1. Configuración e instalación de directorio activo (Windows 2003 Server)
1.
2.
3.
Dominios en Windows 2000/2003 Server
Instalando active Directory
Configuración de DNS
Antes de proceder a la instalación de un servidor debemos tener dos conceptos
claros, saber la diferencia entre redes con servidor que es la que vamos a
instalar y la diferencia entre redes entre iguales.
Por lo tanto encontramos estos dos tipos de LAN diferentes:
-Redes con servidor: La característica principal es que en este tipo de redes
tenemos al menos una equipo llamado servidordonde se van a encontrar
todos los recursos a compartir, con esto me refiero tanto carpetas, como
impresoras, grabadoras, lectores, etc... . A parte del servidor encontramos
diferentes equipos llamados clientes o estaciones de trabajo , que solo
tendrán permisos sobre los recursos locales o del servidor, importante no de
las otras estaciones de trabajo. Dependiendo del tipo de sistema operativo
instalado en el servidor encontramos:
-Servidor dedicado: Utilizado únicamente para gestionar los recursos de la
red.
-Servidor no dedicado: Que además de llevar la gestión de la red también
puede funcionar como estación de trabajo.
-Redes entre iguales: En este tipo cada máquina puede compartir sus
recursos con todas las demas máquinas, de forma que actuan como clientes y
servidores a la vez, esto en windows se le denomina como un grupo de trabajo,
donde cada maquina se integran en ese grupo y tiene privilegios sobre todos
los recursos compartidos de las de mas maquinas. Esto es lo que se vemos en
windows, ya que se puede burlar, escaneando toda la red y podemos
introducirnos en los documentos compartidos de toda la red, aunque esa
equipo no este dentro del grupo de trabajo, esto todo a través de netBIOS.
Teniendo claro estos dos conceptos podemos proceder a la explicación de la
configuración de active directory (directorio activo).
DOMINIOS EN WINDOWS 2000/2003 SERVER
Una basada en windows 2000/2003 server utiliza un servicio de directorio para
almacenar toda la información relativa a la administración seguridad de la red.
En este tipo de servidores existe el concepto de dominio, existiendo así el
servicio de directorios llamado active diretory (directorio activo) donde se
almacena toda la información de la red, integrando así todos los servicios de la
red, como la gestión de nombres de dominio DNS así como el protocolo
encargado de la asignación de direcciones dinámicas de la red, el protocolo
DHCP.
Este conjunto de dominio es muy idéntico al de NT, es un conjunto de
servidores, estaciones y otros recursos de la red que comparten el mismo
modelo de seguridad, incluyendo en windows 2000/2003 server la integración
del DNS, de esta forman éstos se nombran siguiendo la misma nomeclatura,
2. Las unidades organizativas, se pueden crear otros usuarios, grupos y otros
recursos, así este dominio puede establecer relaciones entre ellos, formando
una estructurajerárquica llamada árbol de dominio. Un ejemplo de al estructura
arborescente:
Un árbol de dominio es un conjunto de dominios que están conectados
mediante unas relaciones de confianza por as decirlo, y así mismo, cuando
varios árboles se conectan mediante relaciones, se forma un bosque.
INSTALANDO ACTIVE DIRECTORY:
Comenzamos instalando active directory siguiendo el patrón de instalación por
defecto, a este podemos llegar desde herramientas administrativas y
ejecutamos configuración del servidor o de una forma mas reducida
iniciamos ejecutar e introducimos el comando Dcpromo.exe y así ejecutamos
la función de instalación del controlador.
Una vez accedemos a la configuración de active directory nos encontramos con
el asistente:
Como vemos tenemos dos opciones a señalar, el tipo de controlador de
dominios:
Controlador de dominio para un nuevo dominio: de esta forma instalamos
active directory en el servidor y se configura como el primer controlador de
dominio.
3. Controlador de dominio adicional para un dominio: Si seleccionamos esta
opción elimina todas las cuentas locales en el servidor y se elimina todas las
claves de cifrado.
Si vamos a instalar e configurar nuestro primero directorio activo,
seleccionamos controlador de dominio para un nuevo dominio, así se creara un
nuevo dominio y será registrado el DNS.
Crear árbol o dominio secundario. En este punto es donde elegiremos el
nombre de dominio, podemos elegir entre:
Crear un nuevo árbol de dominios: seleccionamos este para crear un nuevo
árbol de dominios y así mismo alojar el primer dominio en el árbol, esta opción
es la que vamos a seleccionar para configurar por primera vez nuestro active
directory.
4. Microsoft Windows Server 2003
Indice
1.
Funciones
del
Servidor
2. Fundamentos Empresariales de Microsoft Windows Server 2003
3.
Ediciones
microsoft
windows
server
2003
4.
Tecnologías
Básicas
de
Windows
Server
2003
5. Mejoras funcionales
1. Funciones del Servidor
Windows Server 2003 es un sistema operativo de propósitos múltiples capaz
de manejar una gran gama de funciones de servidor, en base a sus
necesidades, tanto de manera centralizada como distribuida. Algunas de estas
funciones del servidor son:
•
•
•
•
•
•
•
•
Servidor de archivos e impresión.
Servidor Web y aplicaciones Web.
Servidor de correo.
Terminal Server.
Servidor de acceso remoto/red privada virtual (VPN).
Servicio de directorio, Sistema de dominio (DNS), y servidor DHCP.
Servidor de transmisión de multimedia en tiempo real (Streaming).
Servidor de infraestructura para aplicaciones de negocios en línea (tales
como planificación de recursos de una empresa y software de
administración de relaciones con el cliente).
Windows Server 2003 cuenta con cuatro beneficios principales:
Beneficio
Descripción
Seguro
Windows Server 2003 es el sistema operativo de servidor más
rápido y más seguro que ha existido. Windows Server 2003
ofrece fiabilidad al:
•
•
Productivo
Proporcionar una infraestructura integrada que ayuda a
asegurar que su información de negocios estará segura.
Proporcionar fiabilidad, disponibilidad, y escalabilidad
para que usted pueda ofrecer la infraestructura de red que
los usuarios solicitan.
Windows Server 2003 ofrece herramientas que le permiten
implementar, administrar y usar su infraestructura de red para
obtener
una
productividad
máxima.
Windows Server 2003 realiza esto al:
•
Proporcionar herramientas flexibles que ayuden a
ajustar su diseño e implementación a sus necesidades
organizativas y de red.
5. •
•
Conectado
Ayudarle a administrar su red proactivamente al reforzar
las políticas, tareas automatizadas y simplificación de
actualizaciones.
Ayudar a mantener bajos los gastos generales al
permitirles a los usuarios trabajar más por su cuenta.
Windows Server 2003 puede ayudarle a crear una
infraestructura de soluciones de negocio para mejorar la
conectividad con empleados, socios, sistemas y clientes.
Windows Server 2003 realiza esto al:
•
•
•
Proporcionar un servidor Web integrado y un servidor
de transmisión de multimedia en tiempo real para ayudarle
a crear más rápido, fácil y seguro una Intranet dinámica y
sitios de Internet.
Proporcionar un servidor de aplicaciones integrado que
le ayude a desarrollar, implementar y administrar servicios
Web en XML más fácilmente.
Brindar las herramientas que le permitan conectar
servicios Web a aplicaciones internas, proveedores y
socios.
Mejor economía Windows Server 2003, cuando está combinado con productos
Microsoft como hardware, software y servicios de los socios de
negocios del canal brindan la posibilidad de ayudarle a obtener
el rendimiento más alto de sus inversiones de infraestructura.
Windows Server 2003 lleva a cabo esto al:
•
•
•
Proporcionar una guía preceptiva y de fácil uso para
soluciones que permitan poner rápidamente la tecnología a
trabajar.
Ayudarle a consolidar servidores aprovechando lo
último en metodologías, software y hardware para optimizar
la implementación de su servidor.
Bajar el coste total de propiedad (TCO) para recuperar
rápido la inversión.
2. Fundamentos Empresariales de Microsoft Windows Server 2003
Más
por
menos.
Microsoft Windows Server 2003 ofrece más rapidez, fiabilidad, escalabilidad y
disponibilidad que Microsoft Windows NT Server, siendo además mucho más
fácil de gestionar. Puede ser implementado y gestionado en menos tiempo, con
un esfuerzo menor, complejidad reducida y un coste total de propiedad inferior.
•
Permite
a
los
clientes
ser
más
productivos.
• Está construido sobre la robustez y fiabilidad de Microsoft Windows 2000
Server.
6. • Es el Sistema Operativo Windows más rápido, fiable y seguro que jamás haya
existido.
¿Por
qué
Microsoft
Windows
Server
2003?
• Como servidor de ficheros es de un 100% a un 139% más rápido que
Windows 2000 Server y un 200% más que Windows NT Server 4.0.
• Como servidor de impresión, es un 135% más eficiente que Windows NT
Server
4.0.
• Como servidor web es de un 100% a un 165% más rápido que Windows 2000
Server.
• Las características mejoradas del Directorio Activo permiten realizar tareas
más fácilmente, entre las que destacan la habilidad de renombrar dominios, la
posibilidad de redefinir el esquema y una replicación más eficiente.
• Mayor disponibilidad a través del Windows System Resource Manager, de las
actualizaciones del sistema automáticas y gracias a un servidor cuyos
parámetros
le
confieren
la
máxima
seguridad
por
defecto.
• Ofrece la mejor conectividad, facilitando al máximo la configuración de
enlaces entre delegaciones, acceso inalámbrico seguro y acceso remoto a
aplicaciones a través de los Terminal Services, así como en su integración
mejorada
con
dispositivos
y
aplicaciones.
• Combinado con Visual Studio .NET 2003, se convierte en la plataforma más
productiva para implementar, ejecutar y gestionar aplicaciones conectadas
mediante la nueva generación de servicios Web basados en XML.
En una palabra, Microsoft Windows Server 2003 es productividad: más por
menos.
3. Ediciones microsoft windows server 2003
• MICROSOFT WINDOWS SERVER 2003 STANDARD EDITION.
El sistema operativo servidor fiable ideal para satisfacer las necesidades diarias
de empresas de todos los tamaños, proporcionando la solución óptima para
compartir archivos e impresoras, conectividad segura a Internet,
implementación centralizada de aplicaciones y un entorno de trabajo que
conecta eficazmente a empleados, socios y clientes. Soporta hasta 4
procesadores y 4 Gb de Memoria RAM.
• MICROSOFT WINDOWS SERVER 2003 ENTERPRISE EDITION.
La plataforma preferida tanto por las grandes compañías como por las de
tamaño medio para implementar aplicaciones de forma segura, así como
servicios Web. Integrándose en infraestructuras aportando fiabilidad, mejores
rendimientos y un elevado valor empresarial, se presenta tanto en 32 como en
64 bit. Soporta hasta 8 procesadores, hasta 64 Gb de memoria RAM y permite
clustering de hasta 8 nodos.
• MICROSOFT WINDOWS SERVER 2003 DATACENTER EDITION.
Es el servidor escogido para aplicaciones críticas de negocio así como las
consideradas de misión crítica, que exigen los más altos niveles de uptime,
escalabilidad y fiabilidad. Sólo disponible a través del Datacenter Program de la
mano de los fabricantes y proveedores de servicios líderes del mercado, se
presenta en las versiones de 32 y 64 bit. y permite escalar por encima de las 8
vías o procesadores alcazando hasta 64 procesadores en paralelo.
7. •
MICROSOFT
WINDOWS
SERVER
2003
WEB
EDITION.
Optimizado específicamente para albergar y servir páginas web, manteniendo
las funcionalidades esenciales que garantizan la fiabilidad, seguridad y facilidad
de gestión características de Windows Server. Es la edición adecuada para
implementar servidores web dedicados a bajo coste.
4. Tecnologías Básicas de Windows Server 2003
Windows Server 2003 contiene tecnologías básicas construidas en base a las
fortalezas de Windows 2000 Server para ofrecer un sistema operativo rentable
y superior. Aprenda sobre diferentes y nuevas tecnologías y características que
hacen de Windows Server 2003 una plataforma de servidor ideal para
organizaciones de cualquier tamaño. Conozca como este sistema operativo de
servidor seguro puede hacer que su organización y sus empleados sean más
productivos y estén mejor conectados.
Seguro
Windows Server 2003 cuenta con la fiabilidad, disponibilidad, escalabilidad y
seguridad que lo hace una plataforma altamente segura.
•
Disponibilidad. Windows Server 2003 ofrece una disponibilidad mejorada
de soporte a clustering. Los servicios de clustering han llegado a ser
esenciales para las organizaciones en cuanto a implementación de negocios
críticos, comercio electrónico y aplicaciones de negocios en línea, porque
proporcionan mejoras significativas en disponibilidad, escalabilidad y
manejabilidad. La instalación y configuración de clustering es más fácil y
más robusta en Windows Server 2003, mientras que algunas características
de red mejoradas en el producto ofrecen mejor recuperación de fallos y un
tiempo productivo alto del sistema.
La familia de Windows Server 2003 soporta clusters de servidor de hasta 8
nodos. Si uno de los nodos en un cluster no se puede usar debido a un fallo o
por mantenimiento, inmediatamente otro nodo empieza a dar servicio, un
proceso conocido como recuperación de fallos. Windows Server 2003 también
soporta balanceo de carga de red, el cual nivela el tráfico de entrada dentro del
Protocolo de Internet (IP), a través de los nodos en un cluster.
•
•
Escalabilidad. Windows Server 2003 ofrece escalabilidad a través de
"Scale-up", habilitado por multiprocesamiento simétrico (SMP) y "Scale-out",
habilitado por clustering. Pruebas internas indican que, comparado con
Windows 2000 Server, Windows Server 2003 da hasta un 140 por ciento de
mejor desempeño en la administración de archivos y un rendimiento más
significativo en varias otras características incluyendo servicio Microsoft
Active Directory, servidor Web y componentes Terminal Server así como
servicios de red. Windows Server 2003 abarca desde soluciones de
procesador únicas hasta sistemas de 32 vías. Esto soporta procesadores
tanto de 32-bits como de 64 bits.
Fiabilidad. Los negocios han hecho crecer la tradicional red de área local
(LAN) al combinar redes internas, externas y sitios de Internet. Como
resultado de esto, el aumento de seguridad en los sistemas es ahora más
crítica que antes. Como parte del compromiso de Microsoft de brindar
computación segura, la compañía ha revisado intensamente la familia
Windows para identificar posibles fallos y debilidades. Windows Server 2003
8. •
•
ofrece muchas mejoras y características nuevas e importantes de seguridad
incluyendo:
El tiempo de ejecución. Esta función del software es un elemento clave
de Windows Server 2003 que mejora la fiabilidad y ayuda a asegurar un
entorno seguro. Esto reduce el número de fallos y huecos de seguridad
causados por errores comunes de programación. Como resultado, hay
menor vulnerabilidad de que ocurran ataques. El tiempo de ejecución de
lenguaje común también verifica que estas aplicaciones puedan correr sin
errores y chequea permisos de seguridad válidos, asegurando que el código
realice solamente las operaciones correspondientes.
Internet Information Services 6.0. Para incrementar la seguridad del
servidor Web, Internet Information Services (IIS) 6.0 está configurado para
una máxima seguridad - la instalación por defecto está "asegurada".
Características de seguridad avanzadas en IIS 6.0 incluyen: servicios de
criptografía selectiva, advanced digest authentication, y acceso configurable
de control de procesos. Estas son algunas de las muchas características de
seguridad en IIS 6.0 que le permiten llevar a cabo negocios con seguridad
en la Web.
Productivo
En numerosas áreas, Windows Server 2003 tiene capacidades que pueden
hacer que su organización y empleados sean más productivos, como:
•
•
•
Servicios de impresión y archivos. En el corazón de cualquier
organización TI, la habilidad que se tenga de administrar eficientemente los
recursos de archivo e impresión, es lo que permitirá que estos estén
disponibles y seguros para los usuarios. Al aumentar las redes en tamaño
con más usuarios localizados en sitios, en ubicaciones remotas, o en
compañías de socios, los administradores de TI enfrentan cada vez más
carga pesada. La familia Windows ofrece servicios inteligentes de manejo de
archivos e impresión con una funcionalidad y rendimiento elevado,
permitiéndole reducir TCO.
Active Directory. Active Directory es un servicio de directorio de la familia
de Windows Server 2003. Esto almacena información acerca de objetos en
la red y hace que esta información sea fácil de encontrar por los
administradores y usuarios - proporcionando una organización lógica y
jerárquica de información en el directorio. Windows Server 2003 trae
muchas mejoras para Active Directory, haciéndolo mas versátil, fiable y
económico de usar. En Windows Server 2003, Active Directory ofrece una
escalabilidad y rendimiento elevado. Esto también le permite mayor
flexibilidad para diseñar, implementar y administrar el directorio de su
organización.
Servicios de Administración. Mientras que la computación se ha
proliferado en ordenadores de sobremesa y dispositivos portátiles, el coste
real de mantenimiento de una red distribuida de ordenadores personales ha
aumentado significativamente. Reducir el mantenimiento día a día a través
de la automatización, es la clave para reducir costes de operación. Windows
Server 2003 contiene varias herramientas importantes de administración
automatizada como Microsoft Software Update Services (SUS) y asistentes
de configuración de servidor para ayudar a automatizar la implementación.
La Administración de Políticas de Grupo se hace más fácil con la nueva
9. •
•
Consola para Administración de Políticas de Grupo (GPMC), permitiendo
que más organizaciones utilicen mejor el servicio Active Directory para sacar
beneficio de sus poderosas características de administración. En conclusión,
las herramientas de líneas de comandos permiten que los administradores
realicen la mayoría de las tareas desde la consola de comandos.
Administración de almacenamiento. Windows Server 2003 introduce
características nuevas y mejoradas herramientas para la administración del
almacenamiento, haciendo que sea más fácil y más seguro manejar y dar
mantenimiento a discos y volúmenes, respaldar y recuperar datos, y
conectarse a una red de almacenamiento (SANs).
Terminal Services. Terminal Services, componente de Microsoft
Windows Server 2003, se construye en el modo de servidor de aplicaciones
en Windows 2000 Terminal Services. Terminal Services le permite enviar
aplicaciones en Windows, virtualmente a cualquier dispositivo - incluyendo a
aquellos que no pueden correr Windows.
Conectado
Windows Server 2003 incluye características y mejoras nuevas para
asegurarse de que su organización y usuarios permanezcan conectados:
•
•
•
•
Servicios Web XML. IIS 6.0 es un componente importante de la familia
Windows. Los administradores y desarrolladores de aplicaciones Web
demandan una plataforma Web rápida que sea tanto escalable como
segura. Las mejoras significativas de arquitectura en IIS abarcan un modelo
de procesos nuevo que en gran medida aumenta la fiabilidad, la
escalabilidad y el desempeño. IIS está instalado predeterminadamente en
estado seguro (Lock down). La seguridad se incrementa debido a que el
administrador del sistema habilita y deshabilita funciones del sistema de
acuerdo a requerimientos de la aplicación. En conclusión, el apoyo directo
de edición de XML mejora la administración.
Comunicaciones y redes. Las comunicaciones y redes nunca han sido
tan críticas para las organizaciones que enfrentan el reto de competir en el
mercado global. Los empleados necesitan conectarse a la red desde
cualquier lugar y cualquier dispositivo. Socios, vendedores y otros fuera de
la red necesitan interactuar eficientemente con recursos clave, y la
seguridad es más importante que nunca. Las nuevas características y
mejoras en redes en la familia de Windows Server 2003 incrementan la
versatilidad, manejabilidad y fiabilidad de infraestructura de red.
Servicios empresariales UDDI. Windows Server 2003 incluye servicios
empresariales UDDI, una infraestructura dinámica y flexible para servicios
Web XML. Esta solución basada en estándares le permite a las compañías
llevar a cabo sus propios servicios internos UDDI para redes de uso interno
y externo. Los desarrolladores pueden encontrar y reutilizar fácil y
rápidamente los servicios Web disponibles dentro de la organización. Los
administradores TI pueden catalogar y administrar los recursos
programables de su red. Con servicios empresariales UDDI, las compañías
pueden crear e implementar aplicaciones más inteligentes y seguras.
Servicios de Windows Media. Windows Server 2003 incluye los servicios
de medios digitales más poderosos de la industria. Estos servicios son parte
de la nueva versión de la plataforma de tecnologías de Microsoft Windows
Media que también incluyen un nuevo reproductor de Windows Media, un
10. codificador de Windows Media, codecs de audio y video y un paquete para
desarrollo de software de Windows Media.
Mejor
economía
Microsoft diseñó Windows Server 2003 para ayudar a las compañías a darle
valor añadido a sus negocios al mantener costes bajos. La alta fiabilidad de
Windows Server 2003 ayuda a controlar costes al reducir fallos y tiempo de
inactividad. Windows Server 2003 tiene la flexibilidad de escalar según la
demanda.
Las herramientas poderosas de administración y configuración en Windows
Server 2003 le permiten a los negocios implementar y administrar sistemas tan
fácil y eficientemente como sea posible. La compatibilidad con aplicaciones
heredadas y productos de otras compañías hará que las organizaciones no
pierdan su inversión de infraestructura existente. Con la familia de Windows
Server 2003, las organizaciones se benefician de una plataforma poderosa y
robusta que ayuda a darle a los negocios valor hoy en día y en el futuro.
.NET
y
los
Servicios
Web
XML
Microsoft .NET está altamente integrado en la familia de Windows Server 2003.
Permite un nivel sin precedentes de integración de software al usar servicios
Web XML: aplicaciones discretas, con elementos básicos que se conectan
entre sí - así como con otras aplicaciones más grandes - vía Internet.
Al implantar en los productos la estructura de la plataforma de Microsoft, .NET
brinda la posibilidad de crear, alojar, implementar y usar rápida y fiablemente
soluciones seguras y conectadas a través de servicios Web XML. La
plataforma Microsoft proporciona una serie de herramientas de desarrollo,
aplicaciones cliente, servicios Web XML y de servidores necesarios para
participar en este mundo conectado.
Estos servicios Web XML proporcionan componentes reciclables construidos
en base a los estándares de la industria que integran capacidades de otras
aplicaciones independientemente de como las aplicaciones fueron creadas, de
su plataforma o sistema operativo o de los dispositivos usados para acceder a
ellos.
Con servicios Web XML, los desarrolladores pueden integrar aplicaciones
dentro de las empresas y a través de las fronteras de la red con socios y
clientes. Este avance - abre la puerta a una colaboración federada y a
relaciones de negocio a negocio y de negocio a cliente más eficiente - puede
tener un impacto potencial significativo en las ganancias. Millones de otras
empresas pueden usar estos componentes en varias combinaciones para
producir experiencias altamente personales e inteligentes.
Otros beneficios de .NET en la familia de Windows Server 2003 para los
desarrolladores de aplicaciones son:
•
•
Aprovechar sus inversiones existentes. Las aplicaciones existentes
basadas en Windows continuarán corriendo en Windows Server 2003 y
pueden ser fácilmente empaquetadas como servicios Web XML.
Escribir menos código y usar herramientas y lenguajes de programación
que conozcan. Esto es posible por estar los servicios de aplicación creados
11. •
en Windows Server 2003, tales como Microsoft ASP .NET, monitoreo de
transacciones, mensajes en espera y acceso a datos.
Usar monitoreo de procesos, reciclaje e instrumentación integrada para
dar fiabilidad, disponibilidad y escalabilidad a sus aplicaciones.
Todos estos beneficios están en la infraestructura básica mejorada del servidor
de Windows y forman la base de .NET.
5. Mejoras funcionales
•
DIRECTORIO
ACTIVO.
Destaca la nueva capacidad de renombrar dominios, la posibilidad de redefinir
el esquema, de desactivar tanto atributos como definiciones de clase en el
esquema, la selección múltiple de objetos sobre los cuales realizar cambios
simultáneamente, y la de establecer relaciones de confianza en bosques
cruzados, evitando problemas con políticas de usuarios y grupos.
El soporte de metadirectorios y del inetOrgPerson permite la integración de
información de identidades procedente de múltiples directorios, bases de datos
y ficheros, así como la migración de objetos de un directorio LDAP al Directorio
Activo. Las mejoras en la gestión de políticas de grupo, en el interfaz del
usuario a través de la Microsoft Management Console (MMC), y en la conexión
con oficinas remotas. En este último aspecto se ha optimizado la sincronización
y replicación tanto del Directorio Activo como del Catálogo Global entre
controladores de dominio, que puede ser verificada con nuevas herramientas
como Health Monitor y cuya compresión puede ser ahora desactivada para
disminuir la carga en la CPU a costa de consumir mayor ancho de banda en las
comunicaciones.
•
ADMINISTRACIÓN.
A través de la Consola de Gestión de Políticas de Grupo (GPMC) se mejora y
facilita la administración, integrándose aún más con los servicios del Directorio
Activo, con el consiguiente ahorro de costes. Se proporcionan herramientas y
servicios de implementación más potentes, entre los que cabe citar Windows
Management Instrumentation (WMI), Resultant Set of Policy (RsoP), las
mejoras en los servicios de IntelliMirror y la nueva tecnología de Instalación
Remota (RIS), con cuya implementación los usuarios pueden disponer de sus
aplicaciones y datos sin importar desde donde se conecten a la red corporativa.
Se ha potenciado la gestión a través de comandos, admitiendo scripting y
facilitando la administración remota.
•
SERVICIOS
FILE
&
PRINT.
Al mejorar la infraestructura del sistema de archivos (destacando las
tecnologías DFS, EFS y el nuevo soporte de tecnologías Antivirus) ahora es
más fácil utilizar, asegurar y almacenar tanto archivos como otros recursos
esenciales, y acceder a la información con herramientas de indexación de
contenidos más rápidas. Con el Automated System Recovery (ASR) es más
sencillo recuperar el sistema, hacer copias de seguridad de los ficheros y
mantener la máxima disponibilidad, sin depender de la asistencia del
departamento de TI. La conectividad se ve beneficiada con las características
mejoradas de compartición de documentos a lo largo de toda la organización
gracias al redirector WebDAV (Web Digital Authoring & Versioning). En lo que
respecta a la impresión, además de contar con soporte a más de 3.800
12. periféricos, los servicios disponen de tecnología tolerante a fallos en cluster,
aceptando tareas de otras plataformas como Macintosh, UNIX, Linux o Novell,
así como Wireless LAN y Bluetooth. El monitor de estado aporta un mayor
rendimiento y más información sobre la situación de los dispositivos, cuyas
características (ubicación, color, velocidad, etc) se pueden publicar en el
Directorio Activo para un mayor aprovechamiento de estos recursos.
•
INTERNET
INFORMATION
SERVICES
6.0.
Totalmente rediseñado con el objetivo de mejorar la seguridad, fiabilidad y
rendimiento, se instala completamente bloqueado por defecto.
Basado en una nueva arquitectura, las aplicaciones web en ejecución están
aisladas una de la otra, permitiéndose la monitorización y administración
proactiva de aplicaciones así como cambios de configuración en línea,
reduciendo el tiempo que precisan los administradores para reiniciar servicios
con el fin de mantener las aplicaciones operativas. IIS 6.0 ha demostrado su
compatibilidad con miles de aplicaciones de clientes e ISVs, y opcionalmente
puede ser configurado para funcionar en modo de aislamiento IIS 5.0, lo que
asegura
la
máxima
compatibilidad.
Además con el nuevo IIS 6.0 la replicación de configuraciones de servicio web
en diferentes servidores se convierte en una tarea totalmente automatizada
permitiendo a los administradores reducir el tiempo de implementación al
mínimo.
•
CLUSTERING.
Con características avanzadas de recuperación ante fallos y balanceo de
carga, ofrecen la máxima disponibilidad 7x24. Integrándose en el Directorio
Activo (en el que cada cluster es visto como un objeto "virtual") y con soporte
tanto de 32 como de 64 bit, en Microsoft Windows Server 2003 se ha
incrementado de 4 a 8 el número máximo de nodos por cluster, disponiendo así
el administrador de más opciones para garantizar el servicio para las
necesidades de la empresa.
Del Clustering cabe destacar la mayor facilidad de configuración (con preconfiguraciones y administración remota) y de administración de sus recursos
(entre ellos el gestor de Balanceo de Carga), las métricas para análisis de
disponibilidad, las capacidades mejoradas en seguridad (soporte de Kerberos,
EFS e integración con Seguridad IP), de almacenamiento (con funciones
específicas para redes SAN) y las destinadas a la recuperación de fallos,
contribuyendo todo ello al máximo uptime.
•
NETWORKING
&
COMUNICACIONES.
Con ayuda de la Resultant Set of Policy se puede analizar el impacto de la
implementación de políticas de red y comunicaciones, simplificando así la
resolución
de
problemas.
Mediante los servicios de Instalación Remota, las herramientas para migración
de configuraciones de usuarios, el nuevo Windows Installer (con soporte de
aplicaciones de 64 bit, así como de firmas digitales y CLR), los Software
Update Services (SUS) para testear las actualizaciones de Windows Update
antes de ser aplicadas en la organización y muchas otras nuevas
características de Microsoft Windows Server 2003, se logra una mejor gestión
centralizada de recursos y servicios, contribuyendo así a la reducción del TCO
y el aumento de la productividad de los usuarios.
13. •
TERMINAL
SERVICES.
Permiten disponer de aplicaciones Windows e incluso de los propios escritorios
Windows en prácticamente cualquier dispositivo, incluyendo aquellos que ni
siquiera funcionan bajo sistemas operativos Windows. Los nuevos Terminal
Services, construidos sobre la base y la experiencia de los existentes en
Microsoft Windows 2000 Server, ofrecen nuevas opciones para la
implementación de aplicaciones, un acceso más eficiente a los datos con
conexiones de menor ancho de banda, mayor número de usuarios
concurrentes, y mediante Session Directory proporciona el soporte necesario
para el balanceo de carga de red (tanto el desarrollado por Microsoft como el
de
otras
tecnologías
de
terceros).
Además con el nuevo Terminal Server el usuario podrá ver sus unidades y
dispositivos locales en sus sesiones remotas, así como recibir audio y video en
diferentes calidades a su elección. La administración de sesiones se mejora
permitiendo visualizar diferentes sesiones a la vez en consola por parte del
administrador e interactuar con ellas aportando valor a la sesión.
•
STORAGE
MANAGEMENT.
Añade nuevas y mejoradas funcionalidades para la gestión del
almacenamiento, haciendo más fácil y fiable la manipulación de discos y
volúmenes, copias de seguridad y procesos de restauración, así como la
conexión a redes SAN (Storage Area Networks). El IFS (Intelligent File Storage)
protege los datos de los usuarios, facilita el acceso a redes complejas y
proporciona una arquitectura de almacenamiento flexible. Shadow Copy
Restore permite a los usuarios la recuperación de versiones previas de
archivos sin interrumpir su trabajo y sin necesidad de intervención
administrativa. DFS (Distributed File System) permite a los administradores
asignar un único name-space, proporcionando a los usuarios un único acceso
virtual a elementos agrupados de forma lógica, aunque estén almacenados en
diferentes localizaciones físicas. La encriptación de datos de los usuarios (EFS,
Encrypting File Systems) es ahora más sencilla e incluye la encriptación offline
de carpetas y archivos, siendo particularmente beneficioso para los usuarios
móviles.
•
WINDOWS
MEDIA
SERVICES.
Los Windows Media Services ofrecen nuevas oportunidades de comunicación
(eLearning y broadcasting, tanto comercial como corporativo), y eliminan el
buffering para clientes que acceden a contenidos ricos en elementos
multimedia, con lo que se puede dar soporte al doble de los usuarios actuales
con Microsoft Windows 2000 Server. A esto contribuye también el Audio
Acceleration, que da prioridad, a la carta, al tráfico multimedia sobre otros flujos
de datos en servidores de acceso remoto, lo que proporciona un mejor
rendimiento, beneficiando especialmente a las redes de baja velocidad.
•
.NET
FRAMEWORK.
El .NET Framework está formado por tres elementos principales: el runtime del
lenguaje común (Common Language Runtime, CLR), un conjunto jerárquico de
librerías de clases unificadas, y una versión avanzada de Páginas de Servidor
Activas llamada ASP+. Integrando el entorno de desarrollo de aplicaciones
.NET Framework en Microsoft Windows Server 2003, los desarrolladores ya no
tendrán que escribir más código para resolver tareas de "fontanería
informática", centrándose exclusivamente en crear valor en los procesos de
14. negocio. Además, los nuevos Enterprise UDDI Services permiten descubrir y
reutilizar fácilmente servicios web dentro de la propia organización,
ejecutándose el servicio UDDI para su uso en la intranet o la extranet,
beneficiando así también a los desarrolladores.
•
APPLICATION
SERVICES.
Los avances en Microsoft Windows Server 2003 proporcionan numerosos
beneficios para el desarrollo de aplicaciones, lo que redunda en una
significativa reducción del TCO (Coste Total de Propiedad) y en un mejor
rendimiento. Entre ellos destacan una integración e interoperabilidad más
simplificada (con el soporte nativo de servicios Web XML, así como de los
estándares UDDI, SOAP y WSDL), mejoras en la productividad (al incluir
Microsoft .NET Framework, Message Queuing, COM+ y ASP .NET), una
escalabilidad y eficiencia superiores (gracias a la integración de ASP .NET en
IIS 6.0, al soporte asíncrono de .NET Framework y al caché inteligente de
ASP .NET), una seguridad garantizada end-to-end y a una implementación y
gestión mas eficientes con los servicios Windows Installer y nuevas
herramientas como Fusion, que soporta el versionado de DLLs side-by-side.
Microsoft Windows Server 2003: El doble de rendimiento
Windows
Server 2003
Windows
Server 2003
Windows
Server 2003
Windows Server
2003
Web Edition
Standard
Edition
Enterprise
Edition
Datacenter
Edition
Sí
Sí, incluido
Sí, incluido
metadirectorio
metadirectorio
Sí
Sí
Sí
Sí
Sí
Sí
No
8 Nodos
8 Nodos
Sí
Sí
Sí
Servidor Sí
Sí
Sí
Servicios de Sí
Directorio
Activo
Servicios de Limitado **
Ficheros
Servicio de No
Impresión
Clustering
No
Servicios de Sí
Balanceo de
Carga
Servicios IIS Sí web
dedicado a este
propósito
15. Servicios de No
Fax
Sí
Sí
Sí
Cortafuegos No
básico
Sí
Sí
No
Servidor,
Servidor,
Servicios de Administración Servidor,
Terminal
Remota
Administración Administración Administración
Remota
Remota
Remota
Session
Directory
Límite VPN 1
1000
conexiones
Session
Directory
Ilimitada
Ilimitada
Si
Si
concurrentes
Windows
System
No disponible
No disponible
Resource
Manager
** Limitado a 10 conexiones SMB para publicación web exclusivamente.
Capacidades Del Sistema
Windows
Windows
Windows
Windows
Server 2003 Server 2003 Server 2003 Server
2003
Web Edition Standard
Enterprise
Datacenter
Edition
Edition
Edition
Nº Máximo
procesadores
soportados
de 2
Memoria máxima 2 GB
4
8
64
4 GB
32 GB (32 bit) 32 GB (32 bit)
64 GB (64 bit) 512 GB (64 bit)
Requerimientos
Procesador a Procesador a Procesador a Procesador a
del
sistema 550 Mhz,
550 Mhz,
550 Mhz,
550 Mhz,
recomendados
256
MB 256 MB RAM, 256 MB RAM, 1 GB RAM,
RAM,
1.5 GB de 1.5-2.0 GB de 1.5
GB
de
1.5 GB de espacio
en espacio
en espacio
en
espacio
en disco
disco
disco
disco
16. Comparativa Con Versiones Anteriores
Windows NT Windows
Server 4.0
Server
2000 Windows Server 2003
Directorio Activo No disponible Incluido
Mejorado con renombrado
de directorios, modo de
aplicación de Directorio
Activo y replicación más
eficiente
Políticas
grupo
de No disponible Incluido
Mejorada con decenas de
nuevas características
Consola
gestión
Políticas
grupo
de No disponible No disponible
de
de
Proporciona gestión de
estaciones
de
trabajo
basada
en
directorios,
permitiendo cambios sobre
múltiples
usuarios
/
máquinas mediante una
sola orden administrativa
No disponible No disponible
Mejoras significativas en la
arquitectura realizadas para
superar los requisitos de
fiabilidad de los clientes
Recuperación
No disponible No disponible
Automática
del
Sistema (ASR)
ASR permite la restauración
en un solo paso del sistema
operativo, el estado del
sistema y la configuración
del hardware
Servicio Volume No disponible No disponible
Shadow Copy
Permite a los usuarios
recuperar versiones previas
de archivos almacenados
en unidades de red sin
intervención administrativa
Internet
information
Services 6.0
.NET Framework No disponible Está disponible Plataforma de aplicaciones
integrada
la descarga de completamente integrada
algunos
componentes
*
Servicios UDDI No disponible No disponible
Empresariales
Ayuda a las empresas a
organizar y catalogar los
17. servicios Web
ReNo disponible No disponible
autentificación
wireless
más
rápida
Asegura una experiencia de
usuario sin interrupciones
Gestor
Recursos
Sistema
Windows
Empleado para establecer
las limitaciones de recursos
asignadas a aplicaciones
servidor
Gestiona
servidor/
configura
servidor
de No disponible No disponible
del
de
tu No disponible Limitado a la Muestra
tareas
configuración del administrativas
comunes,
tu
servidor
listas de comprobación y
ayuda
relevante
para
realizar estas tareas
Windows Server 2003: Activación del producto
La familia de productos al menudeo Windows Server 2003 cuentan con la
tecnología de activación de producto lo que significa que deben activar su copia
de Windows Server 2003 antes de utilizarlo. Algunos servidores nuevos
comprados con Windows Server 2003 pre-instalado también requieren la
activación. Si su organización utiliza licencias de Windows Server 2003 por
volumen como Open License, Select License, o Enterprise Agreement,
entonces no es necesario activar estas licencias.
Resumen de la activación del producto
La Activación de Producto Microsoft es una tecnología de anti-piratería
diseñada para verificar que el software es legal. La meta de la activación del
producto es reducir una forma de piratería conocida como copia casual. La
activación también ayuda a proteger contra la clonación de discos duros. La
activación es rápida, simple, discreta, y mantiene su privacidad.
Microsoft se compromete a la protección de la propiedad intelectual y la
reducción en la piratería de software. Todos en la cadena económica —no sólo
el fabricante— del software es herido por la piratería incluso el revendedor, el
proveedor de soporte, y usted, el usuario. El software de Microsoft auténtico le
asegura un software de calidad superior y libre de virus-. El software pirata no lo
hace.
La activación del producto trabaja verificando que la llave del producto de un
programa de software no se utilice en un número mayor de computadoras al
qué está especificado en la licencia. Debe utilizar la llave del producto para
instalar el software y entonces se transformará en un número de ID de
instalación. Mediante un asistente de activación usted proporcionará a Microsoft
su número de ID de instalación mediante una transferencia segura sobre
Internet o vía telefónica. Una ID de confirmación será enviada a su servidor
para activar el producto.
18. El número de ID de instalación incluye una encriptación del la ID del producto y
un digerido del hardware. No son requeridos datos personales. El ID de
confirmación es simplemente un código de desbloqueo de una instalación de
Windows Server 2003 en particular.
19. Análisis de los requerimientos tecnológicos para la implementación de servidores web
seguros
Indice
1.
2.
3.
4.
5.
6.
7.
8. Anexos
Análisis
y
Tecnologías
de
Técnicas
de
Consideraciones
Objetivos
resultados
seguridad
protección
técnicas
Conclusiones
Bibliografía
1. Objetivos
Objetivo
General
Orientar sobre el mejor curso de acción para la puesta en marcha de un
servidor
Web
que
garantice la seguridad
de la información.
Objetivos Específicos
Evaluar y seleccionar un Sistema Operativo adecuado para la
implementación de herramientas de seguridad informática en
servidores de Web.
2.
Enunciar los requerimientos del equipo necesarios para el desarrollo
del Sistema Operativo seleccionado.
1.
1.
Establecer mecanismos y métodos eficaces con enfoque activo hacia la
seguridad para ser implementados al sistema.
1.
Proporcionar técnicas de protección que brinden soluciones óptimas a
la vulnerabilidad de los servidores Web.
1.
Presentar una serie de recomendaciones para el desempeño
satisfactorio del sistema mencionado, así como para su correcta
instalación.
Justificación
La extensión de la microinformática y de las redes de ámbito mundial que
interconectan recursos informáticos de todo tipo, ha hecho que los peligros que
sufre la información almacenada en los diversos sistemas crezcan
considerablemente y se diversifiquen, y que las medidas adoptadas
internamente
sean
insuficientes.
En los últimos años no sólo la prensa especializada en informática, sino todos
los medios de difusión han hecho eco del futuro de las autopistas de la
información, cuyo embrión está representado por la red Internet. Que con el
gran crecimiento que ha tenido permite mayores formas de ataque a la
seguridad en red, incluyendo los virus, Caballos de Troya y penetración de las
redes
internas.
A raíz de la interconexión del mundo empresarial a esta red, viaja por ella y se
20. almacena información de todo tipo, que abarca desde noticias o cotilleos,
documentos, normas y aplicaciones informáticas de libre distribución hasta
complejas transacciones que requieren medidas de seguridad que garanticen
la confidencialidad, la integridad y el origen de los datos. La escucha
electrónica, que permite la obtención y posible manipulación de información
privada, y los sabotajes realizados tanto por atacantes externos como internos,
están causando últimamente la pérdida de grandes cantidades de dinero.
Los servidores Web son designados para recibir solicitudes anónimas desde
auténticos hosts en la Internet y a liberar las solicitudes de información en una
manera rápida y eficiente. De tal forma, ellos proveen un portal que puede ser
usado por amigos y enemigos igualmente. Por su naturaleza, son complicados
programas que demandan un alto nivel de seguridad. El tipo de tecnología que
mejor cumple con estas demandas se deduce a través de estudios que se
realizan para la implementación de servidores Web seguros. El presente
trabajo pretende contribuir a este fin.
Resumen
Los Servidores Web suministran páginas Web a los navegadores (como por
ejemplo, Netscape Navigator, Internet Explorer de Microsoft) que lo solicitan.
En términos más técnicos, los servidores Web soportan el Protocolo de
Transferencia
de
Hypertexto
conocido
como
HTTP
(HyperText
Transfer Protocol), el estándar de Internet para comunicaciones Web. Usando
HTTP, un servidor Web envía páginas Web en HTML y CGI, así como otros
tipos de scripts a los navegadores o browsers cuando éstos lo requieren.
Cuando un usuario hace clic sobre un enlace (link) a una página Web, se
envía una solicitud al servidor Web para localizar los datos nombrados por ese
enlace. El servidor Web recibe esta solicitud y suministra los datos que le han
sido solicitados (una página HTML, un script interactivo, una página Web
generada dinámicamente desde una base de datos,...) o bien devuelve
un mensaje de error.
Seguridad
La seguridad en redes de telecomunicaciones está fundamentada en tres
elementos:
•
•
•
La Integridad.- Se refiere a que el contenido y el significado de la
información no se altere al viajar por una red, no obstante el número y tipo
de equipos que se encuentren involucrados; la infraestructura utilizada debe
ser transparente para el usuario.
La Confiabilidad.- Implica que el servicio debe estar disponible en todo
momento.
La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya
que contribuye a impedir que personas no autorizadas lean y conozcan la
información que se transmite.
La verdadera seguridad de un sistema va más allá de la instalación de la
actualización más reciente, la configuración de un cierto fichero, o la cuidadosa
administración del acceso de los usuarios a los recursos de sistema. Es una
manera de ver las diferentes amenazas que acechan su sistema y lo que se
está dispuesto a hacer para evitarlas.
21. Ningún sistema es totalmente seguro a menos que esté apagado (y aún así, es
posible que se lo roben). Cada vez que el sistema esté encendido puede ser
atacado, desde una broma inocua a un virus capaz de destruir el hardware, a la
posibilidad que los datos sean borrados. Pero no todo está perdido. Con una
actitud apropiada además de algunas buenas herramientas, se puede gozar de
un sistema sano sin problemas de seguridad.
El
Dilema
De
Seguridad
Inevitable
Todo usuario de cualquier sistema operativo se enfrenta a un dilema en común
al construir un paradigma de seguridad para su sistema. Por un lado, intenta
evitar hacer el sistema tan seguro que nada en él funcionará correctamente.
Pero por otro lado, también trata de evitar dejar el sistema tan inseguro que
cualquiera podría (y lo haría seguramente) hacerle lo que se le antoje, incluido
borrar el trabajo de otros o cosas peores. No existe una manera exacta para
resolver este dilema. Algunos sistemas, ya sea por la naturaleza de su utilidad
o la importancia de los datos que protegen, caen por un lado del dilema
mientras que otros sistemas, ya sea por la amplia variedad de usuarios que los
utilizan o el hecho de ser máquinas de prueba, caen por el otro lado.
Enfoque
Activo
Contra
Pasivo
Los enfoques relativos a la seguridad se pueden siempre separar en dos tipos
diferentes: activo o pasivo. Un enfoque activo hacia la seguridad cubre todas
las actividades ideadas para prevenir que se abra una brecha en el modelo de
seguridad de su sistema. Un enfoque pasivo hacia la seguridad se refiere a las
actividades desempeñadas para supervisar la seguridad de su sistema
basándose en ese modelo de seguridad.
Seguridad
De
Redes
Si usa su sistema en una red (como una red de área local, red de área amplia o
Internet), deberá ser consciente de que su sistema estará a un nivel más alto
de riesgo que si no estuviese conectado a una. Además de atentados brutales
a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de
su sistema en una red más grande aumenta la oportunidad de que ocurra
un problema de seguridad y la forma posible en que pueda ocurrir.
Posibles Problemas De Seguridad:
• Búsqueda entre los datos de autenticación — muchos métodos de
autenticación por defecto en los sistemas operativos dependen de enviarle su
información de autentificación "en abierto" donde su nombre de usuario y
contraseña se le envían por medio de la red en texto común o sin encriptar.
Existen herramientas a disposición para quienes tengan accesos a su red (o
Internet, si obtiene acceso a su sistema mientras la usa) para "husmear" o
detectar su contraseña grabando todos los datos transferidos por medio de la
red y examinarlos para encontrar declaraciones de inicios de sesión comunes.
Este método se puede usar para encontrar cualquier información enviada sin
encriptar, hasta su contraseña de root. Es esencial que utilice herramientas
(utilidades) para evitar que contraseñas y otros datos delicados se envíen sin
encriptación. Si por cualquier motivo no es posible utilizar estas herramientas
con su sistema, entonces asegúrese de no iniciar nunca sesiones como root a
menos que no esté presente delante de la máquina.
22. • Ataque frontal —ataques de denegación de servicio (DoS) y su tipo pueden
dañar hasta un sistema seguro inundándolo con peticiones inapropiadas o mal
formuladas que aplastarían su sistema o crearían procesos que pondrían en
peligro su sistema o sus datos, además de otros sistemas que comuniquen con
él. Existe una cantidad de protecciones diferentes a disposición para ayudar
a detener el ataque y minimizar el daño, como los firewalls que filtran los
paquetes. Sin embargo, los ataques frontales se encaran con una mirada
exhaustiva a la manera en que los sistemas no fiables se comunican con sus
sistemas fiables, erigiendo barreras protectoras entre los dos y
desarrollando una forma de reaccionar velozmente ante cualquier evento para
que la irrupción y los posibles daños sean limitados.
• Aprovechándose de un bug de seguridad o de un loophole (rendija) — de vez
en cuando se encuentran errores en el software que, si son explotados, podrían
causar graves daños a un sistema no protegido. Por este motivo trate de
ejecutar procedimientos desde el root lo menos posible. Use todas las
herramientas que estén a su disposición, como actualizaciones de paquetes
de Network y alertas de seguridad, para resolver problemas de seguridad tan
pronto como sean descubiertos. Por último, asegúrese que su sistema no tenga
programas innecesarios que inicien a la hora del arranque. Mientras menos
programas se ejecuten, menos probabilidades hay que un bug o error de
seguridad le afecte.
El
Desarrollo
De
Políticas
De
Seguridad
Todo sistema, desde una máquina usada sólo por una persona a un servidor
en el ámbito empresarial utilizado por miles de usuarios, debería tener políticas
de seguridad. Las políticas de seguridad son un conjunto de pautas utilizadas
para medir si una determinada actividad o aplicación debiese o no
ser desempeñada o utilizada en un sistema, basándose en los particulares
objetivos para ese sistema.
Las políticas de seguridad entre sistemas diferentes pueden variar mucho, pero
lo más importante es que exista una para su sistema no importa si está escrita
en el manual de políticas de la empresa o simplemente se recuerda.
Criptografía
La Criptografía proporciona comunicaciones seguras en canales inseguros. Se
divide en Sistemas de Clave Secreta, donde el emisor y el receptor utilizan la
misma clave secreta; y Sistemas de Clave Pública donde cada usuario posee
un par de claves una secreta y otra pública. DES (Data Encryption Standard) es
el sistema de clave secreta más utilizado, desarrollado por IBM es un algoritmo
de cifrado-descifrado de bloques de 64 bits basado en permutaciones,
mediante una clave de 64 bits. RSA (Rivest, Shamir y Adleman) es el más
extendido de los sistemas de Clave Pública en el que la clave pública y la
privada se componen de un exponente y un módulo que es producto de dos
números primos grandes. Este modo de cifrado requiere de una identificación
de usuario, Firma Digital. Actualmente se han desarrollado otros sistemas más
eficientes como Gamal y Curvas Elípticas.
ISO define los siguientes Servicios de Seguridad en las Redes: 1.Autenticación
de Entidad Par; 2.Control de Acceso; 3.Confidencialidad de Datos; 4.Integridad
de Datos, 5.No Repudio, con Prueba de Origen y 6. No Repudio con Prueba de
Entrega.
23. Requieren incorporar en el Nivel apropiado del modelo OSI Mecanismos de
Seguridad:
Cifrado: técnicas criptográficas que se aplican extremo a extremo o a cada
enlace;
Firma Digital: conjunto de datos que se añaden a una unidad de Datos para
protegerlos contra la falsificación, utiliza el esquema criptográfico.
Se necesita realizar una autenticación a través de un Certificado firmado por la
Autoridad de Certificación válido durante un tiempo límite.
Firewalls
(Muros
de
Fuego)
Estas entidades han proliferado debido a Internet. Limitan la exposición de la
red privada con el mundo exterior restringiendo accesos. Pueden monitorear
toda la actividad hacia la llamada red de redes de forma efectiva, además de
ayudar a mantener las políticas de seguridad, ya que son puntos centrales.
Cabe destacar que no protege contra malas intenciones de personas dentro de
la red privada, ni resguarda conexiones que no sean controladas por él y
tampoco contra virus.
Virus
Los virus informáticos son programas, generalmente destructivos, que se
introducen en la computadora (al leer un disco o acceder a una red informática)
y pueden provocar pérdida de la información (programas y datos) almacenada
en el disco duro. Existen programas antivirus que los reconocen y son capaces
de 'inmunizar' o eliminar el virus del ordenador.
2. Análisis y resultados
Introducción
Los Servidores Web son aquéllos que permiten a los clientes compartir datos,
documentos y multimedia en formato Web. Aunque es parte de la tecnología
Cliente-Servidor, el servidor Web aporta algunas ventajas adicionales; como
acceso más simple a la información (con un simple clic).
En el sentido más estricto, el término cliente/servidor describe un sistema en el
que una máquina cliente solicita a una segunda máquina llamada servidor que
ejecute una tarea específica. El programa cliente cumple dos funciones
distintas: por un lado gestiona la comunicación con el servidor, solicita un
servicio y recibe los datos enviados por aquél. Por otro, maneja la interfaz con
el usuario: presenta los datos en el formato adecuado y brinda las herramientas
y comandos necesarios para que el usuario pueda utilizar las prestaciones del
servidor de forma sencilla. El programa servidor en cambio, básicamente sólo
tiene que encargarse de transmitir la información de forma eficiente. No tiene
que atender al usuario. De esta forma un mismo servidor puede atender a
varios
clientes
al
mismo
tiempo.
La mayoría de servidores añaden algún nivel de seguridad a sus tareas. Por
ejemplo, si usted ha ido a alguna página y el navegador presenta una ventana
de diálogo que pregunta su nombre de usuario y contraseña, ha encontrado
una página protegida por contraseñas. El servidor deja que el dueño o el
administrador del servidor mantenga una lista de nombres y contraseñas para
las personas a las que se les permite ver la página, y el servidor deja que sólo
esas personas quienes saben la contraseña tengan acceso.
24. Los servidores más avanzados añaden seguridad para permitir una conexión
encriptada entre el servidor y el navegador así la información de suma
importancia como números de tarjetas de crédito pueda ser enviada por
Internet.
Sistemas
UNIX
Características
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Operativos
Es un sistema operativo multiusuario, con capacidad de simular
multiprocesamiento y procesamiento no interactivo
Está escrito en un lenguaje de alto nivel: C
Dispone de un lenguaje de control programable llamado SHELL
Ofrece facilidades para la creación de programas y sistemas y el
ambiente adecuado para las tareas de diseños de software
Emplea manejo dinámico de memoria por intercambio o paginación
Tiene capacidad de interconexión de procesos
Permite comunicación entre procesos
Emplea un sistema jerárquico de archivos, con facilidades de protección
de archivos, cuentas y procesos
Tiene facilidad para redireccionamiento de Entradas/Salidas
Contiene 4 aportaciones importantes que han aumentado la viabilidad de
los sistemas UNIX como base para los sistemas distribuidos:
Conectores Berkely
Los Streams de AT&T
El sistema de archivos de red NFS
El sistema de archivos remoto RFS de AT&T
Seguridad
Para poder identificar a las personas, UNIX realiza un proceso denominado
ingreso (login). Cada archivo en UNIX tiene asociados un grupo de permisos.
Estos permisos le indican al sistema operativo quien puede leer, escribir o
ejecutar como programa determinado archivo. UNIX reconoce tres tipos
diferentes de individuos: primero, el propietario del archivo; segundo, el
"grupo"; por último, está el "resto" que no son ni propietarios ni pertenecen al
grupo, denominados "otros".
Una computadora UNIX ofrece generalmente una serie de servicios a la red,
mediante programas que se ejecutan continuamente llamados daemon
(demonio). Por supuesto, para usar estos programas hay que tener primero
permiso para usar tal puerto o protocolo, y luego acceso a la máquina remota,
es decir, hay que ''autentificarse'', o identificarse como un usuario autorizado de
la máquina. Algunos de estos programas son telnet, rlogin, rsh, ftp, etc.
Microsoft
Windows
Características de Windows NT Server
•
•
•
•
NT
Soporta Sistemas Intel y los basados en RISC.
Incorpora un NOS (Sistema Operativo de Red) de 32 bits.
Ofrece una solución de red punto a punto.
Requiere un mínimo de 16MB en RAM, por lo que es más caro de
instalar que la mayor parte de los NOS.
25. •
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Soporta multitarea simétrica.
Puede usar hasta 4 procesadores concurrentes.
Además de ser multitarea, el Windows NT Server también es de lectura
múltiple o multilectura.
Soporta administración centralizada y control de cuenta de usuarios
individuales.
Las multitareas, priorizadas permiten que se ejecute simultáneamente
varias aplicaciones.
Las operaciones de red adquieren prioridad sobre otros procesos menos
críticos.
Incluye extensos servicios para Mac.
Una computadora Mac puede acceder a Windows NT Server, como si
accesara al servidor Appleshare.
Los archivos se traducen automáticamente de un formato a otro.
Los usuarios de PC y Mac tienen acceso a las mismas impresoras.
Incluso una Mac puede imprimir trabajos Postscript en una impresora PC
que no sea Postscript.
Windows NT Server soporta integración con otras redes (Con Software
adicional), que incluyen: NetWare, VINES, Lan Manager OS/2, UNIX, VMS y
redes SNA.
Es tolerante a fallas. Posee el reflejado a sistema espejo y separación
de discos.
Proporciona utilerías para administración y control fácil de usar.
Proporciona acceso remoto por marcación telefónica.
Seguridad
Windows NT ofrece gran seguridad por medio del acceso por cuentas y
contraseñas. Es decir un usuario debe tener su cuenta asignada y una
contraseña
para
poder
tener
acceso
al
sistema.
Contiene protecciones para directorios, archivos, y periféricos, es decir que
todo esto se encuentra con una contraseña para poder ser utilizados.
CONCEPTO DE DERECHOS.- Permite a un grupo de usuarios efectuar
determinadas
operaciones.
CUENTA ADMINISTRADOR.- Controla todos los permisos y con ellas se
puede:
•
•
•
Dar de alta
Asignar cuentas
Cancelar derechos
Novell Netware
Características de NetWare
•
•
•
•
•
•
Multitarea
Multiusuario
No requiere demasiada memoria RAM, y por poca que tenga el sistema
no se ve limitado por ej. Netware 4.0 (Requiere 6 Mb de RAM)
Brinda soporte y apoyo a la MAC
Apoyo para archivos de DOS y MAC en el servidor
El usuario puede limitar la cantidad de espacio en el disco duro
26. •
•
•
•
•
•
•
•
Permite detectar y bloquear intrusos
Soporta múltiples protocolos
Soporta acceso remoto
Permite instalación y actualización remota
Muestra estadísticas generales del uso del sistema
Brinda la posibilidad de asignar diferentes permisos a los diferentes tipos
de usuarios
Permite realizar auditorías de acceso a archivos, conexión y
desconexión, encendido y apagado del sistema, etc.
Soporta diferentes arquitecturas
Desventajas de NetWare
•
•
•
•
•
•
•
No cuenta con listas de control de acceso (ACLs) administradas en base
a cada archivo.
Algunas versiones no permiten criptografía de llave pública ni privada.
No carga automáticamente algunos manejadores en las estaciones de
trabajo.
No ofrece mucha seguridad en sesiones remotas.
No permite el uso de múltiples procesadores.
No permite el uso de servidores no dedicados.
Para su instalación se requiere un poco de experiencia.
Seguridad
del
Sistema.
Aunque los fabricantes que se dedican exclusivamente a los sistemas de
seguridad de redes pueden ofrecer sistemas más elaborados, NetWare de
Novell ofrece los sistemas de seguridad integrados más importantes del
mercado. NetWare proporciona seguridad de servidores de archivos en cuatro
formas
diferentes:
1.Procedimiento
de
registro
de
entrada
2.Derechos
encomendados
3.Derechos
de
directorio
4.- Atributos de archivo
Linux
Características
•
•
•
Es un clon del sistema operativo UNIX por tanto es Multitarea y
Multiusuario
Se puede correr la mayoría del software popular para UNIX, incluyendo
el Sistema X-Window
Cumple los estándares POSIX y de Sistemas Abiertos, esto es que tiene
la capacidad de comunicarse con sistemas distintos a él.
Ventajas de Linux
•
•
•
•
•
Precio. Es una implementación de UNIX sin costo
Estabilidad
Libre de virus, es muy difícil que sea infectado por virus
Seguridad, es mucho más seguro que otros servidores
Compatibilidad, reconoce la mayoría de los otros sistemas operativos en
una red
27. •
•
•
•
•
•
•
•
Velocidad, es mucho más veloz para realizar las tareas
Posee el apoyo de miles de programadores a nivel mundial
El paquete incluye el código fuente, lo que permite modificarlo de
acuerdo a las necesidades del usuario
Se puede usar en casi cualquier computadora, desde una 386
Puede manejar múltiples procesadores. Incluso hasta 16 procesadores
Maneja discos duros de hasta 16 TeraBytes
Soporta acceso remoto
Soporte nativo de TCP/IP (Fácil conexión a Internet y otras redes)
Desventajas de Linux
•
•
Carencia de soporte técnico.
Inconvenientes de hardware, no soporta todas las plataformas, y no es
compatible con algunas marcas específicas.
Sistem
Multi- Multia
Conectivi Confiabili Estabili Escalabili
POSI Propieta
usuari platafor
Operati dad
dad
dad
dad
X
rio
o
ma
vo
UNIX
Excelente Muy Alta
Windo Muy
ws NT Buena
Excelen
Muy Alta Si
te
Si
Si
Múltiple
Si
Regular Media
Inseg
Limita
Parcial
Si
uro
da
Netwar
Excelente Alta
e
Excelen
Alta
te
Si
Linux
Excelen
Muy Alta Si
te
Baja
Excelente Muy Alta
Si
No
Si
Si
Múltiple
Si
No
Tabla No.1 Comparación de las Características Generales de los Sistemas
Operativos
Sistema Operativo
UNIX
Mac OS X Server 10.2
Propietario
Apple
Precio
US $499.00 (10 usuarios)
US $999.00 (sin limite de usuarios)
Windows 2000 Advanced
Microsoft
Server
US
$809
(5
US $1,129 (10 Usuarios)
Netware 6.0
US $1,395 (5 usuarios)
Novell
usuarios)
28. US $47,995 (1000 usuarios)
Linux Red Hat 8.0
Gratis o sobre US $49.95 para una
distribución en CD-ROM
Tabla No.2 Precio de Algunas Versiones de los Sistemas Operativos
Sistema
Operativo
Seguridad
UNIX
Realiza un proceso denominado ingreso (login). Cada archivo en
UNIX tiene asociados un grupo de permisos. Hay que
''autentificarse'', o identificarse como un usuario autorizado de la
máquina. UNIX reconoce tres tipos diferentes de individuos:
primero, el propietario del archivo; segundo, el "grupo"; por
último, el "resto" que no son ni propietarios ni pertenecen al
grupo, denominados "otros".
El usuario debe tener su cuenta asignada y una contraseña para
poder tener acceso al sistema. El sistema está protegido del
acceso ilegal a las aplicaciones en las diferentes configuraciones.
Windows NT Ofrece la detección de intrusos. Permite cambiar periódicamente
las contraseñas.
No permite criptografía de llave pública ni privada.
Netware
Linux
Brinda la posibilidad de asignar diferentes permisos a los
diferentes tipos de usuarios. Permite detectar y bloquear intrusos.
Algunas versiones no permiten criptografía de llave pública ni
privada.
Presenta las mismas características que UNIX lo que lo hace
mucho más seguro que otros servidores.
Tabla No.3 Comparación de la Seguridad de los Sistemas Operativos
LINUX
RED
HAT
8.0
Red Hat puso en el mercado la versión 8.0 de su sistema operativo de fuente
abierta que ofrece un interfaz gráfico más agradable. El nuevo interfaz de
Bluecurve, basado en Gnome 2,0, ofrece temas, barras, menús y muchas más
nuevas opciones gráficas. La nueva versión también contiene un buen número
de aplicaciones actualizadas incluyendo la suite de fuente abierta para la
oficina, Open Office, así como el cliente de E-mail Evolution, y el browser
Mozilla 1.0.1.
También se incluye una suite de herramientas de configuración para configurar
diversos servicios del sistema incluyendo los servidores de Apache, samba,
ajustes de la red, firewall, y los periféricos. La compañía también ha incluido
versiones mejoradas de su compilador de C y del kernel del sistema operativo.
29. Herramientas
Básicas
De
Seguridad
En
Red
Hat
Módulos
de
Autentificación
Conectables
(PAM)
Los programas que ofrecen privilegios a los usuarios deben autentificar
(verificar la identidad de) adecuadamente cada usuario. Al iniciar una sesión en
un sistema, el usuario proporciona su nombre de usuario y contraseña y el
procedimiento de inicio de sesión usa el nombre de usuario y la contraseña
para autentificar el inicio de sesión para verificar que el usuario es quien dice
ser. Son posibles otras formas de autentificación además de las contraseñas.
Los Pluggable Authentication Modules (PAM) son una manera de permitir que
el administrador de sistema establezca una política de autentificación sin tener
que recompilar programas de autentificación.
Las
ventajas
de
PAM
Cuando se usa correctamente, PAM provee muchas ventajas para un
administrador de sistema, como las siguientes:
•
•
•
•
Un esquema de autentificación común que se puede usar con una gran
variedad de aplicaciones.
PAM puede ser ejecutado con varias aplicaciones sin tener que
recompilar las aplicaciones para soportar PAM específicamente.
Gran flexibilidad y control sobre la autentificación para el administrador y
para el desarrollador de aplicaciones.
Los desarrolladores de aplicaciones no necesitan desarrollar su
programa para usar un determinado esquema de autentificación. En su
lugar, pueden concentrarse puramente en los detalles de su programa.
Kerberos
Kerberos era el perro de tres cabezas de la mitología griega que por ser quien
cuidaba
las
puertas
del
infierno,
representa
seguridad.
Kerberos Es un servicio de autenticación desarrollado en MIT (Massachusetts
Institute of Technology) en colaboración con IBM y con Digital Equipment
Corporation y diseñado por Miller y Neuman en el contexto del Proyecto Athena
en 1987. Esta basado en el protocolo de distribución de claves presentado por
Needham y Schroeder en 1978.
El objetivos principal de Kerberos es el de proporcionar un sistema de
autenticación entre clientes y servidores que evite que las passwords de los
usuarios viajen continuamente por la red. El sistema se basa en una serie de
intercambios cifrados, denominados "tickets" o vales, que permiten controlar el
acceso desde las estaciones de trabajo a los servidores. Kerberos proporciona,
asimismo, una serie de verificaciones criptográficas para garantizar que los
datos transferidos entre estaciones y servidores no estén corrompidos, bien por
accidente o bien por ataques intencionados.
30. Fig.1 Funcionamiento de Kerberos
¿Por
qué
no
se
usa
en
todas
las
redes?
Kerberos elimina una amenaza de seguridad común pero debido a que se
deben configurar y sincronizar algunos parámetros puede ser difícil de
implementar.
Tripwire
El software Tripwire puede ayudar a asegurar la integridad de ficheros y
directorios de sistema esenciales identificando todos los cambios hechos a
ellos. Las opciones de configuración de Tripwire incluyen la capacidad de
recibir alertas por medio de correo electrónico si hay ficheros específicos que
han sido modificados y el control de integridad automatizado a través de un
trabajo cron. El uso de Tripwire para detectar intrusiones y fijar daños le ayuda
a mantenerlo al tanto de los cambios del sistema y puede agilizar el
restablecimiento de una entrada forzada reduciendo el número de ficheros que
hay que restablecer para reparar el sistema. Compara los ficheros y directorios
con una base de datos de la ubicación de los ficheros, las fechas en que han
sido modificados y otros datos. Tripwire genera la base tomando una
instantánea de ficheros y directorios específicos en estado conocido como
seguro. (Para máxima seguridad, Tripwire debería ser instalado y la base
debería ser creada antes que el sistema sea expuesto al riesgo de intrusión.)
Después de haber creado la base de datos de base, Tripwire compara el
sistema actual con la base y proporciona información sobre cualquier
modificación, añadidura, o supresión.
SSH
SSH (o Secure SHell) es un protocolo para crear conexiones seguras entre dos
sistemas. Usando SSH, la máquina del cliente inicia una conexión con una
máquina de servidor. SSH proporciona los siguientes tipos de protección:
•
•
•
•
Después de la conexión inicial, el cliente puede verificar que se está
conectando al mismo servidor durante sesiones ulteriores.
El cliente puede transmitir su información de autentificación al servidor,
como el nombre de usuario y la contraseña, en formato cifrado.
Todos los datos enviados y recibidos durante la conexión se transfieren
por medio de encriptación fuerte, lo cual los hacen extremamente difícil de
descifrar y leer.
El cliente tiene la posibilidad de usar X11 aplicaciones lanzadas desde el
indicador de comandos de la shell. Esta técnica proporciona una interfaz
gráfica segura (llamada reenvío por X11).
31. El servidor también obtiene beneficios por parte de SSH, especialmente si
desempeña una cierta cantidad de servicios. Si usa el reenvío por puerto, los
protocolos que en otros casos serían considerados inseguros (POP, por
ejemplo) se pueden cifrar para garantizar comunicación segura con máquinas
remotas. SSH hace relativamente sencilla la tarea de cifrar tipos diferentes de
comunicación que normalmente se envía en modo inseguro a través de redes
públicas.
Uso
de
Apache
como
servidor
Web
Seguro
(https)
La combinación del servidor Apache World Wide Web (WWW o Web) con el
módulo de seguridad mod_ssl y con las librerías y el kit de herramientas
OpenSSL proporcionados por Red Hat Linux, es lo que se conoce como secure
Web server o simplemente como servidor seguro.
El servidor Web Apache está diseñado de forma modular; consiste en muchas
porciones de código que hacen referencia a diferentes aspectos o
funcionalidades del servidor Web. Esta modularidad es intencionada, con lo
cual, cada desarrollador puede escribir su propia porción de código para cubrir
una necesidad en particular. Su código, llamado módulo, puede ser integrado
en el servidor Web
Apache
con
relativa
facilidad.
El módulo mod_ssl es un módulo de seguridad para el Servidor Web Apache.
El módulo mod_ssl usa las herramientas suministradas por el OpenSSL Project
para añadir una característica muy importante al Apache, la posibilidad de
encriptar las comunicaciones. A diferencia de las comunicaciones entre un
navegador y un servidor web usando HTTP "normal", en la que se envía el
texto íntegro, pudiendo ser interceptado y leído a lo largo del camino entre
servidor y navegador.
El OpenSSL Project incluye un kit de herramientas que implementa los
protocolos SSL (Secure Sockets Layer) y TLS (Transport Layer Security), así
como una librería de codificación de propósito general. El protocolo SSL se usa
actualmente para la transmisión de datos segura sobre Internet; El protocolo
TLS es un estándar de Internet para comunicaciones privadas (seguras) y
fiables a través de
Internet. Las herramientas OpenSSL son usadas por el módulo mod_ssl para
aportar seguridad en las comunicaciones Web.
Requerimientos Mínimos De Instalación
•
•
•
•
•
Procesador: Pentium-class
RAM: 32MB para modo texto; 128MB para modo gráfico
Disco Duro: 650MB de espacio
Monitor: SVGA (1024x768) para ambiente gráfico
CD –ROM: 12x o superior que soporte auto inicialización
Requerimientos Recomendados
•
•
•
•
Procesador: Pentium-class 200 MHz o superior
RAM: 192MB para modo gráfico
Disco Duro: 2.5GB de espacio; 4.5GB para instalación completa
Monitor: SVGA (1028x1024) para ambiente gráfico
32. •
CD –ROM: 32x con auto inicialización
3. Tecnologías de seguridad
Firewalls
¿Qué
es
un
firewall?
"Un firewall es un sistema o grupo de sistemas que establece una política de
control
de
acceso
entre
dos
redes".
Tienen las siguientes propiedades:
•
•
•
Todo el tráfico de adentro hacia afuera, y viceversa debe pasar a través
de él.
Sólo el tráfico autorizado, definido por la política de seguridad es
autorizado para pasar por él.
El sistema es realmente resistente a la penetración.
Tráfico
en
Internet
Cuando nos referimos a que todo el tráfico de adentro hacia afuera y viceversa,
debe pasar por un firewall, esto es respecto al protocolo TCP/IP. Para controlar
el tráfico de TCP/IP se debe tener una clara idea de cómo funciona el
protocolo.
Un Protocolo es una descripción formal de cómo serán intercambiados los
mensajes y las reglas que deben seguir dos o más sistemas para transferirlos
de tal forma que ambos puedan entenderse.
TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados
paquetes, y le da a cada uno un número. Estos paquetes pueden representar
texto, gráficas, sonido o vídeo; o cualquier elemento que la red pueda
transmitir. La secuencia de números ayuda a asegurar que los paquetes
puedan ser re ensamblados una vez recibidos. Entonces cada paquete
consiste en contenido, o datos, y la información que el protocolo necesita para
hacerlo funcionar, llamado protocolo encabezado.
Software
SPX
Es la arquitectura de seguridad desarrollada por Digital E. C. y propuesta para
su elección como estándar dentro de la iniciativa DCE del llamado "Grupo de
Gibraltar". Usa claves asimétricas RSA certificadas según la norma X.509
combinadas con el uso de DES como algoritmo de cifrado con claves de
sesión. Al igual que Kerberos dispone de un centro de autenticación ante el que
se identifican los usuarios (LEAF: Login Enrollment Agent Facility). El otro
componente básico es un Centro de Distribución de Certificados (CDC) que
gestiona un repositorio con los certificados de las claves públicas de clientes y
servidores.
El proceso de autenticación se basa en el uso inicial de una clave privada RSA
por parte del usuario que se autentica, esta clave se sustituye por una clave
temporal llamada clave de delegación disminuyendo la exposición de la clave
privada
del
usuario.
El uso de una jerarquía de certificados de clave pública permite solucionar los
problemas de escalabilidad que presenta Kerberos.
33. IPSec
Es una extensión del protocolo IP. Proporciona servicios criptográficos de
seguridad basados en estándares definidos por el IETF como control de
acceso, integridad, autenticación del origen de los datos, confidencialidad.
Proporciona encriptación y autenticación a nivel de red. Es transparente al
usuario ya que no se tienen que modificar los sistemas finales. Los paquetes
tienen la misma apariencia que un paquete IP corriente. Combina distintas
tecnologías: Diffie Hellman, encriptación clave pública, DES, funciones hash,
certificados digitales, entre otros.
Utiliza los Protocolos de seguridad:
•
•
•
AH (Authentication Header): Integridad y autenticación de origen
(HMAC, MD5, SHA–1)
ESP (Encapsulating Security Payload): Confidencialidad (DES, 3DES,
RC5, IDEA)
AH y ESP proporcionan control de acceso. Pueden ser aplicados solos o
en combinación para proporcionar la seguridad deseada
Dentro de Gestión de claves:
•
IKE (Internet Key Exchange): Establece la comunicación segura
(Security Association y clave DH)
Modos de funcionamiento
•
•
Modo transporte: es el host el que genera los paquetes. Solo se
encriptan los datos, la cabecera intacta añade pocos bytes. Permite ver las
direcciones de origen y de destino.
Modo túnel: uno de los extremos de la comunicación es un gateway. El
paquete IP se encripta entero, para el sistema final el paquete es
transparente
Firewalls
internos
Alguien fuera de la empresa podría solicitar cierta información, pero no
necesariamente necesita accesar a toda la información interna. En estas
circunstancias, los firewalls juegan un papel importante forzando políticas de
control de acceso entre redes confiables protegidas y redes que no son
confiables.
En una WAN que debe ofrecer conexión de cualquier persona a cualquiera,
otras formas en el nivel de aplicación pueden ser implementadas para proteger
datos importantes. Sin embargo, separar las redes por medio de firewalls
reduce significativamente los riesgos del ataque de un hacker desde adentro,
esto es acceso no autorizado por usuarios autorizados. Agregando encriptación
a los servicios del firewall lo convierte en una conexión firewall a firewall muy
segura. Esto siempre permite redes grandes interconectadas por medio de
internet. Agregando autenticación se puede aumentar el nivel de seguridad. Por
ejemplo un vendedor que necesite ver la base de datos del inventario, tendrá
que comprobar que es él.
Servidores
proxy
Un servidor proxy (algunas veces se hace referencia a él con el nombre de
34. "gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es
una aplicación que media en el tráfico que se produce entre una red protegida
e Internet. Los proxies se utilizan a menudo, como sustitutos de routers
controladores de tráfico, para prevenir el tráfico que pasa directamente entre
las redes. Muchos proxies contienen logins auxiliares y soportan la
autentificación de usuarios. Un proxy debe entender el protocolo de la
aplicación que está siendo usada, aunque también pueden implementar
protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser
configurado para permitir FTP entrante y bloquear FTP saliente). Los
servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de
servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen
proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news.
SOCKS es un sistema proxy genérico que puede ser compilado en una
aplicación cliente para hacerla trabajar a través de un Firewall.
Hardware
Routers
de
Selección
Muchos routers comerciales proporcionan la capacidad de seleccionar
paquetes con base a criterios como el tipo de protocolo, los campos de
dirección de origen y dirección de destino para un tipo particular de protocolo y
los campos de control que son parte del protocolo. A esos routers se les llama
routers de selección. Estos pueden proporcionar un mecanismo poderoso para
controlar el tipo de tráfico de red que puede existir en cualquier segmento de
una red. Al controlar ese tipo de tráfico, los routers de selección pueden
controlar el tipo de servicios que pueden existir en un segmento de red. Por lo
tanto, pueden restringirse servicios que pueden poner en peligro la seguridad
de la red.
Los routers de selección pueden discriminar entre el tráfico de red con base en
el tipo de protocolo y en los valores de los campos del protocolo en el paquete.
A la capacidad del router para discriminar entre paquetes y restringirlos en sus
puertos con base en criterios específicos de protocolo se le denomina filtración
de paquetes. Por esta razón, los routers de selección son llamados también
routers de filtración de paquetes. Fabricantes de routers como Cisco, Wellfleet,
3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que
pueden programarse para desarrollar funciones de filtración de paquetes. La
filtración de paquetes se hace para restringir el tráfico de red para los servicios
que habrán de rechazarse.
Routers
como
Firewalls
El Router es un tipo especial de switch el cual realiza el trabajo de hacer las
conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN.
Los paquetes de datos transmitidos hacia internet, desde un visualizador de
una PC, pasarán a través de numerosos ruteadores a lo largo del camino, cada
uno de los cuales toman la decisión de hacia donde dirigir el trabajo.
Los ruteadores toman sus decisiones basándose en tablas de datos y reglas,
por medio de filtros, así que, por ejemplo, sólo datos de una cierta dirección
pueden pasar a través del ruteador, esto transforma un ruteador que puede
filtrar paquetes en un dispositivo de control de acceso o firewall. Si el ruteador
puede generar un registro de accesos esto lo convierte en un valioso
dispositivo
de
seguridad.
35. Si el servidor de internet solicita información, o bien la suministra hacia
sistemas de bases de datos distribuidas, entonces esta conexión entre el
servidor y la estación de trabajo debería ser protegida.
Firewalls
con
Encriptación
Algunos firewalls proveen servicios de seguridad adicionales. Como
encriptación y desencriptación, ambas deben usar sistemas compatibles de
encriptación. Existen varios fabricantes que ofrecen dichos sistemas.
Encriptación de firewall a firewall es la forma que se usa en el Internet de hoy.
Verificar la autenticidad del usuario así como el sistema que esté usando
también es importante, y los firewalls pueden hacerlo, usando tarjetas
inteligentes, fichas y otros métodos. Las firewalls, pueden incluso proteger
otras redes exteriores. Una compañía puede aplicar las mismas restricciones
de tráfico, mejorado con autenticación.
4. Técnicas de protección
Aplicación
Gateway
Para contar algunas de las debilidades asociadas con el ruteador de filtrado de
paquetes, los desarrolladores han creado aplicaciones de software que
adelantan y filtran conexiones para servicios tal como telnet y ftp. Las
aplicaciones referidas son servidores proxy, también conocido como aplicación
gateway. Las máquinas host corriendo los servidores proxy se conocen como
firewalls de aplicación gateway. Trabajando junto, firewalls de aplicación
gateway y el ruteador de filtrado de paquetes pueden potencialmente dar más
altos niveles de seguridad y flexibilidad que una sola. Por ejemplo, considera
un sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un
ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un
host solamente. Un usuario quien desea conectarse a través del sistema debe
tener que conectar primero a la aplicación gateway, y entonces al host de
destino. Los firewalls de aplicación gateway únicamente permiten esos
servicios para cuales hay un proxy. En otras palabras, si un gateway de
aplicación contiene proxy para ftp y telnet, entonces solo ftp y telnet puede
permitirse en la subred protegida y todos los otros servicios son completamente
bloqueados. Para algunos sitios, este grado de seguridad es importante, como
garantiza que sólo los servicios considerados confiables se permiten mediante
el firewall. Esto también previene que otros servicios intrusos estén siendo
implementados a espaldas de los administradores del firewall.
Las aplicaciones gateway ofrecen un número de ventajas generales sobre el
modo default de permitir que la aplicación trafique directamente para hosts
internos. Estas ventajas incluyen:
•
•
Ocultamiento de la información. Los nombres de sistemas internos no
necesariamente necesitan ser conocidos por medio del DNS para los
sistemas externos, desde la aplicación gateway puede ser el host el único
cuyo nombre debe hacerse conocido afuera de los sistemas.
Robusta autenticación y registro. La gateway puede autentificar el tráfico
de la aplicación antes que este llegue a los hosts internos. El tránsito puede
entonces ser registrado más efectivamente que con el registro estándar del
host.
36. •
•
Costo - eficacia. La tercera parte de software o hardware para la
autenticación o registro necesario puede ser ubicada sólo en la aplicación
gateway.
Menos complejas las reglas de filtrado. Las reglas en el ruteador de
filtrado de paquetes serán menos complejas que aquellas que serían si el
ruteador necesitara el filtrar el tráfico de la aplicación y dirigir éste a un
número de sistemas específicos. El ruteador necesita solo permitir tráfico
destinado para la aplicación gateway y rechaza el resto.
El
Monitoreo
De
Paquetes
Otro punto de vista que gana aceptación es la inspección de paquetes que no
sólo los filtra, esto es, considerar su contenido tanto como sus direcciones. Los
firewalls de este tipo emplean una inspección de módulos, aplicable a todos los
protocolos que comprenden los datos de los paquetes destinados desde el
nivel network (IP) hasta el nivel de aplicación. Esta estrategia puede proveer
seguridad sensitiva al contexto para complejas aplicaciones y puede ser más
efectiva que la tecnología que sólo tiene acceso a los datos en ciertos niveles.
Por ejemplo las aplicaciones gateway sólo acceden a los datos de nivel
aplicación, los ruteadores tienen acceso solamente a niveles bajos, el enfoque
de la inspección de paquetes integra toda la información reunida de todos los
niveles en un simple punto de inspección.
Algunos firewall de inspección también toman en cuenta el estado de la
conexión, por ejemplo, la legítima entrada de paquetes puede ser probada con
la petición de salida para ese paquete y se le permite entrar. Por el contrario,
un paquete de entrada se enmascara con su respuesta a una inexistente
petición de salida, este será bloqueado. Esto lleva el enfoque de tan llamado
estado (stateful) más allá del filtrado de paquetes. La inspección de módulos
usa previas comunicaciones para derivar el estado actual de la comunicación
que se está realizando. El filtrado inteligente puede efectivamente combinarse
con la habilidad del rastreo de la sesión de red. Para usar la información acerca
del inicio y fin de la sesión en la decisión de filtrado. Esto es conocido como
filtrando sesión (sesión filtering). Los filtros usan reglas inteligentes, así
aumenta el proceso de filtrado y controlando el rastreo de sesiones de la
network que controla los paquetes individuales.
Firewalls
Híbridos
En la práctica, muchos de los firewalls comerciales de hoy usan una
combinación de estas técnicas. Por ejemplo, un producto que se originó como
un firewall filtrador de paquetes puede haber sido mejorado con filtrado
inteligente a nivel de aplicación. Las aplicaciones proxy en áreas establecidas
como ftp pueden agregar una inspección de filtrado en base a su esquema.
Nota: Agregando los métodos de seguridad no significa necesariamente un
aumento en la seguridad. Los mecanismos adicionales pueden aumentar,
disminuir, o dejar establecida la postura de seguridad del firewall.
5. Consideraciones técnicas
Particiones
Del
Definición de la Partición de Discos
•
Partición Única
Disco
Duro
37. •
•
•
Múltiples Particiones en un sólo disco
Múltiples Discos con una partición por disco
Múltiples Discos con múltiples particiones por disco
¿Cuántas
particiones?
Llegados a este punto en el proceso de preparación de la instalación de Red
Hat Linux, tendrá que considerar el número y el tamaño de las particiones que
serán utilizadas por el nuevo sistema operativo. Le aconsejamos crear, a
menos que no tenga una razón para hacerlo de forma distinta, las particiones
siguientes:
•
•
•
Partición swap: Las particiones swap son utilizadas para soportar la
memoria virtual. En otras palabras, los datos son escritos en la swap cuando
no hay bastante memoria disponible para contener los datos que su
ordenador está procesando. Si su ordenador tiene 16 Megas de RAM o
incluso menos, tiene que crear una partición swap. También si tiene más
memoria, se recomienda la utilización de una partición swap. El tamaño
mínimo para una partición de swap tendría que ser igual a la cantidad de
memoria RAM presente en su ordenador, o por lo menos 16MB (entre las
dos se aconseja elegir la cantidad mayor).
Una /boot partición: La partición que se crea bajo /boot contiene el kernel
del sistema operativo (que permite el arranque de su sistema con Red Hat
Linux), junto con algunos ficheros utilizados durante el proceso de arranque.
Debido a las limitaciones de la mayoría de BIOSes de PCs, es una buena
idea crear una partición pequeña para estos ficheros. Esta partición no
debería superar los 32 MB.
Partición root (/): La partición root es donde se encuentra / (el directorio
de root). En esta configuración de las particiones, todos los ficheros (excepto
los que residen en /boot) están en la partición de root. Por ello sería una
buena elección hacer lo más grande posible el tamaño de su partición de
root. Una partición root de 1.2 GB es equivalente a la que es instalada por
una instalación de clase estación de trabajo (con poquísimo espacio libre),
mientras que una partición root de 2.4 GB le permitirá instalar todos los
paquetes. Es obvio que cuanto más espacio pueda darle a la partición root
mejor.
Arreglo
de
Discos
Duros
RAID
Los discos duros son menos eficaces que el rendimiento general del sistema,
provocando una descompensación entre el tratamiento de la información del
sistema (muy rápido) y la lectura – grabación de datos en el disco duro (muy
lenta). Para ello se invento un sistema para guardar información en varios
discos duros a la vez por lo que el acceso se hace mas rápido ya que la carga
se distribuía entre los diferentes discos duros, a esto se le llamo RAID
Redundant Arrays of Inexpensive Disks (Arreglo redundante de discos baratos).
Los arreglos RAID se pueden lograr en dos formas: por hardware y por
software. Los arreglos basados en software ocupan memoria y consumen
ciclos del CPU. Como compiten con las demás aplicaciones de la computadora,
degradan el desempeño total del host. En arreglos por hardware el CPU se
puede encargar de las aplicaciones mientras el procesador del arreglo se
38. encarga de sus propias funciones al mismo tiempo. Además no ocupa memoria
ni depende del sistema operativo.
Niveles de RAID
RAID-0 RAID nivel 0 no es redundante, o sea que no es tolerante a fallas y en
realidad no va de acuerdo con las especificaciones "RAID". En este
nivel, los datos están repartidos en los diferentes discos, lo cual nos da
una alta transferencia de datos. Como no se graba ningún tipo de
información redundante, el desempeño es muy bueno, sin embargo
una falla en cualquier disco significa la perdida total de la información.
Este nivel es comúnmente referido como "Striping".
RAID-1 RAID nivel 1 nos provee de información redundante ya que graba
todos los datos en dos o más discos. El desempeño del nivel 1 tiende
a ser más rápido en lectura y más lento en escritura comparado con la
de un sólo disco. Sin embargo, si un disco falla no se pierde la
información. Este es un buen sistema redundante básico, ya que sólo
requiere de dos discos duros; sin embargo, un disco es usado para
duplicar los datos, lo cual significa que se pierde un 50% de capacidad
y que el costo por MB es muy alto. Por ejemplo dos discos de 30GB
cada uno, daría un total de 30GB de espacio utilizable en vez de 60GB
si no se hace este arreglo. A este nivel se le conoce como "Mirroring"
(Espejo).
RAID-2 RAID nivel 2 usa corrección de errores según el código Hamming, y
está pensado para discos que no tienen corrección de errores
integrada. Todos los discos duros SCSI tienen corrección de errores
integrada, de manera que no hay mucho uso para este nivel si usas
discos SCSI.
RAID-3 RAID nivel 3 graba los datos a nivel de bytes entre varios discos,
grabando la paridad en un sólo disco. Es similar al arreglo de nivel 4 y
requiere de un hardware especial.
RAID-4 RAID nivel 4 graba los datos a nivel de blocks entre varios discos,
grabando la paridad en uno sólo. La paridad permite recuperar los
datos en caso de que algún disco falle. El desempeño de nivel 4 es
muy bueno para lecturas. La escritura es más lenta pues requiere la
grabación adicional de la paridad. El costo por MB no es tan caro ya
que sólo un disco graba la paridad.
RAID-5 RAID nivel 5 es similar al nivel 4, pero distribuye la información de
paridad entre todos los discos. Esto hace que la grabación de datos
pequeños en sistemas multiproceso sea más rápida, ya que el disco
de paridad ya no es el cuello de botella. La lectura de información es
un poco más lenta que en el nivel 4 ya que la paridad debe ser leída
de varios discos. El costo por MB es igual al del nivel 4.
39. Soluciones
híbridas
o
alternativas
Hay otros tipos de arreglos que son híbridos o variaciones de RAIDs estándar.
Muchos de estos RAIDs han sido definidos por marcas como Compaq o IBM.
RAID-10 Este arreglo es un híbrido entre RAID-0 "Striping" y RAID-1
"Mirroring". Es pues un mirror de dos RAID-0, o un RAID-1 de dos RAID-0. De
esta forma tienes un backup completo del RAID-0 y garantizas la integridad de
datos.
RAID-7 Definido por Compaq e IBM como "Hotspare", es un arreglo RAID-5 al
que se le agrega un disco extra que sólo entra a funcionar automáticamente
cuando uno de los discos del arreglo falla.
Protección
Física
Del
Servidor
En esta parte no se pretende dar especificaciones sobre el diseño de edificios
resistentes a terremotos, ni complicadas alarmas de seguridad electrónica, ya
que cada sitio es diferente y por tanto lo son también sus necesidades de
seguridad; de esta forma, no se pueden dar recomendaciones específicas sino
pautas generales a tener en cuenta, que pueden variar desde el simple sentido
común (como es el cerrar con llave el cuarto de servidores cuando salimos de
él) hasta medidas mucho más complejas, como la prevención de radiaciones
electromagnéticas de los equipos o la utilización de degaussers. En entornos
habituales suele ser suficiente con un poco de sentido común para conseguir
una mínima seguridad física. El conocimiento y análisis de estas pautas es
responsabilidad de todo Administrador de sistemas informáticos por lo que han
sido incluidas para ser leídas detenidamente (Anexo 2).
La "seguridad física" de los sistemas son todas aquellas medidas y
mecanismos de protección y detección que sirven para proteger cualquier
recurso del sistema, desde un simple teclado hasta un disco de backup con
toda la información que hay en el sistema, pasando por la propia CPU de la
máquina. Se dividen en varias categorías:
o
o
o
o
Protección del hardware
Acceso físico
Prevención
Detección
Desastres naturales
Terremotos
Tormentas eléctricas
Inundaciones y humedad
Desastres del entorno
Electricidad
Ruido eléctrico
Incendios y humo
Temperaturas extremas
Protección de los datos
Eavesdropping
Backups
Otros elementos
Radiaciones electromagnéticas
40. 6. Conclusiones
Todos los Sistemas Operativos analizados en el presente trabajo representan
opciones viables para la implementación de seguridad en los servidores. Red
Hat Linux es un Sistema Operativo que debe considerarse seriamente ya que
presenta numerosas ventajas, además de lo económico de su adquisición, las
herramientas de seguridad que incluye hacen factible su configuración como
servidor Web.
Los Requerimientos de Hardware para la Instalación de Red Hat son otra
ventaja en la utilización de este Software ya que demanda pocos recursos para
un funcionamiento óptimo. Por tanto los costos de adquisición de Hardware
disminuyen considerablemente en relación a otro Sistema Operativo. Aunque
debe verificarse la Lista de Compatibilidad de Hardware previamente a su
adquisición Anexo 3.
Las técnicas de protección estudiadas son soluciones eficientes a los
problemas de seguridad, ya que son una combinación de Hardware y Software
capaces de detectar, prevenir y atenuar cualquier situación de peligro para el
sistema. La decisión sobre su implantación al sistema está en dependencia de
las necesidades de la empresa o del grado de seguridad que se desee adquirir.
"Agregando métodos de seguridad no significa necesariamente un aumento en
la seguridad".
Para un desempeño óptimo del servidor deben tomarse muy en cuenta las
consideraciones técnicas enunciadas ya que proporcionan un incremento en el
rendimiento del sistema según las características de éste. Debe darse mucha
importancia a la "seguridad física" del sistema ya que si no se analizan los
factores físicos que puedan ocurrir todos los esfuerzos por asegurar un sistema
con la tecnología más eficiente no van a servir de nada; se debe pensar más
allá de las maneras elementales de sobrepasar los métodos de seguridad, no
se debe poner énfasis en una sola manera en que el sistema puede ser
atacado.
Recomendaciones
La seguridad de un sistema no sólo está en dependencia de la calidad del
software o del hardware que se utiliza, es parte fundamental seguir ciertas
recomendaciones que garantizarán la verdadera seguridad de los sistemas.
El
desarrollo
de
Cualquier política de seguridad
características como pautas:
•
•
•
políticas
debería estar
de
construida
seguridad
con estas
Sencilla y no compleja, mientras más sencilla y clara la política de
seguridad, más fácil será que las pautas sean respetadas y el sistema
permanezca seguro.
Fácil de mantener y no difícil, como todo, los métodos y herramientas de
seguridad pueden cambiar dependiendo de necesidades y retos nuevos. La
política de seguridad debería construirse con un enfoque hacia la
minimización del impacto que los cambios tendrán en su sistema y en sus
usuarios.
Promover la libertad a través de la confianza en la integridad del sistema
en vez de una sofocante utilización de sistema, evitar métodos y
herramientas de seguridad que limiten innecesariamente la utilidad del