Your SlideShare is downloading. ×
Seguridad
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad

1,435
views

Published on

Published in: Education

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,435
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
47
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. SERVICIOS REDES Y SEGURIDAD
  • 2. ÍNDICE SERVICIOS REDES Y SEGURIDAD 1. FUNCIÓN DE UN FIREWALL O CORTAFUEGOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3 2. DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 3. HOST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 4. URI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 5. EL NOMBRE DE DOMINIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9 6. TELNET y FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 7. PARAMETROS DE IP EN DISTINTAS PLATAFORMAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 8. INSTALAR, CONFIGURAR Y ELIMINAR SERVICIOS DE RED EN UN SERVIDOR . . . . . . . . . . . . . . . .24
  • 3. SERVICIOS REDES Y SEGURIDAD 1. Función de un firewall o cortafuegos Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de programas malignos que están instalados en nuestro equipo, o de programas o intrusos que intentan atacar nuestra computadora desde el exterior. Los firewalls deben, primero que nada, crear una base de datos sobre los programas que necesitarán el acceso a Internet en nuestro ordenador. Éstos serían los programas “seguros” o “permitidos”. Por eso es importante que el equipo se encuentre libre de todo tipo de virus, spyware u otros malwares. La mejor forma de garantizar esto último, es que el equipo esté recién formateado. Si bien no todos están dispuestos a realizar este trabajo (por resultar un poco tedioso), resulta muy útil para poder generar una base de datos limpia para nuestro firewall. Una vez formateado nuestro equipo, comenzaremos a instalar todos los programas que necesitemos, el antivirus que nosotros creamos más conveniente y por último el firewall. Si instalamos un firewall cuando ya existen programas malignos en el sistema, hay que tener en cuenta que estos podrían alterar el firewall (e incluso no permitir instalarlo), para evitar así ser detectados. Por esto siempre es conveniente tener un antivirus y un firewall después de una instalación limpia (de cero) de Windows. En general, a medida que los distintos programas comiencen a querer “conectarse” a Internet, el firewall nos irá alertando, y así empezaremos a crear los distintos permisos para cada uno de éstos. Si es un programa sospechoso, no debería permitirle conectarse. Así que sólo nos bastará con aceptar o cancelar, para que el firewall interprete qué queremos que suceda con el programa. Muchas veces este proceso se hace de forma automática (depende del firewall), de todas maneras, siempre podremos acceder de forma “manual” a la base de datos y seleccionar qué programas permitir. Los ataques externos Los firewalls también nos informan sobre los “ataques” que recibimos desde fuera. Estos programas suelen monitorear también la entrada de datos desde Internet (u otra red), pudiendo detectar posibles intentos de ingresos no autorizados o ataques externos. También suelen crear registros o “logs”, guardando toda la información importante sobre los ataques y su procedencia (la dirección IP por ejemplo). Si los daños que generan esos ataques te perjudican de alguna manera, podrías iniciar acciones legales. En todos los países hay leyes que sancionan la violación de la privacidad, el robo de información personal, etc. 3
  • 4. SERVICIOS REDES Y SEGURIDAD 2. DNS: Domain Name System El Domain Name System (DNS) es una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. La asignación de nombres a direcciones IP es ciertamente la función más conocida de los protocolos DNS. Por ejemplo, si la dirección IP del sitio FTP de prox.ve es 200.64.128.4, la mayoría de la gente llega a este equipo especificando ftp.prox.ve y no la dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre. Inicialmente, el DNS nació de la necesidad de recordar fácilmente los nombres de todos los servidores conectados a Internet. En un inicio, SRI (ahora SRI International) alojaba un archivo llamado HOSTS que contenía todos los nombres de dominio conocidos (técnicamente, este archivo aún existe - la mayoría de los sistemas operativos actuales todavía pueden ser configurados para revisar su archivo hosts). El crecimiento explosivo de la red causó que el sistema de nombres centralizado en el archivo HOSTS no resultara práctico y en 1983, Paul Mockapetris publicó los RFCs 882 y 883 definiendo lo que hoy en día ha evolucionado el DNS moderno. (Estos RFCs han quedado obsoletos por la publicación en 1987 de los RFCs 1034 y 1035). Componentes Para la operación práctica del sistema DNS se utilizan tres componentes principales: - Los Clientes DNS: un programa cliente DNS que se ejecuta en el ordenador del usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde a nombre.dominio?). - Los Servidores DNS: que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección solicitada. - Y las Zonas de autoridad, porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y posiblemente sus subdominios, si estos últimos no son delegados a otras zonas de autoridad. El DNS consiste en un conjunto jerárquico de servidores DNS. Cada dominio o subdominio tiene una o más zonas de autoridad que publican la información acerca del dominio y los nombres de servicios de cualquier dominio incluido. La jerarquía de las zonas de autoridad coincide con la jerarquía de los dominios. Al inicio de esa jerarquía se encuentra los servidores raíz: los servidores que responden cuando se busca resolver un dominio de primer y segundo nivel... 4
  • 5. SERVICIOS REDES Y SEGURIDAD Tipos de servidores DNS Bind • PowerDNS • MaraDNS • djbdns • pdnsd • MyDNS Tipos de resolución de nombres de dominio Existen dos tipos de consultas que un cliente puede hacer a un servidor DNS: - Iterativa - Recursiva En las consultas recursivas el servidor repite el mismo proceso básico (consultar a un servidor remoto y seguir cualquier referencia) hasta que obtiene la respuesta a la pregunta. Las consultas iterativas, o resolución iterativa, consisten en la mejor respuesta que el servidor de nombres pueda dar. El servidor de nombres consulta sus datos locales (incluyendo su caché) buscando los datos solicitados. Cuando existe más de un servidor autoritario para una zona, BIND utiliza el menor valor en la métrica RTT (round-trip time) para seleccionar el servidor. El RTT es una medida para determinar cuánto tarda un servidor en responder una consulta. El proceso de resolución normal se da de la siguiente manera: El servidor A recibe una consulta recursiva desde el cliente DNS. El servidor A envía una consulta iterativa a B. El servidor B refiere a A otro servidor de nombres, incluyendo a C. El servidor A envía una consulta iterativa a C. El servidor C refiere a A otro servidor de nombres, incluyendo a D. El servidor A envía una consulta iterativa a D. El servidor D responde. El servidor A regresa la respuesta al resolver. El resolver entrega lta al programa que solicitó la información. Tipos de registros DNS A = Address – (Dirección): este registro se usa para traducir nombres de hosts a direcciones IP. CNAME = Canonical Name – (Nombre Canónico): se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio. Es usado cuando se están corriendo múltiples servicios (como ftp y web server) en un servidor con una sola dirección IP. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). 5
  • 6. SERVICIOS REDES Y SEGURIDAD NS = Name Server – (Servidor de Nombres): define la asociación que existe entre un nombre de dominio y los servidores de nombres que almacenan la información de dicho dominio. Cada dominio se puede asociar a una cantidad cualquiera de servidores de nombres. MX = Mail Exchange – (Registro de Intercambio de Correo): asocia un dominio de nombre a una lista servidores de intercambio de correo para ese dominio. PTR = Pointer – (Indicador): también conocido como ‘registro inverso’, funciona a la inversa del registro A, traduciendo IPs en nombres de dominio. SOA = Start of authority – (Autoridad de la zona): proporciona información sobre la zona. HINFO = Host INFOrmation – (Información del Sistema Informático): descripción del host, permite que la gente conozca la máquina y el sistema operativo de un dominio. TXT = TeXT - (Información textual): permite a los dominios identificarse de modos arbitrarios. LOC = LOCalización: permite indicar las coordenadas del dominio. WKS: generalización del registro MX para indicar los servicios que ofrece el dominio. Obsoleto en favor de SRV. SRV = SeRVicios: permite indicar los servicios que ofrece el dominio. RFC 2782 SPF = Sender Policy Framework: ayuda a combatir el Spam. En este record se especifica qué hosts están autorizados a enviar correo desde el dominio dado. El servidor que recibe consulta el SPF para comparar la IP desde la cual le llega, con los datos de este registro. 6
  • 7. SERVICIOS REDES Y SEGURIDAD 3. Host El término host (equipo anfitrión) en informática puede referirse a: - Aquel ordenador de la red que ofrece servicios a otros ordenadores conectados a dicha red. - A una máquina conectada a una red de ordenadores y que tiene un nombre de equipo (en inglés, hostname). Es un nombre único que se le da a un dispositivo conectado a una red informática. Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red, una máquina de fax, impresora, etc. Este nombre ayuda al administrador de la red a identificar las máquinas sin tener que memorizar una dirección IP para cada una de ellas. - Por extensión, a veces también se llama así al dominio del equipo (un dominio es la parte de una URL por la que se identifica al servidor en el que se aloja) - También es el nombre de un fichero (fichero Hosts) que se encuentra en los ordenadores y resuelve algunos DNS. Dominio Sistema de denominación de hosts en Internet el cual está formado por un conjunto de caracteres que identifican un sitio de la red accesible por un usuario. Los dominios van separados por un punto y jerárquicamente están organizados de derecha a izquierda. Comprenden una red de ordenadores que comparten una característica común, como el estar en el mismo país, en la misma organización o en el mismo departamento. Cada dominio es administrado por un servidor de dominios. Los dominios se establecen de acuerdo al uso que se le da al ordenador y al lugar donde se encuentre. Los más comunes son .com, .edu, .net, .org y .gov. La mayoría de los países tienen su propio dominio, y en la actualidad se están ofreciendo muchos dominios nuevos debido a la saturación de los dominios .com (utilizados por muchas empresas). 7
  • 8. SERVICIOS REDES Y SEGURIDAD 4. La URL: descriptor de recursos URL significa Uniform Resource Locator, es decir, Localizador Uniforme de Recurso. Es una secuencia de caracteres, de acuerdo a un formato estándar, que se usa para nombrar recursos, como documentos e imágenes en Internet, por su localización. Las URL fueron una innovación fundamental en la historia de internet. Fueron usadas por primera vez por Tim Berners-Lee en 1991, para permitir a los autores de documentos establecer hiperenlaces en la World Wide Web (WWW o Web). Aunque nunca fueron mencionadas como tal en ningún estándar, mucha gente cree que las iniciales URL significan Universal Resource Locator (Localizador Universal de Recurso). Esta interpretación puede ser debida al hecho de que, aunque la U en URL siempre ha significado Uniforme, la U de URI significó en un principio Universal, antes de la publicación del RFC 2396. La URL es la cadena de caracteres con la cual se asigna una dirección única a cada uno de los recursos de información disponibles en Internet. Existe una URL única para cada página de cada uno de los documentos de la World Wide Web, para todos los elementos de Gopher y todos los grupos de debate USENET, y así sucesivamente. La URL de un recurso de información es su dirección en Internet, la cual permite que el navegador la encuentre y la muestre de forma adecuada. Por ello la URL combina el nombre del ordenador que proporciona la información, el directorio donde se encuentra, el nombre del fichero y el protocolo a usar para recuperar los datos. La URL se escribe en tres partes que comprenden de izquierda a derecha: 1.- El separador: URL toma la forma de dos puntos (:) seguidos por dos línea diagonales (//). 2.- El descriptor de recursos que denomina al servidor de www, por consiguiente al usuario indica qué clase de recurso está siendo tratado. 3.- Dirección del recurso: Que siempre queda en la parte derecha, la cual se escribe del modo usual para el direccionamiento en Internet, por ejemplo: Para fines comerciales o confidenciales es posible insertar una contraseña dentro de la parte del separador. 8
  • 9. SERVICIOS REDES Y SEGURIDAD 5. El nombre de dominio Un nombre de dominio es la forma en la que se traduce una dirección de Internet (IP) a una dirección legible (amigable), es decir, por ejemplo convertimos: “123.1233.123.123” a esto: www.midominio.com. Esto se hace con el fin de que la dirección de Internet sea fácil de recordar, ya que de no ser así deberíamos recordar una infinidad de números de las distintas páginas que nos interesan y esto sería prácticamente imposible para la mayoría de nosotros. Es por eso que existen los nombres de dominio, para así facilitar el uso de Internet. Ese nombre está compuesto generalmente por dos palabras separadas por un punto, como por ejemplo “dominio.com”. Los nombres de Internet están jerarquizados de derecha a izquierda. Así, leyendo por la izquierda “com” es un dominio de primer nivel, y “dominio” es un dominio de segundo nivel bajo “com” y por ejemplo, un dominio de tercer nivel se leería “dominio.com.ar” o también “ventas.dominio.com”. Aunque todas las conexiones entre máquinas en Internet utilizan estas direcciones de Protocolo de Internet (IP), la mayoría de la gente no las utiliza, ya que son difíciles de recordar. En su lugar utilizan nombres de dominio formados por caracteres alfanuméricos que se recuerdan con mayor facilidad. Así, los nombres de estas direcciones en la red aparecen como: “cpsr-peru.org”, y son internamente traducidas al formato de direcciones IP cuando se utilizan. Es posible también hacer la operación inversa: traducir una dirección IP en un nombre de dominio; por ejemplo: 209.50.239.133 se traduce como “cpsr-peru.org”. 9
  • 10. SERVICIOS REDES Y SEGURIDAD 6. Telnet Telnet (TELecommunication NETwork) es el nombre de un protocolo de red (y del programa informático que implementa el cliente), que sirve para acceder mediante una red a otra máquina, para manejarla como si estuviéramos sentados delante de ella. Para que la conexión funcione, como en todos los servicios de Internet, la máquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23. FTP FTP (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas conectados a una red TCP basado en la arquitectura cliente-servidor, de manera que desde un equipo cliente nos podemos conectar a un servidor para descargar archivos desde él o para enviarle nuestros propios archivos independientemente del sistema operativo utilizado en cada equipo. El Servicio FTP es ofrecido por la capa de aplicación del modelo de capas de red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un problema básico de FTP es que está pensado para ofrecer la máxima velocidad en la conexión, pero no la máxima seguridad, ya que todo el intercambio de información, desde el login y password del usuario en el servidor hasta la transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de cifrado, con lo que un posible atacante lo tiene muy fácil para capturar este tráfico, acceder al servidor, o apropiarse de los archivos transferidos. El modelo FTP El siguiente modelo representa el diagrama de un servicio FTP. 10
  • 11. SERVICIOS REDES Y SEGURIDAD En el modelo, el intérprete de protocolo (PI) de usuario, inicia la conexión de control en el puerto 21. Las órdenes FTP estándar las genera el PI de usuario y se transmiten al proceso servidor a través de la conexión de control. Las respuestas estándar se envían desde el PI del servidor al PI de usuario por la conexión de control como respuesta a las órdenes. Estas órdenes FTP especifican parámetros para la conexión de datos (puerto de datos, modo de transferencia, tipo de representación y estructura) y la naturaleza de la operación sobre el sistema de archivos (almacenar, recuperar, añadir, borrar, etc.). El proceso de transferencia de datos (DTP) de usuario u otro proceso en su lugar, debe esperar a que el servidor inicie la conexión al puerto de datos especificado (puerto 20 en modo activo o estándar) y transferir los datos en función de los parámetros que se hayan especificado. Vemos también en el diagrama que la comunicación entre cliente y servidor es independiente del sistema de archivos utilizado en cada ordenador, de manera que no importa que sus sistemas operativos sean distintos, porque las entidades que se comunican entre sí son los PI y los DTP, que usan el mismo protocolo estandarizado: el FTP. También hay que destacar que la conexión de datos es bidireccional, es decir, se puede usar simultáneamente para enviar y para recibir, y no tiene por qué existir todo el tiempo que dura la conexión FTP. Servidor FTP Un servidor FTP es un programa especial que se ejecuta en un equipo servidor normalmente conectado a Internet (aunque puede estar conectado a otros tipos de redes, LAN, MAN, etc.). Su función es permitir el intercambio de datos entre diferentes servidores/ordenadores. Por lo general, los programas servidores FTP no suelen encontrarse en los ordenadores personales, por lo que un usuario normalmente utilizará el FTP para conectarse remotamente a uno y así intercambiar información con él. Las aplicaciones más comunes de los servidores FTP suelen ser el alojamiento web, en el que sus clientes utilizan el servicio para subir sus páginas web y sus archivos correspondientes o como servidor de backup (copia de seguridad) de los archivos importantes que pueda tener una empresa. Para ello, existen protocolos de comunicación FTP para que los datos se transmitan cifrados, como el SFTP (Secure File Transfer Protocol). Cliente FTP Cuando un navegador no está equipado con la función FTP, o si se quiere cargar archivos en un ordenador remoto, se necesitará utilizar un programa cliente FTP. Un cliente FTP es un programa que se instala en el ordenador del usuario, y que emplea el protocolo FTP para conectarse a un servidor FTP y transferir archivos, ya sea para descargarlos o para subirlos. 11
  • 12. SERVICIOS REDES Y SEGURIDAD Para utilizar un cliente FTP, se necesita conocer el nombre del archivo, el ordenador en que reside (servidor, en el caso de descarga de archivos), el ordenador al que se quiere transferir el archivo (en caso de querer subirlo nosotros al servidor), y la carpeta en la que se encuentra. Algunos clientes de FTP básicos en modo consola vienen integrados en los sistemas operativos, incluyendo Windows, DOS, Linux y Unix. Sin embargo, hay disponibles clientes con opciones añadidas e interfaz gráfica. Aunque muchos navegadores tienen ya integrado FTP, ofrece más confianza a la hora de conectarse con servidores FTP no anónimos utilizar un programa cliente. Acceso anónimo Los servidores FTP anónimos ofrecen sus servicios libremente a todos los usuarios. Permiten acceder a sus archivos sin necesidad de tener un ‘USERID’ o una cuenta de usuario. Es la manera más cómoda fuera del servicio web de permitir que todo el mundo tenga acceso a cierta información, sin que para ello el administrador de un sistema tenga que crear una cuenta para cada usuario. Si un servidor posee servicio ‘FTP anonymous’ solamente con teclear la palabra “anonymous”, cuando pregunte por tu usuario tendrás acceso a ese sistema. No se necesita ninguna contraseña preestablecida, aunque tendrás que introducir una sólo para ese momento, normalmente se suele utilizar la dirección de correo electrónico propia. Solamente con eso se consigue acceso a los archivos del FTP, aunque con menos privilegios que un usuario normal. Normalmente sólo podrás leer y copiar los archivos existentes, pero no modificarlos ni crear otros nuevos. Normalmente, se utiliza un servidor FTP anónimo para depositar grandes archivos que no tienen utilidad si no son transferidos a la máquina del usuario, como por ejemplo programas, y se reservan los servidores de páginas web (HTTP) para almacenar información textual destinada a la lectura en línea. Acceso de usuario Si se desea tener privilegios de acceso a cualquier parte del sistema de archivos del servidor FTP, de modificación de archivos existentes, y de posibilidad de subir nuestros propios archivos, generalmente se suele realizar mediante una cuenta de usuario. En el servidor se guarda la información de las distintas cuentas de usuario que pueden acceder a él, de manera que para iniciar una sesión FTP debemos introducir un login y un password que nos identifica unívocamente. Acceso de invitado El acceso sin restricciones al servidor que proporcionan las cuentas de usuario implica problemas de seguridad, lo que ha dado lugar a un tercer tipo de acceso FTP denominado invitado (guest), que se puede contemplar como una mezcla de los dos anteriores. 12
  • 13. SERVICIOS REDES Y SEGURIDAD La idea de este mecanismo es la siguiente: se trata de permitir que cada usuario conecte a la máquina mediante su login y su password, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para realizar su trabajo, de esta forma accederá a un entorno restringido, algo muy similar a lo que sucede en los accesos anónimos, pero con más privilegios. 13
  • 14. SERVICIOS REDES Y SEGURIDAD 7. Parámetros de IP Números de IP El número o dirección IP es una identificación única que se asigna a los ordenadores conectados a Internet. Es necesario para el protocolo TCP/IP que es el que utilizan los ordenadores con independencia de su sistema operativo para comunicarse en Internet. Este número va a permitir identificar un ordenador de forma inequívoca en Internet. No puede haber dos ordenadores conectados al mismo tiempo con el mismo número o dirección IP. Existen dos tipos de números o direcciones IP: - Las IP fijas siempre están asociados al mismo ordenador - Las IP dinámicas se asocian indistintamente a múltiples ordenadores (nunca al mismo tiempo) El poseer una IP fija o dinámica depende de nuestro proveedor de acceso a Internet. Normalmente la IP fija conlleva un incremento en la tarifa de conexión. La razón es sencilla, una IP dinámica es más rentable ya que puede ser asociada al ordenador A y cuando éste se desconecte puede asociarse a otro ordenador B, mientras que la fija, aunque el ordenador al que está asociada no este conectado a Internet, no puede asociarse a otro ordenador. Para saber si la IP es fija o dinámica hay que hacer lo siguiente: en el escritorio pulsa sobre “Mis sitios de red” con el botón derecho, pulsa en “Propiedades”. Después sobre “Conexión de área local” vuelve a pulsar con el botón derecho, elige “Propiedades”. Aparecerá una lista de los elementos que utiliza esa conexión. Hacer doble clic sobre Protocolo Internet (TCP/IP). En la pestaña “General” si está marcada la opción “Obtener una dirección IP automáticamente” es que la dirección IP es dinámica, si por el contrario está marcada la opción “Usar la siguiente dirección IP” y hay una dirección anotada, es que la IP es fija. El numero IP está formado por cuatro grupos de números que varían de 0 a 255, aunque existen combinaciones reservadas para redes locales y otras utilidades que nunca pueden asignarse a un ordenador para comunicase en Internet. Máscara de IP Básicamente, mediante la máscara de red un ordenador (principalmente la puerta de enlace, router...) podrá saber si debe enviar los datos dentro o fuera de la red. Por ejemplo, si el router tiene la IP 192.168.1.1 y máscara de red 255.255.255.0, entiende que todo lo que se envía a una IP que empiece por 192.168.1 va para la red local y todo lo que va a otras IPs para fuera (internet, otra red local mayor...). 14
  • 15. SERVICIOS REDES Y SEGURIDAD Supongamos que tenemos un rango de direcciones IP desde 10.0.0.0 hasta 10.255.255.255. Si todas ellas formaran parte de la misma red, su máscara de red sería: 255.0.0.0. También se puede escribir como 10.0.0.0/8 Como la máscara consiste en una secuencia de unos y ceros, los números permitidos para representar la secuencia son los siguientes: 0, 128, 192, 224, 240, 248, 252, 254, y 255. La representación utilizada se define colocando en 1 todos los bits de red (máscara natural) y en el caso de subredes, se coloca en 1 los bits de red y los bits de host usados por las subredes. Así, en esta forma de representación (10.0.0.0/8) el 8 sería la cantidad de bits puestos a 1 que contiene la máscara en binario, comenzando desde la izquierda. Para el ejemplo dado (/8), sería 11111111.00000000.00000000.00000000 y en su representación en decimal sería 255.0.0.0. Una máscara de red representada en binario son 4 octetos de bits (11111111.11111111.11111111.11111111). Configurar la IP: Windows Hay varias posibilidades a la hora de configurar la dirección IP. Deberás seguir aquella que esté relacionada con tu configuración. Combinación 1: Una IP legal (IP estática) - Server IP: pon aquí tu dirección IP legal (NO el nombre del dominio) - Auto choose IP: puede estar On u Off (de todos modos tendrás que poner la IP correcta en el apartado ‘server IP’) - Extra IP: no añadas nada - Exclude IP: no añadas nada - Use multi IP to offer data connections automatically: Off Combinación 2: Una IP legal (IP dinámica) - Server IP: deja este apartado vacío - Auto choose IP: On - Extra IP: no añadas nada - Exclude IP: no añadas nada - Use multi IP to offer data connections automatically: On 15
  • 16. SERVICIOS REDES Y SEGURIDAD Combinación 3: Una IP legal (IP estática) + una IP privada - Server IP: pon aquí tu dirección IP legal (NO el nombre de dominio) - Auto choose IP: Off - Extra IP: no añadas nada - Exclude IP: no añadas nada - Use multi IP to offer data connections automatically: Off Combinación 4: Una IP legal (IP dinámica) + una IP privada (combinación a partir de la versión 2.1 build 935) - Server IP: deja este apartado vacío - Auto choose IP: On - Extra IP: no añadas nada - Exclude IP: pon aquí tu IP privada (la cual puede ser múltiple, del tipo xxxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy) - Use multi IP to offer data connections automatically: On Combinación 5: IP legal múltiple (IP estática) - Server IP: pon aquí una de tus direcciones IP legales - Auto choose IP: Off - Extra IP: añade aquí TODAS las direcciones IP (incluida la del apartado ‘SERVER IP’), por ejemplo: xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy,zzz.zzz.zzz.zzz - Exclude IP: no añadas nada - Use multi IP to offer data connections automatically: On 16
  • 17. SERVICIOS REDES Y SEGURIDAD Combinación 6: IP legal múltiple (IP estática) + una IP privada - Server IP: pon aquí una de tus direcciones IP legales - Auto choose IP: Off - Extra IP: añade aquí TODAS las direcciones IP excepto la IP privada - Exclude IP: pon aquí tu IP privada - Use multi IP to offer data connections automatically: On Combinación 7: Servidor de IP dinámica con un nombre de dominio (se actualiza cada vez que tu IP cambia) - Server IP: deja este apartado vacío - Auto choose IP: Off - Extra IP: deja este apartado vacío - Exclude IP: deja este apartado vacío - Use multi IP to offer data connections automatically: Off - DYN_IP_HOST dentro de [FTPD]: pon aquí el nombre de tu dominio, por ejemplo: DYN_IP_HOST=xxxx.dynadns.org - Combinación 8: una IP privada - Con esta combinación NO puedes tener un servidor Configurar la IP: Linux Comandos TCP/IP TCP/IP incluye dos grupos de comandos utilizados para suministrar servicios de red: - Los comandos remotos BERKELEY, que fueron desarrollados en la Universidad Berkeley (California), incluyen órdenes para comunicaciones entre sistemas operativos UNIX, como copia remota de archivos, conexión remota, ejecución de shell remoto, etc. 17
  • 18. SERVICIOS REDES Y SEGURIDAD Permiten utilizar recursos con otros hosts, pudiendo tratar distintas redes como si fueran una sola. En la versión 4 para UNIX Sistema V, se pueden distinguir los siguientes comandos más comunes: RCP: realiza una copia de archivos al mismo o a otro servidor RLOGINGL-RLOGINVT: se utiliza para hacer una conexión al mismo o a otro servidor. REXEC-RSH: permite ejecutar comandos del sistema operativo en el mismo o en otro servidor. - Los comandos DARPA incluyen facilidades para emulación de terminales, transferencia de archivos, correo y obtención de información sobre usuarios. Pueden ser utilizadas para comunicación con computadores que ejecutan distintos sistemas operativos. En la versión 2.05 para DOS, dependiendo de las funciones que realizan, se pueden distinguir los siguientes grupos de comandos: Kernel PC/TCP y herramientas asociadas Se utilizan para cargar el núcleo TCP/IP en la memoria del computador: BOOTP: asigna la dirección IP de la estación de trabajo. INET: descarga el núcleo PC/TCP de la memoria y/o realiza estadísticas de red. KERNEL: carga el núcleo TCP/IP en la memoria y lo deja residente. Configuración de la red Permiten configurar TCP/IP con determinados parámetros: IFCONFIG: configura el hardware para TCP/IP. IPCONFIG: configura el software TCP/IP y la dirección IP. Transferencia de archivos Se utilizan para transferir archivos entre distintos computadores: DDAT’ES: muestra las fechas y horas guardadas en un archivo que haya sido creado con el comando TAR. FTP: transfiere archivos entre una estación de trabajo y un servidor. FRPSRV: convierte una estación de trabajo en un servidor. 18
  • 19. SERVICIOS REDES Y SEGURIDAD FTP PASSWD: se utiliza para poner contraseñas en las estaciones de trabajo a los usuarios para poder utilizar el comando. FTPSRV RMT: permite realizar copia de archivos en una unidad de cinta. TAR: realiza una copia de archivos creando un único archivo de BACKUP. TFTP: transfiere archivos entre una estación de trabajo un servidor o a otra estación de trabajo sin necesidad de validar al usuario. Impresión Permiten el control de la impresión en las impresoras conectadas al servidor. DOPREDIR: imprime un trabajo de impresión que aún no ha sido impreso. IPRINT: envía un texto o un archivo a un servidor de impresoras de imagen. LPQ: indica el estado de la cola de impresión indicada. LPR: envía un texto o un archivo a una impresora local o de red. LPRM: elimina trabajos pendientes de la cola de impresión. ONPREDIR: realiza tareas de configuración para el comando PREDIR. PREDIR: carga o descarga el programa que permite la impresión remota y lo deja residente. PRINIT: se usa con los comandos PREDIR y ONPREDIR. PRSTART: indica a la estación de trabajo remota que imprima un archivo usando la configuración por defecto. Conexión a servidores Permiten la conexión de los computadores a servidores de nuestra red. SUPDUP: permite conectarse a otro servidor de la red. 19
  • 20. SERVICIOS REDES Y SEGURIDAD TELNET – TN: es el método normal de conectarse a un servidor de la red. Información sobre los usuarios: muestran información sobre los usuarios conectados a la red. FINGER: muestra información sobre un usuario conectado a otra estación de trabajo. NICNAME: muestra información sobre un usuario o sobre un servidor solicitada al centro de informaci6n de redes. WHOIS: muestra información sobre un usuario registrado que esté conectado a otra estación de trabajo. Envío y recepción de correo Estos comandos permiten el envío y/o recepción de correo entre los usuarios de la red. MAIL: permite enviar y recibir correo en la red. PCMAIL: permite leer correo. Se ha de usar con el comando VMAIL. POP2 - POP3: se utiliza para leer correo. Se han de usar con VMAIL Y SMTP. SMTP: se utiliza para enviar correo en la red. SMTPSRV: permite leer el correo recibido. VMAIL: es un comando que muestra una pantalla preparada para leer el correo recibido. Se utiliza en conjunción con los comandos PCMAIL, POP2 0 POP3. Chequeo de la red Permiten chequear la red cuando aparecen problemas de comunicaciones. HOST: indica el nombre y la dirección IP de una estación de trabajo determinada. PING: envía una Llamada a una estación de trabajo e informa si se puede establecer conexión o no con ella. SETCLOCK: muestra la fecha y la hora que tiene la red. Open Transport/TCP: trabaja, entre otras, sobre Ethernet, Token Ring y AppleTalk (como MacIP). 20
  • 21. SERVICIOS REDES Y SEGURIDAD También trabaja sobre líneas en serie cuando se utiliza soporte compatible con MDEV anterior (como por ejemplo, MacPPP e InterSLIP). Open Transport/TCP: se configura con el panel de control TCP/IP. La configuración puede realizarse manualmente o a través de un servidor BOOTP, DHCP, RARP o MacIP. Los pasos a seguir con cada uno de estos métodos se detallan a continuación. Por defecto, el panel de control TCP/IP aparece en modo básico. Los modos avanzados y administración pueden introducirse a través del menú Edición. Estos modos proporcionan opciones adicionales a usuarios expertos, además de la posibilidad de aumentar la información devuelta por un servidor de configuración o rellenar lo que falte en dicha información. El panel de control TCP/IP puede usarse en cualquier momento para reconfigurar el sistema. Sin embargo, TCP no asimilará la nueva configuración hasta que se haya descargado del sistema. Por defecto, el proceso tarda unos 2 minutos después de que se haya abandonado la última aplicación con TCP o UDP en uso. Panel de control Open Transport TCP/IP en modo avanzado. Conexión vía: aquí es donde puedes seleccionar la interfaz que el sistema utilizará. Las interfaces pueden ser, entre otras, Ethernet, Token Ring, AppleTalk (MacIP) y MacPPP. Configuración: aquí es donde seleccionas la forma en que el sistema obtendrá su dirección IP. Las opciones son Manualmente, BootP, DHCP y RARP. 21
  • 22. SERVICIOS REDES Y SEGURIDAD Dirección IP: aquí es donde introduces las direcciones IP del sistema si lo has configurado para obtener la dirección manualmente. Si has seleccionado BootP, DHCP o RARP para el campo “Utilizar:”, aparecerá el texto “<facilitada por el servidor>”. Nombre de dominio: éste el nombre de dominio utilizado por defecto para las búsquedas de nombres de dominio. Por ejemplo, si se configura “apple.com” como un nombre de dominio, una búsqueda por “scott” buscará primero por “scott.apple.com”. No es siempre necesario completar este campo cuando se configure desde un servidor BootP o DHCP ya que puede que venga dado junto a la dirección IP. No es necesario introducir un nombre de dominio en este campo. Máscara de subred: campo de la máscara de subred para la red a la que el sistema está conectado. Por ejemplo, en una red de clase C que usa 4 bits del campo host para crear la subred, la máscara de subred debería introducirse como “255.255.255.240”. Dirección router: campo para la dirección IP del router IP por defecto, situado en la red a la que el sistema está conectado. Dirección servidor nombres: campo para la dirección o direcciones IP de uno o más servidores de nombres de dominio. Archivo de hosts: Open Transport/TCP admite un archivo de hosts que puede emplearse para suplir y/o personalizar la caché inicial de información del DNR. El archivo de hosts se encuentra en la carpeta Preferencias del Sistema. Este archivo es analizado cuando se inicializa Open Transport/TCP. Igual que en MacTCP, las características del archivo de hosts admitido siguen un subconjunto del formato de archivo maestro del sistema de nombres de dominio. Las características admitidas incluyen líneas en blanco, comentarios (indicados con un punto y coma) y entradas de datos. Los comentarios pueden empezar en cualquier parte de una línea o pueden seguir una entrada de datos en la misma línea. Un comentario va desde el punto y coma hasta el final de la línea. Una entrada de datos debe seguir este formato: <domain><rr>[<comment>] Donde <domain> es un nombre de dominio absoluto o totalmente calificado (que, no obstante, debe terminar con un punto, pero necesita contener al menos un punto interno) y donde <rr> es: [<ttl>][<class>]<type><rdat a> O BIEN [<class>][<ttl>]<type><rdata> 22
  • 23. SERVICIOS REDES Y SEGURIDAD La única categoría actualmente admitida es IN (Dominio de Internet). El ttl indica el tiempo de vida configurado de un registro se mide en segundos y el tipo puede ser A (dirección del host), CNAME (nombre canónico de un alias) o NS (servidor de nombres). Si el ttl no está presente, se asume que la entrada tiene una duración ilimitada, esto también puede indicarse con un ttl de menos uno (-1). $INCLUDE y $ORIGIN no se admiten. Ejemplos de líneas válidas de entradas de datos con comentarios: El soporte para un archivo de hosts de Open Transport/TCP es de alguna forma más restrictivo que el de MacTCP. MacTCP permitía la violación del requisito de calificación total de <domain-name>, y esta función a menudo se empleaba para evitar la necesidad de introducir registros de CNAME asociando una dirección directamente con un nombre no totalmente calificado. Por ejemplo, este formato: charlie A 128.1.1.1 que era aceptable para el DNR de MacTCP, ya no lo es debido al uso de listas de búsqueda de dominios en Open Transport/TCP (“charlie” podría existir en cualquiera de la totalidad de los dominios configurados). Si existe alguna línea como esa en tu archivo de hosts, devolverá kOTBadNameError cuando el archivo haya sido leído. Para conseguir el mismo efecto, usa este otro formato: charlie CNAME myhost.mydomain.edu myhost.mydomain.edu A 128.1.1.1 Esto asocia el alias local “charlie” con el nombre de dominio totalmente calificado “myhost.mydomain.edu” y lo encuentra en la dirección 128.1.1.1. El uso de alias locales está limitado a entradas de CNAME. Las entradas de NS y A deben emplear nombres de dominio totalmente calificados. En general, el uso del archivo de hosts es poco recomendable, ya que a menudo sólo supone malgastar memoria al configurar constantemente datos a los que quizás casi nunca se acceda. También es muy susceptible de ser usado inadecuadamente por usuarios que intenten configurar demasiada información de manera interna para evitar tener que acceder a servidores de nombres de dominio (DNS). Además de forzar la memoria, esta práctica es exactamente la razón por la que se desarrolló el DNS (Sistema de Nombres de Dominio) en primer lugar: para eliminar la degradación de rendimiento causada por la utilización de enormes archivos de hosts. Si se utiliza un archivo de hosts, hay que esforzarse en mantenerlo lo más pequeño posible y en incluir exclusivamente entradas a las que se va acceder con frecuencia. 23
  • 24. SERVICIOS REDES Y SEGURIDAD 8. Instalar, configurar y desinstalar servidor DNS Para instalar un servidor DNS - Abra el asistente para componentes de Windows. - En Componentes, activa la casilla de verificación Servicios de red y después pulsa en Detalles. - En Subcomponentes de Servicios de red, activa la casilla de verificación Sistema de nombres de dominio (DNS), pulsa en Aceptar y, a continuación, en Siguiente. - Si lo pide, en Copiar archivos de, escribe la ruta de acceso completa de los archivos de distribución y, a continuación, pulsa en Aceptar. - Se copiarán los archivos necesarios en el disco duro. Para llevar a cabo este procedimiento, debes ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considera la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para abrir el Asistente para componentes de Windows, haz clic en Inicio, Panel de control, haz doble clic en Agregar o quitar programas y, a continuación, pulsa en Agregar o quitar componentes de Windows. Es posible que se deban configurar algunos componentes de Windows para poder utilizarlos. Si has instalado uno o varios componentes de ese tipo y no los has configurado, cuando hagas clic en Agregar o quitar componentes de Windows se mostrará una lista con los componentes que es necesario configurar. Para iniciar el Asistente para componentes de Windows, pulsa en Componentes. Se recomienda configurar manualmente el equipo para utilizar una dirección IP estática. Si el servidor DNS está configurado para utilizar direcciones dinámicas asignadas mediante DHCP, cuando el servidor DHCP asigne una nueva dirección IP al servidor DNS, los clientes DNS configurados para utilizar la dirección IP anterior de dicho servidor DNS no podrán resolver la dirección IP anterior y localizar el servidor DNS. Después de instalar un servidor DNS, puedes decidir cómo administrar el servidor y sus zonas. Aunque puedes utilizar un procesador de texto para hacer los cambios en los archivos de inicio de servidor y de zona, este método no es aconsejable. La consola DNS y la herramienta de línea de comandos DNS, dnscmd, simplifican el mantenimiento de estos archivos y se deben utilizar siempre que sea posible. Una vez empieces a utilizar la consola o la línea de comandos para administrar estos archivos, se recomienda no modificarlos manualmente. Las zonas DNS almacenadas en Active Directory sólo pueden administrarse utilizando la consola DNS o la herramienta de línea de comandos dnscmd. Estas zonas no pueden administrarse con un editor de texto. 24
  • 25. SERVICIOS REDES Y SEGURIDAD Si desinstalas un servidor DNS que aloja zonas integradas en Active Directory, estas zonas se guardarán o eliminarán según el tipo de almacenamiento. Para todos los tipos de almacenamiento, los datos de zona se almacenan en otros controladores de dominio o servidores DNS y no se eliminarán a menos que el servidor DNS que hayas desinstalado en el último servidor DNS aloje dicha zona. Si desinstalas un servidor DNS que aloja zonas DNS estándar, los archivos de zona permanecerán en el directorio raízDelSistemasystem32Dns, pero no volverán a cargarse si el servidor DNS vuelve a instalarse. Si creas una zona nueva con el mismo nombre que una zona antigua, se reemplazará el archivo de la antigua por el de la nueva. Cuando se escriben los datos de inicio de servidor DNS y de zona en archivos de texto, los servidores DNS utilizan el formato de archivo Dominio de nombres Internet de Berkeley (BIND, Berkeley Internet Name Domain) reconocido por los servidores BIND 4 heredados, en lugar del formato BIND 8 más reciente. Para configurar un nuevo servidor DNS - Mediante la interfaz de Windows * Abre DNS. * Si es necesario, agrega y conecta con el servidor correspondiente en la consola * En el árbol de consola, haz clic en el servidor DNS correspondiente. * En el menú Acción, haz clic en Configurar un servidor DNS. * Sigue las instrucciones del Asistente para configurar un servidor DNS. Para llevar a cabo este procedimiento, debes ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considera la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para abrir DNS, haz clic en Inicio, Panel de control, haz doble clic en Herramientas administrativas y, a continuación, haz doble clic en DNS. Si el servidor DNS se está ejecutando localmente, no es necesario realizar el paso 2. Se recomienda usar la lista de comprobación para instalar un nuevo servidor DNS. 25
  • 26. SERVICIOS REDES Y SEGURIDAD Cuando termines la configuración del servidor, puede que tengas que completar tareas adicionales, como habilitar las actualizaciones dinámicas para tus zonas o agregar registros de recursos a las mismas. - Mediante la línea de comandos * Abre la ventana del símbolo del sistema. * Escribe: dnscmd nombreServidor /Config {nombreZona|..AllZones} Propiedad {1|0} 26
  • 27. SERVICIOS REDES Y SEGURIDAD Para llevar a cabo este procedimiento, debes ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considera la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para abrir el símbolo del sistema, haz clic en Inicio, seleccione Todos los programas, Accesorios y, a continuación, haz clic en Símbolo del sistema. Para llevar a cabo este procedimiento es necesaria la herramienta de soporte técnico de Windows Dnscmd. Para ver la sintaxis completa de este comando, en el símbolo del sistema, escribe: dnscmd /Config /help Se recomienda usar la lista de comprobación que se proporciona en la Ayuda en pantalla para instalar un nuevo servidor DNS. Cuando termines la configuración del servidor, puede que tengas que completar tareas adicionales, como habilitar las actualizaciones dinámicas para sus zonas o agregar registros de recursos a sus zonas. 27
  • 28. SERVICIOS REDES Y SEGURIDAD Para quitar un servidor DNS de una partición de directorio de aplicaciones DNS Abre la ventana del símbolo del sistema. Escribe: dnscmd nombreServidor /UnenlistDirectoryPartition FQDN Valor Descripción Para llevar a cabo este procedimiento, debes ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo está conectado a un dominio, los miembros del grupo Administradores de dominio podrían llevar a cabo este procedimiento. Como práctica recomendada de seguridad, considera la posibilidad de utilizar la opción Ejecutar como para realizar este procedimiento. Para abrir el símbolo del sistema, haz clic en Inicio, selecciona Todos los programas, Accesorios y, a continuación, haz clic en Símbolo del sistema. Para llevar a cabo este procedimiento es necesaria la herramienta de soporte técnico de Windows Dnscmd. 28
  • 29. SERVICIOS REDES Y SEGURIDAD Para ver la sintaxis completa de este comando, en el símbolo del sistema, escribe: dnscmd /UnenlistDirectoryPartition /? 29