Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Instrucciones:
1. Investiga las condiciones para establecer un servicio de nombre o directorio ya sea
un NIS, un LDAP, un DNS o archivos locales en la red, como parte del diseño de una
red segura.
2. Con base en la información recabada realiza lo siguiente:
• Una descripción sobre las consideraciones generales las condiciones para establecer
un servicio de nombre o directorio
• En la implementación de una red ¿cuáles crees que sean los dispositivos que deben
ser empleados para que una red sea segura?
• ¿Cómo determinarías las condiciones de implementación en el diseño de una red
segura?
NIS lleva a cabo su tarea manteniendo unas tablas de información de los grupos,
usuarios y hosts en su sistema. Anteriormente a estas tablas se les denominaba yellow
pages, pero por derechos de copyright se optó por cambiarles el nombre, aún en
algunos sistemas aparecen bajo el directorio /var/yp, en otros /var/nis. Para que funcione
un NIS es necesario ejecutar un daemon para el NIS server y otro daemon para el NIS
cliente, así como un nombre privado para la red local.
Procedimiento para implementar un NIS tomando como base Red Hat Linux: Crear
el NIS Server
1. Crear el archivo /etc/defaultdomain y escribir el nombre de la red local (el mismo que
se escribió en el server).
Cada vez que sea necesario que se modifique en el server el archivo de grupos, hosts
o passwords, es necesario ejecutar desde /var/yp el script make para que tenga efecto
el cambio en toda la red.
LDAP: LDAP proviene de las siglas Lightweight Directory Access Protocol que significa
Protocolo Ligero de Acceso a Directorios, es un protocolo a nivel de aplicación que
permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa
información en un entorno de red. Además se le considera como una base de datos a
la que es posible realizarle consultas.
En este caso se plasmará el procedimiento para instalar el denominado OpenLDAP en
Linux, esta aplicación es una implementación libre y de código abierto del protocolo
LDAP, es liberada bajo su propia licencia OpenLDAP Public License, es un protocolo de
comunicación independiente de la plataforma.
Cuándo se abra el editor, podremos ajustar algunos de los valores del documento, pero,
sobre todo, comprobaremos que son correctos los siguientes datos:
host 192.168.1.10 base
dc=gricelda,dc=local
uri ldapi://192.168.1.10/
rootbinddn cn=admin,dc=gricelda,dc=local
ldap_version 3
bind_policy soft
Sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el
archivo.
4.- Configurar el demonio SLAPD.
SLAPD (Standalone LDAP Daemon) es un programa multiplataforma, que se ejecuta en
segundo plano, atendiendo las solicitudes de autenticación LDAP que se reciban en el
servidor.
El último paso en la configuración del servidor LDAP será establecer algunos
parámetros en la configuración de este demonio. Para conseguirlo, es necesario
ejecutar el siguiente comando, como es habitual, el comando deberá ejecutarse con
privilegios de superusuario:
sudo dpkg-reconfigure slapd
La primera pantalla que se muestra, actúa como medida de seguridad, para asegurarse
de que no se hacen cambios por error. Hay que tener cuidado porque la pregunta se
hace al revés, es decir, pregunta si queremos omitir la configuración del servidor (el
objetivo será impedir que se elija Sí sin pensar lo que hacemos). En este caso,
lógicamente, deberemos elegir la opción No y pulsamos la tecla Intro.
A continuación, deberemos escribir el nombre DNS que utilizamos para crear el DN
base (Distinguished Name) del directorio LDAP. En nuestro caso, escribiremos
gricelda.local y pulsaremos la tecla Intro.
Después, escribiremos el nombre de la entidad en la que estamos instalando el
directorio LDAP. Para este ejemplo, escribiremos gricelda y pulsaremos la tecla
Intro. En el siguiente paso, deberemos escribir la contraseña de administración del
directorio. La contraseña debe coincidir con la que escribimos en el apartado Instalar
OpenLDAP en el servidor, como es habitual, deberemos escribirla dos veces para evitar
errores tipográficos.
A continuación, elegiremos el motor de la base de datos que usaremos para el directorio.
Se recomienda HDB porque nos permitirá, en el futuro, cambiar los nombres de los
subárboles si fuese necesario. Si HDB no aparece elegida de forma predeterminada, la
seleccionaremos con la tecla <tabulador> para desplazarnos. Cuando sea correcto,
pulsamos la tecla Intro.
Lo siguiente que nos pregunta el asistente es si queremos que se borre la base de datos
anterior del directorio cuando terminemos la configuración de slapd. Igual que antes,
usamos la tecla <tabulador> para elegir No y pulsamos Intro.
Como se ha decidido no borrar la base de datos antigua, el asistente preguntará si se
cambiara de sitio. Para evitar confusiones entre las dos bases de datos (nueva y
antigua), elegiremos la opción Sí y pulsaremos Intro.
En algunas redes, con clientes muy antiguos, puede ser necesario mantener la versión
2 del protocolo LDAP. Por ese motivo, antes de terminar, el asistente nos pregunta
queremos permitir el protocolo LDAPv2. En la mayoría de los casos, la respuesta será
No.
Después de este último paso, se cierra el asistente y volvemos a la consola. Ahora
podemos ver en la pantalla que la base de datos antigua se ha guardado en
/var/backups y que el resto de la configuración se ha realizado con éxito. Con esto
habremos terminado la configuración del servidor LDAP. Ahora está listo para
autenticar usuarios.
5.- Crear la estructura del directorio.
Una vez configurado el servidor, será necesario configurar la estructura básica del
directorio. Es decir, se creara la estructura jerárquica del árbol (DIT – Directory
Information Tree).
Una de las formas más sencillas de añadir información al directorio es utilizar archivos
LDIF (LDAP Data Interchange Format). En realidad, se trata de archivos en texto plano,
pero con un formato particular que es necesario conocer poder construirlos
correctamente. El formato básico de una entrada es de la siguiente manera:
# comentario
dn: <nombre global único>
<atributo>: <valor>
<atributo>: <valor>
...
Explicación del contenido de este archivo:
- Las líneas que comienzan con un carácter # son comentarios.
- <atributo> puede ser un tipo de atributo como cn o objectClass, o puede incluir
opciones como cn;lang_en_US o userCertificate;binary.
Entre dos entradas consecutivas debe existir siempre una línea en blanco. Si una línea
es demasiado larga, será necesario repartir su contenido entre varias, siempre que las
líneas de continuación comiencen con un carácter de tabulación o un espacio en blanco.
Por ejemplo, las siguientes líneas son equivalentes:
dn: uid=jlopez, ou=medio, dc=somebooks, dc=es
dn: uid=jlopez, ou=medio,
dc=somebooks, dc=es
También podemos asignar varios valores a un mismo atributo utilizando varias líneas:
cn: Juan Jose Lopez
cn: Juan Lopez
Con esta información en mente, crearemos un archivo que contenga los tipos de objeto
básicos del directorio. Comenzaremos por abrir un editor de textos, por ejemplo nano,
indicándole el nombre de nuestro archivo:
sudo nano ~/base.ldif
En este ejemplo se le ha llamado base.ldif, pero, lógicamente, es posible llamarlo como
le resulte más apropiado al usuario.
Una vez abierto el editor, escribiremos un contenido como este:
dn: ou=usuarios,dc=gricelda,dc=local
objectClass: organizationalUnit
ou: usuarios
dn: ou=grupos,dc=gricelda,dc=local
objectClass: organizationalUnit
ou: grupos
Cuando hayamos terminado de escribirlo, sólo restará pulsar Ctrl + x para salir y
asegurarnos de guardar los cambios en el archivo. Con esto ya es posible cargar el
nuevo usuario en el directorio. Sólo es necesario escribir el siguiente comando:
sudo ldapadd -x -D cn=admin,dc=gricelda,dc=local -W -f usuario.ldif
Después de escribir la contraseña de administración de LDAP, podremos comprobar
que el usuario se ha añadido correctamente.
DNS: DNS proviene de Domain Name System que en español significa Sistema de
Nombres de Dominio. Un servidor DNS es un sistema que nos permite usar nombres
de dominio en lugar de direcciones IP. Su principal ventaja es que para nosotros es
mucho más fácil recordar un nombre que una dirección IP.
Ésta es ciertamente la función más conocida de los protocolos DNS: la asignación de
nombres a direcciones IP. Por ejemplo, si la dirección IP
de www.ujaen.es es 150.214.170.105, la mayoría de la gente llega a este equipo
especificando www.ujaen.es y no la dirección IP. Además de ser más fácil de recordar,
el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin
que tenga que cambiar el nombre.
También se realizara un análisis de los dispositivos que se utilizan en una red para
proveerle la seguridad necesaria, ya que para mantener una red segura es necesario
estar a la vanguardia de los avances tecnológicos.
Por ejemplo, una ruta de acceso del árbol de directorios ayuda a indicar la ubicación
exacta de un archivo almacenado en el equipo. Para los equipos con Windows, la barra
diagonal inversa (\) indica cada nuevo directorio que dirige a la ubicación exacta de un
archivo. Para DNS, lo equivalente es un punto (.) que indica cada nuevo nivel de dominio
que se utiliza en un nombre.
Por ejemplo, para un archivo llamado Servicios, la ruta de acceso completa de este
archivo como se muestra en el símbolo del sistema de Windows será:
C:\Windows\System32\Drivers\Etc\Servicios
Para interpretar la ruta de acceso completa del archivo, el nombre se lee de izquierda a
derecha desde el grupo de información más alto o más general (unidad C:, la unidad
donde está almacenado el archivo) a su información más específica, el nombre de
archivo "Servicios". Este ejemplo muestra cinco niveles jerárquicos independientes que
conducen a la ubicación del archivo Servicios en la unidad C:
3. Una carpeta del sistema donde están almacenados los componentes del sistema
(System32).
host-a.ejemplo.microsoft.com.
3. Dominio "com", que corresponde al dominio de nivel superior designado para ser
usado por empresas u organizaciones comerciales y es la raíz del dominio
"microsoft".
4. Punto final (.), que es un carácter de separación estándar que se utiliza para
calificar el nombre de dominio DNS completo en el nivel raíz del árbol del espacio
de nombres DNS.
Utilice los pasos siguientes para instalar DNS en el servidor de Windows NT 4.0:
Nota: si tiene algún service Pack instalado, deberá volver a aplicar el service
pack antes de reiniciar el equipo.
4. Reinicie el equipo.
Recopilar información:
Antes de iniciar la configuración del servidor DNS, hay cierta información básica que
necesitará. Parte de esta información deben ser aprobados por Internic para su uso en
Internet, pero si está configurando este servidor sólo para uso interno, puede decidir qué
nombres y direcciones IP a utilizar. Necesitará:
Por ejemplo:
Domain Name: <Domain.com>
192.168.50.12 <Ftp1.domain.com>
192.168.50.15 <DNS1.domain.com>
Nota: no es necesario reiniciar el servidor DNS para que las zonas surtan efecto a los
cambios. Todo lo que se requiere es para que los archivos de datos de servidor se
actualicen con el siguiente paso:
DNS puede configurarse para que se reduzcan los problemas de seguridad. La siguiente
tabla muestra las cinco áreas principales que hay que atender al establecer la seguridad
DNS.
Todos los servidores DNS están configurados con sugerencias de raíz dirigidas
a los servidores raíz para Internet.
Todos los servidores DNS están configurados para atender en todas sus
direcciones IP.
La seguridad de nivel medio utiliza las características de seguridad DNS disponibles sin
ejecutar servidores DNS en controladores de dominio ni almacenar zonas DNS en Active
Directory.
Los servidores DNS externos que hay delante de su servidor de seguridad están
configurados con sugerencias de raíz dirigidas a los servidores raíz para Internet.
La seguridad de alto nivel utiliza la misma configuración que la de nivel medio y además
utiliza las características de seguridad disponibles cuando el servicio del Servidor DNS
se está ejecutando en un controlador de dominio y las zonas DNS se almacenan en
Active Directory. Además, la seguridad de alto nivel elimina por completo la
comunicación DNS con Internet. Esta no es una configuración típica, aunque es la
recomendada siempre que no sea necesaria la conectividad con Internet.
Su red utiliza una raíz y un espacio de nombres DNS internos, en la que toda la
autoridad para zonas DNS es interna.
Las DACL están configuradas en los registros de recursos DNS para que sólo
permitan crear, eliminar o modificar datos DNS a usuarios específicos.
NIS: Antes de empezar a configurar nada, hay una serie de cuestiones, es decir,
realizar un análisis de necesidades y requisitos previo a empezar a instalar y configurar.
Serie de puntos a tener en cuenta:
Decir que, en algunos sistemas operativos como SunOS, utilizan como nombres de
dominio nombres de Internet. Es una restricción a nivel de Sistema Operativo, con lo
cual, si se dispone de máquinas de este tipo, no tendremos que ceñir a dicha restricción.
Evidentemente, de todos los puntos tratados hasta ahora, es el que menor impacto tiene
a la hora de cambiar configuraciones, ya que se afecta a usuarios concretos; no como
en los casos anteriores, en donde un cambio en el nombre de dominio supone
reconfigurar todos sus clientes; o donde cambiar el servidor maestro o montar nuevos
esclavos supone una instalación nueva y una serie de pasos y pautas a seguir en función
de los procedimientos de la organización.
Sobra decir lo importante de este punto. La información que contiene NIS es muy
sensible (nombre de usuarios, passwords, etc.).
LDAP:
Los requisitos previos para instalar LDAP son los siguientes:
Exportación del certificado de CA del servidor LDAP
La conexión SSL segura con el servidor LDAP requiere el certificado de CA del servidor
LDAP, que debe exportar a un archivo codificado en base64.
Active Directory: el objeto de usuario ANONYMOUS LOGON debe recibir los permisos
de lista y los accesos de lectura apropiados para los atributos sAMAccountName y
objectclass. En Windows Server 2003 hay que realizar una configuración adicional.
DNS: Antes de iniciar la instalación real, hay algunas cosas a tener en cuenta. En
primer lugar, puede que tenga que registrar un nombre de dominio DNS. Si desea que
sus nombres de host han de ser resueltos por los clientes en cualquier parte del mundo,
necesita un nombre registrado. Si es para uso interno, también puede utilizar un nombre
privado que no ha sido registrado. En ese caso, sigue siendo una buena idea utilizar un
nombre que no sea utilizado por alguien más, pero usar uno que sea claramente
reconocible como un nombre local de sólo DNS, como example.local.
Incluso si el nombre de dominio que desea utilizar está disponible sólo a nivel interno,
puede conectar el servidor DNS a la jerarquía DNS en todo el mundo. Eso significa que
su servidor DNS interno puede salir y resolver nombres de Internet. De forma
predeterminada, un servidor DNS que no es capaz de resolver un nombre por sí mismo
contactará con un servidor de nombres del dominio (DNS) raíz o utilizara un promotor
para obtener externamente la información de resolución del nombre. A continuación, el
servidor DNS pondrá en caché la información que ha encontrado para rápidamente
entregar la información requerida hacia una etapa posterior.
A raíz de la decisión sobre el nombre de dominio, es necesario pensar en el tipo de
servicios de DNS que desea ofrecer. En el enfoque más simple, se puede instalar un
servidor de nombre DNS sólo de caché. Este es un servidor DNS que no tiene una base
de datos con registros de recursos por sí mismo, pero obtendrá todo, desde los
servidores de nombres externos. La ventaja de implementar un servidor de nombres de
sólo memoria caché es la velocidad, todo lo que se almacena en caché local no necesita
ser traído desde Internet.
A continuación, debe decidir si desea usar el DNS dinámico también. En DNS dinámico,
el servidor DHCP sincroniza su información con DNS. De esta manera, usted puede
asegurarse que una serie que se ha hecho de una nueva dirección IP tendrá su
información actualizada en DNS también.
• En la implementación de una red ¿cuáles crees que sean los dispositivos que
deben ser empleados para que una red sea segura?
Existen una serie de mínimos a tener en cuenta a la hora de montar un servidor NIS ya
que va a ser un servidor al que accedan todos los clientes del dominio y que dependen
de él para poder loguear usuarios, cargar profiles, y demás configuraciones incluidas en
dicho servidor; por lo que se necesitará una máquina con cierta capacidad para soportar
el cúmulo de peticiones. Debemos barajar dos posibilidades:
Si no se dispone máquinas que puedan actuar como servidores esclavos, se tendrá que
montar el maestro en una máquina estable, y definir una serie de políticas de
actualización y actuación en la máquina, para que cada intervención a realizar en ella,
se afecte lo menos posible a producción. También es recomendable el intentar
descargar a dicha máquina de dar otros servicios, en la medida de lo posible, para evitar
que sea un proceso ajeno al sistema NIS el que haga que se den problemas en la
máquina.
Routers de red.
El Router es un dispositivo de capa 3 (Red). Toma sus decisiones de encaminamiento
analizando las direcciones de red de los paquetes (PDU de capa 3). Los routers pueden
conectar distintas tecnologías de Capa 2. La función de un Router es examinar los
paquetes que recibe en una interface, leer la dirección de destino de capa 3, elegir cuál
es la mejor ruta y conmutar el paquete hacia el puerto de salida adecuado. Los routers
no reenvían los broadcast, por esto, se dice que "dividen" los dominios de broadcast.
Generalmente, los routers tienen una o más interfaces de LAN y una o más interfaces
de WAN. Los routers poseen todas las capacidades indicadas antes. Los routers pueden
regenerar señales, concentrar múltiples conexiones, convertir formatos de transmisión
de datos, y manejar transferencias de datos. También pueden conectarse a una WAN,
lo que les permite conectar LAN que se encuentran separadas por grandes distancias.
Ninguno de los demás dispositivos puede proporcionar este tipo de conexión.
Mediante un enfoque de sistemas, los routers de red que ofrecen servicios integrados
permiten a las empresas traspasar la responsabilidad de la seguridad y la confiabilidad
desde las computadoras y los usuarios individuales a la red en sí. Esto ayuda a proteger
a las empresas contra el ingreso de virus, código malicioso y otras infecciones que las
computadoras portátiles de los usuarios finales pueden adquirir inadvertidamente.
Access Point.
Proporciona una máxima seguridad inalámbrica soportando autenticación de usuarios
para servidores externos y, gracias a su servidor interno, el access point puede ser
usado como servidor de autenticación en redes pequeñas. Otras características de
seguridad incluidas en este equipo son el filtrado de direcciones MAC, desactivación del
broadcast del SSID y soporte para los últimos mecanismos de encriptación inalámbricos.
Firewall
El propósito de los Firewall es aislar una red de otra y están disponibles a través de
implementaciones de software, como funcionalidad adicional en otro tipo de dispositivo
(funciones de Firewall en un Router) o como hardware dedicado (appliance específico).
Un Firewall permite aplicar la política de seguridad de red de la compañía,
inspeccionando el tráfico entrante y saliente a la misma, permitiendo sólo los servicios
autorizados mediante el análisis de las direcciones IP de origen y destino, los puertos
de origen y destino y otros parámetros de inspección como ser: números de secuencia,
campos de control, comandos específicos, etc., según las capacidades del sistema
operativo del Firewall, filtrando los paquetes que no cumplen con la política vigente.
Es posible configurar un Firewall de forma que permita sólo tráfico de correo, de modo
de proteger de cualquier ataque sobre la red destino. Generalmente, están configurados
para proteger contra "logins" sin autorización expresa desde cualquier parte del mundo.
Esto, ayuda principalmente, a prevenir ataques en máquinas y software de nuestra red.
También, permiten bloquear el tráfico "desde Internet hacia la empresa", admitiendo que
los usuarios del interior, se comuniquen libremente con los usuarios del exterior. Pueden
protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para
ello. Esto proporciona un sistema simple para auditar la red.
Siempre que disponga de una red privada que vaya a conectarse a una red pública, se
necesita la protección que este recurso ofrece. Incluso en el caso de los usuarios
particulares que se conectan a Internet mediante un módem resulta recomendable, ya
que permite estar protegido contra los ataques que se puedan sufrir, así como moverse
por la red de forma anónima. De esta manera, los datos estarán a salvo y la privacidad
quedará asegurada.
IDS
Un IDS está diseñado para ayudar a mitigar el daño que puede causar a los recursos
un incidente de seguridad. Su función consiste en detectar tráfico sospechoso y
reaccionar enviando alarmas o reconfigurando dispositivos con el objeto de finalizar
conexiones.
Las herramientas generales de IDS pueden implementarse, al igual que los Firewalls,
sobre dispositivos dedicados (appliance) o mediante software. Aunque existen
diferentes tipos de productos, la mayoría tienen en común tres componentes:
a) Sensores
b) Analizadores
c) Interface de administración
Los sensores se encargan de recolectar el tráfico y los datos propios de la actividad de
los usuarios, enviando esta información al analizador. Éste controla el tráfico recolectado
en busca de actividades sospechosas. Si detecta una actividad programada como
maliciosa, envía inmediatamente una alarma a la pantalla de la interface de
administración, a fin de alertar en forma oportuna al administrador de seguridad, sobre
la ejecución de un posible ataque.
VLANs
Puede definirse como una serie de dispositivos conectados en red que a pesar de estar
conectados en diferentes equipos de interconexión (hubs o switches), zonas geográficas
distantes, diferentes pisos de un edificio e, incluso, distintos edificios, pertenecen a una
misma Red de Área Local.
Es importante realizar políticas de seguridad para la red que se utilice o pretenda utilizar
para mejorar e implementar las mejores tecnologías que se tienen actualmente en el
mercado como son:
Así que depende del resultado de un análisis de riesgos el conocer cuáles son las
vulnerabilidades de la empresa, entonces estaremos en condiciones de definir que
dispositivos usar en la red, la manera de configurarlos y que servicio de nombre o
directorio usar o configurar archivos locales.
a) Dirección IP Origen.
b) Dirección IP Destino.
c) Puerto Origen.
d) Puerto Destino.
e) Protocolo.
f) Cantidad de Datos Transmitidos.
Como se ha planteado, para poder determinar que una red es segura, se necesitan
complementar, cada uno de los recursos o dispositivos antes mencionados, pero es
importante el análisis de los problemas que se tuvieron con anterioridad para poder
realizar una política de seguridad, como inicio de la conformación de la red con un grado
de seguridad alto. (Gil, 2014, pág. 40)
Actualmente las redes están formadas por un gran conjunto de dispositivos. Los
diferentes niveles de seguridad que se quieran implementar en una red (desde el acceso
a ésta hasta la verificación de la integridad de los datos que circulan) dependen, en gran
medida, de la seguridad de esos dispositivos.
Las debilidades en la seguridad de las redes van a estar originadas en gran medida por
las vulnerabilidades de los dispositivos presentes en la red. Una vulnerabilidad
representa el punto o aspecto del sistema que es susceptible de ser atacado. Equivale
al conjunto de debilidades del sistema.
Conclusión.
En la actualidad es muy cómodo crear una red WLAN en nuestro hogar o negocio,
debido a la gran cantidad de dispositivos móviles con los que se cuenta hoy en día, sin
embargo se debe tener mucha precaución al momento de configurar los dispositivos de
la red, por ejemplo no se necesita ser un hacker para irrumpir en las redes, incluso en
la actualidad se comercializan routers en el mercado, que pueden hackear y conectarse
a cualquier red que use el método de seguridad WEP.
Sin embargo una de las medidas que podemos utilizar es configurar el router al método
de seguridad WPA2, cambiar la contraseña predeterminada, cambiar el identificador de
red (SSID) predeterminado, usar puntos de acceso y configurar el firewall de Windows.
Bibliografía.
https://docs.oracle.com/cd/E19957-01/820-2981/ipplan-28/index.html
https://docs.oracle.com/cd/E37929_01/html/E36688/anis1-17499.html
https://docplayer.es/53008845-Trabajo-con-servicios-de-nombres-y-de-directorio-en-
oracle-solaris-11-3-ldap.html
http://dspace.uclv.edu.cu/bitstream/handle/123456789/6073/Tesis_Herbert_Enrique_T
un%20-%20Estudio_de_Directorios_LDAP.pdf?sequence=1&isAllowed=y
http://www.telematica.utfsm.cl/telematica/site/artic/20121008/asocfile/20121008171131
/vasquezbraulio.pdf