Implementar los servicios de red.

Un correcto diseño de la infraestructura de la red es fundamental para su perfecto funcionamiento. Puede que se quiera activar DHCP, ofrecer DNS o WINS, protegerla mediante ISA Server e IPSec, en fin un conjunto de servicios basados en protocolos TCP/IP en su mayoría, para las redes.


Los técnicos, mejor dicho, mis profesores siempre incidían mucho en lo que la mayoría de estudiantes no nos detenemos, es decir, siempre queremos ir directo al grano; por ejemplo: si hemos de programar… pasamos directamente a escribir código!! y como casi siempre, tienen razón! Hasta que no acumulamos cierta experiencia (aprendemos más de los errores que de los aciertos) no caemos en la cuenta que lo primero que debe hacerse siempre es: analizar la situación, en nuestro caso, diseñar el entorno de la red, examinando la infraestructura existente, si la hay, o decidir como será el nuevo entorno.


Revisar y recontar el hardware y el software del que se dispone, un inventario junto a un mapa de red nos ahorrará tiempo imprescindible. Hay algún libro disponible, en el caso de Windows Server 2003, con referencia al diseño incluído en el Kit de recursos de Windows Server 2003.


De forma general podríamos realizar un esquema que nos indique el proceso a seguir por etapas, teniendo en cuenta siempre cada aspecto en relación con los demás y no como un proceso lineal paso a paso.



  • Planear la infraestructura basada en IP

  • Implementación de estrategias de enrutamiento

  • Diseñar un esquema de direccionamiento IP

  • Planear una estrategia de configuración IP

  • Seguridad

  • Disponibilidad

  • Multidifusión IP

  • IPv6

  • Probar el diseño

* Pasos recomendados en el kit de recursos Windows Server 2003


–>

Cortafuegos III -Arquitecturas-

Podemos clasificar los cortafuegos de muchas formas diferentes: por diseñador/vendedor/marca, características, o mediante el modelo de arquitectura.

  • Modelos hardware vs software
  • Modelos Host vs red

Modelo hardware vs software 

En la primera clasificación se discute que los cortafuegos pueden ser software o hardware. Aunque es una terminología estándar, no es completamente exacta. Todos los cortafuegos consisten en ambos, software y hardware. La distinción es únicamente según como el producto es comercializado. Los cortafuegos software se venden como aplicaciones/programas que pueden instalarse en un sistema operativo  y plataforma hardware estándar. Mientras que los hardware se venden como un 'acuerdo de conjunto', con el cortafuegos software preinstalado en un hardware específico, con frecuencia ejecutándose sobre un sistema operativo propietario diseñado sin otro propósito que el de ejecutar lel propio cortafuegos.

Modelo hardware

   Si compramos un cortafuegos basado en hardware como una sola unidad: hardware (frecuentemente se denominan 'appliance')  con el software preinstalado. La mayoría de cortafuegos hardware se ejecutan bajo un sistema operativo propietario diseñado específicamente para el propio cortafuegos, aunque algunos lo hacen sobre Linux o BSD. Los propietarios del sistema no incluyen muchos de los servicios de red que encontraríamos en un SO de propósito general. Esto se considera una ventaja de seguridad en el que el sistema operativo está automáticamente fortificado e invulnerable a algunos exploits que pueden ser utilizados contra los SO de propósito general.

   Un appliance es una caja autosuficiente diseñada para un propósito específico. Algunos en la actualidad sirven para más de un propósito, y estos con frecuencia son denominados como 'appliances de seguridad' dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de éllos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros también incluyen funcionalidades como caché  web. Algunos distribuidores venden componentes de hardware diferentes (llamados security blades) que se conectan al chasis del cortafuegos.

Algunos appliances son básicamente PCs, con los mismos tipos de disco duro, memoria y otros componentes como un PC estándar. Otros se les llama "solid state" porque prácticamente no tienen partes movibles. Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad en lugar de discos mecanicos hacen el almacenamiento más rápido.

   Una ASIC (Application Specific Integrated Circuit) es un chip creado para controlar las funciones de una aplicación en particular. Los cortafuegos basados en esto utilizan un chip diseñado expresamente para ellos.

   Los cortafuegos hardware tienen ventajas y desventajas. La tecnología solid state y el uso de sistemas operativos optimizados sin servicios innecesarios permiten un remdimiento más rápido. También proporcionan mayor fiabilidad porque no hay puntos de fallos mecánicos como los basados en discos duros.

   Sin embargo, son menos adaptables y más difíciles de actualizar. Porque los chips son producidos masivamente y porque el costo de rediseño de hardware se toma mucho tiempo para cambiar y adaptarse a las novedades. Un PC estándar que ejecute un cortafuegos casi siempre cuesta menos que un appliance con el mismo procesador y memoria. Como suma, los cortafuegos basados en software pueden intregarse con mayor facilidad con otros dispositivos de red, que usan las mismas tecnologías que el cortafuegos.

Otra ventaja de la tecnología ASIC son los algoritmos de cifrado para VPN y SSL grabados en el propio chip, que está siendo contestada por el hecho que Intel ha iniciado la construcción de algoritmos de cifrado dentro de sus chips regulares que pueden ser utilizados por los cortafuegos basados en software.

   Finalmente, la naturaleza dinámica y la complejidad de los algoritmos utilizados para filtrado de la capa de aplicación lo hacen menos conveniente para la tecnología ASIC. Algunas comparaciones de rendimiento han revelado que los productos basados en software tienen ambas ventajas ,rendimiento y fiabilidad, sobre los basados en ASIC.

Procedimientos con las Directivas de grupo

Podemos crear y vincular directivas, vincular ya existentes, desvincularlas, eliminar un vínculo, eliminar una directiva y deshabilitar una directiva.


Para cada acción se utiliza un procedimiento:


Crear y vincular una directiva de grupo



1. En GPM, árbol de la consola, extendemos el bosque que contiene el dominio en el que queremos crear y vincular la directiva, extendemos Dominios, y entonces:



  • Crear y vincular la directiva a un dominio, clic derecho en el dominio y pulsamos en Crear y vincular directiva aquí.

  • Crear y vincular la directiva a una OU, extendemos el dominio que contiene la OU, clic derecho en la OU elegida y pulsamos en Crear y vincular directiva aquí.

2. En el cuadro de diálogo Nueva directiva, escribimos el nombre y pulsamos en Aceptar.


Vincular una directiva existente



  1. En el árbol de consola de GPM, extendemos el bosque que contiene el dominio al que queremos vincular la directiva existente, extendemos Dominios, y extendemos el dominio.

  2. Clic derecho en el dominio, sitio, u OU, y pulsamos en Vincular una directiva existente.

  3. En el cuadro de diálogo Seleccionar directiva, pulsamos sobre la directiva que queremos vincular y seguidamente en Aceptar.

Nota importante: No podemos vincular una directiva a contenedores de Active Directory como los contenedores usuarios y equipos. Sin embargo, cualquier directiva vinculada al dominio se aplica a los usuarios y equipos en estos contenedores.


Desvincular una directiva



  1. En el árbol de consola de GPM, extendemos el bosque que contiene el dominio al que queremos desvincular la directiva, extendemos Dominios, y lo extendemos.

  2. Clic derecho sobre la directiva vinculada y desmarcar la opción vínculo habilitado.

Nota: Desvincular y eliminar una directiva tienen el mismo efecto, sin embargo, si se desea quitarla temporalmente, es mejor desvincularla, lo que la deshabilita. Si se quiere quitarla completamente y para siempre, entonces mejor eliminarla.


Eliminar un vínculo de directiva



  1. En el árbol de consola de GPM, extendemos el bosque que contiene el dominio al que queremos eliminar un vínculo de directiva existente, extendemos Dominios, y entonces extendemos el dominio.

  2. Clic derecho en la directiva vinculada y pulsamos en Eliminar. (Esto elimina el vínculo, no la propia directiva)

  3. En el cuadro de mensaje, pulsamos Aceptar.

Eliminar una directiva



  1. En el árbol de consola de GPM, extendemos el bosque que contiene el dominio al que queremos eliminar una directiva, extendemos Dominios, y entonces extendemos el dominio y luego extendemos Objetos de directiva de grupo.

  2. Clic derecho en la directiva y pulsamos en Eliminar. (Esto no elimina el vínculo a la directiva desde otros dominios.)

  3. En el cuadro de mensaje, pulsamos Aceptar.

Deshabilitar una directiva



  1. En el árbol de consola de GPM, extendemos el bosque que contiene el dominio al que queremos eliminar una directiva, extendemos Dominios, y entonces extendemos el dominio y luego extendemos Objetos de directiva de grupo.

  2. Clic en la directiva de grupo que se quiere deshabilitar.

  3. En el panel de detalles, ficha Detalles, caja Estado directiva, marcamos una de las siguientes:



    • Todo deshabilitado

    • Configuración de equipo deshabilitada

    • Configuración de usuario deshabilitada

¿Qué es un vínculo a una directiva de grupo?

Todas las directivas de grupo se almacenan en un contenedor en Active Directory denominado Objetos de directiva de grupo. Cuando una directiva se usa en un sitio, dominio o unidad organizativa, la directiva de grupo es vinculada al contenedor de objetos de directiva de grupo. Como resultado, pueden administrarse de forma centralizada y desplegarse a muchos dominios o unidades organizativas.


Cuando creamos una directiva vinculada a un sitio, dominio o unidad organizativa en realidad realizamos dos operaciones separadas: crear una nueva directiva y luego, vincularla al sitio, dominio o unidad organizativa. Cuando delegamos permisos para víncular una directiva a un dominio, OU o sitio, se deben tener permisos de Modificar para el dominio, OU o sitio que queremos delegar.


De forma predeterminada sólo los miembros de los grupos Administradores de dominio y Administradores de empresa, disponen de los permisos necesarios para vincular directivas a dominios y OUs. Y sólo los segundos para vincularlas a sitios. Los miembros del grupo Propietarios del creador de directiva de grupo pueden crear directivas, pero NO pueden vincularlas.


Cuando creamos una directiva de grupo en el contenedor de objetos de directiva de grupo, la directiva no es utilizada para usuarios o equipos hasta que se crea un vínculo a la directiva. Podemos crear directivas utilizando GPMc sin vincularlas. Podemos crear directivas sin vincular en una empresa grande, donde un grupo crea las directivas y otro grupo las vinculará al sitio, dominio u OU requerida.

Crear una directiva de grupo

Los procedimientos siguientes nos permiten la creación de una directiva de grupo o un vínculo a una directiva de grupo existente: utilizando el snap-in de la MMC Usuarios y equipos de AD y crear una directiva de grupo en un sitio, dominio, o unidad organizativa.



  1. En el snap-in clic derecho sobre el contenedor (dominio u OU) al que queremos crear la directiva y pulsamos en propiedades.

  2. En el cuadro de diálogo propiedades, ficha Directiva de grupo, elegiremos una de las opciones siguientes:


  • Para crear una nueva directiva, clic en Nueva, escribimos el nombre y pulsamos ENTER.

  • Para víncular a una directiva existente, clic en Añadir, y seleccionamos la directiva desde la lista.


La directiva creada o vínculada se muestra en la lista de directivas que se vinculan al contenedor de Active Directory.


utilizando GPMC,



  1. Pulsamos Inicio, Herramientas administrativas y pulsamos en Administración de directivas de grupo.

  2. En la administración de directivas, árbol de consola, expandimos el bosque que contiene el dominio en el que queremos crear la directiva, extendemos Dominios y luego el dominio elegido.

  3. Clic derecho en objetos de directiva de grupo y pulsamos Nueva.

  4. En el cuadro de diálogo de Nueva Directiva de grupo, escribimos el nombre y pulsamos en Aceptar.

Es bastante intuitivo el ajustar o establecer valores en una directiva de grupo, mediante el interfaz gráfico se nos muestra la parte de usuario y equipo y un árbol completo de posibilidades.

¿Qué es la gestión de directivas en un dominio?

Después de la creación de una directiva de grupo hay que establecer los valores específicos para élla. Mediante la agrupación de colecciones de valores en directivas de grupo separadas puede especificarse distintas configuraciones para cada directiva así que cada una afecte a los usuarios y equipos que se especifiquen. Cuando las directivas se emplazan en un dominio, puede administrarse la configuración de valores sobre la base de un dominio extenso.


El contenedor de directiva de grupo es un objeto de AD que contiene atributos de directiva de grupo. Que incluye subcontenedores para información de directiva de grupo acerca de usuarios y equipos. El contenedor de directiva de grupo incluye:



  • Información de la versión. Asegura que la información en el contenedor de directiva de grupo está sincronizada a lo largo de todos los controladores de dominio.
  • Información de estado. Indica si la directiva de grupo está habilitada o no.
  • Lista de extensiones. Lista cualquier extensión de directiva de grupo que se usa en la propia directiva.

 

Cortafuegos II -Filosofía e historia-

La palabra ‘Cortafuegos’ existe desde muchísimo antes de que existiesen las redes de ordenadores. Es bastante clara en su definición y su uso era para describir una barrera de defensa, la cual prevenía el paso del fuego de una a otra zona. Para los que nos dedicamos a las redes de ordenadores un cortafuegos es una aplicación (que puede estar instalado en un equipo normal o en un dispositivo hardware preparado) que está capacitado para bloquear los paquetes de red no deseados. Los servicios del cortafuegos, como una barrera, previenen la circulación de esos paquetes desde Internet u otra red hacia una red local. En el caso de los denominados cortafuegos personales la protección se proporciona hacia el equipo local, especialmente cuando está conectado directamente a Internet.


Al principio las redes eran sistemas cerrados donde sólo los equipos de un edificio o área geográfica pequeña estaban interconectados. Sin embargo proton cambió la situación y las redes se hicieron mayores y más complejas, con equipos en zonas distantes. El primer intento de una red extensa fue por parte de ARPANET, una pequeña comunidad de elite compuesta por ordenadores entre gobierno y universidades. Esto se expandió y hoy lo conocemos como Internet.


Uno de los primeros virus en Internet, el gusano Morris, golpeó a un número elevado de instituciones educativas en 1988. Esto hace a las empresas y usuarios individuales más conscientes de los peligros de la información que entra en la red desde el exterior. La necesidad dió pronto a luz la invención del cortafuegos.


Los primeros cortafuegos eran enrutadores. Un enrutador conecta dos redes, y es la ubicación lógica para establecer un control de paso donde la información puede ser comprobada y bloqueada o permitida, en su caso. Fueron diseñados más para el propósito de vigilar la entrada que la salida. Los enrutadores dividen las redes en segmentos denominados subredes. Hay muchas ventajas en hacerlo así, una de ellas es que si un problema afecta a un segmento no tiene porque afectar al resto. Los enrutadores IP con capacidades de filtrado diseñados para mantener intrusos o usuarios no autorizados fuera, fueron los siguientes. Muy rudimentarios según los estándares actuales. Sólo podían bloquear o permitir paquetes según la dirección IP o puertos TCP/UDP, no tenían forma de comprobar el contenido de los datos porque trabajaban en la capa de red del modelo OSI.


Un host bastión es una puerta o entrada diseñada específicamente para el propósito de defensa de la red interna de los ataques externos. Uno de los primeros cortafuegos comerciales de éste tipo, que usaba filtros y proxys, fue hecho por DEC en los 90. Ya en 1993 aparece Firewall Toolkit de TIS, que luego comercializó, basado en el mismo código, Gauntlet.


Con el paso de los años los atacantes son más sofisticados y los protocolos de red más numerosos y complejos. Esto ha hecho que los cortafuegos evolucionen de un simple filtrado de paquetes a dispositivos dedicados de seguridad multinivel.


–>III

Cortafuegos I -Introducción-


Cortafuegos: Los guardianes de la entrada.


El CERT (un centro de coordinación de sitios web) documenta el hecho de que el número de agujeros de seguridad comunicados se está incrementando a razón del 50% cada año. Los más sofisticados ataques poseen herramientas diseñadas por hackers para automatizarlos, con lo cual el nivel de conocimientos y experiencia necesarios se reducen drásticamente, conclusión: cualquiera puede convertirse en «intruso«. Y esto parece que va camino de convertirse en peor cara al futuro.


Todas las redes o equipos individuales conectados a Internet deben tener protección frente a las intrusiones, los virus e incluso al correo electrónico no deseado.


A la par que aumentan los atacantes, las empresas y usuarios confían más y más en comunicaciones rápidas y seguras. Necesitan la habilidad para efectuar búsquedas en la Web, enviar mensajes a trabajadores, clientes y socios por internet y acceder a la red de su empresa desde sus hogares o cuando trabajan fuera de casa desde acceso remoto o VPN. Todo esto debe realizarse con seguridad, sin por ello sacrificar rendimiento.


Un Cortafuegos (Firewall) proporciona la protección que las empresas actuales deben tener para filtrar la entrada y salida de paquetes, bloqueando aquéllos que no están autorizados e impedir su entrada en la red. Muchos distribuidores de Cortafuegos amplian la funcionalidad de sus productos mediante la inclusión de otras características, como enlaces VPN y proxy-caché Web. Esta combinación de productos, frecuentemente denominados como ‘soluciones de seguridad a todo riesgo’, y con frecuencia incorporadas en dispositivos hardware de uso inmediato, protegen de ataques mientras al mismo tiempo proporcionan accesos remotos seguros VPN y aceleración en el acceso Web.


Un Cortafuegos crea un punto por el que deben pasar todos los datos para viajar desde una red a otra. El Cortafuegos software puede examinar, registrar, y bloquear paquetes concretos y basados en criterios establecidos por los administradores, como el tamaño de un paquete, la dirección origen, e incluso el tipo de archivo o los datos que contiene.


 


–> Cortafuegos II  – Filosofía e historia-

Group Policy Management Console (GPMC)

La consola de administración de directivas de grupo GPMC es una serie de interfaces programables para la gestión de Directivas de Grupo, tan bueno como un MMC snap-in que se compone de uno de estos interfaces programables. Juntos, los componentes del sistema de GPO consolidan la gestión de las GPO desde un extremo a otro de la empresa.
La consola combina la funcionalidad de múltiples componentes en un único interfaz de usuario (UI). Este UI está estructurado para combinar el camino a usar y la gestión de políticas. Incorpora funcionalidad de Usuarios y equipos de AD y Sitios y servicios de AD, además de RSoP(Resultant Set of Policy) en un único MMC snap-in.


GPMC proporciona además capacidades no disponibles en herramientas anteriores, como:



  • Realizar copia de seguridad y restaurarla de GPOs

  • Copiar e importar GPOs

  • Usar filtros WMI

  • Realizar informes de datos RSop o de GPO

  • Realizar búsquedas de GPOs

Previo a GPMC, la gestión se realizada utilizando las mencionadas en primer lugar, encontrándonos aquí con todo un núcleo de tareas recogidas en una única herramienta.


Después de su instalación, se seguirá utilizando las herramientas de Active Directory para sus propósitos, como crear usuarios, equipos y grupos. Sin embargo, GPMC se usará para llevar a cabo cualquier tarea relacionada con diectiva de grupo. Esta funcionalidad no estará disponible en las herramientas de AD desde que GPMC se instala. No significa que el Editor de directiva de grupo haya sido reemplazado, puede seguir usándose, sólo que GPMC ofrece funcionalidad de edición integrada mediante un acceso directo al GPOE.


La herramienta no se incluye con Windows Server 2003, pero puede descargarse desde: https://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=es


También tenemos información ampliada sobre la propia Consola en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/c33ed47a-caf0-4b12-9556-a56c4ecff51f.mspx?mfr=true y en: https://www.microsoft.com/spain/servidores/windowsserver2003/technologies/management/grouppolicy/gpmc.aspx#Descargue_la_GPMC_con_el_Service_Pack_1_(SP1)


Plantillas Administrativas


Existen variedad de archivos de plantillas con la extensión .adm que se incluyen con Windows. Estos archivos, denominados plantillas administrativas, proporcionan información de directiva para los elementos que están en la carpeta de Administrative Templates en el árbol de la consola del Editor de directivas. Las plantillas incluyen valores de registro, los cuales se encuentran en la configuración de equipo o usuario en el propio editor.


Una plantilla .adm consiste en una jerarquía de categorías y subcategorías que definen como aparecen las configuraciones de directiva. Además, contienen la siguiente información:



  • Ubicaciones del registro que corresponden con cada configuración.

  • Opciones o restricciones en valores que se asocian a cada configuración.

  • Para muchas de las configuraciones, un valor predeterminado.

  • Explicación de qué realiza cada configuración.

  • Las versiones de Windows que son compatibles con cada configuración.

Implementando GPOs en un dominio.

La implementación de GPOs en un dominio proporciona al administrador de la red un mayor control sobre las configuraciones de equipo de principio a fin de la estructura de red. Además, con el uso de GPOs en Windows(r) Server 2003, podemos crear un entorno de escritorio administrado que se adapta a las responsabilidades del puesto de trabajo y nivel de experiencia del usuario, que puede disminuir la cantidad de soporte de red necesario.



  • Herramientas para crear GPOs

  • ¿Qué es el sistema de GPO en un dominio?

  • Cómo crear una GPO

  • ¿Qué es un vínculo a una GPO?

  • Como crear un vínculo a una GPO

  • Como funciona la herencia de permisos de las Directivas de grupo en Active Directory




Herramientas para crear GPOs


Podemos abrir el Editor de GPO desde otras herramientas para editar las GPOs.



  • Desde Usuarios y equipos de Active Directory para administrar GPOs para dominios y OUs. En el cuadro de diálogo de propiedades para un dominio o unidad organizativa, donde hay una ficha de Directiva de grupo. Desde la que podemos gestionar las GPOs.

  • Desde Sitios y servicios de Active Directory para administrar GPOs para sitios. Donde también nos encontramos con la ficha Directiva de grupo en el cuadro de diálogo propiedades.

Nota: Si GPMC Group Policy Management console se encuentra instalada en el sistema, ambas fórmulas anteriores se sustituyen por un botón que lanza la consola.


… ->