptima, ya que a partir de un cierto punto, las ventajas asociadas a la mayor cantidad de memoria disminuyen y es la velocidad máxima de otros componentes de la red lo que limita el rendimiento, impidiendo mejoras adicionales.
  • 50. Algunas tarjetas incorporan también procesadores integrados (estas tarjetas suelen conocerse como tarjetas inteligentes). Sin embargo, con Windows NT las tarjetas inteligentes apenas representan una ventaja, ya que es Windows NT, con sus controladores, quien realiza la mayor parte del trabajo de procesamiento relacionado con la red. Al considerar el costo de las tarjetas de red, reserve una parte de la inversión para adquirir tarjetas de reserva con las que reemplazar a las que fallen. Asegúrese también de que el presupuesto asignado al hardware de la red contemple el cableado, los concentradores, repetidores, encaminadores y otros dispositivos, además de las tarjetas, así como el costo de la mano de obra necesaria para instalarlas. Antes de invertir en un determinado tipo de tarjeta de red, asegúrese de que exista un controlador conforme al estándar NDIS para dicha tarjeta. Además, cerciórese de que el fabricante dispone de infraestructura suficiente para atender las necesidades de su empresa. Si está tratando con un distribuidor, asegúrese de que éste posea una vía de comunicación adecuada con el fabricante de la tarjeta. Con Windows NT, una vez instalada una tarjeta de red en una computadora, la instalación del controlador correspondiente resultará muy sencilla. Basta con utilizar el programa de instalación o la opción Red del Panel de control y elegir el nombre de la tarjeta adaptadora de red entre las que aparecen en la lista. El controlador de tarjeta de red se enlazará automáticamente a todos los protocolos NDIS que se estén ejecutando en ese momento en la computadora; si posteriormente se agregan otros protocolos, también quedarán enlazados de forma automática al controlador de la tarjeta de red. Elección de controladores y protocolos de red 6 de 12 Elección de un protocolo Microsoft ofrece cuatro protocolos para utilizar con Windows NT: TCP/IP, NWLink, NetBEUI y DLC (Control de vínculo de datos). Debe elegir el modo en que se utilizará uno o varios de estos protocolos en su red. En las siguientes secciones se indican el uso, las ventajas y desventajas de cada uno de ellos. Elección de controladores y protocolos de red 7 de 12 Elección de un protocolo Funcionamiento de TCP/IP TCP/IP son las siglas en inglés de Protocolo de control de transmisión/Protocolo Internet. Fue desarrollado a finales de los años 70, como resultado de un proyecto de investigación sobre interconexión de redes realizado por la Agencia de proyectos de investigación avanzada para la defensa (DARPA) de Estados Unidos. La principal ventaja y utilidad de TCP/IP es que es un protocolo estándar y reencaminable; se trata del protocolo más completo y aceptado de todos los existentes. Permite comunicarse a través de redes interconectadas con distintos sistemas operativos y arquitecturas de hardware, como UNIX o computadoras principales, así como con Windows NT.
  • 51. TCP/IP ofrece además compatibilidad con Internet, un conjunto de redes y pasarelas (gateways) interconectadas que vinculan numerosas universidades, empresas, organismos gubernamentales e instalaciones militares de todo el mundo. Además, TCP/IP es necesario para poder utilizar el sistema de administración de red SNMP (Protocolo simple para la administración de redes). SNMP puede utilizarse para monitorizar cualquier computadora con Windows NT que utilice TCP/IP como protocolo principal o como protocolo adicional. TCP/IP ofrece la interfaz de Windows Sockets 1.1, un marco multiplataforma cliente-servidor que resulta idóneo para desarrollar aplicaciones cliente-servidor que puedan funcionar con pilas de otros fabricantes que se ajusten a Windows Sockets. Las aplicaciones Windows Sockets pueden aprovechar otros protocolos de red, como Microsoft NWLink. TCP/IP de Microsoft utiliza también la interfaz de NetBIOS, comúnmente conocida como Petición para comentarios (RFC) de NetBIOS. Además, Microsoft proporciona diversas utilidades TCP/IP para su uso con TCP/IP en Windows NT. En la siguiente tabla se resumen las ventajas y desventajas de la utilización de TCP/IP. Para obtener información completa sobre TCP/IP en Windows NT, consulte el manual Windows NT Server TCP/IP. Ventajas Desventajas Es el protocolo más aceptado. No es tan rápido como NetBEUI en redes locales de pequeño tamaño. Ofrece conectividad a través de distintas plataformas de Hardware y sistemas operativos. Permite conectarse a Internet. Admite encaminamiento. Admite Windows Sockets. Admite SNMP Elección de controladores y protocolos de red 8 de 12 Elección de un protocolo Funcionamiento de NWLink Microsoft NWLink es una versión compatible con NDIS del protocolo IPX/SPX, que se utiliza en las redes de Novell NetWare. NWLink es compatible con TDI, así como con NetBIOS y con Windows Sockets, una versión para Windows NT de la interfaz Sockets desarrollada originariamente para computadoras con
  • 52. UNIX. NWLink proporciona un protocolo compatible con el protocolo IPX/SPX de Novell NetWare. Para mejorar aún más la compatibilidad de Windows NT con NetWare, Windows NT también proporciona Servicio cliente para NetWare y Servicio pasarela para NetWare. Si desea más información al respecto, consulte Servicios para redes NetWare de Windows NT Server. Ventajas Desventajas Ofrece compatibilidad con Novell NetWare No es tan rápido como NetBEUI en redes locales de pequeño tamaño. Elección de controladores y protocolos de red 9 de 12 Elección de un protocolo Funcionamiento de NetBEUI NetBEUI (Interfaz extendida de usuario de NetBIOS) fue presentado por primera vez por IBM en 1985. NetBEUI es un protocolo compacto, eficiente y rápido. En 1985, cuando fue desarrollado el protocolo NetBEUI, se consideró que las redes locales estarían segmentadas en grupos de trabajo de entre 20 y 200 computadoras y que se utilizarían pasarelas (gateways) para conectar cada segmento de red local con otro segmento de red local, o con una computadora principal. NetBEUI está optimizado para obtener un rendimiento muy elevado cuando se utiliza en redes locales o segmentos de redes locales departamentales. En cuanto al tráfico cursado dentro de un segmento de red local, NetBEUI es el más rápido de los protocolos suministrados con Windows NT. La versión de NetBEUI que se entrega con Windows NT es NetBEUI 3.0. NetBEUI 3.0 corrige algunas limitaciones de versiones anteriores de NetBEUI, incluyendo las siguientes: NetBEUI 3.0, junto con el nivel TDI, elimina la limitación anterior de 254 sesiones por servidor en una misma tarjeta adaptadora de red. NetBEUI 3.0 es completamente autoajustable. NetBEUI 3.0 ofrece un rendimiento mucho mayor sobre vínculos lentos que las versiones Anteriores de NetBEUI. En sentido estricto, NetBEUI 3.0 no es realmente NetBEUI, sino más bien un protocolo con formato de trama de NetBIOS (NBF). NetBEUI utiliza la interfaz NetBIOS como su interfaz de nivel superior, mientras que NBF se ajusta al estándar de Interfaz de controlador de transporte (TDI). (Si desea obtener más
  • 53. información sobre TDI, consulte la sección "Concepto de nivel adelante en este mismo capítulo). No obstante, NBF es totalmente e interoperable con el NetBEUI incluido en productos anteriores Microsoft y, en las pantallas de Windows NT, se hace referencia NetBEUI. TDI", más compatible de red de a él como Para ver un ejemplo de cómo aprovechar las ventajas de velocidad que ofrece NetBEUI dentro de un segmento de red local, sin verse limitado por sus restricciones de encaminamiento y de funcionamiento en redes de área amplia (WAN), consulte la sección siguiente, "Estrategias para el uso de NetBEUI". La siguiente tabla muestra un resumen de las ventajas y desventajas de NetBEUI: Ventajas Desventajas Concebido expresamente para la No admite encaminamiento comunicación dentro de redes locales Su rendimiento en redes de área pequeñas y, por lo tanto, muy rápido. amplia (WAN) es pobre. Buena protección frente a errores Utiliza poca memoria. Estrategias para el uso de NetBEUI Puesto que NetBEUI es muy rápido para comunicaciones dentro de redes locales de pequeño tamaño, pero su rendimiento es peor para las comunicaciones con redes de área amplia (WAN), un método recomendable para configurar una red es utilizar NetBEUI y otro protocolo, como TCP/IP, en cada una de las computadoras que necesiten acceder a otras computadoras a través de un encaminador o una red de área amplia. Si instala ambos protocolos en cada una de las computadoras y configura NetBEUI como el primer protocolo que deberá utilizarse, Windows NT empleará NetBEUI para la comunicación entre las computadoras con Windows NT situadas dentro de cada uno de los segmentos de red local, mientras que empleará TCP/IP para las comunicaciones a través de encaminadores y con otras partes de la red de área amplia. Elección de controladores y protocolos de red 10 de 12 Elección de un protocolo Funcionamiento de DLC (Control de vínculo de datos) A diferencia de NetBEUI y TCP/IP, el protocolo DLC no ha sido diseñado para servir de protocolo principal entre PC. Por el contrario, los únicos motivos por los que puede interesar utilizar DLC con Windows NT son los dos siguientes: Si necesita que las computadoras con Windows NT accedan a computadoras principales IBM. Si está configurando una impresora que se conecta directamente a un cable de red, en lugar de conectarse a través de un puerto serie o paralelo de un servidor de impresión
  • 54. Si desea utilizar DLC para permitir la comunicación entre computadoras con Windows NT y computadoras principales, bastará con añadir el protocolo DLC como protocolo adicional en cada una de las computadoras que se comunican realmente con las computadoras principales. No será necesario que instale DLC en todas las computadoras de la red. Para utilizar DLC con una impresora conectada a la red, por ejemplo una Hewlett-Packard LaserJet IIIsi, sólo necesita instalar DLC en la computadora con Windows NT que actúa como servidor de impresión para dicha impresora. No es necesario que instale DLC en las computadoras que envían documentos a la impresora conectada directamente a la red. Si desea obtener más información al respecto, consulte el capítulo 6, "Uso compartido de impresoras". A diferencia de los otros protocolos de Windows NT, como NetBEUI o TCP/IP, el protocolo DLC no se encuadra dentro de los niveles de redes o de transporte del modelo de referencia OSI, sino que ofrece a los programas de alto nivel una interfaz directa con el nivel de vínculos de datos. La siguiente tabla muestra un resumen de las ventajas y desventajas de la utilización de DLC: Ventajas Desventajas Permite a las computadoras con No suele utilizarse como protocolo Windows NT ejecutar software que principal para la comunicación de PC acceda a computadoras principales. a PC. Permite a las computadoras con Windows NT actuar como servidores de impresión para impresoras conectadas directamente a la red. Elección de controladores y protocolos de red 11 de 12 Concepto de nivel TDI Para la comunicación entre los niveles de sesiones y de transporte del modelo de referencia OSI, Microsoft ha desarrollado y admite la Interfaz de controlador de transporte (TDI). En una computadora con Windows NT, los procesos servidor y redirector se comunican con los protocolos de transporte utilizando la interfaz TDI. Al igual que NDIS, TDI aumenta la versatilidad de conexión en red de Windows NT, al permitir que distintos protocolos de transporte y componentes de red de niveles superiores (como el servidor y el redirector) puedan comunicarse a través de una interfaz común. Varios protocolos diferentes que se ajusten al estándar TDI podrán cooperar con distintos componentes de niveles superiores que también admitan TDI. Cuando un redirector o un servidor realice una llamada a un transporte, se utilizará la interfaz TDI para realizar la llamada, por lo que no será necesario conocer nada acerca de los protocolos de transporte que se estén utilizando. La incorporación de TDI en Windows NT significa que otros protocolos alternativos, o incluso redirectores o servidores alternativos, que hayan sido
  • 55. creados por otros fabricantes siguiendo las normas del estándar TDI, podrán funcionar con Windows NT. El uso de TDI permite a Windows NT superar las limitaciones de anteriores productos para LAN Manager 2.x. Por ejemplo, TDI no impone ningún límite en cuanto al número de estaciones de trabajo que pueden conectarse a un servidor, mientras que LAN Manager 2.x estaba limitado a 254 conexiones de estación de trabajo en cada una de las tarjetas adaptadoras de red del servidor. Aunque TDI es ahora la interfaz de comunicación entre los protocolos de transporte y elementos de software de nivel superior como el redirector o el servidor, también es compatible con NetBIOS. NetBIOS se ha incluido como controlador y DLL adicionales; permite a Windows NT conservar la compatibilidad con aplicaciones de NetBIOS y ejecutar software que requiera expresamente NetBIOS. El software NetBIOS sólo se utiliza en estos casos. Del mismo modo, se dispone de una biblioteca de Windows Sockets para aquellas aplicaciones que la necesiten. Windows Sockets es una versión para Windows NT de la interfaz Sockets desarrollada originariamente para computadoras con UNIX. Elección de controladores y protocolos de red 12 de 12 Configuración de RPC Windows NT permite utilizar aplicaciones distribuidas basadas en RPC (Llamada a procedimientos remotos). Microsoft RPC consta de un conjunto de servicios y bibliotecas de tiempo de ejecución que permiten ejecutar bajo Windows NT una aplicación distribuida. Una aplicación distribuida consta de múltiples procesos que colaboran para llevar a cabo una determinada tarea. Estos procesos pueden estar ejecutándose en una misma computadora o en varias diferentes. Microsoft RPC utiliza un proveedor de servicio de nombres para localizar y registrar los servidores de la red. Los proveedores de servicio de nombres para Microsoft RPC deben ajustarse al estándar NSI (Interfaz de servicio de nombres) de Microsoft RPC. NSI consta de un conjunto de funciones de la API (Interfaz de programación de aplicaciones) que permiten el acceso y la manipulación de una base de datos del servicio de nombres. Una base de datos de servicio de nombres es una base de datos que contiene entradas para servidores, para grupos y para perfiles. Microsoft RPC versión 1.0 interactúa con dos proveedores de servicio de nombres: Microsoft Localizador y el CDS (Servicio de directorio de celdas) del DCE (Entorno de computación distribuida). Cuando se instala Windows NT, se selecciona automáticamente Microsoft Localizador como proveedor de servicio de nombres. Microsoft Localizador es el proveedor de servicio de nombres optimizado para una red de Windows NT. Cuando un servidor registre su aplicación distribuida utilizando un proveedor de servicio de nombres, las otras computadoras que deseen trabajar con él deberán utilizar el mismo proveedor de servicio de nombres. Por ejemplo, cuando una computadora con Windows NT registre una aplicación distribuida utilizando Microsoft Localizador, todas las demás computadoras que deseen utilizar un proveedor de servicio de nombres para acceder a la información
  • 56. sobre la aplicación distribuida deberán utilizar también Microsoft Localizador. Cuando un cliente de Windows NT desee trabajar con un servidor de DCE, tanto él como el servidor deberán emplear como proveedor de servicio de nombres el CDS de DCE. Si desea obtener información sobre el cambio de los proveedores de servicio de nombres, consulte el Manual de sistema de Windows NT Server. Capítulo 3 1 de 41 Funcionamiento de la seguridad en la red Windows NT Server incorpora diversos métodos de seguridad. Estos métodos proporcionan numerosas formas de controlar la actividad de los usuarios, sin impedirles por ello el acceso a los recursos que necesitan. El fundamento de la seguridad de Windows NT es que todos los recursos y acciones están protegidos por el control de acceso discrecional, que significa que es posible permitir a determinados usuarios acceder a un recurso o realizar una determinada acción, y al mismo tiempo impedírselo a otros usuarios. Además, la seguridad es muy granular. Por ejemplo, es posible establecer distintos permisos sobre diferentes archivos de un mismo directorio. Con Windows NT Server, la seguridad está integrada en el sistema operativo desde el principio, en lugar de incorporarse al mismo como un componente adicional. Esto significa que los archivos y otros recursos pueden protegerse incluso de los usuarios que trabajan en la misma computadora (ordenador) donde se encuentre el recurso, así como de los usuarios que accedan al recurso a través de la red. Windows NT Server incorpora medidas de seguridad incluso para las funciones básicas del sistema, como el propio reloj de la computadora (ordenador). Windows NT Server ofrece asimismo un modelo lógico de administración que le ayudará a administrar de un modo eficaz una red de gran tamaño. Cada usuario sólo necesita disponer de una única cuenta, que se almacena de modo centralizado. Esta única cuenta puede proporcionar al usuario el acceso a cualquier recurso de la red, independientemente del lugar donde se encuentre. De este modo, Windows NT Server facilita a los administradores de la red la administración de las cuentas y, al mismo tiempo, simplifica el uso de la red por parte de los usuarios. Funcionamiento de la seguridad en la red 2 de 41 Conceptos de dominios y relaciones de confianza La unidad básica de la administración centralizada y la seguridad en Windows NT Server es el dominio. Un dominio es un grupo de servidores que ejecutan Windows NT Server y que, en cierto modo, funcionan como un único sistema. Todos los servidores con Windows NT Server de un dominio utilizan el mismo conjunto de cuentas de usuario, por lo que sólo es necesario escribir una vez la información de una cuenta de usuario para que todos los servidores del dominio reconozcan dicha cuenta. Las relaciones de confianza son vínculos entre dominios, que permiten realizar una autenticación transparente, en virtud de la cual un usuario sólo poseerá una cuenta de usuario en un dominio pero podrá acceder a toda la red. Si se
  • 57. organizan adecuadamente los dominios y relaciones de confianza de la red, todas las computadoras (ordenadores) con Windows NT reconocerán todas las cuentas de usuario, por lo que el usuario tendrá que iniciar una sesión y facilitar una contraseña sólo una vez para acceder a cualquier servidor de la red. Funcionamiento de la seguridad en la red 3 de 41 Conceptos de dominios y relaciones de confianza Dominios: unidades administrativas básicas La agrupación de computadoras (ordenadores) en dominios proporciona dos grandes ventajas a los usuarios y administradores de la red. Lo que es más importante, los servidores de un dominio constituyen una unidad administrativa única que comparte la información de seguridad y de cuentas de usuario. Cada dominio posee una base de datos que contiene las cuentas de los usuarios y grupos, y las configuraciones del plan de seguridad. Todos los servidores del dominio que funcionen como controlador principal de dominio o como controlador de reserva mantendrá una copia de esta base de datos. Ello significa que los administradores sólo necesitarán administrar una cuenta para cada usuario y que cada usuario sólo tendrá que utilizar una cuenta (y recordar una sola contraseña). Al extender la unidad administrativa desde la computadora individual hasta todo un dominio, Windows NT Server ahorra tiempo y esfuerzo tanto a los administradores como a los usuarios. La segunda ventaja de los dominios es la comodidad que brindan al usuario: cuando un usuario examine la red para buscar recursos disponibles, observará que está agrupada en dominios, en lugar de ver los servidores e impresoras de toda la red al mismo tiempo. Esta ventaja de los dominios es idéntica al concepto de grupo de trabajo que incorpora Windows para Trabajo en Grupo. Además, los dominios de Windows NT Server son compatibles con los grupos de trabajo de Windows para Trabajo en Grupo. Si desea obtener más información sobre Windows para Trabajo en Grupo, consulte la sección "Interacción con computadoras con Windows para Trabajo en Grupo", más adelante en este mismo capítulo. Nota: No debe confundirse el concepto de dominio de Windows NT Server con los dominios del protocolo de red TCP/IP. Un dominio TCP/IP describe parte de la Internet TCP/IP y no tiene nada que ver con los dominios de Windows NT Server. Funcionamiento de la seguridad en la red 4 de 41 Conceptos de dominios y relaciones de confianza Relaciones de confianza: vínculos entre dominios Estableciendo relaciones de confianza entre los dominios de la red, podrá permitir que determinadas cuentas de usuario y grupos globales puedan utilizarse en dominios distintos de aquél en el que estén situadas dichas cuentas. (Si desea obtener más información sobre los grupos globales, consulte la sección "Utilidad de los grupos", más adelante en este mismo capítulo). Ello facilita en gran medida la administración, ya que cada cuenta de
  • 58. usuario tiene que crearse una sola vez para toda la red. Además, ofrece la posibilidad de acceder a cualquier computadora de la red y no únicamente a las computadoras de uno de los dominios. Cuando establezca una relación de confianza entre dominios, uno de los dominios (el dominio que confía) confiará en el otro (el dominio en el cual se confía). A partir de entonces, el dominio que confía reconocerá a todos los usuarios y cuentas de grupo globales del dominio en el cual se confía. Estas cuentas podrán utilizarse como se desee dentro del dominio que confía; podrán iniciar sesiones en estaciones de trabajo situadas en el dominio que confía, integrarse en grupos locales dentro de dicho dominio, y recibir permisos y derechos dentro de ese dominio. Las relaciones de confianza pueden ser unidireccionales o bidireccionales. Una relación de confianza bidireccional es simplemente un par de relaciones unidireccionales, en virtud del cual cada dominio confía en el otro. En la ilustración siguiente, los dominios Finanzas y Envío confían mutuamente entre sí y las cuentas de cada uno de estos dominios pueden utilizarse en el otro. Sin embargo, puesto que Producción confía en Ventas pero Ventas no confía en Producción, las cuentas de Ventas podrán utilizarse en el dominio Producción pero las cuentas de Producción no podrán emplearse en Ventas. La confianza entre dominios no es una operación transitiva. Por ejemplo, si Ventas confía en Producción y Producción confía en Finanzas, Ventas no confiará automáticamente en Finanzas. Si desea que Ventas confíe en Finanzas (para de este modo poder utilizar las cuentas de Finanzas en el dominio Ventas), deberá establecer una relación de confianza adicional directamente entre estos dominios. Funcionamiento de la seguridad en la red 5 de 41 Conceptos de dominios y relaciones de confianza Constitución de un dominio El requisito mínimo de un dominio es un servidor con Windows NT Server, que actúa como controlador principal de dominio y que almacena la copia principal de la base de datos de grupos y usuarios del dominio. Si se desea, un dominio puede incluir también otros servidores adicionales que ejecuten Windows NT Server (que actúen como controladores de reserva), computadoras con Windows NT Server que actúen como servidores estándar, servidores con LAN Manager 2.x, clientes de Windows NT Workstation y otros clientes, por ejemplo aquellos que ejecuten Windows para Trabajo en Grupo y MS-DOS. En las secciones siguientes se describen con mayor detalle cada uno de estos componentes del dominio. Controlador principal de dominio
  • 59. El controlador principal de dominio de un dominio de Windows NT Server debe ser un servidor que ejecute Windows NT Server. Cualquier modificación a la base de datos de grupos y usuarios del dominio deberá realizarse en la base de datos que está almacenada en el controlador principal de dominio. Sin embargo, no es necesario recordar el nombre de la computadora del controlador principal de dominio para cada uno de los dominios. Cuando utilice el Administrador de usuarios para dominios con el fin de modificar la base de datos de usuarios, sólo necesitará seleccionar el nombre del dominio en el cual desee realizar los cambios. El cambio se realizará Automáticamente en el controlador principal de dominio. El Administrador de usuarios para dominios no permite modificar directamente la base de datos de usuarios de un servidor de dominio que no sea el controlador principal de dominio. Controladores de reserva Los controladores de reserva que ejecuten Windows NT Server almacenarán también copias de la base de datos de cuentas del dominio. La base de datos de cuentas del dominio estará duplicada en todos los controladores de reserva del dominio. Todos los controladores de reserva, además del controlador principal de dominio, podrán procesar las peticiones de inicio de sesión por parte de las cuentas de usuario del dominio. Cuando el dominio reciba una petición de inicio de sesión, el controlador principal de dominio o cualquier controlador de reserva podrá autentificar el intento de inicio de sesión. Es conveniente que en un dominio haya uno o varios controladores de reserva, además del controlador principal de dominio. Estos servidores adicionales proporcionan un mecanismo de seguridad: si el controlador principal de dominio no está disponible, un controlador de reserva podrá ser promovido al puesto de controlador principal de dominio, lo cual permitirá al dominio seguir funcionando. La existencia de varios controladores de dominio permite también distribuir la carga de trabajo relacionada con las peticiones de inicio de sesión, lo cual resulta especialmente útil en dominios con un gran número de cuentas de usuario. Si en un dominio hay varios servidores que ejecutan Windows NT Server, uno de ellos será el controlador principal de dominio. Debe configurar al menos otro servidor como controlador de reserva. Si el dominio tiene servidores situados en distintas ubicaciones físicas conectadas mediante un vínculo de red de área amplia (WAN), cada ubicación deberá tener al menos un controlador de reserva. Servidores Además de los controladores principales y de reserva de dominio, existe otro tipo de servidor que ejecuta Windows NT Server. Se trata de servidores designados como "servidores", no como controladores de dominio, durante la instalación de Windows NT. Estos servidores pueden participar en un dominio, si bien no es necesario. Un servidor que participa en un dominio no consigue realmente una copia de la base de datos de usuarios del dominio, pero tiene acceso a todas las ventajas de la base de datos de usuarios y grupos del dominio. Cuando asigne derechos
  • 60. de usuario y permisos de objetos, o cuando cree grupos locales, dispondrá de cuentas de usuario del dominio en el que participa el servidor, así como de todos los dominios en los que confíe el dominio en el que participe el servidor. Estas cuentas de usuario pueden acceder al servidor y utilizar sus recursos, si usted lo permite. Un servidor que no participa en ningún dominio sólo tiene su propia base de datos de usuarios y procesa por su cuenta las peticiones de inicio de sesión. No comparte la información sobre cuentas con ninguna otra computadora y no puede utilizar cuentas de ningún otro dominio. En un servidor que funciona de esta forma, sólo las cuentas de usuario creadas en el propio servidor podrán iniciar una sesión en dicho servidor; además, sólo se les concederán derechos y permisos en ese servidor. Estos servidores tienen los mismos tipos de cuentas de usuarios y grupos que las computadoras con Windows NT Workstation, no los tipos de cuentas existentes en los dominios de Windows NT Server. Habrá veces, como en las siguientes situaciones, en las que querrá configurar una computadora como un servidor, en lugar de hacerlo como un controlador de reserva: Si el servidor realiza tareas extremadamente críticas en cuanto a tiempo y no desea que pierda tiempo en autorizar intentos de inicio de sesión en el dominio o que reciba una copia duplicada de una base de datos de usuarios del dominio. Si desea que el servidor tenga distintas cuentas de administrador o de usuarios que los restantes servidores de un dominio. Por ejemplo, podría tener una persona dedicada a administrar una base de datos SQL Server. Si convierte el servidor SQL en un servidor estándar, podrá hacer que dicha persona sea un administrador del servidor SQL. De esta forma, esa persona podrá administrar ese servidor pero no tener control sobre la base de datos de usuarios del dominio o sobre sus demás servidores. Si es posible que el servidor se mueva a otro dominio en el futuro. Es más sencillo mover un servidor de un dominio a otro que mover un controlador de reserva de un dominio a otro. Servidores con LAN Manager 2.x Los servidores con LAN Manager 2.x pueden funcionar dentro de un dominio cuyo controlador principal ejecute Windows NT Server. Sin embargo, un servidor con LAN Manager 2.x no puede ser un controlador principal dentro de un dominio que ejecuta Windows NT Server, ya que LAN Manager 2.x no incorpora todos los tipos de información que contienen las cuentas de Windows NT Server. Los servidores con LAN Manager 2.x almacenarán una copia de la base de datos de seguridad del dominio. Podrán validar los intentos de inicio de sesión que realicen computadoras con Windows para Trabajo en Grupo o software de
  • 61. estación de trabajo LAN Manager 2.x, pero no podrán validar los intentos de inicio de sesión que realicen los usuarios de Windows NT. No es aconsejable recurrir únicamente a servidores con LAN Manager 2.x como servidores de reserva dentro de un dominio que ejecuta Windows NT Server, ya que no pueden autentificar las peticiones de inicio de sesión desde computadoras con Windows NT Workstation y no podrán ser promovidos a controladores principales dentro de un dominio de Windows NT Server. Si desea obtener más información sobre el empleo de servidores con LAN Manager 2.x en la red, consulte la sección "Interacciones con servidores que ejecutan otros sistemas de red", más adelante en este mismo capítulo. Computadoras con Windows NT Workstation Para cada una de las computadoras con Windows NT Workstation de la red, podrá optar entre integrar la estación de trabajo en un dominio o en un grupo de trabajo. En la mayoría de los casos, lo más conveniente será integrar cada una de las estaciones de trabajo en un dominio. Este es el único modo de que un usuario con cuenta en un dominio de Windows NT Server pueda iniciar una sesión con esa cuenta en una computadora con Windows NT Workstation. Una computadora con Windows NT Workstation que forme parte de un dominio no obtendrá en realidad una copia de la base de datos de usuarios del dominio. Sin embargo, podrá aprovechar las ventajas que ofrece la base de datos de grupos y usuarios del dominio. Para obtener más información al respecto, consulte la sección "Interacciones con computadoras con Windows NT Workstation", más adelante en este mismo capítulo. Una computadora con Windows NT Workstation perteneciente a un grupo de trabajo dispondrá de su propia base de datos de usuarios y procesará personalmente las peticiones de inicio de sesión. Ninguna de las computadoras de un grupo de trabajo comparte información sobre cuentas. En este tipo de estaciones de trabajo, sólo será posible iniciar sesiones o recibir derechos o permisos para la estación de trabajo cuando se utilicen cuentas de usuario que hayan sido creadas en la propia estación de trabajo. Si desea obtener más información sobre los dominios y grupos de trabajo, consulte la sección "Interacciones con computadoras con Windows para Trabajo en Grupo", más adelante en este mismo capítulo. Estaciones de trabajo con MS-DOS Las computadoras con MS-DOS no pueden almacenar cuentas de usuario, por lo que no es necesario que pertenezcan a dominios como sucede con las computadoras con Windows NT. Normalmente, cada computadora con MS-DOS dispondrá de un conjunto de dominios predeterminado para examinar la red. Si un usuario de una computadora con MS-DOS posee una cuenta en el dominio, podrá configurar
  • 62. cualquier dominio como dominio examinador de la computadora del usuario; no es necesario que sea el dominio que contiene la cuenta del usuario.