INSTALA GON @ CONE! G@UIRAGHON Y ADMINISTRACION &SEGURIDAD ADMINISTRAGION: DE WINDOWS SERVER En esta clase presentaremos las caracteristicas y ventajas del sistema para servidores ofrecido por Microsoft. Analizaremos las opciones de Active Directory y puntualizaremos como administrar las directivas de grupo en forma avanzada. > WINDOWS SERVER > DERECHOS Y RESTRICCIONES > EDICIONES DE WINDOWS SERVER > COMUNICACION LINUX - WINDOWS > TIPOS DE MALWARETecnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Buds Valentin Almirén José Bustos Asesores técnicos Gustavo Cardelle Federico Pacheco Rochigo Chavex Javier Richart Alejandro Gmez Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Peeraza Ezequiel Sancher curso visual yprctico Téenico en redesy seguridad es ura publican de Fox Andina en coecén con Dalaga 5.4. st publcacén no puede ser repreducida ni en todo en pate, por ningin medio actual ux sin el pemiso previo y por esca te Fox Andina S.A. Distibudoes en Argentina: Capital: Vaccaro Since Cia. SC Moreno 794 piso (1097), Ciudad de Buenas es, Tel 541 1-4347-403114032 Intro Distibuidorinerplazas S.A (DISA) Pe Luis Sanz aia 1832 (C1135A8N), Buenos Aes, Te $411-4305-0114, Bola: Agencia Modema, General Aca -0132, Casta de caren 462, Cochabamba Tel $914-422-1414, Chile: META SA, lians Aeboledo 1717 - Ruca Santiago Tel $62-620-1700. Clarbia:istrbuidoras Unidas S.A, Carrera 71 No 21 73, ogo OC, Tel $71-486-8000, Ecuadr sands (isribudora de os Andes) Cale 7 yAv. Agustin Fee, Guayaqul Tel $9342-271651. México: Distribuidera Intermex, SA. de Cv, Luci Banco #35, Col San ua Whuaca, México DF (0240) Tel, 5255 52 30 9543. Prk Distribuidor Bolvaiana SA, A, Replica de Panam 3635 piso 2 San li, Lins, Te, 511-4412948 anexo 21, Uruguay: spe 5. Paraguay 1924, Montevideo, Tel 5982-924-0766.Venenea:istbuidore Continental Bloque de Aumas, Effico Bloque de érmas Piso Sa, A. San Mani cuce con ral La Fa, Caracas Te, 58212-406-4250. Impreso en SeagratS.A. inpreso en Avgentna, Copyright © Fox Andina S.A. UM PDF Reducer Dem Técnicoen &SEGURIDAD ADMINISTRACION JE WINDOWS SERVER eas cle pesentarones ls exactertn)vns de nina as descr egg fra arnt. mons semen > ees esracoes > emmone or woos men » omc um -oos os aie Técnico enredes y seguridad / coordinade por Paula Budtis.- 1a ed, ~ Buenos Aires: Fox Andina, 2013, 576 p.; 28X20 em. (Users; 22) ISN 978-987-1857-78-4 1. Informatica. 2, Redes |. Bubs, Paula, coord. ‘cDD 008.68En esta clase veremos... Caracteristicas y ediciones de Windows Server, asi como también la forma correcta de realizar su administracién, asignar restricciones y administrar las Directivas de Grupo. ca wn cnc pe esc pcreiaeseiecemeipels ilmenite EAaHaneTS eC ingaly Eman Blac vr obs Ay pal 8 a pan Ar ra i arte avelieainos el 10S’ Seth de reac lpi a Active Directory cenas qu msotece sre ERR ucer Demo dimos consejos de seguridad para los servidares de red ydescibnes sterols dl hardaremarageret Enea dase conceteos os prgles cares de 14 i is etn Winco sey eae Gistintas ediciones is igi vata agian Seas de Windows Server las resicciones Veremos qué es Active Director yaprenderemos 8 aiministar las Directvas de Grupo en forma avanzada, También expestemoscbme comunia er éoes Linux con lene nda yee, ara termina ares 2 las dstints ios de malware exieres Administracin de Directivas de Grupo 22 Tipos de malware worwredusers.comTECNICO EN REDES Y SEGURIDAD | 15 © Windows Server: caracteristicas Microsoft ofrece, entre sus sistemas operativos, aquellos dedicados a la gestién y administracién de servidores bajo un amigable entorno grafico. eniro el amp aanico de sistemas operativos que pordemosistalar en nuestros equips, encontramos que cexiston diferentes versiones y caracttsticasasocadas@ ellos Entre las distintas empresas desanliadoras, hay familias de sistemas operativos dedicados a diversas tareas, principalmente hogatefias y empresarals. Gsiel 90% dels equiposhogaretios de cccrro isnt cn sitemaecportioP DF Red ce la empresa Microsoft, de la fama Windows. lo larga de los aos, estos fueron modificades segin las necesidades de os divers Gintes,y hoy, ura de as ramas principales son os sistemas dedicados a setvidores (empresas y reds infornaticas ‘fandés),conocides como Windows Servet Windows Server Se puede cansidear qu as ivesas versiones de Windows Server crtesponden 2 los sistemas operatives comerciales estinados al consunidor pomedio, pero centrados en aplicaciones y rendimiento para empresas yorganizaciones. La primera version de ellos destinadsa las organizaciones fue Windows NT (que, @ pati de entonces, fue conocido como Windows NT35, 3.51, 40), que carrespondia con Windows 95, at sucesiamente para Windows 2000 (Windows NT 2000), Windows XP (se inteoreron muchos programas, procesos Y aplicaciones, se conacé el nuevo Windows Server 2003, que sal ala venta asi dos afos después que XP), Windows Vista (on su versién deicada —e a servidores Winciows Server 2008), Windows 7 (se actual la version ‘Windows Server 2008 RZ}, hasta la ina ves disponible de Windows 8 con su administrador de eridres Windows Server 2012. Los Windows Server estan basados ef las tecnologia NT 9, a diferencia de sus homélagos para computadoras de escritori, estén ‘optimizados para labores empresariales porque deshabiltanfunciones con al fin de mejorar l rendimiento (la itertaz grafic, por ejemplo, se encuentra Establece cuentas de usuatio gestionadas,organizadas y también personalizadas. Code usuatio puede ser identificado,y ele hace corresponder tun peril con permisos y delegaciones. De esta forma, los datos, rade, sevidores yy cuentas de usuario quedan protegidos. > Se establece el sistema de archivos NTFS, que permite establecer cuotas, amplia la capacidad de almacenamiento y citar informacién, Se habiita la compresion de archivos {ye permite el montaje de unidades de aimacenamiento sobre sistemas de archivos de otros dispostvos. > Gestion el lmacenamiento de ‘modi que los archives menos itiizades son desplazados a unidades de almacenamiento mas lentas 0 menos frecuentadasy, de esta manera, e isco las busca solo cuando las precisa, > Se implementa Windows Diver Model, que segin los dspostvs més utlizados,estandariza determinadas caracterisicas, —Integracién disponibilidad, escalabilidad y asi los fabicantes de hardware En ineas generale, laimplementaciin_rendimiento, Ente las herramientas de solo especifican algunas especiales de WindowsServer permite ura facil administra disponibles esta presente en sus dspostvs integracién con otos sistemas operatives. la consola por lineas de comand, > Se gestions lasequidad de manera __‘Essimple de implementar administer cuyo ines gestion las cuentas més centvalizada localmente gracias al uso y usar, genera una infaestrucura de _gilmente que usando la interfaz rai, de Active Directory, que relaciona datos Segura, con informacion confable El soporte det sistema est respaldado dstntos componentes dela red tales _y de facil acceso; yofrece iabilidad, por el gigante informatio: Microsoft. m coma usuarios, grupas de usuaris y politicas de seguridad, entre ots. Utliza protocolos tales como DNS, DHC y LDAP. > Emplea autenticaciin Kerberos bbasada en la identificacién de los terminals cliente-servidar, donde r e ambos se identifican mutuamentey, luego, la tansferencia de informacion es encriptada y genera conexiones seguras Los servidores que podemos manejar gracias a Windows 2003 son: > Semvidor de archivos > Servidor de impresianes e impresoras > Servidor de aplicaciones dered > Servidor de correo (StaTP/POP) > Servidor de terminal . = > Servidor de redesprivadasviuales (VPN) educer Demo > Contralador de dominios > Servidor DNS y servidor DHCP Servidor WINS > Servidor RIS (Remote installation Services, servicios de instalacion remota) Algunas de las caracttisticasadiconales se dviden seq la versin del sistema ‘petativo, Comercialmente saieron a las versiones Web Edition (destinada a Be sever ° sewicos y hspedaje web), Standard 1 Feat Serge ans Editon (cumple con la mayoria de los requerimientos de servicios para sewvidores), Enterprise Edition (destinada ‘a empreses grandes con numerosas terminales), Data Center Edition (para setvdores con grandes fljos de datos) y ‘Small Business Edition (aeada para redes com no mas de 25 estaciones de trabajo), Sisal Alsratarse de sistemas dedicados a me oe funcionar como senidores 0 como clientes, en fos que la seguridad es primordial ¥ las coneviones deben autentiarse permanentemente, ls vuinerebilidades tienen que teducise, ndefectiblemente, al minimo nivel que sea posible, ‘worw.redusers.comTECNICO EN REDES Y SEGURIDAD | 15 © Permisos en Windows Server Con Active Directory funcionando sobre Windows Server, tenemos las herramientas que necesitamos para implementar una solucién segura y estable para el control de nuestra red. 1a vez implementado el doin Active Directory, {c6ma configuramos nuestra dominio de manera ‘que cada usuario posea los permisos para realzer slo las tareas que necesita se eliminen los riesgos de eectuaracciones na deseadas? Antes de adentramos en las opciones de seguridad del dominio Active Directary, es necesario conocer, desde el punta de vista de la segutdad, ls distintos toos dé objets que utlizaremos. Usuarios Este tipo de objetos representa a una persona queremplea algun seri los equips dl dominio, Sempre tenemos qu ater de que cada persona que ingrese en alguno de els tenga su propio usuario, ya que esto facilita la asignacién de politicas petsonalizadas y el seguimiento de las acciones de cada uno Ls usuarios de un dominio Active Directory se administran mediante el complemento Usuarios yEquipas de Active Directory, desde donde podemas realizar todas las taeas relacionadas con Jos cbjetas de tipo usvtio, como crea, madifiaryhonar cuentas, asi como también cambiar las coriiasefias en caso de que alguna persona olvide sus datos de ingrso, DEBEMOS TRATAR DE QUE CADA PERSONA TENGA UNA CUENTA DE USUARIO DISTINTA; MAS IMPORTANTE AUN ES SI SE TRATA DE LOS ADMINISTRADORES. Grupos Sibien tenemos que asignar una cuenta de usuario a cada persona pare poder establecer potas personalizadas esto no aqulere deci que las opciones del dominio vayan a asignase a cede uno de manete individual. Los grupos permitenasignar palitcas o permisos a un conjunta de usuarios; de este modo, evitamas problemas en muchas stuaciones. Un elempo seria foarein PDF Reducer Demo... ocess | erme | Sse | armies Patie setce detects | Sewn tatzenrd | CMe ‘nt | cain Conse [Pt | akc | Open | rb eo di ean ena ere and to sn eran 06 Inoue om de to sain | nn cece et TT Su die cob ocala wiaepuiecn vain [7 amore piacere Tisgeaieao [sonar comets tn cde ble ———— la a ccando un usuario cambia de sector en una empress tenemos tos permisosy polices defnidos por usuario, deberemos macificy, ena cuenta de I persona, los permis ypoltcas para que concuerden con su nuevo rol. Si organizamos nuestra politica de seguridad utiizando grupos, bstaré con cambiar el usuario al tupo que represents el sectoral que fue esignado Los grupos se adminstran desde ol complemento Usuarios y Equpos de Active Directory. donde pocremios cambiar ls pardmetos dels cbetos tipo grupo, como nombre, miembros y subgrupos Equipos ara que una PC 0 sewidor forme parte de nuestro dominio Active Ditetry, debe est un canal seguro meant el cualES coe ac yA eS [ael ele a Pata Horeca crore Drecar ran decneeaa yes J ornare Decca crepes esos onde dono cenetee tapenade cee Gorerreeeasen operon ia | a ae asec sasera Corrine eres cone 1 ore eerie ontes Ss bce on Canigrac de mpi Reto Cgrace es de ae Aneta de ecre e e cabe endows cn sured ara Pena enone co eat ead dered ramones (HEE 2.1) kdnnenanin de areca evecare. a a reece ug mraccnea vec ocr age macncerenta anton 23 sme racnacenes ena 1B hittrces 6h Gmc cite ST orecae OT Cangranin deste Ti retseconce tere 2 grec de aan 5 Parloraannrsma sncine ce eect (acter A) (8 tereone Drectis de enol peor Cantgrncan crema ce nator arcs se ealicen las tareas relacionadas con que PAAR aAR ROUGH KEM Politicas de grupo la gestion centralizada de la seguridad, Usuarios y Equipos de Active Directory, _Existe una gran cantidad de opciones coma la autenticacin de usuario ola relacionadas con los usuarios yequipos autorizacién de acceso a un recurso que Unidades organizativas de nuestro dominio Active Directory; esta compartid en la red. Las unidades organizatves son en este caso, nos interesan las que se Con el finde establecer el mencionado _cantenedores que nos permitenorganizar —_refieren aa seguridad. Las opciones canal seguro, tenemos que “unir® ef resto de los cbjetos (po efempl, de los usuarios y equips se gestionan los equipos al dominio, Esta accion se usuarios, grupos y equipos), ela vez, mediante la hetramienta Pliticas de realza mediante un usuario del dominio’ _vincularos a as poltcas de grupo, ‘Grupo. través dol uso de polticas Active Directory que posea los privilegios afin de moditicar las opciones te po, administraremos de forma apropiados y tene como finalidad delegar configuracion que creams necesarias, _centralizada,eficentey escalable los ta gestion de a sequridad en el dominio, includ las referidas ala Seguridad. _parémettos de los miembros de nuestto Una vez ridos fs equpos al domiia, Al igual que los usvaios, gtupes y dominio Active Diectoy se cea una cuenta especial que identifica equipos, as unidades organizatives a cada PC o seivdor;esta cuenta es un se administran mediante el uso del Clasificacién objeto del tipo Equipo Las cuentas de complemento Usuarios y Equipos, El nimero de opciones de coniguaciin equipo se administran del mismo mado presente en Active Directory que podemos administrar mediante Sitios de interés Las politicas de grupo abarcan una infinidad de parametros de seguridad y de aplicacién general, a Pee oe I eee Cems eu? tener una lista de sitios de referencia. Uno de los mas importantes es, sin lugar a dudas, el sitio de Microsoft TechNet (htto:/technet. microsoft.com) y otro es el de GroupPolicy Central (ww.grouppolicy biz) ‘wow: redusers.comTECNICO EN REDES Y SEGURIDAD | 15, paliticas de grupo es enotme. A medida que evoluciona la plataforma Windows, se incorporan otras funcionalidades ‘que aprovechan las caracteristicas de (as nuevas versiones de Windows, tanto en las cliente (Windows XP, Windows Vista, Windows 7 y Windows 8) como em las servidor (Windows Server 2000, 2003, 2008 y 2012). Como vemos a continuacion, existen 18 categorias de politicas de grupo: > Plantillas administrativas: on directives que tienen el objetivo de configurar of Registro de Windows, donde se almacenan ls opciones de funcionamienta de une gran cantidad de aplicaciones servicios y componentes. > Opciones de seguridad: abarcan las destinadas aestabecer los parémettos de seguridad de los equiposy usuarios ‘miembros del dominio; por ejempl, ‘mediante una politica de seguridad de esta. categoria, ademas establecerel maximo rier de intentos que un usuario puede hacer para ingresar incomectamente la > Scripts: mediate politicas de supa, pademosestablecer pequeis ‘programas para que se ejecuten en agin instante especifc, por ejemplo, ‘vendo un usuario ingrese @ un equipo mediante su usuario y contrasefa > Polticas de grupo de instalacion de software: periten la instalacon de software en las PCS 0 servdores desde ls controladores de dominio. > Redireccion de carpetas: es posible rediceccionarcarpetas de los pefiles de los usvarios 2 os fines de cambiar su ubicacién original. Una finalidad de este tipo de polticas es centalizar las carpetas Mis documentos de los usuarios en un servidor central » cuotas de disco: existen soltices ‘que regulan el uso en as carpetas que consideremos criticas: de este modo, Opciones del sistema de archivos ‘eneriptado: permite estblece os pardmettos on caso de que necesteos ‘encrptar alguna partcén en fos servidores ‘0 PCS de nuesto dominio. Somsbege POER SEUSS Bem.” > Configuracion de red cableada: barca las opciones que se relacianan con as redes cableadas, por ejemplo, os ardmetros que estén vnculados a la proteccin de acceso por red (NAP). > Configuracion de red inalambrica cenesta categoria se encuentran las ‘opciones rferdas alas redesinalambricas, or ejemplo os tipos de encriptacién soportados (WPA, WPA2 etc), seguridad informatica provienen de Intemet, convene centralize as opciones de configuraciin de Intemet Explorer > Politics de restrccion de software: ‘pr medio de estas poltca,conrlamos los paquetes que pueden ejecutarse cen los equipos de nuestra dominio, > Calidad de servicio basado en plitcas se encarga de configura’ la prioridad de los servicios nivel de red > Politias IPSec: permitenestablecer parémetros relacionados con la red segura por internet > Busqueda de Windows: cambiat opciones vinculadas a la busqueda dentro de las PCs y servidores de nuestro dominio, > Distribucién de conexiones a impresoras distrbuye« is clientes del dominio las conexiones a las impresoras estas politics son especialmente tiles en redes donde existen muchos Aispositivos de impresi. > Archivos sn conexion: espectican los parametros paral sincroizaciin de archivos par ascents queen alain ‘momento se desconectan del dominio pare funcionar en redescistnts. Un ejemplo de ls aplcacion de estas politicas son los equipos portale. PARA FORMAR PARTE DEL DOMINIO, DEBE EXISTIR UN CANAL SEGURO ENTRE LOS CONTROLADORES Y LOS MIEMBROS. > Preferencias -Extensiones de Politicas de grupo: a part de Windows 7 y Windows Server 2003, se incuye una serie de preferencias {que nos permiten afinar al detale la configuracién de los equipas que son miembros de nuestro dominio. ‘tivo Bein Yer And esl aln| ¢ Oko saibmsenryae 1 Cone urd 3 Fimdomne.con a, 3 Btn se, computers Daman Contoers eeorseamyerncpas | a 98 Managed serve ecos | p=] 7 8 Et [Fiteoes eae oe acre recor [heme ‘enmiewecer Uso Admnisrade.. Grupo de eg. echo aso Contador. Grune de sepur... Todosles contlaore Contador. Grupo de seni. Loe membros de ete gu Drekdnns Grupo de segut.. Gnade adnnsradres DnipdateP.. Grupo deseput.._ Chen ONS que tenen Connts nega pr Adm aderes desgad Adnniszede... Guge desepui... Adanievadores deorad.. Anns. ded. Grupo deseput.. Adan adores degrad. vendo> Aceleradores de internet Explorer sas polices pexmiten establecer ls pardmetto de los aceleradores de Internet Explore, uma caracteristicaintroducda a partir de Windows 7. Descripcién Cade politica de grupo tiene dos nodos o partes la parte AAAS ‘Segine nivel ene que estalecemos las potas de grupo, ser a ‘rida de ejeacién. Come es gio ls poicas que defnamos 2 nivel ocal son as que tienen menos priodad de eecucén ya que la finale del dominio es que ls equpos delequen la gestion de la sequen los controladores de dominio. l orden enel que se _apliadn ls polticas de grupo es ligne: primer se plc ls vinuiadas a nivel desito, uego se cagan las que estn vinculadas al dominio, después as relaconads ala unidad organiza ala jelbcionadare! usin laparke rockon: ae si oan oe eal yTedment bs pli oe: Unio soo opens qu secon sor ct OE REGUERE LIBERO. ocx sevsencorticn cone doronse ‘tipo Usuario y de tipo Equipo, respectivamente, los cuales eben estar contenidos en la Unidad Organizativa a la que se vincula la politica de grupo. Las politics de grupo pueden establecerse a nivel local (en cada equipo), a nivel de sitio, € nivel de dominio o a nivel de unidad organizatva Administracién de politicas de grupo Utilizaremos la hertamienta gpedit.msc para editar las politicas ¢e gupoa nivel local en cada equipo mientras que para trabajar con las politicas de grupo a nivel de dominio, recurriremos a Ia herramienta Consola de Administracion de Politicas de Grupo (GPMC). Mediante la Consola GPMC podremos crear, modificar y borrar politicas de grupo, asi como también vincularlas @ las unidades organizativas, sitios y dominios, polticas de grupo, tendinprecedencia aquelas vinculadas al ive de mayor rca. Por ejemplo, ante un conflict en una opin defnida en una poltca de grupo vinculeda a vel de dono y ota \inuiada a nivel de unidad erenizata, tend precedenda a opin «configura enl poltiea de grupo vincdada anil de dominio, Herencia Las poliicas de grupo se heredan desde un contenedor hacia los «elementos que contiene. Por ejemplo, si denims una OU con nombre Sistemas y dentro de ela, definimos otra OU llamada Desarrollo, las politicas de grupo vinculads @ la OU Sistemas serdn heredadas por la OU Desarollo, ya que la primera Evitar cuentas genéricas: debernos iratar de que cada petsona tenga une cuenta de usuario distinta de los demas. > Revisar los registros que genera Active Directory: es importante que revsemos peridicamente los mensajes que _genera Active Directory en el registra de eventos y también los ‘que generan reportes automaticas. Una aterativa para est fin sla herramienta de Microsoft lamada logpasex ‘www cedusers.comTECNICO EN REDES Y SEGURIDAD | 15 © Active Directory Es la solucion comercial de Microsoft para un servicio de directorio dentro de una red distribuida de computadoras. Aqui conoceremos sus caracteristicas y los detalles de su funcionamiento. svt ena eres Bear peaat as wns de ehide karntie.s oaencrairea de un servicio de directorio para una red distribuida clapton. newt a Sane un onenet etans de deine tiny ca oaree wreaeieyee et eares pa crue windy decokreatioe nc baie aquellos que concuerden con los atributos conocidos. Un ‘oer pa 9a gs ea oe big cls onc asia, trina coana oscuro BLE Reduce! ‘roman impr ne copa Protocolos y estructura Este producto utliza un conjato de protocols diferentes, ‘entre los que podemos reset LDAP (Lightweight Orectory ‘Access Patoco protocol ligero de acceso a directorio) DNS {Domain Nome System, sistema de nombres de dominio), HEP (Oyramic Hast Configuration Protaco, rotocola de configuracion dindmica de hos; entendiendo como host al «od huésped o computador local que consume el servicio) Y Kerberos (protocolo de autentcactn de nodos de ura ted). Sule ferise a Active Diectary con el diminutive AD. Posee fs Asari pers ltl es Ser Este corte de domo de Active Decry et nse (atdogo gba Los serores de caldoge leur pte [oceans ncoe de wasn der cnaos pearee Ge Soe Foye ofos encores ce abo dob acai pers bs subs de este comme aries de gatos Sens de donno ‘eco recor Se ee 9500, meen wanton ‘una estructura jerquica que nos permite mantener un conjunto de objetos relacionados con componente de una red, Cuando ‘mencionames componentes, queremos deci usvaios, grupos, permisos, y asignacién de recursos y politcas de acceso. Coma administradores, con Active Directory pademos definir politics a nivel de empresa, ejecutar programas en una serie cde computadaras e implementar actualizaciones para toda una organizacion. AD pasee una base de datos centralizada en donde se almacenan, desde direcorias con cientas de objetos, hasta directarios con millones de ellos. LOS OBJETOS DE ACTIVE TARECT ORY SE PUEDEN CLASIFICAR EN TRES CATEGORIAS: RECURSOS, SERVICIOS Y USUARIOS. Arquitectura Estructutalmentehablando, AD esté conformado por un conunto Ge daninis y subdominos (en organizaciones pequefas, pro generals objets se alutinan en un Unico domino), que se efinen a raves del protocolo BNS. Es por eso que para uilizar Active Directory necesita uno o més seridores DNS en liga dentro de a red. Active Directory se encuentra basao en un , -e, <>, », «Usuarios Autorizados>>, etc). Toda esta informacion se encuentra cenvalizaday se eplia de manera automatica entre todos as servidores que conitoan el acceso a dominio. De esta manera, es factible crea recursos (como carpetas compart impresoras de red, et.) y concede autviacién de acceso a ellos usuarios, con la venaja de que todos estos objetos se encuentran memotizadas en Active Director, ¥ siendo esta sta de objets replicada a toda el dominio de atminstracén, os evenuales cambios serén visibles en todo l ambito Para deco en otras palabras Active Directory es una implementacién de servicio de directorio centralizado en une red dstibuida, que faciita el conto, a administraciin y la consulta de tados los elementos lgicos do una red (como pueden ser usuarios, equiposy recursos) Lasrelacones de confanza ene dominios (rust en inglés) permiten que usuario de un domino particular accedan y consuman recursos presentes en otto dominio diferente del primero, Estas relaciones son creadas en forma automatica cuando se crean nuevos dominia. Los Iinites de las relaciones AAA LTT at) Kerberos es un protocolo de autenticacién que se utiliza en redes de computadoras. Fue creado por Gerard Kominek y permite Cre eer eae eee) ee eon ce) Pee eer ry arquitectura de cliente-servidor que permite ‘a.ambos verificar la identidad del otro. Se basa Seer ce Sars de un tercero de confianza. Consideremos que, ee eee een Peek eee aes 4e contfianze no son marcados por el dominio sino por e! bosque al cual pertenecen los dominis impllcados. Evisten diferentes tipos de relaciones de confianza’ > Confianza transitive: esas flaciones son automates y de dos sentidos (da y wet) ene dominios que se encuentran PDF Rediicat He gina: vo seuss scons nue 9 establecen de forma manual para especifcar una ruta e acceso con propesitos ie autenticacién, Est tipo de relacion puede ser de uno o dos sentidos (de ida ylo de vuelta), dependiendo de la aplicacin. Se utiliza con frecuencia para acceder sin dificultades a dominios compuestos por omputadoras can Windows NT 4.0 wc[lesrinicnmtmeine (wince tren cerasmnacmcenataaesne > Confianza de acceso directo: es una relacién de confianca explicit que crea accesosdirecos entre dos dominios en In estructura de dominios Este tipo de rlaciones permite incrementar la conectividad entre dos dominios, yas, reduce las consulasy ls tiempos de espera para a autenticacin > Confianza entre bosques: estas elacianes permiten a interconexién entre bosques de dominios, creando relacones ‘transitivas de dable sentido. wen BOE Ra 5 decent ene bose son de tpe dP EAE « RRL de lo. que sucede en Microsoft Windows Server 2003 Para conectarse a otros bosques o dominios que no son de Active Directory, AD usa el protaolo Kerberos en su versén 5, aunque también soporta NTLM y usuarios web mediante autentficacin 'SSUTLS. Los direcconamientos a reausas estén definidos por los estindares UNC {convencién universal de nombramiento, URL (localzadoruniforme de recursos) y ls definicones 4e diecciones estalecida en el protocola LDAP. Cada objeto que forma parte de la red posee un nombre distintiva 0 BN (Distinguished Name). Asi por ejemplo, una impresora denominada Imprimir, que se encuentra dentro de una unidad organizativa u OU (Organizational Unit lamada Administracion,perteneciente al dominio organizacion.org, puede especfcarse de dos modos: ww.redusers.com Te Successes eters oes 7 sweoxs B cons F corr decd oes + Ennotacién DN, CN=Imprimi, OU=Administracién, DC-organizacién, DC=org; donde CN (Common Name) es el ‘nombre comin y DC (Domain Class Object) hace referencia 4 la clase de objeto de dominio. > forma canérica poderos espectcar la direcrién acibn.org/Adminstracin Imprimir. También podemos emplear métodos para individualiar un recurso en forma local > Empleando una disincén de mombe relatvo 0 RON (Relative Distinguished Name, que se caracteria por buscar un recurso a través del nombre comin (CN) solamente >» Empleando un idetficador global unio © GUID (Giabally Unique lente, que genera una cadena de caraceres de 128 bits de a cua e vale AD para buscar y replica informacion ‘Algunos tos de objets poseen un nombre de usuario principal (© UPN (User Principat Name) que posibilita el acceso deforma abreviada a un recurs 0 directorio dentro de una red de computadores La notacén es nombredeabjeto@dominio.. Active Directory, a diferencia de Windows NT Serve, permite «ear estructurasjerrquicas conformadas por dominios subdominios, una manera més Sencilay di de representar {os recursos de una ved segin su ubicacion o funcién dentro de una arganizacién 0 empresa. Adem, e basa en estandares como X.500 y LDAP para acceder ala informacin, Personalizacién ‘tra caracterstica peculiar que oftece Active Directory son {as interaces de servicio 0 ADSI (Active Directory Service Interface), que brindan a ls programadores la posibilidad ‘tentads a objets de creat programas que intractien conSoe S ie ieay weorn angen a pa = ee! eS awe == | AD, y aprovechen sus capacidades, mediante lenguajes de esarrllo de alto nivel, como Visual Basi, sin tex c conbcteemes gece emma BBR Re Es posible desarrlir software que realice un acceso unico a diferentes recursos de la ed sin importa si estén basados, en LDAP 0 en algin otro protacolo, También es posible ‘generar ciertas secuencias de comandos que puedan ser ejecutadas por los administradores de la red. Requisitos para la instalacién ‘Antes de instalar Active Dtectony, debernos asegurarnas de que la computadora que va a ser configurada como controlador de dominio (oman Controle) cumple con cada uno de los requistos de hardware y de sistema operativo necesatios para su correct funclonamiento, Adem, el controlador de dominio debe tener acceso al seridor DNS, yel software de este debe soportar la integracin con Active Directory. Por lo general, se relia la instalacion de la solucion DNS proporcianada por Microsoft. remiur > Se debe contar con cualquier versién de seridor de Windows, instalado, como Windows 2000 Server Windows 2003 Server en sus diferentes versiones o Microsoft Windows 2008, Por ota pte, para instaat Microsoft Windows 2008 Server es necesario tener instalado el Service Pack 1. > Se requiere la instalacion del protacolo TCP/IP configurado de forma manual en fo que se refiere a los pargmetros de la Interfax 0 placa de red es deci, que dichos pardmetros no sean asignados de manera dinémica por un sevidor DHCE. > Tene que haber uno o mas senidores DNS dentro dela red donde se desea implementar AD, para resolver a direct de los distnts recursos presents en los dominos > Se necesita un minimo de 250 M8 de espacio en disco, 200 MB para la base de datos de Active Directory y 50 MB ara los archivos logs de transacciones de Active Directory. Los requisios de tamafio del archivo para a base de Active Directory y los archivos log dependen del ndmero y del too de bjetos en el domino. Se require espacio de disco adiconal siel controlador de dominio es un servidor de catslogo global. > Se precisa una partcién oun volumen con formato NTFS como sistema de archivos. La partcion NTFS se requiere para le carpeta denominada SYSVOL. Soluciones alternativas Enisten diferentes altemativas que es nécesaio consider heresy Bsa Tg I Me inpotares > Samba: software de cédigo abierto que se eecuta sobre sistemas Linux. Posee un controlador de dominios compatible con Windows NT 40, Sto web: wwww.samba.org. > Mandriva Directory Server: aplicacion también de digo abierto que ofrece una interfaz web de gestién para administra ef controlador de dominios Samba yel protocolo LDAP. Sitio web: http://mds.mandriva.ora > Novell eDirectory: solucén que soporsa sistemas operativos Como Linux, UNIX, AIX, Solaris y Novell Netware Sitio web worw.novell.com/developer/develop_to_edirectory:html. > Oracle Directory Server Enterprise Edition: solucisn basada en Java y desartollada por Oracle (duera de Sun Microsystems) Sitio web: www.oracle.com/technetwork! testcontent/index-085178.html. > pends: inplementacon de servicio de directoros de cosigo abiern desarciada en iva Sito web: http//opends javainet.TECNICO EN REDES Y SEGURIDAD | 15 © Seguridad en red SIVIB Casa matriz (20 a 49 usuarios) 100 MibpsiGE Te Servidores externos Router de acceso WAN + Firewall + VPN + IPS ee mss ee Demo US Servidores corporates tags Point Cas a a) ) ee), )) ‘meciante 802.11 Puestos de trabajo segurizadasEN ESTAS PAGINAS CONOCEREMOS UNA TIPICA IMPLEMENTACION DE SEGURIDAD EN UNA RED SMB. Sucursal remota Router de acceso WAN + Firewall + VPH + wireless opcional —_ Notebook conectads mediante 802.11 Puesos de abajo seouizatas educer DemeS” Trabajador IMécem de banda ancha Firewall Puestos de trabajo segurizadosTECNICO EN REDES Y SEGURIDAD | 15 © Distintas ediciones de Windows Server Analizaremos en detalle las distintas caracteristicas, ventajas y desventajas de los sistemas operativos desarrollados para servidores. aa identifier las eistintas Gy waves Home mejoras que se han realizado raves de ls aos en los sistemas operativos rientadas a servdores, hharemos un lstada cronoigica en el que especfcaremas qué madificaciones se ueron haciendo, Cuando se lai na operatvo, se fueron cis, desventaas y, cone cacti: POF Reddcer Demee informaticas no eran del tamafio que Amerie ioe hoy fepresentan, los sistemas operativos ‘anvencianes cumplian y abarcaban todas las necesidades. Pero a medida ‘que fueron ) BY Si bien todos los sistemas operativos tienen sus versiones destinadas a clientes especificos, su uso requirié mejoras o servicios adicionales. Cada una de las versiones de los 5.0. estuvo acompanada de ‘numerosos Service Packs que introdujeron aplicaciones nuevas, parches de seguridad y funciones que ‘extendieron la vida itil de cada sistema, en algunos casos, durante décadas, Como estos sistemas estaban rete tir aes mieten cere eet ‘wow: redusers.comWindows 2000 Fue el primero en combina y uificar los sistemas operatives que, hasta ese entonces ean dilerentes (Windows {98 y Windows NT). partir de esa, los sistemas que sugiern unficaron servicios pera de manera stint, habilitando 0 deshabilitandofunciones para optimizar el rendimiento segin su uso. Las principales tareas relacionadas con al sistema operativo son car cuentas de suai, asignarprivlegio,asignaiones ¥ delegacones asignar DNS, acuar como servidor WEB, resolver os nombres de dominio y actuar como servidr de impresién, de archivos y OHCR, entre otros sens provenientes de a fara NT Windows Server 2003 La version 2003 siguié linea caracteristica dela fails Ge sistemas operativosorientados a sev Su nideo estaba basado en la tecnologia Ten su versén 5.2, En compavacién, a muy similar al sistema operativo Windows XP, pero con caracteristcas especiales orentadas 2 seriores y rendiminto; algunas funciones ean desactvadas para llevar a cabo esta trea Algunas de las caractrscas principales Son las que mencionamas a continuacion > Servicios de informaiin de Internet (NS, latenet information Services) 46.9, que ofrece un servidor web, 1» Menage Your Server, herraienta que permite al administrador escoger que funcionalidad debe ser ulizada, > Se mejora Active Directory que permite desactivar clases de un determinado esqueMa, 0 corer diversas instancias de senvidotes de directorio (ADAM), > Aplica una mejora en las politicas de arupo, donde se optimizan fa adminstracin de los permis. > Se implementa un sistema de backup parla recuperacin de archivos. > Se marae administrador de discos, on la posbidad de realzer backup de los archivos almacenadoso abieros. > Se mejor a encrptaion de lainformacié, a igual que las hetamientas de consol otecidas unto a esta vetsion del sistema operativa, Windows Server 2008 Ese sucesor directo de Windows Server 2003 y se comport como el hermano de Windows 7. Utlzae niceo NT 6.1 las Jedades se rele im PBE Reducer Bem pesentaciones de vitwalizcion actualizacin aS 7.5 y soporte para mas de 256 procesadares. Se mejorala gestion del hardware para haceria mas efectva, el contral remoto de sistema es menos complejo, y las polticas de seguridad se reestructuraron Baisten nuevas funciones tales como un proceso de reparacon de archivos INES (se realizaen segundo plano, la creacion de cuentas de usuario en paalel,fclidad de cre de los servicios, implementacion del sistema de archivos SiMB2(mejora el acceso alos sevdores multimedia, itvoducion del Address Space Load Rendomization(ASLR, que genera una proteccén contra a carga de controladores en memoria) y de Windows Hardware Ear Architecture (WHEA, protacalo mejorado dereporte de eaves), rmejca of erimiento dela vitalzacin, incusién de una consolamejorads para adminstacin yrenovacion del rico del sistema Sus versiones son ls siguientes: Foundation, Standard, Enterprise, Datacenter Web Server, HPC Servery especializado en taium. Windows Server 2012 Fs a versin mas renoveda de Windows Server &a fecha, y representa a Windows 8 para servidares. Es el sucedor de Windows Server 2008 R2. Tene Qenos cantided de versiones, ya que las ha readaptado para brindar mas funcionalidades @ menos grupos; cuenta con solo cuatro y na tiene soporte para procesadores con tecralogia Intel hranium, Entre sus cambios, podemos mencionar: actualizaciin de Hyper rol de administracion de IPs, renoveda vetsin de Task Manager y un nuevo sistema de archivos conocido coma ReFS, Toda la interfaz fue mejorada para ‘optimiza la gestién de multiples servidoces. El PoiverShellincluye mas de 2300 comandos nuevos y tiene la funcidn de autocompletar El administrador de tareas se renueva para datle proridad ls identifcacion de procesas que consumen muchos recursos. Se mejora Active Ditectory, se acualiza 2115 8.0, Hyper mejora la vitualizacion Se reduce el cansumo de recursos Presenta ReFS, un sistema de archivos para servidores que mejora a NTFS. Se implementa Address Managment, que administra IP para bisqueda y auditoria en una red bajo servidares DHC? y DNS. Ssaporta 640 procesadoresydirecciona 4B de memoria fisica, w wow.redusers.comTECNICO EN REDES Y SEGURIDAD | 15 © Comunicar servidores Linux con Windows éCémo hacemos para que dos plataformas aparentemente incompatible, como Windows y Linux, puedan compartir recursos? La respuesta es el paquete SAMBA. ‘on numerosas as razones que leven a nuestra red @ tener un esquema hterogéne,e indefectiblemente llega el momento en el que necesitamos interactuar entre las pataformas. Por suerte existe SAMBA, un paquete capaz de comunicar servidares basaos en Linux con centes Windows, vcevers. En sus inicio, su nombre fue SMB (Server Message Bloc, utiizado por Microsoft para compattir recursos entre equipos dela platafotma Windows, de estos, ardua tarea que realiza la comunidad encargada de desarollar el paquete. Esta maravila del software libre nos brinda la posbiidad de compartir recursos en una red con equipos que tienen sistemas operatives tan dsimiles camo Windows y Linux. Segin Ia cantidad de equipos presentes en ‘hues red, pueden presentarse dstintos escearis; la principal tferencia es el modo en el que se gestiona la seguridad. ion a medida Beeson sat SA (trey sed pty sets ae Ge BURALLAG ATER Or ens gs aad Gena ata {de ls protacolos como en la observacién de funcionamiento @ genmesoan si ‘wow: redusers.com Co servidor en forma aislada: est tipo de red se denomina red entre iguaes. En este caso, tenemos que configurar los permisos y credenciales de los usuarios en cada lugar en donde se utiizan; por ejemplo, hay que creat los usuarios de la red en cada uno de os servidores que posean carpetas 0 impresoras compartidas, ast como tambien asignat los petmisos| correspondientes en cada servidar de mariera individual ‘A medida que aumenta a cantidad de servidores y PCs en una red, surgen problemas relacionados con la reducida escalablidad de [a gestion alsiada de la seguridad. Un ejemplo dare es que, al ‘eter uma gran cantidad de sevidores con recursos compartidos, resulta impractico tener que crear un usuatio en cada uno de los servidores cuando una persona ingresa en la red {a solucina ls problemas de escalabilidad de ls redes entre iguales es lacenralizacién de a gestion dela seguridad en un grupo de servidres dedicades a este fin. Este tipo dered recibeel ‘nombre de dominio, y las servidotes a los que les asignamos el rol de gestores de la seguridad se llaman Cantroladores de dominio, Active Directory Una ver que lated esta funconando com un domini servidores a los que ls aignamos la funcdn de Controladores e dominio toman un rl crucial. De eos depende la gestion de la seguridad dentro dela red: cuando no estén disponibles, la red perderd las capacidades de auteticr, autorizary registrar Fos accesos de los usuatos. Microsoft le do el nombre de Active Directory al grupo de servicios que permitengestonar deformacentralizada la seguridad de una red carfigurada como dominio, Entre los servicios més importantes, podemos destacar 1! de esolucion de nombres (DNS), que permite ientiicar a los cistintos equipos que forman parte del dominio, Otro servicio relevante es LDAP, destinado a realizar consul a los controladores, coma en el caso de que un servidor necesite consuitar cuales son los miembros de un grupo. Por otra parte, no podemas dejar de mencionar a Kerberos, ques, sin gar a dudas el serviia mas importante del dominio, porque se encarga de implementar la autenticacion de los Usuarios de forma completamente segura y centralizada INDEFECTIBLEMENTE, LLEGA EL MOMENTO EN EL QUE NECESITAMOS INTERACTUA\ ENTRE LAS PLATAFORMAS; POR SUERTE, EXISTE SAMBA. Instalacion de SAMBA El primer paso que tenemas que dares instalar el paquete ‘SAMBA; si decidimos hacerlo desde la consola en modo texto, comando puede varar de una distrbuciin a ota: por ejemplo, apt-getinstall samba en Debiar/Ubuntu, © yuminstall samba or B I - w a Para configuar el funcionamiento de SAMBA, tendremos ‘que accedr y etitar los archivos de texto adecuados, an Fea Tabinpedanes sta SAMBA dese aap Water suse ¢ dee Ieret sete sn BOE, Reducer Demo nuestra distiibucién tenga el modo grfica instalado, Paquetes adicionales aa instalar SAMBA como controlador de dominio Active Directory, necesitamas también los paquetes que permitan € nuestro servidor llevar a cabo los roles de sevidor DNS, Servidor Kerberos y servidor NTP (este ultima es optional pero altamente recomendable, ya que permite sincronizar la hora de los equipos que forman parte del dominio, alga imprscindible pata el funcionamiento del servicio Kerberos. Los nombres de los paquetes pueden vai ‘ta. A modo de ejemplo, los comands de instlacon en Debian 6 Son: apt-getintall krbS-adnin-serverkrbS-user pata el servicio Kerbeios, apt-getinstallntp para el senico NTP y apt-getinstall indo bindutis para implementar el rol de senior DNS. ))) Configurar SAMBA SA, comola mayer eos sens enna eons medi ries de tet, Sin ee intriaes de estos ai arn eT a rar spores tr atv mediate edie de os ches conic, rs ase cals dca x ah cot YS pea eer eh (a ee ee Auardan ls archivos retaconados cn ls parsmets del sev SAMBA, Lo archivos de cofguacn por defect estn aos ye documentation dl peut realmente completa oro que ponte én sl en es cerones princes. Para contigo padenos urn dor de to como u oo indo a disibucn ertersamente com Un sia que no podemos dejar de vistar es el que mantiene la comunidad desatoliadora del proyecto SAMBA, el cual se encuentra en la direccién www.saml Fg. En é! encontraremos ejemplos de canfiguracién de los distintos roles, noticias acerca de nuevas versiones y funciohalidades, recomendaciones sobre seguridad al configura el ppaquete y una gran cantidad de recursos adicionales. Aigo para tener en cuenta es que en el sito del proyecto SAMBA es donde primero se publican las atualzaciones del paquete. wecnaaruin [TT]TECNICO EN REDES Y SEGURIDAD | 15 SAMBA como cliente o servidor En este caso, tenemos que sonfigurar el equipo para que sea capaz de levar a cabo al rol de cliente» senido una reé entre iguaes, interactando con éequpos que poseen sistemas operatives els familia Windows. A continuacin, revisaremos las principales opciones para PROFESORES EN LINEA profesor@redusers.com D> SERVICIOS PARA LECTORES usershop@redusers.com CONTENIDO DE LA OBRA 1 Introduccidn a tas redes intorméticas 2 Tipos de redes y topolagias 3 pispasitivos de red 4 instatacidn de redes cabloadas 5 Puesta en marcha de una red eableada G Contiguracidn de redes cableadas ‘7 Instatacién de redes inakémbricas & configuracién de redes inalimbrioas PDF Re UtsveiedBerircsableates e inalémbricas 10 configuracién avanzada de routers 11 Recursos compartidos y dispositives multimedia 12 seguridad fisica de ta red 13 impresoras de red 14 Hardware de servidores 15 apwunistRaciOn DE WINDOWS SERVER 16 Adminisiracén de sistemas Linux 17 Administracién y asistencia remota 18 Servidores web y FIP 19 Servidores de mail 20 Servidores de archivos e impresién 211 Servidores aticionales 22 vias, ven y trabajo remota 23 Teletonia te 24 cimaras iP