-

-/

-
-/

Aparecido con la versin 2000 de Windows,
Active Directory (AD) es una de las ms
grandes mejoras de sta versin de Windows
con respectoa suantecesor NT4.0.
Vamos a echar unvistazoa sus caractersticas.
Microsoft acept que para resolver nombres en
las redes actuales DNS es mejor que WNS. A
partir de Win2KDNS es el resolutor de nombres
por defecto.
Si su computadora se conecta a algo, est en
peligro. Aunque en su PC no guarde nada,
alguien puede encontrarla til para usarla el
mismo.
Una es
una ventana del web-brouser que es ms
pequea que las ventanas standards y sin
algunos de los atributos standards tales
como barras de herramientas o barras de
status.
popup window (ventana popup)
El software no es perfecto, no importa si es de
fuente abierta o si se trata de un paquete
propi et ari o, t odos son potencial mente
"agrietados".
Ahora que se est tomando conciencia de
que la seguridad es una inversin y no un
gasto, las empresas van a requerir epertos.
Vea que se puede hacer.

La D (nrusion Detection - Deteccin de

ntrusos) es un proceso de seguridad
diseado para monitorear y analizar eventos
en sistemas y redes para detectar un posible
mal uso o accesos no autorizados.
En un articulo de certcities.com se discuti
cuales sern las certificacin de ms inters
durante el 2002 (10 hottest certifications). Si
bien el estudio est basado en el mercado de
los EEUU y Canad, es sabido que ellos
marcan la tendencia, y en cierto modo, el
resto la seguimos.
Si tiene una red y no comparte archivos
para que tiene una red?, pero si en la red
conviven equipos Microsoft y equipos Uni
Puedo compartir? Veamos en ste artculo
como hacerlo usando Samba

Ao 1 N 1 2002
Marcos Ferrer
Edigrfica s.a. Tel:4846236
Director
Propietarios
Jefe de Redaccin
ReIaciones PbIicas
CoIaboradores
Diseo Web SIte
Cristina Rodrguez
Redactores
Diseo Grfico
Preimpresin e Impresin
Dr. Carlos Osvaldo Rodrguez
COR Technologies S.R.L.
Leonardo A. Costa
Carlos Osvaldo Rodrguez
Leonardo A. Costa
Marcelo Guazzardo
Guillermo L. Mauro Jos Gatti
Oscar Raimundo
Emanuel A. Rincn
Peridico de Networking y Programacin
Registro de la propiedad ntelectual en trmite
Direccin: Crdoba 657 12
Capital Federal Tel:(011) 43127694
http: www.neweb.com.ar
Queda prohibida la reproduccin no autorizada total o
parcial de los tetos publicados, mapas, ilustraciones
y
grficos incluidos en esta edicin.
La Direccin de esta publicacin no se hace
responsable de las opiniones en los artculos
firmados,
los mismos son responsabilidad de sus propios
autores.
Las notas publicadas en este medio no reemplazan la
debida instruccin por parte de personas idneas.
La editorial no asume responsabilidad alguna por
cualquier consecuencia, derivada de la fabricacin,
funcionamiento y/o utilizacin de los servicios y
productos que se describen, analizan o publican.
El staff de Ne colabora ad-honorem, si quers
escribir para nosotros enviar un e-mail a:
newebs@yahoo.com.ar
Tirada de esta edicin: 5000 ejemplares
-

-
- --
-
Hoy NEX aparece por primera vez como un "Peridico de
Networking, Seguridad y Programacin".
La pregunta es a quien esta dirigido y cual es el nivel de sus
artculos.
El contenido de NEX apunta a aquellos con inters y que
estn activos en redes y programacin. Tambin ser de
mucha utilidad para estudiantes universitarios de las carreras
de sistemas y/o buscando las certificaciones internacionales
de CSCO, Microsoft (MCSE, MCSA, MCSD, MCDBA), Linu
(LP, Linu+) y otras.
Los artculos sern de un nievel intermedio y avanzado. En
muchos habr un recuadro con una introduccin al tema. Los
artculos que ecedan el espacio fsico del peridico podrn
ser bajados ntegros desde nuestra pagina en nternet:
www.neweb.com.ar
NEX trata de llenar un espacio NO cubierto por otras
publicaciones del mercado y a su vez orientar en bibliografa,
cursos y carrera a aquellos que se encuentren interesados
en nformation Technology (T).
Muchas veces usaremos trminos en ingles ya que creemos
que toda persona con altas miras en esta actividad deber de
a poco lograr un dominio del idioma ingls. De este modo
podr por ejemplo aprovechar en su totalidad la vasta
informacin queaparece ennternet .
Buscaremos un balance entre los diferentes sistemas
operativos que hoy rigen el mercadoLNUXy Windows.
Seguridad en redes constituye hoy un tema de muchsima
vigencia y haremos un especial nfasis en desarrollar temas
de seguridad.
Temticas relacionadas a web-design estaran tambien
dentro de nuestro foco.
Esperamos contar con Uds para tener un feedback a nuestra
oferta. No duden en contactarnos y aquellos que quieran
recibir este peridico pueden solicitarlo a travs de nuestro
website.
-
- ?-
--
-
-

P bsico no tiene seguridad. Pero, para

muchas comunicaciones es indispensable.
SSL resuelve el problema pero para el caso
mas restringido de comunicaciones a travs de
Webbrowsing.
Espacio
Ne
PUBLCDAD
- - -
7 - ?
- - -
En eI Active Directory
un rboI de estructuras
neweb.com.ar
operaciones.neweb.com.ar
web.operaciones.neweb.com.ar diseo.operaciones.neweb.com.ar redaccion.operaciones.neweb.com.ar
D es un servicio de Directorios de
estructurajerrquica.
Es compatible con LDAP (Lightweight
Directory Access Protocol - Protocolo
Compacto de Acceso a Directorios). LDAP
es un protocolo de acceso a listados de
directorios. Es hermano de http y ftp, y el
prefijo de sus URL es ldap://. Tambin es
compatible con NSP (Name Service
Provider nterface nterface de Proveedor de
Servicios de Nombres), que es utilizado por
los clientes deMicrosoft Echange4.0 y 5. .
AD utiliza el sistema de resolucin de
nombres DNS (Domain Name Services -
Servicios de Nombres de Dominios), el
mismo que se utiliza en nternet. Esas
caractersticas lo hacen muy adecuado para
operar en ambientes de red heterogneos
incluyendo NDS (Novell Directory Services -
Servicios de Directorios Novell) y NS+

Aparecido conIaversin 2000 de Windows, Active Directory(AD) es unode Ios mayores adeIantos de sta
versin de Windows con respecto a su antecesor NT 4.0. AD es una pieza cIave dentro de Ia estrategia de Microsoft
para transformar a Windows en un sistema operativo empresariaI. Sin I muchas de Ias dems partes de esa
estrategia no funcionaran. Las group poIicies (directivas de grupo), Ias jerarquas de Ios dominios, y Ia instaIacin
centraIizada, no funcionarnhasta que eI sistema acte comoservidor Active Directory.
(Network nformation Services - Servicios de
nformacin de Red - el servicio de nombres
standarden sistemas Uni).
ActiveDirectory admite el protocolo NSP
para proporcionar compatibilidad con el
directoriode Echange.
Que quiere decir todo esto?, Bueno,
cmo DNS es un servicio de resolucin de
nombres, y AD lo usa, quiere decir que cada
objeto que pertenezca al directorio va a
poder ser ubicado por su nombre. Estos
objetos pueden ser de muy diversas
caractersticas. Se pueden "publicar" en el
AD computadoras, usuarios, impresoras,
servicios, shares (carpetas compartidas).
De sta forma cada objeto publicado en el
AD, va a poder ser encontrado dentro de ese
"rbol" sin importar donde se encuentre
fsicamente.
Con AD se acaba con las diferencias
entre PDC (Primary Domain Controller -
Controlador Primario del Dominio) y BDC
(Backup Domain Controller - Controlador de
Respaldo del Dominio), ya que lo que se
tienen son DC (Domain Controllers -
Controlador deDominio) que almacenan sus
datos en una base de datos compartida (el
SYSVOL) que se encuentra replicada en
todos los DC. Esta tcnica provee tolerancia
a fallos y velocidad de respuesta ya que la
c a r g a d e t r a b a j o s e b a l a n c e a
automticamente entre los DC.
-
SeguridaddeIa informacin
Administracinbasadaendirectivas
Capacidadde ampIiacin
EscaIabiIidad
RepIicacin de Ia informacin
El control de acceso (a travs de las
Access Control Lists - ACL) se puede definir
para cada objeto del directorio y para cada
una de sus propiedades. Active Directory
proporciona el almacenamiento y el mbito
de aplicacin para las directivas de
seguridad. Las directivas de seguridad se
aplican mediante la configuracin de la
Directiva de grupo.
El servicio de directorio de AD incluye un
almacn de datos y una estructura
jerrquica. Esto permite definir los contetos
en los que se aplican las directivas. Como
di rect ori o, al macena l as di rect i vas
(denominadas objetos de Directiva de
grupo) que se asignan a un conteto
determinado. Un objeto de Directiva de
grupo establece un conjunto de normas de
empresa que i ncluyen opciones de
configuracin que pueden, en el conteto en
que se aplican, determinar lo siguiente:
-El acceso a objetos de directorio y recursos
del dominio
-Qu r ecur sos del domi ni o, est n
disponibles paralos usuarios
-Cmo se configuran esos recursos para su
utilizacin.
El administrador de un AD tiene la
posibilidad de agregar nuevas clases de
objetos al schema (esquema) y nuevos
atributos a las object classes (clases de
objetos) yaeistentes.
Un AD puede incluir uno o varios
dominios, cada uno con uno o varios
controladores de dominio, lo que permite
escalar el directori o para satisfacer
cualquier requisito de la red. En un rbol de
dominios se pueden combinar mltiples
dominios y mltiples rboles de dominios se
pueden combinar en un bosque.
L a r e p l i c a c i n p r o p o r c i o n a
disponibilidad de la informacin, tolerancia a
errores, equilibrio de carga y mejoras en el
rendimiento para el directorio. AD utiliza el
sistema de replicacin Multimaster, que
permite actualizar el directorio en cualquier
controlador de dominio, en lugar de en un
solo controlador principal de dominio. La
principal ventaja del modelo Multimaster es
su mayor tolerancia a errores, ya que, con
varios control adores de domini o,
contina la replicacin aunque
deje de funcionar uno de
ellos.
Los DCs necesitan la
informacin ms reciente
del directorio, pero el
i n t e r c a m b i o
i n d i s c r i mi n a d o d e
informacin entre DCs
puede sobrecargar la red.
Por eso AD fue diseado
par a r epl i car ni cament e l a
informacin de directorio quehacambiado.
AD est integrado con DNS de las
siguientes formas:
-Active Directory y DNS tienen la misma
e s t r u c t u r a j e r r q u i c a .
Aunque son i ndependi ent es y se
i mpl ementan de forma di sti nta para
propsitos diferentes, el namespace
(espacio de nombres) de una organizacin
para DNS y Active Directory tienen una
estructuraidntica.
-Las zonas DNS se pueden almacenar en
AD. Si se utiliza el servicio DNS de Windows
2000, los archivos de zona primaria se
pueden almacenar en Active Directory para
sureplicacinenotros DC
-Los clientes de Active Directory utilizan DNS
para encontrar a los DC. Para localizar un
controlador de dominio determinado, los
clientes de AD envan una consulta al
servidor DNS.
Debido al soporte que AD provee para
LDAP y NSP, puede interoperar con otros
servicios de directorio que los utilicen.
Adems se pueden desarrollar aplicaciones
que ut i l i cen LDAP par a compar t i r
informacin de AD.
Integracin con DNS
InteroperabiIidad con otros servicios de
directorio
ConsuItas fIeibIes
Buscar
Los usuarios y administradores pueden
utilizar el comando para encontrar
rpidamente un objeto en la red por sus
propiedades. Por ejemplo, puede buscar
un usuario por su nombre, apellidos,
nombre de correo electrnico, ubicacin
de su oficina u otras propiedades de la
cuenta de usuario de esa persona. La
bsqueda de informacin se optimiza al
utilizar el catlogo global.

http://www.microsoft.com/latam/technet/
articulos/adbranch/default.asp
Active Directory
Qu es undirectorio?
En el conteto de las redes, un directorio
(tambin llamado "almacn de datos") es una
est ruct ur a j errqui ca que al macena
informacin de los de la red. Los
objetos pueden ser recursos compartidos
como servidores, impresoras y carpetas
compartidas; cuentas de usuarios y de
comput adoras; o t ambi n domi ni os,
aplicaciones, servicios, polticas de seguridad
y cualquier otra cosa que haya en la red. Un
ejemplo tpico de la informacin que el
directorio puede contener sobre un tipo
particular de objeto son los datos de un usuario
(nombre, direccin, telfono, e-mail). Siendo
ms mundanos, podemos decir que el trmino
"Directorio" es utilizado con la acepcin que se
le da en el idioma ingls a la palabra directory,
que se utiliza para nombrar la gua de
telfonos. Es decir un compendio organizado
de entidades (usuarios) con sus datos
asociados.
Un servicio de directorio no slo almacena la
informacin, sino que tambin la hace
disponible y utilizable para los usuarios,
admi ni st r ador es, servi ci os de r ed y
aplicaciones. Es decir que da estructura y
soporte al funcionamientodelarede interacta
con ella. En forma ideal un servicio de
directorio hace transparente par el usuario la
topologa fsica y los protocolos de red, para
que aquel puede acceder a los recursos sin
necesidad de saber donde o cmo estn
fsicamenteconectados.
Algunos servi ci os de directorio estn
integrados a un sistema operativo mientras
que otros estn relacionados slo con
aplicaciones, por ejemplo los relacionados con
clientes de e-mail. Los servicios de directorio
de sistema operativo, como es Active Directory
(AD), proveen administracin de usuarios,
computadoras y recursos compartidos. Los
servicios de directorio que manejan e-mail (ej.:
Microsoft Echange) habilitan a los usuarios a
buscar direcciones y enviar e-mails.
Active Directory, el nuevo servicio de directorio
central de Windows 2000 Server, corre slo
sobre Domain Controllers (DC - Controladores
de Dominio). Active Directory provee un lugar
para almacenar datos y servicios que hacen
disponibles esos datos, pero tambin brinda
proteccin contra accesos no autorizados a los
datos y "replica" la informacin de los objetos a
otros DC a travs de la red, as no hay prdida
de datos si unDCfalla.
-

-? -
-
- -
- --
- - -

PUBLCDAD
i una compaa deseara conectar un
Server en sus oficinas en Crdoba con
otro en su central en Bs. As. a travs de
nternet seguramente no permitira que
alguien snoop-eara la comunicacin ni la
modificara. Es decir buscaramos una
coneinsegura. SSL no seria la solucin en
este caso.
Otro conjunto de protocolos llamados P
Security o PSec buscan proveer una
respuesta general para seguridad en
"networks basados en P". A diferencia de
SSL que opera a nivel de la capa de
aplicaciones (SSL es un application-layer
protocol) PSec opera en la network-layer al
igual que P. PSec es una parte necesaria
cuando se usa una conein VPN (Virtual
Private Network) bajo el protocolo de
tuneleo L2TP(Layer 2 TunelingProtocol).
Bsicamente, PSec nos permite tomar
dos comput ador as y asegur ar l a
conversacin entre ellas con diferentes
grados de seguridad. Para comprender
PSec necesi tamos conocer: PSec
"actions", "filters," and "rules" (acciones,
filtros y reglas).
PSec le permite elegir cuan segura
s e r u n a c o mu n i c a c i n e n t r e
computadoras. Ofrece 4 niveles de
seguridad ("actions")
-Bloquear transmisiones
-Encriptar transmisiones
-Firmar transmisiones
-Permitir que las transmisiones viajen sin
cambios. Nose encripta ni sefirma
Eaminemos estas en ms detalle:
(Bloquear la transmisin)
Actiontypesde IPSec
Esta opcin hace lo que dice: bloquea las
transmisiones. Cuando uno le dice a PSec
"bloquee el trafico de maquina X a Y" PSec
en Y simplemente descarta cualquier trafico
que vienede X.
Esta es la opcin de seguridad mas
etrema. Si yo no quiero recibir o permitir a
nadie de la subred 200.200.100.0 que me
manden mail o visiten mi sitio web o se
comuniquen de cualquier forma solo seteo
PSec en mi sistema descartando cualquier
paquete quevenga de esa subred.
(Encriptar la transmisin: ESP)
Aqu, "quiero" permitir que el trafico pase
de X a Y pero estoy preocupado que alguien
pueda "pispear" ("eavesdrop") la conein.
Entonces le digo a PSec que use un
protocolo llamado: Encapsulating Security
Payload (ESP) para encriptar el trfico antes
de ponerlo en la red, Los Snoopers
(husmeadores) solo vern un flujo de bytes
de apariencia aleatoria eilegibles.
Notemos cuan conveniente es que PSec
funciona en la capa "network" de modo que
puede encriptar "cualquier cosa". Por
ejemplo si te gusta usar telnet pero quers
mejorar sobre que enva la informacin en
modo teto le decs a PSec que cada vez
que X e Y usan telnet para comunicarse que
PSec use ESP para encri pt ar l a
comunicacin. Nada hay que modificarle a
nivel de aplicaciones al servidor ni al cliente
IP bsico no tiene seguridad. Pero, para muchas comunicaciones es indispensabIe. SSL resueIve eI
probIema pero para eI caso mas restringido de comunicaciones a travs de Web browsing.
Telnet.
Ej empl o de cuando l a
encriptacin seria til. Quizs uno
tenga dentro de una ntranet una
maquina que maneja informacin
de importancia como sueldos o
tarjetas de crdito. Supongamos que
se guarda en SQL1 y es solo editada
desde WS1, WS2 o WS3. Supongamos se
teme que un "sniffer" de adentro atrape esta
informacin. Uno puede prevenir que se
acceda a la base SQL con permisos. Pero no
evitara que "escuchen" en la red. Con PSec
esto se puede creando una poltica en SQL1
que fuerce que cualquier comunicacin
hacia y desde WS1, WS2 y WS3 este
encriptada. Uno debe crear polticas
similares enlas WS.
Otro ejemplo: supongamos tener un
servidor en Crdoba y otras oficinas en
distintas ciudades del pas. Supongamos
que la manera de conectarnos al servidor es
a travs de nternet y deseamos una
conein segura. Crearamos una PSec
policy en el Server de Crdoba de modo de
solo aceptar trafico encriptado (nunca
aceptar trafico en modo teto) Luego
crear amos pol ti cas PSec en l as
workstations de modo de solo comunicarse
conel servidor en Crdobava ESP.
Transmi si on fi rmada: Encabezado
autenticado (AH)
En cierto tipo de ataques a redes se
engaa a su computadora hacindoles creer
que transmisiones a ella provienen de
alguien de confianza. Otro tipo de ataque
consiste en interceptar los paquetes
transmitidos, modificarlos y hacerl os
continuar (lo que se llama "man in the middle
attack" (ataque de hombre en el medio).
PSec nos deja proteger este tipo de ataque
con un protocolo llamado Encabezado
autenticado (AH). AHes unmtodode firmar
digitalmente las comuni caci ones. No
encriptamos nuestra comunicaci n y
alguien escuchando lo podra hacer. Firma
digital agrega un bit de data al final de
nuestros paquetes
para corroborar que ellos no fueron
modificados en el camino.
"Permitido" es en PSec "sin seguridad".
Le dice a PSec que deje pasar el trfico sin
cambios y sin chequeos de integridad. Es lo
que nos da TCP/P sin PSec. Para que
entonces incluirlo como una accin? De
modo de poder crear reglas que restrinjan
algunas cosas y no otras: "bloquee todo el
trafico que llega "ecepto" el trafico en
puertos 80 y 443. Permita trfico solo en
esos puertos.
Filtros PSec
Ahora que sabemos lo que PSec puede
hacer veamos una importante fleibilizacin
de PSec: sus filtros. En los ejemplos se dijo
que queramos PSec encriptar entre dos
sistemas. En otro dijimos que no solo
queramos encriptar entre 2 maquinas sino
que refinara y lo hiciese SOLO CUANDO
CORRE TELNET. En la seccin de bloqueo
se sugiri bloquear al web server todo
trficodesde 200.200.100.0.
Mas especficamente uno puedo usar
filtros para restringir PSec en asegurar la
comunicacin
Por P address de la computadora fuente,
el Pde la subnet onombre DNS.
Por Paddress dela computadoradestino,
el Pde lasubnet o nombreDNS
Por puerto o tipo de puerto (port type)
(TCP, UDP, CMP, etc))
Todoestohace PSec muy fleible:
PSec Rules =PSec Actions +PSec Filters
Bloquear, encriptar, firmar o permitir
trafico se dice es una P action. Y acabamos
de ver PSec filtres. Para usar PSec uno
combina filtros y acciones para producir
"reglas" (Rules). Por ejemplo si quiero
Transmisinpermitida
El 2 de Julio Microsoft anunci que discontinuara 9 emenes el primo ao. Se encuentran
incluidos en la lista emenes para Windows 98 y Echange 5.0/5.5. Los siguientes emenes no
estarna partir del 30de junio de 2003:
-70-056mplementingandSupportingWebSites Using SiteServer 3.0
-70-057 Designing and mplementing Commerce Solutions with Site Srever 3.0,
CommerceEdition
-70-080 mplementing and Supporting nternet Eplorer 5.0 by Using the Microsoft
nternet Eplorer Administration Kit
-70-081mplementingandSupportingEchangeServer 5.5
-70-085mplementingandSupportingSNAServer 4.0
-70-088mplementingandSupportingProy Server 2.0
-70-091Designingand mplementing with Office2000 andVisual Basic for Applications
-70-098mplementingandSupportingWindows 98
-70-105 Designing and mplementing Collaborative Solutions with Outlook 2000 and
EchangeServer 5.5
Microsoft inform que a pesar que los emenes seran retirados el ao entrante, cualquier
certificacinobtenidacon estos emenes seguirsiendovalida.
Microsoft normalmente limita la comunicacin de las discontinuidades de los emenes una
vez al ao, normalmente en Junio. (Vea "Discontinuation of Eams" en la pgina Web de Microsoft
MCPenwww.microsoft.com/traincert/.)

- -

PUBLCDAD
decirle a PSec en una dada computadora:
"encripte todo el trafico bajo telnet de la
computadora en 10.10.11.3". Esa es una
"Regla" (Rule). Tiene una parte filtro y una
accin:
El filtro dice: "solo active esta regla si hay
trafico que es (1) de la direccin P
10.10.11.3, y (2) cuando use puerto 23
(telnet usapuerto 23)
La parte de la accin dice: "encripte ese
trafico".
Windows 2000, XP o .NET server
implementan PSec construyendo polticas.
Las polticas estn hechas de una o mas
reglas. Y, reglas estn hechas de filtros (Lo
debo hacer?) y acciones (que debo
hacer?).
Firmado y encriptado necesitan una pieza
mas: autenticacin
En orden de poder hacer funcionar
firmado digital o encriptacin se necesita
establecer "keys" (llaves) (bsicamente
password). As, que cuando uno crea una
regla PSec debe decirle a PSec como
autenticarse.
El PSec de MS soporta 3 mtodos de
autenticacin: Kerberos, certificados o una
l l ave-concert ada (agreed-upon key).
Kerberos solo funciona entre computadoras
que estn en un dominio Active Directory
(AD) o en Active Directories que se confan
mutuamente. Si mplemente tener dos
computadoras que tengan clientes Kerberos
no ser suficiente y aun tener 2 sistemas
Windows miembros del mismo "realm
Kerberos" (Uni-based Kerberos versin 5
realm) no basta. Quizs MS debera haber
llamado aesta opcin "Active Directory".
La opcin "certificados" le permite usar la
PK (nfraestructura de llaves publicas) para
i dent if icar una maqui na. La opci n
"preshared key" (llave pre-acordada)
permite usar un string de teto como llave.
No muy seguro. Esta opcin es muy buena
para eperimentar. No hay necesidad de
establecer certificados o un dominio AD.
Solo basta decirle a ambas maquinas usar
"preshared key" y escribir cualquier teto
como "esto es un secreto" en las maquinas.
No seria muy til en produccin pero si para
enseanza.
- - 7-
- - -

La implementacin de PSec de MS tiene
algo con poco sentido: eige autenticacin
ya sea que PSec lo necesite o no. Si uno
permite trfico sin cambiarlo o lo bloquea
total mente en principio no necesita
establecer llaves pre-acordadas. As que en
teora cualquier regla que solo incluya
permitir y bloquear no debera requerir
ningn mtodo de autenticacin. Pero, MS
nos lo pide de todos modos aun cuando no
se usa. As que si estable una regla que solo
bloquee y/o permita elija cualquier mtodo
de autenticacinyaqueda lo mismo.
Y cuando usaramos solo permitir o
bloquear'. Cuando uno setea PSec a
realizar una de sus habilidades ms
interesantes: por ejemplo construir filtros de
paquetes muy fleibles.
Como hacemos para activar todo esto.
PSec se maneja por polticas: locales o
basadas en el dominio. Uno crea reglas
PSec del Local Security Policy program
(secpol.msc) or via Group Policies. Las
polticas contendrn una o mas reglas. La
mejor estrategia para crear las reglas es
definir filtros y acciones primero y luego
pegarlas paraarmar las reglas.
Para empezar, abra Local Security Policy
(Start/Programs/Administrative Tools/Local
Security Policy) y mire la carpeta labelled
"PSecurity Policies onLocal Machine."
Botn-derecho en ese folder y elija
"Manage P filter lists and filter actions," y
creelos filtros y acciones deseadas.
Cierre los dilogos y haga botn-derecho
esta vez sobre "Create P Security Policy"
para crear una poltica.
Una vez que tiene la poltica como desea
haga botn-derecho y asgnela (assign). Ud
vera que MS ha pre-creado 3 polticas. Solo
una puede estar activa. As, que si no la
asigna novera su efecto.
Para leer un ejemplo paso a paso del uso
de PSec (para encriptar la comunicacin
entre 2 maquinas) vea el MS Q article
Q301284.

http://support.microsoft.com/support/kb/
articles/Q301/2/84.ASP

(Artculo etrado del Newsletter de MCP

Magazine del 19/8/ 2002.-
Security Watch http://mcpmag.com
/security/) Roberta Bragg
En forma reciente se han reportado 2 muy importantes fIaws (grietas), una
con pgp, eI programa de fuente abierta de encriptacin de e-maiI (aIguien
puede desencriptar y Ieer su e maiI encriptado) y otro en Ia impIementacin
de Microsoft de chequeos de certificados en cadena en SSL, eI protocoIo
usado para asegurar Ias transacciones comerciaIes en Internet (aIguien
podra utiIizar iIegaImente (spoof) Ia direccin IP de un sitio Web protegido
por SSL y por ende obtener su nmerode tarjeta de crdito).
Como no es mi pr et ensi n
minimizar la seriedad de las grietas, y
considerando que no cuento con el
conocimiento de todos los hechos, mi inters
principal radica en la forma en que las grietas
fueron reportadas y en la respuesta dada a
los reportes. Mucho ha sido dicho sobre la
vulnerabilidad de los productos Microsoft y
poco sobr e l a de otros pr oductos.
Recientemente esto ha ido cambiando con
todo tipo de compaas haciendo correr su
propia lista de vulnerabilidades y parches
(patchs), conunfocomsequitativoengrietas
de cualquier producto. Aqu tenemos una
oportunidad de contrastar la respuesta al
reporte de la vulnerabilidad de Microsoft y la
de un producto de fuente abierta, lo que yo
encuentro interesante sobre esas 2
vulnerabilidades yloquesedeellas.
En Microsoft ySSL:
En PGP:
Es interesante que el "investigador" ni
siquiera se preocupara por contactar a
Microsoft. Redmond tiene una larga historia
de respuestas a grietas identificadas, como
se demuestra por todos los boletines de
seguridad con l inks gratuitos a las
correcciones.
Por otro lado la respuesta pblica de
Microsoft trata de minimizar la grieta del SSL
diciendo que es muy difcil hacer spoof de un
sitio Web. Y no lo es. Encriptacin aparte,
nosotros usamos el SSL para autenticar el
servidor, si eso se va, a quien le importa si los
datos fueron encriptados, pero al servidor
equivocado.
Y todo esto recibe ms atencin de los
medios que la dbil proteccin de la base de
datos de nmeros de tarjeta de crdito de
muchos sitios de comercio electrnico.
Porqu hacer spoof de un sitio de la red con
el propsito de capturar un manojo de
nmeros de tarjetas de crdito antes de ser
descubierto cuando es posible hackear y
robar nmeros de tarjetas de crdito de a
miles, o comprarlas? sta vulnerabilidad, al
contrarioqueladeMicrosoft, seencuentraall
afuera con muchos casos documentados de
eplotacineitosa.
La grieta en PGP fue descubierta por
investigadores que colaboraban con Bruce
Schreiner en la investigacin del problema.
Los i nvest i gador es act uar on con
responsabilidad, aparentemente dndole
tiempo a algunos proveedores de PGP para
arreglar lagrieta, ylaoportunidaddequeotros
investigadores contestaran el reporte
despus de una adecuada investigacin (a la
vez de proveer a los usuarios una forma de
evitar ser victimizado)
La respuesta de la comunidad de
seguridad a la grieta fue interesante, dijeron
que para eplotar la grieta, los usuarios no
deberan usar la compresin (si, claro, los
usuarios nunca hacen eso) y adems
responderle al remitente del mensaje
encriptado daado. El remitente es el hacker
que captur el mensaje y lo modific, el
usuario es quien recibe los datos basura.
Cuando el usuario responde aportando una
copia del mensaje daado para preguntar al
remitente sobre l, el mensaje puede ser
desencriptado por el hacker. Y como todos
sabemos los usuarios nunca podra contestar
e incluir una copia de lo que se le mand no
escierto?
Es interesante que ambas grietas
represententpicos deingenieraynoerrores
de programacin. Tambin demuestra que
tanto los recursos de fuente abierta y los
programas propietarios pueden tener grietas,
y que los defensores de ambos desean
epresar a viva voz cun duro es
eplotarlas.
Apuesto a que habr muchas respuestas
a esta columna que afirmen que la respuesta
de la fuente abierta es ms profesional. Estoy
de acuerdo, el investigador que descubri la
grieta acudi a otros investigadores para que
la confirmen, para entonces publicaron los
d e t a l l e s j u n t a m e n t e c o n l a s
r ecomendaci ones para arr egl arl o y
sobrellevarlo. El descubrimiento de la grieta
deMicrosoft fuedirectamentealaprensa.
En ambos:
- - - - -
-- -- - -
-- 3 -
- 7- 7 -
/ - - -
- 3
- -3
Espacio Ne
PUBLCDAD

Hasta Windows NT el protocolo por
defecto era NetBeui pero en Windows
2000 es reemplazado en esa tarea por
TCP/P. Debido a eso el resolutor de
nombres principal deja de ser WNS, que es
reempl azado por DNS. ncl uso, si
instalamos Active Directory (uno de los
mayores avances en Win2k sobre NT),
estamos obligados a instalar DNS, porque
sinl, ADnofunciona.
Al ser tan necesario, en Microsoft se han
esmerado para mejorar su funcionalidad. Si
bien DNS en NT 4.0 era fcil de configurar y
confiable, al DNS de Win2k se lo hizo
compatible con los RFC 2136 y RFC 2052
(Request For Comments - Solicitud de
comentario: las normalizaciones en nternet
llevan esos nombres), lo que quiere decir
que ahora soport a act ual i zaci ones
dinmicas, permitiendo automatizar el
proceso de aadir informacin sobre nuevas
mquinas a la base de datos DNSy aumenta
los tipos de informacin que puede
administrar. Por ejemplo, un servidor DNS
que no cumpla con la RFC 2052 poda
decirnos que mquinas actuaban como
servidores en un dominio dado, pero no
cuales eran servidores Web o FTP. Active
directory cumple con la RFC 2052 para que
DNS ayude a las estaciones de trabajo a
encontrar controladores de dominio y otros
servidores especficos de AD.
Est bien, dej de ser el jefe en la
resolucin de nombres para Win2k, pero
mientras eistan mquinas con versiones
anteriores de Windows instaladas en ellas y
conectadas a una red, aunque estn
controladas por Win2k, vamos a seguir
necesitando resolver nombres NetBOS (los
que usa NetBeui).
Vamos a tratar deaclarar unpoco las cosas:
Las aplicaciones que acceden a recursos en
una red se comunican con los protocolos de
red a travs de APs (Application Program
nterface - nterfaz de programa de
aplicacin). Desde 1985 Microsoft construy
sus apl i caci ones sobr e una AP
(desarrollada tambin por Mi crosoft)
l l amada Net B OS ( Net wor k Basi c
nput/Output - Entrada/Salida Bsica de
Red). El resto del mundo nternet, por el otro
lado, slo usa una AP diferente: Sockets.
La versin PC de sockets se llama Winsock,
esto quiere decir que Windows utiliz
durante varios aos las 2 AP, y recin en las
versiones Win2k decidi inclinarse por la
que prefera el mundo aunque no fuera la
que Microsoft desarroll, es decir que eligi
Winsock. Pero el problema es que hay toda
una plyade de aplicaciones dando vueltas
WINS: Durodematar
por ah tratando de acceder a la red
utilizando NetBOS. Por lo tanto NetBOS
sobre TCP/P (llamado NetBT o NBT) es
fundamental para que los sistemas
operativos y aplicaciones ms viejas sigan
funcionando en las redes nuevas. Los
problemas siguen, el viejo NetBOS resolva
no mbr es si mpl emen t e hac i en do
broadcasting, lo cual va a ser inconveniente
en cualquier red ruteada (los mensajes
broadcast no son retransmitidos por los
routers), si la mquina cuyo nombre se est
buscando est en algn segmento de la red
mas all del router, directamente no ser
encontrado. Por supuesto que hubo gente
que not esto antes que nosotros, lo que nos
llevaa otros 2RFCs, el 1001y el 1002.
Los RFCs di eron opciones para
solucionar el problema:
La primera no fue tal, solo reglamentaba el
usode broadcasts.
La segunda, era crear alguna clase de
servidor de nombres y usarlo. Entonces,
cuando un cliente necesitaba resolver un
nombre, todo lo que deba hacer era mandar
un mensaje punto a punto al servidor de
nombres y esperar su respuesta; el nombre
genrico es NBNS (NetBOS Name Server -
Servidor de Nombres NetBOS), y el nombre
del NBNS mas usado es WNS (Windows
nternet Name Server - Servidor de Nombres
Windows paranternet).
Recuerde que para no necesitar WNS, no
solamente TODAS las computadoras deben
trabajar con Win2k, sino que adems
TODOS los programas que utilicen la red
deben estar basados en winsock y no en
NetBOS. As, aunque ahora DNS tiene mas
trabajo que antes, en las redes Windows,
WNStodava no hamuertoy dapelea.
FiIosofa de DNS: ControI IocaI, acceso
mundiaI
DNS est ah para resolver nombres a
direcciones P, que son las que realmente
comprende y puede manejar el protocolo
TCP/P. Casi todos (si no es que todos) los
sitios que uno puede encontrar en nternet
t i e n e n u n n o m b r e a m i g a b l e
(www.neweb.com.ar) asociado con una
direccin P (100.200.300.400), y tambin
eiste una autoridad en nternet (La
interNC, de la que hablaremos en otra
nota), as que porque no dejamos que sta
autoridad mantenga una base de datos
centralizada que nos diga que direccin
tienecada nombreasignado en lared.
Bueno, no lo hacemos por la sencilla
r a z n de q ue h oy d eb e ha be r
apr oi madament e 200. 000. 000 de
computadoras conectadas a nternet, y la
base de datos tendra unos 8 GB de
informacin, por eso ste Servidor Global de
Nombres (SGN) estara bastante ocupado.
Adems, sera fatal que cada vez que
alguien quiera agregar una mquina o
cambiar un nombre en su red, debiera enviar
un mensaje a los ocupados muchachos del
SGN y esperar la confirmacin de que
realizaron el cambio en las bases. Por
ltimo, desvirtuara la filosofa de nternet:
Descentralizacin (nternet naci de ARPA
Net, un proyecto del departamento de
defensa de EEUU en el cual, si una parte de
la red se rompa por un ataque, el resto
debera poder seguir trabajando).
Entonces no, no vamos a tener un
Servidor Global de Nombres y en cambio lo
que tenemos son unas reglas para hacer
funcionar la resolucin de nombres en forma
distribuidaa lo largode las redes:
Cada organizacin instala y mantiene
sus propios servidores DNS, los cuales
referencian sl o l as mquinas que
pert enecen a su or gani zaci n. Es
responsabilidad del propietario de cada
subred que sus servidores DNS funcionen y
lo hagan bien. Si necesito acceder a
www.ibm.com, entonces BM es quien debe
mantener servidores DNS que le digan a mi
browser a quedireccin Pse debe dirigir.
La interNC mantiene referencias solo a
los servidores DNS de los dominios
registrados. Es decir que la interNC NO
puede darme la direccin de www.ibm.com,
pero puede decirme que BM tiene 6
servidores DNS que pueden resolver ese
nombre y, por supuesto, puede darme las
direcciones de esos servidores. No hay
ninguna magia en eso, ya sabemos que la
interNC es el grupo que registra los
nombres de dominio en nternet, y seniega a
registrar un nuevo dominio si no se le
Para Windows NT, DNS era una herramienta secundaria, estaba ah para que Ia utiIizaran Ios programas que accedan a
Internet (buscando servidores de correo y pginas Web), mientras que WINS se encargaba de resoIver Ias ubicaciones de Ios
Domain ControIIers, servidores y estaciones de trabajo, es decir eI soporte aI funcionamiento de Ia red estaba en sus manos.

- -

PUBLCDAD

-?

proveen por lo menos 2 direcciones de

servidores DNS Zue resuelvan los nombres
de dicho dominio.
El software de servidores DNS es lo
suficientemente inteligente como para
preguntarle a otros DNS, cuando no puede
resolver el nombre por si solo. Es una de las
cosas Zue hace Zue todo esto funcione: si
alguien dentro del dominio www.ibm.com
trata de acceder a www.microsoft.com, el
primer DNS con el Zue se encontrar la
solicitud ser uno de los DNS de BM. Como
ese servidor no podr resolver el nombre se
conectar con los servidores de la interNC,
los Zue le darn la direccin de los DNS de
Microsoft, con esa informacin en la mano, el
DNS de BMZue se est encargando de sta
sesin, se comunica con el DNS de Microsoft
para Zue ste ltimo le diga cual es la
direccin de la mZuina llamada WWW
dentro del dominio microsoft.com Pero ah
no termina el proceso, todava falta Zue el
DNS de BM le entregue esa direccin al
browser Zue haba pedido la comunicacin
para Zue, ahora si, el browser emita un
m e n s a j e a l a d i r e c c i n d e
www.microsoft.com Esto, por supuesto,
sucede a velocidades suficientemente altas
como para Zue no nos decidamos a aprender
las direcciones Ppor nosotros mismos.
Esta es la eplicacin de porZu la
interNC, pide 2 servidores DNS para
registrar un dominio. Cada dominio tiene
ToIerancia a FaIIos
.
uno y solo unPrimary DNS(DNSprimario), el
cual se setea de esa manera. Adems todos
los dominios registrados, y todos aZuellos
Zue desean tener una cuota de fault
tolerance (tolerancia a fallos) tienen algn
nmero de servidores DNS secundarios, los
cuales contactan al primario cada cierta
cantidad de tiempo y copian su base de
datos. Simplemente tienen un backup de la
base del DNS primario y pueden satisfacer
resoluciones de nombres cuando el DNS
primario estmuy ocupado ocado.
Estrictamente hablando, los servidores
DNS no guardan informacin de nombres
por Dominio, sino Zue lo hacen por Zonas.
Una zona es "el rango de direcciones P de
las cuales se ocupa un servidor DNS
determinado". En principio es solo una
cuestin de nombres y la Zona puede
coincidir con el Dominio. Pero si una
compaa crece, se fusiona o adZuiere otra
puede resultar Zue mantener una sola Zona
para todo el Dominio no sea la opcin mas
apropiada. Pro ejemplo si la empresa acme
cuyo dominio es acme.com, instalada en Bs.
As. mueve todo su departamento de
fabricacin de juguetes a una provincia
donde le sea mas barato fabricarlos (por ej.:
Santa Cruz), puede ser Zue le sea
conveniente crear un subdominio (Zue
todava es parte del domino acme.com)
llamado juguetes.acme.com. Como los dos
centros estarn separados por cientos de
Zonas, Dominios y DeIegacin
kilmetros. La opcin de Zue un DNS se
encargue de todas las resoluciones ser
costosa en consumo del ancho de banda de
la comunicacin desde Santa Cruz hasta
Bs.As. para resolver el nombre de una
mZuina Zue posiblemente est al lado de la
Zue inici la peticin. Lo Zue se puede hacer
en es caso es Delegar la autoridad para la
resolucin de nombres del subdominio
juguetes.acme.com a un servidor DNS
instalado en la sede de Santa Cruz.
Entonces 2 servidores DNS Zue pertenecen
al mismo dominio padre (acme.com)
atienden solicitudes de 2 Zonas distintas a
travs del procesode Delegacin.
Hasta ac vimos la tarea principal de los
DNSZu es convertir nombres a direcciones
P, lo Zue se llama forward name resolution
(resolucin de nombres directa), pero DNS
puede hacer la tarea inversa: responder cul
es el nombre de dominio asociado a una
direccin P determinada, y esto se llama
reverse name resolution (resolucin de
nombres inversa).
Los DNS almacenan la informacin para
encontrar nombres de dominio en archivos
llamados zone files (archivos de zona).
Pero para cada subnet de nternet hay una
zona llamada reverse lookup zone (zona de
bsZueda inversa). El nombre de esos
archivos es raro, para construirlo se toma la
direccin de la red (205.22.42.0/8 por
ejemplo), se descartan los octetos Zue
identifican los hosts (en stecasolos ltimos
8 bits), se invierten los Zue referencian a la
red (en ste caso pasamos de 205.22.42 a
42.22.205) y se le agrega ".in-addr.arpa".
Con lo cual para un DNS Zue sea la
autoridad de una zona correspondiente a un
dominio Zue tenga asignada la direccin
205.22.42.0/8, el nombre del archivo de su
reverse lookup zone es 42.22.205.in-
addr.arpa y ese es el lugar en donde el DNS
buscar la respuesta a consultas del tipo
cmo se llama el hosts cuya direccin es
205.22.42.37?
De sta manera llegamos al final de la
presentacin de los servicios DNS. Ahora
podemos pasar a poner manos a la obra con
una instalacin bsica de un DNS bajo
Windows 2000.
AI revs

http://###www.microsoft.com
/latam/technet/articulos/adbranch/
default.asp
Si desea obtener ms informacin
sobre DNS, busZue en nuestro sitio
web en donde podrss encontrar un
ejemplo prctico en

ROOT
(".dot")
.com
.org .ar
.zw
(Argentina) (Zimbabwe)
AA.COM AA.AR ZZ.ZW ZZ.COM
AAA.AA.AR AAA.ZZ.COM ZZZ.ZZ.COM ZZZ.AA.AR
El 30 de Junio, Microsoft public informacin sobre el desarrollo de un nuevo
eamen basado en Seguridad. Segn la gua de objetivos del eamen publicada en
www.microsoft.com/traincert/eams/70-214.asp. EL eamen 70-214, "mplementing
and Administering Security in a Windows 2000 Network", es un MCA y MCSE electivo
cuya betaseespera sealanzada en Noviembre.
El eamen es la continuacin de los comentarios Zue el grupo de capacitacin y
certificacin de Microsoft hizo ms temprano este ao considerando el posible
desarrollo deunacertificacin de seguridad.
En otra noticia relacionada a certificaciones, Dan Trua, director del grupo de
certificacin de habilidades y valoracin de estrategias ("Microsoft's certification skills
and assessment-strategy group"), dijo Zue es improbable Zue Microsoft agregue
elementos de laboratorio a las pruebas de certificacin, "Nosotros no tenemos planes
especficos para lanzar emenes de laboratorio, aunZue continuamos eplorando
innovaciones en los emenes" dijoTrua.
l dijo Zue Microsoft ha tenido ito con simulaciones dentro de los emenes, y
"nosotros continuaremos nuestro gran nfasis en eso". l tambin mencion la
posibilidad de tener ms interaccindel productodentro de las pruebas.
PUBLCDAD
PUBLCDAD
PUBLCDAD
-
-
Usted debe instalar Microsoft Windows 2000
Professional en un conjunto de nuevas
maZuinas. Todas las PC cumplen con la norma
PXE. Usted instala un servidor RS, un DHCP y
un servidor DNS.
Sin embargo la instalacin automtica falla. La
red est distribuida como muestra lafigura:
Cul es la causa ms probable del fallo de la
instalacin automtica?
Respuesta:
La opcin correcta es la b. Para Zue una
instalacin automtica funcione, todo el proceso
debe realizarse sobre la estructura de un Active
Directory. Las respuestas Zue contradicen los
enunciados sonsiempreunatrampa.
a)Un probIema de cabIeado de red.
b) No est funcionando Active Directory.
c) est maI configurado eI DHCP.
d) Lo ms probabIe es Zue Ias PC no sean
reaImente PXE.
- -

-
Estructura jerrZuica de DNS (Domain
Names System)
Qu es DNS? Una convencin de nombres jerrZuica y arbitraria,
principaImente basada en designaciones geogrficas.
*7 cdigos genricos de 3 Ietras
177 cdigos de 2 Ietras,
referidos a Ios pases
Sin embargo incluso el mejor de los
dispositivos de filtrado fallar en su
misin de proteger la red si los recursos
accesibles desde nternet son vulnerables a
ataZues. ndividuos maliciosos pueden
utilizar los canales de comunicacin abiertos
( HTTP, FTP, e- mai l , DNS) par a
comprometer, en forma remota, la seguridad
de un sistema dentro de una red, y entonces
usar ese sistema atacado, como base para
atacar otros sistemas dentro de la red.
Muchas infraestructuras de red se han
vuelto tan complejas y dispersas Zue los
administradores de la red pueden llegar a
tardar varios das en enterarse de un
defacement (cambio de cara) de su pgina
Web. En un caso particular, un sysadmin
tuvo conocimiento de Zue su pgina Web
haba sido atacada despus de Zue un
usuario le avisara a la oficina de relaciones
pblicas de la empresa. La gente de
relaciones pblica se lo dijera a un gerente
Zuien se lo dijo al administrador de la red.
Realmente, no la mejor manera de enterarse
de una cosa as. Ahora la buena noticia es
Zue los DS (ntrusion Detection Systems -
Sistemas de Deteccin de ntrusos) estn
alcanzando un nivel de madurez Zue les
permite llenar el hueco en la seguridad,
proveyendo una manera de monitorear la
red para detectar el mal uso de la misma y
"eploits" activos. Los DS pueden ser host-
based (basados en una computadora) o
network-based (basados enla red).
La D (ntrusion Detection - Deteccin de
ntrusos) es un proceso de seguridad
diseado para monitorear y analizar eventos
en sistemas y redes para detectar un posible
mal uso o accesos no autorizados.
Que es un IDS?
En
trminos amplios, los DS son tecnologas
Zue intentan dar soporte a los procesos de
deteccin de intrusos. Adems pueden
dividirse en varias subcategoras: DS
embebi do, honeypot s ( t r amperas) ,
cheZueadores de integridad de archivos e
i ncl uso scanner s ant i vi rus. Nuevos
conceptos y trminos estn relacionados
con ste campo, dado el progreso de la
tecnologa y al intento de los desarrolladores
de introducir nuevas funcionalidades y de
diferenciar sus productos de los de la
competencia, aprovechando el crecimiento
de ste espacio. Las compaas estn
empezando a construir conceptos como
"protocol anomaly detection" (deteccin de
anomala en el protocolo), "distributed DS
event correlation" (correlacin de eventos
distribuidos de DS); y la mayora de los
product os en uso act ual ment e son
cl asi fi cados como "patt ern matching
systems" (sistemas de bsZueda de
patrones). DS es similar a un detector de
movimiento instalado en una casa. Cuando
las rejas y cerraduras fallaron en su tarea de
mantener afuera a los intrusos, el censor
Cuando se habIa de seguridad en redes, por Io generaI se asocia Ia tecnoIoga de seguridad con
mecanismosdecontroI deacceso comoIosfirewaIIs, servidoresProyy ACL(AccessControI Lists- Listas
de ControI de acceso) de routers. Todos eIIos estn diseados para restringir eI fIujo de trnsito hacia y
desdeIasredesprivadas, enunintentopor preservarIasdeI accesodeatacantesdesdeInternet.

7- - - -
3- -
- -- - --
puede detectar movimiento en el interior de
la casa y disparar una alarma. Por supuesto
Zue es importante ubicar correctamente el
censor. Si se lo pone en el ltimo rincn del
garaje, no ser capaz de detectar intrusos
ingresando por laventanade la cocina.
Los NDS monitorean el trfico de la red.
Usual mente estn basados en dos
p r i n c i p i o s : p a t t e r n - m a t c h i n g
(reconocimiento de patrones) y deteccin de
anomalas por estadsticas o mediante el
uso de algoritmos. El reconocimiento de
patrones trata de identificar secuencias
especficas de atributos (signatures - )
dentro de los paZuetes. Puede ser una
direccin P origen, destino, o ciertos
caracteres en los encabezados o los datos.
La deteccin estadstica o algortmica de
anomalas en los protocolos identifica el
Network IntrusionDetectionSystems
-
trfico Zue cumple con determinadas
caractersticas, por ejemplo la cantidad de
paZuetes SYN (los paZuetes Zue intentan
iniciar una sesin) recibidos por minuto o la
cantidad de coneiones intentadas en un
perodo de tiempo determinado. En los
trminos de NDS, los patrones usualmente
son denominados "signatures" (firmas) y las
reglas estadsticas o algortmicas utilizadas
para detectar las signatures son llamadas
"reglas". Por ejemplo el "gusano" cdigo rojo
puede ser identificado dentro del trfico de la
red como un paZuete dirigido al puerto 80
(protocolo HTTP) Zue contiene la siguiente
firma (o patrn o signature) dentro del sector
de datos:
GET / def aul t . i da? XXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXX%u90
90%u6858%
(Simplificado para lapublicacin)
Tambin se pueden detectar intentos no
autorizados de logueo o ataZues de fuerza
bruta. Esto se lograra reportando (a travs
de una regla NDS), por ejemplo cuando
suceden mas de 20 intentos fallidos de
logueo por minuto. Los NDSms modernos
pueden ser configurados para reportar casi
cualZuier clase de anomala hipottica. Es
i mport ante menci onar Zue muchos
pr oduct os N DS per mi t en a l os
administradores del sistema definir nuevas
"firmas" y reglas. Sin embargo, NDSno slo
puede ser utilizado para detectar ataZues
acti vos, si no tambi n para rastrear
problemas en la red, o para "pescar"
paZuetes Zue pueden ser interesantes para
el staff de networking.
Por supuesto Zue la habilidad de un DS
para hacer su trabajo implica Zue el sensor
es capaz de hacer "sniffing" (olfatear -
capturar y revisar los paZuetes Zue circulan
por una red) de todo el trfico desde y hacia
los sistemas monitoreados y comparando
todos los paZuetes con la base de datos de
" " maliciosas. Este hecho hace
necesaria la instalacin del NDS en un
segmento de red Zue le permita capturar
TODO el trfico a monitorear. Esto se puede
lograr instalando puertos espejados en los
switches, o i nstal ando hubs en las
coneiones uplink de las interfaces de los
routers o swi tches. En una red de
ar Zui t ect ura r edundante, cada l i nk
redundante debe contar con su propio NDS.
Se debe evitar crear puntos de falla sin
respaldo cuando se disea una solucin de
DS.
actividad maliciosa
en la red interna es Zue puede provenir de
accesos autorizados, es decir usuarios
regi strados en el si st ema, Zue no
necesariamente utilicen tcnicas de hackeo
-
Los estudios demuestran Zue la mayora
de los ataZues ocurren en las redes internas,
por eso se debe considerar seriamente la
implementacin de DS, no solo en la DMZ
(DeMilitarized Zone - Zona DesMilitarizada -
la porcin de la red donde se permite acceso
pblico, como el ftp server, Web server) sino
tambin en la red interna. El mayor desafo
en la monitorizacin de
- -- - 3 -
- - - - - -
- - -
- - 7
PUBLCDAD
reportables por el DS. La respuesta a dicho
desafo es usar una combinacin de NDS y
HDS (Host-based DS - Sistema de
Deteccin de ntrusi ones basado en
computadoras).
Los H DS (Host-based nt rusi on
Detection Systems) estn diseados para
detectar eventos dentro de un host, cmo
por ejemplo, el uso del comando "run as" o
accesos l eg t i mos a document os
confidenciales, pero realizados a horas
desusadas, lo Zue puede significar la
presencia de un intruso. Los mecanismos
de HDS van desde un sistema bsico de
auditoria hasta mtodos de deteccin
avanzados, y han demostrado ser ms
eficientes para detectar un potencial mal uso
de los sistemas desde adentro de la red
local. Algunos productos incorporan los dos
sistemas, consolidando la salida de reportes
a unanica consola.
La encriptacin, diseada para evitar el
acceso no autorizado a la informacin, es
particularmente problemtica para los
sistemas de deteccin de intrusiones.
Protocolos Zue son ampliamente utilizados
cmo SSL (Secure Sockets Layer - Capa de
Coneiones Segura), SSH (Secure Shell -
ntrprete de comandos Seguro) o PSec (P
Seguro) utilizado en las VPN (Virtual Private
Networks - Redes Privadas Virtuales), evitan
Zue los NDS puedan inspeccionar el trfico
para compararlo contra las de los
ataZues conocidos. Los payloads (datos
dentro de los paZuetes) encriptados
convierten a stos protocolos en ecelentes
vehculos paraZueunatacante pueda evadir
la deteccinpor parte deun DS.
Otra limitacin importante es la velocidad
de la red. Limitaciones de hardware y
algoritmos de comparacin ineficientes,
imponen una limitacin al nmero de
paZuetes Zue se pueden capturar y analizar
dent r o de un per odo de t i empo
determinado. Una vez Zue ste lmite es
alcanzado, los DS comienzan a "perder "
paZuetes (ignorar el trfico). Pocos NDS
actualmente disponibles en el mercado
pueden trabajar enredes "gigabit".
Para hacer ms fcil la tarea de los
hackers han aparecido herramientas Zue
burlan los sensores de los DS. Algunas de
ellas (por ej.: stick) bombardean al NDS con
bases de datos de de ataZues,
haciendo Zue algunos DS desborden de
f al sos mens aj es de al er t a . Las
Host-basedIntrusinDetection
IDSnoesuna cura miIagrosa
-
-
or gani zaci ones deben compr ender
claramente los riesgos Zue encierran
herramientas como esa, usados contra los
NDS y cmo responder a esas alertas.
Usualmente los atacantes tratarn de evadir
la deteccin de los NDS con la finalidad de
poder real izar ataZues verdaderos y
hacerlos difciles de detectar.
Utilizar un NDS, esperando obtener
altos grados de efectividad incluye una gran
cantidad de mantenimiento. No se puede
sencillamente instalar el software de NDS y
dejarlo funcionar desatendido. Nuevas
, cambios en la red, nuevo software,
todos esos eventos reZuerirn un afinado en
el N DS. Para alcanzar l a mima
ef ect i vi dad, l as deben ser
frecuentemente actualizadas, los lmites
deben ser ajustados para evitar falsas
alarmas y los administradores deben
monitorear los registros de eventos para
conocer el comportamiento normal de la red
en su propio entorno y poder diferenciarlo de
comportamientos etraos. Los procesos
de agregar o Zuitar elementos y servers en la
red deben ser acompaados por nuevos
ajustes en los NDS. No hacerlo as puede
resultar en la prdida de confiabilidad en el
sistema. Estas actividades pueden consumir
muchos recursos, es por eso Zue (en USA
por ejemplo) estn surgiendo compaas
Zue se dedican eclusivamente a hacerse
cargodela administracin delos NDSde las
empresas Zue tercerizanesatarea.
ewalls
u otros componentes de la red, en respuesta
a los eventos. Pro ejemplo, algunos NDS
pueden resetear sesiones TCP(enviando un
paZuete RST al origen) basndose en la
ocurrencia de triggers (disparadores)
especficos. Algunos pueden integrarse con
otro software de administracin y provocar
una reconfiguracin automticade la red.
La mayorade los epertos de laindustria
coinciden en Zue los DS todava no han
alcanzado la madurez, total. No se ha
llegado al punto en Zue se pueda confiar
ciegamente en Zue la reconfiguracin
automtica Zue el software decida, sea la
solucin. El mayor problema con las
respuestas automticas a los eventos sobre
la red es Zue el DS en s, se convierte en
una amenaza potencial. Si un atacante se
da cuenta de Zue el NDS cierra el puerto 80
para la direccin de origen desde donde
-
-
Sepuede confiar eneIIos?
Los N DS t ambi n pueden ser
configurados para administrar el trfico de
manera proacti va, por su cuenta o
interactuando con otros productos, fir
- 7 - -
- ?
-
- -
las tareas Zue generalmente puede realizar
un Network ntrusinDetection System:
-Anlisis casi en tiempo real del trfico, en
bsZueda de de ataZues conocidos.
-Deteccin y reporte casi en tiempo real de
anomalas enel trfico dela red.
-Alerta del personal administrativo cuando
sedetecta unataZue potencial.
-Ejecucin de una accin correctiva,
previamente definida.
-Anlisis y reporte sofisticado (no en tiempo
real).
-
Espacio Ne

proviene el ataZue, fcilmente puede
averiguar direcciones de clientes y socios de
la empresa Zue tiene implementado el NDS,
y realizar ataZues mediante spoofing de
esas direcciones, lo Zue producira un DoS
(Denial of Service - Negacin de Servicio) a
usuarios legtimos.
Otra complicacin proviene de la
arZuitectura de los DS. En muchos casos, la
implementacin reZuiere comunicacin
entre agentes (traffic snifing devices -
dispositivos de captura de trfico) y
administradores (los dispositivos Zue
gobiernan la distribucin de polticas y la
manera de procesar las alertas entre las
estaci ones de admi nist raci n y l as
consolas). Para ello se deben configurar
direcciones P trusted (confiables) desde la
DMZ ( DeMi l i t ar i zed Zone - Zona
DesMilitarizada) o, peor an, desde nternet,
para Zue se les permita el acceso a la
estacin de administracin de la red. Si no
se hace un anlisis profundo y concienzudo
de dicha configuracin, la implementacin
del NDS puede provocar un dao enorme.
En algunos casos se debera crear una red
de administracin diferente para usar
interfaces de red separadas en las
mZuinas agente.
Para finalizar, la siguiente es una lista de
Vea Ios 12 pasos de Ia
impIementacin de IDS en

http://www.snort.org/
http://www.sans.org/newlook/
resources/DFAQ/D_FAQ.htm
,
PUBLCDAD
-

-

-
--
-

--

-

-

--
-


--

-

i la humanidad no tuviera secretos (o no
tuviera curiosidad) el solo hecho de
conectarnos nos solucionara las necesidades de
comunicacin, pero la realidad es otra. Lo ciertoes
que una vez que nos interconectamos, estamos
abriendo una puerta por la que pueden salir cosas
que deberan quedar adentro o entrar personas
que nos gustara que permanecieran afuera.
Alguien tiene que cuidar esa puerta. Quin ser
esa persona?, pues el encargado de seguridad de
la red.
Pero que pasa?, sta es un rea que se ha
descuidado y en el pas no hay mucha gente que
tenga conocimiento profundo del tema. Es,
entonces, una buena oportunidad para ocupar un
espacio, todava poco eplotado. Qu hacer?,
cmo sugerencia permtanos sugerirle stos
cuatroprimeros pasos.
El primer paso debera consistir en determinar
eactamente que significa para usted "seguridad".
Se quiere especializar en algunos aspectos
tcnicos de la seguridad?, digamos establecer y
configurar los firewalls. Le atrae ms decodificar
paquetes para interpretar lo que est pasando en
el cable? Mejor obsesionarse por encriptar todo
lo que se escribe? Prefiere implementar
tecnologas o administrarlas? Le gustara ser el
quedefiney establecelas polticas de seguridad?
Cmo se puede ver hay una amplia variedad
de carreras dentro de laseguridad.
Para que le sea ms fcil elegir su rea,
considere presenciar una conferencia sobre
seguridad. Va a conocer gente que ya est
trabajando en el tema, obtendr conocimiento, y
puede llegar a establecer algunos contactos
tiles.
Paso Uno: Ver Ias opciones
Paso dos: Conocerse
En segunda instancia, pngase frente al
espejo. Analice su formacin, eperiencia,
aciertos y errores, sueos y realidades. Una clara
interpretacin de sus habilidades, aptitudes y
eperiencia es un buen punto de partida. Si
establece un objetivo claro, podr trazar el camino
aseguir.
Eperiencia en administracin de sistemas,
networking o conocimientos slidos de tcnicas de
programacin son una buena base. Aunque
muchos trabajos de seguridad no requieren
configuracin de sistemas o escritura de cdigo, si
necesitanque usted entienda esas reas. Es decir,
la seguridad no puede ser el punto de partida para
alguien quecomienzaa trabajar en T.
Ahora las buenas noticias, una gran parte del
trabajo en T est relacionado con la seguridad.
Los administradores de sistemas pasan una
importante cantidad de tiempo concediendo y
denegando accesos. La seguridad es en gran
medida, ejercer control para prevenir el acceso a
recursos.
Si en realidad a usted no le gusta pasar mucho
tiempo tratando de que un sistema complejo
quedeafinado, o noleimporta que sucdigo tenga
buena performance, o directamente no le interesa
el cdigo para nada, posiblemente, la seguridad
no sea unabuenaeleccin parausted.
Si, por el contrario, le parece que siempre hay
alguien mirando sobre su hombro; si asume
mltiples personalidades cuando est en lnea; se
suscribe a todos los newsletters de seguridad (y
adems los lee y sigue sus consejos), entonces
probablemente est listo para tomar el camino de
la seguridad.
Paso tres: Capacitarse
Paso cuatro: Marketing
Aprender, certificarse, y adquirir eperiencia,
son los pasos dentro de la capacitacin, y los
primeros dos estn en sus manos. En EE.UU.
ei sten i ncl uso uni versi dades que son
designadas "Centros de ecelencia en educacin
de proteccin de la informacin" y ofrecen
programas de master y posdoctorados, algunas
s on: - Car negi e Mel l on Uni v er s i t y,
.
- G e o r g e M a s o n U n i v e r s i t y ,
.
- Nor t h Car ol i na St at e Uni ver si t y,
. En Argentina se puede asistir a un programa
de estudioenun instituto, donde, al igual que en el
caso de las conferencias, encontrar gente con
eperiencia que lo pondr en contacto con la
realidad del trabajo de todos los das en
seguridad. Estos programas estn basados enlos
requerimientos de emenes de certificacin,
algunos delos cuales son:
CSSP (Certified nformation Systems
Security Proffessional - Profesional de Seguridad
de Sistemas de nformacin Certificado), por
muchos consi derada l a certi fi cacin de
seguridad. Es otorgada por el nternational
nformati on System Securi ty Certi ficati on
Consortium(isc2.org)
SSCP ( Securi t y Syst ems Cer t i f i ed
Practitional - PracticanteCertificado en Seguridad
de Si st emas), ot or gado por l a mi sma
organizacin. Tiene una orientacin mas tcnica
y bastante nuevo.
CSA (Certified nformation Systems Audit -
Auditor de Sistemas de nformacin Certificado),
otorgado por la nformation Systems Audit and
Control Association. Es una certificacin para
auditores de sistemas, pero no para alguien que
quieraconvertirseenuno.
Tambin eisten certificaciones especficas
de al gunos proveedores de sol uci ones
informticas (Recuadro).
Una vez que se completaron los tres pasos
anteriores, el cuarto deja de ser una tarea
especfica de la seguridad de sistemas, ahora
tiene que salir a vender sus servicios, solo que
ahora tendr mas servicios para ofrecer.
Destaque sus conocimientos y calificaciones en
Seguridad y tendr un importante valor agregado
en sucurriculum.
Como se ve, no es "soplar y hacer botella", pero
si est dispuesto a hacer el esfuerzo y, sobre
todo, si decidi que se sentir a gusto
realizando tareas de seguridad informtica,
decdase, pronto habr empresas que se den
cuenta de que lo necesitan.
www.heinz.cmu.edu/infosecurity
www.isse.gmu.edu/~csis/inde.html
http://ecommerce.ncsu.edu/infosec/courses.html
Es tiempo de que Io urgente Ie de espacio a Io importante. Las redes de computadoras
han estado creciendo, interconectndose y, sobre todo, abriendo sus puertas a Internet.
ara no recibir crticas con referencia a
la categora de los intrusos, desde ste
primer nmero vamos a dejar en claro que
la perspectiva usada en las notas es la del
administrador de sistemas y/o redes, por
lo tanto en aquellas que traten temas de
seguridad, por lo general se usarn los
trminos "hacker", "intruso", "atacante",
etc. como sinnimos. Porqu? Porque a
un sysadmin no le importa si el intruso
lleg para satisfacer su curiosidad sin
lmites, para mostrarse a l mismo o a sus
amigos que poda hacerlo, para robar
info., para destruir todo el sistema o para
pedir trabajo en el rea de seguridad de la
empresa. Lo que al administrador le debe
interesar es que accesos no
autorizados al sistema, no importa si el
que lo intenta es el mas 31337 de todos los
hackers o un chico de 12 aos que ley
una nota en una e-zine y est probando, o
si es alguien que quiso usar legalmente un
servicio al que tiene acceso en un server
cuyo P es parecido al que posee el
administrador de nuestro ejemplo, y se
equivoc al tipearlo. Lo que interesa es
que queden afueralos etraos.
Por supuesto que sabemos que el
peligro vara de acuerdo al tipo de intruso
que gane acceso no autorizado a un
sistema, pero para eso, primero tiene que
ingresar, y la intencin del sysadmin es
evitar que lo consiga para no tener que
preocuparse por cul es la filosofa del
atacante.
El punto de vista del intruso, slo lo
conoce l y puede variar durante la
intrusin, por ejemplo alguien que entra en
un sistema solo por diversin, podra
verse tentado de sustraer informacin si
descubreque es interesante o valiosa.
Alguien con verdaderos
conocimientos de computacin, ganados
con la eperimentacin, su intencin no es
hacer dao en los sistemas que intrusa,
pero considera que la informacin es de
todos, de sta forma, si algo le interesa lo
toma. Muchas veces avisa al sysadmin del
sistema hacheado para que ste corrija
sus errores.
lleva un paso mas all la idea
de la propiedad de la informacin, para el
la informacin no debe ser de nadie. Est
mas cercano a la anarqua. Otro tipo de
cracker es el que hace dao en los
sistemas parademostrar poder.
Aprendiz de hacker. Le faltan
conocimientos para acceder por las suyas
a sistemas ajenos, slo usa herramientas,
cdigos, bugs y backdoors descubiertos
por otros. Por lo general no tiene mucho
ito y deja huellas de lo que estuvo
haciendo.
lammer de corta edad.
lite, as se definen a si mismos
los que se consideran los mejores
hackers.
revista electrnica publicada en
nternet oBBS.
no eistan
a)Pequeo gIosario
-Hacker:
-Cracker:
-Lammer:
-Kidie:
-31337:
-e-zine:

Publicidad
Publicidad
Publicidad
na
es una ventana del web-brouser que
es ms pequea que las ventanas standards
y sin algunos de los atributos standards tales
como barras de herramientas o barras de
status.
Popups son uno de los desarrollos mas
complicados en desarrollo web. Mas de un
desarrollador ha encontrado dificultades en
su implementacin. Aun mas, el uso
irresponsable de tcnicas de popup han
daado algunas paginas web e inaccesibles
a los .search engines..
Este tutorial nos guiar paso a paso en la
creacin de ventanas popup, incluyendo un
juego completo de codigo JavaScript.
Comenzamos con un ejemplo bsico donde
se muestran los elementos fundamentales
de los popups. Luego mostraremos como
establecer un link dentro del popup que nos
l l eve a l a pagi na pri nci pal . Luego
recorreremos los muchos parmetros del
comando open() que agrega muchas
variaciones asus popups.
Comenzaremos el tutorial creando una
pagina popup bsica. La tcnica aqu
descripta toca la mayora de los temas en
popups. El popup siempre viene al frente.
Diferentes links pueden llevar a mismo
popup. El cdigo es simple y fcil de
modificar. Todo en este tutorial seran
variaciones a lo descripto aqu. El cdigo en
esta pagina crea un popup que se abre
desde unlink . Aqu mostramos el cdigo con
la mnimadescripcin para ya funcione.
Primero copie este script en la <HEAD>
section (seccion <HEAD>) de su pagina
web:
popup window (ventana popup)
Ventanas Popup: LoBasico
Por ahora saltearemos los detalles de como
funciona el script y pasaremos al siguiente
paso. El script mas arriba abre el popup pero
algo debe correr el script. La situacin mas
comun es que se ejecute cuando uno clickea
un link. Unlink como el que sigueharia correr
el script
La mayor parte del link es lo usual. El URL de
la pagina que es linkeada es el atributo
HREF. Hemos agregado un atri buto
adicional llamado onClick. Copie o tipee el
cdigo tal cual en su link con una sola
modificacin. El segundo argumento de
popup() -- 'notes' indica el nombre de la
popup window. Asegrese de poner el
nombre en tre quotes (''). As si quiere
nombrar al popup 'stevie' use el cdigo como
el quesigue
single

Publicidad
Publicidad
Publicidad
<SCRPT TYPE="tet/javascript">
<!--
function popup(mylink, windowname)
{
if (! window.focus)return true;
var href;
if (typeof(mylink) == 'string')
href=mylink;
else
href=mylink.href;
window.open(href, windowname,
'width=400,height=200,scrollbars=yes');
return false;
}
//-->
</SCRPT>
<A
HREF="popupbasic.html"
>my
popup</A>
onCIick="return popup(this, 'notes')"
<A HREF="popupbasic.html" onClick="return
popup(this, )">my popup</A> 'stevie'
Read This Net Part Or You'II Go Insane
Trying to Figure Out Why Your Popup
Doesn't Work
Lea esta parte o se volvera loco tratando
de entender porque el popup no funciona.
Un pequeo pero importante detalle es a
veces olvidado. El comando en onClick debe
comenzar con return o el script file no
funcionar.
onClick=" popup(this, 'notes')" return
Ya hemos creado y abierto el popup.
Pero uno de los problemas con popups es
que una vez abierto se pasan al background.
La primera vez que el usuario clickea el link
el popup popea al frente pero si el usuario
vuelve a clickear la pagina principal
Para evitar ste problema tenemos otra
porcin decdigo. Este cdigo no vaincluido
en la pgina principal. Poner el siguiente
cdigo en la pgina propia del pop up. As,
por ejemplo, el link anterior abre la pgina
.popupbasic.html., entonces el siguiente
cdigo est en .popupbasic.html., no en la
pgina que est leyendoahora
<SCRPT TYPE="tet/javascript">
<!--
window.focus();
//-->
</SCRPT>
Cuando la pgina del popup se carga, la
script le dice al navegador que coloque el
foco en el popup. Esto significa que el popup
vaal frente cadavez que se abre.
En los primeros dos ejemplos se abre el
popup cuando el usuario clickea un objeto.
En ste ejemplo el popup se abre
automticamente
Esto es todo lo que hay respecto a los
popups. De aqu en adelante es todo
variaciones sobreel mismotema.
Ventanas popup: Abrir automticamente
We'll use the same script as in the first
eample. Copy this script A in the <HEAD>
section of your page.
Esta vez, en lugar de correr la script desde
un link, lo haremos desde el atributo onload
del tag <BODY.>.
<BODY
> onLoad="popup('autopopup.htmI', 'ad')"
El comando en onload seejecuta cuando se
termina la carga del documento. Cmo en
nuestro ejemplo previo usa popup(), pero
sta vez el primer argumento para popup()
es un poco diferente. En el anterior ejemplo
pusimos this (ste), haciendo referencia al
mismo link, y la script tom la URL desde el
link. En este caso no hay link, as que le
pasamos laURL real que debe abrir
Una vez que se ha creado una ventana
popup, hacer un link desde el popup hacia la
ventana principal (la ventana que abri el
popup) es un poco ms complicado que lo
que se podra pensar. El problema es que la
ventana principal no tiene un .nombre.de la
maner a que l o t i ene el popup.
Afortunadamente, Javascript provee una
respuesta en la forma de opener. Para crear
links en la ventana popup que referencien a
la ventana principal, primero hay que poner
este javascript en el <HEAD> de la pgina
del popup
Ventanas Popup: apuntandoaI origen
<SCRPT TYPE="tet/javascript">
<!--
function targetopener(mylink, closeme,
closeonly)
{
if (! (window.focus && window.opener))return
true;
window.opener.focus();
if (!
closeonly)window.opener.location.href=mylin
k.href;
if (closeme)window.close();
return false;
}
//-->
</SCRPT>
Unlink queusa estascript luce as:
<A
HREF="rbe.html"
>Back to my my
page</A>
onCIick="return
targetopener(this)"
Ventanas Popup: Cerrando eI popup
Si slo se desea cerrar el popup sin
hacer nada ms, se debe agregar otro trae.
Todava hay que linkear a una URL vlida en
caso de que el usuario haya encontrado la
pgina sinabrirlacomo popup.
<A
HREF="rbe.html"
onClick="return
targetopener(this, )">close</A> true,true
Ventanas popup: width & height
Width y hei ght son propiedades
requeridas solo para ventanas popup.
window.open(href, windowname,
' ,scrollbars=yes'); width=400,height=200
Ventanas popup: Ieft & top
Left y top setean la posicin del popup
dentro de la pantalla. Si no se utilizan,
entonces el navegador pone al popup donde
quiera.
window.open(href, windowname,
'width=250,height=150, ,scr
ollbars=yes');
Ieft=50,top=100
Las siguientes son las barras que
podemos elegir mostrar o no en los popups.
Todas son variables que se pueden setear
en yes o no dentro del comando open(). Por
default las barras no aparecen en los
popups.
Ventanas popup: tooIbar (barra de
herramientas

window.open(href, windowname,
'width=400,height=150, ,scrollb tooIbar=yes
Ventans Popup: Iocation (barra de
direcciones))


-
-

window.open(href, windowname,
'width=400,height=150, ,scroll
bars=yes');
Iocation=yes
Ventanas Popup: status(barra de estado)
La barra de estado muestra mensajes
para el usuario. Por default los popups no
tienenbarrade estado.
window.open(href, windowname,
'width=400,height=150, ,scrollbar
s=yes');
status=yes
Ventanas Popup: menubar (barra de
men)
window.open(href, windowname,
'width=400,height=150, ,scroll
bars=yes');
menubar=yes
Ventanas Popup: scroIIbars (barras de
scroII)
window.open(href, windowname,
'width=400,height=150, '); scroIIbars=yes
Ventanas Popup: resizabIe (cambiar
tamao)
window.open(href, windowname,
'width=400,height=150, ,scroll
bars=yes');
resizabIe=yes

amba es soportado por la mayora de las variantes

UNX, por LNUX y por algunos sistemas no UNX, es
gratuito, est ampliamente documentado y por sus
caractersticas facilita la administracin de los servidores de
archivos. Es todoeso loque lo hace muy popular.
Aunque naci como tal en 1995, su historia arranca
realmente en 1992, cuando Andrew Tridgell se vio en la
necesidad de acceder a archivos en una mquina Uni
desde un PC. El cliente NFS (Network File System Sistema
de Archivos de Red es el protocolo nativo de comparticin
de archi vos Uni -Linu) que uti l izaba trabaj aba
perfectamente, pero necesitaba tambin una aplicacin que
usaba la AP de NetBOS. Dada la problemtica de usar
protocolos mltiples bajo DOS, decidi adoptar un enfoque
alternativo y utilizar laingenierainversa.
Mediante un monitore los paquetes transmitidos
mediante SMB, desentra el protocolo y lo implement en
su sistema Uni, capaz de manejar sin problemas varios
protocolos de forma simultnea. Y eso fue el comienzo. Una
vez depurado el cdigo, dado que el objetivo se haba
alcanzado, su desarrollo se detuvo. Este parntesis dur
hasta unos aos despus, cuando pens en conectar el PC
con Windows de su esposa con su propia caja Linu. Dado
que lo tena a mano, prob su propio cdigo que, para su
gran sorpresa, funcion perfectamente. Desde entonces, la
esposa de Andrewse ha convertido en el primer test a que se
someten las nuevas versiones de Samba, que es el nombre
que se adopt para el paquete, buscando en un diccionario
palabras con la combinacindeletras smb.
Samba es una emulacin de NetBOS, corriendo sobre
Linu. Como tal, es un servicio
que queda ala escucha sobre el puertoTCP/P, 139.
Para realizar el camino inverso, es decir que Linu vea
archivos compartidos por los servidores Windows, se utiliza
la utilidad"smbclient" queformaparte del paquete Samba.
Para asegurarnos de que Samba esta instalado en
nuestro sistema podemos usar el siguientecomando
Samba-2.0.6-20000313
Esonos dice la versin queestinstalada
Si queremos saber que archivos pertenece a la instalacin
del paquete, podemos usar el comando
Una etensa lista nos dir cuales son los archivos que
pertenecena Samba.
Aunque a partir de la versin 2 del kernel de Linu se
incorpor SWAT (Samba Web Administration Tool
Herramienta de administracin de Samba por Web) que
consta de una interfase GU (Graphic User nterface
nterface Grfica de Usuario) la configuracin del servidor
-
7-
-
[root@mail /root]# rpm-qa | grep Samba
[root@mail /root]# rpm-qli Samba
Samba la podemos hacer editando directamente el
archivo /etc/smb.conf. Dependiendo de la distribucin
Linu que estemos usando, tambin puede
encontrarse en /etc/Samba/smb.conf. Si tampoco se
encuentraen eselugar, lo podemos buscar con
El archivo de configuracin fundamental de
Samba, esta di vi dido en cuatro secci ones
Comenzaremos por laprimera.
# This is the main Samba configuration file. You should
read the
# smb.conf(5) manual page in order to understand the
options listed
# here. Samba has a huge number of configurable options
(perhaps too
# many!) most of which arenot showninthis eample
#
# Any line which starts witha ; (semi-colon) or a# (hash)
# is acomment andis ignored. nthis eample wewill use a#
# for commentary anda ; for parts of the config file that you
# may wishtoenable
#
# NOTE: Whenever you modify this file you should run the
command "testparm"
# to check that youhave not madeany basic syntactic errors.
#
# = = = = = = = = = = = = = = = = = = G l o b a l Se t t i n g s
===========================
[global]
# workgroup =NT-Domain-Name or Workgroup-Name
workgroup= MYGROUP
Esto es fcil, debemos reemplazar MYGROUP por el
nombre deworkgroup odominio que estemos utilizando.
# server stringis the equivalent of the NTDescriptionfield
server string =Samba Server
En ste lugar podemos poner lo que queramos, ser el
comentario de nuestro servidor.
La siguiente lnea permite indicar el rango de direcciones
Pde clientes autorizados a conectarseconel servidor
; hosts allow=192.168.1. 192.168.2. 127.
Pero como esta comentado, vaa compartir toda lared.
# if you want to automatically load your printer list rather
# than settingthemup individually then you'll need this
printcap name =/etc/printcap
load printers =yes
En esta seccin, se nos permite indicarle a Samba que
cargue las impresoras definidas en el archivo /etc/printcap
(En ese archivo estn definidas las impresoras y los
mdulos)
; printing =bsd
Linu usa el sistema de impresin bsd, as que debemos
descomentar stalnea.
A continuacin, seleccionaramos si queremos utilizar
una cuenta guest NOESRECOMENDABLE
# Uncomment this if you want a guest account, you must add
this to /etc/passwd
# otherwisethe user "nobody" is used
; guest account =pcguest
[root@mail /root]# find/ -name smb.conf

Con lo siguiente se configura Samba para generar un

archivo de log (registro de actividades) distinto por cada
mquina quese conecte
# this tells Samba to usea separate log file for eachmachine
# that connects
log file =/var/log/Samba/log.%m
Y se le puede especificar el tamao mimo de cada uno
de esos archivos (es recomendable dejarlo como est)
# Put a capping on the size of thelog files (in Kb).
ma log size= 50
Samba permite cuatro tipos de seguridad.
share=comparacinconcuentaguest
user = comparacin anivel grupo
server y domain, seutilizana nivel dominio
Como utilizaremos la seguridad a nivel workgroup, sin
cuenta guest, lodejaremos as.
# Security mode. Most people will want user level security.
See
# security_level.tt for details.
security =user
Si usramos la seguridad del tipo server y domain,
deberamos poner aqu el nombre del Domain Controller
(Controlador de Dominio) que queramos usar para realizar
las autenticaciones
# Usepassword server option only with security =server
; password server =<NT-Server-Name>
# Password Level allows matching of _n_ characters of the
password for
# all combinations of upper and lower case.
; passwordlevel =8
; username level = 8
Este es quizs el punto ms importantede todo el archivo
de configuracin. A partir de Win95 OSR2, los passwords
estn encriptados. Anteriormente, esto no era as. As que
ahora, lo que debemos hacer es descomentar esto. Ms
informacin la encontramos en la ayuda del paquete
Samba.
# You may wish to use password encryption. Please read
# ENCRYPTON.tt, Win95.tt and WinNT.tt in the Samba
documentation.
# Do not enable this option unless you have read those
documents
encrypt passwords =yes
smb passwdfile =/etc/smbpasswd
Acontinuacin aIgomuyimportante!
Atencion aqui

Samba es una herramienta que permite a Ios equipos UNIX LINUX interactuar con sistemas
Windows. Lo que hace es permitir a aqueIIos sistemas compartir archivos utiIizando eI protocoIo
SMB (Session Message BIock BIoque de Mensajes de Sesin). Para un administrador esto
significa que puede instaIar un servidor UNIX sin tener que instaIar NFS en todos Ios cIientes
Windows, porque estos van a utiIizar su protocoIo nativo SMB.

PUBLCDAD
Pasemos aIasiguienteseccin.
Cmo siguiente paso vamos a definir un "share"
(recursocompartido)
#===================== Shar e Def i ni t i ons
==========================
[homes]
comment = HomeDirectories
browseable= no
writable =yes
Lo anterior define que cada usuario mantiene su profile
en el home que indique su entrada en el archivo
/etc/passwd.
# NOTE: f you have a BSD-style print system there is no
need to
# specifically define eachindividual printer
[printers]
comment = All Printers
path= /var/spool/Samba
browseable= no
# Set public = yes to allowuser 'guest account' toprint
guest ok =no
writable =no
printable =yes
Con esto le hemos dicho a Samba que queremos
compartir las impresoras, pero que no le permita el acceso a
las mismas al usuario .
[Carpetageneral]
# este ser el nombre con el cual visualizaremos el recurso
por NetBOS
comment = Documentos comunes
guest
#Ubicacin fsica del directorio compartido
path= /usr/docs/
#Control de accesos al share
validusers = mbarrios, cpaina, fdomin
Con lo anterior compartimos el directorio local /usr/docs,
con el nombre de recurso compartido Documentos
comunes, al que tendrn acceso los usuarios mbarrios,
cpaina y fdomin.
Si, quisiramos permitir que el grupo Profesores acceda al
share, lo haramos de la siguiente manera.
validusers = @Profesores
Por ultimo, decimos que nosea undirectoriopblico.
; public =no
despus de guardar el archivo y salir del editor debemos
ejecutar el comando , para que haga una
comprobacin de que no hayamos ingresado cadenas que
no sean reconocidas por Samba (por Ej.: suers en lugar de
users)
[root@mail /etc]# testparm
Load smb config files from/etc/smb.conf
Processing section"[homes]"
Processing section"[printers]"
Loaded services fileOK.
Press enter tosee adump of your service definitions
Si eistenerrores desintais nos loir diciendo.
Para hacer funcionar el servicio debemos hacer es lo
siguiente:
[root@mail /etc]# /etc/rc.d/init.d/smb start
Starting SMBservices: smbd nmbd
testparm
-
Yah tendramos corriendo Samba.
Para asegurarnos que el servicio est funcionando
podemos ejecutar lo siguiente
Si la salida es esta, boila! , tenemos el servidor de Samba
corriendo.
Para validar los usuarios, Samba necesita adems de
que eistan como usuarios de sistema, generar los usuarios
Samba. Estose hace conel comando
Si el usuario mbarrios no eiste en el sistema, lo podemos
crear con
Luego, para crear la cuenta (usuario) mbarrios en
Samba:
Con esto ya tenemos nuestro servidor Samba en
funcionamiento.
Ultimo dato: la ltima versin de Samba al momento de
publicarse esto es la 2.2.4.
(Recordar queSamba escuchaen el puerto 139)
[root@mail /etc]# telnet localhost 139
Trying 127.0.0.1...
Connected to localhost.
smbpasswd.
[root@mail /root]# useradd-mmbarrios
[root@mail /root]# smbpasswd-a mbarrios
NewSMBpassword:
Retype newSMBpassword:
Added user mbarrios.
Password changedfor user mbarrios
F---

http://www.samba.org
http://www.insflug.org/COMOs/Samba-Como/Samba-Como-6.html
http://209.249.46.222/Linu/como-samba.php
a -
Esta puede ser Ia pregunta de aIguien que ha decidido dejar de pasar por aIto Ia eistencia de ese "aIgo"
que aIgunos mencionan: Ios FirewaIIs, y ahora se cuestiona si reaImente quiere compIicarse Ia vida
estudiando, instaIando y configurando unode esos en su computadora o red.
ueno, la verdad es que nternet es una gran
maravilla, pero puede tambin ser un
ambiente muy hostil. Afuera hay gente que puede
estar interesada en la informacin que usted tiene
almacenada (personal, financiera, empresarial).
Ahora bien, usted puede decir: -Me quedo
tranquilo, nunca se me ocurrira tener informacin
comprometedora, ni nmeros de tarjetas de
crdito, ni mucho menos los secretos de mi ito,
guardados en una PC. No est tan tranquilo, an
si no guarda nada en su computadora (cosa poco
probable, para algo la tiene), todava tiene algo
interesante para los hackers: su computadora.
En efecto, si el hacker quiere realizar ataques
manteniendo oculta su propia identidad, puede
poner las computadoras de otras personas a
trabajar para el. Se puede dar el caso de que su
PCeste atacando el sitio Web de algn organismo
sin queustedlosepa. Sehan dadocasos deredes
que estaban siendo utilizadas por etraos como
depsitos de software ilegal, por supuesto que sin
el consentimiento de los legtimos propietarios de
la red.
Despus de todo esto es posible que est
considerando que algn tipo de proteccin de su
permetro puede ser necesario. Ah es donde
aparece el Firewall (pared de contencin del
fuego- cortafuegos).
Ahora bien, Qu es en realidad? Una definicin
puede ser: "Un Firewall es un sistema de
seguridad que acta como una frontera de
proteccin entre una red (o PC) y el mundo
eterior".
Los Firewalls pueden ser piezas de softwareo
hardware y son el equivalente a un guardia de
seguridad, slo que en este caso est apostado
en la entrada/salida de su red. Eisten cuatrotipos
bsicos de Firewalls, y estos son:
Un Firewall de ste tipo acepta o deniega el paso
del trfico basado en los encabezados (headers)
TCP/P. Son los ms baratos y tambin los que
menos proteccin brindan. Operan en la
Networking layer (capa de red) del modeloOS, no
realizan chequeo del contenido de los paquetes y,
como ventaja, casi no afectan la performance de
la red.
Estos Firewalls operan en la capa de sesin (dos
niveles ms arriba que los Packet-filtering). En
ste tipo, todas las coneiones (sesiones) son
monitoreadas y solo a las que son consideradas
vlidas (por configuracin) se les permite el paso.
Esto generalmente quiere decir que un cliente
Packet fiItering
Circuit-IeveI gateway
(Filtrado de paquetes)
(gateway a nivel de circuito)
detrs del Firewall podr iniciar cualquier tipo de
sesin, pero los clientes eternos no podrn
conectarsealamquina protegida.
Un Proy es un representante, intermediario
en la operacin de comunicacin. Estos Firewalls
fuerzan a todas las aplicaciones de las estaciones
de trabajo protegidas a que usen el Firewall como
un Proy. Para el cliente su servidor es el Proy y
el servidor ve al Proy como su cliente. Entonces
el Firewall puede autorizar cada paquete de cada
prot ocol o en f orma i ndependi ente. Sus
desventajas son una perdida considerable en la
performance de l a red, y que aquell as
aplicaciones que no puedan ser configuradas
para utilizar un Proy server, no funcionarn. La
ventaja es el altogrado de seguridad que brinda.
(completo)
Estos Firewalls proveen un seguimiento y
control del flujo de datos (entradas y salidas) de
cada sesin. La informacin relativa a cada
conein se almacena en memoria y, a medida
que cada paquete llega al filtro, el Firewall toma la
decisin de pasarlo o bloquearlo usando la
informacin "histrica" almacenada y una serie de
reglas simples. El siguiente ejemplo del comando
iptables causar que se bloquee el paso a
cualquier paquete del protocolo icmp que sea
recibido desdelainterface loopback:
iptables -ANPUT-s 127.0.0.1-picmp -j DROP
(de iptables hablaremos en otra edicin, por ahora
solova el ejemplo).
AppIication-IeveI Proy
StatefuI FirewaII
(Proy anivel de aplicacin)
EI ABC de FirewaIIs bajo Linu: uso de
ipchains
Muy bien, si todava sigue leyendo, parece
que de verdad est interesado en el tema. Vamos
entonces a analizar las opciones para configurar
Linu Firewalls, corriendo pchains.
pchains es unFirewall detipoPacket filtering.
Antes de empezar, los requisitos: ipchains
funciona slo con Kernels (ncleo del sistema) a
partir de la versin 2.2.. Si tiene un Kernel
versin 2.4 podr correr en simultneo ipchains e
iptables.
Como ya dijimos, iptables es un Stateful Firewall,
mientras que ipchains es un Packet Filtering
Firewall. Si bien la semntica es parecida,
internamente trabajan muy distinto e iptables es
ms poderoso. Aunque ipchains mantiene la
ventaja de no afectar laperformance delared.
- -- - &
-

PUBLCDAD
Cargar eI ModuIo de Ipchains
EstabIecer unanueva regIa:
Si tiene un Kernel 2.2., no necesita cargarlo.
Si por el contrario, su kernel es versin 2.4., esto
es loque debehacer:
Esto cargar el programa que nos permitir
editar las cadenas defiltrado.
Si deseamos conocer la versin particular con la
queestamos trabajando, lopodemos hacer con
Puertos y servicios:
En el archivo /etc/services, encontraremos los
puertos mas comunes queutilizaTCP
por ejemplo:
ftp-data 20
ftp 21
ssh 22
telnet 23
http 80
pop 110
Siguiendoconlos controles, si al usar el comando
recibe la siguientesalida
Respuest a desde 127. 0. 0. 1: byt es=32
tiempo<10ms TDV=128
Respuest a desde 127. 0. 0. 1: byt es=32
tiempo<10ms TDV=128
Respuest a desde 127. 0. 0. 1: byt es=32
tiempo<10ms TDV=128
Respuest a desde 127. 0. 0. 1: byt es=32
tiempo<10ms TDV=128
Su archivo /etc/hosts est bien configurado y la
interface deloopback est respondiendo.
La versin ipchains del comando iptable
mencionadoms arriba sera:
(notar que ipchains es case-sensitive (sensible a
maysculas y minsculas))
Si lo ejecuta (activa una regla en el Firewall),
ver que los ping al localhost no sern
respondidos.
Como se lee? (recordar que ejecutando
tenemos acceso a las pginas del
manual deipchains)
A = agrega una nueva regla en el firewall. En el
caso del ejemplo, como se le agrega .input., sta
es una regla que filtrar paquetes entrantes. Se
pueden utilizar los siguientes parmetros:
#modprobeipchains
#ipchainsversin
#pinglocalhost
#ipchains A input p icmp s 0/0 d 127.0.0.1 j
DENY
Recomendacin: Es bueno recorrer ste archivo
para tener presente que puertos utilizan nuestro
servicios.

-
-p = indica el protocolo cuyos paquetes sern
analizados por sta regla. En el ejemplo el
protocolo es .icmp.(nternet Control Messages
Protocol).
-s = establece la direccin de origen (source)
de los paquetes a ser filtrados. 0/0 usado en el
ejemplo indica TODAS las direcciones.
-d = establece el destino (destination) que debe
indicar un paquete para ser analizado bajo esta
regla. En nuestro ejemplo 127.0.0.1, que es la
direccin de la interface de loopback.
-j = establece la accin a llevar a ejecutar sobre
los paquetes que cumplan con la regla. DENY
indica que el Firewall NO dejar pasar los
paquetes que cumplan con los requisitos
establecidos en la regla.
El Firewall tambin puede enmascarar las
direcciones P de los clientes dentro de nuestra
red, de esa manera todos los hosts de su red
ehibirn una nica direccin publica, aunque
dentro de la ntranet mantengan sus direcciones
privadas, esto esconde su red, esto tambin se
ll ama NAT (Network Address Transl ation
Traduccin de direcciones de red). El comando
es
Esto indica que los paquetes provenientes del
network 192.168.1.0 con subset mask (mscara
de subred) 255.255.255.0 (obviamente dentro de
su red por tratarse de direcciones privadas) sern
enviados a nternet mostrando cmo direccin de
origen la direccin del servidor que provee el
accesoa la Web.
Si se quisiera cerrar el acceso a un servicio
determinado, peronoa todo el protocolo, loque se
debe hacer es cerrar el acceso al PUERTO que
ese servicio utiliza:
Donde superhackers.com es el origen a
bloquear, 200.200.200.200 es la direccin del
server a proteger y 21 es el puerto a controlar. 21
es el puerto por defecto de ftp, y as est indicado
en nuestro ejemplo del archivo /etc/services. Lo
que se conseguir con ste comando, es evitar
que desde la direccin superhackers.com se
obtengaacceso por ftpa 200.200.200.200.
Tambin se puede cerrar un conjunto de puertos,
determinando unrangoenla regla. As
Estableceralaregla paralos puertos desde el
21 hasta el 80.
Para listar las reglas que tenemos aplicadas
en nuestroFirewall, el comandoes simple:
El resultado de ste comando puede
parecersea esto
Chain input (policy ACCEPT):
Target prot opt source destination ports
Concepto de masquerading
(enmascaramiento) o NAT
Cerrando servicios:
ConsuItando Ias regIas:
#ipchains A forward s 192.168.1.0/24 j MASQ
#ipchains A input p tcp s superhackers.com
d 200.200.200.200 21 j DENY
#ipchains A input p tcp s superhackers.com
d 200.200.200.200 21:80 j DENY
#ipchains L
DENY icmp ------ anywhere
localhost any -> any
Chain forward (policy ACCEPT):
Target prot opt source destination
ports
MASQ all ------
192.168.1.0/24 anywhere n/a
Chain output (policy ACCEPT):
Unaformade borrar reglas es
Este comando(con el parmetro D) borrarala
primer regla que estableci en este tutorial
(aquella que denegaba la recepcin de paquetes
dirigidos a localhost), es decir que a partir de este
momento, si hace ping localhost o ping 127.0.0.1,
tendrrespuesta.
Establecer las polticas del Firewall es indicar
de qu modo se comportar por defecto frente a
los diferentes tipos de trfico. Por ejemplo:
Le dir al Firewall que deniegue TODO el
trfico entrante, menos lo eplci tamente
establecido(por otras reglas).
Hacer que el Firewall guarde un Log (registro
de eventos) de lo que est ocurriendo es til para
saber que estn accediendoo tratandodeacceder
los usuarios. Puede ser que se descubra que un
usuario que tiene algn acceso denegado est
tratando de usarlo (siendo rechazado por el
Firewall), o que hay recursos que estn siendo
accedidos y que se ha olvidado de proteger. Los
logs sern almacenados en /var/log/messages.
La forma deiniciar el logueo podraser:
Esto causar que desde ste momento se
comiencen a loguear los paquetes recibidos que
fueron bloqueados, los salientes que fueron
autorizados y aquellos a los que se les neg el
forward.
Todo lo que se ha hecho fue trabajo en
memoria, si se desea contar con las reglas en
sucesivos logins, se deben guardar las reglas en
un file y estose logra con
Lo cual guardar la configuracin del Firewall
en el archivo/sbin/firewall
La forma derecuperar staconfiguracin es
Ahora, basta de ej empl os sueltos, a
continuacin se muestra un Firewall sencillo
implementado enunscript usandoipchains:
Borrando regIas:
EstabIeciendo poIticas:
Guardando informacin de eventos:
Guardando y recuperando Ias regIas:
#ipchains D input p icmp s 0/0 d 127.0.0.1 j
DENY
#ipchainsAinput DENY
#ipchainsAinput j DENYl
#ipchainsAoutput j ACCEPTl
#ipchainsAforwardj DENY-l
#ipchains-save>/sbin/firewall
#ipchains-restore</sbin/firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
MAXI="192.168.0.201"
IPCHAINS="/sbin/ipchains"
$IPCHAINS -F input
$IPCHAINS -F output
$IPCHAINS -F forward
$IPCHAINS -A output -p tcp -d 0/0 www -t 001 010
$IPCHAINS -A output -p tcp -d 0/0 telnet -t 001
010
$IPCHAINS -A output -p tcp -d 0/0 ftp -t 001 010
$IPCHAINS -A output -p tcp -d 0/0 ftp-data -t 001
008
$IPCHAINS -A input -p tcp -s 0/0 -d 0/0 1023:65535 -j
ACCEPT
$IPCHAINS -A input -p udp -s 0/0 -d 0/0 1023:65535 -
j ACCEPT
$IPCHAINS -A input -p tcp -s $MAXI -d 0/0 20 -j
ACCEPT
$IPCHAINS -A input -p tcp -s 192.168.0.231 -d 0/0 20
-j ACCEPT
$IPCHAINS -A input -p tcp -s $MAXI -d 0/0 21 -j
ACCEPT
$IPCHAINS -A input -p tcp -s 192.168.0.231 -d 0/0 21
-j ACCEPT
$IPCHAINS -A input -p tcp -s $MAXI -d 0/0 23 -j
ACCEPT
$IPCHAINS -A input -p tcp -s $MAXI -d 0/0 25 -j
ACCEPT
#Reglas Icmp
$IPCHAINS -A output -i eth0 -p icmp -s 0/0 -d 0/0 -j
ACCEPT
$IPCHAINS -A output -i eth0 -p icmp -s 0/0 -d 0/0 -j
ACCEPT
$IPCHAINS -A input -i eth0 -p icmp -s 0/0 -d 0/0 -j
ACCEPT
$IPCHAINS -A input -i eth0 -p icmp -s 0/0 -d 0/0 -j
ACCEPT
$IPCHAINS -A input -j DENY
$IPCHAINS -A output -j ACCEPT
$IPCHAINS -A forward -j DENY
Como vern aqu, es mas sencillo utilizar
variables, por si nos cambia una P, no debera
afectar a todo el firewall.
Esperamos haberle facilitado un encuentro
amigable con los conceptos de Firewall. La
presentacinde la herramienta ipchains nos sirvi
para demostrar que la seguridad de una red no
tiene por que ser costosa, aunque si puede haber
grandes prdidas cuando no se aplica. Si le
interesa ver una descripcin mas detallada de los
comandos i pchains y un ej emplo de l a
configuracin paso a paso de un Firewall en una
red, por favor visite (OnLineDoc
0000000).
www.ne.com.ar

- -
-
- - -
- -
- - - -
- -
- - - -

http://www.netfilter.org/ipchains/spanish/
HOWTO.html#toc7

Cul de los siguientes commandos,
protg el archivo .calculos., para evitar
que sea borrado incluso por root?
+c
+i
000
a-rw
La respuesta correcta es la b. Cuando se
usa el comando chattr +i calculos, dicho
archivo queda protegido de ser borrado.
Est e comando set ea el at r i but o
"inmutable" para el archivo "calculos". Ni
los usuarios regulares ni root pueden
borrar, modificar o renombrar un archivo
con el atributo "inmutable" seteado.
Tampoco se pueden crear links a un
archivo con dicho atributo seteado. Slo
root puede establecer y quitar ste
atributo. Para quitar el atributo "inmutable"
se debe usar el comendo chattr -i calculos.
Despus de haber hecho eso, el archivo
se podr borrar.
el comando chattr +c comprime el archivo.
Los comandos chmod 000 calculos y
chmod a-rw calculos quitan los atributos
read, write y eecute del archivo calculos,
pero todava el dueo del archivo y root
a) chattr caIcuIos
b) chattr caIcuIos
c) chmod caIcuIos
d) chmod caIcuIos
Respuesta
Agosto de de 1991
"Hello everybody out there using
Mini. estoy desarrollando un sistema
operativo(gratis), (sloes unhobby, novaa
ser grande y profesional como GNU) para
clones AT 386(486). Se ha estado
cocinando desde abril, y est empezando a
quedar terminado. Me gustararecibir algn
feedback sobre cosas que a la gente le
gusta odisgustadeMini, como mi SOse le
parece un poco (la misma disposicin fsica
del sistema de archivos (por razones
prcticas) entreotras cosas).
Actualmente, he migrado bash (1.08) y
gcc (1.40), y las cosas parecen funcionar.
Estoimplica quevoy aobtener algo prctico
dentro de pocos meses, y me gustara
saber que caractersticas desea la mayora
de la gente. Todas las sugerencias son
bienvenidas, pero no prometo que las vaya
aimplementar :-)
Linus (torvalds@kruuna.helsinki.fi)
P.D.: S - est libre de todo cdigo
Mini, y tiene un sistema de archivos Multi-
threaded. No es portable (usael cambio de
tareasdel 386etc.), y probablementenunca
de soporte a nada ms que a los discos
rgidos para AT, porque eso es todo lo que
tengo:-(."
.
-Lo anterior es Ia primera mencin
de LINUX en Ia red, es eI mensaje que
Linus TorvaIds avis que estaba
desarroIIando eI SOmas revoIucionario,
evidentemente, sin saber que su SO de
hobby iba a hacer tanto ruido y crecera
deIaformaqueIohahecho
En un articuIo de certcities.com se discuti cuaIes sern Ias certificacines
de ms inters durante eI 2002. (10 hottest certifications )
Lo interesante deI artcuIo es que se baso en crecimiento, reputacin, y
aceptacin de Ia industria. Esto agregado a otros factores: utiIidad, puede
hacer una diferencia en Ia carrera?, cuaI briIIar ms. En particuIar nos
referiremos a aqueIIas que creemos podrn impactar eI mercado Argentino,
aunque conocer eI impacto afuera tambin puede ser de mucho inters.
http://certcities.com/editoriaI/features/story.asp?EditoriaIsID=37

-
--

---

-
-

--
--
-
--
- --
-
-
--
- - -
- --
- -
-
Como preferira obtener su MCP: leyendo libros y
manoseando una red casera en su stano sin ventanas o
en un crucero equipado alrededor de Jamaica y las slas
Caimn?
Esta es la pregunta que Neil Bauman espera que se
haga, y es por eso que agrego certificaciones Microsoft a
sus otros ofrecimientos enGeek Cruises.
Geek Cruises comenz hace dos aos, con un viaje
para programadores Perl. Fue tan eitoso que Bauman
adiciono otras especialidades informticas, incluyendo
programacin en Java y Linu. "Certification Sail", como
llama l al crucero MPC, es su ms reciente oferta. Es una
ecursin de siete das, empezando en Tampa, Florida y
serpenteando hacia Cozumel, Mico.
"En los viejos das, una vez que pasabas la prueba
MCP, podas esperar obtener un aumento de sueldo del 10
por ciento", dice Bauman. "Y tenas que pagrtelo vos
mismo. Si tiene qu pagrselo usted mismo, preferira
pasar 40 horas en daho o en el Caribe?, es lo que Barman
pregunta
El crucero tiene tres das completos en alta mar, y es
ah cuando la mayor parte del entrenamiento es hecho. Se
pasa cada uno de esos das entrenando desde las 8 de la
maana hasta las 8 de la noche. El programa tiene como
objetivo ayudar a pasar dos pruebas MCE: 70-210,
"Windows 2000 Profesional", y 70-215, "Windows 2000
server". "Los vamos a presionar duro" les dice Bauman a
los estudiantes.
Sin embargo, qu tan duro? No sera fcil distraerse
en un crucero? No para la audiencia a la que apunta,
segn Bauman. "En el barco hay cuartos que no tienen
ventanas, y es donde probablemente hagamos esto.
Cuando est en alta mar, tiende a ser aburrido. [Ellos]
encontrarn que esto es lo ideal para pasar el tiempo en
alta mar. En Alaska, el tiempo en el mar es hermoso. En el
Caribe, todos lo que ves es agua. Y luego de verlo por un
ratono necesita seguir vindolo."
Los cruceros tienen otra cosa que contribuye al
aprendizaje, Bauman seala: Estn fuera del mundo.
"Beepers y telfonos celulares nofuncionan enalta mar."
Aunque la certificacin Microsoft empieza despacio,
ofreciendo solo dos emenes, Bauman dice: "Hay una
oportunidad del 100 por ciento de que ofrezcamos ms
cer t i f i caci ones. " Act ual ment e est est udi ando
certificaciones .NET, queprobablemente lanzara fines de
este ao oprincipios del primo.
Entonces, qu puede ser mejor que obtener la
certificacin en el Caribe?
Consiguiendo que el jefe pague por l. Bauman incluso
tiene sugerencias de como abordar a su jefe. "Est
propagndose la palabra de que stos son cruceros
prestigiosos. El crucero en si no es caro, comnmente $
1000, incluyendo comida y alojamientopor siete noches"
Se puede encontrar ms sobre "Geek Cruise" en
www.geekcruises.com
Si bien lo que en el artculo se considera
"barato" (u$s 1.000), desde la devaluacin para nosotros
es ms que oneroso, y tampoco contamos (por ahora) con
"cruceros de la certificacin", en nuestro pas tenemos la
ventaja de que los costos de los cursos son
innegablemente mucho mas baratos que los que se pagan
en el gran pas del norte. Yes que en Argentina, se puede
llegar a realizar la carrera MCSA por alrededor de u$s
400.- ms los 4 emenes (u$s 360) y stas certificaciones
tienen la misma validez que las obtenidas en dazo, Florida
o donde sea. No nos podemos comparar con ellos, pero
eso, para los que saben buscar, es una gran fuente de
oportunidades.
Artculo publicado en la revista MCP Magazine de
Agostode2002.-
PUBLCDAD
Publicidad
COLOR
Publicidad
Color
Publicidad
COLOR