Professional Documents
Culture Documents
htm
Redes en Windows NT
1
Unix mediante TCP/IP, con Macintosh mediante AppleTalk y con clientes
Windows mediante NetBEUI.
Modelo de seguridad de dominio. Es un sistema de acceso de usuarios a
recursos de la red en el que es necesaria una autentificacin previa. Los
controladores de dominio son las mquinas Windows NT que se encargan
de la validacin de los usuarios que inician sesin segn la base de datos de
usuarios o SAM (Security Account Manager).
Sistema de archivos NTFS. Es un sistema de almacenamiento de archivos
que incorpora seguridad: slo los usuarios autorizados pueden acceder a los
archivos. Windows NT tambin incluye soporte para FAT (aunque no para
FAT32) y HPFS (sistema de archivos de OS/2).
Tolerancia a fallos. Windows NT incorpora mecanismos para seguir
funcionando aun en presencia de fallos. Incluye soporte para RAID
(Redundant Array of Inexpensive Disk) que impide la prdida de datos
aunque falle uno de los discos duros del ordenador.
Windows NT tiene una versin diseada para los puestos de trabajo (Windows NT
Workstation) y una familia de versiones para trabajar en los servidores (Windows
NT Server). En este Captulo estudiamos las versiones de servidor de Windows NT.
El estudio de la versin Workstation queda fuera de las pretensiones del Curso: en
su lugar hemos estudiado Windows 98 como cliente de red. Commented [2]: Aqu podemos ver las diferentes
caractersticas que tiene este sistema operativo, como
lo es la memoria separada que se ejecuta en una
regin de la memoria.Y hay muchos ms tambin, y
podemos ver que con estas caractersticas el sistema
2.2 Instalacin de Windows NT operativo funciona de manera ms rpida y eficaz.
2
Un servidor de archivos es la mquina que contiene los archivos privados de cada
usuario, los de su grupo de trabajo y los archivos pblicos de la red. En realidad, se
trata de una coleccin de carpetas compartidas pero con distintos permisos de
acceso. El administrador de la red debe preocuparse de establecer los permisos de
acceso correctamente y de realizar las pertinentes copias de seguridad.
Las tareas de servidor de usuarios y archivos puede realizarlas una misma mquina
Windows NT Server o bien, distintas mquinas. Incluso, puede haber varios
servidores de usuarios y varios servidores de archivos segn las dimensiones de la
red. En este apartado nos centraremos en el primer caso: un solo ordenador realiza
ambas tareas. Commented [3]: Aqu podemos observar que la mayor
parte de las empresas necesitan uno o mas servidores,
por lo tanto en este prrafo habla sobre como
podemos crear un servidor de usuarios y archivos. Un
Gestin de usuarios. Grupos globales y locales servidor de archivos es la maquina que puede
contener archivos privados de cada usuario.
Cada usuario de la red necesita un nombre de usuario y contrasea para iniciar
sesin en el dominio desde su puesto de trabajo. Estos dos datos se establecen en
el servidor de usuarios (Controlador principal de dominio). La gestin de usuarios
se realiza desde el programa Administrador de usuarios que se encuentra en
Men Inicio / Programas / Herramientas administrativas. La siguiente ventana
muestra los campos que se deben introducir para el alta de un nuevo usuario.
nicamente son obligatorios el nombre de usuario y la contrasea, la cual hay que
escribirla dos veces a modo de confirmacin. Commented [4]: Cada usuario necesita un nombre y
contrasea de usuario, por lo que estas se pueden
encontrar en, Administrador de usuarios.
3
Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesin
en el dominio de Windows NT que hemos configurado segn se explica en el
apartado Contrasea de red Microsoft y contrasea de Windows. El nombre del
dominio es el que hemos indicado durante la instalacin de Windows NT (se puede
consultar en las propiedades de Entorno de red, pestaa Identificacin) y es distinto
al nombre del servidor. Commented [5]: En la imagen anterior muestra como
es que podemos configurar a los usuarios. en este
prrafo explica como podemos acceder al dominio por
Despus de la instalacin de Windows NT, hay varios usuarios que aparecen ya medio del apartado contraseas de red Microsoft y
creados en el Administrador de usuarios: contraseas de Windows.
4
IUSR_nombre-del-servidor. Es la cuenta que utilizan los clientes que
acceden al servidor web configurado en Windows NT (Internet Information
Server). Slo se debe tener habilitada si el servidor est ejerciendo tareas de
servidor web. Commented [6]: Explica los diferentes tipos de
usuarios que pueden aparecer, despus de ser
creados por el administrador, son tres tipos: El
Si bien es cierto que a cada usuario se le pueden asignar individualmente permisos administrador, el invitado, y la cuenta que usando los
distintos, no suele ser lo ms prctico. En su lugar, se crean grupos de usuarios que cliente y puede entrar al servidor.
comparten los mismos privilegios (por ejemplo, todos los usuarios de un mismo
departamento de la empresa). La gestin de permisos se simplifica
considerablemente de esta forma.
Los usuarios nuevos que creemos deben pertenecer siempre al grupo global
predeterminado "usuarios del dominio", aunque pueden pertenecer adems a otros
grupos globales que nosotros creemos.
Veamos un ejemplo: Los usuarios de la red Mara, Pablo e Isabel son alumnos y
necesitan tener una carpeta en el servidor que les permita realizar sus prcticas:
5
En el siguiente ejemplo vamos a crear un mayor nmero de grupos. Supongamos
que tenemos dos grupos de alumnos: unos que asisten a clase por la maana y
otros que lo hacen por la tarde. Cada grupo tendr una carpeta distinta para
almacenar sus prcticas. Estar disponible, adems, una carpeta comn para
ambos grupos de alumnos. Finalmente, crearemos una carpeta pblica que sea
accesible no slo por los alumnos sino tambin por el resto de usuarios del dominio.
Una vez que hemos creado los usuarios, grupos globales y locales es el momento
de disear una estructura de carpetas en el servidor para que los usuarios de la red
puedan almacenar sus archivos privados y compartir documentos con otros
usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas
de grupos; sin embargo, ahora vamos a verlo con ms detalle. Commented [10]: Ya que los grupos y usuarios sean
creados, se hace la estructura de las caretas, donde
cada usuario va a almacenar sus archivos.
Las necesidades de almacenamiento de archivos en una red se suelen reducir a
tres tipos de carpetas para cada usuario:
6
considere oportunos con total privacidad. El administrador de la red puede
imponer un lmite de espacio para evitar que las carpetas de los usuarios
crezcan indefinidamente.
Carpetas del grupo. Son una o ms carpetas utilizadas por el grupo
(departamento de la empresa) para intercambiar datos. nicamente tienen
acceso los miembros de un determinado grupo de usuarios, pero no los
miembros de otros grupos. Por ejemplo, el departamento de diseo podra
tener una carpeta llamada "diseos" que almacenase los diseos que est
creando el departamento; y el departamento de contabilidad, una carpeta
llamada "cuentas" que almacenase las cuentas de la empresa.
Carpetas pblicas. Son una o ms carpetas que estn a disposicin de
todos los usuarios de la red. Por ejemplo, una carpeta llamada "circulares"
que incluyese documentos de inters para todos los trabajadores de la
empresa. Commented [11]: Diferentes tipos de carpetas para
cada usuario, puede ser una carpeta privada del
usuario, que solo tiene acceso el que creo la carpeta,
Cmo organizar las carpetas en el disco duro del servidor? Es recomendable que carpetas de grupo que son las que utilizan los
se almacenen en una particin NTFS para disponer de seguridad. Las particiones departamentos de empresa para poder intercambiar
FAT no son las ms indicadas puesto que no permiten la configuracin de permisos datos y la carpeta publica que son una o ms carpetas
que todos los usuarios pueden entrar a ella.
locales de acceso aunque s permisos a la hora de compartir carpetas en la red.
Este punto lo estudiaremos detenidamente ms abajo. Commented [12]: Para poder organizar las carpetas
es preferible que se guarden en particin NTFS, ya
que las FAT no son muy indicadas.
A continuacin se muestra un ejemplo de organizacin del disco duro del servidor
que trata de diferenciar las carpetas de usuarios, grupos y pblica. Commented [13]: Ejemplo de la organizacin del
disco duro, donde tratar de diferenciar las carpetas de
usuarios, grupos y la publica.
Las nicas carpetas que se comparten son las del ltimo nivel (nunca las carpetas
"compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos", "maanas",
"tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de estas carpetas
tendr unos permisos de acceso distintos. Lo habitual es dar permiso de control total
al propietario de la carpeta (ya sea el usuario o un grupo local) en Compartir y control
total a todos en Seguridad. En el caso de la carpeta "publico" daremos control total
al grupo "usuarios" en Compartir. Los permisos se asignan accediendo a las
propiedades de la carpeta. Obsrvese que las pestaas Compartir y Seguridad
pueden tener permisos distintos. Veamos cmo quedaran los permisos de la
carpeta "alumnos". Podemos seguir este mismo esquema para el resto de carpetas. Commented [14]: Cada carpeta es nica por lo tanto
cada carpeta tendra su permiso de acceso directo, por
lo general el permiso lo tiene el propietario de la
carpeta.
7
8
Diferencia entre los permisos de Compartir y de Seguridad
Para poder acceder a un recurso remoto, tenemos que tener permisos tanto
en Compartir como en Seguridad.
Para poder acceder a un recurso local, basta con que tengamos permisos en
Seguridad (no importa lo que haya en Compartir). Commented [16]: Para poder acceder a un recurso
remoto se puede tener permiso de compartir como de
seguridad, y en acceso local basta con el permiso de
Forma de proceder: seguridad.
9
Si en el servidor NT slo inicia sesin local el administrador, podemos dejar
el permiso de control total para todos en Seguridad y usar slo la pestaa
Compartir (as es como lo hemos utilizado en el ejemplo anterior y es el caso
ms usual).
Si otros usuarios, aparte del administrador, inician sesin local en el servidor,
tenemos que establecer permisos en Seguridad. Compartir podra dejarse
con control total a todos. Commented [17]: si el administrador inicia sesin el
control se da solo para el permiso de seguridad, si
otros inician sesin se establece el permiso de
seguridad.
Los archivos de inicio de sesin son una serie de comandos que se ejecutan cada
vez que un usuario inicia sesin en su puesto de trabajo. Su mayor utilidad es la
conexin a las unidades de red del usuario. De esta forma conseguimos que cada
usuario vea siempre sus unidades de red independientemente del puesto (Windows
98) en el que inicie sesin (carpeta del usuario (U:), carpeta del grupo (G:) y carpeta
pblica (P:)) evitndole la incmoda tarea de buscar los recursos compartidos sobre
los que tiene permisos en Entorno de red. Commented [18]: Cada vez que un usuario inicia
sesin una serie de comandos se ejecutan esto son los
archivos de inicio de sesin, asi se pues conseguir que
Los archivos de inicio de sesin se almacenan en la carpeta el usuario vea sus unidades.
\winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos un
archivo de inicio de sesin (script) distinto. Estos archivos siguen la sintaxis de los
archivos por lotes de MS-DOS. Se pueden crear con cualquier editor de textos,
incluido el Bloc de notas. El siguiente script para el usuario menganito se puede
utilizar como esquema (lo llamaremos "menganito.bat"):
@echo off
echo **************************************
echo Hola Menganito, bienvenido a Minerva
echo Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico Commented [19]: Los archivos se almacenan en una
carpeta que lo indica en el texto. se menciona un
ejemplo de como poder poner la sintaxis para el
En el ejemplo anterior, "minerva" es el nombre del servidor y "menganito", "tardes" archivo de inicio de sesin.
y "publico", recursos compartidos del servidor "minerva". Este archivo generar en
Mi PC las unidades de red U:, G: y P: segn se indica en el script, cada vez que el
usuario Menganito inicie sesin en cualquier Windows 98 de la red. Commented [20]: Explica el ejemplo anterior de como
los archivos que se generan son de una sola carpeta.
Una vez creados los archivos de inicio de sesin tenemos que asociar cada uno de
ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el cuadro
10
Archivo de comandos de inicio de sesin de las propiedades de cada usuario del
Administrador de usuarios (botn Perfil), segn se muestra en la siguiente imagen: Commented [21]: una vez que se crean los archivos
se asocian y se escribe el nombre del script en el
archivo de comandos, en la imagen se muestra un
ejemplo.
Concepto de dominio
Hasta ahora no hemos dado una definicin formal de dominio; sin embargo, hemos
tenido la nocin intuitiva de que un dominio es la estructura de recursos y usuarios
que utilizan las redes de Windows NT. Podemos definir dominio como una
coleccin de equipos que comparten una base de datos de directorio comn (SAM).
Cada usuario tiene que validarse en el dominio para poder acceder a sus recursos
mediante un nombre de usuario y contrasea que le asignar el administrador. Los
servidores del dominio ofrecen recursos y servicios a los usuarios (clientes) de su
dominio.
Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos
organizativos en ocasiones es interesante utilizar varios dominios interconectados
entre s. Esto lo veremos ms adelante cuando tratemos las relaciones de
confianza. El caso ms sencillo es un solo dominio y un solo servidor en el dominio. Commented [22]: Podemos definir dominio como una
coleccin de equipos que comparten una base de
Sin embargo, en un mismo dominio pueden coexistir distintos servidores. datos de directorio comn, lo habitual es tener un
dominio en cada red ya que por motivos organizados
es interesante utilizar varios dominios intencionados.
11
Funciones de un servidor Windows NT
Las relaciones de confianza se utilizan para que los usuarios de un dominio puedan
acceder a los recursos de otro dominio.
12
Las relaciones de confianza habitualmente se crean siguiendo una serie de modelos
predefinidos que se amoldan a la mayora de las necesidades. Commented [26]: Las relaciones se crean siguiendo
una serie de modelos predefinidos. cuadros se
encuentran en el Administrador de usuarios / Men
Directivas / Relaciones de confianza.
Modelos de dominios
13
Los mensajes desde estaciones Windows NT se envan mediante el comando NET
SEND.
net send /users El servidor se apagar en 10 minutos. Por favor, vaya guardando
sus documentos. Commented [30]: net send /users "El servidor se
apagar en 10 minutos. Por favor, vaya guardando sus
documentos." enva un mensaje a todos los usuarios
del dominio.
14
2.6 Servidor WINS
15
2.7 Servidor DHCP
16
Instalacin y configuracin del servidor DHCP:
17
puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS, 46 =
tipo de nodo de resolucin de nombres NetBIOS). Commented [36]: Agregar el servicio "Servidor DHCP
de Microsoft", reiniciar e indicar el rango de IPs que
vamos a reservar para los puestos de la red. Las
Nota: El tipo de nodo 0x8 es el conocido como nodo hbrido. Significa que los direcciones IP del propio servidor DHCP se debe
clientes tratarn de resolver cada no!mbre en primer lugar mediante un servidor excluir del rango anterior. Establecer las opciones del
WINS y, si no lo consiguieran, mediante un broadcasting a la red. Es el nodo mbito en el men.
recomendado para la mayora de las configuraciones. Commented [37]: El nodo hbrido es el nodo 0X8 y el
mas recomendado para la mayoria de las
configuraciones.
Configuracin de los clientes DHCP:
18
Las direcciones IP se pueden reservar para conseguir que cada host tome siempre
la misma direccin IP. Esto permite rastrear los movimientos de cada host en la red
y es recomendable su utilizacin por motivos de seguridad. Las reservas se hacen
desde el men mbito / Agregar reservas. Cada host se identifica mediante la
direccin fsica de su tarjeta de red. Este nmero se debe introducir en el cuadro
"Identificador nico" como una secuencia de 12 caracteres sin utilizar ningn
separador entre cada byte. Commented [40]: Una direccin IP permite rastrear
los movimientos de cada host en la red y es
recomendable su utilizacin por motivos de seguridad.
Obsrvese que la configuracin DHCP se asigna a los clientes durante un Cada host se identifica mediante la direccin fsica de
determinado periodo de tiempo (llamado concesin o permiso). Durante ese tiempo su tarjeta de red.
el cliente no requiere realizar conexiones al servidor DHCP (el servidor podra estar
incluso apagado y el cliente conservara toda su configuracin). Antes de que el
permiso caduque, el cliente renovar automticamente su configuracin
preguntando al servidor DHCP. Commented [41]: Para la configuracin DHCP se
asigna a los clientes durante un determinado periodo
de tiempo en el cul no requiere realizar conexiones al
La configuracin de DHCP se puede renovar anticipadamente utilizando los botones servidor DHCP.
"Liberar" y "Renovar" de WINIPCFG o bien, el comando IPCONFIG (escribir
IPCONFIG /? para conocer sus parmetros). Commented [42]: Para renovar anticipadamente la
configuracin de DHCP se utilizan los botones
"Liberar" y "Renovar" de WINIPCFG.
19
Unidad III
Seguridad en redes
Saben los usuarios de nuestra empresa lo que no deben hacer? Saben que si
abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la
seguridad de toda la empresa? La formacin de los usuarios, especialmente
aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos
que tener en cuenta como administradores de una red. Commented [46]: Lo primero que tenemos que tener
en cuenta como administradores de una red es la
formacin de los usuarios.
La navegacin por Internet y la lectura de correos electrnicos no se
consideran situaciones de riesgo. No es necesario siquiera tener un antivirus
funcionando. Discutiremos este punto ms adelante.
La visin de imgenes (.GIF o .JPG) u otros archivos multimedia (.MP3, .MID,
.WAV, .MPEG...) que habitualmente se transmiten por correo electrnico,
tampoco suponen ningn riesgo. Commented [47]: Sabemos que la navegacin por
Los documentos de Office pueden contener virus de macro (archivos .DOC Internet y la lectura de correos electrnicos no se
consideran situaciones de riesgo, ni la visin de
y .XLS principalmente). Se deben comprobar siempre con un programa imgenes.
antivirus antes de abrirlos.
20
Los archivos ejecutables recibidos por correo electrnico no se deben abrir
bajo ningn concepto. Los formatos ms habituales son .EXE, .COM, .VBS,
.PIF y .BAT. Commented [48]: Se deben comprobar siempre con
En caso de duda es preferible no abrir el archivo adjunto, aunque provenga un programa antivirus antes de abrirlos.
Los archivos ejecutables recibidos por correo
de un remitente conocido. Los archivos ms sospechosos son los que tienen electrnico no se deben abrir bajo ningn concepto.
un nombre gancho para engaar a usuarios ingenuos: LOVE-LETTER-FOR-
YOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de archivos, en un
90% de probabilidades, no contienen lo esperado o, si lo contienen, tambin
incluyen un regalito malicioso oculto para el usuario. Los nuevos virus tratan
de aprovecharse de la ignorancia de los usuarios para hacerles creer,
mediante tcnicas de ingeniera social, que cierto correo con datos
interesantes se lo est enviando un amigo suyo cuando, en realidad, son
virus disfrazados. Commented [49]: Los virus tratan de aprovecharse de
la ignorancia de los usuarios para hacerles creer, se lo
est enviando un amigo suyo cuando, en realidad, son
Importante: Para que las extensiones de los archivos sean visibles debemos virus disfrazados, los archivos ms sospechosos son
desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos" los que tienen un nombre gancho para engaar a
situada en Mi PC / men Ver / Opciones de carpeta / Ver. La situacin de esta opcin usuarios ingenuos.
puede variar dependiendo de la versin de Windows e Internet Explorer que
estemos utilizando. Buena parte de los virus se aprovechan de que los usuarios
tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-LETTER-
FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos nicamente el nombre
"LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se trata de un
inofensivo archivo de texto, cuando en realidad es un archivo ejecutable (.VBS). Commented [50]: Una gran parte de los virus se
aprovechan de que los usuarios tienen la casilla de
"Ocultar extensiones para los tipos de archivos
Si todos los usuarios siguieran estos consejos habramos conseguido conocidos" marcada.
probablemente una red libre de virus. Microsoft, consciente del elevado riesgo que
supone el correo electrnico, dispone de una actualizacin de seguridad para su
programa Outlook (no Outlook Express) que impide al usuario abrir archivos
potencialmente peligrosos. Como administradores de redes debemos considerar la
opcin de aplicar esta actualizacin en todos los puestos. Commented [51]: Es importante que todos los
usuarios siguieran estos consejos para conseguir una
red libre de virus.
Es responsabilidad del administrador instalar en todos los equipos de la red tanto
los ltimos parches de seguridad como las ltimas actualizaciones del antivirus. Si
bien es cierto que han salido a la luz virus que se contagian con slo abrir un archivo
HTML (ver una pgina web o leer un correo electrnico), tambin es cierto que se
apoyan en vulnerabilidades del sistema las cuales ya han sido subsanadas por
Microsoft (por ejemplo, la vulnerabilidad "script.typelib") . Entre este tipo de virus
podemos citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una adecuada
poltica de actualizaciones en los puestos de trabajo as como una correcta
configuracin de los programas de navegacin y correo, podemos olvidarnos de los
virus HTML: el riesgo que suponen es tan bajo que no merece la pena que nos Commented [52]: El administrador debe instalar en
todos los equipos de la red tanto los ltimos parches
preocupemos por ellos. de seguridad como las ltimas actualizaciones del
antivirus. Mediante una adecuada poltica de
Cmo podemos configurar los puestos de trabajo para reducir las situaciones de actualizaciones en los puestos de trabajo as como una
correcta configuracin de los programas de
riesgo en el correo electrnico? navegacin y correo, podemos olvidarnos de los virus
HTML: el riesgo que suponen es tan bajo que no
merece la pena que nos preocupemos por ellos.
21
Desactivar la ocultacin de las extensiones de los archivos, segn hemos
indicado ms arriba.
Instalar la ltima versin de Internet Explorer y de Outlook Express / Outlook
junto a todas sus actualizaciones.
Instalar todas las actualizaciones crticas de Windows recomendadas en
www.windowsupdate.com.
Si usamos el gestor de correo Outlook, instalar la actualizacin de seguridad
que impide abrir archivos adjuntos potencialmente peligrosos.
Establecer la seguridad de nuestro programa de correo electrnico en alta.
En Outlook Express hay que elegir la opcin "Zona de sitios restringidos" que
se encuentra en el men Herramientas / Opciones / Seguridad.
Desinstalar Windows Scripting desde Panel de control / Agregar o quitar
programas / Instalacin de Windows / Accesorios / "Windows Scripting Host".
La desinstalacin de este componente de Windows impide que se puedan
abrir archivos de secuencias de comandos o scripts (los .VBS por ejemplo)
los cuales, en la mayora de las ocasiones, se utilizan con fines maliciosos.
Los usuarios sin Windows Scripting que traten de ejecutar un archivo adjunto
.VBS no caern en ninguna situacin de riesgo porque este formato no ser
reconocido por Windows. Commented [53]: Para configurar los puestos de
trabajo y reducir las situaciones de riesgo en el correo
electrnico debemos de desactivar la ocultacin de las
extensiones de los archivos, segn hemos indicado
ms arriba.
Antivirus Instalar la ltima versin de Internet Explorer y de
Outlook Express / Outlook junto a todas sus
actualizaciones y establecer la seguridad de nuestro
Los programas antivirus detectan la presencia de virus en archivos impidiendo la programa de correo electrnico en alta.
infeccin del sistema. Adems disponen de rutinas de desinfeccin con mayor o
menor xito en funcin del tipo de virus y de la calidad del programa antivirus.
Obsrvese que los antivirus no son la panacea: cada da se desarrollan nuevos virus
los cuales pueden no ser detectados por nuestro programa antivirus. Las
desinfecciones de archivos en caso de que un posible virus haya destruido datos
(sobrescribindolos con caracteres basura, por ejemplo) pueden no tener ningn
xito. En la mayora de los casos, despus de una infeccin no queda ms remedio
que reinstalar equipos y recuperar datos de copias de seguridad. Por lo tanto,
debemos invertir en medidas de prevencin y deteccin para que las infecciones no
lleguen a producirse. Si a pesar de todo ocurre lo peor, nuestra red debe estar
diseada para que las consecuencias sean las menores posibles. Commented [54]: Los virus en archivos son
detectados por programas antivirus impidiendo la
infeccin del sistema. Despus de una infeccin no
Dnde colocar el antivirus? Se puede situar en los clientes y/o en los servidores: queda ms remedio que reinstalar equipos y recuperar
datos de copias de seguridad. Debemos invertir en
En los servidores. Teniendo en cuenta que el correo es la principal va de medidas de prevencin y deteccin para que las
infecciones no lleguen a producirse.
propagacin de virus, el servidor ms crucial es el de correo. Existen en el
mercado programas antivirus diseados para acoplarse a los principales
servidores de correo (para Exchange Server, por ejemplo). Tngase en
cuenta que el servidor de correo nunca va a ser infectado por mucho que
est reenviando virus puesto que estos programas nunca llegan a ejecutarse
en el servidor. La misin de un antivirus en un servidor de correo es proteger
22
la red interna de virus externos recibidos por correo. Los usuarios de la red
nunca recibirn virus en sus cuentas de correo (al menos, en las que
dependen de este servidor, nada puede hacer con cuentas de correo
gratuitas tipo Hotmail). Como inconveniente de la instalacin del antivirus
est la sobrecarga de trabajo en el servidor as como el elevado coste del
software. Debemos hacer un balance de los factores coste, potencia del
servidor y necesidad real de esta proteccin. Commented [55]: El correo es la principal va de
propagacin de virus, el servidor ms crucial es el de
correo. La misin de un antivirus en un servidor de
Tambin podemos pensar en la instalacin de un antivirus permanente en el correo es proteger la red interna de virus externos
servidor de archivos de la empresa. Sin embargo, esta no suele ser una recibidos por correo. Los usuarios de la red nunca
buena idea precisamente por la sobrecarga que esto supone para la recibirn virus en sus cuentas de correo. Como
inconveniente de la instalacin del antivirus est la
mquina. S es interesante, en cambio, analizar diariamente todos los sobrecarga de trabajo en el servidor as como el
archivos de usuarios en momentos en que el servidor tenga poca carga (por elevado coste del software.
la noche, por ejemplo) mediante un anlisis programado. Este anlisis se
puede realizar desde el propio servidor o bien, desde un puesto de trabajo
que haya iniciado sesin con privilegios de administrador y tenga acceso, por
tanto, a los documentos de todos los usuarios. Commented [56]: Un antivirus permanente no es
buena idea para nuestro equipo ya que este supondr
una sobre carga.
En los clientes. Se pueden utilizar dos tipos de antivirus:
23
1. Formar al usuario para que distinga las situaciones que entraan riesgo para
la empresa de las que no. Es importante comprender que un slo equipo
infectado puede propagar la infeccin al resto de equipos de la red.
2. Mantener los antivirus de todos los puestos actualizados. La actualizacin
debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de
actualizar los antivirus puesto por puesto, se debe buscar un sistema que
permita la actualizacin de forma centralizada.
3. Realizar copias de seguridad diarias o semanales de los documentos de los
usuarios almacenados en el servidor de archivos y mantener un historial de
copias. Los usuarios deben ser conscientes de que los nicos datos que
estarn protegidos sern los que estn almacenados en el servidor pero no
los que residan en sus equipos locales. Las copias de seguridad se suelen
dejar programadas para realizarse durante la noche. El historial de copias se
consigue utilizando un juego de cintas (las hay disponibles de varias decenas
de GB) que se van utilizando de forma rotativa.. Por ejemplo, con un juego
de 7 cintas tendramos siempre un historial de 7 copias de seguridad
anteriores. Por supuesto, las cintas deben guardarse en lugar seguro y, a ser
posible, lo ms alejadas fsicamente del servidor con objeto de evitar la
destruccin de todos los datos en caso de desastres naturales: inundaciones,
incendios, etc.
4. Evitar la comparticin de unidades y carpetas en los ordenadores cliente.
Todos los recursos compartidos deben estar en los servidores, nunca en los
ordenadores cliente. De esta forma se evitan propagaciones masivas de virus
entre los puestos de trabajo. Commented [60]: Es importante comprender que un
slo equipo infectado puede propagar la infeccin al
resto de equipos de la red. Mantener los antivirus de
todos los puestos actualizados. Realizar copias de
seguridad diarias o semanales de los documentos de
Troyanos los usuarios almacenados en el servidor de archivos y
mantener un historial de copias. Evitar la comparticin
de unidades y carpetas en los ordenadores cliente.
Los caballos de Troya o troyanos son programas que se distribuyen siguiendo los Todos los recursos compartidos deben estar en los
mismos mtodos que los virus. Las medidas de prevencin son las explicadas servidores, nunca en los ordenadores cliente.
anteriormente para el caso de los virus. Los troyanos ms conocidos son tambin
detectados por programas antivirus. Commented [61]: Los troyanos son programas que se
distribuyen siguiendo los mismos mtodos que los
virus los ms conocidos son tambin detectados por
Pero, qu es exactamente un caballo de Troya? Es un programa que tiene una programas antivirus.
apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se
trata de un programa con dos mdulos: un mdulo servidor y otro cliente. El atacante
se instala, con fines nada ticos, el mdulo cliente en su ordenador. El mdulo
servidor es el troyano propiamente dicho que se enva a la vctima bajo alguna
apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez que la
vctima cae en la trampa y ejecuta el archivo ste se instala en su ordenador. A
partir de ese momento, el atacante puede monitorizar todo lo que la vctima hace en Commented [62]: Un caballo de Troya es
su ordenador incluyendo el robo de contraseas y documentos privados. bsicamente un programa que tiene una apariencia
inofensiva pero que realmente tiene objetivos hostiles,
una vez que la vctima cae en la trampa el atacante
El troyano, despus de ejecutarse, abre un determinado puerto en modo escucha puede monitorizar todo lo que la vctima hace en su
en el ordenador de la vctima. El atacante puede crear entonces una conexin desde ordenador incluyendo el robo de contraseas y
documentos privados.
24
su ordenador hasta la direccin IP y puerto de la vctima (debe conocer estos dos
nmeros o disear algn mtodo para obtenerlos). Una vez que est establecida la
conexin, el atacante, que puede estar a miles de kilmetros, tendr acceso
completo al ordenador de la vctima. Commented [63]: Despus de ejecutarse el Troyano
abre un determinado puerto en modo escucha en el
ordenador de la vctima. Cuando establezca una
Para detectar la presencia de un troyano basta con utilizar el comando NETSTAT - conexin el atacante, tendr acceso completo al
A. Si observamos algn puerto a la escucha que no est asociado con ninguna ordenador de la vctima.
aplicacin conocida de nuestro ordenador es seal de una posible presencia de
troyanos. Si, adems, observamos que se establece una conexin con una direccin
IP desconocida es muy probable que nuestro ordenador est transfiriendo datos sin
nuestro consentimiento. Commented [64]: Debemos de ser precavidos ya que
si observamos algn puerto a la escucha que no est
asociado con ninguna aplicacin conocida de nuestro
Nota: Se puede averiguar a quin pertenece una direccin IP mediante los sitios ordenador es seal de una posible presencia de
whois disponibles en la Red (ver www.saulo.net/links). El significado de cada puerto troyanos.
se estudia en el Curso de protocolos TCP/IP.
Los antivirus no son los programas ms efectivos para enfrentarse a los caballos de
Troya. En su lugar, es ms recomendable la utilizacin de cortafuegos o firewall que
nos avisar cuando detecte el establecimiento de una conexin TCP sospechosa o,
simplemente, la rechazar. En las redes suele ser suficiente con la colocacin de
un cortafuegos justo en la salida de Internet. Ms adelante se estudian los
cortafuegos.
25
Desde el punto de vista de la seguridad, la red ms segura sera aquella que no
dejara hacer nada (ni trabajar, siquiera) y la red ms insegura aquella que lo
permitiera todo (entrar desde el exterior a usuarios annimos, por ejemplo). Por
supuesto, debemos buscar un compromiso entre seguridad y nmero de servicios /
privilegios requeridos para trabajar con comodidad. Commented [67]: Aquella que no dejara hacer nada
sera la red ms segura, la ms insegura aquella que
lo permitiera todo por esto debemos buscar un
compromiso entre seguridad y nmero de servicios /
privilegios requeridos.
Deshabilitar servicios innecesarios
Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona
ms rpido puesto que tiene menos tareas a las que atender, consume menos
memoria y hace un menor uso del procesador, produce menos errores (hay menos
cosas que pueden fallar y menos mdulos que puedan interferir entre s), es ms
resistente a agujeros de seguridad (slo le afectan los agujeros de seguridad de los
servicios que tiene activos) y, por ltimo, tiene un mantenimiento ms sencillo (slo
hay que instalar los parches de seguridad de los servicios que tiene habilitados). La
gestin de servicios en Windows NT se realiza desde Panel de control / Servicios. Commented [68]: Un servidor con pocos servicios
habilitados produce menos errores, consume menos
memoria y hace un menor uso del procesador, tiene
Los servidores deben tener el menor nmero de puertos abiertos. Esto se consigue mayor seguridad,su mantenimiento es ms sencillo y
eliminando todos los servicios innecesarios. De esta forma evitamos posibles funciona ms rpido.
ataques desde el exterior que se aprovechan de algn reciente agujero de seguridad
para puertos concretos. Los puertos abiertos se listan con la orden NETSTAT -A.
Por supuesto, los clientes slo deben tener abiertos los puertos imprescindibles para
sus tareas (generalmente los puertos NetBIOS: 137, 138 y 139): nunca un puesto
de trabajo puede ser un servidor web o similar (esto se produce en ocasiones con
puestos de trabajo que funcionan con Windows 2000 Professional). Commented [69]: Se debe tener el menor nmero de
puertos abiertos en los puertos. Eliminando todos los
servicios innecesarios. Para evitar ataques desde el
Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algn exterior que se aprovechan de algn reciente agujero
programa los est utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de de seguridad para puertos concretos.
programas activos en ese momento. Mediante la orden MSCONFIG, pestaa Inicio
se listan todos los programas que se ejecutan al iniciarse el sistema operativo. Una
vez que hemos localizado el programa que abre un determinado puerto que
queremos cerrar, basta con desmarcarlo en la lista anterior. En el prximo reinicio
el puerto permanecer cerrado. El cierre de los puertos NetBIOS se explica en el
apartado Cmo deshabilitar NetBIOS en Windows 98. Commented [70]: Recordemos que en los
ordenadores Windows 9x/Me los puertos se abren
porque algn programa los est utilizando gracias a la
La gestin de los privilegios de los usuarios debe realizarse cuidadosamente en los orden MSCONFIG. Una vez que hemos localizado el
servidores de usuarios y archivos. Aunque los usuarios sean de confianza siempre programa que abre un determinado puerto que
reduciremos riesgos por descuidos. Adems, en el caso de una infeccin por virus, queremos cerrar, basta con desmarcarlo en la lista
anterior. En el prximo reinicio el puerto permanecer
el virus no podr traspasar los departamentos si no hay ninguna va de acceso o cerrado.
recurso compartido comn. En general, la aplicacin de la ley de los mnimos
privilegios reduce la mayor parte de riesgos potenciales. Commented [71]: Muy cuidadosamente se debe
gestionar los privilegios de los usuarios en los
servidores de usuarios y archivo, as reduciremos
riesgos por descuidos. Y en caso de virus, este no
traspasar los departamentos si no hay ninguna va de
acceso o recurso compartido comn.
26
3.3 Parches de seguridad
El software que sale al mercado dista mucho de ser un producto perfecto e infalible:
habitualmente contiene una serie de errores que no fueron detectados o corregidos
a tiempo antes de su comercializacin. Desde el punto de vista de la seguridad nos
interesan aquellos fallos que pueden ser utilizados por personas maliciosas para
romper la seguridad de un sistema, extraer datos, dejar un sistema fuera de servicio,
etc. Cada da se descubren nuevos agujeros de seguridad en los productos ms
utilizados y tambin cada da se lanzan parches de seguridad que subsanan estos
errores. El tiempo que transcurre entre que un agujero de seguridad es publicado y
la instalacin del correspondiente parche en el servidor es tiempo que el servidor
est a merced de los hackers que pululan por la Red. Commented [72]: El software comercial por lo general
tiene errores que no fueron detectados o corregidos a
tiempo antes de su comercializacin. Se siguen
Las informaciones de primera mano en temas de seguridad se obtienen de listas de descubriendo fallas de seguridad en los productos ms
correo especializadas. En espaol se destaca la lista una-al-dia de Hispasec que utilizados y tambin cada da se lanzan parches de
lanza diariamente una noticia de seguridad. Hispasec tambin incluye un sistema seguridad que subsanan estos errores.
de mensajes a mviles para alertar de los riegos ms graves. En ingls, la
publicacin ms relevante de seguridad para Windows NT es NTBugtraq. Microsoft
dispone de boletines peridicos de seguridad (en ingls) sobre sus productos
(http://www.microsoft.com/technet/itsolutions/security/current.asp). La descarga de
los parches en espaol se puede realizar desde
http://www.microsoft.com/spain/support/kbsl/softlib/defaultsl.asp o bien, desde
http://www.microsoft.com/downloads/search.asp?LangID=18&LangDIR=ES. Antes
de realizar actualizaciones es muy recomendable dirigirse al sitio web del sistema
operativo para obtener informacin detallada de las instalaciones necesarias. Commented [73]: Para obtener informacin primera
mano en temas de seguridad se obtienen de listas de
correo especializadas. Como sabemos antes de
Si bien los servidores son las mquinas ms sensibles de la red y a las que debemos realizar actualizaciones es hay que dirigirnos al sitio
prestar una mayor atencin, tampoco debemos olvidarnos de los clientes. Los web del sistema operativo para informarnos
puestos de trabajo deben contener al menos todas las actualizaciones crticas que correctamente.
recomienda www.windowsupdate.com Commented [74]: Definitivamente los servidores son
las mquinas ms sensibles de la red y les debemos
prestar una mayor atencin, tampoco debemos
olvidarnos de los clientes.
En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a
la hora de disear redes seguras.
27
pueden combinar nmeros y letras en maysculas tratando de buscar algn sistema
que nos permita recordar la contrasea. Por ejemplo, "cErr0j0". Las contraseas
deben tener ms de 5 o 6 caracteres. Cuanto ms larga sea la contrasea, ms
complicado ser romperla. Otro mtodo para inventarse contraseas es utilizar las
iniciales de frases. Sin embargo, las frases tampoco deben ser muy conocidas
puesto que las iniciales ms habituales se encuentran tambin en diccionarios de
hackers (por ejemplo, "euldlm" = En un lugar de la Mancha). Commented [75]: Las contraseas escogidas en la
red deben ser contraseas seguras.Se pueden
combinar nmeros y letras en maysculas tratando de
Las contraseas se deben renovar peridicamente (cada dos meses, por ejemplo) buscar algn sistema que nos permita recordar la
por si alguna hubiese podido ser descubierta. Adems, se deben utilizar contrasea y deben tener ms de 5 o 6 caracteres.
contraseas distintas para cada servicio de la red. Por ejemplo, sera una temeridad
utilizar la misma contrasea para el correo electrnico que para la cuenta de
administrador de un servidor. Por qu? Sencillamente porque una contrasea de
correo no viaja encriptada por la red y podra ser descubierta fcilmente. Commented [76]: Por su seguridad las contraseas
se deben renovar aproximadamente cada dos meses y
utilizar contraseas distintas para cada servicio de la
La utilizacin de switches es preferible a la utilizacin de hubs. Recordemos que red.
un hub difunde la informacin que recibe desde un puerto por todos los dems. La
consecuencia de esto es que todas las estaciones conectadas a un mismo hub
reciben las mismas informaciones. Si en uno de estos puestos se sita un usuario
malicioso (o bien, ese puesto est controlado remotamente mediante un troyano u
otro tipo de acceso remoto) es posible que trate de instalar una herramienta
conocida como sniffer para analizar todo el trfico de la red y as, obtener
contraseas de otros usuarios. Los sniffers utilizados correctamente pueden
mostrar informacin muy til para el administrador de una red. Pero en manos de
usuarios maliciosos y en redes mal diseadas supone un elevado riesgo de
seguridad. Un sniffer instalado en un puesto de trabajo carece de utilidad si en la
red se utilizan switches para aislar los puestos. En cambio, un sniffer instalado en
un servidor (de correo o de usuarios, por ejemplo) puede revelar datos altamente
confidenciales. Es muy importante, por tanto, restringir el acceso de usuarios a los
servidores as como mantenerlos protegidos con las ltimas actualizaciones de
seguridad. Commented [77]: La utilizacin de switches es
preferible a la utilizacin de hubs, ya que estos ltimos
difunden la informacin que recibe desde un puerto por
Es preferible que las zonas pblica y privada de nuestra red utilicen cableado todos los dems. Por lo que todas las estaciones
distinto. As evitaremos que un servidor de la zona pblica comprometido pueda conectadas a un mismo hub reciben las mismas
escuchar trfico de la zona privada. Veamos dos ejemplos: informaciones. Los sniffers utilizados correctamente
pueden mostrar informacin muy til para el
administrador de una red.
Configuracin incorrecta. El servidor proxy que separa las zonas pblica y Hay que restringir el acceso de usuarios a los
privada utiliza una sola tarjeta de red. Tanto los servidores pblicos como los servidores as como mantenerlos protegidos con las
ltimas actualizaciones de seguridad.
puestos de trabajo internos comparten el mismo cableado, es decir, se
pueden conectar indistintamente a cualquier puerto libre de cualquier hub de
la red. Y, lo que es ms grave, cualquier usuario podra autoasignarse una
IP pblica y comprometer toda la seguridad de la red.
Configuracin correcta. El servidor proxy utiliza dos tarjetas de red. Una
tarjeta de red se conecta al hub de la zona pblica y la otra, al hub de la zona
privada. La nica va fsica posible de pasar de una zona a otra es mediante
28
el servidor proxy. Si un usuario trata de asignarse una IP pblica a su puesto
de trabajo quedar aislado de todos los dems. Commented [78]: Es preferible que las zonas pblica
y privada de nuestra red utilicen cableado distinto.
Cuando tanto los servidores pblicos como los puestos
Los servidores, en la zona pblica en la zona privada? Estamos de acuerdo en de trabajo internos comparten el mismo cableado, es
que los servidores tienen que tener direcciones IP pblicas para que sean decir, se pueden conectar indistintamente a cualquier
accesibles desde todo Internet. Sin embargo, no suele ser recomendable asignar puerto libre de cualquier hub de la red. Y, lo que es
ms grave, cualquier usuario podra autoasignarse una
directamente las IP pblicas a los servidores. En su lugar se les puede asignar IP pblica y comprometer toda la seguridad de la red,
direcciones privadas e implantar un sistema de traslacin de direcciones pblicas- nuestra configuracin es incorrecta. Una configuracin
privadas. De esta forma se consigue que todo el trfico pblico de la red se filtre por es correcta cuando la tarjeta de red se conecta al hub
de la zona pblica y la otra, al hub de la zona privada.
un router o/y cortafuegos antes de llegar a los servidores. Por ejemplo: el servidor La nica va fsica posible de pasar de una zona a otra
web de la empresa puede tener la direccin 194.142.15.8 de cara a los visitantes es mediante el servidor proxy.
pero la direccin 192.168.0.3 en su configuracin. Un servidor previo (cortafuegos)
tendr la direccin 194.142.15.8 configurada y redirigir las peticiones al puerto 80
de esta IP al servidor 192.168.0.3. Esta traslacin de direcciones la pueden realizar
routers correctamente programados o bien, mquinas Linux, las cuales se
desenvuelven muy eficazmente en estas tareas. Qu ocurre si alguien intenta
acceder a un puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que el
cortafuegos rechazar la conexin sin molestar al servidor web que ni siquiera
advertir este intento de conexin. Los servidores pblicos protegidos bajo este
esquema pueden dedicarse nicamente a sus tareas, sin malgastar recursos en la
defensa de ataques. Commented [79]: A los servidores se les puede
asignar direcciones privadas e implantar un sistema de
traslacin de direcciones pblicas-privadas. De esta
Los cortafuegos o firewalls se sitan justamente en la salida a Internet de la red. forma se consigue que todo el trfico pblico de la red
Disponen de un panel de control que permite cerrar aquellos puertos que no se van se filtre por un router o/y cortafuegos antes de llegar a
a utilizar y as solventar descuidos de configuracin de servidores internos. los servidores. Esta traslacin de direcciones la
pueden realizar routers correctamente programados o
Pongamos un ejemplo: tenemos un servidor web NT con el puerto 139 abierto bien, mquinas Linux, las cuales se desenvuelven muy
(NetBIOS) pero en el cortafuegos cerramos el puerto 139. Entonces, ningn usuario eficazmente en estas tareas. Los servidores pblicos
externo a la red podr abrir una conexin al puerto 139 del servidor web puesto que protegidos bajo este esquema pueden dedicarse
nicamente a sus tareas, sin malgastar recursos en la
el cortafuegos la rechazar. defensa de ataques.
Commented [80]: Los cortafuegos permiten cerrar
Por ltimo, debemos recordar que el servidor de archivos debe estar aquellos puertos que no se van a utilizar y as
correctamente configurado de forma que cada usuario pueda ver nicamente sus solventar descuidos de configuracin de servidores
archivos pero no los de los dems usuarios. En el caso de redes grandes puede internos.
resultar interesante la divisin de departamentos en subredes (con cableado
separado adems) con el fin de crear unidades de administracin independientes.
De esta forma los usuarios de un departamento sern completamente
independientes de los de otros departamentos. En este esquema se utiliza un
servidor de archivos para cada subred y un router con tantas tarjetas de red como
departamentos para interconectarlos. Commented [81]: Aqu consideramos que el servidor
de archivos debe estar correctamente configurado de
forma que cada usuario pueda ver solamente sus
Todo lo anterior son ideas que nos pueden guiar durante el diseo de una red archivos. En el caso de redes grandes puede resultar
segura. Cada caso hay que estudiarlo por separado evaluando los factores coste, interesante la divisin de departamentos en subredes.
En este esquema se utiliza un servidor de archivos
nivel de seguridad requerido, comodidad de los usuarios y facilidad de para cada subred y un router.
administracin.
Commented [82]: Las ideas anteriores son
primordiales para el diseo correcto de una red segura,
lo cual seguramente como usuarios es lo que
buscamos para facilitar nuestra administracin.
29