Servicios

bsicos de redes
Ing. Roberto Garca
Universidad Politcnica Salesiana

 Configuracin TCP/IP
Componentes de un DNS
Manejar comandos bsicos de conectividad,
Protocolo ICMP
Promocin de un servidor a directorio
Activo
LDAP, Directorio Activo, creacin de bosques
y arboles

Permite a los administradores de sistema y servidores,

realizar todas las tareas correspondientes al diagnstico,
configuracin y correccin de los servicios de red del
sistema.

Las operaciones sobre

directamente en:

TCP/IP se vern reflejadas

Interfaces de Red del Sistema

Conectividad
Funcionamiento de los Servicios TCP/IP
Direccionamiento fsico y lgico del sistema

 Permite la configuracin y diagnstico de las interfaces de red del sistema.:

En Linux el principal comando es:

$ ifconfig [-opciones] [interface] [opciones] [parmetro]

Ejemplos:
$ ifconfig

-- Muestra la informacin de las interfaces de red

$ ifconfig -a

-- Muestra todas las interfaces (activas e inactivas)

$ ifconfig -v

-- Muestra informacin adicional de las interfaces

$ ifconfig -s

-- Muestra las interfaces como una lista resumida

$ ifconfig eth0 up

-- Activa (levanta) una interfaz (en este caso eth0)

$ ifconfig eth0 down

-- Desactiva (baja) una interfaz

$ ifconfig eth0 192.168.0.1

-- Asigna una IP a una interfaz (en este caso eth0)
$ ifconfig eth0 192.168.0.1 netmask 255.255.255.0
-- Asigna una IP a una interfaz y una mscara de red
$ ifconfig eth0 192.168.0.1 netmask 255.255.255.0 broadcast 192.168.0.255
-- Asigna una IP a una interfaz y una mscara de red
$ ifconfig addr add eth0 fe80:8000::089e:01fe:fff3:926c dev eth0
-- Asigna una IPv6 a la interfaz eth0

 Tambin es posible modificar un archivo

$ gedit /etc/network/interface
$ service networking restart

auto eth0
iface eth0 inet dhcp

auto eth0
iface eth0 inet static
address 192.168.1.128
netmask 255.255.255.0
gateway 192.168.1.1

 Permite la configuracin y diagnstico de las interfaces de red del sistema.:

En Linux el principal comando es:

> ipconfig [/opciones]

Ejemplos:
> ipconfig

-- Muestra la informacin de las interfaces de red

> ipconfig /all

-- Muestra todas las interfaces (activas e inactivas)

> ipconfig /release

-- Libera la direccin IP de las interfaces

> ipconfig /renew

-- Renueva las direcciones Ip de las interfaces

> ipconfig /all > %userprofile%\Desktop\ipconfig.txt

-- Guarda la informacin de interfaces en un archivo .txt (en este caso en el escritorio)

> ipconfig /displaydns

-- Muestra el contenido de la cach de resolucin DNS

> ifconfig /flushdns

-- Vaca la memoria cach de resolucin DNS

> ifconfig /registerdns

-- Actualiza todas las concesiones DHCP y vuelve a registrar los nombres DNS
> ifconfig /allcompartments
-- Muestra la informacin de todos los compartimientos

 Permite la probar conectividad de ciertos servicios de TCP/IP:

$ ping [-opciones] [destino]

Ejemplos:
$ ping www.google.com.ec
-- Prueba la comunicacin con un host o sitio (en este caso Google)
$ ping t20 www.google.com.ec
-- Especifica el campo de vida (TTL=20) del ping

$ ping -c8 www.google.com.ec

-- Especifica la cantidad de paquetes a enviar (en este caso 8)

 Permite la probar conectividad de ciertos servicios de TCP/IP:

> ping [/opciones] [destino]

Ejemplos:
> ping www.google.com.ec
-- Prueba la comunicacin con un host o sitio (en este caso Google)
> ping /i 20 www.google.com.ec
-- Especifica el campo de vida (TTL=20) del ping

> ping /t www.google.com.ec

-- Enva paquetes indefinidamente hasta que sea detenido por el usuario

 Permite seguir el recorrido de los paquetes entre un origen y un destino. En

algunas distribuciones no viene instalado :

$ apt-get install inetutils-traceroute
$ traceroute [-opciones] [destino]

-- Instala el paquete

Ejemplos:
$ traceroute www.google.com.ec
-- Muestra la ruta hacia un host o sitio (en este caso Google)
$ traceroute m 20 www.google.com.ec
-- Especifica la cantidad mxima de saltos
$ traceroute --resolve-hostnames www.google.com.ec

-- Resuleve nombres de dominio

 Permite seguir el recorrido de los paquetes entre un origen y un destino. En

algunas distribuciones no viene instalado :

> tracert [-opciones] [destino]

Ejemplos:

$ tracert www.google.com.ec
-- Muestra la ruta hacia un host o sitio (en este caso Google)
$ tracert h 20 www.google.com.ec
-- Especifica la cantidad mxima de saltos
$ tracert -6 www.google.com.ec

-- Resuleve la ruta utilizando Ipv6

 Herramienta utilizada para supervisar las conexiones de red (sockets), tablas

de encaminamiento, estadsticas de interfaces y asignaturas de multidifusin.

$netstat [-opciones]

Ejemplos:
$ netstat a

-- Muestra todas las conexiones activas en el sistema (TCP y UDP)

$ netstat t

-- Muestra todas las conexiones TCP

$ netstat u

-- Muestra todas las conexiones UDP

$ netstat s

-- Muestra estadisticas de uso para todas las conexiones

$ netstat g

-- Muestra las asignaciones grupos de multidifusin

$ netstat i

-- Muestra todas las interfaces activas en el sistema

 Herramienta utilizada para supervisar las conexiones de red (sockets), tablas

de encaminamiento, estadsticas de interfaces y asignaturas de multidifusin.

> netstat [-opciones]

Ejemplos:
> netstat a

-- Muestra todas las conexiones activas en el sistema

> netstat e

-- Muestra las estadsticas de Ethernet

> netstat n

-- Muestra puertos y direcciones en formato numrico

> netstat o

-- Muestra el Id del proceso asociado a cada conexin

> netstat r

-- Muestra el contenido de las tablas de enrutamiento

> netstat s

-- Muestra estadsticas por protocolo

 Muestra o manipula las tablas de enrutamiento del sistema.

> route [-opciones]
> route [-opciones] [IP red destino] [mascara] [IP siguiente salto] [mtrica]

Ejemplos:
> route -n

-- Muestra la tabla de enrutamiento

> route f

-- Elimina las entradas de la tabla de enrutamiento

> route add net 172.16.2.0 netmask 255.255.255.0 dev eth0

-- Agrega una entrada a la tabla de enrutamiento

> route add -net 172.16.2.0/24 dev eth0

-- Agrega una entrada a la tabla de enrutamiento (forma con prefijo de red)

$ route del -net 172.16.2.0

-- Elimina una ruta hacia una red especificada (en este caso 172.16.2.0)
$ route add net 172.16.2.0 netmask 255.255.255.0 reject
-- Agrega una ruta de rechazo para una red

$ route add default gw 192.168.1.1

-- Agrega una ruta por defecto (cuando no se encuentra ninguna ruta o esta es 0.0.0.0)
$ route del default
-- Elimina una ruta por defecto

 Muestra o manipula las tablas de enrutamiento del sistema.

> route [-opciones]
> route [-opciones] [IP red destino] [mascara] [IP siguiente salto]
[metrica] [interface]

Ejemplos:
> route -n

-- Muestra la tabla de enrutamiento

> route f

-- Elimina las antradas de la tabla de enrutamiento

> route add 172.16.2.0 mask 255.255.255.0 192.168.1.1

-- Agrega una entrada a la tabla de enrutamiento (si no se especifica una interface,
asigna la mejor posible para la Ip de siguiente salto)
> route delete 172.16.2.0
-- Elimina una ruta hacia una red especificada (en este caso 172.16.2.0)

 El comando ARP resulta til para visualizar la cach de resolucin de

direcciones. Muestra y modifica las tablas de traduccin de direcciones IP a

direcciones fsicas usadas por el protocolo de resolucin de direcciones ARP.
$arp [-opciones] [direccion IP] [direccion MAC]

Ejemplos:
> arp a

-- Muestra todas las entradas arp

> arp d

-- Elimina (purga) las entradas arp

> arp d 172.16.255.254

-- Elimina la entrada arp para la Ip especificada
> arp 172.16.255.254 00-06-2a-ed-9e-42
-- Ingresa una entrada arp (requiere IP y MAC del dispositivo)

Permite iniciar, detener los servicios de red del sistema.

$ service networking start

-- Inicia el servico de red

$ service networking stop

-- Detiene el servico de red

$ service networking restart

-- Reinicia el servico de red (para activar

algn cambio de configuracin)

$ /etc/init.d/network start

-- Inicia el servico de red

$ /etc/init.d/network stop

-- Detiene el servico de red

$ /etc/init.d/network restart

-- Reinicia el servico de red (para activar

algn cambio de configuracin)

De la misma manera, es posible reiniciar otros servicos

porpios de TCP/IP; como DNS, DHCP, WEB o FTP.
$ service bind9 [start, stop, restart]
-- Inicia, detiene o reinicia los servicios de DNS (en este caso de Bind)
$ service apache2 [start, stop, restart]
-- Inicia, detiene o reinicia los servicios Web(en este caso de Apache)

$ service dhcp3-server [start, stop, restart]

-- Inicia, detiene o reinicia los servicios de DHCP
$ service vsftpd [start, stop, restart]
-- Inicia, detiene o reinicia los servicios de FTP (en este caso el servidor VSFTPD)

Domain Name System o DNS (Sistema de Nombres de

Dominio) es un sistema de nomenclatura jerrquica para
computadoras, servicios o cualquier recurso conectado a
Internet o a una red privada.

Su funcin ms importante, es traducir o resolver nombres

de dominio entendibles para las personas en direcciones IP
asociadas con los equipos conectados a la red, esto con el
propsito de poder localizar y direccionar estos equipos
mundialmente.

El sistema de nombres de dominio se basa en un esquema

jerrquico que permite asignar nombres, basndose en el
concepto de dominio, utilizando para su gestin una base de
datos (BBDD) distribuida.

Las consultas al DNS son realizadas por los clientes a

travs de las rutinas de resolucin (resolver).
Estas funciones son llamadas en cada host desde las
aplicaciones de red (ping, telnet, ssh, )

Nombre de Dominio
COM
EDU
GOV
MIL
ORG
NET
INT

Significado
Organizaciones comerciales, Microsoft.com, ibm.com
Universidades, Instituciones academicas,...
Instituciones Gubernamentales
Organizaciones militares
Organizaciones no comerciales
Grupos relacionados con la Red
Organizaciones Internacionales

TLD = Top Level Domain

Los elementos del DNs son:

1.

La sintaxis del nombre

2.

La implementacin de la base de datos

Nombre de dominio
Es una cadena de hasta 255 caracteres, formada por
etiquetas separadas por puntos (cada etiqueta inferior a 64
caracteres) de forma jerrquica o por niveles (comenzando
el nivel superior por la derecha). Cada dominio es un ndice
en la Base de Datos Distribuida (BDD) del DNS.
No se distinguen maysculas de minsculas.
Esto no se aplica a la parte izquierda de @ en las
direcciones de correo.

Clasificacin de los dominios:

En el nivel absoluto superior o raz, los dominios se
clasifican en
Geogrficos: Divisin por pases (o regiones)
Genricos: En funcin del tipo de organizacin

GENRICOS

GEOGRAFICOS (por pas)

ROOT (vaco)

edu

com

mil

gov

ibm cisco oracle nasa

net

org

...

ieee acm

ec

es

fr

us

....

edu
ups

cas

correo

(1) Cada dominio absoluto se define desde la hoja del rbol hasta la raiz.
(2) Puede haber nombres duplicados en dominios diferentes (ej cisco)

Cada entrada en la tabla de un DNS contiene informacin,

no slo de las direcciones IP, si no de un registro de
recursos, con 5 campos:
[Nombre_dominio] [TTL] [Clase] [Tipo] [Dato_Registro]

Cuando un cliente (a travs de un resolver) pregunta por un

nombre de dominio al DNS, lo que recibe son los RR
asociados a ese nombre y por tanto la funcin real del DNS
es relacionar los dominios de nombres con los RR.
Normalmente existen varios RR por dominio

[Nombre_dominio] [TTL] [Clase] [Tipo] [Dato_Registro]

www.ups.edu.ec 600
IN
A
147.156.16.31
Nombre_dominio: Puede haber ms de un registro por dominio. Este
campo a veces puede omitirse, tomando por defecto el ltimo nombre
de domino indicado con anterioridad.
TTL: tiempo de vida. Indicando la estabilidad del registro (tiempo que
se guarda en la cach).
La informacin altamente estable tiene un valor grande (86400 seg. =
1 da). La informacin voltil recibe un valor pequeo (60 seg.)
Clase : Actualmente slo se utiliza IN, para informacin de Internet.
Dato_Registro: es un nmero o texto ASCII dependiendo del tipo de
registro.

Tipo de Registro
SOA
Start Of Authority
NS
Name Server
A
Address
CNAME

MX
TXT
PTR

HINFO
WKS

Descripcin
Inic io de autoridad, identificando el dominio o la zona. Fija una
serie de parmetros para esta zona.
El nombre de dominio se hace corresponder con el nombre de
una computador a de confianza para el dominio o servidor de
nombres.
Direccin IP de un host en 32 bits. Si este tiene varias direcciones
IP, multihomed, habr un registro diferente por cada una de ellas.
Es un alias que se corresponde con el nombre cannico
verdadero.
Se trata de un intercambiador de correo (Mail eXchanger), es
decir, un dominio dispuesto a aceptar solo correo electrnico.
Texto, es una forma de aadir comentarios a la Base de Datos.
Por Ej., para dar la direccin postal del dominio.
Apuntador, hace corresponder una direccin IP con el nombre de
un sistema. Usado en archivos direccin -nombre, la inversa del
tipo A.
Informacin del Host, tipo y modelo de computadora y SO
Servicios pblicos (Well - Known Services). Puede listar los
servicios de las aplicaciones disponibles en el ordenador.

Mail Exchanger:
Son servidores de correo ordenados por prioridad en un
dominio y registrados en el DNS, de forma que en caso de
fallo del principal, generalmente el que tendr informacin de
todas las cuentas de correo de los usuarios, el cliente de
correo (quien quiere realizar la entrega) averiguar a travs
del DNS el MX del dominio, quien recibir el correo en
nombre del principal.

Este MX intermediario, no requiere tener configuradas las

cuentas de correo y en el momento que el principal se
reponga, el MX har entrega de los correos.

Los servidores DNS tienen informacin completa de una

zona de autoridad.
La zona de autoridad abarca al menos un dominio, pudiendo
incluir dominios de nivel inferior y tendr normalmente un
servidor de nombres primario.
Estos dominios de nivel inferior se pueden delegar en otros
servidores locales.
Segn las caractersticas de la zona, los servidores DNS se
pueden clasificar en:
Primarios o secundarios
Maestros o locales

Primarios (Primary Name Servers):

Almacenan la informacin de su zona en una base de datos
local. Son responsables de mantener la informacin
actualizada y cualquier cambio debe ser notificado a este
servidor.
Secundarios (Secundary Name Servers):
Son aquellos que obtienen los datos de su zona desde otro
servidor que tenga autoridad para esa zona. El proceso de
copia de la informacin se denomina transferencia de zona.

Maestros (Master Name Servers):

Son los que transfieren las zonas a los servidores
secundarios. Cuando un servidor secundario arranca busca
un servidor maestro y realiza la transferencia de zona.
Un servidor maestro para una zona puede ser a la vez un
servidor primario o secundario de esa zona. Estos
servidores extraen la informacin desde el servidor primario
de la zona. As se evita que los servidores secundarios
sobrecarguen al servidor primario con transferencias de
zonas.

Locales (Caching-only Servers):

No tienen autoridad sobre ningn dominio: se limitan a
contactar con otros servidores para resolver las peticiones
de los clientes DNS. Estos servidores mantienen una
memoria cach con las ltimas preguntas contestadas.
Cada vez que un cliente DNS le formula una pregunta,
primero consulta en su memoria cach. Si encuentra la
direccin IP solicitada, se la devuelve al cliente; si no,
consulta a otros servidores, apuntando la respuesta en su
memoria cach y comunicando la respuesta al cliente.

Las direcciones IP de los dominios superiores no se incluyen

en el DNS porque no son parte del propio dominio.
Para consultar hosts externos se consulta a los servidores
raz, cuyas direcciones IP estn presentes en un fichero de
configuracin del sistema y se cargan en el cach del DNS
al iniciar el servidor.
Los servidores raz proporcionan referencias directas a
servidores de los dominios de segundo nivel, como COM,
EDU, GOV, geogrficos, etc.

Las funciones de un cliente DNS son:.

Interrogar al servidor DNS

Interpretar las respuestas que pueden ser registros de
recursos (RR) o errores
Devolver la informacin al programa que realiza la peticin
al cliente DNS

En el proceso de interrogacin, las preguntas pueden ser:

Recursiva:
Obliga al servidor DNS a que responda aunque tenga que
consultar a otros servidores. Esta opcin es ms frecuente.
Iterativa:
El servidor contesta si tiene la informacin y si no, le remite
la direccin de otro servidor capaz de resolver. De esta
forma el cliente tiene mayor control sobre el proceso de
bsqueda. Esta opcin es menos frecuente.
Inversa:
Permite dada una IP, consultar el nombre. Para ello se ha
creado un dominio especial llamado in-addr.arpa

www.ups.edu.ec

Client

Local
DNS server

root & ec
DNS server

ns1.edu.ec
DNS server

ns1.ups.edu.ec
DNS
server

Queremos buscar en google, por lo que nuestro cliente web

formula una pregunta recursiva IP de www.google.com? a
nuestro servidor DNS
dns.ups.edu.ec
Lab 3: www.ups.edu.ec

www.google.com ?

Mi PC

resolver

 El servidor local es el responsable de resolver la pregunta,

aunque para ello tenga que reenviar la pregunta a otros
servidores.
Si se ha solicitado informacin local, el servidor extrae la
respuesta de su propia base de datos.
Si es sobre un ordenador externo, el servidor comprueba su
cach. Si no tiene direccin IP entonces formular una
pregunta iterativa al servidor del dominio raz.

www.google.com ?
Lab 3: www.ups.edu.ec

dns.ups.edu.es
ip del DNS .com

www.google.com ?

Mi PC

resolver

El servidor del dominio raz no conoce la direccin IP solicitada, pero

devuelve la direccin del servidor del dominio .com

 El servidor local reenva la pregunta iterativa al servidor del

dominio .com que tampoco conoce la direccin IP, aunque s
conoce la direccin del DNS del dominio .google.com
El servidor local vuelve a reenviar la pregunta iterativa al DNS
google.com, que ahora si conoce la direccin IP de
www.google.com y devuelve la IP al DNS local

www.google.com ?

dns.ups.edu.ec
Lab 3: www.ups.edu.ec
ip del DNS .com

www.google.com ?

Mi PC

resolver

www.google.com ?

.com

ip del DNS google.com

www.google.com ?
209.85.135.99

google.com

 El servidor local se la reenva a nuestro ordenador, al mismo

tiempo que la almacena en la propia cach.
www.google.com ?

dns.ups.edu.ec
Lab3: www.ups.edu.ec
ip del DNS .com

www.google.com ?

Mi PC
209.85.135.99

resolver

www.google.com ?

.com

ip del DNS google.com

Aadir a Cache
www.google.com ?
209.85.135.99

www.google.com

google.com

Para evitar una bsqueda exhaustiva por todo el espacio de

nombres de dominio, se utiliza un dominio especial llamado
in-addr.arpa.
Cuando un cliente DNS desea conocer el nombre de
dominio asociado a la direccin IP w.x.y.z realiza una
pregunta inversa a z.y.x.w.in-addr.arpa.
La inversin de los bytes es necesaria debido a que los
nombres de dominio son ms genricos por la derecha, al
contrario que ocurre con las direcciones IP.

La organizacin que posee una direccin de red es

responsable de registrar todas sus traducciones de direccin
a nombre en la base de datos del DNS. Esto se hace en una
tabla que es independiente de las correspondencias entre
nombre y direcciones.
El dominio in-addr.arpa se cre para apuntar hacia todas
esas tablas de red.
Destacar que muchas servidores y/o clientes como FTP,
www, Telnet... no aceptarn y/o realizan conexiones de
mquinas de las cuales no son capaces de resolver el
nombre, por eso el mapeo inverso es obligado.

COM

EDU

ARPA

IN-ADDR

128

147

156

157

RFC3596 define:
Un nuevo tipo de RR (AAAA) para la correspondencia de
nombre de dominio a direccin IPv6.
Un dominio para consultas inversas:
IP6.ARPA
La versin IP utilizada para la consulta es independiente de
la versin de protocolo de los RRs
Cinco servidores raz ya tienen direccin IPv6 asignada

 Permite a los host enviar mensajes de error o de control a

otras host. Slo reporta las condiciones de error a la fuente
original de los datos
Los mensajes ICMP van encapsulados en el campo de datos
de los datagramas IP
El Protocolo de Mensajes de Control y Error de Internet,
ICMP, es de caractersticas similares a UDP, pero con un
formato mucho ms simple.

 Su utilidad no est en el transporte de datos de usuario, sino

en controlar si un paquete no puede alcanzar su destino, si su
vida ha expirado, si el encabezamiento lleva un valor no
permitido, si es un paquete de eco o respuesta, etc.
Es decir, se usa para manejar mensajes de error y de
control necesarios para los sistemas de la red, informando
con ellos a la fuente original para que evite o corrija el
problema detectado. ICMP proporciona as una comunicacin
entre el software IP de una mquina y el mismo software en
otra.

Los mensajes ICMP se transmiten dentro de paquetes IP

El protocolo ICMP se corresponde con el identificador 1

El formato de los mensajes ICMP es el siguiente:

 El protocolo ICMP solamente informa de incidencias en la

entrega de paquetes o de errores en la red en general, pero
no toma decisin alguna al respecto. Esto es tarea de las
capas superiores.

 Los mensajes ICMP se transmiten como datagramas IP

normales, con el campo de cabecera "protocolo" con un valor 1.

Comienzan con un campo de 8 bits que define el tipo de

mensaje de que se trata.
A continuacin viene un campo cdigo, de 8 bits, que a veces
ofrece una descripcin del error concreto que se ha producido.
Adems un campo suma de control, de 16 bits, que incluye una
suma de verificacin de errores de transmisin.
Tras estos campos viene el cuerpo del mensaje, determinado
por el contenido del campo "tipo.

Mensajes informativos

Entre estos mensajes hay algunos de suma importancia,

como los mensajes de peticin de ECO (tipo 8) y los de
respuesta de Eco (tipo 0).
Las peticiones y respuestas de eco se usan en redes para
comprobar si existe una comunicacin entre dos host a nivel
de capa de red, por lo que nos pueden servir para identificar
fallos en este nivel, ya que verifican si las capas fsica
(cableado), de enlace de datos (tarjeta de red) y red
(configuracin IP) se encuentran en buen estado y
configuracin.

Mensajes de error
En el caso de obtener un mensaje ICMP de destino
inalcanzable, con campo "tipo" de valor 3, el error
concreto que se ha producido vendr dado por el valor
del campo "cdigo.

Por ejemplo Si el datagrama tiene un campo de ttl=1, y

tiene que ser reenviado por el router, esto no se podr
realizar, y se tendr que descartar, enviando al origen un
mensaje TTL con tipo 11

Problemas de Parmetros
Los mensajes ICMP de tipo= 12 (problemas de parmetros)
se originan por ejemplo cuando existe informacin
inconsistente en alguno de los campos del datagrama, que
hace que sea imposible procesar el mismo correctamente,
cuando se envan datagramas de tamao incorrecto o cuando
falta algn campo obligatorio.

Mensajes ICMP Destination Unreachable

Estos mensajes los enva el router cuando el destino de un
paquete es inalcanzable, para informar al host emisor del
paquete de esta situacin
Formato del mensaje
Tipo = 3
Cdigo
Especifica la razn por la cual el destino es inalcanzable

0 no se puede llegar a la red

1 no se puede llegar al host o aplicacin de destino
2 el destino no dispone del protocolo solicitado
3 no se puede llegar al puerto destino o la aplicacin destino
no est libre
4 se necesita aplicar fragmentacin, pero el flag
correspondiente indica lo contrario
5 la ruta de origen no es correcta
6 no se conoce la red destino
7 no se conoce el host destino

 8 el host origen est aislado

9 la comunicacin con la red destino est prohibida por
razones administrativas
10 la comunicacin con el host destino est prohibida por
razones administrativas
11 no se puede llegar a la red destino debido al Tipo de
servicio
12 no se puede llegar al host destino debido al Tipo de
servicio

Mensajes ICMP Echo Request y Echo Reply

Se utilizan para ver si un computador es alcanzable
Formato de los mensajes Echo Request/Echo Reply
Tipo = 8 Echo Request
Tipo = 0 Echo Reply
Cdigo = 0
Identificador: Cada mensaje Echo Reply contiene el mismo
identificador que su correspondiente Echo Request
Secuencia: Cuando se envan varios Echo Requests
consecutivos con el mismo identificador

Mensajes ICMP tiempo excedido

Descripcin
Este paquete lo puede enviar un router intermedio o el
host destinatario. Los enva un router al host origen
cuando descarta el paquete por haber agotado su tiempo
de vida (TTL de trnsito)
Los enva el traceroute
Hace uso de este tipo de mensajes para descubrir la ruta
usada para alcanzar un determinado destino
Tipo = 11
Cdigo = 0 Agotado TTL de trnsito

 Nueva versin de ICMP a trabajar conIPv6

Absorve algunas funciones de IGMP y ARP.
Usado para:
Reportar errores en el procesamiento de paquetes IP.
Ejecutar diagnsticos.
Ejecutar Neighbor Discovery (descubriniento de
dispositivos vecinos) y reportar pertenencia multicast.
Dos tipes de mensajes:
Mensajes de Error
Mensajes de Informacin

Mensajes de Error:
Destino inalcanzable
Paquete demasiado grande
Tiempo excedido
Problemas de parmetros

Mensajes de Informacin:
Mensajes de diagnstico
Mensajes de administracin de grupos Multicast
Mensajes de descubrimiento de vecinos (Neighbor
discovery)

 Cada mensaje ICMPv6 es precedido por un encabezado

IPv6 y 0 o ms IPv6encabezados de extensin.
Un siguiente campo de encabezado identifica el mensaje
ICMPv6 (diferente que IPv4)
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
|-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
| Type
| Code
| Checksum
|
|-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|
|
|
| Message Body
|
|
|
| +-------------------------------------------------------------+

Uno o varios dominios?

Razones por las que se debe crear ms de un dominio:

Requisitos de contraseas distintos en los diversos
departamentos y divisiones
Nmero muy grande de objetos
Administracin descentralizada de la red
Mayor control de la replicacin
El uso de un nico dominio en toda una red tiene
ventajas si la administracin es centralizada y el nmero
de usuarios no muy alto.

rboles y Bosques
Un bosque es una coleccin de dominios que permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.
Un rbol es un conjunto de uno o varios dominios con nombres
DNS contiguos.
Un bosque puede tener ms de un rbol.

Unidades Organizativas (OU)

Son contenedores de AD con usuarios, grupos, equipos y

otras OU.
No puede contener objetos de otros dominios.
Se le pueden asignar directivas de grupo
Se puede delegar la autoridad administrativa.

Diseo de un Active Directory

Determinar el nmero de bosques de una red

Escenario con un nico bosque
Normalmente es suficiente en la mayora de las situaciones.
Administracin ms sencilla. Los cambios de configuracin slo
tienen que aplicarse una vez para afectar a todos los dominios.

Escenario con varios bosques

Si hay muchas divisiones autnomas que:
No confan en sus administradores respectivos.
No pueden acordar una poltica de cambios en el bosque.
Desean limitar el alcance de una relacin de confianza.
80

Plan de dominios
Dibujar la topologa de la red

Plan de dominios
Crear particiones en el bosque

82

Plan de dominios
Plan de rboles de dominios

83

Plan de dominios
Plan de Unidades Organizativas OU

84

Plan de dominios
Plan de topologa de sitios

85

 Active Directory incluye:

El esquema conjunto de reglas que definen las clases de

objetos y los atributos del directorio
Un catlogo global contiene informacin acerca de los
objetos del directorio. Permite encontrar informacin con
independencia del dominio.
Un sistema de ndices y consultas, para publicar y
encontrar objetos y sus propiedades.
Un servicio de replicacin distribuye los datos del
directorio por toda la red a travs de los controladores de
dominio.
87

Seguridad
Administracin flexible y simplificada
Escalabilidad
Alta disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios

 La Autoridad de Seguridad Local (LSA) es el subsistema

de responsable de la autenticacin.
LSA tambin procesa solicitudes de autenticacin
realizadas por medio del protocolo Kerberos.
LSA del DC de autenticacin genera un testigo de acceso
de usuario y le asocia un Id. de seguridad (SID).
Testigo de acceso contiene nombre de usuario,
grupos a los que pertenece, SID del usuario y todos
los SID de los grupos a los que pertenece.

 Cuentas de usuario:
Es un objeto almacenado en el AD que permite su inicio de
sesin nico en la red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)
Cuentas de Equipos.
Ofrecen una forma de autenticar y auditar a los equipos que
acceden a la red y a recursos del dominio.
Cuentas de grupos:
Coleccin de usuarios, equipos y otros grupos. Su principal
objetivo es simplificar la administracin

 Se puede hacer referencia a cada objeto de Directorio Activo con

varios nombres diferentes. AD crea a partir de los datos durante la
creacin del objeto:
El nombre completo relativo LDAP: identifica unvocamente al
objeto dentro su contenedor principal.
El nombre completo LDAP: es globalmente nico.
El nombre cannico: se crea de la misma manera que el
nombre completo, pero se representa con una notacin
diferente.
Objetos principales de Seguridad (Security Principals): Son objetos
del directorio que tienen asignados un Identificados nico de
seguridad (SID)

 Cmo se construye el DN (Distinguish Name)

CN= : Common Name.
OU= : Unidad Organizativa
DC= : Domain Component
Dominio:
DC=empresa,DC=es
Controlador de Dominio:
CN=DC1,OU=Domain Controllers,DC=empresa,DC=es
Dominio hijo:
DC=rrhh,DC=empresa,DC=es
Site:
CN=SedeCentral,CN=Sites,CN=Configuration,DC=empr
esa,DC=es
Usuario:
CN=Administrador,CN=Users,DC=empresa,DC=es

Bsquedas LDAP al directorio

RootDSE es parte del estndar de LDAPv3.0
Definido en RFC 2251
Define la raz de bsqueda en un servidor LDAP
Muestra, entre otras cosas, las particiones bsicas a las que se
puede conectar un cliente
Pasos:

Conexin con un servidor LDAP

Por defecto devuelve RootDSE
Antes de consultar hay que validarse
Opcin bind con usuario y contrasea

Bsquedas LDAP al directorio

Buscar
Definir el mbito de la bsqueda (Base DN)
Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
Profundidad de la bsqueda (En el mbito dado)
Resultados a devolver (Qu atributos extraer)

Nominacin de Objetos
Objetos en NTds.dit (editor ADSI)

Grupos
Grupos de Distribucin:
Utilizados por aplicaciones de correo (Microsoft Exchange)
No pueden ser usados para especificar controles de acceso a
recursos.
Grupos de Seguridad:
Asignacin de derechos (funciones que se pueden
desempear)
Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de
otros.
Ambos tipos de grupo pueden ser de tres mbitos distintos:
Locales de Dominio
Global
Universal

Grupos Locales de Dominio

Pueden contener:
Grupos Universales, Globales, Locales de su dominio
Usuarios de cualquier dominio del bosque
Pueden pertenecer a otro grupo Local de Dominio
Solo son visibles en su propio dominio
Se utilizan para asignar permisos a recursos existentes en el
dominio en donde se esta creando el grupo

Grupos Globales
Pueden contener:
Usuarios, Grupos y equipos de su propio dominio
Otros grupos globales
Pueden pertenecer a Grupos Locales, Universales o Globales del
mismo dominio
Son visibles desde cualquier dominio del bosque en los que se
confe.
Pueden asignarse a recursos de cualquier dominio de confianza
del bosque

Grupos Universales
Pueden contener:
Usuarios y equipos de cualquier dominio del bosque
Grupos globales o universales de cualquier dominio del
bosque
Pueden pertenecer a otros grupos universales y a grupos Locales
de Dominio.
Son visibles desde todos los dominios del bosque
Se usan para asignar permisos a recursos relacionados en todos
los dominios del bosque, anidando en ellos grupos globales.

Control de acceso en Active Directory

Un descriptor de seguridad contiene dos listas de control de
acceso (ACL):
Listas de control de acceso discrecional (DACL). Identifican
a los usuarios y grupos que tienen asignados o denegados
permisos de acceso a un objeto.

Listas de control de acceso al sistema (SACL). Identifican a

los usuarios y los grupos que desea auditar cuando
consiguen o no consiguen obtener acceso a un objeto.
Las DACL y las SACL estn asociadas de forma
predeterminada con todos los objetos de AD.

Access Token y ACLs

DACL:
Discretionary
Access control
List
SACL:
System Access
Control List
ACE: Access
Control Entry

Funciones de servidor de Active Directory

Servidores miembro
Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la
replicacin de AD ni almacena informacin de directivas de
seguridad de dominio.
Controladores de dominio (DC)
Almacena una copia de lectura y escritura del directorio de AD.
Autentica usuarios.
Sincroniza los datos del directorio utilizando replicacin.

Funciones de servidor de Active Directory

Controladores de dominio de solo lectura (RODC)
Para escenarios donde la seguridad local no se puede
garantizar o donde almacenar credenciales de usuarios y
servicios se considera un riesgo no asumible.
El administrador del dominio decide qu contraseas se
replican o cachean.