Está en la página 1de 60

Módulo 5: Descripción general de los servicios de red

Índice

Descripción general ..........................................................................................................................2


5.1 Servicios de Red..........................................................................................................................3
5.1.1 Introducción a servicios de red/NOS ...............................................................................3
5.2 Administración Remota y Servicios de Acceso ....................................................................4
5.2.1 ¿Qué es el acceso remoto? ...............................................................................................4
5.2.2 Teleconmutación .................................................................................................................6
5.2.3 Usuarios móviles.................................................................................................................6
5.2.4 Servicios de emulación de Terminal .......................................................................7
5.2.5 Servicios Telnet...........................................................................................................8
5.2.6 Configuración de acceso remoto para un cliente...............................................10
5.2.7 Control de los derechos del acceso remoto........................................................18
5.2.8 Administración remota a un sistema Linux .........................................................22
5.3 Servicios de Directorio .....................................................................................................28
5.3.1 ¿Qué es un servicio de directorio? .......................................................................28
5.3.2 Estándares del servicio de directorio ...................................................................31
5.3.3 Active Directory de Windows 2000........................................................................32
5.3.4 Servicio de Información de Red (NIS) ...................................................................35
5.4 Otros Servicios de los NOS .............................................................................................39
5.4.1 Correo .........................................................................................................................39
5.4.2 Impresión....................................................................................................................41
5.4.3 Archivos compartidos..............................................................................................42
5.4.4 FTP (Transferencia de Archivos) ...........................................................................43
5.4.5 Servicios web ............................................................................................................45
5.4.6 Intranet........................................................................................................................48
5.4.7 Extranet ......................................................................................................................51
5.4.8 Tareas automatizadas con servicios de scripts..................................................52
5.4.9 Servicio de Nombre de Dominio (DNS).................................................................54
5.4.10 DHCP...........................................................................................................................57
5.4.11 Dominios ....................................................................................................................59

1
Módulo 5: Descripción general de los servicios de red

Descripción general

Este capítulo proporciona una introducción a los sistemas operativos de red (NOSs). También
trata la capacidad para acceder a un sistema remoto. Esto permite a un administrador del
sistema mantener eficientemente una red. Un servicio de directorio proporciona a los
administradores de sistemas un control centralizado de todos los usuarios y recursos en toda la
red. El alumno aprenderá otros servicios de los NOSs que permiten a los usuarios
comunicarse, compartir archivos e imprimir. También aprenderá cómo acceder a Internet, a una
intranet, y a una extranet.

2
Módulo 5: Descripción general de los servicios de red

5.1 Servicios de Red

5.1.1 Introducción a servicios de red/NOS

Los sistemas operativos de networking están diseñados para proporcionar procesos de red a
clientes y peers. Los servicios de red incluyen la World Wide Web (WWW), archivos
compartidos, intercambio de mail, servicios de directorio, y servicios de impresión. La
administración remota es un potente servicio que permite a los administradores configurar
sistemas en red a kilómetros de distancia. Es importante comprender que estos procesos de
red se denominan servicios en Windows 2000, daemons en Linux, y Módulos Descargables
Netware (NLMs) en Novell. Esencialmente, todos ellos proporcionarán las mismas funciones
pero la forma en que se cargan e interactúan con el NOS es diferente en cada sistema
operativo. Servicios, Daemons y NLMs se tratan en más detalle en capítulos posteriores.

Dependiendo del NOS, algunos de estos procesos de red clave pueden habilitarse durante una
instalación por defecto. La mayoría de los procesos de red populares se basan en la suite de
protocolos TCP/IP. La Figura enumera algunos de los servicios basados en TCP/IP más
populares. Puesto que TCP/IP es un conjunto de protocolos abierto y bien conocido, los
servicios basados en TCP/IP son especialmente vulnerables a escaneos sin autorización y
ataques maliciosos. Los ataques de Denegación del Servicio (DoS), virus de computadora y
gusanos de Internet de rápida expansión han forzado a los diseñadores de NOSs a
reconsiderar qué servicios de red se inician automáticamente.

Recientes versiones de NOSs populares, como Windows 2000 y Red Hat Linux 7, restringen la
cantidad de servicios de red activos por defecto. Cuando se implementa un NOS, será
necesario habilitar manualmente algunos servicios de red clave.

3
Módulo 5: Descripción general de los servicios de red

5.2 Administración Remota y Servicios de Acceso

5.2.1 ¿Qué es el acceso remoto?

El acceso remoto se está haciendo más importante a medida que los usuarios de red se hacen
más móviles y las compañías expanden sus negocios a múltiples locaciones o abren sus
recursos a gente de fuera seleccionada sin poner esos recursos en Internet.

Algunos usos populares del acceso remoto incluyen lo siguiente:

• Conectar sucursales entre sí


• Proporcionar un medio para que los empleados se conecten a la red después de las
horas hábiles
• Permitir a los empleados teleconmutar trabajando en su casa part-time o full-time
• Permitir a los empleados que se encuentran en viaje, como viajantes o ejecutivos en
viajes de negocios, conectarse a la red corporativa
• Proporcionar a los clientes o socios de la compañía acceso a recursos de la red

En una economía global en expansión, incluso los pequeños negocios frecuentemente


necesitan abrir sucursales en múltiples sitios. Si estas locaciones pueden conectarse con la red
de la casa central, puede compartirse fácilmente información actualizada y los recursos pueden
reunirse fácilmente.

Cuando la necesidad de acceder es infrecuente, o cuando se aplica sólo a unas pocas


computadoras, una conexión telefónica puede bastar. Luego, en la casa central, una
computadora en red puede configurarse como servidor de conexión telefónica. Los usuarios de
la sucursal pueden marcar y conectarse a la red cuando sea necesario. Para muchos
empleados corporativos, el día de trabajo rebasa las horas de trabajo normales. Los ejecutivos
y otros a menudo llevan el trabajo a su casa. Puede que sea necesario que se conecten a la
red corporativa después de las horas hábiles, especialmente si tienen que trabajar en zonas
horarias diferentes.

Con una conexión de acceso remoto, los empleados pueden acceder al servidor de acceso
remoto corporativo e iniciar sesión en la red con su cuenta de usuario regular. Los empleados
pueden luego utilizar todos los recursos que estarían disponibles en la computadora de
escritorio de la oficina. La Figura ilustra cómo se logra este proceso mediante un proveedor de
servicios.

4
Módulo 5: Descripción general de los servicios de red

5
Módulo 5: Descripción general de los servicios de red

5.2.2 Teleconmutación

Una gran cantidad de empleados, incluyendo personal creativo, escritores técnicos,


programadores de software, vendedores y oficinistas, trabajan desde su casa todo o parte del
tiempo. Estos trabajadores teleconmutan a la oficina y permanecen en contacto todo el día
mediante el e-mail, chat en vivo, e incluso audio y videoconferencia.

La teleconmutación es atractiva para los empleados porque ahorra tiempo de viaje y otros
costos asociados con el trabajo en una oficina, como ropa de trabajo, comer afuera, y costo de
transporte. Ahorra a la compañía dinero también porque no se requiere espacio de oficina para
los empleados teleconmutadores.

El acceso telefónico es la forma más común en que los empleados teleconmutadores se


conectan a la LAN de la compañía, aunque en algunos casos, una conexión dedicada podría
tener más sentido. Si una compañía tiene muchos empleados teleconmutadores, el servidor de
acceso remoto requiere múltiples módems (un banco de módems) para que numerosas
conexiones puedan efectuarse simultáneamente. Por supuesto, cada módem requiere su
propia línea telefónica separada, como lo muestra la Figura .

5.2.3 Usuarios móviles

Los viajes de negocios se están volviendo más prevalecientes a medida que las compañías
comercializan sus productos a escala nacional o internacional. Vendedores, reclutadores,
capacitadores, personal de gerencia de alto nivel, y otros pasan gran parte de su tiempo de
viaje. Las necesidades de los usuarios móviles son similares a las de los usuarios que se
quedan después de hora.

6
Módulo 5: Descripción general de los servicios de red

Puede ser difícil o imposible almacenar todos los archivos necesarios en una computadora
laptop o notebook. Es también una amenaza a la seguridad porque la laptop y sus contenidos
puede ser robada físicamente. Una mejor solución podría ser que los usuarios móviles se
conectaran telefónicamente con la LAN de la compañía. Aquí, como muestra la Figura , sus
cuentas de usuarios se autentican, y pueden acceder a los datos aquí en lugar de copiarlos a
su propio disco rígido.

5.2.4 Servicios de emulación de Terminal

La emulación de terminal es el proceso de acceder a un escritorio remoto o servidor a través de


una terminal de computadora local (ver Figura ). La terminal local ejecuta software que
emula, o imita, el aspecto de la terminal del sistema remoto. Usando emulación de terminal, el
usuario local puede tipear comandos y ejecutar programas en el sistema remoto. El programa
de emulación de terminal se ejecuta en el sistema local como cualquier otro programa. En un
sistema Windows, los usuarios pueden ejecutar un programa de emulación de terminal en una
ventana mientras se están ejecutando aplicaciones separadas en otras ventanas.

Se requieren diferentes tipos de emulación de terminal para tipos específicos de terminales. A


continuación, algunos de los tipos de terminal comunes en networking informático:

• IBM 3270
• DEC VT100
• AS/400 5250
• TTY
• xterm

7
Módulo 5: Descripción general de los servicios de red

La aplicación más común de la emulación de terminal es Telnet, que es parte de la suite de


protocolos TCP/IP. Telnet proporciona una interfaz de línea de comandos (CLI) que permite a
los clientes acceder a un servidor remoto. Los NOSs Windows, UNIX, y Linux soportan
servicios Telnet. La utilidad xterm es un emulador de terminal para el Sistema X Window. X
Window se tratará en más detalle en el capítulo 9. Es el módulo que ejecuta la GUI en Linux.
La Utilidad xterm proporciona terminales compatibles con DEC VT102 y Tektronix 4014 para
programas que no pueden utilizar el sistema de ventanas directamente. La versión más
reciente y bien soportada de xterm es la versión XFree86, no obstante existen varias otras
versiones de xterm.

Además de para administración remota, la emulación de terminal puede usarse para entregar
aplicaciones y servicios a clientes. Por ejemplo, una organización puede instalar una aplicación
de alta potencia en el servidor, y luego permitir que clientes de baja potencia accedan a la
aplicación mediante emulación de terminal. Desde el punto de vista del usuario final, la
aplicación de alta potencia parece ejecutarse localmente en la máquina cliente. En realidad, la
aplicación se ejecuta en el servidor, que probablemente tiene significativamente más potencia y
RAM.

5.2.5 Servicios Telnet

Telnet es el principal protocolo de Internet para crear una conexión con una máquina remota.
Da al usuario la oportunidad de estar en un sistema informático y trabajar en otro, que puede
estar cruzando la calle o a miles de kilómetros de distancia. Telnet proporciona una conexión
libre de errores. Telnet tiene las siguientes consideraciones de seguridad.

• Hacking
• Deducción de contraseñas

8
Módulo 5: Descripción general de los servicios de red

• Ataques de Denegación de Servicio (DoS)


• Packet sniffing (datos de texto visualizables)

Telnet se tratará en mayor detalle en los Capítulos 8 y 9, ya que se relaciona específicamente


con Windows 2000 y Linux. Las Figuras y ilustran un ejemplo de un usuario remoto
accediendo a un servidor Windows 2000 usando servicios Telnet.

9
Módulo 5: Descripción general de los servicios de red

5.2.6 Configuración de acceso remoto para un cliente

10
Módulo 5: Descripción general de los servicios de red

Hoy, la mayor parte de las computadoras están conectadas a una red permanentemente
mediante la placa de red del sistema. Estos tipos de conexiones se efectúan asignando
direcciones IP al sistema, lo cual se trató en el Capítulo 4, "Networking TCP/IP". A veces
establecer una conexión remota a una computadora debe hacerse de otra manera cuando la
computadora podría ubicarse en algún lugar no conectado a la red. Por lo tanto, una conexión
telefónica, ISDN, o conexión de banda ancha deben usarse para conectarse a la computadora.

Protocolo Punto a Punto (PPP)


El Protocolo Punto a Punto (PPP) puede usarse para establecer un vínculo TCP/IP entre dos
computadoras, usando un módem. Una conexión PPP está diseñada para usarla sólo durante
periodos breves porque no es considerada una conexión de Internet "siempre activa". Hay, no
obstante, algunos ISPs que ofrecen vínculos PPP full-time pero éste no es un medio
recomendado de efectuar una conexión a un servidor. Alguna configuración es necesaria para
iniciar y establecer una conexión PPP en un sistema Linux. El primer paso es asegurarse de
que el daemon PPP está instalado, denominado "pppd". El daemon PPP puede tanto iniciar
como responder a intentos de iniciar una conexión.

Configuración PPP basada en texto


Hay dos formas de crear una conexión PPP. Una forma de configurar PPP es usando las
utilidades PPP basadas en texto y la otra es usar el Dialer GUI. Si usa una versión basada en
texto, se requiere que primero cree una entrada en el archivo /etc/ppp/pap-secrets o
/etc/ppp/chap-secrets. Las Figuras y muestran ejemplos de estas entradas que un usuario
verá en estos archivos. Para editar estos dos archivos se usa el mismo formato y se los utiliza
para proporcionar información de autenticación entre las dos computadoras. El archivo
/etc/ppp/pap-secrets usa el Protocolo de Autenticación de Contraseñas (PAP) y el archivo
/etc/ppp/chap-secrets usa el Challenge Handshake Authentication Protocol (CHAP). Los
protocolos PAP y CHAP son protocolos que presentan la información sobre nombre de usuario
y contraseña del usuario. Al editar estos archivos, un usuario tendrá que colocar la información
sobre nombre de usuario y contraseña proporcionada por el ISP. Los usuarios también
necesitarán introducir el nombre del servidor o computadora a la que se están conectando.
Este valor puede sustituirse por un asterisco (*), que significa que se conectará a cualquier
servidor o computadora. La última parte de la información que el usuario necesitará para los
archivos secrets es la dirección IP del sistema al que pppd se supone que llega cuando se
conecta. Este valor puede dejarse en blanco, lo que permitirá una conexión con cualquier
dirección IP.

Crear una conexión mediante la línea de comandos también requiere modificar algunos scripts.
Éstos son ppp-on, ppp-on-dialer, y ppp-off-scripts. Los scripts pop-up y pop-up-dialer manejan
las conexiones de inicio y el script ppp-down la termina. El primer paso en modificar estos
scripts es copiarlos desde el directorio por defecto que es /usr/share/doc/ppp-2.3.11/scripts,
a un directorio que se encuentra en la ruta como /usr/local/bin, por ejemplo. Después de
copiar estos archivos a la nueva ubicación, los usuarios necesitarán editarlos con la
información relevante a su ISP. Los pasos a llevar a cabo son:

1. En el script ppp-on, hay líneas que comienzan con TELEPHONE=, ACCOUNT=, y


PASSWORD=. Introduzca la información en estas líneas que sea relevante al ISP. La
Figura muestra un ejemplo del script de ppp-on.
2. Ubicada en el script ppp-on hay una variable que señala a la ubicación de ppp-on-
dialer. La ubicación por defecto es /etc/ppp. Si no está señalando a la ubicación
correcta, cambie esta ubicación según sea pertinente.
3. Ubicados al final del script ppp-on, busque los valores "call to pppd". Estos valores son
difíciles de interpretar pero la única información aquí que necesita verificarse es que el
script esté usando el nombre de archivo y la velocidad correctos del dispositivo módem.
Normalmente los módems serie usarán como nombre de archivo /dev/ttyS0 o
/dev/ttyS1. La velocidad del módem en la mayoría de los casos deberá ser 115200,
pero 38400 es el valor por defecto.
4. A continuación, verifique el script ppp-on-dialer. Un script ppp-on-dialer de muestra
aparece en la Figura . Este script maneja la secuencia de "chateo". Será necesario
modificar las últimas dos líneas de este script con la información del ISP del usuario.

11
Módulo 5: Descripción general de los servicios de red

Esta información es el diálogo que es intercambiado por el módem y el ISP acerca del
nombre de usuario y cuenta del usuario al iniciar sesión en Internet. Ésta es la
información que un usuario necesitará introducir en las últimas dos líneas de este script
para hacerlo funcionar. Como alternativa, si el ISP del usuario usa PAP o CHAP, estas
últimas dos líneas sólo necesitarán comentadas haciendo precederlas con un signo
numeral (#) para que no se lean al ejecutarse el script y será necesario eliminar la
barra invertida (\) de la línea de conexión.

Después de efectuar todos estos cambios, inicie sesión como raíz y tipee ppp-on desde el
shell. (El usuario podría tener que hacer preceder el comando con la ruta completa). Si los
scripts fueron editados exitosamente, entonces el sistema deberá marcar el módem y
establecer una conexión.

Configuración PPP del Dialer GUI


La configuración PPP también puede efectuarse desde la GUI usando las utilidades de
marcado de la GUI. El Dialer GUI PPP que viene con KDE es el dialer KPPP. Un ejemplo del
dialer KPPP se muestra en la Figura . Para iniciar la Ventana KPPP, tipee kppp en el shell o
seleccionándolo desde el menú KDE. La primera vez que se inicia el dialer KPPP, será
necesario configurarlo. Una vez introducida toda la configuración, todo lo que es necesario una
vez ejecutado el comando kppp es seleccionar el ISP de la lista "Connect To" y luego introducir
el nombre de usuario y contraseña.

Siga estos pasos para configurar el dialer KPPP:

1. Tipee kppp en el shell. Esto iniciará el dialer KPPP.


2. Cuando el dialer inicia, haga clic en Setup. Esto iniciará la ventana de configuración de
KPPP. Un ejemplo de ventana de configuración de KPPP se muestra en la Figura .
3. Haga clic en New. Esto creará una nueva cuenta. Note aquí que si el usuario se
encuentra en Estados Unidos, tendrá que seleccionar la opción del recuadro de diálogo
y no el asistente porque el asistente no soporta ISPs de EE.UU. Una vez seleccionada
la opción del recuadro de diálogo se abrirá el recuadro de diálogo New Account. Un
ejemplo del recuadro de diálogo New Account se muestra en la Figura .
4. En el recuadro "nombre de la conexión" tipee el nombre con el que se va a referir a
esta conexión.
5. Haga clic en Add, y luego introduzca el número telefónico del ISP, luego haga clic en
OK. A veces un ISP proporcionará más de un número que marcar. En este caso, repita
este paso para números adicionales que marcar.
6. En la solapa Authentication, seleccione el tipo de autenticación que usa el ISP, ya sea
PAP o CHAP. Luego haga clic en OK para cerrar el recuadro de diálogo New Account.
7. Por último, vea las solapa modem y device para confirmar que se haya seleccionado el
Dispositivo Módem y la velocidad de Conexión correctos.

Conexión usando ISDN


Una alternativa al uso de líneas telefónicas analógicas para establecer una conexión es ISDN.
La Figura ilustra un ejemplo de representación lógica de una conexión ISDN. ISDN tiene
muchas ventajas sobre el uso de las líneas telefónicas. Una de estas ventajas es la velocidad.
ISDN usa un par de líneas digitales de 64 kilobits por segundo (Kbps) para conectarse, lo cual
proporciona un total de 128 Kbps de throughput. Esto es mucho mejor que usar una línea
telefónica que se conecta a una velocidad máxima de 56 Kbps, y a menudo ni siquiera llega a
ser tan alta en algunas áreas. Aunque ISDN es mejor que usar líneas telefónicas, una
alternativa aún mejor a ISDN es DSL o los servicios de cable módem. DSL y los servicios de
cable módem se tratan en la siguiente sección.

En lugar de usar un módem para conectarse a una computadora remota, ISDN usa un
adaptador de terminal. El adaptador de terminal esencialmente lleva a cabo el mismo papel que
juega un módem en una conexión PPP. Establecer una conexión con el adaptador de terminal
se hace de igual manera que con un módem y una conexión PPP. Por lo tanto, simplemente
siga las mismas instrucciones delineadas en la sección anterior sobre conexiones PPP para
configurar una conexión ISDN.

12
Módulo 5: Descripción general de los servicios de red

Un adaptador de terminal es un dispositivo externo que actúa de manera muy similar a como lo
hace un módem externo. No obstante, un usuario puede usar un dispositivo interno que se
conecta a uno de los slots PCI de la computadora. Estos dispositivos ISDN internos se
denominan módems ISDN. Tenga en cuenta que el usuario necesitará tener instalados los
controladores apropiados para que el módem ISDN funcione apropiadamente en Linux. Otra
cosa importante a recordar acerca del uso de módems ISDN es que a diferencia de los
módems regulares que marcan hacia una línea telefónica, los módems ISDN no pueden usar el
nombre de archivo /dev/ttyS0. En cambio, un módem ISDN debe usar el nombre de archivo
/dev/ttyI0 y los nombres de archivos de dispositivos numerados subsecuentemente.

Conexión mediante DSL y Servicio de Cable Módem


Un medio popular de establecer una conexión remota a una computadora hoy por hoy es
mediante DSL o servicio de cable módem, o a veces simplemente denominado acceso remoto
de alta velocidad o acceso remoto por banda ancha. La Figura ilustra un ejemplo de cómo se
efectúa una conexión DSL o de Internet por cable. Este servicio aún es proporcionado por un
ISP pero ofrece algunas ventajas sobre las conexiones PPP e ISDN. En primer lugar, DSL y
cable tienen velocidades mucho más altas que PPP e ISDN. Donde PPP se conecta a un
máximo de 56 Kbps e ISDN a 128 Kbps, DSL y Cable se conectan a una velocidad de 1000
Kbps a 3000 Kbps. La velocidad variará dependiendo de varios factores, como el tráfico en
Internet. Estas velocidades de conexión más altas también permiten transmisión de video, voz
y datos digitales, no sólo datos. Las conexiones PPP e ISDN son simplemente demasiado
lentas para permitir otra cosa que no sean transmisiones regulares de datos. Otra ventaja que
permite el acceso remoto de alta velocidad es que se establece una conexión permanente.
Esto significa que la conexión puede utilizarse 24 horas al día y los usuarios no necesitan pasar
por ninguna configuración de dialer, ni siquiera tienen que introducir un comando para iniciar la
conexión. Hay dos excepciones a esta regla que se tratarán brevemente.

Nuevamente, al tratar con Linux, surgirán problemas de compatibilidad al utilizar un servicio de


DSL o cable módem. Estos dos problemas son la compatibilidad del hardware y el método de
asignación de direcciones IP. Los problemas de compatibilidad de hardware surgen al elegir el
módem apropiado para usar con Linux. La mayoría de los módems para DSL y cable son
externos y hacen interfaz con la computadora mediante un puerto Ethernet. Éste es el método
preferido de conexión que será el más compatible con un sistema Linux. No obstante, algunos
módems DSL o cable externos usan una interfaz USB. Por otro lado, pueden ser módems
internos. Usar estos dos tipos de módems DSL y cable requieren el uso de controladores
especiales en un sistema Linux que son raros y difíciles de hallar. Hay cuatro formas en que un
ISP de banda ancha asignará direcciones IP. Éstas son con una dirección IP estática, DHCP,
PPP sobre Ethernet (PPPoE), o PPP sobre ATM (PPPoA). Si el ISP proporciona al usuario un
módem incompatible, la mejor idea es reemplazarlo con uno que sea compatible. Si el ISP del
usuario usa PPPoE o PPPoA, el usuario tendrá que introducir configuración para establecer la
conexión. El usuario también tendrá que introducir comandos en el shell para iniciar la conexión
y terminar la conexión. El comando asdl-start iniciará la conexión y el comando asdl-stop la
terminará.

13
Módulo 5: Descripción general de los servicios de red

14
Módulo 5: Descripción general de los servicios de red

15
Módulo 5: Descripción general de los servicios de red

16
Módulo 5: Descripción general de los servicios de red

17
Módulo 5: Descripción general de los servicios de red

5.2.7 Control de los derechos del acceso remoto

Al configurar un servidor para acceso remoto, es importante mantener una estricta política de
derechos de acceso. Ésta puede ser una importante operación de administración de redes. El
sistema operativo Linux proporciona muchas opciones que elegir al controlar los derechos de
acceso remoto. Al configurar los controles de acceso remoto, es una buena idea usar una
combinación de al menos dos de estas opciones. La razón para esto es que si uno fallara o
pasara a inactividad siempre habrá un respaldo.

Firewalls
Un firewall actúa como barrera entre una red, como Internet por ejemplo, y otra. Esta otra red
podría ser la red de la cual está a cargo el usuario para controlar su seguridad. El firewall se
coloca en medio de donde estas dos redes hacen interfaz, bloqueando así el tráfico no
deseado. Se puede configurar un firewall en una variedad de formas diferentes. Una de las
formas tradicionales es instalar un router que pueda bloquear y controlar el tráfico no deseado
que entra y sale de una red. Otros tipos de firewalls incluyen firewalls externos dedicados como
Cisco PIX Firewall, o sólo una computadora común actuando como firewall.

Todo el tráfico de la red que fluye hacia dentro y fuera de ella lo hace usando puertos. Un
firewall de filtro de paquetes restringe el tráfico basándose en estas asignaciones de puertos.
Este tipo de firewall examina el número de puerto del origen y el destino y la dirección IP del
origen y el destino. Por ejemplo, si un servidor Samba está funcionando en la red interna, el
administrador configuraría el firewall para bloquear el puerto usado por Samba en el firewall.
Esto evitaría cualquier acceso indeseado al servidor de un hacker malicioso de fuera de la red.

Tal como se mencionó previamente, el sistema operativo Linux por sí mismo puede
configurarse para proporcionar servicios de firewall. Linux usa las herramientas ipfwadm,
ipchains, e iptables para configurar funciones de firewalls. Las funciones de firewall pueden

18
Módulo 5: Descripción general de los servicios de red

configurarse manualmente, usando una herramienta de configuración GUI, o mediante un sitio


web.

Manualmente
Si un usuario decidiera configurar el sistema Linux como firewall, se recomienda que el usuario
primero lea acerca del tema. Existen libros completos que tratan este tema y puede ser muy
difícil hacerlo. Involucra escribir scripts, lo cual puede ser complicado y podría resultar en que
el firewall no funcione apropiadamente.

Herramienta de Configuración GUI Algunas de las herramientas de configuración de la GUI


que pueden usarse para la configuración del firewall son Firestarter
(http://firestarter.sourceforge.net) o Guarddog (http://www.simonzone.com). Las últimas
distribuciones de Linux están siendo entregadas ahora con estos programas. Estas
herramientas permiten un medio mucho más fácil de controlar puertos de red así como
protocolos de cliente y servidor que un usuario desearía controlar. Estas herramientas también
generan los scripts para los usuarios que pueden ejecutarse automáticamente cuando el
sistema arranca.

Configuración del Sitio Web


Una herramienta de configuración del sitio web funciona como las herramientas de
configuración GUI y permite a los usuarios introducir la información necesaria en el sistema, y
el sitio web genera los scripts para firewall para ellos.

TCP Wrappers
TCP Wrappers se usa en conjunción con inetd. Tenga en cuenta que inetd ya no se usa con
Linux Mandrake o Red Hat. Estas dos distribuciones usan xinetd. TCP Wrappers usa un
programa llamado tcpd. Sin tcpd ejecutándose un servidor llamaría a otro directamente con
inetd. Cuando se usa el programa tcpd, el programa inetd llama a tcpd primero. El programa
tcpd verificará primero para ver si el cliente está autorizado a acceder al servidor y si lo está,
entonces el programa tcpd permitirá al cliente acceder al servidor.

Existen dos archivos que se usan para configurar TCP Wrappers, /etc/hosts.allow y
/etc/hosts.deny. Las Figuras y muestra ejemplos de estos dos archivos. Editando estos
archivos y agregando nombres de host a los archivos, los usuarios pueden permitir o denegar
acceso al sistema. Los nombres de host introducidos en el archivo hosts.allow especifican a
qué sistemas se le permite obtener acceso al sistema. Si se hace un intento de acceder al
sistema y el nombre de host no se ha introducido en el archivo hosts.allow, entonces se le
niega acceso. Por el contrario, a los nombres de host introducidos en el archivo hosts.deny se
les niega acceso al sistema.

Las entradas de estos archivos consisten en líneas como la siguiente:

• daemon-list: client-list daemon-list especifica los nombres de los servidores que


aparecen en /etc/services. Éstos son los servidores/servicios a los cuales se otorgará o
denegará el acceso. client-list especifica a qué clientes se otorga o denega acceso al
servidor en la daemon-list correspondiente. Las entradas de client-list pueden ser por
nombre de host o por dirección IP.
• Xinetd Tal como se mencionó antes, las Distribuciones Mandrake y Red Hat de Linux
ya no usan inetd ni TCP Wrappers. En cambio usan xinetd. Mandrake y Red Hat
controlan el acceso editando el archivo /etc/xinetd.conf. La Figura muestra un
ejemplo del archivo xinetd.conf. Estos recortes que se hacen en el archivo
xinetd.conf hacen llamadas a otros archivos ubicados en el directorio /etc/xinetd.d. La
Figura enumera algunos de los daemons que hay en el directorio /etc/xinetd.d.
Estos archivos se encuentran en el directorio /etc/xinetd.d y son lo que controla el
acceso a los diferentes daemons que se ejecutan en el sistema. La configuración se
efectúa servidor por servidor usando los parámetros bind, only_from, y no_access.
• Bind Esto le indica a xinetd que escuche sólo a una interfaz de red para el servicio. Por
ejemplo, agregar la entrada bind = 10.2.5.1 al archivo hará que el router sólo escuche a
esa dirección de placa Ethernet específica de la red.

19
Módulo 5: Descripción general de los servicios de red

• only_from Esto funciona de manera similar al archivo hosts.allow porque un usuario


puede especificar una dirección IP, direcciones de Red, o nombres de host en esta
línea para permitir conexiones sólo de esas entradas particulares enumeradas en el
archivo.
• no_access Esto funciona de manera similar al archivo hosts.deny en el hecho de que
a las entradas enumeradas en esta línea se les denegará acceso al servidor.

Contraseñas
Las contraseñas son un método muy útil de controlar el acceso remoto a un servidor. Las
contraseñas son muy útiles cuando quien tiene acceso a servidores tales como e-mail, FTP, y
Telnet por ejemplo. Imponer una contraseña obliga al usuario a autenticarse de alguna forma
ante los servidores para obtener acceso a los recursos del servidor.

Aunque las contraseñas pueden ser un medio eficaz de evitar el acceso a un servidor, también
tienen algunos problemas de seguridad que deben conocerse. A menos que las contraseñas se
envíen en forma cifrada, se puede correr el riesgo de que un usuario experimentado pueda
leerlas. Los protocolos FTP, POP, IMAP, y Telnet envían información sobre contraseñas en
forma cifrada por defecto, otros no. Hay formas, no obstante, de cifrar seguramente las
contraseñas e incluso los datos. Un método semejante es mediante el uso del protocolo SSH.
El protocolo SSH está diseñado para ser seguro y evita que una contraseña se use incluso si
es interceptada.

SSH proporciona otro medio de proporcionar una autenticación segura a un servidor. SSH es
capaz de almacenar una clave especial en el servidor y una en el cliente. El cliente usa su
clave, y no una contraseña, para autenticar al servidor. Aunque esta configuración proporciona
un medio seguro de autenticación, hay algunos riesgos de seguridad involucrados también. Por
ejemplo, si por alguna razón un intruso obtuviera acceso a la computadora cliente de un
usuario, podría obtener acceso al servidor.

También es importante la mención de los "r-commands" al tratar la autenticación de


contraseñas. Los "r-commands" son los comandos rlogin, rsh, y rcp. Estos comandos
permiten a un usuario en un sistema UNIX o Linux iniciar sesión, ejecutar programas, y copiar
archivos hacia y desde otro sistema UNIX o Linux sin tener que autenticarse. Esto se logra
creando un archivo rhosts en el directorio home del usuario. Este archivo contiene listas de
otros hosts en los que se confía. Estos hosts en los que se confía pueden obtener acceso a un
servidor sin tener que ser autenticados. Nuevamente, puede haber algún problema de
seguridad al utilizar esta forma de autenticación y deberá tenerse particular cuidado al
determinar en qué hosts se confiará.

Permisos de Archivos
Los permisos de archivos pueden ser útil para otorgar acceso general a los archivos o a ciertos
directorios sin tener que especificar ningún usuario en particular. Básicamente, cualquiera
puede iniciar sesión y obtener acceso al servidor. No obstante, los permisos de archivos
pueden limitar a qué archivos o directorios se tendrá acceso. Por ejemplo, si hubiera un
servidor FTP, Telnet o SSH al que la gente necesitara acceder, el administrador podría
especificar un directorio o un grupo de directorios a los que estos usuarios tuvieran acceso una
vez iniciada la sesión. Un ejemplo mejor aún sería permitir un acceso anónimo a un servidor
FTP. El control de acceso anónimo especifica que cualquiera puede obtener acceso al servidor
pero sólo se podrá acceder a los directorios y archivos en particular para los que tengan los
permisos de archivo apropiados.

20
Módulo 5: Descripción general de los servicios de red

21
Módulo 5: Descripción general de los servicios de red

5.2.8 Administración remota a un sistema Linux

22
Módulo 5: Descripción general de los servicios de red

Un beneficio de usar el sistema operativo Linux en un servidor es que proporciona muchas


formas de administrar remotamente el sistema. Esta es la razón por la cual es tan importante
controlar los derechos de acceso. Al igual que sucede con cualquier tipo de acceso remoto a
un sistema, existen riesgos de seguridad que es necesario tratar. Muchos de ellos se trataron
en la sección anterior. No obstante, la administración remota puede ser muy conveniente y
también necesaria en algunos casos. Linux proporciona varias herramientas para la
administración remota. Estas incluyen, inicios de sesión en modo texto, inicios de sesión en
GUI, transferencias de archivos y protocolos de administración remota dedicados.

Inicios de Sesión en Modo Texto


Un inicio de sesión en modo texto consiste en iniciar sesión en un sistema mediante Telnet o
SSH. Un usuario puede usar Telnet o SSH para administrar remotamente el servidor Linux
desde cualquier sistema operativo como Mac OS o Windows por ejemplo. No tiene por qué ser
un sistema operativo Linux. Esto se hace normalmente iniciando sesión con una cuenta de
usuario regular y luego usando el comando su con la contraseña raíz para obtener privilegios
de superusuario. En este punto, los usuarios realmente pueden hacer cualquier cosa que
pudieran hacer desde el prompt del shell en la consola principal.

La sintaxis de comandos correcta para utilizar Telnet en Linux es telnet hostname, donde
hostname es el nombre DNS del sistema al que el usuario está intentando obtener acceso. La
Figura ilustra un ejemplo del comando telnet que se está utilizando.

SSH funciona igual, no obstante no utiliza el prompt login:. Los usuarios no necesitan
especificar un nombre de usuario o contraseña. En cambio SSH pasa el nombre de usuario
actual al sistema al que el usuario está intentando acceder remotamente para autenticar el
usuario. No obstante, el usuario puede iniciar sesión a un servidor SSH con un nombre de
usuario y contraseña diferentes utilizando el parámetro -l username. La salida es como sigue:
(note que en la siguiente salida hostname representa el nombre DNS del sistema remoto).

$ ssh hostname -l jsmithjsmith@hostname password: Last login: Wed Feb 18 08:34:23 2002
from hostname [jsmith@hostname jsmith]$

Una vez que el usuario ha obtenido acceso al sistema exitosamente, puede hacer
prácticamente todo lo que puede hacerse desde un prompt de shell en la consola principal.

Para administrar remotamente un servidor Linux mediante una sesión GUI, en primer lugar los
usuarios necesitarán instalar algún software en los sistemas desde el cual están intentando
administrar remotamente. El software que tendrán que instalar es X server. Si están haciendo
el intento desde un sistema Linux, X server ya debería estar instalado. Los usuarios también
pueden usar un sistema Windows con X server instalado en él para administrar un servidor
Linux mediante una GUI. Al igual que con Telnet y SSH, una vez que los usuarios han iniciado
sesión, pueden usar el comando su con la contraseña raíz para adquirir los privilegios del raíz.

Transferencias de Archivos
En general, la transferencia de archivos no es lo que una persona podría llamar administración
remota. No obstante, es de hecho una forma para editar y configurar archivos remotamente.
Una herramienta de transferencia de archivos como FTP puede utilizarse para transferir
archivos de un sistema a otro, editarlos, y luego volver a enviarlos. Por ejemplo, un usuario
podría tener un servidor Linux que esté configurado como servidor de impresora. Puesto que
este servidor es un servidor de impresora, podría no tener las herramientas apropiadas de
edición y configuración necesarias para editar archivos en el servidor de impresora, lo cual
haría que hacer telnet al servidor careciera de sentido. Si FTP, NFS, o Samba estuvieran
instalados en el servidor de impresora, entonces un usuario podría iniciar sesión en el servidor
de impresora remotamente y transferir el archivo a un sistema que tuviera las herramientas de
edición y configuración apropiadas, editar el archivo, y volver a transferirlo al servidor de
impresora.

23
Módulo 5: Descripción general de los servicios de red

Tenga en cuenta, no obstante, que no se recomienda otorgar acceso directo al directorio


destino de los archivos de configuración, como el directorio /etc usando NFS o Samba. Esto
hace más fácil transferir el archivo a la ubicación correcta pero puede dejar al servidor
vulnerable a ataques. En cambio, la mejor práctica sería transferir el archivo usando una
cuenta de usuario general que colocara al archivo en el directorio home de la cuenta de ese
usuario. Luego use un protocolo de inicio de sesión remoto como SSH para copiar el archivo al
directorio apropiado.

Protocolos de Administración Remota


Linux proporciona varias herramientas para habilitar a un administrador para que administre
remotamente una computadora. Para lograrlo, el usuario necesitará instalar la versión del
servidor de estas herramientas en la computadora cliente, que es la computadora que el
usuario planea administrar remotamente. El usuario necesitará instalar la versión cliente de la
herramienta en particular que se usa en la computadora en la que el usuario planea usar para
hacer la administración. La mayoría de estas herramientas usan navegadores web como medio
de hacer la administración remota, lo cual es útil en un entorno que tiene múltiples sistemas
operativo como Macintosh o Windows. El sistema no necesita ser un sistema Linux para
administrarlo remotamente desde un sistema Linux. Algunas de estas herramientas son:

• SNMP
• Samba Web Administration Tool (SWAT)
• Webmin

SNMP
Este protocolo se tratará en detalle en capítulos posteriores. Es importante notar aquí no
obstante que ésta nunca ha sido la herramienta de administración remota preferida para
sistemas Linux como lo ha sido en el entorno Windows. La razón es que requiere mucha
configuración complicada en los sistemas que deben administrarse.

Samba Web Administration Tool (SWAT)


Esta herramienta es una herramienta basada en la web que se usa para administrar un
servidor Samba. Después de configurar SWAT, los usuarios pueden acceder al servidor
remotamente usando un navegador web. SWAT usa el puerto 901 y para acceder a la página
de administración de SWAT, los usuarios tipearían el URL del servidor al que desean acceder
remotamente, seguido del puerto 901. Por ejemplo, los usuarios tipearían http://cisco-
flerb.cisco.com:901. La Figura proporciona un ejemplo de la página de SWAT. Tenga en
cuenta que SWAT sólo permite a los usuarios administrar las funciones Samba del servidor.
Los usuarios no podrán llevar a cabo ninguna otra tarea de administración con SWAT. No
obstante, los usuarios tendrán un control completo de Samba en el servidor remoto.

Webmin
Webmin, como el nombre lo implica, es otra herramienta de administración remota basada en
web. Webmin fue diseñada teniendo como concepto principal que pueda ser usada en todas
las distribuciones de Linux así como en sistemas UNIX. Cuando se instala Webmin, se instalan
archivos de configuración específicos de esa distribución de Linux o UNIX en particular.
Webmin usa el puerto 10000. Para acceder a la página de administración de Webmin, los
usuarios tipearían el URL del servidor al que desean acceder remotamente, seguido por el
puerto 10000. Por ejemplo tipee http://cisco-flerb.cisco.com:10000.

rmon y ssh
Remote Monitoring (RMON) es una especificación de monitoreo estándar que permite a varios
monitores de red y sistemas de consola intercambiar datos de monitoreo de red. Secure Shell
(SSH) es probablemente la más popular herramienta de administración remota para Linux.
SSH ofrece acceso de línea de comando mediante un túnel encriptado que proporciona más
seguridad que telnet. Muchas distribuciones de Linux vienen con un servidor SSH ya instalado.
Al igual que con cualquier herramienta, deben instalarse patches y colocarse restricciones para
evitar que usuarios no autorizados usen el servicio. Una vez que tenga instalado un servidor
SSH, configurarlo es muy fácil. Existen un par de configuraciones importantes que deberá
ordenar para minimizar el riesgo, incluyendo:

24
Módulo 5: Descripción general de los servicios de red

• PermitRootLogin Este valor deberá configurarse a No, puesto que nunca deberá
iniciarse sesión en la raíz remotamente. Si desea administrar la caja, cree un usuario
normal y entre con SSH con esa cuenta. Una vez dentro, puede usar el comando su
para iniciar sesión como raíz.
• X11 Forwarding Este valor se utilizará para obtener una conexión gráfica. Si sólo
desea usar la consola, puede configurar este valor a No; de otro modo, configúrelo a
Sí.

Si no tiene instalado un servidor SSH, puede utilizar su instalador RPM de la distribución Linux
para hacerlo funcionar. Una vez logrado eso, conectarse es muy simple. Primero, es necesario
que obtenga un cliente. Un cliente SSH fácil y gratuito es PuTTY, que puede descargar del sitio
web de PuTTY ubicado en el vínculo web de más abajo. PuTTY es una utilidad de cliente ssh
que le permite conectarse a sistemas remotos usando diversos protocolos, incluyendo SSH y
Telnet. Configurar PuTTY es muy fácil. Para conectarse a un sistema remoto, todo lo que tiene
que hacer es completar el nombre de host o dirección IP a la cual conectarse, y seleccionar
SSH para el tipo de conexión, como lo muestra la Figura

25
Módulo 5: Descripción general de los servicios de red

26
Módulo 5: Descripción general de los servicios de red

27
Módulo 5: Descripción general de los servicios de red

5.3 Servicios de Directorio

5.3.1 ¿Qué es un servicio de directorio?

medida que las intranets continúan creciendo de tamaño, las complejidades de estas redes
también crecen rápidamente. Las modernas intranets pueden contar con miles de usuarios, y
cada uno de ellos necesita diferentes servicios y diversos niveles de seguridad en la red. La
tarea de administrar este desafío logístico ha crecido más allá de la capacidad del NOS por sí
solo. Muchos administradores de sistemas usan ahora "servicios de directorio" para
suplementar las herramientas de administración de un NOS. La Figura muestra los conceptos
básicos respecto a cómo se construye un servicio de directorio. El objeto superior en un
directorio, que contiene a todos los otros objetos, se denomina objeto "raíz".

Un servicio de directorio proporciona a los administradores de sistema un control centralizado


de todos los usuarios y recursos en toda la red. Proporciona a un administrador la capacidad
de organizar información. Ayuda a simplificar la administración de la red proporcionando una
interfaz estándar para tareas de administración de sistema comunes. Esta función es
importante cuando una red grande está ejecutando varios sistemas operativos y diversos
protocolos de red. Con un único servicio de directorio, el administrador de red puede
administrar centralmente todos esos recursos con un conjunto definido de herramientas en
lugar de atender manualmente cada dispositivo por separado. Estos servicios de directorio
pueden ser locales, lo cual significa que están restringidos a una única máquina o la
información del directorio puede estar diseminada en varias máquinas. Esto se denomina base
de datos de directorio distribuida.

En el mundo informático, un directorio puede ser algo diferente. Los alumnos probablemente
están familiarizados con el término "directorio" en lo que se refiere a los sistemas de archivos
de computadora, en los cuales un directorio es una colección de archivos agrupados bajo un
nombre identificatorio. Los servicios de directorios usados por un NOS son diferentes pero son
conceptos relacionados. En este contexto, un directorio es un tipo especial de base de datos.
Puede contener variados tipos de información.

Beneficios del Uso de una Estructura de Directorio


Los beneficios de usar servicios de directorio en una red incluyen:

• Los datos pueden ser fácilmente organizados.


• Los datos pueden ser fácilmente asegurados.
• Los datos pueden ser fácilmente localizados y accedidos.

Hay ventajas en usar servicios de directorio para acceder a los recursos de la red.
Tradicionalmente, los archivos y carpetas compartidos se almacenaban en las unidades de
disco rígido de estaciones de trabajo individuales o servidores de archivos. Para conectarse a
los archivos compartidos, el usuario necesitaba saber dónde estaban ubicados.

Un servicio de directorio elimina este requisito. Los recursos compartidos se publican en el


directorio. Los usuarios pueden localizarlos y acceder a ellos sin siquiera saber en qué
máquina residen físicamente los recursos. La Figura ilustra cómo está pensado que funcione
este proceso. Los archivos, directorios y compartidos a los que los usuarios acceden desde un
único punto pueden distribuirse a través de varios servidores y ubicaciones usando servicios de
directorio distribuido y replicación. Los siguientes dos métodos pueden usarse para buscar en
todo el directorio distribuido desde una única ubicación.

• Buscar en la Red de Microsoft Windows de manera tradicional Buscar en cada


máquina individual para localizar los archivos compartidos.

28
Módulo 5: Descripción general de los servicios de red

• Buscar en el Directorio Esta opción muestra todos los recursos publicados en el


Active Directory. La Figura ilustra cómo usar el Microsoft Windows Explorer para
buscar en el directorio.

29
Módulo 5: Descripción general de los servicios de red

30
Módulo 5: Descripción general de los servicios de red

5.3.2 Estándares del servicio de directorio

Es necesario conformarse a un estándar al crear directorios distribuidos. Para operar dentro de


un NOS, diferentes servicios de directorio necesitan tener un método común de nombrar y
hacer referencia a los objetos. Sin estos estándares, cada aplicación tendría que usar su propio
directorio, que requiere más espacio en disco. Además, los productos de un fabricante pueden
no usar las bases de datos compiladas por los productos de otro fabricante. Sin estos
estándares, sería imposible tener una estructura de directorio funcional. Los fabricantes de
servicios de directorio que cumplen con los estándares diseñan sus servicios para que sean
compatibles con un amplio rango de plataformas y con otros servicios de directorio.

X.500
X.500 define los estándares del Servicio de Directorio Electrónico (EDS). Los servicios de
directorio descritos en X.500 están diseñados para trabajar en conjunción con servicios de
mensajería X.400.

Un directorio que cumpla con X.500 tiene tres componentes principales:

• Agente del Sistema de Directorios (DSA) Administra los datos del directorio
• Agente del Usuario del Directorio (DUA) Otorga a los usuarios acceso a servicios de
directorio
• Base de Información de Directorio (DIB) Actúa como el almacén central de datos, o
base de datos, en la cual se guarda la información del directorio

Los estándares X.500 tratan cómo se almacena la información en el directorio y cómo los
usuarios y sistemas informáticos acceden a esa información. La seguridad de los datos, el
modelo de nombrado, y la replicación de datos del directorio entre servidores está todo definido
en X.500.

31
Módulo 5: Descripción general de los servicios de red

Las especificaciones X.500 definen la estructura del directorio como un árbol invertido, y la
base de datos es jerárquica. Un servicio de directorio que cumpla con X.500 usa el Protocolo
de Acceso al Directorio (DAP), que se trata a continuación.

DAP y LDAP
DAP permite que el DUA se comunique con el DSA. DAP define el medio mediante el cual el
usuario puede buscar en el directorio para leer, agregar, borrar, y modificar entradas del
directorio.

DAP es un protocolo potente, pero la sobrecarga asociada es alta. El Protocolo de Acceso al


Directorio Liviano (LDAP) fue desarrollado como un subconjunto de DAP para simplificar el
acceso a directorios tipo X.500. LDAP se ha convertido en un estándar popular porque integra
directorios de diferentes fabricantes. LDAP está diseñado para usar menos recursos de
sistema que DAP, y es más fácil de implementar. La versión actual de LDAP es LDAPv3.

LDAPv3 ofrece varias mejoras importantes sobre versiones anteriores de LDAP. La mejora a la
seguridad es un foco principal de la nueva versión. LDAPv3 soporta cifrado Secure Sockets
Layer (SSL) entre cliente y servidor y habilita la autenticación de certificados X.509.

LDAPv3 también habilita al servidor para que refiera al cliente LDAP a otro servidor si no es
capaz de responder a la consulta del cliente. La Figura ilustra un ejemplo de un servicio de
directorio DAP y LDAP típico.

5.3.3 Active Directory de Windows 2000

Con el lanzamiento de Windows 2000 Server, Microsoft hizo cambios fundamentales en sus
componentes de networking que son incluso más drásticos que aquéllos efectuados por Novell
en la transición de NetWare 3 a 4. El Active Directory es central a estos cambios. Donde el

32
Módulo 5: Descripción general de los servicios de red

Novell NDS funciona como servicio que funciona con el NOS, el NOS, el Microsoft Active
Directory funciona como aplicación profundamente integrada al sistema operativo.

Las siguientes secciones tratan la estructura de la base de datos Active Directory, integración
de Active Directory, e información de Active Directory.

Estructura de la Base de Datos de Active Directory


La información de Active Directory se almacena en tres archivos:

• Base de Datos de Active Directory


• Archivos de Registro de Active Directory
• Volumen de Sistema Compartido

La base de datos es el directorio. Los archivos de registro toman nota de los cambios
efectuados en la base de datos. El Volumen de Sistema Compartido (llamado Sysvol) contiene
scripts y objetos de política de grupo en los controladores de dominio de Windows 2000. La
Política de Grupo es el medio por el cual los administradores de Windows 2000 controlan los
escritorios de los usuarios, implementan aplicaciones automáticamente, y configuran los
derechos de los usuarios.

Dominios de Windows 2000


La estructura lógica del Active Directory se basa en unidades llamados Dominios. Aunque se
usa la misma terminología, los dominios en Windows 2000 funcionan de manera diferente a los
de Windows NT. Tanto en Windows NT como en Windows 2000, un dominio representa un
límite de seguridad y administrativo, así como una unidad de réplica. No obstante, Windows NT
usa una estructura de dominio plana, y Windows 2000 dispone los dominios en árboles de
dominio jerárquicos.

El concepto de árbol jerárquico funciona de manera diferente en Active Directory que en NDS.
NDS no divide la red en dominios. Las redes Windows 2000 pueden tener múltiples dominios,
organizados en árboles de dominio. Adicionalmente, a estos árboles pueden unírseles otros
árboles para formar bosques. La Figura muestra una estructura de dominio de Windows 2000
con dos árboles de dominio (con los dominios raíz shinder.net y tacteam.net) unidos en un
bosque. Un bosque es el término que usa Microsoft para llamar a una colección de los árboles
de un dominio enteramente diferente que se incluyen en la estructura jerárquica de Active
Directory.

Unidades de Organización (OUs) de Windows 2000


Active Directory, como NDS, usa Unidades de Organización (OUs) para organizar los recursos
dentro de los dominios. La autoridad administrativa puede delegarse a OUs individuales. Por el
contrario, el networking de NT permite la asignación de privilegios administrativos sólo al nivel
del dominio.

Active Directory y DNS


Active Directory usa convenciones de nombrado DNS y es dependiente de DNS para operar.
Debe haber un servidor DNS en cada red Windows 2000. Además, las actualizaciones de
información de la zona DNS puede integrarse con la replicación de Active Directory, que es
más eficiente que los métodos de actualización DNS tradicionales.

Windows 2000 soporta DNS Dinámico (DDNS), que permite la actualización automática de la
base de datos DNS.

Servidores Active Directory


Para usar Active Directory, al menos un servidor debe configurarse como Controlador de
Dominio (DC). Se recomienda que haya al menos dos DCs en cada dominio, para tolerancia de
fallos. Configurar el primer controlador de dominio en la red crea el directorio para ese dominio.

33
Módulo 5: Descripción general de los servicios de red

A diferencia de los servidores Windows NT, los Servidores Windows 2000 que ejecutan Active
Directory, no tienen un controlador de dominio principal (PDC) o controlador de dominio de
respaldo (BDC). En los dominios Windows NT, sólo el PDC contenía una copia completa de
lectura/escritura del directorio de cuentas de usuario e información de seguridad. El PDC
autenticaría los nombres de usuario y contraseñas cuando los miembros iniciaran sesión en la
red. El BDC mantendría una copia de respaldo de sólo lectura del directorio master del PDC y
por lo tanto cualquier cambio necesitaría efectuarse en el PDC. Los servidores Windows 2000
que ejecutan Active Directory toman el concepto de controlador de dominio de manera un tanto
diferente. A diferencia de Windows NT Server, donde un PDC debe ser accesible para efectuar
cambios en el directorio, Windows 2000 Server se basa en el modelo de replicación
multimaster de Active Directory para actualizar todos los controladores de dominio dentro del
Bosque cuando se hace un cambio en cualquier otro controlador de Dominio. No hay PDC o
BDC. Todos los controladores de dominio son iguales. Todos los Controladores de Dominio
contienen una copia de lectura/escritura de la partición del Active Directory. Esta información se
mantiene actualizada y sincronizada mediante el proceso de replicación. Este proceso se trata
en la siguiente sección de este capítulo.

Replicación del Active Directory


Replicación es el proceso de copiar datos de una computadora a una o más computadoras y
sincronizar esos datos para que sean idénticos en todos los sistemas.

Active Directory usa replicación multimaster para copiar información del directorio entre los
controladores de dominio de un dominio. Pueden efectuarse cambios en cualquier controlador
de dominio, y esos cambios luego se replican a los otros, excepto durante el desempeño de
una operación de master único.

Los administradores de Windows 2000 pueden establecer políticas de replicación que


determinen cuándo y cuán a menudo tiene lugar la replicación de directorios. Esto permite el
uso óptimo del ancho de banda de la red. Controlar el cronograma de replicaciones es
especialmente importante cuando los controladores de dominio están ubicados en lados
opuestos de un vínculo lento, como un vínculo WAN de 56K.

Seguridad de Active Directory


Cada objeto de Active Directory tiene una Lista de Control de Acceso (ACL) que contiene todos
los permisos de acceso asociados con ese objeto. Los permisos pueden ser explícitamente
permitidos o denegados, granularmente.

Existen dos tipos diferentes de permisos:

1. Permisos asignados Permisos explícitamente otorgados por un usuario autorizado.


2. Permisos heredados Permisos que se aplican a objetos hijos porque fueron
heredados de un objeto padre.

Los permisos pueden asignarse a un usuario individual o a un grupo de usuarios. Windows


2000 permite a los administradores controlar este proceso. Note el recuadro de verificación en
la parte inferior de la hoja de propiedades de seguridad del objeto en la Figura .

Compatibilidad de Active Directory


Active Directory depende del sistema operativo y se ejecuta sólo en servidores Windows 2000.
Puesto que Active Directorio es compatible con LDAP, puede accederse a los servicios y la
información o intercambiarse con otros servicios de directorio LDAP. Microsoft también
proporciona herramientas para migrar información desde otros directorios, como NDS, a Active
Directory.

34
Módulo 5: Descripción general de los servicios de red

5.3.4 Servicio de Información de Red (NIS)

35
Módulo 5: Descripción general de los servicios de red

Linux usa su propia versión de Servicios de Directorio llamada Servicio de Información de Red
(NIS). NIS proporciona un simple servicio de búsqueda que consiste en bases de datos y
procesos. NIS es un servicio que proporciona la información requerida en todas las máquinas
de la red. Hay soporte para NIS en la librería libc estándar de Linux, al que se denomina "NIS
tradicional". NIS, a diferencia de Active Directory de Windows, puede instalarse por defecto
cuando se instala el Sistema Operativo. No obstante, esta opción sólo está disponible en
determinadas distribuciones. NIS es un Daemon al que hay que cargar después de instalado el
sistema operativo. Configurar NIS en el sistema permitirá al Servidor Linux obtener información
acerca de cuentas de usuario, cuentas de grupo, sistemas de archivos, y otras bases de datos
ubicadas en otros servidores de toda la Red.

NIS funciona de manera muy similar para Linux, como NDS lo hace para Novell y Active
Directory lo hace para Windows. Un sistema que usa NIS podrá acceder a los archivos y a
información de cualquier sistema de la Red. Para establecer correctamente esta relación, NIS a
menudo trabajará en conjunción con el Sistema de Archivos de Red (NFS). NFS ejecutado en
Linux permite a un usuario montar sistemas de archivos que pueden ubicarse en cualquier
servidor de la Red a un directorio local del usuario.

La Estructura de NIS
En una configuración de NIS, la red consistirá en el servidor NIS, esclavos y clientes. El
servidor NIS es donde la base de datos de NIS se crea y mantiene. Los esclavos NIS actúan
igual que los servidores NDS actúan en Novell. Las bases de datos NIS se copian a todos los
servidores esclavos NIS. Los esclavos son entonces capaces de proporcionar información de
directorios NIS a los clientes, pero cualquier cambio efectuado a la base de datos debe llevarse
a cabo en el servidor NIS. Los clientes NIS son los sistemas que solicitarán información sobre
la base de datos de los servidores y esclavos. Los esclavos NIS llevan a cabo Equilibrio de la
Carga para los servidores NIS. La Figura muestra un ejemplo de la disposición lógica de una
topología NIS Linux.

Configuración de NIS en un Cliente


Si un usuario está configurando NIS durante la instalación de Linux, entonces todo lo que se
necesitará es seleccionar la opción cuando se presente. Luego el usuario tendrá que
seleccionar el nombre de dominio de NIS así como la dirección IP del servidor NIS. Es
importante notar que el nombre de dominio de NIS no es necesariamente el mismo que el
nombre de dominio DNS. Para configurar NIS después de instalar Linux, el usuario usa la
utilidad linuxconf para configurar un cliente NIS. La Figura muestra un ejemplo de la utilidad
linuxconf. En este punto, el usuario necesitará introducir el nombre de dominio NIS y la
dirección IP del servidor NIS.

yppassword e ypinit
El comando yppasswd cambia la contraseña de red asociada con el usuario username en la
base de datos del Servicio de Información de Red (NIS+). yppasswd pide la antigua contraseña
NIS, y luego la nueva. Se debe tipear la antigua contraseña correctamente para que el cambio
tenga efecto. No se recomienda el uso de yppasswd, ya que ahora es sólo un vínculo al
comando passwd, que es el que debería usarse en cambio. Usar passwd con la opción -r nis
logrará los mismos resultados, y será consistente en todos los servcios de nombre diferentes
disponibles. La contraseña de los Servicios de Información de Red (NIS) puede ser diferente de
una de su propia máquina. En esta instancia se utilizaría el comando yppasswd en lugar del
comando passwd. Los usuarios raíz de un servidor NIS pueden cambiar la contraseña de otro
usuario sin conocer la contraseña original del usuario. Para ello, el usuario Raíz introduce su
contraseña en lugar de la contraseña original del usuario. La yppasswd.

Tenga en cuenta que el daemon yppassword debe estar ejecutándose para que los usuarios
puedan usar el comando yppasswd. El daemon yppasswdd es un servidor que recibe y ejecuta
solicitudes de nuevas contraseñas del comando yppasswd. Estas solicitudes requieren el
daemon para verificar la antigua contraseña del usuario y cambiarla. El daemon cambia la
contraseña en el archivo que se especifica en el parámetro FileName, que tiene el mismo

36
Módulo 5: Descripción general de los servicios de red

formato que el archivo /etc/passwd. Para hacer posible la actualización del mapa de
contraseñas del Servicio de Información de Red (NIS) desde máquinas remotas, el daemon
yppasswdd debe ejecutarse en el servidor master que contiene el mapa de contraseñas NIS. El
daemon yppasswdd no se ejecuta por defecto, ni puede iniciarse desde el daemon inetd como
otros daemons Llamada de Procedimiento Remoto (RPC). El daemon yppasswdd puede
iniciarse y detenerse con los siguientes comandos Controlador de Recursos del Sistema
(SRC):

• startsrc -s yppasswdd
• stopsrc -s yppasswd

El comando ypinit configura mapas NIS en un servidor master de Servicios de Información de


Red (NIS) o servidor esclavo NIS. Sólo los usuarios con autoridad de usuario raíz pueden usar
el comando ypinit. La sintaxis de comandos para usar el comando ypinit es la siguiente:

• /usr/sbin/ypinit [ -o] [ -n ] [ -q] -m [ SlaveName ... ]


• /usr/sbin/ypinit -s MasterName

El primer comando se usa para configurar NIS en un Servidor Master NIS y el segundo
comando configurará NIS en un Servidor Esclavo NIS.

37
Módulo 5: Descripción general de los servicios de red

38
Módulo 5: Descripción general de los servicios de red

5.4 Otros Servicios de los NOS

5.4.1 Correo

El correo bien podría ser el más importante proceso de red de todos. El correo proporciona a
los usuarios un mecanismo para enviar y recibir correo electrónico (e-mail). Los servicios de
correo vienen en varias formas. A lo largo de los años, muchas compañías han desarrollado
métodos propietarios de intercambiar e-mail. Hoy, virtualmente todos los servicios de correo se
basan en TCP/IP o pueden al menos actuar como gateway entre los servicios de correo
propietarios y TCP/IP. La Figura representa cómo un cliente puede enviar correo a otro a
través de Internet usando servicios TCP/IP.

Es un error pensar que el correo se envía de la computadora de un usuario directamente a


otra. Aunque este caso es posible, sólo puede ocurrir si ambas PCs están actuando como
servidores de correo. La mayor parte del tiempo, el correo del emisor se envía a un servidor de
correo que pertenece a su ISP o a su empleador, no directamente al destino. El servidor de
correo luego envía el correo (de ser necesario) a un servidor usado por el destinatario.

Por ejemplo, María tipea un e-mail a john@foo.com. El programa de correo de María envía el
correo a un servidor de correo usado por María. Se trata en general de un servidor de correo
ejecutado por el ISP de María o su compañía. El servidor de correo intenta entonces enviar el
mensaje a un servidor de correo usado por John. El servidor de correo de María usa la
información que se encuentra después del símbolo @ de la dirección de John para determinar
dónde enviar el mensaje. En este caso, el servidor de María busca servidores de correo que
manejen correo para foo.com. Una vez que el mensaje llega al servidor de correo de foo.com,
espera ahí hasta que el programa de e-mail de John lo recupera.

Los servicios de correo están compuestos por una combinación de los siguientes
componentes:

• Mail Transfer Agent (MTA)


• Mail User Agent (MUA)
• Mail Delivery Agent (MDA)

Sendmail es el nombre del MTA más popular usado en servidores UNIX y Linux. Sendmail se
basa en el Protocolo de Transferencia de Mail Simple (SMTP) para recibir correo de clientes y
enviar correo a otros servidores de correo. SMTP es parte de la suite de protocolos TCP/IP.

Clientes de correo populares (MUAs) incluyen a Microsoft Outlook, Eudora, y Pine. Los MUAs
pueden componer y enviar correo a los MTAs, como Sendmail. Los clientes de correo envían
correo a servidores usando SMTP.

Un MDA es un programa que es responsable de enrutar correo recibido a las bandejas de


correo apropiadas en el servidor de correo. Algunos MDAs incluyen funciones de seguridad y
filtros que pueden evitar la dispersión de virus de e-mail.

El e-mail no se lee usualmente cuando un usuario ha iniciado sesión a una cuenta de shell en
el servidor de correo. En cambio, se usa software para recuperar el correo de una bandeja de
correo, que reside en el servidor. Para recuperar correo de un servidor de correo, los clientes
de correo remotos usan dos protocolos comunes:

• Post Office Protocol versión 3 (POP3)


• Internet Message Access Protocol (IMAP)

39
Módulo 5: Descripción general de los servicios de red

Post Office Protocol versión 3 (POP3)


Un protocolo simple usado por los clientes de correo para autenticar servidores de correo y
recuperar correo. POP3 no cifra nombres de usuario ni contraseñas, por lo cual puede ser un
riesgo de seguridad en algunas LANs.

Internet Message Access Protocol (IMAP)


Un protocolo complejo que normalmente resulta en una más alta sobrecarga del servidor que
POP3. IMAP puede cifrar contraseñas y tiene otras funciones. Las implementaciones de IMAP
están generalmente diseñadas para almacenar e-mail en el servidor de correo y permitir a los
usuarios acceder desde varios clientes.

Al implementar servicios de correo, recuerde que los clientes envían correo a los servidores
usando SMTP y recuperar correo de los servidores usando POP3 o IMAP.

Además, muchos servidores de correo incluyen otras funciones, incluyendo soporte para otras
actividades:

• Protocolo de Acceso a Directorio Liviano (LDAP) proporciona libreta de direcciones


corporativa compartida
• Programas de interfaz de web que permiten a los clientes leer y componer correo
usando un navegador web

No es necesario que cada NOS de una red ejecute el servicio de correo. En general, solamente
un servidor de una red es necesario para llevar a cabo deberes relacionados con el e-mail para
todos los usuarios. Este servidor ejecuta el servicio de correo en todo momento, y los usuarios
se conectan al servidor cuando envían y leen e-mail. La Figura es una actividad de arrastrar y
colocar sobre agentes de correo comunes.

40
Módulo 5: Descripción general de los servicios de red

5.4.2 Impresión

Aunque el mundo se dirige rápidamente a una era electrónica, aún existe necesidad de
impresiones físicas de datos. En redes grandes y en algunas pequeñas, es impráctico
proporcionar una impresora a cada estación de trabajo. La solución es proporcionar impresoras
en red para soportar a todos los usuarios dentro de una locación física. Por esta razón, los
administradores de red usan servicios de impresión para ayudar a administrar estas impresoras
de red y sus respectivas colas de impresión.

Cuando un usuario decide imprimir en un entorno de impresión en red, el trabajo se envía a la


cola apropiada para la impresora seleccionada. Las colas de impresión "apilan" los trabajos de
impresión entrantes y los sirven usando un orden "Primero en Entrar, Primero en Salir" (FIFO).
Es decir, cuando un trabajo se agrega a la cola, se lo coloca al final de la lista de trabajos en
espera y se lo imprime después de todos los trabajos anteriores a él. La espera para un trabajo

41
Módulo 5: Descripción general de los servicios de red

de impresión en ocasiones puede ser larga, dependiendo del tamaño de los trabajos de
impresión introducidos en la cola antes que él. De esta manera, un servicio de impresión en red
proporcionará a los administradores del sistema las herramientas necesarias para administrar
la gran cantidad de trabajos de impresión que se enrutan a lo largo de toda la red. Esto incluye
la capacidad de priorizar, hacer pausa, e incluso borrar trabajos de impresión que están
esperando para ser impresos. Los servicios de impresión usualmente se confinan a un entorno
de intranet local por razones de mantenimiento y capacidad administrativa. La Figura muestra
un ejemplo del administrador de trabajos de impresión para Windows 2000.

5.4.3 Archivos compartidos

La capacidad de compartir archivos mediante una red es un importante servicio de red. Existen
muchos protocolos y aplicaciones para compartir archivos en uso hoy. Dentro de una red
corporativa u hogareña, los archivos en general se comparten usando Windows File Sharing o
el protocolo Network File Sharing (NFS). En tales entornos, un usuario final puede ni siquiera
saber si un determinado archivo se encuentra en el disco rígido local o en un servidor remoto.
Windows File Sharing y NFS permiten a los usuarios mover, crear, y borrar archivos fácilmente
en directorios remotos.

En contraste a compartir archivos dentro de una red en el hogar o la oficina, compartir archivos
en Internet se efectúa a menudo usando el Protocolo de Transferencia de Archivos (FTP). FTP
es un protocolo cliente-servidor que requiere que los clientes inicien sesión antes de transferir
archivos. Los archivos siempre están disponibles con Windows File Sharing y NFS pero las
sesiones FTP se efectúan solamente en la duración de la transferencia de archivos. La mayoría
de los NOSs con capacidad TCP/IP incluyen servicios FTP, aunque los comandos soportados
por cada NOS pueden variar levemente.

Hoy, muchos usuarios finales comparten archivos usando protocolos peer-to-peer por Internet.
Gnutella es un ejemplo de protocolo de networking peer-to-peer. Los protocolos peer-to-peer

42
Módulo 5: Descripción general de los servicios de red

funcionan sin un servidor central. Cada host que participa en la red peer-to-peer es
considerado el igual del resto de los hosts. El networking peer-to-peer es popular entre los
usuarios hogareños, pero aún tiene que implementarse la tecnología como solución de negocio
difundida. Las redes peer-to-peer a menudo se basan en protocolos TCP/IP comunes para
compartir archivos. Por ejemplo, los peers Gnutella usan HTTP para descargar archivos de un
peer a otro. La Figura muestra un ejemplo de un dominio con los directorios y archivos
compartidos a los que puede accederse mediante una conexión peer-to-peer.

5.4.4 FTP (Transferencia de Archivos)

Muchas organizaciones hacen disponibles archivos a empleados remotos, clientes y al público


en general mediante el Protocolo de Transferencia de Archivos (FTP). Los servicios FTP se
hacen disponibles al público en conjunción con los servicios web. Por ejemplo, un usuario
puede navegar por un sitio web, leer acerca de una actualización de software en una página
web, y después descargar la actualización usando FTP. Compañías más pequeñas pueden
usar un único servidor para proporcionar servicios FTP y HTTP, mientras que compañías más
grandes pueden elegir usar servidores FTP dedicados. La Figura muestra un programa FTP
típico, que puede usarse para descargar archivos desde un servidor remoto.

Aunque los clientes FTP deben iniciar sesión, muchos servidores FTP se configuran para
permitir un acceso anónimo. Cuando los usuarios acceden a un servidor anónimamente, no
necesitan tener una cuenta de usuario en el sistema. El protocolo FTP también permite a los
usuarios cargar, renombrar, y borrar archivos, por lo cual los administradores deben tener
cuidado al configurar un servidor FTP de controlar niveles de acceso.

FTP es un protocolo orientado a la sesión. Los clientes deben abrir una sesión con el servidor,
autenticarse, y después llevar a cabo una acción como descargar o cargar. Si la sesión del
cliente está inactiva durante un cierto tiempo, el servidor desconecta al cliente. Este periodo

43
Módulo 5: Descripción general de los servicios de red

inactivo se denomina tiempo vencido por inactividad. La longitud de un tiempo vencido por
inactividad FTP varía dependiendo del software.

Las conexiones FTP se establecen mediante programas GUI o usando el siguiente comando
CLI estándar:

ftp nombre_host o dirección_IP

Ejemplos incluyen las siguientes situaciones:

ftp computadora.compañía.com
o
ftp 123.45.67.90

Los servicios FTP en general no son habilitados por defecto en los NOSs. Esto se hace para
evitar que los administradores inadvertidamente hagan disponibles para la descarga archivos
restringidos. Además, los programas de servidor FTP han sido históricamente un blanco de los
DoS y otros ataques maliciosos. Los atacantes que intentan evitar que usuarios legítimos
obtengan acceso a un servicio, como un servicio FTP, caracterizan un ataque DoS. Ejemplos
incluyen a:

• Intentos de inundar una red evitando el tráfico legítimo de la red


• Intentos de perturbar las conexiones entre dos máquinas evitando el acceso a un
servicio
• Intentos de evitar a un individuo en particular el acceso a un servicio
• Intentos de perturbar el servicio para un sistema o usuario específico

Un administrador de red deberá estar preparado para monitorear este tipo de actividad antes
de implementar un servicio FTP de alto perfil. La Figura muestra comandos FTP comunes.

Los Capítulos 9 y 10 describirán específicamente cómo configurar servicios FTP en Red Hat
Linux 7 y Windows 2000.

44
Módulo 5: Descripción general de los servicios de red

5.4.5 Servicios web

45
Módulo 5: Descripción general de los servicios de red

La World Wide Web es ahora el servicio de red más visible. En menos de una década, la World
Wide Web se ha convertido en una red global de información, comercio, educación y
entretenimiento. La Figura muestra un gráfico que representa el crecimiento exponencial de
Internet. Millones de compañías, organizaciones, e individuos mantienen sitios web en Internet.
Los sitios web son colecciones de páginas web almacenadas en un servidor o en un grupo de
servidores.

La World Wide Web se basa en un modelo cliente-servidor. Los clientes intentan establecer
sesiones TCP con servidores web. Una vez establecida una sesión, un cliente puede solicitar
datos al servidor. El Protocolo de Transferencia de Hipertexto (HTTP) gobierna en general las
solicitudes de los clientes y las transferencias de los servidores. Software cliente web incluye
navegadores web GUI, como Netscape Navigator e Internet Explorer. La Figura muestra un
ejemplo del navegador web Windows Explorer. Los clientes web también pueden ser
navegadores de texto. Un navegador de texto puede mostrar una red usando caracteres
tipográficos, pero no gráficos. Ejemplos de navegadores de texto incluyen a Lynx (usado en
sistemas UNIX/Linux) y navegadores web inalámbricos (en teléfonos celulares).

A principios de los '90, HTTP se usaba para transferir páginas estáticas compuestas de texto e
imágenes simples. Estas primeras páginas web estaban escritas casi exclusivamente usando
HyperText Markup Language (HTML). A medida que se desarrolló la World Wide Web, el rol de
HTTP se ha expandido. Los sitios web ahora usan HTTP para entregar contenido dinámico y
transferir archivos. Protocolo de Transferencia de Hipertexto Seguro (HTTPS) es una extensión
del protocolo HTTP que se usa para soportar datos enviados seguramente por Internet. HTTPS
está diseñado para enviar mensajes individuales con seguridad. Un ejemplo de Aplicación Web
que podría usar HTTPS es un banco que tiene sitios web para sus clientes que les permite
llevar a cabo transacciones financieras.

Las páginas web se hospedan en computadoras que ejecutan software de servicio web. Los
dos paquetes de software de servidor web más comunes son Microsoft Internet Information
Services (IIS) y Apache Web Server. Microsoft IIS sólo puede ejecutarse en una plataforma
Windows, mientras que Apache Web Server se usa en general en plataformas UNIX y Linux.
Existen docenas de otros programas de servidor web. Existe algún tipo de servicio web
disponibles para virtualmente todos los sistemas operativos actualmente en producción.

El uso más obvio de los servicios web es comunicarse usando Internet. Las compañías
publicitan y venden sus productos usando sitios web, las organizaciones hacen disponible
información, y las familias colocan fotos y diarios online para compartir con amigos. No
obstante, los servicios web también se usan en redes públicas o privadas para implementar
aplicaciones de computadoras, colaborar en proyectos, y administrar sistemas remotos. Las
siguientes secciones tratan redes World Wide Web privadas, llamadas Intranets, así como la
administración remota basada en la web. La Figura muestra un ejemplo del navegador web
Netscape Navigator.

46
Módulo 5: Descripción general de los servicios de red

47
Módulo 5: Descripción general de los servicios de red

5.4.6 Intranet

Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organización
puede implementar una red World Wide Web privada con una variedad de propósitos:

• Información interna, memorandos, e informes


• Directorios de personal y empleados
• Calendarios y cronogramas de citas
• Implementación de aplicaciones y software
• Información sobre nómina de pagos
• Servicios a los empleados
• Herramientas colaborativas

Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organización
puede implementar una red World Wide Web privada con una variedad de propósitos:

• Información interna, memorandos, e informes


• Directorios de personal y empleados
• Calendarios y cronogramas de citas
• Implementación de aplicaciones y software
• Información sobre nómina de pagos
• Servicios a los empleados
• Herramientas colaborativas

Las organizaciones en general no desean que tal información y servicios se hagan públicos en
Internet. En cambio, las organizaciones construyen servidores web para crear una intranet
privada. El prefijo en latín "inter" significa "entre", y así puede considerarse que la palabra

48
Módulo 5: Descripción general de los servicios de red

Internet significa literalmente "entre redes". Este significado literal tiene sentido, ya que Internet
proporciona una forma de interconectar diferentes redes de computadoras de todo el mundo.
La Figura proporciona un ejemplo de representación lógica de una Intranet. Existen varias
redes ubicadas en todo el mundo que están conectadas y usan su propia Intranet para
intercambiar información y mostrar páginas web, que es una alternativa mucho más segura a
mostrarlas en la Internet externa. El prefijo en latín "intra" significa "dentro", por lo tanto una
intranet es una red dentro de alguna frontera o límite.

Las intranets usan la misma tecnología usada por Internet, incluyendo HTTP sobre TCP/IP,
servidores web y clientes web. La diferencia entre una intranet e Internet es que las intranets
no permiten el acceso público a servidores privados.

Una forma de construir intranets es configurarlas para que sólo los usuarios en el sitio puedan
acceder a los servidores de intranet. Esto se logra en general usando un firewall Internet.

No obstante, puesto que muchos empleados trabajan en su casa o de viaje, las organizaciones
han hallado formas de extender las intranets más allá de las fronteras geográficas del edificio o
campus de la oficina. Este tipo de intranet, que permite a los usuarios de afuera conectarse a
los servidores web privados, a veces se llama Extranet.

Las extranets se configuran para permitir a los empleados y clientes acceder a la red privada
por Internet. Para evitar un acceso no autorizado a la red privada, los diseñadores de la
extranet deben usar una tecnología tal como un networking privado virtual. La Figura
proporciona un ejemplo de representación lógica de cómo se establece un Túnel Virtual
mediante Internet para proporcionar una conexión remota segura a la red interna de una
compañía. Una red privada virtual (VPN) hace posible para los empleados usar un cliente web
conectado a Internet para acceder a la red privada de manera segura. Las VPNs se basan en
software de cifrado, nombres de usuario, y contraseñas para asegurar que la comunicación
tenga lugar privadamente, y sólo entre usuarios autorizados. La Figura ilustra cómo una VPN
también puede usarse como un medio seguro de transferir datos de manera segura a otra
sucursal remota usando Internet como medio de transporte.

49
Módulo 5: Descripción general de los servicios de red

50
Módulo 5: Descripción general de los servicios de red

5.4.7 Extranet

Las extranets son una tecnología emergente que muchas de las más grandes corporaciones
del mundo están comenzando a construir. Proporcionan un medio de incluir al mundo exterior,
como clientes y proveedores, así como un medio de obtener valiosa investigación del mercado.
Por ejemplo, una intranet de una compañía puede estar vinculada a su sitio web externo (o
extranet). Esto les puede permitir obtener información acerca de un cliente que navega por su
sitio web. La información incluiría dónde están mirando en el sitio, qué productos toman como
muestra, qué procesos producen solicitudes de soporte técnico, o qué repuestos están
comprando. Las extranets son intranets llevadas al siguiente paso. Una intranet abarca la
compañía, mientras que la extranet puede abarcar el mundo. Las extranets pueden particionar
y separar datos de la compañía contenidos en la intranet de la compañía de los servicios web
ofrecidos al mundo mediante Internet. Unas pocas ventajas de una extranet para una compañía
podría ser el e-mail y los programas compartidos. Puede extender las capacidades de la
compañía para proporcionar soporte al cliente, así como e-commerce y ventas online. Uno de
los peligros obvios de las extranets es la seguridad, no obstante es posible proporcionar
seguridad con firewalls y contraseñas cifradas. Esto no garantiza que una extranet sea segura.
La Figura delinea algunos de los diversos tipos de redes que han sido tratados.

51
Módulo 5: Descripción general de los servicios de red

5.4.8 Tareas automatizadas con servicios de scripts

El software NOS moderno proporciona a los administradores de sistemas y usuarios muchas


herramientas incorporadas y funciones automatizadas para incrementar la productividad. A
veces estas funciones y comandos no son suficientes para llevar a cabo ciertas tareas
eficientemente. Por esta razón, la mayoría de los NOSs incluyen soporte para "scripts". Un
script es un programa de texto simple que permite al usuario llevar a cabo muchas tareas
automatizadas a la vez. Dependiendo de su diseño, los scripts pueden ir desde líneas únicas
de código a largas cantidades de lógica de programación.

Se considera que los scripts son mucho más simples que los programas y aplicaciones
estándar que se encuentran en un NOS. El sistema operativo procesa secuencialmente las
líneas de código de un archivo script cada vez que se ejecuta el archivo. La mayoría de los
scripts están diseñados para ejecutarse desde la parte superior del archivo hasta la inferior sin
requerir ninguna entrada del usuario. Este proceso es bastante diferente a los programas
regulares, donde las líneas de código se compilan en archivos ejecutables, y la interacción del
usuario típicamente juega un rol fundamental. No obstante, el usuario o administrador de
sistemas promedio no tiene tiempo de desarrollar aplicaciones tan complejas y a menudo no
tiene necesidad de la potencia de programación adicional que proporcionan. Los scripts
proporcionan un buen terreno medio, ofreciendo la capacidad de usar lógica de programación
estándar para ejecutar tareas simples y no interactivas.

Existen muchos lenguajes de scripting diferentes, y cada uno ofrece sus propias ventajas al
usuario:

• Visual Basic script (VBScript) Un lenguaje de scripting de Microsoft muy popular


basado en el lenguaje de programación Visual Basic. VBScript se considera fácil de
aprender y es ampliamente usado en Windows 2000.

52
Módulo 5: Descripción general de los servicios de red

• JavaScript Otro lenguaje de scripting popular basado en el lenguaje de programación


Java. JavaScript se usa más a menudo en páginas web, permitiendo a un navegador
web ejecutar el script y proporcionar a los usuarios de la web más funcionalidades.
• Linux shell scripting Específico del NOS Linux, estos scripts de shell consisten en
muchos comandos Linux y lógica de programación para llevar a cabo una serie de
comandos a la vez.
• Perl, PHP, TCL, REXX, y Python Existen muchos otros lenguajes de scripting con
varios grados de dificultad y propósitos. La mayoría de los usuarios no son expertos en
tales lenguajes y en cambio se concentran en aprender sólo aquéllos que mejor sirven
a sus necesidades.

Aunque difieran en funcionalidad y sintaxis, estos lenguajes de scripting proporcionan a los


usuarios las herramientas necesarias para personalizar el NOS. Los NOSs ahora soportan
típicamente varios de estos diferentes lenguajes de scripting y proporcionan a los usuarios
flexibilidad para determinar qué lenguaje de scripting implementar.

Soluciones en Script
La mayoría de los usuarios de NOS promedio no crearán ni ejecutarán sus propios scripts. La
mayor parte del scripting es llevado a cabo por administradores de sistemas y usuarios
experimentados que se sienten cómodos con los conceptos de programación. Tienden a
construir tales scripts con el propósito de automatizar tareas específicas mediante la ejecución
de un único archivo script. Estos archivos script pueden luego programarse para que se
ejecuten a una hora determinada, cuando ocurre un evento, o para ser ejecutados
manualmente por el usuario. Los siguientes ejemplos demuestran casos comunes donde los
scripts son una solución apropiada:

• Iniciar sesión en el NOS Un administrador de sistemas puede usar scripts para


efectuar tareas adicionales cuando los usuarios inician sesión en la red. Éstas incluyen
configuraciones por defecto, inicialización de servicios, y conexión a otra unidades de
red, dispositivos e impresoras.
• Imprimir mensajes en la pantalla A menudo se crean scripts personalizados que
muestran mensajes a los usuarios de una red. Estos mensajes típicamente notifican a
los usuarios de eventos tales como la llegada de nuevo correo, el estado de un trabajo
de impresión, o el apagado de un servidor de red.
• Instalar software Un proceso común de instalación de software requiere
administradores de sistema que seleccionen y confirmen muchas opciones. Pueden
crearse scripts para automatizar este proceso y reducir la cantidad de tiempo necesario
para instalar el software en incontables PCs a lo largo de una red.
• Automatizar comandos complicados Algunas tareas muchas veces involucran una
serie de comandos complicados que debe repetirse muy a menudo. Para simplificar
este proceso, se crean scripts que contienen todos estos comandos, permitiendo así al
usuario ejecutar sólo el archivo script y llevar a cabo todas las tareas automáticamente.

Escribir un script en Windows 2000 y Linux se tratará en el Capítulo 10. La Figura delinea
algunos de los más importantes lenguajes de programación que se usan en algunos de los
sistemas operativos más importantes tratados en este curso.

53
Módulo 5: Descripción general de los servicios de red

5.4.9 Servicio de Nombre de Dominio (DNS)

El protocolo Servicio de Nombre de Dominio (DNS) traduce un nombre de Internet (como


www.cisco.com, por ejemplo) a dirección IP. Muchas aplicaciones se basan en los servicios de
directorio proporcionados por DNS para hacer su trabajo. Los navegadores web, programas de
e-mail, y programas de transferencia de archivos usan todos ellos los nombres de sistemas
remotos. El protocolo DNS permite a estos clientes hacer solicitudes a servidores DNS en la
red para la traducción de nombres a direcciones IP. (Ver Figura ). Las aplicaciones pueden
luego usar las direcciones para enviar sus mensajes. Sin este servicio de búsqueda de
directorio, Internet sería casi imposible de usar.

Nombres de host
Los nombres de host y los servicios DNS que los sistemas informáticos ejecutan están todos
relacionados. El nombre de Internet que el DNS resuelve a la dirección IP también se
denomina nombre de host. Para los sistemas informáticos es más fácil trabajar con números,
por lo que las computadoras pueden muy fácil y rápidamente distinguir entre diferentes
computadoras y localizar diferentes computadoras usando una dirección IP binaria. Es un
proceso mucho más difícil para los seres humanos poder hacer esto. Ésta es la razón por la
cual los nombres de host se resuelven a direcciones IP mediante los servicios DNS. Por
ejemplo, si a un usuario se le dieran dos direcciones IP para dos computadoras, como
192.168.1.5 y 168.5.59.7, sería difícil distinguir a qué sistema informático representaran estas
direcciones IP. Especialmente si los servicios DHCP estuvieran habilitados lo que significa que
la dirección IP podría cambiar por momentos. Sería imposible para un administrador de sistema
o los usuarios finales mantener el rastro. Por otro lado, si el administrador del sistema o los
usuarios finales pudieran encontrar esta computadora usando un nombre de host como
fileserver_A o fileserver_B por ejemplo, el usuario podría distinguir muy fácil y rápidamente
entre sistemas informáticos. Los nombres de host también hacen fácil el localizar sistemas
específicos como servidores web o servidores FTP en Internet porque es mucho más fácil
recordar un nombre que una dirección IP.

54
Módulo 5: Descripción general de los servicios de red

Existen unas pocas reglas que es importante conocer respecto a los nombres de host. Los
nombres de host se componen de dos partes, de manera similar a como una dirección IP se
compone de dos partes. La primera parte del nombre de host se llama Nombre de la Máquina y
la segunda parte se llama Nombre de Dominio. El nombre de la máquina se refiere a la
computadora real mientras que el nombre de dominio se refiere a la colección de
computadoras a la cual pertenece la computadora específica. Los nombres de dominio son
únicos y son nombres registrados para su uso por parte de individuos, pequeños negocios y
corporaciones, que pueden asignar los nombres de máquina a sistemas dentro del dominio y
vincular esos nombres de máquina a direcciones IP.

Para comprender cómo funciona este proceso entre nombres de máquina y nombres de
dominio, es necesario comprender la estructura jerárquica de los dominios de Internet. La
estructura está compuesta de Dominios de Nivel Superior (TLDs), que se consideran la parte
superior del "árbol-dominio". Ejemplos de TLDs son cosas como .com, .edu, .gov, o .mil, por
ejemplo. Los usuarios estarán probablemente familiarizados con estos nombres si alguna vez
han estado en Internet. Dentro de cada TLD hay diversos nombres de dominio registrados que
representan a individuos específicos, pequeños negocios, corporaciones y organizaciones
como cisco.com o linux.com por ejemplo. Estos dominios aún se dividen en subdominios más
pequeños dentro del dominio como SanJose.Cisco.com o Phoenix.Cisco.com por ejemplo. La
estructura de dominio y subdominio representa agrupaciones lógicas de computadoras dentro
de las compañías u organizaciones. Incluso los subdominios pueden dividirse en subdominios
más pequeños.

Los nombres de host usualmente son asignados por administradores de sistema o tendrán
convenciones de nombrado especificadas que se usan para identificar las computadoras según
quién las usa, para qué se las usa, o en qué departamento se encuentran. El administrador del
sistema usualmente hace esta convención de nombrado de modo tal que cada computadora
del dominio pueda ser fácilmente identificada. Por esta razón es muy raro que cualquier
computadora de una red que es parte del dominio tenga sus nombres de host configurados por
el usuario. Existen algunas instancias que, si se está usando DHCP, los nombres de host
pueden asignarse automáticamente. No obstante, estos no se hace por lo general ya que los
nombres de host son usualmente controlados por el administrador del sistema y deben
configurarse manualmente.

Configuración de Servicios DNS Básicos para Linux


Tratar todo lo involucrado en configurar su sistema Linux como servidor DNS iría más allá del
alcance de este curso. Esta sección tratará en cambio algunos de los archivos y pasos básicos
involucrados en la configuración de servicios DNS.

Según se explicó al principio de la sección, el Sistema de Nombres de Dominio (DNS) es la


forma en la cual una dirección IP se resuelve a un URL o nombre de dominio como
www.google.com para asignar un nombre fácilmente localizado, administrado y recordado a
una dirección IP arbitrariamente numérica.

BIND es una sigla para el proyecto "Berkeley Internet Name Domain" que mantiene a la suite
de software relacionada con DNS que se ejecuta bajo Linux. El programa mejor conocido en
BIND es "named", el daemon que responde a las consultas DNS desde máquinas remotas.
Una vez que BIND ha sido instalado, la primera cosa que hacer sería iniciar el BIND de la
siguiente manera:

# /etc/init.d/named start

Para configurar BIND para que se inicie automáticamente cuando el servidor arranca use el
siguiente comando:

# chkconfig --level 35 named on

55
Módulo 5: Descripción general de los servicios de red

El archivo /etc/resolv.conf es usado por clientes DNS (servidores que no ejecutan BIND) para
determinar tanto la ubicación de su servidor DNS como los dominios a los cuales pertenecen.
En general tiene dos columnas, la primera contiene una palabra clave y la segunda contiene el
o los valor(es) deseado(s) separados por comas. Una lista de las palabras clave se muestra en
la Figura .

La configuración DNS principal se guarda en el archivo /etc/named.conf que se usa para


decirle a BIND dónde encontrar los archivos de configuración para cada dominio que posee.
Por lo general hay dos zonas en este archivo:

• Definiciones del archivo de la zona hacia delante que enumera los archivos para
mapear dominios a direcciones IP
• Definiciones del archivo de la zona en reversa que enumera los archivos para mapear
direcciones IP a dominios

El archivo /etc/hosts enumera el nombre y la dirección IP de los hosts locales. Su servidor en


general verificará este archivo antes de hacer referencia a DNS, si el nombre se encuentra
entonces DNS no será consultado. Desgraciadamente, si la dirección IP de ese host cambia,
tendrá que actualizarse el archivo. Para que sea fácil la administración, lo mejor es limitar las
entradas en este archivo sólo a la interfaz loopback, y también al nombre de host local. El
archivo /etc/hosts tiene el siguiente formato:

dirección-ip nombre-dominio-totalmente-calificado alias1 alias2 alias3 etc

dig
La utilidad dig (buscador de información de dominio) es una flexible herramienta para interrogar
servidores de nombre DNS. Lleva a cabo búsquedas DNS y muestra las respuestas que son
devueltas por el o los servidor(es) de nombre que fueron consultado(s). La mayoría de los
administradores de DNS usan dig para detectar y solucionar problemas de DNS a causa de su
flexibilidad, facilidad de uso y claridad de resultados. Otras herramientas de búsquedas tienden
a tener menos funcionalidad que dig. A menos que se le indique que consulte un servidor de
nombre específico, dig probará cada uno de los servidores enumerados en /etc/resolv.conf.

Un ejemplo del uso del comando dig es el que sigue:

# dig servidor nombre tipo

• servidor El nombre o dirección IP del servidor de nombre a consultar. Ésta puede ser
una dirección IPv4 en notación decimal de punto o una dirección IPv6 en notación
delimitada por dos puntos. Cuando el argumento del servidor proporcionado es un
nombre de host, dig resuelve ese nombre antes de consultar al servidor de nombre. Si
no se proporciona ningún argumento de servidor, dig consulta /etc/resolv.conf y
consulta los servidores de nombre enumerados ahí. La respuesta del servidor de
nombre se muestra.
• nombre El nombre del registro de recursos donde hay que buscar.
• tipo Indica qué tipo de consulta se requiere - ANY, A, MX, SIG, etc. tipo puede ser
cualquier tipo de consulta válido. Si no se proporciona ningún argumento tipo, dig
llevará a cabo una búsqueda de un registro A.

56
Módulo 5: Descripción general de los servicios de red

5.4.10 DHCP

57
Módulo 5: Descripción general de los servicios de red

El propósito del Protocolo de Configuración Dinámica del Host (DHCP) es habilitar


computadoras individuales en una red IP para extraer sus configuraciones del servidor o los
servidores DHCP. Estos servidores DHCP no tienen información exacta acerca de las
computadoras individuales hasta que no se solicita información. El propósito general de esto es
reducir el trabajo necesario para administrar una red IP grande. La más significativa pieza de
información distribuida de esta manera es la dirección IP que identifica al host en la red. DHCP
también permite la recuperación y la capacidad de renovar automáticamente las direcciones IP
de red mediante un mecanismo de préstamo. Este mecanismo adjudica una dirección IP para
un periodo específico, la libera y luego asigna una nueva dirección IP. DHCP permite que todo
esto lo haga un servidor DHCP que ahorra al administrador del sistema considerables
cantidades de tiempo.

Linux tiene la capacidad de usar cualquiera de tres clientes DHCP, pump, dhclient o dhcpd. No
todas las distribuciones de Linux contendrán a los tres. Algunas tendrán los tres, algunas
solamente dos, y otras solamente uno. No obstante, todas las distribuciones tienen un cliente
DHCP por defecto que se usa, si el usuario eligió la opción de usar DHCP durante el proceso
de instalación. Las distribuciones que vienen con varios clientes DHCP permiten
intercambiarlos quitando el viejo paquete y simplemente instalando el nuevo.

El cliente DHCP Linux inicia cuando se arranca el sistema. La información de configuración se


almacena en un archivo de inicio llamado Network o Networking. En este archivo se ubica una
línea de texto que indicó si ejecutar o no el cliente DHCP. La línea de texto puede verse a
continuación:

BOOTPROTO="dhcp"

La distribución Red Hat de Linux almacena esta información en el archivo


/etc/sysconfig/network-scripts/ifcfg-eth0. Borrando el "dhcp" en la línea de texto de más arriba,
se detendrán los servicios DHCP.

Configuración de Servicios DHCP Básicos para Linux


Tratar todo lo involucrado en configurar su sistema Linux como servidor DHCP iría más allá del
alcance de este curso. Esta sección tratará en cambio algunos de los archivos y pasos básicos
involucrados en la configuración de los servicios DHCP.

Cuando DHCP inicia, lee el archivo /etc/dhcp.conf. Usa los comandos que hay aquí para
configurar su red. Normalmente puede encontrarse una copia de muestra de dhcpd.conf en el
siguiente directorio que siempre puede usarse como guía.

/usr/share/doc/dhcp- <número-versión> /dhcpd.conf

Antes de iniciar el servidor DHCP por primera vez, fallará a menos que haya un archivo
dhcpd.leases existente. Use el siguiente comando para crear el archivo si no existe.

# touch /var/lib/dhcp/dhcpd. leases

Una vez que el daemon DHCP se ha instalado, lo primero que hacer sería iniciar DHCP de la
siguiente manera:

# /etc/init.d/dhcpd start

Para configurar dhcpd para que inicie automáticamente cuando el servidor arranca, use el
siguiente comando:

# chkconfig --level 35 dhcpd on

58
Módulo 5: Descripción general de los servicios de red

5.4.11 Dominios

Un dominio es una agrupación lógica de computadoras en red que comparten un directorio o


base de datos central. El directorio o base de datos se instala en computadoras llamadas
Servidores. Un servidor usualmente administra todas las interacciones entre dominios
relacionadas con la seguridad y con los usuarios. También proporciona un lugar centralizado
desde el cual administrar estos servicios.

El concepto de dominio no incluye simplemente computadoras que están unas junto a otras, o
en una locación específica, o incluso en la misma LAN, aunque puede. También puede incluir
computadoras y servidores ubicados en diferentes locaciones en el mundo que pueden
comunicarse entre sí con diversos tipos de conexiones para mantener una base de datos
sincronizada. La idea de dominio no es física, sino más bien una agrupación lógica de
computadoras y servidores de la compañía (ver Figura ). Los dominios tienen varias ventajas:

• Administración centralizada ya que toda la información de los usuarios se almacena


centralmente.
• Un único proceso de inicio de sesión que habilita a los usuarios a acceder a recursos
de la red, como recursos de archivos, impresión y aplicaciones así como especificar
permisos que controlen quién puede y quién no puede acceder a estos servicios.
• Un dominio proporciona la capacidad de expandir una red hasta tamaños
extremadamente grandes en cada rincón del mundo.

59
Módulo 5: Descripción general de los servicios de red

Resumen

Este capítulo trató los servicios de red. Algunos de los conceptos importantes a retener de él
son los siguientes:

• La administración remota permite a un administrador acceder a una base de datos de


archivos de un sistema, ejecutar diversos programas, o incluso descargar información o
archivos de otra habitación, otra ciudad, u otro país.
• Varias aplicaciones y protocolos pueden usarse para administrar remotamente un
servidor de red. El método más común de administración remota es la emulación de
terminal.
• Mientras que Novell NDS funciona como servicio que trabaja con el NOS, Microsoft
Active Directory funciona como aplicación profundamente integrada al sistema
operativo.
• Linux usa otra versión de Servicio de Directorio llamada Servicio de Información de la
Red (NIS). NIS proporciona un servicio de búsqueda en la red simple que consiste en
bases de datos y procesos.
• La World Wide Web es ahora el servicio de red más visible. Una intranet no permite el
acceso público a servidores privados. Es específica de una compañía individual. Una
Extranet es una tecnología emergente que combina lo mejor de Internet y una intranet.

Las computadoras con NOS asumen roles especializados para lograr un acceso concurrente a
recursos compartidos. El siguiente capítulo trata las características de los NOSs.

60