windows server

Vista previa del material en texto

Servidores
Aplicaciones
En Windows XP, basta con pulsar en el fichero exe en el cual tiene una terminal hacia el servidor que nos hemos descargado para empezar a ejecutar este programa de instalación. La primera pantalla que se nos muestra es la bienvenida al instalador. A partir de ahora tendremos que pulsar "Next" cada vez que queramos avanzar al siguiente paso.
En el siguiente paso tendremos que definir el directorio donde vamos a instalar todos los programas que vienen con esta versión del programa.
Una vez que hemos escrito el directorio que queremos utilizar para instalar el programa, pasamos al siguiente pasó. En este paso tenemos que definir el directorio de datos en donde se crearán nuestras bases de datos.
En Windows XP la clave definida en este paso será también la clave que se utilizará para la cuenta de servicio 'postgres' que se creará durante la instalación. Si esta cuenta ya existe, tendremos que utilizar la clave que dicha cuenta tiene asignada.
En nuestro caso dejamos el valor por defecto, 5432.
Una vez que hemos terminado con los pasos básicos, el programa entra en la sección de opciones avanzadas. En este paso tenemos que decidir que 'locale' queremos utilizar y si queremos instalar PL/pgSQL en la base de datos template1.
Una vez Terminada la instalación, podremos salir del instalador pulsando "Finish". En este último paso el instalador nos da la opción de arrancar automáticamente un programa llamado "Stack Builder".
Los clientes (psql y PgAdminIII) en Windows XP se acceden de la misma manera y tienen el mismo aspecto.
Terminal Service
Terminal Server es un servicio de Windows 2000/2003, capaz de proporcionar un "equipo virtual" al cliente que se conecte. De esta forma sólo será necesario instalar las aplicaciones de la organización en un único equipo. Los clientes se conectarán a este servidor y obtendrán en su equipo una pantalla con las mismas opciones que un equipo normal (configurables por directivas de seguridad). De esta forma evitaremos tener que instalar todas las aplicaciones en todos los equipos clientes que necesiten conexión a una base de datos. Cuando se tenga que actualizar una aplicación de nuestra organización ya no será necesario hacerla en todos los equipos clientes, será suficiente con actualizar el servidor de Terminal Server.
En caso de necesitar más de un servidor de Terminal Server, habrá que instalar las mismas aplicaciones en todos los servidores. Recomendamos encarecidamente que todos los servidores con Terminal Server tengan todas las aplicaciones de la organización instaladas. De esta forma también podremos utilizar un servicio llamado "Balanceo de carga". Este servicio tendrá una IP virtual, los clientes se conectarán a esta IP y será el propio servicio de Balanceo de carga el que decida a qué servidor conecta cada usuario, dependiendo de los
recursos disponibles en cada servidor.
Cuando una aplicación necesita acceder a una base de datos o cualquier tipo de información, conviene que esté alojada en otro servidor independiente. De esta forma todos los servidores de Terminal Server de nuestra organización accederán al mismo servidor para obtener la información de cada aplicación.
Seleccionaremos "Agregar o quitar programas":
En el panel de control de la PC:
Seleccionaremos "Agregar o quitar componentes de Windows" (en la parte izquierda):
Marcaremos "Terminal Server":
Nos mostrará un cuadro de diálogo de aviso inidicando que la seguridad de Internet Explorer es más restrictiva que en otras versiones de Windows NT y 2000. Estas opciones de seguridad se podrán configurar posteriormente. Pulsaremos "Sí" para activar las
restricciones de seguridad, pulsaremos "No" para no activarlas en el proceso de instalación
(se podrán activar en cualquier momento):
Si ya disponemos de estas licencias marcaremos "Licencias de Terminal Server", si ya disponemos de un servidor de licencias no será necesario marcar esta opción. Para prueba de Terminal Server tampoco será necesario marcar esta opción:
Seguridad total: esta opción usa las características de seguridad más recientes de Windows Server
2003 y proporciona el entorno más seguro para Terminal Server. Sin embargo, es posible que algunas aplicaciones que se diseñaron para ejecutarse en plataformas anteriores no se ejecuten correctamente. Si esta opción es muy restrictiva puede usar en cualquier momento la herramienta de configuración de Servicios de Terminal Server para reducir la seguridad.
Seguridad media: esta opción reduce algunas mejoras de seguridad de Windows Server
2003. Con esta configuración, los usuarios tienen acceso al Registro y a archivos del sistema. Esto puede ser necesario para ejecutar algunas aplicaciones que se diseñaron para plataformas anteriores.
Seleccionaremos "Configuración de Servicios de Terminal Server":
Licencias (se puede cambiar desde aquí el modo de licenciamiento del servidor: por dispositivo o por servidor), Active Desktop (se puede activar el uso de Active Desktop), Restringir cada usuario a una sesión (de esta forma se impedirá que un usuario inicie varias sesiones concurrentes).
Desde la parte izquierda, seleccionando la carpeta "Conexiones", en la parte derecha aparecerá "RDP-Tcp", pulsaremos con el botón derecho sobre "RDP-Tcp" y seleccionaremos "Propiedades":
Tras instalar y configurar Terminal Server crearemos un usuario en el servidor de Terminal Server. Si este servidor no está promocionado a controlador de dominio (no tiene Active Directory), lo haremos pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Administrar":
Seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios" en la parte izquierda, en la parte derecha pulsaremos el botón derecho del ratón (en el espacio en blanco, fuera de cualquier objeto) y seleccionaremos "Usuario nuevo":
Para ver los usuarios que hay conectados a nuestro servidor de Terminal Server accederemos a "Inicio" - "Programas" - "Herramientas administrativas" - "Administrador de Servicios de Terminal Server":
Si en nuestra organización no disponemos de un servidor de licencias de Terminal Server deberemos instalar uno, como máximo dispondremos de 120 días de prueba de este servicio sin comprar licencias.
Para hacer que nuestro servidor sea servidor de licencias de terminal server accederemos a "Agregar o quitar programas", seleccionaremos "Componentes de Windows" y marcaremos "Licencias de Terminal Server", pulsaremos "Siguiente" para iniciar la instalación:
Para configurar este servicio accederemos a "Herramientas administrativas", "Licencias de
Terminal Server":
Incialmente se realizará una búsqueda automática de algún servidor de licencias en nuestra red LAN:
Si el servidor de licencias no está activado aún nos mostrará un aspa roja en la parte izquierda. Para activarlo pulsaremos con el botón derecho sobre el servidor de licencias, en nuestro caso "PCW2003EDMV", y pulsaremos "Activar servidor":
Se iniciará el asistente para activación de servidor de licencias de Terminal. Pulsaremos "Siguiente" para iniciar la activación. Previamente habrá que adquirir las licencias de Terminal Server desde cualquier proveedor de servicios de Microsoft:
Seleccionaremos el método de conexión (conexión automática, explorador web, teléfono):
Introduciremos el ID. del servidor de licencias, claves que nos proporcionará Microsoft tras adquirir las licencias:
En caso de que ya dispongamos de un servidor de licencias, será suficiente con pulsar con el botón derecho del ratón sobre "Todos los servidores", seleccionaremos "Conectar":
Escribiremos el nombre o la IP del servidor de licencias y pulsaremos "Aceptar":
Impresión
Así completamos el terminal service en el ordenador.
El primer paso es compartir la impresora en Windows de modo que se pueda usar desde otros equipos en la red. Si además quiere que se pueda acceder a ella sin necesidad de usar un nombre de usuario y contraseña será necesariotambién activar la cuenta de invitado. Veamos cómo hacer ambas cosas tanto en XP como en Vista.
Windows XP Para compartir una impresora haga lo siguiente: Vaya al menú Inicio->Configuración->Impresoras y faxes
Haga clic con el botón derecho del ratón sobre la impresora y en el menú emergente seleccione Compartir.
En la ventana de diálogo marque la casilla Compartir esta impresora. Adicionalmente cambie el nombreimpresora compartida si así lo desea. Pulse Aceptar. De la
La impresora queda compartida y verá como bajo el icono aparece una figura en forma de mano.
Para habilitar la cuenta de invitado siga estos pasos:
Haga clic con el botón derecho del ratón sobre el icono Mi PC en el escritorio y en el menú emergente seleccione Administrar.
En la columna de la izquierda despliegue el menú Usuarios locales y grupos haciendo clic en el signo +. En la columna de la derecha verá la entrada Invitado. Si está marcada con un aspa roja significa que la cuenta de invitado está desahabilitada.
Para habilitarla haga doble clic sobre la entrada Invitado. En la ventana de diálogo desmarque la casillaCuenta deshabilitada y pulse Aceptar.
De este modo se habilita la cuenta Invitado que ya no aparecerá marcada con el aspa en rojo.
Finalmente cierre la ventana. La cuenta de invitado está habilitada y no se necesitará un nombre de usuario y contraseña para acceder a la impresora compartida.
Hyper V (No se contaba con los recursos en el ordenador). Seguridad y ataques al modelo OSI
ATAQUES A LA CAPA FÍSICA
Los ataques a la capa física van enfocados a daños provocados en los dispositivos que pertenecen a la red. Desde una simple desconexión de cable UTP hasta un incendio provocado se puede considerar un ataque a dicha capa.
Un ataque a los sistemas físicos de una red de comunicaciones puede ocasionar una sucesión de problemas que pueden incluso causar mayor impacto que los ocasionados en la parte lógica de la misma.
Las vulnerabilidades de la capa de red están estrechamente ligadas al medio sobre el que se realiza la conexión. Esta capa presenta problemas de control de acceso y de
confidencialidad. Son ejemplos de vulnerabilidades a este nivel los ataques a las líneas punto a punto: desvío de los cables de conexión hacia otros sistemas, interceptación intrusiva de las comunicaciones (pinchar la línea), escuchas no intrusivas en medios de transmisión sin cables.
 	Cable de cobre: Este medio presenta la característica que es difícil detectar su interceptación física “Pinchado de línea”.
 	Fibra óptica: La fibra óptica se la puede considerar imposible de interceptar, pues si bien existen divisores ópticos, la colocación de los mismos implica un corte del canal y una fácil detección por pérdida de potencia óptica.
 	Láser: Este medio genera un haz de luz prácticamente lineal, apuntado a un receptor, el cual es el único punto en el que impacta la señal. Si bien es interceptable, en forma similar a la fibra óptica se detecta con facilidad, y a su vez por encontrarse visualmente unidos, con una inspección óptica se reconoce su trayectoria.
 	Gabinetes de comunicaciones: Ubicación, llaves, seguridad de acceso al mismo, componentes que posee, identificación de las bocas.
 	Caminos que siguen: Planos de los locales y perfectamente identificados los conductos que siguen, es eficiente su ubicación por colores (Zócalos, bajo pisos, falso techos, cable canal, etc.).
 	Dispositivos de Hardware de: Qué dispositivos existen, su ubicación, claves de acceso, configuración de los mismos, resguardo de configuraciones, permisos de accesos, habilitación o des habilitación de puertos.
ATAQUES A LA CAPA DE ENLACE DE DATOS
Los ataques a la capa de enlace de datos se centran en el protocolo ARP (Address Resolution Protocol), VLAN y en STP (Spanning Tree Protocol).
ARP Spoofing: Es una técnica usada para infiltrarse en una red Ethernet conmutada (basada en Switch y no en Hubs), que puede permitir al atacante husmear paquetes de datos en la LAN, modificar el tráfico, o incluso detener el tráfico. El atacante envía mensajes ARP falsos o falsificados a la Ethernet, con la finalidad de asociar la dirección MAC del atacante con la dirección IP de otro nodo (nodo atacado), un ejemplo puede ser la puerta de enlace
Gateway.. Cualquier tráfico dirigido a la dirección IP de dicho nodo será enviada al atacante en vez de al destino original.
Prevención
Hay algunas precauciones que pueden ser usadas para limitar los riesgos de sufrir IP
spoofing en su red, como:
 	Filtrando en el router: Implementando filtros de entrada y salida en su router es una buena idea para comenzar su defensa ante el spoofing. Usted deberá implementar un ACL (lista de control de acceso) que bloquea direcciones de IP privadas por debajo de su interfaz. Además, este interfaz no debería aceptar direcciones de tu rango interno como dirección de origen (técnica común de spoofing que se usaba para engañar a los cortafuegos). Por encima de la interfaz, usted debería restringir direcciones de origen fuera de su rango válido, esto evitará que alguien en su red envíe tráfico spoofeado a Internet. Es importante que no se permita la salida de ningún paquete que tenga como dirección IP de origen una que no pertenezca a su subred.
 	El cifrado y la Autenticación: la Realización del cifrado y la autenticación también reducirán amenazas de spoofing. Estas dos características están incluidos en Ipv6, que eliminará las actuales amenazas de spoofing.
Switch Port Stealing (Sniffing): Utilizando ARP Spoofing el atacante consigue que todas las tramas dirigidas hacia otro puerto del switch lleguen al puerto del atacante para luego re- enviarlos hacia su destinatario y de esta manera poder ver el tráfico que viaja desde el remitente hacia el destinatario.
Man in The Middle (Sniffing): Utilizando ARP Spoofing el atacante logra que todas las tramas que intercambian las víctimas pasen primero por su equipo,inclusive en entornos manejados por Switches.
ATAQUES A LA CAPA DE RED
La capa de red no está exenta de los ataques que usuarios o hackers efectúan contra las vulnerabilidades del modelo OSI. A continuación se presentan los principales ataques o vulnerabilidades.
a) Footprinting:
Para lograr hacer un ataque o un acceso indebido a algún sistema conectado por medio de redes, lo primero que se debe hacer es tener algunos datos relevantes con el fin de saber cuál es el camino que se debe seguir, por lo general este ataque es el primero que prueban los hacker para recopilar información sobre la red como: el Rango de la Red y Sub Red, los
puertos abiertos y las aplicaciones que los utilizan. También saber el o los sistemas operativos que corren en los equipos, direcciones IP específicas entre otras.
Pero no todo es malo, por ejemplo un administrador de red también puede apoyarse en este para saber qué información maneja su red y estar atento a las posibles amenazas a las que está expuesta su información.
Para la adquisición de la información necesaria es tan sencillo como utilizar comandos clásicos para obtenerla como: ping nslookup, Traceroute, whois, Finger, rusers, rcpinfo, telnet, dig, nmap, etc.
Prevención:
En este ataque como en muchos otros se deben conocer primero cuales son las debilidades o cual es la información que se está dejando en manos no deseadas.
La forma más apropiada es hacer un auto ataque sobre los sistemas que se desean proteger, con la intención de revelar la información que hace vulnerable un sistema.
b) Escaneo Basado en el Protocolo ICMP
En todo sistema es necesario analizar los usos indebidos que se le pueden dar al escaneo de un sistema remoto, utilizando técnicas basadas en protocolos ICMP como:
c) ICMP Echo:
Esta técnica es usada para identificar todos los equipos existentes en una red, generalmente se acceden a estos datos desde Internet.
Mediante paquetes ICMP como Echo (8) y Echo Reply (0), se sabrá siexiste actividad de alguna dirección IP o no.
Para llevar a cabo esta técnica se utilizan variedad de herramientas como:
 Fping
 Gping
 Nmap
 Pinger de Rhino9
ATAQUES A LA CAPA DE TRANSPORTE
Los ataques a la capa de transporte van asociados al funcionamiento de los protocolos TCP y UDP. Escaneo de puertos, inundaciones UDP, DoS por sobrecarga de conexiones, son algunos de los ataques a dicha capa. A continuación se detallan los ataques y vulnerabilidades con más nivel de detalle:
a) Fingerprinting:
Una técnica que permite extraer información de un sistema concreto, es decir; la obtención de su huella identificativa respecto a la pila de protocolos. El objetivo primordial suele ser obtener el sistema operativo que se ejecuta en la maquina destino de la inspección. Esta información junto con la versión del servicio o servidor facilitara la búsqueda de vulnerabilidades asociadas al mismo.
La probabilidad de acierto del sistema operativo remoto en muy elevada, y se basa en la identificación de las características propias de una implementación de la pila frente a otra, ya que la interpretación de los RFCs no concuerda siempre. Para poder aplicar esta técnica con precisión es necesario disponer de un puerto abierto (TCP y/o UDP).
Prevencion:
La mitigación de este tipo de ataque se puede realizar por medio de sistemas IDS (intrusión Detection Systems), siempre y cuando la técnica de ataque utilizada opere en modo activo. Si la técnica de ataque opera en modo pasivo los IDS no son suficientes y es necesario utilizar una herramienta llamada IP Personality.
El parche de IP Personality implementado en Linux (kernel 2.4), añade la posibilidad de que la pila de protocolos OSI, disponga de diferentes personalidades, modificando las características de su tráfico de red según unos parámetros. Para esto debe emplearse cualquier elemento que pueda ser especificado en una regla NetFilterIPtables: dirección IP fuente y destino, puerto TCP o UDP, etc.
b) Escaneo de Puertos – Vulnerabilidades:
Una vez que se dispone de los dispositivos a nivel IP activos en una red (por ejemplo, mediante ICMP), puede aplicarse a cada uno de ellos una técnica, centrada en la posterior búsqueda de vulnerabilidades, basada en una exploración de escaneo de puertos abiertos, tanto UDP como TCP. 113
El escaneo es la determinación de las características de una red o sistema remotos, con el objetivo de identificar los equipos disponibles y alcanzables desde
Internet, así como los servicios que ofrece cada no. Permite saber los sistemas existentes, los servicios ofrecidos por ellos, cómo están organizados los equipos, que sistemas operativos ejecutan, cual es el propósito de cada uno.
De forma general, entre los métodos de escaneo se incluyen técnicas como:
 Ping sweep
 Escaneo de puertos
 Firewalking
 Trace routing
 Identificación de Sistema Operativo
Prevención:
Para contrarrestar el escaneo de puertos, existe una herramienta llamada SNORTque le hace competencia a la herramienta de escaneo NMAP. Si el sistema atacado es Unix, existen utilidades como scanlogd que permiten la detección de los escáneres de puertos.
Los firewalls suelen incluir un módulo de detección de ataques, aunque no todos tienen la misma prioridad o validez. Por ejemplo, el escaneo basado en SYN puede ser detectado, pero no así el basado en paquetes de FIN. Para poder detectar estos ataques es necesario revisar el resultado de los logs de los firewalls, cuyo tamaño suele ser elevado, por lo que existen herramientas que facilitan estas tareas.
c) Udp Flood:
El ataque de inundación UDP es una Denegación de Servicio (DoS) mediante el
User Datagram Protocol (UDP). El uso de UDP para ataques de denegación de servicio no es más sencillo que el uso de TCP para el mismo fin.
El ataque de inundación UDP puede ser iniciado por el envío de un gran número de paquetes UDP a puertos aleatorios en un host remoto. Para un gran número de paquetes UDP, los sistemas de las víctimas se verán, obligados a enviar muchos paquetes ICMP. Esto impide que el ICMP sea alcanzable por otros clientes.
Además, el atacante puede falsificar la dirección IP de los paquetes UDP, garantizando que los ICMP de retorno no lleguen a su fin.
CAPA SESIÓN
Todas estas capacidades se podrían incorporar en las aplicaciones de la capa 7. Sin embargo ya que todas estas herramientas para el control del diálogo son ampliamente aplicables, parece lógico organizarlas en una capa separada, denominada capa de sesión.
La capa de sesión surge como una forma de organizar y sincronizar el diálogo y controlar el intercambio de datos.
La capa de sesión permite a los usuarios de máquinas diferentes establecer sesiones entre ellos. Una sesión permite el transporte ordinario de datos, como lo hace la capa de transporte, pero también proporciona servicios mejorados que son útiles en algunas aplicaciones. Se podría usar una sesión para que el usuario se conecte a un sistema remoto de tiempo compartido o para transferir un archivo entre dos máquinas.
Es una técnica para convertir un canal simplex en un canal dúplex separando las señales enviadas y recibidas en intervalos de tiempos diferentes sobre el mismo canal usando acceso múltiple por división de tiempo.
La duplexación por división de tiempo tiene una gran ventaja en los casos en los que hay asimetría entre la velocidad del uplink y el downlink. Según aumenta la cantidad de data en el uplink, más capacidad de comunicación puede ser destinada a este, y si por el contrario el tráfico se vuelve más ligero, se puede reducir su capacidad. Lo mismo puede hacerse con el downlink.
Para sistemas de radio que no se mueven rápidamente, otra ventaja es que la ruta de las ondas del uplink y el downlink son muy similares. Esto significa que técnicas como la formación de rayo trabajan bien con sistemas TDD.
PRESENTACIÓN
Las limitaciones se desprenden de la misma definición de capa presentación: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por la capa presentación (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos:
La capa presentación no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.
La capa presentación no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
La capa no puede proteger contra los ataques de ingeniería social.
La capa no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.
La capa no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.
APLICACIÓN
El nivel de aplicación o capa de aplicación es el séptimo nivel del modelo OSI.
Ofrece a las aplicaciones (de usuario o no) la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrónico (POP y SMTP), gestores de bases de datos y protocolos de transferencia de archivos (FTP).
Cabe aclarar que el usuario normalmente no interactúa directamente con el nivel de aplicación. Suele interactuar con programas que a su vez interactúan con el nivel de aplicación pero ocultando la complejidad subyacente. Así por ejemplo un usuario no manda una petición GET /index.html HTTP/1.0 para conseguir una página en html, ni lee directamente elcódigo html/xml. O cuando chateamos con el Mensajero Instantáneo, no es necesario que codifiquemos la información y los datos del destinatario para entregarla a la capa de Presentación (capa 6) para que realice el envío del paquete.
La seguridad se ocupa de garantizar que lo curiosos no puedan leer o modificar mensajes dirigidos a otros destinatarios; se preocupa por la gente que intenta acceder a servicios remotos no autorizados. La seguridad también se ocupa del problema de la captura y reproducción de mensajes legítimos y de la gente que intenta negar que envió ciertos mensajes.
Los problemas de seguridad de las redes pueden dividirse en 4 áreas interrelacionadas:
secreto, validación de identificación, no repudio y control de integridad.
El secreto y la integridad tienen que ver con mantener la información fuera de las manos de los usuarios no autorizados.
La validación de identificación se encarga de determinar con quién se está hablando antes de revelar información delicada o hacer un trato de negocios.
El no repudio se encarga de las firmas: ¿Cómo puede asegurarse de que un mensaje recibido fue realmente enviado, y no algún adversario modificó en el camino su propia cuenta?.
Para atacar estos problemas las soluciones deben implementarse en esta capa. Estas pueden ser:
Cifrado Tradicional: Los mensajes a cifrar, conocidos como texto normal, se transforman mediante una función parametrizada por un clave. La salida del proceso de cifrado se conoce como texto cifrado, la cual se transmite después de muchas veces mediante un mensajero o radio.
La clave consiste en una cadena corta que selecciona uno de muchos cifrados. Para evitar que lean su correo electrónico las claves de 64 bits son suficientes, para mantener a raya gobiernos poderosos se requieren claves de hasta 256 bits.
Los modelos de cifrado se dividen en 2 categorías: cifrados por sustitución y cifrados por transposición.
Cifrados por Sustitución: Cada letra o grupo de letras se reemplaza por otra letra o grupo de letras para descifrarla. Uno de los cifrados viejos conocidos es el cifrado de Cesar. En este método a se vuelve D, b se vuelve E, ................ y z se vuelve C Por ejemplo la palabra ataque se vuelve DWDTXH.