UNIDAD III.- OPERACIÓN DE UNA
RED DE AREA LOCAL.
REDES EN WINDOWS NT
5.1 INTRODUCCIÓN A WINDOWS NT
Windows NT es un sistema operativo de servidor y como tal tiene
una serie de características que lo distinguen de los sistemas operativos
domésticos como pueda ser Windows 98 o Windows Me. Windows NT ha evolucionado
en Windows 2000 y Windows 2000 en Windows XP. Sin embargo y a pesar de su
antigüedad, NT se sigue utilizando en un elevado número de empresas. La razón
es sencilla: los cambios de sistemas en las empresas pueden acarrear
consecuencias imprevistas. ¿Qué administrador de red se arriesga a cambiar un
sistema NT que cumple perfectamente con sus funciones por un sistema nuevo en
el que todavía no tiene confianza? Esto explica el que las empresas siempre
vayan retrasadas respecto al mercado. Windows NT sigue teniendo una elevada
implantación en servidores. Veamos algunas características destacadas:
Windows NT tiene una versión diseñada para los puestos de trabajo
(Windows NT Workstation) y una familia de versiones para trabajar en los
servidores (Windows NT Server). En este Capítulo estudiamos las
versiones de servidor de Windows NT. El estudio de la versión Workstation queda
fuera de las pretensiones del Curso: en su lugar hemos estudiado Windows 98
como cliente de red.
5.2 INSTALACIÓN DE WINDOWS NT
5.3 CREACIÓN DE UN SERVIDOR DE
USUARIOS Y ARCHIVOS
La mayor parte de las empresas necesitan uno o más servidores de
usuarios y archivos. Windows NT incorpora las herramientas necesarias para que
la configuración de estos servicios se realice cómodamente.
Un servidor de usuarios es aquella máquina que valida a los
usuarios de la red cuando escriben su nombre de usuario y contraseña al iniciar
sesión. Si el nombre de usuario y contraseña escritos por el usuario no son
reconocidos por el servidor de usuarios, no se le permitirá acceder a los
recursos en red. En Windows NT esta máquina recibe el nombre de Controlador
principal de dominio. Los usuarios de la red se dice que inician sesión
en el dominio del servidor (tienen que haber sido dados de alta previamente
en el servidor como usuarios del dominio). El administrador de la red se
encarga de la gestión de usuarios: altas, bajas, cambios de contraseña, etc.
Un servidor de archivos es la máquina que contiene los
archivos privados de cada usuario, los de su grupo de trabajo y los archivos
públicos de la red. En realidad, se trata de una colección de carpetas
compartidas pero con distintos permisos de acceso. El administrador de la red
debe preocuparse de establecer los permisos de acceso correctamente y de
realizar las pertinentes copias de seguridad.
Las tareas de servidor de usuarios y archivos puede realizarlas
una misma máquina Windows NT Server o bien, distintas máquinas. Incluso, puede
haber varios servidores de usuarios y varios servidores de archivos según las
dimensiones de la red. En este apartado nos centraremos en el primer caso: un
solo ordenador realiza ambas tareas.
Gestión de usuarios. Grupos globales y locales
Cada usuario de la red necesita un nombre de usuario y contraseña
para iniciar sesión en el dominio desde su puesto de trabajo. Estos dos datos
se establecen en el servidor de usuarios (Controlador principal de dominio). La
gestión de usuarios se realiza desde el programa Administrador de usuarios que
se encuentra en Menú Inicio / Programas / Herramientas administrativas. La
siguiente ventana muestra los campos que se deben introducir para el alta de un
nuevo usuario. Únicamente son obligatorios el nombre de usuario y la
contraseña, la cual hay que escribirla dos veces a modo de confirmación.
Los puestos de trabajo (Windows 98) se deben configurar para que
inicien sesión en el dominio de Windows NT que hemos configurado según se
explica en el apartado Contraseña de red Microsoft y contraseña de Windows.
El nombre del dominio es el que hemos indicado durante la instalación de
Windows NT (se puede consultar en las propiedades de Entorno de red, pestaña
Identificación) y es distinto al nombre del servidor.
Después de la instalación de Windows NT, hay varios usuarios que
aparecen ya creados en el Administrador de usuarios:
Si bien es cierto que a cada usuario se le pueden asignar
individualmente permisos distintos, no suele ser lo más práctico. En su lugar,
se crean grupos de usuarios que comparten los mismos privilegios (por ejemplo,
todos los usuarios de un mismo departamento de la empresa). La gestión de
permisos se simplifica considerablemente de esta forma.
Un grupo es un conjunto de usuarios con los mismos
privilegios. Un grupo puede ser de dos tipos:
La norma habitual es crear dos grupos de usuarios (uno global y
otro local) para cada agrupación de usuarios que deseemos crear. Procederemos
de la siguiente forma:
Los usuarios nuevos que creemos deben pertenecer siempre al grupo
global predeterminado "usuarios del dominio", aunque pueden
pertenecer además a otros grupos globales que nosotros creemos.
Veamos un ejemplo: Los usuarios de la red María, Pablo e
Isabel son alumnos y necesitan tener una carpeta en el servidor que les permita
realizar sus prácticas:
Si más adelante necesitamos dar de alta a algún alumno nuevo,
bastará con incluirlo en el grupo global "alumnos del dominio" y
automáticamente tendrá los mismos permisos de acceso que el resto de alumnos
(podrá acceder a la carpeta "practicas").
En el siguiente ejemplo vamos a crear un mayor número de
grupos. Supongamos que tenemos dos grupos de alumnos: unos que asisten a clase
por la mañana y otros que lo hacen por la tarde. Cada grupo tendrá una carpeta
distinta para almacenar sus prácticas. Estará disponible, además, una carpeta común
para ambos grupos de alumnos. Finalmente, crearemos una carpeta pública que sea
accesible no sólo por los alumnos sino también por el resto de usuarios del
dominio.
Creación de carpetas para usuarios y grupos
Una vez que hemos creado los usuarios, grupos globales y locales
es el momento de diseñar una estructura de carpetas en el servidor para que los
usuarios de la red puedan almacenar sus archivos privados y compartir
documentos con otros usuarios. En los ejemplos anteriores ya hemos introducido
el concepto de carpetas de grupos; sin embargo, ahora vamos a verlo con más
detalle.
Las necesidades de almacenamiento de archivos en una red se suelen
reducir a tres tipos de carpetas para cada usuario:
¿Cómo organizar las carpetas en el disco duro del servidor? Es recomendable que se
almacenen en una partición NTFS para disponer de seguridad. Las particiones FAT
no son las más indicadas puesto que no permiten la configuración de permisos
locales de acceso aunque sí permisos a la hora de compartir carpetas en la red.
Este punto lo estudiaremos detenidamente más abajo.
A continuación se muestra un ejemplo de organización del disco
duro del servidor que trata de diferenciar las carpetas de usuarios, grupos y
pública.
Las únicas carpetas que se comparten son las del último nivel
(nunca las carpetas "compartir", "usuarios" o
"grupos"); en concreto, las carpetas "alumnos",
"mañanas", "tardes", "publico",
"aladino", "fulanito" y "menganito". Cada una de
estas carpetas tendrá unos permisos de acceso distintos. Lo habitual es dar
permiso de control total al propietario de la carpeta (ya sea el usuario o un
grupo local) en Compartir y control total a todos en Seguridad.
En el caso de la carpeta "publico" daremos control total al grupo
"usuarios" en Compartir. Los permisos se asignan accediendo a
las propiedades de la carpeta. Obsérvese que las pestañas Compartir y Seguridad
pueden tener permisos distintos. Veamos cómo quedarían los permisos de la
carpeta "alumnos". Podemos seguir este mismo esquema para el resto de
carpetas.
Diferencia entre los permisos de Compartir y de Seguridad
¿Qué permisos
necesitamos?
Forma de proceder:
ARCHIVOS DE INICIO DE SESIÓN
Los archivos de inicio de sesión son una serie de comandos que se
ejecutan cada vez que un usuario inicia sesión en su puesto de trabajo. Su
mayor utilidad es la conexión a las unidades
de red del usuario. De esta forma conseguimos que cada usuario vea
siempre sus unidades de red independientemente del puesto (Windows 98) en el
que inicie sesión (carpeta del usuario (U:), carpeta del grupo (G:) y carpeta
pública (P:)) evitándole la incómoda tarea de buscar los recursos compartidos
sobre los que tiene permisos en Entorno de red.
Los archivos de inicio de sesión se almacenan en la carpeta
\winnt\System32\Repl\Import\Scripts del servidor. Para cada usuario crearemos
un archivo de inicio de sesión (script) distinto. Estos archivos siguen
la sintaxis de los archivos por lotes de MS-DOS. Se pueden crear
con cualquier editor de textos, incluido el Bloc de notas. El siguiente script
para el usuario menganito se puede utilizar como esquema (lo llamaremos "menganito.bat"):
@echo off
echo **************************************
echo Hola Menganito, bienvenido a Minerva
echo Espera unos instantes, por favor...
echo **************************************
echo.
net use u: \\minerva\menganito
net use g: \\minerva\tardes
net use p: \\minerva\publico
En el ejemplo anterior, "minerva" es el nombre del
servidor y "menganito", "tardes" y "publico",
recursos compartidos del servidor "minerva". Este archivo generará en
Mi PC las unidades de red U:, G: y P: según se indica en el script, cada vez
que el usuario Menganito inicie sesión en cualquier Windows 98 de la red.
Una vez creados los archivos de inicio de sesión tenemos que
asociar cada uno de ellos a cada usuario. Esto se realiza escribiendo el nombre
del script en el cuadro Archivo de comandos de inicio de sesión de las
propiedades de cada usuario del Administrador de usuarios (botón Perfil),
según se muestra en la siguiente imagen:
5.4 RELACIONES DE CONFIANZA
ENTRE DOMINIOS
Concepto de dominio
Hasta ahora no hemos dado una definición formal de dominio; sin
embargo, hemos tenido la noción intuitiva de que un dominio es la estructura de
recursos y usuarios que utilizan las redes de Windows NT. Podemos definir
dominio como una colección de equipos que comparten una base de datos de
directorio común (SAM). Cada usuario tiene que validarse en el dominio para
poder acceder a sus recursos mediante un nombre de usuario y contraseña que le
asignará el administrador. Los servidores del dominio ofrecen recursos y
servicios a los usuarios (clientes) de su dominio.
Lo habitual es tener un solo dominio en cada red. Sin embargo, por
motivos organizativos en ocasiones es interesante utilizar varios dominios
interconectados entre sí. Esto lo veremos más adelante cuando tratemos las
relaciones de confianza. El caso más sencillo es un solo dominio y un solo
servidor en el dominio. Sin embargo, en un mismo dominio pueden coexistir
distintos servidores.
FUNCIONES DE UN SERVIDOR
WINDOWS NT
Un máquina Windows NT dentro de un dominio puede actuar de una de
estas tres maneras (estas funciones se eligen durante la instalación de NT):
Si el controlador principal tiene una avería, el controlador de
reserva puede cambiar su función a controlador principal. Esto se consigue
desde el Administrador de servidores / Menú Equipo / Promover a controlador
principal de dominio.
Creación
de una relación de confianza
Las relaciones de confianza se utilizan para que los usuarios de
un dominio puedan acceder a los recursos de otro dominio.
Sean A y B dominios, se dice que B confía en A si usuarios
de A pueden acceder a recursos de B. Gráficamente se representa:
Para crear la
relación de confianza anterior:
Estos cuadros se encuentran en el Administrador de usuarios / Menú
Directivas / Relaciones de confianza.
Las relaciones de confianza habitualmente se crean siguiendo una
serie de modelos predefinidos que se amoldan a la mayoría de las necesidades.
MODELOS DE DOMINIOS
5.5 MENSAJERÍA ENTRE SISTEMAS
WINDOWS
Los usuarios de sistemas Windows pueden enviar mensajes a otros
usuarios Windows de la red. Los equipos Windows NT necesitan tener iniciado el
servicio "Mensajería" (Panel de control / Servicios). Los equipos
Windows 98 requieren tener abierto el programa "Winpopup" (escribir
"winpopup" en Menú Inicio / Ejecutar). Si el programa Winpopup está
cerrado, los mensajes enviados se perderán.
Los mensajes desde
estaciones Windows NT se envían mediante el comando NET SEND.
El siguiente ejemplo, envía un mensaje a todos los usuarios del
dominio. Sólo recibirán el mensaje aquellos Windows 98 que tengan abierto el
programa Winpopup y aquellos Windows NT que tengan iniciado el servicio de
mensajería.
net send /users El servidor se apagará en 10
minutos. Por favor, vaya guardando sus documentos.
5.6 SERVIDOR WINS
WINS es un servidor de resolución dinámica de nombres NetBIOS. La
utilización de un servidor WINS en la red mejora la eficiencia de la red al
evitar la difusión de mensajes de broadcasting. Además, agiliza
la localización de recursos mediante Entorno de red. Se recomienda la
utilización de un servidor WINS en redes grandes con elevado tráfico para
aumentar la eficiencia de la red.
INSTALACIÓN DEL SERVIDOR WINS:
Las estadísticas de uso de WINS se pueden consultar desde
Herramientas administrativas / Administrador de WINS.
Configuración de
los clientes WINS:
En los clientes podemos comprobar que se está utilizando un
servidor de nombres mediante el comando NBTSTAT
-r, en lugar de enviar mensajes de difusión a la red.
5.7 SERVIDOR DHCP
Hasta ahora hemos configurado manualmente los parámetros TCP/IP de
cada puesto de la red. Sin embargo, estos parámetros se pueden asignar
dinámicamente mediante la utilización de un servidor DHCP (Dynamic Host
Configuration Protocol, protocolo de configuración dinámica de host). Lo
mínimo que puede asignar un servidor DHCP es la dirección IP y máscara de
subred a cada puesto de la red, aunque también se pueden establecer el resto de
parámetros de la configuración TCP/IP.
La utilización de un servidor DHCP evita la tarea de configurar
manualmente los parámetros TCP/IP de cada puesto de la red y facilita los posibles
cambios de configuración. Aunque tiene el inconveniente de requerir una máquina
NT con este servicio configurado. Por otro lado, una red que utilice DHCP puede
dificultar el rastreo y seguimiento de las tareas que cada usuario ha realizado
en la red si no se asignan direcciones IP únicas a cada host de la red.
Instalación y
configuración del servidor DHCP:
Nota: El tipo de nodo 0x8 es el
conocido como nodo híbrido. Significa que los clientes tratarán de resolver
cada nombre en primer lugar mediante un servidor WINS y, si no lo
consiguieran, mediante un broadcasting a la red. Es el nodo recomendado para la
mayoría de las configuraciones.
Configuración de
los clientes DHCP:
A continuación se muestra un ejemplo de diseño de una red con
conexión a Internet que utiliza servidores DNS, WINS y DHCP. A la derecha se
ofrece el resultado de la orden WINIPCFG para uno de los puestos de la red, el
cual ha obtenido toda la configuración dinámicamente de un servidor DHCP
(comparar con la imagen anterior).
|
|
Las direcciones IP se pueden reservar para conseguir que
cada host tome siempre la misma dirección IP. Esto permite rastrear los
movimientos de cada host en la red y es recomendable su utilización por motivos
de seguridad. Las reservas se hacen desde el menú Ámbito / Agregar reservas.
Cada host se identifica mediante la dirección
física de su tarjeta de red. Este número se debe introducir en el
cuadro "Identificador único" como una secuencia de 12 caracteres sin
utilizar ningún separador entre cada byte.
Obsérvese que la configuración DHCP se asigna a los clientes
durante un determinado periodo de tiempo (llamado concesión o permiso). Durante
ese tiempo el cliente no requiere realizar conexiones al servidor DHCP (el
servidor podría estar incluso apagado y el cliente conservaría toda su
configuración). Antes de que el permiso caduque, el cliente renovará
automáticamente su configuración preguntando al servidor DHCP.
La configuración de DHCP se puede renovar anticipadamente
utilizando los botones "Liberar" y "Renovar" de WINIPCFG o
bien, el comando IPCONFIG (escribir IPCONFIG /? para conocer sus parámetros).
SEGURIDAD EN REDES
6.1 VIRUS Y CABALLOS DE TROYA
Un virus es un programa cuyo objetivo prioritario es su
propagación entre ordenadores sin ser advertido por el usuario. Una vez que el
virus considera que está lo suficientemente extendido pasa de su fase de
latencia a su fase de activación. En esta fase los efectos del virus
pueden ser tan variados como alcance la imaginación de su autor: pueden
limitarse a mostrar inofensivos mensajes en pantalla o bien, eliminar
información del disco duro o dañar la BIOS del ordenador.
Sus vías de propagación son las clásicas del software: disquetes,
CD-ROMs, discos ZIP, copia de archivos por la red, descarga de un archivo por
FTP o HTTP, adjunto de correo electrónico, etc. Sin embargo, las estadísticas
demuestran que la principal vía de infección de virus es el correo electrónico;
concretamente, los archivos adjuntos del correo. Debemos extremar las
precauciones cuando recibamos un correo electrónico con un archivo adjunto.
¿Cómo podemos proteger nuestra red de virus? Básicamente por dos frentes:
mediante una adecuada formación de los usuarios (prevención) y mediante
programas antivirus (detección y desinfección). La primera forma es la más
eficiente puesto que es aplicable tanto para virus conocidos como desconocidos.
Formación de los usuarios
¿Saben los usuarios de nuestra empresa lo que no deben
hacer? ¿Saben que si abren un archivo ejecutable desde su puesto de trabajo
pueden comprometer la seguridad de toda la empresa? La formación de los usuarios,
especialmente aquellos que tengan acceso a Internet en sus puestos, es lo
primero que tenemos que tener en cuenta como administradores de una red.
Importante: Para que las
extensiones de los archivos sean visibles debemos desactivar la casilla
"Ocultar extensiones para los tipos de archivos conocidos" situada en
Mi PC / menú Ver / Opciones de carpeta / Ver. La situación de esta opción puede
variar dependiendo de la versión de Windows e Internet Explorer que estemos
utilizando. Buena parte de los virus se aprovechan de que los usuarios tienen
esta casilla marcada. Por ejemplo, si recibimos el archivo
"LOVE-LETTER-FOR-YOU.TXT.vbs" teniendo la casilla marcada, veremos
únicamente el nombre "LOVE-LETTER-FOR-YOU.TXT" y creeremos
equivocadamente que se trata de un inofensivo archivo de texto, cuando en
realidad es un archivo ejecutable (.VBS).
Si todos los usuarios siguieran estos consejos habríamos
conseguido probablemente una red libre de virus. Microsoft, consciente del
elevado riesgo que supone el correo electrónico, dispone de una actualización
de seguridad para su programa Outlook (no Outlook Express) que impide al
usuario abrir archivos potencialmente peligrosos. Como administradores de redes
debemos considerar la opción de aplicar esta actualización en todos los
puestos.
Es responsabilidad del administrador instalar en todos los equipos
de la red tanto los últimos parches de seguridad como las últimas
actualizaciones del antivirus. Si bien es cierto que han salido a la luz virus
que se contagian con sólo abrir un archivo HTML (ver una página web o leer un
correo electrónico), también es cierto que se apoyan en vulnerabilidades del
sistema las cuales ya han sido subsanadas por Microsoft (por ejemplo, la
vulnerabilidad "script.typelib") . Entre este tipo de virus podemos
citar BubbleBoy, Happytime o Romeo y Julieta. Mediante una adecuada política de
actualizaciones en los puestos de trabajo así como una correcta configuración
de los programas de navegación y correo, podemos olvidarnos de los virus HTML:
el riesgo que suponen es tan bajo que no merece la pena que nos preocupemos por
ellos.
¿Cómo podemos
configurar los puestos de trabajo para reducir las situaciones de riesgo en el
correo electrónico?
ANTIVIRUS
Los programas
antivirus detectan la presencia de virus en archivos impidiendo la infección
del sistema. Además disponen de rutinas de desinfección con mayor o menor éxito
en función del tipo de virus y de la calidad del programa antivirus. Obsérvese
que los antivirus no son la panacea: cada día se desarrollan nuevos virus los
cuales pueden no ser detectados por nuestro programa antivirus. Las
desinfecciones de archivos en caso de que un posible virus haya destruido datos
(sobrescribiéndolos con caracteres basura, por ejemplo) pueden no tener ningún
éxito. En la mayoría de los casos, después de una infección no queda más
remedio que reinstalar equipos y recuperar datos de copias de seguridad. Por lo
tanto, debemos invertir en medidas de prevención y detección para que las
infecciones no lleguen a producirse. Si a pesar de todo ocurre lo peor, nuestra
red debe estar diseñada para que las consecuencias sean las menores posibles.
¿Dónde colocar el
antivirus? Se puede situar en los clientes y/o en los servidores:
Resumiendo: como norma general debemos instalar un antivirus residente en
cada puesto de la red (pero no en los servidores). Si se trata de una red de
dimensiones considerables y el presupuesto lo permite, podemos considerar
también la instalación de un antivirus específico para el servidor de correo de
la empresa.
Nota: La protección del servidor que da salida a
Internet (proxy) se estudia más adelante.
Como
administradores de la red tenemos que preocuparnos de:
Troyanos
Los caballos de Troya o troyanos son programas que
se distribuyen siguiendo los mismos métodos que los virus. Las medidas de
prevención son las explicadas anteriormente para el caso de los virus. Los
troyanos más conocidos son también detectados por programas antivirus.
Pero, ¿qué es exactamente un caballo de Troya? Es un programa que tiene una
apariencia inofensiva pero que realmente tiene objetivos hostiles. En concreto,
se trata de un programa con dos módulos: un módulo servidor y otro cliente. El
atacante se instala, con fines nada éticos, el módulo cliente en su ordenador.
El módulo servidor es el troyano propiamente dicho que se envía a la víctima
bajo alguna apariencia completamente inofensiva (unas fotos, un juego, etc.).
Una vez que la víctima cae en la trampa y ejecuta el archivo éste se instala en
su ordenador. A partir de ese momento, el atacante puede monitorizar todo lo
que la víctima hace en su ordenador incluyendo el robo de contraseñas y
documentos privados.
El troyano, después de ejecutarse, abre un determinado puerto en
modo escucha en el ordenador de la víctima. El atacante puede crear entonces
una conexión desde su ordenador hasta la dirección IP y puerto de la víctima
(debe conocer estos dos números o diseñar algún método para obtenerlos). Una
vez que está establecida la conexión, el atacante, que puede estar a miles de
kilómetros, tendrá acceso completo al ordenador de la víctima.
Para detectar la presencia de un troyano basta con utilizar el
comando NETSTAT -A. Si observamos algún puerto a la escucha que no esté
asociado con ninguna aplicación conocida de nuestro ordenador es señal de una
posible presencia de troyanos. Si, además, observamos que se establece una
conexión con una dirección IP desconocida es muy probable que nuestro ordenador
está transfiriendo datos sin nuestro consentimiento.
Nota: Se puede averiguar a quién pertenece una
dirección IP mediante los sitios whois disponibles en la Red (ver www.saulo.net/links).
El significado de cada puerto se estudia en el Curso
de protocolos TCP/IP.
Los antivirus no son los programas más efectivos para enfrentarse
a los caballos de Troya. En su lugar, es más recomendable la utilización de
cortafuegos o firewall que nos avisará cuando detecte el establecimiento
de una conexión TCP sospechosa o, simplemente, la rechazará. En las redes suele
ser suficiente con la colocación de un cortafuegos justo en la salida de
Internet. Más adelante se estudian los cortafuegos.
6.2 LEY DE LOS MÍNIMOS PRIVILEGIOS
Todos aquellos servicios que no sean imprescindibles en una red se
deben deshabilitar. Además, todos aquellos privilegios que no sean
indispensables para que los usuarios ejerzan con comodidad su trabajo deben ser
suprimidos. Todo esto ser resume con la ley de los mínimos privilegios:
ningún usuario ni ordenador debe poder hacer más de lo necesario. Veamos unos
ejemplos:
Desde el punto de vista de la seguridad, la red más segura sería
aquella que no dejara hacer nada (ni trabajar, siquiera) y la red más insegura
aquella que lo permitiera todo (entrar desde el exterior a usuarios anónimos,
por ejemplo). Por supuesto, debemos buscar un compromiso entre seguridad y
número de servicios / privilegios requeridos para trabajar con comodidad.
Deshabilitar servicios innecesarios
Un servidor con pocos servicios habilitados tiene las siguientes
ventajas: funciona más rápido puesto que tiene menos tareas a las que atender,
consume menos memoria y hace un menor uso del procesador, produce menos errores
(hay menos cosas que pueden fallar y menos módulos que puedan interferir entre
sí), es más resistente a agujeros de seguridad (sólo le afectan los agujeros de
seguridad de los servicios que tiene activos) y, por último, tiene un
mantenimiento más sencillo (sólo hay que instalar los parches de seguridad de
los servicios que tiene habilitados). La gestión de servicios en Windows NT se
realiza desde Panel de control / Servicios.
Los servidores deben tener el menor número de puertos abiertos.
Esto se consigue eliminando todos los servicios innecesarios. De esta forma
evitamos posibles ataques desde el exterior que se aprovechan de algún reciente
agujero de seguridad para puertos concretos. Los puertos abiertos se listan con
la orden NETSTAT -A. Por supuesto, los clientes sólo deben tener abiertos los
puertos imprescindibles para sus tareas (generalmente los puertos NetBIOS: 137,
138 y 139): nunca un puesto de trabajo puede ser un servidor web o similar
(esto se produce en ocasiones con puestos de trabajo que funcionan con Windows
2000 Professional).
Nota: En los ordenadores
Windows 9x/Me los puertos se abren porque algún programa los está utilizando.
Pulsando Ctrl+Alt+Supr podemos ver la lista de programas activos en ese
momento. Mediante la orden MSCONFIG, pestaña Inicio se listan todos los
programas que se ejecutan al iniciarse el sistema operativo. Una vez que hemos
localizado el programa que abre un determinado puerto que queremos cerrar, basta
con desmarcarlo en la lista anterior. En el próximo reinicio el puerto
permanecerá cerrado. El cierre de los puertos NetBIOS se explica en el apartado
Cómo
deshabilitar NetBIOS en Windows 98.
La gestión de los privilegios de los usuarios debe realizarse
cuidadosamente en los servidores de usuarios y archivos. Aunque los usuarios
sean de confianza siempre reduciremos riesgos por descuidos. Además, en el caso
de una infección por virus, el virus no podrá traspasar los departamentos si no
hay ninguna vía de acceso o recurso compartido común. En general, la aplicación
de la ley de los mínimos privilegios reduce la mayor parte de riesgos
potenciales.
6.3 PARCHES DE SEGURIDAD
El software que sale al mercado dista mucho de ser un
producto perfecto e infalible: habitualmente contiene una serie de errores que
no fueron detectados o corregidos a tiempo antes de su comercialización. Desde
el punto de vista de la seguridad nos interesan aquellos fallos que pueden ser
utilizados por personas maliciosas para romper la seguridad de un sistema,
extraer datos, dejar un sistema fuera de servicio, etc. Cada día se descubren
nuevos agujeros de seguridad en los productos más utilizados y también
cada día se lanzan parches de seguridad que subsanan estos errores. El
tiempo que transcurre entre que un agujero de seguridad es publicado y la
instalación del correspondiente parche en el servidor es tiempo que el servidor
está a merced de los hackers que pululan por la Red.
Las informaciones de primera mano en temas de seguridad se
obtienen de listas de correo especializadas. En español se destaca la lista una-al-dia
de Hispasec
que lanza diariamente una noticia de seguridad. Hispasec también incluye un
sistema de mensajes a móviles para alertar de los riegos más graves.
Si bien los servidores son las máquinas más sensibles de la red y
a las que debemos prestar una mayor atención, tampoco debemos olvidarnos de los
clientes. Los puestos de trabajo deben contener al menos todas las actualizaciones
críticas que recomienda www.windowsupdate.com
6.4 MODELOS DE REDES SEGURAS
En este apartado vamos a revisar algunos puntos que debemos tener
en cuenta a la hora de diseñar redes seguras.
Las contraseñas escogidas en la red deben ser contraseñas seguras.
No solamente las contraseñas de los servidores sino también la de los usuarios
que inician sesión en sus puestos de trabajo. Pongamos un ejemplo: la palabra
"cerrojo" no es en absoluto una contraseña segura puesto que es una
palabra de diccionario. Los diccionarios se pueden utilizar para hacer ataques
de fuerza bruta desde la primera palabra hasta la última, hasta que se
encuentre alguna coincidencia. Sin embargo, nosotros podemos camuflar esta
palabra mediante algún número o símbolo. La palabra "cerrojo56" es ya
mucho más difícil de descifrar. También se pueden combinar números y letras en
mayúsculas tratando de buscar algún sistema que nos permita recordar la
contraseña. Por ejemplo, "cErr0j0". Las contraseñas deben tener más
de 5 o 6 caracteres. Cuanto más larga sea la contraseña, más complicado será
romperla. Otro método para inventarse contraseñas es utilizar las iniciales de
frases. Sin embargo, las frases tampoco deben ser muy conocidas puesto que las
iniciales más habituales se encuentran también en diccionarios de hackers (por
ejemplo, "euldlm" = En un lugar de la Mancha).
Las contraseñas se deben renovar periódicamente (cada dos meses,
por ejemplo) por si alguna hubiese podido ser descubierta. Además, se deben
utilizar contraseñas distintas para cada servicio de la red. Por ejemplo, sería
una temeridad utilizar la misma contraseña para el correo electrónico que para
la cuenta de administrador de un servidor. ¿Por qué? Sencillamente porque una
contraseña de correo no viaja encriptada por la red y podría ser descubierta
fácilmente.
La utilización de switches es preferible a la utilización de hubs.
Recordemos que un hub difunde la información que recibe desde un puerto por
todos los demás. La consecuencia de esto es que todas las estaciones conectadas
a un mismo hub reciben las mismas informaciones. Si en uno de estos puestos se
sitúa un usuario malicioso (o bien, ese puesto está controlado remotamente
mediante un troyano u otro tipo de acceso remoto) es posible que trate de
instalar una herramienta conocida como sniffer para analizar todo el
tráfico de la red y así, obtener contraseñas de otros usuarios. Los sniffers
utilizados correctamente pueden mostrar información muy útil para el
administrador de una red. Pero en manos de usuarios maliciosos y en redes mal
diseñadas supone un elevado riesgo de seguridad. Un sniffer instalado en un
puesto de trabajo carece de utilidad si en la red se utilizan switches para
aislar los puestos. En cambio, un sniffer instalado en un servidor (de correo o
de usuarios, por ejemplo) puede revelar datos altamente confidenciales. Es muy
importante, por tanto, restringir el acceso de usuarios a los servidores así
como mantenerlos protegidos con las últimas actualizaciones de seguridad.
Es preferible que las zonas pública y privada de nuestra red
utilicen cableado distinto. Así evitaremos que un servidor de la zona pública
comprometido pueda escuchar tráfico de la zona privada. Veamos dos ejemplos:
Los servidores, ¿en la zona pública en la zona privada? Estamos de
acuerdo en que los servidores tienen que tener direcciones IP públicas para que
sean accesibles desde todo Internet. Sin embargo, no suele ser recomendable
asignar directamente las IP públicas a los servidores. En su lugar se les puede
asignar direcciones privadas e implantar un sistema de traslación de direcciones
públicas-privadas. De esta forma se consigue que todo el tráfico público de la
red se filtre por un router o/y cortafuegos antes de llegar a los servidores.
Por ejemplo: el servidor web de la empresa puede tener la dirección
194.142.15.8 de cara a los visitantes pero la dirección 192.168.0.3 en su
configuración. Un servidor previo (cortafuegos) tendrá la dirección
194.142.15.8 configurada y redirigirá las peticiones al puerto 80 de esta IP al
servidor 192.168.0.3. Esta traslación de direcciones la pueden realizar routers
correctamente programados o bien, máquinas Linux, las cuales se desenvuelven
muy eficazmente en estas tareas. ¿Qué ocurre si alguien intenta acceder a un
puerto distinto al 80 de la IP 194.142.15.8? Sencillamente que el cortafuegos
rechazará la conexión sin molestar al servidor web que ni siquiera advertirá
este intento de conexión. Los servidores públicos protegidos bajo este esquema
pueden dedicarse únicamente a sus tareas, sin malgastar recursos en la defensa
de ataques.
Los cortafuegos o firewalls se sitúan justamente en la
salida a Internet de la red. Disponen de un panel de control que permite cerrar
aquellos puertos que no se van a utilizar y así solventar descuidos de
configuración de servidores internos. Pongamos un ejemplo: tenemos un servidor
web NT con el puerto 139 abierto (NetBIOS) pero en el cortafuegos
cerramos el puerto 139. Entonces, ningún usuario externo a la red podrá abrir
una conexión al puerto 139 del servidor web puesto que el cortafuegos la
rechazará.
Por último, debemos recordar que el servidor de archivos debe
estar correctamente configurado de forma que cada usuario pueda ver únicamente
sus archivos pero no los de los demás usuarios. En el caso de redes grandes
puede resultar interesante la división de departamentos en subredes (con
cableado separado además) con el fin de crear unidades de administración
independientes. De esta forma los usuarios de un departamento serán
completamente independientes de los de otros departamentos. En este esquema se utiliza
un servidor de archivos para cada subred y un router con tantas tarjetas
de red como departamentos para interconectarlos.
Todo lo anterior son ideas que nos pueden guiar durante el diseño
de una red segura. Cada caso hay que estudiarlo por separado evaluando los
factores coste, nivel de seguridad requerido, comodidad de los usuarios y
facilidad de administración.