Professional Documents
Culture Documents
htm
Redes en Windows NT
Windows NT es un sistema operativo de servidor y como tal tiene una serie de caractersticas que
lo distinguen de los sistemas operativos domsticos como pueda ser Windows 98 o Windows Me.
Windows NT ha evolucionado en Windows 2000 y Windows 2000 en Windows XP. Sin embargo y a
pesar de su antigedad, NT se sigue utilizando en un elevado nmero de empresas. La razn es
sencilla: los cambios de sistemas en las empresas pueden acarrear consecuencias imprevistas.
Qu administrador de red se arriesga a cambiar un sistema NT que cumple perfectamente con
sus funciones por un sistema nuevo en el que todava no tiene confianza? Esto explica el que las
empresas siempre vayan retrasadas respecto al mercado. Windows NT sigue teniendo una elevada
implantacin en servidores. Veamos algunas caractersticas destacadas: Commented [1]: Windows NT, va ms dirigido a las
empresas que a los hogares, claro que tambin se
Nuevo sistema operativo de 32 bits. Windows NT fue construido desde puede utilizar en casa pero se aprovechara a tope el
sistema operativo en empresas
cero con 32 bits. No hereda viejos cdigos por motivos de compatibilidad
como hizo Windows 95. Commented [2]: Esto me parece muy bien, ya que la
Memoria separada. Cada programa se ejecuta en una regin de memoria propia compaa hizo su propio cdigo.
separada. Esto impide que el cuelgue de un programa acarree el cuelgue
del resto de programas en ejecucin. El sistema operativo tiene la
capacidad de expulsar a un programa sin afectar al resto de programas que
estn funcionando en ese momento. Aunque fallen programas aislados, el
sistema operativo no debera perder el control de la mquina en ningn
momento. Commented [3]: Al tener una memoria separada,
Multitarea preferente. Permite la ejecucin simultnea de aplicaciones. Al cada programa es independiente, ya que se si cuelga
alguno de ellos, esto no afecta a los dems.
menos sta es la impresin que recibe el usuario aunque el procesador
nicamente pueda estar atendiendo una tarea en cada momento. El
sistema operativo es el que asigna los ciclos de procesador para cada
aplicacin evitando que una de ellas lo monopolice por completo. Commented [4]: Como la gran mayora de los
Multiprocesador. Es capaz de utilizar varios procesadores en la misma sistemas operativos, es muy necesario que puedan
ejecutar varias tareas a la vez.
mquina, asignando a cada uno de ellos tareas distintas.
Multiusuario. Gestiona accesos concurrentes de varios usuarios al sistema Commented [5]: Esto es muy favorable, ya que as
puede ser mas potente y eficaz
desde distintos puestos de la red.
Portabilidad. Windows NT fue diseado para funcionar, sin apenas Commented [6]: Esto le viene muy bien a las
empresas, instituciones, planteles, etc.
cambios, en distintos tipos de hardware. El nico cdigo especfico del ya que como menciona en el prrafo puede administrar
hardware es el conocido como HAL (Hardware Abstraction Layer); el resto varios usuarios
de cdigo es comn para todos los sistemas. Se comercializan versiones
de Windows NT para procesadores Intel y para procesadores Alpha. Commented [7]: Esto es excelente para incrementar
la productividad.
1
Integracin en entornos mixtos. Windows NT puede comunicarse con
una gran variedad de mquinas en la red mediante la utilizacin de los
correspondientes protocolos: con Novell Netware mediante IPX/SPX, con
Unix mediante TCP/IP, con Macintosh mediante AppleTalk y con clientes
Windows mediante NetBEUI. Commented [8]: esto tambin es muy favorable en el
Modelo de seguridad de dominio. Es un sistema de acceso de usuarios a ambiente empresarial para hacer mas dinmico el
asunto
recursos de la red en el que es necesaria una autentificacin previa. Los
controladores de dominio son las mquinas Windows NT que se encargan
de la validacin de los usuarios que inician sesin segn la base de datos
de usuarios o SAM (Security Account Manager). Commented [9]: claro que si estamos hablando de
Sistema de archivos NTFS. Es un sistema de almacenamiento de archivos empresas, necesitamos mucha seguridad
que incorpora seguridad: slo los usuarios autorizados pueden acceder a
los archivos. Windows NT tambin incluye soporte para FAT (aunque no
para FAT32) y HPFS (sistema de archivos de OS/2). Commented [10]: Aqu se almacenan los archivos de
Tolerancia a fallos. Windows NT incorpora mecanismos para seguir manera segura ya que no todos tienen autorizacin
para verlos.
funcionando aun en presencia de fallos. Incluye soporte para RAID
(Redundant Array of Inexpensive Disk) que impide la prdida de datos
aunque falle uno de los discos duros del ordenador. Commented [11]: Aunque el equipo presente fallos,
esto impide que no haya prdida de datos.
Windows NT tiene una versin diseada para los puestos de trabajo (Windows NT
Workstation) y una familia de versiones para trabajar en los servidores (Windows
NT Server). En este Captulo estudiamos las versiones de servidor de Windows
NT. El estudio de la versin Workstation queda fuera de las pretensiones del
Curso: en su lugar hemos estudiado Windows 98 como cliente de red. Commented [12]: Windows NT cuenta con una
versin para trabajo y otra para servidores, pero aqu
solamente se hablar del trabajo.
1- Primero que nada, tendremos que tener instalado VirtualBox,( como ya se haba
visto antes con anterioridad en temas pasados), una vez ubicado VirtualBox, lo
ejecutamos.
2
2- En archivo, seleccionamos la opcin importar servicio virtualizado, aqu
buscaremos el archivo que descargaremos de este LINK Windows 4.0:
http://www.mediafire.com/?96i85uire6g
4- Ahora, solo falta seguir las instrucciones de instalacin y una vez terminada nos
dar la bienvenida al escritorio tpico de Windows NT
3
5- Y como podemos observar en MI PC se encuentran todos los programas y
archivos que caracterizan a windows.
4
2.3 Creacin de un servidor de usuarios y archivos
5
Los puestos de trabajo (Windows 98) se deben configurar para que inicien sesin
en el dominio de Windows NT que hemos configurado segn se explica en el
apartado Contrasea de red Microsoft y contrasea de Windows. El nombre del
dominio es el que hemos indicado durante la instalacin de Windows NT (se
puede consultar en las propiedades de Entorno de red, pestaa Identificacin) y es
distinto al nombre del servidor. Commented [18]: Se deben configurar los puestos de
trabajo de Windows NT para iniciar sesin en el
dominio de Windows NT.
Despus de la instalacin de Windows NT, hay varios usuarios que aparecen ya
creados en el Administrador de usuarios:
6
Invitado. Su finalidad es ofrecer acceso al sistema con unos mnimos
privilegios a usuarios espordicos. Es habitual desactivar esta cuenta ya
que no es posible su eliminacin. Commented [20]: El invitado ofrece acceso al
IUSR_nombre-del-servidor. Es la cuenta que utilizan los clientes que sistema.
acceden al servidor web configurado en Windows NT (Internet Information
Server). Slo se debe tener habilitada si el servidor est ejerciendo tareas
de servidor web. Commented [21]: Esta cuenta se usa para acceder al
servidor de web configurado.
Si bien es cierto que a cada usuario se le pueden asignar individualmente
permisos distintos, no suele ser lo ms prctico. En su lugar, se crean grupos de
usuarios que comparten los mismos privilegios (por ejemplo, todos los usuarios de
un mismo departamento de la empresa). La gestin de permisos se simplifica
considerablemente de esta forma. Commented [22]: En lugar de asignar permisos
individualmente a cada usuario, es recomendable
asignarlos por grupos de usuarios, y as simplificar la
Un grupo es un conjunto de usuarios con los mismos privilegios. Un grupo puede gestin de permisos.
ser de dos tipos:
7
Si ms adelante necesitamos dar de alta a algn alumno nuevo, bastar con
incluirlo en el grupo global "alumnos del dominio" y automticamente tendr los
mismos permisos de acceso que el resto de alumnos (podr acceder a la carpeta
"practicas"). Commented [27]: En este ejemplo se muestra cmo
dar de alta varios usuarios e incluirlos en un grupo
global, adems de crear un grupo local donde se
En el siguiente ejemplo vamos a crear un mayor nmero de grupos. Supongamos incluye el grupo global.
que tenemos dos grupos de alumnos: unos que asisten a clase por la maana y
otros que lo hacen por la tarde. Cada grupo tendr una carpeta distinta para
almacenar sus prcticas. Estar disponible, adems, una carpeta comn para
ambos grupos de alumnos. Finalmente, crearemos una carpeta pblica que sea
accesible no slo por los alumnos sino tambin por el resto de usuarios del
dominio.
Una vez que hemos creado los usuarios, grupos globales y locales es el momento
de disear una estructura de carpetas en el servidor para que los usuarios de la
red puedan almacenar sus archivos privados y compartir documentos con otros
usuarios. En los ejemplos anteriores ya hemos introducido el concepto de carpetas
de grupos; sin embargo, ahora vamos a verlo con ms detalle.
8
Las necesidades de almacenamiento de archivos en una red se suelen reducir a
tres tipos de carpetas para cada usuario: Commented [29]: A continuacin veremos la creacin
de carpetas para usuarios y grupos. Existen 3 tipos de
carpetas para cada usuarios.
Carpeta privada del usuario. nicamente tiene acceso el usuario
propietario de esa carpeta (ni siquiera los directores o supervisores de su
departamento). El usuario puede almacenar en esa carpeta los archivos
que considere oportunos con total privacidad. El administrador de la red
puede imponer un lmite de espacio para evitar que las carpetas de los
usuarios crezcan indefinidamente. Commented [30]: Esta carpeta es de acceso nico
Carpetas del grupo. Son una o ms carpetas utilizadas por el grupo para el usuario propietario de la misma. Adems se
pueden almacenar archivos con privacidad total.
(departamento de la empresa) para intercambiar datos. nicamente tienen
acceso los miembros de un determinado grupo de usuarios, pero no los
miembros de otros grupos. Por ejemplo, el departamento de diseo podra
tener una carpeta llamada "diseos" que almacenase los diseos que est
creando el departamento; y el departamento de contabilidad, una carpeta
llamada "cuentas" que almacenase las cuentas de la empresa. Commented [31]: Estas carpetas son de acceso
Carpetas pblicas. Son una o ms carpetas que estn a disposicin de grupal, es decir, noms cierto grupo de usuario tiene
acceso a esta.
todos los usuarios de la red. Por ejemplo, una carpeta llamada "circulares"
que incluyese documentos de inters para todos los trabajadores de la
empresa. Commented [32]: Todos los usuarios tienen acceso a
ellas.
Cmo organizar las carpetas en el disco duro del servidor? Es recomendable que
se almacenen en una particin NTFS para disponer de seguridad. Las particiones
FAT no son las ms indicadas puesto que no permiten la configuracin de
permisos locales de acceso aunque s permisos a la hora de compartir carpetas en
la red. Este punto lo estudiaremos detenidamente ms abajo.
Las nicas carpetas que se comparten son las del ltimo nivel (nunca las carpetas
"compartir", "usuarios" o "grupos"); en concreto, las carpetas "alumnos",
"maanas", "tardes", "publico", "aladino", "fulanito" y "menganito". Cada una de
estas carpetas tendr unos permisos de acceso distintos. Lo habitual es dar
permiso de control total al propietario de la carpeta (ya sea el usuario o un grupo
9
local) en Compartir y control total a todos en Seguridad. En el caso de la carpeta
"publico" daremos control total al grupo "usuarios" en Compartir. Los permisos se
asignan accediendo a las propiedades de la carpeta. Obsrvese que las pestaas
Compartir y Seguridad pueden tener permisos distintos. Veamos cmo quedaran
los permisos de la carpeta "alumnos". Podemos seguir este mismo esquema para
el resto de carpetas. Commented [34]: Solamente se comparten las
carpetas del ltimo nivel. Los permisos se asignan
accediendo a las propiedades de la carpeta.
10
11
Diferencia entre los permisos de Compartir y de Seguridad
Qu permisos necesitamos?
Para poder acceder a un recurso remoto, tenemos que tener permisos tanto
en Compartir como en Seguridad. Commented [37]: Se necesitan ambos permisos.
Para poder acceder a un recurso local, basta con que tengamos permisos
en Seguridad (no importa lo que haya en Compartir). Commented [38]: Solamente es necesario el permiso
en seguridad.
Forma de proceder:
12
Si en el servidor NT slo inicia sesin local el administrador, podemos dejar
el permiso de control total para todos en Seguridad y usar slo la pestaa
Compartir (as es como lo hemos utilizado en el ejemplo anterior y es el
caso ms usual). Commented [39]: Si el administrador solamente inicia
Si otros usuarios, aparte del administrador, inician sesin local en el sesin local, podemos dejas el permiso de control total
para todos en seguridad.
servidor, tenemos que establecer permisos en Seguridad. Compartir podra
dejarse con control total a todos. Commented [40]: Si otros usuarios tambin inician
sesin local, se deben establecer permisos.
Los archivos de inicio de sesin son una serie de comandos que se ejecutan cada
vez que un usuario inicia sesin en su puesto de trabajo. Su mayor utilidad es la
conexin a las unidades de red del usuario. De esta forma conseguimos que cada
usuario vea siempre sus unidades de red independientemente del puesto
(Windows 98) en el que inicie sesin (carpeta del usuario (U:), carpeta del grupo
(G:) y carpeta pblica (P:)) evitndole la incmoda tarea de buscar los recursos
compartidos sobre los que tiene permisos en Entorno de red. Commented [41]: Los archivos de inicio de sesin se
ejecutan cuando un usuario inicia sesin en su lugar
de trabajo. Es til principalmente porque permite que
Los archivos de inicio de sesin se almacenan en la carpeta los usuarios vean sus unidades de red
\winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos un independientemente.
archivo de inicio de sesin (script) distinto. Estos archivos siguen la sintaxis de los
archivos por lotes de MS-DOS. Se pueden crear con cualquier editor de textos,
incluido el Bloc de notas. El siguiente script para el usuario menganito se puede
utilizar como esquema (lo llamaremos "menganito.bat"):
@echo off
echo **************************************
echo Hola Menganito, bienvenido a Minerva
echo Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico Commented [42]: Estos archivos se almacenan en
una carpeta del servidor, y se crea un archivo de inicio
de sesin distinto para cada usuario.
En el ejemplo anterior, "minerva" es el nombre del servidor y "menganito", "tardes"
y "publico", recursos compartidos del servidor "minerva". Este archivo generar en
Mi PC las unidades de red U:, G: y P: segn se indica en el script, cada vez que el
usuario Menganito inicie sesin en cualquier Windows 98 de la red. Commented [43]: El archivo de inicio de sesin
genera diferentes unidades en Mi PC cuando el
usuario inicia sesin.
Una vez creados los archivos de inicio de sesin tenemos que asociar cada uno
de ellos a cada usuario. Esto se realiza escribiendo el nombre del script en el
13
cuadro Archivo de comandos de inicio de sesin de las propiedades de cada
usuario del Administrador de usuarios (botn Perfil), segn se muestra en la
siguiente imagen: Commented [44]: Cuando se crean los archivos de
inicio de sesin, se tienen que asociar escribiendo el
nombre del script en el archivo de comandos de inicio
de sesin.
Concepto de dominio
Hasta ahora no hemos dado una definicin formal de dominio; sin embargo,
hemos tenido la nocin intuitiva de que un dominio es la estructura de recursos y
usuarios que utilizan las redes de Windows NT. Podemos definir dominio como
una coleccin de equipos que comparten una base de datos de directorio comn
(SAM). Cada usuario tiene que validarse en el dominio para poder acceder a sus
recursos mediante un nombre de usuario y contrasea que le asignar el
administrador. Los servidores del dominio ofrecen recursos y servicios a los
usuarios (clientes) de su dominio. Commented [45]: Un dominio es cuando un grupo de
computadoras comparten una base de datos de
directorio.
Lo habitual es tener un solo dominio en cada red. Sin embargo, por motivos
organizativos en ocasiones es interesante utilizar varios dominios interconectados
entre s. Esto lo veremos ms adelante cuando tratemos las relaciones de
14
confianza. El caso ms sencillo es un solo dominio y un solo servidor en el
dominio. Sin embargo, en un mismo dominio pueden coexistir distintos servidores. Commented [46]: Normalmente se tiene un dominio
en cada red con un servidor, pero pueden coexistir
distintos servidores.
15
1. En el controlador principal del dominio A, incluimos B en el cuadro Dominios
de confianza.
2. En el controlador principal del dominio B, incluimos A en el cuadro Dominios
en los que se confa.
Modelos de dominios
net send /users El servidor se apagar en 10 minutos. Por favor, vaya guardando
sus documentos. Commented [50]: Windows NT permite mandar
mensajes a otros usuarios de la red, y se pueden
enviar a un slo usuario a todos los usuarios de un
dominio.
18
Las estadsticas de uso de WINS se pueden consultar desde Herramientas
administrativas / Administrador de WINS. Commented [52]: Para instalar el servidor WINS slo
se agrega el servicio "Servidor de Nombres de Internet
para Windows.
Configuracin de los clientes WINS:
19
Instalacin y configuracin del servidor DHCP:
20
5. Establecer las opciones del mbito en el men Opciones DHCP / mbito.
En la imagen anterior se muestran las opciones tpicas de configuracin (3
= puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS,
46 = tipo de nodo de resolucin de nombres NetBIOS).
Nota: El tipo de nodo 0x8 es el conocido como nodo hbrido. Significa que los
clientes tratarn de resolver cada nombre en primer lugar mediante un servidor
WINS y, si no lo consiguieran, mediante un broadcasting a la red. Es el nodo
recomendado para la mayora de las configuraciones. Commented [55]: aqui podemos ver los pasas que se
requieren para llevar acabo la instalacion yfiguracion
de un servidor DHCP
Configuracin de los clientes DHCP:
21
Commented [56]: La configuracin de los clientes es
la predeterminada despus de instalar el protocolo
TCP/IP
Las direcciones IP se pueden reservar para conseguir que cada host tome
siempre la misma direccin IP. Esto permite rastrear los movimientos de cada host
en la red y es recomendable su utilizacin por motivos de seguridad. Las reservas
se hacen desde el men mbito / Agregar reservas. Cada host se identifica
mediante la direccin fsica de su tarjeta de red. Este nmero se debe introducir en
el cuadro "Identificador nico" como una secuencia de 12 caracteres sin utilizar
ningn separador entre cada byte. Commented [57]: Si se reservan las direcciones IP, se
puede conseguir que cada host tome siempre la misma
direccin IP. Se recomienda su utilizacin por motivos
Obsrvese que la configuracin DHCP se asigna a los clientes durante un de seguridad.
determinado periodo de tiempo (llamado concesin o permiso). Durante ese
tiempo el cliente no requiere realizar conexiones al servidor DHCP (el servidor
podra estar incluso apagado y el cliente conservara toda su configuracin). Antes
de que el permiso caduque, el cliente renovar automticamente su configuracin
preguntando al servidor DHCP.
Seguridad en redes
Sus vas de propagacin son las clsicas del software: disquetes, CD-ROMs,
discos ZIP, copia de archivos por la red, descarga de un archivo por FTP o HTTP,
adjunto de correo electrnico, etc. Sin embargo, las estadsticas demuestran que
la principal va de infeccin de virus es el correo electrnico; concretamente, los
archivos adjuntos del correo. Debemos extremar las precauciones cuando
recibamos un correo electrnico con un archivo adjunto.
Cmo podemos proteger nuestra red de virus? Bsicamente por dos frentes:
mediante una adecuada formacin de los usuarios (prevencin) y mediante
programas antivirus (deteccin y desinfeccin). La primera forma es la ms
eficiente puesto que es aplicable tanto para virus conocidos como desconocidos. Commented [59]: En este caso nos da una
introduccin a lo que son los virus, programa que tu
objetivo es deteriorar, adquirir o estropear nuestro
equipo. las maneras mas fciles de propagar un virus
son mediante equipos externos o descargar contenido
Formacin de los usuarios de Internet de 3ros
Saben los usuarios de nuestra empresa lo que no deben hacer? Saben que si
abren un archivo ejecutable desde su puesto de trabajo pueden comprometer la
seguridad de toda la empresa? La formacin de los usuarios, especialmente
aquellos que tengan acceso a Internet en sus puestos, es lo primero que tenemos
que tener en cuenta como administradores de una red.
23
Los documentos de Office pueden contener virus de macro (archivos .DOC
y .XLS principalmente). Se deben comprobar siempre con un programa
antivirus antes de abrirlos.
Los archivos ejecutables recibidos por correo electrnico no se deben abrir
bajo ningn concepto. Los formatos ms habituales son .EXE, .COM, .VBS,
.PIF y .BAT.
En caso de duda es preferible no abrir el archivo adjunto, aunque provenga
de un remitente conocido. Los archivos ms sospechosos son los que
tienen un nombre gancho para engaar a usuarios ingenuos: LOVE-
LETTER-FOR-YOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de
archivos, en un 90% de probabilidades, no contienen lo esperado o, si lo
contienen, tambin incluyen un regalito malicioso oculto para el usuario. Los
nuevos virus tratan de aprovecharse de la ignorancia de los usuarios para
hacerles creer, mediante tcnicas de ingeniera social, que cierto correo con
datos interesantes se lo est enviando un amigo suyo cuando, en realidad,
son virus disfrazados.
Importante: Para que las extensiones de los archivos sean visibles debemos
desactivar la casilla "Ocultar extensiones para los tipos de archivos conocidos"
situada en Mi PC / men Ver / Opciones de carpeta / Ver. La situacin de esta
opcin puede variar dependiendo de la versin de Windows e Internet Explorer
que estemos utilizando. Buena parte de los virus se aprovechan de que los
usuarios tienen esta casilla marcada. Por ejemplo, si recibimos el archivo "LOVE-
LETTER-FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos nicamente el
nombre "LOVE-LETTER-FOR-YOU.TXT" y creeremos equivocadamente que se
trata de un inofensivo archivo de texto, cuando en realidad es un archivo
ejecutable (.VBS).
24
olvidarnos de los virus HTML: el riesgo que suponen es tan bajo que no merece la
pena que nos preocupemos por ellos.
Cmo podemos configurar los puestos de trabajo para reducir las situaciones de
riesgo en el correo electrnico?
Antivirus
Dnde colocar el antivirus? Se puede situar en los clientes y/o en los servidores:
25
En los servidores. Teniendo en cuenta que el correo es la principal va de
propagacin de virus, el servidor ms crucial es el de correo. Existen en el
mercado programas antivirus diseados para acoplarse a los principales
servidores de correo (para Exchange Server, por ejemplo). Tngase en
cuenta que el servidor de correo nunca va a ser infectado por mucho que
est reenviando virus puesto que estos programas nunca llegan a
ejecutarse en el servidor. La misin de un antivirus en un servidor de correo
es proteger la red interna de virus externos recibidos por correo. Los
usuarios de la red nunca recibirn virus en sus cuentas de correo (al
menos, en las que dependen de este servidor, nada puede hacer con
cuentas de correo gratuitas tipo Hotmail). Como inconveniente de la
instalacin del antivirus est la sobrecarga de trabajo en el servidor as
como el elevado coste del software. Debemos hacer un balance de los
factores coste, potencia del servidor y necesidad real de esta proteccin.
26
Resumiendo: como norma general debemos instalar un antivirus residente en
cada puesto de la red (pero no en los servidores). Si se trata de una red de
dimensiones considerables y el presupuesto lo permite, podemos considerar
tambin la instalacin de un antivirus especfico para el servidor de correo de la
empresa.
1. Formar al usuario para que distinga las situaciones que entraan riesgo
para la empresa de las que no. Es importante comprender que un slo
equipo infectado puede propagar la infeccin al resto de equipos de la red.
2. Mantener los antivirus de todos los puestos actualizados. La actualizacin
debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de
actualizar los antivirus puestos por puesto, se debe buscar un sistema que
permita la actualizacin de forma centralizada.
3. Realizar copias de seguridad diarias o semanales de los documentos de los
usuarios almacenados en el servidor de archivos y mantener un historial de
copias. Los usuarios deben ser conscientes de que los nicos datos que
estarn protegidos sern los que estn almacenados en el servidor pero no
los que residan en sus equipos locales. Las copias de seguridad se suelen
dejar programadas para realizarse durante la noche. El historial de copias
se consigue utilizando un juego de cintas (las hay disponibles de varias
decenas de GB) que se van utilizando de forma rotativa.. Por ejemplo, con
un juego de 7 cintas tendramos siempre un historial de 7 copias de
seguridad anteriores. Por supuesto, las cintas deben guardarse en lugar
seguro y, a ser posible, lo ms alejadas fsicamente del servidor con objeto
de evitar la destruccin de todos los datos en caso de desastres naturales:
inundaciones, incendios, etc.
4. Evitar la comparticin de unidades y carpetas en los ordenadores cliente.
Todos los recursos compartidos deben estar en los servidores, nunca en los
ordenadores cliente. De esta forma se evitan propagaciones masivas de
virus entre los puestos de trabajo.
27
Pero, qu es exactamente un caballo de Troya? Es un programa que tiene una
apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto, se
trata de un programa con dos mdulos: un mdulo servidor y otro cliente. El
atacante se instala, con fines nada ticos, el mdulo cliente en su ordenador. El
mdulo servidor es el troyano propiamente dicho que se enva a la vctima bajo
alguna apariencia completamente inofensiva (unas fotos, un juego, etc.). Una vez
que la vctima cae en la trampa y ejecuta el archivo ste se instala en su
ordenador. A partir de ese momento, el atacante puede monitorizar todo lo que la
vctima hace en su ordenador incluyendo el robo de contraseas y documentos
privados.
Nota: Se puede averiguar a quin pertenece una direccin IP mediante los sitios
whois disponibles en la Red (ver www.saulo.net/links). El significado de cada
puerto se estudia en el Curso de protocolos TCP/IP.
Los antivirus no son los programas ms efectivos para enfrentarse a los caballos
de Troya. En su lugar, es ms recomendable la utilizacin de cortafuegos o firewall
que nos avisar cuando detecte el establecimiento de una conexin TCP
sospechosa o, simplemente, la rechazar. En las redes suele ser suficiente con la
colocacin de un cortafuegos justo en la salida de Internet. Ms adelante se
estudian los cortafuegos. Commented [63]: Se pueden detectar con el comando
NETSTAT-A. Hay diversas formas de notar la
presencia de troyanos. Los antivirus no son muy
efectivos para enfrentarse a los troyanos, es preferible
el uso de un cortafuegos que avisa cuando se detecte
3.2 Ley de los mnimos privilegios un a conexin sospechosa.
Un servidor con pocos servicios habilitados tiene las siguientes ventajas: funciona
ms rpido puesto que tiene menos tareas a las que atender, consume menos
memoria y hace un menor uso del procesador, produce menos errores (hay menos
cosas que pueden fallar y menos mdulos que puedan interferir entre s), es ms
resistente a agujeros de seguridad (slo le afectan los agujeros de seguridad de
los servicios que tiene activos) y, por ltimo, tiene un mantenimiento ms sencillo
(slo hay que instalar los parches de seguridad de los servicios que tiene
habilitados). La gestin de servicios en Windows NT se realiza desde Panel de
control / Servicios.
Nota: En los ordenadores Windows 9x/Me los puertos se abren porque algn
programa los est utilizando. Pulsando Ctrl+Alt+Supr podemos ver la lista de
29
programas activos en ese momento. Mediante la orden MSCONFIG, pestaa
Inicio se listan todos los programas que se ejecutan al iniciarse el sistema
operativo. Una vez que hemos localizado el programa que abre un determinado
puerto que queremos cerrar, basta con desmarcarlo en la lista anterior. En el
prximo reinicio el puerto permanecer cerrado. El cierre de los puertos NetBIOS
se explica en el apartado Cmo deshabilitar NetBIOS en Windows 98.
Si bien los servidores son las mquinas ms sensibles de la red y a las que
debemos prestar una mayor atencin, tampoco debemos olvidarnos de los
30
clientes. Los puestos de trabajo deben contener al menos todas las
actualizaciones crticas que recomienda www.windowsupdate.com Commented [66]: Los parches de seguridad son muy
importantes, ya que como bien dice en el texto, son
errores que no se pudieron detectar, es por eso que es
mejor estar en constante actualizacin o al pendiente
de los servidores por si suben parches para dichos
errores
En este apartado vamos a revisar algunos puntos que debemos tener en cuenta a
la hora de disear redes seguras.
Las contraseas se deben renovar peridicamente (cada dos meses, por ejemplo)
por si alguna hubiese podido ser descubierta. Adems, se deben utilizar
contraseas distintas para cada servicio de la red. Por ejemplo, sera una
temeridad utilizar la misma contrasea para el correo electrnico que para la
cuenta de administrador de un servidor. Por qu? Sencillamente porque una
contrasea de correo no viaja encriptada por la red y podra ser descubierta
fcilmente.
Todo lo anterior son ideas que nos pueden guiar durante el diseo de una red
segura. Cada caso hay que estudiarlo por separado evaluando los factores coste,
nivel de seguridad requerido, comodidad de los usuarios y facilidad de
administracin. Commented [69]: Esto es muy importante, ya que no
queremos que todos tengan la IP original, como en
este ejemplo muestra, en una empresa es muy
importante esto.
33
34