Beruflich Dokumente
Kultur Dokumente
Redes en Windows NT
1
Unix mediante TCP/IP, con Macintosh mediante AppleTalk y con clientes Commented [rmn4R3]: tambin se puedan ejecutar diversas
aplicaciones si se requiere
Windows mediante NetBEUI.
Modelo de seguridad de dominio. Es un sistema de acceso de usuarios a Commented [rmn5R3]:
Windows NT tiene una versin diseada para los puestos de trabajo (Windows NT
Workstation) y una familia de versiones para trabajar en los servidores (Windows
NT Server). En este Captulo estudiamos las versiones de servidor de Windows
NT. El estudio de la versin Workstation queda fuera de las pretensiones del
Curso: en su lugar hemos estudiado Windows 98 como cliente de red.
2
Un servidor de archivos es la mquina que contiene los archivos privados de cada
usuario, los de su grupo de trabajo y los archivos pblicos de la red. En realidad,
se trata de una coleccin de carpetas compartidas pero con distintos permisos de
acceso. El administrador de la red debe preocuparse de establecer los permisos
de acceso correctamente y de realizar las pertinentes copias de seguridad.
3
Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesin
en el dominio de Windows NT que hemos configurado segn se explica en el
apartado Contrasea de red Microsoft y contrasea de Windows. El nombre del
dominio es el que hemos indicado durante la instalacin de Windows NT (se
puede consultar en las propiedades de Entorno de red, pestaa Identificacin) y es
distinto al nombre del servidor.
4
IUSR_nombre-del-servidor. Es la cuenta que utilizan los clientes que
acceden al servidor web configurado en Windows NT (Internet Information
Server). Slo se debe tener habilitada si el servidor est ejerciendo tareas
de servidor web.
La norma habitual es crear dos grupos de usuarios (uno global y otro local) para
cada agrupacin de usuarios que deseemos crear. Procederemos de la siguiente
forma:
Los usuarios nuevos que creemos deben pertenecer siempre al grupo global
predeterminado "usuarios del dominio", aunque pueden pertenecer adems a
otros grupos globales que nosotros creemos.
Veamos un ejemplo: Los usuarios de la red Mara, Pablo e Isabel son alumnos y
necesitan tener una carpeta en el servidor que les permita realizar sus prcticas:
5
En el siguiente ejemplo vamos a crear un mayor nmero de grupos. Supongamos
que tenemos dos grupos de alumnos: unos que asisten a clase por la maana y
otros que lo hacen por la tarde. Cada grupo tendr una carpeta distinta para
almacenar sus prcticas. Estar disponible, adems, una carpeta comn para
ambos grupos de alumnos. Finalmente, crearemos una carpeta pblica que sea
accesible no slo por los alumnos sino tambin por el resto de usuarios del
dominio.
Una vez que hemos creado los usuarios, grupos globales y locales es el momento
de disear una estructura de carpetas en el servidor para que los usuarios de la
red puedan almacenar sus archivos privados y compartir documentos con otros
usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas
de grupos; sin embargo, ahora vamos a verlo con ms detalle.
6
que considere oportunos con total privacidad. El administrador de la red Commented [rmn15]:
puede imponer un lmite de espacio para evitar que las carpetas de los
usuarios crezcan indefinidamente.
Carpetas del grupo. Son una o ms carpetas utilizadas por el grupo
(departamento de la empresa) para intercambiar datos. nicamente tienen
acceso los miembros de un determinado grupo de usuarios, pero no los
miembros de otros grupos. Por ejemplo, el departamento de diseo podra
tener una carpeta llamada "diseos" que almacenase los diseos que est
creando el departamento; y el departamento de contabilidad, una carpeta
llamada "cuentas" que almacenase las cuentas de la empresa.
Carpetas pblicas. Son una o ms carpetas que estn a disposicin de
todos los usuarios de la red. Por ejemplo, una carpeta llamada "circulares"
que incluyese documentos de inters para todos los trabajadores de la
empresa.
Cmo organizar las carpetas en el disco duro del servidor? Es recomendable que
se almacenen en una particin NTFS para disponer de seguridad. Las particiones
FAT no son las ms indicadas puesto que no permiten la configuracin de
permisos locales de acceso aunque s permisos a la hora de compartir carpetas en
la red. Este punto lo estudiaremos detenidamente ms abajo.
Las nicas carpetas que se comparten son las del ltimo nivel (nunca las carpetas
"compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos",
"maanas", "tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de
estas carpetas tendr unos permisos de acceso distintos. Lo habitual es dar
permiso de control total al propietario de la carpeta (ya sea el usuario o un grupo
local) en Compartir y control total a todos en Seguridad. En el caso de la carpeta
"publico" daremos control total al grupo "usuarios" en Compartir. Los permisos se
asignan accediendo a las propiedades de la carpeta. Obsrvese que las pestaas
Compartir y Seguridad pueden tener permisos distintos. Veamos cmo quedaran
los permisos de la carpeta "alumnos". Podemos seguir este mismo esquema para
el resto de carpetas. Commented [rmn16]: Se crearn carpetas para los alumnos y
para los profesores las cuales podrn ser globales o locales
7
8
Diferencia entre los permisos de Compartir y de Seguridad
Qu permisos necesitamos?
Para poder acceder a un recurso remoto, tenemos que tener permisos tanto
en Compartir como en Seguridad.
Para poder acceder a un recurso local, basta con que tengamos permisos
en Seguridad (no importa lo que haya en Compartir).
Forma de proceder:
9
Compartir (as es como lo hemos utilizado en el ejemplo anterior y es el
caso ms usual).
Si otros usuarios, aparte del administrador, inician sesin local en el
servidor, tenemos que establecer permisos en Seguridad. Compartir podra
dejarse con control total a todos.
Los archivos de inicio de sesin son una serie de comandos que se ejecutan cada
vez que un usuario inicia sesin en su puesto de trabajo. Su mayor utilidad es la
conexin a las unidades de red del usuario. De esta forma conseguimos que cada
usuario vea siempre sus unidades de red independientemente del puesto
(Windows 98) en el que inicie sesin (carpeta del usuario (U:), carpeta del grupo
(G:) y carpeta pblica (P:)) evitndole la incmoda tarea de buscar los recursos
compartidos sobre los que tiene permisos en Entorno de red. Commented [FH19]: Son una serie de comandos que se
ejecutan cada vez que un usuario inicia sesin en su puesto de
trabajo, carpeta de usuario (u:) carpeta de grupo (G) y
Los archivos de inicio de sesin se almacenan en la carpeta carpeta publica (P).
\winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos un
archivo de inicio de sesin (script) distinto. Estos archivos siguen la sintaxis de los
archivos por lotes de MS-DOS. Se pueden crear con cualquier editor de textos,
incluido el Bloc de notas. El siguiente script para el usuario menganito se puede
utilizar como esquema (lo llamaremos "menganito.bat"): Commented [FH20]: Los archivos se almacenan en una
carpeta.
@echo off
echo **************************************
echo Hola Menganito, bienvenido a Minerva
echo Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico
Una vez creados los archivos de inicio de sesin tenemos que asociar cada uno
de ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el
cuadro Archivo de comandos de inicio de sesin de las propiedades de cada
usuario del Administrador de usuarios (botn Perfil), segn se muestra en la
siguiente imagen: Commented [FH22]: Despus de crear los archivos de inicio de
sesin los asociamos con su usuario.
10
2.4 Relaciones de confianza entre dominios
Concepto de dominio
Hasta ahora no hemos dado una definicin formal de dominio; sin embargo,
hemos tenido la nocin intuitiva de que un dominio es la estructura de recursos y
usuarios que utilizan las redes de Windows NT. Podemos definir dominio como
una coleccin de equipos que comparten una base de datos de directorio comn
(SAM). Cada usuario tiene que validarse en el dominio para poder acceder a sus
recursos mediante un nombre de usuario y contrasea que le asignar el
administrador. Los servidores del dominio ofrecen recursos y servicios a los
usuarios (clientes) de su dominio. Commented [FH23]: Dominio es una coleccin de equipos que
comparten sus bases de datos as mero.
Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos
organizativos en ocasiones es interesante utilizar varios dominios interconectados
entre s. Esto lo veremos ms adelante cuando tratemos las relaciones de
confianza. El caso ms sencillo es un solo dominio y un solo servidor en el
dominio. Sin embargo, en un mismo dominio pueden coexistir distintos servidores. Commented [FH24]: Es recomendable contar solo con un
dominio por red.
11
Una mquina Windows NT dentro de un dominio puede actuar de una de estas
tres maneras (estas funciones se eligen durante la instalacin de NT): Commented [FH25]: La mquina Windows NT puede atuar de
distintas maneras.
12
Modelos de dominios
13
Los mensajes desde estaciones Windows NT se envan mediante el comando
NET SEND.
El siguiente ejemplo, enva un mensaje a todos los usuarios del dominio. Slo
recibirn el mensaje aquellos Windows 98 que tengan abierto el programa
Winpopup y aquellos Windows NT que tengan iniciado el servicio de mensajera.
net send /users El servidor se apagar en 10 minutos. Por favor, vaya guardando
sus documentos. Commented [FH38]: Aqu se puede apreciar que podemos
enviar mensajes desde el administrador de servicios.
14
2.6 Servidor WINS
15
2.7 Servidor DHCP
16
Instalacin y configuracin del servidor DHCP:
17
= puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS,
46 = tipo de nodo de resolucin de nombres NetBIOS).
Nota: El tipo de nodo 0x8 es el conocido como nodo hbrido. Significa que los
clientes tratarn de resolver cada nombre en primer lugar mediante un servidor
WINS y, si no lo consiguieran, mediante un broadcasting a la red. Es el nodo
recomendado para la mayora de las configuraciones.
A continuacin se muestra un ejemplo de diseo de una red con conexin a Commented [FH44R43]:
18
Las direcciones IP se pueden reservar para conseguir que cada host tome
siempre la misma direccin IP. Esto permite rastrear los movimientos de cada host
en la red y es recomendable su utilizacin por motivos de seguridad. Las reservas
se hacen desde el men mbito / Agregar reservas. Cada host se identifica
mediante la direccin fsica de su tarjeta de red. Este nmero se debe introducir en
el cuadro "Identificador nico" como una secuencia de 12 caracteres sin utilizar
ningn separador entre cada byte. Commented [FH45]: Una direccin IP que se puede relacionar
en reservar para al momento de querer una direccin siempre.
19
Unidad III
Seguridad en redes
Sus vas de propagacin son las clsicas del software: disquetes, CD-ROMs,
discos ZIP, copia de archivos por la red, descarga de un archivo por FTP o HTTP,
adjunto de correo electrnico, etc. Sin embargo, las estadsticas demuestran que
la principal va de infeccin de virus es el correo electrnico; concretamente, los
archivos adjuntos del correo. Debemos extremar las precauciones cuando
recibamos un correo electrnico con un archivo adjunto.
Cmo podemos proteger nuestra red de virus? Bsicamente por dos frentes:
mediante una adecuada formacin de los usuarios (prevencin) y mediante
programas antivirus (deteccin y desinfeccin). La primera forma es la ms
eficiente puesto que es aplicable tanto para virus conocidos como desconocidos.
Saben los usuarios de nuestra empresa lo que no deben hacer? Saben que si
abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la
seguridad de toda la empresa? La formacin de los usuarios, especialmente
aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos
que tener en cuenta como administradores de una red. Commented [FH48]: Nos explica que la forracin de los
usuarios es especialmente para quellos que tengan acceso a
internet en sus puestos.
La navegacin por Internet y la lectura de correos electrnicos no se
consideran situaciones de riesgo. No es necesario siquiera tener un
antivirus funcionando. Discutiremos este punto ms adelante. Commented [FH49]: La navegacin por Internet y la lectura
de correos electrnicos no se consideran situaciones de
La visin de imgenes (.GIF o .JPG) u otros archivos multimedia (.MP3, riesgo
.MID, .WAV, .MPEG...) que habitualmente se transmiten por correo
electrnico, tampoco suponen ningn riesgo. Commented [FH50]: Es a visin de imgenes u otros archivos.
Los documentos de Office pueden contener virus de macro (archivos .DOC
y .XLS principalmente). Se deben comprobar siempre con un programa
antivirus antes de abrirlos. Commented [FH51]: Los documentos pueden contener virus.
Los archivos ejecutables recibidos por correo electrnico no se deben abrir
bajo ningn concepto. Los formatos ms habituales son .EXE, .COM, .VBS,
.PIF y .BAT. Commented [FH52]: Estos archivos son recibidos por correo
electrnico que no se deben abrir por ningn motivo.
En caso de duda es preferible no abrir el archivo adjunto, aunque provenga
de un remitente conocido. Los archivos ms sospechosos son los que
tienen un nombre gancho para engaar a usuarios ingenuos: LOVE-
LETTER-FOR-YOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de
archivos, en un 90% de probabilidades, no contienen lo esperado o, si lo
contienen, tambin incluyen un regalito malicioso oculto para el usuario. Los
nuevos virus tratan de aprovecharse de la ignorancia de los usuarios para
20
hacerles creer, mediante tcnicas de ingeniera social, que cierto correo con
datos interesantes se lo est enviando un amigo suyo cuando, en realidad,
son virus disfrazados. Commented [FH53]: En este caso se duda si es preferente no
abrir los archivos adjuntos aunque de un remitente que se conozca.
Importante: Para que las extensiones de los archivos sean visibles debemos
desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos"
situada en Mi PC / men Ver / Opciones de carpeta / Ver. La situacin de esta
opcin puede variar dependiendo de la versin de Windows e Internet Explorer
que estemos utilizando. Buena parte de los virus se aprovechan de que los
usuarios tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-
LETTER-FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos nicamente el
nombre "LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se
trata de un inofensivo archivo de texto, cuando en realidad es un archivo
ejecutable (.VBS). Commented [FH54]: Para que las extensiones de los archivos
sean visibles debemos desactivar la casilla "Ocultar
extensiones para los tipos de archivos conocidos"
Si todos los usuarios siguieran estos consejos habramos conseguido
probablemente una red libre de virus. Microsoft, consciente del elevado riesgo que
supone el correo electrnico, dispone de una actualizacin de seguridad para su
programa Outlook (no Outlook Express) que impide al usuario abrir archivos
potencialmente peligrosos. Como administradores de redes debemos considerar la
opcin de aplicar esta actualizacin en todos los puestos. Commented [FH55]: Si todos los usuarios siguieran estos
consejos habramos conseguido probablemente una red libre de
virus.
Es responsabilidad del administrador instalar en todos los equipos de la red tanto
los ltimos parches de seguridad como las ltimas actualizaciones del antivirus. Si
bien es cierto que han salido a la luz virus que se contagian con slo abrir un
archivo HTML (ver una pgina web o leer un correo electrnico), tambin es cierto
que se apoyan en vulnerabilidades del sistema las cuales ya han sido subsanadas
por Microsoft (por ejemplo, la vulnerabilidad "script.typelib"). Entre este tipo de
virus podemos citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una
adecuada poltica de actualizaciones en los puestos de trabajo as como una
correcta configuracin de los programas de navegacin y correo, podemos
olvidarnos de los virus HTML: el riesgo que suponen es tan bajo que no merece la
pena que nos preocupemos por ellos. Commented [FH56]: Es responsabilidad del administrador
instalar en todos los equipos de la red tanto los ltimos
parches de seguridad como las ltimas actualizaciones del
Cmo podemos configurar los puestos de trabajo para reducir las situaciones de antivirus. : el riesgo que suponen es tan bajo que no merece la
riesgo en el correo electrnico? pena que nos preocupemos por ellos.
21
Establecer la seguridad de nuestro programa de correo electrnico en alta.
En Outlook Express hay que elegir la opcin "Zona de sitios restringidos"
que se encuentra en el men Herramientas / Opciones / Seguridad.
Desinstalar Windows Scripting desde Panel de control / Agregar o quitar
programas / Instalacin de Windows / Accesorios / "Windows Scripting
Host". La desinstalacin de este componente de Windows impide que se
puedan abrir archivos de secuencias de comandos o scripts (los .VBS por
ejemplo) los cuales, en la mayora de las ocasiones, se utilizan con fines
maliciosos. Los usuarios sin Windows Scripting que traten de ejecutar un
archivo adjunto .VBS no caern en ninguna situacin de riesgo porque este
formato no ser reconocido por Windows.
Antivirus
Dnde colocar el antivirus? Se puede situar en los clientes y/o en los servidores:
22
Tambin podemos pensar en la instalacin de un antivirus permanente en
el servidor de archivos de la empresa. Sin embargo, esta no suele ser una
buena idea precisamente por la sobrecarga que esto supone para la
mquina. S es interesante, en cambio, analizar diariamente todos los
archivos de usuarios en momentos en que el servidor tenga poca carga (por
la noche, por ejemplo) mediante un anlisis programado. Este anlisis se
puede realizar desde el propio servidor o bien, desde un puesto de trabajo
que haya iniciado sesin con privilegios de administrador y tenga acceso,
por tanto, a los documentos de todos los usuarios.
Commented [FH60]: Tambin podemos pensar en la
instalacin de un antivirus permanente en el servidor de
En los clientes. Se pueden utilizar dos tipos de antivirus. archivos de la empresa
o Antivirus residentes en memoria. Suele identificarse mediante un
icono en la barra de tareas. Analiza todos los archivos antes de que
el sistema operativo los abra (tecnologa on-access) e informa de la
presencia de virus. Este sistema es necesario en las empresas
puesto que protege no slo del correo sino tambin de virus
provenientes de otras fuentes (como disquetes o descargas por
FTP). de forma transparente para el usuario.
Resumiendo: como norma general debemos instalar un antivirus residente en Commented [FH62R61]: Se activa nicamente a peticin del
usuario para analizar una unidad, directorio o archivo determinado.
cada puesto de la red (pero no en los servidores). Si se trata de una red de
dimensiones considerables y el presupuesto lo permite, podemos considerar
tambin la instalacin de un antivirus especfico para el servidor de correo de la
empresa. Commented [FH63]: Resumiendo: como norma general
debemos instalar un antivirus residente en cada puesto de la red
(pero no en los servidores).
Nota: La proteccin del servidor que da salida a Internet (proxy) se estudia ms
adelante.
1. Formar al usuario para que distinga las situaciones que entraan riesgo
para la empresa de las que no. Es importante comprender que un slo
equipo infectado puede propagar la infeccin al resto de equipos de la red.
2. Mantener los antivirus de todos los puestos actualizados. La actualizacin
debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de
Commented [FH64]: 1. Formar al usuario para que distinga
actualizar los antivirus puesto por puesto, se debe buscar un sistema que las situaciones que entraan riesgo para la empresa de las que no.
permita la actualizacin de forma centralizada. Commented [FH65R64]: 2. Mantener los antivirus de todos
los puestos actualizados.
23
3. Realizar copias de seguridad diarias o semanales de los documentos de los
usuarios almacenados en el servidor de archivos y mantener un historial de
copias. Los usuarios deben ser conscientes de que los nicos datos que
estarn protegidos sern los que estn almacenados en el servidor pero no
los que residan en sus equipos locales. Las copias de seguridad se suelen
dejar programadas para realizarse durante la noche. El historial de copias
se consigue utilizando un juego de cintas (las hay disponibles de varias
decenas de GB) que se van utilizando de forma rotativa.. Por ejemplo, con
un juego de 7 cintas tendramos siempre un historial de 7 copias de
seguridad anteriores. Por supuesto, las cintas deben guardarse en lugar
seguro y, a ser posible, lo ms alejadas fsicamente del servidor con objeto
de evitar la destruccin de todos los datos en caso de desastres naturales:
inundaciones, incendios, etc. Commented [FH66]: Realizar copias de seguridad diarias o
semanales de los documentos de los usuarios almacenados en el
4. Evitar la comparticin de unidades y carpetas en los ordenadores cliente. servidor de archivos y mantener un historial de copias.
Todos los recursos compartidos deben estar en los servidores, nunca en los
ordenadores cliente. De esta forma se evitan propagaciones masivas de
virus entre los puestos de trabajo. Commented [FH67]: Evitar la comparticin de unidades y
carpetas en los ordenadores cliente.
Troyanos
Los caballos de Troya o troyanos son programas que se distribuyen siguiendo los
mismos mtodos que los virus. Las medidas de prevencin son las explicadas
anteriormente para el caso de los virus. Los troyanos ms conocidos son tambin
detectados por programas antivirus. Commented [FH68]: Los caballos de Troya o troyanos son
programas que se distribuyen siguiendo los mismos mtodos que
los virus.
Pero, qu es exactamente un caballo de Troya? Es un programa que tiene una
apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se
trata de un programa con dos mdulos: un mdulo servidor y otro cliente. El
atacante se instala, con fines nada ticos, el mdulo cliente en su ordenador. El
mdulo servidor es el troyano propiamente dicho que se enva a la vctima bajo
alguna apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez
que la vctima cae en la trampa y ejecuta el archivo ste se instala en su
ordenador. A partir de ese momento, el atacante puede monitorizar todo lo que la
vctima hace en su ordenador incluyendo el robo de contraseas y documentos
privados. Commented [FH69]: Es un programa que tiene una apariencia
inofensiva pero que realmente tiene objetivos hostiles
24
Para detectar la presencia de un troyano basta con utilizar el comando NETSTAT -
A. Si observamos algn puerto a la escucha que no est asociado con ninguna
aplicacin conocida de nuestro ordenador es seal de una posible presencia de
troyanos. Si, adems, observamos que se establece una conexin con una
direccin IP desconocida es muy probable que nuestro ordenador est
transfiriendo datos sin nuestro consentimiento.
Nota: Se puede averiguar a quin pertenece una direccin IP mediante los sitios
whois disponibles en la Red (ver www.saulo.net/links). El significado de cada
puerto se estudia en el Curso de protocolos TCP/IP. Commented [FH71]: Se detecta la presencia de un troyano
basta con utilizar el comando NETSTAT -A.
Los antivirus no son los programas ms efectivos para enfrentarse a los caballos
de Troya. En su lugar, es ms recomendable la utilizacin de cortafuegos o firewall
que nos avisar cuando detecte el establecimiento de una conexin TCP
sospechosa o, simplemente, la rechazar. En las redes suele ser suficiente con la
colocacin de un cortafuegos justo en la salida de Internet. Ms adelante se
estudian los cortafuegos. Commented [FH72]: Los antivirus no son los programas ms
efectivos para enfrentarse a los caballos de Troya.
25
Deshabilitar servicios innecesarios
Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona
ms rpido puesto que tiene menos tareas a las que atender, consume menos
memoria y hace un menor uso del procesador, produce menos errores (hay menos
cosas que pueden fallar y menos mdulos que puedan interferir entre s), es ms
resistente a agujeros de seguridad (slo le afectan los agujeros de seguridad de
los servicios que tiene activos) y, por ltimo, tiene un mantenimiento ms sencillo
(slo hay que instalar los parches de seguridad de los servicios que tiene
habilitados). La gestin de servicios en Windows NT se realiza desde Panel de
control / Servicios. Commented [FH75]: Un servidor con pocos servicios
habilitados tiene las siguientes ventajas: funciona ms rpido
puesto que tiene menos tareas a las que atende
Los servidores deben tener el menor nmero de puertos abiertos. Esto se
consigue eliminando todos los servicios innecesarios. De esta forma evitamos
posibles ataques desde el exterior que se aprovechan de algn reciente agujero
de seguridad para puertos concretos. Los puertos abiertos se listan con la orden
NETSTAT -A. Por supuesto, los clientes slo deben tener abiertos los puertos
imprescindibles para sus tareas (generalmente los puertos NetBIOS: 137, 138 y
139): nunca un puesto de trabajo puede ser un servidor web o similar (esto se
produce en ocasiones con puestos de trabajo que funcionan con Windows 2000
Professional). Commented [FH76]: Los servidores deben tener el menor
nmero de puertos abiertos. Esto se consigue eliminando todos los
servicios innecesarios
Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algn
programa los est utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de
programas activos en ese momento. Mediante la orden MSCONFIG, pestaa
Inicio se listan todos los programas que se ejecutan al iniciarse el sistema
operativo. Una vez que hemos localizado el programa que abre un determinado
puerto que queremos cerrar, basta con desmarcarlo en la lista anterior. En el
prximo reinicio el puerto permanecer cerrado. El cierre de los puertos NetBIOS
se explica en el apartado Cmo deshabilitar NetBIOS en Windows 98. Commented [FH77]: Como todo dan su opinin de los
ordenadores de Windows 9x.
26
3.3 Parches de seguridad
Si bien los servidores son las mquinas ms sensibles de la red y a las que
debemos prestar una mayor atencin, tampoco debemos olvidarnos de los
clientes. Los puestos de trabajo deben contener al menos todas las
actualizaciones crticas que recomienda www.windowsupdate.com
En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a
la hora de disear redes seguras.
28
Configuracin correcta. El servidor proxy utiliza dos tarjetas de red. Una
tarjeta de red se conecta al hub de la zona pblica y la otra, al hub de la
zona privada. La nica va fsica posible de pasar de una zona a otra es
mediante el servidor proxy. Si un usuario trata de asignarse una IP pblica
a su puesto de trabajo quedar aislado de todos los dems. Commented [FH86]: El servidor proxy utiliza dos tarjetas de
red. Una tarjeta de red se conecta al hub de la zona pblica y la
otra, al hub de la zona privada.
Los servidores, en la zona pblica en la zona privada? Estamos de acuerdo
en que los servidores tienen que tener direcciones IP pblicas para que sean
accesibles desde todo Internet. Sin embargo, no suele ser recomendable asignar
directamente las IP pblicas a los servidores. En su lugar se les puede asignar
direcciones privadas e implantar un sistema de traslacin de direcciones pblicas-
privadas. De esta forma se consigue que todo el trfico pblico de la red se filtre
por un router o/y cortafuegos antes de llegar a los servidores. Por ejemplo: el
servidor web de la empresa puede tener la direccin 194.142.15.8 de cara a los
visitantes pero la direccin 192.168.0.3 en su configuracin. Un servidor previo
(cortafuegos) tendr la direccin 194.142.15.8 configurada y redirigir las
peticiones al puerto 80 de esta IP al servidor 192.168.0.3. Esta traslacin de
direcciones la pueden realizar routers correctamente programados o bien,
mquinas Linux, las cuales se desenvuelven muy eficazmente en estas tareas.
Qu ocurre si alguien intenta acceder a un puerto distinto al 80 de la IP
194.142.15.8? Sencillamente que el cortafuegos rechazar la conexin sin
molestar al servidor web que ni siquiera advertir este intento de conexin. Los
servidores pblicos protegidos bajo este esquema pueden dedicarse nicamente a
sus tareas, sin malgastar recursos en la defensa de ataques. Commented [FH87]: Este nos demuestra las zonas pblicas y
las privadas que estn de acuerdo con los servidores.
29