You are on page 1of 278

Servicios en Red

Servicios en Red

Román Carceller Cheza

Carlos Campos Saborido

Cristian Jorge García Marcos

Jesús González Lorenzo


ÍNDICE

Unidad 1 - Introducción 6
1 >> Redes de ordenadores 7
1.1 > Modelo de red 7
1.2 > Protocolo de red 7
1.3 > Arquitectura TCP/IP 7
1.4 > ¿Qué es un servicio? 8
1.5 > Estructuras de red 8
1.6 > Direcciones IP y puertos 9
2 >> Tu empresa 11
2.1 > ServPubli 11
2.2 > ConRecuerdos.org 13
2.3 > AulaEasy 15
3 >> Trabajo en el aula 16
3.1 > Máquinas virtuales 16
4 >> Preparación de los sistemas GNU/Linux 17
4.1 > Elección de los sistemas operativos 17
4.2 > Instalación de los sistemas operativos 18
4.3 > Preparación del cliente 18
4.4 > Preparación del servidor 19
5 >> Preparación de los sistemas Windows 22
5.1 > Elección de sistemas operativos 22
5.2 > Instalación y configuración del servidor 23
5.3 > Instalación y configuración del cliente 25

Unidad 2 - Sistema de nombres de dominio (DNS) 32


1 >> Sistema de nombres de dominio (DNS) 33
1.1 > ¿Qué es el servicio DNS? 33
1.2 > Nombres de dominio 33
1.3 > Zonas 36
2 >> Funcionamiento del DNS 38
2.1 > Clasificación de servidores de nombres 38
2.2 > Consultas recursivas e iterativas 39
2.3 > Clientes DNS (resolvers) 40
2.4 > Resolución o búsqueda de nombres 40
2.5 > Base de datos DNS. Tipos de registros 42
3 >> Evolución del protocolo DNS 45
3.1 > Actualizaciones dinámicas (DDNS) 45
3.2 > DNS seguro (DNSSEC) 46
4 >> DNS en sistemas GNU/Linux 47
4.1 > Instalación del servidor 48
4.2 > Configuración del servidor 49
4.3 > Configuración del cliente 55
4.4 > Comprobaciones 56
ÍNDICE

5 >> DNS en sistemas Windows 57


5.1 > Instalación del servidor 58
5.2 > Configuración del servidor 59
5.3 > Configuración del cliente 62
5.4 > Comprobación del servicio 62

Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 70


1 >> Configuración dinámica de equipos 71
1.1 > ¿Qué es DHCP? 71
1.2 > Ventajas del servicio DHCP 71
1.3 > Necesidades de configuración 72
1.4 > Funcionamiento del protocolo DHCP 73
1.5 > Configuración dinámica sin servidor DHCP 76
1.6 > Agente de transmisión DHCP 76
2 >> DHCP en sistemas GNU/Linux 78
2.1 > Instalación del servidor 79
2.2 > Configuración del servidor 80
2.3 > Configuración del cliente 82
2.4 > Comprobaciones 83
3 >> DHCP en sistemas Windows 85
3.1 > Instalación del servidor 86
3.2 > Configuración del servidor 88
3.3 > Configuración del cliente 90
3.4 > Comprobación del servicio 90

Unidad 4 - Servicio web (HTTP) 96


1 >> Servidores web 97
1.1 > ¿Qué es HTTP? 97
1.2 > Localizador uniforme de recursos (URL) 97
1.3 > Funcionamiento del protocolo HTTP 99
1.4 > Sistema criptográfico 101
1.5 > Funcionamiento del protocolo HTTPS 102
1.6 > Arquitectura de las aplicaciones web 103
1.7 > Servidor virtual 105
2 >> Servicios web en sistemas GNU/Linux 106
2.1 > Instalación del servidor 107
2.2 > Configuración del servidor 108
2.3 > Comprobaciones 117
3 >> Servicio web en sistemas Windows 118
3.1 > Instalación del servidor 119
3.2 > Configuración del servidor 121
3.3 > Comprobación del servicio 125
ÍNDICE

Unidad 5 - Servicio de transferencia de archivos (FTP) 132


1 >> Protocolo de transferencia de archivos (FTP) 133
1.1 > ¿Qué es FTP? 133
1.2 > Funcionamiento del protocolo FTP 133
1.3 > Gestión de la conexión de datos 135
1.4 > Comandos 137
2 >> FTP en sistemas GNU/Linux 138
2.1 > Instalación del servidor 139
2.2 > Configuración del servidor 140
2.3 > Comprobación del servicio 146
3 >> FTP en sistemas Windows 148
3.1 > Instalación del servidor 149
3.2 > Configuración del servidor 151
3.3 > Comprobación del servicio 154

Unidad 6 - Servicio proxy 162


1 >> El servicio proxy 163
1.1 > ¿Qué es el servicio proxy? 163
1.2 > Funciones del servicio proxy 163
1.3 > Configuraciones proxy 165
2 >> Proxy en sistemas GNU/Linux 166
2.1 > Instalación del servidor 166
2.2 > Configuración del servidor 167
2.3 > Configuración del cliente 169
2.4 > Comprobaciones 169
3 >> Proxy en sistemas Windows 170
3.1 > Instalación del servidor 170
3.2 > Configuración del servidor 171
3.3 > Configuración del cliente 172
3.4 > Comprobación del servicio 173

Unidad 7 - Correo electrónico 178


1 >> Correo electrónico 179
1.1 > ¿Qué es el correo electrónico? 179
1.2 > Funcionamiento del servicio de correo 180
1.3 > Protocolos de descarga de correo 181
1.4 > Protocolo de envío de correo SMTP 182
1.5 > Servidores de correo 184
1.6 > Clientes de correo 185
1.7 > Seguridad y vulnerabilidades 185
2 >> Correo electrónico en sistemas GNU/Linux 187
2.1 > Instalación del servidor 188
2.2 > Configuración del servidor 189
2.3 > Configuración del cliente 192
2.4 > Comprobación del servicio 193
ÍNDICE

3 >> Correo electrónico en sistemas Windows 194


3.1 > Instalación del servidor 195
3.2 > Configuración del servidor 199
3.3 > Comprobación del servicio 201

Unidad 8 - Acceso remoto 208


1 >> Acceso remoto 209
1.1 > ¿Qué es el acceso remoto? 209
1.2 > Terminales en modo texto 209
1.3 > Terminales en modo gráfico 211
2 >> Acceso remoto en sistemas GNU/Linux 214
2.1 > Instalación del servidor 215
2.2 > Configuración del servidor 216
2.3 > Comprobación del servicio 217
3 >> Acceso remoto en sistemas Windows 220
3.1 > Instalación del servidor 221
3.2 > Configuración del servidor 224
3.3 > Comprobación del servicio 227

Unidad 9 - Despliegue de redes inalámbricas 234


1 >> Redes inalámbricas WLAN 235
1.1 > ¿Qué son las redes inalámbricas WLAN? 235
1.2 > Estándares WLAN 235
1.3 > Componentes WLAN 236
1.4 > Modos de operación 239
1.5 > Componentes lógicos 240
1.6 > Seguridad 240
2 >> Acceso a redes inalámbricas en sistemas GNU/Linux 244
2.1 > Configuración del cliente 244
2.2 > Comprobación del servicio 244
3 >> Acceso a redes inalámbricas en sistemas Windows 245
3.1 > Configuración del cliente 245
3.2 > Comprobación del servicio 245

Unidad 10 - Interconexión de redes privadas con redes públicas 252


1 >> Tecnologías de interconexión 253
1.1 > ¿Qué son las tecnologías de interconexión? 253
1.2 > Tecnologías de banda ancha 253
1.3 > Enrutamiento IP 255
2 >> Acceso a redes públicas en sistemas GNU/Linux 256
2.1 > Configuración del servidor 256
2.2 > Comprobación del servicio 259
3 >> Acceso a redes públicas en sistemas Windows 260
3.1 > Instalación del servidor 260
3.2 > Configuración del servidor 262
3.3 > Comprobación del servicio 263

Apéndice: Enlaces web de interés 270


1
u n i d a d

Introducción

SUMARIO
I Redes de ordenadores
I Tu empresa
I Trabajo en el aula
I Preparación de los sistemas GNU/Linux
I Preparación del sistema Windows

OBJETIVOS
·· Diferenciar entre modelo y arquitectura de
red.
·· Determina la estructura de red que mejor
se adapta para ofrecer servicios en red.
·· Conocer las características de una red de
ordenadores: direcciones IP, protocolos y
puertos.
·· Analizar y diseñar arquitecturas de red
adecuadas a las empresas.
·· Instalar y configurar sistemas operativos de
red.
·· Representar escenarios reales mediante
software de virtualización.
Unidad 1 - Introducción 7

1 >> Redes de ordenadores


Una red está formada por un conjunto de dispositivos conectados entre sí,
ya sea físicamente o a través de conexiones lógicas, con el fin de permitir
el intercambio de información entre ellos. Modelo de red OSI

Las tecnologías necesarias para implementar redes son muy complejas. Aplicación 7
Estas tecnologías se dividen en capas para simplificar las funciones que
Presentación 6
realizan. Cada capa se encarga de hacer una tarea concreta empleando los
recursos hardware y software necesarios. Conceptualmente, se disponen Sesión 5
una sobre otra, en forma de estrato o pila de capas, de manera que se co- Transporte 4
munican con la capa situada por encima y con la capa situada por debajo
Red 3
de ellas.
Enlace 2
1.1 > Modelo de red Física 1
Las capas permiten que tecnologías desarrolladas por diferentes fabricantes
El modelo de referencia OSI divide las
operen entre sí. Esto solo es posible si existe un acuerdo en el uso y la defi-
funciones que se deben realizar en una
nición de las capas, es decir, un modelo de red. El modelo describe las
red en siete capas. Las capas inferiores
capas que hay en la red, la función de cada una y cómo deben interactuar se ocupan del formato, la codificación y
entre sí. El modelo teórico de referencia actual es el modelo de intercone- la transmisión de los datos, mientras que
xión de sistemas abiertos OSI (Open Systems Interconnection). las superiores se encargan de interactuar
con el usuario y de implementar las apli-
1.2 > Protocolo de red caciones que se ejecutan sobre la red.
Un protocolo de red define una serie de reglas, algoritmos, mensajes y No existe consenso sobre dónde situar
la capa 4, ya que hay quienes piensan
otros mecanismos para permitir que el software y el hardware presentes
que debe ir con las superiores y quienes
en los dispositivos de red se puedan comunicar de forma efectiva. En el
defienden que con las inferiores.
contexto del modelo de referencia OSI, un protocolo describe la forma de
comunicación entre dos o más equipos situados en la misma capa.

1.3 > Arquitectura TCP/IP


Una arquitectura es un conjunto de reglas que defi-
nen la función que tiene la parte de los programas
y del hardware de red que conforman una pila de 7 Aplicación
capas.
Una arquitectura se diseña para implementar las 6 Presentación Aplicación 4

funciones asociadas a un modelo en particular, ya


sea formal o informalmente. La arquitectura de 5 Sesión
red más empleada hoy en día es la arquitectura
TCP/IP. 4 Transporte Transporte 3
El modelo OSI es una herramienta conceptual em-
pleada para mostrar cómo encajan diversos proto- 3 Red Internet 2
colos y tecnologías a la hora de implementar una
red. Cuando aparecieron las primeras redes creadas 2 Enlace Interfaz de red 1
por la Agencia Militar de Defensa norteamericana
no existía el modelo OSI y, por lo tanto, necesitaban
1 Física Hardware
un modelo para explicar su funcionamiento; así se
creó el modelo TCP/IP, que también divide en capas Modelo OSI Modelo TCP/IP
y componentes las tareas necesarias para implemen-
1.1. Equivalencia de capas entre el modelo OSI y el modelo TCP/IP.
tar una red.
8

El modelo TCP/IP se concreta a través de la arquitectura TCP/IP, compuesta,


a su vez, por decenas de protocolos. Todos ellos giran en torno a dos prin-
Para saber más cipales que, según el modelo OSI, son el protocolo de nivel 4, llamado
Puedes encontrar más información sobre TCP, y el protocolo de nivel 3, denominado IP.
los autores que originan los nombres y
números de capa para varios modelos
Sobre este modelo también existen divergencias entre las capas que lo for-
de red en el siguiente URL: man e, incluso, entre el modo de nombrarlas. Por ejemplo, este modelo no
cuenta con la capa física, que es donde se encuentran los dispositivos hard-
ware. Sin embargo, en este libro se va a seguir la nomenclatura expresada
por William Stallings, que toma el hardware como la primera capa física
del modelo TCP/IP, el cual, por lo tanto, cuenta con cinco capas.

1.4 > ¿Qué es un servicio?

http://xurl.es/ips_wiki
En el modelo TCP/IP, los protocolos de las capas inferiores ofrecen un ser-
vicio al protocolo de su capa inmediatamente superior a través de una in-
terfaz que comunica ambas capas. Además, el protocolo TCP/IP ofrece un
servicio al usuario final, es decir, facilita a las aplicaciones de usuario el
uso de Internet y otras redes.
Las comunicaciones TCP/IP involucran a dos equipos donde uno envía una
petición a otro. Si este la acepta, crea una conexión a través de la cual envía
Servicios
la respuesta solicitada; luego se cerrará la conexión. Los servicios TCP/IP
El World Wide Web es la aplicación más operan fundamentalmente sobre la estructura cliente-servidor.
importante de Internet y funciona a tra-
vés de un equipo que brinda el servicio. 1.5 > Estructuras de red
WWW se ofrece a través del protocolo
HTTP, que pertenece a la capa de apli- El principal objetivo de una red es compartir recursos. Esto implica que, a
cación. A su vez, HTTP hace uso de pro- la hora de su diseño, se tenga en cuenta si se van a asignar o no funciones
tocolos de más bajo nivel (TCP e IP) de gestión de recursos a los dispositivos que la componen. Básicamente,
para servir páginas web al navegador se pueden encontrar dos tipos de estructura de red: la estructura de igual
del usuario. a igual y la estructura cliente-servidor.
Otros servicios que se suelen ofrecer en
las redes de ordenadores son: Estructura de igual a igual (peer-to-peer)
– DNS Es la estructura de red donde cada uno de los equipos que la componen tiene
– DCHP las mismas funciones. Al no tener asignado un rol concreto en la red, cada
– FTP
máquina puede compartir recursos con otra cualquiera y, en general, suelen
– Proxy
emplear software similar. Todos los dispositivos pueden enviar peticiones y
– Email
respuestas a los demás. Este diseño solo es útil en redes muy pequeñas.
– SSH
Cada uno de ellos utiliza uno o varios
protocolos para su implementación. Dispositivo 3 Dispositivo 4 Dispositivo 5

Petición Petición

Dispositivo 2

Respuesta Respuesta

Dispositivo 1 Dispositivo 6

1.2. Estructura de red de igual a igual.


Unidad 1 - Introducción 9

Estructura cliente-servidor
En este diseño, un reducido número de equipos se denominan servidores
porque van equipados con un hardware especial y ejecutan un tipo de
software que les permite interactuar simultáneamente con muchas má-
quinas cliente de forma mucho más eficiente.
Aunque los clientes pueden comunicarse entre sí, en esta estructura la
mayoría de las peticiones se realizan al servidor, que se encarga de escuchar
en la red a la espera de recibir las solicitudes de los clientes para luego ge-
nerar y devolver las respuestas.

Dispositivo 3 Dispositivo 2

Respuesta
Petición
Petición
Respuesta
Servidor
Dispositivo 1

1.3. Estructura de red cliente-servidor.

1.6 > Direcciones IP y puertos


El principal objetivo del protocolo IP es entregar los paquetes que circulan
por la red a sus destinatarios. Para llevar a cabo este propósito, se emplean
las direcciones IP, que tienen dos funciones fundamentales:
– Identificación de interfaces de red: las direcciones IP suministran una
forma única de identificar una interfaz entre un equipo y la red.
– Enrutamiento: es el proceso que consiste en entregar paquetes, a través
de sistemas intermediarios, a receptores que se encuentran en redes di-
ferentes a la del emisor.
El protocolo IPv4 utiliza direcciones IP formadas por un conjunto de 32
bits o, dicho de otra forma, una serie de 32 unos y ceros. Este conjunto se
divide en cuatro octetos separados por puntos, expresados en notación de- Dirección 0.0.0.0
cimal, es decir, cada octeto puede tomar valores entre 0 y 255. Así, el es- Esta dirección de red se emplea para la
pacio de direcciones total es de 232 ó 4 294 967 296 direcciones distintas. identificación local. Su significado po-
Un ejemplo de dirección IP es 64.128.32.200. dría ser similar a «este dispositivo».
Por ejemplo, un equipo dispone de tres
Estructura de las direcciones IP interfaces de red con sus respectivas di-
Las direcciones IP están formadas por dos componentes: recciones IP. Si en él se configura un
servidor web para que escuche peticio-
– Identificador de red: cierto número de bits empezando por la izquierda nes en la IP 0.0.0.0, responderá a todas
se emplea para identificar la red donde se sitúa el equipo u otra interfaz las solicitudes independientemente de
de red. la interfaz y de la dirección IP por la
– Identificador de dispositivo: el resto de bits se utiliza para identificar que lleguen.
el equipo o la interfaz en la red.
Para nombrar una red con el formato de las direcciones IP se ponen a cero
los octetos asignados al identificador de dispositivo. En el ejemplo anterior,
si el primer octeto se utiliza para identificar la red, su IP se escribiría de la
siguiente forma: 64.0.0.0.
10

El esquema de direccionamiento convencional divide las redes en cinco


tipos o clases: A, B, C, D y E, aunque las dos últimas son experimentales y
no se utilizan en la práctica.

Clase de direcciones IP
Clase ID red ID equipo Bits inicio Rango Redes Equipos
A 8 bits 24 bits 0 1.0.0.0 - 126.255.255.255 128 16 777 214
B 16 bits 16 bits 10 128.0.0.0 - 191.255.255.255 16 384 65 534
C 24 bits 8 bits 110 192.0.0.0 - 223.255.255.255 2 097 152 254

Máscara de subred
La máscara de subred tiene el mismo formato que una dirección IP y su
cometido es diferenciar la parte que identifica a la red de la parte que
TCP y UDP identifica al dispositivo en una dirección IP. Para ello, los bits que perte-
TCP es un protocolo orientado a la co- nezcan a la red tomarán el valor 1 y el resto contendrá el valor 0. Así, la
nexión que proporciona confirmación de máscara de red para direcciones de clase A será 255.0.0.0, para direcciones
entrega de datos y gestiona el flujo de de clase B, 255.255.0.0 y para direcciones de clase C, 255.255.255.0.
transmisión. A su vez, se encarga de la
retransmisión de paquetes perdidos. Puertos
UDP es un protocolo mucho más simple
Un equipo conectado a una red del tipo TCP/IP ejecuta múltiples procesos
que se centra en la entrega de paquetes
a la vez. Esto implica que cada uno de ellos genere datos que se envían a
para maximizar la velocidad de la co-
municación cuando no se requiere el
través de un protocolo TCP o UDP de la capa de transporte, que, a su vez,
empleo de TCP. los pasa al protocolo IP (capa de Internet) para su transmisión a través de
la dirección IP de la interfaz de red. Para saber a qué proceso pertenece
cada envío es necesario una dirección adicional que lo identifique dentro
de una dirección IP concreta. En TCP/IP, esa dirección de la capa de trans-
porte se llama puerto.
Listado de puertos
Los puertos son números de 16 bits de longitud y teóricamente pueden
Pto./protocolo Descripción tomar valores entre 0 y 65 535. Los puertos del 0 al 1 023 están reservados,
20/TCP dado que se asignan a procesos conocidos donde escuchan los servidores.
FTP
21/TCP En la tabla del margen se muestran los puertos empleados comúnmente en
22/TCP SSH redes TCP/IP, que serán estudiados a lo largo de este libro.

25/TCP SMTP
HTTP DNS HTTP DNS
53/TCP TCP puerto 80 UDP puerto 53
DNS
53/UDP TCP 80 UDP 53
TCP 80 UDP 53
80/TCP HTTP
TCP UDP
TCP UDP
67/UDP
DCHP TCP 80
68/UDP TCP 80

110/TCP POP3 Internet Protocol Internet Protocol

143/TCP IMAP TCP 80 TCP 80

443/TCP HTTPS/SSL UDP 53 UDP TCP TCP UDP TCP UDP 53


53 80 80 53 80
3128/TCP Proxy
Cliente Servidor
Terminal
3389/TCP
Server 1.4. Puertos empleados por los protocolos HTTP y DNS.
Unidad 1 - Introducción 11

2 >> Tu empresa
Una vez concluidos tus estudios de Técnico en Sistemas Microinformáticos
y Redes, y animado por tu experiencia en la empresa en la que has llevado
a cabo la Formación en Centros de Trabajo, decides incorporarte al mundo
laboral.
Primero barajas la posibilidad de buscar empleo tanto en empresas del
sector como en otras que, sin dedicarse a ello, necesitan personal infor-
mático para desempeñar distintas tareas. Sin embargo, debido a tus in-
quietudes y tu espíritu emprendedor, te atrae más la idea del autoempleo.
Después de hablar con una amiga que el año pasado terminó el ciclo for-
mativo de grado superior en Administración de Sistemas Informáticos en Recuerda
Red, decidís crear vuestra propia empresa de servicios informáticos espe- Lo aprendido en los módulos Formación
cializada en redes e Internet. y Orientación Laboral y Empresa e Ini-
ciativa Emprendedora te puede ser de
Gracias a la financiación que habéis conseguido de una entidad de crédito
gran ayuda si decides optar por el auto-
y a una pequeña ayuda económica de vuestras familias, habéis alquilado empleo.
un local que no ha resultado muy caro porque no se encuentra en el
centro de la población. Además, como no vais a atender en él a vuestros
clientes, decidís no invertir demasiado dinero en adecuarlo y posponer
esta tarea para cuando vuestra empresa empiece a generar beneficios. A
pesar de esto, sí es necesario comprar algunos equipos informáticos para
la empresa y muebles de oficina, así como contratar una línea de banda
ancha para el acceso a Internet.
Después de unos meses, el trabajo esporádico para algún cliente, la publi-
cidad y el gran número de visitas que habéis hecho a las empresas de
vuestra localidad han dado sus frutos y ya tenéis tres empresas en vuestra
cartera de clientes fijos: ServPubli, ConRecuerdos.org y AulaEasy.

2.1 > ServPubli


Esta empresa quiere ofrecer servicios de publicidad y marketing a sus
clientes. Su trabajo consiste tanto en realizar estudios de mercado como
en diseñar, planificar y lanzar campañas publicitarias en medios como ra-
dio, televisión o Internet para que los productos de sus clientes puedan
llegar a sus respectivos mercados objetivos.
Tanto los propietarios de ServPubli como sus trabajadores son personas
jóvenes que acaban de terminar sus estudios o que hace poco que se in-
corporaron por primera vez al sector de la publicidad y el marketing.

Equipamiento informático actual


Dado que ServPubli es una empresa de nueva creación que aún no ha
empezado con su actividad económica, no posee equipamiento informá-
tico, por lo que se requiere una inversión inicial elevada por parte de la
empresa. Precisamente, es esta situación la que va a permitiros diseñar
libremente una estructura de recursos informáticos y de comunicación
sin tener en cuenta restricciones sobrevenidas por el equipamiento ya
existente como, por ejemplo, dispositivos compatibles con una determi-
nada red.
12

Proyecto propuesto
ServPubli necesita un equipamiento informático importante, tanto en el
número de ordenadores como en la infraestructura de red, debido princi-
palmente a estos factores:
– La naturaleza del trabajo desempeñado en esta empresa obliga a trabajar
con recursos multimedia (sonido, imagen, vídeo, etc.).
– El número de trabajadores de la empresa que necesitan un puesto de
trabajo con un ordenador asciende a quince en estos momentos.
Esta es la relación del equipamiento físico que proponéis a la empresa:
– 15 ordenadores, cada uno de ellos adecuado a su puesto de trabajo.
– 1 servidor.
Advertencia – 2 impresoras con adaptador de red.
Si la empresa requiere que se pueda ac- – 1 línea de banda ancha de acceso a Internet.
ceder a algunos de sus servicios desde – Infraestructura de red necesaria para interconectar estos elementos.
Internet, es muy recomendable añadir
una DMZ o zona desmilitarizada para Después de estudiar las necesidades de los trabajadores de la empresa y
alojarlos. El resto de servicios y equipos sopesar distintas alternativas, el software que finalmente recomendáis
debe permanecer en la LAN de la em- para los equipos es:
presa, lejos de posibles ataques prove-
– Sistemas operativos GNU/Linux.
nientes de Internet.
– Aplicaciones de uso general y específico de software libre.
El uso de software libre, además de tener otras ventajas, permite abaratar
el coste total del equipamiento informático.

Internet Internet

Router
externo

Router
192.168.100.1/24
DMZ imp01
SSID SPwifi
192.168.100.3/24
Servidor
expuesto

LAN de ServPubli Servidor


Router 192.168.100.0/24 192.168.100.2/24
imp02
imp01 interno
192.168.100.4/24

imp02
pc01 pc15
LAN Servidor 192.168.100.101/24 192.168.100.115/24
seguro

… …
pc02 pc14
pc01 pc15 192.168.100.102/24 192.168.100.114/24

1.5. Esquema alternativo con DMZ. 1.6. Esquema del proyecto.


Unidad 1 - Introducción 13

2.2 > ConRecuerdos.org


La empresa ConRecuerdos.org se encarga de apoyar a familias afectadas
por la enfermedad de Alzheimer. Se trata de una pequeña ONG que
actualmente está formada por un total de quince empleados y un direc-
tor. Todos y cada uno de los trabajadores disponen de un equipo con
sistema operativo Windows instalado y están habituados a este tipo de
sistemas desde el comienzo de la empresa, hace más de veinte años.

Equipamiento informático actual


El hardware de ConRecuerdos.org consta de:
– 1 ordenador por cada empleado: 15 en total.
– 1 ordenador para el director.
– 1 impresora con adaptador de red.
– 1 router inalámbrico de acceso a Internet.
A nivel de software, todos los ordenadores tienen instalado el sistema ope-
rativo Windows XP.
Por lo que respecta a la infraestructura, la red de la empresa está formada
por una estructura de igual a igual, en la que se encuentran conectados
los ordenadores y la impresora, la cual está disponible para que todos los
empleados puedan imprimir desde sus respectivos equipos. El ordenador
del director está conectado al router inalámbrico y es el único que tiene
acceso a Internet.
A continuación se muestra un esquema de la infraestructura:

Internet

Impresora pcDirector
en red
LAN de ConRecuerdos.org
192.168.0.0/24

pc15

pc01

...

pc02 pc14

1.7. Infraestructura de red actual de ConRecuerdos.org.


14

Proyecto propuesto
ConRecuerdos.org requiere una reorganización de la infraestructura de
red y la seguridad, así como una revisión del software.
Debido a que los empleados ya están habituados al uso del sistema opera-
tivo Windows XP, no deseáis que los cambios que se realicen en la empresa
impliquen una formación desde cero para los usuarios. Así, pues, proponéis
una línea continuista con sistemas Windows que conlleve una mejora en
la seguridad de la infraestructura informática. A continuación se detalla
la propuesta de hardware que hacéis a ConRecuerdos.org:
– 1 nuevo servidor.
– 1 nueva impresora con adaptador de red.
El nuevo servidor permitirá que toda la administración se centralice en
dicho equipo y facilitará el trabajo al administrador de sistemas. La im-
Advertencia presora adicional es un requisito que ha pedido explícitamente ConRe-
Si la empresa requiere que se pueda ac- cuerdos.org, ya que han observado que una única impresora es insuficiente
ceder a algunos de sus servicios desde para soportar toda la actividad de impresión en la empresa.
Internet, es muy recomendable añadir
una DMZ o zona desmilitarizada para Respecto al software, como ya hemos mencionado anteriormente, se
alojarlos. El resto de servicios y equipos comprará una licencia de Windows Server para el servidor y se adquirirán
debe permanecer en la LAN de la em- actualizaciones de la última versión de Windows para los equipos cliente.
presa, lejos de posibles ataques prove-
La infraestructura de red se cambiará a una topología en estrella, donde
nientes de Internet.
todo el equipamiento informático (servidor, impresoras, ordenadores y
router) estará conectado a la intranet.

Internet

Router
192.168.100.1/24
imp01
SSID CROwifi
192.168.100.3/24
Servidor
192.168.100.2/24

LAN de ConRecuerdos.org
imp02 192.168.0.0/24
192.168.100.4/24

pc15
192.168.100.115/24

pc01
192.168.100.101/24

...

pc02 pc14
192.168.100.201/24 192.168.100.114/24

1.8. Infraestructura de red propuesta para ConRecuerdos.org.


Unidad 1 - Introducción 15

2.3 > AulaEasy


La empresa AulaEasy se dedica a facilitar formación a compañías y parti-
culares en diferentes campos. Imparte estudios de idiomas y de nuevas
tecnologías. Todos los cursos son diseñados a la medida de las necesidades
del cliente y son impartidos a pequeños grupos.
Los propietarios, que son a la vez trabajadores de AulaEasy, son profesio-
nales jóvenes que acaban de terminar sus estudios y que disfrutan dando
formación.

Equipamiento informático actual


El hardware de AulaEasy consta de:
Internet
– 20 ordenadores de alumnos repartidos en dos aulas. Router
– 2 ordenadores del profesor, uno por aula.
– 2 equipos de administración.
– 2 proyectores, cada uno de dichos proyectores conectado al equipo del
profesor.
– 2 pizarras digitales, conectadas a los ordenadores del profesor. AulaEasy
– 1 impresora con adaptador de red.
– 3 switches de 24 puertos. Admin01
– 1 router inalámbrico de acceso a Internet.
A nivel de software, todos los ordenadores tienen instalado el sistema ope- Impresora
rativo Windows 7 y diferentes utilidades necesarias para impartir los Admin02
cursos de formación.
Por lo que respecta a la infraestructura, la red está configurada con una
estructura de igual a igual. Todos los equipos se encuentran conectados Pizarra
mediante cableado estructurado y switch, y comparten los recursos. La
impresora es accesible tanto para los alumnos como para los profesores y Proyector
administración. Todos los equipos están conectados al router inalámbrico Aula 1

de manera cableada y tienen acceso a Internet.


Profe01
Proyecto propuesto
AulaEasy no posee un servidor de red. Además su estructura de igual a
igual presenta problemas a la hora de gestionarla. pc 1_1 … pc 1_10

La empresa rechaza la posibilidad de adquirir un servidor por un pro-


blema de liquidez. Sin embargo, como la empresa posee un router
Linksys WRT54G que admite la posibilidad de instalar firmware de ter- Pizarra
ceros, le sugerís instalar uno que permita configurar los servicios que
un servidor puede ofrecer como DCHP automático o DDNS, y así asumir Proyector
sus funciones. Aula 2

Además, se tiene la certeza de poder ofrecer nuevos servicios a través


del router en un futuro y se necesitará la reorganización de la infraes- Profe02
tructura de red y la seguridad. Respecto al software, se mantendrá en
los equipos el sistema operativo actual, Windows 7. También le planteáis
la posibilidad de adquirir un dominio y un servicio de hosting. Con ello pc 2_1 … pc 2_10
las capacidades de negocio de la empresa pueden verse incrementadas
1.9. Esquema LAN de AulaEasy.
al acceder a nuevos segmentos de mercado.
16

3 >> Trabajo en el aula


En el apartado anterior se han presentado las empresas con las que vas a
trabajar a lo largo del curso: ServPubli, ConRecuerdos.org y AulaEasy.
VirtualBox También has conocido la situación actual de cada una de ellas y se han
Puedes descargar el software de gestión propuesto diversos proyectos que cumplen sus requerimientos.
de máquinas virtuales desde su página
Estos proyectos que se presentan son propuestas ideales para configurar
web oficial:
la infraestructura de las empresas. Sin embargo, las aulas de un centro
educativo no pueden alcanzar este nivel de detalle en la infraestructura
informática, ya que su montaje requeriría de varios equipos por alumno y
esta no es una opción viable. Para subsanar el problema, los autores de
este libro recomendamos el uso en el aula de máquinas virtuales, que per-
miten emular cualquier número de ordenadores físicos (denominados má-
quinas virtuales) en un único equipo real. A continuación detallamos
https://www.virtualbox.org nuestra propuesta de trabajo en el aula con el uso de máquinas virtuales.

3.1 > Máquinas virtuales

64 bits vs 32 bits Cada alumno dispondrá de su ordenador de aula con cuatro máquinas
virtuales (MV).
En una empresa real, es muy recomen-
dable utilizar servidores y sistemas ope-
Software necesario
rativos con arquitectura de 64 bits.
Debido a las limitaciones de hardware Es necesario utilizar un programa de gestión de máquinas virtuales. En el
que encontramos habitualmente en el mercado existen muchos, pero recomendamos el software libre VirtualBox.
aula, el trabajo con esta arquitectura es
complicado. Por ello, para el trabajo en Sistemas operativos
el aula se recomienda el uso de versiones
A continuación, se detallan las versiones de los sistemas operativos reco-
de 32 bits, excepto para el ordenador
mendadas, que son las que se han utilizado para desarrollar el libro:
servidor de Windows en la Unidad 6 (ser-
vicio proxy), que requiere obligatoria-
mente de un sistema operativo de 64 bits. Versiones de los sistemas operativos
ServPubli ConRecuerdos.org
Información HW
de los equipos MV cliente Ubuntu Desktop 12.04 LTS Windows 7 Professional

Nombre Dirección MAC MV servidor Ubuntu Server 12.04 LTS Windows Server 2008 Standard

pc01 1A:00:F0:00:00:01
En cada empresa se utilizarán dos máquinas virtuales, un cliente y un ser-
pc02 1A:00:F0:00:00:02
vidor, que estarán en marcha durante todo el desarrollo de cada apartado.
... ...
El escenario de la red con máquinas virtuales es el siguiente:
pc14 1A:00:F0:00:00:14
pc15 1A:00:F0:00:00:15
imp01 3C:D0:F0:11:00:A1
Adaptador 1
imp02 3C:D0:F0:11:00:A2 Servidor Conectado a: adaptador puente Internet

Adaptador 1 Adaptador 2
Conectado a: Conectado a: red interna
red interna Nombre: LAN
Observación
Nombre: LAN Red interna
Al final de cada unidad, es recomendable LAN
realizar instantáneas de la MV. De este pc16
modo, si surge algún problema, se podrá
1.10. Escenario de red con máquinas virtuales.
recuperar el anterior trabajo realizado.
Unidad 1 - Introducción 17

4 >> Preparación de los sistemas GNU/Linux


Una vez habéis consensuado con ServPubli el uso de software libre tanto
en las aplicaciones como en los sistemas operativos, es hora de decidir
exactamente el software que se va a instalar.
En primer lugar, debéis elegir las aplicaciones que cumplen con las nece-
sidades de cada uno de los empleados, así que realizáis un estudio minu-
cioso en el que intervienen los trabajadores de ServPubli, los directivos y
vosotros mismos.
En segundo lugar, debéis buscar un sistema operativo capaz de ejecutar
dichas aplicaciones.
Como las aplicaciones seleccionadas en el primer paso están disponibles
para una gran variedad de sistemas y distribuciones, podéis seleccionar el
sistema operativo que vais a instalar teniendo en cuenta únicamente sus
prestaciones y características.

4.1 > Elección de los sistemas operativos


Los argumentos que tenéis en cuenta para elegir un sistema GNU/Linux
son los siguientes:
DistroWatch
– Actualmente, de entre todos los sistemas operativos de software libre
DistroWatch es una web donde puedes
disponibles, destacan los sistemas GNU/Linux, la versión de GNU que
encontrar información, noticias, listas
usa el núcleo Linux. y estadísticas sobre cientos de distribu-
– Existen infinidad de empresas y organizaciones, incluso particulares, ciones GNU/Linux y sistemas BSD.
que han liberado versiones o distribuciones de GNU/Linux, pero solo
unas pocas ofrecen un servicio de soporte para empresas y particulares.
Esta característica es fundamental a la hora de elegir qué distribución
vais a usar.
– Otra cuestión a tener en cuenta en la elección es la existencia de una
importante comunidad de usuarios que compartan sus dudas y proble-
mas, que aporten soluciones y desarrollen material de apoyo.
http://distrowatch.com
De entre todas las distribuciones GNU/Linux optáis por Ubuntu, mantenida
por la empresa Canonical y una amplia comunidad de desarrolladores. Es
una de las distribuciones más usadas y que más ha crecido en estos últimos
años gracias, en gran medida, a su política de lanzamiento de las nuevas
versiones. Se libera una nueva versión cada seis meses. Además, cada dos
años la versión liberada tiene soporte a largo plazo (LTS o Long Term Support),
lo que implica que Canonical publicará actualizaciones de seguridad du-
rante 5 años.
Ubuntu también dispone de versiones para equipos de trabajo y para ser-
vidores, por lo que permite una administración uniforme de todos los or-
denadores de la empresa.
Así, pues, acordáis con la empresa que los sistemas operativos que se ins-
talarán serán:
– Ubuntu Desktop 12.04 LTS para los equipos de los empleados.
– Ubuntu Server 12.04 LTS para el servidor de la empresa, al que se le
añadirán servicios a medida que se necesiten.
18

4.2 > Instalación de los sistemas operativos


Tanto la instalación como la preparación de los sistemas operativos de los
equipos las vais a realizar en vuestro local y, una vez los equipos estén
Consejo
preparados, los llevaréis a ServPubli. Los conocimientos adquiridos en los
El uso de aplicaciones de clonación de módulos Sistemas Operativos Monopuesto y Sistemas Operativos en Red
discos duros permite ahorrar mucho que cursaste cuando estudiabas, te permitirán llevar a cabo estas tareas
tiempo cuando tienes que instalar y pre- sin problemas.
parar los sistemas operativos de muchos
ordenadores con hardware similar. Realiza una instalación de Ubuntu Desktop 12.04 LTS y otra de Ubuntu
Server 12.04 LTS teniendo en cuenta estas indicaciones:

Parámetro Cliente Servidor


Idioma El que prefieras
Nombre de equipo pc16 servidor
Nombre del usuario administrador admincliente adminservidor
Contraseña del usuario administrador Cli3nt@ S3rvid@r
Espacio de disco para la instalación Todo

Resto de parámetros Valores por defecto

Recuerda que el equipo servidor debe tener dos tarjetas Ethernet.

4.3 > Preparación del cliente


Como no existe ningún servicio de DHCP en la red de la empresa, es nece-
sario configurar manualmente la red de los equipos cliente. Y, aunque
estos equipos todavía no tienen acceso a Internet, se configurarán con los
valores necesarios para que, en caso de implantar este servicio, no se
1.11. Menú de red.
tuviera que modificar su configuración. Sigue estas indicaciones:
1. Arranca el cliente y, a continuación, inicia una sesión
con el usuario admincliente.
2. Haz clic sobre el menú de red y selecciona la opción Editar
las conexiones (figura 1.11).
3. Accede a la pestaña Cableada del cuadro de diálogo Cone-
xiones de red.
4. Selecciona Conexión cableada 1 de la lista de conexiones.
5. Haz clic en el botón Editar.
6. Accede a la pestaña Ajustes de IPv4 de la ventana Editando
Conexión cableada 1.
7. Selecciona la opción Manual en la lista desplegable Método.
8. Haz clic sobre el botón Añadir. Se muestra una nueva en-
trada en la tabla Dirección.
9. Escribe la dirección IP 192.168.100.16 en el campo Dirección.
10. Teclea 255.255.255.0 en el campo Máscara de red.
11. Rellena el campo Puerta de enlace con el valor 192.168.100.1.
12. Escribe 8.8.8.8 en el campo Servidores DNS.
13. Haz clic en el botón Guardar. Volverás a la ventana Cone-
xiones de red.
1.12. Editar las conexiones.
14. Haz clic sobre el botón Cerrar.
Unidad 1 - Introducción 19

4.4 > Preparación del servidor


ServPubli os ha pedido que instaléis un servidor aunque, de momento, no
ofrezca ningún servicio. Prefieren instalarlos a medida que los necesiten.
También quieren que se instale un escritorio que les permita realizar de
forma cómoda tareas de administración y mantenimiento. Vosotros les
habéis aconsejado que no lo instalen porque, además de no ser necesario
para poder trabajar con el servidor, va a consumir más recursos de los ne-
cesarios. Pero ante la insistencia de la empresa decidís instalarlo.
La preparación del servidor se reduce a la instalación de un escritorio grá-
fico, paquetes de idiomas y una aplicación de administración, así como a
la configuración de sus adaptadores de red.

Instalación de paquetes adicionales


El escritorio que Ubuntu usa por defecto consume muchos recursos e incluye
muchas aplicaciones que no deberían usarse en un servidor. Por esto decidís
instalar GNOME, un sistema de escritorio completo, libre y fácil de usar. Para saber más
Sitio web del proyecto GNOME:
Para la administración del servidor decidís instalar Webmin, una herramienta
web muy potente que permite la gestión del sistema y de diversos servicios.
Sigue estos pasos para instalar todos los paquetes adicionales:
1. Arranca el servidor y abre una sesión con el usuario adminservidor.
2. Actualiza la lista de paquetes disponibles en los repositorios de Internet
con la orden sudo apt-get update.
3. Ejecuta la siguiente orden para instalar el escritorio gráfico GNOME: http://es.gnome.org
sudo apt-get install -y xorg gnome-core Sitio web de Webmin:
Este proceso tardará cierto tiempo, dependiendo de las características
de la máquina y la conexión a Internet que uses.
4. Para que el escritorio esté totalmente en español, lanza el comando:
sudo apt-get install -y language-pack-gnome-es-base
También están disponibles los paquetes de las lenguas cooficiales:
– Catalán: language-pack-gnome-ca-base
– Euskera: language-pack-gnome-eu-base http://www.webmin.com
– Gallego: language-pack-gnome-gl-base
5. Como Webmin no se encuentra en los repositorios de Ubuntu, tendrás
que descargarlo e instalarlo manualmente:
– Usa un ordenador con sistema gráfico para acceder a la sección Down-
loads del sitio oficial de Webmin y decide la versión que vas a instalar,
por ejemplo, la más reciente. Observación
– Ejecuta el siguiente comando en el servidor para proceder a la des- A la hora de seleccionar la versión de
carga del paquete: un programa que vas a instalar debes
wget http://www.webmin.com/download/deb/webmin-current.deb tener en cuenta que, normalmente, las
versiones más nuevas suelen incorporar
– Instálalo con la orden sudo dpkg -i webmin-current.deb.
nuevas funciones y corregir los posibles
– Si la instalación falla debido a dependencias insatisfechas entre pa-
fallos que puedan tener versiones más
quetes, ejecuta la orden sudo apt-get install -fy para arreglar
antiguas. Pero puede que también pre-
estas dependencias y terminar la instalación. senten cambios tanto en su aspecto
6. Apaga el equipo con la orden sudo poweroff. como en su operativa.
20

Preparación de Webmin
Sigue estos pasos para cambiar el idioma de la aplicación Webmin:
1. Arranca el servidor.
2. Para abrir un sesión de GNOME realiza lo siguiente (figura 1.13):
– Haz clic sobre el usuario adminservidor e introduce la contraseña.
– Selecciona GNOME en la lista desplegable. Si en la próxima sesión
también quieres usar este escritorio, ya no hará falta seleccionarlo.
– Haz clic en el botón Iniciar sesión.
3. Para acceder a la herramienta de administración Webmin (figura 1.14):
– Abre el navegador web Epiphany. Puedes encontrarlo en el submenú
Internet del menú Aplicaciones.
1.13. Inicio de sesión de GNOME.
– Teclea el URL https://127.0.0.1:10000 en la barra de dirección y pulsa
la tecla <Intro>.
– Escribe adminservidor en el campo Username.
– Teclea la contraseña de este usuario en el campo Password.
– Haz clic sobre el botón Login.

1.14. Acceso a Webmin.

4. Para seleccionar el idioma en el que se muestra Webmin (figura 1.15):


– Haz clic para desplegar la sección Webmin del menú principal.
– Selecciona Change Language and Theme.
– Activa la opción Personal choice del apartado Webmin UI language.
– Selecciona Spanish (ES) en la correspondiente lista desplegable.
– Haz clic en el botón Make Changes para aplicar los cambios.
– Pulsa la tecla <F5> para actualizar el contenido del navegador.

1.15. Cambiar idioma y apariencia.


Unidad 1 - Introducción 21

Configuración de los adaptadores de red


Durante la instalación, únicamente se ha activado y configurado la tarjeta
de red externa, eth0. De esta forma se garantiza el acceso a Internet, pero
para poder tener acceso a los recursos de la red de área local es necesario
activar y configurar la tarjeta de red interna. Sigue estas indicaciones:
1. Abre una sesión de Webmin con el usuario adminservidor.
2. Accede a Configuración de Red de la sección Red del menú principal.

1.16. Módulo Configuración de red.

3. Haz clic sobre el icono Interfaces de Red.


4. Asegúrate de encontrarte en la pestaña Interfaces Activadas en Tiempo de
Arranque.
5. Haz clic en el enlace Agregar una nueva interfaz.
6. Escribe eth1 en el cuadro de texto Nombre.
7. Asegúrate de que está activada la opción Static configuration de la
sección IPv4 address.
8. Teclea 192.168.100.1 en el campo Dirección IP.
9. Escribe 255.255.255.0 en el campo Máscara de red.
10. Haz clic sobre el botón Crear y Aplicar.

1.17. Crear interfaz de arranque.


22

5 >> Preparación de los sistemas Windows


Ya sabéis que el personal de ConRecuerdos.org tiene una amplia expe-
riencia de trabajo con equipos cliente sobre sistemas Windows, por lo que
Para saber más vuestro objetivo ahora es decidir qué versión del sistema operativo vais a
Puedes obtener la información completa instalar en el ordenador servidor y cuál será la versión más adecuada para
de los productos de Microsoft en esta que los equipos cliente trabajen con esa versión de servidor.
página web oficial:
La decisión que toméis al respecto será muy importante, ya que va a supo-
ner una elección que os acompañará en el desarrollo de vuestro trabajo y
en el de los empleados de ConRecuerdos.org durante un largo período de
tiempo. Por este motivo hay que estudiar con mucho detenimiento todas
las opciones posibles y las ventajas e inconvenientes que tiene cada una
de ellas.
Para hacer una valoración de las versiones, puedes consultar la web oficial
http://www.microsoft.es
de Microsoft, donde encontrarás información detallada sobre cada una de
las versiones Windows, tanto para servidores como para clientes.
A continuación te indicamos nuestras recomendaciones.

5.1 > Elección de sistemas operativos


En primer lugar, vais a elegir el sistema operativo del servidor.
Microsoft Windows Server 2008 es un sistema operativo diseñado espe-
cialmente para servidores. Entre sus características principales, encontra-
mos las siguientes:
– Soporta hasta 256 núcleos de procesador.
– Ofrece mejoras en la gestión de máquinas virtuales con Hyper-V.
– Tiene optimizada la gestión del sistema.
– Ofrece mejoras en la gestión del consumo energético.
Windows Server 2008 tiene varias ediciones, con ligeras diferencias entre
ellas, para adecuarse a cada necesidad según el tipo de empresa. Una vez
estudiadas y valoradas las características de cada una de las ediciones, os
decantáis por utilizar la edición Standard, ya que se trata de la versión
más económica de entre las que poseen las características necesarias para
implementar los requerimientos de ConRecuerdos.org.
En segundo lugar, vais a elegir el sistema operativo de los clientes.
Microsoft Windows 7 es un sistema operativo diseñado específicamente
para ordenadores cliente. Además, esta versión es la más adecuada debido
a que el sistema operativo servidor elegido (Windows Server 2008 Standard)
incorpora muchas mejoras y funcionalidades especialmente orientadas a
trabajar con ordenadores cliente con Windows 7.
Al igual que la versión servidor, Windows 7 se ofrece en diversas edicio-
nes. Una vez estudiadas y valoradas las características de cada una de las
ediciones, os decantáis por utilizar la edición Professional. Las razones
son las mismas que hemos comentado anteriormente para la elección
del sistema operativo del servidor, es decir, se trata de la versión más
económica que cumple con los requisitos mínimos que nos ha solicitado
ConRecuerdos.org.
Unidad 1 - Introducción 23

5.2 > Instalación y configuración del servidor


En el módulo de Sistemas Operativos Monopuesto aprendiste a instalar y
configurar diferentes versiones y ediciones de los sistemas operativos Win-
dows Server, así como a realizar la configuración básica de algunos de sus
servicios. Por tanto, no es necesario que aquí se detalle el proceso de ins-
talación de un sistema operativo servidor, ni tampoco la configuración
del servicio de dominio de Active Directory. No obstante, a continuación
se describen, a grandes rasgos, los pasos que se deben seguir para instalar
y configurar adecuadamente el servidor según los requerimientos que nos
indica la empresa ConRecuerdos.org.
Sigue estos pasos para instalar y configurar el equipo servidor:
1. Instala el sistema operativo Windows Server 2008 en idioma español.
2. Crea un usuario adminservidor con privilegios de administrador. La
contraseña de este usuario será S3rvid@r.
3. Configura cada una de las tarjetas de red de la manera siguiente:
– La tarjeta que se conecta a la LAN (red local de la empresa) debe
tener la dirección IP 192.168.100.1, con la máscara de subred
255.255.255.0 (figura 1.18).
– La tarjeta que se conecta a la WAN (Internet) debe configurarse para
obtener la dirección IP automáticamente por DHCP, y también debe
obtener el servidor DNS de manera automática.
4. Pon el nombre SERVIDOR como nombre de equipo.
5. Agrega la función Servicios de dominio de Active Directory. 1.18. Configuración de la tarjeta LAN.

1.19. Seleccionar funciones del servidor.

6. Cuando finalice la instalación del servicio de dominio de Active Direc-


tory, haz clic en el enlace que te permite ejecutar el comando
dcpromo.exe. Este comando te permite convertir el servidor en un con-
trolador de dominio totalmente funcional.
24

7. Crea un dominio nuevo en un bosque nuevo (figura 1.20).


8. Escribe ConRecuerdos.org como nombre de dominio completo (FQDN)
del nuevo dominio raíz del bosque (figura 1.21).

1.20. Elegir una configuración de implementación. 1.21. Asignar un nombre al dominio raíz del bosque.

9. Establece el nivel funcional del bosque como Windows Server 2008 (fi-
gura 1.22).
10. Desmarca la opción Servidor DNS cuando debas seleccionar las opciones
adicionales del controlador de dominio (figura 1.23). El sistema te
mostrará un aviso de que el servicio DNS es necesario para que el ser-
vicio de dominio de Active Directory funcione correctamente. Ignóralo
y continúa sin instalar el servidor DNS. No te alarmes por el aviso, ya
que en la Unidad 2 se explicará la instalación y configuración detallada
del servicio DNS.

1.22. Establecer el nivel funcional del bosque. 1.23. Opciones adicionales del controlador de dominio.
Unidad 1 - Introducción 25

11. Asigna la contraseña S3rvid@r para la cuenta de Administrador del


modo de restauración de servicios de directorio (figura 1.24). Esta cuenta
es diferente a la del administrador del dominio y se utilizará cuando
un controlador de dominio se inicie en el modo de restauración de
servicios de directorio. No obstante, tú vas a ser el único adminis-
trador de este servidor, por lo que no se añade ningún problema de
seguridad adicional si utilizas la misma contraseña para ambas
cuentas.
12. Continúa la configuración del servicio de dominio de Active Directory.
Cuando finalices dicha configuración, el sistema te pedirá que reinicies
el ordenador. Hazlo y, una vez haya arrancado de nuevo, tendrás un
equipo servidor completamente funcional para desarrollar el trabajo 1.24. Contraseña de admin. del Modo de
restauración de servicios de directorio.
en la empresa ConRecuerdos.org.

5.3 > Instalación y configuración del cliente


Al igual que comentábamos en el anterior apartado, en el módulo Sistemas
Operativos Monopuesto también aprendiste a instalar y configurar dife-
rentes versiones y ediciones de los sistemas operativos Windows para or-
denadores cliente, así como a realizar la configuración básica de algunos
de sus servicios, por lo que tampoco es necesario que aquí se detalle el
proceso de instalación de un sistema operativo cliente, ni su configuración
básica.
Sin embargo comentaremos algunas indicaciones para instalar y configurar
adecuadamente el cliente a partir de los requerimientos que nos indica la
empresa ConRecuerdos.org.
Sigue estos pasos para instalar y configurar el equipo cliente:
1. Inicia la instalación del sistema operativo Windows 7.
2. Selecciona el idioma español.
3. Pon admincliente como nombre de usuario.
4. Escribe CLIENTE en el nombre de equipo.
5. Utiliza Cli3nt@ como contraseña del usuario admincliente. El indicio
de contraseña también es obligatorio, por lo que puedes poner Contra-
seña de ConRecuerdos.org.
6. Revisa la configuración de hora y fecha y elige la zona horaria
(UTC+01:00) Bruselas, Copenhague, Madrid, París.
7. Selecciona Red de trabajo para la ubicación actual del equipo.
8. Cuando aparezca el escritorio de Windows, sigue la ruta Inicio / Panel
de control / Redes e Internet / Centro de redes y recursos compartidos y haz clic
en Conexión de área local.
9. Pincha el botón Propiedades.
10. En la ventana Propiedades de Conexión de área local, haz doble clic sobre
la opción Protocolo de Internet versión 4 (TCP/IPv4).
11. Selecciona Usar la siguiente dirección IP. Escribe 192.168.100.16 en el
campo Dirección IP, 255.255.255.0 en la casilla Máscara de subred y
192.168.100.1 en la Puerta de enlace predeterminada (figura 1.25).
12. Haz clic en Aceptar.
13. Cierra todas las ventanas abiertas.
Ahora ya tienes el equipo cliente configurado para comenzar a trabajar. 1.25. Configuración de la tarjeta LAN.
26

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Cuál es el motivo fundamental por el cual se crearon las redes de ordenadores?
2·· ¿Qué impulsó a los diseñadores de redes a implementarlas a través de la creación de capas?
3·· Explica en qué se diferencia un modelo de red de una arquitectura de red.
4·· Describe lo que entiendes por protocolo de red. Enumera algunos ejemplos e indica la capa a la que pertenecen.
5·· La comunicación horizontal se realiza entre dos o más equipos a través de los protocolos que pertenecen a la
misma capa de un modelo de red determinado. ¿Qué nombre tiene el elemento que permite la comunicación vertical,
es decir, que una capa pueda comunicarse con la que tiene por encima y por debajo de ella?
6·· Si el modelo de red OSI, un estándar seguido y aceptado por toda la comunidad, es tomado como referencia
para describir redes de ordenadores, ¿por qué existe otro modelo llamado TCP/IP?
7·· ¿Qué capas diferencian al modelo OSI de referencia del modelo TCP/IP?
8·· ¿A qué capas del modelo de referencia OSI equivale la capa de aplicación en el modelo TCP/IP?
9·· Escribe las diferencias entre la estructura de red de igual a igual y la estructura de red cliente-servidor.
10·· Enumera las funciones de red de las direcciones IP.
11·· ¿Cuántas redes diferentes de la clase A pueden existir? ¿Cuántos equipos se pueden identificar con una dirección
IP de la clase C?
12·· ¿Cómo consigue la máscara de red distinguir la parte de una dirección IP que identifica a la red de la que
pertenece al dispositivo o interfaz de red?
13·· ¿Qué es un puerto? ¿Cuántos puertos diferentes existen? ¿Cuántos puertos están reservados?
14·· Desde el punto de vista del usuario, ¿a quién ofrecen sus servicios los servicios de red?

.: APLICACIÓN :.
1·· Dentro del ámbito de las redes de ordenadores, busca en Internet el concepto socket. ¿Qué tres elementos lo
componen?
2·· Confecciona dos presupuestos para el proyecto propuesto a cada uno de tus clientes: ServPubli, ConRecuerdos.org
y AulaEasy. Para ello busca y compara el precio de cada artículo que necesites en varias tiendas de informática de
forma que un presupuesto relacione el material más económico y el otro el de mayor calidad y coste. Como propuesta
puedes seguir esta plantilla:

Empresa Fecha Presupuesto n.º


Artículo Marca Modelo Precio Unidades Total

3·· Busca el mejor precio al que puedes encontrar el router SOHO Linksys modelo WRT54GV.
4·· Diseña una arquitectura de red alternativa para las empresas ConRecuerdos.org y AulaEasy.
5·· Localiza en Internet información sobre los pasos que hay que dar para crear una empresa en tu país.
Unidad 1 - Introducción 27

Caso final 1

Instalación de un nuevo firmware en un router SOHO


·· Acudes a la academia AulaEasy para realizar una verificación de su instalación. Compruebas que poseen un
router que permite a los equipos de la red tener acceso a Internet y que tiene incorporado el firmware pro-
pietario de la empresa fabricante.
Propones a AulaEasy la instalación de un firmware libre compatible con el hardware del router que mejorará
la eficacia y la eficiencia del mismo.

Solución ·· AulaEasy posee un router SOHO de la empresa Linksys modelo WRT54G v3.1 con capacidad in-
alámbrica, 4 puertos LAN y puerto WAN. Escoges como firmware el creado por la comunidad de desarrolladores
dd-wrt, basado en Linux y con mayores prestaciones que el que el dispositivo incorpora de fábrica.

Botón Reset Puerto WAN Puerto LAN Energía (power)


Botón Reset Puerto WAN Puerto LAN Energía (power)

1.26. Parte delantera del router SOHO de la empresa Linksys modelo 1.27. Parte trasera del router SOHO de la empresa Linksys modelo
WRT54G. WRT54G.

Antes de empezar la instalación del firmware deberás tener en cuenta lo siguiente:


– Es recomendable que la instalación se realice a través de una conexión estable. Por lo tanto conectarás el
ordenador con el router a través de uno de los cuatro puertos LAN que posee.
– Escogerás la versión de firmware recomendada por dd-wrt para cada dispositivo. En el caso de que se reco-
miende una versión Beta o una estable, escogerás esta última.
– Mientras se está realizando la actualización del firmware, esta no se debe detener.
Todo esto es necesario porque, si falla la instalación, el router se vuelve un objeto inútil.

Descarga de la versión del firmware


1. Abre una ventana en el navegador e introduce
la dirección http://www.dd-wrt.com. Apare-
cerá la página de inicio del sitio dd-wrt.
2. Pincha el enlace RouterDatabase (figura
1.28).
3. Introduce en el campo de texto los últimos
tres caracteres del nombre del fabricante o
1.28. Sitio web de dd-wrt.
modelo del router; en este caso 54G.
28

4. Escoge, de la lista que aparece a continuación, el modelo


de router que posees; en tu caso Linksys WRT54G v3.1. Haz
clic sobre el nombre.
5. En el menú desplegable escoge la opción v24 SP1 (Stable)
Build 10020.
6. Pincha el enlace dd-wrt.v24_micro_generic-bin.
7. Cuando aparezca la ventana emergente, escoge la opción
Guardar archivo.
1.29. Router Database.
8. Pincha el botón Aceptar.

Instalación del firmware


Para empezar conecta el equipo a uno de los puertos LAN del router mediante un cable directo. Necesitarás au-
tenticarte como paso previo a la configuración del router. Para tal fin, sigue las siguientes indicaciones:
1. Comprueba que el ordenador y el router están dentro de la misma red, es este caso 192.168.100.0. Para
ello accede a la configuración de la tarjeta de red del ordenador y verifica que la dirección IP de la tarjeta
está dentro de la red interna. Si no fuera así, cambia la configuración de la red con los siguientes valores:
dirección IP 192.168.100.20 y máscara de red 255.255.255.0.
2. Escribe la dirección http://192.168.100.1 en un navegador web. En el caso de no conocer la contraseña o
la dirección IP, realiza un reset del router tal como se indica en el paso 5 del siguiente apartado.
3. Introduce el usuario y la contraseña en la ventana de acceso al router y pulsa la tecla <Intro>.

Restauración de los valores de fábrica


1. Pincha la pestaña que abre el menú de administración (figura 1.30).
2. Haz clic sobre la pestaña Factory defaults y selecciona la opción Yes. Pincha el botón Save Settings (figura 1.31).
3. Aparecerá una ventana de advertencia. Haz clic en Aceptar.

1.30. Pestaña de administración. 1.31. Valores por defecto.

4. En el caso de no conocer la IP del router o la contraseña de administración, haz clic en el botón Reset del
equipo, situado en la parte trasera al lado del puerto WAN, durante 30 segundos. De esta manera se vaciará
la memoria NVRAM del router borrando cualquier parámetro de configuración modificado y se reinstaurarán
los valores de fábrica.
5. Espera unos instantes, la luz de encendido (power) parpadeará y, cuando se apague, se habrán restaurado
los valores de fábrica. Estos son los valores por defecto:
– IP del router: 192.168.1.1.
– Nombre del usuario administrador: campo en blanco.
– Contraseña del usuario administrador: admin.
6. Una vez restaurado el firmware de fábrica, vuelve a acceder a la interfaz de configuración del router con
los nuevos valores. Recuerda cambiar la dirección de la tarjeta de red del ordenador al nuevo rango de red,
192.168.1.20, y máscara de red, 255.255.255.0.
Unidad 1 - Introducción 29

7. Accede de nuevo a la pestaña Administration.


8. Pincha la pestaña Firmware Upgrade.
9. Haz clic en el botón Examinar.
10. Busca el archivo dd-wrt.v24_micro_generic.bin,
descargado en el paso 5 del apartado anterior.
Selecciónalo y pincha el botón Abrir.
11. Haz clic en el botón Upgrade. Aparecerá un
mensaje indicándote que no debes interrum-
pir el proceso. Por lo tanto:
– No apagues ni el ordenador ni el router.
1.32. Actualización del firmware.
– No cierres la ventana del navegador.
12. Después de unos minutos deberá aparecer el
mensaje de confirmación que indica que la operación se ha realizado con éxito.
13. Pincha el botón Continuar.
14. Una vez hayas introducido el nombre del usuario y la contraseña, si todo ha salido según lo esperado, apa-
recerá la interfaz web del nuevo firmware. Por defecto tendremos los siguientes valores:
– Nombre del router: WRT54G.
– Nombre del usuario administrador: root.
– Contraseña del usuario administrador: admin.
– IP del router: 192.168.1.1.
– Idioma seleccionado de la interfaz: inglés.

1.33. Valores por defecto del firmware dd-wrt.

Configuración del idioma


1. Accede a la pestaña Administration.
2. Dentro de la sección Language Selection, despliega
el menú y escoge el idioma Spanish.
1.34. Elección de idioma.
3. Pincha los botones Apply Settings y Save.
30

Ideas clave

Consigues

Clientes Aprendes con

ServPubli

ConRecuerdos.org

AulaEasy

Trabajan con

Escenario real Escenario virtual

Red real Representa Red virtual

Máquinas reales Máquinas virtuales

Sistemas operativos

Gestionan GNU/Linux Gestionan

Windows
Unidad 1 - Introducción REVISTA DE INFORMÁTICA

CREA TU EMPRESA

‚ Evaluación del punto de partida personal


Debes considerar si el proyecto se adapta a tus habilidades y es compatible con tus gustos, aficiones y situación personal.

ƒ La idea de negocio
Tienes que estudiar si la idea tiene capacidad de mercado, la duración de vida de tus productos, el potencial de crecimiento
y el mejor ajuste a tu capacidad y situación personal.

„ El mercado al que se dirige


Es necesario que estudies quiénes son tus clientes y sus factores de compra; que analices a tu competencia, dónde está y lo que
ofrece; y que valores la situación del sector y busques toda la información disponible.

… La oferta (productos/servicios)
Has de definir muy bien tus productos y servicios, estudiar la marca y la patente en caso de que haya algún elemento
novedoso y la responsabilidad en su caso.

† Creación y apertura del negocio


Localización del negocio. Es muy importante conseguir la localización idónea, que depende de cada tipo de negocio y de los
hábitos de compra y de vida de los clientes.
Forma de acceso al negocio. Puedes acceder al negocio comprándolo entero, comprando una participación, a través de un
traspaso, por medio de una franquicia o de forma independiente. Tienes que evaluar cuál es la fórmula más conveniente para ti.
Forma jurídica de la empresa. Debes elegir de forma adecuada y meditada la forma jurídica que más le conviene a tu negocio.
Contabilidad y administración. Has de estudiar los sistemas de cobros y pagos que vas a utilizar, la contabilidad, las obligaciones
tributarias, las relaciones con los bancos, etc.
Elección de los socios. No es fácil iniciar un negocio, pero si decides hacerlo con socios es importante buscar a los idóneos
para el negocio. Es imprescindible aclarar si todos van a ser socios trabajadores o meramente capitalistas.
Recursos necesarios. Fundamentalmente debes valorar las instalaciones que necesitas, el equipo productivo y el equipo hu-
mano.
Presupuesto y búsqueda de financiación. Para analizar si el proyecto sería rentable, hay que hacer números e incluir todos los
gastos necesarios para poner en marcha el negocio, así como para hacer frente a los gastos fijos de los primeros meses. Debes es-
timar el margen de venta y realizar la previsión de ventas. Las ayudas y subvenciones van a depender en gran medida de la forma
jurídica que adopte la empresa, de la localidad concreta en la que se ubique, del sector de actividad y de tu situación laboral con
anterioridad al inicio de la actividad (si estás o no desempleado e inscrito en tu oficina de empleo como demandante de empleo).
Plan de empresa. Tienes que resumir en un documento todo lo que has estado analizando; realmente solo tienes que
ordenarlo, te servirá como guía para desarrollar tu empresa. Si lo deseas, disponemos de modelos de plan de empresa y plan
de viabilidad, que es un estudio que acompaña al plan de empresa y que se centra en analizar el aspecto económico del pro-
yecto empresarial. En él se incluyen, por un lado, las previsiones de gastos (inversiones) de inicio de actividad, los recursos
económicos de los que se dispone para financiarlos y una estimación de cuenta de pérdidas y ganancias del primer año, para
ver si se podrá o no hacer frente a la actividad y si resulta rentable. Aunque no existe un modelo estandarizado, podemos fa-
cilitarte un guión orientativo con su contenido mínimo, para que lo adaptes a tu caso concreto.
Trámites de puesta en marcha. Los trámites para crear una empresa varían dependiendo de la forma jurídica elegida, y la
elección de esta última depende de factores muy diversos (número de socios, responsabilidad patrimonial que estos quieran
asumir respecto del riesgo empresarial, si los socios van a trabajar o no para la empresa...).
Te recomendamos que reflexiones sobre todos estos elementos antes de crear tu empresa.
Fuente: www.ventanillaempresarial.org
2
u n i d a d

Sistema
de nombres
de dominio (DNS)
SUMARIO
I El sistema de nombres de dominio (DNS)
I DNS en sistemas GNU/Linux
I DNS en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso
del servicio DNS.
·· Mostrar la estructura básica
del funcionamiento del protocolo DNS.
·· Instalar, configurar y arrancar
un servidor DNS.
·· Habilitar el uso de este servicio en un
cliente DNS.
·· Establecer los mecanismos de comprobación
necesarios para asegurar el correcto
funcionamiento de este servicio.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 2 - Sistema de nombres de dominio (DNS) 33

1 >> Sistema de nombres de dominio (DNS)


1.1 > ¿Qué es el servicio DNS?
El DNS (Domain Name System) o sistema de nombres de dominio es un
sistema que hace legibles para los usuarios las direcciones IP. Para ello, Aplicación DNS
asocia direcciones numéricas con direcciones alfanuméricas, como por
ejemplo 173.194.34.16 con www.google.com. Transporte

Este sistema es una base de datos jerárquica y distribuida que permite lo- Red

calizar equipos y servicios mediante nombres alfanuméricos fáciles de re- Enlace


cordar. Sin DNS el usuario debería acceder a los recursos mediante el uso
de las direcciones IP, lo que resultaría muy engorroso. Además, como estas Físico

pueden cambiar, sería muy complicado mantener una lista actualizada


de direcciones. 2.1. DNS en el modelo TCP/IP.

1.2 > Nombres de dominio


Cuando hablamos del sistema de nombres de dominio en realidad nos re-
ferimos a la base de datos que relaciona direcciones IP con nombres de un
ordenador o de un conjunto de ellos.
DNS nació en los primeros tiempos de Internet, cuando el Departamento
de Defensa de los Estados Unidos creó una pequeña red de ordenadores
Organismos especializados
llamada ARPANET destinada a la investigación. Los nombres de los orde-
en la gestión de dominios
nadores de esta red se administraban con un único archivo llamado
El ICANN (Internet Corporation for As-
hosts.txt. Este contenía la relación entre el nombre del equipo y su dirección
signed Names and Numbers) es el en-
IP y era compartido por todos los equipos de la red, lo que permitía con-
cargado de los directorios, como .com,
sultarlo y actualizarlo cuando fuera necesario. A esta manera de relacionar
.org o .net.
nombre e IP se le conoce como sistema de nombres planos.
Los dominios asociados a cada país se
Conforme creció la red y aumentó su complejidad, se hizo necesaria la hallan registrados por sus gobiernos. En
creación de un nuevo sistema de nombres que fuera más versátil y permi- España los gestiona el nic.es, integrado
tiera una mayor escalabilidad. en red.es.

Así, en 1984 apareció el DNS, un sistema descentralizado, escalable y je-


rárquico, en forma de árbol. A esta manera de relacionar nombre e IP se le
conoce como sistema de nombres jerárquicos. En un sistema de este
tipo los nombres del ordenador contienen información de su localización,
lo que permite que puedan existir en redes diferentes ordenadores con el
mismo nombre.
El sistema de numeración telefónico, por ejemplo, tiene una estructura
jerárquica. Cualquier número de abonado, como puede ser el 917017000,
contiene información que permite encaminar la llamada a través de la
red telefónica:

9 1 701 7 000

Código del Código de la Código


Prefijo
área central abonado
Secretaría de
Madrid Gran Vía
Cultura
34

Espacio de nombres
Los datos que gestiona un DNS se conocen como nombres de dominio y
están organizados en forma de árbol invertido. Cada nodo del árbol se
¿Cuántos dominios de Internet llama dominio y recibe una etiqueta, por ejemplo .com.
existen?
El nombre de dominio de un nodo se crea mediante la concatenación de
No existe ningún organismo que controle
el número exacto de dominios que exis-
todas las etiquetas, comenzando por dicho nodo y terminando con el nodo
ten en Internet, pero se calcula que cada raíz. Para representarlo de forma escrita, unimos las etiquetas de derecha
día se crean aproximadamente 150 000. a izquierda separándolas por puntos, por ejemplo www.google.com.
En el sistema DNS un nodo puede tener un nombre de hasta 63 caracteres.
La profundidad de nodos está limitada a 127 niveles.
El primer nodo se conoce como raíz (root) y se representa mediante el sím-
bolo del punto.
Para acceder, por ejemplo, a Wikipedia escribiremos:

www .wikipedia .org .


Servicio Nodo nivel 2 Nodo nivel 1 Nodo raíz

Como podemos ver, la dirección se escribe en sentido contrario a la bús-


queda, es decir, empezando por la hoja y acabando por la raíz.
FQDN (fully qualified domain
name)
Nos indica el nombre completo de una .
dirección IP, comenzando por el nodo y
acabando con la raíz.

Utilizado, por ejemplo, por el dominio .org .com


.arpa, su estructura sería:

1.100.168.192.in-addr.arpa

Con ella accederíamos al nombre de do- wikipedia.org un.org google.com


minio de la IP 192.168.100.1.

Un dominio absoluto finaliza con un


punto:
es.wikipedia.org www.google.com mail.google.com
www.google.com.

2.2. Estructura jerárquica del DNS.

La estructura jerárquica también permite la gestión de los nodos de manera


autónoma.
ICANN, como se muestra en la figura 2.2, gestiona el dominio de primer
nivel (.org), pero Wikipedia gestiona su nodo, lo que permite añadir más
subniveles. Esto se conoce como delegar.
El servicio DNS no suele utilizarse de manera independiente, sino acom-
pañado de otros servicios (como DHCP, HTTP, FTP, etc.) que serán explicados
a lo largo del libro.
En la figura 2.2, también puede observarse cómo Google administra los
servicios de su dominio de manera autónoma.
Unidad 2 - Sistema de nombres de dominio (DNS) 35

Dominios genéricos (TLD)


Los dominios de primer nivel o raíz, también llamados TLD (Top Level
Domains), no pueden ser comprados por los usuarios. Cuando se desea
adquirir un dominio, debemos hacernos con uno de segundo nivel.
Los dominios de primer nivel, gestionados por Estados e instituciones in-
dependientes, se dividen en tres grandes grupos:
– Infraestructura.
– Dominios genéricos (gTLD).
– Dominios geográficos (ccTLD).
En la tabla siguiente se muestran las subdivisiones de cada uno de estos
dominios:

Tablas subdivisión TLD


TLD Dominios
Infraestructura Utilizado para obtener el FQDN .arpa
(uTLD) No patrocinados. Estos
.com, .org, .net,
dominios pueden ser alquilados
.int, .gov, .info,
sin restricciones. Están
gTLD .name, .biz
gestionados por el ICANN.
Dominios
genéricos (sTLD) Existen limitaciones a la .aero, .asia, .cat,
hora de contratar estos .coop, .edu, .jobs,
dominios. Están patrocinados por .mobi, museu.pro,
diferentes instituciones. .tel, .travel, .xxx
Creados por IANA. Existen unos
ccTLD
243 gestionados por los distintos
Dominios .es, .uk, .eu, .us
gobiernos mediante
geográficos
organizaciones propias.

La adquisición de un dominio en Internet se denomina registro de dominio.


Para ello, el usuario o registrador ha de contactar con la empresa registradora
autorizada por ICANN y se comprueba en primer lugar que el dominio de-
seado no pertenece a nadie. Una vez aceptadas las condiciones, la empresa
registradora contacta con el ICANN y realiza los trámites. De este modo en
unas horas el dominio estará disponible.
A partir del año 2004 el ICANN permitió registrar dominios IDN (interna-
tionalized domain name) o nombres de dominio internacionalizados, que
son los que contienen caracteres específicos de lenguas como el cirílico, el
chino, el árabe, el griego, etc. Estos también posibilitan añadir acentos y
registrar dominios con la letra «ñ». Algunos ejemplos de IDN son:

Actividades propuestas

1·· Busca dos empresas registradoras autorizadas en España.


36

1.3 > Zonas


Zona y dominio La parte de la base de datos de nombres de dominio alojada en el servidor
Un dominio puede dividirse en subdo-
DNS recibe el nombre de zona. Una zona puede ser gestionada por más de
minios. Por ejemplo, para el nombre de un servidor. Estos tienen bases de datos con la información completa sobre
dominio google.com, google es un sub- la zona, por lo que se les conoce como servidores autoritativos.
dominio del TLD .com. El dominio, por
La estructura jerárquica DNS se basa en una relación cliente/servidor.
tanto, estaría formado por el subárbol,
Cuando un cliente o host quiere acceder a algún lugar, realiza una pregunta
para el cual el nodo raíz es google. La
al servidor DNS, el cual consultará su base de datos e intentará responder
zona son las diferentes partes contiguas
del árbol administradas por uno o más
a la pregunta.
servidores DNS autoritativos. La siguiente figura muestra una estructura formada por dominios y zonas.

Europa Zona Europa

Zona España.Europa
España Portugal Francia

Andalucía Extremadura Lisboa Oporto


Zona
Andalucía.España.Europa Zona Portugal.Europa

Sevilla Cádiz Granada Badajoz

Zona
La Alhambra Albaicín Granada.Andalucía.España.Europa

2.3. Estructura de zonas y dominios.

Los dominios son los rectángulos; en este ejemplo tenemos 14. Estos do-
minios forman cinco zonas. El nombre del dominio correspondiente a
Whois cada zona se determinará según los nodos que contenga.
Es un protocolo que nos permite acceder
a una base de datos que determina el
Toda zona debe tener, al menos, dos servidores autoritativos: el primario,
dueño de un nombre de dominio o di- que contiene los ficheros que forman la base de datos de la zona, y el se-
rección IP. cundario, que obtiene estos ficheros del primero mediante transferencia.
En la actualidad podemos encontrar un La zona primaria es la que está supervisada por el servidor primario y
gran número de páginas web que nos existe únicamente una. El servidor primario contiene la base de datos que
permiten realizar esta consulta. servirá de origen para realizar todas las copias que sean necesarias para
los servidores secundarios. Aunque reiniciemos el servidor esta base de
datos no se borrará.
La zona secundaria la forman los servidores secundarios. Puede haber
tantas zonas secundarias como servidores. Cuando reiniciamos el servidor
secundario, la base de datos normalmente debe replicarse de nuevo a
partir de la zona primaria.
Unidad 2 - Sistema de nombres de dominio (DNS) 37

Transferencia de zona
La transferencia de zona es la operación mediante la cual un servidor pri-
mario transfiere el contenido del archivo de la base de datos de zona DNS
a un servidor secundario. Esta operación siempre la inicia el servidor se-
cundario. La transferencia se produce cuando:
– Iniciamos el servicio DNS en el servidor secundario.
– Caduca el tiempo de actualización.
– Se guardan los cambios en la base de datos de la zona principal.

Delegación
A pesar de que ICANN o su sección IANA supervisan la creación de domi-
nios a través de empresas gestoras o de estados, no tienen capacidad
técnica para gestionarlos. El modelo jerárquico DNS permite traspasar,
en la mayoría de los casos, a su propietario. Esta operación se conoce
como delegación.
La nueva entidad gestora tiene la capacidad de crear nuevos subdominios
y debe mantener los servidores DNS de su dominio.
El dominio de nivel superior que ha delegado la administración pierde el
control de la nueva zona y únicamente conoce la dirección de los servidores
DNS de la misma.
La zona de nivel superior se conoce como zona padre y la de nivel inferior
como hijo.
En la siguiente figura podemos ver un ejemplo:

.org

wikipedia.org ejemplo.org

Servidor

pc01 pc02

2.4. Delegación de dominios.

ICANN, como se muestra en la figura, otorga la delegación del dominio


gTLD ejemplo.org a la empresa Ejemplo. A partir de ahora, la única infor-
mación que poseerá el dominio padre gestionado por ICANN serán las di-
recciones IP de los servidores DNS de la empresa Ejemplo.
38

2 >> Funcionamiento del DNS


El servicio de nombres de dominio se implementa a través del protocolo
Modelo TCP/IP
DNS. Este estándar especifica que, para la comunicación que se realice
Aplicación Transporte entre el cliente y el servidor, se haga uso del puerto 53 tanto para mensajes
TCP (53) UDP como TCP.
DNS
UDP (53)
2.1 > Clasificación de servidores de nombres
Los servidores de nombres son la parte más importante del DNS, ya que
almacenan y gestionan información sobre los dominios y responden a las
consultas de resolución de nombres que realizan los clientes. Estos servi-
dores pueden implementarse sobre dispositivos dedicados o software eje-
cutado sobre máquinas que también realizan otras tareas.
Atendiendo a la cantidad de datos que almacenan, podemos diferenciar
Internet dos categorías de servidores de nombres:
– Servidores autoritativos: son los encargados de almacenar la infor-
mación completa de la zona. Debe haber al menos uno por zona. En
Intranet general, las zonas tienen dos o más servidores autoritativos sobre di-
Reenviador
ferentes redes para mantener activo el servicio ante fallos que puedan
DNS
surgir. En función de si los datos que contienen son originales o no,
existen dos tipos de estos servidores:
• Servidor primario o maestro: es el servidor que mantiene los datos,
nombres DNS, originales de una zona completa. Permite configurar
las zonas, como por ejemplo dar de alta y de baja los nombres de do-
Servidores minio.
DNS • Servidor secundario o esclavo: este servidor copia los datos de la zona
mediante un proceso de replicación denominado transferencia de
2.5. DNS no autoritativo que actúa como zona. Lo más habitual es que la duplicación se realize desde un servidor
reenviador. primario, aunque también puede hacerse desde uno secundario.
– Servidores no autoritativos: son aquellos que no almacenan los datos
de una zona completa. Según la función que realizan, existen dos tipos
Respuesta de estos servidores:
Consulta
• Reenviador (forwarder) (figura 2.5): cuando coexisten varios servidores
Servidor DNS en una intranet, se pueden configurar para que realicen todas
DNS primario
sus peticiones al reenviador y que este se encargue de transmitirlas
hacia los servidores DNS de Internet. Sus ventajas son la reducción
del tráfico en la conexión a Internet y el que las peticiones puedan
pasar a través de un firewall de Internet para el que el DNS reenviador
Servidor
DNS caché
está autorizado y el resto no.
• Caché (hint o por vía indirecta) (figura 2.6): este tipo de servidor alma-
cena durante un periodo de tiempo los resultados de las consultas
enviadas por él mismo a otros servidores, de forma que, si vuelve a
Caché recibir la misma petición, el servidor la devolverá desde su caché sin
tener que realizar el proceso de consulta completo. Ese procedimiento
Intranet Cliente lo deja en manos de servidores en los que confía, para que estos
hagan la consulta completa en su nombre. Sirve para descongestionar
2.6. DNS no autoritativo que actúa como servidores que reciben grandes cantidades de peticiones o zonas con
caché.
alta carga en la red.
Unidad 2 - Sistema de nombres de dominio (DNS) 39

2.2 > Consultas recursivas e iterativas


La actividad principal de un servidor DNS es contestar consultas, tanto de
un cliente como de otro servidor DNS. Según el modo en que se envían las
consultas, las podemos clasificar en dos tipos: Sabías que...
Los DNS raíz no aceptan consultas re-
– Consultas recursivas: cuando un cliente realiza una petición recursiva
cursivas porque se consideraría un abuso
a un servidor, este debe responder con la información que guarda en su
y saturaría el sistema.
base de datos local. Si no la tiene, debe hacerse cargo de encontrarla en
nombre del cliente, enviando nuevas peticiones a otros servidores. El
cliente original solo envía una petición y recibe la información o bien
un mensaje de error indicando que no existe. Las consultas recursivas
suelen generarlas los clientes DNS, aunque la figura 2.7 muestra una
consulta recursiva reenviada por un servidor.

Servidor Servidor DNS


Raíz
1. Consulta para hallar DNS 2. Consulta para hallar raíz (.)
www.google.com www.google.com
com
8. Dirección IP para 7. Dirección IP para
Cliente www.google.com www.google.com
3. Consulta
6. Dirección IP para google
para hallar
www.google.com
www.google.com
5. Dirección IP para
www.google.com

4. Consulta para hallar


www.google.com
Servidor DNS Servidor DNS
para .google.com para .com

2.7. Consulta DNS recursiva.

– Consultas iterativas: si un cliente efectúa una petición iterativa, el ser-


vidor devuelve una respuesta a la petición. Esta consiste en la dirección
IP correspondiente al nombre de dominio o bien en el nombre de otro
servidor que tiene la información o que está más cerca de ella. En este
caso, el cliente original deberá empezar de nuevo el proceso enviando
la consulta a ese otro servidor, el cual enviará a su vez la respuesta soli-
citada o el nombre de un segundo servidor. Este proceso continúa hasta
encontrar el servidor adecuado. Las consultas iterativas suelen crearlas
los servidores DNS cuando preguntan a otro servidor.

1. Consulta para hallar www.google.com Servidor DNS Raíz


raíz (.)
2. Nombre servidor para .com
com
3. Consulta para hallar www.google.com Servidor DNS
para .com
4. Nombre servidor para google.com
google
Servidor DNS 5. Consulta para hallar www.google.com Servidor DNS
para
para .google.com
.google.com 6. Nombre servidor para www.google.com

2.8. Consulta DNS iterativa.


40

2.3 > Clientes DNS (resolvers)


Los clientes DNS, también conocidos como resolvers, son programas que
hacen de interfaz entre las aplicaciones de usuario y el DNS. Por ejemplo,
un resolver recibe una petición de un programa, como puede ser un navega-
dor web, telnet o FTP, en forma de llamada al sistema operativo, y devuelve
la información en forma compatible con el formato de esa aplicación.
El resolver se localiza en la misma máquina que la aplicación que requiere
sus servicios, pero puede necesitar consultar servidores de nombre situados
en otros equipos.
Una de sus funciones más importantes es eliminar retrasos en la red y ali-
viar la sobrecarga de consultas sobre los servidores de nombres. Esto lo
hace mediante el uso de su caché, donde guarda temporalmente resultados
de peticiones anteriores.

2.4 > Resolución o búsqueda de nombres


Así como la función más importante de un servidor DNS es almacenar
datos sobre nombres de dominio y entregarlos al recibir consultas, el
trabajo del cliente es resolver las peticiones de las aplicaciones en el dis-
positivo cliente. Dependiendo de si lo que se busca es una dirección IP o
un nombre de dominio, existen dos tipos: resolución directa e inversa.

Resolución directa
Del mismo modo que en un listín telefónico se localiza el teléfono a partir
del nombre asociado, en el DNS este proceso consiste en tomar como en-
trada un nombre de dominio y determinar su correspondiente dirección
IP. Esta es la función más utilizada.

Servidor 5. Consulta iterativa a servidores raíz


Servidor DNS Raíz
DNS local
6. Nombre servidor para .es raíz (.)
4. Comprueba
caché
es

13. Actualiza 7. Consulta iterativa


Caché
caché para .es Servidor DNS
gob
14. Dirección IP para .es.
3. Consulta recursiva
solicitada 8. Nombre para
.gob.es
2. Comprueba educacion
caché 9. Consulta iterativa
a servidores .gob.es Servidor DNS
para .gob.es.
15. Actualiza
Caché Resolver 10. Nombre servidor para
caché
1. Consulta para hallar educacion.gob.es
www.educacion.gob.es 11. Consulta iterativa a
16. Dirección IP Servidor DNS para
servidores .educacion.gob.es
solicitada de .educacion.gob.es.
www.educacion.gob.es 12. Dirección IP solicitada de
Cliente y www.educacion.gob.es
navegador
17. Petición HTTP para «direción IP resuelta»

2.9. Proceso de resolución directa de nombres de dominio.


Unidad 2 - Sistema de nombres de dominio (DNS) 41

Por ejemplo, si un cliente DNS tiene la necesidad de localizar el equipo


piano.educacion.gob.es desde cualquier lugar del mundo, será necesario
que realice una petición a su servidor DNS. Lo más probable es que su ser-
vidor no conozca ese dominio, por lo que empezará buscando la raíz del
árbol, es decir, preguntando por la parte más genérica del nombre: .es. Si
el servidor raíz es autoritativo para esa zona, devolverá la dirección IP
correspondiente; sin embargo, si no lo es, devolverá el nombre del servidor
responsable para el dominio de primer nivel (.es).
Ahora se deberá consultar a ese servidor si es autoritativo para la zona
educación.gob.es. Si no lo es, no conocerá la dirección IP que buscamos,
pero sí al servidor autoritativo en gob.es.
Y así continuaremos descendiendo en el árbol de dominios hasta localizar
el servidor encargado de la zona educacion.gob.es o que, por tenerla en su
caché, conozca la dirección IP del equipo piano.educacion.gob.es.

Resolución inversa
Se basa en el procedimiento contrario. Siguiendo la analogía del listín te-
lefónico, tenemos un número de teléfono y deseamos conocer el nombre
de su propietario. En un DNS, a partir de una dirección IP, se debe establecer
el nombre de dominio asociado.
El árbol jerárquico organiza la información por nombres de dominio, lo
que dificulta localizarlos en función de su dirección IP. Sin embargo, la
solución es fácil: consiste en estructurar la información por direcciones
IP, añadiendo un nodo especial llamado arpa.

raíz

arpa es

in-addr mec

0 1 193 255 piano

0 1 147 255
Puntero a
dirección inversa
para
0 1 0 255 piano.mec.es
(193.147.0.8)

0 1 8 255

2.10. Dirección inversa 8.0.147.193.in-addr.arpa.


42

Por lo tanto, se añade un subárbol con una jerarquía numérica que convive
con la jerarquía de nombres de dominio.
Ese subárbol se implementa utilizando un nombre de dominio especial,
in-addr.arpa, situado dentro del dominio reservado de primer nivel
.arpa.
Descendiendo, se despliega una jerarquía numérica que cubre todo el es-
pacio de direcciones IP y que consiste en lo siguiente:
– En el primer nivel dentro de in-addr.arpa existen 256 subdominios,
desde el 0 al 255. Por ejemplo, 195.in-addr.arpa.
– Dentro de cada subdominio de primer nivel hay 256 subdominios más
de segundo nivel, organizados de la misma forma. Por ejemplo,
77.195.in-addr.arpa.
– Una vez más, cada uno de ellos contendrá otros 256 subdominios de
tercer nivel. Por ejemplo, siguiendo los casos que utilizamos antes,
0.147.193.in-addr.arpa.
– Por último, tendremos 256 equipos para cada uno de los anteriores, en
el cuarto nivel, describiendo completamente la dirección IP inversa.
Para el ejemplo tendríamos la dirección inversa 8.0.147.193.in-addr.arpa.
para el nombre del equipo piano.mec.es.

2.5 > Base de datos DNS. Tipos de registros


La base de datos DNS contiene los llamados archivos de zona, distribuidos
entre los servidores de nombres. Estos archivos permiten asociar los nom-
Dig
bres de dominio con direcciones IP.
Dig es una herramienta que permite rea-
lizar consultas a un servidor DNS para Los archivos de zona son ficheros de texto plano que almacenan registros
que responda con los registros de recur- de recursos o RR. El orden en el que se indican los RR dentro de un archivo
sos de una zona determinada. de zona no tiene importancia.
Existe una gran diversidad de páginas web Un RR está formado por los siguientes campos:
que ofrecen este servicio en Internet.
– Propietario: indica el nombre del dominio en que se encuentra el re-
curso que se define en el RR. Si este campo aparece vacío, toma el valor
del campo del registro anterior.
– TTL (time to live): indica el tiempo de vida de este registro en la caché de
un servidor de nombres. Es un campo opcional.
– Clase: identifica la familia de protocolos que se debe utilizar. En nues-
tro caso, utilizaremos únicamente la clase IN de Internet (protocolo
TCP/IP).
IpTools – Tipo: indica el tipo de recurso para este registro.
Herramienta online que muestra los RR – Datos: es el valor que se desea asociar al campo nombre de dominio.
de la base de datos DNS.
Propietario TTL Clase Tipo Datos
wikipedia.org. 3 600 IN A 208.80.152.201

A continuación se describen los tipos de RR más comunes para la clase IN


que pueden aparecer en un archivo de zona: inicio de autoridad (RR SOA),
nombre de servidor (RR NS), dirección (RR A), nombre canónico (RR
http://www.iptools.es CNAME), puntero (RR PTR) e intercambio de correo-e (RR MX).
Unidad 2 - Sistema de nombres de dominio (DNS) 43

Registro de recurso inicio de autoridad (RR SOA)


Indica dónde comienza una zona y el servidor de nombres que tendrá su
autoridad. Únicamente puede haber un registro de tipo SOA por cada zona.

Campos del registro de recurso inicio de autoridad (RR SOA)


NombreDominio IN SOA nsPrimario admin.nsPrimario (ops)
(2012020700; Número de serie
14400; Actualización
gva.es. IN SOA ninot.gva.es. admincorreo.gva.es. 300; Reintento
604800; Caducidad
7200); Valor TTL

El significado de los campos utilizados es el siguiente:


– NombreDominio: el nombre de dominio que describe la zona. Sabías que...
– nsPrimario: especifica el nombre del servidor de nombres primario. A veces se utiliza el símbolo arroba (@)
– admin.nsPrimario: indica la dirección de correo del administrador del para representar el nombre de la zona
dominio. En este caso la arroba (@) se sustituye por un punto (.). que se define. Por ejemplo:
– ops: son un conjunto de parámetros que se utilizan para definir la co- @ IN SOA ninot.gva.es.
municación entre el servidor de nombre primario y los secundarios.
En el registro SOA se establecen algunas opciones que describen tiempos
cuyo valor se expresa en segundos. Para hacer más fácil su legibilidad, se
pueden indicar en formato semana (week), día (day), hora (hour) y minuto
(minute). En el ejemplo, el registro de zona RR SOA quedaría así:
(2012020700 4h 5m 1w 2h)

Registro de recurso nombre de servidor (RR NS)


Define los servidores de nombres autoritarios para una zona. Habrá tantos
registros NS como servidores de nombres (preferiblemente dos: uno pri-
mario y otro secundario).

Campos del registro de recurso nombre de servidor (RR NS)


NombreDominio IN NS Nombre servidor
gva.es. IN NS tirant.gva.es.

Registro de recurso dirección (RR A)


Asocia nombres de dominio FQDN a direcciones IP. De este modo, al guar-
dar la dirección IP de una máquina, permite la resolución directa.
El servidor DNS de una zona queda fijado por el RR NS, sin embargo esa
información no es suficiente para resolver su dirección IP correspondiente,
que se establece mediante el RR de tipo A.

Campos del registro de recurso dirección (RR A)


NombreDominio IN A IP
tirant.gva.es. IN A 172.16.100.127
44

Registro de recurso nombre canónico (RR CNAME)


Permite crear un alias o nombre alternativo para un nombre de nodo real,
es decir, hacer referencia a un mismo equipo usando distintos nombres.

Campos del registro de recurso nombre canónico (RR CNAME)


NombreDominio IN CNAME Nombre canónico o IP
ftp.edu.gva.es. IN CNAME www.edu.gva.es.

Estos registros permitirán acceder a un equipo haciendo referencia al servicio


que se quiera usar y no a su nombre real. Siguiendo el ejemplo, los clientes
podrán acceder al servidor de educación de la Generalitat Valenciana tanto
con www.edu.gva.es como con ftp.edu.gva.es.
Pero, ¿no sería más sencillo usar siempre el mismo nombre independiente-
mente del servicio al que se quiera acceder? Puede que sea así en el caso de
tener un solo servidor, pero en empresas que distribuyen sus servicios en
varias máquinas o que puedan hacerlo en un futuro, los registros de alias
permiten acceder al servicio deseado independientemente de si está instalado
en una máquina o en otra. Es más, en el caso de cambiarlo de un servidor a
otro, usando los alias el usuario no notaría la diferencia.

Registro de recurso puntero (RR PTR) o registro inverso


Relaciona una dirección IP con un nombre de dominio completamente
cualificado. Se necesita un registro PTR por cada subred de la zona.

Campos del registro de recurso puntero (RR PTR)


IPInversa.in-addr.arpa IN PTR Nombre canónico
254.16.77.195.in-addr.arpa IN PTR inf16254.gva.es.

Registro de recurso intercambio de correo-e (RR MX)


Define un servidor de correo para el dominio. Si se indican varios servidores
de correo, se puede establecer la prioridad anteponiéndoles un número.

Campos del registro de recurso intercambio de correo-e (RR MX)


NombreDominio IN MX num Servidor correo
gva.es. IN MX 10 gollum.gva.es.

Actividades propuestas

2·· A través de la herramienta Dig, implementada en IpTools, averigua los datos completos de:
a) El RR de tipo SOA para la zona wikipedia.org. Necesitarás marcar la opción Dig, dejar vacío el campo
siguiente e incluir la zona en el campo Host/IP.
b) El RR de tipo NS para la zona wikipedia.org.
c) El RR de tipo A para la zona wikipedia.org.
d) El RR de tipo CNAME para la zona www.wikipedia.org.
Unidad 2 - Sistema de nombres de dominio (DNS) 45

3 >> Evolución del protocolo DNS


Cada vez son más usuarios los que utilizan las redes de comunicación, lo
que ha provocado la aparición de nuevas necesidades y amenazas que
han hecho avanzar y perfeccionar el protocolo DNS. Así han surgido, entre
otros, el DDNS o DNS dinámico y el DNSSEC o DNS seguro.

3.1 > Actualizaciones dinámicas (DDNS)


El protocolo DDNS (Dynamic DNS) establece la forma de actualizar en tiempo
real la base de datos gestionada por un servidor de nombres. DDNS permite
que un cliente añada, reemplace o elimine los registros de recursos de un
servidor DNS primario, mediante un tipo especial de mensajes.
Existen dos escenarios donde se emplea este protocolo: en el acceso desde
Internet y en un servidor DNS local. Proveedores de DNS dinámico
Lista de proveedores de DNS dinámico:
Acceso desde Internet
Si configuramos un ordenador para que ofrezca determinados servicios
al público, este debe ser visible desde Internet. Para poder acceder a él,
será necesario conocer la dirección IP o el nombre de dominio del router
al que se conecta. Sin embargo, cada vez es más frecuente que los ISP
(proveedores de servicios de Internet) asignen a sus usuarios una dirección
IP de rango, diferente de una sesión a otra, llamada dirección IP diná- http://dnslookup.me/dynamic-dns
mica. Surge entonces el problema de que la dirección IP con la que se
identifica el equipo en Internet puede variar en cuestión de semanas,
días u horas.
Para solucionar este inconveniente, DDNS permite la utilización de un
nombre de dominio propio a clientes con direcciones IP dinámicas.
Este servicio lo ofrecen portales como freedns.afraid.org, que entregan un
nombre de dominio cuyo registro de recursos RR A es modificado cada
vez que el ISP del cliente cambia la dirección IP.
El encargado de solicitar la actualización es el cliente, de forma que el
cambio de dirección IP es comunicado al servidor DNS del portal.

ISP proovedor
servicios de Internet Servidor DDNS
Internet

2. Intranet inaccesible 3. Router solicita nueva IP


por nombre DNS en el servidor DDNS

1. ISP cambia IP externa 4. Servidor DDNS asocia


del router nueva IP a nombre de dominio
miempresa.chickenkiller.org
Router 5. Intranet accesible de nuevo por nombre DNS

Intranet Servidor DNS local


Equipos cliente

2.11. DDNS con servidor DNS externo.


46

Acceso desde un servidor DNS local


En una red local donde se añaden continuamente equipos nuevos o se
modifica su nombre, es necesario actualizar la información que administra
el servidor DNS de la zona local; en particular, la dirección IP y/o el nombre
de dominio.
Esa gestión se puede realizar manualmente, sin embargo se dispone de la
actualización dinámica del servidor DNS para automatizar dicha tarea. El
mecanismo más sencillo utiliza el servidor DHCP, encargado de asignar
direcciones IP dinámicamente a equipos de la red. Este tipo de servidor lo
veremos en la siguiente unidad.
Simplificando el proceso, los pasos que realiza se describen a continuación
(figura 2.12):
1. El cliente DHCP envía una petición al servidor DHCP para que le sumi-
nistre una dirección IP.
2. El servidor DHCP responde enviando una dirección IP.
3. Una vez el equipo cliente queda configurado, el servidor DHCP remite
una petición de actualización al servidor DDNS que contiene la dirección
IP asignada, solicitando que actualice su base de datos y la asocie con el
nombre de dominio que ya posee.

Servidor 3. Actualización
DDNS datos en DNS

Servidor
DHCP
1. Petición DHCP
2. Asignación de IP

Cliente

2.12. DNS dinámico con DNS local.

3.2 > DNS seguro (DNSSEC)


DNSSEC (Domain Name System Security Extensions) es un conjunto de exten-
siones de seguridad para DNS. Estas aplicaciones garantizan al cliente DNS
(resolver) una comunicación segura con el servidor DNS.
Esto significa que las respuestas a sus consultas DNS recibidas proceden
realmente del servidor y que no han sido alteradas, es decir, que queda
certificada la autenticidad y la integridad de la comunicación.

Actividades propuestas

3·· Averigua el contenido de todos los registros de recursos para la zona mec.es mediante la página web
network-tools.com/nslook. Anota los servidores de dominio, el autoritativo, el de correo-e y sus direcciones IP.
Unidad 2 - Sistema de nombres de dominio (DNS) 47

4 >> DNS en sistemas GNU/Linux


Hoy es un día importante, vuestra primera jornada de trabajo en la em-
presa ServPubli. Siguiendo el plan de trabajo pactado con sus represen-
tantes, vais a empezar con el primero de los problemas planteados: la
implantación de un servicio de resolución que permita traducir nombres
a direcciones IP.
En las reuniones previamente mantenidas os dijeron que los trabajadores
de la empresa tienen dificultades a la hora de usar las direcciones IP para
acceder remotamente, desde sus puestos de trabajo, a los distintos equipos
de la red de la empresa. Los trabajadores no tienen estudios informáticos,
solo usan los ordenadores a nivel de usuario, por lo que les cuesta tanto
memorizar las direcciones como relacionarlas con los servicios que ofrecen
los equipos a los que quieren acceder.
Después de estudiar la red, el trabajo que desarrollan los empleados y la
perspectiva de crecimiento, proponéis a la empresa que, además de usar
el servicio DNS para navegar por Internet, este se utilice también para re-
solver los nombres de los ordenadores de la red de área local.
Para defender la opción que planteáis, presentáis a la empresa los siguientes
argumentos:
– Los empleados recordarán más fácilmente los nombres que las direccio-
nes IP.
– Los nombres de equipo, si se asignan correctamente, pueden dar infor-
mación sobre la máquina a la que hacen referencia y la función que
esta desempeña.
– Como el DNS tiene una estructura jerárquica, en el caso de que la em-
presa crezca, se adaptaría muy bien a las nuevas necesidades.
– La base local de datos que relaciona los nombres con las direcciones IP
se configura y se mantiene en un único equipo: el servidor DNS.
– En el caso de cambiar la dirección IP de alguno de los equipos de la red
de la empresa, los empleados podrán seguir accediendo a estos con los
mismos nombres.
Los requisitos que ServPubli os ha planteado para poner en marcha el ser-
vicio son estos:
– Los nombres que los equipos tienen actualmente deben mantenerse
para que el proceso sea lo más transparente posible.
– Se debe poder asignar más de un nombre a cada equipo, de forma que
estos puedan indicar aspectos como su función o propietario.
– El sistema debe diseñarse para que pueda adaptarse a posibles amplia-
ciones de la empresa. ISC (Internet Systems Consortium)
– Se usará el dominio del que ya dispone la empresa: servpubli.com.
Atendiendo a estas condiciones y después de estudiar y comparar dife-
rentes opciones, habéis decidido usar la versión 9 de BIND (Berkeley Internet
Name Domain) de ISC, una organización pública sin ánimo de lucro que
se dedica a apoyar el desarrollo de la infraestructura de Internet. BIND
es la implementación de un servidor de nombres DNS más usada en
Internet. http://www.isc.org
48

4.1 > Instalación del servidor


Para instalar el servidor DNS, debes seguir estos pasos:
1. Abre una sesión gráfica en el servidor.
2. Abre el gestor de paquetes Synaptic.
Datos de acceso
3. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo-
Usuario: adminservidor nibles en los repositorios de Internet que tienes configurados. Espera
Contraseña: S3rvid@r unos segundos mientras termina este proceso.
4. Haz clic sobre el botón Buscar para acceder a la herramienta de búsqueda.
5. Escribe bind9 en el cuadro de texto (figura 2.13) y haz clic en el botón
Buscar.
6. Selecciona bind9 haciendo clic sobre el nombre del paquete y lee la in-
formación adicional mostrada debajo de la lista de paquetes.
Paquete que se debe instalar 7. Haz doble clic en la casilla de verificación que está delante del nombre
bind9 del paquete seleccionado (de este modo lo marcas para instalar).
8. Se abrirá un diálogo que advierte que para poder instalar bind9 es ne-
cesario marcar otros paquetes. Haz clic en el botón Marcar para permitir
estos cambios adicionales.
9. Asegúrate de que la casilla de verificación del paquete bind9 está mar-
cada y haz clic sobre el botón Aplicar para iniciar el proceso de instalación
(figura 2.14).

2.13. Herramienta Buscar.

2.14. Selección de paquetes.

10. Se abrirá la ventana Resumen que muestra información sobre la insta-


lación que vas a realizar. Has de analizarla y hacer clic en el botón
Aplicar para comenzar la descarga de los paquetes. Durante este proceso
se abre la ventana de diálogo Aplicando los cambios, que se cerrará al fi-
nalizar la instalación para dar paso a la ventana Cambios aplicados
(figura 2.15).
11. Haz clic sobre el botón Cerrar del diálogo Cambios aplicados.
2.15. Ventana Cambios aplicados.
12. Haz clic en el botón Cerrar de la ventana de Synaptic.
Unidad 2 - Sistema de nombres de dominio (DNS) 49

4.2 > Configuración del servidor


Una vez que el servidor DNS ha sido instalado, es el momento de configurar
los siguientes elementos para poder resolver las peticiones de los clientes:
– La relación entre los nombres de los ordenadores de la red de área local
y sus correspondientes direcciones.
– La relación entre las direcciones IP de los ordenadores de la red de área
local y sus correspondientes nombres.
Entonces, ¿no es preciso configurar el servidor DNS para que pueda resolver
los nombres y direcciones de Internet? El servidor DNS es capaz de traducir
estas direcciones sin necesidad de configurar ningún parámetro adicional.
Cuando este servidor recibe una petición de un cliente para resolver un
nombre o una dirección externa, propaga la consulta a otros servidores
DNS externos.
La información de configuración de la red y del hardware de la empresa
ServPubli está detallada en el epígrafe 2.1 de la Unidad 1. Repásala antes
de realizar los siguientes ejemplos y actividades.

Acceso al módulo del servidor de DNS BIND


Para actualizar la lista de servidores disponibles desde Webmin, sigue
estas indicaciones:
1. Abre el navegador web en el servidor y accede a Webmin.
2. Haz clic sobre el enlace Servidores del menú principal de Webmin. Este
menú se halla en el lado izquierdo de la ventana.
3. Puedes observar que, aunque acabas de instalar el servidor DNS, este no
aparece en la lista de servidores disponibles. Haz clic sobre el enlace Re-
fresh Modules (figura 2.16) para que Webmin agregue el servidor DNS en
su menú. Espera unos segundos mientras Webmin busca los módulos
instalados.
4. Ahora ya se puede ver el enlace Servidor de DNS BIND en la sección Servi-
2.16. Refrescar módulos.
dores (figura 2.17).

2.17. Servidores disponibles.


50

Creación de una zona maestra de resolución directa


A continuación vas a crear la zona maestra donde se relacionarán los
nombres de los equipos de las empresas con sus correspondientes direc-
Archivo de declaración de zonas
ciones IP. Para ello sigue estas indicaciones:
locales
/etc/bind/named.conf.local
1. Abre Webmin y accede al enlace Servidor de DNS BIND de la sección Servi-
dores de su menú principal.
2. Haz clic sobre el enlace Crear una nueva zona maestra de la sección Zonas
DNS Existentes (figura 2.18).

Archivo de configuración de la
zona servpubli.com
/var/lib/bind/servpubli.com.hosts

2.18. Módulo del servidor de DNS BIND.

3. Introduce servpubli.com en el campo Nombre de Dominio/Red.


4. Escribe adminservidor@servpubli.com en Dirección de correo.
5. Haz clic sobre el botón Crear.

2.19. Crear zona maestra.


Unidad 2 - Sistema de nombres de dominio (DNS) 51

6. Al crear la zona se abre la ventana Editar Zona Maestra (figura 2.20). Haz
clic sobre el enlace Índice de Módulo.

2.20. Editar zona maestra. 2.21. Aplicar configuración.

7. Haz clic en el enlace Apply Configuration para guardar los cambios; este se
halla en la esquina superior derecha del índice de módulo (figura 2.21).

Creación de una zona maestra de resolución inversa


1. Abre Webmin y accede al enlace Servidor de DNS BIND de la sección Servi-
dores del menú principal.
2. Haz clic en el enlace Crear una nueva zona maestra. Zona de resolución inversa
3. Introduce los datos tal y como aparecen en la figura 2.22, sin olvidar se- Devuelve los nombres de máquina a par-
leccionar la opción Inversas en el control Tipo de zona. tir de su dirección IP.

2.22. Crear una zona inversa.


Archivo de configuración
4. Haz clic en el botón Crear y luego en el enlace Índice de Módulo. El archivo de configuración de la zona
5. Por último, haz clic en Apply Configuration del índice de módulo para 192.168.100 es:
guardar los cambios. /var/lib/bind/192.168.100.rev
52

Creación de un registro de dirección


Ahora vas a añadir un registro de dirección (RR A) a la zona de resolución
directa servpubli.com. Este tipo de registros relacionan el nombre de un
equipo con su correspondiente dirección IP. Webmin añadirá automática-
mente el correspondiente registro PTR en la zona de resolución inversa:
1. Abre Webmin y accede al enlace Servidor de DNS BIND de la sección Ser-
vidores del menú principal de Webmin.
2. En la sección Zonas DNS Existentes se encuentra el enlace correspondiente
a la zona servpubli.com (figura 2.23). Haz clic sobre él.
2.23. Zona servpubli.com. 3. A continuación, haz clic en el icono Dirección (figura 2.24).
4. Una vez has accedido a la ventana Dirección Registro, teclea servidor en el
cuadro de texto Nombre.
5. Escribe la dirección IP del servidor, 192.168.100.1, en el campo de texto
Dirección.
6. Comprueba que se encuentra seleccionada la opción Sí del control ¿Ac-
tualizar inversas?
7. Haz clic sobre el botón Crear.
8. Puedes observar que, al hacer clic en el botón, aparece una lista con
los registros que ya se han añadido. Como este es el primero que
2.24. Registro de dirección.
añades, solo aparece servidor.

2.25. Añadir registros de dirección.

9. Accede al enlace Índice de Módulo.


10. Haz clic en Apply Configuration del índice de módulo para guardar los
cambios.

Actividades propuestas

4·· Consulta la información de configuración de la red y del hardware de la empresa ServPubli que encontrarás
en el epígrafe 2.1 de la Unidad 1 y crea los registros de dirección correspondientes al resto de equipos e im-
presoras. Ten en cuenta que no hace falta que vuelvas al índice de módulo para aplicar la configuración cada
vez que crees un registro, sino que puedes hacerlo de una sola vez cuando hayas introducido todos los regis-
tros.
5·· Crea un registro de dirección que relacione el nombre mail con la dirección IP 192.168.100.1. No olvides
indicar que se actualice la zona de resolución inversa correspondiente.
Unidad 2 - Sistema de nombres de dominio (DNS) 53

Creación de un registro de alias


Un registro de alias (RR CNAME) crea un nombre alternativo para una
dirección DNS.
En el caso de la empresa ServPubli, este tipo de registros permitirá, por
ejemplo, que los clientes puedan acceder al servidor usando tanto su nom-
bre real, servidor.servpubli.com, como un alias que haga referencia a que
es un servidor web, normalmente www.servpubli.com. De esta forma, el
servidor DNS se adapta a las ampliaciones que están planificadas.
Para crear el alias www.servpubli.com del equipo servidor.servpubli.com,
sigue estos pasos:
1. Abre una sesión en el servidor de la empresa.
2. Inicia Webmin y haz clic sobre el enlace Servidor de DNS BIND de la sec-
ción Servidores del menú principal.
3. Accede a la zona servpubli.com.
4. Haz clic sobre el icono Alias de Nombre (figura 2.26).
5. Teclea www en el campo Nombre.
6. Escribe servidor.servpubli.com. en el campo Nombre Real, sin olvidar in-
troducir el punto al final. Este punto sirve para indicar al servidor 2.26. Registro de alias.
DNS que se trata de un nombre absoluto y, por tanto, no debe añadirse
a continuación de este el nombre de la zona.
7. Haz clic sobre el botón Crear.
8. Puedes observar que, al hacer clic en el botón, aparece una lista con
los registros ya añadidos.

2.27. Añadir registros de alias.

9. Accede al enlace Índice de Módulo para volver al menú principal de Ser-


vidor de DNS BIND.
10. Haz clic en Apply Configuration para guardar los cambios.

Actividades propuestas

6·· Crea los alias de servidor para los siguientes servicios:


a) DNS b) DHCP c) FTP d) Proxy
54

Creación de un registro de correo


Los registros de correo (RR MX) permiten hacer referencia al servidor de
correo mediante un nombre. Sigue estas indicaciones:
1. Abre una sesión en el servidor de la empresa.
2. Inicia Webmin en el navegador web y accede al enlace Servidor de DNS
BIND de la sección Servidores del menú principal.
3. Accede a la zona servpubli.com.
4. Haz clic sobre el icono Servidor de Correo (figura 2.28).
5. Una vez has accedido a la ventana Servidor de Correo Registros (figura 2.29),
teclea mail en el cuadro de texto Nombre.
2.28. Registro de correo. 6. Escribe el nombre FQDN del servidor de la empresa en el campo de texto
Servidor de correo, es decir, servidor.servpubli.com.
7. Introduce el valor 10 en el campo Prioridad para, en el caso de tener
más de uno, permitir la selección del servidor de correo a utilizar.
8. Haz clic sobre el botón Crear.
9. Puedes observar que, al hacer clic en el botón, aparece una lista con los
registros que ya se han añadido.

2.29. Añadir registros de correo.

10. Accede al enlace Índice de Módulo.


11. Haz clic en Apply Configuration del índice de módulo para guardar los
cambios.

Arranque del servicio


Desde la instalación y durante todo el proceso de configuración, el servidor
DNS ha estado activo y actualizado cada vez que has aplicado los cambios
de configuración.
Si alguna vez necesitas parar el servicio sin detener todo el sistema, puedes
hacerlo desde el enlace Stop BIND que aparece en la parte superior derecha
de cualquiera de las ventanas de configuración del módulo Servidor de DNS
BIND.
Para volver a lanzar este servicio solo tienes que hacer clic sobre el enlace
Start BIND que ha sustituido al enlace de parada del servidor.
Unidad 2 - Sistema de nombres de dominio (DNS) 55

4.3 > Configuración del cliente


Vas a cambiar la configuración de los clientes para que realicen las con-
sultas al servidor DNS local, de modo que serán capaces de resolver tanto
los nombres y direcciones locales como los de Internet. Datos de acceso
Usuario: admincliente
Configuración del cliente Contraseña: Cli3nt@

Sigue estos pasos para configurar el DNS de un cliente:


1. Arranca el cliente y accede con el usuario admincliente.
2. Haz clic en el Menú de red y elige la opción Editar las conexiones.
3. Accede a la pestaña Cableada, elige Conexión cableada 1 y haz clic en el
botón Editar.
4. Selecciona la pestaña Ajustes de IPv4 y deja los valores como aparecen en
la figura 2.30.
5. Haz clic sobre el botón Guardar y después en Cerrar.

Configuración del servidor como cliente DNS


Para que el equipo servidor sea capaz de resolver los nombres de la red de
la empresa, debe configurarse a sí mismo como su servidor DNS. Como no 2.30. Edición de la conexión de red.

puedes cambiar la información de configuración de red que recibe el ser-


vidor de ServPubli por medio de su servidor DHCP, vas a configurar ma-
nualmente su tarjeta de red externa y otros parámetros con la misma in-
formación que ofrece el servidor DHCP:
1. Abre la aplicación Webmin en el servidor.
2. Accede al módulo Configuración de red de la sección Red del menú.
3. Haz clic sobre el enlace Nombre de máquina y cliente DNS. Archivo de configuración del
4. Añade 0.0.0.0 en el primer lugar de la lista Servidores DNS. cliente DNS
5. Haz clic sobre el botón Salvar para guardar los cambios.
/etc/resolv.conf
6. Ahora haz clic sobre el enlace Ruteo y Gateways.
7. Elige la opción Gateway del control Router por defecto y escribe la dirección
IP del router por defecto por el que estás saliendo ahora. Si no la cono-
ces, puedes consultar la pestaña Active configuration.
8. Haz clic sobre el botón Salvar para guardar los cambios.
9. Accede ahora al enlace Interfaces de red.
10. Haz clic sobre el nombre de la interfaz externa del router, eth0.
11. Activa la opción Static configuration de la sección IPv4 address.
12. Teclea la dirección en el campo Dirección IP. Si no la conoces, consulta
la pestaña Interfaces activas ahora de Interfaces de red.
13. Escribe la máscara en el campo Máscara de Red. Si no la conoces, consulta
la pestaña Interfaces activas ahora de Interfaces de red.
14. Para terminar, haz clic en el botón Salvar y Aplicar.
Resolver en Linux
En los sistemas GNU/Linux existe un con-
junto de procesos, conocido por el tér-
mino en inglés resolver, que se encarga
de hacer las peticiones al servidor DNS.
Resolver forma parte del sistema, por
2.31. Configuración de red.
lo que no hace falta instalarlo.
56

4.4 > Comprobaciones


Las comprobaciones del DNS se realizan en el cliente y en el servidor.

Proceso del servidor DNS Verificación del estado del servicio

/usr/sbin/named Sigue estos pasos para asegurarte de que se está ejecutando el servidor:
1. Abre Webmin en el navegador web del servidor.
2. Despliega el menú Otros y haz clic sobre el enlace Estado de Sistema y de
Servidor.
3. Localiza el servicio BIND DNS Server y comprueba que, a su derecha, hay
un símbolo de color verde que indica que funciona correctamente.

2.32. Estado del sistema y del servidor.

Verificación de la resolución directa


Para comprobar la resolución de nombres, sigue estas indicaciones:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre el botón Inicio y teclea Herramientas de red (figura 2.33).
Luego pulsa la tecla <Intro>.
3. En la ventana que aparece, selecciona la pestaña Lookup (figura 2.34).
4. Escribe servidor.servpubli.com en el cuadro Dirección de red.
5. Haz clic en el botón Lookup y comprueba la dirección IP.
2.33. Ejecutar herramientas de red.

2.34. Lookup.

Verificación de la resolución inversa


Para comprobar la resolución de direcciones IP, sigue los mismos pasos
que en el apartado anterior, con una excepción: esta vez debes escribir
192.168.100.1 en el cuadro Dirección de red.
Unidad 2 - Sistema de nombres de dominio (DNS) 57

5 >> DNS en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la primera tarea que debéis realizar es la implantación de un servicio de
Para saber más
resolución de nombres.
Puedes obtener soporte técnico de Mi-
La empresa os ha dicho que sus trabajadores tienen dificultades cuando crosoft para el servicio DNS en la si-
desean acceder desde sus puestos de trabajo a los distintos equipos de la guiente URL:
red interna mediante direcciones IP. Los empleados utilizan los ordenadores
con un nivel de usuario y tanto memorizar las direcciones como relacio-
narlas con los servicios que ofrecen los equipos a los que quieren acceder
no les resultan tareas fáciles ni cómodas.
Después de estudiar la red, el trabajo que desarrollan los empleados y la
perspectiva de crecimiento, proponéis a la empresa que, además de usar
el servicio DNS para acceder a Internet, también se utilice para acceder a http://xurl.es/dns_ms
la red de área local. Para defender esta propuesta, presentáis los siguientes
argumentos:
– El empleado recuerda mejor un nombre de equipo que su dirección IP.
– La administración de la base de datos que relaciona los nombres de
equipo con sus correspondientes IP se lleva a cabo de manera centra-
lizada.
– Como el DNS tiene una estructura jerárquica, en el caso de que la em-
presa crezca, se adaptaría muy bien a las nuevas necesidades.
– Cuando se cambie la IP de algún equipo en la red de la empresa, los em-
pleados seguirán accediendo a este con el mismo nombre.
– El servidor DNS ya viene incluido, de manera predeterminada, en Win-
dows Server 2008. El servicio en Windows cumple los estándares espe-
cificados en el conjunto de RFC aprobadas y publicadas por el Internet
Engineering Task Force (IETF) y otros grupos de trabajo.

DNS

Servidor Cliente
DNS DNS

2.35. Infraestructura DNS en Windows Server 2008.

Antes de empezar a trabajar con el servidor DNS debéis estudiar los requi-
sitos y la información que os ha proporcionado ConRecuerdos.org:
– Los nombres que los equipos tienen actualmente deben mantenerse
para que el proceso sea lo más transparente posible.
– En el caso de que sea necesario incluir nuevos equipos, el nombre debe
hacer referencia a la naturaleza del equipo.
– El sistema debe diseñarse para que pueda adaptarse a posibles amplia-
ciones de la empresa.
– Se usará el dominio conrecuerdos.org del que ya dispone la empresa.
58

5.1 > Instalación del servidor


Para instalar el servidor DNS, sigue estas indicaciones:

Recuerda 1. Haz clic en el botón Inicio y selecciona la opción Administrador del servidor.
En la nueva ventana que aparece (figura 2.36), pincha la opción Agregar
Los datos para acceder como usuario
funciones, que se encuentra en el bloque Resumen de funciones de la parte
administrador son:
derecha de la ventana.
– Usuario: adminservidor
2. A continuación aparece el Asistente para agregar funciones. La primera
– Contraseña: S3rvid@r
ventana informa sobre las comprobaciones previas que debes realizar
para instalar correctamente cualquier tarea en el servidor. Léelas aten-
tamente y haz clic sobre el botón Siguiente.
3. En la ventana Seleccionar funciones de servidor (figura 2.37), marca la casilla
de verificación Servidor DNS y pincha Siguiente.

2.36. Ventana Administrador del servidor. 2.37. Seleccionar funciones de servidor.

4. La ventana Servidor DNS comenta algunas características que se deben


tener en cuenta antes de instalar el DNS. Una vez leída y entendida
dicha información, haz clic en Siguiente.
5. Para iniciar la instalación, pincha el botón Instalar.
6. Transcurridos unos minutos, la instalación del servidor DNS habrá
terminado. Si la instalación se ha realizado correctamente, finaliza
haciendo clic en Cerrar.

Editor del registro


La información del servicio DNS en el
editor del registro se encuentra en la
siguiente clave:
HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\DNS

2.38. Resultados de la instalación.


Unidad 2 - Sistema de nombres de dominio (DNS) 59

5.2 > Configuración del servidor


Creación de una zona de búsqueda directa
La zona de búsqueda directa sirve para relacionar los nombres de los equi-
pos con sus direcciones IP. En el caso de que el servidor se encuentre en
un dominio de Active Directory, este tipo de zona se crea automáticamente
al realizar la instalación del servicio DNS.

Creación de una zona de búsqueda inversa


Vas a configurar una zona inversa, que se utiliza para traducir direcciones Administrador de DNS
IP a nombres. Para ello sigue estos pasos:
Una vez instalado el servicio DNS, pue-
1. Abre la ventana Administrador de DNS. des administrarlo yendo a la ruta:
2. Haz clic con el botón secundario del ratón en la opción Zonas de búsqueda Inicio / Herramientas administrativas /
inversa que se encuentra en DNS / SERVIDOR. En el menú contextual que DNS
aparece, selecciona Zona nueva (fi-
gura 2.39).
3. Se inicia entonces el Asistente para
crear zona nueva. Haz clic en Si-
guiente. En la ventana Tipo de zona
(figura 2.40), selecciona la opción
Zona principal y pincha Siguiente.
4. En la ventana Ámbito de replica-
ción de zona de Active Directory (fi-
gura 2.41), elige la opción Para
todos los servidores DNS en este do-
minio: ConRecuerdos.org y haz clic
2.39. Opción Zona nueva…
en Siguiente.

2.40. Ventana Tipo de zona. 2.41. Ventana Ámbito de replicación.

5. En la ventana Nombre de la zona de búsqueda inversa, deja seleccionada la


opción Zona de búsqueda inversa para IPv4. A continuación, haz clic sobre
el botón Siguiente.
6. Escribe el Id. de red (figura 2.42), es decir 192.168.100, y haz clic en Si-
guiente.
60

7. En la ventana Actualización dinámica (figura 2.43) deja seleccionado Permitir


solo actualizaciones dinámicas seguras y haz clic en Siguiente.

2.42. Nombre de la zona de búsqueda inversa (II). 2.43. Actualización dinámica.

8. La última ventana muestra un resumen. Haz clic en el botón Finalizar.

Creación de un registro de recurso de dirección (RR A)


Ahora añadirás un RR A para la zona de búsqueda directa, que relaciona el
nombre de un equipo con su correspondiente dirección IP. También puedes
añadir el PTR asociado en la zona de búsqueda inversa. Sigue estos pasos:
1. Abre el Administrador de DNS.
2. Haz clic con el botón secundario en la zona ConRecuerdos.org situada en
DNS / SERVIDOR / Zonas de búsqueda directa, y selecciona Host nuevo (A o AAAA).

2.44. Opción Host nuevo (A o AAAA).

3. A continuación aparece el cuadro de diálogo Host nuevo. Rellena los


2.45. Host nuevo.
campos como se muestra en la figura 2.45 y haz clic en Agregar host.

Actividades propuestas

7·· Crea los RR A correspondientes al resto de equipos e impresoras, según se indica en la Unidad 1.
Unidad 2 - Sistema de nombres de dominio (DNS) 61

Creación de un registro de recurso de alias (RR CNAME)


Vas a añadir un alias nuevo para la zona directa siguiendo estos pasos:
1. Abre el Administrador de DNS.
Consejo
2. Pincha el botón secundario en la zona ConRecuerdos.org, que se encuentra
en DNS / SERVIDOR / Zonas de búsqueda directa. En la ventana de contexto Si ya tienes abierto el administrador de
que aparece, selecciona Alias nuevo (CNAME). DNS, puedes crear los otros tipos de re-
gistros de recursos (CNAME y MX) con
un clic del botón secundario sobre la
zona de búsqueda directa.

2.46. Opción Alias nuevo (CNAME)...

3. Aparece el cuadro de diálogo Nuevo registro de recursos. Rellena los campos


como se muestra en la figura 2.47 y haz clic en Aceptar.

Creación de un registro de recurso de correo (RR MX)


2.47. Alias (CNAME).
Ahora vas a añadir el registro de recurso de tipo MX, que permite utilizar un
nombre que haga referencia al servidor de correo. Para ello sigue estos pasos:
1. Abre el Administrador de DNS.
2. Haz clic con el botón derecho del ratón en la zona ConRecuerdos.org que
se encuentra en DNS / SERVIDOR / Zonas de búsqueda directa. En el menú
contextual que aparece, selecciona Nuevo intercambio de correo (MX).

2.49. Agente de intercambio de correo


2.48. Opción Nuevo intercambio de correo (MX). (MX).

3. Aparece el cuadro de diálogo Nuevo registro de recursos. Rellena los campos


como se muestra en la figura 2.49 y haz clic en Aceptar.

Actividades propuestas

8·· Crea un RR CNAME para los servicios DNS, DHCP, FTP y Proxy.
62

5.3 > Configuración del cliente


Para configurar el servicio DNS en el cliente debes seguir estos pasos:

Datos de acceso 1. Ve a Inicio / Panel de control / Redes e Internet / Centro de redes y recursos com-
partidos y haz clic en Conexión de área local.
Usuario: admincliente
2. Pincha el botón Propiedades.
Contraseña: Cli3nt@ 3. En la ventana Propiedades de Conexión de área local haz doble clic sobre la
opción Protocolo de Internet versión 4 (TCP/IPv4).

2.50. Propiedades del protocolo TCP/IPv4.

2.51. Ruta de Propiedades de Conexión de área local.


Estado del servicio DNS
El servicio DNS tiene tres posibles esta- 4. Ahora indica la IP del servidor DNS en el cuadro de texto Servidor DNS
dos de inicio: preferido (figura 2.50), es decir, escribe la dirección 192.168.100.1.
– Automático: está iniciado y se iniciará
cada vez que arranca el ordenador.
5.4 > Comprobación del servicio
– Manual: está detenido y se debe iniciar Se deben realizar comprobaciones tanto en el servidor como en el cliente.
manualmente. En el servidor se verifica el estado del proceso y en el cliente se confirma
– Deshabilitado: está detenido y no se que pueda resolver nombres de equipos.
puede iniciar de ningún modo.
Verificación del estado del servicio
Para comprobar el estado del servicio DNS, haz lo siguiente:
1. Sigue la ruta Inicio / Herramientas ad-
ministrativas y haz clic en Servicios.
2. En la ventana que aparece (figura
2.52), busca el servicio Servidor DNS.
Una vez encontrado, si el campo
Estado tiene el valor Iniciado y en
Tipo de inicio aparece Automático, sig-
nifica que el servicio DNS está en
funcionamiento y que se iniciará
automáticamente cada vez que
2.52. Sección Servicios.
arranque el equipo servidor.
Unidad 2 - Sistema de nombres de dominio (DNS) 63

Verificación de la resolución directa


Para comprobar si la resolución directa de los equipos que se encuentran en
la zona del servidor DNS funciona correctamente, sigue estas indicaciones:
1. Abre el programa Símbolo del sistema, que se encuentra en Inicio / Todos los
programas / Accesorios.
2. Escribe y ejecuta el comando nslookup servidor.conrecuerdos.org.
Si la resolución es correcta, aparecen las dos IP del servidor (figura 2.53).
2.53. nslookup por nombre.

Verificación de la resolución inversa


También puedes comprobar el funcionamiento correcto de la resolución
inversa. Para ello, sigue estas indicaciones:
1. Abre el programa Símbolo del sistema que se encuentra en Inicio / Todos los
programas / Accesorios.
2. Escribe y ejecuta el comando nslookup 192.168.100.1.
Si la resolución es correcta, aparece el nombre del servidor (figura 2.54).

Visualización de los registros


Para ver la lista con todos los registros de recursos creados en las zonas del
servidor DNS, sigue estas indicaciones:
1. Abre el servicio DNS.
2.54. nslookup por IP.
2. Si deseas ver los registros de la zona de búsqueda directa, haz clic en la
opción ConRecuerdos.org, que se encuentra en DNS / SERVIDOR / Zonas de
búsqueda directa.

2.55. Registros de recursos de la zona de búsqueda directa.

3. También puedes ver los registros de la zona de búsqueda inversa. Para


ello, haz clic en 100.168.192.in-addr.arpa de Zonas de búsqueda inversa.

2.56. Registros de recursos de la zona de búsqueda inversa.


64

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Qué capa del modelo TCP/IP ocupa el servicio DNS?
2·· Explica mediante un ejemplo el modelo jerárquico que utiliza el servicio DNS.
3·· ¿Cuál es la diferencia entre un dominio uTLD y un dominio sTLD?
4·· Busca la página web de las instituciones ICANN e
IANA. Explica con tus palabras cuál es su función.
5·· Busca en Internet tres ejemplos de dominios del tipo: raíz

a) sTLD b) ccTLD c) IDN es


arpa
6·· Nombra las tres razones por las cuales se produce
in-addr gva
una transferencia de zona.
7·· ¿Cuál es el servidor que permite dar de alta y de ba- 0 1 175 255 Smigol
ja los nombres de dominio y mantiene los datos origina-
les de una zona completa? 0 1 55 255
8·· ¿Cuál es la función más importante de un resolver?
0 1 10 255
9·· Explica con tus palabras cómo funciona un servidor
caché.
0 1 25 255
10·· ¿Qué muestra la figura 2.57? ¿A qué tipo de resolu-
ción de nombres se refiere? ¿Cuál sería la dirección IP
para la máquina Smigol? 2.57. Actividad final número 10.

.: APLICACIÓN :.
1·· La academia AulaEasy quiere ofrecer sus servicios en Internet y te consulta si es posible registrar el dominio
aulaeasy.edu. ¿Qué pasos debería dar y cuánto le costaría? Debes comprobar la disponibilidad del dominio. En el caso
de que no estuviera libre, tendrías que ofrecerle otra alternativa e indicarle los pasos a seguir para registrarlo.
2·· Enciende la máquina virtual del servidor GNU/Linux y del cliente Windows. Configura el cliente para que pueda
hacer uso del servicio DNS. Comprueba este servicio tal y como lo has hecho en el epígrafe 5.4.
3·· Realiza la misma operación que en la actividad anterior. Esta vez la función de servidor la llevará a cabo Windows
y la de cliente, GNU/Linux. Comprueba el servicio siguiendo los pasos del epígrafe 4.4.
4·· Vamos a realizar una captura de los mensajes o paquetes DNS que se envían por red al realizar una visita a una
página web. Sigue estos pasos para preparar dicha captura:
1. Abre la aplicación Wireshark en un cliente e inicia la operación de captura de paquetes.
2. Abre el navegador y accede a www.google.com.
3. Realiza una búsqueda.
4. Acaba la sesión y cierra la conexión.
5. Detén la captura de mensajes.
Ahora busca los mensajes DNS y responde a las siguientes cuestiones:
a) ¿Son enviados mediante TCP o UDP?
b) ¿Cuál es el puerto destino para el mensaje de petición DNS?
c) ¿Cuál es el puerto origen en las respuestas DNS?
d) Indica la dirección IP del servidor DNS.
Unidad 2 - Sistema de nombres de dominio (DNS) 65

Caso final 1

DNS en redes pequeñas


·· Vuestro cliente, la empresa AulaEasy, tiene una conexión a Internet de banda ancha con dirección IP diná-
mica suministrada por un operador. Cada vez que se produce un corte de línea o se reinicia el router, este re-
cibe una dirección IP distinta a la anterior en el interfaz externo.
No poder saber qué dirección IP posee el router genera algunos problemas a la hora de acceder a la empresa
desde Internet, como, por ejemplo, no poder acceder al router para controlarlo remotamente.
Por estas razones la empresa os consulta sobre la posibilidad de adquirir una dirección IP fija. Las direcciones
IP fijas son un recurso limitado y regulado por el instituto RIPE (Réseaux IP Européens), por lo que «se
recomienda que se utilicen técnicas que economicen el uso de IP fijas, si no son realmente necesarias, debido
a su elevado coste».
Aprovechando que la empresa posee un router SOHO que puede conectarse de manera automática a un
proveedor de DNS dinámico, le proponéis esta posibilidad.

Solución ·· Para realizar lo que se pide, sigue los siguientes pasos:


1. Comprueba qué proveedores de DNS dinámico soporta el router de la empresa. Para ello, conéctate al
router mediante un navegador web introduciendo la dirección IP 192.168.100.1.
2. Introduce el usuario y la contraseña cuando sea necesario.
3. Abre la pestaña Configuración y, dentro de ella, la pestaña DDNS.

2.58. Configuración del DDNS en un router SOHO.

4. Desplegando la lista del menú Servicio DDNS, verás todos los proveedores que soporta el router. En este caso,
escoge freedns.afraid.org. La razón principal es que este proveedor ofrece un servicio gratuito de DDNS.
66

Para poder continuar, debes darte de alta en el proveedor:


1. En una nueva pestaña del navegador introduce la dirección web freedns.afraid.org.
2. En el final de la página pincha Sign Up (figura 2.59).
3. Una vez marcada la opción, aparece el cuadro de diálogo que te permite darte de alta.
4. Cuando están introducidos todos los campos de manera correcta, el proveedor te envía un correo de confir-
mación a la cuenta especificada. Para activar el servicio, una vez accedes al correo, debes hacer clic sobre
el enlace que te proporciona (correo de activación).

2.59. Sign Up y cuadro de diálogo.

5. A continuación aparece la página del proveedor, donde puedes crear un subdominio.


6. Haz clic en el enlace Add a subdomain y rellena los campos adecuadamente. Pincha el botón Save.

2.60. Add a new subdomain y correo de activación.


Unidad 2 - Sistema de nombres de dominio (DNS) 67

7. Marca la opción Dynamic DNS del menú For Members situado en el lateral derecho (figura 2.61).
8. Se abrirá entonces la pantalla con la información del servicio y los subdominios que tienes disponibles
(figura 2.62).

2.61. Menú For Members. 2.62. DNS Resources.

Solo te falta configurar el router:


1. Vuelve a acceder al router y dirígete a la pestaña DDNS.
2. Rellena los campos del proveedor del servicio:
– Nombre Usuario: será el usuario con el que te has dado de alta en el proveedor.
– Clave: será la contraseña establecida.
– Host Name: será el nombre de tu router.

2.63. Configuración DDNS.

3. Aplica y graba la configuración pinchando los botones Aplicar y Grabar Config.


4. Queda tan solo comprobar el servicio. Puedes hacerlo tal y como se ha indicado en el epígrafe 5.4 de la
Unidad.
A partir de ahora, cuando el proveedor de Internet actualice la dirección IP del router de la empresa, este
último enviará los datos al proveedor de servicio de DNS dinámico.
68

Ideas clave

PROTOCOLO DNS

Implementa Implementa

Servidor Cliente

Resuelve Solicita

Búsqueda

Asocia

Nombre DNS Dirección IP


Unidad 2 - Sistema de nombres de dominio (DNS) REVISTA DE INFORMÁTICA

ODDNS el sistema DNS desc


evita la desconexió
entralizado que
n de sitios web

de
stem a de re so lu ción de nombres
El si la ca-
bón más débil de
dominio es el esla sitios
qu e un e a lo s usuarios con los
dena Sinde-
yes como SOPA o
web que visitan. Le eb
ej er ce rán la de sc onexión de sitios w ción, actualizan su información
Wert res de desde
S de los proveedo estos servidores raíz. Al depender
alterando los DN NS, de ser-
rn et . Co m o al te rnativa nace ODD vidores centralizados, resulta muy
Inte ribuido sencillo
solución P2P dist alterar o bloquear la respuesta a
un sistema de re de las peti-
ie re in de pe nd izar los nombres ciones de resolución de algunos dom
que qu inios.
N. Un ejemplo es lo ocurrido con el dom
dominio de ICAN inio
megaupload.com, actualmente
tierra secues-
nace en Francia, la trado por el FBI, o el futuro sistem
La idea de ODDNS s- a con-
s tr es av is os y la vigilancia de las de templado por la ley Sinde, que ord
de lo entado enará a
olladores han pres los proveedores de Internet que blo
cargas. Sus desarr an queen
ve rs ión pr elim in ar de lo que asegur el acceso a los sitios que consid
una iva al ere que
se en una alternat violan los derechos de autor.
pretende convertir rac-
em a D N S ac tu al . Sus principales ca
sist scen-
el servicio está de El código de ODDNS, aunque ya es
terísticas son que ac- funcio-
iz ad o y la in fo rm ación se mantiene nal, todavía está en una fase bet
tral s a la a muy
los nodos gracia temprana, pero sirve de prueba
tualizada entre de con-
P. cepto sobre la viabilidad de la ide
comunicación P2 a. En un
primer momento convivirá con el
rvi- DNS ac-
st em a D N S ac tu al se basa en 13 se tual, aunque aspira a sustituirlo por
El si nismo com-
nados por el orga pleto en caso de ser adoptado de
dores raíz gestio servi- forma
rt ea m er ic an o ICANN. El resto de suficiente.
no n a dis-
que los ISP pone
dores, como los vega-
si ci ón de su s clientes para la na Fuente: bandaancha.eu
po
3
u n i d a d

Servicio de
configuración
dinámica de
sistemas (DHCP)
SUMARIO
I El servicio de configuración dinámica (DHCP)
I DHCP en sistemas GNU/Linux
I DHCP en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso del servicio
de configuración dinámica (DHCP).
·· Mostrar la estructura básica del
funcionamiento del protocolo DHCP.
·· Instalar y configurar un servidor DHCP.
·· Habilitar el uso de este servicio en un
cliente DHCP.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de este servicio.
·· Aplicar todas estas operaciones en
sistemas GNU/Linux y Windows.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 71

1 >> Configuración dinámica de equipos


1.1 > ¿Qué es DHCP?
DHCP es un protocolo que transmite a un equipo la información necesaria
para que este pueda conectarse a una red del tipo TCP/IP. Aplicación DHCP

DHCP significa protocolo de configuración dinámica de equipos (del inglés Transporte


Dynamic Host Configuration Protocol). Utiliza el modelo cliente-servidor,
donde el servidor DHCP debe asignar a los clientes que lo soliciten direc- Red

ciones de red, junto con los parámetros necesarios para ser configurados Enlace
de forma automática y que puedan acceder a la red TCP/IP.
Físico
DHCP está formado por dos elementos:
– Un protocolo encargado de que un servidor DHCP logre entregar la con- 3.1. DHCP en el modelo TCP/IP.
figuración de red requerida por un equipo cliente.
– Un mecanismo de asignación de direcciones de red a equipos.
DHCP se basa en la utilización del primitivo protocolo BOOTP (Bootstrap
Protocol). Este protocolo permite a los equipos sin disco obtener una direc-
ción IP antes de cargar un sistema operativo.

1.2 > Ventajas del servicio DHCP


¿Es imprescindible que exista un servidor DHCP en la red?
No es imprescindible, ya que un equipo puede configurarse manualmente
Niveles modelo TCP/IP
para que se conecte a una red sin necesidad de utilizar este servicio. Esto Protocolo de transporte y
ocurre en oficinas con muy pocos puestos y que no se intercambian o sus- puerto de escucha
tituyen con frecuencia.
Aplicación Transporte
Sin embargo, una organización que disponga de miles de equipos, o bien
que sustituya o reubique su hardware asiduamente y que utilice medios UDP (67) Servidor
DHCP
automáticos de restauración de copias de seguridad, deberá invertir mucho UDP (68) Cliente
tiempo en configurarlos de forma adecuada si lo hace manualmente.
A continuación, se muestra una tabla donde se contrastan las diferencias
entre ambos modos de actuación:

Comparativa entre disponer o carecer del servicio DHCP

Configuración automática Configuración manual


(con DHCP) (sin DHCP)

Envío automático de la información


Introducción manual de la
de red que necesita cada cliente
configuración de red.
para conectarse.

Configuración segura y libre Al ser manual, pueden introducirse


de errores. direcciones IP no válidas.

Los cambios de ubicación


Configuración de cliente de red
o hardware implican mayor carga
centralizada.
de trabajo de administración.

No habrá respuesta a las peticiones


Compatibilidad con clientes BOOTP.
BOOTP.
72

Modos de asignación de direcciones IP


El servicio DHCP cuenta con tres formas de asignación de direcciones IP:
– Asignación automática e ilimitada: el servidor ofrecerá una dirección
IP de manera permanente. Es una buena opción para entornos SOHO
donde no existen muchos clientes.
– Asignación dinámica y limitada: se asigna una dirección IP durante
un intervalo de tiempo limitado. Cada vez que el cliente solicite su con-
figuración al servidor dentro de ese período, este le devolverá la misma
dirección IP. Transcurrido ese tiempo el servidor podrá ampliar el plazo
con la misma dirección o asignar una nueva.
Vocabulario
– Asignación estática con reserva: la asignación de la IP la realiza el ad-
Dirección MAC o hardware: identi- ministrador de la red y requiere más tiempo de configuración, dado
ficador único de la tarjeta de red. El que cada dirección IP siempre se «reserva» para un único cliente. Para
fabricante la establece en cada tarjeta ello, utiliza el par (dirección IP, dirección MAC), de forma que siempre
de forma que, en todo el mundo, no asigna la misma IP que va asociada a la dirección MAC del cliente que
existen dos tarjetas de red con la misma la solicita. La ventaja estriba en que se asegura que solo los clientes
dirección MAC. identificados pueden recibir una dirección IP.

1.3 > Necesidades de configuración


¿Qué solicita el equipo cliente?
Cuando un dispositivo desea conectarse a una red de tipo TCP/IP y salida a
Internet, deberá estar configurado, al menos, con la información indicada
a continuación:
1. Dirección IP que actúe como identificador (o matrícula) y le permita
ser reconocido unívocamente en Internet o en una intranet.
Sabías que…
2. Máscara de subred, para conocer la parte de la dirección IP que describe
La RFC que documenta actualmente el la red o subred donde se halla el equipo y la otra parte que sirve para
protocolo DHCP es la número 2131. Para
identificarlo.
acceder a ella sigue este enlace:
3. Dirección IP de la puerta de enlace, o pasarela usada por defecto, que
se corresponde con un router que permitirá enrutar el tráfico a Internet
o a otras partes de la red.
4. Direcciones IP de los servidores DNS, encargados de «resolver» o tra-
ducir los nombres de dominio usados en Internet en su correspondiente
dirección IP. Así se evita que el usuario deba conocer las direcciones IP
de los equipos a los que desea acceder.
http://xurl.es/rfc_2131
Además se puede incluir la dirección IP de uno o varios servidores WINS
encargados de resolver recursos de red para clientes que ejecutan versiones
antiguas del sistema operativo Windows de Microsoft.

¿Qué ofrece el servidor?


El protocolo DHCP ofrece los siguientes parámetros:
– Dirección IP del cliente.
– Máscara de subred.
– Puerta de enlace o pasarela.
– Direcciones de los servidores DNS.
– Nombre o sufijo del dominio DNS.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 73

Rangos, reservas, concesiones y exclusiones


Un rango de direcciones es un conjunto ordenado de direcciones IP con-
secutivas, definido por la primera y la última del rango y que incluye am-
Importante
bas. Por ejemplo, la definición de un rango de 51 equipos sería la siguiente:
desde 10.0.0.150 hasta 10.0.0.200. El servidor DHCP debe tener una IP fija,
al igual que los servidores DNS y las
Cuando un rango se configura en el servidor DHCP, se especifica el número puertas de enlace. Si se reservan esas
de direcciones IP que el servidor puede conceder a los clientes y, por tanto, direcciones y se excluyen de los rangos
el número máximo de clientes a los que puede dar servicio. de asignación de direcciones IP del ser-
vidor, se evitarán problemas en la red.
Además, una reserva permite asignar direcciones IP de forma fija a través
de la dirección MAC o dirección física de la tarjeta de red.
Lease o concesión es la asignación de una dirección IP durante un intervalo
de tiempo, es decir, se establece una especie de pacto o contrato que de-
termina que el servidor ofrece una IP válida al cliente hasta que venza un
determinado plazo de tiempo.
Por exclusión se entiende la dirección o rango IP que no puede conceder
un servidor DHCP. Por ejemplo, si se excluye el rango 10.0.0.8-10.0.0.10,
la única forma de que un equipo pueda obtener una de esas tres direcciones
es a través de su configuración manual o estática.

1.4 > Funcionamiento del protocolo DHCP


Desde el punto de vista del cliente, DHCP es una extensión del método de
trabajo del protocolo BOOTP.
Su comportamiento permite a los clientes de BOOTP comunicarse con los
servidores DHCP sin necesidad de modificar el software de inicialización
de los clientes.
Existen dos diferencias básicas entre DHCP y BOOTP:
– DHCP define la forma en la que se asignan las direcciones IP a los
clientes por un tiempo de concesión finito, cosa que permite la reasig-
nación de direcciones de red a diferentes clientes.
– DHCP proporciona todos los parámetros de configuración que necesita
un cliente para conectarse a Internet.
Mediante el envío de diferentes tipos de mensajes, DHCP se encarga de es-
tablecer los pasos necesarios y el orden adecuado para que un cliente ob-
tenga una configuración de red válida. Esto lo hace a través de la capa de
transporte del modelo OSI.
Para ello, los mensajes que utiliza este protocolo son del tipo UDP. De esta
forma, se consigue agilizar el intercambio de mensajes en la red y se evita
el retardo introducido por la gestión de conexiones y desconexiones que se
habrían derivado del empleo del protocolo TCP. Así, el cliente envía las pe-
ticiones por el puerto 68 y el servidor remite su respuesta por el puerto 67.
De este modo el cliente enviará por difusión una petición de dirección IP
a los posibles servidores que se encuentren a la escucha en la red. A su
vez, estos remitirán su respuesta utilizando como medio un paquete que
contenga una IP válida.
74

Estructura del protocolo


El modo de funcionamiento más sencillo para un cliente que no dispone
de dirección IP se denomina ciclo básico DHCP y consta de cuatro mensajes
que se detallan a continuación:
– Primero: el cliente emite un mensaje DHCP DISCOVER por difusión
para poder descubrir si existe algún servidor DHCP a la escucha en la
subred. En él podría incluir su dirección MAC y el tiempo de concesión
requerido.
– Segundo: los servidores DHCP activos envían un mensaje DHCP OFFER,
donde ofrecen una configuración IP al cliente, es decir, una dirección
libre.
– Tercero: el cliente manda por difusión la primera oferta aceptada a todos
los servidores DHCP. Esto lo hace a través de un mensaje por difusión
DHCP REQUEST que debe incluir
el identificador del servidor ele-
gido y la dirección IP ofrecida. Así,
se declinan las demás ofertas.
– Cuarto: el servidor seleccionado
Cliente Servidor
indica que se acepta la petición
solicitada enviando un mensaje
1. Crea mensaje
DHCP DISCOVER
Broadcast DHCP ACKNOWLEDGE. Esta
2. Procesa mensaje trama contiene la dirección MAC
DHCP DISCOVER
del cliente, la dirección IP, la más-
3. Envía mensaje cara de subred, el periodo de va-
4. Procesa mensaje Unicast DHCP OFFER lidez de la dirección asignada y la
DHCP OFFER y elige
un servidor
dirección IP del servidor. Cuando
el cliente reciba esta trama, com-
Ciclo básico

5. Envía mensaje
probará, a través del protocolo
Broadcast 6. Procesa mensaje
DHCP REQUEST ARP, que su dirección no está re-
DHCP REQUEST
petida y que queda correctamente
configurado. En caso de que la IP
7. Envía mensaje estuviera repetida en la red, el
Unicast DHCP ACK
8. Procesa mensaje
cliente debe enviar un mensaje
DHCP ACK; el cliente
queda configurado DHCP DECLINE al servidor y rei-
niciar el proceso de configuración
Renovación cuando reciba de este un mensaje
DHCP NACKNOWLEDGE.
9. Un 50% antes de Unicast
10. Procesa mensaje Cómo actualizar
expirar su concesión,
DHCP REQUEST la configuración de red
envía mensaje
DHCP REQUEST
11. Envía mensaje Para poder gestionar la reasignación
Renovación

DHCP ACK
de direcciones IP a los clientes, el
st
Unica servidor debe mantener una tabla
12. Procesa mensaje
DHCP ACK; el cliente con todas las asignaciones realizadas
queda renovado
que siguen en vigor, ya sea por
tiempo (renovándolas sucesiva-
mente) o porque se mantengan acti-
vas. El proceso de renovación puede
3.2. Ciclo básico DHCP junto al proceso de renovación.
observarse al final de la figura 3.2.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 75

Para completar el proceso de asignación de direcciones IP, el cliente deberá


solicitar una ampliación del plazo de configuración válido.
ARP
Antes de que haya terminado el periodo de validez de la dirección IP, ge-
Son las siglas en inglés de Address Reso-
neralmente el 50% del tiempo asignado, el cliente ha de remitir un mensaje
lution Protocol, protocolo de resolución
DHCP REQUEST únicamente al servidor DHCP, que solicita la renovación de direcciones. Permite averiguar la di-
del plazo pero mantiene los valores asignados. rección MAC correspondiente a una de-
Por otro lado, un cliente debe disponer de un mecanismo que le permita terminada dirección IP.

dar por terminada la concesión que estaba vigente hasta ese momento.
Para ello deberá liberar su IP mediante el envío de un mensaje DHCP
RELEASE al servidor para que elimine el registro de la cesión efectuada y
pueda volver a ofrecerla.

Tipos de mensajes
El siguiente cuadro muestra los mensajes que puede enviar un cliente:

Tipos de mensajes que puede enviar un cliente DHCP


Tipo de mensaje Explicación Fases de negociación
En la página 34 de la RFC 2131, existe
Un cliente envía este mensaje por difusión para
DHCP DISCOVER una figura que describe mediante un
localizar servidores DHCP en la red.
diagrama las fases de negociación den-
Mensaje enviado por un cliente a un servidor para: tro del protocolo y cómo el cliente envía
– Requerir parámetros ya enviados por un servidor y recibe los diferentes tipos de mensajes
DHCP y declinar ofertas del resto. a partir del estado inicial INIT.
DHCP REQUEST – Confirmar la dirección válida, por ejemplo tras
reiniciar la máquina.
– Renovar el tiempo de validez de una dirección IP
en particular.
Un cliente hace saber a un servidor que la IP ya está
DHCP DECLINE
en uso.

Un cliente comunica al servidor que deja de usar la


DHCP RELEASE
dirección IP y cancela su concesión.

Un cliente que ya cuenta con una dirección IP solicita


del servidor los parámetros de su configuración local.
DHCP INFORM
Esta petición se hace una vez que el cliente ya ha sido
configurado.

El siguiente cuadro muestra los mensajes que puede enviar un servidor:

Tipos de mensajes que puede enviar un servidor DHCP


Tipo de mensaje Explicación Sabías que…
Un cliente no configurado con DHCP
Un servidor ofrece unos parámetros de configuración
DHCP OFFER en respuesta a la petición DHCP DISCOVER efectuada pero con una IP válida puede utilizar el
por un cliente. mensaje DHCP INFORM por difusión o
unicast para obtener información sobre
DHCP Un servidor remite los parámetros de configuración de los parámetros de red.
ACKNOWLEDGE red incluyendo la dirección IP.

Un servidor comunica al cliente que la dirección IP no es


DHCP
válida, ya sea porque este último ha cambiado de subred
NACKNOWLEDGE
o porque ha expirado el período válido de concesión.
76

Servidor autorizado
Es recomendable que no haya más de un servidor DHCP en la misma red,
puesto que todos intentarán ofrecer sus direcciones IP al cliente.
Sin embargo, hay veces que por error se incluye en la red un dispositivo,
por ejemplo un punto de acceso inalámbrico, que lleva incluido en su
firmware un servidor DHCP. Entonces, a los pocos segundos de encenderse,
este se activará de forma automática e inmediatamente después empezará
a servir direcciones incorrectas a los clientes que estén en la subred.
Para evitar este problema se creó el servidor DHCP autorizado (autoritative
en inglés), es decir, de confianza. Este, cuando hay dos o más servidores,
se encarga de ofrecer las direcciones IP y, en caso de que algún cliente
tenga una IP no válida en la subred, procederá a enviarle un mensaje
DHCP NACKNOWLEDGE para que deje de utilizarla.
A pesar de esto, si el nuevo servidor DHCP también está configurado como
autorizado, no será posible priorizar.

1.5 > Configuración dinámica sin servidor DHCP


Puede ocurrir que, de forma imprevista, un switch se bloquee y haga im-
posible el acceso a nuestro servidor DHCP. En este caso, si se pregunta al
Repaso, ¡la clave del éxito! sistema operativo por los parámetros de configuración de red, devolverá
Ventajas de disponer de un servidor una dirección IP válida que se encuentra en el rango de direcciones
DHCP en la red: 169.254.0.1-169.254.255.254 junto con una máscara de subred de clase
– No es necesario configurar cada equipo. B: 255.255.0.0. ¿De dónde ha salido?
– Evita IP repetidas en la red.
Para aquellas redes que no disponen de servidor DHCP, el IETF ha creado
– Permite que se reutilicen las direccio-
un método de autoconfiguración conocido como APIPA (Automatic Private
nes IP.
IP Addressing) que permite asignar dinámicamente direcciones de red.
– Impide configuraciones erróneas.
– Las IP del servidor se pueden proteger. El paquete Avahi-autoipd es el encargado de gestionar esa situación en
GNU/Linux, mientras que Microsoft tiene previsto ese escenario en su im-
plementación interna del protocolo TCP/IP.

1.6 > Agente de transmisión DHCP


Cuando la complejidad de una red aumenta, pueden aparecer topologías
con las subredes separadas por routers. Como consecuencia, determinados
clientes y el servidor DHCP pueden localizarse en redes separadas.
En ese caso, las peticiones DHCP enviadas por los clientes en modo difusión
llegarán únicamente hasta el router, que denegará su enrutamiento.
Como solución, se creó el agente de transmisión DHCP, cuya tarea es re-
coger los paquetes enviados por los clientes que solicitan una concesión y
reenviarlos hacia un servidor DHCP y viceversa.

Actividades propuestas

1·· Accede a la wikipedia y localiza la entrada correspondiente al protocolo APIPA. Lee el artículo y contesta
a la siguiente pregunta: ¿para qué tamaño de red es adecuado configurar esta característica?
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 77

En la siguiente figura se aprecia una estructura de red con agente DHCP:

Cliente DHCP Cliente DHCP Cliente DHCP Servidor DHCP Cliente DHCP Cliente DHCP

LAN 1 LAN 2 LAN 3

Router + Router +
Agente DHCP Agente DHCP

3.3. Topología que requiere de un agente de transmisión DHCP.

Seguidamente se muestra el funcionamiento del servicio con un agente


DHCP que reenvía los paquetes del cliente al servidor y viceversa:

Cliente DHCP Agente DHCP Servidor DHCP

1. Envía mensaje Broadcast


DHCP DISCOVER Unicast
2. Procesa mensaje
DHCP DISCOVER
Unicast
3. Envía mensaje
4. Procesa mensaje Broadcast
DHCP OFFER
DHCP OFFER
5. Envía mensaje Broadcast
DHCP REQUEST Unicast
6. Procesa mensaje
DHCP REQUEST
Unicast
7. Envía mensaje
Broadcast DHCP ACK
8. Procesa mensaje
DCHP ACK

3.4. Agente DHCP que actúa como intermediario entre un cliente y un servidor DHCP en redes distintas.

Actividades propuestas

2·· Navega por la página web del organismo internacional http://www.ietf.org y averigua a qué se dedica
esta organización. Anótalo en tu cuaderno.
3·· La Internet Society es accesible desde el siguiente enlace: http://www.isoc.org. Consulta en él el cometido
de esta firma.
4·· Localiza la relación que existe entre las dos organizaciones mencionadas en las dos actividades anteriores
y las RFC (Request for Comments).
78

2 >> DHCP en sistemas GNU/Linux


Continuando con el plan de trabajo pactado con los representantes de
ServPubli, esta vez os desplazáis a las oficinas de la empresa para estudiar
y solucionar los problemas que han surgido a raíz de la configuración de
red de los equipos.
En las reuniones que habéis mantenido se ha comentado que algunos or-
denadores experimentan pérdidas de conectividad a la red, sobre todo
después de que se produzcan cambios en la estructura de la red que
obligan a cambiar la configuración de los equipos.
Después de descartar errores en el cableado y la estructura de la red,
Smartphone
habéis decidido implantar el servicio DHCP para evitar esas molestias.
Teléfono móvil con características aña-
didas que, entre otras cosas, puede co- Los argumentos a favor del servicio DHCP presentados a los representantes
nectarse a una red de ordenadores a de la empresa han sido estos:
través de una Wi-Fi.
– No hace falta configurar in situ cada uno de los equipos pertenecientes
a la red.
– Los cambios de configuración de la red solo habrá que implementarlos
en el servidor, el cual se encargará de transmitirlos a los clientes DHCP.
– Si se adquieren equipos nuevos, no se tendrán que configurar manual-
mente, sino tan solo darse de alta en el servidor.
– En las ocasiones en las que uno de los proveedores o clientes necesite
conectar un portátil en la empresa, normalmente no habrá que cambiar
su configuración.
Para saber más
Antes de empezar a trabajar con el servidor DHCP debéis estudiar los re-
quisitos y la información que ServPubli os ha proporcionado.
Estas son las condiciones que ha impuesto la empresa:
– Cada equipo de la empresa debe tener siempre la misma dirección IP,
ya que de esta manera es más fácil localizarlos en la red y aplicar
medidas de seguridad.
http://www.isc.org – Se prevé que, como máximo, la red alcance los 100 equipos.
– Los portátiles, smartphones y otros dispositivos móviles que se conecten
a la red recibirán direcciones IP a partir de 192.168.100.200. Además, se
limitará el número de este tipo de dispositivos a 30.
– La tarjeta de red del servidor conectada a la red interna de la empresa
nunca obtendrá su configuración de red mediante DHCP, es decir, será
configurada manualmente.
Después del estudio de distintos programas, habéis elegido ISC DHCP Server
para gestionar la configuración dinámica de la red. Este servidor, que es el
programa DHCP de código abierto más usado en Internet, ha sido desarrollado
por ISC (Internet Systems Consortium), organización pública sin ánimo de
lucro que se dedica a apoyar el desarrollo de la infraestructura de Internet.
Antes de instalar el servidor DHCP deberíais aseguraros de que no existen
otros servidores de este tipo en la red. Comprobad la configuración del
router SOHO, ya que suele tener activo este servicio en la configuración
por defecto.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 79

2.1 > Instalación del servidor


Para instalar el servidor DHCP sigue estas indicaciones:
1. Abre una sesión gráfica en el servidor y accede a Synaptic. Datos de acceso
2. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo- Usuario: adminservidor
nibles en los repositorios de Internet que están configurados. Espera Contraseña: S3rvid@r
unos segundos mientras termina este proceso.
3. Haz clic sobre el botón Buscar para abrir la herramienta de búsqueda.
4. Escribe isc-dhcp-server en el cuadro de texto y haz clic en el botón Buscar
(figura 3.5).
5. Selecciona isc-dhcp-server haciendo clic sobre el nombre del paquete y
lee la información adicional mostrada.
6. Haz doble clic en la casilla de verificación que está delante del nombre
del paquete seleccionado, de este modo lo marcas para instalar.
7. Se abre un diálogo que te advierte de que es necesario marcar otros pa- Paquete que se debe instalar
quetes. Haz clic en el botón Marcar para permitir estos cambios. isc-dhcp-server

3.5. Herramienta Buscar.

3.6. Selección de paquetes.

8. Asegúrate de que la casilla de verificación del paquete


isc-dhcp-server está marcada y pincha el botón Aplicar para
iniciar la instalación.
9. En el diálogo Resumen se muestra información sobre la
instalación que vas a realizar. Analízala y haz clic en el
botón Aplicar para comenzar la descarga de los paquetes
y su instalación. Durante este proceso se abre la ventana
de diálogo Aplicando los cambios, que se cerrará automáti-
camente para dar paso a la ventana Cambios aplicados.
10. Haz clic sobre el objeto Detalles de esta ventana. Pese a que
la instalación ha terminado con éxito y que se ha intentado
arrancar el servidor DHCP, este servicio no se ha podido le-
vantar porque la configuración por defecto que se ha gene-
rado durante la instalación no es compatible con la confi-
guración de la tarjeta o tarjetas de red de tu equipo servidor.
Este problema lo solucionarás en el próximo epígrafe.
11. Haz clic en el botón Cerrar del cuadro de diálogo Cambios
aplicados (figura 3.7).
12. Haz clic en el botón Cerrar de la ventana de Synaptic
3.7. Ventana Cambios aplicados.
para salir de la aplicación.
80

2.2 > Configuración del servidor


Una vez instalado el servidor DHCP es hora de configurar distintos aspectos
como los siguientes:
Archivo de configuración del
servidor DHCP – La información de configuración que se proporcionará a los equipos de
la red que no sean tratados particularmente.
/etc/dhcp/dhcpd.conf
– Los distintos grupos en los que se dividirán los equipos.
– Los parámetros de configuración de ciertos equipos que, por distintas
razones, siempre se configurarán de la misma forma.
Después de configurar correctamente el servidor DHCP ya se podrá arrancar
el servicio.
La información de configuración de la red y del hardware de la empresa
ServPubli está detallada en el epígrafe 2.1 de la Unidad 1; repásala antes
de realizar los siguientes ejemplos y actividades.

Configuración de opciones de cliente


Vas a determinar la información que el servidor remitirá a los clientes
para que se configuren y puedan así acceder a la red. Aunque esta infor-
mación será enviada a los equipos que no son tratados particularmente,
también puede enviarse a los que, recibiendo un trato especial, no tienen
establecidas todas sus opciones particulares.
1. Abre Webmin en tu navegador web.
2. Para asegurarte de que Webmin agrega el servidor DHCP en su menú
(figura 3.8), haz clic sobre el enlace Refresh Modules y espera unos se-
gundos mientras Webmin busca los módulos instalados. Sabrás que el
proceso ha terminado porque se muestra el número de módulos cuyas
aplicaciones están instaladas en el servidor.
3. Accede al enlace Servidor de DHCP de la sección Servidores.
4. Haz clic en el botón Editar Opciones de Cliente (figura 3.9).
5. En el menú Opciones de cliente (figura 3.10), realiza lo siguiente:
– Rellena el campo Enrutadores por defecto con la dirección IP del router
3.8. Menú de Webmin.
de la empresa (192.168.100.1) y cambia la posición de su casilla de
selección, así no hará falta reconfigurar este servicio si se activa el
enrutamiento.
– Haz lo mismo con la máscara de red (255.255.255.0) y la dirección
de broadcast (192.168.100.255) en los campos Máscara de subred y Di-
rección propagada, respectivamente.
– Indica que el campo Nombre de dominio tomará el valor servpubli.org.
– Sustituye el valor actual del campo Servidores DNS por 192.168.100.1,
la dirección IP del servidor DNS interno que actualmente está usando
la empresa.

3.9. Botones de DHCP Server. 3.10. Detalle de Opciones de Cliente.


Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 81

6. Como el servidor DHCP que estás configurando será el único servidor


de este tipo en la red, debes cambiar el valor del campo Server is autho-
ritative for all subnets? a Sí (figura 3.11).
7. Haz clic en el botón Salvar para guardar los cambios y volver a la
3.11. Detalle de Opciones de Cliente.
sección Servidor de DHCP.

Creación de una subred


Se necesita declarar cada subred a la que se vaya a proporcionar informa-
ción. Dentro de cada declaración, normalmente se incluirá un rango para
indicar qué direcciones IP se van a asignar.
Sigue los pasos descritos a continuación para declarar una subred que en-
globe equipos ocasionales:
1. Abre Webmin en tu navegador web y accede al enlace Servidor de DHCP
de la sección Servidores.
3.12. Opción Subredes y Redes Compartidas.
2. Haz clic en el enlace Añadir una nueva subred (figura 3.12).
3. En el menú Detalles de Subred (figura 3.13), realiza lo siguiente:
– Introduce un resumen en el campo Subnet description explicando qué
equipos van a pertenecer a esta subred.
– Introduce la dirección de red 192.168.100.0 en el cuadro de texto Di-
rección de red.
– Teclea la máscara de red 255.255.255.0 en el campo correspondiente. Advertencia
– De la información aportada por parte de la empresa ServPubli puedes Si se cambia la tarjeta de red de un
deducir que la primera dirección IP disponible para este rango es equipo, hay que cambiar en la configu-
192.168.100.200, mientras que la última será 192.168.100.229. In- ración del servidor DHCP su dirección
troduce estas direcciones en Rangos de direcciones. MAC antigua por la nueva.

3.13. Detalles de Subred.

4. Haz clic en el botón Crear para dar de alta la subred.

Creación de una máquina


Sigue estos pasos para dar de alta el equipo pc01 en el servidor DHCP de la
empresa:
1. Abre Webmin y accede al enlace Servidor de DHCP de la sección
3.14. Opción Máquinas y Grupos de
Servidores. Máquinas.
2. Haz clic en el enlace Añadir una nueva máquina (figura 3.14).
3. En el menú Detalles de Máquina (figura 3.15), realiza lo siguiente:
– Escribe una pequeña descripción de este equipo en el campo Host
description, por ejemplo, PC01 – Ordenador de la directora.
– Teclea pc01 en Nombre de máquina.
– Completa el campo Dirección Hardware con el valor correspondiente.
– Escribe la dirección IP de pc01 en el campo Dirección IP fijada.
3.15. Detalle de Detalles de Máquina.
4. Haz clic en el botón Crear para dar de alta la máquina.
82

Arranque del servicio


Después de configurar el servidor DHCP, el siguiente paso es ponerlo en
marcha. Sigue estas indicaciones:
Datos de acceso
1. Abre Webmin en tu navegador web.
Usuario: admincliente
2. Accede al enlace Servidor de DHCP de la sección Servidores.
Contraseña: Cli3nt@
3. Haz clic en el botón Arrancar servidor que se encuentra al final de la pá-
gina. Este control será sustituido por el botón Stop Server, que te permi-
tiría parar el servidor DHCP si fuera necesario.
4. Haz clic en el enlace Logout para salir de Webmin.
Network-manager
Aplicación que se encarga de la gestión
2.3 > Configuración del cliente
de la red. Puedes acceder a ella mediante Actualmente, los sistemas operativos suelen distribuirse con un cliente
el botón de red, situado en la parte iz- DHCP instalado, por lo que no será necesario preocuparse de esta tarea.
quierda del panel superior del escritorio.
Activación del servicio DHCP en el cliente
Sigue estas indicaciones en los equipos configurados manualmente:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre Menú de red y selecciona la opción Editar las conexiones
(figura 3.16).
3. Accede a la pestaña Cableada y selecciona Conexión cableada 1 (figura
3.17).
4. Luego pincha el botón Editar.
5. Selecciona la pestaña Ajustes de IPv4.
6. Despliega la lista Método y selecciona Automático (DHCP) (figura 3.18).
7. Pulsa el botón Guardar de la ventana Editando Conexión cableada 1.
3.16. Menú Network-manager.
8. Haz clic en el botón Cerrar de la ventana Conexiones de red.

3.17. Conexiones de red. 3.18. Editando conexión cableada 1.

Actividades propuestas

5·· Consulta la información de configuración de la red y del hardware de la empresa ServPubli que encontrarás
en el epígrafe 2.1 de la Unidad 1 y crea las máquinas correspondientes al resto de equipos e impresoras. Para
aplicar estos cambios debes hacer clic sobre el botón Aplicar cambios del índice del módulo.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 83

2.4 > Comprobaciones


En esta ocasión las comprobaciones las vas a realizar tanto en el servidor
como en el cliente:
Proceso del servidor DHCP
– En el servidor se comprueba que el proceso se está ejecutando a la
/usr/sbin/dhcpd
espera de peticiones por parte del cliente.
– Para comprobar que los clientes pueden obtener la información de red
necesaria para configurarse automáticamente se distinguen dos tipos
de clientes:
• Equipos que se conectan ocasionalmente: el servidor DHCP, al no
tener registradas sus direcciones MAC, les ofrecerá una dirección IP
del rango configurado.
• Equipos que se conectan habitualmente: estos equipos suelen estar
conectados de forma permanente a la red, por lo que es fácil llevar
un control dándoles de alta en el servidor DHCP para que siempre se
les ofrezca la misma dirección IP.

Verificación del estado del servicio


Para asegurarte de que realmente se está ejecutando el servicio en el servi-
dor, vas a comprobar que se ha lanzado el proceso correspondiente
siguiendo estos pasos:
1. Abre Webmin en el navegador web del servidor.
2. Despliega el menú Otros y haz clic sobre el enlace Estado de Sistema y de
Servidor (figura 3.19).
3. Localiza el servicio DHCP Server y comprueba que, a su derecha, hay un
símbolo de color verde que indica que dicho servicio funciona correc-
3.19. Submenú Otros.
tamente.

3.20. Estado de Sistema y de Servidor.

Comprobación de un equipo ocasional


Sigue las indicaciones que se realizan a continuación para comprobar el
servicio DHCP con tu equipo cliente, el cual no está registrado dentro de
la lista de máquinas del servidor:
1. Arranca el cliente GNU/Linux y, a continuación, abre una sesión con el
usuario admincliente.
2. Accede a Información de la conexión para comprobar la configuración de
red del cliente (figura 3.21). Puedes encontrarla haciendo clic sobre el
Menú de red.
3. Comprueba que la información de red del cliente concuerda con la
3.21. Información de la conexión.
que le debe ofrecer el servidor.
84

Comprobación de un equipo habitual


Para asegurarnos de que un equipo habitual reciba siempre la misma in-
formación de red, este debe tener creada y configurada su correspondiente
máquina en el servidor DHCP, así que vas a dar de alta tu máquina virtual
cliente en él antes de comprobar la configuración.
1. Usa lo aprendido en prácticas anteriores para dar de alta al cliente con
los siguientes datos. No olvides aplicar los cambios:
– Descripción: PC16-Contabilidad.
– Nombre: pc16.
– Dirección IP: 192.168.100.116.
– Dirección MAC: la de tu máquina virtual cliente.
2. Arranca el cliente y abre una sesión con el usuario admincliente.
3. Accede a la opción Información de conexión que se encuentra en el Menú
de red.
4. Comprueba que la información de red del cliente concuerda con la
que acabas de configurar en el servidor.

Comprobación de las concesiones


Una concesión en un servidor DHCP es la reserva de una dirección IP a un
determinado cliente durante un periodo de tiempo. Mientras la concesión
esté vigente la dirección IP estará reservada, es decir, solo se asignará a ese
cliente.
Puedes comprobar la lista de concesiones de direcciones IP realizadas por
el servidor DHCP accediendo a los ficheros de log del sistema. Sigue estos
pasos:
1. Arranca el sistema gráfico del servidor de la empresa.
2. Usa el navegador web para abrir la aplicación Webmin.
3. Valídate con el usuario adminservidor y accede al apartado Servidor de
DHCP.

3.22. Lista de arrendamientos activos.

4. Pincha el botón Listar arrendamientos activos. Verás una tabla con todas
las concesiones válidas en este momento (figura 3.22).
5. Si quieres ver todas las concesiones, estén activas o expiradas, haz clic
en el botón Lista todos los arrendamientos activos y expirados.

Actividades propuestas

6·· En un cliente, puedes volver a pedir la información de red sin apagar el equipo seleccionando la opción
Desactivar del Menú de red y, luego, accediendo a este mismo menú para seleccionar la conexión que acabas
de desactivar. Pruébalo.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 85

3 >> DHCP en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la segunda tarea que debéis realizar es el mantenimiento de la configura- Para saber más
ción de red de los equipos.
Puedes obtener soporte técnico de Mi-
La empresa os ha indicado que existen numerosos problemas de conecti- crosoft para el servicio DHCP en el
vidad en la red. En gran medida, los problemas se producen porque hay siguiente URL:
cambios constantes en la estructura de red y esto obliga a modificar la
configuración de los equipos.
Para evitar estos problemas se decide implantar el servicio DHCP. Las ven-
tajas de este servicio son:
– No hace falta configurar in situ cada uno de los equipos de la red.
– Los cambios de configuración de la red solo hay que implementarlos en
http://xurl.es/dhcp_ms
el servidor y este se encargará de transmitirlos a los clientes DHCP.
– Tampoco hay que configurar manualmente los equipos nuevos, solo
deben darse de alta en el servidor.
– En las ocasiones en las que un proveedor o un cliente necesite conectar
un portátil en la empresa, normalmente, no habrá que cambiar la con-
figuración.
El servidor DHCP ya viene incluido en Windows Server 2008, de manera
predeterminada. El servicio en Windows cumple los estándares del Internet
Engineering Task Force (IETF) y soporta las RFC 2131 y 2132.

DHCP

Servidor Cliente
DHCP DHCP

Componentes Tiempo Base de


Ámbitos Servicio
NAP de ejecución datos

3.23. Infraestructura DHCP en Windows Server 2008.

Antes de empezar a trabajar con el servidor DHCP debéis estudiar los re-
quisitos y la información que os ha proporcionado ConRecuerdos.org:
– Cada equipo de la empresa debe tener siempre la misma dirección IP.
De esta manera, es más fácil localizarlos en la red y aplicar las medidas
de seguridad necesarias.
– Se prevé que, como máximo, la red alcance 254 equipos.
– Los portátiles y otros dispositivos móviles que se conecten a la red reci-
birán direcciones IP a partir de 192.168.100.2.
– El servidor no obtendrá su configuración de red mediante DHCP.
Deberíais aseguraros de que no existen otros servidores DHCP en la red,
como por ejemplo el router SOHO, que suele tener activo este servicio.
86

3.1 > Instalación del servidor


Ahora sigue estas indicaciones para instalar el servidor DHCP:

Recuerda 1. Haz clic en el botón Inicio y selecciona la opción Administrador del


servidor. En la nueva ventana que aparece, haz doble clic sobre la opción
Los datos para acceder como usuario
Agregar funciones, que se encuentra en el bloque Resumen de funciones de
administrador son:
la parte derecha de la ventana (figura 3.24).
– Usuario: adminservidor
– Contraseña: S3rvid@r

3.24. Administrador del servidor.

2. A continuación se muestra el Asistente para agregar funciones. En la pri-


mera ventana se te informa de las comprobaciones previas que debes
realizar para instalar correctamente cualquier tarea en el servidor.
Léelas atentamente y haz clic sobre el botón Siguiente.
3. En la ventana Seleccionar funciones de servidor,
marca la casilla de verificación Servidor DHCP
(figura 3.25) y haz clic en Siguiente.
4. La ventana Servidor DHCP comenta algunas
características a tener en cuenta antes de
instalar el DHCP. Una vez hayas leído y en-
tendido dicha información, haz clic en Si-
guiente.
5. Selecciona la dirección IP de la tarjeta de
red de tu servidor, es decir, la dirección
192.168.100.1 (figura 3.26), y haz clic en Si-
guiente.
6. Escribe el nombre del dominio primario, es
decir, ConRecuerdos.org. También debes es-
cribir la dirección IP del servidor DNS. Pon
la dirección 192.168.100.1 y verifícala con
un clic en el botón Validar (figura 3.27). Des-
3.25. Seleccionar funciones del servidor.
pués pincha el botón Siguiente.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 87

3.26. Seleccionar enlaces de conexión de red. 3.27. Especificar la configuración del servidor DNS IPv4.

7. Deja marcada la opción No se requiere WINS para las aplicaciones en esta


red y haz clic en Siguiente. Windows Internet Naming Service (WINS) es un
servicio de nombres creado por Microsoft equivalente al servicio DNS,
pero para equipos que utilizan NetBIOS.
8. En la ventana Agregar o editar ámbitos DHCP no es necesario que confi-
gures nada, simplemente haz clic en Siguiente.
9. Selecciona la opción Deshabilitar el modo sin estado DHCPv6 para este ser-
vidor de la ventana Configurar el modo sin estado DHCPv6 (figura 3.28).
Haz clic sobre el botón Siguiente.
10. En la ventana Autorizar servidor DHCP, selecciona la opción Usar cre-
denciales actuales y haz clic en Siguiente.
11. La ventana Confirmar selecciones de instalación es la última del asistente y Editor del registro
muestra un resumen de la configuración elegida. Comprueba si todas La información del servicio DHCP en el
las opciones son correctas (figura 3.29) y, a continuación, haz clic en editor del registro se encuentra en la
el botón en Instalar. siguiente clave:
12. Transcurridos unos minutos, finaliza la instalación del servidor DHCP. HKEY_LOCAL_MACHINE\System\
Si todo es correcto, haz clic en Cerrar. CurrentControlSet\Services\Dhcp

3.28. Configurar el modo sin estado DHCPv6. 3.29. Confirmación de las selecciones de instalación.
88

3.2 > Configuración del servidor


Creación de un ámbito y exclusiones
Vas a configurar el ámbito para distribuir direcciones IP a los equipos de
la red. También especificarás una exclusión, es decir, una dirección IP de
Administrador de DHCP
ese ámbito que no se concederá a ningún cliente. Sigue estos pasos:
Una vez instalado el servicio DHCP, pue-
des administrarlo si vas a la ruta: 1. Abre el administrador de DHCP.
2. Selecciona y haz clic con el botón derecho del ratón en la opción IPv4,
Inicio / Herramientasadministrativas /
DHCP
que se encuentra en DHCP / servidor.conrecuerdos.org. En la ventana de
contexto que aparece, selecciona Ámbito nuevo.

3.30. Opción Ámbito nuevo.

3. Se inicia el Asistente para ámbito nuevo. Haz clic en Siguiente en la


pantalla inicial y, en la ventana Nombre de ámbito, introduce el nombre
que vas a dar al ámbito, por ejemplo LAN ConRecuerdos.org (figura
3.31). Después pincha Siguiente.
4. A continuación debes indicar el intervalo de direcciones que vas a uti-
lizar para el ámbito. Pon 192.168.100.1 en la casilla Dirección IP inicial y
192.168.100.254 en Dirección IP final (figura 3.32). Haz clic en Siguiente.
5. Ahora vas a crear una exclusión para que la IP del servidor no se con-
ceda. Introduce la dirección 192.168.100.1 en la casilla Direccion IP
3.31. Nombre de ámbito. inicial (figura 3.33) y haz clic en el botón Agregar. Puedes comprobar
que la dirección se añade en la casilla Excluir el intervalo de la dirección.
Seguidamente haz clic en Siguiente.

3.32. Intervalo de direcciones IP. 3.33. Agregar exclusiones.


Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 89

6. Deja el valor predeterminado de ocho días para la duración de la


concesión y haz clic en Siguiente. En la ventana Configurar opciones
DHCP selecciona Configurar estas opciones ahora y haz clic sobre el bo-
tón Siguiente.
7. En la casilla Dirección IP escribe la puerta de enlace para los clientes,
es decir, 192.168.100.1 (figura 3.34). Incluye esta dirección con un clic
en el botón Agregar y pincha en Siguiente.
8. La ventana Nombre de dominio y servidores DNS permite indicar, entre
otros valores, el dominio primario y la dirección IP del servidor DNS.
Escribe ConRecuerdos.org en la casilla Dominio primario y 192.168.100.1
en la casilla Dirección IP (figura 3.35). Después, haz clic en el botón
Agregar y pincha Siguiente.
3.34. Puerta de enlace predeterminada.
9. Deja en blanco la configuración para WINS y pasa a la siguiente ven-
tana con un clic en el botón Siguiente.
10. En la ventana Activar el Ámbito, selecciona la opción Activar este ámbito
ahora. Haz clic en Siguiente.
11. Termina la configuración con un clic en Finalizar.

Creación de una reserva


Ahora vas a crear reservas para los equipos fijos. Sigue estos pasos:
1. Abre el administrador de DHCP.
2. Selecciona y haz clic con el botón secundario en la opción Reservas, que
3.35. Nombre del dominio y servidores
se encuentra en DHCP / servidor.conrecuerdos.org / IPv4 / Ámbito. En la DNS.
ventana de contexto que aparece a continuación, selecciona la opción
Reserva nueva.

3.36. Opción Reserva nueva. 3.37. Reserva nueva.

3. Aparece el cuadro de diálogo Reserva nueva. Rellena los campos Nombre


de reserva con pc01, Dirección IP con 192.168.100.101 y Dirección MAC
con 1A00F0000001. Marca el valor Ambos en la opción Tipos compatibles
(figura 3.37). Pincha Agregar.

Actividades propuestas

7·· Crea las reservas correspondientes al resto de equipos e impresoras según se indica en la Unidad 1.
90

3.3 > Configuración del cliente


Para configurar el servicio DNS en el cliente debes seguir estos pasos:

Datos de acceso 1. Ve a Inicio / Panel de control / Redes e Internet / Centro de redes y recursos com-
partidos y haz clic en Conexión de área local. Pincha Propiedades.
Usuario: admincliente
Contraseña: Cli3nt@

3.38. Ruta de Propiedades de Conexión de área local.

2. En la ventana Propiedades de Conexión de área local, haz doble clic sobre


la opción Protocolo de Internet versión 4 (TCP/IPv4).
3. Marca Obtener una dirección IP automáticamente y Obtener la dirección del
servidor DNS automáticamente (figura 3.39). Haz clic en Aceptar.
3.39. Propiedades de TCP/IPv4.

3.4 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
En el servidor se verifica el estado del proceso y en el cliente se confirma
que la IP concedida es la correcta.

Verificación del estado del servicio


Para comprobar el estado del servicio DHCP, haz lo siguiente:
1. En la ruta Inicio / Herramientas administrativas haz clic sobre Servicios.
Estado del servicio DHCP 2. En la ventana que aparece, busca el servicio Servidor DHCP. Si el campo
Estado tiene el valor Iniciado y en Tipo de inicio aparece Automático, quiere
El servicio DHCP tiene tres posibles es-
decir que el servicio DHCP está en funcionamiento y que se iniciará au-
tados de inicio:
tomáticamente cada vez que arranque el equipo servidor.
– Automático: está iniciado y se iniciará
cada vez que arranca el ordenador.
– Manual: está detenido y se debe iniciar
manualmente.
– Deshabilitado: está detenido y no se
puede iniciar de ningún modo.

3.40. Servicios.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 91

Verificación de la IP del cliente en un equipo ocasional


En los equipos que se conectan ocasionalmente, el servidor DHCP
ofrece una dirección IP aleatoria dentro del ámbito.
Para comprobar si el servicio DHCP de la tarjeta de red en Win-
dows está configurado correctamente, sigue estos pasos:
1. Ve a Inicio / Panel de control / Redes e Internet / Centro de redes y re-
cursos compartidos y haz clic en Conexión de área local.
2. Aparece el cuadro de diálogo Estado de Conexión de área local,
haz clic sobre el botón Detalles.
3. En la ventana Detalles de la conexión de red (figura 3.41) puedes
ver, entre otros datos, la dirección IP, el servidor DNS y la
puerta de enlace.

Verificación de la IP del cliente en un equipo habitual


El servidor DHCP debe tener creada y configurada la reserva de
cada ordenador cliente. Por tanto, antes de comprobar la confi-
3.41. Detalles de la conexión de red.
guración del cliente, vas a darlo de alta en el servidor DHCP:
1. Crea una reserva del cliente con los siguientes datos:
– Nombre de reserva: pc16.
– Dirección IP: 192.168.100.116.
– Dirección MAC: la de tu equipo cliente. Consejo
– Descripción: Ordenador del departamento de contabilidad. Si ya tienes el cliente arrancado, puedes
– Tipos compatibles: Ambos. volver a pedir la información de red sin
apagar el equipo. Selecciona la opción
2. Arranca el cliente y dirígete a Estado de Conexión de área local.
Desactivar con un clic del botón derecho
3. Comprueba que la información de red del cliente concuerda con la
en el icono Conexión de área local.
que acabas de configurar en el servidor.
Luego, vuelve a hacer un clic con el bo-
Visualización de las concesiones tón derecho y elige la opción Activar.

Para comprobar qué concesiones da el servidor DHCP, abre el administrador


del servidor y sigue estos pasos:
1. Haz clic en la opción Concesiones de direcciones, que se encuentra en la
ruta DHCP / servidor.conrecuerdos.org / IPv4.
2. La parte central de la ventana muestra las concesiones de direcciones
(figura 3.42). Ahí puedes ver la dirección IP del cliente, el nombre del
ordenador y la caducidad de la concesión.tivi

3.42. Opción Concesiones de direcciones.


92

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Qué capa del modelo OSI ocupa el protocolo DHCP?
2·· Explica los tres modos de asignación de direcciones IP del protocolo DHCP.
3·· Comenta las ventajas de disponer de un servidor DHCP en la red.
4·· ¿Puede el servicio DHCP funcionar en redes TCP/IP que incorporen diferentes sistemas operativos y programas?
Justifica la respuesta.
5·· Comprueba si tu servidor DHCP sobre Windows funciona correctamente. ¿Qué herramienta administrativa debes
consultar?
6·· Explica las ventajas de trabajar con subredes.
7·· Explica con tus palabras la aplicación network-manager.
8·· ¿Qué información nos indica en sistemas Windows el comando ipconfig/all?
9·· ¿Cuál sería el comando que realizaría la misma función del ejercicio anterior en GNU/Linux?
10·· Si, debido al uso de direcciones IP estáticas, dos equipos de la misma red tuvieran asignada la misma dirección
IP, ¿qué sucedería?
11·· ¿Qué información nos está dando la aplicación Webmin en la siguiente pantalla?

12·· Indica si es el cliente o el servidor quien envía cada uno de estos mensajes:
a) DHCP REQUEST e) DHCP ACKNOWLEDGE
b) DHCP DISCOVER f) DHCP INFORM
c) DHCP OFFER g) DHCP NACKNOWLEDGE
d) DHCP DECLINE h) DHCP RELEASE

.: APLICACIÓN :.
1·· Configura tu cliente Windows añadiéndolo a la red interna de tu servidor GNU/Linux y comprueba que se le ha
concedido la información de red necesaria para que se configure automáticamente.
2·· Realiza la misma operación con un servidor Windows y un cliente GNU/Linux.
3·· Debemos cambiar una tarjeta de red averiada. Nuestro servidor DHCP con sistema operativo Windows funciona
mediante asignación estática con reserva. ¿Qué pasos seguiríamos para volver a añadir el equipo a la red?
4·· Realiza la operación de la actividad anterior con un servidor GNU/Linux.
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) 93

Caso final 1

DHCP en redes pequeñas


·· Vuestro cliente, la empresa AulaEasy, quiere mejorar la configuración de las direcciones IP. En estos
momentos se otorgan de forma manual y, desde hace un tiempo, la necesidad de añadir nuevos equipos en la
red obliga a reconfigurar las máquinas una y otra vez.
Para evitar estos problemas, se decide implantar el servicio DHCP. El cambio también permitirá que los
empleados utilicen dispositivos móviles como portátiles y smartphones en la red. Además, se deberían reservar
dos direcciones IP para los equipos pc01 y pc02.
En la actualidad, la empresa no dispone de presupuesto para efectuar la compra de un servidor que pueda
realizar esta función.
Les proponéis utilizar el router SOHO que la empresa utiliza para proporcionar salida a Internet a los equipos
y que permite implementar el servicio DHCP.

Solución ·· Una vez que la empre-


sa ha aceptado vuestra propuesta,
deberás configurar el router SOHO:

1. Desde un navegador web escribe


la dirección 192.168.100.1.
2. Introduce el usuario y la contra-
seña en la ventana de acceso al
router.
3. Abre la pestaña Configuración y
dentro de ella la pestaña Config
Básica.
4. Dirígete a la sección Config de
RED y deja la configuración como
se muestra en la figura 3.43.
5. Aplica los cambios.
6. Abre la pestaña Servicios y dentro
de ella dirígete a la sección Ser-
vidor DHCP.
3.43. Configuración del router.
7. Reserva dos direcciones IP para
los equipos pc01 y pc02 utilizando
las direcciones MAC que aparecen
en la figura 3.44.
8. Aplica los cambios y guarda la
nueva configuración.
9. Arranca un equipo cliente. Realí-
zale los cambios necesarios para
que obtenga la dirección IP auto-
máticamente. Comprueba que el
servicio DHCP funciona correcta-
3.44. Reserva de direcciones IP.
mente.
94

Ideas clave

PROTOCOLO
DHCP

Implementa Implementa

Servidor Cliente

Concesión
Ofrece Publica

Asocia

Información Dirección
de red MAC

Vincula

Reserva
Unidad 3 - Servicio de configuración dinámica de sistemas (DHCP) REVISTA DE INFORMÁTICA

Ámbitos divididos DHCP (DHCP Split Scope)


¿Tiene al menos un servidor DHCP en su red?
Si la respuesta es afirmativa, ahí va otra pregunta:
¿ha pensado lo que ocurriría si este dejase de prestar servicio?

S
i ha realizado una buena planificación y cuenta con los medios necesa- hasta la 192.168.1.190 (70%) y server2 ofrecerá desde la 192.168.1.191
rios, el servicio seguirá funcionando. La implementación de un DHCP en hasta la 192.168.1.250 (30%).
clúster o la configuración de un agente relay DHCP, por ejemplo, son so-
luciones que proporcionarían la continuidad del servicio.
No obstante, si no ha implementado ninguna solución y dispone de un único
servidor DHCP que deja de funcionar, ocurrirá lo siguiente: los equipos con direc-
ciones IP ya concedidas podrán seguir interactuando con la red dependiendo de
la caducidad de la concesión y, también, de la puerta de enlace, ya que esta sirve
de referencia a los equipos para saber si han sido trasladados a otra subred.
Sin embargo, los equipos cliente que soliciten una IP, no la obtendrán y ahí
comenzarán los problemas.
Una solución típica que se suele llevar a cabo, a falta de una mejor, es la
de configurar un segundo servidor DHCP, estableciendo un ámbito que ofrezca
un intervalo de direcciones IP diferente al del primero. Hay quien activa dicho
ámbito de forma que ambos servidores DHCP pueden convivir; otros prefieren
5. En el último paso, especificaremos el tiempo que esperará server2 antes de
mantenerlo desactivado y ponerlo en funcionamiento (sea manualmente o por
ofertar las IP de su intervalo. En nuestro caso, configuraremos un retraso de
script) cuando el primero tiene algún problema, con el fin de centralizar las con-
1 segundo (valor máximo).
cesiones en un solo servidor en la medida que sea posible.
Si dispone de dos servidores Windows Server 2008 R2, puede que le inte-
rese la nueva funcionalidad denominada Ámbitos divididos (DHCP Split Scope),
que consiste en la configuración de un «retraso» en uno de los servidores DHCP
a la hora de ofertar las IP, de tal forma que el segundo servidor solo entra en
juego cuando existe algún problema con el primero.
Imaginemos el siguiente escenario: server1 y server2 son dos servidores
miembros pertenecientes a un dominio Active Directory. Ambos son Windows Una vez finalizado el asistente, podremos comprobar que tanto server1 co-
Server 2008 R2. En server1 hemos instalado el rol de servidor DHCP y configu- mo server2 han sido configurados automáticamente de la siguiente forma:
rado un ámbito que ofrece el intervalo de IP comprendido entre 192.168.1.51 – Server1: el ámbito previamente configurado continúa estando igual, con la di-
y 192.168.1.250. Nuestro objetivo es configurar server2 para que ofrezca parte ferencia de que se ha creado un nuevo intervalo de exclusión que va desde
de las direcciones del intervalo de server1. Para ello, necesitaremos realizar las la IP 192.168.1.191 hasta la 192.168.1.250 (podremos comprobarlo en el
siguientes acciones: nodo del ámbito Conjunto de direcciones).
1. Instalaremos el rol Servidor DHCP en server2, sin configurar ámbito alguno. – Server2:
2. En server1 accederemos a las Opciones avanzadas del ámbito y selecciona- • Se ha creado automáticamente un nuevo ámbito llamado igual que el del
remos Ámbitos divididos. server1. Este también estará comprendido entre la IP 192.168.1.51 a
3. En la ventana Servidor DHCP adicional, agregaremos server2. la192.168.1.250.
• Se ha creado un nuevo intervalo de exclusión que va desde la IP
192.168.1.51 hasta la 192.168.1.190 (podremos comprobarlo en el nodo
del ámbito Conjunto de direcciones).
• Se han heredado las mismas opciones de ámbito que las especificadas en
el ámbito de server1.
Solo queda por explicar una cuestión: ¿dónde se configuró el retraso de 1
segundo? En server2. Podemos comprobarlo de una forma muy sencilla: iremos
a Propiedades del ámbito y en la pestaña Opciones avanzadas observaremos el
4. En la ventana Porcentaje de división, determinaremos el intervalo de direc- valor asignado en Configuración de retraso.
ciones que ofrecerá cada uno de los servidores, teniendo presente que ser-
De este modo hemos configurado un ámbito dividido DHCP.
ver1 es el servidor DHCP host y server2 es el servidor DHCP agregado. Tal
como se muestra en el ejemplo, server1 ofrecerá desde la IP 192.168.1.51 Fuente: Agustín Morales, agustinmoraleshformacion.blogspot.com.es
4
u n i d a d

Servicio web
(HTTP)

SUMARIO
I El protocolo HTTP
I El servicio web en sistemas GNU/Linux
I El servicio web en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso
de este servicio.
·· Mostrar la estructura básica
del funcionamiento del protocolo HTTP.
·· Instalar, configurar y arrancar
un servidor web.
·· Establecer los mecanismos
de comprobación necesarios para asegurar
el funcionamiento correcto de este servicio.
·· Aplicar todas estas operaciones tanto
en sistemas GNU/Linux como en sistemas
Windows.
Unidad 4 - Servicio web (HTTP) 97

1 >> Servidores web


1.1 > ¿Qué es HTTP?
El protocolo de transferencia de hipertexto o HTTP (Hypertext Transfer
Protocol) es un protocolo de la capa de aplicación que permite distribuir y Aplicación HTTP
compartir información entre sistemas mediante páginas web.
Transporte
Este protocolo fue desarrollado por Sir Timothy Berners-Lee y su equipo.
Crearon asimismo el lenguaje de etiquetas de hipertexto o HTML (Hypertext Red

Markup Language) y el sistema de localización de objetos en la web o URL Enlace


(Uniform Resource Locator).
Físico
A partir de 1990 HTTP se convirtió en el protocolo de la World Wide Web o
WWW (Red Global Mundial), también creada por Berners-Lee, que repre-
4.1. HTTP en el modelo TCP/IP.
senta la unión de hipertexto e Internet.
La RFC 2616 especifica el estándar de la versión del HTML v1.1, que es la
que se usa actualmente.
El IETF (Internet Engineering Task Force) o Grupo Especial sobre Ingeniería
en Internet trabaja en la nueva versión de HTTP 2.0 que intentará mejorar
la velocidad y la conexión con dispositivos de telefonía móvil.

1.2 > Localizador uniforme de recursos (URL)


Un localizador uniforme de recursos o URL se compone de una serie de
Niveles del protocolo TCP/IP
elementos fijados por un estándar que se usan para nombrar recursos en
Internet y permitir la localización o identificación de los mismos. Un URL Aplicación Transporte
identifica un único recurso. TCP (80)
HTTP
UDP (80)
Un navegador web localiza y muestra un recurso de forma adecuada me-
diante la introducción de un URL. Este último contiene diversa información
que permite realizar de manera adecuada el proceso descrito.
El formato general de un URL es:
esquema://usuario:contraseña@máquina:puerto/directorio/archivo
Donde:
– Esquema: especifica qué protocolo debe ser usado para acceder a cada
Vocabulario
documento. Como por ejemplo: HTTP, HTTPS, mailto, FTP… Utiliza los
separadores «//» o «://».
Hipertexto: en informática, es el texto
– Usuario: indica el usuario. Le sigue como separador el símbolo de dos que aparece en pantalla y que permite
puntos (:). acceder a otros recursos: textos, imá-
– Contraseña: indica la contraseña. A continuación se añade como sepa- genes, gráficos, etc., relacionados me-
rador una arroba (@). diante pulsaciones de ratón o teclado.
– Máquina: indica el nombre del equipo donde está alojado el contenido.
Puede ser una FQDN, una dirección IP o un nombre de dominio.
– Puerto: indica el puerto de escucha. Va precedido por el separador dos
puntos (:).
– Directorio: consta de una secuencia de directorios separados por barras
que definen la ruta a seguir para llegar al documento.
– Archivo: indica el nombre del archivo que contiene el recurso.
98

En un URL no tienen por qué aparecer todos los campos, como vemos en
los siguientes ejemplos:
http://ejemplo.com/recurso.html
http://empleado:123abc@192.168.100.1:80/alberto/a.html
Donde tenemos:

Esquema Usuario Contraseña Máquina Puerto Directorio Archivo


http:// ejemplo.com /recurso.html
http:// empleado: 123abc@ 192.168.100.1 :80 /alberto /a.html

URN y URI
Cuando se habla de URL aparecen dos conceptos directamente relacionados
con él: URN y URI.
RFC 2616
– URN (uniform resource name) o nombre de recurso uniforme: identifica
recursos en Internet, al igual que el URL, pero a diferencia de este
último no indica cómo acceder a ellos. Un ejemplo de URN sería el ISBN
de un libro, que identifica la obra, pero no nos indica en qué librería
podemos conseguirla.
– URI (uniform resource identifier) o identificador uniforme de recurso: añade
opcionalmente los campos pregunta y fragmento al final del URL:
http://xurl.es/rfc_2616
• Pregunta: son una o más variables separadas por punto y coma (;). Van
precedidas por el separador «?». Con el separador «=» indicamos el
valor de la variable.
• Fragmento: es una zona del documento final. Va precedido del separa-
dor «#».
El URI puede ser clasificado como un localizador, un nombre o ambos.
RFC 3986 La RFC 3986 indica que, en futuras especificaciones, se recomendará el
uso del término URI en lugar de URL y URN, que son más restrictivos.

Ejemplo

A continuación se muestran algunos ejemplos de URI:

http://xurl.es/rfc_3986
foo://ejemplo.com:XXXX/over/there?name=exemple#nose

ftp://ftp.is.co.za/rfc/rfc1808.txt

http://www.ietf.org/rfc/rfc2396.txt

ldap://[2001:db8::7]/c=GB?objectClass?one

mailto:Jose.Dolz@ejemplo.com

news:comp.infosystems.www.servers.unix

telnet://192.0.2.16:80/

urn:oasis:names:specification:docbook:dtd:xml:4.1.2
Unidad 4 - Servicio web (HTTP) 99

1.3 > Funcionamiento del protocolo HTTP


HTTP es un protocolo de pregunta/respuesta basado en el modelo cliente-
servidor. Estos son los pasos que sigue en su funcionamiento:
1. El navegador web envía un mensaje de petición al servidor web.
2. El servidor que contiene los recursos o almacena los documentos envía
un mensaje de respuesta.

Cliente Servidor
Un ejemplo de petición
1 1
GET /indice.html HTTP/1.1
www Host: www.ejemplo.com
User-Agent: Mozilla/5.0
Navegador web 2 2 Servidor web
(Windows; U; Windows NT 5.1;
IIS7 en-US) AppleWebKit/525.13
(KHTML, like Gecko)
Chrome/0.X.Y.Z Safari/525.13
4.2. Funcionamiento del protocolo HTTP. [Línea en blanco]

Un navegador web o cliente web se denomina user agent o UA (agente de


usuario) y la información transmitida se llama recurso. Este último, como
se ha visto, se identifica con un URL.

Mensajes HTTP
El mensaje HTTP contiene el estado de la solicitud y puede incluir cualquier
información que pida el cliente.
Los mensajes HTTP utilizan el formato estandarizado por la RFC 822 y
pueden ser de petición o de respuesta: Un ejemplo de respuesta

– Mensaje de petición: el cliente indica la acción que quiere realizar, el HTTP/1.1 200 OK
recurso sobre el que se quiere realizar esta acción y cualquier otro dato Date: Fri, 31 Dec 2012
necesario para que el servidor pueda atender la petición. 23:59:59 GMT
– Mensaje de respuesta: el servidor incluye en este paquete tanto infor- Content-Type: text/html
mación necesaria para el funcionamiento del protocolo, como, por ejem- Content-Length: 1441
plo, el estado de la petición, como el recurso solicitado por el cliente. <html>
<body>
Sesión HTTP
<h1>Página principal</h1>
Una sesión HTTP consiste en una serie de transacciones de red entre el .
cliente y el servidor. El cliente realiza una petición y establece una conexión
.
TCP estable con el puerto 80 del servidor, que permanece a la escucha. El
</body>
servidor procesará la información y transmitirá una respuesta compuesta
por un mensaje de estado (en HTTP v1.1: 200 OK) y un mensaje con el re- </html>
curso solicitado.
En HTTP v1.0, cuando un cliente se comunica con un servidor, se abre
una conexión. Una vez que el servidor le ha contestado, se cierra.
El HTTP v1.1 aumenta la velocidad al permitir que se realice por una
misma conexión más de una transacción. Esto evita tener que volver a ne-
gociar la conexión TCP una vez enviada la primera petición.
100

Métodos de petición
El método indica la acción que se quiere realizar con el recurso. HTTP
v1.1 define ocho métodos diferentes, pero estos son los más usados:
Grupos de códigos de estado
– GET: realiza la petición de un recurso al servidor mediante el URL.
1XX: informativo.
– POST: le indica al servidor que le va a llegar información del cliente
2XX: éxito. que irá contenida en el cuerpo. Se suele utilizar en formularios.
3XX: redirección; para completar la ac- – HEAD: funciona como el GET, pero el servidor no devuelve el cuerpo
ción se deben realizar más operaciones. del mensaje, sino solo la línea inicial y las cabeceras.
4XX: error en el cliente.
Códigos de estado
5XX: error en el servidor.
El código de estado es un conjunto de tres dígitos que indica si la petición
ha sido aceptada por el servidor. En caso de haber sido denegada, también
indica la causa. Los códigos se dividen en cinco grupos diferenciados por
el primer dígito.

Gestión del estado de las conexiones. Cookies


HTTP no tiene memoria, por lo tanto no guarda información de transac-
ciones antiguas del cliente. Para ello deberemos utilizar un sistema externo:
las llamadas cookies.
Una cookie es un conjunto de datos que recibe el cliente y almacena a pe-
tición del servidor web. Fueron desarrolladas por la empresa Netscape en
RFC 6265 el año 1994.
La RFC que estandariza las cookies es
El servidor, gracias a las cookies, puede saber si un cliente se ha validado o
la 6265.
no con antelación a la petición actual. De ese modo, puede brindarle servicios
propios de usuarios registrados, como acceso a zonas privadas o configuración
de entornos. También se puede hacer un seguimiento del usuario a través
del sitio web. De este modo es posible generar estadísticas de uso del sitio.
Existen dos tipos de cookies:
– Origen: habilitadas por el sitio que estamos visitando.
http://xurl.es/rfc_6265 – Third-Party cookies o cookies a terceros: producidas por anuncios u otros
elementos externos al sitio visitado. Estas permiten realizar un segui-
miento de los usuarios a través de la web recopilando información
acerca de sus preferencias. Estos datos permitirán realizar perfiles no
autorizados sobre los gustos de los usuarios. Existen leyes en diferentes
países que las regulan.
Los usuarios pueden visualizar las cookies almacenadas por el UA y
borrarlas. También pueden configurar su recepción, permitiendo blo-
quear el acceso a determinadas cookies.

Ejemplo

A continuación se muestra un ejemplo de una cookie:


Set-Cookie:ID=81.203.9.72-3163514960.30207365:lv=1332677651256:ss=1332677651256;
Domain=.mozilla.org;Path=/;Expire=miércoles, 23 de marzo de 2022 13:14:11;HttpOnly
Unidad 4 - Servicio web (HTTP) 101

1.4 > Sistema criptográfico


El sistema criptográfico es un conjunto de operaciones que permiten trans-
mitir información de forma privada y segura entre emisor y receptor.
El mecanismo de cifrado consiste en aplicar un algoritmo sobre un texto
en claro de forma que se obtenga otro compuesto por letras y símbolos
que solo el receptor pueda leer.
Los dos métodos de cifrado que se estudian en esta unidad utilizan algo-
ritmos de clave simétrica y algoritmos de clave asimétrica:
– Clave simétrica (figura 4.4): es el sistema que utiliza la misma clave
tanto para cifrar como para descifrar el mensaje. Previamente, esta debe
ser compartida entre el emisor y el receptor. Ofrece como ventaja su ve-
locidad, por ello se utiliza para cifrar grandes cantidades de datos. Su
inconveniente es que, al viajar en claro, la clave puede ser interceptada
por un tercero.
Pública
– Clave asimétrica (figura 4.5): es el procedimiento que corrige el pro-
blema de la clave simétrica mediante el uso de dos claves: una pública,
que se puede enviar a todos los usuarios, y otra privada, que su pro-
Privada
pietario debe mantener en secreto. Estas claves son complementarias,
es decir, lo que se cifra con una solamente lo puede descifrar la otra y
4.3. Claves pública y privada.
viceversa. Su principal ventaja es que, como solo se transmite la clave
pública, aunque sea interceptada, las transmisiones seguras no se
verán comprometidas. Sus principales inconvenientes son que resulta
un proceso muy lento y que debe existir el modo de asegurar que la
clave pública realmente pertenezca a su dueño. Los dos elementos bá-
sicos utilizados por este sistema de cifrado son el certificado digital y
la firma electrónica.

Receptor

R
Emisor Receptor Emisor
Pública
1. Paso previo: compartir la clave
1. Paso previo: transmisión R

de la clave pública Privada

R R

2. Cifrado 4. Descifrado 2. Cifrado 4. Descifrado

3. Transmisión del mensaje cifrado 3. Transmisión del mensaje cifrado

4.4. Método de clave simétrica. 4.5. Método de clave asimétrica.


102

Firma electrónica
La firma electrónica amplía el concepto de firma manuscrita. Al firmar
electrónicamente un documento, además de asegurar que el firmante
Función Hash original es el origen de dicho documento y que él no pueda negar que en-
La función Hash es un algoritmo que al vió el mensaje, se verifica que su contenido no ha sido modificado. Estas
aplicarse sobre información de cualquier características se denominan autenticidad, no repudio e integridad de
tamaño genera un conjunto de bits de datos.
longitud fija que representa un resumen
único de dicha información. El proceso de firma electrónica consiste en cifrar el resumen de un docu-
mento con la clave privada del emisor. Así, todos los destinatarios que
tengan la clave pública del emisor podrán verificar su procedencia.

Certificado digital
Es el documento electrónico que acredita la correspondencia de una clave
pública con su propietario. Mediante un certificado digital se resuelve el
segundo problema en el cifrado de clave asimétrica, pero se plantea uno
nuevo: saber si el certificado es auténtico o si ha sido falsificado.
Dado que las claves públicas son accesibles por todos los usuarios y que
estos no suelen tener relación entre sí, es necesario encontrar el modo
que permita que un usuario confíe en el certificado de otro.
Para ello se acude a las autoridades de certificación o CA (Certification Au-
Autoridades de certificación (CA) thority), entidades en las que todos los usuarios confían y que se encargan
Los navegadores web admiten los certi- de distribuir y publicar los certificados digitales. Un ejemplo de CA es la
ficados firmados electrónicamente por Fábrica Nacional de Moneda y Timbre.
las CA que tienen en su lista sin informar
al usuario.
También existen los certificados que son firmados por la misma entidad
cuya identidad se certifica, los llamados certificados autofirmados. La
desventaja de estos certificados es que los navegadores no los reconocen
automáticamente.

1.5 > Funcionamiento del protocolo HTTPS


HTTPS se basa en el empleo de los protocolos criptográficos SSL/TLS (Secure
Socket Layer/Transport Layer Security) para establecer conexiones seguras entre
el cliente y el servidor.
El proceso de cifrado mediante claves asimétricas es muy lento, por lo que
no se aplica para cifrar páginas web. En su lugar, HTTPS emplea una com-
binación de algoritmos de clave asimétrica (SSL) y simétrica (TLS).
Con el protocolo HTTPS, el servidor se autentica frente al cliente mediante
el certificado digital, mientras que el cliente lo hace a través de un usuario
y una contraseña. El procedimiento es el siguiente (figura 4.6):
1. La primera vez que el cliente contacta con el servidor este último le
envía, mediante su certificado, la clave pública.
2. El cliente acepta dicha clave y genera otra clave simétrica de forma
aleatoria.
3. El cliente cifra un nombre de usuario y una contraseña para acceder al
servicio web mediante la clave simétrica generada.
4. El cliente cifra la clave simétrica con la clave pública del servidor. Para
ello utiliza el sistema de criptografía asimétrica.
Unidad 4 - Servicio web (HTTP) 103

5. Se transmiten al servidor tanto el usuario y la contraseña cifrados como


la clave simétrica cifrada.
6. El servidor descifra la clave simétrica a través de su clave privada.
7. La clave simétrica permite descifrar el nombre de usuario y la contraseña
que han viajado cifrados a través de la red.
8. El servidor comprueba si el usuario tiene acceso al servicio web. En
caso afirmativo, la conexión se habrá completado. A partir de este mo-
mento, cifrará las páginas web con la clave simétrica antes de transmi-
tirlas y el cliente, una vez las reciba, podrá descifrarlas usando esta
misma clave.

Clave simétrica creada aleatoriamente


S
2
1
S 6
3

Usuario y contraseña Clave simétrica


cifrados

5
S

4 7

8
Clave simétrica
cifrada Usuario y contraseña
descifrados

Cliente Servidor

4.6. Proceso para establecer una conexión segura.

El protocolo HTTPS es rápido y seguro porque aporta la rapidez del cifrado


asimétrico y aumenta su seguridad, ya que, gracias al cifrado asimétrico,
la clave simétrica es transmitida entre el cliente y el servidor sin compro-
meter su confidencialidad.
Este protocolo también permite que el cliente se autentique usando sus
propias claves asimétricas en vez del usuario y la contraseña.

1.6 > Arquitectura de las aplicaciones web


Las aplicaciones web son aquellas cuyo código es descargado total o par-
cialmente desde la web cada vez que son ejecutadas. También se conocen
como aplicaciones basadas en navegador, dado que se ejecutan dentro de
estos programas. Algunos ejemplos de aplicaciones web bien conocidas
son Wikipedia, Google, eBay o Facebook.
Este tipo de aplicaciones hacen uso de la tecnología cliente-servidor tanto
a través de una intranet como de Internet.
104

Ejecución de código en el cliente


El cliente representa en pantalla un documento generado a partir del
código HTML. Además, se hace cargo de la ejecución de las sentencias que
componen los scripts (programas), que se encuentran incorporados en el
código de las mismas. Por ejemplo, plugins como PDF o applets.
En la figura 4.7 se muestra el funcionamiento de una aplicación web,
Vocabulario cuyos pasos se describen a continuación:

Plugin o complemento: es un pe-


1. El navegador realiza una petición al servidor web.
queño programa que se instala en el na- 2. El servidor envía el documento completo en formato HTML junto con
vegador para ofrecerle nuevas funcio- las sentencias de código incorporado o un mensaje de error.
nalidades. 3. Los programas del lado del cliente son llamados por el navegador para
Applet: conjunto de sentencias inser- que traduzcan los scripts en tiempo de ejecución.
tadas en una página web para dotarla 4. El código interpretado se devuelve al navegador. Normalmente, se tra-
de interactividad. Los navegadores web duce a formato HTML.
necesitan de un plugin Java para poder 5. El navegador genera el documento y lo muestra en pantalla.
ejecutarlas.
Servlet: es la tecnología Java que ex-
tiende y mejora las funcionalidades de Cliente Servidor
los servidores web. Se encarga de res-
ponder peticiones del navegador, por
ello se ejecutan en el servidor.

Programas lado cliente 5


1 Apache,
Applets 4
Firefox, IIS7…
PDF Chrome…
Plugin 3 2
Servidor web
Navegador

4.7. Código ejecutado en el lado del cliente.

Ejecución de código en el servidor


La diferencia respecto a la ejecución de código en el lado del cliente
consiste en que son los programas del lado del servidor quienes interpretan
Ejecución de código mixta
y ejecutan los scripts, para luego generar como resultado código HTML,
Es una mezcla de los dos modelos vistos que posteriormente enviarán al navegador web.
con anterioridad, donde existe código
de programación para ejecutar en los
dos lados, tanto en el cliente como en
el servidor. Cliente Servidor

Programas lado servidor

PHP
Petición
al servidor Apache, Servlets

Firefox, IIS7…
Chrome… Servidor web
Navegador

4.8. Código ejecutado en el lado del servidor.


Unidad 4 - Servicio web (HTTP) 105

1.7 > Servidor virtual


Se denomina alojamiento virtual la técnica que permite hospedar diversos
sitios web sobre un mismo servidor de páginas web. A cada uno de estos
Lista de campos de cabecera
sitios se le llama servidor virtual.
HTTP
Los servidores virtuales pueden crearse utilizando varios métodos: Encontrarás la lista de campos de cabe-
– Alojamiento basado en dirección IP: cada servidor virtual debe tener cera de los mensajes HTTP y concreta-
asignada una dirección IP diferente. Este método tiene varias desventajas, mente el campo host en el siguiente URL:
entre las que se encuentran la gestión que comporta la asignación de
las direcciones IP o la creación de interfaces virtuales en el servidor
web, la administración de las direcciones ante los organismos oficiales
y el agotamiento de las direcciones IP disponibles.
– Alojamiento basado en número de puerto TCP no estándar: asigna
un puerto diferente a cada servidor virtual. No se utiliza debido a
que, para ello, el usuario debería conocer el puerto en el que escucha http://xurl.es/http_headers
el servidor web.
– Alojamiento basado en nombre de dominio: cada servidor virtual
tiene asignado su propio nombre de dominio. Por ejemplo, un servidor
web podría alojar varios sitios web con nombres de dominio diferentes,
como www.uoc.edu, www.uam.es o www.uab.es.
Debido a su sencillez, el último método descrito es el más empleado. Ade-
más, puede utilizarse con varios servicios de red y hacer uso de una única
dirección IP.
Para implementar el servidor virtual basado en nombre de dominio, es
necesario realizar dos acciones:
– Un servidor web se deberá configurar para que pueda identificar los
nombres de los servidores virtuales. Además, el navegador web rellena
con el nombre de un sitio web el campo llamado host, que pertenece a
la cabecera del mensaje HTTP, y realiza la petición. Esto permite al
servidor web reconocer el servidor virtual al que va dirigida la solicitud.
En la versión 1.1 del protocolo HTTP aparece por primera vez esta
nueva característica.
– Los nombres de host deberán registrarse en el servidor DNS para que
pueda resolver la dirección IP del servidor web.
A veces se realizan peticiones a servidores virtuales que ya no existen. Si
se configura un servidor virtual por defecto, se asegura que la petición
será atendida.

Servidores virtuales
Servidor web www.uoc.edu
Petición HTTP: 80
www.uam.es

Cliente www.uab.es
Equipo servidor

4.9. Servidores web virtuales basados en el nombre de dominio.


106

2 >> Servicios web en sistemas GNU/Linux


En esta ocasión, el trabajo que vais a desarrollar en ServPubli consistirá
en la instalación y configuración de un servicio que permita a los usua-
Para saber más rios acceder, por ejemplo, a distintos tipos de información, a servicios
Sitio web de The Apache Software Foun- internos de comunicaciones para tener la posibilidad de realizar video-
dation: conferencias, mensajería instantánea, etc.
En los contactos previos, la empresa os comunicó algunos de los problemas
que venía sufriendo: replicación de la misma información en distintos or-
denadores, inconsistencia de los datos almacenados, ausencia de control
sobre quién accede a la información más sensible y falta de fluidez en las
comunicaciones internas.

http://www.apache.org Por tanto, el plan de trabajo pactado con los representantes de la empresa
incluye cubrir las siguientes necesidades:
– Disponer de acceso centralizado a través de la red a determinada infor-
mación, como puede ser documentación, programas, archivos multi-
media, etc.
– El método de trabajo tiene que ser sencillo y utilizará herramientas in-
tuitivas y fáciles de usar.
– Los trabajadores de la empresa deben poder acceder a los mismos docu-
mentos independientemente del ordenador que estén usando en cada
momento.
– Cada trabajador solo podrá acceder a los datos que el administrador del
sistema le permita.
Una vez analizados estos requerimientos y valoradas las distintas alterna-
tivas, optáis por implantar el servicio web como solución a las necesidades
actuales.
Las justificaciones que presentáis a la empresa sobre el uso de este servicio
son las siguientes:
– Todos los datos están organizados y centralizados evitando duplicidades
y garantizando la integridad.
– Este servicio permite alojar distintos tipos de datos.
– El acceso a estos datos se puede restringir, de forma que cada usuario
vea solo la información para la que está autorizado. Además la infor-
mación podrá ser cifrada.
– Los usuarios ya conocen la herramienta que les permitirá acceder al
servidor: el navegador web.
– Actualmente, este servicio solo podrá ser usado desde la red de área
local, aunque, en cualquier momento, se puede permitir el acceso desde
el exterior.
Esta vez, la elección del software para implementar el servidor ha sido fácil.
Os habéis decidido por el servidor web de código abierto Apache, desarrollado
y mantenido por The Apache Software Foundation desde 1999.
Según Netcraft LTD, una importante compañía de servicios de Internet,
Apache es el servidor web más usado en esta red, con una cuota actual de
mercado próxima al 65%.
Unidad 4 - Servicio web (HTTP) 107

2.1 > Instalación del servidor


Sigue las indicaciones que se realizan a continuación para proceder a la
instalación del servidor HTTP:
Paquete que se debe instalar
1. Abre una sesión gráfica en el servidor. apache2
2. Abre el gestor de paquetes Synaptic.
3. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo-
nibles en los repositorios de Internet que están configurados. Espera
unos segundos mientras termina este proceso.
4. Haz clic sobre el botón Buscar para acceder a la herramienta de bús-
queda.
5. Escribe apache2 en el cuadro de texto y haz clic en el botón Buscar
(figura 4.10).
6. Selecciona apache2 haciendo clic sobre el nombre del paquete y lee la
información adicional mostrada debajo de la lista. 4.10. Herramienta Buscar.
7. Haz clic sobre la casilla de verificación que se encuentra delante del
nombre del paquete que has seleccionado, de esta manera lo marcas
para instalar.
8. Se abrirá un diálogo que te advierte que para poder instalar apache2
es necesario marcar otros paquetes. Haz clic en el botón Marcar para
permitir estos cambios adicionales.
9. Asegúrate de que la casilla de verificación correspondiente al paquete
apache2 se encuentra marcada y haz clic sobre el botón Aplicar para
iniciar la instalación.

4.11. Selección de paquetes.

10. Se abrirá la ventana Resumen que muestra información sobre la insta-


lación que vas a realizar. Analízala y haz clic en el botón Aplicar para
comenzar la descarga e instalación de los paquetes. Durante este pro-
ceso se abre la ventana de diálogo Aplicando cambios, que se cerrará au-
tomáticamente al finalizar la instalación para dar paso a la ventana
Cambios aplicados (figura 4.12).
11. Lee atentamente el contenido del diálogo Cambios aplicados y, a conti-
nuación, haz clic sobre el botón Cerrar.
12. Haz clic en el botón Cerrar de la ventana de Synaptic para salir de la
4.12. Ventana Cambios aplicados.
aplicación.
108

2.2 > Configuración del servidor


Después de instalar el servidor web, el siguiente paso es crear y configurar
estos servidores virtuales basados en el nombre:
– www.servpubli.com: servidor de uso general con acceso anónimo.
– webapp.servpubli.com: aplicación segura de comunicaciones.
– software.servpubli.com: almacena software de uso general y los ma-
nuales correspondientes.
Para dotar de seguridad a los servidores virtuales aplicarás, por separado o
en conjunto, estas tareas:
– Crear los mecanismos necesarios para permitir o denegar el acceso al
servidor, dependiendo de las credenciales que presente el cliente.
– Configurar el servidor virtual para que, mediante el cifrado de la infor-
mación, se garantice tanto la confidencialidad como la autenticación
del servidor frente al cliente.
Repasa la información de configuración de la red y del hardware de Serv-
Publi antes de seguir estas indicaciones y realizar las actividades. Está in-
formación está detallada en el epígrafe 2.1 de la Unidad 1.

Acceso al módulo Servidor Web Apache


Sigue estas indicaciones para actualizar la lista de servidores en Webmin:
1. Abre el navegador web en el servidor y accede a Webmin.
2. Haz clic sobre el enlace Servidores del menú principal. Puedes encontrar
este menú en el lado izquierdo de la ventana.
3. Date cuenta de que, aunque acabas de instalar el servidor web Apache,
este no aparece en la lista de servidores disponibles. Haz clic sobre el
enlace Refresh Modules (figura 4.13) para que Webmin agregue el servidor
HTTP en su menú. Espera unos segundos mientras Webmin busca los
módulos instalados y actualiza la lista.
4.13. Refrescar módulos. 4. Ahora, si accedes a la sección Servidores, ya podrás ver el enlace Servidor
Web Apache.

4.14. Servidores disponibles.


Unidad 4 - Servicio web (HTTP) 109

Creación de un servidor virtual de acceso anónimo


Sigue estos pasos para crear un servidor virtual de acceso anónimo:
1. Para dar contenido al servidor www.servpubli.com, crea el archivo Advertencia
/var/www-anonimo/index.html de forma que, al visualizarlo desde el
Es posible que necesites permisos de su-
navegador, se lea el mensaje: Portal web de uso general de ServPubli.
perusuario para crear el contenido de
2. Abre Webmin y accede al enlace Servidor Web Apache de la sección Servi- los servidores virtuales.
dores del menú principal.
3. En la pestaña Existing virtual hosts (figura 4.15) encontrarás los servidores
virtuales creados en el servidor web Apache. Después de la instalación
serán: Directorio de servidores
– Servidor por defecto: se usa como plantilla para crear servidores web. virtuales
– Servidor virtual automático: si la petición del cliente no corresponde /etc/apache2/sites-availables
al nombre de ningún otro servidor, será este servidor quien la atienda.

4.15. Módulo Servidor Web Apache.

4. Haz clic en la pestaña Create virtual host para crear un servidor.


5. Rellena los campos según la figura 4.16.
6. Haz clic sobre el botón Crear Ahora.

Directorio de servidores
virtuales habilitados
/etc/apache2/sites-enabled

4.16. Crear el servidor virtual.

7. Haz clic sobre el enlace Aplicar cambios. Lo encontrarás en la esquina su-


4.17. Aplicar cambios.
perior derecha del módulo Servidor Web Apache (figura 4.17).
110

Emisión de un certificado autofirmado


El primer paso para configurar un servidor seguro es obtener un certificado
que será usado en la comunicación HTTPS. Este certificado puede ser emi-
tido por autoridades certificadoras reconocidas o por la propia empresa u
organización actuando como autoridad certificadora para sí misma. En
este último caso, se denominan certificados autofirmados.
Como ServPubli va a usar el certificado internamente y no quiere invertir
dinero para conseguirlo, le proponemos generar su propio certificado.
Sigue estos pasos para crear un certificado autofirmado:
1. Abre Webmin y despliega la sección Webmin del menú principal.
2. Accede al enlace Configuración de Webmin.
3. Acabas de acceder al módulo que permite la configuración general de
esta aplicación (figura 4.18). Haz clic sobre el enlace Encriptación SSL.

4.18. Módulo Configuración de Webmin.

4. Esta página te permite gestionar los certificados que usa Webmin;


podrás, por ejemplo, crearlos, importarlos, etc. Accede a la pestaña
Create Certificate para crear una clave y un certificado nuevos.

4.19. Módulo Encriptación SSL.


Unidad 4 - Servicio web (HTTP) 111

5. Comprueba que la opción localhost del control Nombre de servidor en URL


esté marcada.
6. Elimina el contenido del campo Organización y escribe el nombre de la Para saber más
empresa: ServPubli. Web de la Organización Internacional
7. El código ISO para España es ES. Escríbelo en el cuadro de texto Código para la Estandarización:
de país.
8. En el campo Escribir clave a archivo se especifica el fichero donde se al-
macenará tanto el certificado como la clave privada. Introduce en este
campo /etc/apache2/CertificadoServPubli.pem.
9. Selecciona la opción No del control ¿Utilizar la nueva clave inmediatamente?
Si no lo haces así, el propio Webmin cambiaría el certificado que usa
actualmente para su conexión HTTPS por el que vas a crear. Esta situa- http://www.iso.org
ción conllevaría que tu navegador web, al no reconocer el nuevo cer-
tificado, mostrará un mensaje de advertencia indicando que la conexión
con Webmin no está verificada.
10. Haz clic sobre el botón Crear ahora para crear el archivo con la clave
privada y el certificado.

4.20. Crear un certificado

11. Después de crearlo, se muestra el contenido del archivo que se acaba


de crear, CertificadoServPubli.pem (figura 4.21):
– La primera parte del archivo contiene la clave privada.
– La segunda parte del fichero guarda el certificado y, por tanto, la
clave pública.
Este archivo es de vital importancia para la seguridad del servidor vir-
tual, por lo que no debe estar al alcance de otros usuarios del sistema
ni, por supuesto, ser accesible mediante el propio servidor web.
12. Haz clic sobre el enlace Regresar a configuración de Webmin para volver
4.21. Clave privada y certificado.
al módulo Configuración de Webmin.
112

Activación del módulo de criptografía


Para poder crear un servidor seguro y usar el protocolo HTTPS es necesario
activar el módulo mod_ssl (o ssl). Sigue estas indicaciones:
Módulo de criptografía
1. Abre Webmin y accede al enlace Servidor Web Apache de la sección Servi-
mod_ssl o ssl
dores del menú principal.
2. Accede a la pestaña Global configuration.
3. Haz clic sobre el enlace Configure Apache Modules (figura 4.22).

4.22. Configuración global.

4. Marca la casilla de verificación del módulo ssl.


5. Luego haz clic sobre el botón Enable Selected Modules.

Directorio de módulos instalados


/etc/apache2/mods-availables

Directorio de módulos
habilitados
/etc/apache2/mods-enabled

4.23. Configuración de módulos de Apache.


Unidad 4 - Servicio web (HTTP) 113

Creación de un servidor virtual cifrado con HTTPS

Una vez habilitado el módulo ssl ya se puede crear un servidor virtual ci-
frado. Para esto, primero vas a crear un servidor que escuche las peticiones
Recuerda
de los clientes por el puerto HTTPS (443) y, luego, configurarás sus pará-
metros SSL. Sigue estos pasos: Encontrarás las indicaciones para crear
un registro CNAME en el epígrafe 4.2
1. Para dar contenido al servidor webapp.servpubli.com, crea el archivo (Configuración del servidor DNS) de la
/var/www-seguro/index.html de forma que, al visualizarlo desde el navega- Unidad 2 de este libro.
dor, se lea el mensaje: Portal web seguro de ServPubli.
2. Para acceder a este servidor se usará el nombre webapp.servpubli.com.
Crea un registro de alias de este nombre en el servidor DNS.
3. Abre Webmin y accede al enlace Servidor Web Apache de la sección Servi-
dores del menú principal.
4. Haz clic en la pestaña Create virtual host para crear un servidor.
5. Rellena los campos según la figura 4.24 y haz clic en el botón Crear Ahora.

4.24. Crear servidor virtual con puerto HTTPS.

6. Fíjate en que el servidor que acabas de crear ya aparece en la lista. Haz


clic sobre su correspondiente enlace Servidor Virtual.

4.25. Servidores virtuales existentes.


114

7. Ahora haz clic en el icono Opciones SSL.

4.26. Índice del servidor virtual.

8. Selecciona Sí en el control ¿Activar SSL?


9. Cambia la casilla de opción del control Archivo de certificado/Clave privada
y escribe el nombre del archivo que contiene el certificado y la clave
privada /etc/apache2/CertificadoServPubli.pem.
10. Haz clic sobre el botón Salvar. De esta forma guardas la nueva configu-
Advertencia
ración y vuelves a la ventana del índice del servidor virtual.
No se cumplimentará el campo Archivo
de clave privada porque esta clave y
el certificado se guardan en el mismo
archivo.

4.27. Opciones SSL del servidor virtual.

11. Al final de esta ventana, bajo la sección Opciones de Servidor Virtual, en-
contrarás el enlace Regresar a lista de servidores. Haz clic en él.

4.28. Opciones del servidor virtual.

12. El servidor virtual no estará disponible para los clientes hasta que se
apliquen los cambios. Haz clic sobre el enlace Aplicar cambios que en-
4.29. Aplicar cambios.
contrarás en la esquina superior derecha (figura 4.29).
Unidad 4 - Servicio web (HTTP) 115

Configuración de un servidor virtual con autenticación básica


Ya has configurado el servidor webapp.servpubli.com para que la infor-
mación viaje cifrada entre él y los clientes. De modo que, si alguien inter-
ceptara el mensaje, sería muy difícil saber su contenido real. Módulo de autenticación básica
mod_auth_basic o auth_basic
Además, gracias al protocolo HTTPS, el cliente tiene la certeza de que la
información que recibe proviene del servidor original, es decir, que ningún
atacante ha suplantado su identidad.
Ahora es el servidor quien debe asegurarse de que solo contesta a los
clientes autorizados para acceder a la información que guarda. Cuando se
crea un nuevo servidor virtual, por defecto, se puede acceder a él de forma
anónima. Si se quiere tener un control de acceso, una de las posibilidades
es usar el módulo de autenticación básica, ya que permite al cliente intro-
ducir un usuario y una contraseña. Después de comprobar estos datos, el
servidor permitirá o denegará el acceso.
Como este módulo se instaló y habilitó automáticamente en el momento
de la instalación de Apache, puedes usarlo directamente. Sigue estos pasos
para crear y restringir el acceso a un servidor virtual:
1. Abre Webmin y accede al enlace Directorios Web Protegidos de la sección
Otros del menú principal (figura 4.30).
2. Haz clic sobre el enlace Agregar protección para un nuevo directorio.

4.30. Menú Webmin.

4.31. Módulo Directorios web protegidos.

3. Rellena los campos según la figura 4.32.


4. Pincha el botón Crear para volver a la lista de directorios protegidos.

Advertencia
El archivo que contiene los usuarios es
muy importante para la seguridad del
servidor virtual. Crear este archivo en
directorios con acceso restringido a la
mayoría de usuarios es una muy buena
práctica.

4.32. Agregar directorio protegido.


116

Gestión de usuarios de autenticación básica


Ya has protegido un directorio web asociándolo a un archivo de usuarios
y contraseñas vacío. Sigue estos pasos para añadir usuarios a este fichero:
1. Abre Webmin y accede al enlace Directorios Web Protegidos de la sección
Otros del menú principal.
2. Observa en la lista de directorios y usuarios que no se han definido
usuarios para la carpeta /var/www-seguro.
3. Haz clic sobre el enlace Agregar un nuevo usuario.

4.33. Lista de directorios protegidos y usuarios asociados.

4. Rellena los campos del formulario Crear Usuario según la figura 4.34.
5. Haz clic sobre el botón Crear para dar de alta al nuevo usuario.
6. Comprueba que el usuario aparece en la lista.

4.34. Creación de un usuario asociado a un directorio protegido.

Actividades propuestas

1·· Añade los siguientes usuarios a la lista de usuarios de autenticación básica: luisa y jaime.
2·· Crea un nuevo servidor virtual con autenticación básica teniendo en cuenta las siguientes indicaciones: el
nombre del servidor será software.servpubli.com, usará el protocolo HTTP, atenderá las peticiones por el
puerto 80, se alojará en el directorio local /var/www-software y usará el mismo archivo de usuarios que el
servidor virtual webapp.servpubli.com.
Unidad 4 - Servicio web (HTTP) 117

2.3 > Comprobaciones


Verificación del estado del servicio
Sigue estos pasos para asegurarte de que el servidor está en ejecución: Datos de acceso
1. Abre Webmin en el navegador web del servidor, despliega el menú Usuario: admincliente
Otros y haz clic sobre el enlace Estado de sistema y de Servidor. Contraseña: Cli3nt@
2. Busca el servicio Apache Webserver y comprueba que, a su derecha, hay
un símbolo de color verde que indica que está iniciado.

Proceso del servidor HTTP


/usr/sbin/apache2

4.35. Estado del sistema y del servidor.

Verificación del acceso al servidor virtual anónimo


1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre el icono Navegador web Firefox que se encuentra en el
panel lateral.
3. Accede a la dirección http://www.servpubli.com.
4. Comprueba que el contenido de la página coincide con el del servidor
(figura 4.36).

Verificación del acceso al servidor virtual seguro 4.36. Acceso al servidor anónimo con
Firefox.
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Abre Firefox y accede a https://webapp.servpubli.com.
3. Haz clic con el ratón sobre Entiendo los riesgos y sobre el botón Añadir
excepción (figura 4.38).
4. Lee el contenido de la nueva ventana y haz clic sobre
el botón Confirmar excepción de seguridad (figura 4.38).
5. Teclea el usuario y su contraseña en la ventana Iden-
tificación requerida (figura 4.37).
6. Pincha el botón Aceptar y comprueba que el conte-
nido de la página coincide con el del servidor.

4.37. Acceso al servidor seguro con Firefox. 4.38. Verificación de la conexión.


118

3 >> Servicio web en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la tercera tarea que debéis realizar es la implantación de un servidor
Para saber más web que permita a los empleados compartir diversa información de la
Puedes obtener soporte técnico de Mi- empresa:
crosoft para el servicio HTTP en el si-
guiente URL:
– Página web de la intranet, donde se publican las novedades acerca de la
empresa, como por ejemplo sus nuevos objetivos y políticas.
– Aplicación web interna, donde se realiza la comunicación entre emplea-
dos, mediante videoconferencia o mensajería instantánea.
Internet Information Services (IIS) es el servidor web que ya viene incor-
porado en Windows Server 2008.

http://xurl.es/http_ms
Internet Information
Services (IIS) 7.0

Windows Process IIS World Wide Núcleo de


Activation Service Web Publishing hospedaje web
(WAS) de IIS Service (W3SVC) de IIS

Application Host
Inventario de Sitio web de IIS Helper Service
aplicación de IIS (AppHostSvc) de IIS

Active Server
Servicio de adminis-
Proceso de Pages (ASP)
tración web de IIS
trabajo de IIS
(WMSVC)

Adaptador de
Servicio IISAdmin
protocolo de IIS

Servicio FTP de IIS

4.39. Infraestructura IIS en Windows Server 2008.

Antes de empezar a trabajar con el servidor web, debéis estudiar los requi-
sitos y la información que os ha proporcionado ConRecuerdos.org:
– Todos los empleados conocen la herramienta que les permite acceder a
cualquiera de los servicios: un navegador web.
– La página web de la intranet es accesible desde cualquier equipo de
la red, lo único que es necesario es que tenga instalado un navegador
web.
– La aplicación web interna tendrá el acceso restringido, de forma que
cada usuario solo podrá ver la información para la que está autorizado.
– Este servicio solo podrá ser usado desde la red de área local, aunque, en
cualquier momento, se puede permitir el acceso desde el exterior.
Unidad 4 - Servicio web (HTTP) 119

3.1 > Instalación del servidor


Sigue estas indicaciones para instalar el servidor IIS:

1. Haz clic en el botón Inicio y, a continuación, selecciona la opción Admi- Recuerda


nistrador del servidor. Los datos para acceder como usuario
2. En la ventana que aparece, pincha la opción Agregar funciones, que se administrador son:
encuentra en el bloque Resumen de funciones de la parte derecha de la – Usuario: adminservidor
ventana. – Contraseña: S3rvid@r

4.40. Sección Administrador del servidor.

3. En la primera ventana del Asistente para agregar funciones se te informa


de las comprobaciones previas que debes realizar para instalar correcta-
mente cualquier tarea en el servidor. Léelas atentamente y haz clic
sobre el botón Siguiente.
4. En la ventana Seleccionar funciones de servidor, marca
la casilla de verificación Servidor web (IIS) y haz clic
en Siguiente (figura 4.42).
5. La instalación de IIS requiere agregar servicios adi-
cionales que se encuentran incluidos en el llamado
Servicio WAS (Windows Process Activation Service). Pin-
cha Agregar características requeridas (figura 4.41).

4.41. Agregar características requeridas. 4.42. Seleccionar funciones del servidor.


120

6. La ventana Servidor web (IIS) indica algunos factores que se deben tener
en cuenta antes de instalar el servidor web. Una vez hayas leído y en-
tendido dicha información, haz clic sobre el botón Siguiente.
7. En la ventana que aparece deja marcadas las casillas que ya lo están y
pincha Siguiente.

4.43. Seleccionar servicios de función.

8. Para iniciar la instalación haz clic en Instalar.

Editor del registro


La información del servicio web en el
editor del registro se encuentra en la 4.44. Confirmar selecciones de instalación.
siguiente clave:
HKEY_LOCAL_MACHINE\System\ 9. Transcurridos unos minutos, la instalación del servidor web habrá ter-
CurrentControlSet\Services\W3SVC minado. Si todo es correcto, finaliza haciendo clic en Cerrar.
Unidad 4 - Servicio web (HTTP) 121

3.2 > Configuración del servidor


Creación de un sitio web
Vas a crear un sitio web que se utilizará para publicar la web de la intranet
empresarial. Sigue estos pasos:
Administrador de IIS
1. Crea el archivo C:\SitiosWeb\www\index.html, con formato HTML, que mues-
Una vez instalado el servicio HTTP, pue-
tre el siguiente contenido: Portal web de ConRecuerdos.org.
des administrarlo si vas a la siguiente
2. Abre el administrador de IIS.
ruta:
3. Selecciona y haz clic con el botón secundario del ratón en SERVIDOR.
Inicio / Herramientas administrativas /
Elige la opción Agregar sitio web del menú contextual.
Administrador de Internet Information
Services (IIS)

4.45. Opción Agregar sitio web…

4. En el cuadro de diálogo Agregar sitio web, rellena los campos como apare-
cen en la figura 4.46. Para finalizar, haz clic en Aceptar.
Podrás ver una nueva entrada en la lista desplegable Sitios llamada 4.46. Agregar sitio web.
www.

Creación de un certificado
Ahora vas a crear un certificado, de tipo autofirmado, que es un requisito
previo para poder configurar un sitio web seguro. Sigue estos pasos:
1. Abre el administrador de IIS.
2. Selecciona SERVIDOR y haz doble clic en el icono Certificados de servidor,
que está en la parte central de la ventana
3. En el apartado Acciones, que se encuentra en la parte derecha de la ven-
tana, pincha la opción Crear certificado autofirmado.

4.47. Opción Crear certificado autofirmado.


122

4. En la ventana Crear certificado autofirmado, escribe un nombre para el


certificado, por ejemplo *CertificadoConRecuerdosOrg. Haz clic en Aceptar.
Aparecerá el nuevo certificado en la lista Certificados de servidor.
Nombre del certificado
En el caso de que se vaya a crear un
servidor virtual para un sitio web seguro
(HTTPS), es obligatorio que el nombre
del certificado empiece con el símbolo
asterisco (*). Si no se hace esto, IIS no
permite configurar el encabezado de
host del servidor virtual.

4.48. Crear certificado autofirmado.

Creación de un sitio web seguro con HTTPS


Una vez tienes el certificado autofirmado, tienes que crear y configurar
un nuevo sitio web seguro con el protocolo HTTPS, que se utilizará para
publicar la aplicación web de la intranet empresarial. Sigue estos pasos:
1. Crea el archivo C:\SitiosWeb\webapp\index.html, con formato HTML, que
muestre el siguiente contenido: WebApp de ConRecuerdos.org.
2. Abre el administrador de IIS.
3. Selecciona y haz clic con el botón secundario del ratón en SERVIDOR.
Elige la opción Agregar sitio web del menú contextual.

4.49. Ventana Agregar sitio web.

4.50. Opción Agregar sitio web...

4. En la ventana Agregar sitio web, rellena los campos como aparecen en la


figura 4.49. Acaba con un clic en Aceptar.

Actividades propuestas

3·· En el servidor DNS, crea el RR CNAME con el nombre webapp para que resuelva el sitio web seguro.
Unidad 4 - Servicio web (HTTP) 123

Instalación del módulo de autenticación básica


Además de configurar el sitio con HTTPS, es necesario que los usuarios se
autentiquen para poder acceder a la información que se encuentra publi-
Seguridad de la autenticación
cada en la aplicación web de la intranet empresarial. Para ello, se debe
básica
instalar el módulo de autenticación básica. Sigue estos pasos:
La autenticación básica solicita al usua-
1. Abre el administrador del servidor. rio un nombre y una contraseña.
2. Haz clic sobre la opción Servidor web (IIS) que se encuentra en la ruta Esta información se envía sin cifrar y,
Administrador del servidor (SERVIDOR) / Funciones. por tanto, es muy recomendable em-
3. Haz clic sobre la opción Agregar servicios de función que puedes localizar plear el método de autenticación básica
en el bloque Resumen / Servicios de función. junto a un medio de transporte encrip-
tado, como HTTPS.

4.51. Sección Administrador del servidor.

4. En la ventana Seleccionar servicios de función, marca la casilla de verificación


Autenticación básica dentro de la subcategoría Seguridad. A continuación,
haz clic en Siguiente.

4.52. Seleccionar servicios de función.

5. Para iniciar la instalación, haz clic en el botón Instalar.


6. Tras unos minutos, la instalación del módulo de autenticación ha ter-
minado. Si la instalación es correcta, finaliza con un clic en Cerrar.
124

Configuración del sitio seguro con autenticación básica


Una vez instalado el módulo de autenticación, ya es posible configurar un
sitio para que sea accesible con usuario y contraseña. Sigue estos pasos:
Usuarios de la autenticación
1. Abre el administrador de IIS.
básica
2. Selecciona el sitio SERVIDOR/Sitios/webapp y haz doble clic sobre el icono
Los usuarios que pueden acceder a un Autenticación, que está en la parte central de la ventana.
sitio web configurado con autenticación
básica son aquellos que tienen una
cuenta de Windows (credenciales) en el
servidor.

4.53. Opción Autenticación.

3. Haz clic con el botón secundario sobre Autenticación básica y elige la


opción Habilitar del menú contextual.

4.54. Deshabilitar autenticación anónima.


4.55. Habilitar autenticación básica.

4. Aunque hayas activado la autenticación básica, el sitio también tiene


habilitada la autenticación anónima, por lo que todavía es accesible
por cualquier usuario. Es necesario, pues, desactivar este tipo de acceso.
Para ello, haz clic con el botón secundario sobre Autenticación anónima y
elige la opción Deshabilitar del menú contextual (figura 4.54).

Actividades propuestas

4·· En Active Directory, crea un usuario de nombre prueba y contraseña U$u4r1o y comprueba si puedes au-
tenticarte en el sitio web seguro.
Unidad 4 - Servicio web (HTTP) 125

3.3 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
Por una parte, en el servidor se verifica el estado del proceso y, por otra,
en el cliente se confirma que se puede acceder a los sitios web internos. Estado del servicio web
El servicio web tiene tres posibles esta-
Verificación del estado del servicio dos de inicio:
– Automático: está iniciado y se iniciará
Para comprobar el estado del servicio web, ve a la ruta Inicio / Herramientas
cada vez que arranca el ordenador.
administrativas y haz clic sobre Servicios. En la ventana que aparece busca – Manual: está detenido y se debe iniciar
Servicio de publicación WWW. Una vez lo hayas encontrado, si el campo manualmente.
Estado tiene el valor Iniciado y en Tipo de inicio aparece Automático, quiere – Deshabilitado: está detenido y no se
decir que el servicio web está en funcionamiento y que se iniciará auto- puede iniciar de ningún modo.
máticamente cada vez que arranque el equipo servidor.

4.56. Ventana Servicios.


4.57. Acceso anónimo al sitio www.

Verificación del acceso anónimo al servicio con HTTP


Sigue estos pasos para comprobar si se abre correctamente la URL donde
se aloja la web de la intranet, que funciona sobre el protocolo HTTP:
1. En el equipo cliente abre el programa Internet Explorer, que puedes en-
contrar en la ruta Inicio / Todos los programas.
2. Escribe la dirección http://www.conrecuerdos.org en el URL del navegador
web y pulsa la tecla <Intro>.
Si el servicio HTTP funciona correctamente, aparecerá la página web de la
intranet (figura 4.57).

Verificación del acceso autenticado al servicio con HTTPS 4.58. Aviso de certificado no firmado.

Ahora comprueba el correcto funcionamiento del URL donde se encuentra


la aplicación web de la intranet, que funciona con el protocolo HTTP
seguro, es decir, sobre HTTPS. Para ello, sigue estos pasos:
1. En el equipo cliente, abre el programa Internet Explorer.
2. Escribe en el URL la dirección https://webapp.conrecuerdos.org y pulsa la
tecla <Intro>.
3. El navegador muestra un aviso (figura 4.58), ya que el certificado que
hemos creado no está firmado por ninguna CA, sino por nosotros mismos
(autofirmado). Haz clic en Vaya a este sitio web (no recomendado).
4. En la ventana que aparece, introduce el nombre y la contraseña del
usuario prueba que has creado en una actividad del epígrafe anterior.
4.59. Acceso autenticado al sitio webapp.
Si el servicio HTTPS funciona correctamente, aparece la página de la apli-
cación web (figura 4.59).
126

Actividades finales

.: CONSOLIDACIÓN :.
1·· Explica la diferencia entre URL y URN.
2·· ¿Qué campos marcan la diferencia entre un URI y un URL?
3·· ¿Qué son las Third-Party cookies?
4·· En el método de clave pública, ¿qué utilidad tiene cifrar un mensaje con la clave privada?
5·· Respecto al método de cifrado de la actividad anterior, busca en Internet información acerca del problema co-
nocido como man in the middle.

.: APLICACIÓN :.
1·· Localiza en la sección Privacidad de tu navegador la configuración de la política de cookies que tienes activada.
Comprueba la lista de cookies que almacena el cliente web en tu ordenador.

2·· Introduce el URL http://www.youtube.com en tu navegador. Busca la cookie de nombre PREF del sitio Youtube
y rellena en tu cuaderno los siguientes campos:

Nombre Contenido Dominio Ruta Enviar para Expira

3·· Elimina todas las cookies y establece la política de privacidad del navegador de forma que no acepte cookies.
Ahora accede al URL http://es.rs-online.com y añade cualquier producto al carrito de la compra. ¿Qué ha sucedido?
Configura el navegador para que acepte cookies. Repite la operación.

4·· Comprueba el listado de CA (autoridades certificadoras) cuyos certificados están instalados por defecto en tu
navegador. Anota la fecha de caducidad del certificado de Microsoft y de Verisign.

5·· Revisa los campos del certificado de Microsoft instalado y apunta el tamaño de la clave pública, el algoritmo de
la clave pública del sujeto y el algoritmo de firma del certificado. ¿Son iguales?

6·· Desde la página web de la Fábrica Nacional de Moneda y Timbre (www.fnmt.es), descarga el archivo que contiene
el certificado raíz FNMT (FNMTClase2CA.cer) e instálalo en tu navegador. Verifica que aparece entre las CA disponibles.

7·· Copia el URL http://www.cis.upenn.edu/~matuszek en el navegador y haz clic sobre el último enlace que apa-
rece en pantalla, denominado Java version test page. En esta página encontrarás una serie de applets que te mues-
tran las diferentes versiones de la máquina virtual Java. Comprueba la versión de Java que tienes instalada.

8·· Dirígete a la página web http://eyeos.org/es. Navega por el sitio web a través del menú Tecnología / Punto de
vista técnico. Busca y anota los lenguajes y técnicas utilizados en la capa de aplicación del cloud desktop Eyeos.

9·· Vas a realizar una captura en el equipo cliente de los mensajes HTTP que se envían por red al realizar una pe-
tición a un servidor web GNU/Linux. Para ello, inicia un navegador web, luego prepara la aplicación Wireshark e ini-
cia la operación de captura. Introduce el URL http://www.servpubli.com en el navegador y detén la captura.

Ahora selecciona el mensaje HTTP que devuelve el servidor y responde a las siguientes cuestiones:

a) Indica la dirección IP del cliente y del servidor.


b) ¿Cuáles son los puertos de origen y destino del mensaje?
c) Localiza el código HTML de la página web que devuelve el servidor.
Unidad 4 - Servicio web (HTTP) 127

Caso final 1

HTTP en redes pequeñas


·· La academia AulaEasy quiere ofrecer sus servicios en Internet. Para ello, necesita contratar un dominio y
un servicio de hosting (alojamiento web). Os pregunta si existe la posibilidad de realizarlo de forma gratuita.
Esto le permitiría lo siguiente:
– Comprobar las necesidades reales: cuentas de correo necesarias, espacio de alojamiento web, necesidades
de tráfico...
– Comprobar la viabilidad funcional: aceptación de la plataforma por parte de los usuarios, tanto alumnos
como profesores.
– Y, si la valoración fuera positiva, poder hacer lo siguiente:
• Contratar un servicio de alojamiento web adecuado a sus especificaciones.
• Registrar un dominio de pago que dé la posibilidad de proteger el nombre de la empresa en Internet y presen-
tarla a todos los potenciales usuarios de la World Wide Web, para añadir así valor a la empresa.

Solución ·· Existen empresas que ofrecen la posibilidad de adquirir un subdominio para recibir un servicio
de hosting gratuito. Los ingresos de estas empresas proceden de la publicidad o de los clientes que una vez
probado el servicio utilizan una cuenta de pago.
Proponéis a vuestro cliente contratar los servicios de
la empresa Nixiweb.
Una vez haya aceptado la propuesta, debes hacer lo
siguiente:
1. Abre el navegador.
2. Accede al sitio web de Nixiweb mediante el URL
http://www.nixiweb.com.
3. Rellena los campos del formulario de registro.
4. Pincha el botón Crear cuenta, tal y como aparece
en la figura 4.60.
5. Aparecerá una ventana (figura 4.61) donde se in-
dica que Nixiweb te enviará un correo electrónico
de activación a la cuenta de correo que hayas es-
pecificado.
6. Abre una nueva pestaña en el navegador.
7. Accede a la cuenta de correo que has especificado
en el formulario. 4.60. Ventana de creación de cuenta.

4.61. Ventana de notificación de recepción de correo.


128

8. Haz clic sobre el enlace de activación recibido en el correo enviado por el proveedor (figura 4.62).

4.62. Correo de activación.

9. Se abrirá una nueva ventana (figura 4.63) que indica que la cuenta del cliente ha sido activada y nos per -
mitirá añadir un dominio.
10. En Hosting plan, escoge la opción default (por defecto) de la lista desplegable comprobando que equivalga
a alojamiento web gratuito. En el caso de contratar otra, en el campo situado en la esquina superior
derecha, aparecerá especificada.
11. Cabe la posibilidad de agregar un dominio propio, que deberías contratar, o un subdominio gratuito,
facilitado por la empresa. Cumpliendo las especificaciones del cliente, marca la opción Agregar un subdo-
minio para obtener un subdominio gratuito.
12. Rellena los campos del subdominio de manera adecuada y haz clic en el botón Crear.

4.63. Ventana de creación de subdominio y cuenta.


Unidad 4 - Servicio web (HTTP) 129

13. El subdominio y el alojamiento hosting ya han sido activados.


14. Recibirás dos correos electrónicos en la cuenta de correo especificada.
15. El primero (figura 4.64) indica el nombre de usuario, la contraseña y el URL de acceso al servicio:
http://cpanel.nixiweb.com. Si haces clic sobre él, aparecerá la ventana que permite entrar en el panel de
control (figura 4.64). Si accedes, se abrirá la página de inicio del panel de control de Nixiweb (figura 4.65).

4.64. Correo con los datos de acceso y página inicial de Nixiweb para usuarios.

4.65. Página de inicio del panel de control de Nixiweb.

16. El siguiente correo que recibirás muestra toda la información necesaria para comenzar a utilizar el servicio.
130

Ideas clave

PROTOCOLOS
HTTP/HTTPS

Implementa Implementa

Solicita
Proporciona Página web acceso
Servidor anónimo

Servidor virtual

Solicita
Página web
Servidor virtual Proporciona acceso Cliente
autenticada
restringido
. . .

Servidor virtual Solicita


Página web
Proporciona acceso
cifrada
protegido
Unidad 4 - Servicio web (HTTP) REVISTA DE INFORMÁTICA

Informe Netcraft Web Server de mayo del 2012


Netcraft ha publicado el informe de los
servidores web del mes de mayo del año DESARROLLADOR NOV. NOV. NOV. NOV. NOV. NOV. NOV.
2012. Por primera vez en 22 meses el 06 07 08 09 10 11 12
número de hostnames activos se ha re- Apache 60,32% 50,76% 50,34% 47,17% 59,36% 65,00% 57,23%
ducido en comparación con el mes an-
Microsoft 31,04% 35,84% 34,49% 21,27%
terior. Ahora el número de hostnames 22,70% 15,45% 16,52%
activos es de 662959946. Nginx sigue nginx 0,00% 0,00% 1,63% 6,42% 6,04% 8,50% 11,90%
creciendo en el mercado del hosting
compartido, ya es el noveno mes conse- Google 0,00% 5,28% 5,94% 5,89% 5,94% 3,37% 3,37%
cutivo que crece en este mercado.

Chrome, al perder usuarios 70,00%

60,00%
por segundo mes consecutivo, 50,00%

da cierta tregua a Firefox, 40,00% Apache

30,00% Microsoft

que sigue siendo el segundo 20,00%

10,00%
nginx
Google

navegador más importante 0,00%

Cuando todo hacía presagiar que el na-


vegador de Google superaría al de la
Fundación Mozilla durante el primer
cuarto del 2012, Chrome obtiene dos
meses seguidos de pérdidas de usua-
rios, lo que le lleva a situarse 2 puntos
por debajo de Firefox.
Por su parte Internet Explorer, que
sigue siendo el navegador más impor-
tante en cuanto al número de usuarios
en todo el mundo, gracias sobre todo a
IE8 e IE9, y quien actualmente está
desarrollando la preview de Internet
Explorer 10, ha frenado su caída de los
últimos meses y mantiene su posición
respecto a enero.
La Fundación Mozilla, que por ver-
siones tiene el tercer mejor navegador
web con el recientemente liberado
Firefox 10, ha logrado recuperar algo
de mercado respecto al mes de enero,
aunque aún está lejos de restablecer
la dinámica de crecimiento que obtuvo
hace algo más de un año.
Safari, empujado por las últimas in-
formaciones acerca del lanzamiento
de novedades en la compañía Apple,
vuelve a la senda de crecimiento que dad, seguridad y compatibilidad con En cuanto al mercado de navega-
le llevó a ser durante 2011 uno de los HTML5) y estar desarrollándose actual- dores móviles, destaca nuevamente
navegadores con mayor número de mente la versión 12, ha vuelto a perder Safari, que, pese a dominar el merca-
nuevos usuarios, pese a que, en base usuarios, situándose en algo más del do, sigue siendo el que más crece gra-
al porcentaje total del mercado, sigue 1,5%. Sale así del top 10 del ranking de cias al tirón vde iPads e iPhones. Por
lejos de Explorer, Firefox y Chrome. navegadores por versiones, quedando su parte, An–droid supera a Opera
Opera, por su parte, pese a tratarse incluso por detrás de navegadores ob- Mini en la clasificación.
de un buen producto (ofrece veloci- soletos como Internet Explorer 6.

Fuentes: www.webbambu.com, 3 de mayo del 2012 y www.desarrolloweb.com, 8 de marzo del 2012


5
u n i d a d

Servicio de
transferencia de
archivos (FTP)

SUMARIO
I El protocolo FTP
I El servicio FTP en sistemas GNU/Linux
I El servicio FTP en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso de este
servicio.
·· Mostrar la estructura básica del
funcionamiento del protocolo FTP.
·· Instalar, configurar y arrancar un servidor
FTP.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de este servicio.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 5 - Servicio de transferencia de archivos (FTP) 133

1 >> Protocolo de transferencia de archivos (FTP)


1.1 > ¿Qué es FTP?
El protocolo de transferencia de archivos o FTP (File Transfer Protocol) es un Aplicación FTP
protocolo de la capa de aplicación que facilita el uso compartido de ficheros
Transporte
entre sistemas. Permite a los usuarios guardar información en el servidor
o descargarla independientemente del sistema operativo utilizado. Red

El FTP se originó en el año 1971 en el MIT (Massachusetts Institute of Techno- Enlace


logy).
Físico

1.2 > Funcionamiento del protocolo FTP


5.1. FTP en el modelo TCP/IP.

Interfaz
Conexión usuario
control Usuario

Intérprete Órdenes FTP Intérprete


de protocolo 21 de protocolo
PI servidor Respuestas FTP PI cliente Niveles de modelo TCP/IP
Aplicación Transporte
Conexión
Sistema Sistema
Servidor DTP 20 Usuario DTP Datos TCP (20)
de ficheros de datos de ficheros FTP
Control TCP (21)

5.2. Esquema del modelo FTP.

El intérprete de protocolo del usuario (user-PI o user-protocol interpreter) es-


tablece con el PI o intérprete de protocolo del servidor una conexión de
control a través del puerto 21. Las órdenes FTP estándar realizadas por el
cliente y las respuestas FTP dadas por el servidor circularán por la conexión
de control.
Las órdenes FTP contienen los parámetros para realizar la conexión de RFC 0959
datos (puerto, modo de transferencia, tipo de representación y estructura) La RFC 0959 especifica el estándar del
y las operaciones que se quieren realizar sobre el sistema de ficheros (al- protocolo FTP.
macenar, recuperar, borrar, etc.).
El proceso de transferencia de datos del usuario (user data transfer process
o user-DTP) deberá esperar a que el DTP o proceso de transferencia de datos
del servidor establezca la conexión de datos según los parámetros detalla-
dos. Esta conexión es bidireccional (es decir, que se puede utilizar tanto
para recibir como para enviar datos) y no tiene por qué estar activa todo el
http://xurl.es/rfc_0959
tiempo.
FTP obliga a que la conexión de control permanezca abierta durante la
transferencia de datos. El PI del usuario deberá solicitar el cierre del canal
una vez haya terminado el intercambio de archivos.
El servidor tendrá la responsabilidad de cerrar dicho canal. Sin embargo,
en el supuesto de que el canal de control se cierre sin previo aviso, el ser-
vidor puede cancelar la conexión de datos.
134

En el caso de que un usuario quiera transferir archivos entre dos servidores,


Servidor FTP deberá establecer un canal de control con cada uno de los equipos. Una
Intérprete
vez fijada la conexión, enviará los parámetros necesarios para establecer
de protocolo
Servidor DTP PI servidor entre los dos equipos un canal de datos.
De esta manera, la información de control se envía al intérprete de proto-
colo del usuario, pero los datos se transmiten entre los procesos de trans-
Intérprete
C. datos de protocolo ferencia de datos (DTP) de los servidores. La figura 5.3 muestra un ejemplo
PI cliente de este tipo de conexión.

Servidor FTP Servidor FTP


Intérprete
de protocolo Un servidor FTP es un programa que se ejecuta en un equipo servidor y
Servidor DTP PI servidor permite realizar el intercambio de archivos en una red local o a través de
Internet.
5.3. Conexión entre servidores con el Las funciones de los servidores FTP son, entre otras, proporcionar a los
protocolo FTP.
clientes la posibilidad de subir el contenido de una página web y realizar
copias de seguridad de su equipo en el servidor.

Cliente FTP
Un cliente FTP es un programa que se ejecuta en el equipo cliente y posibilita
la conexión a un servidor FTP para permitir el intercambio de archivos.
Servidores virtuales
Existen programas cliente instalados por defecto en los sistemas operativos
Tanto en FTP como en el protocolo HTTP de la familia Microsoft y de la familia GNU/Linux. Estos se ejecutan en el
podemos disponer de servidores o di- terminal o en la consola.
rectorios virtuales.
Están disponibles, además, programas cliente que añaden un entorno grá-
fico y otras utilidades para facilitar la gestión al usuario.

Formas de acceso
Un cliente puede conectarse a un servidor de diversas formas:
– Anónima: para acceder al servidor no es necesario poseer una cuenta
Velocidad frente a seguridad de usuario privada. Este deberá tener activo el servicio FTP anónimo
FTP es un protocolo que prima la velo- (FTP-anonymous). El usuario de acceso será anonymous y la contraseña
cidad de la transferencia de archivos so- un correo electrónico. Normalmente esta conexión permite leer y copiar
bre la seguridad. ficheros públicos.
Envía la información, incluidos el login – Usuario: para acceder al servidor deberemos estar autenticados con un
y la contraseña, en forma de texto plano usuario y una contraseña. Comúnmente, este tipo de conexión nos per-
sin encriptar. mitirá subir, descargar y modificar archivos.
Para mejorar la seguridad podemos uti- – Invitado: para acceder al servidor necesitaremos un usuario y una con-
lizar SSH FTP o SFTP. traseña, pero no tendremos control absoluto sobre todos los archivos
del servidor; nos conectaremos a un entorno restringido. Así aumenta
la seguridad del servicio.

Actividades propuestas

1·· Busca tres ejemplos de programas que actúen como clientes FTP.
2·· Observa los envíos de mensajes en el protocolo FTP a través de la animación que encontrarás en la página
web http://www.learningocean.com, en la sección FTP / 1. FTP Basics.
Unidad 5 - Servicio de transferencia de archivos (FTP) 135

1.3 > Gestión de la conexión de datos


Entre el cliente y el servidor se crea un canal de control para transmitir
comandos que se mantiene activo durante todo el tiempo que dura la
FTP activo
sesión FTP. Sin embargo, se deberá crear un nuevo canal de datos cada
vez que se desee enviar o recibir archivos u otra información, como por El modo activo se llama así porque el
ejemplo un listado de directorios. servidor toma la iniciativa en la creación
de la conexión de datos, mientras que
Existen dos formas de establecer el canal de datos en función del dispositivo en el modo pasivo se limita a esperar
que crea la conexión: el modo activo y el modo pasivo. que el cliente envíe una petición para
crear dicha conexión.
FTP en modo activo
El servidor es el encargado de iniciar el canal de datos mediante la creación
de una conexión TCP con el cliente. Este es el modo de conexión por
defecto y su funcionamiento consiste en lo siguiente (figura 5.4):
1. El cliente envía una petición (comando PORT) desde cualquier puerto Para saber más
superior al 1024, por ejemplo el 1051, al puerto de control 21 del servi- Puedes ampliar conocimientos en el si-
dor. La solicitud contiene el puerto que el cliente empleará para recibir guiente URL, donde encontrarás un dia-
datos; en el ejemplo de la figura es el 1052. grama de secuencias de una sesión FTP:
2. El servidor responde con un paquete de aceptación ACK. El canal de
control queda activo y configurado.
3. El servidor inicia la conexión de datos desde el puerto 20 al puerto de
datos del cliente (en la figura el 1052).
4. El cliente responde con un paquete de aceptación ACK y el canal de
datos queda configurado.
5. El servidor y el cliente proceden al envío y/o la recepción de datos y su
http://xurl.es/seqd_ftp
posterior confirmación si llegan correctamente.
6. Por último, se libera el canal de datos.

Cliente FTP Servidor FTP

Conexión de control
Conexión de control
Puerto 1051
Puerto 21
1. Envío comando
PORT 1052 2. Recibido puerto 1052.
Envío de paquete de
confirmación ACK
Conexión de datos Conexión de datos
Puerto 1052 Puerto 20
3. Abre conexión
4. Acepta
de datos, puerto
la conexión
cliente 1052
de datos

5. Envío/recepción
de datos y
6. Envío/recepción
paquetes ACK
de datos y
paquetes ACK

5.4. FTP en modo de transmisión activo.


136

FTP en modo pasivo


El cliente es el encargado de iniciar el canal de datos mediante la creación
de una conexión TCP con el servidor.
FTP pasivo
Este modo de conexión permite resolver el inconveniente comentado en
En el modo pasivo el puerto de datos 20
del servidor FTP no se utiliza.
el apartado anterior. Su funcionamiento se detalla a continuación (fi-
gura 5.5):
1. El cliente envía una petición (comando PASV) desde cualquier puerto
superior al 1024, por ejemplo el 1051, al puerto 21 del servidor.
2. El servidor responde con un mensaje que incluye el puerto de datos al
que el cliente debe dirigirse para crear una conexión de datos (en la
Minimización de riesgos
figura el 5002). El canal de control queda activo y configurado.
Los servidores reducen los riesgos de se- 3. El cliente inicia la conexión de datos desde su puerto de datos (en la fi-
guridad provocados por el modo pasivo gura el 1052) al puerto de datos del servidor (5002).
al reservar solo un conjunto de puertos
4. El servidor responde con un paquete de aceptación ACK y el canal de
en los que aceptan conexiones TCP en-
datos queda configurado.
trantes provenientes del protocolo FTP.
5. El servidor y el cliente proceden al envío y/o recepción de datos y su
posterior confirmación si llegan correctamente.
6. Por último, se libera el canal de datos.

Cliente FTP Servidor FTP

Conexión de control Conexión de control


Puerto 1051 Puerto 21
1. Envío comando
PASV 2. Recibido comando PASV.
Envío de paquete de
confirmación ACK
y puerto 5002
Conexión de datos Conexión de datos
Puerto 1052 Puerto 5002
3. Abre conexión
4. Acepta
de datos, puerto
la conexión
cliente 5002
de datos
5. Envío/recepción
de datos y
paquetes ACK
6. Envío/recepción
de datos y
paquetes ACK

5.5. FTP en modo de transmisión pasivo.

El inconveniente del modo activo es que el cliente debe aceptar conexiones


TCP entrantes, de forma que, si se encuentra detrás de un cortafuegos,
este bloqueará las conexiones entrantes para evitar riesgos de seguridad,
mientras que el modo pasivo traslada el problema de seguridad al servidor,
dado que deberá aceptar peticiones TCP entrantes, con el riesgo que esto
implica.
Unidad 5 - Servicio de transferencia de archivos (FTP) 137

1.4 > Comandos


El protocolo FTP define una serie de comandos que controlan el flujo de
información entre cliente y servidor. A continuación se muestran algunos
de ellos:

Comandos FTP
Comando Parámetro Descripción
Cambia el directorio de trabajo en el
cd directorio servidor FTP. El nombre del directorio se
pasa como parámetro.
Borra en el servidor el archivo pasado como
delete archivo-remoto parámetro. El comando mdelete realiza esta
operación con uno o más archivos.
directorio- Muestra la estructura de directorios y
dir
remoto subdirectorios en el servidor FTP.
Copia un archivo del servidor FTP en el
equipo cliente. En el caso de no especificar
archivo-remoto el nombre del archivo-local, se guardará con
get
archivo-local el nombre del archivo-remoto.
El comando mget realiza esta operación con
uno o más archivos.
Copia un archivo del cliente FTP en el
servidor. En el caso de no especificarse el Vocabulario
archivo-local nombre del archivo-remoto, se guardará con
put/send
archivo-remoto el nombre del archivo-local. El comando
Cuota FTP: establece la cantidad de
mput realiza esta operación con uno o más
datos que un usuario puede subir al ser-
archivos.
vidor.
Finaliza la sesión en el cliente y cierra la
bye Ancho de banda: fija la cantidad má-
conexión FTP.
xima de bytes por segundo transferida
lcd directorio Cambia el directorio de trabajo del cliente. durante la conexión.
Muestra el directorio de trabajo en el
pwd
servidor.
rename archivo-remoto Renombra un archivo en el servidor.
rmdir directorio Borra un directorio de forma remota.
Cambia la transferencia de archivos a
bin/binary
formato binario.
Cambia la transferencia de archivos a modo
ascii
texto.
mkdir directorio Crea un directorio de forma remota.
Permite utilizar comandos del servidor de
quote
forma remota.
El carácter «!» colocado antes de un
comando de sistema hace que este comando
! comando
se ejecute en local en vez de en el lado del
servidor.
El carácter «?» colocado antes de un
? comando comando de sistema muestra la información
del comando especificado.
138

2 >> FTP en sistemas GNU/Linux


El siguiente paso, dentro del plan de trabajo, es implantar un servicio que
permita a los desarrolladores actualizar el contenido de los servidores web
de la empresa. El contenido de los sitios web es creado por medio de apli-
caciones instaladas en los equipos personales de los programadores web.
Una vez se han realizado los cambios y se han hecho las pruebas pertinen-
tes, ellos mismos se encargarán de subir el contenido a los servidores para
que los sitios web estén actualizados.
Los representantes de la empresa ServPubli os han pedido a tu socia y a ti
que tengáis en cuenta las siguientes condiciones a la hora de implantar el
nuevo servicio:
– Que garantice que solo las personas autorizadas puedan gestionar la in-
formación que albergan los servidores.
– Que facilite la subida y bajada de archivos, así como la modificación de
los archivos que se encuentren en el servidor.
– Que permita gestionar grandes cantidades de información.
– Si en un futuro el servicio web es alojado en un servidor de Internet,
que se pueda seguir usando el mismo sistema de transferencia de
archivos.
Para saber más
Después de estudiar las condiciones impuestas por ServPubli decidís im-
Web oficial de The ProFTPD Project:
plantar el servicio FTP para gestionar la transferencia de archivos entre el
servidor y los equipos de los desarrolladores web de la empresa. Estos son
los argumentos:
– El acceso al servidor se puede restringir de forma que cada usuario solo
gestione la información que está autorizado a modificar. Por ejemplo,
el empleado encargado del sitio web general no podrá modificar ni el
sitio que contiene la aplicación de comunicación ni el que almacena el
http://www.proftpd.org
software y sus manuales.
Web oficial de Nautilus: – Permite realizar todas las operaciones sobre archivos que los represen-
tantes de la empresa os han pedido.
– Aunque existen otros sistemas de transferencia de archivos más popu-
lares para redes de área local, estos no se pueden usar a través de
Internet, por lo que, en el caso de externalizar el servicio web, se tendría
que cambiar el sistema de trabajo.
– La inmensa mayoría de las empresas que se dedican a ofrecer servicios
http://live.gnome.org/Nautilus de alojamiento web en Internet usan este servicio para que los usuarios
puedan actualizar sus sitios.
– Por último, y como valor añadido, este servicio se usará como respaldo
al servicio HTTP, de forma que los usuarios también podrán acceder
mediante FTP a algunos de sus recursos.
El programa que se usará en el servidor será ProFTPD. Este servidor ofrece
un número importante de ventajas: es software libre, es muy seguro, no
consume excesivos recursos, tiene una estructura modular que permite
instalar únicamente las funciones que resulten necesarias, su configuración
es sencilla y puede ser gestionado mediante la herramienta de administra-
ción web Webmin.
Unidad 5 - Servicio de transferencia de archivos (FTP) 139

2.1 > Instalación del servidor


Sigue estas indicaciones para instalar el servidor FTP:

1. Abre una sesión gráfica GNOME en el servidor. Datos de acceso


2. Arranca el gestor de paquetes Synaptic. Usuario: adminservidor
3. Haz clic sobre el botón Recargar para actualizar la lista de paquetes. Es-
Contraseña: S3rvid@r
pera unos segundos mientras termina este proceso.
4. Haz clic sobre la opción Buscar para acceder a la herramienta de bús- Paquete que se debe instalar
queda. ProFTPD-basic
5. Escribe proftpd en el cuadro de texto y haz clic en el botón Buscar (fi-
gura 5.6) para encontrar todos los paquetes que contengan la palabra
buscada en el nombre de paquete o en su descripción.
6. Selecciona proftpd-basic haciendo clic sobre el nombre del paquete y
lee la información adicional mostrada debajo de la lista.
7. Haz doble clic en la casilla de verificación que está delante del nombre
del paquete proftpd-basic; así lo marcas para instalar.
8. Se abrirá un diálogo que te preguntará si quieres instalar otros paquetes
adicionales. Haz clic en el botón Marcar. 5.6. Herramienta Buscar.
9. Haz clic en Aplicar para iniciar la instalación.

Servidor inetd
Escucha peticiones de distintos servicios.
Cuando llega una petición, arranca el
servidor correspondiente para que la
atienda.

5.7. Selección de paquetes.

10. Se abrirá la ventana con el resumen de la instalación que vas a realizar.


Léela y haz clic en Aplicar.
11. Mientras continúa la instalación, se muestra la ventana de diálogo
Aplicando los cambios donde puedes ver los detalles de este proceso. Esta 5.8. Configuración de la instalación.
ventana se cerrará automáticamente.
12. Antes de finalizar, se abre otra ventana llamada Debconf en servidor
(figura 5.8). Selecciona independiente en la lista desplegable para que el
servidor FTP no dependa del servidor inetd y haz clic sobre el botón
Adelante.
13. Cuando finaliza la instalación se abre la ventana Cambios aplicados (fi-
gura 5.9). En esta ventana haz clic sobre el botón Cerrar para volver a
la ventana principal.
14. Haz clic sobre el botón Cerrar de la ventana de Synaptic para salir de la
5.9. Ventana Cambios aplicados.
aplicación.
140

2.2 > Configuración del servidor


Antes de proceder a la configuración del servidor FTP es necesario realizar
los siguientes ajustes en la configuración local del sistema:
– Crear los usuarios que administrarán el contenido de los distintos sitios
web que posee la empresa.
– Garantizar que estos usuarios tengan los permisos necesarios para
poder realizar cambios en los directorios del servidor que almacenan
la web.
– Asegurar que el usuario genérico del servidor FTP tenga acceso a los di-
rectorios con contenido público.
Una vez realizados estos cambios, has de configurar el servidor FTP para
que permita tanto el acceso controlado por usuario y contraseña como el
acceso anónimo.
Antes de continuar, repasa la información sobre la configuración de la
red de ServPubli, detallada en el epígrafe 2.1 de la Unidad 1, así como la
estructura de servidores web creados en el epígrafe 2 de la Unidad 4.

Acceso al módulo Servidor ProFTPD


Sigue los pasos indicados a continuación para actualizar la lista de servi-
dores en Webmin:
1. Abre el navegador web en el servidor y accede a Webmin.
2. Haz clic sobre el enlace Servidores del menú principal. Encontrarás este
menú en el lado izquierdo de la ventana.
3. Podrás observar que, aunque acabas de instalar el servidor ProFTPD,
este no aparece en la lista de servidores disponibles. Haz clic sobre el
enlace Refresh Modules (figura 5.10) para que Webmin agregue el servidor
FTP a su menú. Espera unos segundos mientras Webmin busca los mó-
dulos instalados y actualiza la lista.
5.10. Refrescar módulos. 4. Ahora, si accedes a la sección Servidores, podrás ver el enlace Servidor
ProFTPD (figura 5.11).

5.11. Servidores disponibles.


Unidad 5 - Servicio de transferencia de archivos (FTP) 141

Preparación del sistema


Vas a crear el usuario que se encargará de administrar el contenido de
www.servpubli.com de forma que pueda acceder a él mediante el sistema
de archivos local. Este paso es indispensable para poder gestionar su con-
tenido mediante un cliente FTP. Para ello:
1. Abre una sesión en el servidor con el usuario adminservidor.
2. Arranca el navegador web y accede a Webmin.
3. Haz clic sobre el enlace Usuarios y Grupos de la sección Sistema del menú
principal (figura 5.13).
4. Haz clic en el enlace Crear un nuevo usuario (figura 5.12).

5.12. Módulo Usuarios y Grupos.

5. En la ventana que aparece (figura 5.14) realiza lo que se indica a conti-


nuación:
– Escribe adminweb en el cuadro de texto Nombre de Usuario. 5.13. Menú Sistema.
– Cumplimenta el campo Nombre Real con una descripción de la función
del usuario, por ejemplo Administrador www.servpubli.com.
– Selecciona la opción Directory del control Directorio inicial y escribe
/var/www-anonimo. Así, al tomar este directorio como propio, tendrá los
permisos necesarios para poder cambiar su contenido.
– Selecciona /bin/false en la lista desplegable Shell para que no se asigne un
shell válido al usuario.
– Activa la opción Contraseña normal y escribe 4n0n1M0$.
– Marca la casilla de verificación Login temporalmente deshabilitado.

5.14. Sección Detalles de Usuario del módulo Crear Usuario.


142

6. Selecciona las casillas de la sección Al Crear como se muestra en la fi-


gura 5.15.
7. Luego, haz clic en el botón Crear para dar de alta al usuario.
8. Borra todos los archivos del directorio /var/www-anonimo. De esta forma
el administrador podrá establecer su contenido con total libertad. Ten
en cuenta que si quieres mantener la configuración de los permisos de
acceso ya definidos para los usuarios HTTP, no debes eliminar los ficheros
.htaccess ni .htpasswd.
5.15. Sección Al Crear del módulo Crear
Usuario.
A diferencia del servicio HTTP, FTP necesita un usuario especial para poder
ofrecer el acceso anónimo. En el servidor ProFTPD este usuario se llama
ftp y ha sido creado durante la instalación.
Igual que el resto de usuarios, ftp también necesita unos ajustes previos.
Para realizarlos sigue estas indicaciones:
Advertencia
1. Busca el usuario ftp en la lista Usuarios Locales (figura 5.16) y haz clic
anonymous es un alias del usuario ftp.
sobre él.
2. Actualmente, el directorio inicial de este usuario es /srv/ftp. Cambia el valor
del cuadro de texto Directorio inicial por /var/www-anonimo. De este modo el
directorio /srv/ftp dejará de ser su directorio inicial pero no se borrará.

5.16. Usuarios locales.

5.17. Sección Detalles de Usuario del módulo Editar Usuario.

3. Deja el resto de opciones con los valores por defecto y haz clic en el
5.18. Botón Salvar.
botón Salvar que aparece al final de la página para guardar este cambio.

Actividades propuestas

3·· De la misma forma que se explica en la teoría, crea el resto de administradores indicados en la tabla si-
guiente y garantízales el acceso a los directorios donde se alojan los sitios web de la empresa. En esta ocasión
no se debe hacer ninguna operación sobre el usuario ftp.

Sitio web Usuario administrador Contraseña Directorio


webapp.servpubli.com adminwebapp gR@d01/2 /var/www-seguro
software.servpubli.com adminwebsw Pr0gR4m4$ /var/www-software
Unidad 5 - Servicio de transferencia de archivos (FTP) 143

Configuración del acceso autenticado al servidor


Vas a configurar el servidor ProFTPD para que todos los usuarios del
sistema puedan acceder a su directorio personal mediante su contraseña.
Para ello, sigue estos pasos: Fichero de configuración básica
/etc/proftpd/proftpd.conf
1. Abre Webmin y accede al enlace Servidor ProFTPD de la sección Servidores
del menú principal.
2. Haz clic en el enlace Servidor por defecto.

5.19. Servidores virtuales.

3. Acabas de acceder al módulo que permite la configuración general del


servidor por defecto. Accede al enlace Archivos y Directorios.

5.20. Opciones de Servidor Virtual.

4. Selecciona la opción Home directory del control Directorios de Chroot. De


esta manera, mediante FTP cada usuario solo podrá acceder a su direc-
torio personal.

5.21. Directorios de Chroot.

5. Haz clic en el botón Salvar que se encuentra al final de la página para


guardar los cambios y volver a la configuración del servidor virtual por
defecto.
6. Ahora, accede a la configuración de Autenticación de Servidor por defecto
5.22. Autenticación del servidor virtual.
haciendo clic sobre el enlace correspondiente (figura 5.22).
144

7. Selecciona la opción No en el control ¿Solo permitir login a usuarios con


shell válidos?

5.23. Acceso de usuarios sin shell.

8. Haz clic en el botón Salvar para guardar los cambios.


9. Accede al enlace Regresar a menú principal y haz clic en el botón Aplicar
5.24. Botón Aplicar Cambios. Cambios para que el servidor aplique la nueva configuración (figura 5.24).

Configuración del acceso público al servidor


Sigue estos pasos para permitir la conexión al servidor FTP con un usuario
genérico:
1. Abre Webmin y accede al enlace Servidor ProFTPD de la sección Servidores
del menú principal.
2. Haz clic en el enlace Servidor por defecto.
3. Accede al enlace FTP anónimo para activarlo y configurarlo (figura 5.25).
4. Teclea ~ftp en el cuadro de texto Directorio para Chroot. Esta carpeta es el
directorio personal del usuario ftp, es decir, /var/www-anonimo.
5.25. FTP anónimo del servidor virtual. 5. Cambia el contenido de Acceder a archivos como grupo por nogroup.
6. Haz clic sobre el botón Crear.

Fichero auxiliar de configuración


/etc/proftpd/modules.conf

5.26. Módulo configurar FTP anónimo.

7. Accede a la sección Autenticación del módulo Opciones de FTP Anónimo (fi-


5.27. Autenticación de FTP anónimo.
gura 5.27).
8. Selecciona la opción No en el control ¿Solo permitir login a usuarios con
shell válidos?
9. Haz clic en el botón Salvar para guardar los cambios.
Unidad 5 - Servicio de transferencia de archivos (FTP) 145

Por último, vas a configurar el servidor anónimo para que deniegue la es-
critura en todos sus directorios, es decir, para que los accesos con el usuario
genérico solo puedan leer la información:
1. Escribe un asterisco (*) en el cuadro de texto Trayectoria de directorio. De
esta forma se consigue que la configuración se aplique en todos los di-
rectorios.
2. Haz clic en el botón Crear de Añadir opciones de por-directorio par.

5.28. Módulo Opciones de FTP anónimo.

3. Escribe la orden WRITE en el cuadro de texto Comandos FTP de la ventana


de configuración de las opciones del directorio * (figura 5.29).
4. Haz clic sobre el botón Crear.
5. Acabas de acceder a la ventana de configuración del comando WRITE
del directorio *. Haz clic en el enlace Control de Acceso (figura 5.30).
6. Selecciona la opción Denegar a todos los clientes del control Política de control
5.29. Añadir comandos FTP.
de acceso.
7. Haz clic en el botón Salvar para guardar los cambios.

5.30. Control de acceso del comando


WRITE.

5.31. Configuración de Control de Acceso del comando WRITE. 5.32. Botón Aplicar Cambios.

8. Haz clic sobre el enlace Regresar a menú principal y, a continuación, sobre


el botón Aplicar Cambios (figura 5.32) para que el servidor aplique la
nueva configuración.
146

2.3 > Comprobación del servicio


Realiza las siguientes tareas para comprobar el buen funcionamiento del
servicio.

Verificación del estado del servicio


Sigue estos pasos para asegurarte de que el servidor se está ejecutando:
Proceso del servidor FTP 1. Abre Webmin en el navegador web del servidor.
/usr/sbin/proftpd 2. Accede al menú Otros y haz clic sobre Estado de Sistema y de Servidor.
3. Como no se muestra el estado del servidor FTP, tienes que añadirlo de
forma manual:
– Selecciona Servidor ProFTPD en la lista desplegable.
– Haz clic sobre el botón Añadir monitor de tipo para crear el monitor.
– Haz clic en el botón Crear sin hacer ningún cambio en la ventana que se
acaba de abrir.
4. Localiza el servicio Servidor ProFTPD y comprueba que, junto a él, hay un
símbolo de color verde que indica que funciona correctamente.

5.33. Estado del sistema y del servidor.

Verificación del acceso autenticado en modo comando


Sigue estas indicaciones desde el equipo cliente para subir un archivo:
Datos de acceso 1. Crea, en la carpeta personal de admincliente, el archivo index.html que
Usuario: admincliente contenga, en formato HTML, el mensaje Portal web de uso general.
Contraseña: Cli3nt@
2. Haz clic sobre el botón Inicio de Escritorio de Ubuntu.
3. Teclea la palabra terminal.
4. Pulsa la tecla <Intro> para abrir un terminal de texto.

5.34. Abrir terminal.


Unidad 5 - Servicio de transferencia de archivos (FTP) 147

5. Ejecuta el comando ftp ftp.servpubli.com.


6. Introduce adminweb como nombre de usuario.
7. Teclea su contraseña, es decir, 4n0n1M0$.
8. Introduce la orden put index.html para transferir este
archivo al servidor.
9. Una vez termine la transferencia, teclea el comando
bye para salir del cliente FTP.
10. Cierra la ventana del terminal.
11. Abre el navegador web y comprueba que el conte-
nido de www.servpubli.com coincide con el archivo
transferido.

Verificación del acceso público en modo comando


Sigue estos pasos desde el equipo cliente: 5.35. Acceso autenticado.

1. Borra el archivo index.html del equipo local.


2. Abre un terminal de texto.
3. Accede al servidor, esta vez utilizando el usuario
anonymous.
4. Como este usuario no tiene establecida ninguna con-
traseña, pulsa la tecla <Intro> cuando el sistema te
la pida.
5. Usa la orden dir para ver los archivos disponibles en
el servidor.
6. Introduce la orden get index.html para transferir este
archivo desde el servidor hasta el cliente.
7. Una vez termine la transferencia, teclea el comando
bye para salir y cierra la ventana del terminal.
8. Utiliza las ventanas del gestor de archivos Nautilus
para comprobar que se ha realizado la transferencia
correctamente.
5.36. Acceso anónimo.
Verificación del acceso con Nautilus
Este administrador de archivos permite la conexión a
un servidor FTP.
Puedes usar sus ventanas para transferir archivos entre
el cliente y el servidor con todas las ventajas que ofrecen
las operaciones habituales de este tipo de programas:
copiar, pegar, recordar contraseñas, etc.
Sigue estos pasos para conectarte al servidor FTP me-
diante Nautilus:
1. Abre la carpeta personal del usuario admincliente.
2. Accede a la opción Conectar con el servidor del menú
Archivo.
3. Según el tipo de conexión que quieras establecer,
pública o privada, utiliza la figura 5.37 como modelo
para cumplimentar el cuadro de diálogo.
4. Haz clic en el botón Conectar para establecer la cone-
5.37. Sección Conectar con el servidor.
xión.
148

3 >> FTP en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la cuarta tarea que debéis realizar es la implantación de un servidor FTP
que permita a la compañía gestionar la información de la página web. De
este modo, se podrá descargar, modificar y subir cualquier tipo de docu-
mentación que se encuentre almacenada en la web de la intranet.
El servidor FTP incluido en Windows Server 2008 se encuentra integrado
dentro de los servicios de Internet Information Services (IIS).

Internet Information
Para saber más Services (IIS) 7.0
Puedes obtener soporte técnico de Mi-
crosoft para el servicio FTP en el si-
guiente URL:
Windows IIS World Wide Núcleo de
Process Web Publishing hospedaje web
Activation Service (W3SVC) de IIS
Service

Application
Inventario Sitio web de IIS Host Helper
de aplicación Service
http://xurl.es/ftp_ms de IIS (AppHostSVC)
Active Server de IIS
Pages (ASP)
Proceso de
trabajo de IIS Servicio de
administración
web de IIS
Adaptador de (WMSVC)
protocolo de IIS
Servicio
IISAdmin

Servicio FTP
de IIS

5.38. Servicio FTP dentro de la infraestructura de IIS en Windows Server 2008.

Antes de empezar a trabajar con el servicio FTP, debéis estudiar los requi-
sitos y la información que os ha proporcionado ConRecuerdos.org:
– El administrador del FTP está autorizado a subir, descargar y modificar
los archivos almacenados en la página web del servidor.
– Cualquier otro usuario que acceda al servicio FTP desde la red de área
local podrá únicamente leer la información.
– El acceso puede realizarse desde cualquier equipo de la red interna con
el explorador de Windows.
– Este servicio es el mismo que utilizan la mayoría de las empresas que
ofrecen servicios de alojamiento web en Internet, por lo que el adminis-
trador no debería aprender un nuevo sistema de gestión FTP.
Unidad 5 - Servicio de transferencia de archivos (FTP) 149

3.1 > Instalación del servidor


Sigue estas indicaciones para instalar el servidor FTP:

1. Haz clic en el botón Inicio y elige la opción Administrador del servidor.


2. En el menú situado a la izquierda de la ventana que aparece, pincha
Recuerda
Servidor web (IIS), que se encuentra en la ruta Administrador del servidor
(SERVIDOR) / Funciones. Los datos para acceder como usuario
administrador son:
3. Selecciona la opción Agregar servicios de función situada en el bloque Resu-
men / Servicios de función de la parte derecha de la ventana. – Usuario: adminservidor
– Contraseña: S3rvid@r

5.39. Administrador del servidor.

4. En la ventana Seleccionar servicios de función, marca la casilla de verificación


Servicio de publicación FTP. Automáticamente se marcarán también las
opciones Servidor FTP y Consola de administración de FTP.

5.40. Seleccionar servicios de función.


150

5. La instalación del servicio de publicación FTP requiere agregar otros


servicios adicionales. Haz clic sobre el botón Agregar servicios de función
requeridos para instalarlos.
6. Continúa la instalación con un clic sobre el botón Siguiente.
7. La ventana Confirmar selecciones de instalación muestra los servicios que
van a instalarse. Pincha el botón Instalar.

5.41. Confirmar selecciones de instalación.

8. Transcurridos unos minutos, la instalación del servidor FTP habrá ter-


minado. Si la instalación es correcta, finaliza con un clic en Cerrar.

Editor del registro


La información del servicio FTP en el
editor del registro se encuentra en la
siguiente clave:

HKEY_LOCAL_MACHINE\System\
CurrentControlSet\Services\MSFTPSVC

5.42. Resultados de la instalación.


Unidad 5 - Servicio de transferencia de archivos (FTP) 151

3.2 > Configuración del servidor


Creación de un sitio FTP

Vas a crear un sitio FTP que se utilizará para poder descargar, subir y mo-
dificar cualquier tipo de información almacenada en la web de la intranet.
Sigue estos pasos: Administrador de IIS 6.0
Una vez instalado el servicio FTP, para
1. Abre el administrador de IIS 6.0. administrarlo has de seguir esta ruta:
2. Haz clic con el botón secundario del ratón sobre la opción Sitios FTP,
Inicio / Herramientas administrativas /
que se encuentra en la ruta Internet Information Services / SERVIDOR (equipo
Administrador de Internet Information
local). Elige la opción Nuevo / Sitio FTP del menú contextual. Services (IIS) 6.0.

5.43. Opción Nuevo / Sitio FTP.

3. Se inicia así el Asistente para crear un sitio FTP. Pincha Siguiente.


4. En la ventana Descripción de sitio FTP, escribe FTP de ConRecuerdos.org en
Descripción (figura 5.44) y haz clic en Siguiente.
5. Selecciona la IP 192.168.100.1 de la lista desplegable, deja el valor 21 en
el puerto TCP y pincha el botón Siguiente (figura 5.45).

5.44. Descripción de sitio FTP. 5.45. Dirección IP y configuración de puerto.


152

6. Elige la opción No aislar usuarios y haz clic en Siguiente (figura 5.46).


7. Pincha el botón Examinar y, en Ruta de acceso, selecciona el directorio
particular que alberga el contenido de la página web de la intranet, es
decir, C:\SitiosWeb\www (figura 5.47). Haz clic en Siguiente.

5.46. Aislamiento de usuario FTP. 5.47. Directorio particular de sitio FTP.

8. Marca las casillas de Lectura y Escritura para habilitar ambos permisos de


acceso para el sitio FTP (figura 5.48). Pincha Siguiente.
9. No te preocupes cuando aparezca el mensaje El asistente para crear un
sitio FTP no se completó correctamente, ya que se debe a que el servicio
todavía no se ha iniciado. Termina haciendo clic en Finalizar.

Configuración de los permisos de usuario para el sitio FTP

5.48. Permisos de acceso al sitio FTP. Con la configuración que existe actualmente, todos los usuarios del sitio
FTP tienen acceso de lectura y de escritura sobre la información en la web
de la intranet.
Por ello, es necesario crear las restricciones adecuadas sobre los permisos
Usuarios del sitio FTP de cada uno de los usuarios para el directorio particular FTP. De manera
Los usuarios que tienen acceso a un sitio especial, ten en cuenta lo siguiente:
FTP son aquellos que poseen una creden-
– El administrador FTP debe tener todos los permisos de acceso al sitio.
cial de Windows en el servidor y el usua-
– El resto de usuarios, incluido el anónimo, solo debe tener activados los
rio anónimo, que en el sistema operativo
se denomina IUSR_nombreDeEquipo.
permisos de lectura y descarga sobre el sitio FTP.
Ahora vas a configurar los permisos del usuario anónimo para el directorio
particular del sitio FTP recién creado. Sigue estos pasos:
1. Abre el administrador de IIS 6.0.
2. Haz clic con el botón secundario sobre FTP de ConRecuerdos.org, que se
encuentra en la ruta Internet Information Services / SERVIDOR / Sitios FTP.
Elige la opción Permisos (figura 5.49).
3. En la ventana que aparece, haz clic sobre el botón Editar.
4. Desde la ventana Permisos de www, pincha Agregar.
5. En el único cuadro de texto que está activo, escribe el nombre del
5.49. Opción Permisos.
usuario anónimo, es decir, IUSR_SERVIDOR. Haz clic en Aceptar.
Unidad 5 - Servicio de transferencia de archivos (FTP) 153

6. Podrás observar que ahora aparece el usuario IUSR_SERVIDOR en la


ventana Permisos de www. Haz clic en Aceptar.
7. Elige este nuevo usuario en la lista Nombres de grupos o usuarios y pincha
el botón Avanzadas.

5.50. Configuración de los permisos del usuario anónimo para el sitio FTP.

8. Selecciona de nuevo este mismo usuario en la ventana Configuración de


seguridad avanzada para www y haz clic en Editar.
9. Se abre una nueva ventana con algunas opciones más que la anterior.
Vuelve a hacer clic en Editar.
10. Deja marcadas las columnas de permisos Permitir y Denegar tal y
como aparecen en la figura 5.51.
11. Cierra todas las ventanas con un clic sobre el botón Aceptar de cada
una de ellas.

5.51. Modificación de los permisos del usuario anónimo.

Actividades propuestas

4·· Crea el usuario adminweb con contraseña @dm1nW3b y asígnale todos los permisos para el sitio FTP.
5·· Asigna al resto de usuarios los mismos permisos que has asignado al usuario anónimo para el sitio FTP.
154

3.3 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
Por una parte, en el servidor se verifica el estado del proceso y, por otra,
Estado del servicio FTP en el cliente se confirma que se puede acceder al sitio FTP interno.
El servicio FTP tiene tres posibles esta-
dos de inicio: Verificación del estado del servicio
– Automático: está iniciado y se iniciará Para comprobar el estado del servicio FTP sigue estos pasos:
cada vez que arranca el ordenador.
1. Desde el equipo servidor, ve a la ruta Inicio / Herramientas administrativas
– Manual: está detenido y se debe iniciar
manualmente.
y haz clic sobre Servicios.
– Deshabilitado: está detenido y no se 2. En la ventana que aparece, busca el Servicio de publicación FTP.
puede iniciar de ningún modo. 3. Una vez lo hayas encontrado, si el campo Estado no tiene valor (está
vacío) y en Tipo de inicio aparece Manual, esto quiere decir que el servicio
FTP no está iniciado y que debes arrancarlo manualmente. En este caso,
haz clic con el botón secundario del ratón sobre el nombre y elige la op-
ción Iniciar del menú contextual.

5.52. Ventana Servicios.

Verificación del acceso autenticado en modo comando


Ahora sigue estos pasos para comprobar el acceso autenticado:
1. Abre el programa Símbolo del sistema, que se encuentra
en la ruta Inicio / Todos los programas / Accesorios.
2. Ejecuta el comando ftp ftp.conrecuerdos.org.
3. Escribe prueba como usuario y U$u4r1o como contraseña.
4. Ejecuta el comando dir para ver el contenido del direc-
torio.
5. Para salir, ejecuta el comando bye y cierra la ventana
5.53. Acceso autenticado al sitio FTP. del programa.

Verificación del acceso anónimo en modo comando


Sigue estos pasos para comprobar el acceso anónimo desde el cliente:
1. Abre el programa Símbolo del sistema, que está en la
ruta Inicio / Todos los programas / Accesorios.
2. Ejecuta el comando ftp ftp.conrecuerdos.org.
3. Cuando se pida el nombre de usuario, escribe anonymous.
Como contraseña, pon tu correo electrónico.
4. Ejecuta el comando dir para ver el contenido del direc-
torio.
5. Para salir, ejecuta el comando bye y cierra la ventana
5.54. Acceso anónimo al sitio FTP.
del programa.
Unidad 5 - Servicio de transferencia de archivos (FTP) 155

Verificación del acceso anónimo con Explorador de Windows


Todos los usuarios del sitio FTP pueden tanto visualizar los archivos de la
página web como descargarlos. Una de las herramientas que puede utili-
Explorador de Windows
zarse para esta tarea es el explorador de Windows. Sigue estos pasos para
ver cómo se pueden ver y descargar archivos: Puedes abrir el explorador de Windows
siguiendo esta ruta:
1. En el equipo cliente, abre el programa Explorador de Windows.
Inicio / Todos los programas /
2. En el cuadro Dirección escribe el URL ftp://ftp.conrecuerdos.org y pulsa la tecla
Accesorios / Explorador de Windows
<Intro>. Aparecerán en la ventana todos los archivos de la página web.
3. Para descargar un archivo, arrástralo a cualquier parte del disco de tu
ordenador donde quieras almacenarlo (figura 5.55), como por ejemplo
al escritorio.

5.55. Acceso y descarga con FTP anónimo mediante el explorador de Windows.

Verificación del acceso autenticado con Explorador de Windows


Únicamente el administrador del sitio FTP puede realizar la acción de
subir archivos a la página web. Sigue estos pasos:
Conexiones activa y pasiva
1. En el equipo cliente, abre el programa Explorador de Windows. De manera predeterminada, Windows
2. En el cuadro de texto Dirección, del explorador de Windows, escribe el está configurado para realizar conexio-
URL ftp://adminweb@ftp.conrecuerdos.org y pulsa la tecla <Intro>. nes FTP pasivas e IIS está configurado
3. Escribe la contraseña del usuario adminweb, es decir, @dm1nW3b. para admitir solo conexiones activas.
Para que Windows utilice conexiones
FTP activas, abre Opciones de Internet,
que se encuentra en la ruta Inicio / Pa-
nel de Control / Redes e Internet y des-
habilita la opción Usar FTP pasivo en la
pestaña Opciones Avanzadas.

5.56. Acceso FTP autenticado mediante el explorador de Windows.

4. Aparecerá una ventana con el contenido de la página web.


5. Para subir un archivo, primero localízalo en tu equipo y, después, arrás- 5.57. Subida de archivos con el explorador
de Windows.
tralo hasta la ventana del explorador de Windows (figura 5.57).
156

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Qué puertos usa el protocolo FTP para las conexiones
de control? ¿Y para las conexiones de datos?
2·· ¿Consideras seguro el protocolo FTP? Justifica tu res-
puesta.
3·· Compara los distintos tipos de conexiones FTP entre
el cliente y el servidor y anota sus diferencias.
4·· Indica un inconveniente de la conexión FTP en modo
activo.
5·· ¿Cuál es la clave del editor del registro de Windows
que guarda la información del servicio FTP?
6·· En la figura 5.58 puedes ver la captura de dos venta-
nas de un sistema Windows Server 2008. Indica qué se
está configurando en ellas y qué información contienen. 5.58. Actividad final número 6.

7·· La figura 5.59 contiene el formulario de la ventana


Configurar FTP anónimo de la aplicación Webmin. Indica
qué valores deben tener los campos de esta figura para
configurar un FTP anónimo correctamente en un sistema
GNU/Linux.

.: APLICACIÓN :.
1·· Utilizando el terminal o la consola y una vez estable-
cida la conexión cliente-servidor, comprueba los siguien-
tes comandos FTP: pwd, dir, send, get y bye.
5.59. Actividad final número 7.
2·· Abre Nautilus o un explorador de ventanas, depen-
diendo del sistema operativo que quieras usar. Determina
qué controles o acciones son equivalentes a los comandos FTP listados en la actividad anterior.
3·· Realiza una captura de los mensajes o paquetes FTP que se envían por red al realizar una conexión a un servidor
y descargarse un archivo. Sigue estos pasos para preparar la captura:
1. Abre la aplicación Wireshark en un cliente e inicia la operación de captura de paquetes.
2. Conéctate al servidor mediante un cliente FTP usando un usuario y su contraseña.
3. Descárgate un fichero previamente subido al servidor.
4. Acaba la sesión y cierra la conexión.
5. Detén la captura de mensajes.
Ahora realiza las siguientes tareas:
a) Busca la petición ARP que el cliente manda para solicitar la dirección MAC del servidor. Encuentra el paquete que
contiene la contraseña del usuario.
b) Localiza el mensaje que contiene la petición del archivo que queremos descargar.
c) ¿Podemos ver el directorio del servidor que contiene el archivo en algún mensaje? ¿Y el modo de conexión del
canal de datos?
Unidad 5 - Servicio de transferencia de archivos (FTP) 157

Caso final 1

FTP en redes pequeñas


·· La academia AulaEasy necesita subir y bajar los archivos que componen su sitio web a los servidores de la
empresa con la que ha contratado el servicio de hosting (alojamiento web). Además, esta tarea debe reali-
zarse teniendo en cuenta las siguientes características:

– Gestión eficiente de la transferencia de ficheros, que permita mover grandes bloques de archivos en una
única operación, tanto de subida del sitio web como de bajada, para la realización de copias de seguridad.
– Autenticación, es decir, el acceso a los ficheros debe ser autenticado mediante usuario y contraseña.

Solución ·· Para poder llevar a cabo esta labor, primero debéis configurar
el acceso al servicio de transferencia de ficheros del hosting contratado
por AulaEasy. Luego debéis instalar un cliente FTP para enviar y recibir
los ficheros del sitio web de AulaEasy.

Recuerda que, en el caso final de la unidad anterior, AulaEasy se registró 5.60. Correo electrónico remitido por
en una empresa denominada Nixiweb.com que ofrece alojamiento web. Nixiweb.

En el segundo correo electrónico remitido por www.nixiweb.com aparece


el URL del servidor FTP, el par usuario/contraseña para acceder al servicio
y la carpeta donde dejar los archivos. La contraseña FTP se genera auto-
máticamente y además aparece oculta (figura 5.60). Por tanto, para ac-
ceder al servicio FTP, debes cambiar la contraseña. Sigue estos pasos:

1. Abre el navegador e introduce el URL http://cpanel.nixiweb.com para


acceder al panel de control.
2. Luego escribe los datos de la cuenta de usuario, que son el correo
electrónico y la contraseña (figura 5.61).
3. Tras autenticarte, aparecen las herramientas de configuración. Debes
5.61. Acceso al hosting Nixiweb.
ir a la sección Archivos (figura 5.62) y hacer clic en Acceso FTP.
4. La figura 5.63 muestra los datos que permiten autenticar al usuario para
acceder al servicio FTP. Haz clic en el enlace Change account password.
5. Ahora debes introducir la nueva contraseña dos veces y hacer clic en el
botón Cambiar (figura 5.64).
5.62. Iconos de configuración FTP.
En este momento, el servidor FTP está configurado y listo para funcionar.

5.63. Cuenta FTP. 5.64. Cambio de contraseña.


158

Cliente FTP

Una vez configurado el acceso al servidor FTP, debes instalar un cliente que te permita conectarte a
dicho servicio y poder publicar los ficheros del sitio web. Para tal fin, has decidido utilizar la
aplicación FileZilla, dado que es multiplataforma y además está recomendada por la propia empresa
de hosting.

Los pasos que debes efectuar para instalar FileZilla son los siguientes:

1. Accede al URL http://filezilla-project.org y descarga la versión de la aplicación para el sistema operativo


que utilizas.
2. Ejecuta el archivo que acabas de descargar.
3. Se muestra una ventana con la licencia con la que se distribuye el programa (figura 5.65). Es una aplicación
de código abierto que utiliza la licencia pública general GNU (GNU/GPL, del inglés GNU is not Unix/General
Public License). Léela y, si estás de acuerdo, haz clic en el botón I Agree.
4. En la siguiente ventana se ofrece la opción de instalar el programa para un usuario o para todos los usuarios
locales (figura 5.66). Mantén la opción por defecto y pincha el botón Next.
5. Deja marcados los componentes que se van a instalar por defecto (figura 5.67). Haz clic en Next.

5.65. Licencia GPL. 5.66. Usuarios. 5.67. Componentes de la instalación.

6. Ahora puedes elegir la carpeta donde se instalará FileZilla (figura 5.68). Deja la opción por defecto y haz
clic en Next.
7. El próximo paso es indicar dónde aparecerán los iconos de acceso directo en el menú de inicio (figura 5.69).
Haz clic en el botón Install para proceder a la instalación.
8. Pincha el botón Finish para completar la instalación e iniciar la aplicación (figura 5.70).

5.68. Carpeta de instalación. 5.69. Ubicación en menú de inicio. 5.70. Instalación completada.
Unidad 5 - Servicio de transferencia de archivos (FTP) 159

Transferencia de ficheros
Para verificar el funcionamiento del protocolo FTP vas a subir una página web y luego la descargarás. Previamente
deberás crear un fichero llamado index.html que muestre un mensaje de bienvenida, como en la figura 5.71.
En la figura 5.72 se muestra la ventana de la aplicación FileZilla, cuyos elementos más importantes se
describen a continuación:
– Barra de conexión rápida (1): donde se introducen los datos de la cuenta FTP creada.
– Mensajes de bitácora (2): donde aparecen los comandos enviados por el cliente y las respuestas del servidor.
– Panel de ficheros local (3): muestra el árbol de directorios local y el contenido de la carpeta activa.
– Panel de ficheros remoto (4): muestra el árbol de directorios remoto y el contenido de la carpeta activa.

5.71. Página web index.html.

3 4

5.73. Envío del archivo index.htm al


5.72. Componentes de la ventana de la aplicación FileZilla. servidor.

Ejecuta la aplicación FileZilla e introduce los datos de conexión de la cuenta FTP de Nixiweb junto con
la nueva contraseña que has modificado anteriormente. Luego haz clic en el botón Conexión rápida.
Si te has autenticado correctamente, debería aparecer el estado Conectado en el área de la bitácora.
Puedes utilizar la barra de desplazamiento para observar la lista de comandos en que se transforman las
distintas acciones que realizas en modo gráfico. En la figura 5.72 para la autenticación se emplean los
comandos USER, PASS y PWD.
Seguidamente vas a subir el archivo index.htm que aparece en la parte de abajo del panel de ficheros
local. Para ello, tan solo tienes que arrastrarlo hasta la carpeta public_html del panel de ficheros remoto.
Ahora puedes verificar en la bitácora (figura 5.73) los comandos empleados para realizar la transferencia.
Entre ellos está el comando TYPE A, que cambia el formato de transferencia a ASCII, dado que la página
web es un fichero de texto. También aparece el comando PASV, puesto que FileZilla emplea el modo
pasivo por defecto.
Si quieres hacer una copia de seguridad de tu sitio web, tan solo tienes que seleccionar la carpeta
public_html del panel de ficheros remoto y arrastrarla al panel de ficheros local.
Puedes comprobar las órdenes que se han empleado para realizar la transferencia de una carpeta y su
contenido en el listado de comandos de la bitácora.
160

Ideas clave

PROTOCOLO FTP

Implementa Implementa

Solicita acceso
Proporciona Sitio FTP
anónimo

Servidor Cliente

Solicita acceso
Proporciona
restringido

Sitio FTP
autenticado
Unidad 5 - Servicio de transferencia de archivos (FTP) REVISTA DE INFORMÁTICA

Programas
FTP, protocolo para utilizar FTP
– Filezilla: gratuito, de código libre y,

de transferencia de momento, con versión estable y


oficial solo para Windows, aunque
se están desarrollando versiones
para otros sistemas operativos. Se

Se diseñó para transferir archivos


y hoy en día se suele utilizar
de archivos trata de un programa traducido a
varios idiomas, entre ellos el caste-
llano, y que destaca por su facilidad
de uso.
como repositorio de programas
Sin embargo, para realizar esta tarea, – CrossFTP: funciona con Java y es gra-
y para manejar sitios web el protocolo FTP normal no encripta ni tuito en su versión básica. Trabaja
File Transfer Protocol (FTP) o protocolo los archivos que se envían ni la propia en diversos sistemas operativos.
de transferencia de archivos sirve para contraseña que da acceso al servidor re-
que los usuarios accedan a los ficheros moto, por lo que se considera un méto- – GFTP: se trata de una alternativa vá-
informáticos situados en un servidor do inseguro. Para resolver este proble- lida para Linux y Macintosh.
mediante un programa. Este protocolo ma se han buscado distintas soluciones,
abierto que, al igual que el HTTP (el como añadir al FTP la posibilidad de en-
que rige la Web) permite que ordenado- criptar los datos con SSL o su sucesor
res con distintos sistemas operativos se TLS, es decir, mediante la aplicación del
comuniquen, se utiliza actualmente con método de cifrado habitual en Internet
Los navegadores también acceden
frecuencia tanto para manejar sitios en sitios web como bancos o comercios a servidores FTP
web y blogs como para acceder a repo- electrónicos. Esto conforma el FTPS, Los navegadores tienen la capacidad de
sitorios de programas de código libre. que garantiza en mayor medida la segu- entrar en los servidores FTP siempre
ridad en el intercambio de datos. que en la barra de dirección esta se es-
Cuando se emplea FTP, una parte dis-
pone de un programa servidor mien- criba comenzando por la marca de este
tras que la otra cuenta con un softwa-
Almacén de software libre protocolo, es decir, ftp://. Sin embar-
re cliente, que es el que suelen Por otro lado, aunque los usuarios hayan go, esta capacidad es limitada en cuan-
utilizar los usuarios normales. Una vez encontrado formas más sencillas de ac- to al número de prestaciones respecto a
establecida la conexión, se visualiza la ceder a diversos contenidos, ya sea a los programas destinados específica-
estructura de archivos mediante car- través de la propia Web, de programas mente a FTP.
petas, tanto del ordenador local como P2P de intercambio o de servicios web Por otro lado, en navegadores como
del servidor, y se pueden realizar di- (Flickr, YouTube, etc.), todavía hoy en Firefox se puede añadir una extensión
versas acciones sobre los archivos, co- día existen servidores FTP abiertos (cu- (FireFTP) que dota a este versátil pro-
mo descargarlos, subirlos, renombrar- yo acceso no se restringe con ningún ti- grama de las mismas capacidades que
los, borrarlos o modificar los permisos po de contraseña) y que funcionan co- un programa cliente convencional.
de acceso de cada uno de ellos. mo repositorios de diversos contenidos,
entre ellos programas de ordenador. Sin embargo, es conveniente ser pre-
Utilizado por los bloggers De esta manera, los usuarios disponen
cavido si se accede a un servidor web
mediante Internet Explorer (IE), ya
Por esta razón, los programas de FTP los de una alternativa a las descargas di- que en 2004 se detectó un fallo que
suelen utilizar, mediante un acceso pri- rectas vía web, sobre todo en el caso todavía no ha sido corregido en las úl-
vado que requiere nombre de usuario y de programas de código libre. Entre los timas versiones y que consiste en que,
contraseña, las personas que manejan servidores FTP españoles en abierto se si se modifican los archivos, IE apunta
sitios web y blogs. La razón es que se encuentran el del Centro Superior de en ellos el nombre de usuario y la cla-
trata de una forma útil de controlar a Investigaciones Científicas, los de di- ve necesarias para esta tarea, lo que
distancia el servidor, sin que importe versas universidades o el de RedIRIS, supone una importante brecha en la
que se maneje un sistema operativo di- mientras que entre los numerosos ex- seguridad de los sitios.
ferente porque, por ejemplo, se pueden tranjeros se pueden mencionar el de la
modificar los archivos de un servidor Fundación Mozilla o los de las distribu- Fuente: Benyi Arregocés Carrere,
Linux desde un ordenador Windows. ciones de GNU/Linux. www.consumer.es, 30 de agosto de 2007
6
u n i d a d

Servicio proxy

SUMARIO
I El servicio proxy
I El servicio proxy en sistemas GNU/Linux
I El servicio proxy en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso del servicio
proxy.
·· Mostrar la estructura básica del
funcionamiento del servicio proxy.
·· Instalar, configurar y arrancar un servidor
proxy.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de este servicio.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 6 - Servicio proxy 163

1 >> El servicio proxy


1.1 > ¿Qué es el servicio proxy?
Un proxy es un dispositivo «intermediario» que puede actuar como un
cliente y como un servidor. Acepta peticiones del cliente como si fuera el Aplicación
servidor destino y se las reenvía al servidor real, que cree estar comuni-
cándose directamente con el cliente. Después, cuando el servidor entrega Transporte Proxy

la respuesta al proxy, este se encarga de hacérsela llegar al cliente. Internet

Estas son algunas ventajas del uso del proxy: Enlace datos

– Control: permite limitar las peticiones de los equipos y restringir el


Físico
acceso a los usuarios.
– Velocidad: acelera el acceso a los recursos mediante el uso de la fun-
ción caché, que explicaremos de forma detallada en el siguiente epí- 6.1. Proxy en el modelo TCP/IP.

grafe.
– Filtrado: emplea políticas de acceso a contenidos específicos como, por
ejemplo, bloquear la conexión con determinados sitios web.
– Seguridad: mantiene el anonimato de los clientes.
Algunas desventajas del uso del proxy son las siguientes:
– Debido a que todas las peticiones pasan a través del proxy y a que puede
guardar datos en su memoria secundaria, existe una posible vulneración
de la intimidad del cliente.
– El acceso a Internet mediante el uso de un proxy dificulta la realización Niveles modelo TCP/IP
de operaciones avanzadas a través de algunos puertos o protocolos.
Aplicación Transporte
1.2 > Funciones del servicio proxy Proxy TCP (3128, 8080)

Pasarela
Se denomina pasarela a la función del proxy que permite comunicar al
cliente con el servidor. Esta comunicación se puede llevar a cabo de dos
formas:
– Forward proxy o proxy de reenvío: es la función más común en un
servidor proxy. Permite comunicar a un cliente situado en una red in-
terna con Internet. El servidor recibe la petición del cliente y la com-
prueba. Si la petición no es válida, la rechaza y, en caso contrario, la
tramita.
– Reverse proxy o proxy inverso: es un proxy situado en el lado del servidor.
De esta manera, uno o varios servidores web podrían proporcionar con-
tenidos de forma transparente al cliente.

Red Interna

Internet

Cliente Proxy Servidor

6.2. Forward proxy o proxy de reenvío.


164

Como se puede apreciar en la figura 6.3, existen tres servidores en la red


interna, pero solo uno está disponible para acceder a él desde Internet
Internet mediante una IP pública relacionada con un nombre de dominio. Si
Cliente queremos que los clientes también puedan alcanzar los recursos de los
otros dos servidores, que solo son accesibles desde la red interna, debemos
configurar el primer servidor como proxy inverso. De ese modo, los con-
tenidos de los otros servidores estarán disponibles a través del dominio
Proxy inverso
contratado.

Caché
Normalmente, en redes del tipo TCP/IP, múltiples usuarios acceden a la
misma información. Esto tiene dos inconvenientes:
– Saturación de los servidores de red.
Servidor Servidor – Desaprovechamiento del ancho de banda.
web 1 web 2
Para resolverlos se utiliza una caché o memoria local que almacena de
6.3. Reverse proxy o proxy inverso. manera temporal las distintas respuestas que devuelven los servidores a
las consultas que realizan los clientes para poder utilizarlas en un futuro
cercano.
Cuando un servidor proxy implementa la gestión de esa memoria local, se
Advertencia
dice que actúa como servidor proxy caché. Los protocolos que suelen em-
Un servidor proxy caché puede ofrecer plearlo son HTTP, FTP, SSL y SOCKS.
información desactualizada si se han
realizado cambios en los datos del ser- En la figura 6.4 se puede apreciar el funcionamiento de un servidor proxy
vidor original desde que se consultó por caché.
última vez.

Servidor
Caché en cliente y en servidor
En el protocolo HTTP, además del proxy,
Cliente 1 1. Petición
tanto el cliente como el servidor suelen 3. Envío
al servidor
disponer de una caché. Respecto al pri- de respuesta
mero, logra que la carga de páginas web 2. Comprueba si
5. Remite respuesta
sea casi inmediata y reduce el tráfico de dispone de la
la red, mientras que respecto al segundo respuesta, si no
Servidor proxy caché reenvía al servidor
mejora el rendimiento del sitio web.

4. Almacena respuesta
en caché
6. Realiza la
misma petición

Caché
7. Si la respuesta está en caché,
el servidor proxy caché la remite
directamente al usuario

Cliente 2

6.4. Funcionamiento del servidor proxy caché.


Unidad 6 - Servicio proxy 165

Filtrado
Otra de las funciones importantes de un proxy es la de poder interceptar
e inspeccionar los mensajes que circulan entre las aplicaciones situadas
entre el cliente y el servidor. De esta manera, el proxy puede analizar el Directivas de acceso
significado del protocolo que emplea una aplicación concreta, lo que le El proxy de Microsoft Forefront Threat
permite: Management Gateway (TMG) llama di-
rectivas de acceso a las reglas utilizadas
– Evitar abusos por parte de alguna aplicación no permitida. para filtrar el tráfico de la red, mientras
– Limitar el uso de determinadas características de un protocolo. que el proxy más empleado en GNU/Li-
– Detectar si un protocolo no autorizado utiliza puertos estándar. nux, Squid, las denomina listas de con-
trol de acceso (ACL, del inglés access
Por ejemplo, un proxy puede impedir el acceso de determinados usuarios control list).
al servidor. También puede prevenir que un protocolo como el FTP ejecute
un conjunto de comandos o incluso establecer filtros para direcciones
URL concretas cuando se emplea el protocolo HTTP.
Esto se consigue mediante reglas explícitas que indican si se aceptan o se
rechazan determinados usos.
Filtrado de paquetes vs. filtrado
El inconveniente principal es que, al ser un filtro a nivel de aplicación, el de mensajes a nivel de
proxy debe ser configurado para cada servicio de red. aplicación
La diferencia entre el filtrado de men-
A los proxy que realizan estas tareas también se les conoce con el nombre
sajes a nivel de aplicación y el filtrado
de cortafuegos a nivel de aplicación.
de paquetes en un cortafuegos estriba
en que el primero realiza su trabajo en
1.3 > Configuraciones proxy
la capa de aplicación y el segundo en la
Un servidor proxy puede configurarse de varias formas para que realice capa de Internet.
su cometido, según los requerimientos de la utilización que se le quiera
dar. Así, entre otras posibilidades, podemos establecer que un proxy sea
transparente o anónimo.

Proxy transparente
La RFC 2616 define el proxy transparente como aquel que no modifica la
petición del cliente ni la respuesta del servidor, más allá de lo requerido ¿Hay intermediarios?
para la autenticación e identificación.
Si un proxy se configura para que actúe
En general, un cliente debe cambiar su configuración si desea hacer uso de forma transparente, los clientes
de un proxy. Sin embargo, si un proxy se configura de manera transparente, pueden no ser conscientes de que están
se evita que el cliente deba modificar su configuración y, por tanto, que accediendo a Internet a través de un
esta se pueda variar de forma malintencionada. intermediario.

Para que un proxy sea transparente se debe establecer un mecanismo que


capture las peticiones de un cliente a un puerto determinado y las reenvíe
hacia el proxy. Por ejemplo, si se trata de un proxy web, debe interceptar
las peticiones al puerto 80 y enviárselas al proxy.
Advertencia
Proxy anónimo
Pese a emplear un proxy anónimo, la
Permite ocultar la dirección IP del cliente mientras navega y que esta no identidad del cliente no se oculta del
quede registrada en servidores web u otros dispositivos de la red. Para todo, dado que las peticiones a nuestro
ello, el cliente se conecta a un proxy que se encarga de reenviar las peti- ISP son totalmente visibles. Además, los
ciones a los servidores incluyendo su propia dirección IP en vez de la del servidores proxy también registran en
cliente. Existen multitud de servidores proxy anónimos en la web. sus bitácoras los accesos realizados.
166

2 >> Proxy en sistemas GNU/Linux


ServPubli, en esta ocasión, os plantea la implantación de un servicio que
permita, además de la racionalización del empleo de la línea de Internet,
Para saber más el control del uso que sus trabajadores hacen de ella. Así, se pretende:
– Aumentar la productividad de sus empleados gracias a las restricciones
en el acceso a Internet.
– Si en un futuro se detecta la sobrecarga de la línea de Internet, poder
agilizar las comunicaciones reduciendo el tráfico que circula a través
del router.
http://www.squid-cache.org Consideráis que la instalación de Squid satisfará las necesidades de la em-
presa. Squid, publicado bajo la licencia GNU GPL, es un proxy que, entre
otras características, ofrece reducción del ancho de banda utilizado, caché
para HTTP, HTTPS y FTP, filtrado y control de acceso.

2.1 > Instalación del servidor


Datos de acceso
Sigue estas indicaciones para instalar el proxy:
Usuario: adminservidor
1. Abre el gestor de paquetes Synaptic en el servidor.
Contraseña: S3rvid@r
2. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo-
nibles en los repositorios de Internet.
3. Accede a la herramienta de búsqueda, escribe squid en el cuadro de
texto y haz clic sobre el botón Buscar (figura 6.5).
4. Haz doble clic en la casilla de verificación que está delante del paquete
squid3 y haz clic en el botón Marcar para permitir la instalación de los
paquetes adicionales.
5. Haz clic sobre el botón Aplicar para iniciar la instalación.

6.5. Herramienta Buscar de Synaptic.

Paquete que se debe instalar


squid3

6.6. Selección de paquetes en Synaptic.

6. Se abrirá la ventana Resumen. Haz clic en el botón Aplicar y se abrirá la


ventana Aplicando cambios. Al finalizar la instalación se cerrará automá-
ticamente para dar paso a la ventana Cambios aplicados.
7. Haz clic en el botón Cerrar que se encuentra en el cuadro de diálogo
Cambios aplicados.
8. Haz clic sobre el botón Cerrar para finalizar la aplicación Synaptic.
Unidad 6 - Servicio proxy 167

2.2 > Configuración del servidor


Aunque el servidor proxy tiene muchas funciones, solo vas a configurar la
autenticación básica.
Archivo de configuración general
Acceso al módulo Squid-Servidor Proxy /etc/squid3/squid.conf

Sigue estas indicaciones para actualizar la lista de servidores en Webmin:


1. Abre el navegador web en el servidor y accede a Webmin.
2. Haz clic sobre el enlace Refresh Modules (figura 6.7) para que Webmin
agregue Squid en su menú. Espera unos segundos mientras esta aplica-
ción busca los módulos instalados y actualiza la lista de servidores.

Activación de la autenticación básica y gestión de usuarios


Sigue estos pasos para permitir la autenticación de los usuarios:
6.7. Refrescar módulos.
1. Abre Webmin y accede al enlace Squid-Servidor Proxy de la sección Servi-
dores del menú principal.
2. Haz clic en el enlace Programas de autentificación (figura 6.8).
3. Selecciona la opción Por defecto de Webmin del control Programa de auten-
ticación básica.

6.8. Configurar la autenticación.

6.9. Módulo Programas de Autenticación.

4. Haz clic en el botón Salvar que se encuentra al final de la página.


5. Ya puedes ver el enlace Autentificación Proxy (figura 6.10). Haz clic sobre él.
6. Accede al enlace Añadir un nuevo usuario de Proxy para abrir la ventana
Crear Usuario de Proxy.
7. Escribe juan en el cuadro de texto Nombre de Usuario.
8. Rellena el campo Contraseña con la cadena de caracteres Spr1pZ.
6.10. Enlace Autenticación Proxy.

Archivo usuarios
/etc/webmin/squid/users

6.11. Creación de un usuario de proxy.


168

Definición de una ACL


Una lista de control de acceso o ACL (access control list) define una condición
que se aplicará para permitir o denegar el acceso. Sigue las indicaciones
descritas a continuación:
1. Abre Webmin en el servidor y accede al enlace Squid-Servidor Proxy de la
6.12. Enlace Control de Acceso. sección Servidores del menú principal.
2. Haz clic en el enlace Control de Acceso (figura 6.12).
3. Selecciona el valor Autentificación Externa en la lista desplegable (fi-
gura 6.13).
4. Haz clic en el botón Crear nueva ACL.
5. Escribe UsuariosServPubli en el cuadro de texto Nombre ACL (figura 6.14).
6. Haz clic sobre el botón Salvar para guardar la nueva ACL.
6.13. Selección del tipo de ACL.
Creación de una restricción proxy
Vas a crear una restricción basada en la ACL que has creado en el epígrafe
anterior. Luego la colocarás en la posición correcta dentro de la lista de
restricciones, de forma que sea evaluada antes de la restricción que deniega
todo el tráfico, la cual, por defecto, se sitúa la última. De esta forma, los
trabajadores que se autentiquen con un usuario válido obtendrán el acceso
a Internet. Sigue estos pasos:
1. Abre Webmin en el servidor y accede al enlace Squid-Servidor Proxy de la
sección Servidores del menú principal.
2. Haz clic en el enlace Control de Acceso.
3. Accede a la pestaña Restricciones Proxy para configurar una restricción
6.14. Módulo Crear ACL. usando la nueva ACL.
4. Haz clic en el enlace Añadir restricción proxy.
5. Selecciona la opción Permitir del control Acción y, a continuación, haz
clic sobre UsuariosServPubli de la lista Coincidir con ACLs (figura 6.15).
6. Haz clic en el botón Salvar para guardar la restricción.
Advertencia 7. Para situar la nueva restricción en la posición correcta, haz clic sobre su
Ten en cuenta que todas las ACL situa- correspondiente flecha de la columna Mover (figura 6.16). Comprueba
das detrás de Denegar all nunca se eva- que queda justo antes de la restricción Denegar all.
luarán. 8. Haz clic sobre el enlace Regresar a índice squid.

Advertencia
Si la red tiene un router que no restringe
el acceso a Internet, los usuarios podrían
usarlo para saltarse las limitaciones del
proxy.
6.15. Módulo Crear Restricción de Proxy. 6.16. Lista de restricciones proxy.

9. Pulsa el botón Aplicar la Configuración para activar estos cambios.


Unidad 6 - Servicio proxy 169

2.3 > Configuración del cliente


Sigue estos pasos para poder navegar a través del servi-
dor proxy:
1. Arranca el cliente y abre una sesión con el usuario
admincliente y la contraseña Cli3nt@.
2. Abre el navegador web Firefox.
3. Selecciona la opción Preferencias del menú Editar de
Firefox.
4. Selecciona la sección de preferencias Avanzado.
5. Accede a la pestaña Red.
6. Haz clic en el botón Configuración.
7. En la ventana Configuración de conexión (figura 6.17):
– Selecciona la opción Configuración manual del proxy.
– Escribe proxy.servpubli.com en el cuadro Proxy HTTP.
– Teclea 3128, el puerto de escucha de Squid, en el
control Puerto.
– Activa la casilla Usar el mismo proxy para todo.
– Haz clic en el botón Aceptar de esta ventana.
8. Haz clic sobre el botón Cerrar de la ventana Preferencias
de Firefox.
6.17. Ventana Configuración de conexión.
2.4 > Comprobaciones
Verificación del estado del servicio
Sigue estos pasos para asegurarte de que el servidor está en ejecución:
1. Abre Webmin en el navegador web del servidor, despliega el menú
Otros y haz clic sobre el enlace Estado de sistema y de Servidor. Proceso del servidor proxy
2. Busca Squid Proxy Server y comprueba que, a su derecha, hay un símbolo
/usr/sbin/squid3
de color verde que indica que está arrancado (figura 6.18).

Verificación de la navegación web


Sigue estas indicaciones para comprobar la autenticación:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Abre el navegador web Firefox.
3. Antes de cargar la página, se abre el cuadro de diálogo Identificación
requerida. Introduce juan en el control Nombre de usuario.
4. Teclea la contraseña en el cuadro de texto correspondiente.
5. Haz clic en el botón Aceptar para validarte y poder navegar.
6.18. Estado del sistema y del servidor.

6.19. Autenticación de usuarios.


170

3 >> Proxy en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la quinta tarea que debéis realizar es la implantación de un proxy caché
Para saber más que actuará de intermediario entre los usuarios de la LAN e Internet, para
Puedes obtener soporte técnico de Mi- atender peticiones de los servicios de la capa de aplicación.
crosoft Forefront Threat Management
El servidor proxy caché no está incluido en Windows Server 2008, por lo
Gateway en el siguiente URL:
que debemos adquirir alguna aplicación para realizar esta tarea, como
por ejemplo Microsoft Forefront Threat Management Gateway (TMG).
Microsoft permite la descarga gratuita desde su página web de la versión
estándar de Forefront TMG 2010 para realizar una prueba de evaluación
de 120 días.
Es muy importante tener en cuenta los requisitos mínimos del sistema:
xurl.es/tmg_ms
– Sistema operativo Windows Server 2008 de 64 bits con SP2.
– Ordenador con procesador de doble núcleo de 64 bits, 2 GB de RAM, 2,5
GB de disco duro con formato NTFS y una tarjeta de red.

3.1 > Instalación del servidor


Preparación del sistema

Recuerda
Ejecuta Forefront TMG 2010 y sigue estos pasos para preparar el sistema:

Los datos para acceder como usuario 1. Haz clic en el enlace Ejecutar Windows Update.
administrador son: 2. Accede al enlace Ejecutar la herramienta de preparación.
– Usuario: adminservidor
– Contraseña: S3rvid@r
Instalación de Microsoft Threat Management Gateway 2010
Una vez preparado el sistema, sigue estos pasos para instalar Forefront:
1. Haz clic sobre el enlace Ejecutar el asistente para instalación.
2. Se inicia el asistente para la instalación. Haz clic en Siguiente.
3. Acepta el contrato de licencia y haz clic en Siguiente.
4. Rellena las casillas en Información del cliente y pincha Si-
guiente.
5. Elige Instalar servicios y Administración y haz clic en Siguiente.
6. Haz clic en Siguiente en la ventana Ruta de acceso de instala-
ción.
7. Ahora debes definir el intervalo de direcciones de red in-
terna. Para ello, haz clic sobre el botón Agregar.
8. En la ventana Direcciones haz clic sobre Agregar adaptador.
9. Marca la casilla con la tarjeta de red de la parte LAN y
pincha Aceptar.
10. Comprueba el intervalo de direcciones IP (figura 6.20) y
haz clic en Aceptar.
11. En la ventana Definir red interna, haz clic en el botón Si-
guiente.
12. Aparece una ventana de advertencia. Léela y haz clic en
Siguiente.
13. Ahora inicia la instalación haciendo clic sobre Instalar.
6.20. Ventana Direcciones.
14. Una vez terminada la instalación, pincha Finalizar.
Unidad 6 - Servicio proxy 171

3.2 > Configuración del servidor


Vas a configurar el servicio de proxy caché en tres pasos.

Configuración de las opciones de red Administrador de Forefront


TMG 2010
El primer paso es configurar las opciones de red:
Una vez instalado el proxy caché, sigue
1. Abre el administrador de Forefront TMG 2010. esta ruta para poder administrarlo:
2. Haz clic sobre el primer paso: Configurar opciones de red. Inicio / Todos los programas /
3. Aparece el Asistente para configuración de red. Pincha Siguiente. Microsoft Forefront TMG /
4. Marca Firewall perimetral (figura 6.21) y pincha Siguiente. Administración de Forefront TMG
5. En la ventana Configuración de LAN, elige la tarjeta que conecta a la red
interna y haz clic en Siguiente.
6. En la ventana Configuración de Internet, elige la tarjeta que conecta a In-
ternet y haz clic en Siguiente.
7. Aparece un mensaje de alerta. Léelo y haz clic en Aceptar.
8. El asistente termina con una ventana resumen.
9. Haz clic en Finalizar.

Configuración de las opciones del sistema


A continuación se configuran las opciones del sistema:
1. Abre el administrador de Forefront TMG 2010.
2. Haz clic sobre el segundo paso: Configurar opciones del sistema. 6.21. Selección de la plantilla de red.
3. Aparece la ventana de inicio del asistente. Pincha Siguiente.
4. En la ventana Identificación de host (figura 6.22) selecciona la opción Grupo
de trabajo y haz clic sobre Siguiente.
5. El asistente termina con una ventana resumen de la configuración. Haz
clic en Finalizar.

Definición de las opciones de implementación


Finalmente se definen las opciones de implementación:
1. Abre el administrador de Forefront TMG 2010.
2. Haz clic en el tercer paso: Definir opciones de implementación.
3. Aparece el Asistente para la implementación. Pincha Siguiente.
4. Deja marcada la opción Usar el servicio Microsoft Update para buscar actua- 6.22. Identificación del host.
lizaciones y haz clic en Siguiente.
5. En la ventana Configuración de características de protección de Forefront TMG,
deja las opciones marcadas y pincha Siguiente.
6. En la ventana Configuración de actualización de firmas NIS, deja marcadas
las opciones predeterminadas y haz clic en Siguiente.
7. Elige la opción No, no deseo participar y haz clic en Siguiente.
8. Selecciona Ninguno. No se envía información a Microsoft en el Servicio de in-
formes de telemetría de Microsoft. Haz clic en Siguiente.
9. El asistente termina con una ventana resumen. Pincha Finalizar.
10. Aparece la ventana Asistente de introducción con los tres pasos completados
(figura 6.23). Deja marcada la opción Ejecutar el Asistente para acceso web
y haz clic en el botón Cerrar.
11. Aparece el Asistente para directivas de acceso web. Haz clic sobre el botón
6.23. Ventana Asistente de introducción.
Siguiente.
172

12. En la ventana Destinos web bloqueados se crea una


lista de categorías de destinos web que deben blo-
quearse, como, por ejemplo, páginas en la categoría
de anonimato. Haz clic en Siguiente.
13. Elige Sí, inspeccionar el contenido web solicitado desde In-
ternet y activa la casilla de verificación de bloqueo.
Pincha Siguiente.
14. Marca Permitir a los usuarios establecer conexiones HTTPS
con sitios web y elige No inspeccionar el tráfico HTTPS y
no validar los certificados de sitios HTTPS. Pincha el
botón Siguiente.
15. Activa Habilitar la regla de almacenamiento en caché
web predeterminada (figura 6.24) y elige el espacio
en disco caché. Pincha Siguiente.
16. El asistente termina con una ventana resumen. Haz
6.24. Ventana Configuración de la memoria caché web. clic en Finalizar.

3.3 > Configuración del cliente


Para configurar el servicio proxy en el cliente debes seguir estos pasos:

Internet Explorer 1. Abre Internet Explorer.


Puedes abrir Internet Explorer siguiendo
2. Haz clic sobre Herramientas / Opciones de Internet.
esta ruta: 3. En la ventana que aparece, accede a la pestaña Conexiones y pincha el
botón Configurar.
Inicio / Todos los programas /
Internet Explorer

6.25. Ruta de configuración de la red de área local (LAN).

4. En la ventana Configuración de la red de área local (LAN) (figura 6.26), marca


la casilla de verificación Usar un servidor proxy para la LAN. A continuación,
escribe proxy.conrecuerdos.org en Dirección y el valor 8080 en Puerto. Cierra
6.26. Ventana de configuración de LAN.
cada una de las ventanas pinchando Aceptar.
Unidad 6 - Servicio proxy 173

3.4 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
Por una parte, en el servidor se verifica el estado de los procesos y, por
Estado de los servicios proxy
otra, en el cliente se prueba la navegación por Internet a través del proxy.
Los servicios proxy tienen tres posibles
Verificación del estado del servicio estados de inicio:

Sigue la ruta Inicio / Herramientas administrativas y haz clic sobre Servicios. En – Automático: está iniciado y se iniciará
cada vez que arranca el ordenador.
la ventana que aparece, busca los servicios asociados al proxy. Una vez los
– Manual: está detenido y se debe iniciar
hayas encontrado, comprueba que todos tienen el valor Iniciado en Estado
manualmente.
y que en Tipo de inicio aparece Automático.
– Deshabilitado: está detenido y no se
puede iniciar de ningún modo.

6.27. Ventana Servicios.

Se deben comprobar los servicios asociados a Forefront TMG, que son:


– Control de Microsoft Forefront TMG.
– Firewall de Microsoft Forefront TMG.
– Almacenamiento de Microsoft Forefront TMG.
– Programador de trabajos de Microsoft Forefront TMG.
– Agente SQL Server (MSFW).
– Agente SQL Server (ISARS).

Verificación de la navegación web


Todos los usuarios deben poder navegar por Internet a través del proxy.
Sigue estos pasos para comprobar que esto es así:
1. Ejecuta el programa Internet Explorer en el equipo cliente.
2. Escribe el URL http://www.alzfae.org en la barra de direcciones y pulsa la
tecla <Intro>.
Si el servicio proxy funciona bien, aparece la página web introducida.

Verificación del filtrado de páginas web


Algunos sitios web de Internet no son accesibles desde la intranet debido
al contenido que albergan. El servicio de proxy caché se encarga de denegar
el acceso según el tipo de página de que se trate. Sigue estos pasos para
comprobar que hay páginas rechazadas:
1. Ejecuta el programa Internet Explorer en el equipo cliente.
2. Escribe el URL http://anonymouse.org en la barra de direcciones y pulsa la
tecla <Intro>.
Si el servicio proxy actúa adecuadamente, no se mostrará dicha página y
6.28. Página web denegada por el proxy.
se te avisará de que el acceso ha sido bloqueado (figura 6.28).
174

Actividades finales

.: CONSOLIDACIÓN :.
1·· Cita las ventajas y desventajas que supone utilizar un servidor proxy.
2·· Si tuvieras que ubicar un servidor proxy inverso, ¿lo situarías cerca del cliente o cerca del servidor?
3·· ¿Qué diferencia existe entre un servidor web proxy que disponga de caché y otro que carezca de ella?
4·· Busca en Internet las ventajas e inconvenientes del filtrado de paquetes frente al filtrado de mensajes a nivel de
aplicación.
5·· Describe la diferencia entre un proxy transparente y uno anónimo.
6·· ¿Con qué nombre se conocen en las plataformas Windows las listas de control de acceso ACL que se emplean en
los sistemas operativos GNU/Linux?
7·· Enumera los requisitos del sistema que se necesitan para poder instalar el servidor proxy caché Microsoft
Forefront Threat Management Gateway (TMG).
8·· ¿Cuál es el puerto de escucha por defecto que emplea el servidor proxy caché Squid?
9·· Enumera algunos servicios que se pueden usar a través de Squid.

.: APLICACIÓN :.
1·· Enciende la máquina virtual del servidor GNU/Linux y del cliente Windows. Configura el cliente para que pueda
navegar a través del proxy del servidor. Comprueba el servicio como se muestra en la teoría.
2·· Realiza la misma operación que en la actividad anterior, pero esta vez la función de servidor la llevará a cabo
Windows y la de cliente GNU/Linux. Comprueba el servicio como se muestra en la teoría.
3·· Desde una máquina virtual cliente, conéctate a Internet a través del servidor proxy caché configurado sobre Win-
dows. Mide el tiempo que tarda en descargarse un archivo grande, por ejemplo una imagen de alguna distribución de
GNU/Linux. Luego, recarga la página web y vuelve a medir el tiempo que tarda en descargarse ese fichero. ¿La
duración de la descarga ha sido la misma? Explica por qué ocurre esto.
4·· En Internet existen gran cantidad de páginas web que ofrecen servicios de proxy anónimo en línea. Conéctate a
alguna de ellas y navega de incógnito. Explica si tu identidad ha sido ocultada completamente.
5·· También hay muchos sitios web que ofrecen la posibilidad de comprobar si la conexión a sus servidores se realiza
a través de un proxy. Compruébalo a través del URL http://www.vermiip.es.
6·· Captura los mensajes que se reenvían a través del proxy cuando un cliente realiza una petición web a un servidor
HTTP. Para ello, prepara la aplicación Wireshark en la máquina virtual servidor e inicia la operación de captura en la
tarjeta de red interna. Desde una máquina cliente abre el navegador e introduce una dirección web que no haya sido
cacheada anteriormente, por ejemplo https://www.ripe.net, la web del Centro de Coordinación de redes IP europeas.
Detén la captura de mensajes y guárdala. Después inicia la operación de captura en la otra tarjeta de red. Realiza la
misma operación en el cliente y detén la captura. Ahora realiza estas tareas:
a) Busca la petición GET correspondiente a la página web introducida. Anota la IP de origen y de destino.
b) Localiza los mensajes del protocolo DNS y averigua la dirección IP del sitio web.
c) Comprueba que existe una nueva petición GET cuya dirección IP de origen es la del servidor proxy y que como
destino tiene la dirección IP del sitio web.
d) Explica las diferencias que encuentres en el contenido de los mensajes que realiza la petición GET.
e) Examina los paquetes que se envían en la dirección contraria, desde el servidor web al cliente. Comprueba el
cambio de IP efectuado en el proxy al devolver la petición web.
Unidad 6 - Servicio proxy 175

Caso final 1

Proxy en redes pequeñas


·· La academia AulaEasy ha realizado un estudio de las páginas web visitadas por sus usuarios y los resultados
demuestran que estas son las mismas en un alto porcentaje. Como consecuencia, quiere aumentar la eficien-
cia de su conexión a Internet sin cambiar su contrato de servicios con el proveedor.

Solución ·· Le proponéis la instalación de un servidor proxy en la red que realice la función de caché. De
esta manera, después del primer acceso, los recursos se almacenan en la memoria secundaria del proxy, au-
mentando la velocidad de los siguientes accesos a esos mismos recursos ya que, en este caso, se obtienen del
disco duro.

Para realizar este proceso, sigue estos pasos (si trabajas con máquinas virtuales comienza por el paso 1, si no,
salta al paso 2):

1. Abre VirtualBox y selecciona la má-


quina que vas a utilizar. Accede al Router SOHO
menú Configuración / Red de la má-
Internet
quina virtual y configura la tarjeta de
red Adaptador 1 de los ordenadores
cliente escogiendo la opción Adapta-
Servidor
dor puente del menú desplegable Co- proxy
nectado a.
2. Este caso final habrá de realizarse en
grupo. Arranca un único servidor en la
red del taller, el resto de ordenadores
realizarán la función de clientes.
3. Si eres el encargado del servidor, ins-
tala y configura el servidor proxy o
bien utiliza algunos de los instalados
en la unidad.
4. Configurad el servicio proxy en los na-
vegadores de los clientes.
5. Si estás ejecutando el cliente, abre 6.29. Esquema de red.
el navegador web e introduce el URL
http://ubuntu-manual.org. Se abrirá la página web del proyecto de Ubuntu para la creación de manuales.
6. Descárgate el manual de Ubuntu Primeros pasos con Ubuntu. Si ya habías accedido con anterioridad a esta
página, busca otro archivo que, por su tamaño, tarde en bajarse algunos segundos.
7. Calcula el tiempo que has tardado en realizar la conexión.
8. Ahora, accede desde otro cliente a la misma página web y realiza de nuevo la operación de descarga del
manual.
9. Calcula el tiempo que has tardado en realizar esta nueva conexión.
10. El tiempo deberá ser menor, ya que, en este momento, el recurso está guardado en la memoria caché del
servidor proxy.
11. Restablece la configuración original en los navegadores de los clientes.
12. Si estás trabajando con máquinas virtuales, accede de nuevo al menú Configuración de la máquina virtual
y configura la tarjeta de red de los ordenadores cliente como Red interna.
176

Ideas clave

Cliente
HTTP/FTP

Solicita

Implementa

Servidor Proxy

Autenticación

SERVICIO PROXY Implementa


Caché

Filtrado Protocolos
HTTP/FTP

Solicita

Recursos
HTTP/FTP

Implementa

Proporciona

Servidor
HTTP/FTP
Unidad 6 - Servicio proxy REVISTA DE INFORMÁTICA

Censura de Facebook
y servidores proxy
anónimos

Cuenta Facebook capturada en el C&C de la botnet con JavaScript.

Al analizar los resultados de la botnet con JavaScript, IP de los servidores de las redes sociales, pero,
me sorprendieron las cuentas Facebook y Twitter que por medio de servicios proxy, es posible saltar es-
aparecían en el panel, es decir, que ciertos usuarios se ta protección. Por tanto en aquellos países en los
estuvieran conectando a perfiles en redes sociales por que Facebook está bloqueado, los usuarios que
medio de un servicio de proxy anónimo. Esto me llamó quieren utilizarlo se ven obligados a emplear es-
poderosamente la atención y me llevó a preguntarme quemas inseguros de man in the middle.
por qué lo harían.
Los dos casos son, sin embargo, situaciones anóma-
La reflexión finalmente concluyó en varias respues- las y ponen en verdadero riesgo al dueño de la cuen-
tas que aquí os dejo: ta. Si se trata de cuentas robadas, no solo porque ha-
1) Cuentas robadas: se ha robado una cuenta y se ya sido robada sino porque se expone a otros robos;
quiere evitar el registro de la verdadera dirección y si se trata de la censura, es triste que los dueños le-
IP; esta es una de las primeras ideas que a uno se gítimos tengan que exponer la seguridad de sus
le vienen a la mente. Utilizar un servicio proxy en cuentas para poder expresar sus ideas en Internet y,
estos entornos exige que este sea del mismo país además, es bastante fácil para los censores controlar
de la víctima o, por el contrario, conocer a los las conexiones y cuentas mediante este tipo de es-
amigos de la cuenta para saltarse la verificación quemas de proxy anónimos.
de reconocimiento de fotos, aunque hoy en día Desde luego, conectarse en Internet a una cuenta de
esto no es complicado. Facebook o Twitter a través de un servicio de
2) Evasión de una censura: los administradores de proxy anónimo es algo que nunca deberíamos ha-
la red de conexión han bloqueado las direcciones cer en condiciones normales.

Fuente: Chema Alonso, www.elladodelmal.com, 2 de agosto del 2012


7
u n i d a d

Correo
electrónico
SUMARIO
I El servicio de correo electrónico
I El servicio de correo electrónico en
sistemas GNU/Linux
I El servicio de correo electrónico en
sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso del servicio
de correo electrónico.
·· Mostrar la estructura básica del
funcionamiento del servicio de correo
electrónico.
·· Instalar, configurar y arrancar un servidor
de correo electrónico.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de este servicio.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 7 - Correo electrónico 179

1 >> Correo electrónico


1.1 > ¿Qué es el correo electrónico?
El correo electrónico permite el intercambio de mensajes mediante el uso
de sistemas de comunicación electrónicos. Cuando se utiliza Internet como Aplicación Correo
sistema de comunicación, se basa en el protocolo SMTP (Simple Mail Transfer
Transporte
Protocol) o protocolo simple de transferencia de correo.
La idea de que diferentes usuarios accedan a un ordenador de forma Red

remota y guarden datos se remonta al año 1961 en el Instituto Tecnológico Enlace


de Massachussett (MIT, Massachusett Institute of Technology). Si bien el
concepto de correo electrónico dentro de una red informática no se empezó Físico

a generalizar hasta el año 1965.


7.1. Correo en el modelo TCP/IP.
El correo electrónico y el correo postal funcionan de una manera análoga:
los dos permiten enviar y recibir mensajes que llegan a un buzón destino
gracias al uso de direcciones personales. En el caso del correo electrónico,
la función de buzón la realiza un servidor de correo.
Sabías que...
Cuentas de correo
El símbolo arroba (@) fue introducido
La cuenta de correo es nuestra identificación dentro del servicio para en el año 1971 para separar el nombre
poder recibir y enviar de manera unívoca los mensajes. del usuario y del servidor.
Se escogió, entre otras cosas, porque
Normalmente el proveedor de servicio de Internet (ISP o Internet service pro-
en inglés se lee «at» (en español «en»)
vider) dará la posibilidad de obtener una cuenta de correo electrónico en
y no forma parte de ningún nombre o
sus servidores a través de un agente de correo MUA (mail user agent).
apellido.
Las cuentas de correo están formadas por dos partes separadas por el sím-
bolo arroba (@):
– La primera parte indica el nombre del usuario de la cuenta.
– La segunda especifica el dominio del servidor de correo donde está alo- Alias
jada la cuenta. Un alias es una dirección de correo elec-
trónico alternativa que apunta a una
Por ejemplo, Javier@servidor1.com indica que es la dirección de correo del cuenta de usuario principal.
usuario «Javier» que se encuentra en el «servidor1». Dentro de este servidor
Un alias intenta suministrar una direc-
no se pueden tener dos direcciones iguales, pero el usuario Javier puede
ción más significativa.
tener más de una dirección de correo en diferentes servidores (como por
ejemplo Javier@servidor2.com o Javier@servidor3.com).
Existen dos formas básicas de configurar las descargas de las cuentas de
correo electrónico según el protocolo: Buzón de usuario
– IMAP (Internet Message Access Protocol) o protocolo de acceso a mensajes Los buzones de correo electrónico son
de Internet: en este caso los mensajes se guardan en el servidor de carpetas donde se guardan los mensajes
correo. de correo.
– POP (Post Office Protocol) o protocolo de oficina de correos: en este caso
los mensajes se guardan en el ordenador del usuario.

Actividades propuestas

1·· Busca dos programas que permitan gestionar tus correos electrónicos y cumplan con el protocolo POP.
180

1.2 > Funcionamiento del servicio de correo


El correo electrónico opera siguiendo el modelo cliente-servidor. Cuando
se envía un correo, el mensaje se direcciona a través de diferentes servidores
hasta que llega al del receptor.

Agentes del servicio


Los diferentes agentes que intervienen en el envío de
MTA MTA
un correo electrónico entre dos usuarios son:
Internet – MUA (mail user agent) o agente de usuario de correo:
es un programa de ordenador usado para enviar y
SMTP SMTP SMTP
recibir correos.
– MTA (mail transfer agent) o agente de transferencia de
MDA MDA
correo: es el servidor de correo. Se comunica con
POP3
SMTP otros servidores mediante el protocolo simple de
IMAP
transferencia de correo o SMTP (Simple Mail Transfer
Protocol).
MUA MUA – MDA (mail delivery agent) o agente de entrega de
7.2. Funcionamiento del correo electrónico.
correo: es un programa que gestiona los buzones
de la lista local de correo.
En la figura 7.2 se muestra cómo se desarrolla el envío de un mensaje
entre dos usuarios. El MTA del usuario se comunica con otros MTA hasta
llegar al destino. Este último entrega el mensaje al MDA, que lo almacena
esperando que el destinatario lo descargue mediante el uso de POP o IMAP.

Formato del mensaje


El protocolo SMTP indica que los mensajes deben incluir:
– Cabecera: incluye entre otros, los siguientes campos:
• De o remitente: indica el usuario que envía el mensaje.
• Para o destinatario: indica el usuario al que va dirigido el correo.
• CC o copia carbón: destinatario de copia. Los usuarios que estén en
la lista recibirán el correo pero verán que no está dirigido solo a ellos.
Este campo es visible para todos.
• CCO o copia carbón oculta: destinatario de copia oculta. En este caso,
7.3. Formato del mensaje. no se agregan a la lista de destinatarios los usuarios que se añaden a
este campo. Permanecerán ocultos para todos los destinatarios, in-
cluidos los que estén en este campo.
• Fecha: especifica la fecha y la hora de envío del mensaje.
Tipos MIME • Asunto: breve descripción del contenido del mensaje.
Las extensiones MIME soportan: – Cuerpo: contiene el mensaje. Puede ser solo texto plano o tener algún
– Texto con caracteres distintos de ASCII, tipo de formato.
como la «ñ» o la «ç».
– Adjuntos que no son de tipo texto, Extensiones MIME
como imágenes.
– Cuerpos de mensajes con múltiples Las MIME (multipurpose internet mail extensions) o extensiones multipropó-
partes. sito de correo de Internet son un conjunto de especificaciones que fijan
– Información de encabezados con ca- el intercambio de todo tipo de archivos de forma transparente para el
racteres distintos de ASCII. usuario.
Unidad 7 - Correo electrónico 181

1.3 > Protocolos de descarga de correo


POP e IMAP son los dos protocolos que prevalecen en la descarga de correo
electrónico.

POP
POP (Post Office Protocol) o protocolo de oficina de correos se utiliza para re-
Niveles del protocolo POP3
cibir correos. Permite que el usuario se descarge en su ordenador los
correos recibidos para revisarlos posteriormente sin necesidad de estar co- Aplicación Transporte
nectado a Internet. TCP (110)
POP3
TCP cifrado (995)
POP se desarrolló en los años 80 y, desde entonces, ha tenido una serie de
mejoras:
– La RFC 918 define el protocolo POP1 y la RFC 937 el POP2.
– POP3 está definido en las RFC 1081 y 1939. El mecanismo de autentifi-
cación y cifrado está fijado en la RFC 1734.
Actualmente se utiliza POP3; las anteriores versiones de este protocolo se
consideran obsoletas.
El usuario que utiliza POP3 se conecta al servidor, descarga todos los men-
sajes, los graba en el ordenador local, los marca como nuevos, los borra
del servidor y se desconecta. Sabías que...
En el correo web o webmail se usan co-
POP3 utiliza una autentificación sin cifrado. Para aumentar el nivel de se-
nexiones HTTP para acceder a los dife-
guridad existe la extensión APOP (Authenticatied POP) o POP autenticado.
rentes servidores de correo en lugar de
Esta extensión permite que el emisor cifre la contraseña y que esta sea SMTP.
descifrada por el receptor.
POP3 permite conectar al usuario y al servidor mediante telnet a través del
puerto 110.

IMAP
IMAP (Internet Message Access Protocol) o protocolo de acceso a mensajes de Niveles del protocolo IMAP
Internet se utiliza para recibir correos. Permite al usuario acceder al
servidor de correo desde cualquier ordenador con acceso a Internet y Aplicación Transporte
definir carpetas en el servidor para guardar los mensajes. Fue creado en el TCP (143)
IMAP4
año 1984 como alternativa al protocolo POP. TCP IMPS (993)

Actualmente se utiliza la versión IMAP4. La RFC 3501 define esta versión


del protocolo.
Los usuarios de IMAP4 permanecen conectados el tiempo que su enlace
esté activo y se descargan los mensajes bajo demanda. De esta manera se
mejoran los tiempos de respuesta si se recibe un número elevado de men-
sajes o si estos son de gran tamaño respecto a usuarios que utilicen POP3,
que se conectan el tiempo necesario para descargar los correos.
Con IMAP4 disminuye la incidencia de los virus. Al poder definir carpetas
en el servidor, los mensajes no se guardan en el ordenador del usuario
hasta que sean descargados.
El término IMAPS hace referencia al protocolo IMAP cifrado utilizando
SSL (secure sockets) o capa de conexión segura.
182

1.4 > Protocolo de envío de correo SMTP


SMTP (Simple Mail Transfer Protocol) o protocolo de transferencia de correo
simple es un protocolo que define una serie de comandos y procedimientos
para que dos dispositivos puedan intercambiar mensajes de correo elec-
trónico.
Se definió en las RFC 821 y 822, en las que se establece el formato de los
mensajes, el MTA y el procedimiento para almacenar y reenviar el correo.
Temporizaciones
Este protocolo fue diseñado en 1982 únicamente para transferir mensajes
Si los servidores de correo asumen in-
de texto ASCII. Desde entonces se han incorporado diversas mejoras, algu-
tervalos de tiempo de trabajo diferen-
tes, uno de ellos puede haber acabado
nas de las cuales se detallan a continuación:
mientras el otro continúa con su tarea, – La RFC 2821 define el ESMTP o SMTP extendido, que permite gestionar
de forma que se interrumpa inespera-
mensajes con un tamaño mayor a 64 KB, trabajar con temporizaciones
damente la conexión.
diferentes del cliente y del servidor y evitar las tormentas de correo in-
finitas al reenviar mensajes entre servidores.
– La RFC 2920 mejora la productividad del servidor SMTP al aceptar varios
comandos dentro de un único envío TCP.
Tormentas de correo infinitas – La RFC 3030 permite el uso de mensajes MIME.
Supongamos que el servidor DistribUSA
tiene una lista de correo, ListaUSA, con Funcionamiento del protocolo
las distribuidoras de cine en EE UU y
La finalidad de este protocolo es entregar un mensaje de correo a su desti-
que el servidor DistribEspaña tiene una
natario. Para ello se deben realizar los siguientes pasos:
lista de correo, ListaEspaña, con las dis-
tribuidoras en España, donde cada lista 1. El cliente compone el mensaje de correo y lo envía al puerto 25 de su
contiene una entrada a la otra, por servidor SMTP, llamado servidor de correo saliente.
ejemplo: 2. Dicho servidor SMTP saliente realiza una petición a un servidor DNS.
SERVIDOR DistribUSA Este le proporciona el registro MX donde se asocia la dirección IP del
ListaUSA = {Disney, ListaEspaña, Fox} servidor SMTP del receptor con el nombre de dominio correspondiente
SERVIDOR DistribEspaña a la dirección de correo electrónico del destinatario.
ListaEspaña = {Lolafilms, ListaUSA, 3. El servidor SMTP saliente reenvía el mensaje al servidor de correo SMTP
DeAPlaneta} del receptor.
Si se envía un mensaje a una de las lis-
4. El servidor SMTP destinatario recibe el correo, lo procesa y lo deja en el
tas, se puede generar un bucle infinito buzón de entrada del usuario.
de envíos de correos electrónicos, a me-
nos que se introduzca algún proceso que
Comandos
evite esta situación. SMTP tiene sus orígenes en los protocolos de capa de aplicación precedentes,
incluido el FTP, de ahí que también utilice comandos. Algunos de los más
empleados se muestran a continuación:

Comandos SMTP
Comando Explicación
Identifica al cliente, quien se encarga de enviarlo seguido de
HELO/EHLO
Sabías que... un nombre de dominio.
Un emisor de correo que utilice SMTP MAIL FROM Identifica al remitente del mensaje.
extendido envía un comando EHLO en
RCPT TO Identifica a los destinatarios del mensaje.
vez del antiguo HELO. Si el receptor res-
ponde con un código de error significa El cliente lo genera para indicar que inicia el envío del
DATA
que utiliza el protocolo SMTP original. contenido del mensaje.
Unidad 7 - Correo electrónico 183

Códigos de respuesta
La respuesta del servidor incluye un código compuesto por tres dígitos. El
primero puede tomar cinco valores con los siguientes significados:

Códigos de respuesta SMTP


Dígito Xyz Explicación
El comando es aceptado, pero la acción queda suspendida a la espera de saber si el cliente desea
1yz
continuar o abortar.
2yz La acción se ha realizado con éxito.
El comando es aceptado, pero la acción queda pendiente hasta que el cliente envíe otro comando con más
3yz
información.
4yz El comando no es aceptado. El cliente puede volver a iniciar la secuencia de comandos.
5yz El comando no es aceptado y se necesita la intervención humana para corregir la petición.

Procedimiento
Un mensaje de correo electrónico se transmite en tres fases:
1. Se establece una conexión SMTP y se inicia la sesión (figura 7.4).
Para saber más
2. Se realiza el proceso de transacción SMTP, es decir, se envía el mensaje
Diagrama de secuencias de una sesión
de correo electrónico propiamente dicho.
SMTP:
3. Se cierra la sesión y se finaliza la conexión SMTP.
Una vez realizada la conexión e iniciada la sesión, el cliente SMTP empieza
la transacción de correo formada por una serie de comandos que permiten
identificar tanto al remitente y destinatario del correo como la transmisión
del contenido del mensaje, incluidas las cabeceras.

http://xurl.es/seqd_smtp
SMTP SMTP
emisor destinatario

1. Inicia conexión TCP/IP SYN


con el destinatario. 2. Establece conexión.
220 Envío del código 220
3. Ready recibido. Envío (Ready).
HELO
del comando EHLO. 4. EHLO recibido. Envío
250 del código 250 (OK) y
la lista de extensiones
5. Envío del mensaje (lista de extensiones) SMTP soportadas.
de correo. 6. Recepción de datos.
Envío de confirmación
ACK.
7. Envío del comando QUIT.
QUIT
8. QUIT recibido. Envío del
9. Goodbye recibido. 221 código 221 (Goodbye)
Cierre del canal de y cierre del canal de
transmisión. transmisión.

7.4. Establecimiento y finalización de la conexión SMTP.

Para cada comando, el destinatario SMTP genera una respuesta que infor-
mará de si el comando fue aceptado, si está a la espera de nuevos comandos
o qué condiciones de error existen.
184

La figura 7.5 muestra el proceso de transacción SMTP. El contenido del


mensaje de correo se envía a través del comando DATA. Si el receptor lo
CR/LF acepta, remite un código de respuesta 354 que considera el resto de líneas
Carriage Return/Line Feed son dos ca- como texto del mensaje. El final del envío se identifica mediante una
racteres especiales, cuyos valores en línea con un único punto <CRLF>.<CRLF>. Al recibirse el fin del mensaje,
formato ASCII son 13 y 10. Representan este es almacenado y se confirma su recepción.
«retorno de carro» y «nueva línea», res-
pectivamente.

SMTP SMTP
emisor destinatario

1. Inicio transacción: envío MAIL FROM


del comando MAIL y 2. MAIL FROM recibido.
cuenta de correo del Inicio de nueva
250
emisor. transacción. Envío del
código 250 (OK).
Cliente/servidor 3. OK recibido. Envío del RCPT TO
y emisor/destinatario comando RCPT y cuenta 4. RCPT TO recibido. Envío
de correo del destinatario. 250 del código 250 (OK).
Los servidores SMTP envían y reciben 5. OK recibido. Envío del
DATA 6. DATA recibido. Envío del
correos electrónicos. El dispositivo que comando DATA para
código 354 (Preparado
iniciar transferencia. 354
envía actúa como cliente para esa trans- para recibir correo).
acción mientras que el receptor tiene 7. Envío de mensaje de
correo: cabecera (Línea del mensaje) 8. Líneas de mensaje
el rol de servidor. y cuerpo. de correo recibidas.


Para evitar confusiones, se ha elegido Envío «.» para indicar fin «.» «.» recibido. Se almacena
nombrar como emisor al dispositivo del cuerpo del mensaje. 250 el mensaje de correo.
SMTP que envía correos y como desti- 9. OK recibido. Transacción Envío del código 250 (OK).
de correo completada.
natario al que los recibe.

7.5. Proceso de transacción de correo SMTP.

1.5 > Servidores de correo


Recompensa en qmail
Un servidor de correo es un MTA que emplea un protocolo de transferencia
Dan J. Bernstein, creador de qmail, desde de correo, como por ejemplo SMTP, o un MDA que utiliza un protocolo de
marzo del año 1997 ofrece un premio de
descarga de correo como POP3 o IMAP.
500 $ a quien consiga descubrir un agu-
jero de seguridad verificable en su última El servicio de correo electrónico está estrechamente relacionado con los
versión. Esta oferta aún continúa vigente. servidores DNS, que permiten localizar el servidor SMTP del destinatario,
Si deseas saber más acerca de otro pre- y con los cortafuegos, que filtran los mensajes de salida para controlar
mio de 1 000 $, visita este enlace: que solo puedan realizar envíos los clientes autorizados. En muchas oca-
siones los servidores de correo se deben combinar con aplicaciones que
ofrezcan algún tipo de seguridad en la red, como un antivirus, mecanismos
de cifrado e, incluso, el empleo de un proxy, lo que hace que este servicio
sea uno de los más complejos de implantar en una empresa.
Microsoft Exchange es el servidor de correo de transferencia y descarga
más popular en Windows, mientras que Postfix, Sendmail o qmail son los
http://xurl.es/qmail_rec servidores de transferencia de correo más conocidos en GNU/Linux.

Actividades propuestas

2·· Busca el significado de los mensajes de error que generan servidores SMTP extendidos cuyo código sea
501, 502 ó 421 en el URL http://xurl.es/rfc1869.
Unidad 7 - Correo electrónico 185

1.6 > Clientes de correo


Instalados en el cliente
Son aquellos UA (agentes de usuario) o aplicaciones que, instaladas en el
ordenador del usuario, permiten componer, enviar, recibir y descargar
mensajes de correo electrónico, así como gestionar buzones de correo. Los
programas cliente más conocidos son: Microsoft Outlook, disponible úni-
camente para Windows, y Mozilla Thunderbird, que es multiplataforma.

Webmail
Una forma de acceder al correo electrónico sin necesidad de instalar un
cliente específico es hacerlo a través de un navegador web. Esto implica
componer los mensajes directamente en el servidor.
Las principales ventajas de este tipo de cliente son las siguientes:
– Permite acceder al servicio de correo con independencia del lugar y del Sabías que…
tipo de dispositivo desde el que se conecta y evitar, así, descargar los
Los clientes webmail se hicieron popu-
correos electrónicos.
lares gracias a Hotmail, que en el año
– No hay que instalar ni actualizar un cliente de correo. 1998 fue comprada por Microsoft para
– Se puede acceder al correo aunque no se permita configurar la aplicación añadir una nueva característica, el ser-
cliente (por ejemplo, en lugares públicos como hoteles o cafeterías). vicio de correo electrónico, a su portal
MSN (Microsoft Network), creado en
También tiene sus inconvenientes:
1995.
– Hay que disponer de una conexión a Internet para poder acceder al
correo, aunque sea para leer mensajes antiguos.
– Si la cuenta es gratuita, se estará expuesto a anuncios no deseados.
– Cuando se pierde el servicio por cierre del proveedor, olvido de la con-
traseña o incumplimiento del contrato, se pierden los correos.

Instalados en el servidor
Muchas veces suele instalarse un cliente de correo en el servidor SMTP
que proporciona ese servicio con la finalidad de permitir al administrador
del sistema enviar y recibir correos desde la propia máquina. Vocabulario
1.7 > Seguridad y vulnerabilidades Ingeniería social: consiste en mani-
pular a un usuario para que, de forma
Cuando se diseñaron los protocolos de correo electrónico no era primordial
voluntaria, realice acciones que normal-
implementar mecanismos de seguridad, es más, el modelo de comunicación
mente no haría. El objetivo es obtener
SMTP original requería que los servidores de correo reenviaran mensajes datos personales como claves o cuentas
a otros y así sucesivamente hasta encontrar el servidor SMTP destinatario, bancarias, números de tarjetas de cré-
lo que implicaba que cualquier servidor aceptara peticiones desde cualquier dito, contraseñas, etc.
origen. Esta es la razón por la cual SMTP no requería autenticación, la Scam: significa estafa en inglés y se
particularidad que hace posible el spam o correo no solicitado. refiere al spam que tiene por objeto
El spam se caracteriza por ser: el empleo fraudulento de mensajes de
correo electrónico.
– Anónimo: no remite la dirección de correo real del emisor o utiliza la Pharming: es la técnica que, en vez de
de otra persona para ocultar su identidad. la ingenieria social, emplea vulnerabili-
– Duplicativo: el correo recibido forma parte de un envío masivo cuyo dades del servicio DNS para redirigir las
contenido es similar. Por ejemplo, si de todo el texto cambian el nombre peticiones web del usuario hacia sitios
y los apellidos no se considera contenido diferente. falsos que suplantan a los originales.
186

Estas son formas de spam:

Grupo de Delitos – Publicidad no deseada: son mensajes que se caracterizan por tener
Telemáticos (GDT) fines comerciales, como publicitar un producto (a veces prohibido) o
una organización. No suelen producir daños ni robo de información.
Perteneciente al cuerpo de la Guardia
Civil, se encarga de perseguir las con-
– Hoax (bulo): son mensajes que incluyen noticias falsas en los que se solicita
ductas ilegales relacionadas con las TIC. la colaboración del usuario para reenviarlo al mayor número de contactos
En su página web se puede encontrar el posible. Su objetivo es recopilar direcciones de correo electrónico. Algunos
«Decálogo de navegación segura» con ejemplos son la recogida de firmas, recibir un vídeo, una canción o la res-
los últimos consejos para realizar un uso puesta a un acertijo si se manda un correo a un número determinado de
seguro de Internet. personas, ganar premios como un viaje a un destino paradisíaco, etc.
– Phising: engaño que consiste en hacer creer a un usuario que el correo
Denunciar el delito
que se le envía proviene, por su apariencia, de una entidad legítima,
Además, en la misma página se incluye por ejemplo de una red social, una entidad financiera o una institución
la información necesaria para denunciar pública. Normalmente se apoya en mecanismos de ingeniería social y
o informar acerca de la comisión de un
su fin es capturar información sensible. En la figura 7.6 se muestran los
delito de esta naturaleza.
pasos que se suelen dar en un ataque de phising.
Su URL es la siguiente:
https://www.gdt.guardiacivil.es

1. Se recibe un correo que aparenta ser de una organización bien


conocida y de confianza.

2. Al abrir el correo aparece un formulario SU BANCO


para rellenar los datos de identificación Confirme sus datos:
o un enlace (fraudulento) que dirige a la
supuesta página web del servicio. CLIC AQUÍ

3. Si se introducen datos
personales como identidad,
tarjeta de crédito o
contraseñas, se transmiten
directamente al atacante.

7.6. Funcionamiento de envíos con phising.

Para evitar caer en la trampa del spam, hay que tener en cuenta que:

Reenviar mensaje con CCO – No se debe responder a ninguna solicitud de información personal reci-
bida a través del correo electrónico.
Para evitar publicar las direcciones de
– No se debe hacer clic sobre los hiperenlaces de ningún correo, aunque
los destinatarios de un correo electró-
nico cuyo campo CC (copia de carbón)
provenga de un usuario conocido. Puedes teclearlo directamente en la
está mal usado, es buena costumbre ani- barra de direcciones.
mar a familiares, amigos, clientes, etc. – No hay que hacer pública la dirección de correo y, si se hace, se puede
a usar el campo CCO (copia de carbón sustituir la arroba por una palabra significativa, por ejemplo «at», para
oculta). evitar que sea recopilada por robots o programas diseñados para reco-
nocer direcciones de correo incluidas en páginas web.
– Se deben ignorar los mensajes que solicitan ser reenviados.
– No se debe contestar al correo basura o spam.
– Se debe comprobar si la conexión es segura mediante la aparición de
https en la barra de direcciones del navegador.
Unidad 7 - Correo electrónico 187

2 >> Correo electrónico en sistemas GNU/Linux


ServPubli se ha puesto de nuevo en contacto con vosotros para pediros que
aportéis alguna solución al problema de comunicación interna que están
teniendo.
Últimamente han observado una descoordinación interna entre los direc-
Para saber más
tivos y los trabajadores que afecta directamente al rendimiento de la em-
presa y a la calidad de sus servicios. Web del servidor de envío de correo
electrónico Postfix:
Después de mantener una reunión con los directivos de la empresa y de
realizar entrevistas personales con algunos de los trabajadores, habéis ob-
servado ciertos elementos que contribuyen a la descoordinación:
– Las instrucciones de trabajo no se dan por escrito.
– Los tablones de anuncios no se consultan.
– Cuando se convocan las reuniones, los trabajadores no disponen de la
documentación para poder estudiarla con antelación. http://www.postfix.org
– No se trasladan los acuerdos que se toman; cada asistente toma sus pro-
Web del servidor de recepción de correo
pias notas. electrónico Dovecot:
– Existen discordancias sobre lo que cada trabajador o directivo considera
acordado.
– Dada la accesibilidad de los directivos y jefes de departamento, mantie-
nen muchas conversaciones informales en las que se toman decisiones
que no son documentadas.
Una vez estudiada la situación, elaboráis una lista de servicios de comuni-
cación que podrían contribuir a disminuir todos estos problemas: correo http://www.dovecot.org
electrónico, mensajería instantánea, foros, blogs y RSS. Web del cliente de correo electrónico
De entre todos ellos, optáis por el correo electrónico, ya que es fácil de Thunderbird:

usar por el usuario final y permite incluir todo tipo de archivos en los
mensajes. Los trabajadores podrán acceder al servicio desde clientes insta-
lados en los ordenadores.
En un futuro podría habilitarse una plataforma webmail para conectarse
desde cualquier equipo con un navegador web instalado. Esta opción per-
mitiría consultar y mandar correo sin la necesidad de descargar todos los
http://www.mozilla.org/thunderbird
mensajes, lo que sería muy útil si un trabajador quisiera usar el servicio
desde un ordenador que normalmente no usa y no quiere que se almacenen
los mensajes en su disco duro.
Después de estudiar y probar distintas aplicaciones disponibles, el software
por el que os habéis decantado es:
– Servidor de envío de correo electrónico Postfix. Sus características más
destacables son la rapidez, la sencillez de las tareas de administración y
la seguridad.
– Servidor de recepción de correo electrónico Dovecot. Este programa de
código abierto es rápido, flexible, fácil de configurar y no consume mu-
chos recursos. Y además puede trabajar con los protocolos IMAP y POP3.
– Cliente de correo electrónico Thunderbird, desarrollado por Mozilla. Es
uno de los clientes de correo más populares y seguros. Además está dis-
ponible para la mayoría de plataformas.
188

2.1 > Instalación del servidor


En esta ocasión vas a instalar el servidor de correo saliente Postfix y el ser-
vidor de correo entrante Dovecot. Así se podrán ofrecer los servicios SMTP
Datos de acceso
y POP3. Sigue estas indicaciones para instalar estos programas:
Usuario: adminservidor
1. Abre una sesión en el servidor con el usuario adminservidor.
Contraseña: S3rvid@r
2. Inicia el gestor de paquetes Synaptic.
3. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo-
nibles en los repositorios de Internet.
4. Accede a la herramienta de búsqueda.
Paquetes que se deben instalar
5. Escribe postfix en el cuadro de texto y, a continuación, haz clic sobre el
botón Buscar (figura 7.7).
postfix
6. Haz doble clic en la casilla de verificación del paquete postfix. Si
dovecot-pop3d la instalación requiere de otros paquetes, haz clic sobre el botón
Marcar.
7. Repite los pasos 4, 5 y 6 para el paquete dovecot-pop3d. Así habrás
marcado todos los paquetes necesarios para instalar el servidor.
8. Haz clic en el botón Aplicar para iniciar la instalación.
9. Se abrirá la ventana con el resumen de la instalación que vas a realizar.
Léela y haz clic sobre el botón Aplicar.
10. Mientras continúa la instalación se muestra la ventana de diálogo Apli-
cando los cambios. Esta ventana se cerrará automáticamente cuando ter-
mine este proceso.
11. Antes de finalizar, se abre otra ventana llamada Debconf en servidor que
7.7. Herramienta Buscar. te permitirá configurar algún parámetro del servidor de correo Postfix.
Selecciona Sitio de Internet en la lista desplegable Tipo genérico de configu-
ración de correo (figura 7.8).
12. Haz clic en el botón Adelante.
13. De nuevo, se abre la ventana Debconf en servidor. Teclea el dominio de
tu empresa en el cuadro de texto Nombre del sistema de correo (figura
7.8). Así indicas que a los usuarios de correo electrónico se les añada la
cadena @servpubli.com al final de su nombre.
14. Luego, haz clic en el botón Adelante.

7.8. Configuración de Postfix durante la instalación.

15. Cuando finaliza la instalación se abre la ventana Cambios Aplicados.


Haz clic sobre el botón Cerrar para retornar a la ventana principal de
la aplicación.
16. Haz clic sobre el botón Cerrar de la ventana de Synaptic para salir de
este programa.
Unidad 7 - Correo electrónico 189

2.2 > Configuración del servidor


Aunque hayas instalado dos programas de una sola vez en el servidor de
la empresa, solo vas a tener que configurar uno de ellos: Dovecot. Este
proceso se centrará en indicar en qué carpetas del servidor se alojarán los
archivos del correo electrónico, entre ellos la bandeja de entrada de los
usuarios.
Durante la instalación ya has introducido los parámetros necesarios para
la configuración de Postfix: el tipo de servidor de correo y el nombre del
sistema de correo.

Acceso a los módulos de los servidores


Sigue estas indicaciones para actualizar la lista de servidores disponibles
en Webmin:
1. Abre una sesión en el servidor con el usuario adminservidor.
2. Inicia el navegador web y accede a Webmin.
3. Haz clic sobre el enlace Servidores del menú principal. Encontrarás este
menú en el lado izquierdo de la ventana.
4. Puedes observar que, aunque acabas de instalar varios servidores, nin-
guno de ellos aparece en la lista.
5. Accede al enlace Refresh Modules para que Webmin los agregue en su 7.9. Refrescar módulos.
menú (figura 7.9). Espera unos segundos mientras Webmin busca los
programas instalados y actualiza la lista con sus correspondientes
módulos.
6. Ahora, si vuelves a acceder a la sección Servidores del menú de Webmin,
ya podrás ver los enlaces a los módulos de las aplicaciones que acabas
de instalar:
– Configuración de Postfix.
– Dovecot: servidor de IMAP/POP3.

7.10. Servidores disponibles.


190

Configuración de Dovecot
Sigue estos pasos para configurar Dovecot:

Archivo de configuración 1. Abre una sesión con el usuario adminservidor en el servidor de la em-
presa.
/etc/dovecot/dovecot.conf
2. Inicia Webmin y accede al enlace Dovecot: Servidor de IMAP/POP3 de la
sección Servidores del menú principal.
3. Haz clic en el enlace Archivos de correo.

7.11. Módulo de Dovecot.

4. Selecciona la opción Bandeja de entrada bajo /var/mail, carpetas en ~/mail de


la lista Localización de archivo de correo. Así indicas que:
– Las carpetas de correo de cada usuario, como por ejemplo Enviados y
Papelera, se almacenarán en el servidor, concretamente en la carpeta
mail del directorio personal de cada uno de ellos.
– Todas las bandejas de entrada de los usuarios también se guardarán
en el servidor, pero esta vez en archivos dentro de la carpeta /var/mail.
Cada archivo se llamará como su propietario.

7.12. Sección Localización de archivo de correo.

5. Despliega la lista UIDL format y selecciona Courier versión 2. No es necesario


que escribas nada en el correspondiente cuadro de texto. Con esta acción
estás indicando el formato del identificador de mensaje que usará el
servidor POP3 para saber qué mensajes aún no han sido descargados
por un cliente de correo.

7.13. Lista UIDL format.

6. Haz clic sobre el botón Salvar para guardar los cambios.


7. Haz clic en el botón Aplicar Configuración.
Unidad 7 - Correo electrónico 191

Preparación del usuario


Las contraseñas de los empleados son privadas, así que vas a testear el ser-
vicio con el usuario prueba del servidor.
Para que un cliente de correo pueda configurar una cuenta con un deter-
minado usuario, la bandeja de entrada de ese usuario ya debe existir en el
sistema de archivos del servidor. El fichero que contiene esta bandeja se
crea automáticamente cuando el usuario recibe el primer correo. Sigue
estos pasos para mandar un correo con el usuario adminservidor desde
Webmin al usuario prueba que luego usarás para configurar el cliente:
1. Abre Webmin y accede al enlace Lectura de Correo de Usuarios de la sección
Servidores del menú principal (figura 7.15).
2. Accede al enlace adminservidor de la lista User mailboxes.

7.14. Módulo Lectura de Correo de Usuarios.

3. Haz clic sobre el botón Componer nuevo correo.

7.15. Menú Servidores.

7.16. Módulo Correo de Usuario.

4. Rellena los campos del correo tomando como modelo la figura 7.17.

7.17. Componer nuevo correo.

5. Haz clic en el botón Enviar Correo. Si todo ha ido bien, verás un mensaje
que te indica que el correo ha sido enviado.
192

2.3 > Configuración del cliente


Casi todas las distribuciones GNU/Linux de escritorio incorporan un cliente
de correo electrónico. Ubuntu Desktop 12.04 LTS no es una exepción:
tiene instalado Thunderbird.

Configuración de Thunderbird
Cada usuario del sistema tiene que poder ejecutar un cliente de correo
manteniendo la privacidad de los mensajes que mande o que reciba. Por
Datos de acceso
eso, cada usuario debe configurarlo con sus propias cuentas de correo.
Usuario: admincliente Sigue estos pasos para configurar Thunderbird con la cuenta de correo del
Contraseña: Cli3nt@ usuario de prueba:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre el control con forma de sobre que se encuentra en el
panel superior del escritorio.
3. Selecciona la opción Configurar correo para abrir Thunderbird (figura
7.18). Como aún no hay ninguna cuenta configurada, además de la ven-
tana principal de esta aplicación, también se abre el cuadro de diálogo
Configuración de cuenta de correo (figura 7.20):
– Teclea Usuario de prueba en el cuadro de texto Su nombre.
– Escribe prueba@servpubli.com en el control Dirección de correo.
– Ahora, introduce U$u4r1o en el cuadro de texto Contraseña.
– Haz clic en el botón Continuar. Después de unas comprobaciones,
Thunderbird se habrá configurado automáticamente.
– Haz clic en el botón Crear cuenta.
7.18. Acceso al correo electrónico.

7.19. Excepción de seguridad.

7.20. Configuración de cuenta de correo.

4. Como es la primera vez que el cliente se conecta al servidor POP3, se


muestra una excepción de seguridad. Lee la información y confírmala
(figura 7.19).
5. Se abre la ventana Integración con el sistema (figura 7.21). Haz clic en el
botón Aceptar para determinar que Thunderbird sea el lector de correo
por defecto.
7.21. Ventana Integración con el sistema.
6. Haz clic sobre en el botón Cerrar de Thunderbird.
Unidad 7 - Correo electrónico 193

2.4 > Comprobación del servicio


Las comprobaciones se harán tanto en el servidor como en el cliente.

Verificación del estado del servicio


Sigue estos pasos para comprobar que los servidores se están ejecutando:
1. Abre Webmin en el navegador web del servidor. Procesos de los servidores:
2. Accede al menú Otros y a Estado de Sistema y de Servidor.
Postfix: /usr/lib/postfix/master
3. Dado que el servidor Dovecot no aparece en la lista, tienes que añadirlo.
Dovecot: /usr/sbin/dovecot
Selecciona Dovecot IMAP/POP3 Server en la lista desplegable.
4. Haz clic en el botón Añadir monitor de tipo para crear el monitor.
5. Haz clic sobre el botón Crear sin hacer cambios en la nueva ventana.
6. Localiza los servicios Dovecot IMAP/POP3 Server y Postfix Server. Luego com-
prueba que, junto a ellos, hay un símbolo de color verde.

7.22. Estado del sistema y del servidor.

Verificación de la recepción y el envío de correo


Sigue estas indicaciones para contestar al correo del administrador:
1. Arranca el cliente y abre una sesión con el usuario admincliente. Consejo
2. Accede de nuevo al panel superior del escritorio y abre Thunderbird.
Para asegurarte de que no queda ningún
3. Haz clic en el correo que acabas de recibir para ver su contenido. correo por descargar, puedes hacer clic
4. Haz clic sobre el botón Responder. en el botón Recibir.

7.23. Redacción de un correo.

5. Respóndele dándole las gracias y haz clic en el botón Enviar.


6. Como es la primera vez que mandas un correo usando tu servidor SMTP,
aparecerá una excepción de seguridad que hará fallar el envío.
7. Vuelve a hacer clic en el botón Enviar; esta vez no habrá problemas.
194

3 >> Correo electrónico en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la sexta tarea que debéis realizar es la implantación de un sistema de
Para saber más correo electrónico. Este sistema debe permitir a cada empleado enviar y
La versión de evaluación de Microsoft recibir mensajes de correo con el resto de empleados de la intranet.
Exchange Server 2007 Service Pack 3 se
El servidor de correo electrónico no está incluido en Windows Server 2008,
puede descargar desde el siguiente URL:
por lo que para realizar esta tarea debéis adquirir alguna aplicación externa
como, por ejemplo, Microsoft Exchange.
Microsoft permite la descarga gratuita para una prueba de evaluación de
120 días de la versión Exchange Server 2007 Service Pack 3.
El servidor de correo electrónico Microsoft Exchange está compuesto por
cinco servidores: servidor de catálogo global, servidor de transporte de
http://xurl.es/exchange2007 concentradores, servidor de acceso de clientes, servidor de buzones y ser-
Puedes obtener soporte técnico de Mi- vidor de mensajería unificada. Cada uno de ellos puede instalarse en uno
crosoft Exchange en el siguiente URL: o varios equipos, según la complejidad de la empresa.
El acceso al buzón de los usuarios de correo electrónico puede realizarse
mediante Outlook Web Access, el webmail que incorpora el servidor.

Ubicación de entrega de servicio


o ubicación de servicio de cliente
http://xurl.es/xchg_doc Sitio predeterminado
ConRecuerdos.org

Internet
Servidor de catálogo global Cliente
Servidor de transporte de concentradores
Servidor de acceso de clientes
Servidor de buzones
Servidor de mensajería unificada
Cliente

7.24. Escenario para la implantación del correo electrónico en un único servidor.

Antes de empezar a trabajar con el servicio de correo, debes estudiar


con detalle los requisitos y toda la información que te ha proporcionado
ConRecuerdos.org:
– Todos los empleados conocen la herramienta que les permite utilizar el
servicio de correo electrónico: un navegador web.
– El correo electrónico de la intranet es accesible desde cualquier equipo
de la red, lo único que es necesario es tener instalado en el equipo un
navegador web.
– Cada usuario tendrá su propia cuenta de correo electrónico privada y
deberá autenticarse para acceder al contenido de su buzón.
Unidad 7 - Correo electrónico 195

3.1 > Instalación del servidor


Preparación del sistema
Para instalar Exchange Server son necesarios unos requisitos previos de
software que el equipo debe cumplir. En primer lugar hay que instalar al-
gunos servicios de función. Sigue estos pasos: Recuerda
Los datos para acceder como usuario
1. Haz clic en Inicio y selecciona la opción Administrador del servidor.
administrador son:
2. En el menú situado a la izquierda de la ventana que aparece, pincha
Servidor web (IIS), que se encuentra en la ruta Administrador del servidor Usuario: adminservidor

(SERVIDOR) / Funciones (figura 7.25). Contraseña: S3rvid@r


3. Elige la opción Agregar servicios de función situada en el bloque Resumen /
Servicios de función de la parte derecha de la ventana.

7.25. Ventana Administrador del servidor.

4. Aparece la ventana Seleccionar servicios de función, donde debes marcar la


casilla de verificación ASP.NET. Automáticamente se marcarán también
las opciones Extensibilidad de .NET, Extensiones ISAPI y Filtros ISAPI.

7.26. Seleccionar servicios de función.


196

5. El servicio ASP.NET requiere agregar algunos servicios adicionales para


poder funcionar correctamente. Haz clic sobre el botón Agregar servicios
de función requeridos.

7.27. Agregar servicios de función.

6. Al volver a la ventana Seleccionar servicios de función, debes marcar algunos


servicios más:
– Marca la opción Inclusión del lado servidor.
– Desplázate hacia abajo y marca las opciones Autenticación de Windows
y Autenticación implícita, que se encuentran en el apartado Seguridad.
– Baja un poco más y marca la opción Compresión de contenido dinámico
del apartado Rendimiento.
– Marca la opción Compatibilidad con la administración de IIS 6.
– Continúa la instalación con un clic sobre el botón Siguiente.
7. La ventana Confirmar selecciones de instalación muestra un resumen con
los servicios que van a instalarse (figura 7.28). Pincha Instalar.
8. Transcurridos unos minutos, la instalación de los servicios habrá termi-
nado. Si todo es correcto, finaliza con un clic en Cerrar (figura 7.29).

7.28. Confirmar selecciones de instalación. 7.29. Ventana Resultados de la instalación.


Unidad 7 - Correo electrónico 197

También es necesario instalar Windows PowerShell. Sigue estos pasos:


1. Pincha Inicio y elige la opción Administrador del servidor. Consejo
2. Elige Agregar características, opción situada en el bloque Resumen de carac-
Si ya tienes abierto el administrador del
terísticas / Características de la parte derecha de la ventana.
servidor, también puedes acceder a la
instalación de Windows PowerShell ha-
ciendo clic con el botón derecho sobre
la opción Características del menú iz-
quierdo y eligiendo Agregar caracterís-
ticas en el menú contextual.

7.30. Sección Administrador del servidor.

3. En la ventana Seleccionar características, marca la casilla de verificación


Windows PowerShell (figura 7.31). Después, haz clic en Siguiente.
4. Para iniciar la instalación, pincha el botón Instalar (figura 7.32).

7.31. Seleccionar características. 7.32. Confirmar selecciones de instalación.

5. Tras unos minutos, la instalación de Windows PowerShell ha acabado.


Si la instalación es correcta, finaliza con un clic en Cerrar.

7.33. Ventana Resultados de la instalación.


198

Instalación de Microsoft Exchange Server 2007 SP3


Ahora ya puedes instalar Microsoft Exchange Server. Sigue estos pasos:
1. Ejecuta el archivo que has descargado. Elige una carpeta para extraer
los archivos que contiene y haz clic en Aceptar.
2. Inicia la instalación con un doble clic sobre el icono setup.
3. Pincha Paso 5: instalar Microsoft Exchange Server 2007 SP3 (figura 7.34).
4. Se inicia el asistente para la instalación. Haz clic en Siguiente.
5. Lee y acepta el contrato de licencia. Haz clic en Siguiente.
6. Marca No en Informe de errores (figura 7.35). Haz clic en Siguiente.
7.34. Pantalla de instalación de Exchange. 7. Selecciona la opción Instalación típica de Exchange Server y haz clic en Si-
guiente (figura 7.36).

7.35. Informe de errores. 7.36. Tipo de instalación.

8. En Organización de Exchange debes indicar el nombre de la organización,


por tanto escribe ConRecuerdos (figura 7.37). Después pincha Siguiente.
9. Marca No, pues en la empresa no hay equipos con la versión Outlook
2003 o anteriores (figura 7.38). Pincha Siguiente y, después, Instalar.
10. Una vez terminada la instalación, pincha Finalizar y reinicia el equipo.

7.37. Sección Organización de Exchange. 7.38. Sección Configuración de cliente.


Unidad 7 - Correo electrónico 199

3.2 > Configuración del servidor

Creación de un buzón de usuario para el correo electrónico


1. Abre la Consola de administración de Exchange Server 2007.
2. Haz clic en Microsoft Exchange / Configuración de destinatarios.
Consola de administración
3. En una zona vacía de la sección central de la ventana, haz clic con el
de Exchange Server 2007
botón derecho y elige la opción Buzón nuevo del menú contextual.
Una vez instalado el servidor de correo
electrónico, puedes administrarlo yendo
a la ruta:
Inicio / Todos los programas / Microsoft
Exchange Server 2007 / Consola de
administración de Exchange

7.39. Ventana Consola de administración de Exchange Server.

4. Comienza el asistente para crear un buzón de correo nuevo. Marca la


opción Buzón de usuario y pincha Siguiente (figura 7.40).
5. En la ventana Tipo de usuario (figura 7.41):
– Selecciona la opción Usuarios existentes y haz clic en Agregar.
– Aparece una ventana en la que debes seleccionar el usuario para el
que vas a crear el nuevo buzón, es decir, prueba. Haz clic en Aceptar. 7.40. Introducción.
– Ahora comprueba que aparece el usuario prueba y pincha Siguiente.

7.41. Selección de tipo de usuario.


200

6. En la ventana Configuración del buzón (figura 7.42):


– Deja el nombre prueba en el cuadro de texto Alias.
– Haz clic sobre el botón Examinar. Se abre la ventana Seleccionar Base de
datos de buzones en la que debes seleccionar Mailbox Database. Pincha
Aceptar.
– Continúa el asistente con un clic en el botón Siguiente.

7.42. Configuración del buzón.

7. Se muestra un resumen de la configuración del buzón que acabas de


realizar. Si todo es correcto, haz clic en Nuevo (figura 7.43).
8. Tras unos segundos, termina la creación del buzón. Pincha Finalizar.

7.43. Buzón nuevo. 7.44. Finalización.

Actividades propuestas

3·· Crea un buzón de correo para el usuario adminservidor.


Unidad 7 - Correo electrónico 201

3.3 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
Por una parte, en el servidor se verifica el estado de los procesos y, por
otra, en el cliente se prueba el envío y recepción de mensajes de correo. Estado del servicio de correo
electrónico
Verificación del estado del servicio
El servicio de correo electrónico tiene
Sigue la ruta Inicio / Herramientas administrativas y haz clic sobre Servicios. En tres posibles estados de inicio:
la ventana que aparece, busca los servicios asociados al correo electrónico – Automático: está iniciado y se iniciará
(figura 7.45). Comprueba que todos tienen el valor Iniciado en Estado y que cada vez que arranca el ordenador.
en Tipo de inicio aparece Automático. – Manual: está detenido y se debe iniciar
manualmente.
– Deshabilitado: está detenido y no se
puede iniciar de ningún modo.

7.45. Ventana Servicios.

Los servicios asociados a Exchange Server son: Asistentes de buzón de Mi-


crosoft Exchange, Distribución de archivos de Microsoft Exchange, EdgeSync
de Microsoft Exchange, Entrada de correo de Microsoft Exchange, IMAP4
de Microsoft Exchange, Microsoft Exchange – Almacén de información,
Microsoft Exchange – operador de sistema, Microsoft Exchange Service
Host, POP3 de Microsoft Exchange, Servicio de topología de Active Directory
de Microsoft Exchange y Transport de Microsoft Exchange.

Verificación del envío y recepción de un correo electrónico


Cualquier usuario de la red interna debe poder enviar y recibir mensajes
de correo electrónico a través del cliente de correo web llamado Office 7.46. Autenticación en Outlook Web
Outlook Web Access. Sigue estos pasos para comprobar que esto es así: Access.

1. En el equipo cliente, abre el programa Internet Explorer, que puedes


encontrar en la ruta Inicio / Todos los programas.
2. Para acceder a Outlook Web Access, escribe en el navegador web el URL
https://servidor.conrecuerdos.org/owa y pulsa la tecla <Intro>.
3. El navegador muestra un aviso porque la página no
está certificada por una CA. Haz clic en Vaya a este
sitio web (no recomendado).
4. En la ventana que aparece escribe el nombre de usua-
rio prueba y su contraseña U$u4r1o (figura 7.46).
5. La primera vez que entres en Outlook Web Access
debes elegir el idioma y la zona horaria. Luego pincha
Aceptar. Se abre el programa. Envía un mensaje a ad-
minservidor.
6. Cierra la sesión de prueba.
7. Entra en Outlook Web Access con el usuario admin-
servidor. Si el servicio de correo funciona correcta-
mente, en la bandeja de entrada aparecerá el mensaje
7.47. Bandeja de entrada en Outlook Web Access.
del usuario prueba (figura 7.47).
202

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Cuáles son los dos principales protocolos de descarga de correo electrónico?
2·· ¿Qué entendemos por extensiones MIME? ¿Para qué se utilizan?
3·· ¿Qué significan los términos MUA, MTA y MDA? De los anteriores, ¿dónde se guardan los mensajes de manera tran-
sitoria hasta que son descargados por el cliente?
4·· Explica la diferencia entre los campos CC y CCO de la cabecera del mensaje de correo.
5·· Indica qué puertos utilizan IMAP4 y POP3.
6·· ¿Qué ventajas supone el uso de webmail?
7·· ¿Qué significan los términos spam y phising?
8·· ¿Está incluido el servidor de correo electrónico en Microsoft Windows Server 2008?
9·· ¿Para qué se utiliza el protocolo SMTP?

.: APLICACIÓN :.
1·· Cuando disponemos de una cuenta de correo, existe la posibilidad de que los mensajes que enviemos incorporen
una firma donde se pueden incluir datos personales. Si tienes una cuenta de correo, consulta la ayuda y crea una
firma que incluya tu nombre, apellidos, dirección y teléfono. En el caso de que no poseas una cuenta de correo, date
de alta previamente en un servicio webmail gratuito.
2·· Entra en tu cuenta de correo electrónico y escribe un mensaje dirigido a esa misma cuenta de correo con un archivo
adjunto. En lugar de enviarlo, guárdalo como borrador. Cierra la sesión, vuelve a abrirla, recupera el mensaje y envíalo.
3·· Enciende la máquina virtual del servidor GNU/Linux y del cliente Windows. Configura el cliente para que pueda
hacer uso del servidor de correo. Comprueba este servicio tal y como lo has hecho en el epígrafe 3.3.
4·· Realiza la misma operación que en la actividad anterior pero, esta vez, la función de servidor la llevará a cabo
Windows y la de cliente GNU/Linux. Comprueba el servicio siguiendo los pasos del epígrafe 2.4.
5·· Busca tres servicios de webmail gratuitos. Date de alta y compáralos. Indica el tamaño del buzón, si puedes crear
alias, si contienen publicidad, etc.
6·· Busca dos noticias en formato digital de las siguientes vulnerabilidades del correo electrónico: spam, hoax y phising.
7·· Busca dos servidores de correo para sistemas GNU/Linux y compáralos.
8·· Vamos a realizar una captura de los mensajes o paquetes SMTP que se envían por red al realizar una conexión a
un servidor y consultar el correo electrónico. Sigue estos pasos para preparar la captura:
1. Abre la aplicación Wireshark en un cliente e inicia la operación de captura de paquetes.
2. Conéctate al servicio de webmail usando un usuario y su contraseña.
3. Consulta un email enviado previamente por ti en el que has adjuntado un archivo de texto. Descárgate el archivo
adjunto.
4. Acaba la sesión y cierra la conexión.
5. Detén la captura de mensajes.
Ahora realiza las siguientes tareas:
a) Busca los mensajes SMTP.
b) Encuentra la contraseña de inicio de sesión. ¿Está codificada?
c) Busca el paquete del archivo adjunto descargado. ¿Es un paquete SMTP o HTTP?
Unidad 7 - Correo electrónico 203

Caso final 1

Correo electrónico en redes pequeñas


·· La academia AulaEasy necesita implementar un mecanismo para intercomunicar a profesores y alumnos. A
su vez, quiere dar una imagen homogénea hacia el exterior, por lo que desea ofrecerles una cuenta de correo
personalizada, de forma que todas ellas pertenezcan al dominio previamente contratado aulafacil.nixiweb.com.
Además, pese a disponer de espacio y cuentas ilimitadas en la empresa de alojamiento web, le gustaría
disponer de las herramientas de gestión, búsqueda de mensajes, anti-spam y seguridad que ofrecen las cuentas
de alguno de los proveedores de correo más populares de Internet, con la ventaja de que no requieren ni hard-
ware ni software específico, tan solo un navegador web.

Solución ·· Google Apps Edición Educación permite crear un número ilimitado de cuentas de correo perso-
nalizadas y gratuitas con las mismas características que las cuentas de Gmail. Para esta práctica vas a emplear
la versión Google Apps (gratis) que incluye hasta 10 cuentas. A continuación se detalla el proceso:
Registro del dominio aulaeasy.nixiweb.com en Google Apps
Para llevar a cabo el registro, realiza lo siguiente (recuerda que este dominio puede estar ya en uso):
1. Escribe la dirección de Google Apps en tu navegador: www.google.es/a.
2. Despliega el menú Soluciones / Google Apps (gratis) y haz clic en el botón Empezar.
3. Escribe el dominio registrado en el Caso final de la Unidad 4 y haz clic en Enviar (figura 7.48).
4. Una vez enviado, se activan los campos del formulario correspondientes al inicio de sesión. Escribe admin
en el cuadro de texto Usuario, que tendrá privilegios de administrador en Google Apps. Introduce una con-
traseña segura (con una longitud de, al menos, ocho caracteres). Vuelve a escribir la contraseña en el
cuadro de texto Confirmar contraseña y guárdala para que puedas recordarla (figura 7.49).

7.48. Dominio contratado. 7.49. Superusuario del dominio en Google Apps.

5. Rellena el resto de campos con los datos de la academia, entre los que se solicita una dirección de correo
que no pertenezca al dominio contratado. Se debe incluir una dirección externa porque, si olvidas los datos
de acceso a Google Apps, no podrás acceder al servicio.
6. Al final del formulario aparecen los términos y condiciones de uso. Léelos y, si estás de acuerdo, haz clic en
el botón Acepto. Crear mi cuenta.
Configuración de Google Apps
Una vez registrado el dominio, hay que configurar Google Apps. La siguiente pantalla te fuerza a elegir entre
el modo exprés y el modo personalizado. Vamos a estudiar la configuración exprés, así que haz clic en el botón
Seleccionar el método exprés. En la siguiente ventana, encontrarás el asistente de configuración de Google
Apps, que muestra una barra de menús desde la que se pueden configurar todas las opciones de esta herra-
mienta. Ahora te encuentras en el menú Establecimiento, bajo el que se describen las opciones de configuración
del modo exprés.

7.50. Barra de menús de Google Apps.


204

Configuración de Google Apps. Sección Te damos la bienvenida


Por motivos de seguridad, Google realiza la comprobación de la propiedad
del dominio para asegurar que solo el propietario puede utilizarlo.
El método recomendado para realizar la comprobación es muy sencillo:
se trata de subir un fichero al directorio raíz de tu sitio web (figura 7.51).
7.51. Método recomendado de verificación
de dominio.
Los pasos que hay que seguir son estos (figura 7.52):
1. Para iniciar la verificación, haz clic en el botón Siguiente.
2. Descarga el archivo que ofrece Google a través del enlace este archivo HTML de verificación.
3. Tal y como hiciste en el Caso final de la Unidad 5, sube el archivo a la carpeta public_html, pero en este
caso del sitio http://aulaeasy.nixiweb.com.
4. Haz clic sobre el enlace que te proporciona Google para confirmar que el fichero se ha subido correctamente.
5. Para terminar, haz clic sobre el botón Verificar.

7.52. Pasos a realizar para comprobar la propiedad del dominio.

Configuración de Google Apps. Sección Usuarios y grupos


En esta sección se añaden los usuarios para los que se tiene la intención de crear una cuenta de correo del tipo
nombreusuario@aulaeasy.nixiweb.com. Si haces clic en el botón Siguiente, como se muestra en la figura 7.53,
el asistente solo abrirá un tutorial que te enseña a crear nuevos usuarios.
Vas a dar de alta dos usuarios nuevos: alumno1 y alumno2. Para ello, sigue
estos pasos:
1. En la barra de menús de Google Apps, haz clic sobre Organización y
Usuarios / Crear un nuevo usuario. 7.53. Guía para añadir usuarios.

2. En el cuadro de diálogo que aparece:


– Introduce un nombre y unos apellidos ficticios y la dirección de correo de alumno1, que en este caso será
alumno1@aulaeasy.nixiweb.com.
– Haz clic sobre el enlace definir contraseña y escríbela. No olvides anotarla.
– Pincha el botón Finalizado.
3. Repite los mismos pasos para alumno2.

7.54. Pestaña que lista los usuarios activos y permite crear nuevos.
Unidad 7 - Correo electrónico 205

Configuración de Google Apps. Sección Instala tus aplicaciones


Esta es la parte más importante, ya que permite configurar el servicio de correo electrónico con las cuentas
gratuitas del tipo Gmail para tu dominio, además de aplicaciones como Google Calendar y Docs.
Debes redirigir el correo desde aulaeasy.nixiweb.com hacia los servidores de Google para que lleguen los men-
sajes a las cuentas creadas en tu dominio. Para ello, sigue los pasos descritos a continuación:
1. Haz clic en el enlace Gmail / Realiza el cambio.
2. Haz clic en el botón Siguiente.
3. Escoge el host de tu dominio, despliega la lista y elige la opción Otro
(figura 7.55). 7.55. Nixiweb.com no está en la lista.
4. Vuelve a hacer clic en el botón Siguiente.
Ahora se deben cambiar los registros MX de tu dominio, de forma que apunten a los servidores de Google y que
Gmail pueda gestionar el correo. Esto se hace desde el panel de control que ofrece la empresa que mantiene
el dominio y el alojamiento web, es decir, Nixiweb.com.
Accede a tu cuenta en http://www.nixiweb.com y haz clic sobre el enlace Avanzado / Editor DNS. Elimina los
registros de tipo MX y añade uno nuevo de la misma clase, de forma que el dominio aulaeasy.nixiweb.com
apunte al servidor de correo prioritario de Google: aspmx.l.google.com y dale prioridad 1 (figura 7.56).

7.56. Nuevo registro MX para dirigir mensajes de correo desde el dominio a los servidores de Google.

La actualización de los registros DNS es un proceso que puede durar hasta 48 horas, aunque suele funcionar en
pocos minutos pese a que los cambios en los valores del registro MX no se muestren en pantalla.
La empresa de hosting desactiva por defecto el protocolo SMTP, por lo que para poder enviar correos debes ac-
tivarlo desde el enlace Correos / Mail Service Control y luego hacer
clic sobre el botón submit.
Tras activarlo, dirígete a la aplicación Gmail y haz clic en el botón
Siguiente hasta finalizar el proceso de configuración.

Comprobación del servicio


Antes de utilizar las nuevas cuentas de correo, se debe comprobar
que el servicio funciona correctamente. Para ello, introduce la di-
rección http://www.google.com/a/aulaeasy.nixiweb.com, en un
navegador web, lo que te permitirá iniciar sesión en Google Apps
para AulaEasy.
Una vez allí, escribe el nombre de usuario y la contraseña del usuario
admin. Desde la cuenta de administrador envía un correo electrónico
al usuario alumno1 y cierra la sesión. Accede a Gmail con la cuenta
7.57. Inicio de sesión en Gmail para AulaEasy.
alumno1 y comprueba si tienes el mensaje en la bandeja de entrada.
206

Ideas clave

PROTOCOLOS
SMTP / POP / IMAP

Implementa Implementa

Distribuye Correo Envía

Servidores
de correo

SMTP Cliente
de correo

POP

IMAP

Proporciona Correo Solicita


Unidad 7 - Correo electrónico REVISTA DE INFORMÁTICA

@
@ @
Multa de 600 euros por dejar
a la vista 42 direcciones @
@ @ @ @
Cuidado al mandar mensajes masivos:
@ @ @
@ @ @ utiliza el campo CCO @ @
@

@
Da igual que sea un despiste, pero El correo electrónico se considera un dato
todo aquel que en una actividad que personal desde 1999, según explica en su
no sea doméstica o personal deje a @ blog dedicado al derecho y las nuevas tec-
la vista las direcciones de correo
electrónico de sus destinatarios está
nologías Samuel Parra, y solo se puede uti-
lizar para los fines que su propietario ha au-
@
cometiendo una infracción multada torizado. Este punto echó por tierra la
hasta con 60 101, 21 euros por la Ley defensa de la denunciada, quien alegaba
Orgánica de Protección de Datos que la dirección de correo de su denunciante
@
@
(LOPD). se podía encontrar en Internet en diferentes
Doña A.G. S. sabe bien que no se páginas web.

@ trata de una amenaza, pues ha te-


nido que pagar 601,01 euros por ha-
«Esto (se refiere a LOPD) nos deja cristalino
que aunque la dirección aparezca en Internet,
ber dejado a la vista 42 direcciones si no tenemos consentimiento del interesado
de email al enviar un mensaje pro-
mocional de telefonía móvil por en-
no podremos utilizarla para ningún tipo de
comunicación», explica Parra. La sentencia
@
cargo de una pequeña empresa co- de la AEPD asegura que se ha violado el artí-
nocida como La Cremallera, que culo 10 de la LOPD en el que se refiere el de-
estaba llevando a cabo una campaña ber de secreto profesional. La agencia ha apli-

@
@
para Vodafone. cado la menor multa contemplada para este
Uno de los destinatarios de este tipo de infracción considerada leve.
mensaje sintió que se violaba su in- En cualquier caso, la lección que se saca de
timidad al exponer su dirección y no esta multa es que en ningún momento se
@ utilizar la opción de copia oculta
(CCO), y presentó una denuncia ante @ debe de copiar en el apartado CC (copia car-
bón) las direcciones de nuestros destinata-
la Agencia Española de Protección rios si estamos realizando cualquier tipo de
@
@
de Datos (AEPD), quien inició el pro- comunicación que se salga del ámbito do-

@
@
ceso. méstico o personal.
@ Fuente: elpais.com, 23 de febrero de 2007

@
@ @ @
8
u n i d a d

Acceso remoto

SUMARIO
I Los diferentes métodos de acceso remoto
y los servicios correspondientes
I Terminales en modo texto y modo gráfico
I El acceso remoto en sistemas GNU/Linux
I El acceso remoto en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso del acceso
remoto.
·· Mostrar la estructura básica de su
funcionamiento.
·· Instalar, configurar y arrancar un servidor
de acceso remoto.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de los diferentes
servicios.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 8 - Acceso remoto 209

1 >> Acceso remoto


1.1 > ¿Qué es el acceso remoto?
El acceso remoto permite que un ordenador se utilice desde otro a través
Vocabulario
de una red local o Internet mediante el uso de diferentes protocolos.
Cuando se utiliza el servicio de acceso remoto entre dos ordenadores, el CLI (Command Line Interface): la
usuario del equipo cliente consigue el control del equipo servidor de la interfaz de línea de comandos es un sis-
misma manera que si se encontrara ubicado frente a él, es decir, que le es tema que permite a los usuarios dar ins-
posible acceder a cualquiera de sus recursos: archivos, herramientas de trucciones a una aplicación informática
configuración o dispositivos periféricos. mediante el uso de texto.

GUI (Graphical User Interface): la


Para ello, es necesario tener instaladas en los dos ordenadores aplicaciones
interfaz gráfica de usuario es un sistema
que nos permitan el acceso remoto. Estas pueden funcionar en modo texto que permite dar instrucciones a una
o en modo gráfico. aplicación informática mediante el uso
de acciones sobre objetos visuales.
1.2 > Terminales en modo texto
Un terminal en modo texto es un dispositivo que se compone de un puerto
serie para comunicarse con un ordenador, un teclado para la entrada de Niveles del modelo TCP/IP
datos y una pantalla que permite únicamente la visualización de caracteres Aplicación Transporte
alfanuméricos.
Telnet TCP (23)
Un emulador de terminal es una aplicación informática que simula el
funcionamiento de un terminal en cualquier dispositivo. Permite al usuario
una interfaz para acceder a diferentes servicios del sistema operativo.
Los emuladores de terminales en modo texto se basan mayoritariamente
en dos protocolos: Telnet y SSH.
Sabías que…
Telnet La aplicación cliente también recibe el
Telnet (Telecommunication Network) o redes de telecomunicación es un pro- nombre de Telnet.

tocolo de red que permite el acceso remoto a otra máquina.


Tiene una estructura cliente-servi-
dor y está especificado en la RFC
854. Normalmente utiliza el puerto
23 para comunicarse. Se creó en la
década de los 60.
Cuando accedemos a un ordenador
de forma remota con Telnet, se nos
pide el usuario y la contraseña.
Su principal problema es la seguri-
dad, ya que no cifra ninguno de los
datos, ni de los usuarios, ni de las
contraseñas que envía. Para solu-
cionar este problema se creó en el
año 1995 el protocolo SSH.
Actualmente se utiliza mayoritaria-
mente para acceder a dispositivos de
8.1. Cliente telnet de Microsoft.
red, como por ejemplo los routers.
210

SSH
SSH (Secure Shell) o intérprete de órdenes seguras es el nombre de un proto-
Niveles del modelo TCP/IP
colo de red que permite el acceso remoto a otra máquina de forma segura.
Aplicación Transporte Tiene una estructura cliente-servidor. Mejora el protocolo Telnet, ya que
SSH TCP (22) incorpora mecanismos de cifrado de la información: datos, usuarios y con-
traseñas, que se envían y transmiten mediante claves RSA (acrónimo de
los apellidos de sus creadores Rivest, Shamir y Adleman) o DSA (Digital Sig-
nature Algorithm) o algoritmo de firma digital. Utiliza el puerto 22 para co-
municarse. Además permite al cliente autenticar al servidor.
Existen dos versiones del protocolo:
– SSH-1: especificada en la RFC 4251. Está prácticamente en desuso, ya
que solo permite cifrado RSA y tiene problemas de seguridad.
– SSH-2: especificada en la RFC 4651. Esta versión permite mayores niveles
de seguridad.
Además del acceso remoto, el protocolo SSH permite, entre otras cosas:
– Transferencia segura de archivos: como se vio en la explicación de
sFTP de la Unidad 5.
– Acceso a ordenadores desde teléfonos móviles: en la actualidad existen
clientes y servidores SSH para sistemas operativos móviles.
– Tunneling o creación de túneles: esta técnica permite encapsular un
protocolo de red dentro de otro. Si, por ejemplo, introducimos un pa-
quete HTTP dentro de un paquete SSH, los nodos intermedios única-
mente verán contenido SSH. El túnel queda definido por los extremos y
el protocolo utilizado.
En la figura 8.2 podemos ver dos clientes que realizan una petición HTTP
a un servidor proxy.
En el primer caso, el servidor proxy envía la petición al
servidor web y conoce el contenido de la petición reali-
n

ic

zada por el cliente.


t
Pe

Internet
HTTP En el segundo caso, el cliente ha establecido un túnel
Cliente Proxy Servidor web SSH entre su equipo, que dispone de un cliente SSH, y
un servidor SSH externo a la red de área local. Cuando
el cliente realiza la petición HTTP, la enmascara dentro
del protocolo SSH de tal manera que el proxy no la reco-
Cliente
Servidor noce. Una vez recibida esta petición, el servidor SSH se
SSH
la envía al servidor web. Y este último, por su parte,
Internet
envía la respuesta al servidor SSH, que la encapsulará y
Cliente Petición HTTP Túnel SSH Petición HTTP
SSH la remitirá al cliente.
Proxy Para realizar este túnel en este caso, deberemos tener
activado el protocolo SOCKS en el navegador del cliente.
El tunneling también recibe el nombre de port forwarding
o reenvío de puertos.
Servidor web SSH también es el nombre del programa propietario
que implementa a este protocolo. OpenSSH es una al-
8.2. Túneles SSH.
ternativa de software libre.
Unidad 8 - Acceso remoto 211

1.3 > Terminales en modo gráfico


Un terminal en modo gráfico es un dispositivo de entrada/salida que per-
mite representar gráficos y exhibirlos. Gracias a su capacidad para mostrar
objetos gráficos, como iconos y ventanas, y gestionar tanto el teclado como
el ratón, los terminales gráficos son los más usados hoy en día para acceder
a equipos remotos.
En la literatura informática existe cierta confusión en los términos que
se emplean para diferenciar las distintas maneras de trabajar con equipos
remotos. Esto se debe a que las aplicaciones empleadas reúnen en una Acceso remoto
herramienta varias de esas formas de trabajo. Así, en función de la fina- Mediante esta técnica se pueden iniciar
lidad que tengan para conectar con el equipo remoto, se clasifican en: a distancia múltiples sesiones en otro
acceso remoto, control remoto y administración remota. equipo, con la particularidad de que, si
alguien más trabaja en la consola del
Acceso remoto dispositivo al que se accede, no percibe
Se trata de la técnica que emplea uno o varios protocolos de comunicacio- en su pantalla que otros usuarios tam-
bién la están usando.
nes para acceder desde el equipo local (cliente) al escritorio del servidor de
terminales del equipo remoto.
Esto tiene ciertas ventajas:
– Permite utilizar todas las aplicaciones disponibles en el servidor.
– A la hora de ejecutar programas, se dispone de los recursos hardware Protocolo RDP
que ofrece el servidor, como la velocidad de procesamiento, la memoria Remote Desktop Protocol significa pro-
RAM o la memoria secundaria. tocolo de escritorio remoto. Fue creado
– Permite acceder a los ficheros, carpetas o unidades de red que brinda el por Microsoft para realizar transmisiones
servidor. de datos de forma segura y rápida. Me-
– Si el cliente y el servidor trabajan bajo Windows, puede utilizarse el na- diante este protocolo, tanto desde un
vegador web de esta plataforma para conectarse al servidor. programa cliente como desde un nave-
gador, se realizan peticiones al puerto
A su vez, se deben cumplir una serie de requisitos:
3389, que es donde Terminal Server per-
– El equipo remoto debe tener activado el software que permita recibir co- manece a la escucha.
nexiones desde los clientes para iniciar sesión
en él.
– Desde el equipo local se necesita acceso vía
intranet o Internet al servidor remoto, que de-
berá estar encendido.
– El cliente debe tener permiso para conectarse
a la máquina remota, por lo que el servidor
debe mantener una lista con los usuarios per-
mitidos.
A continuación se exponen algunos ejemplos:
– La plataforma Windows dispone de la aplicación
Terminal Server como software servidor de ter-
minales y de la conexión a escritorio remoto
vía RDP o el navegador Internet Explorer con
HTTPS para conectarse desde el lado del cliente.
– En GNU/Linux existe una aplicación liberada
bajo licencia GPL llamada FreeNX, que se
puede descargar gratuitamente desde el enlace 8.3. Escritorio de un servidor Windows remoto visualizado sobre un cliente
GNU/Linux.
http://freenx.berlios.de.
212

Control remoto
¿Cuántas veces no has sabido realizar una tarea o ha fallado una aplicación
o la instalación de un nuevo dispositivo y su controlador? En estas ocasio-
nes, cualquier usuario hubiera agradecido que alguien pudiera conectarse
a su equipo para ofrecerle soporte técnico o incluso para mostrarle los
pasos que debe realizar para resolver el problema.
El control remoto implica acceder a un equipo remoto para tomar el
control del mismo. Por este motivo, es muy importante que únicamente
Control remoto usuarios autorizados en los que se confíe puedan tomar el control de la
Cuando un usuario toma el control de máquina local, dado que tendrán acceso a toda la información.
un equipo remoto, tanto el usuario local
como el remoto ven el mismo escritorio
en su equipo. De esta forma, los dos
pueden controlar el puntero del ratón y
ver el resultado de la pulsación de teclas
en el teclado.
Equipo que toma Equipo controlado
el control (cliente) (servidor)

8.4. Equipo controlado por un usuario de forma remota.

Estos son algunos ejemplos:


– En la plataforma Windows, el control remoto se denomina asistencia
remota. Este software queda a la espera de recibir peticiones tras haber
generado una invitación en forma de archivo que se envía a la persona
que se desea conectar. Esta lo ejecuta para solicitar acceso y luego debe
teclear una contraseña que el usuario le proporciona (figura 8.5). Cuando
se acepta la solicitud, se crea una conexión cifrada a través de la intranet
o Internet que permite tomar el control.
– VNC (Virtual Network Computing) o computación virtual en red es una
aplicación multiplataforma basada en software libre que permite vi-
sualizar el escritorio de un equipo remoto (el servidor) en la pantalla
local (visor) a través de la intranet o de Internet. Además, mediante el
ratón y el teclado es el cliente el
que controla al servidor de forma
remota. Ampliamente utilizado en
educación, permite ilustrar a los
alumnos sobre cómo hacer algo.
Este tipo de control se utiliza mucho
entre equipos de escritorio, sin em-
bargo no se suele emplear entre el
8.5. Asistencia remota de Windows. equipo de escritorio y el servidor.
Unidad 8 - Acceso remoto 213

Administración remota
Debido a la internacionalización de las empresas, la movilidad de los em-
pleados y la externalización de los servicios, entre otros motivos, cada vez
se hace más necesario acceder de forma remota a los servidores de una Front-end y back-end
empresa para realizar operaciones de mantenimiento y administración, El front-end es la parte de un sistema
independientemente de su situación geográfica. software que interactúa directamente
con el usuario.
Los servicios de soporte remoto son proporcionados por un número cada
El back-end es la parte de un sistema
vez mayor de organizaciones, las cuales necesitan utilizar las herramientas
software que contiene un conjunto de
software que permiten realizar a distancia tareas de administración de
componentes encargados de procesar
aplicaciones y de equipos cliente o servidor.
las peticiones del usuario que llegan a
Existen multitud de aplicaciones dedicadas a esta labor, que suelen tener través del front-end.
un denominador común: el uso de un front-end amigable para el usuario. El front-end recolecta datos de entrada
Estas aplicaciones se pueden dividir en dos tipos: en diversos formatos y los procesa en la
forma que puedan ser usados por el
– Las que utilizan un pequeño programa que se conecta a un servidor de
back-end. La conexión entre el front-
la empresa que lo desarrolla y ofrecen este tipo de servicio para poner end y el back-end se lleva a cabo me-
en contacto al cliente con el equipo que se desea controlar. diante una interfaz.
– Las que hacen uso de una interfaz basada en web, es decir, que emplea
Ejemplo 1
el protocolo HTTP para conectarse y administrar la máquina remota.
Un administrador de archivos gráfico
A continuación se muestran tres ejemplos de este tipo de aplicaciones: como Windows Explorer o Nautilus
puede ser entendido como un front-end
– LogMeIn: creado para las plataformas Windows y Apple. Tras registrar
del sistema de archivos de un equipo.
una cuenta de usuario, solo se necesita instalar una aplicación en el
equipo que se desea controlar y, desde el cliente, acceder a la página Ejemplo 2
web de la empresa, desde donde se podrá efectuar la administración Una interfaz gráfica de usuario de un
remota. sistema operativo puede verse como un
– TeamViewer: software multiplataforma que requiere instalar el pro- front-end para el usuario, mientras que
grama de control tanto en el cliente como en el servidor. la interfaz de línea de comandos en los
– Webmin: software libre basado en web, por tanto multiplataforma, que se traduce su interacción sería el
back-end.
para la administración remota de sistemas Unix. A través de un navega-
dor moderno se accede al front-end, desde donde se pueden configurar
cuentas de usuario y servicios como Apache o DNS, realizar la instalación
de aplicaciones, compartir recursos y mucho más.

8.6. Webmin, herramienta de administración remota basada en web.


214

2 >> Acceso remoto en sistemas GNU/Linux


La siguiente labor que tenéis que desarrollar en ServPubli es facilitar el
trabajo diario del administrador del servidor de la empresa. Hasta el mo-
mento, para abrir una sesión en el servidor el empleado encargado de ges-
tionar este equipo debe estar físicamente junto a él para poder usar la
pantalla, el teclado y el ratón.
En la reunión que mantenéis con los representantes de la empresa, os ex-
plican que, en un principio, el servidor estaba en el puesto de trabajo del
empleado que lo administra y, además de dar servicio al resto de ordena-
dores, se utilizaba como equipo de escritorio. Esta situación generaba pro-
blemas de rendimiento y de seguridad y además, en más de una ocasión,
sucedía que algún empleado de la empresa apagaba el ordenador por
error y dejaba sin servicio al resto de equipos.
Más tarde, se dotó al administrador de un ordenador para que no tuviera
que acceder al servidor salvo para realizar labores de gestión. Sin embargo,
esto solo solucionó los problemas de rendimiento y, además, el adminis-
trador no disponía de espacio físico en su puesto de trabajo para realizar
su labor cómodamente.
Actualmente, el servidor se ha desplazado a un despacho cerrado que no
se usaba. De esta manera el único problema que tiene actualmente el tra-
bajador es que debe desplazarse hasta dicha habitación para realizar cual-
quier labor de administración.
Una vez estudiada la situación, vuestra conclusión es que la empresa de-
bería realizar estas dos acciones:
– Habilitar un espacio que satisfaga todas las necesidades ambientales y
de seguridad y que esté dedicado exclusivamente al servidor y otros
Para saber más
componentes de la red de la empresa.
– Implementar un sistema de acceso remoto que permita, a los usuarios
Web oficial de Webmin:
autorizados, abrir una sesión en el servidor sin tener que desplazarse
hasta su ubicación.
Tú te vas a encargar de la última de ellas.
Durante el análisis, has descartado las aplicaciones de control o asistencia
remota, porque están más orientadas a tomar el control de sesiones ya ac-
tivas y a interactuar con el usuario de otras máquinas.
http://www.webmin.com
Después de documentarte y estudiar distintas alternativas, sugieres a la
Web oficial de OpenSSH: empresa dos formas, no excluyentes, para administrar remotamente el
servidor:
– Webmin, un interfaz basado en web que permite administrar un servidor
GNU/Linux a través de un navegador.
– No hay que realizar ninguna tarea para implementar esta solución por-
que ya se usa en el servidor de la empresa, aunque solo de forma local;
actualmente se accede a Webmin desde el navegador web del mismo
http://www.openssh.com/es servidor.
– OpenSSH, paquete de herramientas que implementa el protocolo SSH y
permite abrir sesiones remotas en modo texto y gráfico.
Unidad 8 - Acceso remoto 215

2.1 > Instalación del servidor


Para permitir el acceso remoto al servidor solo tienes que instalar el
servidor SSH, ya que Webmin ya está instalado. Sigue estas indicaciones:
Datos de acceso
1. Abre una sesión gráfica GNOME en el servidor utilizando el usuario
Usuario: adminservidor
adminservidor.
Contraseña: S3rvid@r
2. Inicia el gestor de paquetes Synaptic.
3. Haz clic en el botón Recargar para actualizar la lista de paquetes dispo-
nibles en los repositorios de Internet que tenemos configurados. Espera
unos segundos mientras termina este proceso.
Paquetes que se deben instalar
4. Haz clic en el botón Buscar para poder acceder a la herramienta de
búsqueda. openssh-server

5. Escribe openssh en el cuadro de texto y haz clic en el botón Buscar


(figura 8.7).
6. Selecciona openssh-server con un clic sobre el nombre del paquete y lee
la información adicional mostrada debajo de la lista.
7. Haz doble clic en la casilla de verificación de openssh-server, así lo mar-
carás para instalar.

8.7. Herramienta Buscar.

8.8. Selección de paquetes.

8. Se abrirá un diálogo que te advierte que para poder instalar esta apli-
cación es necesario marcar otros paquetes. Haz clic sobre el botón
Marcar para permitir estos cambios adicionales.
9. Haz clic en el botón Aplicar para iniciar la instalación.
10. Se abrirá la ventana con el resumen de la instalación que vas a realizar.
Léela y haz clic en el botón Aplicar para comenzar la descarga e insta-
lación de los paquetes. Mientras continúa la instalación, se muestra la
ventana de diálogo Aplicando los cambios. Esta ventana se cerrará auto-
máticamente cuando termine este proceso.
11. Al finalizar la instalación se abre la ventana Cambios aplicados (figura 8.9).
Haz clic sobre el botón Cerrar para volver a la ventana principal de la
aplicación.
12. Haz clic sobre el botón Cerrar de la ventana de Synaptic para salir de
8.9. Ventana Cambios aplicados.
este programa.
216

2.2 > Configuración del servidor


Por un lado, Webmin ya funciona en el servidor de la empresa y no hace
falta que modifiques su configuración para que se pueda acceder desde
cualquier equipo de la empresa.

Por otro lado, el servidor openssh-server, después de la instalación, ha


quedado configurado para permitir abrir sesiones gráficas, de forma que
tampoco es necesario cambiar ningún parámetro.

Acceso a los módulos de los servidores

Aunque para poner en marcha el servidor SSH no se necesita cambiar


ninguno de los parámetros de su configuración, siempre es conveniente
poder acceder al módulo de Webmin correspondiente a esta aplicación
para realizar comprobaciones o, si en el futuro se necesita, cambios en su
configuración. Sigue estas indicaciones para actualizar la lista de servidores
disponibles:

1. Abre una sesión en el servidor con el usuario adminservidor.


2. Inicia el navegador web y accede a Webmin.
3. Haz clic sobre el enlace Servidores del menú principal. Puedes encontrar
este menú en el lado izquierdo de la ventana.
4. Aunque acabas de instalar el servidor SSH, no aparece en la lista. Haz
clic en el enlace Refresh Modules (figura 8.10) para que Webmin lo agre-
gue en su menú. Espera unos segundos mientras Webmin busca los
servidores que hay instalados y actualiza la lista con sus correspon-
dientes módulos.
5. Ahora, si vuelves a acceder a la sección Servidores del menú de Webmin,
ya podrás ver que aparece el enlace al módulo de la aplicación que
8.10. Refrescar módulos. acabas de instalar.

8.11. Servidores disponibles.


Unidad 8 - Acceso remoto 217

2.3 > Comprobación del servicio


Verificación del estado del servicio
Sigue estos pasos para comprobar que los servidores están en ejecución:
1. Abre Webmin en el navegador web del servidor. Proceso del servidor SSH
2. Accede a Estado de Sistema y de Servidor en el menú Otros.
/usr/sbin/sshd
3. Selecciona Servidor Web Webmin en la lista desplegable.
4. Haz clic en el botón Añadir monitor de tipo para crear el monitor.
5. Haz clic sobre el botón Crear sin hacer cambios en la nueva ventana.
6. Comprueba el estado de Servidor Web Webmin y Servidor SSH.

Ejecución de Webmin
Webmin es una aplicación web que se
ejecuta sobre un servidor web muy sim-
ple llamado miniserv. Está escrito en
el lenguaje de programación Perl y se
ejecuta por medio de un intérprete de
este lenguaje.
Proceso del intérprete de Perl
/usr/bin/perl
Código fuente de miniserv
8.12. Estado del sistema y del servidor.
/usr/share/webmin/miniserv.pl

Verificación del acceso remoto con Webmin


Sigue estos pasos para comprobar la conexión a Webmin desde el cliente:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre el icono Navegador web Firefox del panel lateral.
3. Accede al URL https://servidor.servpubli.com:10000/. Datos de acceso
4. Haz clic sobre Entiendo los riesgos y haz clic en el botón Añadir excepción. Usuario: admincliente
5. Luego, haz clic en Confirmar excepción de seguridad. Contraseña: Cli3nt@
6. Comprueba que puedes validarte con el usuario adminservidor.

8.13. Acceso remoto con Webmin.


218

Verificación del acceso remoto con SSH


El servicio SSH permite el acceso remoto en modo texto y en modo gráfico.
Para probar este último modo vas a abrir un servidor gráfico en el equipo
que tiene instalado Ubuntu Desktop 12.04 LTS, para que pueda mostrarse
el escritorio del ordenador que ejecuta Ubuntu Server 12.04 LTS. Sigue
estas indicaciones:
1. Arranca el equipo cliente. No hace falta que abras ninguna sesión.
2. Pulsa la combinación de teclas <Ctrl (derecha)>+<F1> para abrir un ter-
Advertencia minal de texto del cliente.
La tecla <Ctrl> (control) de la derecha 3. Valídate con un usuario de este equipo, por ejemplo admincliente.
en una máquina virtual equivale a la com- Cuando teclees la contraseña no aparecerá ningún símbolo en la panta-
binación de teclas <Alt>+<Ctrl> en una lla; no te preocupes, es una medida de seguridad.
máquina real. Por lo tanto, si realizas es-
4. Ejecuta la instrucción xinit -maximized -- :1 para crear un servidor gráfico
tos pasos en un sistema instalado direc-
y abrir un emulador de terminal de texto que te permita ejecutar otras
tamente sobre el ordenador, debes adap-
instrucciones.
tar las combinaciones. Por ejemplo:
– Combinación en máquina virtual:
<Ctrl>+<F1>
– Combinación en máquina real:
<Alt>+<Ctrl>+<F1> +

8.14. Acceso a un terminal de texto.

5. Teclea el comando ssh -X adminservidor@servidor.servpubli.com y pulsa la


tecla <Intro>. Así estableces una conexión segura hasta el servidor con el
usuario adminservidor. Esta conexión permite el tráfico
de los datos necesarios para representar gráficos.
6. La primera vez que un cliente se conecta con un servidor
SSH, te pregunta si quieres almacenar la clave del servidor
para que, en futuras conexiones, no sea posible suplantar
su identidad. Si te pregunta si quieres continuar con la
conexión, teclea yes y pulsa <Intro> para continuar.
7. Introduce la contraseña del usuario adminservidor y pulsa
la tecla <Intro>.
8. Ejecuta la orden gnome-session --session=gnome para abrir
una sesión con el usuario adminservidor del escritorio
GNOME. Esta sesión se abre en el servidor pero se visua-
8.15. Acceso remoto y ejecución del entorno gráfico.
liza en el cliente.
Unidad 8 - Acceso remoto 219

9. En pocos segundos verás cómo aparecen los distintos elementos del


escritorio de GNOME, por ejemplo, las ventanas, los paneles, el fondo
de escrito, los menús y los indicadores. Comprueba que puedes acceder
a las aplicaciones del servidor como Synaptic o Epiphany.

Otros escritorios
Si el servidor tiene instaladas otras ver-
siones de GNOME, podrás ejecutarlas si
omites el parámetro -session del comando
gnome-session o si cambias su valor.

También podrás abrir escritorios distin-


tos al que está instalado en el cliente.
Por ejemplo, si el escritorio del servidor
es KDE, podrás abrirlo con la orden
startkde en lugar de gnome-session.

8.16. Detalle del escritorio GNOME del servidor.

10. Siempre que sea necesario, puedes cambiar entre los entornos gráficos
remoto y local. Usa las siguientes combinaciones de teclas para pasar
de un entorno a otro:
<Ctrl (derecha)>+<F7> <Ctrl (derecha)>+<F8>

Recuerda
En Ubuntu puedes acceder a seis termi-
nales de texto mediante la combinación

+
de las teclas <F1> hasta <F6>. El resto
de teclas de función, desde <F7> a
<F12>, corresponden a terminales grá-
ficos. Por ejemplo:

Acceso al tercer terminal de texto en


8.17. Alternancia entre los terminales gráficos.
una máquina virtual:

<Ctrl (derecha)>+<F3>
11. Cuando termines, cierra la sesión gráfica de adminservidor con un clic
en el botón Cerrar de la ventana ssh (on pc-16). Acceso al primer terminal gráfico en una
12. Introduce el comando exit para terminar la sesión en modo texto. máquina real:

13. Si quieres acceder de nuevo al entorno gráfico del cliente, pulsa <Alt>+<Ctrl>+<F7>
<Ctrl (derecha)>+<F7>.
220

3 >> Acceso remoto en sistemas Windows


Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la séptima tarea que debéis realizar es la implantación de un servidor de
Para saber más acceso remoto. La empresa ha detectado un par de problemas:
Puedes obtener soporte técnico de Ter-
1. Los trabajadores tienen problemas a la hora de ejecutar determinados
minal Services en el siguiente URL:
programas. Esto sucede porque los empleados utilizan programas, por
ejemplo, de diseño gráfico, que requieren equipos con gran capacidad
de procesamiento, memoria y almacenamiento en disco.
2. El equipo servidor se encuentra ubicado físicamente en un espacio es-
pecífico al que el trabajador encargado de su gestión debe desplazarse
para realizar cualquier labor de administración.
http://xurl.es/ts_ms Después del estudio de los problemas descritos anteriormente, proponéis
a la empresa el uso del servicio de acceso remoto, que proporciona al
trabajo de sus empleados las siguientes funcionalidades:
– Acceder al escritorio del servidor, ya sea mediante el uso de programas
específicos o bien a través de un navegador web.
– Utilizar los recursos a los que el servidor tenga conectividad, tales como
impresoras, faxes o escáneres.
– Ejecutar los programas que el servidor tiene instalados y que no podrían
ejecutarse en los ordenadores de los empleados, ya que no cumplen los
requisitos mínimos.
– Copiar ficheros desde el servidor al ordenador local de la intranet.
Y, en especial, se ofrece al administrador la funcionalidad de administrar
el servidor sin tener que desplazarse hasta su ubicación.
Terminal Services es el servidor de acceso remoto que ya viene incluido
en Windows Server 2008. Utiliza el protocolo RDP (Remote Desktop Protocol)
y lo que se consigue con este servicio es mostrar la interfaz gráfica del ser-
vidor en los equipos cliente que se conectan remotamente.
A continuación se muestra cuáles son los subcomponentes de los que
consta Terminal Services:

Terminal Services

Servidor Administrador Puerta de enlace Agente de sesión Acceso web


de terminal de licencias TS de TS de TS con TS

8.18. Infraestructura de Terminal Services en Windows Server 2008.

Para conectarse remotamente al servidor desde un equipo cliente existen


dos maneras diferentes:
– Cliente de acceso remoto: en Windows 7 se puede hacer uso de la apli-
cación Conexión a Escritorio remoto.
– Navegador web: como, por ejemplo, Microsoft Internet Explorer.
Unidad 8 - Acceso remoto 221

3.1 > Instalación del servidor


Sigue estas indicaciones para instalar Terminal Services:
1. Pincha Inicio y selecciona la opción Administrador del servidor. Recuerda
2. En la ventana que aparece, haz clic sobre la opción Agregar funciones,
Los datos para acceder como usuario
que se encuentra en el bloque Resumen de funciones de la parte derecha
administrador son:
de la ventana.
Usuario: adminservidor

Contraseña: S3rvid@r

8.19. Administrador del servidor.

3. Se inicia el Asistente para agregar funciones. Lee el texto que te informa


sobre las comprobaciones previas y haz clic en Siguiente.
4. En la ventana Seleccionar funciones de servidor, marca la casilla de verifica-
ción Terminal Services y pincha Siguiente.

8.20. Seleccionar funciones del servidor.

5. La ventana Terminal Services indica las características básicas de este ser-


vicio. Pincha Siguiente.
222

6. En la ventana Seleccionar servicios de función (figura 8.21), marca la casilla


de verificación Terminal Server. El sistema te advierte de los riesgos de
instalar Terminal Server en un dominio de Active Directory. Haz clic
sobre Instalar Terminal Server de todos modos (no se recomienda).
7. Marca las casillas Administrador de licencias TS y Acceso web de TS. Al
marcar esta última, aparece la ventana Asistente para agregar funciones,
ya que es necesario agregar servicios adicionales incluidos en el servidor
web IIS. Pincha Agregar servicios de función requeridos. Para continuar con
la instalación, haz clic en Siguiente.
8. Aparece la ventana Desinstalar y reinstalar aplicaciones por compatibilidad,
que te advierte sobre los problemas que pueden existir con aquellas
aplicaciones que ya se encuentran instaladas en el servidor y te indica
cómo solucionarlos. Pincha Siguiente.
9. Selecciona No requerir autenticación a nivel de red y pincha Siguiente.

8.21. Seleccionar servicios de función. 8.22. Especificar método de autenticación para Terminal Server.

10. En la ventana Especificar modo de licencia, marca la opción Por dispositivo


(figura 8.23) y haz clic en Siguiente.
11. Desde Seleccionar grupos de usuarios con acceso concedido a este servidor de
Terminal Server (figura 8.24), añade los usuarios con permiso para co-
nectarse a Terminal Server. Dichos usuarios deben pertenecer al grupo
Usuarios de escritorio remoto. Pincha Agregar.

8.23. Especificar modo de licencia. 8.24. Seleccionar grupos de usuarios con acceso a Terminal Server.
Unidad 8 - Acceso remoto 223

Los usuarios administradores ya están añadidos al grupo Usuarios de escritorio


remoto y no se pueden quitar de este grupo. Ahora también vas a añadir el
usuario prueba a este grupo:
1. Escribe prueba en el cuadro de texto que hay en la ventana Seleccionar
Usuario, Equipos o Grupos (figura 8.25) y haz clic en el botón Aceptar.
Ahora puedes comprobar que el usuario prueba aparece como usuario
con acceso concedido junto a los usuarios administradores. Haz clic 8.25. Seleccionar usuarios, Equipos o Gru-
pos.
en Siguiente.
2. Selecciona Este dominio en la ventana Configurar el ámbito de detección para
Administrador de licencias TS y pincha Siguiente.

8.26. Configurar el ámbito de detección para Administrador de licencias TS.

3. Aunque ya tenemos instalado el servidor web, como son necesarios al-


gunos componentes adicionales de este servidor, aparece la ventana
Servidor web (IIS), que indica los factores que se deben tener en cuenta
antes de instalar el servidor web. Una vez hayas leído y entendido dicha
información, haz clic sobre el botón Siguiente.
4. Deja marcadas las casillas que ya lo están y pincha Siguiente.
5. En la ventana Confirmar selecciones de instalación se muestra un resumen
de la configuración de Terminal Services. Comprueba con atención Editor del registro
que todo es correcto y haz clic sobre Instalar. La información del servicio de acceso
6. Transcurrido un tiempo aparece la ventana Resultados de la instalación, remoto en el editor del registro se en-
que te advierte que es necesario reiniciar el servidor para que finalice cuentra en la siguiente clave:
correctamente el proceso de instalación. Haz clic en el botón Cerrar HKEY_LOCAL_MACHINE\System\
de la ventana. CurrentControlSet\Control\
7. Responde con un clic en Sí a la pregunta de si deseas reiniciar el servidor Terminal Server
ahora.
8. Una vez reiniciado el servidor, aparece una ventana de resumen con la
configuración completa de Terminal Services. Si todo es correcto, finaliza
la instalación pinchando Cerrar.
224

3.2 > Configuración del servidor


Una vez que se ha instalado el servicio de acceso remoto, debes configurarlo
de manera adecuada para que cumpla con los requisitos que te ha indicado
Administrador de TS la empresa.
Una vez instalado el servidor de acceso
remoto, puedes administrar todos sus Configuración del certificado de seguridad
servicios si vas a la ruta: En primer lugar, para mejorar la seguridad en el servicio de acceso remoto,
Inicio / Herramientas administrativas / debes configurar el servidor para que use un certificado digital. Esto per-
Terminal Services mitirá que, cuando un usuario acceda remotamente, reciba la firma del
Allí se encuentran las herramientas servidor y pueda confiar en él.
Administrador de Acceso web de TS,
Sigue estos pasos para configurar en el servidor el certificado de seguridad
Administrador de RemoteApp de TS,
para el servicio de acceso remoto:
Administrador de Terminal Services,
Configuración de Terminal Server, Es- 1. Abre la ventana Administrador de RemoteApp de TS (figura 8.27).
critorios remotos y Herramienta de ad- 2. Haz clic en Cambiar de la opción Configuración de firma digital.
ministración de licencias TS. 3. Aparece la ventana Configuración de implementación de RemoteApp (fi-
gura 8.28):
– Marca la casilla Firmar con un certificado digital y haz clic sobre el botón
Cambiar.
– En la ventana Seleccionar certificado, elige el único certificado que está
disponible (lo creaste en la Unidad 4) y haz clic sobre Aceptar.
– Cierra la ventana con un clic en Aceptar.
4. Comprueba que ahora en la opción Configuración de firma digital aparece
el mensaje Firmando como: SERVIDOR.ConRecuerdos.org.
5. Cierra la ventana Administrador de RemoteApp de TS.

8.27. Administrador de RemoteApp de TS.

Configuración de la directiva inicio de sesión a través de TS


En segundo lugar, debes modificar algunos permisos del grupo al que per-
tenecen los usuarios del servicio de acceso remoto, es decir, el grupo
Usuarios de escritorio remoto. En concreto, este grupo no tiene el permiso
para iniciar una sesión a través de Terminal Services. Por tanto, aunque el
usuario de acceso remoto se haya agregado a este grupo, no podrá conec-
8.28. Firma digital.
tarse remotamente al servidor.
Unidad 8 - Acceso remoto 225

Sigue estos pasos para configurar la directiva Permitir el inicio de sesión a


través de Terminal Services al grupo Usuarios de escritorio remoto:
1. Abre la ventana Administración de directivas de grupo.
2. Haz clic con el botón derecho del ratón sobre la opción Editar del menú Administración de directivas
contextual que se encuentra en Administración de directivas de grupo / de grupo
Bosque: ConRecuerdos.org/Dominios / ConRecuerdos.org / Domain Controllers / Puedes encontrarla en la ruta:
Default Domain Controllers Policy Inicio / Herramientas administrativas

8.29. Administración de directivas de grupo.

3. Aparece la ventana Editor de administración de directivas de grupo. Selecciona


la opción Asignación de derechos de usuario, que se encuentra en Directiva
Default Domain Controllers Policy [SERVIDOR.ConRecuerdos.org] / Configuración
del equipo / Directivas / Configuración de Windows / Configuración de seguridad
/ Directivas locales.
4. En la ventana de la derecha, busca la directiva Permitir inicio de sesión a
través de Terminal Services y haz doble clic sobre ella.

8.30. Editor de administración de directivas de grupo.


226

5. A continuación aparece el cuadro de diálogo Propiedades de Permitir el


inicio de sesión local, en el que debes marcar la casilla Definir esta configu-
ración de directiva.
6. Haz clic sobre el botón Agregar usuario o grupo.
7. En el cuadro de diálogo Agregar usuario o grupo que aparece, haz clic so-
bre Examinar.
8. Se abre el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos. Escribe
usuarios de escritorio remoto en el cuadro de texto Escriba los nombres de
objeto que desea seleccionar.
9. Haz clic en Comprobar nombres y, en la ventana que aparece a conti-
nuación, pincha Aceptar.
10. Regresa al cuadro de diálogo Agregar usuario o grupo y podrás ver que
ya aparece escrito el grupo Usuarios de escritorio remoto. Haz clic sobre
Aceptar.
11. Comprueba que ahora el grupo Usuarios de escritorio remoto se ha agregado
al cuadro de texto del cuadro de diálogo Propiedades de Permitir inicio de
sesión a través de Terminal Services. Si es así, haz clic en Aceptar.

8.31. Ventanas para agregar el grupo Usuarios de escritorio remoto.

12. Cierra las ventanas Editor de administración de directivas de grupo y Admi-


nistración de directivas de grupo.
Con estos pasos que has realizado en la configuración de la directiva de
inicio de sesión, cualquier usuario que pertenezca al grupo Usuarios de escri-
torio remoto podrá iniciar una sesión a través de Terminal Services y conec-
tarse remotamente al servidor.
Ahora los empleados podrán utilizar el servidor de manera remota para
hacer uso de aquellas aplicaciones que requieran una máquina con grandes
prestaciones. Y, además, el administrador del servidor podrá administrarlo
sin necesidad de moverse de su puesto de trabajo.
Unidad 8 - Acceso remoto 227

3.3 > Comprobación del servicio


Verificación del estado del servicio
Para comprobar el estado del servicio de acceso remoto en el equipo servidor,
sigue la ruta Inicio / Herramientas administrativas y haz clic sobre Servicios. En la
ventana que aparece, busca el servicio Terminal Services. Una vez lo encuentres, Estado del servicio de acceso
remoto
si el campo Estado tiene el valor Iniciado y en Tipo de inicio aparece Automático,
quiere decir que el servicio de acceso remoto está en funcionamiento y que El servicio de acceso remoto tiene tres
se iniciará automáticamente cada vez que arranque el equipo servidor. posibles estados de inicio:

– Automático: está iniciado y se iniciará


cada vez que arranca el ordenador.
– Manual: está detenido y se debe iniciar
manualmente.
– Deshabilitado: está detenido y no se
puede iniciar de ningún modo.

8.32. Ventana Servicios.

Verificación del servicio con conexión a escritorio remoto


Sigue estos pasos para comprobar si se puede acceder al servicio de acceso
remoto mediante la aplicación Conexión a escritorio remoto:
1. En el equipo cliente, abre el programa Conexión a Escritorio remoto, que se
encuentra en la ruta Inicio / Todos los programas / Accesorios.
2. Escribe servidor.conrecuerdos.org en la lista desplegable Equipo (figura 8.33)
y haz clic sobre el botón Conectar.
3. En la ventana Seguridad de Windows escribe el nombre de usuario, es
8.33. Conexión a Escritorio remoto.
decir, prueba, y su contraseña, U$u4r1o.
4. Antes de realizar la conexión remota se muestra un aviso (figura 8.34),
ya que el certificado que hemos creado no está firmado por ninguna CA
de confianza, sino por nosotros mismos (autofirmado). Pincha Sí.
5. Finalmente, se establece la conexión remota al servidor.

8.34. Comprobación de la firma digital.

8.35. Conexión a Escritorio remoto de servidor.conrecuerdos.org.

Verificación del servicio con el navegador Internet Explorer


Para comprobar si se puede acceder al servicio web de acceso remoto, abre
el navegador web Internet Explorer en el equipo cliente, escribe el URL
http://servidor.conrecuerdos.org/ts y sigue los pasos de manera similar a
como lo has hecho en el apartado anterior.
228

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Cuáles son los dos principales protocolos utilizados en terminales en modo texto?
2·· ¿Qué puerto utiliza el protocolo Telnet? ¿Y el SSH?
3·· Explica las diferencias entre los conceptos administración remota y control remoto.
4·· ¿Qué indican las siglas RDP?
5·· Explica las diferencias entre los conceptos front-end y back-end.

.: APLICACIÓN :.
1·· Busca información sobre el programa PuTTY. ¿Qué es? ¿Para qué sirve? ¿Sobre qué plataformas funciona? ¿Qué
protocolos soporta?
2·· Realiza la instalación de PuTTY en Windows 7. Para ello deberás descargártelo de Internet y seguir las instrucciones
de instalación que incorpora el programa.
3·· Indica si el sistema Windows 7 incorpora el cliente Telnet y el servidor Telnet. En el caso de que no lo tenga ins-
talado, realiza la instalación. Para llevarla a cabo, sigue estos pasos:
1. Accede al Panel de control.
2. Entra en el menú Programas y características.
3. Entra en el submenú situado a la izquierda Activar o desactivar las características de Windows.
4. Busca el cliente y el servidor telnet, activa las casillas correspondientes y pincha el botón Aceptar.
4·· Indica si el sistema Ubuntu 12.04 incorpora el cliente Telnet y el servidor Telnet. En el caso de que no los tenga
instalados, realiza la instalación. Para ello utiliza el gestor de paquetes.
5·· Enciende el servidor GNU/Linux y el cliente Windows. Configura el cliente para que pueda acceder de forma
remota al servidor. Utiliza el cliente PuTTY en Windows.
6·· Realiza la misma operación que en la actividad anterior pero, esta vez, la función de servidor la llevará a cabo
Windows y la de cliente GNU/Linux. Utiliza el cliente de escritorio remoto Remmina.
7·· Compara los protocolos Telnet y SSH. Para ello, realiza una captura de los paquetes que se envían por red local
al realizar una conexión a un servidor mediante estos protocolos. Sigue estos pasos para preparar la captura:
1. Abre la aplicación Wireshark en un cliente e inicia la operación de captura de paquetes.
2. Conéctate al servidor utilizando el protocolo Telnet.
3. Realiza un listado del contenido del directorio.
4. Desconéctate del servidor y conéctate de nuevo utilizando el protocolo SSH.
5. Realiza un listado del contenido del directorio.
6. Desconéctate del servidor y detén la captura de mensajes.
Ahora busca diferentes mensajes y contesta las siguientes cuestiones:
a) Busca los mensajes Telnet.
b) Encuentra la contraseña de inicio de sesión. ¿Está codificada?
c) ¿Puedes ver el comando introducido para realizar el listado del directorio?
d) Busca los mensajes SSH.
e) ¿Qué versión de SSH estás usando?
f) Encuentra la contraseña de inicio de sesión. ¿Está codificada?
g) En este caso, ¿puedes ver el comando introducido para realizar el listado del directorio?
Unidad 8 - Acceso remoto 229

Caso final 1

Acceso remoto en redes pequeñas


·· Los profesores de la academia AulaEasy solicitan disponer de una herramienta que les permita acceder y con-
trolar el ordenador del alumno, tanto para realizar la administración remota del equipo dentro del aula o desde
otra estancia como para mostrar los pasos que deben seguir para hacer las actividades y ejercicios que se les
proponen día a día en las clases. Además, esto no solo les sería útil en los locales de la empresa sino también
en caso de que alguno de los estudiantes no pudiera trasladarse desde su domicilio por cualquier motivo.

Solución ·· Tras realizar un estudio de las aplicaciones existentes en el mercado, decidís utilizar el programa
multiplataforma TeamViewer, una solución «todo en uno», ya que permite el acceso, la asistencia y la admi-
nistración a través de Internet. Esta aplicación es propietaria, pero vais a probar una versión completa y gra-
tuita para el usuario final.

8.36. TeamViewer, aplicación para el acceso, el control y la administración remota.

Para realizar este trabajo vas a llevar a cabo las siguientes tareas:
– Descargar el software tanto en el equipo local como en el remoto.
– Instalar y configurar el programa en el equipo remoto (servidor).
– Instalar la aplicación en el equipo cliente.
– Comprobar el funcionamiento del servicio, que consistirá en acceder y controlar el ordenador remoto.

Descarga
Debes iniciar el equipo que actúa como servidor y seguir los siguientes pasos para bajarte el programa:
1. Ejecuta tu navegador web e introduce el URL http://www.teamviewer.com/es/.
2. Haz clic sobre el botón Versión completa gratuita (figura 8.37).
3. Automáticamente detectará el sistema operativo que utilizas. Si
es GNU/Linux debes hacer clic en el fichero cuyo formato de
archivo sea el de tu distribución, que es Debian, Ubuntu (32-Bit).
4. Aparecerá una nueva ventana; según sea tu navegador haz clic 8.37. Botón para iniciar la descarga de TeamViewer7.
en el botón Guardar o Guardar archivo.
Ahora inicia el equipo cliente y realiza de nuevo
los pasos descritos anteriormente.

Instalación y configuración en el servidor


Los pasos que se deben realizar en el equipo ser-
vidor son los siguientes:
1. Ejecuta el archivo que acabas de descargar.
2. Se muestra la primera ventana del asistente de
instalación que te permite elegir entre instalar
o iniciar la aplicación (figura 8.38). Elige la op-
8.38. Instalación de TeamViewer7.
ción Instalar y haz clic en Siguiente.
230

3. Si se abre el control de cuentas de usuario, elige la instalación para todos y pincha Siguiente.
4. Luego TeamViewer pregunta por el uso que le vamos a dar. Este programa se puede emplear para uso co-
mercial, no comercial o ambos. En tu caso, elige la opción Privadamente/No comercial (figura 8.39) y haz
clic en Siguiente.
5. Se mostrará una ventana con la licencia bajo la que se distribuye el programa. Léela atentamente y, si estás
de acuerdo, marca las casillas de verificación Acepto los términos de la licencia y Confirmo que utilizo Te-
amViewer con carácter privado (figura 8.39) y haz clic en Siguiente.
6. Ahora hay que elegir entre dos modos de instalación; el que tú vas a escoger implica, además, configurar el
equipo servidor, como se aprecia en la figura 8.40. Debes elegir la opción Sí, dado que permite controlar
este equipo sin estar presente físicamente, es decir, si el servidor está encendido puede ser accedido direc-
tamente desde cualquier otro ordenador. A continuación pincha Siguiente.

8.39. Uso del programa y aceptación de la licencia. 8.40. Modos de instalación de TeamViewer7.

Ahora el asistente continúa con la configuración en modo Acceso no


presencial y muestra una ventana de información. Sigue estas indica-
ciones:
1. Sobre la ventana de información haz clic en Siguiente.
2. En este momento se necesita establecer un nombre y una contraseña
segura para el servidor, por lo que debes rellenar los cuadros de texto
correspondientes (figura 8.41). Recuerda apuntar y guardar la contra-
8.41. Nombre y contraseña del ordenador.
seña para poder cambiar la configuración. Pincha Siguiente.
3. Tienes la posibilidad de agregar este equipo a una lista de ordenadores.
Para ello, sería necesario registrar una cuenta en TeamViewer, sin embargo,
vas a elegir la opción No deseo crear una cuenta en TeamViewer ahora.
4. Haz clic en Siguiente.
5. En la última ventana aparece el ID en un cuadro de texto (figura 8.42).
Esta es la ventaja de este modo de instalación, dado que este mismo
número identificará siempre al servidor respecto a cualquier otro dis-
positivo presente en la red o Internet. Para recordarlo en un futuro,
anótalo en un lugar seguro.
6. Haz clic en el botón Finalizar para terminar el asistente. El programa
8.42. Número identificador del servidor.
se ejecuta automáticamente.
Unidad 8 - Acceso remoto 231

Instalación en el cliente
En el equipo cliente sigue las tareas indicadas a continuación:
1. En este caso, el tipo de instalación será el modo normal, que permite utilizar directamente la aplicación.
Así, deberás seguir los mismos pasos indicados en el apartado «Instalación y configuración en el servidor»,
pero tienes que elegir la opción No (predeterminado) cuando el asistente de instalación pregunte por la
clase de instalación que se desea realizar.
2. Para terminar solo necesitas hacer clic en el botón Siguiente. El programa se inicia automáticamente.

Comprobación del servicio


Se debe verificar que se puede controlar el equipo servidor desde el ordenador cliente. Para llevar a cabo esta
tarea, realiza los siguientes pasos:
1. Comprueba que TeamViewer está activado en ambos equipos.
2. En el campo ID de asociado de la máquina cliente, introduce el identificador del servidor (figura 8.44). En
el ejemplo que se muestra en la figura 8.42 el ID es 768644790. Haz clic en el botón Conectar con asociado.

8.43. TeamViewer. ID del equipo remoto (servidor). 8.44. TeamViewer. ID del equipo controlador (cliente).

3. En el cuadro de diálogo Autenticación de TeamViewer, introduce la contraseña que debe figurar en el


campo Contraseña del equipo
servidor. Luego haz clic en el
botón Iniciar sesión.
Ahora debe aparecer una ventana
que contenga el escritorio del or-
denador servidor (figura 8.45).
Despliega los menús y abre una
aplicación, por ejemplo la calcu-
ladora.
En la máquina virtual servidor
comprueba que aparece la ven-
tana de la calculadora, es decir,
que el equipo remoto está con-
8.45. Ventana que contiene el escritorio del equipo remoto.
trolado desde el cliente.
232

Ideas clave

PROTOCOLOS
DE GESTIÓN REMOTA

Implementa Implementa

Acceso
Proporciona Solicita
remoto

Control
Servidor Proporciona Solicita Cliente
remoto

Proporciona Administración Solicita


remota
Unidad 8 - Acceso remoto REVISTA DE INFORMÁTICA

Los trabajadores británicos hacen caso


omiso de las reglas que regulan
el acceso remoto seguro
¿O será, sencillamente, que no tienen otra alternativa?
Los trabajadores alemanes, en consonancia con
el estereotipo que los describe como meticulosos Parece que un aspecto relevante es la ausencia de
pautas detalladas, así como las actitudes individuales
y disciplinados, observan las medidas de seguridad
nacionales, dado que aproximadamente la mitad de los
en el trabajo remoto que imponen las empresas
trabajadores de cada país declara que las empresas no
significativamente más que sus equivalentes bri-
han impuesto reglas para el acceso remoto o que senci-
tánicos y franceses, según ha descubierto una en-
llamente no se las han comunicado.
cuesta de Imation.
«Lo que está claro es que no hay suficientes organizaciones
En una muestra de mil trabajadores de cada uno
que faciliten los dispositivos adecuados y pongan en prác-
de estos países, el 50 por ciento de los alemanes
tica las medidas necesarias para asegurarse de que los tra-
asegura que siempre obedece las reglas de la
bajadores no corren riesgos», comenta Nick Banks, del De-
empresa sobre dicho acceso, mientras que en
partamento de Seguridad Móvil de Imation.
Gran Bretaña lo afirma poco más de un tercio
de los encuestados. «Teniendo en cuenta el número de empleados que reco-
noce que ignora las normas informáticas de la empresa,
Por otro lado, tan solo el 6 por ciento de los así
como las numerosas infracciones graves que se comenten
alemanes admite que hace caso omiso de estas
por errores humanos, las organizaciones no pueden tolera
reglas, aunque esté al corriente de ellas, frente r
que la seguridad en el trabajo sea optativa», afirmó.
a casi una quinta parte de los británicos; y un
cuarto de los trabajadores franceses afirma La clave consiste en ofrecerles herramientas de seguridad
que ni siquiera es consciente de las directrices más eficaces a los empleados en lugar de que utilicen
sus
que se aplican al trabajo remoto. propios recursos.
Imation sugiere que esta confusión respecto Uno de los aspectos más preocupantes son las conexiones
WiFi
a las políticas quizá explique que un tercio no seguras, que un cuarto de los trabajadores británicos
reco-
de las empresas de estos tres Estados pro- noce haber usado para el acceso remoto, frente al 14 por ciento
híba en el trabajo el uso de dispositivos per- de los franceses y apenas el 8 por ciento de los alemanes.
sonales BYOD (en inglés, Bring Your Own
Es difícil dilucidar si estos hallazgos constituyen un reflejo
Device) y que el 71 por ciento de los en- de
actitudes específicas o de las inversiones en seguridad que
cuestados franceses considere que esta se
han hecho en cada uno de estos países. Puede que los usuari
«tendencia de consumo» preocupa al de- os
británicos utilicen una WiFi no segura a falta de una altern
partamento informático. ativa
o que sientan la tentación de arriesgarse debido a las posib
ili-
dades que esta les ofrece a la hora de trabajar a distan
cia o
desde casa.

Fuente: John E. Dunn, Computerworld UK, 19 de septiembre del 2012


9
u n i d a d

Despliegue
de redes
inalámbricas
SUMARIO
I El servicio inalámbrico
I Redes inalámbricas en sistemas GNU/Linux
I Redes inalámbricas en sistemas Windows

OBJETIVOS
·· Determinar las ventajas del uso de redes
inalámbricas.
·· Mostrar la estructura básica del
funcionamiento del estándar IEE 802.11.
·· Instalar, configurar y arrancar un servidor
inalámbrico.
·· Habilitar el uso de este servicio
en un cliente.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento de este servicio.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 9 - Despliegue de redes inalámbricas 235

1 >> Redes inalámbricas WLAN


1.1 > ¿Qué son las redes inalámbricas WLAN?
Una red de área local inalámbrica WLAN (Wireless Local Area Network) o red
de área local sin hilos es una red de dispositivos que, como medio de
Vocabulario
transmisión, utiliza radiofrecuencia o rayos infrarrojos en lugar de par
Espectro electromagnético: es la
trenzado, cable coaxial o fibra óptica.
distribución energética del conjunto de
La radiofrecuencia ha desplazado a los rayos infrarrojos como medio de las ondas electromagnéticas.
transporte, principalmente, debido a su mayor alcance y ancho de banda. RF o radio frecuencia: es la zona
La no utilización de medios guiados (cables) permite extender la red local del espectro electromagnético que se
sitúa entre los 3 KHz y los 300 GHz.
a puntos de difícil acceso y dar servicio a un mayor número de usuarios,
como se necesita, por ejemplo, en un establecimiento público. Microondas: reciben este calificativo
las ondas cuya frecuencia se encuentra
El IEEE (Institute of Electrical and Electronics Engineers) o Instituto de entre 1 y 300 GHz.
Ingenieros Eléctricos y Electrónicos establece en el grupo de documentos
802.11 las especificaciones y los estándares para las redes locales in-
alámbricas.
En el año 2000, el consorcio WECA (Wireless Ethernet Compatibility Alliance) o
alianza de compatibilidad de redes de área local inalámbricas, formado Wi-Fi Alliance
por un grupo de fabricantes de dispositivos de telecomunicaciones, creó
la certificación Wi-Fi, basada en el estándar IEEE 802.11b, que indica que
todos los dispositivos que poseen esta certificación pueden trabajar entre
sí sin problemas de compatibilidad.
Actualmente, WECA se conoce como Wi-Fi Alliance a la que pertenecen
más de 375 compañías y posee una certificación para cada estándar IEEE
802.11. http://www.wi-fi.org

1.2 > Estándares WLAN


Los estándares 802.11 permiten la implementación de redes WLAN en las
bandas de frecuencia de 2,4; 3,6 y 5 GHz y definen un conjunto de compo-
nentes físicos y lógicos, modos de operación y protocolos que abarcan la
capa física y la de acceso al medio:
– En la primera capa se definen, entre otros conceptos, las frecuencias
que se deben utilizar, la potencia de emisión, las velocidades de trans-
misión, etc.
– En la capa de acceso al medio se especifican la estructura de la trama, el
establecimiento de enlace, etc.
Una característica importante es que este estándar permite la compatibili-
dad con las redes de área local Ethernet (IEEE 802.3). De este modo se pue-
den tener redes locales mixtas.
Certificación Wi-Fi
A partir de su creación, en 1997, ha experimentado múltiples mejoras.
La mayoría de las actualizaciones son compatibles con las versiones an- El término Wi-Fi fue creado por la em-
teriores, siempre y cuando operen en la misma banda de frecuencias. presa de publicidad Interbrand, la cual
se inspiró en el concepto Hi-Fi, alta fi-
El único inconveniente que presenta esta retrocompatibilidad es que, si
delidad de audio.
dentro de un sistema existen diferentes estándares, la velocidad de
transferencia máxima de la red la fija siempre el dispositivo de menor
velocidad.
236

Las características de los principales estándares se detallan a continuación:

Estándares WLAN más utilizados


Estándar Año Frecuencia de trabajo Velocidad máxima Alcance en interior Alcance en exterior
802.11 legacy 1997 2,4 GHz 2 Mb/s 20 m 100 m
802.11a 1999 5,7 GHz 54 Mb/s 35 m 120 m
802.11b 1999 2,4 GHz 11 Mb/s 38 m 140 m
802.11g 2003 2,4 GHz 54 Mb/s 38 m 140 m
802.11n 2009 2,4 y 5,7 GHz Superior a 300 Mb/s 70 m 250 m

El estándar 802.11n, al trabajar en las dos bandas de frecuencia, es com-


patible con todos los estándares anteriores. En la actualidad, el 802.11g
puede operar a velocidades superiores gracias a nuevas técnicas de com-
presión; se le conoce como Pre-N y alcanza 108 Mb/s.
La especificación IEEE 802.11i se creó para mejorar la seguridad en los
protocolos de autenticación y de codificación de los estándares anteriores.
Incluye los protocolos TKIP (Temporal Key Integrity Protocol) o protocolo de
claves seguras temporales, y AES (Advanced Encryption Standard) o estándar
de cifrado avanzado. Se implementa en WPA2 o Wi-Fi Protected Access (acceso
Wi-Fi protegido).

9.1. Punto de acceso (AP). 1.3 > Componentes WLAN


Los dispositivos inalámbricos se pueden dividir en tres grupos:
– Distribución: puntos de acceso y equipos mixtos.
– Adaptadores de red inalámbrica o tarjetas de red: WNIC.
MIMO – Antenas.
MIMO (Multiple-input Multiple-output)
Punto de acceso (AP)
o múltiple entrada múltiple salida indica
que el dispositivo permite el uso de más Un punto de acceso (AP) es un dispositivo que puede actuar como punto
de una antena de transmisión o recep- central de una red inalámbrica independiente (figura 9.1). Tiene una di-
ción para aumentar la tasa de transfe- rección IP que permite configurarlo y su función principal es proveer a
rencia de información. los clientes de acceso a la red inalámbrica. Las funciones de enrutamiento
El estándar IEEE 802.11n permite, utili- y direccionamiento las suele delegar en servidores (routers).
zando esta tecnología, velocidades teó-
ricas de hasta 600 Mb/s. También permite conectar redes sin hilos y cableadas, realizando la función
de bridge o puente de red.
La capacidad de roaming o itinerancia que poseen los puntos de acceso
permite interconectarlos entre sí y ampliar el área de cobertura de la
Itinerancia o roaming WLAN. De esa manera, un usuario podrá moverse en la zona de cobertura
Es la capacidad de un dispositivo para sin notar pérdidas de calidad de la señal.
moverse de una zona de cobertura a
Una de sus principales limitaciones es que no puede administrar un nú-
otra.
mero muy elevado de conexiones de manera simultánea. Un punto de ac-
En una red inalámbrica, es la capacidad ceso estándar puede soportar alrededor de 30 conexiones en un radio má-
de un cliente para conectarse a dife-
ximo de unos 100 metros.
rentes AP. Para conseguirlo, las zonas
de cobertura de los AP deben tener una Los puntos de acceso trabajan con las direcciones físicas o MAC de los dis-
pequeña superposición. positivos.
Unidad 9 - Despliegue de redes inalámbricas 237

Equipos mixtos
Un equipo mixto es un dispositivo que centraliza las funciones del router,
el switch y el punto de acceso (figura 9.2).
Los equipos mixtos son adecuados para instalaciones domésticas o para
empresas SoHo (small office-home office) o pequeña oficina-oficina en casa,
ya que no se necesita una gran extensión geográfica ni un número elevado
de clientes. Puesto que disponen de un equipo que realiza todas las fun-
ciones, se abaratan los costes de instalación y mantenimiento.

Adaptadores de red inalámbrica o tarjetas de red (WNIC)


Estos adaptadores, dependiendo de su punto de interconexión con el dis-
positivo, pueden dividirse en los siguiente: 9.2. Equipo mixto inalámbrico.

– Adaptadores integrados: van incluidos en la placa del dispositivo. Los


ordenadores portátiles, las tabletas, las consolas y los smartphones suelen
ir equipados con un adaptador integrado.
– Tarjetas PCMCIA: permiten a los ordenadores portátiles que no posean
un adaptador integrado disponer de una interfaz Wi-Fi mediante la cone-
xión de una tarjeta externa a una puerto PCMCIA libre del ordenador.
– Tarjetas PCI: se conectan a un puerto PCI libre de un ordenador personal.
Poseen una antena externa que puede ser sustituida por una de mayor
potencia (figura 9.3).
– Adaptadores USB: son dispositivos inalámbricos externos al ordenador
que se conecta a un puerto USB libre (figura 9.4). Su instalación es muy
sencilla ya que el puerto USB es Plug&Play y, por lo tanto, el ordenador
normalmente lo detecta de manera automática. También pueden cam-
biarse de equipo de forma rápida para adecuar las necesidades inalám-
bricas de la red.

9.3. PCI inalámbrica IEEE 802.11n. 9.4. USB inalámbrico IEEE 802.11n.

Espira
Antenas
Una antena es un hilo de material conductor que permite emitir o recibir
ondas electromagnéticas.
Su funcionamiento se basa en el principio de inducción electromagnética,
según el cual toda corriente eléctrica alterna que circule por un conductor
inducirá un campo electromagnético asociado. A su vez, todo campo elec-
tromagnético que incide sobre un conductor inducirá una corriente eléctrica.
La dimensión de las antenas está directamente relacionada con la longitud 9.5. Campo electromagnético producido
por una espiral.
de onda de las frecuencias para las que han sido diseñadas.
238

Estos son algunos de los parámetros que caracterizan a las antenas:


– Diagrama de radiación: es la representación gráfica de la potencia de
radiación de la antena en función de su dirección. Dependiendo de su
diagrama de radiación podremos clasificar las antenas en diferentes
tipos:
• Isotrópica: es una antena teórica que emite la misma potencia de ra-
diación en todas las direcciones. Su diagrama de radiación es una es-
fera perfecta.
• Omnidireccional: es una antena que radia la misma cantidad de po-
tencia en todas las direcciones de un plano de emisión. Su diagrama
de radiación sería un toroide. Son las más utilizadas en las redes
WLAN, ya que cubren de manera uniforme toda la superficie en la
que se debe dar servicio inalámbrico.
• Direccional: es una antena que emite la máxima potencia en una di-
rección determinada. Suelen utilizarse para crear uniones punto a
punto o conectar zonas muy alejadas. Se subdividen en:
– Unidireccionales: emiten la potencia en un solo sentido.
– Bidireccionales: reparten la potencia en los dos sentidos de la di-
rección.
• Sectorial: es una antena que emite su máxima potencia en un sector
determinado. Suelen utilizarse en redes urbanas. Pueden cubrir sec-
tores de 120°, 60°, etc.
Si realizamos una sección en el diagrama de radiación siguiendo el
plano horizontal (XY), podremos comparar la potencia de radiación de
diferentes antenas.
– Ganancia: es el incremento de potencia de una antena en la dirección
de máxima radiación en relación con una antena modelo. Puede me-
dirse en dBi (decibelios respecto a una antena isotrópica) o dBd (deci-
belios respecto a un dipolo), dependiendo de la antena usada como
referencia. Un dipolo posee un diagrama de radiación omnidireccional.
Si el resultado es positivo, indica mayor potencia de radiación que el
modelo; si, por el contrario, el resultado es negativo, indica menor
potencia de radiación.
– Ancho de banda: son las bandas de frecuencia en las cuales trabaja la
antena de manera óptima.
– Eficiencia: es la relación entre la potencia emitida por la antena y la
que le es suministrada por el equipo transmisor. Cuanto mayor sea la
eficiencia menor será la cantidad de potencia que se perderá en forma
de calor.

Actividades propuestas

1·· Busca información de dos antenas sectoriales para el estándar IEEE 802.11g. Compáralas basándote en los
parámetros de ganancia y eficiencia del diagrama en el plano XY, e indica cuál comprarías para implementar
una red inalámbrica.
2·· Realiza la actividad anterior con dos antenas omnidireccionales.
Unidad 9 - Despliegue de redes inalámbricas 239

1.4 > Modos de operación


El estándar IEEE 802.11 define dos modos de operación: ad hoc e infraes-
tructura. Estos dos modos definen dos redes WLAN diferentes.
Cobertura de red ad hoc
Redes ad hoc
Una red ad hoc es una red inalámbrica descentralizada. En ella todos los
equipos están conectados sin necesidad de un nodo central que realice
las funciones de router. Este tipo de redes no necesita ni puntos de acceso
Equipo B
ni dispositivos mixtos; cada equipo actúa como punto de acceso y cliente
inalámbrico. Equipo A
Se crean cuando es necesario unir de forma ocasional dos o más equipos
permitiéndoles compartir recursos. Debido a su sencillez y rápida confi- Equipo C
guración también son adecuadas para situaciones de emergencia en las
cuales no podemos confiar en un nodo central, como desastres naturales,
conflictos bélicos, etc.
Equipo D

9.6. Red ad hoc.

En las redes ad hoc los equipos, para co-


municarse, deben estar dentro de la
zona de cobertura de cada equipo. En el
caso mostrado en la figura, los equipos
A, B y C se ven y están dentro de la zona
de cobertura, por lo que pueden inter-
cambiar servicios, pero el equipo D solo
puede comunicarse con C, ya que los
9.7. Red ad hoc. equipos A y B son inaccesibles para él.

Redes en infraestructura
Estas redes son aquellas en las cuales los dispositivos se conectan a la red
mediante puntos de acceso. Añadiendo AP adicionales se aumentará el al-
Roles de funcionamiento de un AP
cance de la red y el número de usuarios.
Recuerda, un AP puede trabajar dentro
Frente a las redes ad hoc, ofrecen una mejor escalabilidad, así como un sis- de una WLAN como:
tema de seguridad centralizado.
– Nodo central de la red.
– Puente o bridge entre dos redes.
– Repetidor para permitir la ampliación
de la zona de cobertura de la red.

9.8. Redes en infraestructura.


240

1.5 > Componentes lógicos


Algunos de los componentes lógicos que encontramos en una WLAN son:
– BSS (Basic Service Set) o conjunto básico de servicios: es el elemento
básico de construcción de una red LAN inalámbrica IEEE 802.11. En el
modo infraestructura, está compuesto por un único AP y las estaciones
asociadas, el resto de dispositivos inalámbricos y los servicios que com-
parten. No se debe confundir con el término BSA (Basic Service Area) o
área de servicio básico, que corresponde a la zona de cobertura del AP.
– IBSS (Independent Basic Service Set) o conjunto bá-
sico de servicios independiente: si la red está creada
siguiendo una estructura ad hoc, el BSS recibe este
nombre.
– BSSID (Basic Service Set Identificator) o identifica-
ción del conjunto de servicios básicos: cada BSS
se identifica con un único BSSID. Para redes en
modo infraestructura, el BSSID es la dirección MAC
del AP; para redes en modo ad hoc es un número
aleatorio.
– ESS (Extended Service Set) o conjunto de servicios
extendidos: es un conjunto de dos o más BSS que
permiten dar servicios comunes y comportarse como
Sistema de distribución una única WLAN. Los puntos de acceso o BSS se co-
nectan a través de un sistema de distribución o SD.
BSS
Este sistema puede ser o bien un cable o bien una
conexión inalámbrica.
– SSID (Service Set Identificator) o identificador del
ESS conjunto de servicios: es el nombre de la WLAN.
Está compuesto por 32 dígitos alfanuméricos, como
máximo, y lo utilizan los usuarios para identificarse
y conectarse a la red. En WLAN con más de un AP
BSS
(ESS) todos los puntos de acceso deberán tener el
mismo SSID. Recibirá el nombre de ESSID (Extended
9.9. Conjunto de servicios extendidos (ESS).
SSID) o SSID extendido.

1.6 > Seguridad


Uno de los principales problemas en las redes inalámbricas es la seguridad.
Al utilizar el medio radioeléctrico, cualquier usuario con un dispositivo
inalámbrico puede intentar escuchar las transmisiones e incluso conectarse
a la red. El estándar IEEE 802.11 y su actualización, el IEEE 802.11i,
intentan mejorar la autenticación y el cifrado de la información.

Autenticación
Es el proceso mediante el cual un cliente se identifica en la red a la que
desea acceder para que esta decida si autorizarle o denegarle la entrada.
La autenticación previene los accesos no deseados a la red, pero comporta
un problema, ya que necesitamos como mínimo enviar una solicitud y, si
esta no está cifrada, permite extraer información de red a un usuario no
autorizado.
Unidad 9 - Despliegue de redes inalámbricas 241

Los tipos de autenticación que fija el estándar IEEE 802.11 son:


– Sistema abierto u Open System: permite el acceso de todos los usuarios EAP
a la red inalámbrica, ya que no se comprueba su identidad.
Es el estándar que define la base a partir
– Clave compartida o PSK (Preshared Key): en este sistema solo los usuarios
de la cual se pueden desarrollar sistemas
que conozcan una clave previamente introducida en el punto de acceso de autenticación. En la actualidad exis-
podrán ser autorizados. ten unos 40 métodos de autenticación
– EAP (Extensible Authentication Protocol) o protocolo ampliable de au- EAP, entre los cuales destacan:
tentificación: permite la autenticación en los sistemas basados en el
– EAP-TLS
estándar IEEE 802.1X. Este último posibilita que todos los usuarios – EAP-TTLS
tengan claves de autenticación diferentes. IEEE 802.1X utiliza una es- – PEAP
tructura cliente-servidor y dispone de tres dispositivos básicos: – LEAP
• Suplicantes: dispositivos que desean acceder a la red.
• Servidores de autenticación: dispositivos que guardarán las creden-
ciales de los equipos que desean acceder a la red.
• Autenticadores: equipos a los que se conectan los clientes para au-
tenticarse; normalmente se trata de un AP. Actúan como puente entre RADIUS
el servidor y el cliente.
Remote authentication dial-in user ser-
– Filtros MAC: los puntos de acceso permiten crear una lista de direcciones ver o acceso telefónico de autenticación
MAC para permitir o denegar el acceso a determinados dispositivos. remota de usuarios en el servidor. Se uti-
Una vez que se ha realizado una primera autenticación, el AP busca la liza la misma palabra para definir tanto
dirección MAC del dispositivo y confirma o deniega el acceso depen- el protocolo de autenticación como el
diendo del resultado. servidor que realiza las funciones.

Cifrado
Como vimos en el epígrafe 1.4 de la Unidad 4, el cifrado consiste en aplicar
un algoritmo sobre un texto en claro de forma que se obtenga otro com-
puesto por letras y símbolos que solo el receptor pueda leer.
El estándar IEEE 802.11 utiliza claves simétricas que pueden ser:
– Estáticas: las claves simétricas y estáticas son aquellas que no cambian
de manera automática, lo que les hace más vulnerables a posibles Clonado de dirección MAC
ataques.
Cuando se realiza un filtrado por direc-
– Dinámicas: las claves simétricas y dinámicas son aquellas que van cam-
ción MAC, estas suelen enviarse sin co-
biando automáticamente. Así, el tiempo que la clave permanece activa dificar para realizar la comprobación.
es menor que el tiempo necesario para descifrarla:
Esto puede provocar que sean escucha-
• TKIP (Temporal Key Integrity Protocol) o protocolo de integridad temporal das y replicadas por usuarios maliciosos.
de clave: es un sistema de claves dinámico. Utiliza una clave temporal
de 128 bits, la dirección MAC del cliente y un vector de 16 octetos
para generar la clave de autenticación.
• AES (Advanced Encryption Standard) o estándar avanzado de encriptación:
es un sistema de claves dinámico basado en el cifrado por bloques.
Adaptado por el gobierno de los Estados Unidos, presenta una mayor
resistencia a los ataques.

Actividades propuestas

3·· Busca dos programas que permitan realizar auditorías de seguridad en redes Wi-Fi.
242

WEP
WEP (Wired Equivalent Privacy) o privacidad equivalente a cableado fue
el sistema de cifrado incluido en el estándar IEEE 802.11. Intentaba
Ataques al sistema WEP dotar a las WLAN de la misma seguridad que poseen las redes cableadas
El método de autenticación del sistema sin tener en cuenta la vulnerabilidad del medio de transmisión, ya que
abierto es más seguro que el de clave interceptar la información que circula a través de un cable es mucho
compartida. más difícil que interceptar la que circula a través del medio radioeléc-
Esto se debe a que cuando accedemos trico.
con clave compartida es posible desci-
Utiliza una clave simétrica y estática que poseen todos los puntos de acceso
frar la contraseña mediante la intercep-
ción de los primeros cuatro paquetes de
y los clientes de la red. La clave es compartida, ya que se utiliza la misma
cada una de las fases de autenticación. para autenticar y para cifrar la información.
Es mejor utilizar el cifrado WEP una vez Codifica la información que transmite utilizando el protocolo RC4, un sis-
hayamos establecido la conexión. tema muy simple de encriptación. La fuerza de la clave ante los ataques se
basa en su longitud. Puede ser de 40, 104 o 232 bits. Todas las claves inclu-
yen 24 bits adicionales aleatorios para dotar de mayor rigidez a la contra-
seña. A estos bits se les conoce como vector de inicialización.
WEP soporta los métodos de autenticación de sistema abierto y clave com-
partida.
El sistema WEP presenta una baja resistencia a los ataques informáticos,
que son sencillos de realizar mediante el uso de determinado software
que permanece a la escucha para conseguir la clave de acceso. Esto se
debe a que los vectores de inicialización se envían sin cifrar en las cone-
xiones iniciales y el sistema WEP genera mucho tráfico, dando más opor-
tunidades de descifrar la clave. Además, existen métodos de ataque que
permiten incrementar ese tráfico.
En la actualidad no se recomienda el uso de WEP para proteger una red
inalámbrica. Sin embargo, debido a su fácil configuración y su compatibi-
lidad con los dispositivos, es el más utilizado.
Para solucionar estos problemas se creó el sistema WPA y posteriormente
el estándar IEEE 802.11i, que fijaría el sistema WPA2.

WPA
WPA (Wi-Fi Protected Access) o acceso Wi-Fi protegido es un sistema creado
para solucionar los problemas del sistema WEP. Fue diseñado por la Wi-Fi
MIC Alliance como paso intermedio para la creación del estándar IEEE 802.11i.
Message Integrity Code o código de in- En un principio, la idea era que fuera compatible con todos los dispositivos
tegración del mensaje es el sistema que inalámbricos que soportaban WEP mediante una actualización de su firm-
utiliza WPA para verificar sus mensajes. ware, pero algunos dispositivos no pueden implementarlo.
Se conoce también como Michael.
El sistema WPA fue creado para utilizarse con un servidor de autenticación
que cumpla el estándar IEEE 802.1X/EAP, normalmente RADIUS, y para
funcionar mediante claves diferentes para cada usuario.
Admite también la validación mediante clave compartida, PSK. Este
modo de autenticación es adecuado para entornos domésticos y pequeñas
redes. Además mejora la seguridad respecto al sistema WEP, ya que in-
corpora el cifrado dinámico TKI, además de un sistema de verificación
de mensajes.
Unidad 9 - Despliegue de redes inalámbricas 243

WPA2
WPA2 (Wi-Fi Protected Access Two) o acceso Wi-Fi protegido dos fue creado
para corregir los problemas de seguridad del WPA. Está fijado en el estándar
IEEE 802.11i. Mejora los sistemas de protección del WPA incorporando el
cifrado AES al modo de acceso de clave compartida.
Wi-Fi Alliance divide los sistemas WPA de la siguiente forma:
– Modo personal: los que utilizan clave compartida.
– Modo empresarial: los que utilizan servidores de autenticación.
Se puede ver un resumen de los dos sistemas en la siguiente tabla:

Sistema WPA WPA WPA2


Autenticación PSK PSK
Modo personal
Cifrado TKIP AES
Autenticación 802.1X/EAP 802.1X/EAP
Modo empresarial
Cifrado TKIP AES

Ataques sobre los sistemas inalámbricos


Entre otros, existen dos tipos básicos de ataques contra contraseñas:
– Ataque de diccionario: consiste en intentar averiguar una contraseña
probando todas las palabras de una lista, como puede ser un diccionario.
Conociendo alguno de los parámetros que intervienen en la generación
de la clave se reduce el tiempo de proceso. Por ejemplo, en el sistema de
cifrado AES sobre redes inalámbricas, se incorpora la SSID para generar
la contraseña. Si se hace visible el nombre del punto de acceso se estarán
facilitando los ataques por diccionario. Si se oculta el nombre del AP,
solo podrán acceder a la red aquellos usuarios que lo conozcan por ade-
lantado, aunque existen programas que permiten averiguarlo.
– Ataque de fuerza bruta: consiste en probar todas las combinaciones
posibles hasta encontrar la que permite el acceso. Es menos eficiente
que el ataque por diccionario. Para provocar que sea tan costoso en
tiempo que no merezca la pena intentarlo, se deberá aumentar la forta-
leza de la contraseña. Utilizaremos para ello el máximo número de ca-
racteres permitidos por el sistema de acceso para la contraseña, así
como los diferentes tipos de caracteres posibles: mayúsculas, minúsculas,
números y símbolos. También es recomendable que los caracteres se
dispongan aleatoriamente sin formar palabras reales.
En un ataque normalmente se combinan los dos tipos.
Para realizar ataques a WLAN basadas en cifrado WEP, normalmente se
utilizan packet sniffers o analizadores de paquetes. Con ellos se capturan pa- Handshake
quetes y se envían a un software matemático especialista en descifrar con-
Cada vez que un cliente se conecta a
traseñas. Cuanto más larga sea la contraseña, más paquetes se necesitarán.
una red que utiliza un cifrado WPA, envía
Para atacar redes basadas en cifrado WPA se intenta desconectar al cliente, un paquete-saludo o handshake al AP.
capturar el handshake o saludo y descifrarlo mediante un ataque de tipo Este paquete-saludo contiene la contra-
diccionario. seña encriptada.
244

2 >> Acceso a redes inalámbricas en sistemas


GNU/Linux
En esta ocasión la tarea que se debe desempeñar es la configuración de los
adaptadores de red inalámbricos de los tres ordenadores portátiles que
acabáis de vender a ServPubli.
La empresa ya dispone de la infraestructura inalámbrica necesaria para la
conexión de clientes, así que solo será necesario configurar los portátiles.

2.1 > Configuración del cliente


Sigue estos pasos para configurar la tarjeta de red inalámbrica:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
2. Haz clic sobre el icono de red para desplegar el menú y selecciona la
Datos de acceso red inalámbrica SPwifi.
Usuario: admincliente 3. Se abre un cuadro de diálogo en el que se debe escribir la contraseña
Contraseña: Cli3nt@ que protege la red inalámbrica elegida, Pu8Li(iD@D.
4. Haz clic en el botón Conectar. La ventana se cerrará y después de unos
segundos, si la contraseña es correcta, se establecerá la conexión.

Recuerda
El sistema almacena la contraseña que
has introducido al acceder a la red in-
alámbrica, por lo que la conexión se po-
drá realizar automáticamente cuando la
red vuelva a ser detectada.

9.10. Conexión a una red inalámbrica.

2.2 > Comprobación del servicio


Sigue estos pasos para comprobar la conexión:
1. Arranca de nuevo el cliente y abre una sesión con
admincliente.
2. El menú de red indica la intensidad de la señal de
la red inalámbrica. Compruébala.
3. Haz clic sobre este menú y selecciona la opción In-
formación de la conexión.
4. Comprueba que se está usando la interfaz inalám-
brica, normalmente wlan0.
5. Asegúrate de que la configuración de red sea
correcta.
6. Abre el navegador y comprueba que puedes acceder
a Internet, por ejemplo, visitando la página web
9.11. Información de la conexión.
http://es.gnu.org.
Unidad 9 - Despliegue de redes inalámbricas 245

3 >> Acceso a redes inalámbricas en sistemas


Windows
Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la octava tarea que debéis realizar es el despliegue de una red inalámbrica.
Para saber más
Los trabajadores de la empresa necesitan acceder a los servicios de la red
Puedes obtener soporte técnico de redes
local con sus portátiles y el modo más cómodo y rápido es mediante cone-
inalámbricas en el URL:
xiones inalámbricas. Además, esta es la única forma de acceso a la red
para otro tipo de dispositivos, como por ejemplo, smartphones.
Para resolver esta situación, los equipos informáticos de los empleados
podrán unirse a la red de área local de manera inalámbrica, bien sea con
el uso de diversos adaptadores, como tarjetas PCI o llaves USB, bien con
portátiles que incorporen tarjetas Wi-Fi, o bien con smartphones.
Windows 7 facilita las herramientas necesarias para que un usuario pueda http://xurl.es/ri_ms
conectarse a una red inalámbrica IEEE 802.11.

3.1 > Configuración del cliente


Sigue estos pasos para conectar un ordenador a la red inalámbrica:
1. Haz clic sobre el icono de red, situado en el área de notificación.
2. En la lista de redes inalámbricas disponibles, pincha el SSID CROwifi,
que es la red inalámbrica de la empresa ConRecuerdos.org.
3. Haz clic en Conectar.
4. Se abre el cuadro de diálogo Conectarse a una red, en el que debes escribir
la clave de seguridad de la red inalámbrica de nombre CROwifi, es decir,
SinHil@s. Por motivos de seguridad, no olvides seleccionar la opción
Ocultar caracteres antes de escribir la clave.
5. Haz clic en Aceptar.

9.12. Conexión de un equipo a la red inalámbrica de ConRecuerdos.org.

6. Elige Red de trabajo en la ventana Establecer ubicación de red.

3.2 > Comprobación del servicio


Sigue estos pasos para comprobar la conexión inalámbrica:
1. Haz clic sobre el icono de red.
2. Observa si el estado de la conexión de la red inalámbrica seleccionada
9.13. Comprobación de la conexión de red.
es Conectado. Si es así, la conexión inalámbrica es correcta.
246

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Qué tres funciones puede asumir un AP en una red inalámbrica?
2·· ¿Qué es una WNIC? ¿Para qué se utiliza?
3·· ¿Cuál es la diferencia entre una antena bidireccional y una antena unidireccional?
4·· Explica mediante un gráfico qué es una red en modo ad hoc.
5·· ¿Qué ventajas ofrece el modo infraestructura respecto al modo ad hoc?
6·· ¿Qué indica la sigla BSS? ¿Y BSA?
7·· ¿Qué claves simétricas dinámicas utiliza normalmente el estándar IEEE 802.11i?
8·· ¿Qué permite el protocolo EAP?
9·· Completa la siguiente tabla en tu cuaderno:

Frecuencia de Velocidad Alcance Alcance


Estándar Año
trabajo (GHz) máxima (Mbps) en interior (m) en exterior (m)
802.11b

802.11g

802.11n

10·· ¿Cuáles son los dos ataques básicos contra las contraseñas de sistema?
.: APLICACIÓN :.
1·· La dirección de ServPubli os ha pedido que les facilitéis un pequeño tutorial con imágenes en el que se describa, es-
cueta y brevemente, el proceso que deberían seguir sus trabajadores si tuvieran que conectarse a las redes inalámbricas
de los clientes que visitan. Realiza este manual, que debe contener, al menos, una portada que incluya el nombre de la
empresa y el autor del tutorial, un índice, información sobre el sistema para el que está escrito y los pasos que se deben
seguir desde un sistema GNU/Linux, acompañados de las correspondientes imágenes que clarifiquen las instrucciones.
2·· Habéis pensado que, aunque ConRecuerdos.org no lo haya solicitado, también vais a crear y a entregarles gratui-
tamente un manual de conexión a redes inalámbricas desde un sistema Windows. Diseña y escribe este documento
con el mismo contenido que el tutorial facilitado a ServPubli en la actividad anterior, pero esta vez para Windows.
3·· Busca en Internet adaptadores de red inalámbricos que se conecten al ordenador usando distintos medios, por
ejemplo USB, PCI, PCMCIA… Una vez obtenida esta información, crea un informe con las imágenes y características
generales de estos adaptadores.
4·· La elección de una contraseña no es una tarea que deba tomarse a la ligera; es recomendable comprobar su fia-
bilidad por medio de alguna herramienta online o instalada en nuestro equipo. Utiliza un buscador para encontrar
algún sitio web que ofrezca un medidor de contraseñas online, comprueba algunas contraseñas y analiza la información
aportada. Si prefieres no usar contraseñas reales puedes introducir variantes, ya que obtendrás resultados similares.
5·· Otra posibilidad para asegurarnos de la idoneidad de una contraseña es usar un programa generador de claves,
en este caso WPA o WEP. Busca en Internet un sitio web que ofrezca este servicio y genera distintas claves cambiando
parámetros como el sistema de cifrado, la longitud de la clave o el tipo de caracteres que contiene. Si no encuentras
ningún generador, usa la cadena Generador de claves WPA en tu buscador web.
6·· Comprueba la fiabilidad de las claves obtenidas en la actividad anterior con el comprobador de fortaleza de las
claves que hayas usado en la actividad de aplicación número 4.
Unidad 9 - Despliegue de redes inalámbricas 247

Caso final 1

Servicio inalámbrico en redes pequeñas


·· La academia AulaEasy ha firmado un contrato para formar a los empleados de una empresa. Para hacer fren-
te al incremento de alumnos debe habilitar un aula nueva. Dado que es un contrato puntual, no quiere asumir
los costes del cableado de la infraestructura, así que os pide que le ofrezcáis alternativas a menor coste.

Solución ·· AulaEasy posee un router SOHO con capacidad inalámbrica, por lo que le propones desplegar
una red Wi-Fi. Para ello, debes configurar el servicio sin cables junto con los mecanismos de seguridad ade-
cuados para preservar la confidencialidad, integridad y autenticidad de las comunicaciones, lo que consistirá
en establecer contraseña de acceso, cifrado de los datos, filtrado por direcciones MAC y restricción por
tiempo.

Acceso a la administración del router


Para empezar, conecta el equipo a uno de los puertos LAN del router mediante un cable directo. En primer
lugar y como paso previo a la configuración del router, necesitarás autenticarte. Para tal fin, sigue estas indi-
caciones:
1. Desde un navegador web, escribe la dirección http://192.168.100.1.
2. Introduce el usuario y la contraseña en la ventana de acceso al router y pulsa la tecla <Intro>.

Configuración básica
Para determinar el nombre de la red Wi-Fi y el modo de funciona-
miento, lleva a cabo estos pasos:
1. Abre la pestaña Inalámbrico y, dentro de ella, la pestaña Config
Básica.
2. Rellena el formulario con los datos que aparecen en la figura
9.14. El router se comportará como un punto de acceso (AP).
El identificador de la red Wi-Fi (SSID) de la empresa AulaEasy
será AE-wifi.
3. Haz clic en el botón Grabar Config. y, a continuación, pincha el
botón Aplicar. 9.14. Configuración básica de la red inalámbrica.

Seguridad inalámbrica
En esta sección vas a elegir el algoritmo de seguridad que protegerá la red Wi-Fi mediante el acceso autenticado
y el cifrado de las comunicaciones. Para configurarlo sigue estos pasos (figura 9.15):
1. Abre la pestaña Inalámbrico y, dentro de ella, la pestaña Segu-
ridad Inalámbrica.
2. Despliega la lista Modo de Seguridad y selecciona WPA2 Personal.
3. Elige TKIP+AES en la lista Algoritmos WPA.
4. Ahora, introduce una contraseña que tenga entre 8 y 63 carac-
teres de longitud. Anótala para que no se te olvide y guárdala
en un lugar seguro.
5. Haz clic en el botón Grabar Config. y, a continuación, pincha el
9.15. Seguridad Wi-Fi.
botón Aplicar.
248

Filtrado MAC
Para aumentar las medidas de seguridad, vas a permitir que
se conecten a la red inalámbrica únicamente aquellos equipos
que sean conocidos, es decir, que hayan sido dados de alta
en el router. Esto se lleva a cabo a través del registro de las
direcciones físicas o direcciones MAC de las tarjetas de red
inalámbricas. Para realizar el filtrado MAC, sigue las indica-
ciones:
1. Abre la pestaña Inalámbrico y, dentro de ella, la pestaña
Filtro MAC.
2. Haz clic sobre el botón de opción Activar.
3. Marca la opción Permitir que entren en la red inalámbrica 9.16. Activar filtrado MAC.
los PCs listados.
4. Pincha el botón Editar Lista Filtrado MAC.
El navegador abrirá una nueva ventana denominada Listado de Filtros de Direcciones MAC. En ella se muestran
dos tablas donde se pueden especificar hasta 256 direcciones MAC que se corresponderán con las direcciones
físicas de los dispositivos a los que se permitirá el acceso a la red inalámbrica (figura 9.17).
En este punto se puede elegir la forma de dar de alta las direcciones físicas de los dispositivos a los que se per-
mitirá el acceso. Existen dos posibilidades:
– Introducir por teclado la dirección MAC
de los equipos en una casilla numerada
de la tabla.
– Añadir todos y cada uno de los disposi-
tivos que se encuentren conectados a
la red inalámbrica.
Introducir por teclado la dirección MAC
requiere el escribirla en el formato
xx:xx:xx:xx:xx:xx, donde cada letra x se
corresponde con una cifra hexadecimal.
Este método resulta engorroso y pro-
9.17. Ventana Listado de Filtros de Direcciones MAC.
penso a cometer errores.

9.18. Lista de dos direcciones MAC a las que se les permitirá el acceso.
Unidad 9 - Despliegue de redes inalámbricas 249

Por lo tanto decides añadir las direcciones de los clientes conectados a la red el primer día de formación, por
ser este un método más rápido, robusto y ágil. Para ello debes realizar las siguientes acciones:
1. Conecta todos los equipos del aula a la red AE-wifi.
2. Haz clic sobre el botón Lista Clientes MAC Wi-Fi.
3. Aparecerá la ventana Listado MACs de Clientes Inalámbricos Activos, en la que se detalla el nombre de
cada equipo, junto a su dirección IP y su dirección MAC.
4. Activa la casilla de verificación que está bajo el campo Enable MAC Filter para cada uno de los equipos que
se vayan a añadir a la lista, tal y como se muestra en la figura 9.19.

9.19. Ventana Listado MACs de Clientes Inalámbricos Activos.

5. Graba la configuración, aplica los cambios y cierra todas las ventanas.


6. Finalmente, comprueba la conexión a la red inalámbrica con un equipo cuya dirección MAC hayas dado de
alta y otro cuya dirección MAC no haya sido registrada.

Restricción por tiempo


Además de las anteriores formas de seguridad, puedes activar la restricción por tiempo de la emisión de ondas
de radio inalámbricas, de modo que establezcas ciertos períodos en los que la red sin cables quedará
inhabilitada. Para configurar esta opción, sigue las indicaciones:
1. Abre la pestaña Inalámbrico y, dentro de ella, la pestaña Configuración Avanzada.
2. Desplaza la página hasta la sección Radio Time Restrictions.
3. Haz clic sobre el botón de opción Activar. Las franjas horarias en las que la red permanecerá activa están
indicadas en color verde, mientras que las restringidas se muestran en color rojo.
4. Para impedir el acceso a la red Wi-Fi de la academia durante los períodos no lectivos, haz clic sobre las
marcas horarias que estén fuera de su horario comercial, tal y como se indica en la figura 9.20.

9.20. Horario de acceso restringido a la red Wi-Fi.

5. Guarda la configuración, aplica los cambios y cierra todas las ventanas.


6. Finalmente comprueba la conexión a la red inalámbrica en horario de acceso permitido y en horario de
acceso restringido.
250

Ideas clave

ESTÁNDAR
IEEE 802.11

Implementa Implementa

Autenticación

Open System

Proporciona Solicita acceso


PSK

EAP

Servidor Cliente

Utiliza Utiliza

Cifrado

WEP

WPA

WPA2
Unidad 9 - Despliegue de redes inalámbricas REVISTA DE INFORMÁTICA

Los diferentes tipos de conexión


Según la configuración que haya establecido el administrador de red
del host que estés usando, la información transmitida entre tu equipo
y el servidor puede viajar de forma más o menos transparente
Canal abierto con datos en claro
Cualquier persona puede acceder a la red para capturar paquetes y, al no estar cifrados, podrá leerlos sin
más.
Ejemplo: la mayoría de hotspots ofrecidos por instituciones públicas. La autenticación en formularios php
mal programados, bajo protocolo HTTP, enviaría las credenciales de usuario en el parámetro Post o Get en un
formato tal como login.php?usuario=admin&password1234.
A FAVOR: Es muy fácil de configurar. EN CONTRA: La información viaja en abierto.
Cualquier usuario puede acceder a la red.

Canal abierto con cifrado HTTPS/SSL


Cualquier persona puede acceder a la red para capturar paquetes, pero estos, puesto que están cifrados, no son
accesibles ni legibles.
Ejemplo: conexiones seguras a bancos o a cuentas de correo en hoteles o cafeterías. Esta vez, no obstante,
la autenticación corre bajo HTTPS, por lo que no podrían leerse los paquetes. En Facebook o Gmail, la autenti-
cación sigue siendo estándar.
A FAVOR: La información viaja cifrada. EN CONTRA: Cualquiera puede usar la red.
No todos los servicios web ofrecen la posibilidad de usar HTTPS.
Canal cifrado con datos en claro
Los datos pueden ser capturados y ser visibles para los miembros de la red, pero para conectarse a ella han de
hacerse con la clave de acceso.
Ejemplo: redes con cifrado WEP o WPA/WPA2-Personal, normalmente en cafeterías u hoteles. Si un
miembro de la red decide capturar paquetes, podrá ver toda la información, pues los datos en sí no han sido
cifrados.
A FAVOR: Para acceder a una red se necesita una con-
EN CONTRA: Los miembros de la red siguen siendo capaces de ver los paquetes.
traseña.
Canal cifrado con datos cifrados
Es la opción más segura. El canal de datos está cifrado para todos los usuarios que no dispongan de la clave de
red y, además, los datos viajan con un cifrado HTTPS o SSL adicional, lo que hace que estos paquetes no sean le-
gibles para los usuarios que tengan acceso a la red.
Ejemplo: redes con cifrado WEP o WPA2-Personal, normalmente en cafeterías u hoteles. En este caso, los
paquetes capturados no podrán ser descifrados.
A FAVOR: Para acceder a una red se necesita una contra-
EN CONTRA: No todos los servicios web ofrecen la posibilidad de usar HTTPS.
seña. Los paquetes viajan cifrados.
Canal basado en VPN
Las redes privadas virtuales ofrecen protección de todo el túnel de datos entre clientes y servidor. Es una
opción más avanzada, pero sus beneficios de seguridad lo merecen.
Ejemplo: las redes de grandes empresas suelen estar interconectadas a través de túneles VPN. Por
otro lado, también las emplean los usuarios que desean acceder a su PC doméstico desde el trabajo o vice-
versa.
A FAVOR: Todo el túnel de datos viaja bajo cifrado seguro, EN CONTRA: Requiere una infraestructura de software o hardware más compleja que una conexión con-
haciendo la información impenetrable. vencional.

Fuente: Computer Hoy, n.º 340


10
u n i d a d

Interconexión
de redes
privadas con
redes públicas
SUMARIO
I Las diferentes tecnologías de interconexión
de redes privadas con redes públicas
I El enrutamiento IP
I El acceso a redes públicas en sistemas
GNU/Linux
I El acceso a redes públicas en sistemas
Windows

OBJETIVOS
·· Determinar las ventajas de cada una de las
tecnologías de interconexión de redes.
·· Mostrar la estructura básica de su
funcionamiento.
·· Instalar y configurar un router.
·· Establecer los mecanismos de
comprobación necesarios para asegurar el
correcto funcionamiento del router.
·· Aplicar todas estas operaciones tanto en
sistemas GNU/Linux como en sistemas
Windows.
Unidad 10 - Interconexión de redes privadas con redes públicas 253

1 >> Tecnologías de interconexión


1.1 > ¿Qué son las tecnologías de interconexión?
Según su titularidad existen dos tipos de redes IP: LAN e Internet. Las Direcciones IP reservadas
redes LAN se conocen como redes privadas porque suelen emplear direc- para su uso en redes
ciones IP privadas y la red Internet se entiende como red pública porque privadas
normalmente emplea direcciones IP públicas. La diferencia entre ellas es
que una dirección IP privada, en general, no puede emplearse en Internet, Clase Rango
mientras que una dirección IP pública solo puede utilizarse en redes LAN
que no tengan acceso directo a Internet.
10.0.0.0 -
Así, los medios físicos y programas que hacen posible el tráfico de mensajes A
10.255.255.255
electrónicos entre los distintos tipos de redes se conocen como tecnologías
de interconexión. 172.16.0.0 -
B
172.31.255.255
1.2 > Tecnologías de banda ancha
Una red de telecomunicaciones puede dividirse, fundamentalmente, en 192.168.0.0 -
C
dos partes: 192.168.255.255

– El sistema de transporte formado por la red troncal de transporte y la


red de distribución.
– La red de acceso o bucle de abonado, que es la parte de la red que co- Vocabulario
necta el domicilio del usuario con el primer nodo de la red de comuni-
cación. Banda ancha: comercialmente, se en-
tiende como el acceso a Internet a alta
A continuación se presentan las tecnologías de acceso más utilizadas. velocidad.

Ancho de banda digital: indica la


Línea de abonado digital (DSL)
máxima cantidad de datos que se logra
DSL (digital subscriber line) es la tecnología que hace uso de la línea de transmitir en una unidad de tiempo. Se
teléfono o par de cobre presente en la mayoría de hogares y empresas mide en bits por segundo (b/s).
para transmitir información digital a alta velocidad.
De las tecnologías DSL, la más empleada es la ADSL o DSL asimétrica. La
ADSL divide el ancho de banda no usado por el servicio telefónico básico
en dos canales de datos de alta velocidad distribuidos desigualmente,
uno para la subida a la red y otro, con mayor ancho de banda, para la ba-
jada de datos.
Esta tecnología se caracteriza por el
uso individual del cable que une al
Servicio de teléfono
abonado con la central telefónica Canal de voz
del proveedor del servicio. A partir
Canales de datos
de una longitud de 1,5 km, se per-
derá ancho de banda al aumentar
Subida desde el Descarga desde
la distancia hasta su límite máximo, usuario a la red la red al usuario
que es de 5,5 km.
La velocidad media de la tecnolo- 4 Khz 276 Khz 2,2 Mhz
gía ADSL más avanzada hasta Hasta 3,5 Mbps Hasta 24 Mbps
ahora es de 24 Mbps de bajada por
3,5 Mbps de subida en el estándar
10.1. Banda de frecuencias y ancho de banda en el estándar ADSL2+ M.
ADSL2+ M.
254

Redes híbridas de fibra y coaxial (HFC)


HFC (Hybrid Fibre-Coaxial) es la tecnología que utiliza fibra óptica hasta los
nodos próximos al abonado y cable coaxial hasta su domicilio.
Tipos de conexión
Esta tecnología fue desarrollada para transmitir vídeo en una única direc-
Con la tecnología DSL, el usuario se
ción, pero pronto fue adaptada para ofrecer otro tipo de servicios, como
conecta directamente a través de un
único cable a la central telefónica. A
Internet. Los abonados de un área pequeña comparten el mismo cable
esta conexión se la conoce como punto para enviar y recibir datos, por lo que el ancho de banda que puede utilizar
a punto. cada uno está sujeto al uso que hagan sus vecinos. La ventaja del cable,
Por otro lado, HFC emplea un cable com-
como comúnmente se conoce a esta tecnología, es que forma redes muy
partido para varios usuarios hasta el fiables, seguras y robustas, dada su alta resistencia a interferencias. Sin
nodo del proveedor. A esta conexión se embargo, el cable está limitado por la fuerte inversión inicial que supone
la conoce como multipunto. en obra civil e infraestructura, la baja rentabilidad en zonas remotas o
con poca población y la incorporación de nuevos usuarios en zonas satu-
radas. A su vez, entre el domicilio del usuario y el nodo que le da acceso
no debe haber más de 500 metros sin que haya pérdida de señal. Actual-
mente permite transmisiones que llegan hasta los 100 Mbps de bajada y
los 10 Mbps de subida.

Sistema universal de telecomunicaciones móviles (UMTS)


UMTS (Universal Mobile Telecommunications System) es la tercera generación
de tecnología móvil basada en GSM, también conocida como 3GSM o,
GSM simplemente, 3G. Su principal característica es que incorpora la banda
El GSM (Global System for Mobile Com- ancha móvil, es decir, permite acceder a Internet a alta velocidad con un
munications) o sistema global para las límite máximo de 2 Mbps. Esta técnica se basa en el envío de paquetes,
comunicaciones móviles, fue desarro- lo que permite aplicar tarifas por el servicio de datos sobre la cantidad
llado en Europa y es conocido como la de información transmitida y no en función del tiempo de conexión,
segunda generación de telefonía móvil
que es permanente.
o 2G. Su importancia se debe a que uni-
ficó las diversas tecnologías y protocolos Los terminales que permiten la conexión a este tipo de redes van dirigidos
empleados en diversos países y permitió a la telefonía móvil y, principalmente, se clasifican del siguiente modo:
el envío de voz y de datos a 9,6 Kbps
sobre una red móvil analógica. El primer
– Adaptador USB 3G: incorpora una tarjeta SIM del proveedor del servicio
SMS (Short Message Service) fue enviado que se conecta a un portátil. Evita así la dependencia del acceso a una
en 1992 a través de GSM. red cableada y también a una red WiFi.
– Adaptador 3G integrado: se encuentra incluido en la circuitería de
portátiles y de tabletas, principalmente.
– Teléfonos móviles: deben incluir un módem 3G que permita conectarse
a este tipo de red. Son el origen de los smartphones.
Comunicación vía satélite
Es una tecnología que puede emplear Acceso de paquetes a alta velocidad (HSPA)
satélites o, conjuntamente, el satélite HSPA (High Speed Packet Access) es la evolución de UMTS. Este avance se
y el teléfono. Es adecuada en zonas ru-
compone a su vez de dos tecnologías: HSDPA y HSUPA. Cada una de ellas
rales donde otras no tienen cobertura.
crea un nuevo canal de transmisión. Primero se desarrolló la tecnología
Si se emplea junto al teléfono, consiste
HSDPA, que creó un canal compartido para mejorar la bajada de datos
en enviar una petición a través de un
módem tradicional hasta el proveedor
que alcanza picos de hasta 14 Mbps. En segundo lugar se diseñó e implantó
de servicios y recibir la respuesta me- la tecnología HSUPA, que añade un nuevo canal al anterior dedicado a
diante una antena parabólica que reciba aumentar la velocidad de subida, que puede llegar a ser de hasta 7 Mbps.
la señal del satélite. La velocidad de En sucesivas mejoras estos estándares han sido diseñados para alcanzar
bajada ronda los 400 Kbps. velocidades teóricas de hasta 337,5 Mbps de bajada y 23 Mbps de subida.
Unidad 10 - Interconexión de redes privadas con redes públicas 255

1.3 > Enrutamiento IP


Un enrutador o router (en inglés) es un dispositivo que interconecta dos o
más redes. Cuando recibe un paquete toma la decisión de por cuál de ellas
Cortafuegos
puede volver a enviarlo para que llegue a otra red o a otro router. Si entre
el emisor y el receptor hay varios routers, cada uno de ellos elegirá la ruta Los cortafuegos son programas o dispo-
por la que pasará el mensaje para ser reenviado al siguiente. A este proceso sitivos hardware capaces de filtrar los
se le llama enrutamiento. mensajes que se envían entre distintas
redes para evitar accesos no autoriza-
Traducción de direcciones de red (NAT) dos. Se suelen localizar en los routers.

La técnica que permite realizar la traducción entre direcciones públicas y


privadas en IPv4 se llama NAT (Network Address Traslation) o traducción de
direcciones de red. De los múltiples modos de funcionamiento NAT, vamos
a estudiar el enmascaramiento de IP o sobrecarga NAT y el reenvío de Red pública
Internet
puertos o NAT destino (DNAT).

Enmascaramiento de IP o sobrecarga NAT


El enmascaramiento de IP permite compartir una única conexión a Internet IP pública
84.127.195.60
del router
entre varios equipos. Para ello, el router se encarga de sustituir la dirección
IP privada de origen en las cabeceras de los paquetes TCP o UDP salientes
por la dirección IP pública que se comparte. Red privada
192.168.100.1

Entonces, para poder devolver la respuesta del destinatario, el router crea


una tabla de traducción de direcciones, donde asigna la dirección IP privada pc01 pc03
y el puerto de origen a la dirección IP pública y a un puerto no utilizado
del propio router, que son reescritos en el paquete TCP. De esta forma,
192.168.100.200 192.168.100.229
cuando llega el paquete de vuelta, se deshacen los cambios realizados en
el mensaje y se transmiten al emisor.
pc02
Tabla de traducción de direcciones del router de la figura 10.2 192.168.100.201
Direcciones IP privadas
Equipo Dirección IP Puerto Dirección IP Puerto NAT
origen del PC origen origen NAT del router del router
10.2. Ejemplo de enmascaramiento de IP
pc01 192.168.100.200 58012 84.127.195.60 49001 o sobrecarga NAT.

pc02 192.168.100.201 57251 84.127.195.60 49002


pc03 192.168.100.229 59875 84.127.195.60 49003

Reenvío de puertos o NAT destino (DNAT)


Las organizaciones ofrecen servicios desde servidores situados en su red in-
Ejemplo de puertos públicos
terna o privada y, además, desean publicarlos en una dirección IP accesible
asignados a servicios
desde Internet. En ese caso, es necesario configurar el reenvío de puertos en privados en el router
el router. Así, cuando llegue un paquete con un puerto destino incluido en
el reenvío de puertos (del router), se reenviará a su correspondiente servicio. Pto. Servicio
Por ejemplo, una empresa dispone de tres servidores en su red privada. El 11011 10.0.0.1:80 - (web)
primer servidor ofrece dos servicios, uno web (pto. 80) y otro FTP (pto. 21). 11012 10.0.0.1:21 - (FTP)
Los otros dos ofrecen servicio de control remoto vía SSH (pto. 443). Entonces
se configura el router para que las peticiones a cuatro puertos determinados, 11013 10.0.0.2:443 - (SSH)
por ejemplo 11011, 11012, 11013 y 11014, sean reenviadas por él a los ser- 11014 10.0.0.3:443 - (SSH)
vidores y puertos de la red interna, como se aprecia en la tabla.
256

2 >> Acceso a redes públicas en sistemas


GNU/Linux
En esta ocasión, la empresa os pide que uno de los equipos tenga acceso a
Internet sin restricciones. El empleado que usa este equipo se dedica a
Para saber más probar servicios y aplicaciones nuevas y, aunque puede acceder a Internet
Web del proyecto Iptables de netfilter.org: a través del proxy, muchas veces no es suficiente.
Para realizar esta tarea será necesario que el servidor actúe como router y
cortafuegos al mismo tiempo. Los servidores GNU/Linux son capaces de
enrutar los paquetes de otros equipos de la red sin necesidad de programas
adicionales. Además, incorporan la aplicación iptables, que, entre otras
cosas, permite implementar un potente cortafuegos.

http://xurl.es/iptables 2.1 > Configuración del servidor


Configuración del enrutamiento
Vas a permitir que tu servidor retransmita paquetes enviados por otros
equipos entre las distintas redes a las que tiene acceso. Sigue estos pasos:
Datos de acceso
1. Abre una sesión en el servidor con el usuario adminservidor.
Usuario: adminservidor
2. Inicia el navegador web y accede a Webmin.
Contraseña: S3rvid@r 3. Haz clic sobre el enlace Red del menú principal para desplegar el sub-
menú (figura 10.3). Está en el lado izquierdo de la ventana.
4. Selecciona la opción Configuración de Red.
5. Haz clic sobre el icono Ruteo y Gateways.

10.4. Módulo Configuración de Red.

6. Selecciona la opción Sí en el control ¿Actuar como router?


7. Haz clic en el botón Salvar.

10.3. Menú Red de Webmin.

Archivo de configuración del


sistema en tiempo de arranque
/etc/sysctl.conf 10.5. Sección Ruteo y Gateways.
Entre otras cosas, en este archivo se
puede configurar el enrutamiento. 8. Haz clic en Aplicar Configuración del módulo Configuración de Red.
Unidad 10 - Interconexión de redes privadas con redes públicas 257

Configuración del enmascaramiento


Aunque tu servidor ya es capaz de actuar como un router, no es suficiente
para que los ordenadores de la red local de ServPubli puedan comunicarse
con servidores de Internet.
Las direcciones IP que tienen asignadas los equipos de la red local perte-
necen a una red privada, por lo que sus paquetes no son enrutados en
Internet. Para que estos paquetes sean tratados con normalidad, tu servidor Archivo de configuración de
iptables
debe cambiar las direcciones IP de origen de los paquetes por una de sus
propias direcciones IP, en concreto por la correspondiente a la interfaz /etc/iptables.up.rules
externa. A este proceso se le llama enmascaramiento (figura 10.6). Sigue
estos pasos para configurarlo:
1. Abre una sesión en el servidor con el usuario adminservidor.
2. Inicia el navegador web y accede a Webmin. Paquete
3. Haz clic sobre el enlace Red del menú principal para desplegar el sub- de
menú. Lo encontrarás en el lado izquierdo de la ventana. Paquete respuesta
original reenviado
4. Ahora, selecciona la opción Cortafuegos Linux.
5. Como el cortafuegos aún no ha sido configurado, Webmin te permite IP origen: IP origen:
seleccionar una configuración base. Elije la segunda opción, es decir, IP cliente IP servidor
Hacer traducción de dirección de red en la interfaz externa.
6. Asegúrate de que la interfaz seleccionada en la lista desplegable IP destino: IP destino:
correspondiente a esta segunda opción es eth0. IP servidor IP cliente
7. Haz clic en la casilla de verificación ¿Habilitar firewall al arrancar? para
que después de cada arranque se aplique la configuración.
8. Haz clic sobre el botón Configurar Firewall. De esta forma se muestran Enmascaramiento
todas las reglas referentes a la traducción de direcciones de red esta-
blecidas en el cortafuegos. Paquete Paquete
original de
reenviado respuesta
IP origen:
IP origen:
IP servidor
IP externa
del router
IP destino:
IP destino: IP externa
IP servidor del router

10.6. Traducción de las direcciones IP.

10.7. Configuración inicial del cortafuegos.

9. Observa que en la sección Paquetes postrutados aparece la regla que per-


mite el enmascaramiento de todos los paquetes cuya interfaz de salida
es eth0.
10. Haz clic sobre el botón Aplicar Configuración para habilitar la regla que
se ha generado automáticamente.
258

Establecimiento de la acción por defecto sobre los paquetes


Sigue estos pasos para descartar todos los paquetes que no coincidan con
Inicio ninguna regla de la cadena Paquetes redirigidos (FORWARD):
1. Abre una sesión en el servidor e inicia el navegador.
Paquete recibido 2. Accede al módulo Cortafuegos Linux de Webmin.
3. Elige la opción Filtrador de paquetes (filter) de la lista desplegable de la
parte superior del módulo Firewall.
¿Quedan
4. Haz clic en el botón Mostrando Firewall.
reglas por No 5. Selecciona la acción Drop en la lista desplegable de la cadena de reglas
procesar? Paquetes redirigidos (FORWARD).
6. Haz clic en el botón Establecer acción por defecto a.

¿El paquete
cumple la
No nueva regla?


Aplicar acción de 10.8. Detalle de las cadenas de filtrado del cortafuegos.
la regla al paquete
7. Haz clic en el botón Aplicar Configuración.

¿Es una Procesamiento de los paquetes de una conexión existente


No acción
terminal? El cortafuegos debe aceptar los paquetes de conexiones ya establecidas,
sea cual sea su origen. Sigue estos pasos:
1. Abre una sesión en el servidor e inicia el navegador.
Aplicar
acción
2. Accede al módulo Cortafuegos Linux de Webmin.
Sí por defecto 3. Elige la opción Filtrador de paquetes (filter) de la lista desplegable.
al paquete 4. Luego, haz clic sobre el botón Mostrando Firewall.
5. Haz clic en el botón Añadir regla de la cadena FORWARD.
Fin
6. Selecciona la opción Aceptar del control Acción a ejecutar.
7. Elige Igual a en la lista desplegable Estados de conexiones.
8. Haz clic sobre el elemento Conexión existente (ESTABLISHED) en la corres-
10.9. Procesamiento de un paquete en
una cadena de reglas. pondiente lista de posibles estados. Después haz clic en Crear.

Algunas acciones terminales


10.10. Sección Estados de conexiones.
Cuando se aplican estas acciones no se
comprueban el resto de las reglas de la
cadena. 9. Haz clic en el botón Aplicar Configuración para aplicar los cambios.

– Accept: procesar el paquete. Procesamiento de los paquetes de una conexión relacionada


– Reject: rechazar el paquete devol-
viendo un error a su emisor
El cortafuegos debe aceptar nuevas conexiones relacionadas con otras ya
– Drop: descartar el paquete sin devol- existentes sea cual sea su origen, por ejemplo, nuevas conexiones FTP de
ver un error a su emisor datos ligadas a conexiones FTP de control existentes. Debes seguir los mis-
– Salir de la cadena: dejar de procesar el mos pasos que en el epígrafe anterior, pero esta vez, selecciona Relacionado
paquete en la cadena de reglas actual. con existente (RELATED) en la lista de posibles estados.
Unidad 10 - Interconexión de redes privadas con redes públicas 259

Procesamiento de los paquetes de un determinado equipo


Sigue estos pasos para aceptar solo los paquetes que provienen de PC-16:
1. Abre una sesión en el servidor e inicia el navegador.
2. Accede al módulo Cortafuegos Linux de Webmin.
3. Elige la opción Filtrador de paquetes (filter) de la lista desplegable.
4. Haz clic sobre el botón Mostrando Firewall.
5. Haz clic sobre el botón Añadir regla de la cadena FORWARD.
6. Selecciona la opción Aceptar del control Acción a ejecutar.
7. Elige Igual a en la lista desplegable Dirección o red de origen.
8. Escribe 192.168.100.116 en el correspondiente cuadro de texto.

10.11. Detalle de Crear regla.

9. Haz clic sobre el botón Crear que encontrarás en el final de la página.


10. Haz clic en el botón Aplicar Configuración.

2.2 > Comprobación del servicio


Verificación del acceso a una red pública
Sigue estos pasos y comprueba que PC-16 tiene acceso a una red pública:
1. Arranca el cliente y abre una sesión con el usuario admincliente.
Datos de acceso
2. Haz clic sobre el botón Inicio.
3. Teclea Herramientas de red (figura 10.12) y pulsa la tecla <Intro>. Usuario: admincliente
4. En la ventana que aparece, selecciona la pestaña Rastrear ruta. Contraseña: Cli3nt@
5. Escribe www.cruzrojajuventud.org en el cuadro Dirección de red.
6. Haz clic en el botón Trazar para iniciar el rastreo.
7. Espera a que termine y observa la columna Saltos. Si la numeración su-
pera el uno, quiere decir que el servicio está bien configurado.

10.12. Ejecutar Herramientas de red.

10.13. Rastrear ruta.


260

3 >> Acceso a redes públicas en sistemas


Windows
Según la propuesta de trabajo pactada con la empresa ConRecuerdos.org,
la octava tarea que debéis realizar es la implantación del servicio de enca-
Para saber más minamiento NAT.
Puedes obtener soporte técnico de ser-
La empresa os ha dicho que los trabajadores necesitan acceder a todos los
vicios de acceso y directivas de redes
servicios de Internet como, por ejemplo, la mensajería instantánea, desde
en el siguiente URL:
sus ordenadores de la red de área local.
En estos momentos, todo el personal puede acceder a servicios externos
como HTTP y FTP a través del proxy, pero no tiene acceso exterior a ningún
otro servicio adicional. Y este acceso adicional es lo que la empresa de-
manda en esta ocasión.
Para solucionar el problema, es necesario traducir las direcciones IP de
http://xurl.es/npas_ms todo el tráfico entre las redes pública (Internet) y privada, es decir, se debe
realizar lo que comúnmente se denomina enrutamiento NAT.
Windows Server 2008 incluye el enrutamiento NAT dentro de su Servicio
de acceso y directivas de redes y se llama Traducción de direcciones de red (NAT).

3.1 > Instalación del servidor


Sigue estas indicaciones para instalar el servicio de enrutamiento NAT:

Recuerda 1. Haz clic en Inicio y elige la opción Administrador del servidor.


2. Haz clic sobre el enlace Agregar funciones, que se encuentra en el bloque
Los datos para acceder como usuario
administrador son:
Resumen de funciones de la parte derecha de la ventana.

Usuario: adminservidor

Contraseña: S3rvid@r

10.14. Ventana Administrador del servidor.

3. A continuación se muestra el Asistente para agregar funciones. Lee atenta-


mente las comprobaciones previas que debes realizar antes de instalar
el servicio y haz clic sobre el botón Siguiente.
Unidad 10 - Interconexión de redes privadas con redes públicas 261

4. En la ventana Seleccionar funciones de servidor, marca la casilla Servicios de


acceso y directivas de redes y pincha Siguiente.

10.15. Seleccionar funciones de servidor.

5. La ventana Servicio de acceso y directivas de redes indica algunos factores a


tener en cuenta antes de instalar este servicio. Una vez hayas leído y en-
tendido dicha información, haz clic en Siguiente.
6. Marca la casilla Servicios de enrutamiento y acceso remoto. Automáticamente,
también quedarán seleccionadas dos casillas: Servicio de acceso remoto y
Enrutamiento. Haz clic en Siguiente.

Editor del registro


La información del servicio de enruta-
miento NAT en el editor del registro se
encuentra en la siguiente clave:
10.16. Seleccionar servicios de función. HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\
7. Aparece la ventana Confirmar selecciones de instalación, en la que se te RemoteAccess
recuerda que es posible que sea necesario reiniciar el servidor una
vez se haya completado la instalación. Haz clic en el botón Instalar.
8. Transcurridos unos minutos, la instalación habrá terminado. Si todo es
correcto, finaliza pinchando Cerrar.
262

3.2 > Configuración del servidor


Sigue estos pasos para configurar el servicio de enrutamiento NAT:

Administrador de enrutamiento
1. Abre el administrador de enrutamiento y acceso remoto.
y acceso remoto 2. Aparece la ventana Enrutamiento y acceso remoto. Haz clic con el botón
secundario del ratón sobre SERVIDOR (local) y selecciona la opción Confi-
Una vez instalado el servicio de enruta-
gurar y habilitar Enrutamiento y acceso remoto.
miento NAT, puedes administrarlo si vas
a la ruta:

Inicio / Herramientas administrativas /


Enrutamiento y acceso remoto

10.17. Enrutamiento y acceso remoto.

3. Se inicia el Asistente para la instalación del servidor de enrutamiento y acceso


remoto. Haz clic sobre Siguiente.
4. En la ventana Configuración, selecciona la opción Traducción de direcciones
de red (NAT) (figura 10.18) y pincha Siguiente.
5. Aparece la ventana Conexión a Internet NAT (figura 10.19). Dentro de la
opción Utilizar esta interfaz pública para conectarse a Internet, elige la tarjeta
de red que está conectada a Internet. Haz clic en Siguiente.

10.18. Sección Configuración. 10.19. Sección Conexión a Internet NAT.

6. Haz clic en Finalizar para acabar con la configuración del servicio de en-
rutamiento NAT. Transcurridos unos segundos, el servicio aparece activo
en la ventana Enrutamiento y acceso remoto.
Unidad 10 - Interconexión de redes privadas con redes públicas 263

3.3 > Comprobación del servicio


Se deben realizar comprobaciones tanto en el servidor como en el cliente.
Por una parte, en el servidor se verifica el estado de los procesos y, por
otra, en el cliente se prueba que existe conectividad a una red pública a
través de un servicio que no es proporcionado por el servidor proxy.

Verificación del estado del servicio


Para comprobar el estado del servicio de enrutamiento NAT, sigue la ruta
Inicio / Herramientas administrativas y haz clic sobre Servicios. En la ventana
que aparece, busca el servicio Enrutamiento y acceso remoto. Una vez lo en- Estado del servicio de
cuentres, si el campo Estado tiene el valor Iniciado y en Tipo de inicio aparece enrutamiento y acceso remoto
Automático o Automático (inicio retrasado), eso quiere decir que el servicio El servicio de acceso remoto tiene tres
está en funcionamiento y que se iniciará automáticamente cada vez que posibles estados de inicio:
arranque el equipo servidor. – Automático: está iniciado y se iniciará
cada vez que arranca el ordenador.
– Manual: está detenido y se debe iniciar
manualmente.
– Deshabilitado: está detenido y no se
puede iniciar de ningún modo.

10.20. Servicios.

Verificación del acceso a una red pública


Sigue estos pasos para comprobar que se puede acceder a una red pública
mediante el comando tracert:
1. En el equipo cliente, abre el programa Símbolo del sistema, que puedes
encontrar en la ruta Inicio / Todos los programas / Accesorios.
2. Ejecuta el comando tracert www.greenpeace.es. Si la numeración de la pri-
mera columna supera el uno, quiere decir que el servicio está bien con-
figurado. En caso de no recibir respuesta, antes de hacer nada comprueba
si en la red existe algún tipo de medida de seguridad sobre las peticiones
al ICMP (Internet Control Message Protocol) o protocolo de mensajes de
control de Internet.

10.21. Ejecución del comando tracert www.greenpeace.es.

3. Cierra el programa Símbolo del sistema.


264

Actividades finales

.: CONSOLIDACIÓN :.
1·· ¿Para qué sirven las tecnologías de interconexión descritas en esta unidad?
2·· Define qué es banda ancha.
3·· Enumera cuatro tecnologías de acceso a redes públicas distintas.
4·· Clasifica las diferentes plataformas de acceso a Internet estudiadas en esta unidad en tres grupos, según el tipo
de medio físico empleado: cableado, inalámbrico o híbrido.
5·· De entre las siguientes opciones, elige la que se corresponde con las siglas ADSL:
a) Línea de abonado digital asíncrona c) Línea de abonado digital asimétrica
b) Línea de abonado digital analógica d) Línea de abonado digital asíntota
6·· ¿Cómo se llama la parte de la red de telecomunicaciones más cercana al abonado?
7·· A continuación se muestra la evolución histórica de las generaciones (G) de las tecnologías empleadas en
telefonía móvil. En ella faltan dos tecnologías, GSM y UMTS; inclúyelas en el lugar adecuado.

1G 2G 2,5 G 3G 3,5 G 3,75 G 3,9 G


Tec. analógica GPRS HSDPA HSUPA LTE

8·· Indica la tecnología de acceso que ofrece mayor ancho de banda y describe sus inconvenientes.
9·· Describe la diferencia entre un router y un cortafuegos.
10·· Explica qué sucedería si en el enmascaramiento de IP en el router no se guardara una tabla de traducción de
direcciones.

.: APLICACIÓN :.
1·· Realiza una comparativa sobre las tecnologías de acceso de banda ancha para particulares con mayor velocidad (por
ejemplo: ADSL, VDSL y fibra) que ofrecen los siguientes operadores: Movistar, Vodafone, Orange, Ono y Jazztel. Para ello,
crea una tabla con las siguientes columnas: operador, tipo de tecnología, velocidad de subida, velocidad de bajada y
precio sin promoción. Completa esta tabla con la información que encuentres de las web de cada una de las compañías.
2·· Arranca el servidor Windows y un cliente GNU/Linux y comprueba si el servidor también es capaz de enrutar y
enmascarar los paquetes del cliente. Después repite las mismas acciones pero con el servidor GNU/Linux y el cliente
Windows.
3·· Captura los paquetes generados por un cliente para comprobar que el router cambia el contenido de la dirección
IP de origen en los mensajes que reenvía hacia la red externa. Para ello, enciende el servidor y anota la dirección IP
de las dos tarjetas de red, la interna y la externa, y después enciende el cliente y anota la dirección IP que tiene
asignada.
Ahora sigue estos pasos para preparar la captura:
1. Abre la aplicación Wireshark en el servidor e inicia la operación de captura en la tarjeta del lado WAN.
2. Abre un terminal de texto en el cliente y ejecuta el comando ping www.uji.es (dirección IP 150.128.98.62).
3. Detén la captura de mensajes cuando finalice el comando.
Busca los paquetes cuyo protocolo sea ICMP y en cuya columna Info aparezca Echo (ping). Observa los paquetes de
petición y respuesta. ¿Los mensajes contienen la dirección IP del cliente o la del servidor?
Unidad 10 - Interconexión de redes privadas con redes públicas 265

Caso final 1

Interconexión de redes privadas con redes públicas


·· La dirección de AulaEasy, después de hablar con su equipo docente, ha detectado que gran parte del alum-
nado no puede acceder a los recursos que la academia aloja en Internet porque no dispone de conexión.
AulaEasy ha decidido apostar por la red guifi.net para subsanar este problema. Así, instalará un proxy fede-
rado para que tanto sus alumnas y alumnos como cualquier otro usuario conectado a esta red abierta, libre y
neutral puedan, además de usar los recursos de esta red, acceder a los recursos web de Internet.
La primera acción que AulaEasy va a emprender será la organización de una jornada para dar a conocer
distintos aspectos de guifi.net, tales como su organización, funcionamiento, filosofía o pasos a seguir para co-
nectarse a ella. Además, si en un futuro se observa que el uso de guifi.net se ha generalizado entre el
alumnado, la empresa se planteará ofrecer parte de sus recursos directamente en esta red.
Como la dirección sabe que sois distribuidores de guifi.net, os quiere contratar para impartir el último de los
actos de la jornada: un taller que explique cómo conectarse a esta red. Dada la buena relación que tenéis con
AulaEasy y previendo la posibilidad de captar nuevos clientes, os ofrecéis a dar el taller gratuitamente.

Solución ·· Para realizar esta sesión vamos a usar la página de pruebas de guifi.net. Te aconsejamos que
utilices esta página de pruebas antes de dar de alta tu nodo en la web principal.

Enlaces de interés
Web oficial de guifi.net:

http://guifi.net/es

Página de pruebas de guifi.net:

10.22. Página principal de guifi.net.


http://test.guifi.net/es

Sigue estas tareas para conectarte a guifi.net:


Vocabulario
Bloque I. Tareas en la página web de pruebas
Nodo: lugar que cuenta con la instalación necesaria para conec-
– Registrarse. tarte a guifi.net.
– Dar de alta un nodo. Trasto: nombre que guifi.net da al dispositivo de acceso a la red.
– Añadir un trasto en el nodo creado. Supernodo: nodo que los otros nodos usan como punto de acceso
– Enlazar tu nodo con un supernodo. a la red. Además, como enlaza con otros supernodos, permite el
enrutamiento de los paquetes.
Bloque II. Tareas en el hardware Proxy federado: proxy integrado en el sistema de acceso a Inter-
– Configurar el ordenador. net. Al compartir sus bases de datos de usuarios, una persona solo
– Configurar el trasto.
necesita una cuenta para acceder a cualquier proxy federado.
266

Registrarse
Sigue estos pasos para registrarte en la web de pruebas:
1. Abre tu navegador web preferido.
2. Accede al URL http://test.guifi.net/es/.
3. Haz clic sobre la opción Iniciar sesión / Crear cuenta, que se encuentra
en la parte derecha del menú situado en la barra superior del sitio web.
4. Pincha el enlace Crear cuenta.
5. Introduce la información necesaria de la cuenta de usuario. Cuando
hayas rellenado los datos (son obligatorios los que están marcados
con un asterisco), haz clic sobre Crear nueva cuenta.
6. Sigue las instrucciones del mensaje que recibirás en tu cuenta de 10.23. Registro en test.guifi.net.
correo para confirmar el alta del usuario.

Dar de alta un nodo


Una vez registrado en la página web, debes dar de alta un nodo. Para ello, sigue estos pasos:
1. Abre el navegador web e inicia una sesión en la página web de pruebas http://test.guifi.net/es/.
2. Haz clic sobre la opción Conectar a guifi.net.
3. Desplázate un poco hacia abajo en la página web y pincha el enlace Paso 1. Añadir un nodo. Se abre la pá-
gina Crear guifi.net node en la que debes:
– Escribir la ubicación de tu nodo en Nombre de la ubicación.
– Escribir el Nombre corto, según la convención MUNcalleNº. Puedes con-
sultar los nombres de otros nodos de tu municipio.
– Leer y entender la Licencia y acuerdo de utilización. Si estás de acuerdo
con ella, marca la opción Sí, lo he leído y aceptado.
– Escribir tu correo electrónico en la casilla Contactar.
– Navegar por la lista desplegable Zona hasta alcanzar el municipio desde
el que quieres unirte a guifi.net.
– Marcar exactamente la posición de tu nodo sobre el mapa. Se rellenarán
automáticamente las casillas Longitud y Latitud.
10.24. Mapa de localización del nodo.
4. Para confirmar el alta del nuevo nodo, haz clic sobre Guardar.

Añadir un trasto en el nodo creado


Un nodo debe tener, como mínimo, un trasto. Sigue estos pasos para añadir un nuevo trasto al nodo:
1. Elige la opción Dispositivo wireless, como un router, bridge, AP en la sección Añadir nuevo dispositivo.
2. Haz clic sobre añadir. Se abre una nueva página (figura 10.25), en la que debes realizar lo siguiente:
– Elegir Ubiquiti, NanoStation5 en la lista desplegable Modelo de radio.
– Seleccionar Ubiquiti AirOs 3.0 en la lista desplegable Firmware.
– Escribir la dirección MAC de la LAN del trasto en el cuadro de texto Dirección MAC del dispositivo.

10.25. Ventana Modelo de dispositivo, fimrware y dirección MAC.


.
Unidad 10 - Interconexión de redes privadas con redes públicas 267

Enlazar tu nodo con un supernodo en la web


Debes continuar la configuración desde la página web para indicar a qué supernodo se conectará tu nodo:
1. Pincha el enlace No hay radios de la Sección de radios wireless.
2. Elige AP/cliente en la lista desplegable Nueva radio (nodo).
3. Haz clic sobre Añadir nueva radio. Se abre una nueva página, en la
que debes escribir la dirección MAC de la WLAN del trasto en el cuadro
MAC de la sección Parámetros generales de radio.
10.26. Conexión a supernodo.
4. Haz clic sobre el icono que se encuentra en la sección Conexión a AP.
5. Selecciona el supernodo al que quieres enlazar tu nodo.
6. Pincha Elegir dispositivo y volver al formulario principal. Si todo es correcto, se te asigna una IP.
7. Para confirmar toda la configuración realizada hasta ahora, haz clic sobre Guardar y salir.
8. Se abre una nueva página. Pincha el enlace unsoloclick, situado bajo el apartado Ver dispositivo.
9. En la página que aparece, haz clic con el botón derecho sobre el enlace Click here to download configuration
file for, elige Guardar enlace como del menú contextual y guarda el archivo en tu equipo.
10. Cierra la sesión. El proceso de configuración desde la página web ha finalizado.

Configurar el ordenador
Configura la tarjeta red de tu ordenador para tener acceso al trasto, que por defecto tiene la IP 192.168.1.20/24:
1. Conecta tu equipo al trasto como aparece en la figura 10.27.
2. Accede a la configuración de la tarjeta de red de tu ordenador a
la que has conectado el trasto y deja estos valores:
– Dirección IP: 192.168.1.10.
Puerto LAN
– Máscara de subred: 255.255.255.0. del PC
– Puerta de enlace predeterminada: 192.168.1.1.
LAN
– Servidor DNS preferido: 192.168.1.1.
RJ-45 POE
De esta manera, esta tarjeta de red del ordenador se encontrará en la
misma red que el trasto, es decir, la red 192.168.1.0/24.
Secundario
RJ-45
Configurar el trasto Principal/POE

Sigue estos pasos para configurar el trasto: 10.27. Configuración de la conexión.


1. Accede al URL http://192.168.1.20 desde tu navegador.
2. Valídate con las siguientes credenciales: usuario ubnt y contraseña ubnt.
3. Sigue la ruta System / Configuration Management y pincha Examinar.
4. Navega por el explorador de archivos y elige el archivo unsoloclick que has descargado en el apartado
Enlazar tu nodo con un supernodo en la web.
5. Haz clic en Upload. El trasto se reiniciará cuando termine el proceso.
Ten en cuenta que si quieres conectarte realmente a guifi.net, todos los pasos que has realizado en la página
web de pruebas debes repetirlos en la página web oficial.
¡Atención! Tras el reinicio del trasto se modificará su configuración por la siguiente: Dirección: 192.168.1.1;
Usuario: root; Contraseña: guifi. No te olvides de cambiar la contraseña.
(Opcional) Acceder a Internet desde un proxy federado
Para tener acceso a Internet, puedes seguir el artículo «Cómo acceder a Internet una vez estamos conectados a
guifi.net: Proxies federados de fecha 27/07/2010 en la Bitácora de dave» (http://castello.guifi.net/blog/4/).
268

Ideas clave

TECNOLOGÍAS DE
INTERCONEXIÓN

DSL
Conectan Conectan
HFC

UMTS

HSPA

Satélite

Router

Enrutamiento

Redes públicas Accede Accede Redes privadas


Enmascaramiento
de IP

Reenvío de puertos
Unidad 10 - Interconexión de redes privadas con redes públicas REVISTA DE INFORMÁTICA

D u e ñ o s d e s u p ropia red
La fundación guifi.net tenderá fibra óptica sobre
los postes telefónicos. Sus 7 000 usuarios se conectarán
a Internet pagando el coste del tendido y sin necesidad
de operadoras
Ser dueño de la conexión a Inter- de apostar por la fibra. El Consejo yendo hasta llegar a la fibra oscura
net, sin pagar una cuota mensual Europeo FTTH (fibra hasta el hogar) (la capacidad no usada hasta el
a la operadora telefónica, es una cifra en 260 000 las conexiones óp- momento). Güifi.net ya ha nego-
utopía que empezará a ser realidad ticas que había en España en 2008. ciado con varios pueblos de la co-
la próxima semana. La fundación Algunos usuarios, así, quieren to- marca de Osona para usar sus ca-
catalana guifi.net, gracias a la cual mar el relevo. nalizaciones para meter la fibra y
7 000 hogares comparten su ac- sigue negociando con otras admi-
Tres masías del centro de Cataluña
ceso Wi-Fi desde hace cinco años, nistraciones.
van a ser las primeras en utilizar un
comenzará a tender fibra óptica.
modelo que, de funcionar, provo- El penúltimo paso es llegar al punto
Quien quiera Internet a 100 mega-
cará una revolución en la forma en neutro, que son zonas donde las
bits (10 veces más de lo actual) ten-
que los ciudadanos acceden a In- distintas redes se encuentran y
drá que pagar una buena cantidad
ternet. El 2 de julio, miembros de comparten sus datos. En España
de dinero por la fibra que va hasta
guifi.net empezarán a tender fibra hay dos: ESpanix, en Madrid, y Cat-
su casa, pero no necesitará opera-
óptica desde estos hogares para nix, en Barcelona. El acceso está re-
doras nunca más.
acceder a Internet. servado a instituciones y operado-
El modelo tradicional de acceso, ras, y guifi.net se ha registrado
El primer problema es por dónde
con el que las empresas de teleco- como tal. Después de conectarse a
tenderla. «¿Para qué abrir zanjas si
municación atraen a los consumi- Catnix, ya acceden a Internet.
podemos usar los postes de telé-
dores con decenas de ofertas, se fono?», se pregunta Ramón Roca, Cuando se le pregunta a Roca el
ha estancado. Con 9,29 millones de uno de los fundadores de guifi.net. porqué de esta iniciativa, contesta
conexiones de banda ancha en La mayoría de los postes son de Te- que cada cual tiene sus motivos.
abril, el número de líneas por cada lefónica, pero la ley obliga a la ope- «Me gusta vivir en el campo, pero
100 habitantes solo creció un 1,7% radora a ofrecer acceso a sus in- si necesitas banda ancha, tienes
en el último año. fraestructuras. que emigrar. Ahora veo que, por
complicado que sea, está a nuestro
En otros sectores invierten en más En este modelo, el llamado último
alcance. ¿Por qué no hacerlo?», co-
tecnología para salir del estanca- kilómetro (el que va desde la cen-
menta.
miento, pero las operadoras espa- tral telefónica hasta el hogar) no
ñolas prefieren exprimir una del si- existe porque no hay centrales. A Fuente: Miguel Ángel Criado, publico.es,
glo XIX (el cable de cobre) en vez modo de río, los cables van conflu- 23 de junio de 2009
270

Apéndice: Enlaces web de interés


Unidad 1
IPS (Internet Protocol Suite) Webmin

http://xurl.es/ips_wiki http://www.webmin.com

VirtualBox Microsoft

https://www.virtualbox.org http://www.microsoft.es

Unidad 2
DistroWatch IpTools

http://distrowatch.com http://www.iptools.es

Proyecto GNOME Proveedores de DNS dinámico

http://es.gnome.org http://dnslookup.me/dynamic-dns
Apéndice: Enlaces web de interés 271

ISC (Internet Systems Consortium) Ayuda de Microsoft para el servicio DHCP

http://xurl.es/dhcp_ms
http://www.isc.org

Nixiweb
Ayuda de Microsoft para el servicio DNS

http://www.nixiweb.com
http://xurl.es/dns_ms

Unidad 4
Unidad 3 RFC 2616
RFC 2131

http://xurl.es/rfc_2131 http://xurl.es/rfc_2616

ISC (Internet System Consortium) RFC 3986

http://www.isc.org http://xurl.es/rfc_3986
272

RFC 6265 Ayuda de Microsoft para el servicio HTTP

http://xurl.es/rfc_6265 http://xurl.es/http_ms

Unidad 5
Lista de campos de cabecera HTTP RFC 0959

http://xurl.es/http_headers http://xurl.es/rfc_0959

The Apache Software Foundation Diagrama de secuencias de una sesión FTP

http://www.apache.org http://xurl.es/seqd_ftp

Org. Internacional para la Estandarización Proycto ProFTPD

http://www.iso.org http://www.proftpd.org
Apéndice: Enlaces web de interés 273

Unidad 7
Nautilus Diagrama de secuencias de una sesión SMTP

http://live.gnome.org/Nautilus http://xurl.es/seqd_smtp

Ayuda de Microsoft para el servicio FTP Recompensa en qmail

http://xurl.es/ftp_ms http://xurl.es/qmail_rec

Unidad 6
Squid-cache Servidor de correo Postfix

http://www.squid-cache.org http://www.postfix.org

Forefront Threat Management Gateway Servidor de correo Dovecot

xurl.es/tmg_ms http://www.dovecot.org
274

Unidad 8
Servidor de correo Thunderbird Webmin

http://www.mozilla.org/thunderbird http://www.webmin.com

Microsoft Exchange Server 2007 (evaluación) OpenSSH

http://xurl.es/exchange2007 http://www.openssh.com/es

Para saber más Ayuda de Microsoft para Terminal Services

http://xurl.es/xchg_doc http://xurl.es/ts_ms

Google Apps TeamViewer

http://www.google.es/a http://www.teamviewer.com/es
Apéndice: Enlaces web de interés 275

Unidad 9
Wi-Fi Alliance guifi.net

http://www.wi-fi.org http://guifi.net/es

Soporte para redes inalámbricas Página de pruebas de guifi.net

http://xurl.es/ri_ms http://test.guifi.net/es

Unidad 10
Proyecto Iptables

http://xurl.es/iptables

Servicios de acceso y directivas de redes

http://xurl.es/npas_ms http://www.macmillanprofesional.es
© Román Carceller Cheza, Carlos Campos Saborido, Cristian Jorge García Marcos, Jesús González Lorenzo

© MACMILLAN IBERIA, S.A. empresa que pertenece al GRUPO MACMILLAN


c/ Capitán Haya, 1 – planta 14ª. Edificio Eurocentro
28020 Madrid (ESPAÑA)
Teléfono: (+34) 91 524 94 20

Dedicado a Marta, María José y Conchita; Lola, Suso y Maria; Tania; Adolfo y Carmen, Adolfo, Eva y Juan, y Nuria

Edición: Virgilio Nieto


Corrección: Olga Martínez
Coordinación de maquetación: Ángeles Marcos
Maquetación: Copibook, S.L.
Diseño de cubierta e interiores: equipo Macmillan Profesional
Realización de cubierta: Silvia Pasteris, Ángeles Marcos
Fotografías: age fotostock, IngImage
Ilustración: Copibook, S.L.

ISBN EDICIÓN ELECTRÓNICA: 978-84-15991-42-7

Reservados todos los derechos. Queda prohibida, sin autorización escrita de los titulares del copyright,
la reproducción total o parcial, o distribución de esta obra, incluido el diseño de cubierta, por cualquier medio
o procedimiento, comprendido el tratamiento informático y la reprografía.
La infracción de los derechos mencionados puede ser constitutiva de delito contra la propiedad intelectual
(Art. 270 y siguientes del Código Penal).
Servicios en Red

www.macmillanprofesional.es

Este libro desarrolla los servicios en red más importantes utilizados en redes de área local e Internet.
Además, enseña a identificar los problemas que pueden aparecer trabajando con este tipo de servicios,
y a valorar diferentes soluciones para, así, aplicar la más adecuada a las distintas situaciones que se planteen.
En cada una de las 10 unidades que contiene el libro se encuentra la exposición teórica del servicio,
la instalación y configuración paso a paso con sistemas GNU/Linux y Windows.
Además contiene actividades de consolidación y aplicación, un caso práctico final
enfocado al trabajo en pequeñas empresas, un esquema de ideas clave y una revista de actualidad informática.