Está en la página 1de 211

Administracin de Sistemas Operativos de Red

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 3

NDICE
Presentacin Red de contenidos Unidad de aprendizaje 1 Implementacin del servicio FTP y RRAS TEMA 1 TEMA 2 TEMA 3 : Servicio FTP. : Servicio RRAS. : Traduccin de Direccin de Red. 7 15 31 5 6

Unidad de aprendizaje 2 Redes Virtuales Privadas TEMA 4 : Redes Virtuales Privadas. 37

Unidad de aprendizaje 3 Suite IPSec TEMA 5 : IPSec. 57

Unidad de aprendizaje 4 Fundamentos de Seguridad de Red TEMA 6 TEMA 7 TEMA 8 TEMA 9 : Implementacin de seguridad con GPOAccelerator. : Implementacin de Microsoft Baseline Security Analyzer. : Asegurando los servidores Web. : Administracin de Windows Server Update Service. 100 112 120 147

Unidad de aprendizaje 5 Terminal Server TEMA 10 : Concepto de Terminal Server. 178

Unidad de aprendizaje 6 Administracin Avanzada del Directorio Activo TEMA 11 TEMA 12 : Servidor RODC. : Introduccin a Windows Server Core. 184 195

CIBERTEC

CARRERAS PROFESIONALES

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 5

PRESENTACIN

Sistemas Operativos es un curso que pertenece a la lnea de infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. Brinda un conjunto de conocimientos tericos y prcticos que permite a los alumnos administrar la plataforma Windows Server 2008. El manual para el curso ha sido diseado bajo la modalidad de unidades de aprendizaje, las que se desarrollan durante semanas determinadas. En cada una de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades que deber desarrollar en cada sesin, que le permitirn reforzar lo aprendido en la clase.

El curso es, eminentemente, prctico: construido como un instrumento de trabajo. Por ello, la participacin activa de los alumnos es fundamental durante el desarrollo de este curso, a fin de obtener la experiencia, prctica y suficiencia terica que se necesita para un eficiente desenvolvimiento profesional. Por lo mismo, contar con el apoyo y gua de su profesor, quien lo acompaar en el desarrollo del presente manual.

CIBERTEC

CARRERAS PROFESIONALES

RED DE CONTENIDOS
Sistemas Operativos

Implementacin del Servicio FTP y RRAS

Acceso Remoto y Seguridad de la Red

Proteger el Trfico de Red mediante IPSec

Servicio RRAS Servicio FTP

NAT

Redes Privadas Virtuales

IPSec

Sistemas Operativos

Fundamentos de Seguridad de Red

Terminal Server

Administracin Avanzada del Directorio Activo

Administracin de WSUS

Implementacin de Seguridad GPOAccelerator

Implementacin de MBSA

Asegurando Servidores Web

Terminal Server

Servidor RODC

Servidor Core

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 7

UNIDAD DE APRENDIZAJE

1
TEMA

1
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, podrn implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. Al trmino de la unidad, los alumnos, podrn transferir archivos, implementar ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO
Servicio FTP. Servicio RRAS. Traduccin de Direcciones de Red.

ACTIVIDADES PROPUESTAS
Los alumnos eligen que tipo de servidor FTP deben implementar en la red. Los alumnos configuran el Servidor FTP annimo y autentificado. Los alumnos descargan archivos desde el Servidor SFTP usando clientes FTPs.

CIBERTEC

CARRERAS PROFESIONALES

1.

SERVICIO FTP
1.1 WINDOWS 2008 FTP SERVER Este servidor FTP trabaja usando el protocolo FTP, que forma parte del pila TCP/IP, diseado para transferir archivos entre dos computadores en Internet. Ambos computadores deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP, que ejecuta el servicio FTP. Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del servidor FTP, copiar o enviar archivos al servidor FTP. Un servidor FTP se asemeja a un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con l mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las pginas Web; slo enva y recibe los archivos a los equipos remotos. Puede configurar Internet Information Services (IIS) para funcionar como un servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que acte como un servidor FTP si est alojando sitios Web en el equipo y desea que usuarios remotos puedan actualizar el contenido de sus Sitios Webs. 1.2 TIPOS DE ACCESO AL SERVIDOR FTP 1.2.1 Servidor FTP annimo Los Servidores FTP annimos le permiten al usuario ingresar al servidor FTP sin tener una cuenta creada en el servidor, ni contrasea que lo identifiquen. Usualmente, el nombre de usuario para conectarse de forma annima es "anonymous". Los servidores FTP annimos ofrecen sus servicios, de forma libre, a cualquier usuario, sin necesidad de una cuenta de usuario. Es una forma cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el administrador deba crear cuentas para cada uno. En general, entrar a un servidor FTP de forma annima tiene ciertas limitaciones (menos privilegios) que un usuario normal. Por ejemplo, slo se pueden descargar archivos, y no se puede subir o modificar archivos. 1.2.2 Servidor FTP autenticado. El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir archivos hacia el servidor para luego, hacerlos pblicos o privados. Por ejemplo, si queremos actualizar pginas webs de un Sitio Web, habra que enviarlas usando el servicio FTP. Pero, por otro lado, no nos gustara que cualquiera pudiese acceder a ellas para cambiarlas o eliminarlas. Por

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 9

eso el FTP autenticado, solo permite el acceso por medio de un usuario y contrasea. 1.3 TIPOS DE MODOS DEL SITIO FTP IIS introduce 3 modos para sitio FTP: 1.3.1 Modo de usuario sin aislamiento No asla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en todas las versiones anteriores de IIS. 1.3.2 Modo de usuario con aislamiento Este modo autentifica a los usuarios contra cuentas locales o de dominio para que puedan tener acceso al directorio principal que coincide con su nombre de usuario. Todos los directorios particulares de los usuarios se encuentran debajo de un directorio raz nico FTP donde se coloca y donde se limita cada usuario a su directorio particular. A los usuarios no se les permite desplazarse fuera de su directorio particular. 1.3.3 Modo de usuario con aislamiento integrado con el Directorio Activo Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de usuario contra un contenedor correspondiente del Directorio Activo, se requiere grandes cantidades de tiempo y de procesamiento.

2. FTP SERVER SOBRE SSL


Microsoft ha creado un nuevo Servicio FTP que ha sido completamente reescrito para Windows Server 2008. Este Servicio FTP incorpora varias nuevas caractersticas que permiten a los administradores publicar el contenido mucho mejor que antes y ofrece mayor seguridad para los administradores. Una de las caractersticas es FTP sobre Secure Sockets Layer (SSL), que permite sesiones encriptadas entre el cliente FTP y el Servidor. En este tema vera como instalar el Servidor FTP, Configurar el Site FTP, Configurar el Site para usar SSL con la nueva herramienta administrativa IIS 7.0 Services manager.

3. INSTALACIN DEL SERVIDOR FTP 7.5


3.1. Instale IIS 7.0 y la consola Internet Information Services Manager. 3.2 Descargue e instale el nuevo Servicio FTP desde http://www.iis.net

4. CONFIGURACIN DEL SERVIDOR FTP 7.5 CON AISLAMIENTO DE USUARIO SOBRE SSL.
4.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS 1. Ejecute desde el smbolo del sistema el siguiente comando: net user /add jurbina P@ssw0rd net user /add dmartinez P@ssw0rd

CIBERTEC

CARRERAS PROFESIONALES

10

4.2 CREA LA SIGUIENTE ESTRUCTURA DE DIRECTORIOS

4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL. 1. Inicie Internet Information Services 7.0 Manager.

2. Seleccione el servidor, luego haga 2 clics en Server Certificates, del men Actions seleccione la opcin Create Self-Signed CertificateSites. 3. En la ventana Specify Friendly Name escriba el nombre del certificado srv- nps-01 y luego clic en Ok 4.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 MANAGER. 1. Inicie Internet Information Services 7.0 Manager.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 11

2. Despliegue el nodo del servidor, seleccione Sites, haga clic-derecho sobre Add FTP Site.

3. En la ventana Site Information escriba el nombre del FTP Site name y ubique el directorio FTP_Site, luego clic en Next.

4. En la ventana Binding and SSL Settings, seleccione Allow SSL, en la opcin SSL Certificate:, seleccione srv-nps-01 y luego clic en Next. 5. En la ventana Authentication and Authorization Information, seleccione Authentication Basic y en Authorization seleccione All Users con los permisos de Lectura y Escritura , luego clic en Finish. 4.5 Configura el aislamiento de usuario y la autorizacin de acceso para los usuarios Juan Urbina y Daniel Martinez. 1. Seleccione el Site FTP Contoso, en el panel de la derecha haga 2 clics en FTP User Isolation y configure las opciones que ve en la imagen.

CIBERTEC

CARRERAS PROFESIONALES

12

2. Seleccione el directorio FTP de jurbina y luego clic en FTP Authorization Rules, seleccione la regla y haga clic en Edit. 3. En la ventana Edit Allow Authorization Rule, seleccione Specified users y escriba jurbina. Haga el mismo procedimiento para el usuario dmartinez.

5. CONFIGURACIN DEL CLIENTE FTP FiLeZiLLA 1. Ejecute el programa FileZilla, haga clic en el men File, seleccione Site Manager, en la ventana Site Manager, haga clic en New Site y escribe jurbina. 2. Configure los siguientes datos:
Host: srv-nps-01 Servertype: FTPES FTP over explicit TLS/SSL User: jurbina Password: P@ssw0rd

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 13

3. Haga clic en Connect y acepte el certificado digital.

CIBERTEC

CARRERAS PROFESIONALES

14

Resumen
El Servidor FTP permite que los usuarios puedan transmitir de forma rpida informacin a travs de la Internet. El servidor FTP annimo solo permite la descarga de archivos. El Servidor FTP autenticado permite la descarga y envio de archivos. El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con aislamiento integrado al Directorio Activo. Los clientes FTPs pueden ser de modo grfico o texto. Para establecer una conexin con el Servidor FTP desde el smbolo del Sistema escribe FTP Direccin_IP. Para implementar el Servidor FTP sobre SSL debe actualizar el IIS 7.0 a la versin IIS 7.5 El Servidor FTP sobre SSL solo soporta clientes FTP de entorno grfico.

Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://support.microsoft.com/kb/555018/en-us En esta pgina, hallar informacin de los modos de aislamiento que soporta el Servidor FTP. http://es.wikipedia.org/wiki/FTPS En esta pgina, hallar informacin de los tipos ms comunes de FTP/SSL.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 15

UNIDAD DE APRENDIZAJE

1
TEMA

2
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos podrn implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. Al trmino de la unidad, los alumnos podrn transferir archivos, implementar ruteo dentro de la red y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO
Windows 2008 FTP Server. Fundamentos del Servicio RRAS. Introduccin a NAT.

ACTIVIDADES PROPUESTAS
Los alumnos instalan el servicio RRAS de Windows 2008 Server. Los alumnos configuran el servicio RRAS como Router. Los alumnos deshabilitan el enrutamiento.

CIBERTEC

CARRERAS PROFESIONALES

16

1.

FUNDAMENTOS DEL SERVICIO RRAS


El servicio enrutamiento y acceso remoto es un enrutador de software provisto de toda clase de caractersticas y una plataforma abierta para el enrutamiento e interconexin de redes. Ofrece servicios de enrutamiento a empresas en entornos de red de rea local (LAN) y extensa (WAN) o a travs de Internet mediante conexiones seguras de red privada virtual (VPN). Una ventaja del servicio de Enrutamiento y acceso remoto es la integracin con la familia Microsoft Windows Server 2008. Este servicio proporciona muchas caractersticas de gran rentabilidad y funciona con una gran variedad de plataformas de hardware y numerosos adaptadores de red. Puede ampliarse mediante las interfaces de programacin de aplicaciones (API) que pueden utilizar los programadores para crear soluciones personalizadas de conexin por red, as como los nuevos fabricantes para participar en el negocio cada vez mayor de interconexin de redes abiertas. El servidor con Enrutamiento y acceso remoto est diseado para ser usado por administradores de sistema familiarizados con los protocolos y servicios de enrutamiento. Mediante el enrutamiento y acceso remoto, los administradores pueden ver y administrar enrutadores y servidores de acceso remoto en sus redes. Enrutamiento y Acceso remoto proporciona servicios de enrutamiento de multiprotocolo LAN a LAN, LAN a WAN, red privada virtual (VPN) y traduccin de direcciones de red (NAT). Enrutamiento y acceso remoto est destinado a administradores del sistema que ya estn familiarizados con protocolos y servicios de enrutamiento, y con protocolos enrutables como TCP/IP y AppleTalk. 1.1 REQUISITOS DE HARDWARE Para poder configurar Enrutamiento y acceso remoto como un enrutador, todo el hardware debe estar instalado y en funcionamiento. Dependiendo de la red y de sus requisitos, quiz necesite el hardware siguiente:

Un adaptador LAN o WAN con controlador WHQL firmado. Uno o ms mdems compatibles y un puerto COM disponible. Una tarjeta adaptadora de mltiples puertos, para conseguir un rendimiento adecuado con mltiples conexiones remotas. Una tarjeta inteligente X.25 (si va a utilizar una red X.25). Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN (RDSI)). Una tarjeta inteligente X.25 (si va a utilizar una red X.25). Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una lnea ISDN (RDSI)).

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 17

1.2 ESCENARIO DE ENRUTAMIENTO 1.2.1 Conexin enrutada entre 2 LANs La ilustracin siguiente muestra una configuracin de red simple con un servidor que ejecuta Enrutamiento y acceso remoto que conecta dos segmentos de LAN (redes A y B). En esta configuracin, los protocolos de enrutamiento no son necesarios porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes.

1.2.2 Conexin enrutada con Internet Este escenario describe una red de oficina pequea o domstica (SOHO, Small Office Home Office) que establece conexin con Internet mediante una conexin enrutada. Una red SOHO tiene las siguientes caractersticas: Un segmento de red. Un nico protocolo: TCP/IP Conexiones de marcado a peticin o de vnculo dedicado con el proveedor de servicios Internet (ISP). En la siguiente ilustracin, se muestra un ejemplo de una red SOHO.

El enrutador de Windows 2008 est configurado con un adaptador de red para los medios utilizados en la red domstica (por ejemplo, Ethernet), y un

CIBERTEC

CARRERAS PROFESIONALES

18

adaptador ISDN (RDSI) o un mdem analgico. Puede utilizar una lnea concedida u otra tecnologa de conexin permanente, como xDSL y mdems por cable, pero este escenario describe la configuracin ms usual que utiliza un vnculo de acceso telefnico a un ISP local. 1.3 PROTOCOLOS DE ENRUTAMIENTO IP En entornos de enrutamiento IP dinmicos, la informacin de enrutamiento IP se propaga mediante los protocolos de enrutamiento IP. Los dos protocolos de enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero (OSPF, Open Shortest Path First ). Puede ejecutar varios protocolos de enrutamiento en la misma intranet. En este caso, debe configurar qu protocolo de enrutamiento es el origen preferido de las rutas aprendidas mediante la configuracin de niveles de preferencia. El protocolo de enrutamiento preferido constituye el origen de la ruta que se agrega a la tabla de enrutamiento, independientemente, de la mtrica de la ruta aprendida. Por ejemplo, si la mtrica de una ruta OSPF aprendida es 5 y la mtrica de la ruta aprendida RIP correspondiente es 3, y se prefiere el protocolo de enrutamiento OSPF, la ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa por alto.

2.

INSTALACIN DE ROUTING AND REMOTE ACCESS SERVICES


2.1 PARA INSTALAR RRAS EN EL SERVER, REALIZA LOS SIGUIENTES PASOS: 1. Ejecute el Server Manager, clic en Roles, luego clic en Add Roles.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 19

2. En la ventana Before You Begin, efecte clic en Next.

3. En la ventana Select Server Roles, seleccione Network Policy and Access Services, y haga clic en Next.

4. En la ventana Network Policy and Access Services, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

20

5. En la ventana Select Role Services, seleccione Routing and Remote Access Services, haga clic en Next.

6. En la ventana Confirm Installation Selections, clic en Install, finalmente, clic en Close.


CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 21

2.2 CONFIGURACIN DEL ROUTER 1. Ejecute Routing and Remote Access, clic derecho sobre el Servidor (Local), seleccione Configure and Enable Routing and Remote Access.

CIBERTEC

CARRERAS PROFESIONALES

22

2. En el asistente de configuracin de Routing and Remote Access Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Custom configuration, y haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 23

4. En la ventana Custom Configuration, seleccione LAN routing, haga clic en Next.

5. En la ventana Completing the Routing and Remote Access Server Setup Wizard, clic en Finish.

CIBERTEC

CARRERAS PROFESIONALES

24

6. En la ventana Start the service, clic en Start.

2.2.1 Incorpora una interface de enrutamiento (opcional)


1. Abra Routing and Remote Access.

2. Despliegue en el Servidor (local), luego despliegue IPv4, clic derecho sobre General, y seleccione New Interface.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 25

1. En la ventana New Interface for IP, seleccione la interface correcta, en este caso Lan2.

4. En la ventana de propiedades Lan2, clic en ok.

2.2.2 Agregue un protocolo de enrutamiento IP (opcional)


1. Abra Routing and Remote Access.

2. Despliegue en el Servidor (Local), luego despliegue IPv4, clic derecho sobre General, y seleccione New Routing Protocol.

CIBERTEC

CARRERAS PROFESIONALES

26

3. En la ventana New Routing Protocol, seleccione RIP Version luego clic en Ok. 4. Usted haga clic derecho sobre RIP, y seleccione New Interface.

5. En la ventana New Interface for RIP, seleccione la interface en la cual funcionara RIP, y luego 2 veces clic en Ok.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 27

2.3 DESHABILITACIN DEL ENRUTAMIENTO. 1. Ejecute Routing and Remote Access. 2. En el rbol de la consola, haga clic derecho sobre su servidor. 3. Seleccione Disable Routing and Remote Access. 4. En la caja de dilogo emergente, pulse el botn Yes.

5. Usted puede observar que el enrutamiento ha quedado deshabilitado.

CIBERTEC

CARRERAS PROFESIONALES

28

6. Cierre la herramienta Routing and Remote Access.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 29

Resumen

El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008. El Servicio RRAS brinda enrutamiento de protocolos a travs de redes LAN, y WAN. El servicio RRAS nos permite implementar una infraestructura de VPN y NAT. La implementacin de los servicios de RRAS necesita como mnimo 2 interfaces de red.

Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx En esta pgina, hallar informacin de las nuevas caractersticas de Routing and Remote Access en Windows Server 2008.

CIBERTEC

CARRERAS PROFESIONALES

30

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 31

UNIDAD DE APRENDIZAJE

1
TEMA

3
IMPLEMENTACIN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, podrn implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. Al trmino de la unidad, los alumnos, podrn transferir archivos, implementar ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO
Windows 2008 FTP Server. Fundamentos del Servicio RRAS. Introduccin a NAT.

ACTIVIDADES PROPUESTAS Los alumnos configuran RRAS para brindar acceso a Internet a las computadoras
de la red Interna. Los alumnos habilitan el acceso a Internet usando NAT. Los alumnos configuran el protocolo TCP/IP en la interface de red de los servidor y estaciones de trabajo.

CIBERTEC

CARRERAS PROFESIONALES

32

1. INTRODUCCIN A NAT
En la actualidad ms hogares y pequeas empresas agregan equipos a la red y encuentran una herramienta, extremadamente, poderosa para compartir recursos. Una conexin a Internet es uno de los ms preciados recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar una comoda, fcil administracin, de la red casera o una pequea empresa, los gateways de Internet estn siendo implementados. Los gateways de Internet ofrecen NAT (Network address translation) para conectar mltiples computadoras a la Internet y compartir una sola direccin IP Pblica.

2. FUNDAMENTOS DE NAT
La Traduccin de Direcciones de Red (NAT) es un estndar IETF (Internet Engineering Task Force en espaol Grupo de Trabajo en Ingeniera de Internet) usado para permitir a mltiples computadoras de una red privada (direcciones privadas como 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) compartir una sola direccin IP Pblica. NAT esta siendo implementado, porque las direcciones IPv4 pblicas estn siendo escasas.

3. IMPLEMENTACIN DE NAT
3.1 CONFIGURACIN EN EL SERVER 1. Clic en Start, seleccione Administrative Tools, y luego Routing and Remote Access.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 33

2. En el asistente de configuracin de Routing and Remote Access Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Network address translation, y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

34

4. En la ventana de NAT Internet Connection, seleccione la interface que usar para conectarse a Internet, en este caso Wan, y haga clic en Next.

5. En la ventana Completing the Routing and Remote Access Server Setup Wizard, lea el resumen de la configuracin, y luego clic en Finish.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 35

3.2 CONFIGURACIN EN EL CLIENTE 1. En la computadora cliente configure el TCP/IP como se ve en la imagen.

2. Ejecute Internet Explorer y trate de navegar por Internet, tambin puede realizar pruebas con el comando ping, tracert, etc.

CIBERTEC

CARRERAS PROFESIONALES

36

Resumen

La implementacin de NAT permite compartir el acceso a Internet. NAT permite que las computadoras que tienen direcciones IPs privadas acceden a Internet usando una direccin IP Pblica. El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que no estn expuestas en Internet. La implementacin de NAT necesita 2 interfaces de red, una para la red interna y otra para Internet.

Si desea saber ms acerca de NAT, puede consultar la siguiente pgina. http://www.faqs.org/rfcs/rfc1631.html En esta pgina, hallar informacin detallada sobre NAT.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 37

UNIDAD DE APRENDIZAJE

2
TEMA

Virtual Private Network (VPN) Server


LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, disear una Red Privada Virtual con Windows 2008 Server. Al trmino de la unidad, los alumnos, podrn implementar el Servidor VPN, y permitir el acceso seguro desde Internet hacia los recursos de la red Interna. Al trmino de la unidad, los alumnos, podrn configurar los clientes VNPs para acceder a los recursos de la red Interna.

TEMARIO
Introduccin a las VPNs.

ACTIVIDADES PROPUESTAS
Los alumnos instalan, configuran, y administran el Servidor VPN. Los alumnos configuran los clientes VPNs. Los alumnos realizan y prueban conexiones seguras desde los clientes VPN hacia el Servidor VPN.

CIBERTEC

CARRERAS PROFESIONALES

38

1. INTRODUCCIN A LAS VPNs


Una red privada virtual (VPN, Virtual Private Network) es la extensin de una red privada que incluye vnculos de redes compartidas o pblicas como Internet. Con una red privada virtual, puede enviar datos entre dos computadores a travs de una red compartida o pblica de forma que emula un vnculo privado punto a punto. Las funciones de red privada virtual consisten en crear y configurar una red privada virtual. Para emular un vnculo punto a punto, los datos se encapsulan o empaquetan con un encabezado que proporciona la informacin de enrutamiento que permite a los datos recorrer la red compartida o pblica hasta alcanzar su destino. Para emular un vnculo privado, los datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red compartida o pblica no se pueden descifrar si no se dispone de las claves de cifrado. El vnculo en el que se encapsulan y cifran los datos privados es una conexin de red privada virtual (VPN). La siguiente ilustracin muestra el equivalente lgico de una conexin VPN.

Los usuarios que trabajan en casa o que estn de viaje pueden usar conexiones VPN para establecer una conexin de acceso remoto al servidor de una organizacin mediante la infraestructura que proporciona una red pblica como Internet. Desde la perspectiva del usuario, la red privada virtual es una conexin punto a punto entre el equipo (el cliente VPN) y el servidor de la organizacin (el servidor VPN). La infraestructura exacta de la red
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 39

compartida o pblica es irrelevante dado que, lgicamente, parece como si los datos se enviaran a travs de un vnculo privado dedicado. Las organizaciones tambin pueden utilizar conexiones VPN para establecer conexiones enrutadas con oficinas alejadas, geogrficamente, o con otras organizaciones a travs de una red pblica como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexin VPN enrutada a travs de Internet funciona como un vnculo de WAN dedicado. Gracias al acceso remoto y a las conexiones enrutadas, una organizacin puede utilizar conexiones VPN para realizar conexiones a larga distancia, o lneas concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP). En la familia Microsoft Windows 2008 hay tres tipos de tecnologa VPN basada en el Protocolo punto a punto (PPP): a. Protocolo de tnel punto a punto (PPTP) PPTP utiliza mtodos de autenticacin PPP de nivel de usuario y Cifrado punto a punto de Microsoft (MPPE) para cifrar los datos. b. Protocolo de tnel de capa 2 (L2TP) con seguridad de protocolo Internet (IPSec) L2TP utiliza mtodos de autenticacin PPP de nivel de usuario y certificados de nivel de equipo con IPSec para cifrar los datos, o IPsec en modo tnel, en el que IPsec proporciona encapsulacin (slo para el trfico IP). c. Protocolo de tnel de socket seguro (SSTP) SSTP es la nueva forma de tnel de VPN con caractersticas que permiten al trfico pasar a travs de los firewalls que bloquean el trfico PPTP y L2TP. SSTP brinda un mecanismo para encapsular trfico PPP sobre el canal SSL del protocolo HTTPS

2. ESCENARIOS PARA IMPLEMENTAR UNA VPN


Mediante una conexin de red privada virtual (VPN) basada en Internet, puede ahorrar los gastos de llamadas telefnicas de larga distancia y a nmeros 1-800, y aprovechar la disponibilidad de Internet. 2.1 ACCESO REMOTO A TRAVS DE INTERNET En lugar de realizar una llamada de larga distancia o a un nmero 1-800 para conectar con un servidor de acceso a la red ( NAS, Network Access Server ) de la compaa o externo, los clientes de acceso remoto pueden llamar a un ISP local. Mediante la conexin fsica establecida con el ISP local, el cliente de acceso remoto inicia una conexin VPN a travs de Internet con el servidor VPN de la organizacin. Una vez creada la conexin VPN, el cliente de acceso remoto puede tener acceso a los recursos de la intranet privada. La ilustracin siguiente muestra el acceso remoto a travs de Internet.

CIBERTEC

CARRERAS PROFESIONALES

40

2.2 CONECTAR REDES A TRAVS DE INTERNET Cuando las redes estn conectadas a travs de Internet, un enrutador reenva paquetes a otro enrutador a travs de una conexin VPN. Esto se conoce como una conexin VPN de enrutador a enrutador. Para los enrutadores, la red privada virtual funciona como un vnculo de la capa de vnculo de datos. La ilustracin siguiente muestra la conexin de redes a travs de Internet.

2.2.1 Usar vnculos WAN dedicados En lugar de utilizar un vnculo WAN dedicado de larga distancia y caro entre las distintas oficinas de la compaa, los enrutadores de las oficinas se conectan a Internet mediante vnculos WAN dedicados locales con un ISP local. As, cualquiera de los
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 41

enrutadores inicia una conexin VPN de enrutador a enrutador a travs de Internet. Una vez conectados, los enrutadores pueden reenviarse entre s transmisiones de protocolos enrutadas o directas mediante la conexin VPN. 2.3 VPN BASADAS EN INTRANET Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP en la intranet de una organizacin. 2.3.1 Acceso remoto a travs de una intranet En las intranets de algunas organizaciones, los datos de un departamento (por ejemplo, el departamento de recursos humanos) son tan confidenciales que la red del departamento est , fsicamente, desconectada de la intranet del resto de la organizacin. Aunque as se protegen los datos del departamento, se crea un problema de acceso a la informacin por parte de aquellos usuarios que no estn, de forma fsica, conectados a la red independiente. Mediante una conexin VPN, la red del departamento est, fsicamente, conectada a la intranet de la organizacin , pero se mantiene separada gracias a un servidor VPN. El servidor VPN no proporciona una conexin enrutada directa entre la intranet de la organizacin y la red del departamento. Los usuarios de la intranet de la organizacin que disponen de los permisos apropiados pueden establecer una conexin VPN de acceso remoto con el servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento. Adicionalmente, para mantener la confidencialidad de los datos, se cifran todas las comunicaciones realizadas a travs de la conexin VPN. Para aquellos usuarios que no tienen derechos para establecer una conexin VPN, la red del departamento est oculta a la vista. La ilustracin siguiente muestra el acceso remoto a travs de una intranet.

2.3.2 Conectar redes a travs de una intranet Tambin, puede conectar dos redes a travs de una intranet mediante una conexin VPN de enrutador a enrutador. Las organizaciones que tienen departamentos en diferentes

CIBERTEC

CARRERAS PROFESIONALES

42

ubicaciones, cuyos datos son altamente confidenciales, pueden utilizar una conexin VPN de enrutador a enrutador para comunicarse entre s. Por ejemplo, el departamento financiero podra necesitar comunicarse con el departamento de recursos humanos para intercambiar informacin acerca de las nminas. Ambos, a la vez, estn conectados a la intranet comn con equipos que pueden actuar como enrutadores VPN. Una vez establecida la conexin VPN, los usuarios de los equipos de ambas redes pueden intercambiar datos confidenciales a travs de la intranet corporativa. La ilustracin siguiente muestra la conexin de redes a travs de una intranet.

3. PROTOCOLO DE TNEL DE CAPA 2


El Protocolo de tnel de capa 2 ( L2TP, Layer Two Tunneling Protocol ) es un protocolo basado en RFC y estndar del sector que se admiti por primera vez en los sistemas operativos de cliente y de servidor Windows 2000. A diferencia de PPTP, el protocolo L2TP en los servidores que ejecutan Windows Server 2008 no utiliza el Cifrado punto a punto de Microsoft ( MPPE, Microsoft Point-to-Point Encryption ) para cifrar datagramas de Protocolo punto a punto (PPP). L2TP utiliza la Seguridad de protocolos Internet (IPSec) para los servicios de cifrado. La combinacin de L2TP e IPSec se conoce como L2TP/IPSec. L2TP/IPSec proporciona los servicios de red privada virtual (VPN) principales de encapsulacin y cifrado de datos privados. L2TP e IPSec deben ser compatibles con el cliente VPN y el servidor VPN. La compatibilidad de cliente con L2TP est integrada en el cliente de acceso remoto de Windows XP y la compatibilidad de servidor VPN con L2TP est integrada en los miembros de la familia Windows Server 2008.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 43

L2TP se instala con el protocolo TCP/IP. En funcin de las opciones disponibles al ejecutar el Asistente para la instalacin del servidor de enrutamiento y acceso remoto, L2TP se configura para 5 128 puertos L2TP. 3.1 ENCAPSULACIN La encapsulacin de paquetes L2TP/IPSec consta de dos niveles: 3.1.1 Encapsulacin L2TP Las tramas PPP (que consisten en un datagrama IP o un datagrama IPX) se empaquetan con un encabezado L2TP y un encabezado UDP. 3.1.2 Encapsulacin IPSec El mensaje L2TP resultante se empaqueta a continuacin con un encabezado y un finalizador de Carga de seguridad de encapsulacin (ESP, Encapsulating Security Payload) de IPSec, un finalizador de autenticacin IPSec que proporciona autenticacin e integridad de mensajes y un encabezado IP final. El encabezado IP contiene las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN. 3.2 CIFRADO El mensaje L2TP se cifra con el Estndar de cifrado de datos (DES, Data Encryption Standard) o Triple DES (3DES) mediante claves de cifrado generadas en el proceso de negociacin de Intercambio de claves de Internet (IKE, Internet Key Exchange).

4. CONFIGURACIN DE VPN PARA CLIENTES REMOTOS


4.1 CONFIGURA EL SERVIDOR VPN

1. Ejecute Routing and Remote Access desde el men Administrative Tools. 2. En el panel izquierdo haga clic derecho sobre su servidor y; luego clic en Configure and Enable Routing and Remote Access.

CIBERTEC

CARRERAS PROFESIONALES

44

3. En pantalla de bienvenida de Routing and Remote Access Server Setup Wizard, haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 45

4. En Configuration, haga clic en Remote access (dial-up or VPN) y luego, clic en Next.

5. En la pantalla Remote Access, seleccione VPN y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

46

6. En VPN Connection, seleccione la interface Wan y luego, clic en Next.

7. En la ventana IP Address Assignment, seleccione From a specified range of addresses, y haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 47

8. En la pgina Address Range Assignment, haga clic en New. 9. En el campo Start IP address, tipee la direccin que le asigne su instructor, y luego en la caja Number of addresses, ingrese 5.

10. Usted haga clic en OK. 11. En la pgina Address Range Assignment, haga clic en Next.

12. En la pgina Managing Multiple Remote Access Servers, verifique que est seleccionada la opcin No. Luego, use Routing and

CIBERTEC

CARRERAS PROFESIONALES

48

Remote Access to authenticate connection requests y haga clic en Next.

13. En la ventana Completing the Routing and remote Access Server Setup Wizard, clic en Finish.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 49

14. Observe cmo se visualiza la herramienta:

15. Si es necesario, haga clic en OK para cerrar el mensaje Routing and Remote Access, luego cierre Routing and Remote Access.

4.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO 1. Inicialice el ADUC, haga clic derecho sobre el usuario Juan Urbina, y seleccione properties.

2. En la ventana de propiedades del usuario, seleccione Dial-in, luego clic en Allow Access, finalmente clic en Ok.

CIBERTEC

CARRERAS PROFESIONALES

50

4.2 CONFIGURA EL CLIENTE VPN 1. Clic en el Menu Inicio, seleccione Panel de Control, clic en Redes e Internet.

2. En Redes e Internet, clic en Ver el estado y las tareas de red.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 51

3. En la ventana Centro de redes y recursos compartidos vaya al panel izquierdo y haga clic en Configurar una conexin o red.

4. En la ventana Configurar una conexin o red, seleccione Conectarse a un rea de trabajo, y clic en Siguiente.

CIBERTEC

CARRERAS PROFESIONALES

52

5. En la ventana Cmo desea conectarse? Selecione Usar mi conexin a Internet (VPN)

6. En la ventana Es necesaria una conexin a Internet para usar una conexin VPN, seleccione Configurar ms tarde una conexin a Internet. 7. En la ventana Escribe la direccin de Internet a la que se conectar ingrese los siguientes datos: a. Direccin de Internet: IP del Servidor VPN b. Nombre del destino: Ciber VPN

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 53

8. En la ventana Escribe el nombre de usuario y la contrasea, Escribe el nombre del usuario al que se le otorg el permiso de acceso a la red y la contrasea, luego clic en Crear.

9. Una vez creada la conexin VPN, haga clic en administrar conexiones de red, 2 clics en Ciber VPN

CIBERTEC

CARRERAS PROFESIONALES

54

4.3 VERIRIFCAR LA CONEXIN VPN 1. En una ventana de Smbolo del Sistema, digite ipconfig y presione <Enter>.

2. Note que hay un nuevo adaptador de red PPP Ciber VPN. La direccin IP fue asignada por el rango de direcciones estticas del servidor VPN. 3. Cierre la ventana Smbolo del Sistema. 4. En la barra de tareas, has doble clic al cono "Conexin VPN".

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 55

5. En la Conexin VPN clic en Ver estado, despus clic en Desconectar.

6. Finalmente, cierre todas las ventanas abiertas.

CIBERTEC

CARRERAS PROFESIONALES

56

Resumen

La implementacin de una Red VPN permite extender la red de la empresa. VPN se puede usar para enlazar oficinas que estn, geogrficamente, alejadas. Los 3 protocolos de tnel soportados por Windows 2008 Server son: PPTP, L2TP, y SSTP. El protocolo PPTP usa el cifrado MPPE, L2TP usa IPSec, y SSTP usa SSL. El nuevo protocolo de tnel SSTP es soportado en Windows 2008 Server. El protocolo SSTP permite que pueda fluir el trfico de datos a travs del firewall.

Si desea saber ms acerca de VPN, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/network/bb545442.aspx En esta pgina, hallar informacin detallada sobre VPN.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 57

UNIDAD DE APRENDIZAJE

3
TEMA

PROTEGER EL TRFICO DE RED MEDIANTE IPSEC


LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de implementar seguridad en la transmisin de datos de una red.

TEMARIO
Introduccin a IPSec Implementacin de IPSec Supervisar IPSec

ACTIVIDADES PROPUESTAS
Los alumnos determinan que mtodo de encriptacin de IPSec deben usar en la Red. Los alumnos eligen que directiva de seguridad de IPSec se adecua a sus necesidades de seguridad. Los alumnos implementan escenarios con IPSec. Los alumnos configuran el filtrado con las directivas de seguridad de IPSec. Los alumnos verifican la seguridad de la red con el uso de Sniffer. Los alumnos supervisan IPSec mediante el Monitor de Seguridad IP.

CIBERTEC

CARRERAS PROFESIONALES

58

1.

INTRODUCCIN A IPSEC
1.1 CONCEPTOS DE IPSEC Internet Protocol Security (IPSec) es un entorno de estndares abiertos para garantizar comunicaciones privadas y seguras a travs de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec soporta autenticacin de sistemas a nivel de red, autenticacin del origen de los datos, integridad de datos, confidencialidad de datos (encriptacin) y proteccin frente a reenvo. la implementacin de IPSec de Microsoft se basa en estndares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force). IPSec autentifica los equipos y cifra los datos para su transmisin entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar proteccin a los paquetes IP. IPSec est basado en un modelo de seguridad de extremo a extremo, lo que significa que los nicos hosts que tienen que conocer la proteccin de IPSec son el que enva y el que recibe. Cada equipo controla la seguridad por s mismo en su extremo, bajo la hiptesis de que el medio por el que se establece la comunicacin no es seguro.

IPSec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6: Authentication Header (AH): proporciona integridad, autenticacin y no repudio si se eligen los algoritmos criptogrficos apropiados.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 59

AH est dirigido a garantizar integridad sin conexin y autenticacin de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a travs de algn algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger, opcionalmente, contra ataques de repeticin utilizando la tcnica de ventana deslizante y descartando paquetes viejos. AH protege la carga til IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el trnsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificacin de la cabecera. AH opera, directamente, por encima de IP, utilizando el protocolo IP nmero 51. Un cabecera AH mide 32 bits, he aqu un diagrama de cmo se organizan:

Significado de los campos: Next header: Identifica el protocolo de los datos transferidos. Payload length: Tamao del paquete AH. RESERVED: Reservado para uso futuro (hasta entonces todo ceros). Security parameters index (SPI): Indica los parmetros de seguridad que, en combinacin con la direccin IP, identifican la asociacin de seguridad implementada con este paquete. Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin. HMAC: Contiene el valor de verificacin de integridad (ICV) necesario para autenticar el paquete; puede contener relleno. Encapsulating Security Payload (ESP) proporciona confidencialidad y la opcin -altamente recomendable- de autenticacin y proteccin de integridad. El protocolo ESP proporciona autenticidad de origen, integridad y proteccin de confidencialidad de un paquete. ESP, tambin, soporta configuraciones de slo cifrado y slo autenticacin, pero utilizar cifrado sin autenticacin est altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no est protegida por ESP (aunque en ESP en modo tnel, la proteccin es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger).

CIBERTEC

CARRERAS PROFESIONALES

60

ESP opera directamente sobre IP, utilizando el protocolo IP nmero 50. Un diagrama de paquete ESP:

Significado de los campos: Security parameters index (SPI): Identifica los parmetros de seguridad en combinacin con la direccin IP. Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin. Payload data: Los datos a transferir. Padding: Usado por algunos algoritmos criptogrficos para rellenar por completo los bloques. Pad length: Tamao del relleno en bytes. Next header: Identifica el protocolo de los datos transferidos. Authentication data: Contiene los datos utilizados para autenticar el paquete. IPSec aumenta la seguridad de los datos de la red mediante: La autenticacin mutua de los equipos antes del intercambio de datos. IPSec puede utilizar Kerberos V5 para la autenticacin de los usuarios. El establecimiento de una asociacin de seguridad entre los dos equipos. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de rea local (LAN). El cifrado de los datos intercambiados mediante Cifrado de datos estndar (DES, Data Encryption Standard), triple DES (3DES) o DES de 40 bits. IPSec usa formatos de paquete IP estndar en la autenticacin o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPSec de los paquetes IP normales.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 61

El protocolo, tambin, proporciona las ventajas siguientes: Compatibilidad con la infraestructura de claves pblicas. Tambin acepta el uso de certificados de claves pblicas para la autenticacin, con el fin de permitir relaciones de confianza y proteger la comunicacin con hosts que no pertenezcan a un dominio Windows en el que se confa. Compatibilidad con claves compartidas. Si la autenticacin mediante Kerberos V5 o certificados de claves pblicas no es posible, se puede configurar una clave compartida (una contrasea secreta compartida) para proporcionar autenticacin y confianza entre equipos. Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactan con IPSec. Administracin centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesin en el dominio, el equipo recibe automticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local. Estndar abierto del sector. IPSec proporciona una alternativa de estndar industrial abierto ante las tecnologas de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante.

Dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. En modo transporte, slo la carga til (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticacin (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidara el hash. Las capas de transporte y aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los nmeros de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs que describen el mecanismo de NAT-T.

CIBERTEC

CARRERAS PROFESIONALES

62

En el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

IPSec est soportado en Windows Server 2008, Windows Server 2003, Windows 2000 Server, Windows XP, Windows Vista, y Windows 2000, y est integrado con el servicio de Directorio Activo. Las polticas IPSec se pueden asignar mediante Polticas de Grupo, lo que permite que los parmetros de IPSec se configuren a nivel de dominio, site o unidad organizativa. 1.2 DIRECTIVAS DE SEGURIDAD DE IPSEC Una directiva IPSec est formada por un conjunto de filtros acerca del trfico de red que cuando se activan, hacen que los equipos involucrados en la conversacin negocien una autenticacin entre ellos y si esta es exitosa se aplique una accin de filtrado al trfico de red, por lo general, con el propsito de que no pueda ser interceptado por terceros. El cifrado de las comunicaciones con IPSEC se implementa como una directiva, con lo cual podemos habilitarlo a nivel local, de sito, de dominio o de unidad organizativa. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuracin adicional. Client (Cliente): nicamente, aplica regla de respuesta predeterminada. sta es regla obliga a nuestro equipo a responder de manera cifrada siempre que as se proponga o se requiera, pero nunca ser nuestro equipo el que inicie la conversacin de manera cifrada. Server (Servidor): Enva los datos cifrados pero admite la conversacin con clientes que no cifren sus comunicaciones. Este

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 63

modo es el recomendado si queremos que prime la comunicacin sobre la seguridad. Secure Server (Servidor Seguro): En este caso toda comunicacin ser cifrada y no permitir la comunicacin sin cifrar (excepto el trfico ICMP). Si queremos anticipar la seguridad a la comunicacin, este es el modo apropiado.

Si bien estas directivas pueden satisfacer nuestras necesidades, IPSec permite una mayor granularidad y control a travs de los filtros que se revisan ms adelante en este documento. Antes de comenzar con la implementacin hay que tener claros unos cuantos conceptos. Cuando queremos que nadie sepa lo que, por ejemplo, estamos hablando con una persona cercana podemos acordar un conjunto de reglas (protocolo) para hacerlo de manera efectiva. Esto es, el idioma que usaremos cuando queramos mantener la privacidad de la conversacin. El establecimiento de estas reglas puede llevar estos pasos: Definicin de las conversaciones que consideramos privadas (el trfico que se cifrar). Por ejemplo: conversaciones de negocios, secretos y poltica. Aplicamos un conjunto de filtros que se active al sacar uno de esos tres temas en la conversacin y que nos recuerde que debemos cambiar de idioma. Al activarse el filtro, sera bueno que antes de empezar a expresar nuestras ideas acerca de esos tres temas, nos aseguremos de que la persona que est al otro lado es de confianza negociando la autenticacin. Una vez comprobada la identidad, negociaremos el idioma a utilizar entre los que conocen uno y otro participante, o incluso podramos elegir no hablar de ese determinado tema en este paso. Esto sera la accin de filtrado Podemos, opcionalmente, ser el portavoz de un grupo de gente que habla con el portavoz de otro grupo de gente. Nuestros entornos internos son confiables, pero el canal de comunicacin entre los portavoces puede ser vulnerable. Esto sera el modo tnel. Por ltimo podramos elegir entre cifrar todo el trfico, slo el telefnico (RAS) o slo las conversaciones de lado a lado (LAN)

CIBERTEC

CARRERAS PROFESIONALES

64

2.

IMPLEMENTACIN DE IPSEC
2.1 IMPLEMENTACIN DE ESCENARIOS CON IPSEC. 2.1.1 Bloquear Ping (protocolo ICMP). 1. Seleccione Start, Administrative Tools y seleccione Local Security Policy.

2. En la ventana desplegada, ubique la opcin IP Security Policies on Local Computer, haga clic derecho sobre dicha opcin en el men contextual emergente, luego haga clic sobre Create IP Security Policy.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 65

3. La accin anterior llamar al Asistente para directivas de seguridad IP. En la primera pantalla, slo haga clic en Next.

4. Ahora ingrese el nombre Prueba PING para la directiva que vamos a crear, posteriormente, haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

66

5. En la ventana Requests for Secure Communication haga clic en Next.

6. Ya finalizando la creacin de la regla, verifque que est marcada la casilla de verificacin Edit properties y haga clic en Finish.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 67

7. En esta ventana, haga clic en el botn Add.

Existe una regla predeterminada

8. Lo anterior llama al Asistente para reglas de seguridad IP. En la pantalla de bienvenida, slo haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

68

9. En la siguiente ventana, seleccione la regla This rule does not specify a tunnel.

10. Ahora seleccione All network connections y haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 69

11. Ahora se nos muestra la interfaz para seleccionar los filtros IP, en caso no hubiese alguno que se ajuste a nuestras necesidades, se nos da la opcin para crear agregar uno nuevo. Para el caso, haga clic en Add

12. En la ventana IP Filter List escribe el nombre del filtro (para el caso PING bloqueo). Opcionalmente, agregue una descripcin para el filtro y posteriormente, haga clic en Add (verificar que est marcada la casilla de verificacin para poder hacer uso del asistente).

CIBERTEC

CARRERAS PROFESIONALES

70

13. Lo anterior har que aparezca el asistente para filtros.

14. En la ventana de descripcin para el filtro IP nos pregunta si es Mirrored (paquetes coinciden con las direcciones de origen y destino opuestas). Deje marcado la casilla de verificacin y haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 71

15. En origen del trfico, seleccione la opcin Any IP Address.

16. Para el destino, seleccione la opcin My IP Address.

CIBERTEC

CARRERAS PROFESIONALES

72

17. Ahora seleccione el protocolo, para el caso, seleccione el protocolo ICMP.

18. Finalmente, haga clic en Finish para crear el filtro.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 73

19. Ya de vuelta en la ventana anterior, haga clic en OK.

20. Ahora seleccione el filtro creado y haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

74

21. Ahora en la siguiente ventana, haga clic en Add para crear una lista de accin al filtrado.

22. En el asistente Filter Action Name escribe el nombre del Filtro.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 75

23. Ahora en el comportamiento de la accin de filtrado, seleccione Block.

24. En la ventana Filter Action seleccione haga clic en Next.

Ping Bloqueado y

CIBERTEC

CARRERAS PROFESIONALES

76

25. En la ventana Completing the Security Rule Wizard haga clic en Finish.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 77

26. Usted haga clic en el botn OK de la ventana anterior y la ventana Local Security Policy habr quedado as:

27. Ahora has una prueba de PING a una direccin IP de la LAN. Ver lo siguiente:

28. Ahora habilite la directiva. Local Security Policy seleccione IP Security Policies on Local Computer y en la directiva llamada Prueba PING haga clic derecho y clic en Assign.

CIBERTEC

CARRERAS PROFESIONALES

78

29. Finalmente, has PING a una IP de la red y ver el siguiente mensaje.

Lo cual nos indica que la directiva IPSec funciona mediante el bloqueo del protocolo ICMP.

2.1.1 Cifrado del trfico IP (Proteccin de datos de inicio de sesin para el servidor FTP) mediante GPO. Para este ejemplo, consideraremos que ya tenemos configurado el Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera que no acepte conexiones annimas. Adems, estos servidores estn en el controlador de dominio (prctica que en un entorno empresarial no se recomienda) y la mquina cliente es parte del dominio (con Windows Vista Ultimate). Slo para este ejemplo, el nombre del servidor con los roles anteriormente mencionados es SERV01 y la mquina cliente es ADMWK011. Ahora consideremos que nos estamos conectando a nuestro servidor FTP (a travs de Internet Explorer) de una forma aparentemente segura.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 79

Sin embargo, FTP no codifica las credenciales de usuario y por medio de un sniffer se puede interceptar la comunicacin tal como se muestra en la siguiente imagen:

Lo que revelara, con facilidad, el usuario y contrasea del administrador de red a un usuario no autorizado. Con IPSec podemos brindar seguridad al trfico de red que , comnmente, no tiene cifrado. Para esto se siguen los siguientes pasos (el host ADMWK011 debe estar apagado para realizar estos pasos): 1. En el servidor, seleccione la ventana Run, digite dsa.msc y pulse ok.

CIBERTEC

CARRERAS PROFESIONALES

80

2. Lo anterior ocasionar la apertura del Active Directory Users and Computers (ADUC). En esta ventana Cree el OU ComSeg.

3. Ya con el OU ComSeg creado, Seleccione al contenedor Computers, ello desplegar los equipos que forman parte del dominio en el panel derecho. En este panel seleccione y arrastre al equipo ADMWK011 hacia el OU ComSeg (Se le pedir una confirmacin previa).

4. El equipo ADMWK011 pasar a ser miembro del OU ComSeg, al finalizar el paso anterior.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 81

5. Nuevamente, en el servidor seleccione Start, Run, y en la ventana Run, Escribe gpmc.msc y presione Enter.

6. Ahora, tendr abierta la ventana de Group Policy Management, En ella, despliegue el bosque, posteriormente, el dominio y despliegue el OU Domain Controllers. Finalmente, haga clic derecho sobre Default Domain Controllers Policy y seleccione Edit.

7. En la ventana Group Policy Management Editor despliegue el nodo Computer Settings, luego despliegue Policies, adems, despliegue Windows Settings, abre Security Settings y finalmente, seleccione IP Security Policies on Active Directory.

CIBERTEC

CARRERAS PROFESIONALES

82

8. En el panel derecho haga clic derecho sobre la poltica Server y seleccione Properties.

9. Ahora desmarque la lista del filtro <Dynamic>. Esta lista de filtro es slo compatible con versiones anteriores a Windows Vista.

10. La lista de filtro All IP Traffic deje tal como est, a la lista de filtro All ICMP Traffic, modifique de tal forma que la accin, tambin, requiera seguridad (Require Security) y el mtodo de autentificacin sea Kerberos. Para esto, seleccione la lista de filtro All ICMP Traffic y Usted haga clic en Edit. Posteriormente en la ventana que aparece,
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 83

ubiquese hacia la pestaa Filter Action de tal forma que quede como la siguiente imagen:

11. Ahora Usted haga clic en OK quedando la directiva de la siguiente manera

Finalmente, hacer clic en OK.

CIBERTEC

CARRERAS PROFESIONALES

84

12. Para culminar esta primera etapa, asigne la directiva Server.

Finalmente, cierre el Group Policy Management Editor. 13. Ahora configure el equipo cliente. Esta configuracin se har tambin desde el servidor (SERV01). Para ello, en Group Policy Management seleccione el OU ComSeg, despus haga clic derecho y seleccione Create a GPO in this domain, and link it here.

14. Escribe PC_Seg al GPO y haga clic en OK.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 85

15. Ahora despliegue el OU ComSeg y edite el GPO creado en el paso anterior. Usted haga clic derecho sobre el GPO ComSeg y elije Edit.

16. Ingrese al Group Policy Management Editor, slo que esta vez las acciones que realicemos aqu, afectarn a los objetos del OU ComSeg. Otra vez, despliegue el nodo Computer Settings, luego despliegue Policies, despus, despliegue Windows Settings, adems, abra Security Settings y finalmente, seleccione IP Security Policies on Active Directory.

CIBERTEC

CARRERAS PROFESIONALES

86

17. Por ltimo, asigne la directiva Server, haga clic derecho y seleccione Assign.

18. Slo como precaucin, en el servidor, ejecute el comando gpupdate para actualizar los cambios.

19. Finalmente, encienda la mquina cliente y conctese al servidor FTP. Verifique que existe conectividad normal, ejecute el sniffer para obtener la siguiente informacin:

Ahora todos los paquetes (que corresponden a FTP, aunque no exclusivamente) estn cifrados con el protocolo ESP, as por ms que intenten interceptar los datos estos sern indescifrables por terceros.
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 87

3. SUPERVISIN DE IPSEC
3.1 IMPLEMENTACIN DEL MONITOR DE SEGURIDAD IP. Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de IPsec y a probar las directivas que est creando. Para cambiar las directivas IPsec, use el complemento Directivas de seguridad IP. Para abrir el monitor de seguridad IP se siguen los siguientes pasos: 1. Seleccione Start, luego Usted haga clic sobre Run, en la ventana emergente escribe mmc y presione Enter.

2. Ahora Usted haga clic en File y seleccione Add/Remove Snap-in.

CIBERTEC

CARRERAS PROFESIONALES

88

3. En la ventana Add or Remove sanp-in, busque IP Security Monitor en el panel izquierdo seleccione Add >. Finalmente haga clic en OK.

Ahora tendr disponible el monitor de seguridad IP. En este monitor, se lista por defecto a nuestro servidor que al expandirlo en panel izquierdo nos muestra las directivas activas, de modo principal y de modo rpido. 3.1.1 Directiva Activa (Active Policy)

El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada a este equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. Slo puede haber una directiva IPsec activa al mismo tiempo. La directiva activa es la directiva IPsec aplicada a este equipo, bien de forma manual por el administrador del equipo o bien mediante el uso de servicios de dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO). La directiva activa puede definirse con objetos de directiva de grupo en lugar de hacerlo en el equipo en el complemento Directivas de seguridad IP. Al visualizar la directiva activa obtenemos la siguiente informacin: Nombre y descripcin: Nombre y descripcin especificados para la directiva en el momento de su creacin. ltima modificacin: Fecha y hora (hora local) en que se cambi la directiva por ltima vez. Almacn: Lugar donde est almacenada la directiva, en el almacn local (en el equipo local) o en un GPO. Ruta: Ruta de comunicacin del protocolo ligero de acceso a directorios (LDAP) de Active Directory que describe la ubicacin completa y exacta en AD DS de la directiva IPsec aplicada a este equipo. nicamente, se aplica a las directivas almacenadas en objetos

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 89

de directiva de grupo de AD DS. Las directivas almacenadas , localmente, no tendrn esta ruta de acceso. Unidad organizativa: Ruta de comunicacin del LDAP que describe la unidad organizativa (OU) completa y exacta de Active Directory donde se aplica la directiva. nicamente, se aplica a las directivas almacenadas en un objeto de directiva de grupo de AD DS. Las directivas almacenadas, de manera local, no tendrn ninguna unidad organizativa. Nombre de objeto de directiva de grupo: Nombre del objeto de directiva de grupo; no es el nombre de la directiva IPsec. nicamente , se aplica a las directivas almacenadas en objetos de directiva de grupo de AD DS. Las directivas almacenadas, localmente, no tendrn ningn nombre de GPO.

La siguiente imagen muestra como se ve la directiva activa en el monitor de seguridad IP.

3.1.2 Supervisin del modo principal (Main Mode) La negociacin de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociacin de seguridad (SA) del Protocolo de administracin de claves y asociacin de seguridad Internet (ISAKMP). La SA del ISAKMP se usa para proteger intercambios de clave posteriores entre equipos del mismo nivel, que reciben el nombre de negociaciones de modo rpido. Para establecer el canal seguro, la negociacin de modo principal determina una serie de conjuntos de proteccin de cifrado, intercambia material de creacin de claves para establecer la clave secreta compartida y autentica identidades de equipo. La supervisin de las SA de modo principal puede proporcionar informacin acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cundo se cre la SA, el conjunto de proteccin que se us para generar la SA y otra informacin. Dentro del modo principal tenemos:

CIBERTEC

CARRERAS PROFESIONALES

90

Los filtros genricos (Generic filters). Los filtros genricos son filtros IP configurados para usar cualquiera de las opciones de direccin IP, ya sea como direccin de origen o como direccin de destino. IPsec permite usar palabras clave en la configuracin de los filtros, como Mi direccin IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta de enlace predeterminada. Si se usan palabras clave, los filtros genricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Los filtros especficos se derivan expandiendo las palabras clave en direcciones IP.

Los filtros especficos (Specific filters): Se expanden a partir de los filtros genricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexin real. Por ejemplo, si dispone de un filtro que usa la opcin Mi direccin IP como direccin de origen y la opcin Servidor DHCP como direccin de destino, cuando se cree una conexin con este filtro, se crear de forma automtica, un filtro que incluya la direccin IP de su equipo y la direccin IP del servidor DHCP que este equipo usa.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 91

La directiva IKE (IKE Policies): Hace referencia a los mtodos de cifrado o integridad que los dos equipos del mismo nivel pueden negociar en el intercambio de claves de modo principal.

Estadsticas (Statistics): Aqu encontramos las estadsticas disponibles para IPSec, ya sea de conexiones aceptadas, rechazadas, recepciones etc. La siguiente tabla muestra los tipos de estadsticas mostrados para el modo principal:

Estadstica de IKE Adquisicin activa

Descripcin Una adquisicin es una peticin del controlador IPsec para que IKE realice una tarea. La estadstica Adquisicin activa incluye la peticin pendiente y el nmero de peticiones en cola, si existen. Normalmente, el nmero de adquisiciones activas es 1. Cuando la carga de procesamiento es elevada, el nmero de adquisiciones activas es 1 y el nmero de peticiones en espera de procesamiento por parte de IKE aumenta. Nmero de mensajes procesamiento. IKE recibidos y en espera de

Recepcin activa

Errores de adquisicin Errores de recepcin

Nmero de veces que una adquisicin se complet con error. Nmero de veces que la funcin WSARecvFrom() de Windows Sockets se complet con error al recibir mensajes IKE. Nmero de veces que la funcin WSASendTo() de Windows

Errores de envo

CIBERTEC

CARRERAS PROFESIONALES

92

Sockets se complet con error al enviar mensajes IKE. Tamao de montn de adquisicin Nmero de entradas en el montn de adquisicin, que almacena las adquisiciones activas. Este nmero aumenta cuando la carga es elevada y se reduce, gradualmente, con el tiempo, a medida que se va reduciendo el montn de adquisiciones. Nmero de entradas de los bferes de recepcin de los mensajes de IKE entrantes. Nmero total de errores de autenticacin de identidad (Kerberos, certificado y clave, previamente, compartida) producidos durante la negociacin de modo principal. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicacin y consulte esta estadstica para ver si este nmero aumenta. Si en efecto aumenta, compruebe si en la configuracin de la autenticacin hay algn mtodo que no corresponda o alguna opcin incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden). Nmero total de errores de negociacin producidos durante la negociacin de modo principal o de modo rpido. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicacin y consulte esta estadstica para ver si este nmero aumenta. Si en efecto aumenta, compruebe si en la configuracin de la autenticacin y de los mtodos de seguridad hay algn mtodo de autenticacin que no corresponda, alguna opcin incorrecta (por ejemplo, si se usan claves, previamente, compartidas que no coinciden) u otra falta de correspondencia en los mtodos o las opciones de seguridad. Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo. Si una cookie de un mensaje IKE recibido no corresponde a un modo principal activo, se considerar no vlida. Nmero total de peticiones de trabajos que IKE envi al controlador IPsec. Nmero total de peticiones que IKE envi al controlador IPsec para obtener un ndice de parmetros de seguridad (SPI) nico. Nmero de SA de modo rpido salientes que IKE agreg al controlador IPsec. Nmero de SA de modo rpido entrantes que IKE agreg al controlador IPsec. Nmero de peticiones con error que IKE envi al controlador IPsec para obtener un SPI nico. Nmero de peticiones con error de adicin de SA de modo rpido salientes que IKE envi al controlador IPsec. Nmero de peticiones con error de adicin de SA de modo rpido entrantes que IKE envi al controlador IPsec. Nmero de entradas de estado de modo principal, incluidos los modos principales negociados, en curso, y los que produjeron un error y no se eliminaron. Nmero de entradas de estado de modo rpido.

Tamao de montn de recepcin Errores de autenticacin

Errores de negociacin

Cookies no vlidas recibidas

Adquisicin total

Total de SPI obtenidos

Adiciones de claves

Actualizaciones de claves Errores de obtencin de SPI Errores de adicin de claves Errores de actualizacin de claves Tamao de lista ISADB

Tamao de lista de conexin

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 93

Modo principal IKE

Nmero total de SA creadas, de forma correcta, durante las negociaciones de modo principal. Nmero total de SA creadas, correctamente, durante las negociaciones de modo rpido. Normalmente, se crean varias SA de modo rpido por cada SA de modo principal y, por ello, este nmero no tiene que coincidir, necesariamente, con el nmero del modo principal. Nmero total de negociaciones que provocaron el uso de texto simple (o tambin, SA dbiles). Normalmente, este valor refleja el nmero de asociaciones formadas con equipos que no respondieron a los intentos de negociacin de modo principal. Puede tratarse de equipos no compatibles con IPsec o de equipos compatibles con IPsec que no tienen una directiva IPsec para negociar la seguridad con este equipo del mismo nivel. Aunque las SA dbiles no son el resultado de las negociaciones de los modos principal y rpido, se consideran SA de modo rpido. Nmero de mensajes IKE no vlidos recibidos; incluye los mensajes IKE con campos de encabezado no vlidos, longitudes de carga incorrectas y valores errneos para la cookie del receptor (cuando debe ser 0). La causa de que se produzcan mensajes IKE no vlidos es normalmente la retransmisin de mensajes anticuados o a la falta de correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec.

Modo rpido IKE

Asociaciones dbiles

Paquetes recibidos no vlidos

En el monitor de seguridad, el apartado de estadsticas se ve de la siguiente manera:

Asociaciones de seguridad (Security Associations - SA): En esta vista se muestran las SA activas con este equipo. Una SA es la combinacin de una clave negociada, un protocolo de seguridad y el SPI, que de forma conjunta, definen el mtodo de seguridad usado para proteger la comunicacin desde el remitente hasta el receptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se est usando para estas conexiones y otra informacin. Esta informacin puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso.

CIBERTEC

CARRERAS PROFESIONALES

94

3.1.3 Supervisin del modo rpido La negociacin IKE de modo rpido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rpido se denominan SA de IPsec. Durante el modo rpido, el material de creacin de claves se actualiza o, si es necesario, se generan nuevas claves. Tambin, se seleccione un conjunto de proteccin que protege el trfico IP especificado. Un conjunto de proteccin es un conjunto definido de valores de configuracin de integridad de datos o cifrado de datos. El modo rpido no se considera un intercambio completo porque depende de un intercambio de modo principal. Al igual que el modo principal, contiene a los filtros genricos (gneric filters), especficos (specific filters), directivas IKE (IKE policies), estadsticas (statistics) y asociaciones de seguridad (security associations). Sin embargo las estadsticas IKE visualizadas para este modo tienen otros campos, los cuales se resumen en la siguiente tabla:
Estadstica de IPsec Asociaciones de seguridad activas Asociaciones de seguridad descargadas Operaciones de clave Descripcin Nmero de SA de IPsec activas.

Nmero de SA de IPsec activas y descargadas en el hardware. Nmero de operaciones de clave de IPsec en curso.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 95

pendientes Adiciones de claves Eliminaciones de clave Regeneraciones de claves Nmero total de negociaciones de SA de IPsec correctas. Nmero de eliminaciones de claves de las SA de IPsec. Nmero de operaciones de regeneracin de claves de las SA de IPsec. Nmero de tneles de IPsec activos. Nmero total de paquetes cuyo ndice de parmetros de seguridad (SPI) era incorrecto. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA. Si el SPI no es correcto, puede indicar que la SA entrante expir y que lleg, recientemente, un paquete que usa el SPI antiguo. Con probabilidad, este nmero aumentar si los intervalos de regeneracin de claves son cortos y hay un nmero elevado de SA. Las SA expiran en condiciones normales; por ello, la existencia de paquetes SPI daados no indica, necesariamente, que haya errores en IPsec. Nmero total de paquetes que generaron errores al descifrarse. Estos errores pueden indicar que lleg un paquete para una SA que expir. Si la SA expira, la clave de sesin usada para descifrar el paquete tambin se elimina. Esto no indica que haya errores en IPsec. Nmero total de paquetes cuyos datos no se pudieron comprobar. La causa ms probable de este error es que una SA expir. Nmero total de paquetes que contenan un campo Nmero de secuencia vlido. Nmero total de bytes enviados con el protocolo ESP.

Tneles activos Paquetes SPI daados

Paquetes sin descifrar

Paquetes sin autenticar

Paquetes con deteccin de reproduccin Bytes confidenciales enviados Bytes confidenciales recibidos Bytes autenticados enviados Bytes autenticados recibidos Bytes de transporte enviados

Nmero total de bytes recibidos con el protocolo ESP.

Nmero total de bytes enviados con el protocolo AH. Nmero total de bytes recibidos con el protocolo AH. Nmero total de bytes enviados con el modo de transporte de IPsec. Nmero total de bytes recibidos con el modo de transporte de IPsec. Nmero total de bytes enviados con el modo de tnel de IPsec. Nmero total de bytes recibidos con el modo de tnel de IPsec. Nmero total de bytes enviados con la descarga de hardware. Nmero total de bytes recibidos con la descarga de hardware.

Bytes de transporte recibidos

Bytes enviados en los tneles Bytes recibidos en los tneles Bytes de descarga enviados

Bytes de descarga recibidos

CIBERTEC

CARRERAS PROFESIONALES

96

La forma, en que se presentan estas estadsticas, es la siguiente:

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 97

CIBERTEC

CARRERAS PROFESIONALES

98

Resumen
Internet Protocol Security (IPSec) es un entorno de estndares abiertos para garantizar comunicaciones privadas y seguras a travs de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec autentifica los equipos y cifra los datos para su transmisin entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es brindar seguridad a los paquetes de red. Dependiendo del nivel sobre el que se acte, podemos establecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. Una directiva IPSec est formada por un conjunto de filtros acerca del trfico de red que cuando se activan, hacen que los equipos involucrados en la conversacin negocien una autenticacin entre ellos y si esta es exitosa se aplique una accin de filtrado al trfico de red. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuracin adicional. Client (Cliente): nicamente, aplica regla de respuesta cifrada predeterminada. Server (Servidor): Enva los datos cifrados pero admite la conversacin con clientes que no cifren sus comunicaciones. Este modo es el recomendado si queremos que prime la comunicacin sobre la seguridad. Secure Server (Servidor Seguro): En este caso toda comunicacin ser cifrada y no permitir la comunicacin sin cifrar (excepto el trfico ICMP)
Con IPSec podemos cifrar el trfico de red que , comnmente, no posee

nivel de cifrado (como el caso de telnet o ftp).


Las directivas IPSec pueden configurarse con GPOs, por tanto las directivas pueden afectar a todos los usuarios que estn dentro de un OU.

Si desea saber ms acerca de este tema, puede consultar la siguiente CARRERAS PROFESIONALES pgina.
CIBERTEC

http://technet.microsoft.com/es-

SISTEMAS OPERATIVOS LABORATORIO 99

Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadsticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de IPsec y a probar las directivas que est creando. El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. La negociacin de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociacin de seguridad (SA) del Protocolo de administracin de claves y asociacin de seguridad Internet (ISAKMP). La supervisin de las SA de modo principal puede proporcionar informacin acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cundo se cre la SA, el conjunto de proteccin que se us para generar la SA y otra informacin. La negociacin IKE de modo rpido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rpido se denominan SA de IPsec. El modo rpido no se considera un intercambio completo, porque depende de un intercambio de modo principal.

Si desea saber ms acerca de estos temas, puede consultar la siguientes pginas:

http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

CIBERTEC

CARRERAS PROFESIONALES

100

UNIDAD DE APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin

TEMARIO
Implementacin de seguridad con GPOAccelerator. Implementacin de Microsoft Baseline security Analyzer. Asegurando los Servidores WEB. Administracin de Windows Server Update Service.

ACTIVIDADES PROPUESTAS
Los alumnos crean las lneas base de seguridad en servidores y estaciones. Los alumnos analizan la configuracin de seguridad del sistema, ven los resultados del anlisis, resuelven discrepancias y configuran el equipo.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 101

1. IMPLEMENTACIN DE SEGURIDAD CON GPOACCELERATOR


La herramienta GPOAccelerator crea todos los GPOs que necesites para implementar la configuracin recomendada de seguridad para t red. Esta funcionalidad ahorra muchas horas de trabajo que de otro modo sera necesario para configurar e implementar manualmente la configuracin de seguridad. 1.1 INSTALACIN DE GPOACCELERATOR El GPOAccelerator.msi se instala rpidamente en computadoras que ejecutan los siguientes sistemas operativos: Windows Server 2008 SP2 Windows Server 2003 R2 Windows 7 Windows Vista Windows XP La mayora de las tareas de GPOAccelerator requieren la instalacin de la Group Policy Management Console (GPMC) en el equipo que ejecuta la herramienta. El GPOAccelerator le avisar si el GPMC o cualquier otro componente necesario no estn presentes. Cuando se ejecuta el Windows Installer (. Msi), este crea la carpeta GPOAccelerator dentro de Archivos de programa en su computadora. El archivo .msi tambin crea una estructura de subcarpetas dentro de la carpeta GPOAccelerator. 1.2 COMO USAR GPOACCELERATOR EN LA RED El GPOAccelerator le ayuda a implementar los GPO en su entorno, que requiere una planificacin cuidadosa y la prueba. Antes de utilizar el GPOAccelerator, usted debe familiarizarse con los conceptos descritos en las guas de seguridad adecuadas. A continuacin, puede revisar el captulo 1, "GPOAccelerator de lnea de comandos y opciones de interfaz de usuario", para aprender sobre las diferentes opciones disponibles para el uso de la GPOAccelerator para establecer una de las lneas de base de seguridad definidos en la seccin siguiente. Los captulos restantes de esta gua proporcionan instrucciones detalladas del funcionamiento de la GPOAccelerator con diferentes sistemas operativos. 1.3 ENTORNOS DE SEGURIDAD DE LNEA DE BASE El GPO de referencia de seguridad que el GPOAccelerator le ayuda a implementar proporcionar una combinacin de configuracin de prueba que mejoran la seguridad de los equipos que ejecutan estos sistemas operativos y aplicaciones en los siguientes dos ambientes distintos: Enterprise Client (EC) Specialized Security Limited Functionality (SSLF)

CIBERTEC

CARRERAS PROFESIONALES

102

1.3.1 The Enterprise Client (EC) El Cliente de empresa (CE) medio ambiente citados en esta gua se compone de un dominio con AD DS en el que los equipos que ejecutan Windows Server 2008 con Active Directory administrar los equipos cliente que puedan funcionar tanto con Windows Vista o Windows XP, y los servidores miembro que ejecutan Windows Server 2008 o Windows Server 2003 R2. Los controladores de dominio, servidores miembro, y los equipos cliente se manejan en este medio ambiente a travs de directivas de grupo, que se aplica a sitios, dominios y unidades organizativas. Directiva de grupo proporciona una infraestructura centralizada en AD DS que permite el cambio de directorio y la gestin de configuracin de configuracin de usuario y de equipo, incluidos los datos de seguridad y el usuario. El Grupo de Poltica de esta gua prescribe no es compatible con equipos cliente que ejecutan Windows 2000 1.3.2 Specialized Security Limited Functionality (SSLF) La Seguridad especializada - Funcionalidad limitada (SSLF) de referencia en esta gua se refiere a la demanda para ayudar a crear ambientes altamente seguro para los equipos que ejecutan Windows Server 2008. La preocupacin por la seguridad es tan grande en estos ambientes que una prdida significativa de funcionalidad y capacidad de gestin es aceptable. El Cliente de empresa (EC) de referencia de seguridad ayuda a proporcionar seguridad mejorada que permite suficiente funcionalidad del sistema operativo y las aplicaciones para la mayora de las organizaciones. Precaucin: la configuracin de seguridad SSLF no estn destinados a la mayora de las organizaciones empresariales. Para implementar con xito la configuracin de SSLF, las organizaciones de bien debe probar la configuracin de su entorno para asegurarse de que las configuraciones de seguridad prescritas no limitar la funcionalidad requerida. Si usted decide probar e implementar los ajustes de configuracin SSLF a los servidores en su entorno, los recursos de TI en su organizacin puede experimentar un aumento en el escritorio de las llamadas relacionadas con la funcionalidad limitada que la configuracin de imponer. Aunque la configuracin de este entorno proporciona un mayor nivel de seguridad para los datos y la red, sino que tambin evita que algunos servicios de ejecucin que su organizacin pueda requerir. Ejemplos de esto incluyen a Escritorio remoto, que permite a los usuarios conectar de forma interactiva a los escritorios y aplicaciones en equipos remotos. 1.4 LNEA DE COMANDO Y OPCIONES DE GPOACCELERATOR Las opciones que brinda el comando GPOAccelerator pueden ser usadas para implementar GPOs en un ambiente que use Directorio Activo. 1.4.1Opciones para GPOAccelerator GPOAccelerator es una interface de script que se ejecuta desde una interface de comandos. Si ejecuta GPOAccelerator sin ninguna opcin, la herramienta muestra la siguiente lista de opciones.
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 103

1.4.2 Resultados del comando GPOAccelerator La siguiente tabla muestra los resultados que se esperan cuando creas e implementas GPOs y OUs con GPOAccelerator Comandos para implementar la gua de seguridad de Windows Server 2008 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

Comando
GPOAccelerator.wsf /Enterprise /WS08

GPOAccelerator.wsf /SSLF /WS08

CIBERTEC

CARRERAS PROFESIONALES

104

GPOAccelerator.wsf /Enterprise /LAB /WS08 GPOAccelerator.wsf /SSLF /LAB /WS08

Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Server 2008.

Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2008.

Comandos para implementar la gua de seguridad de Windows Server 2003 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Server 2003.

Comando
GPOAccelerator.wsf /Enterprise /WS03

GPOAccelerator.wsf /SSLF /WS03

GPOAccelerator.wsf /Enterprise /LAB /WS03 GPOAccelerator.wsf /SSLF /LAB /WS03

Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2003.

Comandos para implementar la gua de seguridad de Windows7 Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de
Windows7.

Comando
GPOAccelerator.wsf /Enterprise /Win7

GPOAccelerator.wsf /SSLF /Win7

GPOAccelerator.wsf /Enterprise /LAB /Win7 GPOAccelerator.wsf /SSLF /Win7 /Desktop GPOAccelerator.wsf /SSLF /Win7 /Laptop

Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows 7. Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows 7.

Comandos para implementar la gua de seguridad de Windows vista Comando


GPOAccelerator.wsf /Enterprise /Vista

GPOAccelerator.wsf /SSLF /Vista

Resultados Crea el EC GPOs descrito en la guia de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 105

GPOAccelerator.wsf /Enterprise /LAB /Vista GPOAccelerator.wsf /SSLF /Vista /Desktop

Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
Vista.

GPOAccelerator.wsf /SSLF /Vista /Laptop

Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows Vista. Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows Vista.

Comandos para implementar la gua de seguridad de Windows XP Resultados Crea el EC GPOs descrito en la guia de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows
XP.

Comando
GPOAccelerator.wsf /Enterprise /XP

GPOAccelerator.wsf /SSLF /XP

GPOAccelerator.wsf /Enterprise /LAB /XP GPOAccelerator.wsf /SSLF /XP /Desktop GPOAccelerator.wsf /SSLF /XP /Laptop

Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows XP . Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows X .

Comandos para implementar la gua de seguridad de Internet Explorer 8 Command


GPOAccelerator.wsf /Enterprise /IE8

GPOAccelerator.wsf /SSLF /IE8

GPOAccelerator.wsf /SSLF /IE8

Results Crea el EC GPOs descrito en la guia de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Aplica la configuracin de seguridad SSLF a Internet Explorer en la computadora local.

Comandos para implementar la gua de seguridad de Microsoft Office 2007 Results Crea el EC GPOs descrito en la guia de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la gua de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

Command
GPOAccelerator.wsf /Enterprise /Office

GPOAccelerator.wsf /SSLF /Office

CIBERTEC

CARRERAS PROFESIONALES

106

Otros Comandos para implementar, resetear, y restaurar los GPOs Results Cambia la configuracin en la computadora local para que todas las polticas estn visibles en el editor de polticas de grupo. Revierte la configuracin para mostrar la configuracin predeterminada en el Editor de directivas de grupo. Si su organizacin ha personalizado la configuracin y ejecutar este comando, las personalizaciones se perdern. Restaura la configuracin por defecto para Windows Vista o Windows XP a sus valores por defecto de la computadora local. Este comando es muy til cuando preparas configuraciones personalizadas. Por ejemplo, despus de ejecutar una prueba de testeo y quizs quieras restaurar la configuracin por defecto y probar una configuracin diferente.

Command
GPOAccelerator.wsf /ConfigSCE

GPOAccelerator.wsf /ResetSCE

GPOAccelerator.wsf /Restore {/Vista | /XP}

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 107

1.5 INSTALACIN DE GPOACCELERATOR 1. Inicie sesin como un administrador de dominio para un equipo que ejecuta Windows Server 2008 que est unido al dominio mediante Active Directory en el que podrs crear los GPO. 2. En el equipo, haga clic en Inicio, seleccione Todos los programas y, a continuacin, haga clic en GPOAccelerator. 3. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de la herramienta de instalacin. 4. Haga doble clic en el archivo GPOAccelerator.exe para iniciar el asistente.

La siguiente figura muestra la pgina de opciones de herramienta en el asistente que se puede utilizar para definir la forma en que desea establecer y desplegar su lnea de base de seguridad. En la pgina Bienvenido, haga clic en Siguiente para acceder a esta pgina.

CIBERTEC

CARRERAS PROFESIONALES

108

La pgina de opciones de herramienta ofrece las siguientes opciones: Dominio. Utilice esta opcin para aplicar una lnea de base de seguridad y crear objetos de directiva de grupo (GPO) para un entorno basado en el dominio. Esta opcin te ofrece otras opciones en las pginas siguientes del asistente para ejecutar una combinacin de opciones, tales como / Empresa, / SSLF, y / laboratorio para establecer y probar la seguridad bsica. Tenga en cuenta Debe ser un administrador de dominio para utilizar esta opcin. Local. Utilice esta opcin para aplicar una lnea de base de seguridad y modificar la configuracin de seguridad predeterminada en un equipo cliente. Esta opcin te ofrece otras opciones en las pginas siguientes del asistente para ejecutar el / Desktop / Laptop, y / Restaurar las opciones de lnea de comandos que se definen en las guas de seguridad para Windows XP y Windows Vista. Tenga en cuenta Debe ser un administrador para utilizar esta opcin. Actualizacin de SCE. Utilice esta opcin para actualizar el Editor de configuracin de seguridad (SCE) para mostrar la configuracin de seguridad SMS. Usted puede utilizar esta opcin para ejecutar el / ConfigSCE y / ResetSCE opciones de la lnea de comandos discutidos en las guas de seguridad. Nota: Debe ser un administrador para utilizar esta opcin. 1.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD Implementa las polticas de seguridad en el ambiente EC para desarrollar esta gua requiere Group Policy Management Console (GPMC). El GPMC esta integrado en Windows Server 2008, entonces no necesita desgargar la consola GPMC.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 109

Tareas para la implementacin: 1. Crea el ambiente EC 2. Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio. 3. Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU. 4. Usa el GPMC para verificar los resultados. 5. De la misma forma realiza los mismos pasos para configurar la seguridad en cada servidor. 1.6.1 Crea el ambiente EC 1. Clic en Start, despus clic All Programs, y luego clic GPOAccelerator. 2. Clic derecho en el acceso directo GPOAccelerator Command-line, y luego clic derecho en el command prompt Run as administrator para abrirlo con privilegios administrativos. 3. Desde el command prompt, tipea cscript GPOAccelerator.wsf /WS08 /Enterprise /LAB y luego presione enter. 4. Luego clic en Yes para continuar, o No para salir, clic en Yes. Nota: Esto puede tomar varios minutos. 5. En la ventana The Enterprise Lab Environment is created, clic OK. 6. En la ventana Make sure to link the Enterprise Domain GPO to your domain, clic OK, y luego complete los siguientes pasos para enlazar la poltica WS08 EC Domain y WS08 EC Domain Controllers. 1.6.2 Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio 1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego clic en Run. 2. En la ventana de texto Open, tipea gpmc.msc y luego clic en OK. 3. Debajo del rbol de Dominios, clic derecho en Domain, y luego clic Link an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Policy GPO, y luego clic OK. 5. En el panel de detalles, seleccione WS08 EC Domain Policy, y luego clic en el boton Move link to top. 1.6.3 Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU 1. Clic en Start, despus clic All Programs, luego clic Accessories, y luego clic en Run. 2. Tipea gpmc.msc y luego clic en OK. 3. Debajo del rbol de Dominios, clic derecho en Domain Controllers OU, y luego clic Link an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Controller Baseline Policy GPO, y luego clic en Yes. 6. En el panel de detalles, selecciona WS08 EC Domain Controller Baseline Policy, y luego clic en el boton Move link to top.

CIBERTEC

CARRERAS PROFESIONALES

110

1.6.4 Usa el GPMC para verificar los resultados 1. Clic en Start, clic All Programs, clic Accessories, y luego clic en Run. 2. Tipea gpmc.msc y luego clic OK. 3. Clic en el bosque apropiado, clic en Domains, y luego clic en el Dominio. 4. Expanda el OU WS08 Member Servers OU, y luego clic en cada OU hijo. 5. Verifique la estructura y si los enlazes con los GPOs coinciden con la siguiente figura.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 111

Resumen

La herramienta GPOAccelerator permite implementar lneas de seguridad por medio de los GPOs EC y SSLF en servidores y estaciones de trabajo. La seguridad EC se recomienda en todo los ambientes de trabajo, debido a que es la ms flexible con las configuraciones y funcionabilidad de los equipos. La seguridad SSLF se recomienda en ambientes donde la prioridad es la seguridad, pero la funcionabilidad puede ser comprometida. El comando GPOAccelerator.wsf permite implementar las lneas base de seguridad EC y SSLF. El anlisis peridico permite al administrador hacer un seguimiento y comprobar que hay un nivel de seguridad adecuado en cada equipo, como parte de un programa de administracin del riesgo de la empresa. Para ms informacin puede consultar la siguiente pgina: http://technet.microsoft.com/en-us/library/cc264463.aspx

CIBERTEC

CARRERAS PROFESIONALES

112

UNIDAD DE APRENDIZAJE

4
TEMA

7
FUNDAMENTOS DE SEGURIDAD DE RED
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin

TEMARIO
Implementacin de seguridad con Security Configuration and Analysis. Implementacin de Microsoft Baseline security Analyzer. Asegurando los Servidores WEB. Administracin de Windows Server Update Service.

ACTIVIDADES PROPUESTAS
Los alumnos determinan el estado de seguridad de los equipos. Los alumnos analizan la configuracin de seguridad de los equipos. Los alumnos generan reportes del estado de seguridad de los equipos en la red.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 113

1. IMPLEMENTACIN DE MICROSOFT BASELINE SECURITY ANALYZER


Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalacin de una actualizacin de software evaluando determinadas claves del Registro, versiones de archivo y sumas de comprobacin de archivos que se asocian a una actualizacin de seguridad determinada. Actualmente, MBSA 2.1.1 es la ltima versin de la herramienta de anlisis gratuita de evaluacin de seguridad y vulnerabilidades de Microsoft para administradores, auditores de seguridad y profesionales de TI. MBSA 2.1.1 aade compatibilidad con Windows 7, Vista, Windows Server 2008, Windows Server 2008 R2, una interfaz de usuario revisada, compatibilidad de 64 bits, compatibilidad mejorada con Windows Embedded y compatibilidad con las ltimas versiones del Agente de Windows Update (WUA) basadas en Microsoft Update. MBSA 2.1.1 tambin es compatible con Microsoft Update, Windows Server Update Services 2.0 y 3.0, la herramienta SMS Inventory Tool for Microsoft Update (ITMU) y SCCM 2007. El programa es online y requiere conexin a Internet. Para descargarlo slo ingrese la siguiente direccin en su explorador: http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE71DF-41E8-8B52-C871D012BA78&displaylang=en 1.1 INSTALACIN DE MICROSOFT BASELINE ANALYZER 1. Has doble clic sobre el archivo MBSASetup-X86.msi. 2. Lo anterior iniciar el asistente para la instalacin de Microsoft Baseline Analyzer. En la pantalla de bienvenida haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

114

3. En la siguiente ventana, acepte las condiciones del contrato de licencia y haga clic en Next.

4. Seleccione la carpeta de destino, y haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 115

5. Usted haga clic en Install y espere hasta que la instalacin haya terminado.

1.2 USANDO MICROSOFT BASELINE ANALYZER Su uso se resume, primordialmente, a los siguientes pasos: 1. En el escritorio, has doble clic sobre Microsoft Baseline Security Analizer. 2. Ahora aparecer la ventana principal de Microsoft Security Analyzer.

CIBERTEC

CARRERAS PROFESIONALES

116

3. En la pantalla principal, se presentan 3 opciones: a. Scan a computer: Realiza el escaneo en una sla mquina de la red. b. Scan multiple computers: Realiza el escaneo en varias mquinas de la red. c. View existing security scan reports: Muestra los reportes de escaneos anteriores. 4. Como ejemplo vamos a escanear a una sola mquina (al Domain controller), para ello Usted haga clic sobre Scan a computer, esto abrir la siguiente ventana:

5. En la ventana mostrada, anteriormente, ingrese el nombre la mquina o su direccin IP, el nombre del reporte (se puede generar , automticamente) y lo que se desea escanear. Finalmente, al terminar de escoger las opciones, haga clic en Start scan. 6. El escaneo ha iniciado, lo primero que hace el programa es descargar la informacin de actualizaciones de seguridad desde Microsoft.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 117

7. Al final del escaneo, se muestra el reporte de resumen sobre los problemas de seguridad del equipo.

8. Posteriormente, se puede acceder a este reporte haciendo clic sobre View existing security scan reports.

CIBERTEC

CARRERAS PROFESIONALES

118

Resumen

Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalacin de una actualizacin de software evaluando determinadas claves del Registro, versiones de archivo y sumas de comprobacin de archivos que se asocian a una actualizacin de seguridad determinada. Actualmente, MBSA 2.1.1 es la ltima versin de la herramienta de anlisis gratuita de evaluacin de seguridad y vulnerabilidades de Microsoft para administradores, auditores de seguridad y profesionales de TI. MBSA 2.1.1 aade compatibilidad con Windows 7, Vista, Windows Server 2008, Windows Server 2008 R2 MBSA permite analizar tanto la mquina local, cmo las de red, adems permite el anlisis simultneo de computadores y permite la creacin de registros que apoyan en el anlisis del software. Para ms informacin consulte la siguiente web: http://technet.microsoft.com/es-es/security/cc184924.aspx

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 119

CIBERTEC

CARRERAS PROFESIONALES

120

UNIDAD DE APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin

TEMARIO
Implementacin de seguridad con Security Configuration and Analysis. Implementacin de Microsoft Baseline security Analyzer. Asegurando los Servidores WEB. Administracin de Windows Server Update Service.

ACTIVIDADES PROPUESTAS
Los alumnos configuran la seguridad en los navegadores. Los alumnos implementan Servidores WEB seguros.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 121

1. ASEGURANDO LOS SERVIDORES WEB


Durante los ltimos aos, los servidores Web se han convertido en una excelente fuente de diversin para piratas: cualquier empresa que se precie, desde las ms pequeas a las grandes multinacionales, tiene una pgina web en las que al menos trata de vender su imagen corporativa. La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del servidor o a errores de diseo del mismo: si se trata de grandes empresas, los servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga, sistemas propietarios de actualizacin de contenidos...) y difciles de administrar, correctamente, mientras que si la empresa es pequea es muy posible que haya elegido un servidor Web simple en su instalacin y administracin pero en el cual es muy difcil garantizar una mnima seguridad. Sea por el motivo que sea, la cuestin es que cada da es ms sencillo para un pirata ejecutar rdenes de forma remota en una mquina, o al menos modificar contenidos de forma no autorizada, gracias a los servidores Web que un sistema pueda albergar. Hoy en da las conexiones a servidores Web son sin duda las ms extendidas entre usuarios de Internet, hasta el punto de que muchas personas piensan que este servicio (http, comnmente en el puerto 80 del protocolo TCP) es el nico que existe en la red (junto al Windows Live Messenger). Lo que en un principio se dise para que unos cuantos fsicos intercambiaran y consultaran artculos, fcilmente, en la actualidad mueve a diario millones de dlares y es uno de los pilares fundamentales de cualquier empresa: es , por tanto, un objetivo muy atractivo para cualquier pirata. Los problemas de seguridad relacionados con el protocolo http se dividen en tres grandes grupos en funcin de los datos a los que pueden afectar: 1.1 SEGURIDAD EN EL SERVIDOR Es necesario garantizar que la informacin almacenada en la mquina servidor no pueda ser modificada sin autorizacin, que permanezca disponible y que slo pueda ser accedida por los usuarios a los que les est legtimamente permitido. Una encuesta de Ernst & Young encontr que cuatro de cada cinco organizaciones grandes, con ms de 2.500 empleados, ejecuta aplicaciones crticas en redes de reas local LANs. Dichas LANs, y la informacin vital que albergan, estn cada vez ms expuestas a la amenaza de ataques externos perpetrados a travs del acceso que proporcionan los servidores web. De un total de 61 organizaciones estudiadas se encontraron 142 accesos no autorizados y decenas de incidentes relacionados con Hackers en los ltimos tres meses. La oficina general de estadsticas de Estados Unidos, pedida por el comit del senado de Asuntos gubernamentales, inform sobre la vulnerabilidad actual del departamento de la defensa (DoD) en sus sistemas informticos no clasificados, declarando que de 250.000 ataques lanzados en contra del DoD un 65 % fue exitoso.

CIBERTEC

CARRERAS PROFESIONALES

122

1.2 SEGURIDAD EN LA RED Cuando un usuario conecta a un servidor Web se produce un intercambio de informacin entre ambos, es vital garantizar que los datos que recibe el cliente desde el servidor sean los mismos que se estn enviando (esto es, que no sufran modificaciones de terceros) y tambin, garantizar que la informacin que el usuario enva hacia el servidor no sea capturada, por un atacante. Esto es, especialmente, importante si la informacin en trnsito es secreta, como en el caso de las contraseas que el usuario teclea para autenticarse en el servidor, o en el comercio electrnico y el intercambio de nmeros de tarjetas de crdito. 1.3 SEGURIDAD EN EL CLIENTE Por ltimo es necesario garantizar al usuario que lo que descarga de un servidor no va a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o programas con virus, si simplemente , el navegador del usuario se cuelga al acceder al visitar las pginas de una organizacin, con seguridad, esa persona dejar de visitarlas, con la consecuente prdida de imagen y posiblemente, de un futuro cliente para esa entidad. La proteccin del servidor en cada uno de los aspectos mencionados es responsabilidad del administrador del sistema y si bien no se puede considerar al servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden proveer una proteccin suficiente en la mayora de los casos. Para proporcionar una mayor seguridad, IIS 7 no se instala en Windows Server 2008 de forma predeterminada y al instalar IIS 7, el servidor web se configura para proporcionar slo contenido esttico. Este contenido incluye archivos HTML y de imagen. En la lista siguiente, se describen las nuevas caractersticas de seguridad de IIS 7 y se explican, de foma breve, sus ventajas: a) Un nuevo grupo integrado de Windows denominado IIS_IUSRS reemplaza el grupo IIS_WPG local. Una nueva cuenta integrada de Windows denominada IUSRS reemplaza la cuenta local IUSR_Nombre de equipo annima de IIS 6.0. Sin embargo, la cuenta IUSR_nombre de equipo continuar utilizndose para FTP. Estos cambios se combinan para proporcionar cuatro ventajas. b) La capacidad de utilizar una cuenta annima personalizada sin deshabilitar la cuenta annima de IIS. c) El mantenimiento de listas de control de acceso (ACL) coherentes entre varios servidores web utilizando un identificador de seguridad comn (SID). d) La lista de restricciones de IP se puede configurar para denegar el acceso al contenido en un solo equipo, en un grupo de equipos, en
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 123

un domino o en todas las direcciones IP y entradas no registradas. De esta forma, adems de proporcionar compatibilidad con la caracterstica de concesin o denegacin de IIS 6.0, se permite la herencia y combinacin de reglas de restriccin de direcciones IP. e) En IIS 7 se incorporan las caractersticas de la herramienta de seguridad UrlScan 2.5 y, por tanto, ya no es necesario descargar una herramienta aparte. f) IIS 7 admite la autorizacin de direcciones URL en cdigo nativo. Para mantener la coherencia, este cambio proporciona compatibilidad con toda la funcionalidad de la implementacin de cdigo administrado de ASP.NET existente. 2. CONFIGURANDO LA SEGURIDAD DE LOS NAVEGADORES A continuacin, se mostrar un ejemplo sobre como configurar las opciones de seguridad para el navegador Internet Explorer. Las zonas de seguridad se configurarn en el servidor por medio de GPO aplicado a los usuarios del OU Contabilidad que deber crearse, previamente, junto al usuario nmartinez.

Logon name: nmartinez

Pasos 1. Primero hay que deshabilitar Internet Explorer Enhanced Security Configuration (IE ESC) en el servidor. Para esto Seleccione a Start, haga clic sobre Server Manager y haga clic sobre Configure IE ESC.

CIBERTEC

CARRERAS PROFESIONALES

124

2. Deshabilite IE ESC tanto para los usuarios (Users) como para los administradores (Administrators). Para esto, marque off en ambos y haga clic en OK.

3. Seleccione a Start, Administrative Tools, y haga clic en Group Policy Management, se mostrar la siguiente ventana:

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 125

4. En el panel izquierdo, usted haga clic derecho sobre el OU Contabilidad y seleccione Create a GPO in this domain, and link it here

5. En la siguiente ventana, ponga el nombre IESec al GPO. Esto enlazar al GPO en el OU de Contabilidad.

CIBERTEC

CARRERAS PROFESIONALES

126

6. Usted haga clic derecho sobre el GPO creado y seleccione Edit en el men contextual.

7. En la ventana Group Policy Management Editor, despliegue User configuration, Policies, Internet Explorer Maintenance y finalmente, seleccione Security.

8. En el panel derecho, has doble clic sobre Security Zones and Content Ratings, esto llamar a la siguiente ventana.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 127

9. En el grupo Security Zones and Privacy, seleccione Import the current security zones and privacy settings. Posteriormente, hacer clic en el botn Continue del cuadro de dilogo, ste nos advierte que la configuracin realizada aqu slo afectar a mquinas que no tengan habilitadas el IE ESC.

10. Haga clic en el botn Modify Settings, esto llamar a la ventana de configuracin de Internet. En esta ventana se configura las opciones de seguridad para Internet que sean necesarias o requeridas. Finalmente, hacer clic en OK en las ventanas Internet properties y Security Zones and Content Ratings una vez terminada la personalizacin.

CIBERTEC

CARRERAS PROFESIONALES

128

11. En Group Policy Management Editor, contraiga Windows Settings y en Policies (dentro de User Configuration) despliegue Administratives Templates: Policy definitions (ADMX files) retrieved from the local machine, luego despliegue Windows Components, Internet Explorer y finalmente, seleccione Internet Control Panel.

12. Ahora, en el panel derecho, establece el estado de las polticas tal como se muestra en la siguiente imagen. Esto se hace para que los usuarios que son afectados por el GPO no puedan realizar cambios en la configuracin de seguridad:

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 129

13. Finalmente, cierre las ventanas de Group Policy Management Editor y Group Policy Management . 14. Para probar la configuracin, valdese con el usuario nmartinez en una mquina cliente y vemos el siguiente comportamiento:

Pestaas de conexin, seguridad y contenido no visibles

CIBERTEC

CARRERAS PROFESIONALES

130

No se pueden descargar archivos debido a la zona de seguridad escogida (Zona Alta).

3. CONFIGURANDO CERTIFICADO DE SEGURIDAD EN EL SERVIDOR WEB


Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales, como un nmero de tarjeta de crdito. Los certificados de servidor contienen tambin informacin sobre la clave pblica del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. Para que una pgina sea considerada segura debe hacer uso de HTTPS. HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versin segura de HTTP. La idea principal de HTTPS es la de crear un canal seguro sobre una red insegura. Esto proporciona una proteccin razonable contra ataques eavesdropping y man-in-the-middle, siempre que se empleen mtodos de cifrado adecuados y que el certificado del servidor sea verificado y resulte de confianza.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 131

El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) ms apropiado para el trfico de informacin sensible que el protocolo HTTP. De este modo, se consigue que la informacin sensible (usuario y claves de paso , normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexin, ya que lo nico que obtendr ser un flujo de datos cifrados que le resultar imposible de descifrar. El puerto estndar para este protocolo es el 443. Para configurar los certificados de seguridad en IIS 7, se siguen tienen tres etapas: solicitar el certificado, instalar el certificado y enlazar el certificado a un Website. 3.1 IMPLEMENTACIN DE CERTIFICADOS EN UN WEB SITE CON IIS 7.0 3.1.1 Solicitar el certificado. Para esta etapa se siguen los siguientes pasos: 1. Seleccione Start, Administrative Tools y por ltimo, haga clic en Internet Information Services (IIS) Manager.

2. Seleccione su servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.

CIBERTEC

CARRERAS PROFESIONALES

132

3. Haga doble clic en Server Certificates. El Internet Information Services (IIS) Manager configure como se muestra en la siguiente imagen.

4. En el panel Actions, haga clic en Create Certificate Request. En la ventana que se despliega, ingrese los datos siguientes: a. Common name: Escribe un nombre para el certificado. Debe ser FQDN. b. Oraganization: Escribe el nombre de la organizacin en la que se utilizar el certificado. c. Organizational unit: Escribe el nombre de la unidad organizativa de la organizacin en la que se utilizar el certificado. d. City/Locality: Escribe el nombre sin abreviar de la ciudad o localidad donde reside su organizacin o unidad organizativa. e. State/Province: Escribe el nombre sin abreviar del estado o provincia donde reside su organizacin o unidad organizativa. f. Country/Region: Escribe el nombre del pas o regin donde reside su organizacin o unidad organizativa. Luego de ingresado los datos, haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 133

5. En la ventana de Cryptographic Service Provider Properties, seleccione Microsoft RSA SChannel Cryptographic. De forma predeterminada, IIS 7 utiliza Microsoft RSA SChannel Cryptographic Provider. En la lista desplegable Longitud en bits, seleccione una longitud en bits que puede utilizar el proveedor. De forma predeterminada, el proveedor RSA SChannel utiliza una longitud en bits de 1024, el mismo valor ser usado para el ejemplo, luego Usted haga clic en Next.

6. En la pgina File Name, Escribe el nombre Prueba en el cuadro de texto o Usted haga clic en el botn de exploracin (...) para buscar un

CIBERTEC

CARRERAS PROFESIONALES

134

archivo y, a continuacin, haga clic en Finish. Eso crear el archivo Prueba.csr.

7. Enve la solicitud de certificado a una entidad de certificacin pblica, el archivo se ubica en %systemroot%\System32 si es que slo ha especificado el nombre de archivo en la ventana anterior. La entidad responder con prueba.cer

3.1.2 Instalar el certificado en el Web Site 1. Seleccione a Start, Administrative Tools y finalmente, haga clic en Internet Information Services (IIS) Manager.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 135

2. Seleccione el servidor en el panel izquierdo, luego en el grupo IIS seleccione Server Certificates.

3. Haga doble clic en Server Certificates. La ventana de Internet Information Services (IIS) Manager cambiar a lo que se muestra en la siguiente imagen.

CIBERTEC

CARRERAS PROFESIONALES

136

4. En el panel Actions, haga clic en Complete Certificate Request.

5. En la ventana anterior, Escribe la ruta de acceso del archivo que contiene la respuesta de la entidad de certificacin o haga clic en el botn de exploracin () para buscar el archivo y poner dicha ruta en el cuadro de texto. Finalmente, escribe el nombre PruebaIIS7 para su certificado y haga clic en OK.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 137

6. Finalmente, el certificado estar instalado para el uso en un Website del IIS (Esto puede verificarlo en Server Certificates).

3.1.3 Enlaza el certificado al Website. Para este ejemplo, utilizaremos el Default Web Site. 1. Seleccione a Start, Administrative Tools y para finalizar, haga clic en Internet Information Services (IIS) Manager. 2. En el panel Connections, seleccione y despliegue el servidor, posteriormente, despliegue Sites y seleccione Default Web Site.

CIBERTEC

CARRERAS PROFESIONALES

138

3. En el panel Actions, seleccione Bindings. Esto abrir la siguiente ventana.

4. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado PruebaIIS7 y al finalizar, haga clic en OK.

5. Observe que en el panel Actions, se ha aadido Browse *:443 (https).

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 139

6. Ejecute Internet Explorer https://serv01.nwtraders.com.

ingrese

la

direccin

Nota: En algunos casos es necesario, instalar certificados intermedios a fin de identificar a un servidor y evitar el error de certificado no garantizado. Parar estos casos, con cada certificado intermedio, se siguen los siguientes pasos: Descargue el certificado intermedio a una carpeta del servidor. Has doble clic sobre el certificado para poder ver sus propiedades. En la parte baja de la ficha General, haga clic en el botn Install Certificate para iniciar el asistente de importacin de certificados.

CIBERTEC

CARRERAS PROFESIONALES

140

Seleccione Place all certificates in the following store y haga clic en Browse.

- Marque la casilla de verificacin Show physical stores, luego despliegue la carpeta Intermediate Certification Authorities, seleccione la carpeta Local Computer. Clic en OK. Clic en Next, despus, en Finish.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 141

3.2 IMPLEMENTA UN CERTIFICADO AUTOFIMARDO EN IIS 7.0 El uso de los certificados autofirmados para un equipo local es til en los siguientes casos: Para solucionar los problemas relacionados con los certificados de otros fabricantes. Para administrar IIS de manera remota. Para crear un canal privado seguro entre su servidor y un grupo limitado de usuarios conocidos, como es el caso de un entorno de prueba de software. Para probar las caractersticas que dependen de la configuracin de SSL.

3.2.1 Los pasos para implementar un certificado autofirmado son: 1. Seleccione a Start, Administrative Tool, finalmente, haga clic en Internet Information Services (IIS) Manager. 2. Seleccione el servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.

3. Haga doble clic en Server Certificates. El Internet Information Services (IIS) Manager cambiar a lo que se muestra en la siguiente imagen.

CIBERTEC

CARRERAS PROFESIONALES

142

4. En el panel Actions, haga clic en Create Self-Signed Certificiate. En la ventana que se despliega, ingrese un nombre para el certificado. Para el ejemplo, escribe SelfCert como nombre al finalizar, haga clic en OK.

5. El certificado ya estar creado, ahora adjuntelo a un Web Site (por ejemplo a Contoso.com). Para ello, seleccione el Web Site y en el panel Actions, seleccione Bindings. Esto abrir la siguiente ventana.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 143

6. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega, seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado SelfCert al finalizar, haga clic en OK.

7. Cierre la ventana Set Bindings.

8. Ahora ingrese a la direccin https://www.contoso.com (o el nombre de su Web Site) y vemos que se obtiene lo siguiente.

Lo cual ocurre por tratarse de un certificado que slo se usa con fines de prueba o con redes de pocos usuarios. Simplemente, seleccione Continue to this website para ver la siguiente pantalla.

CIBERTEC

CARRERAS PROFESIONALES

144

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 145

Resumen

Durante los ltimos aos los servidores Web se han convertido en una excelente fuente de diversin para piratas: cualquier empresa que se precie, desde las ms pequeas a las grandes multinacionales, tiene una pgina web en las que al menos trata de vender su imagen corporativa. La mayor parte de estos ataques tiene xito gracias a una configuracin incorrecta del servidor o a errores de diseo del mismo Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales, como un nmero de tarjeta de crdito. Los certificados de servidor contienen tambin informacin sobre la clave pblica del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. Para que una pgina sea considerada segura debe hacer uso de HTTPS. Para configurar los certificados de seguridad en IIS 7, se desarrollan tres etapas: solicitar el certificado, instalarlo y enlazarlo a un Website. Slo para fines de prueba y en redes pequeas (slo los usuarios de una intranet requieren seguridad) puede hacer uso de certificados autofirmados. Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas.

http://technet.microsoft.com/es-es/library/cc731278%28WS.10%29.aspx http://technet.microsoft.com/es-es/library/cc732230%28WS.10%29.aspx

CIBERTEC

CARRERAS PROFESIONALES

146

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 147

UNIDAD DE APRENDIZAJE

4
TEMA

FUNDAMENTOS DE SEGURIDAD DE RED


LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, el alumno ser capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin

TEMARIO
Implementacin de seguridad con Security Configuration and Analysis. Implementacin de Microsoft Baseline security Analyzer. Asegurando los Servidores WEB. Administracin de Windows Server Update Service.

ACTIVIDADES PROPUESTAS
Los alumnos instalan, configuran, y administran el Servidor WSUS. Los alumnos actualizan, e instalan actualizaciones de seguridad en los equipos de la red.

CIBERTEC

CARRERAS PROFESIONALES

148

1. ADMINISTRACIN DE WINDOWS SERVER UPDATE SERVICES


En esta seccin implementaremos Microsoft Windows Server Update Services (WSUS), una herramienta para administrar y distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de seguridad y brinda estabilidad al sistema operativo Windows 2000 y versiones modernas, como a otras aplicaciones de Microsoft. En esta seccin se describir como instalar los componentes servidor y cliente de WSUS. Tambin, proveer informacin necesaria acerca de la administracin de la infraestructura de WSUS. Tradicionalmente, los administradores mantienen actualizado los sistemas por medio de una frecuente verificacin del Web Site Microsoft Update o el Web Site Security para actualizaciones de software. Los administradores descargan, manualmente, las actualizaciones disponibles, verifican las actualizaciones esos ambientes de prueba, y luego las distribuyen manualmente o usando la herramienta tradicional distribucin de software. Por medio de WSUS, los administradores pueden realizar estas tareas automticamente. A continuacin, describiremos WSUS y cmo trabaja con Microsoft Update y Actualizaciones automticas. 1.1 QU ES MICROSOFT UPDATE? Microsoft Update es un Web Site que mantiene sus sistemas actualizados. Usa Microsoft Update para obtener las actualizaciones de los sistemas operativos y de las aplicaciones de Windows, controladores de dispositivos actualizados, y software. Nuevo contenido es agregado regularmente al Web Site, entonces siempre puede obtener las actualizaciones ms recientes para proteger el servidor y las computadoras clientes de la red. 1.1.1 Qu son las actualizaciones? Las actualizaciones pueden incluir arreglos en la seguridad, actualizaciones crticas, o controladores crticos. Estas actualizaciones resuelven problemas conocidos de seguridad y brinda estabilidad en los sistemas operativos Windows 2000, Windows XP, y Windows Server. El Web Site de Microsoft Update tambin tiene actualizaciones para aplicaciones como Microsoft Office, Microsoft Exchange Server y Microsoft SQL Server. 1.1.2 Las categoras de las actualizaciones Las categoras de las actualizaciones para los sistemas operativos de Windows son: Actualizaciones crticas. Soluciona problemas de seguridad y otras actualizaciones importantes para mantener nuestras computadoras y redes seguras. Descargas recomendadas. Los ltimos service packs de Windows y Microsoft Internet Explorer y otras actualizaciones importantes.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 149

Herramientas de Windows. Utilidades y otras herramientas qu son brindadas para mejorar el rendimiento y facilitar las actualizaciones.

1.2 QU SON LAS ACTUALIZACIONES AUTOMTICAS? Actualizaciones automticas es una opcin configurable en Windows. Que permite descargar e instalar actualizaciones al sistema operativo sin ninguna intervencin del usuario. Las actualizaciones pueden ser descargadas desde el Web Site Microsoft Update o desde un servidor WSUS. La configuracin de Automatic Updates puede ser controlado, de manera centralizada, por el administrador. 1.2.1 Opciones de actualizaciones automticas Las actualizaciones automticas brindan mayor flexibilidad para decidir cmo y cundo las actualizaciones sern instaladas. Estas opciones son: Automticas. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Si no cambia la programacin predeterminada, las actualizaciones que se hayan descargado en el equipo se instalarn a las 3 a.m. Si el equipo est apagado cuando se haya programado realizar una actualizacin, Windows instalar las actualizaciones la prxima vez que se inicie el equipo. Si necesita ayuda para completar el proceso de instalacin, Windows se lo indicar. Por ejemplo, es posible que tenga que aceptar un contrato de licencia para el usuario final (CLUF) para poder instalar algunas actualizaciones. Si tiene que reiniciar el equipo para que una actualizacin surta efecto, Windows se lo indicar y usted reiniciar el equipo cuando haya programado. Las actualizaciones son descargadas, automticamente, he instaladas Descargar actualizaciones por m, pero permitirme elegir cundo instalarlas. Para recibir alertas, debe ser miembro del grupo Administradores de su equipo. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Una vez completada la descarga, el icono de Windows Update aparece en el rea de notificacin y la alerta se muestra para hacerle saber que las actualizaciones estn listas para ser instaladas. Para revisar e instalas las actualizaciones disponibles, haga clic en el icono o en la alerta. Puede instalar todas las actualizaciones disponibles o slo algunas. Notificarme, pero no descargarlas, de forma automtica, ni instalarlas. Para descargar e instalar las actualizaciones usted mismo, debe ser miembro del grupo Administradores de su equipo.

CIBERTEC

CARRERAS PROFESIONALES

150

Windows comprueba si hay actualizaciones importantes y le informa si hay alguna disponible; las actualizaciones no se descargan ni se instalan en su equipo a menos que usted lo decida. Cuando Windows encuentra actualizaciones para su equipo, el icono de Windows Update aparece en el rea de notificacin y la alerta se muestra para hacerle saber que las actualizaciones estn listas para ser instaladas. Cuando Usted haga clic en el icono o en la alerta, podr seleccioner las actualizaciones que se tienen que descargar. Windows descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Cuando la descarga ha finalizado, el icono de Windows Update vuelve a aparecer en el rea de notificacin, esta vez para indicarle que las actualizaciones estn listas para ser instaladas. Puede elegir instalar todas las actualizaciones disponibles o slo algunas. Desactivar actualizaciones automticas. Nunca se le informar cuando haya actualizaciones importantes disponibles para su equipo y no se le pedir que las descargue ni las instale. Esto significa que el equipo puede ser vulnerable a las amenazas de seguridad y los virus peligrosos que puedan daar el equipo o los archivos. Los virus tambin se pueden extender a travs de Internet a otras personas a las que enve correo electrnico, con las que comparta archivos o con las que trabaje en una red. De forma continua, se estn desarrollando nuevos virus y amenazas de seguridad por lo que contribuir a proteger su equipo es un proceso ininterrumpido. Si no activa Actualizaciones automticas, es aconsejable que instale con regularidad las actualizaciones del sitio Web Windows Update (http://www.microsoft.com/).

1.3 QU ES WINDOWS SERVER UPDATE SERVICES? WSUS es un componente opcional para Windows Server 2000 y 2003 que puede ser descargado desde el Web Site de Microsoft. ste acta como punto para distribuir actualizaciones a las estaciones de trabajo y servidores. 1.3.1 Clientes soportados: WSUS Service Pack 1 soportar los siguientes clientes: Windows Vista o superior. Windows Server 2008 o superior. Cualquier edicin de Microsoft Windows 2003. Microsoft Windows XP Professional SP2 o superior. Microsoft Windows 2000 Professional SP4, Windows Server 2000 Server SP4, o Windows 2000 Advanced Server UIT SP4. 1.3.2 Software soportado: WSUS 3.0 Service Pack 1 actualizar todos los productos siguientes:

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 151

Microsoft Office XP y recientes. Microsoft Data Protection Manager. Windows Defender. Microsoft ISA Server 2004 Microsoft Exchange Server 2000 y recientes. Microsoft Forefront. Windows Small Business Server 2003. Microsoft SQL Server 2000 y recientes. Windows Live.

1.4 COMPONENTE DEL SERVIDOR Instale el componente del servidor de WSUS en un servidor que este ejecutando Windows Server 2003 o Windows Server 2008 dentro del firewall de la empresa. El firewall tiene que estar configurado para permitirle al servidor interno sincronizar el contenido con el Web Site de Microsoft Update cuando existan actualizaciones crticas disponibles para Windows. La sincronizacin puede ser automtica, o el administrador puede realizarla manualmente. Las actualizaciones sincronizadas tienen que ser aprobadas antes de que puedan ser instaladas en las computadoras clientes. Esto permite verificar las actualizaciones con aplicaciones corporativas antes de distribuirlas. ste es un beneficio que brinda WSUS sobre Microsoft Update. 1.5 COMPONENTE DEL CLIENTE Las actualizaciones automticas es el software cliente que descarga e instala las actualizaciones desde el servidor WSUS. El cliente tiene que estar configurado con la ubicacin del servidor WSUS. La ubicacin se puede configurar a travs del regedit o usando Group Policy. Usar Group Policy es lo ms recomendado.

2. ESCENARIOS Y REQUERIMIENTOS PARA INSTALAR

WINDOWS SERVER UPDATE SERVICES


WSUS consistente de ambos componentes del lado del cliente y del lado del servidor para brindar una solucin bsica en la administracin crticas de actualizaciones. En esta leccin, explicaremos como instalar y configurar ambos componentes tanto en el cliente y en el servidor de WSUS. 2.1 IMPLEMENTACIN DE ESCENARIOS WSUS Para permitir diversas situaciones, puede implementar el servidor WSUS en varios escenarios. Puede escoger el escenario de implementacin que sea el ms apropiado para t organizacin. Los factores de decisin quizs incluya el nmero de ubicaciones en red vuelve ancho de banda de tu conexin de Internet.

CIBERTEC

CARRERAS PROFESIONALES

152

2.1.1 Un solo servidor WSUS (red pequea o sencilla) En un escenario con un solo servidor WSUS, los administradores pueden configurar un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el contenido directamente con Microsoft Update y distribuye las actualizaciones entre los equipos cliente, tal y como se muestra en la figura siguiente.

2.1.2 Varios servidores WSUS independientes Los administradores pueden implementar varios servidores configurados de forma que cada uno sea administrado, independientemente, y sincronice su contenido desde Microsoft Update, tal como se muestra en la figura siguiente.

El mtodo de implementacin en este escenario sera apropiado en situaciones en las que los diferentes segmentos de redes de rea local (LAN) o redes de rea extensa (WAN) se administran como entidades separadas (por ejemplo, sucursales). Tambin, sera adecuada cuando un servidor que ejecuta WSUS se ha configurado para implementar actualizaciones slo en equipos cliente que ejecutan un sistema operativo determinado (como, por ejemplo, Windows 2000), mientras otro servidor

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 153

se ha configurado para implementar actualizaciones slo en equipos cliente que ejecutan otros sistemas operativos (como, por ejemplo, Windows XP).

2.1.3 Varios servidores WSUS sincronizados internamente Los administradores pueden implementar varios servidores que ejecuten WSUS y que sincronicen todo el contenido de la intranet de la organizacin. En la figura siguiente, slo hay un servidor expuesto a Internet. En esta configuracin, ste es el nico servidor que descarga actualizaciones desde Microsoft Update. Este servidor est establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a travs de una red, geogrficamente, dispersa para ofrecer la mejor conectividad posible a todos los equipos cliente.

2.1.4 Servidores WSUS desconectados Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet, los administradores pueden configurar un servidor interno que ejecute WSUS, tal como se muestra en la figura siguiente. En este ejemplo, se cre un servidor para conectarlo a Internet; sin embargo, ste se encuentra aislado de la intranet. Despus que descargar, probar y aprobar las actualizaciones en este servidor, un administrador podra, a continuacin, exportar los metadatos y contenido de las actualizaciones a

CIBERTEC

CARRERAS PROFESIONALES

154

los medios apropiados. Luego, desde estos medios, el administrador importara los metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma ms sencilla, ste podra escalarse a una implementacin de cualquier tamao.

2.2 REQUERIMIENTOS DEL SERVIDOR WSUS 2.2.1 Requerimientos de almacenamiento 1 GB en la particin del sistema. 2 GB para el volumen en donde se almacenar los archivos de la base de datos. 20 GB para el volumen en donde estar almacenado el contenido. 2.2.2 Instalacin en Windows Server 2003 WSUS 3.0 Service Pack 1 no puede ser instalado en Windows 2000 Server. La instalacin en Windows Server 2003 requiere los siguientes prerrequisitos: Internet Information Services. .NET version 2.0 Microsoft Management Console 3.0 Microsoft Report Viewer Microsoft SQL Server 2005 SP1 o superior. 2.2.3 Instalacin en Windows Server 2008 Instale deIIS desde el sistema operativo. Asegrese que los siguientes componentes estn habilitados: Windows Authentication Static Content ASP.NET 6.0 Management Compatibility

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 155

6.0 IIS Metabase Compatibility Instale Microsoft Report Viewer, descrguelo desde el Web Site de Microsoft. .NET 2.0 y MMC 3.0 estn instalados como parte del sistema operativo. Microsoft SQL Server 2005 SP2 o superior. 2.3 CONFIGURACIN DE ACTUALIZACIONES AUTOMTICAS La poltica de grupo es la forma ms apropiada de configurar las opciones para actualizaciones automticas. Esto permite una configuracin centralizada y distribuida para todas las computadoras clientes WSUS sin ninguna interaccin del usuario. El administrador puede ejecutar polticas de actualizacin a todas las computadoras desde una ubicacin central. 2.3.1 Actualiza la plantilla administrativa de la poltica de grupo. WSUS habilita varias opciones de actualizaciones automticas en estn disponibles en versiones anteriores de clientes. Como consecuencia, las configuraciones por defecto de la poltica de grupo que estaban incluidas con Windows Server 2003 no van a permitir configurar todas las opciones actuales de las actualizaciones automticas. 2.3.2 Control administrativo usando poltica de grupo. Las opciones de configuracin que han sido definidas por el administrador usando poltica de grupo siempre sobrescribirn a las opciones definidas por el usuario. Tambin, las opciones de actualizaciones automticas en el panel de control estn deshabitadas en la computadora destino cuando las polticas administrativas han sido configuradas. La configuracin para las actualizaciones automticas est ubicada en Computer Configuration\Administrative Templates\Windows Components\Windows Update.

2.3.3 Configuraciones de actualizaciones automticas usando poltica de grupo. Varias configuraciones de actualizaciones automticas usando poltica de grupo son las siguientes: Especfica la ubicacin de la intranet Microsoft update service. Frecuencia de deteccin para actualizaciones automticas. Permite la instalacin inmediata de las actualizaciones automticas. Permite que los usuarios no administradores reciban notificaciones de actualizacin.

CIBERTEC

CARRERAS PROFESIONALES

156

1 ADMINISTRANDO WINDOWS SERVER UPDATE SERVICES


Como administrador, va a decidir cuando instalar las actualizaciones, o si primero va a verificar las actualizaciones en una computadora de prueba. Ahora, analizaremos como ver el contenido de las actualizaciones sincronizadas, as como tambin aprobar e instalar las actualizaciones. Es muy importante tener un backup de la configuracin de WSUS y de esta forma podamos restaurar la configuracin en caso de un evento de desastre. Existen 5 tareas primarias para administrar WSUS Revizar el estatus de la informacin, como las actualizaciones requeridas por las computadoras. Revizar y aprobar las actualizaciones para los clientes. Generar reportes del estado de las actualizaciones, computadoras, sincronizacin, y configuracin de WSUS. Administrar el grupo de computadoras. Configurar las opciones para la sincronizacin de WSUS, aprobaciones automticas, y asignar computadoras a los grupos.

1.1 CONSOLA DE ADMINISTRACIN DE WINDOWS UPDATE SERVICES La consola de administracin WSUS 3.0 ha sido movida desde la consola basada en Web hacia el MMC 3.0 (Microsoft Management Console). La nueva interfase brinda las siguientes caractersticas: Cada nodo de la pgina principal contiene una vista previa de todas las tareas asociadas con este nodo. Filtro avanzado. Nuevas columnas que te permite organizar las actualizaciones de acuerdo al tipo: nmero MSRC, artculo KB, y estado de la instalacin. Acceso directo a mens, que te permite realizar una accin con el clic derecho. Reporte integrado.

1.2 COMO TRABAJA LA SINCRONIZACIN Los servidores que ejecutan WSUS son actualizados un proceso llamado sincronizacin. Este proceso compara el software del servidor WSUS con las ltimas actualizaciones liberadas del Web Site Microsoft Update. Los administradores pueden configurar este proceso, automticamente, o de forma manual.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 157

1.2.1 Sincronizacin programada La configuracin por defecto para la sincronizacin programada es manual. Esto significa que el administrador tiene que escoger manualmente descargar las actualizaciones nuevas para el servidor WSUS. ste es apropiado, nicamente, para los servidores WSUS desconectados. Para otros servidores WSUS, la sincronizacin debera ser programada. La programacin diaria permite al servidor WSUS tener las ltimas actualizaciones. Despus de la sincronizacin el administrador an tiene que aprueba las actualizaciones antes que sern distribuidas a los clientes. 1.2.2 Clasificacin de productos y actualizaciones El administrador puede seleccioner productos especficos y clasificar las actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las actualizaciones crticas y las actualizaciones de seguridad. 1.2.3 Fuente de actualizacin El administrador puede sincronizar el contenido del servidor WSUS desde el Web Site de Microsoft Update o desde otra instalacin WSUS. La fuente de actualizacin depender de cmo hayas planeado la implementacin de WSUS. Un servidor WSUS independiente sincronizar el contenido desde el Web Site de Microsoft Update, mientras que el servidor WSUS de una oficina sucursal sincronizar su contenido desde el servidor WSUS de la oficina principal. 1.2.4 Idioma de actualizacin El administrador puede indicar las actualizaciones que son descargadas basadas en el idioma de la actualizacin. Esto reduce el uso del ancho de banda para la descargadas y reduce el espacio de disco requerido para almacenado las actualizaciones. La configuracin , por defecto, descarga las actualizaciones en todos los idiomas. 1.3 ADMINISTRAR LOS GRUPOS DE COMPUTADORAS Los grupos de computadoras son usados por WSUS para controlar que actualizaciones son aplicadas, y a que computadoras. Esto permite implementar etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de computadoras son ideales para testear las actualizaciones en computadoras especficas antes de distribuida las actualizaciones a toda la organizacin. 1.3.1 Computadoras clientes Las computadoras clientes estn listas en la pgina computers de la consola de administracin. Estas computadoras son agregadas, automticamente, a esta pgina despus se contacta con el servidor WSUS. Una computadora nunca es removida, de manera automtica, desde el servidor WSUS. Si reconfigura una computadora para usar otro Servidor WSUS, tendr que remover, manualmente, la computadora desde el servidor WSUS original.

CIBERTEC

CARRERAS PROFESIONALES

158

1.3.2 Grupos de computadoras por defecto Todas las nuevas computadoras son agregadas, de forma automtica, a los grupos All Computers group y Unassigned Computers Group. El grupo All Computers group brinda una forma conveniente para aplicar actualizaciones a cada computadora est usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver que computadoras quizs sea nuevas usando el servidor WSUS y necesiten ser agregadas a un grupo. Despus que las computadoras son agregadas a un grupo creado por el administrador ellas ya no formarn parte del grupo Unassigned Computers Group. 1.3.3 Agregar computadoras a los grupos de computadoras Las computadoras pueden ser agregadas manualmente o automticamente a los grupos. Para agregar de forma manual las computadoras a los grupos, se usa la consola WSUS Administration. Para agregar las computadoras automticamente, se debe usar la poltica de grupo Client-side targeting. 1.4 APROBAR ACTUALIZACIONES Despus que las actualizaciones han sido sincronizar al servidor WSUS, tendrs que aprobarlas para inicializar la implementacin. 1.4.1 Aprobar una actualizacin El administrador puede aprobar la instalacin de una actualizacin, detectar, eliminar, o declinar. Cuando apruebe una actualizacin, especifique la configuracin, por defecto, aprobada en el grupo All Computers group, y algunas configuraciones necesarias por cada grupo de computadora en la ventana aprobar actualizaciones. Sino, pruebe una actualizacin, el estatus de aprobacin se mantiene como no aprobar y el servidor WSUS no va realizar ninguna accin para la actualizacin. La excepcin para esta feria son las actualizaciones crticas y de seguridad, que son aprobadas, automticamente, por defecto. 1.4.2 Deteccin Cuando aprueba una actualizacin para deteccin, la actualizacin no es instalada. En vez, que WSUS verifique si actualizacin es compatible o necesaria con un grupo de computadoras. Puede especificar la deteccin. Deteccin ocurre en una hora programada. Despus de la deteccin puede ver cmo algunas computadoras no tienen la actualizacin instalada y es necesitada. El nmero necesitado para una actualizaciones 0, luego todas las computadoras clientes son actualizadas. 1.4.3 Instalacin La opcin aprobar instalacin instala la actualizacin al grupo de computadoras seleccionedas. En la instalacin por defecto de WSUS, las actualizaciones no son descargadas al servidor WSUS hasta que sean aprobadas para la instalacin. Cuando una actualizacin est aprobada para ser instalada, puede configurar un plazo. La fecha especificada en el plazo obliga la instalacin de la actualizacin en las computadoras clientes.
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 159

1.4.4 Eliminacin Si una actualizacin causa problemas despus de ser instalada, esta puede ser removida por medio de la eliminacin. ste es, particularmente, importante si has automatizado la instalacin automtica para ciertas clasificaciones de actualizaciones. 1.4.5 Declinar actualizaciones Como administrador puedes declinar cualquier actualizacin que no sea relevante para recta. Una actualizacin declinada es removida de la lista disponible de actualizaciones. 1.4.6 Aprobaciones automticas El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar actualizaciones crticas y de seguridad, de forma inmediata, antes que esperar que el proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen ventajas de las fallas. 1.5 USAR REPORTES Los reportes brindan una forma rpida para obtener una vista preliminar de los estados de las actualizaciones, estados de las computadoras, resultados de sincronizacin, y configuracin de WSUS. Tambin, puede imprimir los reportes para mostrarlos en reuniones e incluirlos como los reportes del estado de la red. Puede generar diferentes tipos de reportes desde diferentes lugares en la consola de administracin de WSUS. Los reportes generales en la pgina Reports de la consola. Los reportes de actualizaciones especficas Los reportes de computadoras especficas.

1.5.1 Los tipos de reportes Los reportes ms importantes son: a) b) c) d) e) Resumen de los informes de compatibilidad. los reportes individuales de la computadora. los reportes individuales de actualizaciones. Los reportes de compatibilidad del servidor de descarga. Los reportes de sincronizaciones.

1.6 BACKUP Y RESTAURACIN DE WSUS A travs de WSUS no se brinda una herramienta de backup propia, puede usar la utilidad de backup disponible en todos los servidores que ejecutan Windows Ser ver 2003 o Windows Server 2008.

CIBERTEC

CARRERAS PROFESIONALES

160

1.6.1 Base de datos de WSUS Cuando se realiza un backup de la base de datos de WSUS, el servicio MSSQL$WSUS deber estar detenido. Si el servicio se est ejecutando durante el backup hay un riesgo que el backup podra ser inconsistente. La base de datos de WSUS contiene la siguiente informacin: Actualizacin de la metadata, incluye informacin acerca de las actualizaciones. La metadata es tambin, el lugar donde se guarda el EULA (la licencia de usuario final). La configuracin del servidor WSUS, e incluir todas las configuraciones del servidor. Estas opciones son especificadas desde la consola WSUS. Informacin acerca de las computadoras clientes, actualizaciones, y la interaccin del cliente con las actualizaciones. Puedes acceder a esta informacin a travs de la consola WSUS cuando es el estado o ejecutas el reporte en el estado de la computadora cliente con en el estado de actualizacin.

1.6.2 Directorio de actualizaciones El directorio que contiene todas las actualizaciones que han sido descargadas y almacenadas en el servidor WSUS, por defecto se encuentra en %systemdrive%\WSUS\WSUSContent.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 161

2 INSTALACIN DE LOS PRE-REQUISITOS


2.1 INSTALACIN DEL SERVIDOR WEB En este paso, debe instalar el Servidor Web 1. Ingrese al Server Manager, y seleccione Add Roles.

2. En la ventana Select Server Roles, haga clic en Web Server (IIS), luego 2 veces clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

162

3. En la ventana Select Role Services, seleccione Windows Authentication, Static Content, ASP.NET, IIS 6 Metabase Compatibility, haga clic en Next.

4. En la ventana de resumen clic en Install, luego clic en Close. 2.2 INSTALACIN DE REPORT VIEWER 1. Haga 2 clics en ReportViewer, luego clic en Run. 2. En la ventana Welcome to Microsoft Report Viewer Redistributable 2008 Setup, haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 163

3. En la ventana End-User License Agreement, seleccione I accept the terms of the License Agreement, luego haga clic en Install.

4. Ahora clic en Finish.

3 IMPLEMENTACIN DE WSUS
3.1 INSTALACIN DE WSUS 1. Ejecute WSUS30-KB972455-x86.exe 2. En la ventana Do you want run this file? Usted haga clic en Run.

CIBERTEC

CARRERAS PROFESIONALES

164

3. En la ventana Welcome to the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Next.

4. En la ventana Installation Mode Selection, seleccione Full server installation including Administration Console, haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 165

5. En la ventana License Agreement, seleccione I accept the terms of the License agreement, haga clic en Next.

6. En la ventana Select Update Source, haga clic en Store updates locally y finalmente clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

166

7. En la ventana Database Options, seleccione Install Windows Internal Database on this computer, haga clic en Next.

8. En la ventana Web Site Selection, haga clic en Use the existing IIS Default Web Site (recommended), haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 167

9. En la ventana Ready to Install Windows server Update Services 3.0 SP1, haga clic en Next

10. En la ventana Completing the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Finish.

CIBERTEC

CARRERAS PROFESIONALES

168

3.2 INSTALACIN DE WSUS 1. Despus de instalar WSUS, aparecer el asistente de configuracin. La primera advertencia que aparece nos pregunta si el servidor firewall esta configurado para permitir que los clientes puedan acceder al servidor.

2. Windows Server 2008 se instala con el firewall activo por defecto, entonces una regla para los puertos de WSUS tienen que ser configuradas. Abra el Windows Firewall y encuentre las 2 reglas de WSUS que han sido configuradas para conexiones HTTP y HTTPS. La regla HTTPS no esta habilitada, si quiere usar SSL para WSUS clientes debers habilitarla.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 169

3. En la ventana Choose Upstream Server, seleccione Synchronize from Microsoft Update, haga clic en Next.

4. En la ventana Choose Languages, seleccione Download updates only in these languages (spanish).

CIBERTEC

CARRERAS PROFESIONALES

170

5. En la ventana Choose Products, seleccione los productos que desea actualizar, y haga clic en Next.

6. En la ventana choose Classifications, seleccione Critical Updates, Definition Updates, y Security Updates, despus haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 171

7. En la ventana Set Sync Schedule, seleccione Synchronize manually, despus haga clic en Next.

8. Ahora, ejecute la consola de administracin de WSUS, dando clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

172

9. Lee lo que muestra la ventana, y luego clic en Finish.

3.3 ADMINISTRACIN DEL SERVIDOR Y CLIENTE WSUS A partir de aqu, ver opciones que quedan para configurar en WSUS as cmo parmetros para administrarlo, y posteriormente , cmo implementar el WSUS con directivas en el Directorio Activo. 3.3.1 Crear el grupo de computadora Finanzas 1. Ejecute la consola de administracin de WSUS. 2. Click derecho sobre All Computers y ah elige Add Computer Group, y escribe Finanzas.

3.3.2

Configurando los clientes WSUS por medio de GPO Lo primero que debes hacer es crear un GPO con el nombre WSUS PC CLients para los clientes WSUS. 1. Dentro del GPO edite Configure Automatic Updates

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 173

2. En la ventana Configure Automatic Updates, seleccione Enabled, luego seleccione Auto download and Schedule the installation, despus programe la instalacin en Scheduled install day = 0 Every day, y en Scheduled install time = 18:00.

3. Busque y habilite la poltica Specify intranet Microsoft update service location, en Intranet update services e Intranet statics server escribe http://nombre_del_servidor_wsus.

CIBERTEC

CARRERAS PROFESIONALES

174

4. Finalmente, debe buscar la poltica Enable client-side targeting, y escribe el nombre del grupo de computadora (Finanzas) al que pertenecer los equipos.

5. Con esto las computadoras, se reportarn al servidor WSUS, lo nico que faltara es aprobar las actualizaciones. 6. Algunas otras opciones: Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas. No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalacin programada en vez de reiniciarlo automticamente. Automatic Update detection frequency: Es el nmero total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones. Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algn servicio entonces que lo instale inmediatamente. Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 175

Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado. Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no. Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros, sino es slamente de Microsoft. Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrn acceder al sitio de Windows Update. Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la mquina para que slo se utilice a travs del WSUS. Do not display Install Updates and Shut Down option in Shut Down Windows dialog box: Habilita o deshabilita la opcin de instalar los parches y apagar el equipo en el men de Apagar del cliente. Do not adjust default option to Install Updates and Shut Down in Shut Down Windows dialog box: Si queremos que, por defecto, sea la opcin elegida cuando apagamos el cliente.

CIBERTEC

CARRERAS PROFESIONALES

176

Resumen

Antes de instalar WSUS en Windows 2008 Server tiene que instalar IIS y Report Viewer. La instalacin de WSUS requiere 6GB de espacio libre en el disco duro Windows Server Update Service entrega actualizaciones a las computadoras o servidores en la red. WSUS puede actualizar productos de Microsoft como: Office, Data Protection Manager, Windows Defender, Isa Server, Exchange Server, etc. Las actualizaciones tienen que ser aprobadas para estar disponibles a los equipos de la red. El comando gpupdate /force permite actualizar las polticas configuradas en el Servidor WSUS.

Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://technet.microsoft.com/en-us/wsus/default.aspx Aqu hallar informacin adicional sobre WSUS. http://www.microsoft.com/downloads/details.aspx?FamilyID=113d4d0c-56494343-8244-e09e102f9706&displaylang=en En esta pgina, hallar informacin de cmo implementar WSUS. 6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre WSUS.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 177

CIBERTEC

CARRERAS PROFESIONALES

178

UNIDAD DE APRENDIZAJE

5
TEMA

10

TERMINAL SERVER
LOGRO DE LA UNIDAD DE APRENDIZAJE
Al trmino de la unidad, los alumnos, podrn describir los componentes que forman parte de la infraestructura Terminal Server y Terminal Server Web Access.. Al trmino de la unidad, los alumnos, podrn implementar la infraestructura Terminal Server podrn permitir el acceso remoto a las aplicaciones que se ejecutan en el Servidor.

TEMARIO
Concepto de Terminal Server Implementacin de Terminal Server Concepto de Terminal Server Web Access Implementacin de Terminal Server Web Access

ACTIVIDADES PROPUESTAS
Los alumnos instalan y configuran el Servidor Terminal Server y Termian Web Acces brindado aplicaciones de forma remota a los clientes de la red. Publican aplicaciones via Web.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 179

1. CONCEPTO DE TERMINAL SERVER


El rol de Terminal Services de Windows Server 2008 permite a los usuarios acceder a programas Windows instalados en un servidor de terminales o acceder a un desktop Windows completo. Con Terminal Services se puede acceder a un servidor de terminales desde la red corporativa o desde Internet. En Windows Server 2008, el rol de Terminal Services introduce muchas novedades y mejoras con respecto a las versiones anteriores del sistema operativo, que afectan a las funcionalidades bsicas, al proceso de impresin remota, al sistema de licencias, al modelo de administracin de los propios servidores y servicios, y tambin incorpora innovaciones como RemoteApp o el Terminal Services Gateway. 1.1 HABILITE EL TERMINAL SERVER 1. En SRV-NPS-01, clic Start | Server Manager. 2. Clic derecho en Roles. 3. Clic en Add Roles. 4. Clic en Next. 5. Seleccione Terminal Services y clic en Next dos veces. 6. En la lista Roles Services, clic Terminal Server y luego clic dos veces en Next. 7. En la venatana Specify Authentication Method for Terminal Server seleccione Do not requiere Network Level Authentication y luego clic dos veces en Next. 8. En la ventana Select User Group Allowed Access To This Terminal Server incorpore el grupo de usuarios que tienen permisos para accede al Terminal Server, luego clic en Next y finalmente clic en Install. 9. Reinicie el Servidor para que los cambios surgan efecto. 1.2 ACCEDE A LOS PROGRAMAS DEL SERVIDOR TERMINAL 1. Desde Windows Vista inicie sesion con el usuario jurbina, clic en Menu inicio | en Iniciar bsqueda escriba Mstsc. 2. Escriba en equipo srv-nps-01 luego clic en Conectar. 3. En la ventana Escribir las credenciales escriba el nombre del usuario y contrasea. 4. Clic en Conectar.

2. PERMISOS DE ACCESO AL TERMINAL SERVER


Terminal Server brinda 3 tipos de permiso: Control Total Acceso Usuario Acceso Invitado

CIBERTEC

CARRERAS PROFESIONALES

180

2.1 Control Total El permiso de control total permite que el usuario pueda realizar modificaciones en el perfil del usuario y del servidor. 2.2 Acceso Usuario El permiso de acceso usuario permite que el usuario pueda realizar modificaciones en el perfil del usuario, pero no en el servidor. 2.2 Acceso Invitado El permiso de acceso invitado permite que el usuario no pueda realizar modificaciones en el perfil del usuario ni en el servidor.

3. CONCEPTO DE TERMINAL SERVER WEB ACCESS


Acceso web de Terminal Services (Acceso web de TS) es un servicio de funcin de la funcin Terminal Services que permite poner programas RemoteApp de Terminal Services (RemoteApp de TS) y una conexin al escritorio de Terminal Server a disposicin de los usuarios desde un explorador web. Acceso web de TS tambin permite a los usuarios conectarse desde un explorador web al escritorio remoto de cualquier equipo servidor o cliente donde tengan el acceso apropiado. Con Acceso web de TS, los usuarios pueden visitar un sitio web (desde Internet o desde una intranet) para obtener acceso a una lista de programas de RemoteApp disponibles. Cuando inician un programa RemoteApp, se inicia una sesin de Terminal Services en el servidor de Terminal Server basado en Windows Server 2008 que hospeda el programa RemoteApp. Despus de instalar Acceso web de TS en un servidor web basado en Windows Server 2008, los usuarios pueden conectarse al servidor de Acceso web de TS para obtener acceso a programas RemoteApp que estn disponibles en un servidor de Terminal Server basado en Windows Server 2008. Acceso web de TS ofrece muchas ventajas. A continuacin se enumeran algunas:

Los usuarios pueden obtener acceso a programas RemoteApp desde un sitio web, a travs de Internet o de una intranet. Para iniciar un programa RemoteApp, basta con hacer clic en su icono. Si un usuario inicia varios programas de RemoteApp mediante Acceso web de TS, y los programas se ejecutan en el mismo servidor de Terminal Server, los programas de RemoteApp se ejecutarn dentro de la misma sesin de Terminal Services. El uso de Acceso web de TS provoca una carga administrativa mucho menor. Permite implementar programas fcilmente desde un lugar centralizado. Por otro lado, los programas se ejecutan en un servidor de Terminal Server y no en el equipo cliente, por lo que su mantenimiento es ms fcil. Acceso web de TS incluye Conexin web a Escritorio remoto, que permite a los usuarios conectarse desde una ubicacin remota al escritorio de cualquier equipo si tienen acceso a Escritorio remoto.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 181

Acceso web de TS proporciona una solucin que funciona con un mnimo de configuracin. La pgina web de Acceso web de TS incluye un componente web Acceso web de TS, que puede incorporarse en una pgina web personalizada o en un sitio de Windows SharePoint Services.

3.1 INSTALA EL TERMINAL SERVER WEB ACCESS 1. En SRV-NPS-01, clic Start | Server Manager. 2. Seleccione el rol Terminal Services, luego clic derecho en Terminal Services y seleccione Add Role Services. 3. Clic en TS Web Access y luego clic 3 veces en Next. 4. Haga clic en Install y luego clic en Close. 3.2 PUBLICA LAS APLICACIONES REMOTAS PARA TS WEB ACCESS 1. En SRV-NPS-01, ejecute la herramienta administrativa TS RemoteApp Manager.

2. Haga clic en Add RemoteApps, en la ventana Welcome to the RemoteApp Wizard haga clic en Next. 3. Seleccione la aplicacin Calculator y Paint y luego clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

182

4. Finalmente clic en Finish. 3.3 ACCEDE A LA PGINA DEL TS WEB ACCESS 1. En SRV-NPS-01, ejecute IE e ingrese a la direccion http://srv-nps-01/ts. 2. En la ventana de autenticacin ingrese el nombre de usuario y contrasea.

3. Ejecute las aplicaciones que se han publicado.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 183

Resumen
Terminal Server permite a los usuarios acceder al escritorio de Windows y sus programas desde cualquier equipo que use el cliente terminal. TS Web Access permite a los usuarios acceder a determinadas aplicaciones que estn instaladas en el Servidor Terminal usando el navegador. Las aplicaciones que brinda TS Web Access a los usuarios deben ser primero publicadas con la herramienta administrativa TS RemoteApp Manager. Terminal Server permite centralizar las aplicaciones en la red. Para controlar el tipo de acceso al Servidor Terminal existen 3 tipos de permisos: control total, acceso de usuario y acceso de invitado. Terminal Server es la solucin ideal para equipos que no puedan instalar aplicaciones basadas en Windows como Linux, MacOSX o Unix.

Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://technet.microsoft.com/es-es/library/cc754746(WS.10).aspx Aqu hallar informacin sobre Terminal Server. http://technet.microsoft.com/es-es/library/cc771908(WS.10).aspx Aqu hallar informacin adicional sobre TS-Web-Access.

CIBERTEC

CARRERAS PROFESIONALES

184

UNIDAD DE APRENDIZAJE

6
TEMA

11
ADMINISTRACIN ACTIVO

AVANZADA

DEL

DIRECTORIO

LOGRO DE LA UNIDAD DE APRENDIZAJE


Al trmino de la unidad, los alumnos, podrn implementar, y administrar el Servidor RODC en las oficinas sucursales. Al trmino de la unidad, los alumnos, podrn registrar los equipos clientes al Dominio a travs del Servidor RODC.

TEMARIO
Implementar el RODC. Implementar Server Core como Servidor de Archivo.

ACTIVIDADES PROPUESTAS
Los alumnos implementan el Servidor RODC. Los alumnos registran sus equipos con Vista usando el RODC.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 185

1. SERVIDOR RODC (READ-ONLY DOMAIN CONTROLLER)


Para mejorar el tiempo de respuesta de autentificacin del suelo, en algunas veces es deseable ubicar un controlador predominio en las oficinas sucursales o en las redes estn en el lmite de nuestro sitio. Las oficinas sucursales o las redes estn en el lmite de su sitio algunas veces carecen de seguridad. El controlador predominio de su lectura, en ingls Read-Only Domain controller (RODC) est diseado para escenarios donde un controlador predominio necesita ser ubicado en un ambiente con baja seguridad. Un RODC no almacena ninguna contrasea por defecto. Si el RODC est comprometido, la intrusin en la red usando la informacin obtenida desde el RODC es, significativamente, pequea. Debido que las oficinas sucursales algunas veces tienen pocos controles de acceso, RODC puede ser una eleccin ms segura para ubicar un controlador de dominio en las oficinas sucursales.

RODCs almacena copias de informacin de slo lectura del directorio activo usando replicacin unidireccional para el directorio activo del sistema de replicacin de archivo. 1.1 BASE DE DATOS DEL DIRECTORIO ACTIVO DE SLO LECTURA Los controladores de dominio de slo de lectura son ideales para ubicarlos en lugares donde exista un un alto riesgo de estar expuestos a ataques externos. Esto, tpicamente, incluye los lmites de la red perimetral, conocida como DMZ, o algn ambiente donde la seguridad es muy baja son los lugares ms adecuados para implementar un RODC. Los servidores de aplicacin, como son Internet Information Services (IIS) y servidores de mensajera como lo es Microsoft Exchange, algunas veces estn ubicados en el lmite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el servicio del directorio para

CIBERTEC

CARRERAS PROFESIONALES

186

autentificacin, el servidor Exchange siempre requiere del Directorio Activo, pero blindar el acceso de estos servidores a los controladores de escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos escenarios. 1.2 REPLICACIN UNIDIRECCIONAL DEL CONTROLADOR DE DOMINIO DE SLO LECTURA Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se originan de manera local, no es necesario que los controladores de dominio grabables, que son asociados de replicacin, extraigan los cambios del RODC. Esto significa que cualquier cambio o dao que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.

2. NUEVAS FUNCIONALIDADES
RODC trata algunas problemticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, adems del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal tcnico. A raz de la problemtica enunciada anteriormente, RODC provee las siguientes caractersticas:

Read-only AD DS Database. Unidirectional replication. Credential Caching. Administrator role separation. Read-only DNS.

2.1 READ-ONLY AD DS DATABASE Exceptuando contraseas, un RODC contiene todos los objetos y atributos que tiene un DC tpico. Sin embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, debern llevarse a cabo en un DC no RODC, y luego impactados va replicacin en la base del RODC. Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrn sin problema alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirn un LDAP referral, que apuntar, directamente, a un DC no RODC. 2.2 UNIDIRECTIONAL REPLICATION La replicacin unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algn cambio con la intencin de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicacin reduce la sobrecarga de bridgehead servers, y la monitorizacin de dicha replicacin.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 187

2.3 CREDENTIAL CACHING Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar, explcitamente, el almacenamiento de cualquier otro tipo de credencial. Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita tambin la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas sern vulnerables a posibles ataques. Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticacin se redireccione a un DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC. 2.4 ADMINISTRATOR ROLE SEPARATION Es posible delegar permisos administrativos, nicamente, para un RODC, limitando la realizacin de tareas administrativas en el RODC, y no en otros DCs. 2.5 READ-ONLY DNS El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita, tambin, la replicacin del registro especfico.

3. REQUISITOS PREVIOS PARA UTILIZAR RODC

El RODC debe reenviar solicitudes de autenticacin a un DC no RODC que sea Windows Server 2008. La Password Replication Policy se configura en este DC para determinar si las credenciales son replicadas hacia la Branch Office a partir de una solicitud del RODC. El Domain Functional Level debe ser Windows Server 2003 o superior, para que de esta forma est disponible la delegacin de Kerberos. El Forest Functional Level debe ser Windows Server 2003 o superior, para que linked-value replication est disponible. Esto provee mayor consistencia en lo que respecta a replicacin. Se debe ejecutar adprep /rodcprep a nivel forest para actualizar los permisos en todas las DNS application Directory Partitions. Esto posibilita que los RODCs que a su vez son servidores DNS, puedan replicar los permisos sin problemas.

CIBERTEC

CARRERAS PROFESIONALES

188

4. PASOS BSICOS PARA IMPLEMENTAR UN RODC


Nota: El procedimiento indica solo los pasos de configuracin bsicos. 1. Seleccione Start. 2. Seleccione Run... 3. Ejecute DCPromo.exe. 4. Seleccione Use Advanced Mode Installation. Luego, seleccione Next.

5. Seleccione Create a New Domain in the Forest. Luego, seleccione Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 189

6. Ingrese el nombre DNS completo del dominio. Luego, seleccione Next.

7. Acepte o modifique el nombre NETBiOS en caso de ser necesario. Luego, seleccione Next.

CIBERTEC

CARRERAS PROFESIONALES

190

8. Seleccione el Forest Functional Level que corresponda. Luego, seleccione Next.

9. Seleccione las opciones adicionales particulares para el Domain Controller, entre ellos, DNS, Global Catalog, o Read-Only Domain Controller (el cual debe seleccionar). Luego, haga clic en Next.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 191

10. Acepte o modifique las opciones de configuracin referidas a la ubicacin de la base de datos de Active Directory, logs y SYSVOL. Luego, seleccione Next.

11. Ingrese la contrasea del Administrador correspondiente al Directory Services Restore Mode. Luego, seleccione Next.

CIBERTEC

CARRERAS PROFESIONALES

192

12. En la ventana de Summary, seleccione Next.

12. Seleccione el checkbox Reboot on Completion, y espere a que finalice el proceso de configuracin y se reinicie el sistema operativo.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 193

Resumen

El RODC es un nuevo controlador de dominio introducido en Windows 2008 Server. El RODC est diseado para su implementacin en sitios donde no se puede garantizar una seguridad total. El RODC puede ser implementado en el Servidor Core. Las contraseas no son almacenadas en el servidor RODC. Las polticas de replicacin de contrasea determina que contraseas pueden ser almacenadas en la cache del RODC. Se pueden delegar permisos administrativos nicamente al RODC, y no a otros DCs

Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas: 6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre RODC. http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx Aqu hallar informacin adicional sobre RODC. http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677a76c-2446039ab490&displaylang=en En esta pgina, hallar informacin de cmo implementar RODC en las sucursales.

CIBERTEC

CARRERAS PROFESIONALES

194

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 195

UNIDAD DE APRENDIZAJE

6
TEMA

12
ADMINISTRACIN ACTIVO

AVANZADA

DEL

DIRECTORIO

LOGRO DE LA UNIDAD DE APRENDIZAJE


Al trmino de la unidad, los alumnos, configuran y activan en Servidor 2008 Core. Al trmino de la unidad, los alumnos, implementan el Servidor Core como Servidor de Archivo.

TEMARIO
Implementar el RODC. Implementar Server Core como Servidor de Archivo.

ACTIVIDADES PROPUESTAS
Los alumnos configuran el Servidor Core. Los alumnos implementan el Servidor Core como Servidor de Archivo.

CIBERTEC

CARRERAS PROFESIONALES

196

1. INTRODUCCIN A WINDOWS SERVER CORE


Windows Server Core 2008 brinda una instalacin mnima del sistema operativo. Esto reduce los requerimientos de espacio de disco y pueden convertir a Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos de instalacin desatendida pueden ser usados para acelerar la implementacin de Windows Server Core 2008. Esto reduce los requerimientos de mantenimiento y reduce las oportunidades de ataque desde la red. Al empezar la instalacin de Windows Server 2008, los administradores pueden elegir la instalacin del servidor con la funcionalidad nica de Windows Server Core 2008. Esto limita los roles que pueden funcionar en el servidor, pero puede mejorar la seguridad y reduce la administracin. Este tipo de instalacin es llamada la instalacin de Server Core. Server Core es la instalacin mnima de Windows Server 2008 y no brinda interfaz grfica. A continuacin, debemos los beneficios de brinda Server Core: Server Core requiere menos mantenimiento de software, as como la instalacin actualizaciones. Server Core tiene menos ataques desde la red. Administrar Server Core es mucho ms fcil. Server Core usados menos espacio de disco para la instalacin.

Para instalar y configurar Server Core se debe implementar archivos desatendidos. Server Core brinda la plataforma ms estable, fcil y segura para implementar los siguientes roles de infraestructura de red: Servidor DHCP. Servidor DNS. Servidor de archivo. Controlador de dominio.

2. CONFIGURACIN Y ADMINISTRACIN DE SERVER CORE


Configurar y administrar una instalacin de Server Core requiere un diferente enfoque cuando se compara con la instalacin completa de Windows Server 2008. La interface mnima en Server Core requiere realizar las modificaciones usando la interface smbolo del sistema o realizar la administracin sobre la red. Hay 4 pasos bsicos para configurar Windows Server Core. o Configurar la contrasea del administrador. Una vez inicia sesin en una computadora que ejecuta Windows Server Core, se iniciar el smbolo del sistema. Si cierras el smbolo del sistema, podrs reiniciarlo desde el administrador de tareas o cerrando la sesin e inicindola otra vez. net user administrator * o Especfica una direccin IP. La configuracin de obtener una direccin automtica est configurada, por defecto, pero puedes especficar una direccin esttica.
CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 197

Netsh interface ipv4 set address name=NetCardID source=<IP Address> mask=<subset> gateway=<default gateway> o Si necesita incorporar Windows Server Core a un existente dominio, necesitas una cuenta de usuarios y contrasea que tengan las credenciales adecuadas. Netdom join <computername> /domain:<domainname> /userD:<domain/user> /passwordD:* o Active la instalacin de Windows Server 2008 Slmgr.vbs -ato

3. INCORPORANDO ROLES

La instalacin de Server Core soporta los siguientes roles: Hyper-V IIS 7.0 Servidor DHCP Servidor DNS Servidor de archivo Servicio del Directorio Activo Active Directory Lightweight Directory Services Windows Media Services Servidor d susImpresin

El comando OCSetup distingue la mayscula y la minscula en el nombre de los roles de los paquetes que quienes incorporar. Por ejemplo, DHCP Server, File Server. OCSetup est disponible como parte del sistema operativo Windows Server 2008. Esta herramienta reemplaza a Sysocmgr.exe, est incluido en Windows XP y Windows Server 2003. Puedes ser OCSetup en una computadora que ejecuta Windows Vista o Windows Server 2008 para instalar o tres instalar aplicaciones MSI y

CIBERTEC

CARRERAS PROFESIONALES

198

componentes. OCSetup necesita ser ejecutado con privilegios administrativos, tambin puede ser usado con archivo desatendido utilizando la opcin /unattend. Para desinstalar componentes, usa OCSetup con la opcin /uninstall. Use OCSetup con Start para agregar roles al Servidor Core. No puedes usar el asistente de instalacin Active Directory Domain Controller de un servidor que ejecuta Server Core. Tendr que usar un archivo desatendido con el comando dcpromo para instalar o desinstalar el rol de controlador de dominio de un Servidor Core. Una vez que la instalacin est completada y el servidor est configurado para ser usado, tambin podrs instalar las caractersticas opcionales. La instalacin de Server Core soporta las siguientes caractersticas: Failover Clustering. WINS. Network Load Balancing. Subsystem for UNIX-based applications. Backup. BitLocker Driver Encryption. Simple Network Management Protocol. Distributed File System Replication. Simple Network Time Protocol.

Ejemplo de un archivo desatendido para usar con dcpromo:

4. ROL DE CONTROLADOR DE DOMINIO EN SERVER CORE

Instalar el servicio del Directorio Activo en una instalacin de Server Core de Windows Server 2008 se requiere usar un archivo desatendido con dcpromo. De esta forma se instalar el rol del Directorio Activo y promover el servidor a controlador de dominio usando las configuraciones que estn en el archivo desatendido. Para instalar el rol de Directorio Activo, el smbolo del sistema ejecuta: Dcpromo /unattend:Unattendfile Donde: Unattendfile es el nombre del archivo desatendido de dcpromo.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 199

4.1 ARCHIVO DESATENDIDO Debajo hay un ejemplo de un archivo desatendido, usado para crear un segundo controlador de dominio que se replicar en el dominio Contoso.com.
[Unattented]

Unattented=fullunattended
[DCINSTALL] UserName=administrator Password=Pa$$w0rd UserDomain=Contoso DatabasePath=c:\windows\ntds LogPath= c:\windows\ntds SYSVOLPath= c:\windows\sysvol SafeModeAdminPassword=Pa$$w0rd SiteName= Default-First-Site ReplicaOrNewDomain=replica ReplicaDomainDNSName=contoso.com ReplicationSourceDC= RebootOnSuccess=yes

Debajo est la descripcin de todos los campos que forman parte de la seccin DCINSTALL del archivo desatendido. AllowDomainReinstall

Yes | No Esta entrada especifica si se volver a crear un dominio existente.

AllowDomainControllerReinstall

Yes | No Esta entrada especifica si se seguir instalando este controlador de dominio aunque se detecte una cuenta de controlador de dominio activa que utilice el mismo nombre. Especifique "Yes" (sin comillas) solo si tiene la seguridad de que la cuenta ya no se utiliza.

ApplicationPartitionsToReplicate

Ningn valor predeterminado Esta entrada especifica las particiones de aplicacin que tienen que replicarse, con el formato ""particin1" "particin2"". Si se especifica *, se replicarn todas las particiones de aplicacin. Utilice nombres distintivo separados por espacios en blanco o por comas y espacios en blanco. Escribe toda la cadena entre comillas.

ChildName

Ningn valor predeterminado Es el nombre del dominio subordinado que se anexa a la entrada ParentDomainDNSName. Si el dominio primario es "A.COM" y el dominio subordinado es "B", Escribe "B.A.COM and B" (sin comillas) para ChildName.

ConfirmGc

Yes | No

CIBERTEC

CARRERAS PROFESIONALES

200

Esta entrada especifica si la rplica es tambin un catlogo global. "Yes" convierte la rplica en un catlogo global si la copia de seguridad era un catlogo global. "No" no convierte la rplica en un catlogo global. (Estas entradas no necesitan comillas.)

CreateDNSDelegation

Yes | No Ningn valor predeterminado Esta entrada indica si se crear una delegacin DNS que has referencia a este nuevo servidor DNS. Esta entrada solo es vlida para DNS integrado con AD DS.

CriticalReplicationOnly

Yes | No Esta entrada especifica si la operacin de instalacin solo realizar la replicacin importante antes de un reinicio, y se saltar la parte no crtica y que puede ser muy larga de la replicacin. La replicacin no crtica se realiza una vez completada la instalacin de funciones y reiniciado el equipo.

DatabasePath

%systemroot%\NTDS Esta entrada es la ruta de acceso del directorio completo no UNC (convencin de nomenclatura universal) en un disco duro del equipo local. Este directorio hospedar la base de datos de AD DS (NTDS.DIT). Si el directorio existe, debe estar vaco. Si no existe, se crear. El espacio libre en disco en la unidad lgica seleccioneda debe ser de 200 megabytes (MB). Para dar cabida a errores de redondeo o a todos los objetos del dominio, quizs el espacio libre en disco deba ser mayor. Para lograr el mximo rendimiento, utilice el directorio de un disco duro dedicado.

DelegatedAdmin

Ningn valor predeterminado Esta entrada especifica el nombre del usuario o del grupo que instalar y administrar el RODC. Si no se especifica ningn valor, solo los miembros del grupo Admins. del dominio o Administradores de organizacin pueden instalar y administrar el RODC.

DNSDelegationPassword

<Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea de la cuenta de usuario utilizada para crear o quitar la delegacin DNS. Especifique * para pedir al usuario que introduzca sus credenciales.

DNSDelegationUserName

Ningn valor predeterminado Esta entrada especifica el nombre de usuario que se utilizar cuando se cree o se quite la delegacin DNS. Si no especifica ningn valor, se utilizarn para la delegacin DNS las credenciales de cuenta que especifique para la instalacin o desinstalacin de AD DS.

DNSOnNetwork

Yes | No Esta entrada especifica si el servicio DNS est disponible o no en la red. Solo se utiliza cuando el adaptador de red de este equipo no est configurado para

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 201

utilizar el nombre de un servidor DNS para la resolucin de nombres. Especifique "No" (sin comillas) para indicar que DNS se instalar en este equipo para la resolucin de nombres. De lo contrario, se debe configurar primero el adaptador de red para utilizar el nombre de un servidor DNS.

DomainLevel

0|2|3 Ningn valor predeterminado Esta entrada especifica el nivel funcional del dominio. Esta entrada se basa en los niveles existentes en el bosque cuando se crea un dominio nuevo en un bosque existente. Las descripciones de los valores son las siguientes: o 0 = Modo nativo de Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008

DomainNetbiosName

Ningn valor predeterminado Esta entrada es el nombre NetBIOS utilizado por los clientes anteriores a AD DS para tener acceso al dominio. El valor de DomainNetbiosName debe ser nico en la red.

ForestLevel

0|2|3 Esta entrada especifica el nivel funcional del bosque cuando se crea un dominio nuevo en un nuevo bosque, de la manera siguiente: o 0 = Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008 No debe utilizar esta entrada cuando instale un nuevo controlador de dominio en un bosque existente. La entrada ForestLevel reemplaza la entrada SetForestVersion disponible en Windows Server 2003.

InstallDNS

Yes | No El valor predeterminado cambia dependiendo de la operacin. En el caso de un bosque nuevo, la funcin del servidor DNS se instala de forma predeterminada. Si se trata de un nuevo rbol, un nuevo dominio secundario o una rplica, se instala un servidor DNS de forma predeterminada si el Asistente para instalacin de Servicios de dominio de Active Directory detecta una infraestructura DNS existente. Si el asistente no detecta ninguna infraestructura DNS existente, no se instalar un servidor DNS de forma predeterminada. Esta entrada especifica si DNS est configurado para un nuevo dominio si el Asistente para instalacin de Servicios de dominio de Active Directory detecta que el protocolo de actualizacin dinmica de DNS no est disponible. Esta entrada, tambin, se aplica si el asistente detecta un nmero insuficiente de servidores DNS para un dominio existente.

LogPath

%systemroot%\NTDS

CIBERTEC

CARRERAS PROFESIONALES

202

Es la ruta de acceso del directorio completo no UNC en un disco duro del equipo local que hospedar los archivos de registro de AD DS. Si el directorio existe, debe estar vaco. Si no existe, se crear.

NewDomain

Tree | Child | Forest "Tree" significa que el nuevo dominio es la raz de un nuevo rbol en un bosque existente. "Child" significa que el nuevo dominio es secundario de un dominio existente. "Forest" significa que el nuevo dominio es el primer dominio de un nuevo bosque de rboles de dominios.

NewDomainDNSName

Ningn valor predeterminado Esta entrada se utiliza en instalaciones "nuevo rbol en bosque existente" o "nuevo bosque". El valor es un nombre de dominio DNS que no se est utilizando actualmente.

ParentDomainDNSName

Ningn valor predeterminado Esta entrada especifica el nombre de un dominio DNS primario existente para una instalacin de dominio secundario.

Password

<Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor proteccin, las contraseas se quitan del archivo de respuesta despus de una instalacin. Es necesario volver a definir las contraseas cada vez que se utiliza un archivo de respuesta.

PasswordReplicationAllowed

<Entidad_de_seguridad> | NONE Ningn valor predeterminado Esta entrada especifica los nombres de las cuentas de equipo y de usuario cuyas contraseas se pueden replicar en este RODC. Especifique "NONE" (sin comillas) si desea dejar vaco este valor. De forma predeterminada, no se almacenar en cach ninguna credencial de usuario en este RODC. Para especificar ms de una entidad de seguridad, agregue la entrada varias veces.

PasswordReplicationDenied

<Entidad_de_seguridad> | NONE Esta entrada especifica los nombres de las cuentas de usuario, grupo y equipo cuyas contraseas no se van a replicar en el RODC. Especifique "NONE" (sin comillas) si no desea denegar la replicacin de credenciales para algn usuario o equipo. Para especificar ms de una entidad de seguridad, agregue la entrada varias veces.

RebootOnCompletion

Yes | No Esta entrada especifica si se reiniciar o no el equipo despus de instalar o quitar AD DS, independientemente de que la operacin se realice, correctamente, o no.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 203

RebootOnSuccess

Yes | No | NoAndNoPromptEither Esta entrada especifica si se debe reiniciar el equipo despus de haberse instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una funcin de AD DS.

ReplicaDomainDNSName

Ningn valor predeterminado Esta entrada especifica el nombre completo del dominio en el que desea configurar un controlador de dominio adicional.

ReplicaOrNewDomain

Replica | ReadOnlyReplica | Domain Esta entrada solo se utiliza para instalaciones nuevas. "Domain" (sin comillas) convierte el servidor en el primer controlador de dominio de un nuevo dominio. "ReadOnlyReplica" (sin comillas) convierte el servidor en un RODC. "Replica" (sin comillas) convierte el servidor en un controlador de dominio adicional.

ReplicationSourceDC

Ningn valor predeterminado Esta entrada especifica el nombre completo del controlador de dominio asociado del que se replicarn los datos de AD DS para crear el nuevo controlador de dominio.

ReplicationSourcePath

Ningn valor predeterminado Esta entrada especifica la ubicacin de los archivos de instalacin utilizados para crear un nuevo controlador de dominio.

SafeModeAdminPassword

<Contrasea> | NONE Ningn valor predeterminado Esta entrada se utiliza para proporcionar la contrasea de la cuenta de administrador sin conexin que se utiliza en el modo de restauracin del servicio de directorio. No puede especificar una contrasea vaca.

SiteName

Default-First-Site-Name Esta entrada especifica el nombre del sitio cuando instala un bosque nuevo. En el caso de un bosque nuevo, el valor predeterminado es Default-First-Site-Name. En todos los dems casos, se seleccioner un sitio utilizando la configuracin actual de sitio y subred del bosque.

SkipAutoConfigDNS

Ningn valor predeterminado Esta entrada va dirigida a usuarios expertos que desean omitir la configuracin automtica de los clientes, reenviadores y sugerencias de raz. Esta entrada solo surte efecto si el servicio Servidor DNS ya est instalado en el servidor. En este caso, recibir un mensaje informativo que confirmar que se ha omitido la configuracin automtica de DNS. De lo contrario, esta entrada se pasa por alto. Si especifica este modificador, asegrese de que las zonas se crean y configuran correctamente antes de instalar AD DS; de lo contrario, el controlador de dominio no funcionar correctamente. Esta entrada no omite la creacin

CIBERTEC

CARRERAS PROFESIONALES

204

automtica de la delegacin DNS en la zona DNS principal. Para controlar la creacin de la delegacin DNS, utilice la entrada DNSDelegation.

Syskey

<clave_sistema> | NONE Esta entrada especifica la clave del sistema para el medio desde el cual replica los datos.

SYSVOLPath

%systemroot%\SYSVOL Esta entrada especifica un directorio completo no UNC del disco duro del equipo local. Este directorio hospedar los archivos de registro de AD DS. Si el directorio ya existe, debe estar vaco. Si no existe, se crear. El directorio debe estar en una particin que se haya formateado con el sistema de archivos NTFS 5.0. Coloque el directorio en un disco duro fsico diferente al del sistema operativo para lograr el mximo rendimiento.

TransferIMRoleIfNeeded

Yes | No Esta entrada especifica si se transferir o no la funcin de maestro de infraestructura a este controlador de dominio. Esta entrada es til si el controlador de dominio est hospedado, actualmente, en un servidor de catlogo global y no piensa convertirlo en un servidor de catlogo global. Especifique "Yes" (sin comillas) para transferir la funcin de maestro de infraestructura a este controlador de dominio. Si especifica "Yes", asegrese de especificar la entrada ConfirmGC=No.

UserDomain

Ningn valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS en un servidor.

UserName

Ningn valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.

AdministratorPassword Ningn valor predeterminado Esta entrada se utiliza para especificar la contrasea del administrador local cuando quita AD DS de un controlador de dominio. DemoteFSMO Yes | No Esta entrada indica si se realizar o no una eliminacin forzada aunque el controlador de dominio ostente la funcin de maestro de operaciones. DNSDelegationPassword <Contrasea> | * Ningn valor predeterminado

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 205

Esta entrada especifica la contrasea de la cuenta de usuario utilizada para crear o quitar la delegacin DNS. Especifique * para pedir al usuario que introduzca sus credenciales.

DNSDelegationUserName Ningn valor predeterminado Esta entrada especifica el nombre de usuario que se utilizar cuando se cree o se quite la delegacin DNS. Si no especifica ningn valor, se utilizarn para la delegacin DNS las credenciales de cuenta que especifique para la instalacin o desinstalacin de AD DS. IgnoreIsLastDcInDomainMismatch Yes | No Esta entrada especifica si se seguir eliminando AD DS del controlador de dominio cuando se especifique la entrada IsLastDCInDomain=Yes o cuando el Asistente para instalacin de Servicios de dominio de Active Directory detecte que hay otro controlador de dominio activo en el dominio. Esta entrada tambin se aplica cuando se especifica la entrada IsLastDCInDomain=No y el asistente no puede ponerse en contacto con ningn otro controlador de dominio del dominio. IgnoreIsLastDNSServerForZone Yes | No Esta entrada especifica si se seguir quitando AD DS aunque el controlador de dominio sea el ltimo servidor DNS para una o ms zonas DNS integradas en AD DS hospedadas por el controlador de dominio. IsLastDCInDomain Yes | No Esta entrada especifica si el controlador de dominio del que quita AD DS es el ltimo del dominio. Password <Contrasea> | * Ningn valor predeterminado Esta entrada especifica la contrasea correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor proteccin, las contraseas se quitan del archivo de respuesta despus de instalar AD DS. Es necesario volver a definir las contraseas cada vez que se utiliza un archivo de respuesta. RebootOnCompletion

Yes | No Esta entrada especifica si se reiniciar o no el equipo despus de instalar o quitar AD DS, independientemente de que la operacin se realice correctamente o no.

CIBERTEC

CARRERAS PROFESIONALES

206

RebootOnSuccess

Yes | No | NoAndNoPromptEither Determina si se debe reiniciar el equipo despus de haberse instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una funcin de AD DS.

RemoveApplicationPartitions

Yes | No Esta entrada especifica si se quitarn las particiones de aplicacin cuando quite AD DS de un dominio de dominio. "Yes" (sin comillas) quita las particiones de aplicacin del controlador de dominio. "No" (sin comillas) no quita las particiones de aplicacin del controlador de dominio. Si el controlador de dominio hospeda la ltima rplica de cualquier particin del directorio de aplicaciones, debe confirmar, manualmente, que debe quitar estas particiones.

RemoveDNSDelegation

Yes | No Esta entrada especifica si se quitarn las delegaciones DNS que sealan a este servidor DNS desde la zona DNS principal.

RetainDCMetadata

Yes | No Esta entrada especifica si los metadatos del controlador de dominio se conservan en el dominio despus de quitar AD DS de forma que un administrador delegado pueda quitar AD DS desde un RODC.

UserDomain

Ningn valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS.

UserName

Ningn valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 207

4.2 ADMINISTRACIN DEL DIRECTORIO ACTIVO DESDE LA LNEA DE COMANDOS Los siguientes comandos pueden ser usados para administrar el Directorio Activo. CSVDE Importa y exporta datos de Active Directory en formato separado por comas. Dsadd Agrega usuarios, grupos, equipos, contactos y unidades organizativas a Active Directory. Dsmod Modifica un objeto existente de un tipo especfico del directorio. Los tipos de objetos que pueden modificarse son: usuarios, grupos, equipos, servidores, contactos y unidades organizativas. Dsrm Quita objetos del tipo especificado de Active Directory. Dsmove Cambia el nombre de un objeto sin moverlo del rbol de directorio o mueve un objeto desde su ubicacin actual del directorio a una nueva de un mismo y nico controlador de dominio. (Para has movimientos entre dominios, utilice la herramienta Movetree de la lnea de comandos.) Dsquery Consulta y genera una lista de objetos del directorio segn los criterios de bsqueda especificados. Utilcela en un modo genrico para consultar cualquier tipo de objeto o en modo especializado para consultar tipos de objetos seleccionedos. Los tipos de objetos especficos que pueden consultarse mediante este comando son: equipos, contactos, subredes, grupos, unidades organizativas, sitios, servidores y usuarios. Dsget Muestra los atributos seleccionedos de tipos de objeto especficos de Active Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos, contactos, subredes, grupos, unidades organizativas, servidores, sitios y usuarios. LDIFDE Crea, modifica y elimina objetos de directorio. Esta herramienta tambin puede utilizarse para ampliar el esquema, para exportar informacin de usuario y grupos de Active Directory a otras aplicaciones o servicios, y para llenar Active Directory con datos de otros servicios de directorio.

CIBERTEC

CARRERAS PROFESIONALES

208

4. CONFIGURA EL SERVER CORE COMO SERVIDOR DE ARCHIVO


5.1 ACTIVE EL SERVIDOR CORE 1. Presione RIGHT+ALT+DEL. 2. Inicie sesin como Administrator con la contrasea Pa$$w0rd. 3. La ventana del Administrator: C:\Windows\system32\cmd.exe est abierta. Maximice esta ventana. 4. En el smbolo del Sistema, Tipee cd \ y luego presione ENTER. 5. Tipee Slmgr.vbs -ato y luego presione ENTER. 6. Aparecer la ventana Script Host. Nota: Esto quizs tome un minuto en aparecer. Q Para que se usa el comando slmgr.vbs? Respuesta: 7. Clic en OK. 8. Tipee Cscript windows\system32\slmgr.vbs SEA-DC-01 Administrator Pa$$w0rd:-ato y luego presione ENTER. Q Cul es el resultado de esta operacin? Respuesta: 9. Tipee cls y luego presione ENTER. 1.2 AGREGA Y CONFIGURA EL ROL DE SERVIDOR DE ARCHIVO 1. Tipee netsh interface ipv4 show interface, y luego presione ENTER. 2. Tome nota del nmero IDX para Local Area Connection. Asegrese de usar este nmero para los pasos de abajo =n . 3. Tipee netsh interface ipv4 set address name=n source=static address=192.168.16.4 mask=255.255.255.0, y luego presione ENTER. 4. Nota: Esto quizs tome 12 o 15 segundos para que la configuracin surga efecto. 5. Tipee IPConfig, y luego presione ENTER. 6. Tipee netsh interface ipv4 add dnsservname="n"address=192.168.16.1 index=1, y luego presione ENTER. 7. Tipee netdom join WIN-09I3RLW8OCJ /domain:contoso.com /userD:contoso\administrator /passwordD:* y luego presione ENTER. 8. Tipee la contrasea asociada al usuario del dominio, tipee Pa$$w0rd, y luego presione ENTER. 9. Tipee shutdown /r, y luego presione ENTER. 10. Despus que la computadora reinicie, Inicie sesin como administrator. 11. Maximice la ventana C:\Windows\system32\cmd.exe 12. En el smbolo del sistema, Tipee cd \, y luego presione ENTER. 13. Tipee cls, y luego presione ENTER. 14. Tipee netdom renamecomputer WIN-09I3RLW8OCJ /newname:SEA-SRV-03 /userd:contoso\administrator /passwordd:* , y luego presione ENTER.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 209

15. Escribe la contraseaasociada al nombre del usuario del Dominio, Tipee Pa$$w0rd y luego presione ENTER. 16. Tipee y luego presione ENTER. 17. Tipee shutdown /r y presione ENTER. 18. Tipee start /w ocsetup FRS-Infrastructure, y luego presione ENTER. 19. Tipee cls, y luego presione ENTER. 5.3 COMPARTE UN DIRECTORIO LOCAL 1. Tipee md public, y luego presione ENTER. 2. Tipee cd public, y luego presione ENTER. 3. Tipee copy con hello.txt, y luego presione ENTER. 4. Tipee Hello World!, y luego presione ENTER. 5. Presione CTRL+Z, y luego presione ENTER. 6. Tipee cd\, y luego presione ENTER. 7. Tipee net share public=c:\public /remark:Public share on SEASRV-03, y luego presione ENTER. 8. Tipee net view \\SEA-SRV-03, y luego presione ENTER. 9. Tipee cls, y luego presione ENTER. 10. Minimice la ventana C:\Windows\system32\cmd.exe. 5.4 ADMINISTRA USUARIOS REMOTAMENTE CON MMC Nota: Realice los siguientes pasos en SEA-DC-01 1. Inicie sesin como CONTOSO\Administrator con la contrasea Pa$$w0rd. 2. Clic en Start | Run, luego Tipee \\SEA-SRV-03. 3. Presione ENTER. 4. Doble-clic en public. 5. Doble-clic hello. 6. Verifique el texto Hello World!. 7. Ubique el cursor al final de la lnea Hello World! borre World! y Tipee Universe! 8. En el men File, clic en Save. 9. El cuadro de dialogo del Notepad aparece. Nota la advertencia the warning Cannot create the \\SEA-Core\public\hello.txt file. 10. Clic en OK. 12. Clic en Cancel. 13. Clic en Start | Administrative Tools | Computer Management. 14. Se abre la ventana The Computer Management. Maximice la ventana. 15. En el rbol de la consola, clic derecho en Computer Management (Local) y luego clic Connect to another computer. 16. Aparece el cuadro de dialogo Select Computer. Clic en Browse. 17. Ingrese el nombre del servidor core. 18. Clic en OK dos veces. 19. En el rbol de la consola, apunta a Computer Management (SEACore.contoso.com). 20. En el rbol de la consola, despliegue System Tools | Shared Folders ,

CIBERTEC

CARRERAS PROFESIONALES

210

luego clic Shares. 21. Doble-clic en public. 22. Clic en la pestaa Share Permissions. 23. Clic en Add. 24. Aparece la ventana The Select Users, Computers, or Groups. En el campo Enter the object names to select, Tipee domain. 25. Clic Check Names. 26. Aparece la ventana The Multiple Names Found. Clic Domain Users. 27. Clic OK 2 veces. 28. Clic Domain Users (CONTOSO\Domain Users). 29. Debajo Permissions for Domain Users, seleccione Allow for the Change permission. 30. Clic Apply. 31. Clic en la pestaa Security. 32. Mueve hacia abajo la barra de la lista Group or user names. 33. Clic Edit. 34. Aparece la ventana The Permissions for public (\\SEA-SRV03.CONTOSO.COM). 35. Clic Add. 36. En la ventana Select Users, Computers, or Groups. En la opcin Enter the object names to select, Tipee domain. 37. Clic Check Names. 38. En la ventana The Multiple Names Found. Clic Domain Users. 39. Clic OK 2 veces. 40. Clic Domain Users. 41. Debajo de Permissions for Domain Users, seleccione Allow for the Modify permission. 42. Mueve hacia abajo la barra de la lista Permissions for Domain Users, luego seleccione Allow for the Write permission. 43. Clic OK. 44. En la ventana Security. Clic en Yes. 45. Clic en OK. 46. Cierra Computer Management. 47. Restaura Notepad. 48. En el men File, clic Save. 49. Cierra el Notepad.

CARRERAS PROFESIONALES CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO 211

Resumen

El Servidor Core reduce los requerimientos de hardware, e incrementa el rendimiento y la estabilidad del sistema. El Servidor Core no brinda interfaz grfica, solo el smbolo del sistema. Para asignar la contrasea al administrator escribe net user administrator * Para asignar cambios en la direccin IP usa el comando netsh El comando OCSetup permite instalar o desinstalar roles en el Servidor Para instalar el Servicio de Directorio se debe usar, nicamente, el comando dcpromo con un archivo desatendido.

Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina.

6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aqu hallar informacin adicional sobre el Servidor Core. http://technet.microsoft.com/en-us/library/cc753802(WS.10).aspx Aqu hallar mayor informacin tcnica y configuraciones del Servidor Core.

CIBERTEC

CARRERAS PROFESIONALES

También podría gustarte