p

Las 10 ms Buscadas ........... Pag 15

Seguridad, seguridad y ms seguridad ..... Pg 6
EI ABC de VPNs............................................. Pg 8
CIuster BeowuIf bajo LINUX.....................Pg 10
VPN y LINUX, con FreeS/WAN.................Pg 12
Open LDAP................................................. Pg 13
VPN redes inaImbricas........................... Pg 03
EI ABC de Ias redes inImbrica .............. Pg 05
SpIit DNS.................................................... Pg 09
-

- -

-

Aprenda a configurar su red inalmbrica con
una mima seguridad usando la tecnologa
VPN yde este modo evitar tener su red
totalmente epuesta a intrusos.
Mark Minasi es el autor de uno de loslibros
ms vendidos sobre Windows 2000 Server.
En sus newslettersha epuesto el concepto
de split brains DNS, que resulta muytil al
tratar de entender las funcionalidades de DNS
en nternet y Active Directory.
Hi gh Perf ormance Computi ng (HPC),
supercomput adoras, programacin en paralelo.
Todo est o realizado a un costo reducido
utilizandolatecnologaBeowulf bajo Linu.
Conozca los servicios ms comunes en
Windows2000. Luegodecidasi no le conviene
desactivar aquellos no usados de modo de no
eponer su computadoraaloshackers.
Cmo hago para acceder en forma remota a la
reddemi empresa?Cmoconectodos empresas
o dos sucursales a travs de nternet en forma
segura? VPN (Virtual Private Network) es la
solucin.

Conocer todo lo relativo a seguridad informtica

hace que el administrador de redes tenga en sus
manos la herramientams poderosa paracombatir
hackers y virus. En esteartculo se detallan cursos
y emenes queofrece Microsoft estableciendoun
Framework de aprendizaje sobre seguridad
informtica.
Unaintroduccinala basede datos
de MS. Con especial nfasis enla capacitacin
ligadaa basededat os.
Free S/WAN nos ofrece un modo de realizar
una interconein entre redes a travs de
nternet a un costo reducido. Se detalla cmo
implementar una VPNbajo Linu.

Ao 2N 2 2003
Marcos Ferrer
ne@neweb.com.ar
43127694
Edigrficas.a. Tel:4846236
Director
Propietarios
Cordinacin GeneraI
ResponsabIe deContenidos
Distribucin
Diseo WebSIte
Dr. Carlos OsvaldoRodrguez
CORTechnologies S.R.L.
Lic. Ursula Radics
Ariel Mella
ng. Alejandra Garca
Germn Douek
Jos Gatti
Dr. ReinaldoPis Diez
Emanuel Rincn
LorenaDe Lillo
Emanuel A. Rincn
PeridicodeNetworking
Registrode la propiedad ntelectual en trmite leg3038
Direccin: Crdoba65712
Capital Federal Tel:(011) 43127694
http: www.neweb.com.ar
Queda prohibida la reproduccin no autorizadatotal o
parcial delos tetos publicados, mapas, ilustraciones
y grficos incluidos en estaedicin.
LaDireccin de esta publicacin nose hace
responsable de las opiniones enlos artculos
firmados, los mismos sonresponsabilidadde sus
propios autores.
Las notas publicadas enestemedionoreemplazan la
debida instruccinpor partedepersonas idneas.
Laeditorial noasume responsabilidad alguna por
cualquier consecuencia, derivada de la fabricacin,
funcionamiento y/outilizacindelos servicios y
productos que sedescriben, analizano publican.
El staff deNe colabora ad-honoren, si desea
escribir paranosotros enviar une-mail a:
articulos@neweb.com.ar
Tiradadeesta edicin: 5000 ejemplares
Coordinador EditoriaI
Carlos Rodrguez Bontempi
Dr. Carlos OsvaldoRodrguez
Redactores
Diseo Grfico
PubIicidad
Preimpresin eImpresin
-
?- -

--
-
Usted tiene en sus manos Ne #2. Una publicacin
que para nosotros tiene mucha importancia, puesto que la
pregunta respecto de si un peridico de networking y
programacin de distribucin gratuita tendra repercusin
nos fue ms que satisfactoriamente contestada. Slo
recibimos elogios por el primer nmero y solicitudes para la
pronta publicacindel siguiente.
Tras semej ante r eper cusin, con enorme
entusiasmo, organizamos Ne #2, que contiene temas de
Windows, Linu, seguridad, programaciny certificaciones.
Esta edicin apunta bsicamente a VPNs y redes
wireless (inalmbricas). Hay dos artculos ABC en cada
tpico que recomendamos como de primera lectura. Dos
notas -" VPN, la solucin par a seguri dad en redes
inalmbricas usando W2K" y "VPN y Linu: bajando costos
con FreeS/WAN" - ejemplificanconceptos deVPNs bajo W2K
y Linu, respectivamente.
Otros informes completan este nmero, con una
singul ar idad, ya que al gunos fuer on escr itos por
especialistas de nuestra comunidad: Ariel Mella (MCSE,
LPC-nivel 2), Doctor Reinaldo Pis Diez, ngeniera Alejandra
Garcay GermnDuek (MCSE, MCT) entreotros.
Adems de la seccin tcnica del artculo sobre
"Open LDAP", destacamos cmo fue implementado ese
proyecto mediante la colaboracin entre una empresa
privada y la Universidad de Purdue en Estados Unidos. Algo
muy similar ocurri con la interaccin del Cornell Theory
Center y Microsoft en el desarrollo de un centro de High
Performance Computing (HPC).
Y como vern, tambin incluimos preguntas de las
certificaciones Microsoft y LP que han sido compaginadas
por nuestros especialistas: Jos Gatti, ng. AlejandraGarca
y Ariel Mella... unverdaderodesafo parafuturos epertos.
nvitamos a quienes deseen participar con notas,
paraello debencontactarse a: articulos@neweb.com.ar
Poner nuestras computadoras en red puede
resultar sumamente sencillo sin la necesidad
de utili zar cables. El mundo wireless
(inalmbrico) nos permit e esto y ya est
accesible aun precio muyconvenient e.
Retire su ejemplar
en forma gratuita en Crdoba 657
piso 12 Capital Federal
o solictelo telefnicamente par a
su empresa al (011) 43127694
http: www.neweb.com.ar

Contamos cmo fue implementado con gran ito

OpenLDAPcomoel servicioprincipal de directorios
para entornos heterogneos en una gran empresa
en ndiana en colaboracin con la Universidad de
Purdue. Ademas delaparte tcnica es interesante
destacar la interaccinempresa-academia.
-
Nueva seccin sobre eventos de T primos.
Quienes desean aparecer en esta seccin
contactar eventos@neweb.com.ar
-

El estudio se bas en crecimiento, reputacin y

aceptacin dela industria. A esto se leagregaron
otros factores: utilidad, puedehacer una
diferencia en la carrera?, cual brillara mas?.
- -
?- --
-
- ?-
- -
?- -- -
a7 --
- -
-
-

Microsoft, ntel y Dell firmaron un acuerdo con la

Universidad de Cornell de modo de desarrollar en
forma conjuntasoluciones y servicios comerciales de
HPC destinados a la industria, gobierno y mbitos de
investigacin. Nuevamente aparece la relacin
empresa-academia.
Server
Figura 1
WireIess AP
Workstation Hub o Switch
FirewaI I
u v i ene por def ec to como
seguri dad con I a i nfraestructura
i naI mbri c a?
Eiste mucha documentacin en nt ernet
acerca de cmo asegurar una red inalmbrica
usando nada ms que el equipo que su
fabricante le provee. Los procedimientos para
hacerlo varan de fabricante en fabricant e.
Mencionemos las dos tcnicas ms comunes:
Wire Equivalent Privacy (WEP) y listas de
Media AccessControl (MAC).
La infraestructura de encriptacin que viene
por def ecto para redes inalmbricas ya hace
tiempo que ha sido quebrada. As se use un
WEP de 40 bits o uno de 128, un int ruso puede
decodif icar el cdigo de WEP que usa para su
red. Esto es seguramente muy llamativo pero
an ms es saber del gran nmero de redes
inalmbricas que ni siquiera usan WEP. Si
realiza el ejercicio de eplorar redes inalmbri-
cas, encontrar muchos APs inalmbricos, y
casi ninguno de ellos usarn la encriptacin. La
mayora de la gent e se toma su tiempo para
nombrar a sus redes inalmbricas, simplifican-
do todava ms la tarea de determinar quien
est corriendo una red abierta. Muy probable-
ment e usen el nombre que identif ica a la
empresa. Si no planea usar WEP, al menos
deber a evitar dar a su red un nombre
descriptivo.
Aunque WEP ha sido quebrado, puede
ut ilizarlo como punto de partida de seguridad
para desalentar a la gente a procurar entrar a su
red. Algunas revisionesms nuevas de equipos
inalmbricos mejoran la seguridad de WEP,
haciendo que su cdigo de WEP sea mucho
msdif cil-sino imposible- de decodif icar.
Algunos APs inalmbricos le permit en
construir una t abla de direcciones de MAC
autorizadas. Esta direccin MAC es nica de
cada N C( ) inalmbrica.
Si un NC inalmbrico no aut orizado int enta
asociarse con su AP inalmbrico, el AP lo
rechaza. Est e paso et ra t oma un poco de
esf uerzo ya que necesita agregar manualmente
cada t arjeta a la t abla de MACs aut orizados.
Sin embargo, hacindolo se le agrega una capa
etra de seguridad a su implement acin
inalmbrica.
La causa fundamental de lasdeficiencias de
las redes inalmbricas est en las reas de
autenticacin yencriptacin. Los APs inalmbri-
cos realizangeneralmente muy poco, o ninguna
autenticacin del usuario. Si el usuario se
encuent ra dentro del alcance de su AP y usted
no est a usando ningn tipo de seguridad, el o
ella se conecta a su red. WEP proporciona
alguna mejora pero no es la solucin f inal. La
pregunta es: qu clase de tecnolog a de redes
puede darle aut enticacin a los usuarios que
vienen de un espacio poco conf iable y encriptar
sus comunicaciones para que nadie pueda
int erceptarlos? La respuest a es VPN.Una VPN
resuelve lasdef iciencias corrient esde lasredes
inalmbricas. Pero conectarse se vuelve un
poco ms complejo para sus usuarios. Si ya
invirt i tiempo en const ruir una infraestructura de
VPN para que sus usuariosmviles accedan a
WEP
List as de di recci ones MAC
S eg uri da d
(Wi re EquivaI ent Pri vacy)
Network Interface Card
Si en sus oficinas eiste un AP (Access Point) wireIess (inaImbrico),
cuaIquiera con una Iaptopy eI software apropiadopuede asociarse a sured y
as acceder a documentos confidenciaIes o mensajes de e-maiI. CuaIquiera
puede senciIIamente instaIar un AP inaImbrico sin que ust ed
(administrador) se ent ere, creando as un agujero en Ia seguridad de su red. A
continuacin veremos cmopodemos configurar APs usandoIas capacidades de
seguridad que vienendeI fabricante enconjunto conMicrosoft Routingy Remote
Access Service (RRAS). As Iograremos protegernos ydisminuir Ios riesgos.
la red de su organizacin a t ravs de nternet
instalar una VPN para autenticar usuarios
wireless es relativamente f cil.
Vamos a mirar una red corporativa ficticia
antesydespusde usar unVPNpara asegurar las
coneiones inalmbricas. La muestra un
diagrama de red de una tpica implementacin
inalmbrica, con el AP inalmbrico det rs del
firewall de su corporacin. En sta configuracin
usted pudo haber gastado mucho dinero en
equipos de firewall para mantener coneiones
poco confiables fuera de la red, pero este tipo de
implementacin abre un gran agujero dentro del
espacio confiable de la red. Es como poner
candadosen la puertaydejarla ventana abiert a.
La muestra una forma segura de
implementar unAP inalmbrico: detrsun servidor
VPN. se tipo de implementacin provee alta
seguridad para la implementacin de sus redes
inalmbricas sin sumarle mayor dificultad a sus
usuarios. Parauna prot eccin etra, puede probar
moviendo el servidor de VPN al frente de su
firewall, pero como los APs son t picamente
dependientes de la distribucin fsica, esta
posibilidad no funcionarparatodos.
Si usted tiene ms de un AP inalmbrico en su
figura 1
figura 2
a
Usted esta analizando el esquema de
administracin de una WANque consiste
en cinco LAN. Cada LAN contiene PCs
con W2000 y Windows NT 4.0. En cada
LAN, un Windows 2000 Server esta
configurado como servidor WNS en orden
para proveer resolucin de nombres
Netbios a las direcciones P para las PC
con Windows NT 4.0. El cuadro de la
izquierda represent a el modelo de
replicacin WNS en la WAN.
Todos los Pull Partners mantienen
coneiones persistentes sobre links de
ancho de banda relativamente buenos. La
replicacin Pull ha sido configurada para
ocurrir entre el WNS01 y WNS02 cada 45
minutos. La replicacin Pull ha sido
configurada para ocurrir entre el WNS01 y
WNS03 y ent re W NS01 yW NS04 cada
30 minutos. La replicacin Pull ha sido
configurada para que ocurra entre
WNS01 y WNS05 cada hora.
Cual es el tiempo de convergencia Pull
para la WAN?
Rt a: E
A- 30 Minutos
B- 45 Minutos
C- 1 Hora
D- 1 Hora y 30 Minutos
E- 1 Hora y 45 Minutos
F- 2 Horas y 15 Minutos
-- -
- ?- -
~ Recomendamos leer previamente el artculo de
"
" y "El ABC de VPN" ~
NEX El ABC de redes inalmbricas y Access
Points (APs)
Server
Figura 2
WireIess AP
Workstation
Hub o Switch
FirewaI I
organizacin, le recomiendo conectar a todos
dentro de un mismo switch, y ah conecte su
servidor VPN. De este modo, sus usuarios de
desktop, no necesit arn t ener mlt iples
configuraciones dial-up. Ellos siempre estarn
autenticando al mismo servidor VPN sin importar
acual APinalmbrico estnasociados.
InstaIacin deI servidorVPN
Vamos a hablar sobre el hardware que va a
necesitar este proyecto. Primero, necesitar un
servidor para actuar como su dispositivo de
entrada VPN (Gateway VPN) y controlar quin
entra asu redsegura. La mquina no necesita ser
un servidor superpoderoso.
Necesita instalar dosNCs(placasdered) en
el gateway VPN, uno para su red poco segura y
otra para la red interna segura. Si usted ha
implementado una VPNpara usuariosbasada en
nternet , estar familiarizado con st e proceso.
Enchufe el AP inalmbrico- y nada ms-
directamente en la interface de la red insegura.
Cualquiera que se asocie con su AP inalmbrico
podr rastrear sololainterfacedesuservidor VPN
inseguro y cualquier otro cliente asociado con el
AP. El servidor VPNse vuelve el gatewaypara su
red interna, decidiendo a quien permite ya quien
serechaza.
Para comunicarse con la interface insegura
de su servidor VPN, sus usuarios inalmbricos
deben tener una direccin de P insegura
asignada. Si su APinalmbrico tiene capacidades
de servidor DHCP, puede configurar el AP para
repartir direcciones P inseguras a todos los que
se asocien (recomendado). Si su AP inalmbrico
no tiene capacidades de servidor DHCP, usted
puede instalar el servicio DHCP en su servidor
VPN y configurarlo para que reparta direcciones
P inseguras solo en la subred de la interface
insegura.
Por ejemplo, asumamos que la red insegura
comprendeel rango de direccionesde Pobtenida
de 192.168. 0. 0/24 (con una mscara de
255.255.255.0) y se AP inalmbrico repartir
una direccin de P en ste rango a cualquier
disposit ivo que pida uno. Tambin asuma que la
interface de su servidor VPNinseguro tenga una
direccindePde192.168.0.65
Para su red interna, asuma que su
organizacinha usadoel rangodedireccin P de
10.18.0.0/ 16 (con una mscara de 255.255.0.0).
Para el segmento de red al que el servidor VPN
est conectado, asuma que ladireccin de Pest
en el rango de 10.18.16.0/ 24 y que el servidor de
VPN tendr una direccin P de 10.18.16.10
asignada alainterface segura.
En este punto, si usted coloc el servidor
VPN entre su AP inalmbrico y el resto de la red,
un usuario inalmbrico puede asociarse con su
AP inalmbrico-yeso estodo. El primo paso es
configurar el servidor VPN as puede autorizar
apropiadamente a sus usuarios y permitir su
accesodentro desu red interna.
Paracomenzar a instalar las capacidadesde
VPN en el servidor, seleccione Start, Programs,
Adminstrative Tools, Routing y Remote Access.
Cuando el Microsoft Management Console
(MMC) Routing y Remot e Access aparezca
parpadeando, haga clic (derecho) en el nombre
del servidora laizquierdayseleccioneConfigurey
Enable Routing y Remote Access. Haciendo esto
empezar el y el
.
Microsoft ha simplificado la instalacin del
servidor VPN (comparado con lo que hay que
hacer en el Windows NT 4.0), as que recorriendo
las pantallas del wizard se hace sencillo. Veamos
cada pantalla, empezando por la pantalla de
(configuraciones ms
comunes), comomuestra la figura 3.
Routing Remote Access Server
SetupWizard
Common Conf igurations
Elija instalar un servidor VPN seleccionando
Virtual Private Network (VPN) Server. Haga clic
para proceder a la pantalla de
, como en la figura 4. sta pantalla esun
poco desconcertante, no t iene demasiado
propsito. El wizardprovee una lista de protocolos
yle pidequeasegure que todoslosprotocolosque
necesita para soport ar a sus clientes estn
instaladosenel servidor. Si usted selecciona
, el wizard no le dejar
reconfigurar su red de trabajo. Simplemente
renuncia.
Net
NO, I
need to add protocols
Remote Client
Protocols
Figura 3
Figura 4
Ustedtambinpuede deseleccionarprotocolos en
sta pantalla; por ejemplo, para no permitir PX
sobre su VPN. Entonces, si usted tiene los
protocolos correctos instalados en su sistema,
seleccione
yluego haga clicen
Yes, all of the available protocols
are onthis list Net.
VPN Server
-

V illage Pi lar
R ut a P anamer icana k m. 50. P ilar
Vi llage R ec oleta
Vic ente Lpez 2050. Buenos Air es
A v. Sant a Fe 1818. B uenos A ir es
S uipac ha 764. B uenos A ir es
Vi llage R os ari o
Av . Ev a P ern 5856. Ros ar io
A v. Gr al. P az 57 . Cr doba
M edrano 919. B uenos A ir es
A v. C r doba 2067. B uenos A ir es
Fl ori da 628. B uenos A ir es
-
-

Lo ms tpico es implementar VPNs a travs
de nternet que acta como medio inseguro. Por
lo tanto la prima pantalla wizard,
, que se muestra en la , pide
cul NCapunta a su conein a . En este
caso considere nternet como sinnimo de
y seleccione la int erf ace de red
apropiada. En est e ejemplo escogimos la
interface con la direccin P 192.168.0.65 que es
la direccin que se defini para la conein a la
redwirelessinsegura. Hagaclicen .
Internet
Connection
Internet
figura 5
Net
WireI ess
Para dejar a sus usuariosde wireless comunicar-
seensu red interna, necesita darlesuna direccin
de P dentro de su espacio interno de la red. A
algunos administradores les gust a usar su
servidor DHCPprimario para sta tarea(con osin
uso de relay-agents agentes relay de retransmi-
sin)-peroes pref eribletener el servidor VPNpara
repartir direcciones. Al hacer est o ayuda a
simplificar fallas.
Figura 5
Figura 6
Figura 7
pantalla wizard en la cual usted puede definir
rangos dedireccionesque suservidor VPNpuede
repartir. Haga clic en en la pantalla para
acceder a una caja de dilogo en la cual pude
agregar el rango de la direccin de P apropiada
por usar, como en la . Haga clic en
para ir al laltima pantalla wizard, que pregunta si
se quiere usar un servidor
(RAD US) para autenticar.-
Asumiendo que quiera utilizar su
(AD) o la base de datos de un dominio NTpara
autentificacin, responda
, yhagaclicen
. Se ha finalizado lainstalacinde suservidor
VPN.
Para probar la implementacin de su nuevo
servidor VPN, usted querr instalar unworkstation
inalmbrico o laptop y probar cada parte de su
conein: desde el AP inalmbrico al servidor
VPN en el lado inseguro de la red y a su red
interna.
Si usted bootea su estacin de prueba con el
N Cinalmbrico, debera poder asociarse con el
AP. Puede chequear los drivers provistos por el
fabricante de su equipamiento inalmbrico para
ver con cul AP se ha podido asociar. O, si est
usando Windows XP, el propio sistema operativo
debera decirle a cul AP inalmbrico est
conectado. Verifique que su workstation de
prueba est recibiendo una direccin TCP/ P
insegura del servicio DHCP en su AP (si la
configur para hacerlo) o de su servidor VPN (si
instalDHCP).
Si su workstation de prueba ha obtenido una
direccin de P insegura, usted puede "pinguear"
la interface insegura del servidor VPN usando el
comando Ping en el command prompt. Haciendo
esto se verif ica apropiadament e la conectividad
de su workstation, del AP inalmbrico y de la
interface insegura del servidor VPN. Si obtiene
una respuesta eitosa del ping, todo t rabaja
debidamente hasta ahora. Si no obtiene una
respuesta del ping, resuelva el problema ant esde
continuar.
Ahoraesmomento deestablecerunaconein
VPN a su red interna. Desde el desktop del
New
figura 7 Net
No, I dont want to set
this serveruptodo RADIUS now
Net
Remote Authentication
Dial- n User Service
Active Directory
InstaIacin de un cIiente VPN
Windows XP o 2000, seleccione
and , y haga doble
clic en . Haciendo esto se
lanza el , el cual
solicitar la informacin necesaria acerca de la
conein que quiere realizar. En la pantalla
, 8, especifique
una conein VPN seleccionando
Haga clic
en
Start, Settings,
Network DiaI-up Conections
Add NewConnection
Ia figura
Connect to a
private network throughthe Internet.
Net.
Network Connection Wizard
Network Conection Type
establece el tnel VPN a su servidor VPN, el cual
lo autentica a ust ed contra la base de datos ADo
contra la cuenta local de base de datos. Luego
que usted est apropiadamente autenticado, el
servidor VPNleasigna asu workstat ion de prueba
una direccin de P y empieza a encaminar su
trfico a la red interna. Usted puede verificar este
ruteo corriendo el en su workstation de
prueba y chequeando la direccin de P que le ha
sido asignada. Usted debera ver una direccin
segurayunainsegura.
Ahora tiene una red inalmbrica protegida
usandoVPN.
Usted se preguntara qu le sucede a los
usuarios de laptopsque se mueven alrededor de
la oficina yvan deuna APa ot ro. Porque cada AP
le da un enlace especfico de direcciones
inseguras, la direccin P insegura de un usuario
que cambia de APs, tambin cambia. RRAS
procura instalar un tnel VPN seguro para la
comunicacin con el dispositivo del usuario que
de repente cambia sudireccin P. Sin embargoel
tnel VPN se quebrar. De todas formas si usted
selecciona la opcin "Redial if line is dropped",
cuando usted defina el perfil de la conein de su
cliente, puede estar seguro de que el Windows
tratar de reestablecer la conein cuando haya
sidoperdida.
pconf ig
Figura 8
--
- - - -
-- - -
-- -
-
La prima pantalla del wizard le pide el
nombre DNSo ladireccin de Pdel servidor VPN
al que ust ed se quiere conectar. Probablement e
usted not enga unDNS disponible paraunusuario
inalmbrico quien no ha sido propiament e
autenticadotodava, as que useladireccin de P
de su interface insegura del servidor PVN:
192.168.0.65, enel ejemplo-yhagaclicen
Las ltimas dos pantallas del wizard son
simples, preguntando si quiere hacer disponible
esta conein solo para usted o para todos los
usuarios. Responda la pregunta apropiadament e
segn susit uacin.
Ahora, empieza la diversin. Empiece la
conein DUN y provea un nombre de usuario y
passwords en el bo de logon (su servidor VPN
necesita verificar que su cuenta de usuario ha
sido otorgada va acceso dial-in). Su sistema
Net.
Consejo
Una red wireless requiere una cuidadosa
implementacin. Como son tan fcilesde instalar,
es comn simplemente enchufarla y listo. Sin
embargonunca debe conectar un AP inalmbrico
a su red y dejarla. Si hace eso, bien podra tirar
unoscables Ethernet a la calle por la ventana de
su oficina, porque usted est efectivamente
abriendo su reda cualquiera dentrode30 m. desu
oficinaque tengaun NCinalmbrico.
Usted puede descansar asumiendo que su
informacin inalmbrica est segura dentro del
tipo de implementacin que describe este
artculo? Algunas organizaciones etremamente
preocupadas en seguridad estn usando VPN
para asegurar sus comunicaciones inalmbricas.
Sinembargoel riesgosiempreeiste.
Si usted quiere su gateway VPN asigne
direcciones de P internas a sus usuarios
inalmbricos, seleccione
en la pantalla P Adress
Assignment, como muest ra la 6, y haga clic
en . Seleccionar sta opcin lo lleva a una
Froma Specifiedrange
of addresses
figura
Net
L a l n ea de c om ando en
Windows 2000, XP Y .NET Server
Si usted es un administrador eperiment ado seguramente
ser un entusiasta de la lnea de comando. Quizs siempre
buscando nuevas formas de hacer cosas desde la l nea de
comando. Casi indispensable si va a administrar mquinas
remotamente usando SSH.
Mire en\ winnt\help\ ntcmds.chm. Esun archivo de ayuda que
cubre todas las herramientas que pueden usarse desde la lnea
de comando de Windows 2000, XP y .NET Server. Aqu
mencionamos algunos comandos interesantes que vienen con
XP:
le permite controlar servicios, incluyendo la habilidad de
desinstalar serviciosenteramente desde Registry.
le permite interrumpir "cualquier" programa corriendo
en "cualquier" computadora (asumiendo que usted tenga el
derecho dehacereso).
reformatea informacin Perfmon desde su formato de
registrobinarioa CSV uotrosformatos.
controlan y
eaminan registros de eventos para computadoras locales y
remotas.
devuelvela direccinMACde su placade red.
esel sucesor deFDSK, una herramientaparticionado-
radel disco etremadamentepoderosa.
Cualquiera que alguna vez haya trabajado con el formato ARC
del boot.ini, legustar .
lepermite averiguar quien tiene unarchivo dadoabierto.
Entonces, cuando usted recibe un mensaje diciendo que no puede
suprimir ese archivo porque est en uso, puede averiguar quin lo
est usando.
esunapoderosaherramienta con una interface algo etraa
que le permite eaminar y cambiar la informacin de Windows
Management nstrumentation ensucomputadora.
Hay muchsimos ms de est os comandos. Las lneas de
comando valen la pena ser investigadas. Son a menudo la
herramienta indispensable cuando se trata de arreglar un sist ema
que no responde demasiado bien en el GU, pero que por lo menos
nospermite abrir lavent anadel commandprompt .
*Sc
*TaskkiII
*ReIog
*Eventquery, eventcreate y eventtriggers
*Getmac
*Diskpart
bootcfg
*OpenfiIes
*WMIC

--
--

-
7
-- -
--

La fleibilidad, conveniencia y ahorro

tientan a las compa as a hacer
coneiones inalmbricas entre edificios o travs
de un campus. Estas wireless estn
basadasensu mayoraen la tecnolog a802.11b.
Veremossomeramente lasnuevastecnologas
y como funcionan. Bsicamente, la
tecnologa AP y el concepto de y
asociacin.
La tpica infraestructura WLAN (ver Figura 1)
consiste en mltiples APs conect ados cada uno
por cable a una LAN para formar un puente
transparente para clientes inalmbricos. Los
clientes inalmbricos son por ejemplo, comput a-
doras porttiles, desktops o PDAs que tienen
tarjetas inalmbricas de acceso compatibles y
utilizan un protocolo de radio a una dada
frecuencia para comunicarse. Los APs general-
mente proporcionan una manera transparente de
conectar un dispositivo inalmbrico a una red
cableada. Cuando un client e inalmbrico se
conecta y autentica (se asocia) a un AP, el cliente
puede solicitar una direccin P y acceder a los
recursosde lared.
LAN(WLAN)
WLAN
roaming
802.11b es mas lenta que 802.11a pero es
mas popular y sus costos mucho menores.
Recordar que estos estndares NO son
compatibles (Ver el recuadro sobre la nueva
tecnologa802.11g).
Las figuras 1, 2 y 3 nos muestran las mas
t picas arquitecturas wireless basadas en
tecnologaAP. En el caso de laFig. 1 cada AP nos
conecta directamente alaLAN. Esto normalmente
con cable categora 5. Tener mltiples AP nos
etiende la WLAN y permite a usuarios mviles
hacer " " (deambular) en nuestrasoficinas
ocampus.
La segunda posibilidad nosla ilustra la figura
2. Algunos APs pueden actuar como
entre por ejemplo,
dos edificios cercanos. Aqu la tecnologa de
antenas se vuelve mas sofisticada (por ejemplo,
aparecen antenas unidireccionales) de modo de
etender las distancias y aprovechar las altas
ganancias de recepcin y emisin (Ver
www.cort ech.com.ar
A veces un AP se conecta a otro AP lo que
permite etender el rango de reacubierta. Un AP
roaming
"puente
inalmbrico" (wireless bridge)
Eisten en Ia actuaIidad un nmero grande de productos fciImente
configurabIes y de bajo precio que nos permiten estabIecer una red
" " (inaImbrica). Esta red puede estar compuesta por un
conjunto de mquinas cada una con una (Network Interface Card
Tarjeta de red) inaImbrica que se comunican entre s en una
configuracin IIamada o modo ad-hoc. O, Ia arquitectura
mas frecuente hoy da (y Ia que describimos aqu): Ia tecnoIoga de wireless
NIC
'peer to peer'
AccessPoint (AP).
Figura 1
Wired Server
Wired CIient
Ethernet Lan
WireI ess CIi ent
WireI ess CIi ent
AP1
WireI ess CIi ent
AP2
LaTecnoIoga
La tecnologa
desarrollada por las Fuerzas
Armadas de USA es particularment e resistente a
interferencia e interrupcin. La mayora de los AP
802.11b usa esta tecnologa. Opera bsicamente
a 2.4 Ghzen la banda de frecuencia llamada SM
(ndustrial Scientificand Medical)
Esta soporta canalesdesde11 Mhza 22 Mhz
(3 de ellos de 1,6 y 11 no se sobreponen). La
tecnologa 802.11b realiza la transferencia de
datosen forma half duple de 1Mbps, 2 Mbps, 5.5
Mbpsy11 Mbps.
Eiste otra alternativa, la 802.11a que usa
que opera en la banda de frecuencia
de 5 Ghzysoporta hasta 54 Mbpsy8 canalesque
no se superponen.
DSSS (Direct Sequence
Spread Spectrum)
OFDM (Ort hogonal Frequency Division
Multipleing)
opera como repetidor. La Fig. 3 muestra est a
tercera arquitectura. Debidoqueel APdeberecibir
y ret ransmitir datos, la salida es reducida en un
factor 2 por cadarepet idordelacadena.
Como curiosidad comentamos que la
( ) trabaja en un
" " (RFC3344ftp: //ftp. isi.edu.in-
notes/ rfc3344.tt). "Mobile P" es una modificacin
de TCP/P que asigna al client e wireless dos
direcciones P: una "home" y otra " ". El
sistema operativo y aplicaciones se ligan a la
"home" yeste P no se modifica. La P "care-of " se
IETF
Internet Engineering Task Force
mobileI PStandard
care-of
Wired Server
Wired CI ient
Figura2
Wired CI ient
Wired Server
Lan 1
Lan 2
AP 1 In bridge mode
AP 1 In bridge mode
asociacon la subred del APal cual este clientese
asocia. Y, puede cambiar dinmicamente
dependiendo del AP quese conecte.
Finalmente, describamos los conceptos de
" y Asociacin. Cuando uno inicia un
cliente wireless, ste localiza y se "asocia" al
mejor AP. Utilizando un protocolo de radio,
dist ingue cual es el "mejor" AP. "Mejor"
tpicamente incluye calidad de la seal y carga en
el AP(perononecesariamente cercana).
Cuando el cliente hace la calidad de
seal entre el cliente yel AP se deteriora, lo que
causa que el cliente se disocie. Roaming es la
caract ersticaquelepermite al cliente moversede
AP en AP sin dejar caer su conein de red.
Quizs uno participe de una conferencia en la
biblioteca de laempresa yluego con su laptop se
dirija a su oficina. En este momento la calidad de
la seal es posible que se degrade y el cliente
wirelessse asocia aot roAP.
Roaming"
"roaming"
WireIess CIient
AP
AP Repeater
Wired
CIi ent
Wired
Server
Figura 3
Ethemet LAN

http://www.neweb.com.ar
Para fines del 2003 estarn a la vent a
product os wireless (inalmbricos) que
funcionarn bajo la norma
Est e prot ocol o permit ir a la r ed
comunicarsea 54 Mbps, un factor 5 respect o
del ms comn usado hoy el de 11
Mbps. Lo muy interesante es que ser
compatible 100%con la tecnologa .
IEEE 802.11g.
802.11b
"g"
"b"
Nueva Tecnologa
802.11g

(Rec omendamos l eer el art cul o
complementario "HPC a un costo reducido:
Cluster Beowulf bajoLinu")
Eisten en la actualidad investigaciones
cient ficas, aplicaciones, servicios y
desarrollos industriales cuyos proyectos
incluyen clculos de alta complejidad.
Estoeige grancapacidad computacional
(velocidad de procesamiento, mucha
memoria yfiabilidad).
Estas mquinas se las denomina
"supercomputers"o HPC.
El mundo del HCP ha verificado un
cambio muygrande. Se han reemplazado
losmainframespor servidorestrabajando
en cluster (empresas como , ,
son slo ejemplos de quienes provean
esta infraestructura). Esto ha permit ido
que centrosde investigacin yempresas
p u e d a n t e n e r s u s p r o p i a s
"supercomputers" ya que adquieren
progresivamente servidores a medida de
sus necesidades. El sistema operativo
W2K ha permitido a Microsoft part icipar
en dar solucionesdeHPC.
La pri mer a i mpl ement aci n en
supercomput acin sobre Microsof t
Windows2000 larealiz el Cornell Theory
Center. Se construy el
. st e es un cluster basado en el
sistema operativo W2K, f ormado por 256
procesadores de ntel dist ribuidos en 4
servidores Power Edge de Dell. La
cone i n se re al iza me di ant e
adaptadores de host cLANy switches de
clust er. Esdedestacar que la Universidad
de Cornell firm un acuerdo con
Microsoft , ntel y Dell de modo de
desarrollar conjuntamente soluciones y
servicioscomerciales de HPCdestinados
a la indust ria, gobierno y mbit os de
investigacin.
Quines necesitan tant o poder de
clculo? Est os abarcan complejos
trabajos de f sica, investigacin espacial,
desarr ollo de nuevos product os
farmacut icos, estudios de aerodinmica
en la industria aeronut ica, diseo de
automviles, simulacionesdet erremot os,
prediccin meteorolgica, astronoma,
representaciones 3D o estudios de
cambiosclimticos. Talesproyectosno se
podran realizar sin la ayuda de tales
cerebrosinf ormticos.
Para msinformacin:
www.research.microsoft.com
www.tc.cornell.edu
www.microsof t.com/windows2000/hpc/
CRAY IBM
AC3 Velocity
Cluster
La red de Windows 2000 de su
Empresa esta configurada de la
maneraquelomuestrael grfico.
Laconein de nternet se paga
deacuerdoal consumodeancho
de banda, es por eso que la
direccin de la empresa quiere
limitar el nmerode usuarios que
acceden anternet. Sloalgunos
usuarios tienen permitido el
acceso a nternet. Cuando esos usuarios con permiso para usar nternet
naveganenlaspginas Webdebeningresar sunombredeusuarioycontrasea
aun para navegar en las pginas Web de la ntranet de la Empresa.Otros
Usuarios que no tienen permitido el acceso a nternet pueden acceder al
Servidor delantranet delaEmpresasinqueseles pidalascredenciales. Usted
quiereque las credenciales (nombredeusuarioy contrasea) sean requeridas
sloparael accesoanternet peronoparaelaccesoalantranet.
Qudebera hacer usted para cumplir conesta tarea?
A- Configurar eI Servidor Proy para configurar eI acceso aI servidorWeb IocaI para
todos
B- Configure Ios navegadores deIos usuarios para hacerun puente paraeI proy
Server para Ias direcciones IocaIes. (bypassproyserver for IocaI addresses)
C- Configure eI Servidor Web IocaI para permitir eI acceso aTodos
D- DgaIe a Ios usuarios quetienen permiso para navegar en Internet que instaIen
otracopia de Internet EpIorer, que usen una paranavegar en Internet y otra para
navegar en Ia Intranet Rta: B
Diseado para quienes toman decisiones e
ngenieros T, esta clnica de tres horas le
demostrarcmo:
*dentificar riesgosdeseguridad
*Asegurar el permetrodelared
*Planear unaestrategiadeseguridad
*Realizar un evaluacin deriesgo
*Asegurar servidores, workstations y
servicios
*Responder a unincidente deseguridad
Estar familiarizado con lo que
ofrece Windows 2000 en seguridad, incluyendo
plantillas de seguridad, polt ica de grupo y
administracin de cuentas
Pre-requisitos:
Diseado para profesionales de T que quieren
perseguir un rol de especialista en seguridad y
credenciales asociadas, st e curso de 4 das le
ensear cmo:
*mplementar un "base-line" de seguridad
para su organizacin
*Proteger informacin usando controles
de autenticacin y acceso
*Aumentar el nivel de seguridad de
accesos remotos para su organizacin
*Asegurar servidores web, e-mail y
mensajeros instantneos de amenazas
comunes
*mplementar una estrategia de
recuperacin ante un desastre de
seguridad, y ms
Un ao de manejo de redes
TCP/P oconocimient oequivalent e, yeperiencia,
y un ao manejando Microsoft Windows 2000
Servero conocimiento equivalenteyhabilidades.
Pre-requisitos:
La herramienta ms poderosa que tiene eI administrador de redes contra hackers y virus es eI "conocimiento".
Microsoft hadesarroIIado una serie de cursosy emenes de certificacin sobre seguridad. Hay bsicamente dos
perfiIes de cursos: para profesionaIes de redes (IT professionaIs) y paradesarroIIadores (quienesprograman). En
stearticuIo detaIIamos varios pasos que sepueden tomar en ambosperfiIes paraobtener ese"conocimiento".
_

Microsoft Security Clinic
( Clinic 2800 )
CInica de
Seguridad de Microsoft-
Paso # 1:
Paso # 2:
Fundamentals of Network Security-
Fundamentos de Seguridad enla Red-
(Course 2810)
Paso # 3:
de SA usando alertas, logging, reports y
monitoreo
nst alar y configurar el servidor SA
paraunambienteempresarial, yms
Curso 2152, mplementing
Microsof t Windows 2000 Professional and
Server, o conocimiento equivalente; o curso
2153, mplementing a Microsoft Windows 2000
Networknfraestructure.
Pre-requi sitos:
Aumente su Profesionalismo tomando
estos Cursos Avanzados:
Deployingand Managing Microsoft
Internet Security and Acceleration
Server 2000 Implementar y
Controlar Isa Server Windows 2000
(Course 2159)
DesigningSecurity for a Microsoft
Networks - Disear la Seguridad para
Redes Microsoft (Course 2830)
Diseado para T Systems Engi neers y
especialistas enseguridad, este curso de3 das le
ensear cmo:
Analizar riesgos de seguridad y planear
un marco de trabajo para la seguridad de
redes
Disear un procedimient o y polt icas
de respuesta a incidentes para manejar
redesyseguridad
*Disear seguridad para recursos f si co s,
computadoras, cuent as, autenticaciones,
datos, transmisin de dat os, y permetros de
red.
Una fuerte familiaridad con
Windows2000, sustecnologasbase, tecnologas
de redes y su implementacin, y tecnologa de
serviciosdedirectorio ysu implement acin.
Pre-requisitos:
Designing a Secure Microsoft Windows
2000 Network- Diseo de una
Red Micosoft Segura Bajo
Windows 2000 ( Course 2150)
Diseado para profesionales senior de soporte,
arquitectos de redes, y consult ores en seguridad,
ste cursode cinco dasleensearcmo:
*Disear una metodologa estructurada
paraasegurarredes enWindows2000
Asegurar accesos a clientes que no son
Microsoft dentro de una red basada en
Windows2000
Asegurar los recursos locales accedidos
por los usuarios remotos que ut ilizan
tecnologas dial-up o de virt ual private
network(VPN)
*Proteger recursos de redes privadas de
usuariosdered pblicos
*Autenticar usuariosconfiablessobreunared
pblica, yms.
conocimiento de Windows 2000
Directory Services y haber terminado el curso
1560: Upgrading Support Skills from Microsof t
Windows NT 4.0 to Misosoft Windows 2000; o
curso 2154: mplementing and Administering
Windows2000 DirectoryServices; oconocimiento
equivalente.
Pre-requisitos:
Designingand Mananing a Public Key
Infraistructure Diseando y Manejado
una Infraestructura de
Disponible en Julio de 2003, ste curso de 3 das,
diseado para TSystemsEngineers, le ensear
cmo:
Disear una jerarqua de autoridad de
certificacin (certification aut hority CA-)
para satisf acer los requerimient os de su
negocio
nstalar servicios de certificacin para crear
una jerarqua CA
Conf igurar plant illas de cert ificados
creando, publicando yactualizando plantillas
de certificado
*Realizar lainscripcin del certif icado
*mplementar Key Archival and Recovery
(Archi vo y Recuperaci n) en una
infraestructura de llave pblica (Public Key
nfraestructura PK-) en Windows. NET, y
ms.
Un f uert e conocimiento de las
tecnologas base con Microsof t Windows Server
2003, tecnologa de redes y tecnologa en
serviciosdedirectorio.
Pre-requisitos:
Paso # 4:
Certifquese
Curso 2810, le ayuda a prepararse
para el eamen SYO-101- CompT A
Security +.
*Cursos 2150, 2821, y 2830 le ayudan a
preparase para el eamen 70-220-
Designing Securit y for a Microsoft Windows
2000Network.
*Curso 2150 lo ayuda a preparase para el
eamen 70-214- mplement ing and
Administering Secut ity in a Microsof t
Windows2000 Network.
*Curso 2159 lo ayuda a prepararse para el
eamen 70-227- nstalling Configuring and
Administering Microsoft nternet Securityand
Acceleration ( SA) Server 2000, Enterprise
Edition.

Paso # 1:
Security Seminar for Developers
Seminariode Seguridad para
Desarrolladores (Seminario 2805)
*mplementar cdigos de seguridad de
accesoen el .NETFramework, yms
Eperiencia en desarrollo con
Visual Basic, C, C++oJava.
Pre-requisitos:
Paso # 2:
Cont inue s u Ent renami ento en Seguri dad
con s tos Cursos Avan zados
Diseado para profesionales de T, incluyendo
administradores de web, redes y seguridad, este
curso detresdasle ensear cmo:
nstalar y configurar el servidor SAcomoun
servidor cacheycomoun firewall
*Configurar el servidor SA como un
virtual privatenetwork(VPN)
Supervisar las actividades del servidor
Diseado para desarrolladores web y arquitect os
de soluciones, st e curso hands-on de 3 das le
ensear cmo:
*Realizar un anlisis de amenaza de los
activosaccesiblesporlaweb
*Usar conocimientos de aut ent icacin,
Security dentifiers (dentificadores de
Seguridad SDs), Access Control List (Listas
de co nt r ol d e acce sos- ACLs) ,
personificacin, yel concepto decorrer conel
mnimo privilegio para asegurar el acceso a
slo esos recursos de sistemas que son
necesariospara cumplir el procesamient o de
requerimientosnormales.
*Proteger datosdel sistema de archivos (file
system) usando las caractersticas de
Microsoft Windows2000
*Usar el modelo de seguridad de Microsoft
SQL Server y Microsoft ADO.NET para
proteger una aplicacin web contra los
ataquesde inyeccindeSQLServer, yms
Est ar familiarizado con la
arquitectura n-t ier (n-capas), tener eperiencia en
desarrollo o diseo de aplicaciones web
distribuidas y usar Microsoft C # y/o Microsoft
Visual Basic.NET, eperiencia en escribir scripts
para servidoresydel lado del cliente- usandoSQL
Server 2000 y/ o Microsoft ASP.NET. Est ar
familiarizado con SQL Server y Microsoft nternet
nformationServices(S).
Pre-requisitos:
Developing Secure Web Applications-
Desarrollo de Aplicaciones
De Web Seguras
Diseado para arqui tect os de sof t ware,
desarrolladores profesionales de Visual Basic
Microsoft y desarrolladores profesionales C++,
ste seminariode1 daleensearcmo:
*mplementar modelo de amenaza para
analizar lasvulnerabilidadesdel software
*Reconocer y evitar las amenazas de los
buffer overruns, canonicalization, inyeccin
SQL, scripting de cross-site o ataque de
negacin de servicio (DoS)-Denial Of
Service
*Ejecutar el cdigo con mnimo privilegio y
crearwebsitesseguros
Developing and Deploying Secure
Microsoft.Net Framework Applications-
Desarrollo e Implementacin de
Aplicaciones Seguras en el Framework
de Microsoft.Net
Diseado para desarrolladores de software
profesionales, ste cursode3 dasleensear:
*Usar el MSL Disassembler para ver
met adata assemblyytype
*Usar reflection para, programticamente
acceder a metadataassemblyytype
*Usar el modelo de amenaza STR DE para
desarrollar una estrategia de mit igacin de
amenazapara unaaplicacin
*Encriptar y desencriptar datos usando
encriptaciones simtricas y asimtricas
*Usar pedidosde permisopara especificar y
limitar aquellospermisosque son otorgados
acdigo
Eperiencia desarrollando
aplicaciones usando .NET Framework, y
eperiencia en programacin con Visual Basic.
NETo VisualC#.
Pre-requi sitos:
Llave Pblica (Course 2821)

--
--

-
--

7
--
-




p

Muchas de I as apI icaciones funcionan

bajo Ia fiIosof a "cIiente-servidor". Es
deci r, una computadora bri nda un
servi cio (ofrece ese servicio) a cuaIquier
cIiente de Ia red. Los Servi ci os son
pr og ra ma s q ue c o rr e n e n una
computadora baj oLinu / Uni / NT/ 2000 /
XP / . NET as aIguien se I oguee o no. Su
utiI idad no se di scute pero, cada servicio
presenta una fuente potenci aI para
hackers en busca de un aguj ero de
seguridad para reaI izar un epI oit en
orden de tomar controI de su sistema.
Adi ci onaImente Ios Servicios consumen
recursos RAMy CPU. Muchos epertos en
seguridad recomi endan desactivar Ios
servi ci os innecesari os. Pero, qu
servi cios son innecesarios? sa es una
pregunta difciI de responder. Aqu hay
aIgunas sugerencias. Nuestra propuesta
tiene ms eI propsito de que conozca Ios
servi cios ms comunes en Windows
2000.
SERVICIO DE SERVER Y/O
COMPUTER BROWSER
El (ServiciodeServidor) habilita
su computadora a compartir sus archivos con
otras comput adoras, para act uar como un
"servidor" en el sentido de compartir archivos
"client e-servidor". La ot ra part e de sta
transaccin es la parte del cliente, que es otro
servicio. Quizs, con un nombre que confunde: el
servicio de"workstation"
Claramente cualquier sistema que actuar
como un servidor de archivos (file server) debe
tener ste servicio habilitado. Pero la cosa para
remarcar acerca de los sistemas operativos
Microsoft es que todos se inst alan con el servicio
de Servidor habilitado, inclusive Windows XP,
2000 Professional, Windows 98, y Windows ME.
As, si usted tiene 1000 workstations y 50
servidores en su red, tiene entonces un tot al de
1.050servidoresde archivos.
Eso es malo porque quien gane acceso al
Server service en su comput adora puede
fcilmente tener acceso a cualquier archivo en su
computadora. Yla mayoradelas workstationsno
comparten archivos, as que para qu tener el
servicio activo, si slo consume energasdel CPU
y 0.5 mega de RAM? (A veces se necesita correr
el servicio si a sus administ radores les gusta
poder conectarse con las carpetas compartidas
por default C$, D$, etc. Si ste es el caso,
entoncessupongoque debera dejarlo)
Adems, cada servidor perturba la red
anunciando su presencia cada 12 minutos con
una t ransmisin diciendo "hola, todava sigo
aqu...soyunservidor de nombre Pepe y no tengo
nada que compartir, pero soyun servidor y quiero
que todos sepan que todava sigo aqu!". Est os
"broadcast" enlentecen laredy lasmquinasen la
red, ya que todas tienen que parar y escuchar la
transmisin para ver si hay algo import ante en
ella. Estosbroadcasts van a la lista de browsedel
servidor, que es como todas las computadoras
aparecen en el Network Neighborhood / My
NetworkPlaces.
An si desea el Server service corriendo en
todossussistemas, puede hacer que lossistemas
dejen de hacer broadcast desact ivando un
servicio diferente- el Computer Browser service.
Algunas personas se preocupan creyendo que
deshabilit ando este servicio se impedir a
computadoras de ser capaces de browse My
Network Places, pero se no es el caso en lo
absoluto. ste servicio slo anuncia la presencia
de un servidor, apagndolo en su comput adora le
seguir permitiendo abrir Nethood y ver otras
computadoras en la red. (Dejando su Server
service ydeshabilitando Compute Browser, usted
est ent onces, esencialmente corriendo su
servicio en"stealthmode").
Se t iende a dejar el Server service activado
por dos razones innecesarias: Web servers y
Server service
Remote Assist ance / NetMeet ing. Usted no
necesita tener el Server service corriendo en un
servidor Web, yRemot eAssist ance yNetMeeting
pueden igual transferir archivos sin el Server
service.
SERVICIO DE FAX (Fa Service)
Viene manual y apagado por defecto, pero
siempre se tiene que preguntar si alguien
encontrar la forma de realizar un eploit...En
general se tienen muypocossistemasconectados
a mdems compatibles con fa. Deshabilitar este
servicio, entonceseslorecomendable.
SERVICIO DE INDEXING
(Indeing Service)
ste pareceactivarse cuandot ieneunservidor
Web. Es una manera de construir motores de
bsqueda rpidos, poderosos para un servidor
Web. Pero al menosque haya creado una pgina
de busca en suWeb, deshabiltelo. Tambin borre
los dos indes que vienen por defecto "System" y
"Web" yencambio cree indesasu medida.
ALERTER Y MESSENGER
Dos servicios que soportan mensajes pop-up
en su desktop. stos no son los pop-ups que
puede tener en la Web. Desactivando estos
serviciosno sedesharde los pop-upsdela Web,
desaf ortunadamente. Ni es est e Windows
Messenger. El sistema usa este para enviar
mensajesadministrativos; por ejemplo, esposible
tipear "net send * salir del sistema" y todos
recibirn un pequeo mensaje pop-up diciendo
"sali r del sist ema". La idea es que los
administradorespuedanusaresto como una clase
de mensajero instantneo primitivo para usuarios
de la red de trabajo.
SERVICIO DE IMAPI
CD-Burning COM
NuevoparaXP, steservicioasistea RoioCD
Creator de XP. Si lo desactiva, Roio deja de
funcionar. Si, por otro lado, usted usa un
quemador de CD de otra marca, como Ahead
Nero Burning ROM, ent onces el servicio es
innecesario ypuededeshabilitarlo.
SHELL HARDWARE DETECTION
Esto es nuevo para XP. Cuando usted
enchufa ciertas clases de hardware, como
cmaras, tarjetaso cosasparecidas, entonces XP
responde abriendo una ventana y preguntndole
qu le gust ara hacerdescargar imgenes, crear
un slide show, etc. Eso est todo hecho con "shell
hardware detection". Si ustedencuentrairritante la
ventana "Qu debemos hacer con este nuevo
hardware?" puede entonces desactivar st e
servicio.
SERVICIO STILL IMAGE
Un servicio especializado en cmarasdigitales.
Si usted lo usa, genial. De lo cont rario,
desactvelo.
SERVICIO VOLUME SHADOW
(Sombra deI VoIumen)
Esta eslaparte del cliente de una herramienta
muy til que le permite simple yautomticamente
archivar archivosimportantes variasveces al da,
Desafort unadamente, la parte servidor recin
aparece con Windows.NET 2003. As que es
seguro desactivar ste servicio por ahora... pero
no olvide activarlo nuevamente cuando llegue el
.NET!
CLIENTE WEB
Si usted tiene pginas web almacenadas en
servidores ajenos, necesita ent onces alguna
manera de conectarse a sos servidores para
cambiar los contenidos de su web. Por aos FTP
ha sido una manera popular pero es un poco
limitado. Est o deriv en un sistema mejorado de
compartir archivos en nternet llamado Web
Distributed Aut horing and Versioning o (WebDAV
protocol, mire RFCs 2518 y 3258 si necesita los
detalles). Bsicamente, aunque, esun sistema de
archivos compart idos que corre sobre el puerto
80, montado sobre http. Y es una idea genial,
como puede atestiguar cualquiera que alguna vez
haya peleado conun cliente FTP.
XP incluye la parte del lado del cliente en un
servicio llamado Web client (cliente Web). 2000,
.NETy si mal no recuerdo, S 4.0 incluyen el lado
del servidor en "Web folders" (carpet as web).
Probablemente usted ni siquiera saba que t ena
un sistema de archivo compartido que no tiene
nada que ver con SMB y que puede filtrarse por
susfirewallsporquecorre por el puerto 80!!
Pero, usted necesitasaber cun bien testeado
se encuentran el Web Client y las Web Folders?
Seguramente resultar un gran protocolo con los
usuales agujeros de seguridad que alguien
descubriry eplotar algn da. Desactive el Web
Client service y evite las Web folders en sus
servidoresWeb.
Para pubIicar en este peridico u obtener
informacin comerciaI comunicarse aI:
pubIicidad@neweb.com.ar (011) 4312-7694
WINDOWS IMAGE ACQUISITION
Soporta mayormente webcams. Si no est
usando una, ent onces puede deshabilitar ste
servicio.
SERVICIO WORLD WIDE WEB
PUBLISHING, SMTP, FTP
Por aos, Microsoft ha instalado un servidor
Web en cada copia de Server, a menos que en el
momento de realizar la instalacin Ud. haya
pedido no instalarlo. sa es la razn por la cual
todav a hay sistemas tratando de infectar los
servidoresWeb conNimda. Haygente queinstala
2000 Server o NT Server para ser file server yni
siquiera se dan cuent a que estn creando un
"webmaster accidental", as que no saben que
sus servidores Web (el mismo que ni siquiera
saben que tienen) est infectado y trata de
infectar a otros.
Tmese un momentoy veasi est corriendo FTP;
SMTP, o S en un servidor en el que ust ed no
quiere que corran. Usted incrementar la
seguridad de su sistema y recuperar algo de
CPU.
Y SI USTED TIENE UN XP...
Quizs su computadora vino con una copia de
XP y el vendedor agreg algunos servicios.
Pueden estar haciendo su sistema ms
inestable omenos seguro?Hayunaf ormafcil de
saber si usted necesita stos servicios etra.
Ejecute msconfig.ee y haga clic en la solapa
"services". Tiene un bo de tilde "Hide Microsof t
Services", tldelo yver las cosa que el vendedor
(y usted, dependiendo de que haya instalado)
agreg. Puede entonces parar cualquiera de
esosserviciosoinclusive hacer clicen "disable all"
(deshabilitar t odo). Puede resetear su sistema, y
bueno, vea siet raa alguno deellos.
Si sevuelvedemasiadoloco yse dacuentaque
ha detenido un servicio que necesitaba para que
su sistema funcione, usted puede siempre
empezar con la Recovery Console y usar el
comando enable para decirle a sus sistema que
empiece nuevamente el servicio.
Si desea obtener ms infor macin
sobre NEX, busque en nuestr o sitio
web en donde podr s encontr ar
todas las notas en la versin digi tal

- - -

- - -

- - -
Av. Crdoba 657 Piso 12
entre FIoriday Maip
TeI: 4312-7694
EmaiI: masinfo@cortech.com.ar
n "Virtual Private Net work" (VPN) es un
network(red) de datosprivadosque utiliza
la infraestructura de telecomunicaciones
pblica, manteniendo la privacidad a travs de
protocolos de t neles y procedimientos de
seguridad.
Una VPN puede ser contrarestada con un
sistema de lneas propietariaso bajo leasing, que
slo pueden ser usadas por una compaa. La
VPNbrinda a una empresa lasmismasposibilida-
des quelaslneasprivadasbajoleasing aun costo
much simo ms bajo, utilizando la infraest ructura
pblicacompartida (un ejemplo: nternet).
Bajo las siglas VPN se rene un conjunto de
tecnologas y escenarios para sat isfacer las
necesidadesdelasempresas.
Cuando se selecciona una implementacin
VPN se deben considerar: seguridad, interopera-
bilidad, facilidadde usoyadministracin.
Eist en soluciones VPN provist as por
diferentes vendors pero tambin eisten
VPNs yAcceso Remoto (remote Access
Vpn) Fi gura 1:
La mayora de las compa as necesitan proveer
accesoremotoa losempleados. Generalmente se
utilizaba una conein dial-up (DUN) del cliente al
servidor de acceso remoto (RAS)va mdems.
Para acceso remoto VPN hay que considerar:
tecnologa en la Workstation client e, qu sucede
en el medio entre el cliente y el servidor VPN, el
servidor VPN y f inalmente la relacin con el
usuarioremoto.
El usuario remoto puede ser un empleado o
individuo de menor confianza (un consultor a
partner de negocios). Usualmente, el client e de la
Workstation estar corriendo bajoel SOWindows,
peropodr ser unaest acin MAC, Linuo Uni.
SOspreW2KyWorkstation que noseanMicrosoft
imponen algunas limitaciones sobre los tipos de

- -
- &
&- - -
quin esust ed?: Nombrede usuario ypassword
y luego, de qu modo lo aut orizo a entrar en la
red?(horario, protocolo).
Toda st a infraestructura deber ser
configurara por el administ rador para garant izar
seguridad.
Segn el protocolo en uso y el SO en el
servidor VPN y usuario remot o, eistirn
diferentes modos de autenticar (passwords
tradicionales, certificados de usuario, t okens o
biomtrica).
Finalmente si se deseaqueel usuarioremot o
pueda acceder a la nt ranet o si se lo limitar a
reas especficas. Se puede implementar est a
"restriccin" de diferentes modos: en el Server
VPN, en los routers, o en las workst ations y
servers usando PSec y polticas asociadas. En
servidores VPN con W2K eiste la posibilidad de
usar RomteAccesesPolicies(RAP).
En W2K uno puede por ejemplo restringir a
usuarioso gruposde usuarios en el servidor VPN
un grupo local o de dominio. Por ejemplo, si un
consultant de Oracle entra en ntranet, cmo se
rest ringe el acceso al servidor correspondiente?
Se crea un grupo, llamndolo Oracle Consultants,
y se agregan las cuentas de usuarios. Entonces
mediante la consola (MMC) de Routing and
Remote Access (RRAS) se agrega una polticade
accesoremoto, se lo al grupo Consultantsy
se agrega un filtro P a la poltica que limite el
trfico del usuario remoto a destino, el servidor
Oracle
Todo lo que se necesita esunservidor W2K en
cada sitio conectado a la LAN local. Est e
escenario no requiere autenticacin de usuario
pero s deben autenticarse los servidores VPN
entres.
Cuando se establece la conein VPN, uno de
losservidores VPNasume el rol de cliente e inicia
una conein con otro servidor VPN. Despusde
establecidala coneinVPN, losusuariosdecada
sit io puede conectarse a los servidores como si
estuvieranen la mismaredlocal.
Cmo saben los servidores VPN que cada
uno es aut ntico y no un impostor? De acuerdo
con el prot ocolo y el SO instalado en los

SITE-TO-SITE VPN (VPN entre sitios)

Fi gura 2:
aW
_
-
servidores VPN, se puede basar la autenticacin
sit e-to-sit een contraseas asociadascon cuentas
de usuario creadas para cada servidor, en llaves
secret as pre-acordadas o en certificados para
cada mquina emitidos por una autoridad
cert ificadora(CA, Certificate Authority).
ermite conectar la red de una empresa con
uno o ms "partners". Este escenario es muy
similar a site-to-site aunque eisten pequeas
diferencias. Bsicamente la confianza entre
ambas partes es dif erente. Se permitir a una
sucursal acceder a todos los recursos de la red
corporativa (site-to-site), pero es posible limitarlos
para un part ner. Normalmente se los restringir a
slounoscuantosservidoresdela red. Conel tipo
de restriccin ya descriptos en Remote Access,
podemossolucionar el problema.
La segunda diferencia con site-t o-site es que
muy probablemente nuestro "part ner" use una
solucin VPN dif erente. Aparece aqu un
problema de interoperabilidad a resolver. Para
ello, se deber atender, por ejemplo, a qu
protocolosse usanen ambassolucionesVPNsya
qu tipode autenticacin se usar.

EXTRANET VPN (Fi gura 2 con controI

interno)
soluciones gratis disponibles en diferentes
sistemas operativos (SO) -por ejemplo: Windows
o Linu-. Osoluciones que si no estn ya enel SO
puedenbajarsedenternet.
En este art culo se discute la tecnologa VPN
en su forma genrica. ndependientemente de
cmo selas implementa. Es necesario adentrarse
en lossiguient espuntos:
Protocolos disponibles (PPTP/ L2TP/
PSec, PSecTnel)
*Qu sistemasoperativospermitenuna
ecelente opcinbajo Linu
*Escenarios VPNs ms comunes
(Acceso remoto, site-to-site, et ranet)
*Autenticaciones
*Seguridad bajoVPN
nteroperabilidad de VPN entre Linu y
MS
En el caso Windows, si nos referimos a un
servidor VPN se deber entender Windows 2000
Server o Windows.NET Server 2003 con RRAS
(Routing and RemoteAccess)activado.
protocolos VPNy autenticacionesque se pueden
usar. Para SOs pre-Win2k se pueden eliminar
algunas de esta limitaciones haciendo un
download desdeMicrosoft.
Cmo accede el usuario remoto al VPNserver va
nternet no es de importancia. S, recordar que el
ancho de banda deber ser apropiado para que la
conein t enga sentido. Normalmente los
proveedores de nternet (SP) no bloquean los
protocolos que se utilizan. Slo puede haber
problemas en el caso de que el usuario remoto
trate de conect arse al VPN server (va nternet)
desde dent ro de una red (un empleado visitando
un cliente o proveedor) y deba pasar un firewall.
Para este tipo de situaciones, una solucin esun
http-tunnel, como el propuesto e
, que permite llegar a nternet va el
puerto 80 de ht tp y ent onces establecer el t nel
VPN.
Una vez que el usuario remoto "disca" al
nmero P del servidor VPN se ingresa a la etapa
de aut enticacin y autorizacin. Bsicament e:
www.http-
tunnel.com
- -- - -- -
7 - - 3-
- -
Figura 2
-

- - -
-/
- -
-
-
- -
nscripcin solamente a travs de nuestra
Pgina WEB: www.cortech.com.ar
A realizarse ennuestras Oficinas:
COR Technologies S.R.L
Av. Crdoba 657Piso 12
entre Florida y Maip Tel: 4312-7694
Email: masinfo@cortech.com.ar
Figura 1
Remote Access from a CIient
Su empIeado
en un cI iente o
partner
Usuario
Remoto
Fi rewaII
Internet
Echange
Server
VPN Server
W2k RRAS
ControI Interno
Su Red
EampIe Site-to-Site VPN
Internet
VPN Server
en SucursaI
VPN Server
en oficina centraI
En una serie de artcuIos deI eceI ente newsI etter de Mark Minasi (autor de uno de Ios
Ii bros ms vendidos sobre Windows 2000 Server) se desarroII a eI concepto de "DNS
con cerebro Partido" (SpIi t Brains DNS). En eI presente hemos compactado esos tres
artcuIos. DNS es uno de Ios servicios ms i mportante de Ia infraestructura de redes
TCP/I P (ver eI artcuI o en NEX1 "DNS en W2K, un cambio"). Microsoft i mpuso a parti r
de Wi ndows 2000 un servicio de directorio (Active Directory) basado en eI protocoI o
LDAP como un modo de organizar Ias redes de hoy. AD utiIi za DNS como uno de sus
basamentos y es por eso que resuI ta fundamentaI entender DNS (forward Iookup
zones, reverse Iookup zones, resource records y muchos otros conceptos). La i dea de
"SpIi t Brain DNS" ti ene que ver con nuestra configuracin DNS en eI caso de tener un
domini oen Internet y otrodomi nio en nuestra intranet.
inasi comienza haciendo un chiste sobre
la importancia de tener bien seteada
nuestra infraestructura DNS diciendoque
un amigo se quejaba porque haba empezado a
tener problemas en su espalda mientrascorr a, y
l, sin pensar, le respondi .chequea que tu
servidor DNSest configuradocorrect amente..
Esto es una broma, muchos de los proble-
mas relacionadosal Active Directoryse reducena
tan solo problemas de DNS. En ste artculo se
propone la solucin como una receta, sumadas
algunasrefleiones.
Carlos quiere instalar un Active Directory para
crear undominio llamado ne.biz. l no est100%
seguro si tiene el DNS bien instalado, perodecide
correr DCPROMO en su primer servidor de
Windows 2000. Parece instalarse correctamente,
creando el primer controlador del dominio. Hasta
ahora esttodoen orden.
Pero entonces, Carlos trata de crear un
segundoDCparasu dominio. Corre DCPROMOy
cuando le dice a DCPROMO que l est creando
un DCnuevo enundominio eistente, DCPROMO
le pregunta qu cuenta usaren otras palabras,
est diciendo .mustreme que usted tiene una
cuenta con privilegios administrativos en un
EI ProbIema
1) Construyendo eI Pri mer DC
A)
C)
Vamos a llamar al servidor que ser el
primer DC: .DC1.. nst ale el servidor DNS en DC1
y cree una zona ne.biz. Setelo para aceptar
actualizacionesdinmicas.
B)Rescriba cualquier record en la zona de
ne.biz en DC1 que sera visible para el mundo
eterior. En otras palabras, si Ne tiene un sitio
Web llamado www.ne. biz en 197.55.2.9
entonces asegrese de incluir un record tipo host
name .www.con sa direccin Pde otra forma
nadie dentro de Ne ser capaz de encontrar el
servidor Web deNe!
Configure DC1 para que el nico
servidor DNS al que siempre se referir sea a s
mismo - set ee la direccin P del .preferred DNS.
(DNS preferido) a s mismo no conf igure ningn
servidor DNS alternativo. El mero hecho de que
DC1 est ahora corriendo un servidor DNS ycon
una zona para ne.biz no causa que DC1
realmente mirea su propio servidor DNS ozonas.
(Eso es porque hay dos programas corriendo en
lel SERVDOR DNS y CLENT. El software
cliente no es avisado automticamente de la
eist encia de un servidor en la misma comput ado-
ra). Mucha genteinstala susservidoresde prueba
para obtener su informacin de P de un DHCP o
susservidores depruebasse hallanconect adosa
instala DNS en el servidor y crea la zona,
escribiendo nuevos records AD en la zona. El
problema es que una vez que usted rebootea, su
computadoraDC1vuelve a mirar el servidor DNS
de SP, se ignora a s misma. El DCpara ne.biz
no puede encont rarseas mismo. Peroporqu le
deja logearsesobre l con susnuevascuentasde
ne.biz? Porque AD despiert a sobre DC1 yse da
cuenta que aunque no pueda encont rarse a s
mismo en el listado en DNS como un DC para
ne.biz l es un DCpara ne.biz, yse refiere a si
misma cuando usted quiere hacer un logon local.
Son los logons sobre la red los que no funcionan.
Como la que Carlos trat de hacer desde su
segunda mquina, el del l sera el segundo DC.
Veamos cmoinstalar el segundoDC.
Comoantes, instaleel servidor deWindows
2000en una segunda mquina. Llmela DC2
Configure stack (apilado) P de DC2
apuntando slo a DC1 para DNS. Slo el campo
del servidor DNS .preferido.debera ser llenado
con la direccin P de DC1. No ponga al servidor
DNS del SP como una alternativa. Si lo hiciera,
imagine que DC2 bootee y trate de contactar el
servidor DNS de DC1. Ahora suponga que DC1
estuviera ocupado por un minuto y no respondie-
ra; DC2 empezara entonces a depender del
servidor DNS de SP. El servidor DNS de SP no
tiene la informacin sobre ne.biz, incluyendo la
lista de DCs y cuando DC2 trate de encontrar un
DC para ne.biz para logearlo a usted, fallar, ya
que nopodrencontrar un DC.
Usteddeberapoder correr DCPROMO en
la segunda mquina sin problemas. Si esto falla
use NSLOOKUP para averiguar qu mquina
DC2piensa que essuDC
A)
B)
C)
2)InstaI andoeI segundo DC
As todo debera funcionar. nstale cualquier
otra workstation o servidor miembro de la misma
forma: Sus preferenciasDNS .prefered.deberan
soloreferir al servidor DNSdeDC1. Ust ed puede,
por supuesto, instalar otros servidores DNS
dentro de su ntranet, hgalos servidores
secundarios para ne.biz, y distribuya la carga
apuntando a algunas mquinas, a una servidor
DNS, y otras a ot ro. Pero todo miembro de un
dominio debe apuntar a un servidor DNS que es
primarioo secundarioparael ne.bizinterno.
Para resumir, entonces, aqu est la forma de
construir un AD si usted no quiere que la zona
DNSquesirvesuADsea visible pblicamente:
nstale uno o ms servidoresDNS dentro de
su ntranet. Tngalos t odos ref eridos a ellos
mismos para DNS, y NUNCA refiera un servidor
DNSafuera desu ntranet.
En unoo msservidoresDNS, construya una
zona para su AD y hgalo dinmico. Haga todos
los otros servidores DNS dentro de su ntranet
servidoresDNSsecundariospara sa zona.
Copie cualquier record relevante de su zona
pblicavisiblea suzona interna.
Tome la mquina (que apunta a uno de sus
servidores DNS internos) que ser el primer DCy
corra DCPROMO. Si obtiene el error DNS de DC
PROMO, reeaminecomoest instaladoDNS.
Asegrese que todos los otros sistemas
dentro dela ntranet apuntensoloa susservidores
DNS internos; entonces puede usted correr
DCPROMO para crear ms DCs o unir worksta-
tionyservidoresmiembrosal dominio.
1)
2)
3)
4)
5)

dominio ne.biz eistente..As que Carlos tipea el

nombre y password del administrador para
ne.biz.
DCPROMO piensa por un minuto y hace
aparecer un bo de dilogo diciendo
, yse detiene.
Carlosrecibira unmensajesimilar (no el mismo
mensaje de error, perounosimilar) si, porejemplo,
intentara unir un workst ation a su nuevo dominio
ne.biz. Qucausa esto?DNS.
En amboscasos, det ratar de agregar otro DCo
tratar de unirse a un dominio, usted tiene que
registrarse (log) sobre el dominio para establecer
suscredenciales. Pero usted slo se puede logear
vauncont rolador dedominio, as su computadora
debe encontrar un DC para logearlo. Y cmo las
mquinas encuentran DCs bajo Active Directory?
Con DNS. Un DNS configurado incorrectamente
esa menudolarazde problemasmsgrandes.
Con sa introduccin, vamos a describir la
receta. Siga stospasosypuede estar seguroque
cualquier problema que t enga no es problema del
DNS. Esto asume que usted estar haciendo
.split-brain.DNS, donde usted mantendr un
conjunto separado de records (registros) DNS
para usar en el dominio de su ADy de los records
de su DNS pblico. Por ejemplo, suponga que
ne.bizya eiste y tienesu presencia DNS alojada
en algn servidor Uni en un SP en algn lado.
Ahorava aquererhacer unActiveDirectoryycrear
un dominio llamado ne.biz. Como ADnecesita un
DNS, servidor debe hospedar una zona
dinmica con el nombre de ne.biz en l. Debe
ne.biz recuperar su zona del SP? Ciertamente
no. Deje que la zona pblica visible para ne.biz
permanezca en el SPslo tiene un par de records
en l de todas formas, probablemente para
y los servidores de mail de Ne. No,
lo que hacemos es quedamos con .dos conjuntos
de libros.lospblicos en el SP, yun conjunto ms
ricodentrode nuestraintranet.
"El dominio
no eiste ono puede ser contactado"
ALGUN
www.ne.biz
Lo que reaImente pas
Como instaIar DNS para que Ias cosas
funcionen siempre
un cable mdem o DSL, el cual usa DHCP para
manejar la informacin de P. En cualquier caso,
tiene una situacin donde su DC
est buscando informacin del DNS no en s
mismo, sino en un servidor DNS, en un SP o en
un sitio de una gran corporacin. Esto invalida
cualquier idea de crear un segundo conjunto de
libros para ne.biz: seguro, ahora DC1 tiene una
zona ne.bizcon la que puede hacer lo que se le
plazca , pero nadie, NCLUYENDO DC1 MSMO,
le pedir al servidor DNS que est corriendo en
DC1 por su opinin de nombres en ne.biz. Otra
vez, remedieesto haciendo que ese primer DCse
refiera as mismo por DNSqueries.
Reit eremos: DC1 debera SOLO
referirse a si mismo por consultas DNS. Tipee
PCONFG/ALL y verif ique que la lista de
servidores DNS que usa DC1 incluya slo la
direccin PdeDC1.
Ahora corra DCPROMO e instale el
dominio de ne.biz. Si obtiene un error de
DCPROMOdiciendo que algo como .El wizard no
pudo contactar el servidor DNS....entonces pare.
El wizardofrecerinstalar DNSporustedlocual es
probablemente lo que hizo por Carlospero nunca
haga eso; el mensaje de error es una indicacin
que DNS no est bien inst alado. Frene
DCPROMO. Abra la lnea de comando y tipee
.ipconfig/flushdns... Entonces tipee .nslookup.y
despus .set type=soa., y finalmente .ne.biz.(o
como se llame su dominio) Usted obtendr varias
lneas de salida, una de las cuales identifica el
.nombre del servidor primario.. Ese debera ser
DC1. Si no, vuelva y siga los pasos resumidos
primo-a-ser
D)
E)
hasta ahora. Chequee que haya fijado su zona a
dinmicano sondinmicaspor default.
Probablemente se est diciendoa usted
mismo, .ya hice est o una vez, o al menos algo de
esto. Tuve el mensaje
y le dej instalar el DNS, y todo
result bien. He estado usando sa computadora
en el dominio ne.bizde prueba como mi nicoDC
sin problemas, aunque s ha estado mirando al
servidor DNS del SP, como a su servidor DNS
preferido.. Cuandoustedledicea DCPROMO que
siga adelante y cree una zona DNS, DCPROMO
F)
no se puede contactar el
servidor DNS
- 3
- --
- - -
WWW
Servidor
Hub o switch
CIientes
Un poco de historia
a nocin de aunar el poder individual de
las computadoras para lograr una mayor
potencia de clculo no es novedosa en
absoluto. En las dcadas del 50 y 60, la Fuerza
Area nort eamericana construy una red de
computadoras(funcionando con vlvulas en lugar
de circuitos integrados) como mtodo de defensa
contra un eventual ataque nuclear de la entonces
Unin Sovitica. Denominaron a esa red SAGE
[1].
A mediados de los 80, la Digital Equipment
Corporation acu el t rmino cluster para
bautizar susistema deminicomputadorasVAX[1].
A comienzos de los 90, tanto la cada en los
precios de las computadoras personales, mejor
conocidascomoPCs, comoel rpidodesarrollo
de la tecnolog a Ethernet, dominante para
conectar computadoras en una red local,
condujeron de manera lgica a la idea de utilizar
PCs como unidades de construccin de un
cluster. Sin embargo, eist a una dificultad
importante: el sistema operat ivo de las PCs noera
tan fleible ni tan poderoso como el sistema
operativo UNX, utilizado en la mayora de las
computadoras de mayor porte. Hubo que esperar
muy poco tiempo hasta que Linus Torvald
presentara en sociedad y ofreciera gratuitamente
su sistema operativo Linu, un UNX
especialmente diseado para instalar en PCs.
Estaban dadas las condiciones para construir un
clust erdePCsconsistemaoperativo Linu[1].
En 1994, el Centro Espacial Goddard de la
NASA present un cluster de 16 PCs, todas ellas
con procesador ntel486, utilizando Linu como
sist ema operativo y Fast Ethernet como
tecnologa de conein. Obtuvieron una potencia
mima de clculo de 70 megaflops(1megaflop =
1 milln de operaciones de punto flotante por
original el mismo debera consistir en
una PC cumpliendo el rol de servidor y
una o ms PCs clientes conectados a
aquel por una red Fast Ethernet o mejor.
Debe construirse utilizando hardware que
pueda adquirirse en cualquier negocio
especializado con el fin de que las
dif i cul tades o desperf ect os puedan
subsanarse inmediat ament e y, adems, su
configuracin pueda reproducirse con facilidad.
El soft ware debe tambin cumplir con el requisito
de gratuidado, eventualmente, bajocosto.
El servidor administra los clientes, las t areas
asignadasen stos y es adems la conein con
el mundo eterior. Es deseable que los clientes
sean mquinas bobas en el sentido que ni
siquiera presenten una pantalla para ingresar
nombre de usuario y clave. En este sentido, un
clust er Beowulf puede pensarse como una nica
mquina con unidades de CPU y memoria que
pueden darse de alta o de baja en cualquier
momento. Esta es una diferencia importante con
un cluster de estaciones de trabajo, donde cada
uno de sus componentes es en s mismo una
mquina independiente de la cual, en ciertas
ocasiones, se requiere su servicio para ejecutar
aplicacionesenparalelo.
La eleccin del hardware para construir el
clust er Beowulf depende f uert emente de las
aplicacionesaejecut ar enel mismo. Esimportante
conocer a priori el factor limitante de dichas
aplicaciones. Una aplicacin que se ejecuta en
paralelo puede estar limitada por el poder de
cmputoo bien por la cantidad delectura/escritura
de datos en los discos duros. As, una aplicacin
limitada por el poder de cmput o requerir de
Hardware e instaIacin de un cI uster
BeowuIf
vennotoriamente facilitadas.
Siguiendo la misma filosofa, es altamente
conveniente que los clientes sean eactamente
idnt icos desde el punto de vista de las
caract ersticasdel sist emaoperativo instalado.
Debido a la necesidad de que los paquetes
de informacin migrenlibremente entrelosnodos,
los comandos rsh, rlogin y reec deben poder
ejecutarse en forma transparente, es decir, sin
necesidad deintroducir claves.
Finalmente, las bibliotecas PVM (Parallel
Virtual Machine) [4] y MP (Message Passing
nterface) [5], esta ltima en sus versiones LAM-
MP [6] o MPCH [7], son el nico soft ware
imprescindible para poder desarrollar y ejecutar
aplicacionesenunclust er Beowulf.
Muy recientemente se ha introducido el
concepto de Beowulf 2 para indicarimportantes
modificaciones en lo que hace a la instalacin,
administracin y distribucin de procesos en un
clust er Beowulf [8, 9]. Esasmodif icacionesparten
de reconocer algunos defectos de los cluster
Beowulf originales: adicionar nuevos clientes
implica instalar el sistema operativo en ellos y
modificar los archivos necesariosen el servidor y
en los viejos clientes para que los nuevos sean
reconocidos; una actualizacin de kernel
importante hace necesaria la instalacin de los
parches y la recompilacin de aquel en todos los
nodosdel cluster; etc.
La aparicin de los paquetes Scyld [10] y
OSCAR [11] tiene la int encin de f acilitar no slo
la instalacin y administracin del cluster, sino
tambin lastareas de adicionar nuevos clientes y
actualizar versiones de kernel. A modo de
ejemplo describiremos con algn detalle la
instalacin de un cluster Beowulf utilizando el
paquete Scyld.
La versi n bsica, sin sopor te ni
documentacin, del paquete Scyld puede ser
descargada desde . La
ltimaversindisponibleenese sitioesla 27Bz-7.
La notacin Bz es utilizada para indicar que se
trata de la versin bsica ydiferenciarla as de la
versin comercial, con soporte y documentacin
incluida, identificadacomoCz.
Como se coment ant eriorment e, es
recomendable que la configuracin del cluster
sea como la que se muestra en la figura ya que la
instalacin permite ajustar losparmetrosde dos
tarjetasde red.
Hacia BeowuIf 2
InstaIando un cI uster BeowuI f 2 con
ScyId
ftp: //ftp.scyld. com/pub
El trmino High Performance Comput ing
(computacin de alto rendimiento) tiene su
origen en el trabajo desarrollado por Seymour
Cray al disear y construir las computadoras
que llevan su nombre. Esos sistemas
vect oriales proporcionaban un poder de
cmputoun orden demagnitud mayor queotros
sistemas contemporneos, razn por la cual
fueron denominadassupercomputadoras.
El rpido incremento mostrado en nuestros
das tanto por la velocidad de losprocesadores
de computadoras personales como por la
relacin rendimiento/precio que las mismas
suministran, sumado al desarrollo de tecnolo-
gas de redes de alta velocidad, conducen
necesariamente a una profunda transformacin
del concepto original de High Performance
Computing. Actualmente, pensar en un sistema
para ef ectuar computacin de alto rendimiento
es pensar en un cluster de computadoras
personales utilizando el sistema operativo
Linu yefectuando sustareasbajo un entorno de
programacinenparalelo.
Muchas son las disciplinas que requieren
llevar a cabo diariamente computacin de alto
rendimiento como una parte importante de sus
actividades. La astronoma, la biologa, la fsica,
muchasramasde la ingeniera, y la qumica son
algunasde esasdisciplinas. El procesamiento de
imgenes, la determinacin de la secuencia de
los nucletidos en el ADN y la simulacin
numrica de procesos de inters biolgico,
qumico o fsico son algunas de las actividades
que requieren de la computacin de alto
rendimiento para alcanzar resultadosen tiempos
razonables.
Podemos decir entonces que la computa-
cin de alt o rendimiento es aquella dedicada a
la resolucin de problemas bien determinados
por medio de sistemas de alt simo poder de
cmputo.

Eamen 101
Eamen 102
Eamen 201
Eamen 202
Ud. debe mandar un archivo a un
compaero de trabajo para que lo pruebe.
Antesde enviarlo, Ud quiere salvarlo en un
archivo llamado newsalesdonde cada lnea
aparezca numerada. Qu debera hacer?
Rt a correcta: c
El comando nl numera las lneas en un
archivo, yluego la salida es redireccionada
al nuevo archivo, newsales.
La opcin a es incorrecta. Esta copiara el
archivo sales a newsales.
La opcin b es incorrecta. Esta cuenta
caract eres, palabrasy lneas contenidas en
ambos archivos, sales y newsales.
La opcin d es incorrecta, el comando fmt
se usa para acomodar lneas de la manera
especificada. Y aparte, la sint ais es
incorrecta.
Ud tiene tres particionesen su disco rgido
y adems tiene un espacio libre de 2 GB.
Ahora tiene que instalar una aplicacin que
necesita dosparticiones, una de 50 MB, y
otra de 300 MB.
Qu debe hacer?
Rt a correcta: c
En un mismo disco puedo tener hasta
cuatro particiones primarias. En este caso
necesitaba cinco. Entonces en el espacio
libre que tengo en disco, creo una particin
etendida (la cuarta particin), ysta la
divido en las dos particiones (lgicas) que
necesito.
Con la eplicacin anterior, tambin vemos
porque no es correcta la opcin a.
La opcin b es incorrecta porque el
comando , no se usa para crear
particiones, sino para crear un filesyst em.
La opcin d es inconsistente, esto no me
resolvera el problema.
Las siguientes afirmaciones tratan sobre
archivos de configuracin en BNDversin
4 y BNDversin 8. Seleccione cules son
verdaderas.
Rt a correcta: a
BNDversin 8 tiene un formato ms
moderno, ms modular, pero la informacin
sigue siendo la misma.
Cmo puede habilitar el demonio
Seleccione una.
Rt a correcta: a
Generalment e , por temas de
seguridad, se deshabilita usando
comentario en
a. cat saIes > newsaIes
b. wc saIes newsaIes
c. nI saIes > newsaIes
d. fmt -n saIes newsaIes
a. Crear dos particiones nuevas en eI
espacio Iibre
b. Crear una particin nueva, primaria y
IuegodividirIa con .
c. Crear una particin nueva, etendida
de 2 GB y Iuego crear dos parti ciones
Igicas , una de 50 MB y otra de 300 MB.
d. Hacer un backup de sus particiones,
borrarIas y voIver a crearIas de manera
que sean 350 MBms grandes.
a. La informacin es en su mayor a, Ia
misma, pero Ia sintais es diferente.
b. La sintai s es esenciaImente Ia
misma, pero Ia informacin es diferente.
c. Las dos versiones de BIND usaneI
mismoarchivode configuracin.
d. BINDversin4 usa un archivo de
configuracin binari oen vez de un
archivo de teto.
e. BIND versi n 8 usa un archi vode
configuracin binari oen vez de un
archivo de teto.
a. Descomentar Ia Inea eneI
archivo
b. Usando para ejecutar una
vez por minuto.
c. IncIuyendo en Ia configuracin
de TCP Wrappers.
d. EIiminando de .
e. Agregando a .
mkfs
in.fingerd
/etc/inetd.conf.
cron fingerd
fingerd
fingerd hosts.deny
fingerd hosts.all ow
mkfs
finger.
fingerd
/etc/inetd.conf.
-
a7 - u e
- &- /- - -- - -
- -
- -
segundo), similar a la brindada por sistemas
comerciales cuyo valor era de 10 veces superior al
del cluster de PCs. Denominaron al cluster
Beowulf, en honor del rey anglosajn del
medioevo que derrot al monstruo Grendel
arrancndoleun brazo[1].
A casi diez aos del nacimiento del cluster
Beowulf, en la actualidad es posible verificar la
presencia en el puesto 5 del Top500 [2] de un
clust er dePCsbasado en 1920 procesadoresntel
Xeon de 2.4 GHz, situado en el Lawrence
Livermore Nat ional Laboratory de los Estados
Unidos, el cual alcanza casi 6 TFlops de
rendimiento sobre unpico tericode9.2 TFlops.
Asimismo, los clust ers han afianzado su
presencia en el mbito no acadmico. A modo de
ejemplo, la empresa desarrolladora de la
mundialmente utilizada base de dat os Oracle,
promociona un cluster de cuatro PCs con Linu
como sistema operat ivo como confiable e
indestructible paraejecutarsu producto[3] .
No eiste una nica definicin de cluster
Beowulf, pero si nos atenemos a la conf iguracin
Qu es un cI uster BeowuIf?
vel oce s procesador es y una red de
comunicacionesdealta velocidad paraalcanzar la
eficiencia deseada. Por otro lado, una aplicacin
limitada por lectura/escritura aument ar a su
eficacia en un sistema con procesadores de
mediana a baja velocidad y una red de
comunicacionestipo Fast Ethernet.
La instalacin de un cluster Beowulf no es
una tarea complicada pero requiere atender
especialmente algunos detalles. Es conveniente
que el cluster constituya una red privada, es decir
utilice direcciones de tipo 192.168.. o 10.0...
Si el servidor acepta coneiones desde otra red
interna o desde el eterior, el mismo deber
poseer dos placas de red. La instalacin del
sistema operativo en el servidor debe incluir el
software NFS (Network File System). La
distribucin RedHat 7.2 lo incluye en su paquete
base. De esta forma, lascuentas de usuarios yel
software y bibliotecas necesarias para ejecutar
aplicacionesen paraleloresiden nicament eenel
servidor y los clientes acceden a los mismos
montando el sistema de archivos o direct orio
correspondiente. De esta manera, las tareas de
administracin, mantenimiento yactualizacin se
No es necesario que el servidor tenga una
distribucin de Linu preinstalada ya que Scyld
traelaversin 6.2 deRedHat.
Unavez establecido en el BOS el inicio desde
la lectora de cd, lo primero que se observa esuna
instalacin tpica de RedHat. Es altamente
recomendable elegir el modo grfico de
instalacin y luego una instalacin completa con
soporte grf ico en el escritorio Gnome, ya que
algunas herramientas del paquete estn slo
disponibles en ese modo. Si se tiene suficiente
eperiencia en instalacin de Linu, se puede
elegir el modo customya que entoncesse evita
la instalacin de muchas aplicaciones que casi
seguramente nunca se usarn. En este caso, es
conveniente permitir la instalacin del modo
grfico con el escrit orio Gnome por las razones
arriba mencionadas.
Slo una dif erencia se puede apreciar
respecto a una instalacin t pica de RedHat: una
Front Page XP
Dreamweaver MX
FIash MX
Fireworks
Edicion HTML
Programacin ASP
Av. Crdoba 657 Piso 12
entre FIorida y Maip
TeI: 4312-7694
masinfo@cortech.com.ar
VaIor $ 480 + IVA
60 hs + MateriaIes
ventana dedicada a configurar la interfaz eth1, la
segundatarjeta dered. Si seescoge, por ejemplo,
una direccin privada 192.168.1.1 para el
servidor, entonces el rango de direcciones a usar
debe comenzar en 192.168.1.2 y terminar en
192.168.1.99, siendo 99 un nmero tent ativo (y
optimista!), porsupuesto.
Una vez finalizada la instalacin del sistema
operativo, el servidor se reinicia yluego decargar
el escritorio aut omticamente se inician tres
ventanas: una gua de instalacin rpida de los
clientes, la aplicacin BeoSetup parainstalarlosy
laaplicacinBeoStatus paramonitorear el estado
del cluster.
Los clientesdeben poder iniciarse desde el cd
de Scyld o desde un disquete que haya sido
generado con la utilidad BeoBoot. Ya que result a
engorrosoestarllevando el cddeun client ea otro,
es conveniente generar un disquete por cada
cliente del cluster. Un botn para tal fin se
encuentra en la ventana de BeoSetup del
servidor. Una vez generados los disquetes, se
usan parainiciar losclientes.
Lo que sigue esmuyinteresante: cada cliente
enva al servidor un requerimiento de direccin
RARP (Reverse Address Resolution Protocol). El
servidor acepta los requerimientos y las
direcciones fsicas de aquellos aparecen en la
ventana derecha de la aplicacin BeoSetup,
Unknown Addresses. Dichas direcciones se
arrastran con el ratn a la ventana central de
BeoSetup, Configured Nodes, y automtica-
mente el servidor enva una orden de reinicio a
cada cliente. El cambio de est ado de los clientes
resulta evidente al ver la palabra up en la
columna Node Status de la ventana central de
BeoSetup. Al mismo tiempo, BeoStatusrefleja los
cambiosproducidos al dar dealta losclientesenel
clust er.
Los discos durosde losclientesse particionan
con la utilidad beof disk que debe ser invocada
desde una consola
#>beofdisk -d
#>beofdisk -w
La opcin -d usa l a conf igur acin
predeterminada para particionar los discos de
todoslos clientes y -w ocasiona la escritura de la
tabla de particin en los mismos. Para que estos
cambios surtanefecto, debenact ivarse las l neas
con informacin de los sistemas de archivos
/ dev/ hda2 y / dev/ hda3 en el archivo
/et c/ beowulf/fst ab y coment ar la lnea que
comienza con$RAMDSK.
Si se desea t ransferir la imagen de inicio de
BeoBoot al disco duro de los clientes, debe
ejecutarse
El ltimo paso implica reiniciar todos los
clientes, lo cual se efecta por medio de un nico
comandodesdeel servidor
De esta forma, se tiene un clust er Beowulf
instaladoyoperativo enmenosdeuna hora.
Como broche de oro, el paquete Scyld
permite comprobar el rendimient o del clust er por
medio de la utilidad Linpack [12].
#>beoboot-install -a / dev/ hda
#>bpct l -S all -sreboot
Li sta de referencias
[1] William W. Hargrove, Forrest M. Hoffman,
Thomas Sterling, The Do-t -Yourself
Supercomputer, edicin digital de Scient ific
American ( ), agosto
2001.
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[ 11 ] ,
[12]
www.scientificamerican.com
http://www.top500.org
http://www.oracle. com/ip/deploy/ias/Linu
http://www.epm.ornl.gov/ pvm/
http://www.mcs.anl.gov/mpi/inde.html
http://www.lam-mpi.org
http://www-uni.mcs. anl.gov/mpi/mpich
http://www.linujournal.com/article.php?sid=5
559
http://www.linujournal.com/article.php?sid=6
019
http://www.scyld.com
h t t p : / / o sc ar . so u r ce f or g e . n et
http://www.linujournal.com/print.php?sid=5559
http://www.netlib.org/benchmark/hpl/
Dr. ReinaldoPi sDi ez
No todas las actividades precisan de un alto
poder de cmput o para su realizacin. Por
ejempl o, const ruir un clust er de 4
procesadores para utilizar el procesador de
tetos favorit o es verdaderament e un
desperdicio. Sin embargo el manejo de
grandes bases de datos, el t ratamiento de
imgenes sat elitales o la resolucin de
problemas numricosendiversoscamposde
la ci enci a just if i ca plenament e l a
construccin o adquisicin de tal cluster o de
uno mspoderoso.
Bsicamente uno podr a preguntarse:
*Tengo limitaciones de velocidad, memoria,
etc. para llevar a cabomistareas?
*Tengo programas o paquetes de
programas que permiten ser ejecutados en
paralelo utili zando el paradi gma de
messagepassing?
*Los programas que desarrolla mi grupo
pueden ser adaptados para ser ejecut ados
en paralelo bajoel paradigmaanterior?
Si las respuestas a estas preguntas son
positivas, ent onces debera plantearse
seriamente la posibilidad de asesorarse y,
eventualmente, construir o adquirir un cluster
Beowulf.
Si bien es cierto que todas las vent ajas
de un cluster Beowulf pueden ser obtenidas
por sistemas comercializados por empresas
reconocidas i nternacional mente, es
mundialmente aceptado que un sistema
Beowulf proporciona el mismo rendimient o a
un costo por lo menos diez veces menor al
del sistema comercial.
Necesito un cIuster
BeowuIf para
mis actividades?
Para pubIicar en este peridico u obtener
informacin comerciaI comunicarse aI:
pubIicidad@neweb.com.ar (011) 4312-7694
-
- -- --
-- -
El Linu Prof essional nstitute (LP) esta entre
dos iniciat ivas que pueden conducir a las
diferentes certif icaciones Linu a estar mas
integradas.
Primero, UnitedLinu, una coalicin de
compaas (incluye a BMy HP y que ofrece
un "sist ema operativo Linude base Standard
apuntado al usuario de negocios"), anunci
en Linu World en NY que el LP esta
ayudando a desarrollar un programa de
cert ificacinparasususuarios.
Dos ttulos UnitedLinu sern emitidos.
UnitedLinu Certified Professional (ULCP) y
UnitedLinuCertified Epert (ULCE). Ambos
estarn basados en aprobar dos emenes
LP mas un nico eamen del United Linu
program.
"Nuestro convenio muestra a la comunidad
open souce trabajando junt os para alcanzar
un ito colectivo," comento el presidente de
LP, EvanLeibovitch.
LP t ambin anuncio que esta investigando
una asociacin con Systems Administrators
Guild (SAGE), una divisin de USENX que
tambinofreceunprogramade
Certificacin vendedor-neutral.
La asociacin podra resultar enun arreglo de
socios mutuos entre las dos organizaciones,
dijeron lascompaas. "LP esta ejecut ando
un buen servicio a la comunidad de
administradores de sist emas, y esperamos
trabajar sobre los detalles de la asociacin
que culminaran en un arreglo especial de los
socios SAGE para aquellos certificados por
LP", "dijo el Director Ejecutivo de SAE, Rob
Kolst ad. SAGE es independiente de
vendedor (marcas), tecnologasparticulares
o filosofas, por eso nuestras organizaciones
soncompatiblesyuna buenacombinacin
En el anuncio ninguno comento acerca de
cmo la asociacin podra afectar los
progr amas de cert i f icaci n de l as
organizaciones.
Para mas informacin vea: ,
, y
www.lpi.org
www.unitedlinu.com www.sage.org
LPI se asocia con
UnitedLinu y Sage
-3-

Av. Crdoba 657 Piso 12

entre FI orida y Maip
TeI : 4312-7694
EmaiI : masinfo@cortech. com.ar
- -
- -
ace unos aos pensar en utilizar un
sistema de VPN sobre nternet para
conectar dos sucursales de nuestra
empresa pareca una tarea muy compleja,
requera conocimientos difciles de adquirir, y
ten aun costomuyalto. Pensar enunaVPNsobre
una red insegura como lo es nternet era algo
descabellado, que brindaba muy pocos
beneficios y que, solo era aplicado cuando
ten amos que conectar redes remotas en las
cuales el proveedor de comunicaciones no nos
poda brindar una solucin la cual se aplicase al
presupuesto de comunicaciones. Los tiempos
han cambiado, y hoy, se pueden obtener
"appliances" desde 300 U$S que pueden
conectar (por lo menos as dice el manual) hasta
16 subredes remot as sobre cualquier enlace
WANonternet, apareci el soporte paraPsec en
entornos Microsoft junto con L2TP, aparecieron
routersCSCO y3COMyotras tantascompaas
que brindan, casi siempre sobre el estndar
Psec, variantes para conectar puntos remotos
sobre una red insegura, a un cost o relativamente
bajo. Ahora llego el turno del software libre que
hoy poseen una herramienta poderossima para
manejar VPNs de una manera sencilla y con un
PLUTO:
Di ferentes scripts:
Punto a Red:
Red a Red:
Road-Warrior
demonio KE, se encarga de negociar las
coneiones con otros sistemas. El protocolo KE
(nternet Key Echange) es el encargado de
negociar losparmetrosdeunaconein entre las
dospartesparticipantes.
que aut omatizan la tarea de
administracin de nuestro Gateway FreeS/Wan
agregandorutascuandosea necesario.
Los modos ms tradicionales de uso de
FreeS/WANno tienen nada que envidiarle a otras
implementacionesde VPNsobre PSEC.
un host que soporta Psec se
conecta a una red entera. Puede acceder a
cualquier punto de la misma de manera segura y
confiable.
una red entera accede a otra
conectndose con Psec. Se puede acceder en
cualquier maquina de ambas redes de manera
segurayconfiable.
son los llamados "guerreros del
camino". Est a denominacin es generalmente
aplicada a host que se conect an a una red
"segura" pero que tienen ip variable y el tipo de
conein esindiferente para FreeS/ WAN, el nico
Tipos de Coneiones:
:
alto grado de seguridad. Esta herramienta es
llamada FreeS/WAN, Free Secure over WAN.
Estamaravilla del softwarelibreesunderivado de
un producto llamado S/Wan Secure WANque con
el tiempo fue reemplazado por FreeS/WAN. La
idea fundamental de FreeS/WAN es brindar
soporte para el prot ocolo Psec para el kernel de
Linu y mantener un estndar del mismo que
permit a realizar conei ones haci a ot ras
implementaciones. La misma permite manejar
con el estndar Psec tantos puntos VPN
"aguant e" nuestrohardware, esdecir, la limitacin
ya no es problema de la administracin de las
redes, sino el hardware en s mismo, y aun as,
logracumplir su cometido con crecesa la hora de
establecer VPN con un alto nivel de encriptacin
en los dat os y coneiones de gran ancho de
banda. Cabe destacar que es posible utilizar
FreeS/WAN con hardware dedicado para
encriptacin utilizando alguna de las t antas
placas que proveen de chips dedicados a la
encriptacin.
es el soporte del protocolo Psec dentro
de nuestro kernel Linu. mplementa AH, ESP, y
manejo de paquetes dentro del kernel. El
protocolo AH (Autentication Header) provee
autenticacin de paquetes a nivel kernel. El
protocolo ESP (Encapsulating Security Payload)
proveeencriptacinmsautenticacin.
FreeS/WAN consta de 3 partes funda-
mentaIes:
KLIPS:
requisito es que este conectado a la misma red
"insegura", en este caso, nt ernet, y una notebook
que accedaa lamisma atravsde Dial-Up, ADSL,
Cable-Mdem, etc.
FreeS/WAN puede ser obtenido desde la
pagina oficial . Cuando
hablamos de soporte para Psec sobre el kernel
de Linu estamos hablando de que hay que
aplicarle "parches" a nuest ro Linu. Los
contribuidores de FreeS/WAN han hecho un
ecelente trabajo y brindan rpms para las ltimas
versiones de kernel de RedHat que f acilitan
ampliamentela tareadel administrador.
es el rpm que contiene los
mdulosnecesariospara dar soporte Psecsobre
nuestrokernel actual.
son las llamados "userland
utilities", utilidades a nivel usuario que manejan
todo el sistema de ruteo cuando una conein es
establecida, y el demonio que corre en "user-
space".
Uno de los puntos fuertes y dif erenciadores
de FreeS/WANsobre otras implementaciones es
el llamado OE (Oport unistic Encription). El mismo
permite que dos gateways FreeS/WAN se
comuniquen entre s encriptando l trfico,
incluso si los administradores nunca han t enido
www.f reeswan.org
Los rpms constan de dos partes:
Oportuni sti c Encription:
Freeswan-moduIe:
Freeswan-1. 99:
contacto previo y ninguno de los sist emas tenga
predefinido inf ormacin del otro.
Para esto ambos sistemas deben tomar la
informacin de autent icacin que necesiten de
DNS, as, los administradores, solo ingresan "su"
informacin en el sistema DNS y setean "su"
gateway con OE. Para est o debemos contar con
algn servidor DNSque soporteDNSSEC.
Reduce el esfuerzo administrativo enorme-
mente para Psec. Un administrador configura el
gateway FreeS/WAN, y t odo lo dems es
automtico, la necesidadde configurar de manera
"tnel" desaparece.
Permite crear un ambiente en el cual la
privacidad es un defecto. Todo l trafico ser
encriptadosiempre queel otro ladolopermita.
OE no es todava un estndar dentro del
protocolo Psec, pero, act ualmente se encuentra
en proceso de demost racin para la futura
incorporacin dentro de Psec. Solo un producto
comercial implementa una f orma de OE, Secure
Sendmail, el cual, automticamente encripta
transferencias de email entre servidores siempre
que seaposible.
Aqu se define un cuadro de compatibilidad entre
FreeS/WANyot rasimplementacionesPsec:
Esta tcnica bri nda dos grandes
beneficios:
Cuadrode compatibi Iidad:

-
-


-

-

-
- -

--

Gateway A:
Gateway B:
Pent ium Celeron 400 Mhz. 128 MB
RAMPC-100. Modem56kUS ROBOTCS.
Pent ium Celeron 400 Mhz. 128 MB
RAMPC-100. Modem56kUS ROBOTCS.
En este caso la conein se realizo con un
proveedor gratuito de nternet, "Keko". La
velocidad final de la VPN fue de 33. 6/33.6 kbps y
nuevamente esto se debi a una limitacin de la
conein a nt ernet. El nico dato diferencial en
esta prueba fue que aunque la velocidad de
conein es relativamente baja la latencia de la
coneincreci notablemente.
De Gateway A a Gateway B utilizando como
interfaz ppp0 con un ping llegamos a tener
latencias entre 180 y 250ms. Mientras que si
realizbamos la misma operacin desde la
interfaz ipsec0 (la interf az virtual de FreeS/ WAN)
lalatenciase incrementeentre 230y320ms.
ConcI usi n
FreeS/WANpropone implementar VPNs sobre
el estndar Psec, conect ividad con otros
productos comerciales, y, una alternativa en los
costos de licenciamiento, como todo software
libre. La administraci n del mismo es
relativamente sencillayla documentacintcnica
encontrada en el sitio oficial es bastante buena,
permitiendo realizar coneionesinmediatamente.
La performance es bastant e buena pero esta
directamente relacionada con la potencia de
nuestro hardware. Cabe aclarar que FreeS/WAN
puedefuncionar ensistemas SMPpero la divisin
de lastareas no llega a un aumento del 35%enla
performance.
por
(MCSE, LPIC-Nivel2)

Performance de FreeS/ WAN:
Contemplando que se utilice solo sof tware, el
encargado de realizar toda la encriptacin y
desencriptacin de datos, ser el procesador,
obviamente, afectan fact ores como el tipo de bus,
memoria, etc.
Lassiguientespruebasfueron realizadas:
Pent ium Celeron 400 Mhz. 128 MB
RAMPC-100. Realt ek8139-cPC.
Pent ium Celeron 400 Mhz. 128 MB
RAMPC-100. Realt ek8139-cPC.
Realizando una conein con la compa a
"Fibertel" en un cablemdem de 128kbps de
upstream y 512kbps de downstreamla velocidad
final de nuestra VPN fue de 128kbps t anto de
upstreamcomo de downstream, esto esdebido a
una limitacin de nuestro servicio de nternet, y
aun as, ambosLinucontinuabancon procesador
libre comopara seguirrealizandootrast areas.
Gateway A:
Gateway B:
- -
-? - - -
- - --
-

EI propsito de este artcuIo es mostrar Open LDAPcomo eI servicio principaI de directorios para entornos heterogneos.
EI server LDAP permite compartir, por ejempIo, Ia Iibreta de direcciones que usamos en nuestro cIiente de correo,
tambinprovee un Ioginunificadopara Ios usuarios Linu y Windows, automount de directorios home, y comparticin
dearchivospara cIientes Linu y Windows.
s t e
a r t c u l o
est basado
en una nota aparecida en el magazine Linu
Journal (ampliada enmuchaspartes) ytrata sobre
la implementacin de OpenLDAP, que se llev a
cabo en Midwest Tool & Die, una compaa
americana,ubicada en ndiana que se dedica al
estampado para la indust ria automot riz y para la
industria electrnica. La idea surgi hace tres
aos cuando la compaa necesit compartir la
informacindesusdirectorios, y enla impementa-
cin particip el rea de ingeniera de la
Universidadde Purdue.
Midwest Tool & Die estn usando OpenLDAP
hace 3 aosy su performance ha sido intachable.
La compaa vio el primer gran beneficio al
compartir los contactosde la agenda electrnica.
Ahora han unif icado su logon desde cualquier
computadora de la red. Sus usuarios pueden
acceder al mismo archivo a t ravs de
Windows/Samba ode Linu/NFS/automount.
El articulo lo dividiremosen 2partes. Una sera la
publicada en NEX a modo de introduccion y el
articulo completo estara en nuestra web page
( ) como archivo pdf de modo
de quese pueda hacer un download.
Todo el articulo esta basado en un ejemplo de
un entornosimple.
(Vea la Figura 1).
www.neweb.com.ar
La configuracin utilizada en este artculo no
documenta el uso de SSL. El programa ldap-
sync.pl que usapuede eponer suLDAP manager
password. Como resultado, los clientes Windows
pueden cachear sus passwords de usuario,
creando por lo tanto, un nuevo riesgo para la
seguridad Linu. (Ni Midwest Tool & Die, ni sus
empleados, ni los autores de este art culo, se
hacen responsablespor suseguridad)
Antesde entrar en la instalacin yconfiguracin
del servidor LDAP, veamos un poco ms en
profundidadde qu se trata.....
LDAP ("Lightweight Directory Access Prot ocol' ',
ProtocoloLigero de Acceso aDirectorios) esun
protocolo de tipo cliente-servidor para acceder a
un serviciodedirect orio.
Un directorio es como una base de datos, pero
en general cont ieneinformacin msdescript iva y
ms basada en atribut os. La informacin
contenida en un directorio normalmente es lee
mucho ms de lo que se escribe. Como
consecuencia los directorios no implementan
normalmente los complicados esquemas para
transacciones o esquemas de reduccin
(rollback) que las bases de datos ut ilizan para
llevar a cabo actualizaciones
complejas de grandes volmenes
de dat os. Por cont ra , l as
actualizacionesen un directorioson
usualmente cambios sencillos de
todo o nada, si es que se
permiten enalgo.
Los directorios estn afinados
para proporcionar una repuesta
rpida a operaciones de bsqueda
o consult a. Pueden tener la
capacidad de replicar inf ormacin
de forma amplia, con el fin de
aumentar la disponibilidad y la
fiabilidad, y a la vez reducir el
tiempo de respuesta. Cuando se
duplica (o se replica) la informacin
del directorio, pueden aceptarse
inconsistencias temporales entre la
informacin que hayenlas rplicas,
siempre que finalmente eista una
sincronizacin.
Eisten muchas maneras distintas
de proporcionar un servicio de
directorio. Los diferentes mtodos
permiten almacenar en el directorio
diferentes tipos de inf ormacin,
est ablecer requisit os dif erent es
para hacer ref erencias a l a
i nf or maci n, consul t ar l a y
act ualizarla, la forma en que
protege al directorio de accesos no
autorizados, etc. Algunos servicios
de di rect or io son l ocal es,
proporcionando servicios a un
conteto restringido (por ejemplo, el
servicio de finger en una nica
Int roduccin
1Ques LDAP?
1.2 Ques unserviciodedirectorio?
mquina). Ot ros servicios son globales,
proporcionando servicio en un conteto mucho
ms amplio.
El servicio de directorio LDAP se basa en un
modelo cliente-servidor. Uno o ms servidores
LDAPcontienen losdatos que conforman el rbol
del direct orio LDAP o base de datos troncal. El
cliente ldap se conecta con el servidor LDAP y le
hace una consulta. El servidor contest a con la
respuesta correspondiente, o bien con una
indicacin de dnde puede el cliente hallar ms
informacin (normalmente otro servidor LDAP).
No importa con qu servidor LDAP se conect e el
cliente: siempre observar la misma vista del
directorio; el nombre que se le presenta a un
servidor LDAPhace referencia ala mismaentrada
a la que harareferenciaenotro servidor LDAP. Es
sta una caracterstica importante de un servicio
1.3 Cmofunciona LDAP?
de directoriosuniversal como LDAP.
El demonio o programa servidor para el
directorioLDAP se llama ypuedeejecut arse
sobremuchasplataformasUNX diferentes.
Hay otro demonio o programa servidor que se
encarga de la replicacin entre servidores. Su
nombre esslurpd ypor el momento no necesitar
preocuparse de l. En est e document o,
ejecutaremos un que proporciona servicio
de directoriopara su dominio local nicamente, es
decir, sin .
Elegimos bajar los paquetes binarios RPM ,
instalamos on Red Hat 7.1.
Tambin necesita los paquetes auth_ldap y
nss_ldap. Usaremos como nombre de dominio
foo. com.
Si quiere instalar la ltima versin de este
paquete, siga las instrucciones para bajarlo e
i n s t a l a r l o d e
Edite el archivo de configuracin del server
LDAP, que es , como
sigue:
slapd
slapd
slurpd
Inst alacin y conf iguracin del
servidor LDAP
openldap-2.0.11-8
w ww. o p e n l d a p . o r g
/doc/admin/quickstart.html
/etc/openldap/slapd. conf
# Schemas to use
include/etc/openldap/schema/core. schema
include/etc/openldap/schema/cosine.schema
include/ etc/openldap/ schema/ inetorgperson.
schema
include/et c/openldap/ schema/nis.schema
include /etc/ openldap/schema/redhat /rfc822-
MailMember.schema
include/et c/openldap/schema/ redhat/autofs.s
chema
include/etc/openldap/schema/redhat/kerbero
sobject.schema

Fi gura 1
Idapserver.foo. com bigdisk. foo.com
* OpenLDAP Server
* Samba PDC for FCC
* Hosts Users on/home
* OpenLDAP CIient
* Samba Server
* NFS Server
*Automounts /h, /share
Linu Workstation
MS WindowsWorkstation
* SMB Domain Member
of FOO
* Browses Samba Shares
* MoziIIa or MS OutIook
Epress
E-MaiI CIient
* OpenLDAP CIient
* Automounts /h, /share
* MoziIIa E-maiI CIi ent
--
u - -e -
-
-
database ldbm
suffi "dc=foo,dc=com"
rootdn "cn=Manager,dc=foo,dc=com"
rootpw {crypt}sadtrCr0CLzv2
directory /var/lib/ldap
inde default eq
inde object Class, uid,uidNumber,gid
Number eq
inde cn, mail,surname,givenname
eq,sub
#Acces Control (See openldap Admin
Guide)
accesto attr=userPassword
byself write
byanonymous auth
bydn="cn=ma nager, d c=f oo, dc=com"
write
by* compare
v.2.0
accesto *
byself write
byd="cn=manager,dc=foo,dc=com" write
by* read
Los schemas LDAP def inenclases yatributos
de los objetos que componen las entradasal
directorio.
Los schemas que necesitamos, listados en la
primera seccin de slapd.conf, ya han sido
definidosdurantelainstalacinRPM.
Si necesita agregar una claseo un atributo a un
objeto, vea la Gua de Administracin de
O p e n L D A P e n
.
Vamosa usar el tipo de basededatosldbm, que
es el que viene por default, y nuestro ejemplo usa
el componente de dominio LDAP. Entonces,
foo.com se transforma en dc=foo, dc=com.
Adems el administrador t iene permiso de
escriturasobretodaslasentradas LDAP.
La Gua de Referencia de Red Hat 7.3 sugiere
usar paraprotegerlascontraseas.
perl -e "print crypt ( , );"
Reemplace por un salto de 2
caract eres, y por la password en teto
plano. El resultado, que es la contrasea
encriptadapguela enslapd.conf.
Las l neas inde mejoran la performance para
atributosqueseconsultan confrecuencia.
Accescontrol restringeel acceso ala entrada de
userPassword, pero el usuario y el administrador
pueden modificar la entrada. Para todas las
dems entradas, el administrador tiene permiso
de escritura ylosdemsusuarios, delectura.
www.openldap.org/doc/admin20/schema.html
crypt
passwd, salt_string
salt_string
passwd
por Ing. Al ejandraGarca
Usted pude encontrar el artculo completo
en donde se
desarrollan lossiguientespuntos:
www.neweb.com.ar
*Creando la Estruct ura de Direct orios
*Co mpar t ir con ta ct o s de Li bre t a d e
Direcciones
*Configuracin de Client esde Correo
*Unificandoel logueo Linu con LDAP
*Creando entradas de usuario en la Mquina
Local
*Creando Entradas de Grupos
*Conf igure Aut omount par a compart ir
Directorios Home(ycomparticin por NFS)
*Configurando el cliente LinuLDAP
*Configuracin final del servidor Linu
*Login unificado de Microsoft Windows con
Samba yLDAP
*Configuracin de ldapsync.pl ySamba
*Compartiendo recursosNFSconSamba
*Mantenimiento

Al comparar un software con el ot ro

debemos tener en cuenta que ambos en su
contr acara generan codi go HTML y
JavaScript ent re ot ros lenguajes y que por lo
tanto la diferencia entre amboses su inerface
visual y su canal operat ivo por lo que la
usabilidad de los mismos depende del
usuario ysus pref erencias.
El MS Frontapge es muy bueno como
programa para principiantes con poco o
ningn conocimiento de HTML, ademas
permite utilzar modelos o pref ormatos de
diseo de pagina para construir su Web sit e
en minutos. Dar f romato al tet o e insertar
imgenes de forma tan fcil como usar
cualquier ot ro procesador de tet os, con el
cual la mayora de la gente esfamiliar.
En consecuencia podriamos decir que el
FP est ms orientado hacia el consumidor
en general.
El Macromedia Dreamweaver es un
programa en el cual es necesario tener un
conocimiento bsico o una nocin de HTML y
JavaScript. Tambien es importante conocer la
forma de organizar y distribuir los archivos
para poder crear un optimo mapa del sit io.
Debemos sealar que su asimilacin pueda
result ar mas compleja en relacin al MS
Front page pero la capacidad del programa y
sus resultados marcan diferencias y mas an
en su nueva versin MX que fusionan al
Dreamweaver 4 y al Dreamweaver Ultradev
permitiendo utilizar las ultimas tecnologias
con un pot ente edit or de cdigo.
Como resultado podriamos def inir que el
DW est orientado hacia los diseadores de
Web con un perf il mas prof esional.
-
Insumos y Partes para PC
DISPOSITIVOS DE CONEXIONES ESPECIALES
CONECTORES-ADAPTADORES
CABLES STANDAR Y A MEDIDA
ESTABILIZADORES - UPS - TRANFORMADORES
fIorida@cabIespc.com.ar beIgrano@cabIespc.com.ar
FLORIDA 537 GaI. Jardn 1 Piso
LocaI 491 - TeI/fa: 4393-1935 - 4326-9008
AV. BELGRANO 1209
TeI: 4381-6395
-
l empezar a escribir esta nota no se me
ocurra como titularla: "SQL 2000vs. SQL
7", "Mejoras en SQL 2000", "Porque
Migrar aSQL 2000", etc., y comovern opte por el
mas fcil quizs para no desmerecer la versin
anterior que ha tenido muy buena aceptacin en
el mercado ydepasofacilitarme el dilema.
La gente de Redmond (MSFT) ya hace un
tiempo, puso en el mercadola actualizacin de su
producto SQL 7.0, el cual este ultimo fue un
cambio significativo respecto de su antecesor 6.5
en cuanto al cdigo principal del programa (f ue
reescrito) , pero veremosque su versin 2000 no
sequeda atrsencuantoa aditamentosymejoras
setrata.
Para aquellos que no escucharon de XML,
eXtensible Markup Language vendra a ser una
etensin del ya conocido HTML pero orient ado a
manejar datos, imaginen esto: pedir paginas va
http (comoHTML) peroqueenlasolicitudde esas
Vamos con aIgunas de Ias mejoras/cambios
princi paIesincorporadasenesta versin:
Soporte XML:
formatos sin requerir del servidor Web y por otro
lado, XML, al ser estndar, essoportado por todo
losnavegadores(browsers) actuales.
Esto nosdala posibilidad de poder tener varias
instancias (instances) de MSSQL SERVER2000
corriendo (hast a16)y que para cada una, haya un
juego aparte de entradas del registro, configura-
cin, procesos, etc. en un mismo servidor, lo que
seria como inst alar varias veces MSSQL
SERVER2000en una mismamaquina.
Ahorase puede tenerun"servidor" porcada DB
o cada tantas DB, lo cual permitira varias cosas,
entreest as:
Bajar un servidor/ instancia SQL SERVER sin
afectar otrosservidores/instanciasSQL SERVER
paratareasdemantenimiento por ejemplo
Poseer distinta configuracin de servidor (DB
Master) o diferentesrequisitos de seguridad para
cada servidor/ instancia.
Poseer un juego de caracteres y sort order
(collation) predet erminado distinto para cada
servidor/instancia, aunque en esta versin, a
MItipIes Instancias:

en mltiplesservidores.
Respectoa la escalabilidad enunsolomaquina,
el soporte de sistemasde hasta 64GB de RAMy/o
32 procesadores
Tiempos de consulta msrpidos gracias a las
mejorasen el optimizador de consultas, soportede
vistas indeadas, ndices en columnas con
campos calculados y soporte completo de
multiprocesamiento simtrico (SMP) con lectura
de tablasen paralelo.
Ej.; Algunos clientes eperimentaron mejoras
de hastaun300%ensusaplicaciones.
Cluster a prueba de fallos simplificado de hasta
4 nodos, mejora en los tiempos de hacer backup
diferenciales, Stand-by Servers mejorado gracias
ala caracterstica Log Shipping
incorporada, creacin y recreacin de ndices
en paralelo (ms rpido rest ore) as como la
cert ificacin de seguridad C2 otorgada por la
Nacional Security Agency (NSA) le confieren a
MSSQL SERVER2000 mejorasen esteaspecto.
MSSQL SERVER 2000 incorpora un nuevo
mot or para el dat amining.
La habilidad de vincular cubos, que le dan un
aspecto multidimensional a los datos, sobre
nternet , as como particionar los mismos en
diferentes servidores que a su vez le confieren
mayor escalabilidad.
Rollups customizados, soporte de nuevost ipos
de dimensiones, Ej. parent-child y dimensiones
modificables(write-enabled)
OLAP Act ions que es una caracterstica que
permitedisparar eventosenunaDB.
Aparte de la adicin del etenso entorno XML,
MSSQL SERVER2000 proveea losdesarrollado-
res de la actualizacin en cascada con integridad
Performance:
ConfiabiIidad:
DataWarehouse:
Producti vidaddeI ProgramadorMejorada:
referencial para las acciones Update y Delete
incorporada, un depurador T-SQL, Triggers del
tipo NSTEAD OFF y AFTER y mejoras en el
Query Analyzer que incluye plantillas (templates)
paralacreacinde scriptsadministrativos
Como se puede apreciar las mejoras no son
pocas y por ende los motivos para migrar o
conocer estasnuevascaractersticastampoco.
Microsoft ha puesto enel mercadopor mediode
las Certif ied Technical Education Centers (CTEC)
una serie de cursos que nos permiten especiali-
zarnos en est e product o. Dichos cursos sirven
tambin para certificar emenes que cuentan
para la obtencin de las certificaciones MCDBA,
MCSE y MCSD. Aqu se detallan los ms
importantes
por
MCT/MCSE
Course 2071
Course 2072
Course 2073
Course 2074
: Queryi ng Microsoft SQL
Server2000 withTransact-SQL(16 horas)
: Administeri ng a Mi crosoft
SQLServer 2000 Database(40horas)
: Programming a Microsoft
SQLServer 2000 Database(40horas)
: Designing and ImpIementing
OLAP SoIutions Using Microsoft SQL Server
2000(40horas)
La carrera Microsoft Certified Database
Admi ni strator MCDBA Zue consta de 4
emenes se puede ver detaIIada en este Iink:
http:/ /www. mi crosoft.com/traincert/ mcp/ mcd
ba/reZuirements.asp
GermnDuek
*Fuente: www.microsoft.com
paginas vayan consultas (queries), gracias a las
cuales el Server http vinculado a SQL SERVER
nosdevuelve resultadosen otraspaginas. Suena
a ASPno? pero bueno esto nose parecenen nada
ya que difiere significat ivamente en varios
aspectos yposeendiferent esfines, de hecho ASP
al igual que otros similares (PHP, et c.) seguirn
eist iendo.
Peroveamosalgo de lo que sepuede hacer con
XML:
*Acceder, manipular yactualizar documentosXML
como si se t ratara de tablas usando lenguaje
Transact SQL
*HacerconsultasenlaURL usando lenguajeSQL
*Controlar la forma en la cual devuelve los
resultados(shapes)
*Etc.
MS SQL2000puedegenerar XML endiferentes
diferencia de la anterior, ya se soporta todo esto
personalizadoporcadaDB.
Todo esto lo hace propicio para bajos
presupuestos de hardware o consolidacin de
hosteo como el delosSP' s
MS SQLSERVER2000 fuesacado al mercado
con versiones tan potentes como la Enterprise
paraentornosDataCenter, as comoenversiones
compact as para entornos portt iles como la
versin delashandeldsconWindowsCE
En cuanto a la escalabilidad en cluster para
balance carga cabe mencionar el soporte
mediante un sistema de vistas particionadas que
resulta en transacciones y consultas distribuidas
Versiones:
EscaIabiIidad:

- - -
-
- - - -
- -
- - -- - ?-
- - -
El reade Psicologa del Hospital Cognitive nc. usa
un Domain Controller (Server1) para guardar sus
trabajos en una Carpeta compartida en la red de
Windows 2000llamadaDOC.
Dora, unaPsiclogaconel rangodeAdministradora
de la red por sus vastos conocimientos en
Computacin, cre una subcarpeta llamada SrK en
la carpeta compartida DOC. Mediante el Windows
Eplorer en Computer3, ella navega en la carpeta
SrK y se da cuenta de que uno de sus archivos,
CasoSigmund.docfueborrado.
Dorarestauraestearchivodesdeunacopiahechael
daanterior y configuralos permisos NTFSpara que
sloellapuedaacceder al mismo.
Debido a que los archivos restantes de su carpeta
deben quedar disponibles para toda el rea de
Psicologa, Dora ingresa en los permisos NTFS de
los mismos y los configura de forma tal que slo
tenga accesoa ellos el grupode Psicologa(lohace
removiendo todos los grupos menos Psicologa
desdelaopcinseguridadenlas propiedadesdelos
archivos), luego le da aeste grupoel permiso Read.
Ahoraella quieresaber si alguien queno pertenece
al grupo de Psicologa procura ingresar en esa
carpeta o si alguien intenta borrar nuevamente al
CasoSigmund.doc.
Eamineel cuadroquemuestraladistribucindelas
reasdelHospital:
Qu debera hacer Dora para determinar quien
intenta acceder a sus archivos? (Seleccione todas
las correctas)
Rta: C,E,G
A)EIIadebera configurar aIasGroupPoIicy para
activarIaauditoriaen Computer3
B)EIIadebera configurar aIasGroupPoIicy para
activarIaauditoriaen IaCarpetaDOC
C)EIIadebera configurar aIasGroupPoIicy para
activarIaauditoriaen Server1
D)EIIa debera auditar todas Ias entradas
eitosasaIacarpetaDOC
E)EIIa debera auditar todas Ias entradas
eitosasaIacarpetaSrK
F)EIIadebera auditar todos Ios intentosfaIIidos
deentradaaIacarpetaDOC
G)EIIadeberaauditar todosIos intentosfaIIidos
deentradaaIacarpetaSrK
-3- -
- - 7-
- ?
E I pr e s en t e e s t ud i o f u e e I a b or ad o p or c e r t c i t i e s . c o m
( ht t p: // cert cit ies.com/edi toriaI /f eatures/st or y.asp?Edi t ori aIsID=55).
EI estudio se bas en crecimiento, reputacin y aceptacin de Ia industria. A
est ose Ie agregaron otros factores: utiIidad, puede hacer una diferencia en Ia
carrera?, CuI briIIara mas?. AunZue eI estudio fue hecho en US creemos es
de muchoint ers para eI mercadoIocaI.

-
-

-
--

- --

- --

---

-
-

--
-

-
-
- -
-
-
--
-
-
- -
70-214Nuevo eamen deSeguridad Microsoft
Desde Comienzos del 2003 est operativo un nuevo eamen de
Microsoft queapuntaalaseguridadenredes:
"70-214 mplementando y Administrando Seguridad en una red
Microsoft deWindows 2000".
ste eamen puede incluirse como "elective" en la currcula de
MCSA (Microsoft Certified System Administrator) y MCSE (MS
Systems Engineer).
Paraverms detallesdelosepuestos ensteartculo:
www.microsoft.com/traincert/eams/70-214.asp
CONFERENCIAS TCNI CAS MICROSOFT 2003
ACTUALIZATE. FUTURIZATE.
MSDN Conferencia Tecnica 22 de Mayo de 2003,
MSDN Conferencia Tecnica 19 de Juni o de 2003,
MSDN Conferencia Tecnica 26 de Juni o de 2003,
ASP.NET, 10:00
a 13:00 hs
Bouchard 710, 4 Piso, Capital Federal
Descripcin: Migrando a ASP.NET - Tips y Trucos en ASP.NET,
Orador: Daniel Laco, MVP - Carlos Walzer, MVP, Nivel: ntermedio,
Audiencia: Desarrollador
Threads en .NET
+ Elementos de Remoting en .NET, 10: 00 a 13:00 hs, Bouchard 710,
4 Piso, Capital Federal, Descripcion: Threads en . NET. Cmo
desarrollar aplicaciones dist ribuidas con .NET Remoting, Orador:
Angel Lpez, MVP - Julio Novomisky, MVP, Nivel: ntermedio,
Audiencia: Desarrollador
Conceptos de
Arquitectura para el diseo de Aplicaciones distribuidas, 10:00 hs a
13:00 hs
Bouchard 710, 4 Piso, Capital Federal
Descripcion: Consideraciones de diseo/arquitectura de aplicaciones
para desarrolladores o responsables de equipos de desarrollo
Orador: Adrian Lasso, MVP
Audiencia: desarrollador, arquitectos de aplicaciones, responsable de
equipos de desarrollo
N u ev as t cn i ca s e n eI d es arro I Io d e ap Iic ac io n es
We b c on AS P.N E T. T ip s & Tri cks
Por favor regstreseen:
http://www.microsoft.com/argentina/conferencias_tecnicas. Todos estos
eventos son gratuitos, Iasvacantesson Iimitadas. Pararegistrarsevisite
nuestros sites de: TechNet MSDN O por e-maiI a eventos@microsoft.com.ar

--
-
- --
-

-
--
--

-

- -

-
-
- --

-- -

Usted esta configurando un laboratorio para
testear un ambient e de Windows 2000. Usted
instala una PCcliente y un servidor, luego usted
promueve el servidor a Domain Controller para
el nico dominio que eiste en su red
corporativa. La conf iguracin de red es
presentadaen el siguientecuadro deladerecha:
Cuando usted intenta unir a la PC cliente al
dominio, se recibe un mensaje de que no se
encuent ra el dominio. Ust ed revisa l a
configuracin TCP/P en la PCcliente ymuestra
lasiguiente configuracin:
Usted debe corregir el problema que le impide a la PC cliente
unirse al dominio.
Cul de lassiguientesopciones debera realizar usted:
Rt a: B
A- EspecifiZue eI defauIt gateway con eI I P 172.16.15.1
B- EspecifiZue eI defauIt gateway con eI I P 172.16.10.1
C-Cambie Ia direccinIP deI servidor DNS por Ia direccin IP
deI Domain ControI Ier
D- EspecifiZue I a di reccin deI DCcomo DNS aIternativo