INGENIERIA EN SISTEMAS COMPUTACIONALES

MATERIA:
Administración de redes

TEMA:
Protocolo NFS, LDAP, SALS, PROXY

ALUMNO:
Josué Ronaldo Solórzano Campos

DOCENTE:
Arturo Efrén Guirao Aburto
Contenido
NFS .......................................................................................................................................................................................... 3
LDAP ........................................................................................................................................................................................ 5
SASL......................................................................................................................................................................................... 6
PROXY ..................................................................................................................................................................................... 7
 NFS
El sistema de archivos de red (Network File System, NFS) Network File System (sistema de archivos
de red), o NFS, es un protocolo de nivel de aplicación, según el Modelo OSI. Es utilizado para sistemas
de archivos distribuido en un entorno de red de computadoras de área local. Posibilita que distintos
sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales.es
una aplicación cliente/servidor que permite a un usuario de equipo ver y, opcionalmente, almacenar y
actualizar archivos en un equipo remoto como si estuvieran en el propio equipo del usuario.
NFS es un protocolo sin memoria (state-less) en algunas de sus versiones. Es decir, el servidor no
recuerda las solicitudes anteriores. Por tanto, cada llamada a un procedimiento contiene toda la
información necesaria para su finalización. Si el servidor NFS falla, el sistema cliente repetirá las
solicitudes de NFS hasta que obtenga una respuesta. Además, el servidor no realiza tareas de
recuperación frente a fallos.
El protocolo NFS está incluido por defecto en los Sistemas Operativos UNIX y la mayoría de
distribuciones Linux.

 El sistema NFS está dividido al menos en dos partes principales: un servidor y uno o más
clientes. Los clientes acceden de forma remota a los datos que se encuentran almacenados en
el servidor.

Cliente NFS
El cliente simula las funcionalidades del sistema de archivos de UNIX, integrado directamente en el
kernel. Se encarga de controlar las peticiones del VFS al servidor. Manda los bloques o archivos desde
el servidor y hasta el servidor. Cuando es posible almacena en la caché local los bloques.
Memoria caché
El módulo cliente de NFS guarda en caché los resultados de las operaciones read, write, getattr, lookup
y readdir. Los clientes son responsables de sondear al servidor para comprobar la actualidad de sus
datos de caché.
Método de marcas temporales para mantener las cachés:
Cada elemento es etiquetado con dos tiempos diferentes, uno el de la última vez que se validó el
elemento y otro la última vez que fue modificado en el servidor. Una entrada en caché es válida en un
momento t si t-tiempo que se validó por última vez es menor que el intervalo de refresco tolerado. Si
no es válida la entrada se obtiene el tiempo en el que se modificó por última vez en el servidor y si es
igual al del cliente, entonces la entrada es válida y se actualiza el tiempo del cliente, si no la entrada
es invalida.
Para minimizar las llamadas a getattr, cuando se recibe un valor del servidor de un archivo, se aplica
a todas las entradas relevantes de dicho archivo.
Aún con esto habrá problemas de consistencia si tenemos escrituras en dos clientes con una diferencia
de tiempo menos que el intervalo de refresco tolerado. Para solucionar este problema tendremos que
usar bloqueo de archivos convirtiendo en una sección crítica el archivo.
Servidor NFS
El servidor NFS es parte del núcleo Linux, en los núcleos que Debían proveer está compilado como
un módulo de núcleo. Su interfaz está definida en el RFC 1813.
Se encarga de recibir las peticiones, que pueden ser similares a las de modelo de archivos plano o
pueden simular las del sistema de UNIX.
El servidor también ofrece servicios de montaje, de control de autenticación y acceso y una caché.
Memoria caché
Hay dos opciones para mantener y asegurar la consistencia en escritura:
 write-through: los datos de las operaciones de escritura se guardan en caché y se escriben en
disco antes de responder al cliente.
 Commit: los datos de las operaciones de escritura se guardan solo en caché. Solo se escriben
a disco cuando se recibe una operación commit.
Los demonios imprescindibles del servicio NFS son los siguientes:
 rpc.mountd: Demonio que se encarga del montaje remoto. Recibe la petición desde el cliente
NFS y comprueba que el sistema de archivos este exportado y si está disponible permite las
solicitudes de acceso de NFS y proporciona información sobre ello (showmount).
 rpc.nfsd: demonio para servir archivos. Se pueden arrancar varias copias de este demonio.
Utiliza el puerto TCP/UDP 2049.
 rpc.portmap: Se encarga de indicar a los clientes donde se encuentra el servicio real en el
servidor. Los servicios basados en RPC usan portman para atender las peticiones de los
clientes por lo cual este servicio debe estar disponible el primero. No se utiliza en NFSv4. Para
comprobar que está activo ejecutar:
 $ sudo portmap status
 rpc.lockd: encargado de proporcionar el servicio de bloqueo de archivos para asegurar su
consistencia ya que pueden ser accedidos de forma concurrente. Se ejecuta tanto en el servidor
como en el cliente.
 rpc.statd: Este demonio trabaja conjuntamente con lockd para recuperar en caída de sistemas.
Mantiene información sobre los procesos en los clientes que poseen locks de archivos de
determinado servidor. Cuando el servidor NFS se recupera statd informa a los otros de los
clientes, que el servidor se ha recuperado y así ellos resuelven los locks que tenían.
 LDAP
LDAP son las siglas de Lightweight Directory Access Protocol. Es un protocolo a nivel de aplicación
que permite realizar consultas sobre un servicio de directorio para poder buscar información.
Un servicio de directorio es como una base de datos en la que organizar y almacenar información con
objetos de distintas clases. Esta estructura organizada de forma jerárquica de los objetos en el
directorio, se consigue con la implementación de LDAP.
Con LDAP se define la manera de cómo acceder a ese directorio, es decir, está optimizado para la
realización de operaciones de lectura sobre el directorio como puede ser, por ejemplo, la de validar el
acceso autenticado a un usuario almacenado en el directorio.
Un servicio de directorio ejecuta el modelo cliente-servidor, por lo que si un equipo cliente desea
acceder al directorio no accede directamente a la base de datos, contacta con un proceso en el
servidor. El proceso consulta al directorio y devuelve el resultado de la operación al cliente.

Un cliente inicia una sesión de LDAP conectándose a un servidor LDAP, preestablecido en el puerto
TCP 389. El cliente luego envía una petición de operación al servidor, y el servidor envía respuestas.
Con algunas excepciones, el cliente no necesita esperar una respuesta antes de enviar la siguiente
petición, y el servidor puede responder en cualquier orden.
El cliente puede requerir las siguientes operaciones:
Start TLS — usar la extensión Transport Layer Security (TLS) LDAPv3 para una conexión segura
Bind — autenticarse y especificar una versión del protocolo LDAP
Search — buscar y obtener entradas de directorio
Compare — probar si una entrada nombrada contiene un valor de atributo dado
Add — Añadir una nueva entrada
Delete — Borrar una entrada
Modify — Modificar una entrada
Modify Distinguished Name (DN) — Modificar o renombrar una entrada
Abandon — abortar una petición previa
Extended Operation — operación genérica usada para definir otras operaciones
Unbind — cerrar la conexión (no es el inverso de Bind)
Además, el servidor puede enviar "notificaciones no solicitadas" que no son respuestas a ninguna
petición, por ejemplo antes de que se termine el tiempo de conexión.
¿Cómo funciona LDAP?
El servicio de directorio LDAP se basa en un modelo cliente-servidor. Uno o más servidores LDAP
contienen los datos que conforman el árbol del directorio LDAP o base de datos troncal. el cliente ldap
se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta
correspondiente, o bien con una indicación de dónde puede el cliente hallar más información
(normalmente otro servidor LDAP). No importa con qué servidor LDAP se conecte el cliente: siempre
observará la misma vista del directorio; el nombre que se le presenta a un servidor LDAP hace
referencia a la misma entrada a la que haría referencia en otro servidor LDAP. Es ésta una
característica importante de un servicio de directorios universal como LDAP.
Razones por las cuales usar LDAP
La mayor ventaja de LDAP es que se puede consolidar información para toda una organización dentro
de un repositorio central. Por ejemplo, en vez de administrar listas de usuarios para cada grupo dentro
de una organización, puede usar LDAP como directorio central, accesible desde cualquier parte de la
red. Puesto que LDAP soporta la Capa de conexión segura (SSL) y la Seguridad de la capa de
transporte (TLS), los datos confidenciales se pueden proteger de los curiosos.

LDAP también soporta un número de bases de datos back-end en las que se guardan directorios. Esto
permite que los administradores tengan la flexibilidad para desplegar la base de datos más indicada
para el tipo de información que el servidor tiene que diseminar. También, ya que LDAP tiene una
interfaz de programación de aplicaciones (API) bien definida, el número de aplicaciones acreditadas
para LDAP son numerosas y están aumentando en cantidad y calidad.

SASL
Simple Authentication and Security Layer (capa de seguridad y autenticación simple). SASL es un
framework para autenticación y autorización en protocolos de Internet. Separa los mecanismos de
autenticación de los protocolos de la aplicación permitiendo, en teoría, a cualquier protocolo de
aplicación que use SASL usar cualquier mecanismo de autenticación soportado por SASL. A pesar de
que mediante SASL sólo se maneja la autenticación (y se requieren otros mecanismos --como por
ejemplo TLS-- para cifrar el contenido que se transfiere), SASL proporciona medios para un uso
negociado del mecanismo elegido. Las especificaciones originales de SASL fueron editadas por John
Meyers en el RFC 2222. Este fue hecho obsoleto por el RFC 4422, editado por Alexey Melnikov y Kurt
Zeilenga.

Un mecanismo SASL se modela como una sucesión de retos y respuestas. Los mecanismos definidos
por SASL incluyen:

"EXTERNAL", aquí la autenticación está implícita en el contexto (p.ej. para protocolos que ya usan
IPsec o TLS).
"ANONYMOUS", para el acceso de invitados sin autentificar.
"PLAIN", un mecanismo de contraseña simple en texto plano.
"OTP" para el sistema que evolucionó de S/KEY2
"NTLM".
Se prevé soportar los mecanismos GSSAPI en una familia de nomenclatura de mecanismos.
Los protocolos definen su representación de intercambios SASL con un perfil. Un protocolo tiene un
nombre de servicio como "LDAP" en un registro compartido con GSSAPI y Kerberos.

Entre los protocolos que ahora mismo usan SASL se incluyen IMAP, LDAP, POP3, SMTP, XMPP y
algunos servidores IRC, como Freenode.
 PROXY
Un servidor proxy es un ordenador que puede conectarse como interfaz entre dos ordenadores o
redes. Asume una función de intermediario, recibiendo peticiones y transmitiéndolas con su propia
dirección IP a otra red. Los servidores proxy se pueden utilizar en Internet para ocultar la dirección IP.
Un servidor proxy (cuya traducción literal es “representante “) es una interfaz de comunicación en una
red que actúa como mediadora entre dos sistemas informáticos. La tarea básica de un servidor proxy
es hacerse cargo, como delegado, de las peticiones de los clientes en un servidor y de transmitirlas
con la dirección IP adecuada al ordenador de destino. En este tipo de comunicación no existe una
conexión directa entre el remitente y el destinatario. En ocasiones, ni el sistema al que se le hacen las
peticiones ni el ordenador de destino saben que hay un proxy de por medio. Los servidores proxy
pueden funcionar en dos sentidos. Por un lado, un proxy de reenvío (forward proxy) sirve para proteger
a una red cliente frente a influencias de Internet. Si el sistema de destino, por ejemplo, un servidor
web, está protegido por medio de un servidor proxy intercalado, se puede hablar en este caso de un
proxy inverso (reverse proxy).

 Proxy de reenvío (protección del cliente): si se instala un servidor proxy como interfaz entre una
red privada (LAN) e Internet, los terminales locales pueden protegerse de forma efectiva de las
influencias de la red pública. El proxy se hará cargo de las peticiones provenientes de la red
LAN y las transmitirá con su dirección IP en calidad de remitente al ordenador de destino. Los
paquetes de respuesta de la red no se dirigirán al cliente en la red LAN, sino que pasan por el
servidor proxy antes de llegar al destino final. En general, el proxy actúa como autoridad de
control. Los correspondientes sistemas de seguridad no tienen que instalarse en cada cliente
de la red, sino que hay un número considerable de ellos que se ejecutan en servidores proxy.

 Proxy inverso (protección del servidor): los servidores web también pueden protegerse, para lo
que se intercalará un servidor proxy al acceder desde la red pública. Los clientes de Internet no
pueden acceder de manera directa al ordenador de destino, sino que en su lugar el proxy será
el que reciba las peticiones, compruebe su configuración de seguridad y las transmita al servidor
de forma segura.

La implementación de los servidores proxy está ligada a varios factores. En su rol de nexo de unión
entre los dos participantes de la comunicación, este componente de red hace posible el intercambio
de datos entre dos sistemas en aquellas situaciones en las que no se pueda establecer una conexión
directa debido a la presencia de direcciones IP incompatibles, por ejemplo, porque un componente
utiliza el protocolo IPv4 y el otro la versión IPv6. Los datos que no adoptan la vía directa, sino que se
desvían hacia el proxy, pueden filtrarse, almacenarse de forma intermedia y distribuirse por diversos
sistemas de destino mediante el balanceo de carga. Además, un proxy es un componente
fundamental del Firewall que protege a los sistemas informáticos de ataques procedentes de la red
pública.

 Caché: esta es otra de las funciones básicas del proxy. Para poder responder con celeridad a
las continuas peticiones de una red local, un proxy adecuadamente configurado guarda de
manera temporal una copia de los datos obtenidos por parte del servidor desde Internet en el
caché. Los contenidos web más solicitados no tienen que cargarse de nuevo cada vez que se
 quiera acceder a ellos, sino que estos se entregan directamente, lo que ahorra tiempo y ancho
de banda.

 Filtrado: cuando se instala un proxy en calidad de interfaz entre dos sistemas informáticos
puede usarse como filtro para la transmisión de datos con el objetivo de bloquear
determinados contenidos web para los clientes o para rechazar automáticamente peticiones
anómalas.

 Control del ancho de banda y distribución de cargas: si se utiliza un proxy para controlar
el ancho de banda, este distribuirá los recursos definidos para los clientes de una red en
función de la capacidad de carga. Así se puede tener la seguridad de que las aplicaciones no
bloquearán el ancho de banda por completo. Debido a su papel de interfaz central, el servidor
proxy permite depositar en diferentes sistemas las peticiones de clientes que requieren
muchos recursos o las respuestas del servidor, de forma que la carga se pueda distribuir de
manera uniforme dentro de una misma red informática.

 Caché: esta es otra de las funciones básicas del proxy. Para poder responder con celeridad a
las continuas peticiones de una red local, un proxy adecuadamente configurado guarda de
manera temporal una copia de los datos obtenidos por parte del servidor desde Internet en el
caché. Los contenidos web más solicitados no tienen que cargarse de nuevo cada vez que se
quiera acceder a ellos, sino que estos se entregan directamente, lo que ahorra tiempo y ancho
de banda.
 Filtrado: cuando se instala un proxy en calidad de interfaz entre dos sistemas informáticos
puede usarse como filtro para la transmisión de datos con el objetivo de bloquear determinados
contenidos web para los clientes o para rechazar automáticamente peticiones anómalas.
 Control del ancho de banda y distribución de cargas: si se utiliza un proxy para controlar el
ancho de banda, este distribuirá los recursos definidos para los clientes de una red en función
de la capacidad de carga. Así se puede tener la seguridad de que las aplicaciones no
bloquearán el ancho de banda por completo. Debido a su papel de interfaz central, el servidor
proxy permite depositar en diferentes sistemas las peticiones de clientes que requieren muchos
recursos o las respuestas del servidor, de forma que la carga se pueda distribuir de manera
uniforme dentro de una misma red informática.