Adm Sis Ope de Red

Administración de Sistemas Operativos de Red

2

CARRERAS PROFESIONALES

CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO

3

CIBERTEC CARRERAS PROFESIONALES

ÍNDICE

Presentación 5

Red de contenidos 6

Unidad de aprendizaje 1 Implementación del servicio FTP y RRAS

TEMA 1 : Servicio FTP. 7

TEMA 2 : Servicio RRAS. 15

TEMA 3 : Traducción de Dirección de Red.

31

Unidad de aprendizaje 2 Redes Virtuales Privadas

TEMA 4 : Redes Virtuales Privadas. 37

Unidad de aprendizaje 3 Suite IPSec

TEMA 5 : IPSec. 57

Unidad de aprendizaje 4 Fundamentos de Seguridad de Red

TEMA 6 : Implementación de seguridad con GPOAccelerator. 100

TEMA 7 : Implementación de Microsoft Baseline Security Analyzer.

112

TEMA 8 : Asegurando los servidores Web. 120

TEMA 9 : Administración de Windows Server Update Service. 147

Unidad de aprendizaje 5 Terminal Server

TEMA 10 : Concepto de Terminal Server. 178

Unidad de aprendizaje 6 Administración Avanzada del Directorio Activo

TEMA 11 : Servidor RODC. 184

TEMA 12 : Introducción a Windows Server Core. 195

4


CIBERTEC


5


PRESENTACIÓN

Sistemas Operativos es un curso que pertenece a la línea de infraestructura TI y

se dicta en las carreras de Redes y Comunicaciones. Brinda un conjunto de

conocimientos teóricos y prácticos que permite a los alumnos administrar la

plataforma Windows Server 2008.

El manual para el curso ha sido diseñado bajo la modalidad de unidades de

aprendizaje, las que se desarrollan durante semanas determinadas. En cada una

de ellas, hallará los logros, que debe alcanzar al final de la unidad; el tema tratado,

el cual será ampliamente desarrollado; y los contenidos, que debe desarrollar, es

decir, los subtemas. Por último, encontrará las actividades que deberá desarrollar

en cada sesión, que le permitirán reforzar lo aprendido en la clase.

El curso es, eminentemente, práctico: construido como un instrumento de trabajo.

Por ello, la participación activa de los alumnos es fundamental durante el

desarrollo de este curso, a fin de obtener la experiencia, práctica y suficiencia

teórica que se necesita para un eficiente desenvolvimiento profesional. Por lo

mismo, contará con el apoyo y guía de su profesor, quien lo acompañará en el

desarrollo del presente manual.

6


CIBERTEC

RED DE CONTENIDOS

Sistemas Operativos

Implementación del Servicio FTP

y RRAS

Servicio FTP

NAT Redes Privadas

Virtuales

IPSec

Sistemas Operativos

Implementación de Seguridad

GPOAccelerator

Implementación

de MBSA

Asegurando Servidores

Web

Terminal

Server

Servidor RODC

Servidor

Core

Acceso Remoto y

Seguridad de la

Red

Proteger el Tráfico de Red

mediante IPSec

Fundamentos de Seguridad de

Red

Terminal Server Administración Avanzada del

Directorio Activo

Servicio RRAS

Administración

de WSUS


7


IMPLEMENTACIÓN DEL SERVICIO FTP Y RRAS

LOGRO DE LA UNIDAD DE APRENDIZAJE

Al término de la unidad, los alumnos, podrán implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008.

Al término de la unidad, los alumnos, podrán transferir archivos, implementar ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO

Servicio FTP.

Servicio RRAS.

Traducción de Direcciones de Red.

ACTIVIDADES PROPUESTAS

Los alumnos eligen que tipo de servidor FTP deben implementar en la red.

Los alumnos configuran el Servidor FTP anónimo y autentificado.

Los alumnos descargan archivos desde el Servidor SFTP usando clientes FTPs.

UNIDAD DE

APRENDIZAJE

1

TEMA

1

8


CIBERTEC

1. SERVICIO FTP

1.1 WINDOWS 2008 FTP SERVER

Este servidor FTP trabaja usando el protocolo FTP, que forma parte del pila TCP/IP, diseñado para transferir archivos entre dos computadores en Internet. Ambos computadores deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP, que ejecuta el servicio FTP. Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del servidor FTP, copiar o enviar archivos al servidor FTP. Un servidor FTP se asemeja a un servidor HTTP (es decir, un servidor Web) en que se puede comunicar con él mediante un protocolo de Internet. Sin embargo, un servidor FTP no ejecuta las páginas Web; sólo envía y recibe los archivos a los equipos remotos. Puede configurar Internet Information Services (IIS) para funcionar como un servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivos desde o hacia el servidor FTP. Por ejemplo, puede configurar IIS para que actúe como un servidor FTP si está alojando sitios Web en el equipo y desea que usuarios remotos puedan actualizar el contenido de sus Sitios Webs.

1.2 TIPOS DE ACCESO AL SERVIDOR FTP

1.2.1 Servidor FTP anónimo

Los Servidores FTP anónimos le permiten al usuario ingresar al servidor FTP sin tener una cuenta creada en el servidor, ni contraseña que lo identifiquen. Usualmente, el nombre de usuario para conectarse de forma anónima es "anonymous". Los servidores FTP anónimos ofrecen sus servicios, de forma libre, a cualquier usuario, sin necesidad de una cuenta de usuario. Es una forma cómoda de que múltiples usuarios puedan acceder a los archivos del FTP, sin que el administrador deba crear cuentas para cada uno. En general, entrar a un servidor FTP de forma anónima tiene ciertas limitaciones (menos privilegios) que un usuario normal. Por ejemplo, sólo se pueden descargar archivos, y no se puede subir o modificar archivos.

1.2.2 Servidor FTP autenticado.

El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir archivos hacia el servidor para luego, hacerlos públicos o privados. Por ejemplo, si queremos actualizar páginas webs de un Sitio Web, habría que enviarlas usando el servicio FTP. Pero, por otro lado, no nos gustaría que cualquiera pudiese acceder a ellas para cambiarlas o eliminarlas. Por


9


eso el FTP autenticado, solo permite el acceso por medio de un usuario y contraseña.

1.3 TIPOS DE MODOS DEL SITIO FTP

IIS introduce 3 modos para sitio FTP: 1.3.1 Modo de usuario sin aislamiento No aísla usuarios, este modo no habilita aislamiento de usuario FTP y funciona en todas las versiones anteriores de IIS. 1.3.2 Modo de usuario con aislamiento Este modo autentifica a los usuarios contra cuentas locales o de dominio para que puedan tener acceso al directorio principal que coincide con su nombre de usuario. Todos los directorios particulares de los usuarios se encuentran debajo de un directorio raíz único FTP donde se coloca y donde se limita cada usuario a su directorio particular. A los usuarios no se les permite desplazarse fuera de su directorio particular. 1.3.3 Modo de usuario con aislamiento integrado con el Directorio Activo Los usuarios aislados que utilizan Directorio Activo, autentifican sus credenciales de usuario contra un contenedor correspondiente del Directorio Activo, se requiere grandes cantidades de tiempo y de procesamiento.

2. FTP SERVER SOBRE SSL Microsoft ha creado un nuevo Servicio FTP que ha sido completamente reescrito para Windows Server 2008. Este Servicio FTP incorpora varias nuevas características que permiten a los administradores publicar el contenido mucho mejor que antes y ofrece mayor seguridad para los administradores. Una de las características es FTP sobre Secure Sockets Layer (SSL), que permite sesiones encriptadas entre el cliente FTP y el Servidor. En este tema vera como instalar el Servidor FTP, Configurar el Site FTP, Configurar el Site para usar SSL con la nueva herramienta administrativa IIS 7.0 Services manager.

3. INSTALACIÓN DEL SERVIDOR FTP 7.5 3.1. Instale IIS 7.0 y la consola Internet Information Services Manager. 3.2 Descargue e instale el nuevo Servicio FTP desde http://www.iis.net

4. CONFIGURACIÓN DEL SERVIDOR FTP 7.5 CON AISLAMIENTO DE USUARIO SOBRE SSL.

4.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS 1. Ejecute desde el símbolo del sistema el siguiente comando: net user /add jurbina P@ssw0rd net user /add dmartinez P@ssw0rd

http://www.iis.net/

10


CIBERTEC

4.2 CREA LA SIGUIENTE ESTRUCTURA DE DIRECTORIOS

4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL. 1. Inicie Internet Information Services 7.0 Manager.

2. Seleccione el servidor, luego haga 2 clics en Server Certificates, del menú Actions seleccione la opción Create Self-Signed CertificateSites. 3. En la ventana Specify Friendly Name escriba el nombre del certificado srv- nps-01 y luego clic en Ok 4.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 MANAGER. 1. Inicie Internet Information Services 7.0 Manager.


11


2. Despliegue el nodo del servidor, seleccione Sites, haga clic-derecho sobre Add FTP Site.

3. En la ventana Site Information escriba el nombre del FTP Site name y ubique el directorio FTP_Site, luego clic en Next.

4. En la ventana Binding and SSL Settings, seleccione Allow SSL, en la opción SSL Certificate:, seleccione srv-nps-01 y luego clic en Next.

5. En la ventana Authentication and Authorization Information, seleccione Authentication Basic y en Authorization seleccione All Users con los permisos de Lectura y Escritura , luego clic en Finish.

4.5 Configura el aislamiento de usuario y la autorización de acceso para los usuarios Juan Urbina y Daniel Martinez. 1. Seleccione el Site FTP Contoso, en el panel de la derecha haga 2 clics en FTP User Isolation y configure las opciones que ve en la imagen.

12


CIBERTEC

2. Seleccione el directorio FTP de jurbina y luego clic en FTP Authorization Rules, seleccione la regla y haga clic en Edit. 3. En la ventana Edit Allow Authorization Rule, seleccione Specified users y escriba jurbina. Haga el mismo procedimiento para el usuario dmartinez.

5. CONFIGURACIÓN DEL CLIENTE FTP FiLeZiLLA 1. Ejecute el programa FileZilla, haga clic en el menú File, seleccione Site Manager, en la ventana Site Manager, haga clic en New Site y escribe jurbina. 2. Configure los siguientes datos:

Host: srv-nps-01 Servertype: FTPES – FTP over explicit TLS/SSL User: jurbina Password: P@ssw0rd


13


3. Haga clic en Connect y acepte el certificado digital.

14


CIBERTEC

Resumen

El Servidor FTP permite que los usuarios puedan transmitir de forma rápida

información a través de la Internet.

El servidor FTP anónimo solo permite la descarga de archivos.

El Servidor FTP autenticado permite la descarga y envio de archivos.

El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con aislamiento integrado al Directorio Activo.

Los clientes FTPs pueden ser de modo gráfico o texto.

Para establecer una conexión con el Servidor FTP desde el símbolo del Sistema escribe FTP Dirección_IP.

Para implementar el Servidor FTP sobre SSL debe actualizar el IIS 7.0 a la versión

IIS 7.5

El Servidor FTP sobre SSL solo soporta clientes FTP de entorno gráfico.

Si desea saber más acerca de estos temas, puede consultar las siguientes páginas. http://support.microsoft.com/kb/555018/en-us

En esta página, hallará información de los modos de aislamiento que soporta el Servidor FTP. http://es.wikipedia.org/wiki/FTPS En esta página, hallará información de los tipos más comunes de FTP/SSL.

http://support.microsoft.com/kb/555018/en-us

http://es.wikipedia.org/wiki/FTPS


15




Al término de la unidad, los alumnos podrán implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008.

Al término de la unidad, los alumnos podrán transferir archivos, implementar ruteo dentro de la red y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO

Windows 2008 FTP Server.

Fundamentos del Servicio RRAS.

Introducción a NAT.


Los alumnos instalan el servicio RRAS de Windows 2008 Server.

Los alumnos configuran el servicio RRAS como Router.

Los alumnos deshabilitan el enrutamiento.

UNIDAD DE

APRENDIZAJE

1

TEMA

2

16


CIBERTEC

1. FUNDAMENTOS DEL SERVICIO RRAS

El servicio enrutamiento y acceso remoto es un enrutador de software provisto de toda clase de características y una plataforma abierta para el enrutamiento e interconexión de redes. Ofrece servicios de enrutamiento a empresas en entornos de red de área local (LAN) y extensa (WAN) o a través de Internet mediante conexiones seguras de red privada virtual (VPN).

Una ventaja del servicio de Enrutamiento y acceso remoto es la integración con la familia Microsoft® Windows Server 2008. Este servicio proporciona muchas características de gran rentabilidad y funciona con una gran variedad de plataformas de hardware y numerosos adaptadores de red. Puede ampliarse mediante las interfaces de programación de aplicaciones (API) que pueden utilizar los programadores para crear soluciones personalizadas de conexión por red, así como los nuevos fabricantes para participar en el negocio cada vez mayor de interconexión de redes abiertas. El servidor con Enrutamiento y acceso remoto está diseñado para ser usado por administradores de sistema familiarizados con los protocolos y servicios de enrutamiento. Mediante el enrutamiento y acceso remoto, los administradores pueden ver y administrar enrutadores y servidores de acceso remoto en sus redes.

Enrutamiento y Acceso remoto proporciona servicios de enrutamiento de multiprotocolo LAN a LAN, LAN a WAN, red privada virtual (VPN) y traducción de direcciones de red (NAT). Enrutamiento y acceso remoto está destinado a administradores del sistema que ya estén familiarizados con protocolos y servicios de enrutamiento, y con protocolos enrutables como TCP/IP y AppleTalk.

1.1 REQUISITOS DE HARDWARE

Para poder configurar Enrutamiento y acceso remoto como un enrutador, todo el hardware debe estar instalado y en funcionamiento. Dependiendo de la red y de sus requisitos, quizá necesite el hardware siguiente:

• Un adaptador LAN o WAN con controlador WHQL firmado. • Uno o más módems compatibles y un puerto COM disponible. • Una tarjeta adaptadora de múltiples puertos, para conseguir un

rendimiento adecuado con múltiples conexiones remotas. • Una tarjeta inteligente X.25 (si va a utilizar una red X.25). • Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una línea ISDN

(RDSI)). • Una tarjeta inteligente X.25 (si va a utilizar una red X.25). • Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una línea ISDN

(RDSI)).


17


1.2 ESCENARIO DE ENRUTAMIENTO

1.2.1 Conexión enrutada entre 2 LANs

La ilustración siguiente muestra una configuración de red simple con un servidor que ejecuta Enrutamiento y acceso remoto que conecta dos segmentos de LAN (redes A y B). En esta configuración, los protocolos de enrutamiento no son necesarios porque el enrutador está conectado a todas las redes a las que necesita enrutar paquetes.

1.2.2 Conexión enrutada con Internet

Este escenario describe una red de oficina pequeña o doméstica (SOHO, Small Office Home Office) que establece conexión con Internet mediante una conexión enrutada. Una red SOHO tiene las siguientes características: Un segmento de red. Un único protocolo: TCP/IP Conexiones de marcado a petición o de vínculo dedicado con el

proveedor de servicios Internet (ISP).

En la siguiente ilustración, se muestra un ejemplo de una red SOHO.

El enrutador de Windows 2008 está configurado con un adaptador de red para los medios utilizados en la red doméstica (por ejemplo, Ethernet), y un

18


CIBERTEC

adaptador ISDN (RDSI) o un módem analógico. Puede utilizar una línea concedida u otra tecnología de conexión permanente, como xDSL y módems por cable, pero este escenario describe la configuración más usual que utiliza un vínculo de acceso telefónico a un ISP local.

1.3 PROTOCOLOS DE ENRUTAMIENTO IP

En entornos de enrutamiento IP dinámicos, la información de enrutamiento IP se propaga mediante los protocolos de enrutamiento IP. Los dos protocolos de enrutamiento IP más comunes utilizados en intranets son el Protocolo de información de enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso más corta primero (OSPF, Open Shortest Path First ).

Puede ejecutar varios protocolos de enrutamiento en la misma intranet. En este caso, debe configurar qué protocolo de enrutamiento es el origen preferido de las rutas aprendidas mediante la configuración de niveles de preferencia. El protocolo de enrutamiento preferido constituye el origen de la ruta que se agrega a la tabla de enrutamiento, independientemente, de la métrica de la ruta aprendida. Por ejemplo, si la métrica de una ruta OSPF aprendida es 5 y la métrica de la ruta aprendida RIP correspondiente es 3, y se prefiere el protocolo de enrutamiento OSPF, la ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa por alto.

2. INSTALACIÓN DE ROUTING AND REMOTE ACCESS

SERVICES

2.1 PARA INSTALAR RRAS EN EL SERVER, REALIZA LOS SIGUIENTES PASOS:

1. Ejecute el Server Manager, clic en Roles, luego clic en Add Roles.


19


2. En la ventana Before You Begin, efectúe clic en Next.

3. En la ventana Select Server Roles, seleccione Network Policy and Access Services, y haga clic en Next.

4. En la ventana Network Policy and Access Services, haga clic en Next.

20


CIBERTEC

5. En la ventana Select Role Services, seleccione Routing and

Remote Access Services, haga clic en Next.

6. En la ventana Confirm Installation Selections, clic en Install, finalmente, clic en Close.


21


2.2 CONFIGURACIÓN DEL ROUTER

1. Ejecute Routing and Remote Access, clic derecho sobre el Servidor (Local), seleccione Configure and Enable Routing and Remote Access.

22


CIBERTEC

2. En el asistente de configuración de Routing and Remote Access Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Custom configuration, y haga clic en Next.


23


4. En la ventana Custom Configuration, seleccione LAN routing, haga clic en Next.

5. En la ventana Completing the Routing and Remote Access Server Setup Wizard, clic en Finish.

24


CIBERTEC

6. En la ventana Start the service, clic en Start.

2.2.1 Incorpora una interface de enrutamiento (opcional)

1. Abra Routing and Remote Access. 2. Despliegue en el Servidor (local), luego despliegue IPv4, clic derecho sobre General, y seleccione New Interface.


25


1. En la ventana New Interface for IP, seleccione la interface correcta, en este caso Lan2.

4. En la ventana de propiedades Lan2, clic en ok.

2.2.2 Agregue un protocolo de enrutamiento IP (opcional)

1. Abra Routing and Remote Access. 2. Despliegue en el Servidor (Local), luego despliegue IPv4, clic derecho sobre General, y seleccione New Routing Protocol.

26


CIBERTEC

3. En la ventana New Routing Protocol, seleccione RIP Version luego clic en Ok. 4. Usted haga clic derecho sobre RIP, y seleccione New Interface.

5. En la ventana New Interface for RIP, seleccione la interface en la cual funcionara RIP, y luego 2 veces clic en Ok.


27


2.3 DESHABILITACIÓN DEL ENRUTAMIENTO.

1. Ejecute Routing and Remote Access. 2. En el árbol de la consola, haga clic derecho sobre su servidor. 3. Seleccione Disable Routing and Remote Access. 4. En la caja de diálogo emergente, pulse el botón Yes.

5. Usted puede observar que el enrutamiento ha quedado deshabilitado.

28


CIBERTEC

6. Cierre la herramienta Routing and Remote Access.


29


Resumen

El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008.

El Servicio RRAS brinda enrutamiento de protocolos a través de redes LAN, y WAN. El servicio RRAS nos permite implementar una infraestructura de VPN y NAT. La implementación de los servicios de RRAS necesita como mínimo 2 interfaces de

red.

Si desea saber más acerca de estos temas, puede consultar la siguiente página.

http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx

En esta página, hallará información de las nuevas características de Routing and

Remote Access en Windows Server 2008.

http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx

30


CIBERTEC


31




Al término de la unidad, los alumnos, podrán implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008.

Al término de la unidad, los alumnos, podrán transferir archivos, implementar ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows 2008.

TEMARIO

Windows 2008 FTP Server.

Fundamentos del Servicio RRAS.

Introducción a NAT.


Los alumnos configuran RRAS para brindar acceso a Internet a las computadoras de la red Interna.

Los alumnos habilitan el acceso a Internet usando NAT.

Los alumnos configuran el protocolo TCP/IP en la interface de red de los servidor y estaciones de trabajo.

UNIDAD DE

APRENDIZAJE

1

TEMA

3

32


CIBERTEC

1. INTRODUCCIÓN A NAT

En la actualidad más hogares y pequeñas empresas agregan equipos a la red y encuentran una herramienta, extremadamente, poderosa para compartir recursos. Una conexión a Internet es uno de los más preciados recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar una comoda, fácil administración, de la red casera o una pequeña empresa, los gateways de Internet están siendo implementados. Los gateways de Internet ofrecen NAT (Network address translation) para conectar múltiples computadoras a la Internet y compartir una sola dirección IP Pública.

2. FUNDAMENTOS DE NAT

La Traducción de Direcciones de Red (NAT) es un estándar IETF (Internet Engineering Task Force en español Grupo de Trabajo en Ingeniería de Internet) usado para permitir a múltiples computadoras de una red privada (direcciones privadas como 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) compartir una sola dirección IP Pública. NAT esta siendo implementado, porque las direcciones IPv4 públicas están siendo escasas.

3. IMPLEMENTACIÓN DE NAT

3.1 CONFIGURACIÓN EN EL SERVER

1. Clic en Start, seleccione Administrative Tools, y luego Routing and Remote Access.


33


2. En el asistente de configuración de Routing and Remote Access Server, haga clic en Next.

3. En la ventana de Configuration, seleccione Network address

translation, y haga clic en Next.

34


CIBERTEC

4. En la ventana de NAT Internet Connection, seleccione la interface que usará para conectarse a Internet, en este caso Wan, y haga clic en Next.

5. En la ventana Completing the Routing and Remote Access Server

Setup Wizard, lea el resumen de la configuración, y luego clic en Finish.


35


3.2 CONFIGURACIÓN EN EL CLIENTE

1. En la computadora cliente configure el TCP/IP como se ve en la imagen.

2. Ejecute Internet Explorer y trate de navegar por Internet, también puede realizar pruebas con el comando ping, tracert, etc.

36


CIBERTEC

Resumen

La implementación de NAT permite compartir el acceso a Internet. NAT permite que las computadoras que tienen direcciones IPs privadas acceden a

Internet usando una dirección IP Pública. El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que

no están expuestas en Internet. La implementación de NAT necesita 2 interfaces de red, una para la red interna y

otra para Internet.

Si desea saber más acerca de NAT, puede consultar la siguiente página.

http://www.faqs.org/rfcs/rfc1631.html

En esta página, hallará información detallada sobre NAT.

http://www.faqs.org/rfcs/rfc1631.html


37


Virtual Private Network (VPN) Server


Al término de la unidad, los alumnos, diseñar una Red Privada Virtual con Windows 2008 Server.

Al término de la unidad, los alumnos, podrán implementar el Servidor VPN, y permitir el acceso seguro desde Internet hacia los recursos de la red Interna.

Al término de la unidad, los alumnos, podrán configurar los clientes VNPs para acceder a los recursos de la red Interna.

TEMARIO

Introducción a las VPNs.


Los alumnos instalan, configuran, y administran el Servidor VPN.

Los alumnos configuran los clientes VPNs.

Los alumnos realizan y prueban conexiones seguras desde los clientes VPN hacia el Servidor VPN.

UNIDAD DE

APRENDIZAJE

2

TEMA

4

38


CIBERTEC

1. INTRODUCCIÓN A LAS VPNs

Una red privada virtual (VPN, Virtual Private Network) es la extensión de una red privada que incluye vínculos de redes compartidas o públicas como Internet. Con una red privada virtual, puede enviar datos entre dos computadores a través de una red compartida o pública de forma que emula un vínculo privado punto a punto. Las funciones de red privada virtual consisten en crear y configurar una red privada virtual. Para emular un vínculo punto a punto, los datos se encapsulan o empaquetan con un encabezado que proporciona la información de enrutamiento que permite a los datos recorrer la red compartida o pública hasta alcanzar su destino. Para emular un vínculo privado, los datos se cifran para asegurar la confidencialidad. Los paquetes interceptados en la red compartida o pública no se pueden descifrar si no se dispone de las claves de cifrado. El vínculo en el que se encapsulan y cifran los datos privados es una conexión de red privada virtual (VPN). La siguiente ilustración muestra el equivalente lógico de una conexión VPN.

Los usuarios que trabajan en casa o que están de viaje pueden usar conexiones VPN para establecer una conexión de acceso remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). La infraestructura exacta de la red


39


compartida o pública es irrelevante dado que, lógicamente, parece como si los datos se enviaran a través de un vínculo privado dedicado. Las organizaciones también pueden utilizar conexiones VPN para establecer conexiones enrutadas con oficinas alejadas, geográficamente, o con otras organizaciones a través de una red pública como Internet al mismo tiempo que realizan comunicaciones seguras. Una conexión VPN enrutada a través de Internet funciona como un vínculo de WAN dedicado. Gracias al acceso remoto y a las conexiones enrutadas, una organización puede utilizar conexiones VPN para realizar conexiones a larga distancia, o líneas concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP). En la familia Microsoft Windows 2008 hay tres tipos de tecnología VPN basada en el Protocolo punto a punto (PPP):

a. Protocolo de túnel punto a punto (PPTP)

PPTP utiliza métodos de autenticación PPP de nivel de usuario y Cifrado punto a punto de Microsoft (MPPE) para cifrar los datos. b. Protocolo de túnel de capa 2 (L2TP) con seguridad de protocolo

Internet (IPSec) L2TP utiliza métodos de autenticación PPP de nivel de usuario y certificados de nivel de equipo con IPSec para cifrar los datos, o IPsec en modo túnel, en el que IPsec proporciona encapsulación (sólo para el tráfico IP).

c. Protocolo de túnel de socket seguro (SSTP) SSTP es la nueva forma de túnel de VPN con características que permiten al tráfico pasar a través de los firewalls que bloquean el tráfico PPTP y L2TP. SSTP brinda un mecanismo para encapsular tráfico PPP sobre el canal SSL del protocolo HTTPS

2. ESCENARIOS PARA IMPLEMENTAR UNA VPN Mediante una conexión de red privada virtual (VPN) basada en Internet, puede ahorrar los gastos de llamadas telefónicas de larga distancia y a números 1-800, y aprovechar la disponibilidad de Internet.

2.1 ACCESO REMOTO A TRAVÉS DE INTERNET

En lugar de realizar una llamada de larga distancia o a un número 1-800 para conectar con un servidor de acceso a la red ( NAS, Network Access Server ) de la compañía o externo, los clientes de acceso remoto pueden llamar a un ISP local. Mediante la conexión física establecida con el ISP local, el cliente de acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de la organización. Una vez creada la conexión VPN, el cliente de acceso remoto puede tener acceso a los recursos de la intranet privada. La ilustración siguiente muestra el acceso remoto a través de Internet.

40


CIBERTEC

2.2 CONECTAR REDES A TRAVÉS DE INTERNET

Cuando las redes están conectadas a través de Internet, un enrutador reenvía paquetes a otro enrutador a través de una conexión VPN. Esto se conoce como una conexión VPN de enrutador a enrutador. Para los enrutadores, la red privada virtual funciona como un vínculo de la capa de vínculo de datos. La ilustración siguiente muestra la conexión de redes a través de Internet.

2.2.1 Usar vínculos WAN dedicados

En lugar de utilizar un vínculo WAN dedicado de larga distancia y caro entre las distintas oficinas de la compañía, los enrutadores de las oficinas se conectan a Internet mediante vínculos WAN dedicados locales con un ISP local. Así, cualquiera de los


41


enrutadores inicia una conexión VPN de enrutador a enrutador a través de Internet. Una vez conectados, los enrutadores pueden reenviarse entre sí transmisiones de protocolos enrutadas o directas mediante la conexión VPN.

2.3 VPN BASADAS EN INTRANET Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP en la intranet de una organización.

2.3.1 Acceso remoto a través de una intranet En las intranets de algunas organizaciones, los datos de un departamento (por ejemplo, el departamento de recursos humanos) son tan confidenciales que la red del departamento está, físicamente, desconectada de la intranet del resto de la organización. Aunque así se protegen los datos del departamento, se crea un problema de acceso a la información por parte de aquellos usuarios que no están, de forma física, conectados a la red independiente. Mediante una conexión VPN, la red del departamento está, físicamente, conectada a la intranet de la organización, pero se mantiene separada gracias a un servidor VPN. El servidor VPN no proporciona una conexión enrutada directa entre la intranet de la organización y la red del departamento. Los usuarios de la intranet de la organización que disponen de los permisos apropiados pueden establecer una conexión VPN de acceso remoto con el servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento. Adicionalmente, para mantener la confidencialidad de los datos, se cifran todas las comunicaciones realizadas a través de la conexión VPN. Para aquellos usuarios que no tienen derechos para establecer una conexión VPN, la red del departamento está oculta a la vista. La ilustración siguiente muestra el acceso remoto a través de una intranet.

2.3.2 Conectar redes a través de una intranet

También, puede conectar dos redes a través de una intranet mediante una conexión VPN de enrutador a enrutador. Las organizaciones que tienen departamentos en diferentes

42


CIBERTEC

ubicaciones, cuyos datos son altamente confidenciales, pueden utilizar una conexión VPN de enrutador a enrutador para comunicarse entre sí. Por ejemplo, el departamento financiero podría necesitar comunicarse con el departamento de recursos humanos para intercambiar información acerca de las nóminas. Ambos, a la vez, están conectados a la intranet común con equipos que pueden actuar como enrutadores VPN. Una vez establecida la conexión VPN, los usuarios de los equipos de ambas redes pueden intercambiar datos confidenciales a través de la intranet corporativa. La ilustración siguiente muestra la conexión de redes a través de una intranet.

3. PROTOCOLO DE TÚNEL DE CAPA 2

El Protocolo de túnel de capa 2 ( L2TP, Layer Two Tunneling Protocol ) es un protocolo basado en RFC y estándar del sector que se admitió por primera vez en los sistemas operativos de cliente y de servidor Windows 2000. A diferencia de PPTP, el protocolo L2TP en los servidores que ejecutan Windows Server 2008 no utiliza el Cifrado punto a punto de Microsoft ( MPPE, Microsoft Point-to-Point Encryption ) para cifrar datagramas de Protocolo punto a punto (PPP). L2TP utiliza la Seguridad de protocolos Internet (IPSec) para los servicios de cifrado. La combinación de L2TP e IPSec se conoce como L2TP/IPSec. L2TP/IPSec proporciona los servicios de red privada virtual (VPN) principales de encapsulación y cifrado de datos privados.

L2TP e IPSec deben ser compatibles con el cliente VPN y el servidor VPN. La compatibilidad de cliente con L2TP está integrada en el cliente de acceso remoto de Windows XP y la compatibilidad de servidor VPN con L2TP está integrada en los miembros de la familia Windows Server 2008.


43


L2TP se instala con el protocolo TCP/IP. En función de las opciones disponibles al ejecutar el Asistente para la instalación del servidor de enrutamiento y acceso remoto, L2TP se configura para 5 ó 128 puertos L2TP.

3.1 ENCAPSULACIÓN

La encapsulación de paquetes L2TP/IPSec consta de dos niveles:

3.1.1 Encapsulación L2TP Las tramas PPP (que consisten en un datagrama IP o un datagrama IPX) se empaquetan con un encabezado L2TP y un encabezado UDP.

3.1.2 Encapsulación IPSec El mensaje L2TP resultante se empaqueta a continuación con un encabezado y un finalizador de Carga de seguridad de encapsulación (ESP, Encapsulating Security Payload) de IPSec, un finalizador de autenticación IPSec que proporciona autenticación e integridad de mensajes y un encabezado IP final. El encabezado IP contiene las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN.

3.2 CIFRADO

El mensaje L2TP se cifra con el Estándar de cifrado de datos (DES, Data Encryption Standard) o Triple DES (3DES) mediante claves de cifrado generadas en el proceso de negociación de Intercambio de claves de Internet (IKE, Internet Key Exchange).

4. CONFIGURACIÓN DE VPN PARA CLIENTES REMOTOS 4.1 CONFIGURA EL SERVIDOR VPN

1. Ejecute Routing and Remote Access desde el menú Administrative

Tools.

2. En el panel izquierdo haga clic derecho sobre su servidor y; luego clic en Configure and Enable Routing and Remote Access.

44


CIBERTEC

3. En pantalla de bienvenida de Routing and Remote Access Server Setup Wizard, haga clic en Next.


45


4. En Configuration, haga clic en Remote access (dial-up or VPN) y luego, clic en Next.

5. En la pantalla Remote Access, seleccione VPN y haga clic en Next.

46


CIBERTEC

6. En VPN Connection, seleccione la interface Wan y luego, clic en Next.

7. En la ventana IP Address Assignment, seleccione From a specified range of addresses, y haga clic en Next.


47


8. En la página Address Range Assignment, haga clic en New.

9. En el campo Start IP address, tipee la dirección que le asigne su instructor, y luego en la caja Number of addresses, ingrese 5.

10. Usted haga clic en OK.

11. En la página Address Range Assignment, haga clic en Next.

12. En la página Managing Multiple Remote Access Servers, verifique que esté seleccionada la opción No. Luego, use Routing and

48


CIBERTEC

Remote Access to authenticate connection requests y haga clic en Next.

13. En la ventana Completing the Routing and remote Access Server Setup Wizard, clic en Finish.


49


14. Observe cómo se visualiza la herramienta:

15. Si es necesario, haga clic en OK para cerrar el mensaje Routing and

Remote Access, luego cierre Routing and Remote Access. 4.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO

1. Inicialice el ADUC, haga clic derecho sobre el usuario Juan Urbina, y seleccione properties.

2. En la ventana de propiedades del usuario, seleccione Dial-in, luego clic en Allow Access, finalmente clic en Ok.

50


CIBERTEC

4.2 CONFIGURA EL CLIENTE VPN

1. Clic en el Menu Inicio, seleccione Panel de Control, clic en Redes e Internet.

2. En Redes e Internet, clic en Ver el estado y las tareas de red.


51


3. En la ventana Centro de redes y recursos compartidos vaya al

panel izquierdo y haga clic en Configurar una conexión o red.

4. En la ventana Configurar una conexión o red, seleccione Conectarse a un área de trabajo, y clic en Siguiente.

52


CIBERTEC

5. En la ventana ¿Cómo desea conectarse? Selecione Usar mi conexión a Internet (VPN)

6. En la ventana Es necesaria una conexión a Internet para usar una conexión VPN, seleccione Configuraré más tarde una conexión a Internet.

7. En la ventana Escribe la dirección de Internet a la que se conectará ingrese los siguientes datos:

a. Dirección de Internet: IP del Servidor VPN b. Nombre del destino: Ciber VPN


53


8. En la ventana Escribe el nombre de usuario y la contraseña, Escribe el nombre del usuario al que se le otorgó el permiso de acceso a la red y la contraseña, luego clic en Crear.

9. Una vez creada la conexión VPN, haga clic en administrar conexiones de red, 2 clics en Ciber VPN

54


CIBERTEC

4.3 VERIRIFCAR LA CONEXIÓN VPN

1. En una ventana de Símbolo del Sistema, digite ipconfig y presione <Enter>.

2. Note que hay un nuevo adaptador de red PPP Ciber VPN. La dirección IP fue asignada por el rango de direcciones estáticas del servidor VPN.

3. Cierre la ventana Símbolo del Sistema.

4. En la barra de tareas, has doble clic al ícono "Conexión VPN".


55


5. En la Conexión VPN clic en Ver estado, después clic en Desconectar.

6. Finalmente, cierre todas las ventanas abiertas.

56


CIBERTEC

Resumen

La implementación de una Red VPN permite extender la red de la empresa.

VPN se puede usar para enlazar oficinas que estén, geográficamente, alejadas. Los 3 protocolos de túnel soportados por Windows 2008 Server son: PPTP, L2TP, y

SSTP.

El protocolo PPTP usa el cifrado MPPE, L2TP usa IPSec, y SSTP usa SSL. El nuevo protocolo de túnel SSTP es soportado en Windows 2008 Server. El protocolo SSTP permite que pueda fluir el tráfico de datos a través del firewall.

Si desea saber más acerca de VPN, puede consultar la siguiente página.

http://technet.microsoft.com/en-us/network/bb545442.aspx

En esta página, hallará información detallada sobre VPN.

http://technet.microsoft.com/en-us/network/bb545442.aspx


57


PROTEGER EL TRÁFICO DE RED MEDIANTE IPSEC


Al término de la unidad, el alumno será capaz de implementar seguridad en la transmisión de datos de una red.

TEMARIO

Introducción a IPSec

Implementación de IPSec

Supervisar IPSec


Los alumnos determinan que método de encriptación de IPSec deben usar en la Red.

Los alumnos eligen que directiva de seguridad de IPSec se adecua a sus necesidades de seguridad.

Los alumnos implementan escenarios con IPSec.

Los alumnos configuran el filtrado con las directivas de seguridad de IPSec.

Los alumnos verifican la seguridad de la red con el uso de Sniffer. Los alumnos supervisan IPSec mediante el Monitor de Seguridad IP.

UNIDAD DE

APRENDIZAJE

3

TEMA

5

58


CIBERTEC

1. INTRODUCCIÓN A IPSEC

1.1 CONCEPTOS DE IPSEC

Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado. IPSec soporta autenticación de sistemas a nivel de red, autenticación del origen de los datos, integridad de datos, confidencialidad de datos (encriptación) y protección frente a reenvío. la implementación de IPSec de Microsoft se basa en estándares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force). IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores. El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec está basado en un modelo de seguridad de extremo a extremo, lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. Cada equipo controla la seguridad por sí mismo en su extremo, bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro.

IPSec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6:

Authentication Header (AH): proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados.


59


AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello, calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta, el contenido del paquete IP y las partes inmutables del datagrama. Este proceso restringe la posibilidad de emplear NAT, que puede ser implementada con NAT transversal. Por otro lado, AH puede proteger, opcionalmente, contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes, es decir, aquellos que pueden ser alterados en el tránsito. En IPv4, los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags, Offset de fragmentos, TTL y suma de verificación de la cabecera. AH opera, directamente, por encima de IP, utilizando el protocolo IP número 51. Un cabecera AH mide 32 bits, he aquí un diagrama de cómo se organizan:

Significado de los campos: Next header: Identifica el protocolo de los datos transferidos. Payload length: Tamaño del paquete AH. RESERVED: Reservado para uso futuro (hasta entonces todo

ceros). Security parameters index (SPI): Indica los parámetros de

seguridad que, en combinación con la dirección IP, identifican la asociación de seguridad implementada con este paquete.

Sequence number: Un número siempre creciente, utilizado para evitar ataques de repetición.

HMAC: Contiene el valor de verificación de integridad (ICV) necesario para autenticar el paquete; puede contener relleno.

Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad. El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. ESP, también, soporta configuraciones de sólo cifrado y sólo autenticación, pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Al contrario que con AH, la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel, la protección es proporcionada a todo el paquete IP interno, incluyendo la cabecera interna; la cabecera externa permanece sin proteger).

60


CIBERTEC

ESP opera directamente sobre IP, utilizando el protocolo IP número 50. Un diagrama de paquete ESP:

Significado de los campos: Security parameters index (SPI): Identifica los parámetros de

seguridad en combinación con la dirección IP. Sequence number: Un número siempre creciente, utilizado para

evitar ataques de repetición. Payload data: Los datos a transferir. Padding: Usado por algunos algoritmos criptográficos para

rellenar por completo los bloques. Pad length: Tamaño del relleno en bytes. Next header: Identifica el protocolo de los datos transferidos. Authentication data: Contiene los datos utilizados para

autenticar el paquete.

IPSec aumenta la seguridad de los datos de la red mediante:

La autenticación mutua de los equipos antes del intercambio de datos. IPSec puede utilizar Kerberos V5 para la autenticación de los usuarios.

El establecimiento de una asociación de seguridad entre los dos equipos. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes, entre redes e, incluso, entre equipos cliente dentro de una red de área local (LAN).

El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES, Data Encryption Standard), triple DES (3DES) o DES de 40 bits. IPSec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. Por tanto, los dispositivos de red intermedios, como los enrutadores, no pueden distinguir los paquetes de IPSec de los paquetes IP normales.


61


El protocolo, también, proporciona las ventajas siguientes:

Compatibilidad con la infraestructura de claves públicas. También acepta el uso de certificados de claves públicas para la autenticación, con el fin de permitir relaciones de confianza y proteger la comunicación con hosts que no pertenezcan a un dominio Windows en el que se confía.

Compatibilidad con claves compartidas. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible, se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos.

Transparencia de IPSec para los usuarios y las aplicaciones. Como IPSec opera al nivel de red, los usuarios y las aplicaciones no interactúan con IPSec.

Administración centralizada y flexible de directivas mediante Directiva de grupo. Cuando cada equipo inicia una sesión en el dominio, el equipo recibe automáticamente su directiva de seguridad, lo que evita tener que configurar cada equipo individualmente. Sin embargo, si un equipo tiene requisitos exclusivos o es independiente, se puede asignar una directiva de forma local.

Estándar abierto del sector. IPSec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. Los administradores de la red aprovechan la interoperabilidad resultante.

Dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel. En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs que describen el mecanismo de NAT-T.

62


CIBERTEC

En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.

IPSec está soportado en Windows Server™ 2008, Windows Server 2003, Windows 2000 Server, Windows XP, Windows Vista, y Windows 2000, y está integrado con el servicio de Directorio Activo. Las políticas IPSec se pueden asignar mediante Políticas de Grupo, lo que permite que los parámetros de IPSec se configuren a nivel de dominio, site o unidad organizativa.

1.2 DIRECTIVAS DE SEGURIDAD DE IPSEC

Una directiva IPSec está formada por un conjunto de filtros acerca del tráfico de red que cuando se activan, hacen que los equipos involucrados en la conversación negocien una autenticación entre ellos y si esta es exitosa se aplique una acción de filtrado al tráfico de red, por lo general, con el propósito de que no pueda ser interceptado por terceros. El cifrado de las comunicaciones con IPSEC se implementa como una directiva, con lo cual podemos habilitarlo a nivel local, de sito, de dominio o de unidad organizativa. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuración adicional.

Client (Cliente): Únicamente, aplica regla de respuesta predeterminada. Ésta es regla obliga a nuestro equipo a responder de manera cifrada siempre que así se proponga o se requiera, pero nunca será nuestro equipo el que inicie la conversación de manera cifrada.

Server (Servidor): Envía los datos cifrados pero admite la conversación con clientes que no cifren sus comunicaciones. Este


63


modo es el recomendado si queremos que prime la comunicación sobre la seguridad.

Secure Server (Servidor Seguro): En este caso toda comunicación será cifrada y no permitirá la comunicación sin cifrar (excepto el tráfico ICMP). Si queremos anticipar la seguridad a la comunicación, este es el modo apropiado.

Si bien estas directivas pueden satisfacer nuestras necesidades, IPSec permite una mayor granularidad y control a través de los filtros que se revisan más adelante en este documento. Antes de comenzar con la implementación hay que tener claros unos cuantos conceptos. Cuando queremos que nadie sepa lo que, por ejemplo, estamos hablando con una persona cercana podemos acordar un conjunto de reglas (protocolo) para hacerlo de manera efectiva. Esto es, el idioma que usaremos cuando queramos mantener la privacidad de la conversación. El establecimiento de estas reglas puede llevar estos pasos:

Definición de las conversaciones que consideramos privadas (el tráfico que se cifrará). Por ejemplo: conversaciones de negocios, secretos y política. Aplicamos un conjunto de filtros que se active al sacar uno de esos tres temas en la conversación y que nos recuerde que debemos cambiar de idioma.

Al activarse el filtro, sería bueno que antes de empezar a expresar nuestras ideas acerca de esos tres temas, nos aseguremos de que la persona que está al otro lado es de confianza negociando la autenticación.

Una vez comprobada la identidad, negociaremos el idioma a utilizar entre los que conocen uno y otro participante, o incluso podríamos elegir no hablar de ese determinado tema en este paso. Esto sería la acción de filtrado

Podemos, opcionalmente, ser el portavoz de un grupo de gente que habla con el portavoz de otro grupo de gente. Nuestros entornos internos son confiables, pero el canal de comunicación entre los portavoces puede ser vulnerable. Esto sería el modo túnel.

Por último podríamos elegir entre cifrar todo el tráfico, sólo el telefónico (RAS) o sólo las conversaciones de lado a lado (LAN)

64


CIBERTEC

2. IMPLEMENTACIÓN DE IPSEC

2.1 IMPLEMENTACIÓN DE ESCENARIOS CON IPSEC.

2.1.1 Bloquear Ping (protocolo ICMP).

1. Seleccione Start, Administrative Tools y seleccione Local Security Policy.

2. En la ventana desplegada, ubique la opción IP Security Policies on Local Computer, haga clic derecho sobre dicha opción en el menú contextual emergente, luego haga clic sobre Create IP Security Policy.


65


3. La acción anterior llamará al Asistente para directivas de seguridad IP. En la primera pantalla, sólo haga clic en Next.

4. Ahora ingrese el nombre Prueba PING para la directiva que

vamos a crear, posteriormente, haga clic en Next.

66


CIBERTEC

5. En la ventana Requests for Secure Communication haga clic en Next.

6. Ya finalizando la creación de la regla, verifque que esté

marcada la casilla de verificación Edit properties y haga clic en Finish.


67


7. En esta ventana, haga clic en el botón Add.

8. Lo anterior llama al Asistente para reglas de seguridad IP. En la pantalla de bienvenida, sólo haga clic en Next.

Existe una regla predeterminada

68


CIBERTEC

9. En la siguiente ventana, seleccione la regla This rule does not

specify a tunnel.

10. Ahora seleccione All network connections y haga clic en Next.


69


11. Ahora se nos muestra la interfaz para seleccionar los filtros IP, en caso no hubiese alguno que se ajuste a nuestras necesidades, se nos da la opción para crear agregar uno nuevo. Para el caso, haga clic en Add…

12. En la ventana IP Filter List escribe el nombre del filtro (para el caso PING bloqueo). Opcionalmente, agregue una descripción para el filtro y posteriormente, haga clic en Add… (verificar que esté marcada la casilla de verificación para poder hacer uso del asistente).

70


CIBERTEC

13. Lo anterior hará que aparezca el asistente para filtros.

14. En la ventana de descripción para el filtro IP nos pregunta si es

Mirrored (paquetes coinciden con las direcciones de origen y destino opuestas). Deje marcado la casilla de verificación y haga clic en Next.


71


15. En origen del tráfico, seleccione la opción Any IP Address.

16. Para el destino, seleccione la opción My IP Address.

72


CIBERTEC

17. Ahora seleccione el protocolo, para el caso, seleccione el protocolo ICMP.

18. Finalmente, haga clic en Finish para crear el filtro.


73


19. Ya de vuelta en la ventana anterior, haga clic en OK.

20. Ahora seleccione el filtro creado y haga clic en Next.

74


CIBERTEC

21. Ahora en la siguiente ventana, haga clic en Add para crear una

lista de acción al filtrado.

22. En el asistente Filter Action Name escribe el nombre del Filtro.


75


23. Ahora en el comportamiento de la acción de filtrado, seleccione Block.

24. En la ventana Filter Action seleccione Ping Bloqueado y haga clic en Next.

76


CIBERTEC

25. En la ventana Completing the Security Rule Wizard haga clic en Finish.


77


26. Usted haga clic en el botón OK de la ventana anterior y la ventana Local Security Policy habrá quedado así:

27. Ahora has una prueba de PING a una dirección IP de la LAN.

Verá lo siguiente:

28. Ahora habilite la directiva. Local Security Policy seleccione IP Security Policies on Local Computer y en la directiva llamada Prueba PING haga clic derecho y clic en Assign.

78


CIBERTEC

29. Finalmente, has PING a una IP de la red y verá el siguiente mensaje.

Lo cual nos indica que la directiva IPSec funciona mediante el bloqueo del protocolo ICMP.

2.1.1 Cifrado del tráfico IP (Protección de datos de inicio de sesión para el servidor FTP) mediante GPO.

Para este ejemplo, consideraremos que ya tenemos configurado el Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera que no acepte conexiones anónimas. Además, estos servidores están en el controlador de dominio (práctica que en un entorno empresarial no se recomienda) y la máquina cliente es parte del dominio (con Windows Vista Ultimate). Sólo para este ejemplo, el nombre del servidor con los roles anteriormente mencionados es SERV01 y la máquina cliente es ADMWK011. Ahora consideremos que nos estamos conectando a nuestro servidor FTP (a través de Internet Explorer) de una forma aparentemente segura.


79


Sin embargo, FTP no codifica las credenciales de usuario y por medio de un sniffer se puede interceptar la comunicación tal como se muestra en la siguiente imagen:

Lo que revelaría, con facilidad, el usuario y contraseña del administrador de red a un usuario no autorizado. Con IPSec podemos brindar seguridad al tráfico de red que, comúnmente, no tiene cifrado. Para esto se siguen los siguientes pasos (el host “ADMWK011” debe estar apagado para realizar estos pasos):

1. En el servidor, seleccione la ventana Run, digite dsa.msc y pulse ok.

80


CIBERTEC

2. Lo anterior ocasionará la apertura del Active Directory Users and Computers (ADUC). En esta ventana Cree el OU “ComSeg”.

3. Ya con el OU “ComSeg” creado, Seleccione al contenedor Computers, ello desplegará los equipos que forman parte del dominio en el panel derecho. En este panel seleccione y arrastre al equipo “ADMWK011” hacia el OU “ComSeg” (Se le pedirá una confirmación previa).

4. El equipo “ADMWK011” pasará a ser miembro del OU “ComSeg”, al finalizar el paso anterior.


81


5. Nuevamente, en el servidor seleccione Start, Run, y en la ventana Run, Escribe gpmc.msc y presione Enter.

6. Ahora, tendrá abierta la ventana de Group Policy Management, En ella, despliegue el bosque, posteriormente, el dominio y despliegue el OU Domain Controllers. Finalmente, haga clic derecho sobre Default Domain Controllers Policy y seleccione Edit.

7. En la ventana Group Policy Management Editor despliegue el nodo Computer Settings, luego despliegue Policies, además, despliegue Windows Settings, abre Security Settings y finalmente, seleccione IP Security Policies on Active Directory.

82


CIBERTEC

8. En el panel derecho haga clic derecho sobre la política Server y

seleccione Properties.

9. Ahora desmarque la lista del filtro <Dynamic>. Esta lista de filtro es sólo compatible con versiones anteriores a Windows Vista.

10. La lista de filtro All IP Traffic deje tal como está, a la lista de filtro All ICMP Traffic, modifique de tal forma que la acción, también, requiera seguridad (Require Security) y el método de autentificación sea Kerberos. Para esto, seleccione la lista de filtro All ICMP Traffic y Usted haga clic en Edit. Posteriormente en la ventana que aparece,


83


ubiquese hacia la pestaña Filter Action de tal forma que quede como la siguiente imagen:

11. Ahora Usted haga clic en OK quedando la directiva de la siguiente manera

Finalmente, hacer clic en OK.

84


CIBERTEC

12. Para culminar esta primera etapa, asigne la directiva Server.

Finalmente, cierre el Group Policy Management Editor.

13. Ahora configure el equipo cliente. Esta configuración se hará también

desde el servidor (SERV01). Para ello, en Group Policy Management seleccione el OU “ComSeg”, después haga clic derecho y seleccione Create a GPO in this domain, and link it here.

14. Escribe “PC_Seg” al GPO y haga clic en OK.


85


15. Ahora despliegue el OU “ComSeg” y edite el GPO creado en el paso anterior. Usted haga clic derecho sobre el GPO ComSeg y elije Edit.

16. Ingrese al Group Policy Management Editor, sólo que esta vez las acciones que realicemos aquí, afectarán a los objetos del OU “ComSeg”. Otra vez, despliegue el nodo Computer Settings, luego despliegue Policies, después, despliegue Windows Settings, además, abra Security Settings y finalmente, seleccione IP Security Policies on Active Directory.

86


CIBERTEC

17. Por último, asigne la directiva Server, haga clic derecho y seleccione Assign.

18. Sólo como precaución, en el servidor, ejecute el comando gpupdate para actualizar los cambios.

19. Finalmente, encienda la máquina cliente y conéctese al servidor FTP. Verifique que existe conectividad normal, ejecute el sniffer para obtener la siguiente información:

Ahora todos los paquetes (que corresponden a FTP, aunque no exclusivamente) están cifrados con el protocolo ESP, así por más que intenten interceptar los datos estos serán indescifrables por terceros.


87


3. SUPERVISIÓN DE IPSEC

3.1 IMPLEMENTACIÓN DEL MONITOR DE SEGURIDAD IP.

Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadísticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta información puede ayudarle a solucionar problemas de IPsec y a probar las directivas que está creando. Para cambiar las directivas IPsec, use el complemento Directivas de seguridad IP. Para abrir el monitor de seguridad IP se siguen los siguientes pasos:

1. Seleccione Start, luego Usted haga clic sobre Run, en la ventana emergente escribe mmc y presione Enter.

2. Ahora Usted haga clic en File y seleccione Add/Remove Snap-in.

88


CIBERTEC

3. En la ventana Add or Remove sanp-in, busque IP Security Monitor en el panel izquierdo seleccione Add >. Finalmente haga clic en OK.

Ahora tendrá disponible el monitor de seguridad IP. En este monitor, se lista por defecto a nuestro servidor que al expandirlo en panel izquierdo nos muestra las directivas activas, de modo principal y de modo rápido.

3.1.1 Directiva Activa (Active Policy)

El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada a este equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. Sólo puede haber una directiva IPsec activa al mismo tiempo. La directiva activa es la directiva IPsec aplicada a este equipo, bien de forma manual por el administrador del equipo o bien mediante el uso de servicios de dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO). La directiva activa puede definirse con objetos de directiva de grupo en lugar de hacerlo en el equipo en el complemento Directivas de seguridad IP.

Al visualizar la directiva activa obtenemos la siguiente información:

Nombre y descripción: Nombre y descripción especificados para la

directiva en el momento de su creación.

Última modificación: Fecha y hora (hora local) en que se cambió la directiva por última vez.

Almacén: Lugar donde está almacenada la directiva, en el almacén local (en el equipo local) o en un GPO.

Ruta: Ruta de comunicación del protocolo ligero de acceso a directorios (LDAP) de Active Directory que describe la ubicación completa y exacta en AD DS de la directiva IPsec aplicada a este equipo. Únicamente, se aplica a las directivas almacenadas en objetos


89


de directiva de grupo de AD DS. Las directivas almacenadas, localmente, no tendrán esta ruta de acceso.

Unidad organizativa: Ruta de comunicación del LDAP que describe la unidad organizativa (OU) completa y exacta de Active Directory donde se aplica la directiva. Únicamente, se aplica a las directivas almacenadas en un objeto de directiva de grupo de AD DS. Las directivas almacenadas, de manera local, no tendrán ninguna unidad organizativa.

Nombre de objeto de directiva de grupo: Nombre del objeto de directiva de grupo; no es el nombre de la directiva IPsec. Únicamente, se aplica a las directivas almacenadas en objetos de directiva de grupo de AD DS. Las directivas almacenadas, localmente, no tendrán ningún nombre de GPO.

La siguiente imagen muestra como se ve la directiva activa en el monitor de seguridad IP.

3.1.2 Supervisión del modo principal (Main Mode)

La negociación de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos, que se denomina asociación de seguridad (SA) del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP). La SA del ISAKMP se usa para proteger intercambios de clave posteriores entre equipos del mismo nivel, que reciben el nombre de negociaciones de modo rápido. Para establecer el canal seguro, la negociación de modo principal determina una serie de conjuntos de protección de cifrado, intercambia material de creación de claves para establecer la clave secreta compartida y autentica identidades de equipo. La supervisión de las SA de modo principal puede proporcionar información acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cuándo se creó la SA, el conjunto de protección que se usó para generar la SA y otra información. Dentro del modo principal tenemos:

90


CIBERTEC

Los filtros genéricos (Generic filters). Los filtros genéricos son filtros IP configurados para usar cualquiera de las opciones de dirección IP, ya sea como dirección de origen o como dirección de destino. IPsec permite usar palabras clave en la configuración de los filtros, como Mi dirección IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta de enlace predeterminada. Si se usan palabras clave, los filtros genéricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Los filtros específicos se derivan expandiendo las palabras clave en direcciones IP.

Los filtros específicos (Specific filters): Se expanden a partir de los filtros genéricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexión real. Por ejemplo, si dispone de un filtro que usa la opción Mi dirección IP como dirección de origen y la opción Servidor DHCP como dirección de destino, cuando se cree una conexión con este filtro, se creará de forma automática, un filtro que incluya la dirección IP de su equipo y la dirección IP del servidor DHCP que este equipo usa.


91


La directiva IKE (IKE Policies): Hace referencia a los métodos de cifrado o integridad que los dos equipos del mismo nivel pueden negociar en el intercambio de claves de modo principal.

Estadísticas (Statistics): Aquí encontramos las estadísticas disponibles para IPSec, ya sea de conexiones aceptadas, rechazadas, recepciones etc. La siguiente tabla muestra los tipos de estadísticas mostrados para el modo principal:

Estadística de IKE Descripción

Adquisición activa Una adquisición es una petición del controlador IPsec para que IKE realice una tarea. La estadística Adquisición activa incluye la petición pendiente y el número de peticiones en cola, si existen. Normalmente, el número de adquisiciones activas es 1. Cuando la carga de procesamiento es elevada, el número de adquisiciones activas es 1 y el número de peticiones en espera de procesamiento por parte de IKE aumenta.

Recepción activa Número de mensajes IKE recibidos y en espera de procesamiento.

Errores de adquisición Número de veces que una adquisición se completó con error.

Errores de recepción Número de veces que la función WSARecvFrom() de Windows Sockets se completó con error al recibir mensajes IKE.

Errores de envío Número de veces que la función WSASendTo() de Windows

92


CIBERTEC

Sockets se completó con error al enviar mensajes IKE.

Tamaño de montón de adquisición

Número de entradas en el montón de adquisición, que almacena las adquisiciones activas. Este número aumenta cuando la carga es elevada y se reduce, gradualmente, con el tiempo, a medida que se va reduciendo el montón de adquisiciones.

Tamaño de montón de recepción

Número de entradas de los búferes de recepción de los mensajes de IKE entrantes.

Errores de autenticación

Número total de errores de autenticación de identidad (Kerberos, certificado y clave, previamente, compartida) producidos durante la negociación de modo principal. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. Si en efecto aumenta, compruebe si en la configuración de la autenticación hay algún método que no corresponda o alguna opción incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden).

Errores de negociación Número total de errores de negociación producidos durante la negociación de modo principal o de modo rápido. Si tiene dificultades para comunicarse con seguridad, intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. Si en efecto aumenta, compruebe si en la configuración de la autenticación y de los métodos de seguridad hay algún método de autenticación que no corresponda, alguna opción incorrecta (por ejemplo, si se usan claves, previamente, compartidas que no coinciden) u otra falta de correspondencia en los métodos o las opciones de seguridad.

Cookies no válidas recibidas

Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo. Si una cookie de un mensaje IKE recibido no corresponde a un modo principal activo, se considerará no válida.

Adquisición total Número total de peticiones de trabajos que IKE envió al controlador IPsec.

Total de SPI obtenidos Número total de peticiones que IKE envió al controlador IPsec para obtener un Índice de parámetros de seguridad (SPI) único.

Adiciones de claves Número de SA de modo rápido salientes que IKE agregó al controlador IPsec.

Actualizaciones de claves

Número de SA de modo rápido entrantes que IKE agregó al controlador IPsec.

Errores de obtención de SPI

Número de peticiones con error que IKE envió al controlador IPsec para obtener un SPI único.

Errores de adición de

claves

Número de peticiones con error de adición de SA de modo

rápido salientes que IKE envió al controlador IPsec.

Errores de actualización de claves

Número de peticiones con error de adición de SA de modo rápido entrantes que IKE envió al controlador IPsec.

Tamaño de lista ISADB

Número de entradas de estado de modo principal, incluidos los modos principales negociados, en curso, y los que produjeron un error y no se eliminaron.

Tamaño de lista de conexión

Número de entradas de estado de modo rápido.


93


Modo principal IKE Número total de SA creadas, de forma correcta, durante las negociaciones de modo principal.

Modo rápido IKE Número total de SA creadas, correctamente, durante las negociaciones de modo rápido. Normalmente, se crean varias SA de modo rápido por cada SA de modo principal y, por ello, este número no tiene que coincidir, necesariamente, con el número del modo principal.

Asociaciones débiles Número total de negociaciones que provocaron el uso de texto simple (o también, SA débiles). Normalmente, este valor refleja el número de asociaciones formadas con equipos que no respondieron a los intentos de negociación de modo principal. Puede tratarse de equipos no compatibles con IPsec o de equipos compatibles con IPsec que no tienen una directiva IPsec para negociar la seguridad con este equipo del mismo nivel. Aunque las SA débiles no son el resultado de las negociaciones de los modos principal y rápido, se consideran SA de modo rápido.

Paquetes recibidos no válidos

Número de mensajes IKE no válidos recibidos; incluye los mensajes IKE con campos de encabezado no válidos, longitudes de carga incorrectas y valores erróneos para la cookie del receptor (cuando debe ser 0). La causa de que se produzcan mensajes IKE no válidos es normalmente la retransmisión de mensajes anticuados o a la falta de correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec.

En el monitor de seguridad, el apartado de estadísticas se ve de la siguiente manera:

Asociaciones de seguridad (Security Associations - SA): En esta vista se muestran las SA activas con este equipo. Una SA es la combinación de una clave negociada, un protocolo de seguridad y el SPI, que de forma conjunta, definen el método de seguridad usado para proteger la comunicación desde el remitente hasta el receptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, se pueden determinar los equipos conectados al equipo, el tipo de cifrado e integridad de datos que se está usando para estas conexiones y otra información. Esta información puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso.

94


CIBERTEC

3.1.3 Supervisión del modo rápido

La negociación IKE de modo rápido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rápido se denominan SA de IPsec. Durante el modo rápido, el material de creación de claves se actualiza o, si es necesario, se generan nuevas claves. También, se seleccione un conjunto de protección que protege el tráfico IP especificado. Un conjunto de protección es un conjunto definido de valores de configuración de integridad de datos o cifrado de datos. El modo rápido no se considera un intercambio completo porque depende de un intercambio de modo principal. Al igual que el modo principal, contiene a los filtros genéricos (gneric filters), específicos (specific filters), directivas IKE (IKE policies), estadísticas (statistics) y asociaciones de seguridad (security associations). Sin embargo las estadísticas IKE visualizadas para este modo tienen otros campos, los cuales se resumen en la siguiente tabla:

Estadística de IPsec Descripción

Asociaciones de seguridad activas

Número de SA de IPsec activas.

Asociaciones de seguridad descargadas

Número de SA de IPsec activas y descargadas en el hardware.

Operaciones de clave Número de operaciones de clave de IPsec en curso.


95


pendientes

Adiciones de claves Número total de negociaciones de SA de IPsec correctas.

Eliminaciones de clave Número de eliminaciones de claves de las SA de IPsec.

Regeneraciones de claves Número de operaciones de regeneración de claves de las SA de IPsec.

Túneles activos Número de túneles de IPsec activos.

Paquetes SPI dañados Número total de paquetes cuyo Índice de parámetros de seguridad (SPI) era incorrecto. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA. Si el SPI no es correcto, puede indicar que la SA entrante expiró y que llegó, recientemente, un paquete que usa el SPI antiguo. Con probabilidad, este número aumentará si los intervalos de regeneración de claves son cortos y hay un número elevado de SA. Las SA expiran en condiciones normales; por ello, la existencia de paquetes SPI dañados no indica, necesariamente, que haya errores en IPsec.

Paquetes sin descifrar Número total de paquetes que generaron errores al descifrarse. Estos errores pueden indicar que llegó un paquete para una SA que expiró. Si la SA expira, la clave de sesión usada para descifrar el paquete también se elimina. Esto no indica que haya errores en IPsec.

Paquetes sin autenticar Número total de paquetes cuyos datos no se pudieron comprobar. La causa más probable de este error es que una SA expiró.

Paquetes con detección de reproducción

Número total de paquetes que contenían un campo Número de secuencia válido.

Bytes confidenciales enviados

Número total de bytes enviados con el protocolo ESP.

Bytes confidenciales recibidos

Número total de bytes recibidos con el protocolo ESP.

Bytes autenticados enviados Número total de bytes enviados con el protocolo AH.

Bytes autenticados recibidos Número total de bytes recibidos con el protocolo AH.

Bytes de transporte enviados Número total de bytes enviados con el modo de transporte de IPsec.

Bytes de transporte recibidos Número total de bytes recibidos con el modo de transporte de IPsec.

Bytes enviados en los túneles

Número total de bytes enviados con el modo de túnel de IPsec.

Bytes recibidos en los

túneles

Número total de bytes recibidos con el modo de túnel de

IPsec.

Bytes de descarga enviados Número total de bytes enviados con la descarga de hardware.

Bytes de descarga recibidos Número total de bytes recibidos con la descarga de hardware.

96


CIBERTEC

La forma, en que se presentan estas estadísticas, es la siguiente:


97


98


CIBERTEC

Resumen

Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en cifrado.

IPSec autentifica los equipos y cifra los datos para su transmisión

entre hosts en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores.

El objetivo principal de IPSec es brindar seguridad a los paquetes

de red.

Dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.

Una directiva IPSec está formada por un conjunto de filtros acerca

del tráfico de red que cuando se activan, hacen que los equipos involucrados en la conversación negocien una autenticación entre ellos y si esta es exitosa se aplique una acción de filtrado al tráfico de red.

Existen unas directivas predeterminadas que podemos utilizar sin

ninguna configuración adicional.

Client (Cliente): Únicamente, aplica regla de respuesta cifrada predeterminada.

Server (Servidor): Envía los datos cifrados pero admite la conversación con clientes que no cifren sus comunicaciones. Este modo es el recomendado si queremos que prime la comunicación sobre la seguridad.

Secure Server (Servidor Seguro): En este caso toda comunicación será cifrada y no permitirá la comunicación sin cifrar (excepto el tráfico ICMP)

Con IPSec podemos cifrar el tráfico de red que, comúnmente, no posee nivel de cifrado (como el caso de telnet o ftp).

Las directivas IPSec pueden configurarse con GPOs, por tanto las directivas

pueden afectar a todos los usuarios que están dentro de un OU.

Si desea saber más acerca de este tema, puede consultar la siguiente página.

http://technet.microsoft.com/es-es/library/cc776080%28WS.10%29.aspx




99


Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadísticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. Esta información puede ayudarle a solucionar problemas de IPsec y a probar las directivas que está creando.

El elemento Directiva activa del complemento Monitor de seguridad IP

describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al equipo. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva.

La negociación de Intercambio de claves por red (IKE) de modo principal

establece un canal seguro entre dos equipos, que se denomina asociación de seguridad (SA) del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP). La supervisión de las SA de modo principal puede proporcionar información acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cuándo se creó la SA, el conjunto de protección que se usó para generar la SA y otra información.

La negociación IKE de modo rápido (o fase 2) establece un canal seguro

entre dos equipos para proteger los datos. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec, las SA creadas durante el modo rápido se denominan SA de IPsec. El modo rápido no se considera un intercambio completo, porque depende de un intercambio de modo principal.

Si desea saber más acerca de estos temas, puede consultar la siguientes

páginas:

http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx

http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html

100


CIBERTEC

FUNDAMENTOS DE SEGURIDAD DE RED


Al término de la unidad, el alumno será capaz de identificar las amenazas, vulnerabilidades de seguridad, y tomar medidas de corrección para recuperarse de incidentes de seguridad que se produzca en la organización

TEMARIO

Implementación de seguridad con GPOAccelerator.

Implementación de Microsoft Baseline security Analyzer.

Asegurando los Servidores WEB.

Administración de Windows Server Update Service.


Los alumnos crean las líneas base de seguridad en servidores y estaciones.

Los alumnos analizan la configuración de seguridad del sistema, ven los resultados del análisis, resuelven discrepancias y configuran el equipo.

UNIDAD DE

APRENDIZAJE

4

TEMA

6


101


1. IMPLEMENTACIÓN DE SEGURIDAD CON GPOACCELERATOR La herramienta GPOAccelerator crea todos los GPOs que necesites para implementar la configuración recomendada de seguridad para tú red. Esta funcionalidad ahorra muchas horas de trabajo que de otro modo sería necesario para configurar e implementar manualmente la configuración de seguridad.

1.1 INSTALACIÓN DE GPOACCELERATOR El GPOAccelerator.msi se instala rápidamente en computadoras que ejecutan los siguientes sistemas operativos:

Windows Server 2008 SP2

Windows Server 2003 R2

Windows 7

Windows Vista

Windows XP

La mayoría de las tareas de GPOAccelerator requieren la instalación de la Group Policy Management Console (GPMC) en el equipo que ejecuta la herramienta. El GPOAccelerator le avisará si el GPMC o cualquier otro componente necesario no están presentes. Cuando se ejecuta el Windows ® Installer (. Msi), este crea la carpeta GPOAccelerator dentro de Archivos de programa en su computadora. El archivo .msi también crea una estructura de subcarpetas dentro de la carpeta GPOAccelerator.

1.2 COMO USAR GPOACCELERATOR EN LA RED

El GPOAccelerator le ayuda a implementar los GPO en su entorno, que requiere una planificación cuidadosa y la prueba. Antes de utilizar el GPOAccelerator, usted debe familiarizarse con los conceptos descritos en las guías de seguridad adecuadas. A continuación, puede revisar el capítulo 1, "GPOAccelerator de línea de comandos y opciones de interfaz de usuario", para aprender sobre las diferentes opciones disponibles para el uso de la GPOAccelerator para establecer una de las líneas de base de seguridad definidos en la sección siguiente. Los capítulos restantes de esta guía proporcionan instrucciones detalladas del funcionamiento de la GPOAccelerator con diferentes sistemas operativos.

1.3 ENTORNOS DE SEGURIDAD DE LÍNEA DE BASE

El GPO de referencia de seguridad que el GPOAccelerator le ayuda a implementar proporcionar una combinación de configuración de prueba que mejoran la seguridad de los equipos que ejecutan estos sistemas operativos y aplicaciones en los siguientes dos ambientes distintos:

Enterprise Client (EC) Specialized Security – Limited Functionality (SSLF)

102


CIBERTEC

1.3.1 The Enterprise Client (EC) El Cliente de empresa (CE) medio ambiente citados en esta guía

se compone de un dominio con AD DS en el que los equipos que ejecutan Windows Server 2008 con Active Directory administrar los equipos cliente que puedan funcionar tanto con Windows Vista o Windows XP, y los servidores miembro que ejecutan Windows Server 2008 o Windows Server 2003 R2. Los controladores de dominio, servidores miembro, y los equipos cliente se manejan en este medio ambiente a través de directivas de grupo, que se aplica a sitios, dominios y unidades organizativas. Directiva de grupo proporciona una infraestructura centralizada en AD DS que permite el cambio de directorio y la gestión de configuración de configuración de usuario y de equipo, incluidos los datos de seguridad y el usuario. El Grupo de Política de esta guía prescribe no es compatible con equipos cliente que ejecutan Windows ® 2000

1.3.2 Specialized Security – Limited Functionality (SSLF)

La Seguridad especializada - Funcionalidad limitada (SSLF) de referencia en esta guía se refiere a la demanda para ayudar a crear ambientes altamente seguro para los equipos que ejecutan Windows Server 2008. La preocupación por la seguridad es tan grande en estos ambientes que una pérdida significativa de funcionalidad y capacidad de gestión es aceptable. El Cliente de empresa (EC) de referencia de seguridad ayuda a proporcionar seguridad mejorada que permite suficiente funcionalidad del sistema operativo y las aplicaciones para la mayoría de las organizaciones. Precaución: la configuración de seguridad SSLF no están destinados a la mayoría de las organizaciones empresariales. Para implementar con éxito la configuración de SSLF, las organizaciones de bien debe probar la configuración de su entorno para asegurarse de que las configuraciones de seguridad prescritas no limitar la funcionalidad requerida. Si usted decide probar e implementar los ajustes de configuración SSLF a los servidores en su entorno, los recursos de TI en su organización puede experimentar un aumento en el escritorio de las llamadas relacionadas con la funcionalidad limitada que la configuración de imponer. Aunque la configuración de este entorno proporciona un mayor nivel de seguridad para los datos y la red, sino que también evita que algunos servicios de ejecución que su organización pueda requerir. Ejemplos de esto incluyen a Escritorio remoto, que permite a los usuarios conectar de forma interactiva a los escritorios y aplicaciones en equipos remotos.

1.4 LÍNEA DE COMANDO Y OPCIONES DE GPOACCELERATOR Las opciones que brinda el comando GPOAccelerator pueden ser usadas para implementar GPOs en un ambiente que use Directorio Activo.

1.4.1Opciones para GPOAccelerator GPOAccelerator es una interface de script que se ejecuta desde una interface de comandos. Si ejecuta GPOAccelerator sin ninguna opción, la herramienta muestra la siguiente lista de opciones.


103


1.4.2 Resultados del comando GPOAccelerator La siguiente tabla muestra los resultados que se esperan cuando creas e implementas GPOs y OUs con GPOAccelerator

Comandos para implementar la guía de seguridad de Windows Server 2008

Comando Resultado GPOAccelerator.wsf /Enterprise /WS08

Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /WS08

Crea el SSLF GPOs descrito en la guía de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

104


CIBERTEC

GPOAccelerator.wsf /Enterprise /LAB /WS08

Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows

Server 2008. GPOAccelerator.wsf /SSLF /LAB /WS08

Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Server 2008.

Comandos para implementar la guía de seguridad de Windows Server 2003

Comando Resultado GPOAccelerator.wsf /Enterprise /WS03

Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /WS03

Crea el SSLF GPOs descrito en la guía de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /Enterprise /LAB /WS03


Server 2003. GPOAccelerator.wsf /SSLF /LAB /WS03

Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Server 2003.

Comandos para implementar la guía de seguridad de Windows7

Comando Resultado GPOAccelerator.wsf /Enterprise /Win7

Crea el EC GPOs descrito en la guia de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /Win7

Crea el SSLF GPOs descrito en la guía de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /Enterprise /LAB /Win7

Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows7.

GPOAccelerator.wsf /SSLF /Win7 /Desktop

Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows 7.

GPOAccelerator.wsf /SSLF /Win7 /Laptop

Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows 7.

Comandos para implementar la guía de seguridad de Windows vista

Comando Resultados GPOAccelerator.wsf /Enterprise /Vista

Crea el EC GPOs descrito en la guia de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /Vista

Crea el SSLF GPOs descrito en la guía de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.


105


GPOAccelerator.wsf /Enterprise /LAB /Vista


Vista. GPOAccelerator.wsf /SSLF /Vista /Desktop

Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows Vista.

GPOAccelerator.wsf /SSLF /Vista /Laptop

Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows Vista.

Comandos para implementar la guía de seguridad de Windows XP

Comando Resultados GPOAccelerator.wsf /Enterprise /XP

Crea el EC GPOs descrito en la guia de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /XP

Crea el SSLF GPOs descrito en la guía de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /Enterprise /LAB /XP


XP. GPOAccelerator.wsf /SSLF /XP /Desktop

Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows XP .

GPOAccelerator.wsf /SSLF /XP /Laptop

Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows X .

Comandos para implementar la guía de seguridad de Internet Explorer 8

Command Results GPOAccelerator.wsf /Enterprise /IE8

Crea el EC GPOs descrito en la guia de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /IE8

Crea el SSLF GPOs descrito en la guía de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /IE8

Aplica la configuración de seguridad SSLF a Internet Explorer en la computadora local.

Comandos para implementar la guía de seguridad de Microsoft Office 2007

Command Results GPOAccelerator.wsf /Enterprise /Office

Crea el EC GPOs descrito en la guia de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

GPOAccelerator.wsf /SSLF /Office

Crea el SSLF GPOs descrito en la guía de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.

106


CIBERTEC

Otros Comandos para implementar, resetear, y restaurar los GPOs

Command Results GPOAccelerator.wsf /ConfigSCE

Cambia la configuración en la computadora local para que todas las políticas estén visibles en el editor de políticas de grupo.

GPOAccelerator.wsf /ResetSCE

Revierte la configuración para mostrar la configuración predeterminada en el Editor de directivas de grupo. Si su organización ha personalizado la configuración y ejecutar este comando, las personalizaciones se perderán.

GPOAccelerator.wsf /Restore {/Vista | /XP}

Restaura la configuración por defecto para Windows Vista o Windows XP a sus valores por defecto de la computadora local. Este comando es muy útil cuando preparas configuraciones personalizadas. Por ejemplo, después de ejecutar una prueba de testeo y quizás quieras restaurar la configuración por defecto y probar una configuración diferente.


107


1.5 INSTALACIÓN DE GPOACCELERATOR

1. Inicie sesión como un administrador de dominio para un equipo que ejecuta Windows Server 2008 que está unido al dominio mediante Active Directory en el que podrás crear los GPO. 2. En el equipo, haga clic en Inicio, seleccione Todos los programas y, a continuación, haga clic en GPOAccelerator. 3. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de la herramienta de instalación. 4. Haga doble clic en el archivo GPOAccelerator.exe para iniciar el asistente.

La siguiente figura muestra la página de opciones de herramienta en el asistente que se puede utilizar para definir la forma en que desea establecer y desplegar su línea de base de seguridad. En la página Bienvenido, haga clic en Siguiente para acceder a esta página.

108


CIBERTEC

La página de opciones de herramienta ofrece las siguientes opciones: • Dominio. Utilice esta opción para aplicar una línea de base de seguridad y crear objetos de directiva de grupo (GPO) para un entorno basado en el dominio. Esta opción te ofrece otras opciones en las páginas siguientes del asistente para ejecutar una combinación de opciones, tales como / Empresa, / SSLF, y / laboratorio para establecer y probar la seguridad básica. Tenga en cuenta Debe ser un administrador de dominio para utilizar esta opción. • Local. Utilice esta opción para aplicar una línea de base de seguridad y modificar la configuración de seguridad predeterminada en un equipo cliente. Esta opción te ofrece otras opciones en las páginas siguientes del asistente para ejecutar el / Desktop / Laptop, y / Restaurar las opciones de línea de comandos que se definen en las guías de seguridad para Windows XP y Windows Vista. Tenga en cuenta Debe ser un administrador para utilizar esta opción. • Actualización de SCE. Utilice esta opción para actualizar el Editor de configuración de seguridad (SCE) para mostrar la configuración de seguridad SMS. Usted puede utilizar esta opción para ejecutar el / ConfigSCE y / ResetSCE opciones de la línea de comandos discutidos en las guías de seguridad. Nota: Debe ser un administrador para utilizar esta opción.

1.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD Implementa las políticas de seguridad en el ambiente EC para desarrollar esta guía requiere Group Policy Management Console (GPMC). El GPMC esta integrado en Windows Server 2008, entonces no necesita desgargar la consola GPMC.


109


Tareas para la implementación: 1. Crea el ambiente EC 2. Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio. 3. Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline

Policy al Domain Controllers OU. 4. Usa el GPMC para verificar los resultados. 5. De la misma forma realiza los mismos pasos para configurar la

seguridad en cada servidor.

1.6.1 Crea el ambiente EC

1. Clic en Start, después clic All Programs, y luego clic GPOAccelerator.

2. Clic derecho en el acceso directo GPOAccelerator Command-line, y luego clic derecho en el command prompt Run as administrator para abrirlo con privilegios administrativos.

3. Desde el command prompt, tipea cscript GPOAccelerator.wsf

/WS08 /Enterprise /LAB y luego presione enter. 4. Luego clic en Yes para continuar, o No para salir, clic en Yes.

Nota: Esto puede tomar varios minutos.

5. En la ventana The Enterprise Lab Environment is created, clic OK. 6. En la ventana Make sure to link the Enterprise Domain GPO to

your domain, clic OK, y luego complete los siguientes pasos para enlazar la política WS08 EC Domain y WS08 EC Domain Controllers.

1.6.2 Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio

1. Clic en Start, después clic All Programs, luego clic Accessories, y luego clic en Run.

2. En la ventana de texto Open, tipea gpmc.msc y luego clic en OK. 3. Debajo del árbol de Dominios, clic derecho en Domain, y luego clic Link

an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Policy GPO, y

luego clic OK. 5. En el panel de detalles, seleccione WS08 EC Domain Policy, y luego clic

en el boton Move link to top.

1.6.3 Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU

1. Clic en Start, después clic All Programs, luego clic Accessories, y luego clic en Run.

2. Tipea gpmc.msc y luego clic en OK. 3. Debajo del árbol de Dominios, clic derecho en Domain Controllers OU, y

luego clic Link an existing GPO. 4. En la ventana Select GPO, clic en WS08 EC Domain Controller

Baseline Policy GPO, y luego clic en Yes. 6. En el panel de detalles, selecciona WS08 EC Domain Controller

Baseline Policy, y luego clic en el boton Move link to top.

110


CIBERTEC

1.6.4 Usa el GPMC para verificar los resultados

1. Clic en Start, clic All Programs, clic Accessories, y luego clic en Run. 2. Tipea gpmc.msc y luego clic OK. 3. Clic en el bosque apropiado, clic en Domains, y luego clic en el Dominio. 4. Expanda el OU WS08 Member Servers OU, y luego clic en cada OU

hijo. 5. Verifique la estructura y si los enlazes con los GPOs coinciden con la

siguiente figura.


111


Resumen

La herramienta GPOAccelerator permite implementar líneas de seguridad por medio de los GPOs EC y SSLF en servidores y estaciones de trabajo.

La seguridad EC se recomienda en todo los ambientes de trabajo, debido a

que es la más flexible con las configuraciones y funcionabilidad de los equipos.

La seguridad SSLF se recomienda en ambientes donde la prioridad es la

seguridad, pero la funcionabilidad puede ser comprometida.

El comando GPOAccelerator.wsf permite implementar las líneas base de seguridad EC y SSLF.

El análisis periódico permite al administrador hacer un seguimiento y

comprobar que hay un nivel de seguridad adecuado en cada equipo, como parte de un programa de administración del riesgo de la empresa.

Para más información puede consultar la siguiente página:

http://technet.microsoft.com/en-us/library/cc264463.aspx

http://technet.microsoft.com/en-us/library/cc264463.aspx

112


CIBERTEC




TEMARIO

Implementación de seguridad con Security Configuration and Analysis.





Los alumnos determinan el estado de seguridad de los equipos.

Los alumnos analizan la configuración de seguridad de los equipos.

Los alumnos generan reportes del estado de seguridad de los equipos en la red.

UNIDAD DE

APRENDIZAJE

4

TEMA

7


113


1. IMPLEMENTACIÓN DE MICROSOFT BASELINE SECURITY ANALYZER

Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalación de una actualización de software evaluando determinadas claves del Registro, versiones de archivo y sumas de comprobación de archivos que se asocian a una actualización de seguridad determinada. Actualmente, MBSA 2.1.1 es la última versión de la herramienta de análisis gratuita de evaluación de seguridad y vulnerabilidades de Microsoft para administradores, auditores de seguridad y profesionales de TI. MBSA 2.1.1 añade compatibilidad con Windows 7, Vista, Windows Server 2008, Windows Server 2008 R2, una interfaz de usuario revisada, compatibilidad de 64 bits, compatibilidad mejorada con Windows Embedded y compatibilidad con las últimas versiones del Agente de Windows Update (WUA) basadas en Microsoft Update. MBSA 2.1.1 también es compatible con Microsoft Update, Windows Server Update Services 2.0 y 3.0, la herramienta SMS Inventory Tool for Microsoft Update (ITMU) y SCCM 2007.

El programa es online y requiere conexión a Internet.

Para descargarlo sólo ingrese la siguiente dirección en su explorador: http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE-71DF-41E8-8B52-C871D012BA78&displaylang=en

1.1 INSTALACIÓN DE MICROSOFT BASELINE ANALYZER

1. Has doble clic sobre el archivo MBSASetup-X86.msi. 2. Lo anterior iniciará el asistente para la instalación de Microsoft

Baseline Analyzer. En la pantalla de bienvenida haga clic en Next.

http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE-71DF-41E8-8B52-C871D012BA78&displaylang=en

http://www.microsoft.com/downloads/details.aspx?familyid=B1E76BBE-71DF-41E8-8B52-C871D012BA78&displaylang=en

114


CIBERTEC

3. En la siguiente ventana, acepte las condiciones del contrato de

licencia y haga clic en Next.

4. Seleccione la carpeta de destino, y haga clic en Next.


115


5. Usted haga clic en Install y espere hasta que la instalación haya terminado.

1.2 USANDO MICROSOFT BASELINE ANALYZER Su uso se resume, primordialmente, a los siguientes pasos:

1. En el escritorio, has doble clic sobre Microsoft Baseline Security Analizer.

2. Ahora aparecerá la ventana principal de Microsoft Security Analyzer.

116


CIBERTEC

3. En la pantalla principal, se presentan 3 opciones:

a. Scan a computer: Realiza el escaneo en una sóla máquina de la red.

b. Scan multiple computers: Realiza el escaneo en varias máquinas de la red.

c. View existing security scan reports: Muestra los reportes de escaneos anteriores.

4. Como ejemplo vamos a escanear a una sola máquina (al Domain

controller), para ello Usted haga clic sobre Scan a computer, esto abrirá la siguiente ventana:

5. En la ventana mostrada, anteriormente, ingrese el nombre la máquina o su dirección IP, el nombre del reporte (se puede generar, automáticamente) y lo que se desea escanear. Finalmente, al terminar de escoger las opciones, haga clic en Start scan.

6. El escaneo ha iniciado, lo primero que hace el programa es descargar la información de actualizaciones de seguridad desde Microsoft.


117


7. Al final del escaneo, se muestra el reporte de resumen sobre los problemas de seguridad del equipo.

8. Posteriormente, se puede acceder a este reporte haciendo clic sobre View existing security scan reports.

118


CIBERTEC

Resumen

Microsoft Baseline Security Analyzer (MBSA) determina el estado de

instalación de una actualización de software evaluando determinadas claves del Registro, versiones de archivo y sumas de comprobación de archivos que se asocian a una actualización de seguridad determinada.

Actualmente, MBSA 2.1.1 es la última versión de la herramienta de análisis

gratuita de evaluación de seguridad y vulnerabilidades de Microsoft para administradores, auditores de seguridad y profesionales de TI.

MBSA 2.1.1 añade compatibilidad con Windows 7, Vista, Windows Server

2008, Windows Server 2008 R2 MBSA permite analizar tanto la máquina local, cómo las de red, además

permite el análisis simultáneo de computadores y permite la creación de registros que apoyan en el análisis del software.

Para más información consulte la siguiente web:

http://technet.microsoft.com/es-es/security/cc184924.aspx

http://technet.microsoft.com/es-es/security/cc184924.aspx


119


120


CIBERTEC




TEMARIO






Los alumnos configuran la seguridad en los navegadores.

Los alumnos implementan Servidores WEB seguros.

UNIDAD DE

APRENDIZAJE

4

TEMA

8


121


1. ASEGURANDO LOS SERVIDORES WEB

Durante los últimos años, los servidores Web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa. La mayor parte de estos ataques tiene éxito gracias a una configuración incorrecta del servidor o a errores de diseño del mismo: si se trata de grandes empresas, los servidores Web suelen ser bastante complejos (alta disponibilidad, balanceo de carga, sistemas propietarios de actualización de contenidos...) y difíciles de administrar, correctamente, mientras que si la empresa es pequeña es muy posible que haya elegido un servidor Web simple en su instalación y administración pero en el cual es muy difícil garantizar una mínima seguridad. Sea por el motivo que sea, la cuestión es que cada día es más sencillo para un pirata ejecutar órdenes de forma remota en una máquina, o al menos modificar contenidos de forma no autorizada, gracias a los servidores Web que un sistema pueda albergar. Hoy en día las conexiones a servidores Web son sin duda las más extendidas entre usuarios de Internet, hasta el punto de que muchas personas piensan que este servicio (http, comúnmente en el puerto 80 del protocolo TCP) es el único que existe en la red (junto al Windows Live Messenger). Lo que en un principio se diseñó para que unos cuantos físicos intercambiaran y consultaran artículos, fácilmente, en la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales de cualquier empresa: es, por tanto, un objetivo muy atractivo para cualquier pirata. Los problemas de seguridad relacionados con el protocolo http se dividen en tres grandes grupos en función de los datos a los que pueden afectar:

1.1 SEGURIDAD EN EL SERVIDOR

Es necesario garantizar que la información almacenada en la máquina servidor no pueda ser modificada sin autorización, que permanezca disponible y que sólo pueda ser accedida por los usuarios a los que les esté legítimamente permitido. Una encuesta de Ernst & Young encontró que cuatro de cada cinco organizaciones grandes, con más de 2.500 empleados, ejecuta aplicaciones críticas en redes de áreas local LANs. Dichas LANs, y la información vital que albergan, están cada vez más expuestas a la amenaza de ataques externos perpetrados a través del acceso que proporcionan los servidores web. De un total de 61 organizaciones estudiadas se encontraron 142 accesos no autorizados y decenas de incidentes relacionados con Hackers en los últimos tres meses. La oficina general de estadísticas de Estados Unidos, pedida por el comité del senado de Asuntos gubernamentales, informó sobre la vulnerabilidad actual del departamento de la defensa (DoD) en sus sistemas informáticos no clasificados, declarando que de 250.000 ataques lanzados en contra del DoD un 65 % fue exitoso.

122


CIBERTEC

1.2 SEGURIDAD EN LA RED

Cuando un usuario conecta a un servidor Web se produce un intercambio de información entre ambos, es vital garantizar que los datos que recibe el cliente desde el servidor sean los mismos que se están enviando (esto es, que no sufran modificaciones de terceros) y también, garantizar que la información que el usuario envía hacia el servidor no sea capturada, por un atacante. Esto es, especialmente, importante si la información en tránsito es secreta, como en el caso de las contraseñas que el usuario teclea para autenticarse en el servidor, o en el comercio electrónico y el intercambio de números de tarjetas de crédito.

1.3 SEGURIDAD EN EL CLIENTE Por último es necesario garantizar al usuario que lo que descarga de un servidor no va a perjudicar a la seguridad de su equipo. Sin llegar a extremos de applets maliciosos o programas con virus, si simplemente, el navegador del usuario “se cuelga” al acceder al visitar las páginas de una organización, con seguridad, esa persona dejará de visitarlas, con la consecuente pérdida de imagen y posiblemente, de un futuro cliente para esa entidad.

La protección del servidor en cada uno de los aspectos mencionados es responsabilidad del administrador del sistema y si bien no se puede considerar al servidor totalmente seguro, las acciones emprendidas en pos de la seguridad pueden proveer una protección suficiente en la mayoría de los casos. Para proporcionar una mayor seguridad, IIS 7 no se instala en Windows Server® 2008 de forma predeterminada y al instalar IIS 7, el servidor web se configura para proporcionar sólo contenido estático. Este contenido incluye archivos HTML y de imagen. En la lista siguiente, se describen las nuevas características de seguridad de IIS 7 y se explican, de foma breve, sus ventajas:

a) Un nuevo grupo integrado de Windows denominado IIS_IUSRS

reemplaza el grupo IIS_WPG local. Una nueva cuenta integrada de Windows denominada IUSRS reemplaza la cuenta local IUSR_Nombre de equipo anónima de IIS 6.0. Sin embargo, la cuenta IUSR_nombre de equipo continuará utilizándose para FTP. Estos cambios se combinan para proporcionar cuatro ventajas.

b) La capacidad de utilizar una cuenta anónima personalizada sin deshabilitar la cuenta anónima de IIS.

c) El mantenimiento de listas de control de acceso (ACL) coherentes

entre varios servidores web utilizando un identificador de seguridad común (SID).

d) La lista de restricciones de IP se puede configurar para denegar el

acceso al contenido en un solo equipo, en un grupo de equipos, en


123


un domino o en todas las direcciones IP y entradas no registradas. De esta forma, además de proporcionar compatibilidad con la característica de concesión o denegación de IIS 6.0, se permite la herencia y combinación de reglas de restricción de direcciones IP.

e) En IIS 7 se incorporan las características de la herramienta de

seguridad UrlScan 2.5 y, por tanto, ya no es necesario descargar una herramienta aparte.

f) IIS 7 admite la autorización de direcciones URL en código nativo.

Para mantener la coherencia, este cambio proporciona compatibilidad con toda la funcionalidad de la implementación de código administrado de ASP.NET existente.

2. CONFIGURANDO LA SEGURIDAD DE LOS NAVEGADORES

A continuación, se mostrará un ejemplo sobre como configurar las opciones de seguridad para el navegador Internet Explorer. Las zonas de seguridad se configurarán en el servidor por medio de GPO aplicado a los usuarios del OU “Contabilidad” que deberá crearse, previamente, junto al usuario “nmartinez”.

Pasos

1. Primero hay que deshabilitar Internet Explorer Enhanced Security Configuration (IE ESC) en el servidor. Para esto Seleccione a Start, haga clic sobre Server Manager y haga clic sobre Configure IE ESC.

Logon name: nmartinez

124


CIBERTEC

2. Deshabilite IE ESC tanto para los usuarios (Users) como para los administradores (Administrators). Para esto, marque off en ambos y haga clic en OK.

3. Seleccione a Start, Administrative Tools, y haga clic en Group Policy Management, se mostrará la siguiente ventana:


125


4. En el panel izquierdo, usted haga clic derecho sobre el OU Contabilidad y seleccione Create a GPO in this domain, and link it here…

5. En la siguiente ventana, ponga el nombre “IESec” al GPO. Esto

enlazará al GPO en el OU de Contabilidad.

126


CIBERTEC

6. Usted haga clic derecho sobre el GPO creado y seleccione Edit en el menú contextual.

7. En la ventana Group Policy Management Editor, despliegue User configuration, Policies, Internet Explorer Maintenance y finalmente, seleccione Security.

8. En el panel derecho, has doble clic sobre Security Zones and Content Ratings, esto llamará a la siguiente ventana.


127


9. En el grupo Security Zones and Privacy, seleccione Import the current security zones and privacy settings. Posteriormente, hacer clic en el botón Continue del cuadro de diálogo, éste nos advierte que la configuración realizada aquí sólo afectará a máquinas que no tengan habilitadas el IE ESC.

10. Haga clic en el botón Modify Settings, esto llamará a la ventana de

configuración de Internet. En esta ventana se configura las opciones de seguridad para Internet que sean necesarias o requeridas. Finalmente, hacer clic en OK en las ventanas Internet properties y Security Zones and Content Ratings una vez terminada la personalización.

128


CIBERTEC

11. En Group Policy Management Editor, contraiga Windows Settings y en Policies (dentro de User Configuration) despliegue Administratives Templates: Policy definitions (ADMX files) retrieved from the local machine, luego despliegue Windows Components, Internet Explorer y finalmente, seleccione Internet Control Panel.

12. Ahora, en el panel derecho, establece el estado de las políticas tal como se muestra en la siguiente imagen. Esto se hace para que los usuarios que son afectados por el GPO no puedan realizar cambios en la configuración de seguridad:


129


13. Finalmente, cierre las ventanas de Group Policy Management Editor y Group Policy Management .

14. Para probar la configuración, valídese con el usuario “nmartinez” en una

máquina cliente y vemos el siguiente comportamiento:

Pestañas de conexión, seguridad y contenido no visibles

130


CIBERTEC

3. CONFIGURANDO CERTIFICADO DE SEGURIDAD EN EL SERVIDOR WEB

Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales, como un número de tarjeta de crédito. Los certificados de servidor contienen también información sobre la clave pública del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. Para que una página sea considerada “segura” debe hacer uso de HTTPS. HTTPS, es un protocolo de red basado en el protocolo HTTP, destinado a la transferencia segura de datos de hipertexto, es decir, es la versión segura de HTTP. La idea principal de HTTPS es la de crear un canal seguro sobre una red insegura. Esto proporciona una protección razonable contra ataques eavesdropping y man-in-the-middle, siempre que se empleen métodos de cifrado adecuados y que el certificado del servidor sea verificado y resulte de confianza.

No se pueden descargar archivos debido a la zona de seguridad escogida (Zona Alta).


131


El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. De este modo, se consigue que la información sensible (usuario y claves de paso, normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión, ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar. El puerto estándar para este protocolo es el 443. Para configurar los certificados de seguridad en IIS 7, se siguen tienen tres etapas: solicitar el certificado, instalar el certificado y enlazar el certificado a un Website.

3.1 IMPLEMENTACIÓN DE CERTIFICADOS EN UN WEB SITE CON IIS 7.0

3.1.1 Solicitar el certificado.

Para esta etapa se siguen los siguientes pasos:

1. Seleccione Start, Administrative Tools y por último, haga clic en Internet Information Services (IIS) Manager.

2. Seleccione su servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.

132


CIBERTEC

3. Haga doble clic en Server Certificates. El Internet Information

Services (IIS) Manager configure como se muestra en la siguiente imagen.

4. En el panel Actions, haga clic en Create Certificate Request. En la ventana que se despliega, ingrese los datos siguientes:

a. Common name: Escribe un nombre para el certificado. Debe ser

FQDN. b. Oraganization: Escribe el nombre de la organización en la que se

utilizará el certificado.

c. Organizational unit: Escribe el nombre de la unidad organizativa de la organización en la que se utilizará el certificado.

d. City/Locality: Escribe el nombre sin abreviar de la ciudad o

localidad donde reside su organización o unidad organizativa.

e. State/Province: Escribe el nombre sin abreviar del estado o provincia donde reside su organización o unidad organizativa.

f. Country/Region: Escribe el nombre del país o región donde reside

su organización o unidad organizativa.

Luego de ingresado los datos, haga clic en Next.


133


5. En la ventana de Cryptographic Service Provider Properties, seleccione Microsoft RSA SChannel Cryptographic. De forma predeterminada, IIS 7 utiliza Microsoft RSA SChannel Cryptographic Provider. En la lista desplegable Longitud en bits, seleccione una longitud en bits que puede utilizar el proveedor. De forma predeterminada, el proveedor RSA SChannel utiliza una longitud en bits de 1024, el mismo valor será usado para el ejemplo, luego Usted haga clic en Next.

6. En la página File Name, Escribe el nombre “Prueba” en el cuadro de texto o Usted haga clic en el botón de exploración (...) para buscar un

134


CIBERTEC

archivo y, a continuación, haga clic en Finish. Eso creará el archivo Prueba.csr.

7. Envíe la solicitud de certificado a una entidad de certificación pública, el archivo se ubica en %systemroot%\System32 si es que sólo ha especificado el nombre de archivo en la ventana anterior. La entidad responderá con prueba.cer

3.1.2 Instalar el certificado en el Web Site

1. Seleccione a Start, Administrative Tools y finalmente, haga clic en

Internet Information Services (IIS) Manager.


135


2. Seleccione el servidor en el panel izquierdo, luego en el grupo IIS

seleccione Server Certificates.

3. Haga doble clic en Server Certificates. La ventana de Internet Information Services (IIS) Manager cambiará a lo que se muestra en la siguiente imagen.

136


CIBERTEC

4. En el panel Actions, haga clic en Complete Certificate Request.

5. En la ventana anterior, Escribe la ruta de acceso del archivo que contiene la respuesta de la entidad de certificación o haga clic en el botón de exploración (…) para buscar el archivo y poner dicha ruta en el cuadro de texto. Finalmente, escribe el nombre “PruebaIIS7” para su certificado y haga clic en OK.


137


6. Finalmente, el certificado estará instalado para el uso en un Website del IIS (Esto puede verificarlo en Server Certificates).

3.1.3 Enlaza el certificado al Website.

Para este ejemplo, utilizaremos el Default Web Site.

1. Seleccione a Start, Administrative Tools y para finalizar, haga clic en Internet Information Services (IIS) Manager.

2. En el panel Connections, seleccione y despliegue el servidor, posteriormente, despliegue Sites y seleccione Default Web Site.

138


CIBERTEC

3. En el panel Actions, seleccione Bindings. Esto abrirá la siguiente ventana.

4. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado “PruebaIIS7” y al finalizar, haga clic en OK.

5. Observe que en el panel Actions, se ha añadido Browse *:443 (https).


139


6. Ejecute Internet Explorer e ingrese a la dirección

https://serv01.nwtraders.com.

Nota: En algunos casos es necesario, instalar certificados intermedios a fin de identificar a un servidor y evitar el error de certificado no garantizado. Parar estos casos, con cada certificado intermedio, se siguen los siguientes pasos:

- Descargue el certificado intermedio a una carpeta del servidor. - Has doble clic sobre el certificado para poder ver sus propiedades. - En la parte baja de la ficha General, haga clic en el botón Install

Certificate para iniciar el asistente de importación de certificados.

https://serv01.nwtraders.com/

140


CIBERTEC

- Seleccione Place all certificates in the following store y haga clic en Browse.

- Marque la casilla de verificación Show physical stores, luego despliegue la carpeta Intermediate Certification Authorities, seleccione la carpeta Local Computer. Clic en OK. Clic en Next, después, en Finish.


141


3.2 IMPLEMENTA UN CERTIFICADO AUTOFIMARDO EN IIS 7.0 El uso de los certificados autofirmados para un equipo local es útil en los siguientes casos:

- Para solucionar los problemas relacionados con los certificados de otros fabricantes.

- Para administrar IIS de manera remota. - Para crear un canal privado seguro entre su servidor y un grupo

limitado de usuarios conocidos, como es el caso de un entorno de prueba de software.

- Para probar las características que dependen de la configuración de SSL.

3.2.1 Los pasos para implementar un certificado autofirmado son:

1. Seleccione a Start, Administrative Tool, finalmente, haga clic en Internet Information Services (IIS) Manager.

2. Seleccione el servidor en panel izquierdo, luego en el grupo IIS seleccione Server Certificates.

3. Haga doble clic en Server Certificates. El Internet Information Services (IIS) Manager cambiará a lo que se muestra en la siguiente imagen.

142


CIBERTEC

4. En el panel Actions, haga clic en Create Self-Signed Certificiate. En la ventana que se despliega, ingrese un nombre para el certificado. Para el ejemplo, escribe “SelfCert” como nombre al finalizar, haga clic en OK.

5. El certificado ya estará creado, ahora adjuntelo a un Web Site (por

ejemplo a Contoso.com). Para ello, seleccione el Web Site y en el panel Actions, seleccione Bindings. Esto abrirá la siguiente ventana.


143


6. En la ventana anterior, haga clic en Add. Y en la ventana que se despliega, seleccione https en el cuadro combinado Type, y en SSL Certificate seleccione el certificado “SelfCert” al finalizar, haga clic en OK.

7. Cierre la ventana Set Bindings.

8. Ahora ingrese a la dirección https://www.contoso.com (o el nombre de su Web Site) y vemos que se obtiene lo siguiente.

Lo cual ocurre por tratarse de un certificado que sólo se usa con fines de prueba o con redes de pocos usuarios. Simplemente, seleccione Continue to this website para ver la siguiente pantalla.

https://www.contoso.com/

144


CIBERTEC


145


Resumen

Durante los últimos años los servidores Web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa.

La mayor parte de estos ataques tiene éxito gracias a una configuración

incorrecta del servidor o a errores de diseño del mismo Los certificados forman parte del cifrado de Capa de sockets seguros (SSL).

Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales, como un número de tarjeta de crédito. Los certificados de servidor contienen también información sobre la clave pública del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor.

Para que una página sea considerada “segura” debe hacer uso de HTTPS. Para configurar los certificados de seguridad en IIS 7, se desarrollan tres

etapas: solicitar el certificado, instalarlo y enlazarlo a un Website. Sólo para fines de prueba y en redes pequeñas (sólo los usuarios de una

intranet requieren seguridad) puede hacer uso de certificados autofirmados. Si desea saber más acerca de estos temas, puede consultar las siguientes

páginas.

http://technet.microsoft.com/es-es/library/cc731278%28WS.10%29.aspx http://technet.microsoft.com/es-es/library/cc732230%28WS.10%29.aspx



146


CIBERTEC


147





TEMARIO






Los alumnos instalan, configuran, y administran el Servidor WSUS.

Los alumnos actualizan, e instalan actualizaciones de seguridad en los equipos de la red.

UNIDAD DE

APRENDIZAJE

4

TEMA

9

148


CIBERTEC

1. ADMINISTRACIÓN DE WINDOWS SERVER UPDATE SERVICES En esta sección implementaremos Microsoft Windows Server Update Services (WSUS), una herramienta para administrar y distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de seguridad y brinda estabilidad al sistema operativo Windows 2000 y versiones modernas, como a otras aplicaciones de Microsoft. En esta sección se describirá como instalar los componentes servidor y cliente de WSUS. También, proveerá información necesaria acerca de la administración de la infraestructura de WSUS. Tradicionalmente, los administradores mantienen actualizado los sistemas por medio de una frecuente verificación del Web Site Microsoft Update o el Web Site Security para actualizaciones de software. Los administradores descargan, manualmente, las actualizaciones disponibles, verifican las actualizaciones esos ambientes de prueba, y luego las distribuyen manualmente o usando la herramienta tradicional distribución de software. Por medio de WSUS, los administradores pueden realizar estas tareas automáticamente. A continuación, describiremos WSUS y cómo trabaja con Microsoft Update y Actualizaciones automáticas.

1.1 ¿QUÉ ES MICROSOFT UPDATE? Microsoft Update es un Web Site que mantiene sus sistemas actualizados. Usa Microsoft Update para obtener las actualizaciones de los sistemas operativos y de las aplicaciones de Windows, controladores de dispositivos actualizados, y software. Nuevo contenido es agregado regularmente al Web Site, entonces siempre puede obtener las actualizaciones más recientes para proteger el servidor y las computadoras clientes de la red. 1.1.1 ¿Qué son las actualizaciones? Las actualizaciones pueden incluir arreglos en la seguridad, actualizaciones críticas, o controladores críticos. Estas actualizaciones resuelven problemas conocidos de seguridad y brinda estabilidad en los sistemas operativos Windows 2000, Windows XP, y Windows Server. El Web Site de Microsoft Update también tiene actualizaciones para aplicaciones como Microsoft Office, Microsoft Exchange Server y Microsoft SQL Server.

1.1.2 Las categorías de las actualizaciones Las categorías de las actualizaciones para los sistemas operativos de Windows son:

Actualizaciones críticas. Soluciona problemas de seguridad y otras actualizaciones importantes para mantener nuestras computadoras y redes seguras.

Descargas recomendadas. Los últimos service packs de Windows y Microsoft Internet Explorer y otras actualizaciones importantes.


149


Herramientas de Windows. Utilidades y otras herramientas qué son brindadas para mejorar el rendimiento y facilitar las actualizaciones.

1.2 ¿QUÉ SON LAS ACTUALIZACIONES AUTOMÁTICAS?

Actualizaciones automáticas es una opción configurable en Windows. Que permite descargar e instalar actualizaciones al sistema operativo sin ninguna intervención del usuario. Las actualizaciones pueden ser descargadas desde el Web Site Microsoft Update o desde un servidor WSUS. La configuración de Automatic Updates puede ser controlado, de manera centralizada, por el administrador.

1.2.1 Opciones de actualizaciones automáticas Las actualizaciones automáticas brindan mayor flexibilidad para decidir cómo y cuándo las actualizaciones serán instaladas. Estas opciones son:

Automáticas. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Si no cambia la programación predeterminada, las actualizaciones que se hayan descargado en el equipo se instalarán a las 3 a.m. Si el equipo está apagado cuando se haya programado realizar una actualización, Windows instalará las actualizaciones la próxima vez que se inicie el equipo. Si necesita ayuda para completar el proceso de instalación, Windows se lo indicará. Por ejemplo, es posible que tenga que aceptar un contrato de licencia para el usuario final (CLUF) para poder instalar algunas actualizaciones. Si tiene que reiniciar el equipo para que una actualización surta efecto, Windows se lo indicará y usted reiniciará el equipo cuando haya programado. Las actualizaciones son descargadas, automáticamente, he instaladas

Descargar actualizaciones por mí, pero permitirme elegir cuándo instalarlas. Para recibir alertas, debe ser miembro del grupo Administradores de su equipo. Cuando se conecta a Internet, Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas.

Una vez completada la descarga, el icono de Windows Update aparece en el área de notificación y la alerta se muestra para hacerle saber que las actualizaciones están listas para ser instaladas. Para revisar e instalas las actualizaciones disponibles, haga clic en el icono o en la alerta. Puede instalar todas las actualizaciones disponibles o sólo algunas.

Notificarme, pero no descargarlas, de forma automática, ni instalarlas. Para descargar e instalar las actualizaciones usted mismo, debe ser miembro del grupo Administradores de su equipo.

150


CIBERTEC

Windows comprueba si hay actualizaciones importantes y le informa si hay alguna disponible; las actualizaciones no se descargan ni se instalan en su equipo a menos que usted lo decida. Cuando Windows encuentra actualizaciones para su equipo, el icono de

Windows Update aparece en el área de notificación y la alerta se muestra para hacerle saber que las actualizaciones están listas para ser instaladas. Cuando Usted haga clic en el icono o en la alerta, podrá seleccioner las actualizaciones que se tienen que descargar. Windows descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. Cuando la descarga ha finalizado, el icono de Windows Update vuelve a aparecer en el área de notificación, esta vez para indicarle que las actualizaciones están listas para ser instaladas. Puede elegir instalar todas las actualizaciones disponibles o sólo algunas.

Desactivar actualizaciones automáticas. Nunca se le informará cuando haya actualizaciones importantes disponibles para su equipo y no se le pedirá que las descargue ni las instale. Esto significa que el equipo puede ser vulnerable a las amenazas de seguridad y los virus peligrosos que puedan dañar el equipo o los archivos. Los virus también se pueden extender a través de Internet a otras personas a las que envíe correo electrónico, con las que comparta archivos o con las que trabaje en una red. De forma continua, se están desarrollando nuevos virus y amenazas de seguridad por lo que contribuir a proteger su equipo es un proceso ininterrumpido. Si no activa Actualizaciones automáticas, es aconsejable que instale con regularidad las actualizaciones del sitio Web Windows Update (http://www.microsoft.com/).

1.3 ¿QUÉ ES WINDOWS SERVER UPDATE SERVICES? WSUS es un componente opcional para Windows Server 2000 y 2003 que puede ser descargado desde el Web Site de Microsoft. Éste actúa como punto para distribuir actualizaciones a las estaciones de trabajo y servidores.

1.3.1 Clientes soportados: WSUS Service Pack 1 soportará los siguientes clientes:

Windows Vista o superior.

Windows Server 2008 o superior.

Cualquier edición de Microsoft Windows 2003.

Microsoft Windows XP Professional SP2 o superior.

Microsoft Windows 2000 Professional SP4, Windows Server 2000 Server SP4, o Windows 2000 Advanced Server UIT SP4.

1.3.2 Software soportado: WSUS 3.0 Service Pack 1 actualizará todos los productos siguientes:

http://www.microsoft.com/).


151


Microsoft Office XP y recientes.

Microsoft Data Protection Manager.

Windows Defender.

Microsoft ISA Server 2004

Microsoft Exchange Server 2000 y recientes.

Microsoft Forefront.

Windows Small Business Server 2003.

Microsoft SQL Server 2000 y recientes.

Windows Live.

1.4 COMPONENTE DEL SERVIDOR

Instale el componente del servidor de WSUS en un servidor que este ejecutando Windows Server 2003 o Windows Server 2008 dentro del firewall de la empresa. El firewall tiene que estar configurado para permitirle al servidor interno sincronizar el contenido con el Web Site de Microsoft Update cuando existan actualizaciones críticas disponibles para Windows. La sincronización puede ser automática, o el administrador puede realizarla manualmente. Las actualizaciones sincronizadas tienen que ser aprobadas antes de que puedan ser instaladas en las computadoras clientes. Esto permite verificar las actualizaciones con aplicaciones corporativas antes de distribuirlas. Éste es un beneficio que brinda WSUS sobre Microsoft Update. 1.5 COMPONENTE DEL CLIENTE Las actualizaciones automáticas es el software cliente que descarga e instala las actualizaciones desde el servidor WSUS. El cliente tiene que estar configurado con la ubicación del servidor WSUS. La ubicación se puede configurar a través del regedit o usando Group Policy. Usar Group

Policy es lo más recomendado.

2. ESCENARIOS Y REQUERIMIENTOS PARA INSTALAR WINDOWS SERVER UPDATE SERVICES

WSUS consistente de ambos componentes del lado del cliente y del lado del servidor para brindar una solución básica en la administración críticas de actualizaciones. En esta lección, explicaremos como instalar y configurar ambos componentes tanto en el cliente y en el servidor de WSUS.

2.1 IMPLEMENTACIÓN DE ESCENARIOS WSUS

Para permitir diversas situaciones, puede implementar el servidor WSUS en varios escenarios. Puede escoger el escenario de implementación que sea el más apropiado para tú organización. Los factores de decisión quizás incluya el número de ubicaciones en red vuelve ancho de banda de tu conexión de Internet.

152


CIBERTEC

2.1.1 Un solo servidor WSUS (red pequeña o sencilla) En un escenario con un solo servidor WSUS, los administradores pueden configurar un servidor que ejecute WSUS dentro de su firewall corporativo, el cual sincroniza el contenido directamente con Microsoft Update y distribuye las actualizaciones entre los equipos cliente, tal y como se muestra en la figura siguiente.

2.1.2 Varios servidores WSUS independientes Los administradores pueden implementar varios servidores configurados de forma que cada uno sea administrado, independientemente, y sincronice su contenido desde Microsoft Update, tal como se muestra en la figura siguiente.

El método de implementación en este escenario sería apropiado en situaciones en las que los diferentes segmentos de redes de área local (LAN) o redes de área extensa (WAN) se administran como entidades separadas (por ejemplo, sucursales). También, sería adecuada cuando un servidor que ejecuta WSUS se ha configurado para implementar actualizaciones sólo en equipos cliente que ejecutan un sistema operativo determinado (como, por ejemplo, Windows 2000), mientras otro servidor


153


se ha configurado para implementar actualizaciones sólo en equipos cliente que ejecutan otros sistemas operativos (como, por ejemplo, Windows XP).

2.1.3 Varios servidores WSUS sincronizados internamente Los administradores pueden implementar varios servidores que ejecuten WSUS y que sincronicen todo el contenido de la intranet de la organización. En la figura siguiente, sólo hay un servidor expuesto a Internet. En esta configuración, éste es el único servidor que descarga actualizaciones desde Microsoft Update. Este servidor está establecido como el servidor que precede en la cadena, con cuyo origen se sincroniza el servidor que sigue en la cadena. Si es necesario, los servidores pueden ubicarse a través de una red, geográficamente, dispersa para ofrecer la mejor conectividad posible a todos los equipos cliente.

2.1.4 Servidores WSUS desconectados Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet, los administradores pueden configurar un servidor interno que ejecute WSUS, tal como se muestra en la figura siguiente. En este ejemplo, se creó un servidor para conectarlo a Internet; sin embargo, éste se encuentra aislado de la intranet. Después que descargar, probar y aprobar las actualizaciones en este servidor, un administrador podría, a continuación, exportar los metadatos y contenido de las actualizaciones a

154


CIBERTEC

los medios apropiados. Luego, desde estos medios, el administrador importaría los metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS dentro de la intranet. Aunque la figura siguiente muestra este modelo en su forma más sencilla, éste podría escalarse a una implementación de cualquier tamaño.

2.2 REQUERIMIENTOS DEL SERVIDOR WSUS

2.2.1 Requerimientos de almacenamiento

1 GB en la partición del sistema.

2 GB para el volumen en donde se almacenar los archivos de la base de datos.

20 GB para el volumen en donde estará almacenado el contenido.

2.2.2 Instalación en Windows Server 2003 WSUS 3.0 Service Pack 1 no puede ser instalado en Windows

2000 Server. La instalación en Windows Server 2003 requiere los siguientes prerrequisitos:

Internet Information Services.

.NET version 2.0

Microsoft Management Console 3.0

Microsoft Report Viewer

Microsoft SQL Server 2005 SP1 o superior. 2.2.3 Instalación en Windows Server 2008

Instale deIIS desde el sistema operativo. Asegúrese que los siguientes componentes están habilitados:

Windows Authentication

Static Content

ASP.NET

6.0 Management Compatibility


155


6.0 IIS Metabase Compatibility Instale Microsoft Report Viewer, descárguelo desde el Web Site de

Microsoft. .NET 2.0 y MMC 3.0 están instalados como parte del sistema

operativo. Microsoft SQL Server 2005 SP2 o superior.

2.3 CONFIGURACIÓN DE ACTUALIZACIONES AUTOMÁTICAS La política de grupo es la forma más apropiada de configurar las opciones para actualizaciones automáticas. Esto permite una configuración centralizada y distribuida para todas las computadoras clientes WSUS sin ninguna interacción del usuario. El administrador puede ejecutar políticas de actualización a todas las computadoras desde una ubicación central.

2.3.1 Actualiza la plantilla administrativa de la política de grupo. WSUS habilita varias opciones de actualizaciones automáticas en están disponibles en versiones anteriores de clientes. Como consecuencia, las configuraciones por defecto de la política de grupo que estaban incluidas con Windows Server 2003 no van a permitir configurar todas las opciones actuales de las actualizaciones automáticas.

2.3.2 Control administrativo usando política de grupo. Las opciones de configuración que han sido definidas por el administrador usando política de grupo siempre sobrescribirán a las opciones definidas por el usuario. También, las opciones de actualizaciones automáticas en el panel de control están deshabitadas en la computadora destino cuando las políticas administrativas han sido configuradas. La configuración para las actualizaciones automáticas está ubicada en Computer Configuration\Administrative Templates\Windows Components\Windows Update.

2.3.3 Configuraciones de actualizaciones automáticas usando

política de grupo. Varias configuraciones de actualizaciones automáticas usando política de grupo son las siguientes:

Específica la ubicación de la intranet Microsoft update service.

Frecuencia de detección para actualizaciones automáticas.

Permite la instalación inmediata de las actualizaciones automáticas.

Permite que los usuarios no administradores reciban notificaciones de actualización.

156


CIBERTEC

1 ADMINISTRANDO WINDOWS SERVER UPDATE SERVICES

Como administrador, va a decidir cuando instalar las actualizaciones, o si primero va a verificar las actualizaciones en una computadora de prueba. Ahora, analizaremos como ver el contenido de las actualizaciones sincronizadas, así como también aprobar e instalar las actualizaciones.

Es muy importante tener un backup de la configuración de WSUS y de esta forma podamos restaurar la configuración en caso de un evento de desastre.

Existen 5 tareas primarias para administrar WSUS

Revizar el estatus de la información, como las actualizaciones requeridas por las computadoras.

Revizar y aprobar las actualizaciones para los clientes.

Generar reportes del estado de las actualizaciones, computadoras, sincronización, y configuración de WSUS.

Administrar el grupo de computadoras.

Configurar las opciones para la sincronización de WSUS, aprobaciones automáticas, y asignar computadoras a los grupos.

1.1 CONSOLA DE ADMINISTRACIÓN DE WINDOWS UPDATE SERVICES

La consola de administración WSUS 3.0 ha sido movida desde la consola basada en Web hacia el MMC 3.0 (Microsoft Management Console). La nueva interfase brinda las siguientes características:

Cada nodo de la página principal contiene una vista previa de todas las tareas asociadas con este nodo.

Filtro avanzado.

Nuevas columnas que te permite organizar las actualizaciones de acuerdo al tipo: número MSRC, artículo KB, y estado de la instalación.

Acceso directo a menús, que te permite realizar una acción con el clic derecho.

Reporte integrado.

1.2 COMO TRABAJA LA SINCRONIZACIÓN

Los servidores que ejecutan WSUS son actualizados un proceso llamado sincronización. Este proceso compara el software del servidor WSUS con las últimas actualizaciones liberadas del Web Site Microsoft Update. Los administradores pueden configurar este proceso, automáticamente, o de forma manual.


157


1.2.1 Sincronización programada La configuración por defecto para la sincronización programada es manual. Esto significa que el administrador tiene que escoger manualmente descargar las actualizaciones nuevas para el servidor WSUS. Éste es apropiado, únicamente, para los servidores WSUS desconectados. Para otros servidores WSUS, la sincronización debería ser programada. La programación diaria permite al servidor WSUS tener las últimas actualizaciones. Después de la sincronización el administrador aún tiene que aprueba las actualizaciones antes que serán distribuidas a los clientes. 1.2.2 Clasificación de productos y actualizaciones El administrador puede seleccioner productos específicos y clasificar las actualizaciones para limitar la descarga innecesaria. Por defecto, son descargadas las actualizaciones críticas y las actualizaciones de seguridad. 1.2.3 Fuente de actualización El administrador puede sincronizar el contenido del servidor WSUS desde el Web Site de Microsoft Update o desde otra instalación WSUS. La fuente de actualización dependerá de cómo hayas planeado la implementación de WSUS. Un servidor WSUS independiente sincronizará el contenido desde el Web Site de Microsoft Update, mientras que el servidor WSUS de una oficina sucursal sincronizará su contenido desde el servidor WSUS de la oficina principal. 1.2.4 Idioma de actualización El administrador puede indicar las actualizaciones que son descargadas basadas en el idioma de la actualización. Esto reduce el uso del ancho de banda para la descargadas y reduce el espacio de disco requerido para almacenado las actualizaciones. La configuración, por defecto, descarga las actualizaciones en todos los idiomas.

1.3 ADMINISTRAR LOS GRUPOS DE COMPUTADORAS Los grupos de computadoras son usados por WSUS para controlar que actualizaciones son aplicadas, y a que computadoras. Esto permite implementar etapas en las actualizaciones y reducir la carga en la red. Por ello, los grupos de computadoras son ideales para testear las actualizaciones en computadoras específicas antes de distribuida las actualizaciones a toda la organización.

1.3.1 Computadoras clientes Las computadoras clientes están listas en la página computers de la consola de administración. Estas computadoras son agregadas, automáticamente, a esta página después se contacta con el servidor WSUS. Una computadora nunca es removida, de manera automática, desde el servidor WSUS. Si reconfigura una computadora para usar otro Servidor WSUS, tendrá que remover, manualmente, la computadora desde el servidor WSUS original.

158


CIBERTEC

1.3.2 Grupos de computadoras por defecto Todas las nuevas computadoras son agregadas, de forma automática, a los grupos All Computers group y Unassigned Computers Group. El grupo All Computers group brinda una forma conveniente para aplicar actualizaciones a cada computadora está usando un servidor WSUS. El grupo Unassigned Computers Group te permite ver que computadoras quizás sea nuevas usando el servidor WSUS y necesiten ser agregadas a un grupo. Después que las computadoras son agregadas a un grupo creado por el administrador ellas ya no formarán parte del grupo Unassigned Computers Group. 1.3.3 Agregar computadoras a los grupos de computadoras Las computadoras pueden ser agregadas manualmente o automáticamente a los grupos. Para agregar de forma manual las computadoras a los grupos, se usa la consola WSUS Administration. Para agregar las computadoras automáticamente, se debe usar la política de grupo Client-side targeting.

1.4 APROBAR ACTUALIZACIONES Después que las actualizaciones han sido sincronizar al servidor WSUS, tendrás que aprobarlas para inicializar la implementación.

1.4.1 Aprobar una actualización El administrador puede aprobar la instalación de una actualización, detectar, eliminar, o declinar. Cuando apruebe una actualización, especifique la configuración, por defecto, aprobada en el grupo All Computers group, y algunas configuraciones necesarias por cada grupo de computadora en la ventana aprobar actualizaciones. Sino, pruebe una actualización, el estatus de aprobación se mantiene como no aprobar y el servidor WSUS no va realizar ninguna acción para la actualización. La excepción para esta feria son las actualizaciones críticas y de seguridad, que son aprobadas, automáticamente, por defecto. 1.4.2 Detección Cuando aprueba una actualización para detección, la actualización no es instalada. En vez, que WSUS verifique si actualización es compatible o necesaria con un grupo de computadoras. Puede especificar la detección. Detección ocurre en una hora programada. Después de la detección puede ver cómo algunas computadoras no tienen la actualización instalada y es necesitada. El número necesitado para una actualizaciones 0, luego todas las computadoras clientes son actualizadas. 1.4.3 Instalación La opción aprobar instalación instala la actualización al grupo de computadoras seleccionedas. En la instalación por defecto de WSUS, las actualizaciones no son descargadas al servidor WSUS hasta que sean aprobadas para la instalación. Cuando una actualización está aprobada para ser instalada, puede configurar un plazo. La fecha especificada en el plazo obliga la instalación de la actualización en las computadoras clientes.


159


1.4.4 Eliminación Si una actualización causa problemas después de ser instalada, esta puede ser removida por medio de la eliminación. Éste es, particularmente, importante si has automatizado la instalación automática para ciertas clasificaciones de actualizaciones. 1.4.5 Declinar actualizaciones Como administrador puedes declinar cualquier actualización que no sea relevante para recta. Una actualización declinada es removida de la lista disponible de actualizaciones. 1.4.6 Aprobaciones automáticas El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas organizaciones. Algunas organizaciones han encontrado un menor riesgo en aplicar actualizaciones críticas y de seguridad, de forma inmediata, antes que esperar que el proceso de testeo haya sido completado. Esto permite que los nuevos virus no tomen ventajas de las fallas.

1.5 USAR REPORTES Los reportes brindan una forma rápida para obtener una vista preliminar de los estados de las actualizaciones, estados de las computadoras, resultados de sincronización, y configuración de WSUS. También, puede imprimir los reportes para mostrarlos en reuniones e incluirlos como los reportes del estado de la red. Puede generar diferentes tipos de reportes desde diferentes lugares en la consola de administración de WSUS.

Los reportes generales en la página Reports de la consola.

Los reportes de actualizaciones específicas

Los reportes de computadoras específicas.

1.5.1 Los tipos de reportes Los reportes más importantes son:

a) Resumen de los informes de compatibilidad. b) los reportes individuales de la computadora. c) los reportes individuales de actualizaciones. d) Los reportes de compatibilidad del servidor de descarga. e) Los reportes de sincronizaciones.

1.6 BACKUP Y RESTAURACIÓN DE WSUS

A través de WSUS no se brinda una herramienta de backup propia, puede usar la utilidad de backup disponible en todos los servidores que ejecutan Windows Ser ver 2003 o Windows Server 2008.

160


CIBERTEC

1.6.1 Base de datos de WSUS Cuando se realiza un backup de la base de datos de WSUS, el servicio MSSQL$WSUS deberá estar detenido. Si el servicio se está ejecutando durante el backup hay un riesgo que el backup podría ser inconsistente. La base de datos de WSUS contiene la siguiente información:

Actualización de la metadata, incluye información acerca de las actualizaciones. La metadata es también, el lugar donde se guarda el EULA (la licencia de usuario final).

La configuración del servidor WSUS, e incluir todas las configuraciones del servidor. Estas opciones son especificadas desde la consola WSUS.

Información acerca de las computadoras clientes, actualizaciones, y la interacción del cliente con las actualizaciones. Puedes acceder a esta información a través de la consola WSUS cuando es el estado o ejecutas el reporte en el estado de la computadora cliente con en el estado de actualización.

1.6.2 Directorio de actualizaciones

El directorio que contiene todas las actualizaciones que han sido descargadas y almacenadas en el servidor WSUS, por defecto se encuentra en %systemdrive%\WSUS\WSUSContent.


161


2 INSTALACIÓN DE LOS PRE-REQUISITOS 2.1 INSTALACIÓN DEL SERVIDOR WEB En este paso, debe instalar el Servidor Web

1. Ingrese al Server Manager, y seleccione Add Roles.

2. En la ventana Select Server Roles, haga clic en Web Server (IIS), luego 2 veces clic en Next.

162


CIBERTEC

3. En la ventana Select Role Services, seleccione Windows Authentication, Static Content, ASP.NET, IIS 6 Metabase Compatibility, haga clic en Next.

4. En la ventana de resumen clic en Install, luego clic en Close.

2.2 INSTALACIÓN DE REPORT VIEWER 1. Haga 2 clics en ReportViewer, luego clic en Run. 2. En la ventana Welcome to Microsoft Report Viewer Redistributable 2008 Setup, haga clic en Next.


163


3. En la ventana End-User License Agreement, seleccione I accept the terms of the License Agreement, luego haga clic en Install.

4. Ahora clic en Finish.

3 IMPLEMENTACIÓN DE WSUS

3.1 INSTALACIÓN DE WSUS 1. Ejecute WSUS30-KB972455-x86.exe 2. En la ventana Do you want run this file? Usted haga clic en Run.

164


CIBERTEC

3. En la ventana Welcome to the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Next.

4. En la ventana Installation Mode Selection, seleccione Full server installation including Administration Console, haga clic en Next.


165


5. En la ventana License Agreement, seleccione I accept the terms of the License agreement, haga clic en Next.

6. En la ventana Select Update Source, haga clic en Store updates locally y finalmente clic en Next.

166


CIBERTEC

7. En la ventana Database Options, seleccione Install Windows Internal Database on this computer, haga clic en Next.

8. En la ventana Web Site Selection, haga clic en Use the existing IIS Default Web Site (recommended), haga clic en Next.


167


9. En la ventana Ready to Install Windows server Update Services 3.0 SP1, haga clic en Next

10. En la ventana Completing the Windows Server Update Services 3.0 SP1 Setup Wizard, haga clic en Finish.

168


CIBERTEC

3.2 INSTALACIÓN DE WSUS

1. Después de instalar WSUS, aparecerá el asistente de configuración. La primera advertencia que aparece nos pregunta si el servidor firewall esta configurado para permitir que los clientes puedan acceder al servidor.

2. Windows Server 2008 se instala con el firewall activo por defecto, entonces una regla para los puertos de WSUS tienen que ser configuradas. Abra el Windows Firewall y encuentre las 2 reglas de WSUS que han sido configuradas para conexiones HTTP y HTTPS. La regla HTTPS no esta habilitada, si quiere usar SSL para WSUS clientes deberás habilitarla.


169


3. En la ventana Choose Upstream Server, seleccione Synchronize from Microsoft Update, haga clic en Next.

4. En la ventana Choose Languages, seleccione Download updates only in these languages (spanish).

170


CIBERTEC

5. En la ventana Choose Products, seleccione los productos que desea actualizar, y haga clic en Next.

6. En la ventana choose Classifications, seleccione Critical Updates, Definition Updates, y Security Updates, después haga clic en Next.


171


7. En la ventana Set Sync Schedule, seleccione Synchronize manually, después haga clic en Next.

8. Ahora, ejecute la consola de administración de WSUS, dando clic en Next.

172


CIBERTEC

9. Lee lo que muestra la ventana, y luego clic en Finish.

3.3 ADMINISTRACIÓN DEL SERVIDOR Y CLIENTE WSUS

A partir de aquí, verá opciones que quedan para configurar en WSUS así cómo parámetros para administrarlo, y posteriormente, cómo implementar el WSUS con directivas en el Directorio Activo.

3.3.1 Crear el grupo de computadora Finanzas 1. Ejecute la consola de administración de WSUS. 2. Click derecho sobre “All Computers” y ahí elige “Add Computer Group”, y escribe Finanzas.

3.3.2 Configurando los clientes WSUS por medio de GPO Lo primero que debes hacer es crear un GPO con el nombre WSUS PC CLients para los clientes WSUS.

1. Dentro del GPO edite Configure Automatic Updates


173


2. En la ventana Configure Automatic Updates, seleccione Enabled, luego seleccione Auto download and Schedule the installation, después programe la instalación en Scheduled install day = 0 Every day, y en Scheduled install time = 18:00.

3. Busque y habilite la política Specify intranet Microsoft update service location, en Intranet update services e Intranet statics server escribe http://nombre_del_servidor_wsus.

http://nombre_del_servidor_wsus/

174


CIBERTEC

4. Finalmente, debe buscar la política Enable client-side

targeting, y escribe el nombre del grupo de computadora (Finanzas) al que pertenecerá los equipos.

5. Con esto las computadoras, se reportarán al servidor WSUS, lo único que faltaría es aprobar las actualizaciones.

6. Algunas otras opciones:

Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas.

No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalación programada en vez de reiniciarlo automáticamente.

Automatic Update detection frequency: Es el número total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones.

Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algún servicio entonces que lo instale inmediatamente.

Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado.


175


Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado.

Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no.

Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros, sino es sólamente de Microsoft.

Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrán acceder al sitio de Windows Update.

Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la máquina para que sólo se utilice a través del WSUS.

Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box: Habilita o deshabilita la opción de instalar los parches y apagar el equipo en el menú de Apagar del cliente.

Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box: Si queremos que, por defecto, sea la opción elegida cuando apagamos el cliente.

176


CIBERTEC

Resumen

Antes de instalar WSUS en Windows 2008 Server tiene que instalar IIS y Report

Viewer. La instalación de WSUS requiere 6GB de espacio libre en el disco duro

Windows Server Update Service entrega actualizaciones a las computadoras o

servidores en la red. WSUS puede actualizar productos de Microsoft como: Office, Data Protection

Manager, Windows Defender, Isa Server, Exchange Server, etc. Las actualizaciones tienen que ser aprobadas para estar disponibles a los equipos

de la red. El comando gpupdate /force permite actualizar las políticas configuradas en el

Servidor WSUS. Si desea saber más acerca de estos temas, puede consultar las siguientes páginas. http://technet.microsoft.com/en-us/wsus/default.aspx

Aquí hallará información adicional sobre WSUS.

http://www.microsoft.com/downloads/details.aspx?FamilyID=113d4d0c-5649-

4343-8244-e09e102f9706&displaylang=en

En esta página, hallará información de cómo implementar WSUS.

6416B Updating your Network Infrastructure and Active Directory Technology

Skills to Windows Server 2008.

Aquí hallará información adicional sobre WSUS.

http://technet.microsoft.com/en-us/wsus/default.aspx

http://www.microsoft.com/downloads/details.aspx?FamilyID=113d4d0c-5649-%20%20%204343-8244-e09e102f9706&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=113d4d0c-5649-%20%20%204343-8244-e09e102f9706&displaylang=en


177


178


CIBERTEC

TERMINAL SERVER


Al término de la unidad, los alumnos, podrán describir los componentes que forman parte de la infraestructura Terminal Server y Terminal Server Web Access..

Al término de la unidad, los alumnos, podrán implementar la infraestructura Terminal Server podrán permitir el acceso remoto a las aplicaciones que se ejecutan en el Servidor.

TEMARIO

Concepto de Terminal Server

Implementación de Terminal Server

Concepto de Terminal Server Web Access

Implementación de Terminal Server Web Access


Los alumnos instalan y configuran el Servidor Terminal Server y Termian Web Acces brindado aplicaciones de forma remota a los clientes de la red.

Publican aplicaciones via Web.

UNIDAD DE

APRENDIZAJE

5

TEMA

10


179


1. CONCEPTO DE TERMINAL SERVER El rol de Terminal Services de Windows Server® 2008 permite a los usuarios acceder a programas Windows® instalados en un servidor de terminales o acceder a un desktop Windows completo. Con Terminal Services se puede acceder a un servidor de terminales desde la red corporativa o desde Internet. En Windows Server 2008, el rol de Terminal Services introduce muchas novedades y mejoras con respecto a las versiones anteriores del sistema operativo, que afectan a las funcionalidades básicas, al proceso de impresión remota, al sistema de licencias, al modelo de administración de los propios servidores y servicios, y también incorpora innovaciones como RemoteApp o el Terminal Services Gateway.

1.1 HABILITE EL TERMINAL SERVER

1. En SRV-NPS-01, clic Start | Server Manager. 2. Clic derecho en Roles. 3. Clic en Add Roles. 4. Clic en Next. 5. Seleccione Terminal Services y clic en Next dos veces. 6. En la lista Roles Services, clic Terminal Server y luego clic dos veces en Next. 7. En la venatana Specify Authentication Method for Terminal Server seleccione Do not requiere Network Level Authentication y luego clic dos veces en Next. 8. En la ventana Select User Group Allowed Access To This Terminal Server incorpore el grupo de usuarios que tienen permisos para accede al Terminal Server, luego clic en Next y finalmente clic en Install. 9. Reinicie el Servidor para que los cambios surgan efecto.

1.2 ACCEDE A LOS PROGRAMAS DEL SERVIDOR TERMINAL

1. Desde Windows Vista inicie sesion con el usuario jurbina, clic en Menu inicio | en Iniciar búsqueda escriba Mstsc. 2. Escriba en equipo srv-nps-01 luego clic en Conectar. 3. En la ventana Escribir las credenciales escriba el nombre del usuario y contraseña. 4. Clic en Conectar.

2. PERMISOS DE ACCESO AL TERMINAL SERVER Terminal Server brinda 3 tipos de permiso:

Control Total

Acceso Usuario

Acceso Invitado

180


CIBERTEC

2.1 Control Total El permiso de control total permite que el usuario pueda realizar modificaciones en el perfil del usuario y del servidor. 2.2 Acceso Usuario El permiso de acceso usuario permite que el usuario pueda realizar modificaciones en el perfil del usuario, pero no en el servidor. 2.2 Acceso Invitado El permiso de acceso invitado permite que el usuario no pueda realizar modificaciones en el perfil del usuario ni en el servidor.

3. CONCEPTO DE TERMINAL SERVER WEB ACCESS Acceso web de Terminal Services (Acceso web de TS) es un servicio de función de la función Terminal Services que permite poner programas RemoteApp de Terminal Services (RemoteApp de TS) y una conexión al escritorio de Terminal Server a disposición de los usuarios desde un explorador web. Acceso web de TS también permite a los usuarios conectarse desde un explorador web al escritorio remoto de cualquier equipo servidor o cliente donde tengan el acceso apropiado.

Con Acceso web de TS, los usuarios pueden visitar un sitio web (desde Internet o desde una intranet) para obtener acceso a una lista de programas de RemoteApp disponibles. Cuando inician un programa RemoteApp, se inicia una sesión de Terminal Services en el servidor de Terminal Server basado en Windows Server® 2008 que hospeda el programa RemoteApp.

Después de instalar Acceso web de TS en un servidor web basado en Windows Server 2008, los usuarios pueden conectarse al servidor de Acceso web de TS para obtener acceso a programas RemoteApp que estén disponibles en un servidor de Terminal Server basado en Windows Server 2008. Acceso web de TS ofrece muchas ventajas. A continuación se enumeran algunas:

Los usuarios pueden obtener acceso a programas RemoteApp desde un sitio web, a través de Internet o de una intranet. Para iniciar un programa RemoteApp, basta con hacer clic en su icono.

Si un usuario inicia varios programas de RemoteApp mediante Acceso web de TS, y los programas se ejecutan en el mismo servidor de Terminal Server, los programas de RemoteApp se ejecutarán dentro de la misma sesión de Terminal Services.

El uso de Acceso web de TS provoca una carga administrativa mucho menor.

Permite implementar programas fácilmente desde un lugar centralizado. Por otro lado, los programas se ejecutan en un servidor de Terminal Server y no en el equipo cliente, por lo que su mantenimiento es más fácil.

Acceso web de TS incluye Conexión web a Escritorio remoto, que permite a los usuarios conectarse desde una ubicación remota al escritorio de cualquier equipo si tienen acceso a Escritorio remoto.


181


Acceso web de TS proporciona una solución que funciona con un mínimo de

configuración. La página web de Acceso web de TS incluye un componente web Acceso web de TS, que puede incorporarse en una página web personalizada o en un sitio de Windows® SharePoint® Services.

3.1 INSTALA EL TERMINAL SERVER WEB ACCESS 1. En SRV-NPS-01, clic Start | Server Manager. 2. Seleccione el rol Terminal Services, luego clic derecho en Terminal Services y seleccione Add Role Services. 3. Clic en TS Web Access y luego clic 3 veces en Next. 4. Haga clic en Install y luego clic en Close.

3.2 PUBLICA LAS APLICACIONES REMOTAS PARA TS WEB ACCESS

1. En SRV-NPS-01, ejecute la herramienta administrativa TS RemoteApp Manager.

2. Haga clic en Add RemoteApps, en la ventana Welcome to the RemoteApp Wizard haga clic en Next. 3. Seleccione la aplicación Calculator y Paint y luego clic en Next.

182


CIBERTEC

4. Finalmente clic en Finish.

3.3 ACCEDE A LA PÁGINA DEL TS WEB ACCESS

1. En SRV-NPS-01, ejecute IE e ingrese a la direccioón http://srv-nps-01/ts. 2. En la ventana de autenticación ingrese el nombre de usuario y contraseña.

3. Ejecute las aplicaciones que se han publicado.


183


Resumen

Terminal Server permite a los usuarios acceder al escritorio de Windows y sus

programas desde cualquier equipo que use el cliente terminal.

TS Web Access permite a los usuarios acceder a determinadas aplicaciones que están instaladas en el Servidor Terminal usando el navegador.

Las aplicaciones que brinda TS Web Access a los usuarios deben ser primero

publicadas con la herramienta administrativa TS RemoteApp Manager.

Terminal Server permite centralizar las aplicaciones en la red.

Para controlar el tipo de acceso al Servidor Terminal existen 3 tipos de permisos: control total, acceso de usuario y acceso de invitado.

Terminal Server es la solución ideal para equipos que no puedan instalar

aplicaciones basadas en Windows como Linux, MacOSX o Unix.

Si desea saber más acerca de estos temas, puede consultar las siguientes páginas. http://technet.microsoft.com/es-es/library/cc754746(WS.10).aspx

Aquí hallará información sobre Terminal Server.


Aquí hallará información adicional sobre TS-Web-Access.



184


CIBERTEC

ADMINISTRACIÓN AVANZADA DEL DIRECTORIO

ACTIVO


Al término de la unidad, los alumnos, podrán implementar, y administrar el Servidor RODC en las oficinas sucursales.

Al término de la unidad, los alumnos, podrán registrar los equipos clientes al Dominio a través del Servidor RODC.

TEMARIO

Implementar el RODC.

Implementar Server Core como Servidor de Archivo.


Los alumnos implementan el Servidor RODC.

Los alumnos registran sus equipos con Vista usando el RODC.

UNIDAD DE

APRENDIZAJE

6

TEMA

11


185


1. SERVIDOR RODC (READ-ONLY DOMAIN CONTROLLER) Para mejorar el tiempo de respuesta de autentificación del suelo, en algunas veces es deseable ubicar un controlador predominio en las oficinas sucursales o en las redes están en el límite de nuestro sitio. Las oficinas sucursales o las redes están en el límite de su sitio algunas veces carecen de seguridad. El controlador predominio de su lectura, en inglés Read-Only Domain controller (RODC) está diseñado para escenarios donde un controlador predominio necesita ser ubicado en un ambiente con baja seguridad. Un RODC no almacena ninguna contraseña por defecto. Si el RODC está comprometido, la intrusión en la red usando la información obtenida desde el RODC es, significativamente, pequeña. Debido que las oficinas sucursales algunas veces tienen pocos controles de acceso, RODC puede ser una elección más segura para ubicar un controlador de dominio en las oficinas sucursales.

RODCs almacena copias de información de sólo lectura del directorio activo usando replicación unidireccional para el directorio activo del sistema de replicación de archivo.

1.1 BASE DE DATOS DEL DIRECTORIO ACTIVO DE SÓLO LECTURA Los controladores de dominio de sólo de lectura son ideales para ubicarlos en lugares donde exista un un alto riesgo de estar expuestos a ataques externos. Esto, típicamente, incluye los límites de la red perimetral, conocida como DMZ, o algún ambiente donde la seguridad es muy baja son los lugares más adecuados para implementar un RODC. Los servidores de aplicación, como son Internet Information Services (IIS) y servidores de mensajería como lo es Microsoft Exchange, algunas veces están ubicados en el límite de la red perimetral. Las aplicaciones que ejecuta IIS algunas veces requiere el servicio del directorio para

186


CIBERTEC

autentificación, el servidor Exchange siempre requiere del Directorio Activo, pero blindar el acceso de estos servidores a los controladores de escritura representa un riesgo a la seguridad. Los RODCs son ideales para estos escenarios. 1.2 REPLICACIÓN UNIDIRECCIONAL DEL CONTROLADOR DE

DOMINIO DE SÓLO LECTURA Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se originan de manera local, no es necesario que los controladores de dominio grabables, que son asociados de replicación, extraigan los cambios del RODC. Esto significa que cualquier cambio o daño que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.

2. NUEVAS FUNCIONALIDADES RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Puede suceder que las BO no tengan un Domain Controller local, o que lo tengan, pero no cumplan con las condiciones de seguridad necesarias que esto conlleva, además del ancho de banda necesario, o la propia experiencia y/o conocimientos del personal técnico. A raíz de la problemática enunciada anteriormente, RODC provee las siguientes características:

Read-only AD DS Database. Unidirectional replication. Credential Caching. Administrator role separation. Read-only DNS.

2.1 READ-ONLY AD DS DATABASE Exceptuando contraseñas, un RODC contiene todos los objetos y atributos que tiene un DC típico. Sin embargo, por supuesto, no pueden llevarse a cabo cambios que impacten a la base de un RODC. Todo tipo de cambios que se quieran realizar, deberán llevarse a cabo en un DC no RODC, y luego impactados vía replicación en la base del RODC. Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. Sin embargo, aquellas que requieran acceso de escritura, recibirán un LDAP referral, que apuntará, directamente, a un DC no RODC.

2.2 UNIDIRECTIONAL REPLICATION La replicación unidireccional de RODC, que aplica tanto para AD DS y DFS, permite que, en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD, no se replique al resto de los DCs. Desde el punto de vista administrativo, este tipo de replicación reduce la sobrecarga de bridgehead servers, y la monitorización de dicha replicación.


187


2.3 CREDENTIAL CACHING Por defecto, RODC no almacena credenciales de usuario o computadora, exceptuando por supuesto, la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. Se debe habilitar, explícitamente, el almacenamiento de cualquier otro tipo de credencial. Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC, limita también la seguridad de dichas cuentas. Sin embargo, solo dichas cuentas serán vulnerables a posibles ataques. Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un DC no RODC. Es posible, sin embargo, modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC. 2.4 ADMINISTRATOR ROLE SEPARATION Es posible delegar permisos administrativos, únicamente, para un RODC, limitando la realización de tareas administrativas en el RODC, y no en otros DCs. 2.5 READ-ONLY DNS El servicio DNS de un RODC no soporta actualizaciones de clientes directas. Como consecuencia de esto, tampoco registra registros NS de ninguna zona integrada que contenga. Cuando un cliente intenta actualizar su registro DNS contra el RODC, el servidor devuelve un referral, que por supuesto, es utilizado posteriormente por el cliente para actualizar su registro. Sin embargo, el RODC solicita, también, la replicación del registro específico.

3. REQUISITOS PREVIOS PARA UTILIZAR RODC

El RODC debe reenviar solicitudes de autenticación a un DC no RODC que sea Windows Server 2008. La Password Replication Policy se configura en este DC para determinar si las credenciales son replicadas hacia la Branch Office a partir de una solicitud del RODC.

El Domain Functional Level debe ser Windows Server 2003 o superior, para que de esta forma esté disponible la delegación de Kerberos.

El Forest Functional Level debe ser Windows Server 2003 o superior, para que linked-value replication esté disponible. Esto provee mayor consistencia en lo que respecta a replicación.

Se debe ejecutar adprep /rodcprep a nivel forest para actualizar los permisos en todas las DNS application Directory Partitions. Esto posibilita que los RODCs que a su vez son servidores DNS, puedan replicar los permisos sin problemas.

188


CIBERTEC

4. PASOS BÁSICOS PARA IMPLEMENTAR UN RODC

Nota: El procedimiento indica solo los pasos de configuración básicos.

1. Seleccione Start.

2. Seleccione Run...

3. Ejecute DCPromo.exe.

4. Seleccione Use Advanced Mode Installation. Luego, seleccione Next.

5. Seleccione Create a New Domain in the Forest. Luego, seleccione Next.


189


6. Ingrese el nombre DNS completo del dominio. Luego, seleccione Next.

7. Acepte o modifique el nombre NETBiOS en caso de ser necesario. Luego, seleccione Next.

190


CIBERTEC

8. Seleccione el Forest Functional Level que corresponda. Luego, seleccione Next.

9. Seleccione las opciones adicionales particulares para el Domain Controller, entre ellos, DNS, Global Catalog, o Read-Only Domain Controller (el cual debe seleccionar). Luego, haga clic en Next.


191


10. Acepte o modifique las opciones de configuración referidas a la ubicación de la base de datos de Active Directory, logs y SYSVOL. Luego, seleccione Next.

11. Ingrese la contraseña del Administrador correspondiente al Directory Services Restore Mode. Luego, seleccione Next.

192


CIBERTEC

12. En la ventana de Summary, seleccione Next.

12. Seleccione el checkbox Reboot on Completion, y espere a que finalice el proceso de configuración y se reinicie el sistema operativo.


193


Resumen

El RODC es un nuevo controlador de dominio introducido en Windows 2008 Server. El RODC está diseñado para su implementación en sitios donde no se puede

garantizar una seguridad total.

El RODC puede ser implementado en el Servidor Core. Las contraseñas no son almacenadas en el servidor RODC. Las políticas de replicación de contraseña determina que contraseñas pueden ser

almacenadas en la cache del RODC. Se pueden delegar permisos administrativos únicamente al RODC, y no a otros

DCs Si desea saber más acerca de estos temas, puede consultar las siguientes páginas: 6416B Updating your Network Infrastructure and Active Directory Technology


Aquí hallará información adicional sobre RODC.

http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx

Aquí hallará información adicional sobre RODC.

http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677-

a76c-2446039ab490&displaylang=en

En esta página, hallará información de cómo implementar RODC en las

sucursales.


http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677-a76c-2446039ab490&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=0b2a6fcb-8b78-4677-a76c-2446039ab490&displaylang=en

194


CIBERTEC


195


ADMINISTRACIÓN AVANZADA DEL DIRECTORIO

ACTIVO


Al término de la unidad, los alumnos, configuran y activan en Servidor 2008 Core.

Al término de la unidad, los alumnos, implementan el Servidor Core como Servidor de Archivo.

TEMARIO

Implementar el RODC.

Implementar Server Core como Servidor de Archivo.


Los alumnos configuran el Servidor Core.

Los alumnos implementan el Servidor Core como Servidor de Archivo.

UNIDAD DE

APRENDIZAJE

6

TEMA

12

196


CIBERTEC

1. INTRODUCCIÓN A WINDOWS SERVER CORE Windows Server Core 2008 brinda una instalación mínima del sistema operativo. Esto reduce los requerimientos de espacio de disco y pueden convertir a Server Core en un buen candidato para escenarios de oficinas remotas. Los archivos de instalación desatendida pueden ser usados para acelerar la implementación de Windows Server Core 2008. Esto reduce los requerimientos de mantenimiento y reduce las oportunidades de ataque desde la red. Al empezar la instalación de Windows Server 2008, los administradores pueden elegir la instalación del servidor con la funcionalidad única de Windows Server Core 2008. Esto limita los roles que pueden funcionar en el servidor, pero puede mejorar la seguridad y reduce la administración. Este tipo de instalación es llamada la instalación de Server Core. Server Core es la instalación mínima de Windows Server 2008 y no brinda interfaz gráfica. A continuación, debemos los beneficios de brinda Server Core:

Server Core requiere menos mantenimiento de software, así como la instalación actualizaciones.

Server Core tiene menos ataques desde la red.

Administrar Server Core es mucho más fácil.

Server Core usados menos espacio de disco para la instalación. Para instalar y configurar Server Core se debe implementar archivos desatendidos. Server Core brinda la plataforma más estable, fácil y segura para implementar los siguientes roles de infraestructura de red:

Servidor DHCP.

Servidor DNS.

Servidor de archivo.

Controlador de dominio.

2. CONFIGURACIÓN Y ADMINISTRACIÓN DE SERVER CORE Configurar y administrar una instalación de Server Core requiere un diferente enfoque cuando se compara con la instalación completa de Windows Server 2008. La interface mínima en Server Core requiere realizar las modificaciones usando la interface símbolo del sistema o realizar la administración sobre la red. Hay 4 pasos básicos para configurar Windows Server Core.

o Configurar la contraseña del administrador. Una vez inicia sesión en una computadora que ejecuta Windows Server Core, se iniciará el símbolo del sistema. Si cierras el símbolo del sistema, podrás reiniciarlo desde el administrador de tareas o cerrando la sesión e iniciándola otra vez. net user administrator *

o Específica una dirección IP. La configuración de obtener una dirección

automática está configurada, por defecto, pero puedes específicar una dirección estática.


197


Netsh interface ipv4 set address name=NetCardID” source=<IP Address> mask=<subset> gateway=<default gateway>

o Si necesita incorporar Windows Server Core a un existente dominio, necesitas una cuenta de usuarios y contraseña que tengan las credenciales adecuadas.

Netdom join <computername> /domain:<domainname> /userD:<domain/user> /passwordD:*

o Active la instalación de Windows Server 2008 Slmgr.vbs -ato

3. INCORPORANDO ROLES

La instalación de Server Core soporta los siguientes roles:

Hyper-V

IIS 7.0

Servidor DHCP

Servidor DNS

Servidor de archivo

Servicio del Directorio Activo

Active Directory Lightweight Directory Services

Windows Media Services

Servidor d susImpresión El comando OCSetup distingue la mayúscula y la minúscula en el nombre de los roles de los paquetes que quienes incorporar. Por ejemplo, DHCP Server, File Server. OCSetup está disponible como parte del sistema operativo Windows Server 2008. Esta herramienta reemplaza a Sysocmgr.exe, está incluido en Windows XP y Windows Server 2003. Puedes ser OCSetup en una computadora que ejecuta Windows Vista o Windows Server 2008 para instalar o tres instalar aplicaciones MSI y

198


CIBERTEC

componentes. OCSetup necesita ser ejecutado con privilegios administrativos, también puede ser usado con archivo desatendido utilizando la opción /unattend. Para desinstalar componentes, usa OCSetup con la opción /uninstall. Use OCSetup con “Start” para agregar roles al Servidor Core. No puedes usar el asistente de instalación Active Directory Domain Controller de un servidor que ejecuta Server Core. Tendrá que usar un archivo desatendido con el comando dcpromo para instalar o desinstalar el rol de controlador de dominio de un Servidor Core. Una vez que la instalación esté completada y el servidor esté configurado para ser usado, también podrás instalar las características opcionales. La instalación de Server Core soporta las siguientes características:

Failover Clustering.

WINS.

Network Load Balancing.

Subsystem for UNIX-based applications.

Backup.

BitLocker Driver Encryption.

Simple Network Management Protocol.

Distributed File System Replication.

Simple Network Time Protocol. Ejemplo de un archivo desatendido para usar con dcpromo:

4. ROL DE CONTROLADOR DE DOMINIO EN SERVER CORE

Instalar el servicio del Directorio Activo en una instalación de Server Core de Windows Server 2008 se requiere usar un archivo desatendido con dcpromo. De esta forma se instalará el rol del Directorio Activo y promover el servidor a controlador de dominio usando las configuraciones que están en el archivo desatendido. Para instalar el rol de Directorio Activo, el símbolo del sistema ejecuta: Dcpromo /unattend:Unattendfile Donde: Unattendfile es el nombre del archivo desatendido de dcpromo.


199


4.1 ARCHIVO DESATENDIDO Debajo hay un ejemplo de un archivo desatendido, usado para crear un segundo controlador de dominio que se replicará en el dominio Contoso.com. [Unattented] Unattented=fullunattended [DCINSTALL] UserName=administrator Password=Pa$$w0rd UserDomain=Contoso DatabasePath=c:\windows\ntds LogPath= c:\windows\ntds SYSVOLPath= c:\windows\sysvol SafeModeAdminPassword=Pa$$w0rd SiteName= Default-First-Site ReplicaOrNewDomain=replica ReplicaDomainDNSName=contoso.com ReplicationSourceDC= RebootOnSuccess=yes

Debajo está la descripción de todos los campos que forman parte de la sección DCINSTALL del archivo desatendido.

AllowDomainReinstall Yes | No Esta entrada especifica si se volverá a crear un dominio existente.

AllowDomainControllerReinstall Yes | No Esta entrada especifica si se seguirá instalando este controlador de dominio

aunque se detecte una cuenta de controlador de dominio activa que utilice el mismo nombre. Especifique "Yes" (sin comillas) solo si tiene la seguridad de que la cuenta ya no se utiliza.

ApplicationPartitionsToReplicate Ningún valor predeterminado Esta entrada especifica las particiones de aplicación que tienen que replicarse,

con el formato ""partición1" "partición2"". Si se especifica *, se replicarán todas las particiones de aplicación. Utilice nombres distintivo separados por espacios en blanco o por comas y espacios en blanco. Escribe toda la cadena entre comillas.

ChildName Ningún valor predeterminado Es el nombre del dominio subordinado que se anexa a la entrada

ParentDomainDNSName. Si el dominio primario es "A.COM" y el dominio subordinado es "B", Escribe "B.A.COM and B" (sin comillas) para ChildName.

ConfirmGc Yes | No

200


CIBERTEC

Esta entrada especifica si la réplica es también un catálogo global. "Yes" convierte la réplica en un catálogo global si la copia de seguridad era un catálogo global. "No" no convierte la réplica en un catálogo global. (Estas entradas no necesitan comillas.)

CreateDNSDelegation Yes | No Ningún valor predeterminado Esta entrada indica si se creará una delegación DNS que has referencia a este

nuevo servidor DNS. Esta entrada solo es válida para DNS integrado con AD DS.

CriticalReplicationOnly Yes | No Esta entrada especifica si la operación de instalación solo realizará la replicación

importante antes de un reinicio, y se saltará la parte no crítica y que puede ser muy larga de la replicación. La replicación no crítica se realiza una vez completada la instalación de funciones y reiniciado el equipo.

DatabasePath %systemroot%\NTDS Esta entrada es la ruta de acceso del directorio completo no UNC (convención

de nomenclatura universal) en un disco duro del equipo local. Este directorio hospedará la base de datos de AD DS (NTDS.DIT). Si el directorio existe, debe estar vacío. Si no existe, se creará. El espacio libre en disco en la unidad lógica seleccioneda debe ser de 200 megabytes (MB). Para dar cabida a errores de redondeo o a todos los objetos del dominio, quizás el espacio libre en disco deba ser mayor. Para lograr el máximo rendimiento, utilice el directorio de un disco duro dedicado.

DelegatedAdmin Ningún valor predeterminado Esta entrada especifica el nombre del usuario o del grupo que instalará y

administrará el RODC. Si no se especifica ningún valor, solo los miembros del grupo Admins. del dominio o Administradores de organización pueden instalar y administrar el RODC.

DNSDelegationPassword <Contraseña> | * Ningún valor predeterminado Esta entrada especifica la contraseña de la cuenta de usuario utilizada para

crear o quitar la delegación DNS. Especifique * para pedir al usuario que introduzca sus credenciales.

DNSDelegationUserName Ningún valor predeterminado Esta entrada especifica el nombre de usuario que se utilizará cuando se cree o

se quite la delegación DNS. Si no especifica ningún valor, se utilizarán para la delegación DNS las credenciales de cuenta que especifique para la instalación o desinstalación de AD DS.

DNSOnNetwork Yes | No Esta entrada especifica si el servicio DNS está disponible o no en la red. Solo se

utiliza cuando el adaptador de red de este equipo no está configurado para


201


utilizar el nombre de un servidor DNS para la resolución de nombres. Especifique "No" (sin comillas) para indicar que DNS se instalará en este equipo para la resolución de nombres. De lo contrario, se debe configurar primero el adaptador de red para utilizar el nombre de un servidor DNS.

DomainLevel 0 | 2 | 3 Ningún valor predeterminado Esta entrada especifica el nivel funcional del dominio. Esta entrada se basa en

los niveles existentes en el bosque cuando se crea un dominio nuevo en un bosque existente. Las descripciones de los valores son las siguientes:

o 0 = Modo nativo de Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008

DomainNetbiosName Ningún valor predeterminado Esta entrada es el nombre NetBIOS utilizado por los clientes anteriores a AD DS

para tener acceso al dominio. El valor de DomainNetbiosName debe ser único en la red.

ForestLevel 0 | 2 | 3 Esta entrada especifica el nivel funcional del bosque cuando se crea un dominio

nuevo en un nuevo bosque, de la manera siguiente: o 0 = Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008

No debe utilizar esta entrada cuando instale un nuevo controlador de dominio en un bosque existente. La entrada ForestLevel reemplaza la entrada SetForestVersion disponible en Windows Server 2003.

InstallDNS Yes | No El valor predeterminado cambia dependiendo de la operación. En el caso de un

bosque nuevo, la función del servidor DNS se instala de forma predeterminada. Si se trata de un nuevo árbol, un nuevo dominio secundario o una réplica, se instala un servidor DNS de forma predeterminada si el Asistente para instalación de Servicios de dominio de Active Directory detecta una infraestructura DNS existente. Si el asistente no detecta ninguna infraestructura DNS existente, no se instalará un servidor DNS de forma predeterminada.

Esta entrada especifica si DNS está configurado para un nuevo dominio si el Asistente para instalación de Servicios de dominio de Active Directory detecta que el protocolo de actualización dinámica de DNS no está disponible. Esta entrada, también, se aplica si el asistente detecta un número insuficiente de servidores DNS para un dominio existente.

LogPath %systemroot%\NTDS

202


CIBERTEC

Es la ruta de acceso del directorio completo no UNC en un disco duro del equipo local que hospedará los archivos de registro de AD DS. Si el directorio existe, debe estar vacío. Si no existe, se creará.

NewDomain Tree | Child | Forest "Tree" significa que el nuevo dominio es la raíz de un nuevo árbol en un bosque

existente. "Child" significa que el nuevo dominio es secundario de un dominio existente. "Forest" significa que el nuevo dominio es el primer dominio de un nuevo bosque de árboles de dominios.

NewDomainDNSName Ningún valor predeterminado Esta entrada se utiliza en instalaciones "nuevo árbol en bosque existente" o

"nuevo bosque". El valor es un nombre de dominio DNS que no se está utilizando actualmente.

ParentDomainDNSName Ningún valor predeterminado Esta entrada especifica el nombre de un dominio DNS primario existente para

una instalación de dominio secundario.

Password <Contraseña> | * Ningún valor predeterminado Esta entrada especifica la contraseña correspondiente a la cuenta de usuario

utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor protección, las contraseñas se quitan del archivo de respuesta después de una instalación. Es necesario volver a definir las contraseñas cada vez que se utiliza un archivo de respuesta.

PasswordReplicationAllowed <Entidad_de_seguridad> | NONE Ningún valor predeterminado Esta entrada especifica los nombres de las cuentas de equipo y de usuario

cuyas contraseñas se pueden replicar en este RODC. Especifique "NONE" (sin comillas) si desea dejar vacío este valor. De forma predeterminada, no se almacenará en caché ninguna credencial de usuario en este RODC. Para especificar más de una entidad de seguridad, agregue la entrada varias veces.

PasswordReplicationDenied <Entidad_de_seguridad> | NONE Esta entrada especifica los nombres de las cuentas de usuario, grupo y equipo

cuyas contraseñas no se van a replicar en el RODC. Especifique "NONE" (sin comillas) si no desea denegar la replicación de credenciales para algún usuario o equipo. Para especificar más de una entidad de seguridad, agregue la entrada varias veces.

RebootOnCompletion Yes | No Esta entrada especifica si se reiniciará o no el equipo después de instalar o

quitar AD DS, independientemente de que la operación se realice, correctamente, o no.


203


RebootOnSuccess Yes | No | NoAndNoPromptEither Esta entrada especifica si se debe reiniciar el equipo después de haberse

instalado o quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una función de AD DS.

ReplicaDomainDNSName Ningún valor predeterminado Esta entrada especifica el nombre completo del dominio en el que desea

configurar un controlador de dominio adicional.

ReplicaOrNewDomain Replica | ReadOnlyReplica | Domain Esta entrada solo se utiliza para instalaciones nuevas. "Domain" (sin comillas)

convierte el servidor en el primer controlador de dominio de un nuevo dominio. "ReadOnlyReplica" (sin comillas) convierte el servidor en un RODC. "Replica" (sin comillas) convierte el servidor en un controlador de dominio adicional.

ReplicationSourceDC Ningún valor predeterminado Esta entrada especifica el nombre completo del controlador de dominio asociado

del que se replicarán los datos de AD DS para crear el nuevo controlador de dominio.

ReplicationSourcePath Ningún valor predeterminado Esta entrada especifica la ubicación de los archivos de instalación utilizados para

crear un nuevo controlador de dominio.

SafeModeAdminPassword <Contraseña> | NONE Ningún valor predeterminado Esta entrada se utiliza para proporcionar la contraseña de la cuenta de

administrador sin conexión que se utiliza en el modo de restauración del servicio de directorio. No puede especificar una contraseña vacía.

SiteName Default-First-Site-Name Esta entrada especifica el nombre del sitio cuando instala un bosque nuevo. En

el caso de un bosque nuevo, el valor predeterminado es Default-First-Site-Name. En todos los demás casos, se seleccionerá un sitio utilizando la configuración actual de sitio y subred del bosque.

SkipAutoConfigDNS Ningún valor predeterminado Esta entrada va dirigida a usuarios expertos que desean omitir la configuración

automática de los clientes, reenviadores y sugerencias de raíz. Esta entrada solo surte efecto si el servicio Servidor DNS ya está instalado en el servidor. En este caso, recibirá un mensaje informativo que confirmará que se ha omitido la configuración automática de DNS. De lo contrario, esta entrada se pasa por alto. Si especifica este modificador, asegúrese de que las zonas se crean y configuran correctamente antes de instalar AD DS; de lo contrario, el controlador de dominio no funcionará correctamente. Esta entrada no omite la creación

204


CIBERTEC

automática de la delegación DNS en la zona DNS principal. Para controlar la creación de la delegación DNS, utilice la entrada DNSDelegation.

Syskey <clave_sistema> | NONE Esta entrada especifica la clave del sistema para el medio desde el cual replica

los datos.

SYSVOLPath %systemroot%\SYSVOL Esta entrada especifica un directorio completo no UNC del disco duro del equipo

local. Este directorio hospedará los archivos de registro de AD DS. Si el directorio ya existe, debe estar vacío. Si no existe, se creará. El directorio debe estar en una partición que se haya formateado con el sistema de archivos NTFS 5.0. Coloque el directorio en un disco duro físico diferente al del sistema operativo para lograr el máximo rendimiento.

TransferIMRoleIfNeeded Yes | No Esta entrada especifica si se transferirá o no la función de maestro de

infraestructura a este controlador de dominio. Esta entrada es útil si el controlador de dominio está hospedado, actualmente, en un servidor de catálogo global y no piensa convertirlo en un servidor de catálogo global. Especifique "Yes" (sin comillas) para transferir la función de maestro de infraestructura a este controlador de dominio. Si especifica "Yes", asegúrese de especificar la entrada ConfirmGC=No.

UserDomain Ningún valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada

para instalar AD DS en un servidor.

UserName Ningún valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar

AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.

AdministratorPassword Ningún valor predeterminado Esta entrada se utiliza para especificar la contraseña del administrador

local cuando quita AD DS de un controlador de dominio.

DemoteFSMO Yes | No Esta entrada indica si se realizará o no una eliminación forzada aunque el

controlador de dominio ostente la función de maestro de operaciones.

DNSDelegationPassword <Contraseña> | * Ningún valor predeterminado


205


Esta entrada especifica la contraseña de la cuenta de usuario utilizada para crear o quitar la delegación DNS. Especifique * para pedir al usuario que introduzca sus credenciales.

DNSDelegationUserName Ningún valor predeterminado Esta entrada especifica el nombre de usuario que se utilizará cuando se

cree o se quite la delegación DNS. Si no especifica ningún valor, se utilizarán para la delegación DNS las credenciales de cuenta que especifique para la instalación o desinstalación de AD DS.

IgnoreIsLastDcInDomainMismatch Yes | No Esta entrada especifica si se seguirá eliminando AD DS del controlador de

dominio cuando se especifique la entrada IsLastDCInDomain=Yes o cuando el Asistente para instalación de Servicios de dominio de Active Directory detecte que hay otro controlador de dominio activo en el dominio. Esta entrada también se aplica cuando se especifica la entrada IsLastDCInDomain=No y el asistente no puede ponerse en contacto con ningún otro controlador de dominio del dominio.

IgnoreIsLastDNSServerForZone Yes | No Esta entrada especifica si se seguirá quitando AD DS aunque el

controlador de dominio sea el último servidor DNS para una o más zonas DNS integradas en AD DS hospedadas por el controlador de dominio.

IsLastDCInDomain Yes | No Esta entrada especifica si el controlador de dominio del que quita AD DS

es el último del dominio.

Password <Contraseña> | * Ningún valor predeterminado Esta entrada especifica la contraseña correspondiente a la cuenta de

usuario utilizada para configurar el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Para mayor protección, las contraseñas se quitan del archivo de respuesta después de instalar AD DS. Es necesario volver a definir las contraseñas cada vez que se utiliza un archivo de respuesta.

RebootOnCompletion

Yes | No Esta entrada especifica si se reiniciará o no el equipo después de instalar

o quitar AD DS, independientemente de que la operación se realice correctamente o no.

206


CIBERTEC

RebootOnSuccess

Yes | No | NoAndNoPromptEither Determina si se debe reiniciar el equipo después de haberse instalado o

quitado correctamente AD DS. Siempre es necesario un reinicio para completar un cambio en una función de AD DS.

RemoveApplicationPartitions

Yes | No Esta entrada especifica si se quitarán las particiones de aplicación cuando

quite AD DS de un dominio de dominio. "Yes" (sin comillas) quita las particiones de aplicación del controlador de dominio. "No" (sin comillas) no quita las particiones de aplicación del controlador de dominio. Si el controlador de dominio hospeda la última réplica de cualquier partición del directorio de aplicaciones, debe confirmar, manualmente, que debe quitar estas particiones.

RemoveDNSDelegation

Yes | No Esta entrada especifica si se quitarán las delegaciones DNS que señalan

a este servidor DNS desde la zona DNS principal.

RetainDCMetadata

Yes | No Esta entrada especifica si los metadatos del controlador de dominio se

conservan en el dominio después de quitar AD DS de forma que un administrador delegado pueda quitar AD DS desde un RODC.

UserDomain

Ningún valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario

utilizada para instalar AD DS.

UserName

Ningún valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para

instalar AD DS en un servidor. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>\<nombreDeUsuario>.


207


4.2 ADMINISTRACIÓN DEL DIRECTORIO ACTIVO DESDE LA LÍNEA DE COMANDOS Los siguientes comandos pueden ser usados para administrar el Directorio Activo. CSVDE Importa y exporta datos de Active Directory en formato separado por comas. Dsadd Agrega usuarios, grupos, equipos, contactos y unidades organizativas a Active Directory. Dsmod Modifica un objeto existente de un tipo específico del directorio. Los tipos de objetos que pueden modificarse son: usuarios, grupos, equipos, servidores, contactos y unidades organizativas. Dsrm Quita objetos del tipo especificado de Active Directory. Dsmove Cambia el nombre de un objeto sin moverlo del árbol de directorio o mueve un objeto desde su ubicación actual del directorio a una nueva de un mismo y único controlador de dominio. (Para has movimientos entre dominios, utilice la herramienta Movetree de la línea de comandos.) Dsquery Consulta y genera una lista de objetos del directorio según los criterios de búsqueda especificados. Utilícela en un modo genérico para consultar cualquier tipo de objeto o en modo especializado para consultar tipos de objetos seleccionedos. Los tipos de objetos específicos que pueden consultarse mediante este comando son: equipos, contactos, subredes, grupos, unidades organizativas, sitios, servidores y usuarios. Dsget Muestra los atributos seleccionedos de tipos de objeto específicos de Active Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos, contactos, subredes, grupos, unidades organizativas, servidores, sitios y usuarios. LDIFDE Crea, modifica y elimina objetos de directorio. Esta herramienta también puede utilizarse para ampliar el esquema, para exportar información de usuario y grupos de Active Directory a otras aplicaciones o servicios, y para llenar Active Directory con datos de otros servicios de directorio.

http://technet.microsoft.com/es-pe/library/cc772704%28WS.10%29.aspx








208


CIBERTEC

4. CONFIGURA EL SERVER CORE COMO SERVIDOR DE ARCHIVO

5.1 ACTIVE EL SERVIDOR CORE

1. Presione RIGHT+ALT+DEL. 2. Inicie sesión como Administrator con la contraseña Pa$$w0rd. 3. La ventana del Administrator: C:\Windows\system32\cmd.exe está abierta. Maximice esta ventana. 4. En el símbolo del Sistema, Tipee cd \ y luego presione ENTER. 5. Tipee Slmgr.vbs -ato y luego presione ENTER. 6. Aparecerá la ventana Script Host. Nota: Esto quizás tome un minuto en aparecer. Q Para que se usa el comando slmgr.vbs? Respuesta: 7. Clic en OK. 8. Tipee Cscript windows\system32\slmgr.vbs SEA-DC-01 Administrator Pa$$w0rd:-ato y luego presione ENTER. Q ¿Cuál es el resultado de esta operación? Respuesta: 9. Tipee cls y luego presione ENTER.

1.2 AGREGA Y CONFIGURA EL ROL DE SERVIDOR DE ARCHIVO

1. Tipee netsh interface ipv4 show interface, y luego presione ENTER.

2. Tome nota del número IDX para Local Area Connection. Asegúrese de usar este número para los pasos de abajo =”n” .

3. Tipee netsh interface ipv4 set address name=”n” source=static address=192.168.16.4 mask=255.255.255.0, y luego presione

ENTER. 4. Nota: Esto quizás tome 12 o 15 segundos para que la configuración

surga efecto. 5. Tipee IPConfig, y luego presione ENTER. 6. Tipee netsh interface ipv4 add dnsservname="n"address=192.168.16.1 index=1, y luego presione ENTER. 7. Tipee netdom join WIN-09I3RLW8OCJ /domain:contoso.com /userD:contoso\administrator /passwordD:*

y luego presione ENTER. 8. Tipee la contraseña asociada al usuario del dominio, tipee Pa$$w0rd, y luego presione ENTER. 9. Tipee shutdown /r, y luego presione ENTER. 10. Después que la computadora reinicie, Inicie sesión como administrator. 11. Maximice la ventana C:\Windows\system32\cmd.exe 12. En el símbolo del sistema, Tipee “cd \”, y luego presione ENTER. 13. Tipee cls, y luego presione ENTER. 14. Tipee netdom renamecomputer WIN-09I3RLW8OCJ /newname:SEA-SRV-03 /userd:contoso\administrator /passwordd:* , y luego presione ENTER.


209


15. Escribe la contraseñaasociada al nombre del usuario del Dominio, Tipee Pa$$w0rd y luego presione ENTER. 16. Tipee y luego presione ENTER. 17. Tipee shutdown /r y presione ENTER. 18. Tipee start /w ocsetup FRS-Infrastructure, y luego presione ENTER. 19. Tipee cls, y luego presione ENTER.

5.3 COMPARTE UN DIRECTORIO LOCAL

1. Tipee md public, y luego presione ENTER. 2. Tipee cd public, y luego presione ENTER. 3. Tipee copy con hello.txt, y luego presione ENTER. 4. Tipee Hello World!, y luego presione ENTER. 5. Presione CTRL+Z, y luego presione ENTER. 6. Tipee cd\, y luego presione ENTER. 7. Tipee net share public=c:\public /remark:”Public share on SEA- SRV-03, y luego presione ENTER. 8. Tipee net view \\SEA-SRV-03, y luego presione ENTER. 9. Tipee cls, y luego presione ENTER. 10. Minimice la ventana C:\Windows\system32\cmd.exe.

5.4 ADMINISTRA USUARIOS REMOTAMENTE CON MMC

Nota: Realice los siguientes pasos en SEA-DC-01

1. Inicie sesión como CONTOSO\Administrator con la contraseña Pa$$w0rd.

2. Clic en Start | Run, luego Tipee \\SEA-SRV-03. 3. Presione ENTER. 4. Doble-clic en public. 5. Doble-clic hello. 6. Verifique el texto Hello World!. 7. Ubique el cursor al final de la línea Hello World! borre World! y Tipee Universe! 8. En el menú File, clic en Save. 9. El cuadro de dialogo del Notepad aparece. Nota la advertencia the warning Cannot create the \\SEA-Core\public\hello.txt file. 10. Clic en OK. 12. Clic en Cancel. 13. Clic en Start | Administrative Tools | Computer Management. 14. Se abre la ventana The Computer Management. Maximice la ventana.

15. En el árbol de la consola, clic derecho en Computer Management (Local) y luego clic Connect to another computer.

16. Aparece el cuadro de dialogo Select Computer. Clic en Browse. 17. Ingrese el nombre del servidor core. 18. Clic en OK dos veces. 19. En el árbol de la consola, apunta a Computer Management (SEA- Core.contoso.com). 20. En el árbol de la consola, despliegue System Tools | Shared Folders

,

210


CIBERTEC

luego clic Shares. 21. Doble-clic en public. 22. Clic en la pestaña Share Permissions. 23. Clic en Add. 24. Aparece la ventana The Select Users, Computers, or Groups. En el campo Enter the object names to select, Tipee domain. 25. Clic Check Names. 26. Aparece la ventana The Multiple Names Found. Clic Domain Users. 27. Clic OK 2 veces. 28. Clic Domain Users (CONTOSO\Domain Users). 29. Debajo Permissions for Domain Users, seleccione Allow for the Change permission. 30. Clic Apply. 31. Clic en la pestaña Security. 32. Mueve hacia abajo la barra de la lista Group or user names. 33. Clic Edit. 34. Aparece la ventana The Permissions for public (\\SEA-SRV- 03.CONTOSO.COM). 35. Clic Add. 36. En la ventana Select Users, Computers, or Groups. En la opción Enter the object names to select, Tipee domain. 37. Clic Check Names. 38. En la ventana The Multiple Names Found. Clic Domain Users. 39. Clic OK 2 veces. 40. Clic Domain Users. 41. Debajo de Permissions for Domain Users, seleccione Allow for the Modify permission. 42. Mueve hacia abajo la barra de la lista Permissions for Domain Users, luego seleccione Allow for the Write permission. 43. Clic OK. 44. En la ventana Security. Clic en Yes. 45. Clic en OK. 46. Cierra Computer Management. 47. Restaura Notepad. 48. En el menú File, clic Save. 49. Cierra el Notepad.


211


Resumen

El Servidor Core reduce los requerimientos de hardware, e incrementa el

rendimiento y la estabilidad del sistema.

El Servidor Core no brinda interfaz gráfica, solo el símbolo del sistema. Para asignar la contraseña al administrator escribe net user administrator * Para asignar cambios en la dirección IP usa el comando netsh El comando OCSetup permite instalar o desinstalar roles en el Servidor

Para instalar el Servicio de Directorio se debe usar, únicamente, el comando

dcpromo con un archivo desatendido. Si desea saber más acerca de estos temas, puede consultar la siguiente página.

6416B Updating your Network Infrastructure and Active Directory Technology


Aquí hallará información adicional sobre el Servidor Core.


Aquí hallará mayor información técnica y configuraciones del Servidor Core.


Documents

Adm Sis Ope de Red