Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MATRICULA: 76441
GRUPO: K065
a) NIS:
NIS proviene del inglés Network Information System que significa Servicio de Información
de Red, es el programa que se utiliza para hacer LAN (Local Area Network) en UNIX, lo
programa SUN Microsystems. Para comprender el funcionamiento de NIS se toma como
ejemplo el caso de una red LAN con más de 100 clientes, sería demasiado tedioso crearle
una cuenta a cada usuario en cada equipo, para solucionar este problema se implementa
NIS.
NIS lleva a cabo su tarea manteniendo unas tablas de información de los grupos, usuarios
y hosts en su sistema. Anteriormente a estas tablas se les denominaba yellow pages,
pero por derechos de copyright se opto por cambiarles el nombre, aún en algunos
sistemas aparecen bajo el directorio /var/yp, en otros /var/nis. Para que funcione un NIS
es necesario ejecutar un daemon para el NIS server y otro daemon para el NIS cliente, así
como un nombre privado para la red local.
1. Crear el archivo /etc/defaultdomain y escribir el nombre de la red local (el mismo que se
escribió en el server).
2. Añadir en el archivo /etc/hosts el nombre de su server NIS (ipaddress server name).
Cada vez que sea necesario que se modifique en el server el archivo de grupos, hosts o
passwords, es necesario ejecutar desde /var/yp el script make para que tenga efecto el
cambio en toda la red.
b) LDAP.
LDAP proviene de las siglas Lightweight Directory Access Protocol que significa Protocolo
Ligero de Acceso a Directorios, es un protocolo a nivel de aplicación que permite el
acceso a un servicio de directorio ordenado y distribuido para buscar diversa información
en un entorno de red. Además se le considera como una base de datos a la que es
posible realizarle consultas.
En este caso se plasmará el procedimiento para instalar el denominado OpenLDAP en
Linux, esta aplicación es una implementación libre y de código abierto del protocolo
LDAP, es liberada bajo su propia licencia OpenLDAP Public License, es un protocolo de
comunicación independiente de la plataforma.
Procedimiento de instalación y con figuración de OpenLDAP en un servidor Ubuntu
1.- Instalar OpenLDAP en el servidor con la siguiente instrucción, además de proporcionar
y confirmar la contraseña de administrador.
sudo apt-get install slapd ldap-utils
Una vez dentro del archivo se añadirá una nueva línea que relacione la dirección IP
estática del servidor con los nombres lógicos que tiene previsto utilizar, por ejemplo:
192.168.1.10 ldapserver.oscar.local ldapserver
Al terminar pulsar Ctrl + x para salir y guardar los cambios al archivo. Ahora será
necesario instalar la librería NSS para LDAP, esta permite acceder y configurar distintas
bases de datos utilizadas para almacenar cuentas de usuario, para realizarlo se utiliza la
siguiente instrucción:
sudo apt-get install libnss-ldap -y
Después será necesario indicar la versión del protocolo LDAP que se utilizará, a menos
que se disponga en la red de clientes muy antiguos, lo normal es elegir el valor más alto
que se muestre en pantalla.
Como siguiente paso será necesario que indiquemos si las utilidades PAM deberán
comportarse del mismo modo que cuando cambiamos contraseñas locales, lo que
significa que las contraseñas se guardarán en un archivo independiente que sólo podrá
ser leído por el superusuario. En este caso seleccionaremos la opción Yes y pulsamos la
tecla Intro.
Ahora el sistema nos preguntará si deseamos que sea necesario identificarse para
realizar consultas en la base de datos de LDAP, para lo cual elegiremos la opción No y
pulsaremos la tecla Intro.
Ya sólo queda indicar el nombre de la cuenta LDAP que tendrá privilegios para realizar
cambios en las contraseñas. Como antes, deberemos escribir un nombre global único
(Distinguished Name – DN) siguiendo las indicaciones que se aplicaron al principio
(cn=admin,dc=gricelda,dc=local). Por último el asistente solicita la contraseña que usará
la cuenta anterior que deberá coincidir y que habremos de confirmar, después de escribir
la contraseña presionamos la tecla Intro.
Cuando nos proporcione una pantalla informativa sobre la función de los módulos PAM,
presionaremos Intro para continuar. En la pantalla a continuación elegiremos cuáles
módulos disponibles se desean habilitar, de manera predeterminada aparecen marcados
por lo tanto se volverá a pulsar Intro.
Cuándo se abra el editor, podremos ajustar algunos de los valores del documento, pero,
sobre todo, comprobaremos que son correctos los siguientes datos:
host 192.168.1.10 base
dc=oscar,dc=local
uri ldapi://192.168.1.10/
rootbinddn cn=admin,dc=oscar,dc=local
ldap_version 3
bind_policy soft
Sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el
archivo.
4.- Configurar el demonio SLAPD.
SLAPD (Standalone LDAP Daemon) es un programa multiplataforma, que se ejecuta en
segundo plano, atendiendo las solicitudes de autenticación LDAP que se reciban en el
servidor.
El último paso en la configuración del servidor LDAP será establecer algunos parámetros
en la configuración de este demonio. Para conseguirlo, es necesario ejecutar el siguiente
comando, como es habitual, el comando deberá ejecutarse con privilegios de
superusuario:
sudo dpkg-reconfigure slapd
La primera pantalla que se muestra, actúa como medida de seguridad, para asegurarse
de que no se hacen cambios por error. Hay que tener cuidado porque la pregunta se hace
al revés, es decir, pregunta si queremos omitir la configuración del servidor (el objetivo
será impedir que se elija Sí sin pensar lo que hacemos). En este caso, lógicamente,
deberemos elegir la opción No y pulsamos la tecla Intro.
A continuación, deberemos escribir el nombre DNS que utilizamos para crear el DN base
(Distinguished Name) del directorio LDAP. En nuestro caso, escribiremos oscar.local y
pulsaremos la tecla Intro.
Lo siguiente que nos pregunta el asistente es si queremos que se borre la base de datos
anterior del directorio cuando terminemos la configuración de slapd. Igual que antes,
usamos la tecla <tabulador> para elegir No y pulsamos Intro.
En algunas redes, con clientes muy antiguos, puede ser necesario mantener la versión 2
del protocolo LDAP. Por ese motivo, antes de terminar, el asistente nos pregunta
queremos permitir el protocolo LDAPv2. En la mayoría de los casos, la respuesta será
No.
Entre dos entradas consecutivas debe existir siempre una línea en blanco. Si una línea
es demasiado larga, será necesario repartir su contenido entre varias, siempre que las
líneas de continuación comiencen con un carácter de tabulación o un espacio en blanco.
Por ejemplo, las siguientes líneas son equivalentes:
dn: uid=jlopez, ou=medio, dc=somebooks, dc=es
dn: uid=jlopez, ou=medio,
dc=somebooks, dc=es
También podemos asignar varios valores a un mismo atributo utilizando varias líneas:
cn: Andre Santiago Zorrero
cn: Andre Zorrero
Con esta información en mente, crearemos un archivo que contenga los tipos de objeto
básicos del directorio. Comenzaremos por abrir un editor de textos, por ejemplo nano,
indicándole el nombre de nuestro archivo:
sudo nano ~/base.ldif
En este ejemplo se le ha llamado base.ldif, pero, lógicamente, es posible llamarlo como le
resulte más apropiado al usuario.
Una vez abierto el editor, escribiremos un contenido como este:
dn: ou=usuarios,dc=oscar,dc=local
objectClass: organizationalUnit
ou: usuarios
dn: ou=grupos,dc=oscar,dc=local
objectClass: organizationalUnit
ou: grupos
Abrimos el editor de textos indicándole el nombre del archivo que vamos a crear.
Por supuesto, es posible cambiar el nombre usuario.ldif por el que te resulte más
adecuado en su caso. En el área de trabajo del editor, escribiremos un contenido como
este:
dn: uid=ozorrero,ou=usuarios,dc=oscar,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ozorrero
sn: Zorrero
givenName: Oscar
cn: Oscar Zorrero
displayName: Oscar Zorrero
uidNumber: 1000
gidNumber: 10000
userPassword: mi_password
gecos: Oscar Zorrero
loginShell: /bin/bash
homeDirectory: /home/ozorrero
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: Oscar.zorrero@oscar.com
postalCode: 98400
o: oscar
initials: OZ
Cuando hayamos terminado de escribirlo, sólo restará pulsar Ctrl + x para salir y
asegurarnos de guardar los cambios en el archivo. Con esto ya es posible cargar el nuevo
usuario en el directorio. Sólo es necesario escribir el siguiente comando:
sudo ldapadd -x -D cn=admin,dc=oscar,dc=local -W -f usuario.ldif
c) DNS.
DNS proviene de Domain Name System que en español significa Sistema de Nombres de
Dominio. Un servidor DNS es un sistema que nos permite usar nombres de dominio en
lugar de direcciones IP. Su principal ventaja es que para nosotros es mucho más fácil
recordar un nombre que una dirección IP.
El servidor DNS más utilizado es Bind, a continuación se mostrará el procedimiento de
instalación genérico, sin embargo se encuentra basado en Ubuntu 10.04 Server.
Los valores que debemos tener claros antes de comenzar son Dirección IP del servidor,
nombre del servidor y el dominio que se va a crear, siendo en este ejemplo los siguientes:
Dirección IP del servidor: 192.168.2.1
Estos valores deberemos sustituirlos por los que sean necesarios en cada caso.
Los pasos para instalar y configurar Bind en Ubuntu Server son los siguientes:
Para guardar el archivo debemos pulsar la combinación de teclas Control+O y para salir
Control+X.
El contenido del archivo es bastante especial, aquí es necesario añadir todos los equipos
de la red que se desea mantener identificados.
7.- Comprobamos la zona que acabamos de crear (sliceoflinux.lan):
named-checkzone sliceoflinux.lan /var/cache/bind/db.sliceoflinux.lan
En esta ocasión siempre aparecerá una salida, ya sea para indicar que todo está bien
(OK) o algún error.
8.- A continuación creamos el archivo /var/cache/bind/db.192.168.2 para la zona inversa:
sudo nano /var/cache/bind/db.192.168.2
Al igual que antes obtendremos un mensaje para indicarnos tanto si la zona es correcta
como si no lo es.
10.- Reiniciamos el servicio:
sudo service bind9 restart
d) Archivos Locales.
A continuación se muestra el procedimiento para configurar el protocolo TCP/IP en un
host que se ejecute en modo de archivos locales.
1.- Asuma el rol de administrador principal, o conviértase en superusuario, la función de
administrador principal incluye el perfil de administrador principal.
2.- Cambie al directorio /etc.
Los apodos son nombres adicionales por los que se conoce una interfaz.
6.- Compruebe que las entradas del archivo /etc/inet/hosts sean actuales.
192.168.83.0 255.255.255.0
Cuando un cliente NIS realiza peticiones, éstas llegan a todas las máquinas (broadcast).
Dichas peticiones llevan un campo en donde se indica el nombre de dominio NIS al que
está configurado. Esto permitirá el tener varios dominios NIS distintos en una misma red y
que los clientes se conecten con el adecuado.
Para evitar estas posibles confusiones, lo mejor es que el nombre de dominio NIS sea un
nombre único en nuestra red, y procurar que su nombre aporte información acerca del
grupo de máquinas que acoge, como puede ser el nombre del departamento en el que se
sitúan las máquinas añadidas a dicho sistema.
Decir que, en algunos sistemas operativos como SunOS, utilizan como nombres de
dominio nombres de Internet. Es una restricción a nivel de Sistema Operativo, con lo cual,
si se dispone de máquinas de este tipo, no tendremos que ceñir a dicha restricción.
Evidentemente, de todos los puntos tratados hasta ahora, es el que menor impacto tiene a
la hora de cambiar configuraciones, ya que se afecta a usuarios concretos; no como en
los casos anteriores, en donde un cambio en el nombre de dominio supone reconfigurar
todos sus clientes; o donde cambiar el servidor maestro o montar nuevos esclavos
supone una instalación nueva y una serie de pasos y pautas a seguir en función de los
procedimientos de la organización.
Es más que recomendable el tener una copia de backup reciente de nuestros maestros.
En caso de tener esclavos, sería fácil recuperar la información mapeada a partir de la
copia local de otro de los servidores NIS, pero aún así, es recomendable el tener una
copia de seguridad externa al sistema NIS; se podría dar el caso de corrupciones en la
configuración y que se extendiera a varios servidores NIS haciendo que la copia que
restauremos pueda no ser la correcta. Cada organización definirá este punto en función
de su política de backups.
Definición de una política de seguridad:
Sobra decir lo importante de este punto. La información que contiene NIS es muy sensible
(nombre de usuarios, passwords, etc.).
2.- LDAP:
Los requisitos previos para instalar LDAP son los siguientes:
Exportación del certificado de CA del servidor LDAP
La conexión SSL segura con el servidor LDAP requiere el certificado de CA del servidor
LDAP, que debe exportar a un archivo codificado en base64.
Active Directory: el objeto de usuario ANONYMOUS LOGON debe recibir los permisos de
lista y los accesos de lectura apropiados para los atributos sAMAccountName y
objectclass. En Windows Server 2003 hay que realizar una configuración adicional.
3.- DNS.
Antes de iniciar la instalación real, hay algunas cosas a tener en cuenta. En primer lugar,
puede que tenga que registrar un nombre de dominio DNS. Si desea que sus nombres de
host han de ser resueltos por los clientes en cualquier parte del mundo, necesita un
nombre registrado. Si es para uso interno, también puede utilizar un nombre privado que
no ha sido registrado. En ese caso, sigue siendo una buena idea utilizar un nombre que
no sea utilizado por alguien más, pero usar uno que sea claramente reconocible como un
nombre local de sólo DNS, como example.local.
Incluso si el nombre de dominio que desea utilizar está disponible sólo a nivel interno,
puede conectar el servidor DNS a la jerarquía DNS en todo el mundo. Eso significa que su
servidor DNS interno puede salir y resolver nombres de Internet. De forma
predeterminada, un servidor DNS que no es capaz de resolver un nombre por sí mismo
contactará con un servidor de nombres del dominio (DNS) raíz o utilizara un promotor
para obtener externamente la información de resolución del nombre. A continuación, el
servidor DNS pondrá en caché la información que ha encontrado para rápidamente
entregar la información requerida hacia una etapa posterior.
A raíz de la decisión sobre el nombre de dominio, es necesario pensar en el tipo de
servicios de DNS que desea ofrecer. En el enfoque más simple, se puede instalar un
servidor de nombre DNS sólo de caché. Este es un servidor DNS que no tiene una base
de datos con registros de recursos por sí mismo, pero obtendrá todo, desde los servidores
de nombres externos. La ventaja de implementar un servidor de nombres de sólo
memoria caché es la velocidad, todo lo que se almacena en caché local no necesita ser
traído desde Internet.
A continuación, debe decidir si desea usar el DNS dinámico también. En DNS dinámico, el
servidor DHCP sincroniza su información con DNS. De esta manera, usted puede
asegurarse que una serie que se ha hecho de una nueva dirección IP tendrá su
información actualizada en DNS también.
• En la implementación de una red ¿cuáles crees que sean los dispositivos que
deben ser empleados para que una red sea segura?
1.- Al implementar un NIS se debe considerar el alto nivel de dependencia que llegan a
tener los clientes respecto del servidor de NIS. Si el cliente no puede contactar con el
servidor NIS normalmente la máquina se queda en un estado totalmente inutilizable. La
carencia de información de usuarios y grupos provoca que las máquinas se bloqueen.
Con esto en mente debemos asegurarnos de escoger un servidor de NIS que no se
reinicie de forma habitual o uno que no se utilice para desarrollar. Si se dispone de una
red con poca carga puede resultar aceptable colocar el servidor de NIS en una máquina
donde se ejecuten otros servicios pero en todo momento se debe tener presente que si
por cualquier motivo el servidor de NIS quedara inutilizable afectaría a todas las máquinas
de forma negativa.
2.- Existen una serie de mínimos a tener en cuenta a la hora de montar un servidor NIS ya
que va a ser un servidor al que accedan todos los clientes del dominio y que dependen de
él para poder loguear usuarios, cargar profiles, y demás configuraciones incluidas en
dicho servidor; por lo que se necesitará una máquina con cierta capacidad para soportar
el cúmulo de peticiones. Debemos barajar dos posibilidades:
Si no se dispone máquinas que puedan actuar como servidores esclavos, se tendrá que
montar el maestro en una máquina estable, y definir una serie de políticas de
actualización y actuación en la máquina, para que cada intervención a realizar en ella, se
afecte lo menos posible a producción. También es recomendable el intentar descargar a
dicha máquina de dar otros servicios, en la medida de lo posible, para evitar que sea un
proceso ajeno al sistema NIS el que haga que se den problemas en la máquina.
- La confidencialidad.
- La integridad.
- La autenticidad.
- No-repudio.
- La disponibilidad de los recursos y de la información.
- Consistencia.
- Control de acceso a los recursos.
- Auditoría.
Para hacer un análisis de riesgos es recomendable utilizar una formula como la siguiente:
WRi = Ri *Wi
Donde:
WRi: es el peso del riesgo del recurso “i” (también lo podemos llamar ponderación)
En este análisis es necesario considerar los siguientes recursos para asignarles un valor
de riesgo o de amenaza:
- Hardware.
- Software.
- Datos.
- Gente
- Documentación.
- Accesorios.
Así que depende del resultado de un análisis de riesgos el conocer cuáles son las
vulnerabilidades de la empresa, entonces estaremos en condiciones de definir que
dispositivos usar en la red, la manera de configurarlos y que servicio de nombre o
directorio usar o configurar archivos locales.
II.- La conclusión explica detalladamente cuál es la función de cada uno de los
criterios en el aseguramiento de dispositivos.
En la actualidad es muy cómodo crear una red WLAN en nuestro hogar o negocio, debido
a la gran cantidad de dispositivos móviles con los que se cuenta hoy en día, sin embargo
se debe tener mucha precaución al momento de configurar los dispositivos de la red, por
ejemplo no se necesita ser un hacker para irrumpir en las redes, incluso en la actualidad
se comercializan routers en el mercado, que pueden hackear y conectarse a cualquier red
que use el método de seguridad WEP.
Sin embargo una de las medidas que podemos utilizar es configurar el router al método
de seguridad WPA2, cambiar la contraseña predeterminada, cambiar el identificador de
red (SSID) predeterminado, usar puntos de acceso y configurar el firewall de Windows.
Referencia Bibliográfica
Curso de UNIX, Lección 16: NIS. Recuperado el 04 de Octubre de 2014 de
http://www.uprm.edu/luis/courses/unix/leccion16.html
Instalar y configurar OpenLDAP en el servidor Ubuntu. Recuperado el 04 de Octubre de
2014 de http://somebooks.es/?p=3445
Instalar y configurar un servidor DNS con Ubuntu Server paso a paso. Recuperado el 05
de Octubre de 2014 de http://sliceoflinux.wordpress.com/2010/04/21/instalar-y-configurar-
un-servidor-dns-con-ubuntu-server-paso-a-paso/
Guía de administración del sistema: servicios IP. Recuperado el 05 de Octubre de 2014
de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-64/index.html
NIS/YP. Recuperado el 05 de Octubre de 2014 de
https://www.freebsd.org/doc/es/books/handbook/network-nis.html
NIS consideraciones previas. Recuperado el 05 de Octubre de 2014 de
http://techdefs.es/nis-consideraciones-previas/
Consejos para configurar el servidor DNS en Empresas con RHEL. Recuperado el 05 de
Octubre de 2014 de http://searchdatacenter.techtarget.com/es/consejo/Consejos-para-
configurar-el-servidor-DNS-en-Empresas-con-RHEL
Guía de administración del sistema: servicios IP. Recuperado el 05 de Octubre de 2014
de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-2a/index.html
Routers de red. Recuperado el 05 de Octubre de 2014 de
http://www.cisco.com/web/LA/soluciones/la/network_routers/index.html
Como proteger e impedir que puedan hackear y robar una conexión Wi-Fi a internet.
Recuperado el 05 de Octubre de 2014 de http://norfipc.com/articulos/como-proteger-
impedir-puedan-hackear-robar-conexion-internet.html