Nombre Alumno: Hernández Sánchez Marco Alejandro

Matricula: 98707

Grupo: K05

Docente Mtro. Juan Manuel Amezcua Ortega

Materia: Redes III

Actividad: N°. 2

Fecha: 15/04/2021

Lugar: Ciudad de México

Actividad:

Describe detalladamente las condiciones para establecer un servicio de nombre o

directorio ya sea un NIS, un LDAP, un DNS o archivos locales en la red, como parte del
diseño de una red segura.

En este caso vamos a detallar un LDAP por su complejidad en un servidor

Ubuntu
LDAP

LDAP proviene de las siglas Lightweight Directory Access Protocol que significa Protocolo
Ligero de Acceso a Directorios. Es un protocolo a nivel de aplicación que permite el
acceso a un servicio de directorio ordenado y distribuido para buscar diversa información
en un entorno de red.

En este caso se plasmará el procedimiento para instalar el denominado OpenLDAP en

Linux, esta aplicación es una implementación libre y de código abierto del protocolo
LDAP, es liberada bajo su propia licencia OpenLDAP Public License, es un protocolo de
comunicación independiente de la plataforma.

Procedimiento de instalación y con figuración de OpenLDAP en un servidor Ubuntu

Instalar OpenLDAP en el servidor con la siguiente instrucción, además de proporcionar y

confirmar la contraseña de administrador.

sudo apt-get install slapd ldap-utils

Configuración básica de OpenLDAP modificando el archivo /etc/hosts para lo cual se

utilizará el editor nano.

sudo nano /etc/hosts

Una vez dentro del archivo se añadirá una nueva línea que relacione la dirección IP
estática del servidor con los nombres lógicos que tiene previsto utilizar, por ejemplo:

192.168.1.10 ldapserver.angeles.local ldapserver

Al terminar pulsar Ctrl + x para salir y guardar los cambios al archivo. Ahora será
necesario instalar la librería NSS para LDAP, esta permite acceder y configurar distintas
bases de datos utilizadas para almacenar cuentas de usuario, para realizarlo se utiliza la
siguiente instrucción:

sudo apt-get install libnss-ldap -y

Al instalar libnss-ldap se nos proporcionará el paquete de configuración de autenticación
de LDAP, así que seguramente se iniciará durante el proceso el asistente que nos
solicitará paso a paso la información que necesita para llevar a cabo su correcta
configuración, dicha información es la siguiente:

Como primero paso solicita la dirección Uri del servidor LDAP, la cual proporcionaremos
de la siguiente manera:

ldapi:///192.168.1.10

A continuación escribiremos el nombre global único tal y como lo escribimos al principio,

por ejemplo:

dc= angeles,dc=local

Después será necesario indicar la versión del protocolo LDAP que se utilizará, a menos
que se disponga en la red de clientes muy antiguos, lo normal es elegir el valor más alto
que se muestre en pantalla.

Como siguiente paso será necesario que indiquemos si las utilidades PAM deberán
comportarse del mismo modo que cuando cambiamos contraseñas locales, lo que
significa que las contraseñas se guardarán en un archivo independiente que sólo podrá
ser leído por el superusuario. En este caso seleccionaremos la opción Yes y pulsamos la
tecla Intro.

Ahora el sistema nos preguntará si deseamos que sea necesario identificarse para
realizar consultas en la base de datos de LDAP, para lo cual elegiremos la opción No y
pulsaremos la tecla Intro.

Ya sólo queda indicar el nombre de la cuenta LDAP que tendrá privilegios para realizar
cambios en las contraseñas. Como antes, deberemos escribir un nombre global único
(Distinguished Name – DN) siguiendo las indicaciones que se aplicaron al principio
(cn=admin,dc=gricelda,dc=local). Por último el asistente solicita la contraseña que usará
la cuenta anterior que deberá coincidir y que habremos de confirmar, después de escribir
la contraseña presionamos la tecla Intro.

Si acaso se presenta un error o es necesario ejecutar una modificación será necesario

ejecutar el siguiente comando:

sudo dpkg-reconfigure ldap-auth-config

Configurar la autenticación para los clientes.

Se utilizará auth-client-config, un script que nos permite modificar los archivos de

configuración de PAM y NSS. Para conseguirlo, se ejecutará el siguiente comando en la
terminal:

sudo auth-client-config -t nss -p lac_ldap

El significado de los dos atributos seleccionados es el siguiente:

-t nss, con el que se le indica que los archivos que se van a modificar son los
correspondientes a NSS.

-p lac_ldap, con el que indicamos que se indica que los datos para la configuración debe
tomarlos del archivo lac_ldap. Este archivo se habrá generado durante la ejecución de
ldap-auth-config en el punto anterior.

A continuación, deberemos actualizar la configuración de las políticas de autenticación

predeterminadas de PAM, lo que conseguimos con el siguiente comando:

sudo pam-auth-update

Cuando nos proporcione una pantalla informativa sobre la función de los módulos PAM,
presionaremos Intro para continuar. En la pantalla a continuación elegiremos cuáles
módulos disponibles se desean habilitar, de manera predeterminada aparecen marcados
por lo tanto se volverá a pulsar Intro.

Una vez acabada la configuración automática, podremos hacer algunos cambios

complementarios editando el archivo /etc/ldap.conf. Para lograrlo, se recurrirá, como
siempre, al editor nano y ejecutaremos lo siguiente:

sudo nano /etc/ldap.conf

Cuándo se abra el editor, podremos ajustar algunos de los valores del documento, pero,
sobre todo, comprobaremos que son correctos los siguientes datos:

host 192.168.1.10 base

dc=gricelda,dc=local

uri ldapi://192.168.1.10/

rootbinddn cn=admin,dc=angeles,dc=local

ldap_version 3

bind_policy soft

Sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el
archivo.

Configurar el demonio SLAPD.

SLAPD (Standalone LDAP Daemon) es un programa multiplataforma, que se ejecuta en

segundo plano, atendiendo las solicitudes de autenticación LDAP que se reciban en el
servidor.
El último paso en la configuración del servidor LDAP será establecer algunos parámetros
en la configuración de este demonio. Para conseguirlo, es necesario ejecutar el siguiente
comando, como es habitual, el comando deberá ejecutarse con privilegios de
superusuario:

sudo dpkg-reconfigure slapd

La primera pantalla que se muestra, actúa como medida de seguridad, para asegurarse
de que no se hacen cambios por error. Hay que tener cuidado porque la pregunta se hace
al revés, es decir, pregunta si queremos omitir la configuración del servidor (el objetivo
será impedir que se elija Sí sin pensar lo que hacemos). En este caso, lógicamente,
deberemos elegir la opción No y pulsamos la tecla Intro.

A continuación, deberemos escribir el nombre DNS que utilizamos para crear el DN base
(Distinguished Name) del directorio LDAP. En nuestro caso, escribiremos gricelda.local y
pulsaremos la tecla Intro.

Después, escribiremos el nombre de la entidad en la que estamos instalando el directorio

LDAP. Para este ejemplo, escribiremos gricelda y pulsaremos la tecla Intro. En el
siguiente paso, deberemos escribir la contraseña de administración del directorio. La
contraseña debe coincidir con la que escribimos en el apartado Instalar OpenLDAP en el
servidor, como es habitual, deberemos escribirla dos veces para evitar errores
tipográficos.

A continuación, elegiremos el motor de la base de datos que usaremos para el directorio.

Se recomienda HDB porque nos permitirá, en el futuro, cambiar los nombres de los
subárboles si fuese necesario. Si HDB no aparece elegida de forma predeterminada, la
seleccionaremos con la tecla <tabulador> para desplazarnos. Cuando sea correcto,
pulsamos la tecla Intro.

Lo siguiente que nos pregunta el asistente es si queremos que se borre la base de datos
anterior del directorio cuando terminemos la configuración de slapd. Igual que antes,
usamos la tecla <tabulador> para elegir No y pulsamos Intro.

Como se ha decidido no borrar la base de datos antigua, el asistente preguntará si se

cambiara de sitio. Para evitar confusiones entre las dos bases de datos (nueva y
antigua), elegiremos la opción Sí y pulsaremos Intro.

En algunas redes, con clientes muy antiguos, puede ser necesario mantener la versión 2
del protocolo LDAP. Por ese motivo, antes de terminar, el asistente nos pregunta
queremos permitir el protocolo LDAPv2. En la mayoría de los casos, la respuesta será
No.

Después de este último paso, se cierra el asistente y volvemos a la consola. Ahora

podemos ver en la pantalla que la base de datos antigua se ha guardado en /var/backups
y que el resto de la configuración se ha realizado con éxito. Con esto habremos
terminado la configuración del servidor LDAP. Ahora está listo para autenticar usuarios.
Crear la estructura del directorio.

Una vez configurado el servidor, será necesario configurar la estructura básica del
directorio. Es decir, se creara la estructura jerárquica del árbol (DIT – Directory
Information Tree).

Una de las formas más sencillas de añadir información al directorio es utilizar archivos
LDIF (LDAP Data Interchange Format). En realidad, se trata de archivos en texto plano,
pero con un formato particular que es necesario conocer poder construirlos
correctamente. El formato básico de una entrada es de la siguiente manera:

# comentario

dn: <nombre global único>

<atributo>: <valor>

<atributo>: <valor>

...

A continuación se muestra la explicación del contenido de este archivo:

- Las líneas que comienzan con un carácter # son comentarios.

- <atributo> puede ser un tipo de atributo como cn o objectClass, o puede
incluir opciones como cn;lang_en_US o userCertificate;binary.

Entre dos entradas consecutivas debe existir siempre una línea en blanco. Si una línea
es demasiado larga, será necesario repartir su contenido entre varias, siempre que las
líneas de continuación comiencen con un carácter de tabulación o un espacio en blanco.

Por ejemplo, las siguientes líneas son equivalentes:

dn: uid=mhernandez, ou=medio, dc=somebooks, dc=es

dn: uid= mhernandez ou=medio,

dc=somebooks, dc=es

También podemos asignar varios valores a un mismo atributo utilizando varias líneas:

cn: Marco Hernandez

cn: Marco Hernandez

Con esta información en mente, crearemos un archivo que contenga los tipos de objeto
básicos del directorio. Comenzaremos por abrir un editor de textos, por ejemplo nano,
indicándole el nombre de nuestro archivo:
sudo nano ~/base.ldif

En este ejemplo se le ha llamado base.ldif, pero, lógicamente, es posible llamarlo como le

resulte más apropiado al usuario.

Una vez abierto el editor, escribiremos un contenido como este:

dn: ou=usuarios,dc=angeles,dc=local

objectClass: organizationalUnit

ou: usuarios

dn: ou=grupos,dc=angeles,dc=local

objectClass: organizationalUnit

ou: grupos

Lógicamente, en cada lugar donde aparecen los valores dc=gricelda,dc=local deberemos

sustituirlos por los valores correctos en cada implementación. Cuando hayamos
terminado de escribirlo, sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de
guardar los cambios en el archivo.

Deberemos añadir la información a la base de datos OpenLDAP. Como sabemos, esto se

hace con el comando ldapadd:

sudo ldapadd -x -D cn=admin,dc=angeles,dc=local -W -f base.ldif

Para ejecutar el comando, deberemos escribir la contraseña de administración de LDAP.

Añadir un usuario y un grupo.

El método para añadir nuevos usuarios y grupos al árbol es muy similar a lo visto en el
punto anterior, ya que consiste en crear un nuevo archivo ldif y, a continuación, integrarlo
en la base de datos con ldapadd.

Procedimiento para añadir un usuario:

Utilizar el editor nano:

sudo nano ~/usuario.ldif

Abrimos el editor de textos indicándole el nombre del archivo que vamos a crear.
Por supuesto, es posible cambiar el nombre usuario.ldif por el que te resulte más
adecuado en su caso. En el área de trabajo del editor, escribiremos un contenido como
este:

dn: uid=gsaucedo,ou=usuarios,dc=angeles,dc=local

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: gsaucedo

sn: Saucedo

givenName:Angeles

cn: Angeles Miranda

displayName Angeles Miranda

uidNumber: 1000

gidNumber: 10000

userPassword: mi_password

gecos: Angeles Miranda

loginShell: /bin/bash

homeDirectory: /home/amiranda

shadowExpire: -1

shadowFlag: 0

shadowWarning: 7

shadowMin: 8

shadowMax: 999999

shadowLastChange: 10877

mail: amiranda@gmail.com

postalCode: 98400

o: angeles
 initials: GS

Cuando hayamos terminado de escribirlo, sólo restará pulsar Ctrl + x para salir y
asegurarnos de guardar los cambios en el archivo. Con esto ya es posible cargar el nuevo
usuario en el directorio. Sólo es necesario escribir el siguiente comando:

sudo ldapadd -x -D cn=admin,dc=gricelda,dc=local -W -f usuario.ldif

Después de escribir la contraseña de administración de LDAP, podremos comprobar que

el usuario se ha añadido correctamente.

En la implementación de una red ¿cuáles crees que sean los dispositivos que
deben ser empleados para que una red sea segura?

Muchas veces pensamos que con el simple hecho de tener un antivirus instalado en el
servidor ya estamos libres de cualquier problema, que todos los problemas que pueden
ocurrir informáticamente están relacionados con los virus, y esto es un error muy común,
hay problemas relacionados con esto.

Es decir, tener el enemigo en casa. Documentos almacenados en el servidor que son

accesibles desde cualquier puesto de la red y que contienen información muy importante
para la empresa (desarrollos de I+D, fórmulas secretas, proveedores interesantes,
nóminas, contraseñas) …. Proteger esta información es tan importante como tener una
red local o equipo protegido de virus. Imaginaros por un momento, las instalaciones de la
empresa se prenden fuego, el servidor deja de funcionar y es imposible recuperar su
información, es decir, se nos presenta un desastre con el que no habíamos contado, pues
si no tenemos un copia externalizada de estos datos, tenemos un problema enorme.

Estos son algunos de los puntos más importantes que tendríamos que revisar en nuestras
redes para saber si cumplimos con los mínimos de seguridad que una red debe disponer:
1. Tener un servidor de datos, en el cual guardamos todos los datos relevantes de la
instalación y con su consiguiente proceso de copias bien definido.
2. Tener montado en dicho servidor un DOMINIO, para la correcta administración
de permisos de usuarios y facilidad de administración de la red local.
3. Tener cortafuegos (físico o por software) para separar red local de la red de
internet y tener control sobre los accesos a datos relevantes e internet por parte de los
usuarios de la red local.
4. Tener programa de antivirus “ACTUALIZADO” en todos los puestos de la red local,
incluso en el servidor, para estar protegido casi al 100% sobre amenazadas de virus.
5. Todos los puestos de la red deben tener sistema operativo profesional (xp, vista o
win7), para la correcta validación de los usuarios en el “Active Directory” (dominio).
6. Tener una política de contraseñas adecuada, cada usuario de la red local con su
contraseña personal y además que esta caduque cada cierto tiempo (se puede definir).
7. Tener una política de copias de seguridad definida y externalizada para posibles
“desastres extremos” (robo, fuego.etc)
8. Llevar un correcto mantenimiento de los pc´s, actualizaciones de software y hotfix
que van surgiendo.
9. Tener a alguien de la empresa o externalizada que controle los procesos de copia
para detectar posibles problemas, actualización de antivirus, centralizar incidencias de la
red local y así poder avisar a servicio técnico y llevar control sobre la resolución de las
mismas.
10. Tener localizadas todas las licencias de programas instalados en la red por
posibles inspecciones por la autoridad competente.

¿Cómo determinarías las condiciones de implementación en el diseño de una red

segura?

Es necesario hacer un análisis de la empresa, según el giro de la empresa identificaremos

que riesgos son más altos y de esta manera definir una buena estrategia para descartar
los riesgos con mayor posibilidad de ser violentados. Debemos identificar que
necesitamos cuidar más, algunos aspectos importantes a considerar serían los siguientes
riesgos:

- La confidencialidad.
- La integridad.
- La autenticidad.
- No-repudio.
- La disponibilidad de los recursos y de la información.
- Consistencia.
- Control de acceso a los recursos.
- Auditoría.

Para hacer un análisis de riesgos es recomendable utilizar una formula como la siguiente:
 WRi = Ri *Wi

Donde:

WRi: es el peso del riesgo del recurso “i” (también lo podemos llamar ponderación)

Ri: es el riesgo del recurso “i”

Wi: es la importancia del recurso “i”

En este análisis es necesario considerar los siguientes recursos para asignarles un valor
de riesgo o de amenaza:

- Hardware.
- Software.
- Datos.
- Gente
- Documentación.
- Accesorios.

Así que depende del resultado de un análisis de riesgos el conocer cuáles son las
vulnerabilidades de la empresa, entonces estaremos en condiciones de definir que
dispositivos usar en la red, la manera de configurarlos y que servicio de nombre o
directorio usar o configurar archivos locales.

Conclusión
En la actualidad es muy cómodo crear una red WLAN en nuestro hogar o negocio, debido
a la gran cantidad de dispositivos móviles con los que se cuenta hoy en día, sin embargo
se debe tener mucha precaución al momento de configurar los dispositivos de la red, por
ejemplo no se necesita ser un hacker para irrumpir en las redes, incluso en la actualidad
se comercializan routers en el mercado, que pueden hackear y conectarse a cualquier red
que use el método de seguridad WEP.

Sin embargo, una de las medidas que podemos utilizar es configurar el router al método
de seguridad WPA2, cambiar la contraseña predeterminada, cambiar el identificador de
red (SSID) predeterminado, usar puntos de acceso y configurar el firewall de Windows.
Bibliografía

Instalar y configurar OpenLDAP en el servidor Ubuntu. Recuperado el 04 de octubre de

2014 de http://somebooks.es/?p=3445

Instalar y configurar un servidor DNS con Ubuntu Server paso a paso. Recuperado el 05
de Octubre de 2014 de http://sliceoflinux.wordpress.com/2010/04/21/instalar-y-configurar-
un-servidor-dns-con-ubuntu-server-paso-a-paso/

NIS/YP. Recuperado el 05 de Octubre de 2014 de

https://www.freebsd.org/doc/es/books/handbook/network-nis.html

NIS consideraciones previas. Recuperado el 05 de Octubre de 2014 de

http://techdefs.es/nis-consideraciones-previas/

Consejos para configurar el servidor DNS en Empresas con RHEL. Recuperado el 05 de

Octubre de 2014 de http://searchdatacenter.techtarget.com/es/consejo/Consejos-para-
configurar-el-servidor-DNS-en-Empresas-con-RHEL

Guía de administración del sistema: servicios IP. Recuperado el 05 de Octubre de 2014

de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-2a/index.html