Beruflich Dokumente
Kultur Dokumente
1
controladores de dominio son las mquinas Windows NT que se encargan
de la validacin de los usuarios que inician sesin segn la base de datos de
usuarios o SAM (Security Account Manager). Comentado [c8]: Es un acceso para que los usuarios entren a la
red y se necesita autentificacin, validando que los usuarios inicien
Sistema de archivos NTFS. Es un sistema de almacenamiento de archivos sesin.
que incorpora seguridad: slo los usuarios autorizados pueden acceder a los
archivos. Windows NT tambin incluye soporte para FAT (aunque no para
FAT32) y HPFS (sistema de archivos de OS/2).
Tolerancia a fallos. Windows NT incorpora mecanismos para seguir
funcionando aun en presencia de fallos. Incluye soporte para RAID
(Redundant Array of Inexpensive Disk) que impide la prdida de datos,
aunque falle uno de los discos duros del ordenador. Comentado [c9]: Windows NT trabaja con un sistema de
archivos NTFS para almacenar los archivos y es tolerante a fallos, o
sea que puede funcionar con errores.
Windows NT tiene una versin diseada para los puestos de trabajo (Windows NT
Workstation) y una familia de versiones para trabajar en los servidores (Windows
NT Server). En este Captulo estudiamos las versiones de servidor de Windows NT. Comentado [c10]: Se puede trabajar con los puestos de trabajo
y tambin una familia de versiones para trabajar en los servidores.
El estudio de la versin Workstation queda fuera de las pretensiones del Curso: en
su lugar hemos estudiado Windows 98 como cliente de red.
Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesin
en el dominio de Windows NT que hemos configurado segn se explica en el
apartado Contrasea de red Microsoft y contrasea de Windows. El nombre del
dominio es el que hemos indicado durante la instalacin de Windows NT (se puede
consultar en las propiedades de Entorno de red, pestaa Identificacin) y es distinto
al nombre del servidor. Comentado [WU16]: El dominio del puesto de trabajo tiene que
estar en constante actualizacin para mantenerse al tanto y tener la
informacin correcta.
Despus de la instalacin de Windows NT, hay varios usuarios que aparecen ya
creados en el Administrador de usuarios:
3
Administrador. Es el usuario que dispone de los mximos privilegios. Se
utiliza para la administracin del sistema, aunque no para el trabajo diario.
Su contrasea debe ser la ms protegida de la red (consultar el apartado
Modelos de redes seguras).
Invitado. Su finalidad es ofrecer acceso al sistema con unos mnimos
privilegios a usuarios espordicos. Es habitual desactivar esta cuenta ya que
no es posible su eliminacin.
IUSR_nombre-del-servidor. Es la cuenta que utilizan los clientes que
acceden al servidor web configurado en Windows NT (Internet Information
Server). Slo se debe tener habilitada si el servidor est ejerciendo tareas de
servidor web. Comentado [WU17]: Administrador, invitado e IURS son los
usuarios que aparecern predeterminados despus de la instalacin
de Windows NT y aparecern e el administrador de usuarios.
Si bien es cierto que a cada usuario se le pueden asignar individualmente permisos
distintos, no suele ser lo ms prctico. En su lugar, se crean grupos de usuarios que
comparten los mismos privilegios (por ejemplo, todos los usuarios de un mismo
departamento de la empresa). La gestin de permisos se simplifica
considerablemente de esta forma. Comentado [WU18]: Cada usuario puede tener privilegios de
permisos distintos asignados por el administrador, pero es mejor
hacer grupos con los mismos privilegios para ms simplicidad.
Un grupo es un conjunto de usuarios con los mismos privilegios. Un grupo puede
ser de dos tipos:
Los usuarios nuevos que creemos deben pertenecer siempre al grupo global
predeterminado "usuarios del dominio", aunque pueden pertenecer adems a otros
grupos globales que nosotros creemos. Comentado [WU21]: Es mucho mejor que los usuarios nuevos
pertenezcan a el grupo global ya que ah estn los usuarios del
dominio.
Veamos un ejemplo: Los usuarios de la red Mara, Pablo e Isabel son alumnos y
necesitan tener una carpeta en el servidor que les permita realizar sus prcticas:
4
3. Creamos el grupo local "alumnos" y dentro incluimos el grupo global
"alumnos del dominio"
4. Creamos la carpeta "practicas" y la compartimos al grupo local "alumnos"
Si ms adelante necesitamos dar de alta a algn alumno nuevo, bastar con incluirlo
en el grupo global "alumnos del dominio" y automticamente tendr los mismos
permisos de acceso que el resto de alumnos (podr acceder a la carpeta
"practicas"). Comentado [WU22]: Solo debemos incluir a los nuevos en el
grupo global.
Una vez que hemos creado los usuarios, grupos globales y locales es el momento
de disear una estructura de carpetas en el servidor para que los usuarios de la red
puedan almacenar sus archivos privados y compartir documentos con otros
usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas Comentado [WU23]: Despus de haber creado los usuarios se
tienen que crear carpetas en el servidor para que los usuarios
de grupos; sin embargo, ahora vamos a verlo con ms detalle. puedan guardar sus archivos privados y compartir documentos.
5
Las necesidades de almacenamiento de archivos en una red se suelen reducir a
tres tipos de carpetas para cada usuario:
Cmo organizar las carpetas en el disco duro del servidor? Es recomendable que
se almacenen en una particin NTFS para disponer de seguridad. Las particiones
FAT no son las ms indicadas puesto que no permiten la configuracin de permisos
locales de acceso aunque s permisos a la hora de compartir carpetas en la red.
Este punto lo estudiaremos detenidamente ms abajo. Comentado [WU27]: En las particiones NTFS es recomendable
que se almacenen las carpetas para una mayor seguridad a la hora
de compartirlas.
A continuacin, se muestra un ejemplo de organizacin del disco duro del servidor
que trata de diferenciar las carpetas de usuarios, grupos y pblica.
Las nicas carpetas que se comparten son las del ltimo nivel (nunca las carpetas
"compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos", "maanas",
"tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de estas carpetas
tendr unos permisos de acceso distintos. Lo habitual es dar permiso de control total
al propietario de la carpeta (ya sea el usuario o un grupo local) en Compartir y control
total a todos en Seguridad. En el caso de la carpeta "publico" daremos control total
al grupo "usuarios" en Compartir. Los permisos se asignan accediendo a las
6
propiedades de la carpeta. Obsrvese que las pestaas Compartir y Seguridad
pueden tener permisos distintos. Veamos cmo quedaran los permisos de la
carpeta "alumnos". Podemos seguir este mismo esquema para el resto de carpetas. Comentado [WU28]: Este es la explicacin de las carpetas que
se muestran en la imagen del ejemplo. Lo habitual es dar permiso
total al propietario de la carpeta.
7
Diferencia entre los permisos de Compartir y de Seguridad
Para poder acceder a un recurso remoto, tenemos que tener permisos tanto
en Compartir como en Seguridad.
Para poder acceder a un recurso local, basta con que tengamos permisos en
Seguridad (no importa lo que haya en Compartir). Comentado [WU30]: Para entrar a un recurso remoto tnemos
que tener permiso en Compartir y en Seguridad. Y para entrar a un
recurso local solo necesitamos permiso en Seguridad.
Forma de proceder:
Los archivos de inicio de sesin son una serie de comandos que se ejecutan cada
vez que un usuario inicia sesin en su puesto de trabajo. Su mayor utilidad es la
conexin a las unidades de red del usuario. De esta forma conseguimos que cada
usuario vea siempre sus unidades de red independientemente del puesto (Windows
98) en el que inicie sesin (carpeta del usuario (U:), carpeta del grupo (G:) y carpeta
pblica (P:)) evitndole la incmoda tarea de buscar los recursos compartidos sobre Comentado [WU32]: Los archivos de inicio de sesin son
comandos que se elaboran cada que inicia sesin una persona en su
los que tiene permisos en Entorno de red. trabajo, su utilidad es la conexin a la unidades de red del usuario.
echo **************************************
echo Hola Menganito, bienvenido a Minerva
echo Espera unos instantes, por favor...
8
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes Comentado [WU34]: Ejemplo de sintaxis de un archivo.
net use p: \\minerva\publico
Una vez creados los archivos de inicio de sesin tenemos que asociar cada uno de
ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el cuadro
Archivo de comandos de inicio de sesin de las propiedades de cada usuario del Comentado [WU36]: Despus de crear los archivos del servidor
se debe asociar coda uno a cada usuario, esto se hace con el script
Administrador de usuarios (botn Perfil), segn se muestra en la siguiente imagen: en el cuadro Archivo de comandos de inicio de sesin.
Concepto de dominio
Hasta ahora no hemos dado una definicin formal de dominio; sin embargo, hemos
tenido la nocin intuitiva de que un dominio es la estructura de recursos y usuarios
que utilizan las redes de Windows NT. Podemos definir dominio como una
coleccin de equipos que comparten una base de datos de directorio comn (SAM).
Cada usuario tiene que validarse en el dominio para poder acceder a sus recursos
mediante un nombre de usuario y contrasea que le asignar el administrador. Los
servidores del dominio ofrecen recursos y servicios a los usuarios (clientes) de su
Comentado [WU37]: Dominio es una coleccin de equipos que
dominio. comparten una base de datos de directorio comn y cada usuario
debe validarse para poder acceder a sus cosas.
9
Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos
organizativos en ocasiones es interesante utilizar varios dominios interconectados
entre s. Esto lo veremos ms adelante cuando tratemos las relaciones de
confianza. El caso ms sencillo es un solo dominio y un solo servidor en el dominio.
Sin embargo, en un mismo dominio pueden coexistir distintos servidores. Comentado [WU38]: Lo normal es solo tener un dominio en
cada red, pero se pueden utilizar carios interconectados dente s.
Una mquina Windows NT dentro de un dominio puede actuar de una de estas tres
maneras (estas funciones se eligen durante la instalacin de NT):
Las relaciones de confianza se utilizan para que los usuarios de un dominio puedan
acceder a los recursos de otro dominio.
10
Estos cuadros se encuentran en el Administrador de usuarios / Men Directivas /
Relaciones de confianza.
11
Los mensajes desde estaciones Windows NT se envan mediante el comando NET
SEND.
El siguiente ejemplo, enva un mensaje a todos los usuarios del dominio. Slo
recibirn el mensaje aquellos Windows 98 que tengan abierto el programa
Winpopup y aquellos Windows NT que tengan iniciado el servicio de mensajera.
net send /users El servidor se apagar en 10 minutos. Por favor, vaya guardando
sus documentos. Comentado [WU49]: Aqu un example de un envi de mensaje.
12
Instalacin del servidor WINS:
13
La utilizacin de un servidor DHCP evita la tarea de configurar manualmente los
parmetros TCP/IP de cada puesto de la red y facilita los posibles cambios de
configuracin. Aunque tiene el inconveniente de requerir una mquina NT con este
servicio configurado. Por otro lado, una red que utilice DHCP puede dificultar el
rastreo y seguimiento de las tareas que cada usuario ha realizado en la red si no se
asignan direcciones IP nicas a cada host de la red. Comentado [WU53]: Usar este servidor ayuda a evitar la tarea
de realizar manualmente las configuraciones de TCP/IP de cada
puesto de la red.
14
Configuracin de los clientes DHCP:
Las direcciones IP se pueden reservar para conseguir que cada host tome siempre
la misma direccin IP. Esto permite rastrear los movimientos de cada host en la red
y es recomendable su utilizacin por motivos de seguridad. Las reservas se hacen
desde el men mbito / Agregar reservas. Cada host se identifica mediante la
direccin fsica de su tarjeta de red. Este nmero se debe introducir en el cuadro
"Identificador nico" como una secuencia de 12 caracteres sin utilizar ningn
separador entre cada byte. Comentado [WU58]: Se permite rastrear los movimientos de
cada host y se recomienda la utilizacin de la misma por su
seguridad. Y cada host se identifica por una direccin fsica de su
Obsrvese que la configuracin DHCP se asigna a los clientes durante un tarjeta de red.
determinado periodo de tiempo (llamado concesin o permiso). Durante ese tiempo
el cliente no requiere realizar conexiones al servidor DHCP (el servidor podra estar
incluso apagado y el cliente conservara toda su configuracin). Antes de que el
Comentado [WU59]: La configuracin se hace por un periodo
permiso caduque, el cliente renovar automticamente su configuracin de tiempo y no se requiere realizar conexiones al servidor DHCP y
preguntando al servidor DHCP. antes de que se acabe el tiempo se renovara.
15
La configuracin de DHCP se puede renovar anticipadamente utilizando los botones
"Liberar" y "Renovar" de WINIPCFG o bien, el comando IPCONFIG (escribir
IPCONFIG /? para conocer sus parmetros).
Unidad III
Seguridad en redes
Sus vas de propagacin son las clsicas del software: disquetes, CD-ROMs, discos
ZIP, copia de archivos por la red, descarga de un archivo por FTP o HTTP, adjunto
de correo electrnico, etc. Sin embargo, las estadsticas demuestran que la principal
va de infeccin de virus es el correo electrnico; concretamente, los archivos
adjuntos del correo. Debemos extremar las precauciones cuando recibamos un Comentado [WU61]: Divagan a travs de disquetes, CDs, discos
ZIP, copia de archivos de red, descarga de archivos, adjunto de
correo electrnico con un archivo adjunto. correo electrnico, etc. la principal es el correo electrnico.
Cmo podemos proteger nuestra red de virus? Bsicamente por dos frentes:
mediante una adecuada formacin de los usuarios (prevencin) y mediante
programas antivirus (deteccin y desinfeccin). La primera forma es la ms eficiente
puesto que es aplicable tanto para virus conocidos como desconocidos. Comentado [WU62]: Mediante una adecuada formacin de
usuarios y programas de antivirus podemos proteger nuestra red de
estos.
Formacin de los usuarios
Saben los usuarios de nuestra empresa lo que no deben hacer? Saben que si
abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la
seguridad de toda la empresa? La formacin de los usuarios, especialmente
aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos
que tener en cuenta como administradores de una red. Comentado [WU63]: En este prrafo solo se plantean algunas
preguntas que se deben hacer los usuarios de la plataforma.
16
Los archivos ejecutables recibidos por correo electrnico no se deben abrir
bajo ningn concepto. Los formatos ms habituales son .EXE, .COM, .VBS,
.PIF y .BAT. Comentado [WU65]: Los documentos Office se deben
comprobar antes de abrirlos con un antivirus. Los archivos
En caso de duda es preferible no abrir el archivo adjunto, aunque provenga ejecutables no se deben abrir ya que podran contener algn virus.
de un remitente conocido. Los archivos ms sospechosos son los que tienen
un nombre gancho para engaar a usuarios ingenuos: LOVE-LETTER-FOR-
YOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de archivos, en un
90% de probabilidades, no contienen lo esperado o, si lo contienen, tambin
incluyen un regalito malicioso oculto para el usuario. Los nuevos virus tratan
de aprovecharse de la ignorancia de los usuarios para hacerles creer,
mediante tcnicas de ingeniera social, que cierto correo con datos
interesantes se lo est enviando un amigo suyo cuando, en realidad, son Comentado [WU66]: Si tienen alguna duda o sospecho, es
preferible no abrir los archivos ya que podran contener lo que se
virus disfrazados. desea pero aparte un regalito malo, a veces es de un remitente
conocido y traen nombre enganchadores.
Importante: Para que las extensiones de los archivos sean visibles debemos
desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos"
situada en Mi PC / men Ver / Opciones de carpeta / Ver. La situacin de esta opcin
puede variar dependiendo de la versin de Windows e Internet Explorer que
estemos utilizando. Buena parte de los virus se aprovechan de que los usuarios
tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-LETTER-
FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos nicamente el nombre
"LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se trata de un
inofensivo archivo de texto, cuando en realidad es un archivo ejecutable (.VBS). Comentado [WU67]: Como una nota importante se menciona
que debemos de desactivar la casilla de ocultar extensiones para los
tipos de archivos conocidos y as mostrar que son archivos
Si todos los usuarios siguieran estos consejos habramos conseguido ejecutables del formato no deseado.
probablemente una red libre de virus. Microsoft, consciente del elevado riesgo que
supone el correo electrnico, dispone de una actualizacin de seguridad para su
programa Outlook (no Outlook Express) que impide al usuario abrir archivos
potencialmente peligrosos. Como administradores de redes debemos considerar la
opcin de aplicar esta actualizacin en todos los puestos. Comentado [WU68]: Si todos los usuarios siguieran esto,
tendran una empresa libre de virus. As que Microsoft no deja abrir
correos altamente peligrosos.
Es responsabilidad del administrador instalar en todos los equipos de la red tanto
los ltimos parches de seguridad como las ltimas actualizaciones del antivirus. Si
bien es cierto que han salido a la luz virus que se contagian con slo abrir un archivo
HTML (ver una pgina web o leer un correo electrnico), tambin es cierto que se
apoyan en vulnerabilidades del sistema las cuales ya han sido subsanadas por
Microsoft (por ejemplo, la vulnerabilidad "script.typelib"). Entre este tipo de virus
podemos citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una adecuada
poltica de actualizaciones en los puestos de trabajo as como una correcta
configuracin de los programas de navegacin y correo, podemos olvidarnos de los
virus HTML: el riesgo que suponen es tan bajo que no merece la pena que nos
preocupemos por ellos. Comentado [WU69]: El administrador es el responsable de que
se mantenga al tanto los parches de seguridad y las ltimas
actualizaciones del antivirus en cada equipo de su red.
Cmo podemos configurar los puestos de trabajo para reducir las situaciones de
riesgo en el correo electrnico?
17
Desactivar la ocultacin de las extensiones de los archivos, segn hemos
indicado ms arriba.
Instalar la ltima versin de Internet Explorer y de Outlook Express / Outlook
junto a todas sus actualizaciones.
Instalar todas las actualizaciones crticas de Windows recomendadas en
www.windowsupdate.com.
Si usamos el gestor de correo Outlook, instalar la actualizacin de seguridad
que impide abrir archivos adjuntos potencialmente peligrosos.
Establecer la seguridad de nuestro programa de correo electrnico en alta.
En Outlook Express hay que elegir la opcin "Zona de sitios restringidos" que
se encuentra en el men Herramientas / Opciones / Seguridad.
Desinstalar Windows Scripting desde Panel de control / Agregar o quitar
programas / Instalacin de Windows / Accesorios / "Windows Scripting Host".
La desinstalacin de este componente de Windows impide que se puedan
abrir archivos de secuencias de comandos o scripts (los .VBS por ejemplo)
los cuales, en la mayora de las ocasiones, se utilizan con fines maliciosos.
Los usuarios sin Windows Scripting que traten de ejecutar un archivo adjunto
.VBS no caern en ninguna situacin de riesgo porque este formato no ser
reconocido por Windows. Comentado [WU70]: Es este mega prrafo se menciona como
se pueden configurar los puestos de trabajo para reducir las
situaciones de riesgo en el correo electrnico. Hay siete buenas
Antivirus posibilidades y se deben de seguir al pie de la letra.
En los clientes. Se pueden utilizar dos tipos de antivirus: Comentado [WU74]: En los clientes pueden ser dos tipos de
antivirus.
1. Formar al usuario para que distinga las situaciones que entraan riesgo para
la empresa de las que no. Es importante comprender que un slo equipo
infectado puede propagar la infeccin al resto de equipos de la red.
19
2. Mantener los antivirus de todos los puestos actualizados. La actualizacin
debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de
actualizar los antivirus puesto por puesto, se debe buscar un sistema que
permita la actualizacin de forma centralizada.
3. Realizar copias de seguridad diarias o semanales de los documentos de los
usuarios almacenados en el servidor de archivos y mantener un historial de
copias. Los usuarios deben ser conscientes de que los nicos datos que
estarn protegidos sern los que estn almacenados en el servidor pero no
los que residan en sus equipos locales. Las copias de seguridad se suelen
dejar programadas para realizarse durante la noche. El historial de copias se
consigue utilizando un juego de cintas (las hay disponibles de varias decenas
de GB) que se van utilizando de forma rotativa. Por ejemplo, con un juego de
7 cintas tendramos siempre un historial de 7 copias de seguridad anteriores.
Por supuesto, las cintas deben guardarse en lugar seguro y, a ser posible, lo
ms alejadas fsicamente del servidor con objeto de evitar la destruccin de
todos los datos en caso de desastres naturales: inundaciones, incendios, etc.
4. Evitar la comparticin de unidades y carpetas en los ordenadores cliente.
Todos los recursos compartidos deben estar en los servidores, nunca en los
ordenadores cliente. De esta forma se evitan propagaciones masivas de virus
entre los puestos de trabajo. Comentado [WU78]: Estas cuatro cosas son de las que nos
tenemos que preocupar como administradores: formar al usuario
para que distinga todo, mantener el antivirus actualizado, realizar
Troyanos copias de seguridad constantes, y evitar compartir unidades o
carpetas en los ordenadores del cliente.
Los caballos de Troya o troyanos son programas que se distribuyen siguiendo los
mismos mtodos que los virus. Las medidas de prevencin son las explicadas
anteriormente para el caso de los virus. Los troyanos ms conocidos son tambin
detectados por programas antivirus. Comentado [WU79]: Troyanos son programas que se
distribuyen siguiendo los mismos mtodos del virus y tambin son
conocidos por los antivirus.
Pero, qu es exactamente un caballo de Troya? Es un programa que tiene una
apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se
trata de un programa con dos mdulos: un mdulo servidor y otro cliente. El atacante
se instala, con fines nada ticos, el mdulo cliente en su ordenador. El mdulo
servidor es el troyano propiamente dicho que se enva a la vctima bajo alguna
apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez que la Comentado [WU80]: Tienen una apariencia inofensiva, pero
tiene malos objetivos. Tiene dos mdulos: uno del servidor y otro
vctima cae en la trampa y ejecuta el archivo ste se instala en su ordenador. A del cliente.
partir de ese momento, el atacante puede monitorizar todo lo que la vctima hace en
su ordenador incluyendo el robo de contraseas y documentos privados.
Los antivirus no son los programas ms efectivos para enfrentarse a los caballos de
Troya. En su lugar, es ms recomendable la utilizacin de cortafuegos o firewall que
nos avisar cuando detecte el establecimiento de una conexin TCP sospechosa o,
simplemente, la rechazar. En las redes suele ser suficiente con la colocacin de
un cortafuegos justo en la salida de Internet. Ms adelante se estudian los Comentado [WU84]: Es mejor utilizar cortafuego o firewall que
avisa cuando se detecta una conexin TCP sospechosa o la
cortafuegos. rechazara.
Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona
ms rpido puesto que tiene menos tareas a las que atender, consume menos
21
memoria y hace un menor uso del procesador, produce menos errores (hay menos
cosas que pueden fallar y menos mdulos que puedan interferir entre s), es ms
resistente a agujeros de seguridad (slo le afectan los agujeros de seguridad de los
servicios que tiene activos) y, por ltimo, tiene un mantenimiento ms sencillo (slo
hay que instalar los parches de seguridad de los servicios que tiene habilitados). La
gestin de servicios en Windows NT se realiza desde Panel de control / Servicios. Comentado [WU88]: Existen varias ventajas en deshabilitar los
servicios innecesarios, como rapidez, menos memoria, ms
resistente a los hoyos, mantenimiento sencillo, etc.
Los servidores deben tener el menor nmero de puertos abiertos. Esto se consigue
eliminando todos los servicios innecesarios. De esta forma evitamos posibles
ataques desde el exterior que se aprovechan de algn reciente agujero de seguridad
para puertos concretos. Los puertos abiertos se listan con la orden NETSTAT -A.
Por supuesto, los clientes slo deben tener abiertos los puertos imprescindibles para
sus tareas (generalmente los puertos NetBIOS: 137, 138 y 139): nunca un puesto
de trabajo puede ser un servidor web o similar (esto se produce en ocasiones con
puestos de trabajo que funcionan con Windows 2000 Professional). Comentado [WU89]: Se deben tener el menos nmero de
puertos abiertos por lo que se debe eliminar todos los servidores
innecesarios
Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algn
programa los est utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de
programas activos en ese momento. Mediante la orden MSCONFIG, pestaa Inicio
se listan todos los programas que se ejecutan al iniciarse el sistema operativo. Una
vez que hemos localizado el programa que abre un determinado puerto que
queremos cerrar, basta con desmarcarlo en la lista anterior. En el prximo reinicio
el puerto permanecer cerrado. El cierre de los puertos NetBIOS se explica en el
apartado Cmo deshabilitar NetBIOS en Windows 98. Comentado [WU90]: Esto solo es una nota que no entenda
muy bien pero es interesante saber que las puertas se abren.
El software que sale al mercado dista mucho de ser un producto perfecto e infalible:
habitualmente contiene una serie de errores que no fueron detectados o corregidos
a tiempo antes de su comercializacin. Desde el punto de vista de la seguridad nos
interesan aquellos fallos que pueden ser utilizados por personas maliciosas para
romper la seguridad de un sistema, extraer datos, dejar un sistema fuera de servicio,
etc. Cada da se descubren nuevos agujeros de seguridad en los productos ms
utilizados y tambin cada da se lanzan parches de seguridad que subsanan estos
errores. El tiempo que transcurre entre que un agujero de seguridad es publicado y
la instalacin del correspondiente parche en el servidor es tiempo que el servidor
est a merced de los hackers que pululan por la Red. Comentado [WU92]: Cada da se descubren nuevos hoyos de
seguridad en los productos ms usados, entonces los parches de
seguridad sirven para sanar los errores.
Las informaciones de primera mano en temas de seguridad se obtienen de listas de
correo especializadas. En espaol se destaca la lista una-al-dia de Hispasec que
22
lanza diariamente una noticia de seguridad. Hispasec tambin incluye un sistema
de mensajes a mviles para alertar de los riegos ms graves. En ingls, la
publicacin ms relevante de seguridad para Windows NT es NTBugtraq. Microsoft
dispone de boletines peridicos de seguridad (en ingls) sobre sus productos
(http://www.microsoft.com/technet/itsolutions/security/current.asp). La descarga de
los parches en espaol se puede realizar desde
http://www.microsoft.com/spain/support/kbsl/softlib/defaultsl.asp o bien, desde
http://www.microsoft.com/downloads/search.asp?LangID=18&LangDIR=ES. Antes
de realizar actualizaciones es muy recomendable dirigirse al sitio web del sistema
operativo para obtener informacin detallada de las instalaciones necesarias. Comentado [WU93]: Existen muchas noticias e informaciones
que se sacan a la luz acerca de la seguridad y los riegos ms graves,
se pueden descargar parches en espaol y en ingls.
Si bien los servidores son las mquinas ms sensibles de la red y a las que debemos
prestar una mayor atencin, tampoco debemos olvidarnos de los clientes. Los
puestos de trabajo deben contener al menos todas las actualizaciones crticas que
recomienda www.windowsupdate.com Comentado [WU94]: Los servidores son lo mas sensible de la
red y se deben de tener todas las recomendaciones criticas de
windowsupdate.
3.4 Modelos de redes seguras
En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a
la hora de disear redes seguras.
24
esquema pueden dedicarse nicamente a sus tareas, sin malgastar recursos en la
defensa de ataques.
segura. Cada caso hay que estudiarlo por separado evaluando los factores coste,
nivel de seguridad requerido, comodidad de los usuarios y facilidad de
administracin. Comentado [WU103]: Y por ltimo, se concluye que todo esto
son ideas para guiarnos en el diseo de una buena red, llena de
seguridad, comodidad y facilidad para los usuarios.
25