[Índice Redes] · [Anterior] · [Publicaciones] · [Saulo.Net

Capítulo 5
Redes en Windows NT

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.1 Introducción a Windows NT

Windows NT es un sistema operativo de servidor y como tal tiene una serie de características que lo distinguen de los sistemas operativos domésticos como pueda ser Windows 98 o Windows Me. Windows NT ha evolucionado en Windows 2000 y Windows 2000 en Windows XP. Sin embargo y a pesar de su antigüedad, NT se sigue utilizando en un elevado número de empresas. La razón es sencilla: los cambios de sistemas en las empresas pueden acarrear consecuencias imprevistas. ¿Qué administrador de red se arriesga a cambiar un sistema NT que cumple perfectamente con sus funciones por un sistema nuevo en el que todavía no tiene confianza? Esto explica el que las empresas siempre vayan retrasadas respecto al mercado. Windows NT sigue teniendo una elevada implantación en servidores. Veamos algunas características destacadas:

Windows NT tiene una versión diseñada para los puestos de trabajo (Windows NT Workstation) y una familia de versiones para trabajar en los servidores (Windows NT Server). En este Capítulo estudiamos las versiones de servidor de Windows NT. El estudio de la versión Workstation queda fuera de las pretensiones del Curso: en su lugar hemos estudiado Windows 98 como cliente de red.

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.2 Instalación de Windows NT

(No disponible)

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.3 Creación de un servidor de usuarios y archivos

La mayor parte de las empresas necesitan uno o más servidores de usuarios y archivos. Windows NT incorpora las herramientas necesarias para que la configuración de estos servicios se realice cómodamente.

Un servidor de usuarios es aquella máquina que valida a los usuarios de la red cuando escriben su nombre de usuario y contraseña al iniciar sesión. Si el nombre de usuario y contraseña escritos por el usuario no son reconocidos por el servidor de usuarios, no se le permitirá acceder a los recursos en red. En Windows NT esta máquina recibe el nombre de Controlador principal de dominio. Los usuarios de la red se dice que inician sesión en el dominio del servidor (tienen que haber sido dados de alta previamente en el servidor como usuarios del dominio). El administrador de la red se encarga de la gestión de usuarios: altas, bajas, cambios de contraseña, etc.

Un servidor de archivos es la máquina que contiene los archivos privados de cada usuario, los de su grupo de trabajo y los archivos públicos de la red. En realidad, se trata de una colección de carpetas compartidas pero con distintos permisos de acceso. El administrador de la red debe preocuparse de establecer los permisos de acceso correctamente y de realizar las pertinentes copias de seguridad.

Las tareas de servidor de usuarios y archivos puede realizarlas una misma máquina Windows NT Server o bien, distintas máquinas. Incluso, puede haber varios servidores de usuarios y varios servidores de archivos según las dimensiones de la red. En este apartado nos centraremos en el primer caso: un solo ordenador realiza ambas tareas.

 

    
Gestión de usuarios. Grupos globales y locales

Cada usuario de la red necesita un nombre de usuario y contraseña para iniciar sesión en el dominio desde su puesto de trabajo. Estos dos datos se establecen en el servidor de usuarios (Controlador principal de dominio). La gestión de usuarios se realiza desde el programa Administrador de usuarios que se encuentra en Menú Inicio / Programas / Herramientas administrativas. La siguiente ventana muestra los campos que se deben introducir para el alta de un nuevo usuario. Únicamente son obligatorios el nombre de usuario y la contraseña, la cual hay que escribirla dos veces a modo de confirmación.

 

  

Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesión en el dominio de Windows NT que hemos configurado según se explica en el apartado Contraseña de red Microsoft y contraseña de Windows. El nombre del dominio es el que hemos indicado durante la instalación de Windows NT (se puede consultar en las propiedades de Entorno de red, pestaña Identificación) y es distinto al nombre del servidor.

Después de la instalación de Windows NT, hay varios usuarios que aparecen ya creados en el Administrador de usuarios:

Si bien es cierto que a cada usuario se le pueden asignar individualmente permisos distintos, no suele ser lo más práctico. En su lugar, se crean grupos de usuarios que comparten los mismos privilegios (por ejemplo, todos los usuarios de un mismo departamento de la empresa). La gestión de permisos se simplifica considerablemente de esta forma.

Un grupo es un conjunto de usuarios con los mismos privilegios. Un grupo puede ser de dos tipos:

La norma habitual es crear dos grupos de usuarios (uno global y otro local) para cada agrupación de usuarios que deseemos crear. Procederemos de la siguiente forma:

  1. Crear los grupos globales
  2. Incluir los usuarios dentro de los grupo globales
  3. Crear un grupo local que incluya a cada grupo global
  4. Asignar los recursos a los grupos locales

Los usuarios nuevos que creemos deben pertenecer siempre al grupo global predeterminado "usuarios del dominio", aunque pueden pertenecer además a otros grupos globales que nosotros creemos.

Veamos un ejemplo: Los usuarios de la red María, Pablo e Isabel son alumnos y necesitan tener una carpeta en el servidor que les permita realizar sus prácticas:

  1. Creamos el grupo global "alumnos del dominio"
  2. Damos de alta a los usuarios "maria", "pablo" e "isabel" y los incluimos en el grupo global "alumnos del dominio" (además de en "usuarios del dominio")
  3. Creamos el grupo local "alumnos" y dentro incluimos el grupo global "alumnos del dominio"
  4. Creamos la carpeta "practicas" y la compartimos al grupo local "alumnos"

Si más adelante necesitamos dar de alta a algún alumno nuevo, bastará con incluirlo en el grupo global "alumnos del dominio" y automáticamente tendrá los mismos permisos de acceso que el resto de alumnos (podrá acceder a la carpeta "practicas").

En el siguiente ejemplo vamos a crear un mayor número de grupos. Supongamos que tenemos dos grupos de alumnos: unos que asisten a clase por la mañana y otros que lo hacen por la tarde. Cada grupo tendrá una carpeta distinta para almacenar sus prácticas. Estará disponible, además, una carpeta común para ambos grupos de alumnos. Finalmente, crearemos una carpeta pública que sea accesible no sólo por los alumnos sino también por el resto de usuarios del dominio.

  1. Crear los grupos globales "mañanas global" y "tardes global".
  2. Dar de alta al usuario "fulanito" (es un alumno que asiste por las mañanas) e incluirlo dentro de los grupos globales "mañanas global" y "usuarios del dominio"
  3. Dar de alta al usuario "menganito" (es un alumno que asiste por las tardes) e incluirlo dentro de los grupos globales "tardes global" y "usuarios del dominio"
  4. Dar de alta al usuario "aladino" (es el jefe de estudios) e incluirlo dentro del grupo global "usuarios del dominio"
  5. Crear los grupos locales "mañanas", "tardes" y "alumnos".
  6. En el grupo local "mañanas" incluir el grupo global "mañanas global"
  7. En el grupo local "tardes" incluir el grupo global "tardes global"
  8. En el grupo local "alumnos" incluir los grupos globales "mañanas global" y "tardes global"
  9. Crear la carpeta "\compartir\practicasmañanas" con control total al grupo local "mañanas"
  10. Crear la carpeta "\compartir\practicastardes" con control total al grupo local "tardes"
  11. Crear la carpeta "\compartir\todoslosalumnos" con control total al grupo local "alumnos"
  12. Crear la carpeta "\compartir\todoslosusuarios" con control total al grupo local "usuarios"

 

Creación de carpetas para usuarios y grupos

Una vez que hemos creado los usuarios, grupos globales y locales es el momento de diseñar una estructura de carpetas en el servidor para que los usuarios de la red puedan almacenar sus archivos privados y compartir documentos con otros usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas de grupos; sin embargo, ahora vamos a verlo con más detalle.

Las necesidades de almacenamiento de archivos en una red se suelen reducir a tres tipos de carpetas para cada usuario:

¿Cómo organizar las carpetas en el disco duro del servidor? Es recomendable que se almacenen en una partición NTFS para disponer de seguridad. Las particiones FAT no son las más indicadas puesto que no permiten la configuración de permisos locales de acceso aunque sí permisos a la hora de compartir carpetas en la red. Este punto lo estudiaremos detenidamente más abajo.

A continuación se muestra un ejemplo de organización del disco duro del servidor que trata de diferenciar las carpetas de usuarios, grupos y pública.

 

Las únicas carpetas que se comparten son las del último nivel (nunca las carpetas "compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos", "mañanas", "tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de estas carpetas tendrá unos permisos de acceso distintos. Lo habitual es dar permiso de control total al propietario de la carpeta (ya sea el usuario o un grupo local) en Compartir y control total a todos en Seguridad. En el caso de la carpeta "publico" daremos control total al grupo "usuarios" en Compartir. Los permisos se asignan accediendo a las propiedades de la carpeta. Obsérvese que las pestañas Compartir y Seguridad pueden tener permisos distintos. Veamos cómo quedarían los permisos de la carpeta "alumnos". Podemos seguir este mismo esquema para el resto de carpetas.

 

    

Diferencia entre los permisos de Compartir y de Seguridad

¿Qué permisos necesitamos?

Forma de proceder:

 

Archivos de inicio de sesión

Los archivos de inicio de sesión son una serie de comandos que se ejecutan cada vez que un usuario inicia sesión en su puesto de trabajo. Su mayor utilidad es la conexión a las unidades de red del usuario. De esta forma conseguimos que cada usuario vea siempre sus unidades de red independientemente del puesto (Windows 98) en el que inicie sesión (carpeta del usuario (U:), carpeta del grupo (G:) y carpeta pública (P:)) evitándole la incómoda tarea de buscar los recursos compartidos sobre los que tiene permisos en Entorno de red.

Los archivos de inicio de sesión se almacenan en la carpeta \winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos un archivo de inicio de sesión (script) distinto. Estos archivos siguen la sintaxis de los archivos por lotes de MS-DOS. Se pueden crear con cualquier editor de textos, incluido el Bloc de notas. El siguiente script para el usuario menganito se puede utilizar como esquema (lo llamaremos "menganito.bat"):

@echo off

echo **************************************
echo  Hola Menganito, bienvenido a Minerva
echo  Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico

En el ejemplo anterior, "minerva" es el nombre del servidor y "menganito", "tardes" y "publico", recursos compartidos del servidor "minerva". Este archivo generará en Mi PC las unidades de red U:, G: y P: según se indica en el script, cada vez que el usuario Menganito inicie sesión en cualquier Windows 98 de la red.

Una vez creados los archivos de inicio de sesión tenemos que asociar cada uno de ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el cuadro Archivo de comandos de inicio de sesión de las propiedades de cada usuario del Administrador de usuarios (botón Perfil), según se muestra en la siguiente imagen:

 

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.4 Relaciones de confianza entre dominios

Concepto de dominio

Hasta ahora no hemos dado una definición formal de dominio; sin embargo, hemos tenido la noción intuitiva de que un dominio es la estructura de recursos y usuarios que utilizan las redes de Windows NT. Podemos definir dominio como una colección de equipos que comparten una base de datos de directorio común (SAM). Cada usuario tiene que validarse en el dominio para poder acceder a sus recursos mediante un nombre de usuario y contraseña que le asignará el administrador. Los servidores del dominio ofrecen recursos y servicios a los usuarios (clientes) de su dominio.

Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos organizativos en ocasiones es interesante utilizar varios dominios interconectados entre sí. Esto lo veremos más adelante cuando tratemos las relaciones de confianza. El caso más sencillo es un solo dominio y un solo servidor en el dominio. Sin embargo, en un mismo dominio pueden coexistir distintos servidores.

 

Funciones de un servidor Windows NT

Un máquina Windows NT dentro de un dominio puede actuar de una de estas tres maneras (estas funciones se eligen durante la instalación de NT):

Si el controlador principal tiene una avería, el controlador de reserva puede cambiar su función a controlador principal. Esto se consigue desde el Administrador de servidores / Menú Equipo / Promover a controlador principal de dominio.

 

Creación de una relación de confianza

Las relaciones de confianza se utilizan para que los usuarios de un dominio puedan acceder a los recursos de otro dominio. 

Sean A y B dominios, se dice que B confía en A si usuarios de A pueden acceder a recursos de B. Gráficamente se representa:

 

Para crear la relación de confianza anterior:

  1. En el controlador principal del dominio A, incluimos B en el cuadro Dominios de confianza.
  2. En el controlador principal del dominio B, incluimos A en el cuadro Dominios en los que se confía.

Estos cuadros se encuentran en el Administrador de usuarios / Menú Directivas / Relaciones de confianza.

Las relaciones de confianza habitualmente se crean siguiendo una serie de modelos predefinidos que se amoldan a la mayoría de las necesidades.

 

Modelos de dominios

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.5 Mensajería entre sistemas Windows

Los usuarios de sistemas Windows pueden enviar mensajes a otros usuarios Windows de la red. Los equipos Windows NT necesitan tener iniciado el servicio "Mensajería" (Panel de control / Servicios). Los equipos Windows 98 requieren tener abierto el programa "Winpopup" (escribir "winpopup" en Menú Inicio / Ejecutar). Si el programa Winpopup está cerrado, los mensajes enviados se perderán.

 

Los mensajes desde estaciones Windows NT se envían mediante el comando NET SEND.

El siguiente ejemplo, envía un mensaje a todos los usuarios del dominio. Sólo recibirán el mensaje aquellos Windows 98 que tengan abierto el programa Winpopup y aquellos Windows NT que tengan iniciado el servicio de mensajería.

net send /users El servidor se apagará en 10 minutos. Por favor, vaya guardando sus documentos.

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.6 Servidor WINS

WINS es un servidor de resolución dinámica de nombres NetBIOS. La utilización de un servidor WINS en la red mejora la eficiencia de la red al evitar la difusión de mensajes de broadcasting. Además, agiliza la localización de recursos mediante Entorno de red. Se recomienda la utilización de un servidor WINS en redes grandes con elevado tráfico para aumentar la eficiencia de la red.

 

Instalación del servidor WINS:

  1. Agregar el servicio "Servidor de nombres de Internet para Windows".

Las estadísticas de uso de WINS se pueden consultar desde Herramientas administrativas / Administrador de WINS.

Configuración de los clientes WINS:

  1. Añadir la dirección IP del servidor WINS en la pestaña "Dirección WINS" de las propiedades de TCP/IP.

En los clientes podemos comprobar que se está utilizando un servidor de nombres mediante el comando NBTSTAT -r, en lugar de enviar mensajes de difusión a la red.

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

5.7 Servidor DHCP

Hasta ahora hemos configurado manualmente los parámetros TCP/IP de cada puesto de la red. Sin embargo, estos parámetros se pueden asignar dinámicamente mediante la utilización de un servidor DHCP (Dynamic Host Configuration Protocol, protocolo de configuración dinámica de host). Lo mínimo que puede asignar un servidor DHCP es la dirección IP y máscara de subred a cada puesto de la red, aunque también se pueden establecer el resto de parámetros de la configuración TCP/IP.

La utilización de un servidor DHCP evita la tarea de configurar manualmente los parámetros TCP/IP de cada puesto de la red y facilita los posibles cambios de configuración. Aunque tiene el inconveniente de requerir una máquina NT con este servicio configurado. Por otro lado, una red que utilice DHCP puede dificultar el rastreo y seguimiento de las tareas que cada usuario ha realizado en la red si no se asignan direcciones IP únicas a cada host de la red.

 

Instalación y configuración del servidor DHCP:

  1. Agregar el servicio "Servidor DHCP de Microsoft" en la configuración de "Red"
  2. Asegurarnos de que nuestro servidor tiene una IP estática
  3. Reiniciar
  4. Entrar a Herramientas administrativas / Administrador DHCP / Ámbito / Crear, e indicar el rango de IPs que vamos a reservar para los puestos de la red. Las direcciones IP del propio servidor DHCP y de otros posibles servidores con IP estática se deben excluir del rango anterior.
  5. Establecer las opciones del ámbito en el menú Opciones DHCP / Ámbito. En la imagen anterior se muestran las opciones típicas de configuración (3 = puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS, 46 = tipo de nodo de resolución de nombres NetBIOS).

Nota: El tipo de nodo 0x8 es el conocido como nodo híbrido. Significa que los clientes tratarán de resolver cada nombre en primer lugar mediante un servidor WINS y, si no lo consiguieran, mediante un broadcasting a la red. Es el nodo recomendado para la mayoría de las configuraciones.

Configuración de los clientes DHCP:

  1. Marcar la opción "Obtener una dirección IP automáticamente" en las propiedades de TCP/IP. Si se han establecido las opciones propuestas anteriormente, desactivaremos la resolución WINS y eliminaremos los servidores DNS y puertas de enlace. Obsérvese que la configuración TCP/IP de los clientes DHCP es la predeterminada de Windows después de instalar el protocolo TCP/IP.

A continuación se muestra un ejemplo de diseño de una red con conexión a Internet que utiliza servidores DNS, WINS y DHCP. A la derecha se ofrece el resultado de la orden WINIPCFG para uno de los puestos de la red, el cual ha obtenido toda la configuración dinámicamente de un servidor DHCP (comparar con la imagen anterior).

Las direcciones IP se pueden reservar para conseguir que cada host tome siempre la misma dirección IP. Esto permite rastrear los movimientos de cada host en la red y es recomendable su utilización por motivos de seguridad. Las reservas se hacen desde el menú Ámbito / Agregar reservas. Cada host se identifica mediante la dirección física de su tarjeta de red. Este número se debe introducir en el cuadro "Identificador único" como una secuencia de 12 caracteres sin utilizar ningún separador entre cada byte.

Obsérvese que la configuración DHCP se asigna a los clientes durante un determinado periodo de tiempo (llamado concesión o permiso). Durante ese tiempo el cliente no requiere realizar conexiones al servidor DHCP (el servidor podría estar incluso apagado y el cliente conservaría toda su configuración). Antes de que el permiso caduque, el cliente renovará automáticamente su configuración preguntando al servidor DHCP.

La configuración de DHCP se puede renovar anticipadamente utilizando los botones "Liberar" y "Renovar" de WINIPCFG o bien, el comando IPCONFIG (escribir IPCONFIG /? para conocer sus parámetros).

 

[Índice Redes] · [Anterior] · [Publicaciones] · [Saulo.Net

Capítulo 6
Seguridad en redes

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

6.1 Virus y caballos de Troya

Un virus es un programa cuyo objetivo prioritario es su propagación entre ordenadores sin ser advertido por el usuario. Una vez que el virus considera que está lo suficientemente extendido pasa de su fase de latencia a su fase de activación. En esta fase los efectos del virus pueden ser tan variados como alcance la imaginación de su autor: pueden limitarse a mostrar inofensivos mensajes en pantalla o bien, eliminar información del disco duro o dañar la BIOS del ordenador.

Sus vías de propagación son las clásicas del software: disquetes, CD-ROMs, discos ZIP, copia de archivos por la red, descarga de un archivo por FTP o HTTP, adjunto de correo electrónico, etc. Sin embargo, las estadísticas demuestran que la principal vía de infección de virus es el correo electrónico; concretamente, los archivos adjuntos del correo. Debemos extremar las precauciones cuando recibamos un correo electrónico con un archivo adjunto.

¿Cómo podemos proteger nuestra red de virus? Básicamente por dos frentes: mediante una adecuada formación de los usuarios (prevención) y mediante programas antivirus (detección y desinfección). La primera forma es la más eficiente puesto que es aplicable tanto para virus conocidos como desconocidos.

 

Formación de los usuarios

¿Saben los usuarios de nuestra empresa lo que no deben hacer? ¿Saben que si abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la seguridad de toda la empresa? La formación de los usuarios, especialmente aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos que tener en cuenta como administradores de una red.

Importante: Para que las extensiones de los archivos sean visibles debemos desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos" situada en Mi PC / menú Ver / Opciones de carpeta / Ver. La situación de esta opción puede variar dependiendo de la versión de Windows e Internet Explorer que estemos utilizando. Buena parte de los virus se aprovechan de que los usuarios tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-LETTER-FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos únicamente el nombre "LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se trata de un inofensivo archivo de texto, cuando en realidad es un archivo ejecutable (.VBS).

Si todos los usuarios siguieran estos consejos habríamos conseguido probablemente una red libre de virus. Microsoft, consciente del elevado riesgo que supone el correo electrónico, dispone de una actualización de seguridad para su programa Outlook (no Outlook Express) que impide al usuario abrir archivos potencialmente peligrosos. Como administradores de redes debemos considerar la opción de aplicar esta actualización en todos los puestos.

Es responsabilidad del administrador instalar en todos los equipos de la red tanto los últimos parches de seguridad como las últimas actualizaciones del antivirus. Si bien es cierto que han salido a la luz virus que se contagian con sólo abrir un archivo HTML (ver una página web o leer un correo electrónico), también es cierto que se apoyan en vulnerabilidades del sistema las cuales ya han sido subsanadas por Microsoft (por ejemplo, la vulnerabilidad "script.typelib") . Entre este tipo de virus podemos citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una adecuada política de actualizaciones en los puestos de trabajo así como una correcta configuración de los programas de navegación y correo, podemos olvidarnos de los virus HTML: el riesgo que suponen es tan bajo que no merece la pena que nos preocupemos por ellos.

¿Cómo podemos configurar los puestos de trabajo para reducir las situaciones de riesgo en el correo electrónico?

 

Antivirus

Los programas antivirus detectan la presencia de virus en archivos impidiendo la infección del sistema. Además disponen de rutinas de desinfección con mayor o menor éxito en función del tipo de virus y de la calidad del programa antivirus. Obsérvese que los antivirus no son la panacea: cada día se desarrollan nuevos virus los cuales pueden no ser detectados por nuestro programa antivirus. Las desinfecciones de archivos en caso de que un posible virus haya destruido datos (sobrescribiéndolos con caracteres basura, por ejemplo) pueden no tener ningún éxito. En la mayoría de los casos, después de una infección no queda más remedio que reinstalar equipos y recuperar datos de copias de seguridad. Por lo tanto, debemos invertir en medidas de prevención y detección para que las infecciones no lleguen a producirse. Si a pesar de todo ocurre lo peor, nuestra red debe estar diseñada para que las consecuencias sean las menores posibles.

¿Dónde colocar el antivirus? Se puede situar en los clientes y/o en los servidores:

Resumiendo: como norma general debemos instalar un antivirus residente en cada puesto de la red (pero no en los servidores). Si se trata de una red de dimensiones considerables y el presupuesto lo permite, podemos considerar también la instalación de un antivirus específico para el servidor de correo de la empresa.

Nota: La protección del servidor que da salida a Internet (proxy) se estudia más adelante. 

Como administradores de la red tenemos que preocuparnos de:

  1. Formar al usuario para que distinga las situaciones que entrañan riesgo para la empresa de las que no. Es importante comprender que un sólo equipo infectado puede propagar la infección al resto de equipos de la red. 
  2. Mantener los antivirus de todos los puestos actualizados. La actualización debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de actualizar los antivirus puesto por puesto, se debe buscar un sistema que permita la actualización de forma centralizada.
  3. Realizar copias de seguridad diarias o semanales de los documentos de los usuarios almacenados en el servidor de archivos y mantener un historial de copias. Los usuarios deben ser conscientes de que los únicos datos que estarán protegidos serán los que estén almacenados en el servidor pero no los que residan en sus equipos locales. Las copias de seguridad se suelen dejar programadas para realizarse durante la noche. El historial de copias se consigue utilizando un juego de cintas (las hay disponibles de varias decenas de GB) que se van utilizando de forma rotativa.. Por ejemplo, con un juego de 7 cintas tendríamos siempre un historial de 7 copias de seguridad anteriores. Por supuesto, las cintas deben guardarse en lugar seguro y, a ser posible, lo más alejadas físicamente del servidor con objeto de evitar la destrucción de todos los datos en caso de desastres naturales: inundaciones, incendios, etc.
  4. Evitar la compartición de unidades y carpetas en los ordenadores cliente. Todos los recursos compartidos deben estar en los servidores, nunca en los ordenadores cliente. De esta forma se evitan propagaciones masivas de virus entre los puestos de trabajo.

 

Troyanos

Los caballos de Troya o troyanos son programas que se distribuyen siguiendo los mismos métodos que los virus. Las medidas de prevención son las explicadas anteriormente para el caso de los virus. Los troyanos más conocidos son también detectados por programas antivirus.

Pero, ¿qué es exactamente un caballo de Troya? Es un programa que tiene una apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se trata de un programa con dos módulos: un módulo servidor y otro cliente. El atacante se instala, con fines nada éticos, el módulo cliente en su ordenador. El módulo servidor es el troyano propiamente dicho que se envía a la víctima bajo alguna apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez que la víctima cae en la trampa y ejecuta el archivo éste se instala en su ordenador. A partir de ese momento, el atacante puede monitorizar todo lo que la víctima hace en su ordenador incluyendo el robo de contraseñas y documentos privados.

El troyano, después de ejecutarse, abre un determinado puerto en modo escucha en el ordenador de la víctima. El atacante puede crear entonces una conexión desde su ordenador hasta la dirección IP y puerto de la víctima (debe conocer estos dos números o diseñar algún método para obtenerlos). Una vez que está establecida la conexión, el atacante, que puede estar a miles de kilómetros, tendrá acceso completo al ordenador de la víctima.

Para detectar la presencia de un troyano basta con utilizar el comando NETSTAT -A. Si observamos algún puerto a la escucha que no esté asociado con ninguna aplicación conocida de nuestro ordenador es señal de una posible presencia de troyanos. Si, además, observamos que se establece una conexión con una dirección IP desconocida es muy probable que nuestro ordenador está transfiriendo datos sin nuestro consentimiento.

Nota: Se puede averiguar a quién pertenece una dirección IP mediante los sitios whois disponibles en la Red (ver www.saulo.net/links). El significado de cada puerto se estudia en el Curso de protocolos TCP/IP.

Los antivirus no son los programas más efectivos para enfrentarse a los caballos de Troya. En su lugar, es más recomendable la utilización de cortafuegos o firewall que nos avisará cuando detecte el establecimiento de una conexión TCP sospechosa o, simplemente, la rechazará. En las redes suele ser suficiente con la colocación de un cortafuegos justo en la salida de Internet. Más adelante se estudian los cortafuegos.

 

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

6.2 Ley de los mínimos privilegios

Todos aquellos servicios que no sean imprescindibles en una red se deben deshabilitar. Además, todos aquellos privilegios que no sean indispensables para que los usuarios ejerzan con comodidad su trabajo deben ser suprimidos. Todo esto ser resume con la ley de los mínimos privilegios: ningún usuario ni ordenador debe poder hacer más de lo necesario. Veamos unos ejemplos:

Desde el punto de vista de la seguridad, la red más segura sería aquella que no dejara hacer nada (ni trabajar, siquiera) y la red más insegura aquella que lo permitiera todo (entrar desde el exterior a usuarios anónimos, por ejemplo). Por supuesto, debemos buscar un compromiso entre seguridad y número de servicios / privilegios requeridos para trabajar con comodidad.

 

Deshabilitar servicios innecesarios

Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona más rápido puesto que tiene menos tareas a las que atender, consume menos memoria y hace un menor uso del procesador, produce menos errores (hay menos cosas que pueden fallar y menos módulos que puedan interferir entre sí), es más resistente a agujeros de seguridad (sólo le afectan los agujeros de seguridad de los servicios que tiene activos) y, por último, tiene un mantenimiento más sencillo (sólo hay que instalar los parches de seguridad de los servicios que tiene habilitados). La gestión de servicios en Windows NT se realiza desde Panel de control / Servicios.

Los servidores deben tener el menor número de puertos abiertos. Esto se consigue eliminando todos los servicios innecesarios. De esta forma evitamos posibles ataques desde el exterior que se aprovechan de algún reciente agujero de seguridad para puertos concretos. Los puertos abiertos se listan con la orden NETSTAT -A. Por supuesto, los clientes sólo deben tener abiertos los puertos imprescindibles para sus tareas (generalmente los puertos NetBIOS: 137, 138 y 139): nunca un puesto de trabajo puede ser un servidor web o similar (esto se produce en ocasiones con puestos de trabajo que funcionan con Windows 2000 Professional).

Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algún programa los está utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de programas activos en ese momento. Mediante la orden MSCONFIG, pestaña Inicio se listan todos los programas que se ejecutan al iniciarse el sistema operativo. Una vez que hemos localizado el programa que abre un determinado puerto que queremos cerrar, basta con desmarcarlo en la lista anterior. En el próximo reinicio el puerto permanecerá cerrado. El cierre de los puertos NetBIOS se explica en el apartado Cómo deshabilitar NetBIOS en Windows 98.

La gestión de los privilegios de los usuarios debe realizarse cuidadosamente en los servidores de usuarios y archivos. Aunque los usuarios sean de confianza siempre reduciremos riesgos por descuidos. Además, en el caso de una infección por virus, el virus no podrá traspasar los departamentos si no hay ninguna vía de acceso o recurso compartido común. En general, la aplicación de la ley de los mínimos privilegios reduce la mayor parte de riesgos potenciales.

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

6.3 Parches de seguridad

El software que sale al mercado dista mucho de ser un producto perfecto e infalible: habitualmente contiene una serie de errores que no fueron detectados o corregidos a tiempo antes de su comercialización. Desde el punto de vista de la seguridad nos interesan aquellos fallos que pueden ser utilizados por personas maliciosas para romper la seguridad de un sistema, extraer datos, dejar un sistema fuera de servicio, etc. Cada día se descubren nuevos agujeros de seguridad en los productos más utilizados y también cada día se lanzan parches de seguridad que subsanan estos errores. El tiempo que transcurre entre que un agujero de seguridad es publicado y la instalación del correspondiente parche en el servidor es tiempo que el servidor está a merced de los hackers que pululan por la Red.

Las informaciones de primera mano en temas de seguridad se obtienen de listas de correo especializadas. En español se destaca la lista una-al-dia de Hispasec que lanza diariamente una noticia de seguridad. Hispasec también incluye un sistema de mensajes a móviles para alertar de los riegos más graves. En inglés, la publicación más relevante de seguridad para Windows NT es NTBugtraq. Microsoft dispone de boletines periódicos de seguridad (en inglés) sobre sus productos (http://www.microsoft.com/technet/itsolutions/security/current.asp). La descarga de los parches en español se puede realizar desde http://www.microsoft.com/spain/support/kbsl/softlib/defaultsl.asp o bien, desde http://www.microsoft.com/downloads/search.asp?LangID=18&LangDIR=ES. Antes de realizar actualizaciones es muy recomendable dirigirse al sitio web del sistema operativo para obtener información detallada de las instalaciones necesarias.    

Si bien los servidores son las máquinas más sensibles de la red y a las que debemos prestar una mayor atención, tampoco debemos olvidarnos de los clientes. Los puestos de trabajo deben contener al menos todas las actualizaciones críticas que recomienda www.windowsupdate.com

 

[Índice Redes] · [Arriba] · [Publicaciones] · [Saulo.Net

6.4 Modelos de redes seguras

En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a la hora de diseñar redes seguras.

Las contraseñas escogidas en la red deben ser contraseñas seguras. No solamente las contraseñas de los servidores sino también la de los usuarios que inician sesión en sus puestos de trabajo. Pongamos un ejemplo: la palabra "cerrojo" no es en absoluto una contraseña segura puesto que es una palabra de diccionario. Los diccionarios se pueden utilizar para hacer ataques de fuerza bruta desde la primera palabra hasta la última, hasta que se encuentre alguna coincidencia. Sin embargo, nosotros podemos camuflar esta palabra mediante algún número o símbolo. La palabra "cerrojo56" es ya mucho más difícil de descifrar. También se pueden combinar números y letras en mayúsculas tratando de buscar algún sistema que nos permita recordar la contraseña. Por ejemplo, "cErr0j0". Las contraseñas deben tener más de 5 o 6 caracteres. Cuanto más larga sea la contraseña, más complicado será romperla. Otro método para inventarse contraseñas es utilizar las iniciales de frases. Sin embargo, las frases tampoco deben ser muy conocidas puesto que las iniciales más habituales se encuentran también en diccionarios de hackers (por ejemplo, "euldlm" = En un lugar de la Mancha).

Las contraseñas se deben renovar periódicamente (cada dos meses, por ejemplo) por si alguna hubiese podido ser descubierta. Además, se deben utilizar contraseñas distintas para cada servicio de la red. Por ejemplo, sería una temeridad utilizar la misma contraseña para el correo electrónico que para la cuenta de administrador de un servidor. ¿Por qué? Sencillamente porque una contraseña de correo no viaja encriptada por la red y podría ser descubierta fácilmente.

La utilización de switches es preferible a la utilización de hubs. Recordemos que un hub difunde la información que recibe desde un puerto por todos los demás. La consecuencia de esto es que todas las estaciones conectadas a un mismo hub reciben las mismas informaciones. Si en uno de estos puestos se sitúa un usuario malicioso (o bien, ese puesto está controlado remotamente mediante un troyano u otro tipo de acceso remoto) es posible que trate de instalar una herramienta conocida como sniffer para analizar todo el tráfico de la red y así, obtener contraseñas de otros usuarios. Los sniffers utilizados correctamente pueden mostrar información muy útil para el administrador de una red. Pero en manos de usuarios maliciosos y en redes mal diseñadas supone un elevado riesgo de seguridad. Un sniffer instalado en un puesto de trabajo carece de utilidad si en la red se utilizan switches para aislar los puestos. En cambio, un sniffer instalado en un servidor (de correo o de usuarios, por ejemplo) puede revelar datos altamente confidenciales. Es muy importante, por tanto, restringir el acceso de usuarios a los servidores así como mantenerlos protegidos con las últimas actualizaciones de seguridad.

Es preferible que las zonas pública y privada de nuestra red utilicen cableado distinto. Así evitaremos que un servidor de la zona pública comprometido pueda escuchar tráfico de la zona privada. Veamos dos ejemplos:

Los servidores, ¿en la zona pública en la zona privada? Estamos de acuerdo en que los servidores tienen que tener direcciones IP públicas para que sean accesibles desde todo Internet. Sin embargo, no suele ser recomendable asignar directamente las IP públicas a los servidores. En su lugar se les puede asignar direcciones privadas e implantar un sistema de traslación de direcciones públicas-privadas. De esta forma se consigue que todo el tráfico público de la red se filtre por un router o/y cortafuegos antes de llegar a los servidores. Por ejemplo: el servidor web de la empresa puede tener la dirección 194.142.15.8 de cara a los visitantes pero la dirección 192.168.0.3 en su configuración. Un servidor previo (cortafuegos) tendrá la dirección 194.142.15.8 configurada y redirigirá las peticiones al puerto 80 de esta IP al servidor 192.168.0.3. Esta traslación de direcciones la pueden realizar routers correctamente programados o bien, máquinas Linux, las cuales se desenvuelven muy eficazmente en estas tareas. ¿Qué ocurre si alguien intenta acceder a un puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que el cortafuegos rechazará la conexión sin molestar al servidor web que ni siquiera advertirá este intento de conexión. Los servidores públicos protegidos bajo este esquema pueden dedicarse únicamente a sus tareas, sin malgastar recursos en la defensa de ataques.

Los cortafuegos o firewalls se sitúan justamente en la salida a Internet de la red. Disponen de un panel de control que permite cerrar aquellos puertos que no se van a utilizar y así solventar descuidos de configuración de servidores internos. Pongamos un ejemplo: tenemos un servidor web NT  con el puerto 139 abierto (NetBIOS) pero en el cortafuegos cerramos el puerto 139. Entonces, ningún usuario externo a la red podrá abrir una conexión al puerto 139 del servidor web puesto que el cortafuegos la rechazará.

Por último, debemos recordar que el servidor de archivos debe estar correctamente configurado de forma que cada usuario pueda ver únicamente sus archivos pero no los de los demás usuarios. En el caso de redes grandes puede resultar interesante la división de departamentos en subredes (con cableado separado además) con el fin de crear unidades de administración independientes. De esta forma los usuarios de un departamento serán completamente independientes de los de otros departamentos. En este esquema se utiliza un servidor de archivos para cada subred y un router con tantas tarjetas de red como departamentos para interconectarlos.

Todo lo anterior son ideas que nos pueden guiar durante el diseño de una red segura. Cada caso hay que estudiarlo por separado evaluando los factores coste, nivel de seguridad requerido, comodidad de los usuarios y facilidad de administración.

 

 

[Índice Redes] · [Arriba] · [Anterior] · [Publicaciones] · [Saulo.Net]