Mes: diciembre 2006

Configurar alertas

Las alertas nos servirán para notificar a un usuario o a nosotros mismos si algún valor predeterminado de contador ha sido excedido o a fallado alguna configuración específica.


Mediante su uso, definimos valores que provocan acciones, como mandar un mensaje, ejecutar un programa o iniciar un log.


Las alertas son útiles si no estamos continuamente pendientes del control de un contador particular pero deseamos ser notificados cuando supera o queda por debajo de un valor predefinido, para conocer la causa del cambio. Por ejemplo: si se supera cierto número de intentos de inicio de sesión erróneos, queremos ser alertados de éllo.


Funciones de una alerta:



  • Escribir una entrada en el log de eventos

  • Iniciar un log cuando se excede o queda por debajo el contador.

  • Enviar un mensaje.

  • Ejecutar un programa.

Crear una alerta:



  1. Utilizamos rendimiento, desde herramientas administrativas.

  2. Registro y alertas de rendimiento, alertas.


    • Si hay alertas se listarán en el panel de detalles. Un icono verde indica aquéllas que se están ejecutando mientras que uno rojo indica que están detenidas.

  3. Clic derecho sobre un área en blanco del panel de detalles, pulsamos en Configurar nueva alerta.

  4. En la caja Nombre, escribimos el nombre para la alerta y pulsamos Aceptar.


    • En la pestaña general, podemos definir un comentario para la alerta, junto a contadores, umbrales de alertas y el intervalo de muestra.

    • En la pestaña acción, podemos definir las acciones a realizar en cuanto los datos del contador disparen la alerta.

    • En la pestaña Horario, podemos definir cuando comienza la búsqueda de alertas.

Nota: Para guardar la configuración de una alerta, clic derecho en la alerta en el panel derecho de la consola de rendimiento y pulsamos en Guardar configuración como. Habremos de especificar un archivo .htm donde se guardará la configuración. Para ser reutilizada en una alerta nueva, clic derecho en el panel derecho y luego en Nueva configuración de alerta desde. Este es un camino fácil para generar nuevas configuraciones desde la configuración de alertas. También podemos abrir el archivo html con IE para mostrar un gráfico del monitor de sistema.


Para suprimir una alerta:



  1. Abrimos rendimiento, desde herramientas administrativas.

  2. Clic deoble en Registro y alertas de rendimiento.

  3. En el panel de detalles, clic derecho sobre la alerta a suprimir.

  4. Pulsamos en Eliminar.

Recordad que para realizar estos procedimientos debemos ser miembros del grupo de administradores, o tener delegada la autoridad apropiada. Si el equipo pertenece a un dominio, los miembros del grupo administradores del dominio también son capaces de realizar estos procedimientos.

Fuego, fuego, fuego!!! …

Suena la campana y salta la alerta…


Primer timbre: Zona perimetral INTERNET


Segundo timbre: La columna vertebral del perímetro


Tercer timbre: Los recursos de red


Cuarto timbre: La seguridad local del equipo


¡Primer aviso!


La frontera con Internet.


     Primer punto de ataque desde equipos externos, la unión con Internet. Debido a esto, la mayoría de administradores de red piensan que aquí es el sitio adecuado para su mejor cortafuegos. Si no piensas mucho en ello, tiene sentido, pero si consideras que esta idea pasa por tu mente como un simple asegurar algo más en este mundo, entonces no pondrás el cortafuegos más seguro y sofisticado sino el más rápido.


     Después de diversas lecturas creo que apuesto por la idea de utilizar un cortafuegos hardware en este punto, ya que pueden ser capaces de asumir un alto tráfico, realizar un filtrado de paquetes básico y permitir la entrada sólo a los servicios que proporcionamos a usuarios remotos. Mientras es una aproximación que proporciona una medida pequeña de seguridad, es rápida y suficiente como primera protección en una red moderna.


¡Segundo aviso!


     Aquí se marca una línea entre la red interna y los cortafuegos del perímetro frente a Internet. Proporciona un lugar para que el resto de segmentos de red se conecten. El tráfico suele ser menor por la presencia de más puntos fortificados que dan entrada a cada segmento, es decir, más cortafuegos en la columna. El cortafuegos de la primera línea de defensa recibe el total de tráfico y debe ir repartiéndolo hacia los cortafuegos siguientes, así contando que hay más de uno, el tráfico va disminuyendo.


    Estos cortafuegos inician realmente el trabajo de cortafuegos de red: inspección dinámica del tráfico de entrada y salida en la capa de aplicación. Los exploits se arman en dicha capa, así que estos cortafuegos realizan el trabajo de comprobar la validez de las comunicaciones que se mueven a través de ella.


     Este es el mejor lugar para un cortafuegos del tipo ISA Server 2004, que cumple con el modelo de inspección dinámica mencionado.


¡Tercer aviso!


Frontera entre la columna vertebral y las redes con recursos corporativos. Estos recursos pueden estar representados por estaciones de trabajo, servidores, LANs de departamentos, administración de redes y cualquier otro que queremos proteger de accesos no autorizados. Este es el lugar en que necesitamos el más duro y sofisticado nivel de defensa, ya que los intrusos si son capaces de violar la integridad de esta zona, disponen de acceso directo sobre los recursos y por tanto están en disposición de llevar a cabo un ataque con éxito.


Es en este nivel donde un cortafuegos se vuelve crítico. En contraste con un dispositivo hardware de filtrado de paquetes, se necesita una protección efectiva y real de cortafuegos. Un filtrado de paquetes aquí es inadecuado cuando se trata de defender los recursos de una red de esta zona. No sólo hemos de asegurar que todas las conexiones entrantes están sujetas a una profunda inspección a nivel de aplicación, también se ha de controlar que dejamos los recursos de las redes bajo un control de accesos de usuario/grupo fuerte.


Un requerimiento absoluto es un control de acceso fuerte basado en usuario/grupo. Frente al filtrado de paquetes, un cortafuegos aquí debe ser capaz de controlar las conexiones de salida basadas en la pertenencia del usuario/grupo. Las razones:




  • Hemos de ser capaces de registrar los nombres de usuario de todas las conexiones de salida y poder controlar la responsabilidad de los usuarios en su actividad en internet.


  • Hemos de ser capaces de registrar las aplicaciones que usan los usuarios para acceder a los contenidos de internet; esto nos permite determinar si aplicaciones no permitidas para su uso lo están siendo y nos habilita para tomar contramedidas.


  • Nuestra organización puede ser declarada responsable legalmente del material depositado en nuestra red (pornografía, virus, ataques); por tanto hemos de ser capaces de bloquear el material inapropiado.


  • La información corporativa sensible puede ser transferida fuera de la red desde ubicaciones de esta zona. Hemos de ser capaces de bloquearlo y registrar los nombres de usuarios y aplicaciones que los usuarios usan para dichas transferencias a sitios externos de nuestra red.

ISA Server tiene un comportamiento en esta zona ideal, ya que cumple con todos estos requerimientos. Cuando el sistema se encuentra trás el cortafuegos correctamente configurado como cortafuegos y como clientes Web Proxy, somos capaces de:




  • Registrar los nombres de usuario para todas las conexiones TCP y UDP hechas hacia Internet(o cualquier otra red para la que el usuario deba conectar a través del cortafuegos)


  • Registrar las aplicaciones usadas por los usuarios para hacer estas conexiones TCP y UDP a través del cortafuegos.


  • Bloquear conexiones hacia cualquier dominio o dirección IP, basado en el nombre de usuario o pertenencia a grupo.


  • Bloquear el acceso a cualqueir contenido externo a la red, basado en el nombre de usuario o pertenencia a grupo.


  • Bloquear la transferencia de información desde esta zona hacia otra red, basado en el nombre de usuario o pertenencia a grupo.

Toda esta profunda inspección dinámica de la capa de aplicación y el control de acceso necesita alto procesamiento. Debemos tener nuestros servidores preparados eficientemente para éllo. Afortunadamente incluso con el establecimiento de reglas complicadas, el cortafuegos ISA Server 2004 es capaz de manejar bien sobre 1,5GB/s por servidor, y hasta volúmenes de tráfico mayores con la configuración hardware apropiada.


¡Cuarto aviso!


La última alerta la tenemos aquí, la seguridad basada en el equipo. Esto representa la conexión entre los equipos y la red a la que directamente se encuentran. Cualquier aproximación a la seguridad basada en el equipo es un tanto diferente a la que normalmente vemos en la protección de cortafuegos de red, pero los principios son los mismos. Aquí se requiere que controlemos cuales son las entradas y salidas permitidas desde el equipo y cuales son las aplicaciones que están diseñadas con seguridad. Algunas de las cosas a considerar cuando tratamos con seguridad de equipos son:




  • usar un cortafuegos basado en equipo (personal) para controlar las conexiones entrantes y salientes y que aplicaciones pueden enviar y recibir datos.


  • Implementar políticas IPSec (en sistemas que sean compatibles) que nos servirán para controlar lo que se permite de entrada y salida desde y hacia equipos específicos.


  • Las aplicaciones y servicios ejecutándose en los equipos deben ser diseñadas pensando en la seguridad. Esto significa que no sean vulnerables a los ataques comunes como los desbordamientos de buffer y los de ingeniería social (como los exploits de e-mails o al abrir adjuntos).


  • Debería utilizarse software anti-virus para el bloqueo de los virus que llegan desde otras redes o vienen disfrazados de actualizaciones o programas.


  • Usar software anti-malware para proteger los equipos y prevenir la instalación de este u otro software malicioso.


  • Usar software anti-spam si el equipo dispone de cliente de correo electrónico.

Este es el último punto de defensa, la última alerta. La seguridad de cortafuegos perimetral es útil para controlar el acceso desde una red a otra y los ataques desde redes no locales que deben atravesar el ISA Server 200x, pero sólo la seguridad a nivel de equipo puede manejar ataques desde la propia red de área local donde las conexiones no pasan por el cortafuegos de red.

Situación en la red y papeles que pueden desempeñar los cortafuegos

Los cortafuegos pueden ser simples o sofisticados. Hay cierto número de papeles a desempeñar en la red por parte de un cortafuegos, dependiendo siempre de donde se situen en la infraestructura de la red y que se espera de ellos allí.


Una pequeña empresa puede disponer de un único cortafuegos que protega la red interna frente a intrusiones provenientes desde el exterior(internet). En cambio, una empresa grande puede que haya implementado múltiples cortafuegos en diferentes lugares y distintos papeles. Esto proporciona mayor cobertura, como también nos permite disfrutar de las ventajas de la fortaleza de los distintos tipos de cortafuegos y conseguir mejor rendimiento.


Los cortafuegos desempeñan distintos papeles, como:



  • Front-end: Denominados también perimetrales porque se encuentran en el perímetro de la red, entre la LAN e Internet. Dispone de una interfaz de red conectada a la red corporativa y otra directamente a internet. Todos los datos y comunicaciones, de entrada y salida, pasan por él y deben ser examinados por sus filtros antes de ser bloqueado o permitido el paso hacia dentro o hacia fuera.

  • Back-end: También se encuentra en el perímetro de la red interna, pero no conectado a Internet. En vez de eso, se situa detrás de uno o más cortafuegos front-end.

  • DMZ: Los servidores que necesitan estar disponibles desde internet se situan entre los cortafuegos front-end y los back-end, y así no exponer directamente la red interna. El área entre ambos cortafuegos se denomina DMZ.

  • Filtrado de aplicaciones en la red perimetral: Un filtrado a nivel de capa de aplicación situada dentro del perímetro, entre el front-end y el back-end para reducir la superfície expuesta a ataques y proporcionar un nivel alto de seguridad. Ya que toma le contenido filtrado de los cortafuegos de perímetro su rendimiento es mayor. Los cortafuegos del perímetro pueden ser simples cortafuegos rápidos de filtrado de paquetes.

  • Departamentales: Cortafuegos implementados dentro de la red interna para proteger subredes de la misma. Protegiendo con ello determinados departamentos u otras partes de la red, y no sólo de internet sino de otros departamentos o zonas.

  • Oficinas dispersas: Delegaciones conectadas a lo largo de la red, mediante vpn de sitio a sitio por ejemplo, protegidas por su propio cortafuegos.

  • Teleconmutadores: Usuarios remotos como los ejecutivos en viaje que conectan a la red de forma remota por VPN deben tener protección de cortafuegos en sus propios equipos remotos. Puede utilizarse un cortafuegos personal.

  • Múltiples configuraciones: Distintos cortafuegos de distintos desarrolladores trabajando juntos en una múltiple configuración de cortafuegos. Para una protección efectiva los cortafuegos deben estar diseñados para poder interoperar con otros y con sistemas operativos y servidores de aplicaciones implementados en la red.

Sigo con el Exchange Server 2007

     Para conseguir alta disponibilidad se usaban el balanceo de carga y la tolerancia a errores del hardware. Ahora se siguen utilizando o se pueden seguir utilizando, pero la novedad del Exchange 2007 es la técnica ‘log file shipping’ que consiste en la creación de una copia de las bases de datos en tiempo real y que servirán para, en caso de caída, para montarse rápidamente.


     Hay dos formas de implementación:


     Una BD de Exchange se compone de los archivos .edb (la información) y los transaction logs (la información aún no actualizada). Contar al completo con ambos es indispensable para la recuperación de una caída del sistema. El ‘log shipping’  consiste en la creación de una copia de los archivos de la BD e ir aplicando en tiempo real los transaction logs sobre dicha copia y así tener una réplica actualizada. Dependiendo de su almacenamiento, existen dos formas de replicación continua de datos:



  • Replicación continua Local: La copia se realiza en un disco duro local, distinto al original, del mismo servidor. Los cambios se propagan asíncronamente y es una opción de alta disponibilidad para pymes. Si se produce el fallo en la copia original sólo se necesitan unos minutos para montar la copia y tener servicio. Eso sí, si el error se produce en otro elemento y provoca la caída de todo el sistema no nos servirá.

  • Replicación continua en clústeres: Aquí la copia se encuentra en un nodo pasivo de un cluster permitiendo failover y failback. En esta clase de cluster el sistema de almacenamiento no se comparte por ambos nodos (shared-nothing cluster), así que su configuración es más sencilla. Es ideal para diferentes mecanismos de almacenamiento, DAS, SAN, iSCSI, permitiendo sincronizar servidores situados en diferentes zonas geográficas.

  • Ambos tipos permiten las copias de seguridad en cualquier instante desde las réplicas sin afectar a las activas.

Establecer horario de logs.

Con el criterio de qué es prácticamente imposible que una persona monitorice y controle una red durante las 24 horas del día, hemos de intentar automatizar el proceso y así disponer de ese tiempo para otras tareas. Podemos pues, establecer unos horarios para realizar los log y hacer un seguimiento del rendimiento, comprobar cuellos de botella, los eventos del sistema y como puede que afecten al servidor.


El establecer unos horarios nos permitirá tener un seguimiento base.


Determinar el efecto global en el sistema cuando se realiza una replicación entre DC’s


Determinar si existen cuellos de botella al iniciar sesión los usuarios por la mañana o si estos conectan remotamente por la tarde.


Determinar si se producen cuellos de botella en el horario de copias de seguridad .


Determinar…. según el horario de recopilación de datos…que le puede estar pasando a nuestro sistema o red, porqué va lenta, porqué…


¿Cómo?


Definir la hora de comienzo y final:



  1. Abrimos rendimiento desde las herramientas administrativas.

  2. Pulsamos en Registros y alertas de rendimiento y pulsamos en Registros de contadores.

  3. En el panel de detalles, clic doble en el nombre del log deseado.

  4. En la pestaña Horario, en Iniciar en: especificar hora y fecha.

  5. En Parar, podemos elegir entre:


    • Detenerlo después de una duración determinada, pulsar en Después de y especificar la duración, en días, horas…)

    • Detenerlo en una fecha y hora concreta, pulsamos en EN y especificamos la fecha y hora.

    • Detenerlo en cuanto se llene, pulsar en Cuando el archivo de registro esté completo. El archivo acumulará datos de acuerdo con el tamaño máximo especificado y establecido en la pestaña Archivos de registro (en lilobytes y hasta 2 GB)


      • NOTA: establecer el tamaño antes de marcar esta opción y tened en cuenta el espacio disponible en disco y si hay cuotas de uso.

  6. En Cuando el archivo se cierre, seleccionamos entre:


    • Si queremos un contador circular (continuo y automático), marcamos Iniciar nuevo archivo de registro.

    • Si deseamos ejecutar un programa, seleccionamos Ejecutar este comando. Escribimos la ruta y el nombre del programa a ejecutar o lo buscamos mediante Examinar.

En general los logs deben ser automáticos y seguir un horario. El registro debe seguir el uso de los servidores durante el periodo de mayor actividad. Hay veces, sin embargo en que no es necesario ningún seguimiento, sea por periodos de inactividad o por vacaciones, etc… Por ello es interesante detenerlos manualmente.


También se puede, si observamos un incremento de actividad no prevista, iniciarlos manualmente.



  • Abrimos rendimiento, clic Registros y alertas de rendimiento.

  • Registros de contadores

  • Clic derecho sobre el log deseado.

  • Iniciar/Detener lo que interese.

Recordatorio: No se puede ver un log mientras esté en ejecución, hay que detenerlo antes para verlo.

Conrtafuegos y Web Caching

Caché web es otra característica importante que puede incorporar el software de cortafuegos. ISA Server es uno de los que incluyen la funcionalidad de caché web. Muchos de los distribuidores de cortafuegos exigen la compra por separado del modulo de caché web, o que se usen soluciones de terceras partes con sus productos cortafuegos.
 La cantidad de tráfico web ha aumentado considerablemente dentro de la mayoría de organizaciones conectadas a Internet. En muchos casos los usuarios visitan las mismas páginas web y sitios con regularidad, o múltiples usuarios de la misma organización visitan y ven las mismas páginas y sitios. Al mismo tiempo, en conjunto, la red y el tráfico de internet se incrementa continuamente, llegando frecuentemente cerca de la saturación del ancho de banda disponible.
 El caché web proporciona una salida a estos efectos, reduciendo tanto el tráfico de salida hacia los servidores web como el tráfico de entrada desde los mismos en la red interna.
 Para ello se utilizan métodos de cacheo como:



  • Una de las vías para reducir el consumo de ancho de banda de Internet consiste en almacenar en la red local los objetos más frecuentemente visitados y así los usuarios recuperan esa información sin necesidad de salir hacia Internet. Esto se denomina Forward Web caching, que tiene la ventaja añadida de permitir a los usuarios un acceso rápido ya que los objetos web van por la LAN, que se supone una conexión más rápida con 100 o más Mbps en vez de una conexión de Internet por debajo de 1,5 Mbps.

  • Otro de los tipos de caché web se denomina Reverse Caching, el cual reduce el tráfico en la red interna y la velocidad de acceso de usuarios externos hacia el sitio Web propio de la compañía. En este caso, con frecuencia los objetos de los servidores web internos son cacheados en la red perimetral, en un servidor proxy, con lo que la carga de los servidores web se reduce.

  • También se utilizan múltiples servidores de Caché Web conjuntamente para proporcionar mayor eficiencia de caché. Como su nombre implica, Distributed Caché, distribuye los objetos Web cacheados a través de dos o más servidores de caché. Estos servidores están en el mismo nivel de red todos.

  • Hierarchical caching es otro de los caminos de uso de múltiples servidores de caché. Estos se emplazan en diferentes niveles de la red. En lo alto de la jerarquía se comunica con los proxys del final. Por ejemplo, un servidor de caché es emplazado en cada sucursal. Estos servidores se comunican con el array de caché en la Oficina principal. Este caché usa el ancho de banda más eficientemente que el caché distribuido (Distributed Caching), sin embargo, el segundo necesita menor espacio de disco. Lo mejor de ambos tipos, un esquema híbrido de caché combinando utilizando Caché Distribuido y Jerárquico. Esto mejora la eficiencia y el rendimiento.

Los formatos de los archivos de registro

Los formatos que podemos establecer para los archivos de registro y su descripción:


Texto delimitado por comas : Su extensión, .csv y es efectivo para exportar los datos hacia una hoja de cálculo.


Texto delimitado por tabulaciones : Su extensión, .tsv y al igual que el anterior también es efectivo para exportar hacia hojas de cálculo.


Binario : se define como binario secuencial, con extensión .blg, sólo archivos con formato binario pueden contener instancias que no son persistentes durante todo el tiempo de registro.  Este formato nos servirá para la grabación de instancias intermitentes, es decir, con paradas y resumenes después de que el registro haya comenzado. El comando de línea de comandos tracerpt nos convertirá archivos binarios a texto delimitado por comas.


Binario circular : con extensión .blg.  Este formato es útil para grabación continuamente en el mismo archivo de registro, sobreescribiendo datos anteriores con los nuevos en el momento en que el archivo alcance su máximo tamaño. El comando de línea de comandos tracerpt nos sirve aquí también.


Base de datos SQL : Definimos el nombre de una DB SQL existente y la establecemos como el log de destino, donde se leerán o escribirán los datos de rendimiento. Esto es recomendable para recopilar información sobre el rendimiento a nivel de empresa mejor que a nivel de equipo.


Con el formato de texto o binario(más compacto que el texto y fácilmente convertible con tracerpt) es más fácil la exportación hacia hojas de cálculo.


Como establecemos parámetros a un archivo de registro


Primero elegimos el formato, aquél que se adapte mejor a nuestro entorno. Si tenemos a nuestro cargo pocos servidores, el formato de texto o binario parece el más adecuado, mientras que si son cientos, parece más lógico que los datos vayan hacia una DB de SQL.


Para establecer parámetros en un registro de contadores,



  1. Inicio, herramientas administrativas y pulsamos en rendimiento.

  2. Seleccionamos Alertas y registros de rendimiento.

  3. Clic doble en Registros de contador.

  4. Clic doble en el archivo correspondiente en el panel de detalles.

  5. En la pestaña Archivos de registro, completamos las siguientes opciones:


    • Tipo del archivo del registro. En la lista, seleccionamos el formato que queremos para el archivo de registro, rellenamos las opciones y entonces pulsamos el botón Configurar.

    • Configurar. Seleccionamos la configuración de parámetros usando las opciones de una de las dos, Configurar archivos de registro o Configurar archivos SQL, basado en el tipo de archivo elegido en la lista de Tipo del archivo del registro.


      • Ubicación: Nombre de la carpeta en que se creará el archivo o pulsaremos en examinar para buscarla.

      • Nombre de archivo: Parte del nombre o nombre base para el archivo. Podemos usarlo en conjunción con Finalizar nombres de archivo con.

      • Repositorio: Seleccionamos el DSN de sistema (Nombre del origen de datos), desde la lista desplegable, y entonces escribimos el Nombre del conjunto de registros. Será almacenado en la DB dentro del DSN de sistema.

    • Finalizar nombres de archivo con. Seleccionamos esta casilla de verificación y entonces, en la lista, pulsamos en el estilo de sufijo que queremos utilizar. Lo usamos para distinguir entre archivos con el mismo nombre que se encuentran en un grupo de archivos automáticamente generados.

    • Iniciar numeración en. Establecemos el número inicial de la numeración automática de archivos cuando seleccionamos nnnnnn en Finalizar nombres de archivo con.

    • Comentario. Escribimos si es adecuado un comentario o descripción del archivo de registro.

    • Sobreescribir archivo existente. La activamos si el archivo sobrescribirá y reemplazará al existente.

  6. En Configuración de archivos de registro, bajo Tamaño del archivo de registro,


    • Límite máximo. Cuando seleccionamos está opción, los datos se recopilan continuamente en un archivo de registro hasta que alcanza los límites establecidos por las cuotas del disco o del sistema operativo. Para los archivos de registro SQL, se recojen en una DB hasta que alcanza el número máximo de registros que pueden ser escritos.

    • Límite de. Definimos un tamaño máximo para el archivo de registro, en MB para registro de contadores y de seguimiento; en cantidad máxima de registros para los archivos SQL.

Administración Exchange 2007

No soy un especialista de Exchange Server, aunque tengo un amiguete que si lo es jjj, aún así, nos explicaban que aún habiendo mejorado la administración en Exchange 2003 y tener la consola MMC era complicado orientarse entre los elementos de la consola del administrador y sus niveles de profundidad. Así que han mejorado la consola en Exchange 2007 simplificándola drásticamente. La consola está basada en la MMC 3.0, con tres paneles diferenciados, árbol de navegación, la central de trabajo y la derecha con las tareas y acciones posibles de cada objeto seleccionado. Además, aquéllas herramientas dispersas más las que podíamos descargar gratuitamente desde MS han sido unificadas en el cuadro de herramientas.


Luego tenemos el Exchange Mangement Shell, o sea, la extensión de línea de comandos llamada PowerShell, de la que se ha liberado una release final, la página del powershell http://www.microsoft.com/windowsserver2003/technologies/management/powershell/default.mspx. En realidad Exchange Server 2007 está diseñado para trabajar mediante comandos de powershell, incluso las herramientas están basadas en estos comandos.

Prevención y detección de intrusiones (o intentos de intrusión)

Muchos cortafuegos disponen de sistemas de detección de intrusiones (IDS)(como ISA server), que pueden reconocer cuando se dan los síntomas de producirse un ataque de un tipo específico y realizar acciones predefinidas según su identificación.


Estos sistemas de detección puede que reconozcan varias formas comunes y diferentes de intrusiones de red, como escaneos de puertos, pings de la muerte, bombas UDP, etc… Así mismo pueden definirse filtros especiales de detección, como filtro de intrusiones POP que analiza el tráfico POP para impedir desbordamientos de buffer POP, o filtro de detección de ataques DNS que puede configurarse para comprobar desbordamientos de nombres host o de su longitud.


ISA Server 2004 incluye una colección de filtros de detección de ataques licenciados por ISS (Internet Security Systems). Estos filtros están centrados en detectar y bloquear ataques en la capa de red. Como complemento, ISA Server 2004 incluye otros filtros de detección y bloqueo de ataques en la capa de aplicación.


Como:




  • Detección de WinNukes


  • Pings de la muerte


  • ataques LAND


  • Escaneos de IP


  • Bombas UDP


  • Escaneos de puertos


  • Desbordamiento en los nombres de host DNS


  • Transferencias de zonas DNS


  • Desbordamiento de buffer POP3 y SMTP

Si ISA detecta uno de estos intentos de ataque puede realizar las siguientes acciones:




  • Enviar una alerta al registro de sucesos


  • Detener o reiniciar servicios del ISA


  • Ejecutar un script o programa.


  • Enviar un mensaje de correo electrónico al administrador.

La principal desventaja de esto es que el sistema de detección de ISA no es configurable y no podemos crear nuestras propias firmas de detección. Sin embargo, existen aplicaciones de terceros que pueden utilizrse para ampliar las características de detección, aunque suponen un costo adicional.

Gestión y configuración de logs

Como habíamos dicho podemos utilizar los logs para reunir datos sobre distintos aspectos de los valores de rendimiento.


Windows Server 2003 recopila información sobre los recursos del sistema, discos, memoria, procesadores y redes. Otras aplicaciones y servicios que se ejecutan en nuestro sistema, como Exchange server, también reunen información. Los datos se expresan como un objeto de rendimiento y normalmente se denomina como el componente que ha generado los datos, como el procesador que reune los datos de rendimiento sobre los procesadores del sistema.


Una variedad de objetos de rendimiento están integrados en el sistema. Cada uno de ellos proporciona contadores que representan aspectos específicos del sistema o de un servicio.


La información que normalmente nos facilita un log es en columnas que se muestran en la consola de rendimiento:


Nombre: El nombre del log. Se describe el tipo de datos que pretendes recopilar o la condición que quieres controlar.


Comentarios: Nuestros comentarios al respecto, normalmente una pequeña descripción sobre el propio log.


Tipo de archivo del log: El formato del archivo del log que hayamos definido. Binario, binario circular, texto (delimitado por comas o por tabulaciones), o SQL.


Nombre del archivo del log: La ruta y nombre del archivo base que hemos definido para aquéllos registros que se generarán para este log. El nombre base se utiliza para el autonombrado de nuevos archivos.


La información podemos verla desde el Monitor del sistema, la podemos exportar hacia programas o bases de datos para posterior análisis y generación de informes, o la podemos utilizar para la comparación de valores y determinar el uso de recursos u otras actividades del sistema son aceptables o están dentro de unos límites.


Definir un log:



  1. Iniciamos rendimiento, Inicio, herramientas administrativas, y elegimos rendimiento.
  2. Clic doble en alertas y registros de rendimiento, y luego en registros de contador. Cualquier registro existente se mostrará listado en el panel de detalles. Un icono verde indica que éste se está ejecutando; si es rojo que está parado.
  3. Clic derecho en el panel de detalles, en el área vacía, y seleccionamos Nueva configuración de registro.
  4. Escribimos el nombre para el log en la caja correspondiente y pulsamos Aceptar.
  5. En la ficha General, pulsamos en Agregar contadores para seleccionar aquéllos que queremos registrar.
  6. Si queremos modificar o cambiar valores lo haremos desde las pestañas de Archivos de registro y Programación.

Nota: Para guardar la configuración de un archivo contador, clic derecho en el registro desde el panel derecho de la consola de rendimiento, y pulsamos en Guardar configuración como. Podemos especificar un archivo .htm para guardar la configuración.


Eliminar un log:


Ya que los archivos de contador pueden consumir rápidamente espacio de almacenamiento, el borrado de aquéllos que ya no necesitemos resulta interesante. Aunque siempre podemos establecer regularmente la eliminación de archivos de registro de más de 30 días por ejemplo.



  1. Iniciamos rendimiento desde Inicio, herramientas administrativas y pulsando Rendimiento.
  2. Clic doble en Registros y alertas de rendimiento y luego en archivos de registro.
  3. En el panel de detalles, clic derecho en el archivo de registro a eliminar.
  4. Pulsamos en eliminar.

Para la creación y/o eliminación de archivos de registro debe pertenecerse al grupo de administradores del equipo local o se debe tener delegada la autoridad apropiada. (Si el equipo pertenece a un dominio, los administradores del dominio pueden realizarlas también)


Los archivos de registro también pueden crearse utilizando la herramienta de línea de comandos logman.


Desde una cmd logman /? nos proporciona la ayuda e información sobre los parámetros disponibles.