DHCP (siglas en ingls de Dynamic Host Configuration Protocol, en espaol

protocolo de configuracin dinmica de host es un protocolo de red que permite a

los clientes de una red IP obtener sus parmetros de configuracin
automticamente. Se trata de un protocolo de tipo cliente/servidor en el que
generalmente un servidor posee una lista de direcciones IP dinmicas y las va
asignando a los clientes conforme stas van quedando libres, sabiendo en todo
momento quin ha estado en posesin de esa IP, cunto tiempo la ha tenido y a quin
se la ha asignado despus este protocolo se public en octubre de 1993, y su
implementacin actual est en la
Historia
DHCP se defini por primera vez como un protocolo de seguimiento esttico de
las normas en el RFC 1531 en octubre de 1993, como una extensin del protocolo
Bootstrap (BOOTP). La motivacin para extender BOOTP era porque BOOTP
requera intervencin manual para completar la informacin de configuracin en
cada cliente, y no proporciona un mecanismo para la recuperacin de las
direcciones IP en desuso.
Muchos trabajaron para mejorar el protocolo, ya que gan popularidad y en
1997 se public el RFC 2131, y al 2011 se mantiene como el estndar para redes
IPv4. DHCPv6 est documentado en el RFC 3315. El RFC 3633 aadi un
mecanismo de delegacin de prefijo para DHCPv6. DHCPv6 se ampli aun ms
para proporcionar informacin a los clientes con la configuracin automtica de
direcciones sin estado en el RFC 3736.
El protocolo BOOTP a su vez fue definido por primera vez en el RFC 951 como
un reemplazo para el protocolo RARP (del ingls "Reverse Address Resolution
Protocol"), o resolucin de direcciones inversa. La principal motivacin para la
sustitucin de RARP con BOOTP fue que RARP era un protocolo de la capa de
enlace de datos.
Esto hizo ms difcil su aplicacin en muchas plataformas de servidores, y
requera un servidor presente en cada enlace de red individual. BOOTP introdujo la
innovacin de un agente de retransmisin, lo que permiti el envo de paquetes
BOOTP fuera de la red local utilizando enrutamiento IP estndar, por lo que un
servidor central de BOOTP podra servir de anfitriones en muchas subredes IP.

Asignacin de direcciones IP
Cada direccin IP debe configurarse manualmente en cada dispositivo y, si el
dispositivo se mueve a otra subred, se debe configurar otra direccin IP diferente. El
DHCP le permite al administrador supervisar y distribuir de forma centralizada las
direcciones IP necesarias y, automticamente, asignar y enviar una nueva IP si fuera
el caso en el dispositivo es conectado en un lugar diferente de la red.
El protocolo DHCP incluye tres mtodos de asignacin de direcciones IP:
Asignacin manual o esttica: Asigna una direccin IP a una mquina
determinada. Se suele utilizar cuando se quiere controlar la asignacin de direccin
IP a cada cliente, y evitar, tambin, que se conecten clientes no identificados.
Asignacin automtica: Asigna una direccin IP a una mquina cliente la
primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera.
Se suele utilizar cuando el nmero de
clientes no vara demasiado.
Asignacin dinmica: el nico mtodo que permite la reutilizacin dinmica de
las direcciones IP. El administrador de la red determina un rango de direcciones IP
y cada dispositivo conectado a la red est configurado para solicitar su direccin IP
al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un
concepto muy simple en un intervalo de tiempo controlable. Esto facilita la
instalacin de nuevas mquinas clientes.
Algunas implementaciones de DHCP pueden actualizar el DNS asociado con los
servidores para reflejar las nuevas direcciones IP mediante el protocolo de
actualizacin de DNS establecido en RFC 2136 (Ingls).
El DHCP es una alternativa a otros protocolos de gestin de direcciones IP de
red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo ms avanzado,
pero ambos son los usados normalmente.
En Windows 98 y posteriores, cuando el DHCP es incapaz de asignar una
direccin IP, se utiliza un proceso llamado "Automatic Private Internet Protocol
Addressing".
Parmetros configurables
Un servidor DHCP puede proveer de una configuracin opcional al dispositivo
cliente. Dichas opciones estn definidas enRFC 2132 (Ingls) Lista de opciones
configurables:
Direccin del servidor DNS
Nombre DNS

Puerta de enlace de la direccin IP

Direccin de Publicacin Masiva (broadcast address)
Mscara de subred
Tiempo mximo de espera
Direcciones segn siglas en ingls)

del ARP (Protocolo

de

Resolucin

de

MTU (Unidad de Transferencia Mxima segn siglas en ingls) para la interfaz

Servidores NIS (Servicio de Informacin de Red segn siglas en ingls)
Dominios NIS
Servidores NTP (Protocolo de Tiempo de Red segn siglas en ingls)
Servidor SMTP
Servidor TFTP
Nombre del servidor WINS
Implementaciones
Microsoft introdujo el DHCP en sus Servidores NT con la versin 3.5 de
Windows NT a finales de 1994.
El Consorcio de Software de Internet (ISC: Internet Software Consortium)
public distribuciones de DHCP para Unix con la versin 1.0.0 del ISC DHCP
Server el 6 de diciembre de 1997 y una versin (2.0) que se adaptaba mejor
al RFC el da 22 de junio de 1999Cisco: un servidor DHCP habilitado en Cisco IOS
12.0 en el mes de febrero de 1999
Sun: aadi el soporte para DHCP a su sistema operativo Solaris el 8 de
julio de 2001.
Adems, varios routers incluyen soporte DHCP para redes de hasta 255
dispositivos.
Anatoma del protocolo

Esquema de una sesin tpica DHCP.

(Autoridad de Nmeros Asignados en Internet segn siglas en ingls)
en BOOTP: 67/UDP para las computadoras servidor y 68/UDP para los clientes.
DHCP Discovery
DHCP Discovery es una solicitud DHCP realizada por un cliente de este
protocolo para que el servidor DHCP de dicha red de computadoras le asigne una
direccin IP y otros Parmetros DHCP como la mscara de red o el nombre DNS.
DHCP Offer
DHCP Offer es el paquete de respuesta del Servidor DHCP a un cliente DHCP
ante su peticin de la asignacin de los Parmetros DHCP. Para ello involucra su
direccin MAC (Media Access Control).
DHCP Request
El cliente selecciona la configuracin de los paquetes recibidos de DHCP Offer.
Una vez ms, el cliente solicita una direccin IP especfica que indic el servidor
DHCP Acknowledge
Cuando el servidor DHCP recibe el mensaje DHCPREQUEST del cliente, se
inicia la fase final del proceso de configuracin. Esta fase implica el reconocimiento
con el envo de un paquete al cliente.
Este paquete incluye la duracin de la concesin y cualquier otra informacin de
configuracin que el cliente pueda tener solicitada. En este punto, el proceso de
configuracin TCP/IP se ha completado. El servidor reconoce la solicitud y la enva
acuse de recibo al cliente. El sistema en su conjunto espera que el cliente para
configurar su interfaz de red con las opciones suministradas. El servidor DHCP

responde a la DHCPREQUEST con un DHCPACK, completando as el ciclo de

iniciacin. La direccin origen es la direccin IP del servidor de DHCP y la direccin
de destino es todava 255.255.255.255. El campo YIADDR contiene la direccin del
cliente, y los campos CHADDR y DHCP: Client Identifier campos son la direccin
fsica de la tarjeta de red en el cliente. La seccin de opciones del DHCP identifica el
paquete como un ACK.
Confidencialidad
En un contexto de proveedor de Internet, los registros DHCP de asignacin de
direcciones o bien contienen o estn vinculadas a informacin de identificacin
personal confidencial, los datos de contacto del cliente. Estos son atractivos para los
spammers, y podran ser buscados para "expediciones de pesca" por las agencias de
polica o litigantes. Por lo menos una aplicacin imita la poltica de Canadian
Library Association para la circulacin del libro y no retiene informacin de
identificacin una vez que el "prstamo" ha terminado.
Active Directory
Active Directory (AD) es el trmino que usa Microsoft para referirse a su
implementacin de servicio de directorio en unared distribuida de computadores.
Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).
De forma sencilla se puede decir que es un servicio establecido en uno o varios
servidores en donde se crean objetos tales como usuarios, equipos o grupos, con el
objetivo de administrar los inicios de sesin en los equipos conectados a la red, as
como tambin la administracin de polticas en toda la red.
Su estructura jerrquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin
de recursos y polticas de acceso.1
Active Directory permite a los administradores establecer polticas a nivel de
empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones
crticas a una organizacin entera.
Un Active Directory almacena informacin de una organizacin en una base de
datos central, organizada y accesible. Pueden encontrarse desde directorios con
cientos de objetos para una red pequea hasta directorios con millones de objetos.
Estructura
Active Directory est basado en una serie de estndares llamados X.500, aqu se
encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se
identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active
Directory requiere uno o ms servidores DNS que permitan el direccionamiento de
los elementos pertenecientes a la red, como por ejemplo el listado de equipos
conectados; y los componentes lgicos de la red, como el listado de usuarios.

Un ejemplo de la estructura descendente (o herencia), es que si un usuario

pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese
dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los rboles pueden integrarse en un espacio comn denominado bosque
(que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y
establecer una relacin de trust o confianza entre ellos. De este modo los usuarios
y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada
estructura de rbol el propio Active Directory.
Objetos
"Cada atributo se puede utilizar en diferentes "schema class objects". Estos
objetos se conocen como objetos esquema, ometadata, y existen para poder extender
el esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del
esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o
cambiar estos objetos puede tener consecuencias serias porque cambiar la
estructura fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando
es alterado, se propagar automticamente a travs de Active Directory y una vez se
cree, slo puede ser desactivado, nunca suprimido. Cambiar el esquema no es algo
que se hace generalmente sin cierta planificacin."
Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight
Directory Access Protocol), ya que este protocolo viene implementado de forma
similar a una base de datos, la cual almacena en forma centralizada toda la
informacin relativa a un dominio de autenticacin. Una de sus ventajas es la
sincronizacin presente entre los distintos servidores de autenticacin de todo el
dominio.
A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos
en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo
email, etctera, las impresoras de red tendrn campo nombre, campo
fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda
esta informacin queda almacenada enActive Directory replicndose de forma
automtica entre todos los servidores que controlan el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas, impresoras
de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando
todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos
replicada a todo el dominio de administracin, los eventuales cambios sern visibles
en todo el mbito. Para decirlo en otras palabras, Active Directory es una
implementacin de servicio de directorio centralizado en una red distribuida que

facilita el control, la administracin y la consulta de todos los elementos lgicos de

una red (como pueden ser usuarios, equipos y recursos).
Intercambio entre dominios
Para permitir que los usuarios de un dominio accedan a recursos de otro
dominio, Active Directory usa una relacin de confianza (en ingls, trust). La
relacin de confianza es creada automticamente cuando se crean nuevos dominios.
Los lmites de la relacin de confianza no son marcados por dominio, sino por el
bosque al cual pertenece. Existen relaciones de confianza transitivas, donde las
relaciones de confianza de Active Directory pueden ser un acceso directo (une dos
dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o
dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo,
una o dos vas), para conectarse a otros bosques o dominios que no son de Active
Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin
soporta NTLM y usuarios webs mediante autentificacin SSL/TLS.
Confianzas transitivas
Las Confianzas transitivas son confianzas automticas de dos vas que existen
entre dominios en
Active Directory.
Confianzas explcitas
Las Confianzas explcitas son aquellas que establecen las relaciones de forma
manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin
puede ser de una o dos vas, dependiendo de la aplicacin.
Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios
compuestos por ordenadores con Windows NT 4.0.
Confianza de Acceso Directo
La Confianza de acceso directo es, esencialmente, una confianza explcita que
crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de
relaciones permite incrementar la conectividad entre dos dominios, reduciendo las
consultas y los tiempos de espera para la autenticacin.

Confianza entre bosques

La Confianza entre bosques permite la interconexin entre bosques de dominios,
creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre
bosques son de tipo explcito, al contrario de Windows Server 2003.

Direccionamientos a recursos
Los direccionamientos a recursos de Active Directory son estndares con la
Convencin Universal de Nombres (UNC), Localizador Uniforme de Recursos
(URL) y Nombres de LDAP.
Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished
name (DN)), as una impresora llamadaImprime en una Unidad Organizativa (en
ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede
escribirse de las siguientes formas para ser direccionado:
en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde
CN es el nombre comn (en ingls, Common Name)
DC es clase de objeto de dominio (en ingls, Domain object Class).
En forma cannica sera foo.org/Ventas/Imprime
Los otros mtodos de direccionamiento constituyen una forma local de localizar
un recurso
Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)),
que busca un recurso slo con el Nombre Comn (CN).
Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es
usado por Active Directory para buscar y replicar informacin
Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User
Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un
directorio de la red. Su forma es objetodered@dominio
Diferencias entre Windows NT y Active Directory
A diferencia del anterior sistema de administracin de dominios de Windows NT
Server, que provea nicamente el dominio de administracin, Active Directory
permite tambin crear estructuras jerrquicas de dominios y subdominios,
facilitando la estructuracin de los recursos segn su localizacin o funcin dentro
de la organizacin a la que sirven. Otra diferencia importante es el uso de
estndares como X.500 y LDAP para el acceso a la informacin.
Interfaces de programacin
Las interfaces de servicio de Active Directory (ADSI) entregan al programador
una interfaz orientada a objetos, facilitando la creacin de programas de directorios
mediante algunas herramientas compatibles con lenguajes de alto nivel, comoVisual
Basic, sin tener que lidiar con los distintos espacios de nombres.
Mediante las ADSI se permite crear programas que realizan un nico acceso a
varios recursos del entorno de red, sin importar si estn basados en LDAP u otro
protocolo. Adems, permite generar secuencias de comandos para los
administradores.

Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite

generar programas MAPI.
Requisitos de instalacin
Para crear un dominio hay que cumplir, por lo menos, con los siguientes
requisitos recomendados:
Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced Server
o Datacenter Server) o Windows 2008. En el caso de 2003 server, tener instalado el
SP1 en la mquina.
Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con
una direccin asignada por DHCP,
Tener un servidor de nombre de DNS, para resolver la direccin de los distintos
recursos fsicos presentes en la red
Poseer ms de 250 MB en una unidad de disco formateada en NTFS.
Alternativas
Samba es un programa de cdigo libre, que tiene disponible un controlador de
dominios compatible con Windows NT 4,Windows 2003 y Windows 2008.
El programa de cdigo libre Mandriva Directory Server ofrece una interfaz web
para manejar el controlador de dominios de Samba y el servicio de directorios de
LDAP.
Otra alternativa es Novell eDirectory, que es Multiplataforma: se puede correr
sobre cualquier sistema operativo: Linux, AIX, Solaris, Novell Netware, UNIX e
integra LDAP v.3 Nativo. Es el precursor en materia de estructuras de Directorio, ya
que fue introducido en 1990 con la versin de Novell Netware 4.0. Aunque AD de
Microsoft alcanz mayor popularidad, todava no puede igualar la fiabilidad y
calidad de eDirectory y su capacidad Multiplataforma.
Sun Java ES Directory Server y OpenDS son otras alternativas, el primero
basado en java y el segundo basado y desarrollado en C. El primero es un producto
de Sun Microsystems y el segundo una alternativa de cdigo abierto.
Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y adems
certificacin digital y Bind9 (modificado para usar LDAP como backend)
es WBSAgnitio .

Controlador de dominio
El controlador de dominio es el centro neurlgico de un dominio Windows, tal
como un servidor NIS lo es del servicio de informacin de una red Unix. Los
controladores de dominio tienen una serie de responsabilidades. Una de ellas es la
autentificacin. La autentificacin es el proceso de garantizar o denegar a un
usuario el acceso a recursos compartidos o a otra mquina de la red, normalmente a
travs del uso de una contrasea. No es que les permita a los usuarios validar para
ser partes de clientes.
Cada controlador de dominio usa un security account manager (SAM), o NTDS
en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como
Controlador de Dominio), para mantener una lista de pares de nombre de usuario y
contrasea. El controlador de dominio entonces crea un repositorio centralizado de
passwords, que estn enlazados a los nombres de usuarios (un password por
usuario), lo cual es ms eficiente que mantener en cada mquina cliente centenares
de passwords para cada recurso de red disponible.
En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los
recursos compartidos de un servidor, el servidor acta y pregunta al controlador de
dominio si ese usuario est autentificado. Si lo est, el servidor establecer una
conexin de sesin con los derechos de acceso correspondientes para ese servicio y
usuario. Si no lo est, la conexin es denegada.
Una vez que un usuario es autenticado por el controlador de dominio, una ficha
especial (o token) de autentificacin ser retornada al cliente, de manera que el
usuario no necesitar volver a "loguearse" para acceder a otros recursos en dicho
dominio, ya que el usuario se considera "logueado" en el dominio.

12-MISM-1-043
ROBERT BADHIR YARA FAJARDO
INGENIERIA EN SISTEMAS

INTRODUCCION A LA TECNOLOGIA DE REDES

PROF. WILLIAM LOPEZ

SECCION 432