Apndice B: Repaso

Contenido Introduccin Leccin: Repaso de TCP/IP Leccin: Repaso del enrutamiento Leccin: Funcionamiento de DHCP en un entorno de empresa Leccin: Repaso de WINS Leccin: Repaso de IPSec 1 2 11 18 35 47

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, FrontPage, MSDN, PowerPoint, SharePoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros pases. Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de sus respectivos propietarios.

Apndice B: Repaso

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En las lecciones de este apndice se proporciona informacin de repaso sobre temas tcnicos tratados en este curso, incluidos TCP/IP (Protocolo de control de transporte/Protocolo Internet), enrutamiento, DHCP (Protocolo de configuracin dinmica de host), WINS (Servicio de nombres Internet de Microsoft Windows) e IPSec (Seguridad de IP).

Apndice B: Repaso

Leccin: Repaso de TCP/IP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Esta leccin es un repaso de TCP/IP y la funcin que desempea en una infraestructura de redes. En esta leccin tambin se comparan las versiones 4 y 6 del Protocolo Internet (IPv4 e IPv6) y se tratan cuestiones que deben tenerse en cuenta a la hora de planear el futuro de la empresa. Despus de finalizar esta leccin, el alumno podr:
! ! ! !

Objetivos de la leccin

Repasar el conjunto de protocolos TCP/IP. Repasar las caractersticas de TCP/IP. Comprender las diferencias entre IPv4 e IPv6. Sealar la incidencia de la implementacin de IPv6 en la empresa.

Apndice B: Repaso

Caractersticas de TCP/IP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Microsoft Windows Server 2003 contina ofreciendo compatibilidad con el conjunto de caractersticas estndar de TCP/IP. Tambin admite caractersticas de TCP/IP adicionales que permiten instalar, configurar e implantar ms fcilmente la infraestructura de redes. En Windows Server 2003, el protocolo TCP/IP se instala de forma predeterminada en la carpeta Conexiones de red y no puede eliminarse. TCP/IP es un conjunto de protocolos estndar del sector diseado para grandes redes que abarcan vnculos de redes de rea extensa (WAN). El Protocolo de control de transporte (TCP) y el Protocolo Internet (IP) fueron desarrollados en un proyecto de investigacin del Departamento de defensa de Estados Unidos para conectar en una red de redes (Internet) toda una serie de redes diseadas por diferentes proveedores. TCP/IP se dise para que fuera slido y para recuperarse automticamente de una anomala en un nodo o en la lnea. TCP/IP en Windows Server 2003 admite las siguientes caractersticas estndar:
!

Definicin de TCP/IP

Caractersticas estndar de TCP/IP admitidas

Capacidad de enlazar varios adaptadores de red con diferentes tipos de medios Mltiples equipos host lgicos y fsicos Capacidad de enrutamiento IP interno IGMP (Protocolo de administracin de grupos de Internet) versin 3 (compatibilidad con la multidifusin IP) Deteccin de direcciones IP duplicadas Deteccin de enrutadores ICMP (Protocolo de mensajes de control de Internet) Varias puertas de enlace predeterminadas configurables Deteccin de puertas de enlace inactivas para trfico TCP

! ! !

! !

! !

Apndice B: Repaso
!

Deteccin de PMTU (Unidad de transmisin mxima de ruta automtica) para conexiones TCP Mejora del cifrado de datos y autenticacin gracias al protocolo IPSec (Seguridad del protocolo Internet) Calidad de servicio (QoS) para la transmisin de trfico IP determinado por tiempo, como las transmisiones multimedia; TCP/IP admite la reserva de ancho de banda por medio de mecanismos QoS Servicios TCP/IP a travs de ATM (Modo de transferencia asncrono) Redes virtuales privadas (VPN) Direccionamiento IP privado automtico (APIPA), que automatiza la configuracin de direcciones para equipos host en una red con una sola subred asignada a partir de 169.254.0.0/16, que reserva la IANA (Autoridad para la asignacin de nmeros de Internet) Tamaos de ventana predeterminados mayores Tamaos de ventana TCP escalables, incluidas las ventanas TCP grandes Acuses de recibo selectivos (SACK) Mejora de los clculos RTT (Tiempo de ida y vuelta) y RTO (Tiempo de espera de retransmisin) Filtrado de paquetes NetBIOS a travs de TCP/IP (NetBT)

! ! !

! ! ! !

! !

Puede desactivar NetBT para equipos que slo usan la resolucin y el registro de nombres DNS (Sistema de nombres de dominio). Estos equipos slo pueden examinar recursos en equipos que tengan NetBT desactivado. Nota Generalmente, NetBT slo est desactivado en equipos como servidores proxy de lmite o equipos host en un entorno de servidor de seguridad en el que no se desea NetBT. Nuevas caractersticas admitidas de TCP/IP TCP/IP de Windows Server 2003 tambin cuenta con las siguientes caractersticas nuevas:
!

IGMP versin 3, que proporciona informes de miembros de grupos de multidifusin basados en el origen. Configuracin alternativa, que permite a un equipo utilizar una configuracin de direccin IP definida manualmente en caso de que no haya un servidor DHCP (Protocolo de configuracin dinmica de host). Determinacin automtica de la mtrica de la interfaz, que determina automticamente la mtrica de enrutamiento para la puerta de enlace predeterminada de cada interfaz, de acuerdo con la velocidad de la interfaz asociada. IP versin 6, la ltima versin de IP.

Apndice B: Repaso

Funcin de TCP/IP en la red Windows Server 2003

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin TCP/IP es el protocolo de redes de empresa estndar y direccionable ms completo y ampliamente aceptado. Todos los sistemas operativos de red actuales ofrecen compatibilidad con TCP/IP y las grandes redes se basan en este protocolo para controlar gran parte del trfico de red. TCP/IP tambin permite la creacin de redes y la conectividad de la empresa en equipos basados en Windows Server 2003, Windows 2000 y Microsoft Windows NT. En la actualidad, las organizaciones deben afrontar una necesidad creciente de conectividad a Internet y al reto de garantizar la conectividad entre sistemas operativos y plataformas de hardware dispares. Adems de satisfacer requisitos de conectividad entre sistemas operativos, las organizaciones deben proporcionar acceso a usuarios situados en puntos geogrficos alejados. TCP/IP es el nico protocolo que puede satisfacer los requisitos de conectividad de organizaciones grandes y pequeas. Esto se debe a que funciona en una amplia gama de redes fsicas y a su capacidad de ampliacin.

Funcin de TCP/IP en la red Windows Server 2003

Apndice B: Repaso

Ventajas de TCP/IP

La integracin de TCP/IP en una configuracin de Windows Server 2003 ofrece las siguientes ventajas:
!

Una tecnologa para conectar sistemas dispares Hay disponibles muchas utilidades estndar de conectividad para obtener acceso a sistemas dispares y transferir datos entre ellos, incluidos los protocolos FTP (Protocolo de transferencia de archivos) y Telnet, un protocolo de emulacin de terminal. Windows Server 2003 incluye varias de estas utilidades estndar.

Una infraestructura de cliente/servidor slida, escalable y multiplataforma TCP/IP de Windows Server 2003 ofrece la interfaz Windows Sockets, adecuada para desarrollar aplicaciones de cliente/servidor que puedan ejecutarse en implementaciones de protocolo TCP/IP compatibles con Windows Sockets de otros proveedores.

Un mtodo de acceso a Internet Internet se compone de miles de redes en todo el mundo, que conectan recursos de bsqueda, universidades, bibliotecas, empresas privadas e individuos.

Entrega confiable de paquetes TCP ofrece fiabilidad, puesto que proporciona una entrega de paquetes dependiente de la conexin y de un extremo a otro a travs de una red. Los bytes no recibidos en un perodo de tiempo especfico se vuelven a transmitir. El mecanismo de fiabilidad de TCP permite que los dispositivos administren paquetes perdidos, retrasados, duplicados o malinterpretados. Un mecanismo de tiempo de espera permite que los dispositivos detecten paquetes perdidos y soliciten la retransmisin.

Incidencia de TCP/IP en la configuracin de red

Como en cualquier otro protocolo de capa de red, el esquema de direcciones IP forma parte integral del proceso de enrutamiento de datagramas IP a travs de una red. Cada direccin IP tiene componentes especficos y presenta un formato bsico. Las redes IP pueden dividirse en redes ms pequeas denominadas subredes. La creacin de subredes reporta varios beneficios al administrador de red, incluidos una mayor flexibilidad, un uso ms eficaz de las direcciones de red y la capacidad de contener trfico de difusin (normalmente, una difusin no pasar a travs de un enrutador).

Apndice B: Repaso

El conjunto de protocolos TCP/IP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El conjunto de protocolos TCP/IP permite disear una red lgica anloga mediante el uso de la infraestructura fsica de la red. Puede utilizar estos protocolos independientes de proveedor para implementar redes IP, desde redes de rea local (LAN) reducidas hasta grandes redes de empresa. El diagrama de la diapositiva muestra la relacin del modelo OSI (Interconexin de sistemas abiertos) de siete capas con el modelo TCP/IP de cuatro capas, as como los principales componentes del conjunto de protocolos TCP/IP. Los protocolos TCP/IP se relacionan con un modelo conceptual de cuatro capas: interfaz de red, Internet, transporte entre equipos host y aplicacin. Los protocolos bsicos de Microsoft TCP/IP proporcionan un conjunto de estndares que regulan la comunicacin entre equipos y la conexin entre redes. En la base del modelo se encuentra la capa de interfaz de red. Esta capa se encarga de colocar las tramas en la red y de obtenerlas de esta. Los protocolos de Internet encapsulan paquetes en datagramas de Internet y ejecutan todos los algoritmos de enrutamiento necesarios. Los cuatro protocolos de Internet son IP (Protocolo Internet), ARP (Protocolo de resolucin de direcciones), ICMP (Protocolo de mensajes de control de Internet) e IGMP (Protocolo de administracin de grupos de Internet).
!

Relacin del conjunto de protocolos TCP/IP con el modelo OSI Modelo del conjunto de protocolos TCP/IP

Capa de interfaz de red Capa de Internet

IP se encarga principalmente de direccionar y enrutar paquetes entre equipos host y redes. ARP sirve para obtener direcciones de hardware de equipos host situados en una misma red fsica. ICMP enva mensajes e informes de error relacionados con la entrega de un paquete. IGMP lo utilizan equipos host IP para informar sobre miembros de grupos de equipos host a los enrutadores locales de multidifusin.

Apndice B: Repaso

Capa de transporte

Los protocolos de transporte proporcionan sesiones de comunicacin entre equipos. El mtodo de entrega de datos deseado determina el protocolo de transporte. Los dos protocolos de transporte son TCP (Protocolo de control de transporte) y UDP (Protocolo de datagrama de usuario).
!

TCP proporciona comunicaciones confiables y dependientes de la conexin para aplicaciones que habitualmente transfieren grandes cantidades de datos a la vez o que requieren el acuse de recibo de la recepcin de los datos. UDP proporciona comunicaciones no dependientes de la conexin y no garantiza la entrega de los paquetes. Las aplicaciones que utilizan UDP suelen transferir pequeas cantidades de datos a la vez. La aplicacin se encarga de garantizar la entrega.

Capa de aplicacin

La capa de aplicacin ocupa la parte superior del modelo. En esta capa, las aplicaciones obtienen acceso a la red. La capa de aplicacin tiene muchas utilidades y servicios TCP/IP estndar como, por ejemplo FTP, Telnet, SNMP (Protocolo simple de administracin de red), DNS, etctera. Microsoft TCP/IP proporciona dos interfaces para que las aplicaciones de red utilicen los servicios de la pila de protocolos TCP/IP: Windows Sockets y la interfaz NetBIOS.
!

El servicio Windows Sockets proporciona una interfaz de programacin de aplicaciones (API) estndar en Microsoft Windows para muchos protocolos de transporte, como TCP/IP e IPX (Intercambio de paquetes entre redes). NetBIOS proporciona una interfaz estndar para protocolos compatibles con los servicios de nombres y mensajera NetBIOS, como TCP/IP y NetBEUI (Interfaz de usuario ampliada NetBIOS).

Apndice B: Repaso

Comparacin de IPv6 e IPv4

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La versin 6 del Protocolo Internet (IPv6), el protocolo de ltima generacin de acceso a Internet, permite satisfacer las demandas de movilidad, crecimiento y servicios adicionales. IPv6 tambin soluciona la escasez de direcciones IP, uno de los principales problemas de Internet en la actualidad. Asimismo, ofrece nuevas oportunidades para ofrecer servicios de valor aadido, como, por ejemplo, servicios basados en la ubicacin, de directorio y de disponibilidad constante. IPv6 es la ltima versin de IP y se incluye como parte de la compatibilidad con IP en Windows Server 2003. IPv6 tambin se conoce como IPng (Protocolo Internet de ltima generacin). IPv6 se dise como un conjunto de mejoras revolucionarias respecto a la anterior versin, IP versin 4. Los equipos host de la red y los nodos intermedios con IPv4 o IPv6 pueden manejar paquetes con formato para cualquiera de los dos niveles de IP. Los usuarios y los proveedores de servicios pueden realizar la actualizacin a IPv6 por separado, sin tener que coordinarse entre ellos. IPv6 est diseado para que tenga la menor incidencia posible en los protocolos de capas superiores e inferiores, al impedir agregar nuevas funciones aleatoriamente. La mejora ms notoria de IPv6 respecto a IPv4 es que las direcciones IP se han alargado de 32 a 128 bits. Esta ampliacin mitiga lo que se consideraba una inminente escasez de direcciones de red. IPv6 describe reglas para tres tipos de direccionamiento:
! ! !

Qu es IPv6?

Unicast (de un equipo host a otro) Anycast (de un equipo host al equipo host ms cercano de varios) Multicast (de un equipo host a varios)

10

Apndice B: Repaso

Problemas solucionados en IPv6

IPv6 soluciona el problema de lmite de nmero de direcciones disponibles en IPv4. Adems de solucionar este importante problema, IPv6 ofrece soluciones para lo siguiente:
!

El crecimiento de Internet y la capacidad de los enrutadores de red troncal de Internet de mantener tablas de enrutamiento grandes. La necesidad de una configuracin ms sencilla. El requisito de seguridad en IP. La necesidad de una mejora de la compatibilidad con la entrega de datos en tiempo real, tambin denominada calidad de servicio (QoS).

! ! !

Caractersticas de IPv6

IPv6 tiene las caractersticas siguientes:

! ! ! ! ! ! ! !

Nuevo formato de encabezado Espacio de direcciones grande Infraestructura de direccionamiento y enrutamiento eficaz y jerrquica Configuracin de direcciones con estado (stateful) o sin estado (stateless) Seguridad integrada Mejora de la compatibilidad con QoS Nuevo protocolo para la interaccin de nodos prximos Capacidad de ampliacin

Nota Para obtener ms informacin sobre la implementacin de IPv6 de Microsoft, visite el sitio http://www.microsoft.com/IPv6.

Apndice B: Repaso

11

Leccin: Repaso del enrutamiento

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se repasa informacin bsica sobre el enrutamiento y se explica cmo se pueden utilizar los componentes de enrutamiento para establecer comunicaciones dentro de la red y con ubicaciones remotas. Despus de finalizar esta leccin, el alumno podr:
! ! !

Objetivos de la leccin

Describir el proceso de enrutamiento. Identificar los protocolos de enrutamiento proporcionados. Comprender el funcionamiento del enrutamiento en un entorno de red.

12

Apndice B: Repaso

Presentacin multimedia: Funcin del enrutamiento en una infraestructura de redes

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Objetivo Para ver la presentacin Funcin del enrutamiento en una infraestructura de redes, abra la pgina Web en el disco compacto Material del alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo de la presentacin. El objetivo de esta presentacin es explicar la funcin del enrutamiento en una infraestructura de redes. Aprender a hacer lo siguiente:
! ! !

Describir la funcin del enrutamiento en la infraestructura de redes. Explicar la diferencia entre enrutamiento local y remoto. Describir el funcionamiento del componente Enrutamiento y acceso remoto de Microsoft en la infraestructura de redes.

Preguntas clave

Cuando vea esta presentacin, deber tener en cuenta las cuestiones siguientes:
! !

Cul es la funcin del enrutamiento en la infraestructura de redes? Qu ocurre cuando la direccin IP del equipo host al que intenta conectarse el cliente no se encuentra en la subred local? Cul es la funcin de las tablas de enrutamiento? Cmo puede configurar un servidor que ejecute el componente Enrutamiento y acceso remoto?

! !

Apndice B: Repaso

13

Repaso de la tabla de enrutamiento

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Generalmente, un enrutador contiene una entrada de tabla de enrutamiento por cada red a la que se conecta. La entrada indica al enrutador adnde debe reenviar paquetes dirigidos a una red determinada. En la tabla siguiente se describe cada una de las columnas que aparecen en la tabla de enrutamiento del Protocolo Internet (IP) de la ilustracin.
Nombre de la columna Destino de red Descripcin Se utiliza junto con la mscara de red para que coincida con la direccin IP de destino. El destino de red puede encontrarse en el intervalo comprendido entre 0.0.0.0 para la ruta predeterminada y 255.255.255.255 para una difusin limitada. Nota: un equipo utiliza la ruta predeterminada si ningn otro equipo host o ruta de red coincide con la direccin de destino incluida en un datagrama IP. Mscara de red Se aplica a la direccin IP de destino cuando se intenta hacer coincidir con el valor en el destino de red. La mscara de red tambin se denomina mscara de subred. Una mscara de subred distingue los identificadores de red (Id.) y los Id. de equipo host de una direccin IP. Indica la direccin IP que el equipo host local utiliza para reenviar datagramas IP a otras redes IP. Una puerta de enlace es la direccin IP de un adaptador de red local o la direccin IP de un enrutador IP en el segmento de la red local.

Anlisis de las entradas de la tabla de enrutamiento

Puerta de enlace

14

Apndice B: Repaso (continuacin) Nombre de la columna Interfaz Mtrica Descripcin Indica la direccin IP del adaptador de red que utiliza el equipo local al reenviar un datagrama IP a travs de la red. Indica el costo de una ruta. Si varias rutas conducen al destino IP, se utiliza la mtrica para decidir la ruta que se tomar. La ruta con la mtrica ms baja ser la preferida, mientras que las dems rutas se utilizarn slo si la ruta preferida deja de estar disponible.

Qu tipos de ruta se almacenan en una tabla de enrutamiento?

Puede utilizar las entradas de la tabla de enrutamiento para almacenar los siguientes tipos de ruta.
Tipo de ruta Rutas de red conectadas directamente Descripcin Rutas de subredes a las que el nodo est conectado directamente. En las rutas de red conectadas directamente, el campo Prximo salto puede estar en blanco o contener la direccin IP de la interfaz de esa subred. Rutas para subredes disponibles a travs de enrutadores y no conectadas directamente al nodo. En las rutas de red remotas, el campo Prximo salto es la direccin IP de un enrutador local. Rutas a una direccin IP especfica. Las rutas de host permiten el enrutamiento segn cada direccin IP. En rutas de host, el Id. de red es una direccin IP especfica y la mscara de red es 255.255.255.255. Rutas que se utilizan cuando no se encuentra una red o una ruta de equipo host ms especfica. El destino de la ruta predeterminada es 0.0.0.0, con la mscara de red 0.0.0.0. La direccin de Prximo salto de la ruta predeterminada suele ser la puerta de enlace predeterminada del nodo.

Rutas de red remotas

Rutas de equipo host

Rutas predeterminadas

Apndice B: Repaso

15

Mtrica

La mtrica puede indicar diferentes maneras de expresar la preferencia por una ruta. La medida utilizada para la mtrica depende del protocolo de enrutamiento. Cuando el protocolo de enrutamiento no especifica cmo se define una mtrica, el administrador que configura el enrutador elige cmo se define. Una mtrica suele definirse mediante uno de los criterios siguientes.
Mtrica Recuento de saltos Retardo Definicin Indica el nmero de enrutadores en la ruta al destino. Cualquier elemento de la subred local constituye un salto y cada enrutador que se cruce posteriormente se contar como un salto. Indica una medida de tiempo necesaria para que el paquete llegue al Id. de red. Nota: el retardo sirve para indicar la velocidad de una ruta o el grado de congestin de esta. Por ejemplo, los vnculos LAN tienen un retardo bajo, mientras que los vnculos WAN tienen un retardo alto. Rendimiento Fiabilidad Indica la cantidad real de datos que puede enviarse por la ruta por segundo. Indica la constancia de la ruta. Algunos tipos de vnculos son ms propensos a sufrir anomalas que otros. Por ejemplo, en vnculos WAN, las lneas concedidas son ms confiables que las lneas de acceso telefnico.

16

Apndice B: Repaso

Repaso de las rutas estticas y dinmicas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si la ruta de enrutamiento cambia, debe actualizarse la tabla de enrutamiento. Esta actualizacin puede producirse de dos maneras, mediante rutas estticas o rutas dinmicas. Las rutas estticas se definen y se actualizan manualmente. Las rutas dinmicas se configuran automticamente mediante protocolos de enrutamiento. Los enrutadores utilizan los protocolos de enrutamiento para intercambiar informacin entre enrutadores para propagar la informacin de direccin de red y de conexin. Los dos protocolos de enrutamiento IP ms habituales utilizados en intranets son RIP (Protocolo de informacin de enrutamiento) y OSPF (Abrir primero la ruta de acceso ms corta). Una ruta esttica es una ruta configurada manualmente que especifica la ruta de transmisin que debe seguir un datagrama, de acuerdo con la direccin de destino del datagrama. Una ruta esttica especifica una ruta de transmisin a otra red. Si una ruta cambia, el administrador de la red debe actualizar manualmente las tablas de enrutamiento. Las rutas estticas pueden funcionar bien en interconexiones de redes pequeas. Sin embargo, las rutas estticas no se adaptan bien a las ampliaciones porque deben administrarse manualmente. Rutas dinmicas En redes grandes, no es posible configurar todas las tablas de enrutamiento manualmente modificando las rutas estticas cada vez que se produce un cambio. Puede utilizar los protocolos de enrutamiento para administrar automticamente los cambios en la tabla de enrutamiento que resulten necesarios debido a cambios en la red. Los protocolos de enrutamiento proporcionan rutas dinmicas. Un protocolo de enrutamiento crea dinmicamente tablas de enrutamiento al notificar la informacin de enrutamiento a otros enrutadores. Los enrutadores reciben estas notificaciones y las utilizan para crear las tablas de enrutamiento adecuadas. A continuacin, los enrutadores realizan notificaciones para crear las tablas de enrutamiento de todos los enrutadores de la red. En conjunto, el proceso evita que la administracin de las tablas de enrutamiento se convierta en una carga.

Rutas estticas

Protocolos de enrutamiento

Apndice B: Repaso

17

RIP

RIP es un protocolo de enrutamiento por vector de distancia diseado para intercambiar informacin de enrutamiento en una red pequea o mediana. Los protocolos de enrutamiento por vector de distancia propagan la informacin de enrutamiento en forma de Id. de red y su distancia, o nmero de saltos. Puesto que RIP tiene una distancia mxima de 15 saltos, las ubicaciones a una distancia igual o mayor que 16 saltos se consideran inaccesibles. En comparacin con otros protocolos, RIP es fcil de configurar e implantar. Sin embargo, a medida que las redes aumentan de tamao, las notificaciones peridicas que emite cada enrutador RIP pueden provocar un trfico excesivo en la red. RIP suele utilizarse en redes de hasta 50 servidores. Nota RIP tambin es el nombre de un protocolo de enrutamiento similar, pero independiente, para redes IPX (Intercambio de paquetes entre redes).

OSPF

OSPF (Abrir primero la ruta de acceso ms corta) es un protocolo de estado de vnculo basado en el algoritmo SPF (Ruta de acceso ms corta primero) que calcula la ruta ms corta entre un nodo de origen y el resto de los nodos de una red. Los protocolos de estado de vnculo propagan informacin de enrutamiento en forma de notificaciones de estado de vnculo (LSA). Las LSA contienen las redes conectadas y su costo. El costo de cada interfaz de enrutador es un nmero sin unidad que asigna el administrador de la red. Puede incluir factores de retardo, ancho de banda y costo econmico. Los enrutadores OSPF mantienen un mapa de la red que se actualiza despus de cada cambio en la topologa de la red. Este mapa se conoce como base de datos de estado de los vnculos. Los enrutadores OSPF mantienen una base de datos de estado de los vnculos y una tabla de enrutamiento. OSPF se dise en respuesta a la incapacidad de RIP para funcionar en interconexiones de redes grandes y heterogneas. La ventaja de OSPF, en comparacin con otros protocolos de enrutamiento, es que funciona eficazmente en redes grandes, porque calcula la mejor ruta que debe utilizarse y requiere menos mensajes de estado. A diferencia de RIP, OSPF no notifica todas las rutas conocidas a los dems enrutadores, sino nicamente los cambios realizados en sus rutas. El inconveniente de OSPF es su complejidad; es ms difcil de configurar y requiere ms tiempo de administracin que RIP. Nota Para obtener ms informacin sobre RIP, RIP versin 2 y OSPF versin 2, consulte los documentos RFC (Solicitudes de comentarios) 1058, Routing Information Protocol; 2328, OSPF Version 2 y 2453, RIP Version 2 en la seccin Lecturas complementarias en el disco compacto Material del alumno.

18

Apndice B: Repaso

Leccin: Funcionamiento de DHCP en un entorno de empresa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se repasa el protocolo DHCP (Protocolo de configuracin dinmica de host) mediante un diseo de red sencillo para ilustrar el uso de DHCP por parte de una red. La explicacin se centrar en el modo en que cada segmento obtiene direcciones y en la importancia de la tolerancia a errores. Despus de finalizar esta leccin, el alumno podr:
!

Objetivos de la leccin

Explicar la incidencia de la configuracin de enrutamiento en la configuracin de DHCP. Explicar la necesidad de proporcionar tolerancia a errores en la configuracin del mbito DHCP. Identificar funciones de mbito y supermbito en un entorno de red. Identificar la necesidad de DHCP en un entorno de red.

! !

Apndice B: Repaso

19

Proceso de generacin de concesiones DHCP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La configuracin automtica de una direccin IP de cliente se lleva a cabo mediante el proceso de generacin de concesiones DHCP, que consta de cuatro fases. Un cliente y un servidor DHCP se comunican para generar una concesin mediante una serie de mensajes DHCP que utilizan el protocolo UDP (Protocolo de datagrama de usuario). A continuacin, se indican algunos mensajes DHCP definidos por el protocolo DHCP:
!

Mensajes DHCP

Paquete DHCPDISCOVER El paquete DHCPDISCOVER contiene el nombre de la estacin de trabajo y la direccin MAC (Control de acceso a medios). Tambin puede contener la ltima direccin TCP/IP que el cliente ha obtenido del servidor.

Paquete DHCPOFFER El paquete DHCPOFFER contiene una direccin TCP/IP propuesta para la estacin de trabajo, junto con la direccin MAC de la estacin de trabajo, la informacin de mscara de subred, la duracin de la concesin y la direccin TCP/IP del servidor DHCP que realiza la oferta.

Paquete DHCPREQUEST El paquete DHCPREQUEST acepta la direccin TCP/IP que ofrece el servidor que ha emitido el paquete DHCPOFFER.

Paquete DHCPACK El paquete DHCPACK contiene la concesin para el cliente e informacin adicional que ha solicitado el cliente.

Paquete DHCPDECLINE El paquete DHCPDECLINE informa al cliente de que la direccin ya se encuentra en uso en el segmento local.

20

Apndice B: Repaso
!

Paquete DHCPNAK El paquete DHCPNAK obliga al cliente a reinicializar TCP/IP y obtener una direccin TCP/IP y una concesin nuevas.

Paquete DHCPRELEASE El paquete DHCPRELEASE contiene la direccin IP cedida en el campo de direccin IP del cliente y la direccin MAC del cliente en el campo de direccin de hardware del cliente.

Apndice B: Repaso

21

Servicios del servidor DHCP en segmentos remotos

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin DHCP permite administrar la configuracin de red de los equipos host desde un servidor central de configuracin. Puede usar DHCP para configurar muchos tipos de equipos host en la red, incluidos estaciones de trabajo tpicas, terminales X, equipos mviles y equipos que se conectan a Internet a travs de conexiones temporales de proveedores de servicios Internet (ISP). DHCP elimina la necesidad de que los usuarios del equipo configuren sus sistemas manualmente. Los protocolos DHCP y Bootstrap (BOOTP) son muy parecidos. De hecho, el protocolo DHCP es una extensin de BOOTP. En el pasado, BOOTP serva para asignar una direccin IP y proporcionar una imagen de arranque a estaciones de trabajo sin disco. Como DHCP y BOOTP son tan parecidos, los servidores DHCP pueden beneficiarse de los agentes de retransmisin BOOTP de los enrutadores de red, que cumplan lo estipulado en el documento RFC 1542, Clarifications and Extensions for the Bootstrap Protocol, y que permiten que los servidores BOOTP atiendan a clientes BOOTP en varios segmentos de redes remotos. Para obtener ms informacin, consulte el documento RFC 1542 en el disco compacto Material del alumno. Dado que se crean diferentes dominios de difusin en una red enrutada, puede ocurrir que desee colocar un servidor y clientes DHCP en dominios de difusin diferentes. Generalmente, un enrutador no reenviar el trfico de difusin de los clientes DHCP al servidor DHCP, por lo que Microsoft Windows Server 2003 proporciona un agente de retransmisin DHCP compatible con lo estipulado en el documento RFC 1542 para reenviar solicitudes de los clientes a un servidor DHCP. Puede colocar el agente de retransmisin DHCP en una subred en cualquier punto de la red enrutada.

Protocolos DHCP y BOOTP

Servicio de DHCP en segmentos remotos

22

Apndice B: Repaso

Agentes de retransmisin

Un agente de retransmisin es un equipo host o un enrutador que acepta (y, en algunos casos, modifica) mensajes procedentes de clientes BOOTP y DHCP, y los pasa a otros segmentos de red. Puede configurar el agente de retransmisin DHCP para retrasar el reenvo de solicitudes a un servidor DHCP de modo que los servidores DHCP locales puedan responder a ellas. Configure el retardo de reenvo si utiliza varios agentes de retransmisin DHCP o los incluye en una subred con un servidor DHCP.

Situaciones de uso de un agente de retransmisin DHCP

En una red enrutada, debe utilizar agentes de retransmisin DHCP en cada subred si:
! ! !

No hay ningn servidor DHCP que tenga una interfaz en la subred. Hay equipos disponibles para su uso como agentes de retransmisin DHCP. No hay ningn enrutador que admita el reenvo DHCP/BOOTP.

Motivos para utilizar un agente de retransmisin DHCP

La configuracin de un agente de retransmisin DHCP en cada subred ofrece las ventajas siguientes respecto a otras opciones:
! ! !

Suele ser ms fcil que configurar otras opciones. Limita las difusiones a la subred en la que se originan. Tambin puede proporcionar tolerancia a errores.

Adems, al agregar agentes de retransmisin DHCP a varias subredes, un servidor DHCP puede proporcionar direcciones IP a varias subredes de forma ms eficaz que si utiliza enrutadores compatibles con lo estipulado en el documento RFC 1542. Precaucin El servicio de servidor DHCP y el agente de retransmisin DHCP utilizan los mismos puertos UDP (Protocolo de datagrama de usuario). Tenga en cuenta que ninguno de los dos servicios funcionar de forma confiable si los instala en el mismo equipo. Generacin de concesiones en una red enrutada
w

Un agente de retransmisin retransmite de la manera siguiente mensajes DHCP/BOOTP emitidos en una de sus interfaces fsicas conectadas (como un adaptador de red) a otras subredes remotas a las que est conectado mediante otras interfaces fsicas: 1. El cliente DHCP C emite un mensaje de deteccin DHCP/BOOTP (DHCPDISCOVER) en la subred 2 en forma de datagrama UDP a travs del conocido puerto de servidor UDP 67 (el nmero de puerto reservado y compartido para la comunicacin de servidores BOOTP y DHCP). 2. El agente de retransmisin, en este caso un enrutador preparado para la retransmisin DHCP/BOOTP, examina el campo de direccin IP de la puerta de enlace en el encabezado del mensaje DHCP/BOOTP. Si el campo tiene la direccin IP 0.0.0.0, el agente cumplimenta el campo con la direccin IP de la interfaz del agente de retransmisin o el enrutador que ha emitido el mensaje y reenva el mensaje a la subred remota 1, en la que se encuentra el servidor DHCP.

Apndice B: Repaso

23

3. Cuando el servidor DHCP 1 de la subred remota 1 recibe el mensaje, examina el campo de direccin IP de la puerta de enlace para un mbito DCHP que el servidor DHCP puede utilizar para proporcionar una concesin de direccin IP. 4. Si el servidor DHCP 1 tiene varios mbitos DCHP, la direccin del campo de direccin IP de la puerta de enlace identifica el mbito DCHP desde el cual puede ofrecer una concesin de direccin IP. Por ejemplo, si el campo de direccin IP de la puerta de enlace tiene la direccin IP 10.0.0.2, el servidor DHCP busca en el conjunto disponible de mbitos de direcciones un intervalo de direcciones de mbito que coincida con la red IP de clase A que incluye la direccin de la puerta de enlace como equipo host. En este caso, el servidor DHCP buscara un mbito de direcciones entre 10.0.0.1 y 10.0.0.254. Si existe un mbito de estas caractersticas, el servidor DHCP selecciona una direccin disponible de dicho mbito para utilizarla en una respuesta de oferta de concesin de direccin IP para el cliente. 5. Cuando el servidor DHCP 1 recibe el mensaje DHCPDISCOVER, procesa y enva la oferta de concesin de direccin IP (DHCPOFFER) directamente al agente de retransmisin identificado en el campo de direccin IP de la puerta de enlace. 6. El enrutador retransmite la oferta de concesin de direccin (DHCPOFFER) al cliente DHCP. 7. Puesto que la direccin IP del cliente todava es desconocida, debe difundirse en la subred local. De forma similar, se retransmiten un mensaje DHCPREQUEST del cliente al servidor y un mensaje DHCPACK del servidor al cliente, en conformidad con el documento RFC 1542.

24

Apndice B: Repaso

Funcionamiento de los mbitos y los supermbitos en un entorno

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puesto que cada servidor DHCP requiere como mnimo un mbito, deber crear el mbito o los mbitos que se utilizarn. Puede crear varios mbitos o mbitos independientes para cada subred con el fin de permitir que los clientes DHCP obtengan una direccin IP vlida de cualquier servidor DHCP. Un mbito es una agrupacin administrativa de direcciones IP para equipos de una subred que utilizan el servicio DHCP. Primero, el administrador crea un mbito para cada subred fsica; a continuacin, utiliza el mbito para definir los parmetros que utilizan los clientes. Un mbito DCHP se compone de un conjunto de direcciones IP de una subred determinada, como por ejemplo el intervalo entre 192.168.0.1 y 192.168.0.254, que el servidor DHCP puede conceder a los clientes. Propiedades del mbito Un mbito tiene las siguientes propiedades:
!

Qu es un mbito?

Un intervalo de direcciones IP, en el que se incluyen o excluyen direcciones utilizadas para ofertas de concesin de servicios DHCP. Una mscara de subred, que determina la subred de una direccin IP especfica. Un nombre de mbito, que se asigna al crearse el mbito. Valores de duracin de la concesin, que se asignan a los clientes DHCP que reciben direcciones IP asignadas dinmicamente. Cualquier opcin de mbito DCHP configurada para la asignacin a clientes DHCP, como por ejemplo el servidor DNS (Sistema de nombres de dominio), la direccin IP del enrutador y la direccin del servidor WINS (Servicio de nombres de Internet de Windows). Reservas, que sirven para garantizar que un cliente DHCP siempre reciba la misma direccin IP.

! !

Apndice B: Repaso

25

Definicin de mbito

Una subred nicamente puede tener un mbito DCHP con un solo intervalo continuo de direcciones IP. Para utilizar varios intervalos de direcciones dentro de un mbito o subred para el servicio DHCP, antes debe definir el mbito y, a continuacin, establecer los intervalos de exclusin necesarios. Debe utilizar el intervalo completo de direcciones IP consecutivas que conforman la subred IP local para la que est activando el servicio DHCP. Adems, es importante disponer de varios mbitos para cada subred distribuida en los diferentes servidores DHCP de la red. Esto garantiza que los clientes puedan obtener concesiones de direcciones IP en caso de anomala del servidor. Debe establecer intervalos de exclusin para las direcciones IP del mbito que no desea que el servidor DHCP ofrezca ni utilice para la asignacin DHCP. Al establecer un intervalo de exclusin para estas direcciones, especifica que a los clientes DHCP nunca se les ofrecer estas direcciones cuando soliciten la configuracin de concesin del servidor. Las direcciones IP excluidas pueden estar activas en la red, pero slo si se configuran manualmente como hosts que no utilizan DHCP para obtener una direccin. Por ejemplo, puede excluir las primeras 10 direcciones en el mbito del ejemplo anterior creando una exclusin para el intervalo entre 192.168.0.1 y 192.168.0.10.

Definicin de intervalos de exclusin

Qu es un supermbito?

Un supermbito es un grupo de dos o ms mbitos que se combinan para administrarlos como una sola unidad. Cuando se configura un supermbito en un servidor, este puede transmitir las direcciones y el mbito de participacin a los clientes de la misma subred fsica. Los supermbitos pueden ser de utilidad en las situaciones siguientes:
!

Situaciones de uso de supermbitos

Cuando necesita agregar ms hosts de los previstos inicialmente en una subred. Al sustituir intervalos de direcciones existentes por nuevos intervalos de direcciones. Cuando necesita compatibilidad con clientes DHCP remotos en el lado distante de los agentes de retransmisin DHCP y BOOTP (la red del lado distante del agente de retransmisin utiliza mltiples redes). Cuando las direcciones IP en propiedad de la empresa no constituyen un intervalo contiguo. Cuando necesita agrupar y activar intervalos de mbitos de direcciones IP individuales utilizados en configuraciones de mltiples redes.

En cada caso, la configuracin de un supermbito evita tener que eliminar y volver a crear los mbitos existentes.

26

Apndice B: Repaso

Qu pueden solucionar los supermbitos?

Los supermbitos pueden solucionar determinados tipos de problemas de implementacin de DHCP para mltiples redes, como en las situaciones siguientes:
!

El conjunto de direcciones disponible para un mbito activo actualmente est prcticamente agotada y es necesario agregar ms equipos a la red. El mbito original incluye un intervalo completamente direccionable para una nica red IP de una clase de direcciones especfica. Necesita utilizar otro intervalo de direcciones de red IP para ampliar el espacio de direcciones del mismo segmento fsico de la red. Con el tiempo deben migrarse clientes a un nuevo mbito (por ejemplo, para volver a numerar la red IP actual de un intervalo de direcciones utilizado en un mbito activo de modo que adopte un nuevo intervalo de direcciones de red IP).

Apndice B: Repaso

27

Tolerancia a errores en el proceso de implementacin de DHCP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La utilizacin de una solucin de clster de Windows aumenta la disponibilidad de un servidor DHCP. El servidor DHCP es un servicio preparado para funcionar en clster que puede instalarse en un clster para proporcionar una recuperacin inmediata en el caso de un error de hardware o de servicio. Tambin puede mejorar la tolerancia a errores combinando el clster de servidor DHCP con una configuracin remota de conmutacin por error mediante una configuracin de mbito dividido. Un clster de servidor es un grupo de sistemas independientes, llamados nodos, que ejecutan Windows Server 2003 Enterprise Edition o Windows Server 2003 Datacenter Edition. Los servidores funcionan conjuntamente como un solo sistema para garantizar la disponibilidad de las aplicaciones y los recursos esenciales para los clientes. Los nodos de un clster estn en comunicacin permanente mediante el intercambio de mensajes peridicos, llamados latidos. Si uno de los nodos deja de estar disponible como consecuencia de un error o por mantenimiento, otro nodo empieza a prestar servicios inmediatamente (un proceso denominado conmutacin por error). Un clster de Windows se administra con la herramienta Administrador de clsteres. Nota Si slo necesita administrar remotamente clsteres de servidores DHCP implementados en equipos remotos que ejecutan Windows Server 2003 Enterprise Edition, puede utilizar la herramienta Administrador de clsteres. Motivos para configurar DHCP con una configuracin de clster de Windows Al configurar DHCP con una configuracin de clster de Windows, puede realizar lo siguiente:
! !

Qu es un clster de servidor?

Proporcionar una conmutacin y un reinicio automticos en caso de error. Restaurar los servidores con errores ms fcilmente, puesto que se utiliza una sola base de datos DHCP. Prescindir de mbitos distribuidos, lo que reduce la actividad administrativa.

28

Apndice B: Repaso

Requisitos para instalar un recurso DHCP en clster

Es importante tener en cuenta los requisitos siguientes para el servicio de servidor DHCP:
!

Si se utiliza en un clster de servidor, el servicio de servidor DHCP requiere un recurso de disco, un recurso de direccin IP y un recurso de nombre. En este tipo de configuracin, se define una direccin IP virtual para el recurso de direccin IP mediante la herramienta Administrador de clsteres. Esta direccin debe ser una direccin IP esttica y no debe haberse obtenido de otro servidor DHCP. El servicio de servidor DHCP se enlaza a esta direccin IP virtual, que debe utilizarse para autorizar el servicio de servidor DHCP en el servicio de directorio Active Directory de modo que pueda funcionar correctamente y prestar servicio a los clientes de la red. Una vez que se ha configurado la direccin IP virtual mediante la configuracin del clster, los adaptadores de red instalados en los diferentes nodos (es decir, en cada servidor del clster) necesitarn una configuracin de direccin IP. Puesto que el servicio de servidor DHCP no se enlaza a direcciones IP de adaptador, puede facilitarlas a travs de DHCP o configurarlas de forma esttica. Si utiliza la configuracin esttica, las direcciones IP de cada par de adaptadores de red vinculados (vinculados entre nodos) deben pertenecer a la misma subred. Las direcciones configuradas de forma esttica mediante las propiedades de TCP/IP de la carpeta Conexiones de red tambin pueden visualizarse a travs de las propiedades de vinculacin del servidor en la consola de DHCP. Sin embargo, en un clster de servidor DHCP, la informacin de vinculacin que aparece en estas vistas no se corresponde con la direccin IP virtual utilizada para el clster de servidor. Por lo tanto, no se aplican estos valores. Cuando se crea un mbito para un servidor DHCP en clster, deben excluirse las direcciones IP virtuales utilizadas en el contexto del clster para que no se distribuyan a los clientes. Asimismo, debe configurar las rutas de acceso a la base de datos, al archivo de registro de auditora y a la copia de seguridad de la base de datos mediante la herramienta Administrador de clsteres en el disco compartido.

Nota La base de datos Microsoft Jet, de la que depende el servicio de servidor DHCP, no est preparada para su funcionamiento en clster. Si el servicio de servidor DHCP no puede obtener acceso a la base de datos DHCP en clster, el servicio emitir miles de errores de registro de aplicacin de ESENT (Motor de almacenamiento extensible) y se interrumpir el servicio DHCP del clster.

Apndice B: Repaso

29

Tolerancia a errores mediante la divisin de mbitos

Otro modo de implementar la conmutacin remota de errores de DHCP consiste en implementar la misma red en dos servidores DHCP que compartan una configuracin de mbito distribuida basada en una regla 50/50 u 80/20. Varios servidores con mbitos distribuidos proporcionan redundancia al servidor DHCP y comparten la carga de clientes DHCP. Debe distribuir el intervalo de direcciones entre los servidores de acuerdo con su ubicacin en la red. Si varios servidores DHCP prestan servicios a un solo segmento de la red y se encuentran en ese segmento, o si todas las subredes utilizan agentes de retransmisin DHCP, puede dividir en partes iguales (50/50) el intervalo de direcciones de la subred para cada servidor. Si un servidor se encuentra en un segmento y los dems servidores utilizan agentes de retransmisin DHCP, puede distribuir el intervalo de direcciones con un factor 80/20 para proporcionar el mejor rendimiento para los clientes DHCP y minimizar al mismo tiempo el trfico entre subredes.

30

Apndice B: Repaso

Opciones de interoperabilidad DHCP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En un entorno de empresa, puede configurar DHCP para que interopere con el componente Enrutamiento y acceso remoto, DNS, WINS y Active Directory. La integracin de DHCP con otros servicios de red de Windows Server 2003 ampla las posibilidades del servicio y reduce la administracin de la red. La integracin del componente Enrutamiento y acceso remoto y DHCP permite a un servidor de acceso obtener concesiones de direcciones IP de DHCP. Estas concesiones de direcciones se asignan a clientes de acceso remoto que se conectan al servidor. Durante la inicializacin, el servidor de acceso remoto se pone en contacto con el servidor DHCP y solicita una direccin IP para su uso interno y 10 direcciones IP para emitirlas a los clientes. A medida que aumenta el nmero de clientes de acceso remoto simultneos, el servidor solicita al servidor DHCP direcciones IP en bloques de 10. Si el servidor de acceso remoto se configura para que utilice el agente de retransmisin DHCP, se facilita toda la informacin de configuracin DHCP a los clientes de acceso remoto. Si el agente de retransmisin DHCP no est configurado en el servidor de acceso remoto, los clientes de acceso remoto slo reciben la direccin IP y la mscara de subred facilitada por el servidor DHCP. Interoperabilidad de DNS No puede actualizar manualmente la informacin de nombre de cliente en DNS para clientes que tienen direcciones IP asignadas dinmicamente. Al instalar el servicio de servidor DHCP de Windows Server 2003, puede configurar el servidor DHCP para que realice actualizaciones en nombre de sus clientes DHCP en todos los servidores DNS que admitan actualizaciones dinmicas. Los servidores DHCP configurados para realizar actualizaciones dinmicas de DNS realizan las acciones siguientes:
!

Interoperabilidad del componente Enrutamiento y acceso remoto

Mtodo de interaccin de actualizacin entre DHCP y DNS

El servidor DHCP actualiza los registros A (host) y PTR (puntero) de DNS si lo solicitan los clientes mediante la opcin 81. El servidor DHCP actualiza los registros A y PTR de DNS independientemente de que el cliente haya solicitado esta accin.

Apndice B: Repaso

31

Adems, el servidor DHCP puede actualizar dinmicamente los registros A y PTR de DNS para clientes heredados que no pueden enviar la opcin 81 al servidor. Tambin puede configurar el servidor DHCP para que descarte los registros A y PTR de cliente cuando se elimine la concesin del cliente. Opciones de configuracin del servidor DHCP Al planear la interoperabilidad de DHCP con DNS, debe tener en cuenta cmo debe configurarse el servidor DHCP. Deber incluir varias configuraciones en el plan. Debe realizar las acciones siguientes:
!

Mantener la configuracin predeterminada de registros A y PTR de DNS de actualizacin dinmica nicamente si lo solicitan los clientes DHCP. Los clientes DHCP de Microsoft Windows 2000, Windows XP o Windows Server 2003 registrarn sus propios registros A y solicitarn al servidor DHCP que registre los registros PTR.

Configurar el servidor DHCP para que actualice dinmicamente los registros A y PTR de DNS para clientes heredados. Configurar el servidor DHCP para que descarte los registros A y PTR del cliente cuando se elimine la concesin del cliente (esta es la configuracin predeterminada).

WINS

Debe elegir las opciones de configuracin siguientes para facilitar la interoperacin entre DHCP y WINS:
!

Puede configurar el tipo de opcin 44 para identificar servidores WINS para que los utilicen los clientes DHCP. Puede configurar el tipo de opcin 46 para definir un tipo de nodo WINS/NetBIOS a travs de TCP/IP (NetBT). Una configuracin de nodo H garantizar que los clientes que intenten utilizar un servidor WINS resuelvan primero nombres NetBIOS. Puede configurar la duracin de las concesiones DHCP de forma similar a los intervalos de renovacin de WINS. Si acorta o alarga la duracin de la concesin DHCP, modifique el intervalo de renovacin de WINS en consecuencia para reducir el nmero de registros WINS evitables.

Integracin de Active Directory

Los servidores DHCP no autorizados pueden perturbar el funcionamiento de la red si emiten datos de direcciones IP o de opciones incorrectos a los clientes. La integracin del servicio de servidor DHCP con Active Directory permite autorizar los servidores DHCP en Active Directory. Los servidores DHCP no autorizados basados en Windows Server 2003 no se iniciarn, de forma que se evitar la posibilidad de interferencias en la concesin de direcciones IP en una red. Nota La autorizacin de servidores DHCP en Active Directory slo funciona en servidores DHCP basados en Windows 2000 Server y posterior. Para que la autorizacin funcione, debe instalarse como mnimo un servidor DHCP en un controlador de dominio o servidor de Active Directory.

32

Apndice B: Repaso

Ejercicio prctico: Identificacin de problemas de integracin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo En este ejercicio prctico identificar problemas de integracin de DHCP. Determinar una configuracin de red que satisfaga las necesidades del escenario siguiente.

Windows 2000 Professional Servidor Windows 98

A la red corporativa Enrutador (no compatible con RFC 1542) Modificador Windows NT 4.0

Windows XP Professional

Apndice B: Repaso

33

Instrucciones (opcional)

1. Lea el escenario. 2. Colabore con otro alumno. 3. Idee un plan para satisfacer las necesidades del escenario. 4. Si necesita ms ayuda, consulte: Archivos de ayuda de Windows Server 2003. Disco compacto Material del alumno (los archivos de respuestas). Pasos siguientes del ejercicio prctico. 5. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico.

Escenario

Es un ingeniero de sistemas de la empresa Contoso Ltd. Se le ha pedido que disee una solucin de DHCP para la red de una sucursal. La sucursal tiene 40 equipos que ejecutan Windows 98, Windows XP Professional, Windows 2000 Professional o Microsoft Windows NT 4.0. El enrutador existente no es compatible con las especificaciones de RFC 1542. 1. Si ha decidido ejecutar el servicio de servidor DHCP en el servidor de la sucursal, qu agregara a esta red para que la solucin de DHCP fuera funcional? Un agente de retransmisin DHCP en el modificador. ____________________________________________________________ ____________________________________________________________ 2. Ha decidido ejecutar el servicio DHCP en el servidor de la sucursal. Ha tomado 64 direcciones IP del mbito del servidor corporativo y las ha asignado a un mbito para la sucursal. Qu impedir que el servidor DHCP de la sucursal emita estas direcciones a clientes DHCP en la red corporativa? Los agentes de retransmisin de la red corporativa no incluirn el servidor DHCP de la sucursal como servidor al que se reenviarn mensajes DHCP. ____________________________________________________________ ____________________________________________________________

Ejercicio prctico

34

Apndice B: Repaso

3. Debe elaborar un plan para DNS. El servidor DNS se encuentra en la red corporativa. Qu opciones debe configurar en el mbito DCHP para garantizar que todos los registros A y PTR se actualicen cuando se emita una direccin DHCP y cuando se elimine la concesin? Debe aceptar la configuracin predeterminada de la ficha Propiedades de mbito de DNS, que indica que se actualizarn dinmicamente los registros A y PTR de DNS si lo solicita el cliente, y se descartarn los registros A y PTR cuando se retire la concesin. En clientes Windows 98 y Windows NT 4.0, debe seleccionar Actualizar dinmicamente registros DNS A y PTR para clientes DHCP que no soliciten actualizaciones. ____________________________________________________________ ____________________________________________________________ 4. Puesto que se han instalado clientes heredados en la sucursal, qu otras opciones pueden configurarse en Opciones de mbito? El tipo de opcin de mbito 44, identificar servidores WINS para clientes DHCP, y el tipo de opcin 46, identificar el tipo de nodo WINS/NBT, independientemente de que el cliente utilice primero WINS o si busca el recurso en primer lugar. ____________________________________________________________ ____________________________________________________________

Apndice B: Repaso

35

Leccin: Repaso de WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se repasan los conceptos esenciales de WINS (Servicio de nombres de Internet Microsoft Windows) para afianzar su comprensin del planeamiento y la optimizacin de WINS. Despus de finalizar esta leccin, el alumno podr:
! ! ! ! ! !

Objetivos de la leccin

Comprender los conceptos esenciales sobre WINS Describir los tipos de nodo NetBIOS. Describir el manejo de rfagas. Describir los asociados de replicacin. Describir los registros de WINS. Describir la base de datos de WINS.

36

Apndice B: Repaso

Presentacin multimedia: Resolucin de nombres con clientes WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Ubicacin de los archivos Objetivo Para ver la presentacin multimedia Resolucin de nombres con clientes WINS, abra la pgina Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuacin, haga clic en el ttulo de la presentacin. El objetivo de esta presentacin consiste en explicar cmo los clientes WINS resuelven un nombre NetBIOS en una direccin IP (Protocolo Internet). Aprender a hacer lo siguiente:
! ! !

Explicar la funcionalidad de un servidor WINS en una red enrutada. Identificar el nodo predeterminado para un cliente WINS. Explicar el proceso de utilizacin de un servidor WINS para resolver un nombre NetBIOS en una direccin IP.

Preguntas clave

Cuando vea esta presentacin, deber tener en cuenta las cuestiones siguientes:
!

Cmo simplifican los servidores WINS la resolucin de nombres en una red enrutada? Cul es el tipo de nodo predeterminado para un cliente WINS? Cmo resuelve un cliente WINS nombres NetBIOS en direcciones IP?

! !

Apndice B: Repaso

37

Tipos de nodos NetBIOS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Para que las aplicaciones basadas en NetBIOS puedan ejecutarse a travs de redes TCP/IP, la aplicacin NetBIOS debe poder resolver nombres NetBIOS en direcciones IP. Puede utilizar varias tcnicas para resolver nombres NetBIOS segn el tipo de nodo para el que est configurado el cliente NetBIOS. Los cuatro tipos de nodos NetBIOS son: nodo B, nodo P, nodo M y nodo H.
!

Tipos de nodos NetBIOS

El nodo B (difusin) utiliza consultas de nombre NetBIOS de difusin para el registro y la resolucin de nombres. Si no se ha configurado ningn servidor WINS, este es el nodo predeterminado. El nodo P (punto a punto) utiliza un servidor de nombres NetBIOS (NBNS), como un servidor WINS, para resolver nombres NetBIOS. Este tipo de nodo no utiliza difusin, sino que consulta el servidor de nombres directamente. El nodo M (mixto) es una combinacin de los tipos nodo B y nodo P. De forma predeterminada, un nodo M funciona como un nodo B. Si un nodo M no puede resolver un nombre mediante difusin, consultar a un servidor NBNS utilizando el tipo nodo P. El nodo H (hbrido) es una combinacin de los tipos nodo P y nodo B. De forma predeterminada, un nodo H funciona como un nodo P. Si un nodo H no puede resolver un nombre mediante un servidor NBNS utilizar una difusin para resolverlo.

Nota Para obtener ms informacin sobre tipos de nodo, consulte los documentos RFC (Solicitudes de comentarios) 1001, Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Concepts and Methods y 1002, Protocol Standard for a NetBIOS Service on a TCP/UDP Transport: Detailed Specifications, que encontrar en el disco compacto Material del alumno. Modo WINS predeterminado El tipo nodo H es el tipo de nodo predeterminado que utilizan los clientes de redes de Microsoft cuando se selecciona un servidor WINS en la configuracin del cliente.

38

Apndice B: Repaso

Servidores proxy WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El documento RFC 100 recomienda evitar el uso del mtodo de nodo H para resolver nombres en una red enrutada. Sin embargo, en la prctica, a veces los nodos B son tiles en redes enrutadas, pero a veces no pueden eliminarse ni actualizarse. Por este motivo, Microsoft incluy servidores proxy WINS. Un servidor proxy WINS es un equipo cliente WINS configurado para actuar en nombre de otros equipos host que no pueden utilizar WINS directamente. Un servidor proxy WINS es un equipo preparado para funcionar con WINS que ayuda a resolver consultas de nombres para equipos no preparados para WINS en redes TCP/IP enrutadas. De forma predeterminada, la mayora de los equipos no puede utilizar WINS para difusiones para resolver consultas de nombres NetBIOS y registrar sus nombres NetBIOS en la red. Puede configurar un servidor proxy WINS para que se mantenga a la escucha en nombre de estos equipos y consulte a WINS nombres no resueltos mediante la difusin. Los servidores proxy WINS slo son tiles o necesarios en redes que incluyen clientes NetBIOS de slo difusin (o nodos B). En la mayora de las redes, los clientes preparados para WINS son habituales y los servidores proxy WINS no suelen ser necesarios. Los servidores proxy WINS son equipos preparados para WINS que se mantienen a la escucha para funciones de servicio de nombres NetBIOS de nodo B (registro, liberacin y consulta de nombres). Pueden responder en relacin con nombres que no son remotos y que no se utilizan en la red local. Los servidores proxy se comunican directamente con un servidor WINS para recuperar la informacin necesaria para responder a estas difusiones locales.

Qu es un servidor proxy WINS?

Apndice B: Repaso

39

Uso de los servidores proxy WINS

El servidor proxy WINS compara la mscara de subred de todo nombre que resuelve con su propia mscara de subred. Si ambas son idnticas, el servidor proxy WINS no responde a la consulta del nombre. Los servidores proxy WINS se utilizan de las siguientes maneras:
!

Cuando un cliente de nodo B registra su nombre, el servidor proxy comprueba el nombre en la base de datos del servidor WINS. Si el nombre existe en la base de datos WINS, el servidor proxy puede devolver una respuesta de registro negativo al cliente del nodo B que intenta registrar el nombre. Si el servidor proxy WINS no encuentra el nombre en la tabla de nombres remotos, consulta al servidor WINS y, a continuacin, especifica el nombre en la base de datos del servidor proxy WINS con estado de resolucin en curso. Si el proxy WINS recibe una consulta sobre el mismo nombre antes de que el servidor WINS responda, el servidor proxy WINS no vuelve a consultar al servidor WINS. Cuando el servidor proxy WINS recibe la respuesta del servidor WINS, el servidor proxy WINS actualiza la entrada de la tabla remota con la direccin correcta y establece su estado en resuelto.

Cuando un cliente de nodo B libera su nombre, el servidor proxy suprime el nombre del cliente de la cach de nombres remotos. Cuando un cliente de nodo B enva una consulta de nombre, el servidor proxy intenta resolver el nombre con la informacin que contenga su cach local de nombres remotos o con la informacin que obtenga del servidor WINS.

Nota El comportamiento de un cliente de nodo B no cambia cuando se agrega un servidor proxy WINS a la subred local. Si la primera consulta de resolucin de nombre supera el tiempo de espera, el cliente lo vuelve a intentar. Si el servidor proxy WINS tiene la respuesta en la cach en el momento en que intercepta la nueva consulta, el servidor proxy WINS responde al equipo host.

40

Apndice B: Repaso

Manejo de rfagas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En determinados momentos del da, los servidores WINS pueden sufrir una sobrecarga de registros; por ejemplo, cuando los usuarios inician sus equipos al principio de la jornada o despus de un error de la red. Ahora los servidores WINS admiten estas cargas de servidor de gran volumen, llamadas rfagas. Las rfagas se producen cuando muchos clientes WINS intentan registrar sus nombres locales en WINS al mismo tiempo. Por ejemplo, cuando se restaura la alimentacin despus de una anomala en el suministro, muchos usuarios reinician sus equipos y registran sus nombres en la red al mismo tiempo, lo que crea un gran volumen de trfico WINS. Con el modo de rfaga, los servidores WINS pueden responder de forma expeditiva a estas peticiones de clientes, incluso antes de que realmente procesen y graben fsicamente las actualizaciones en la base de datos del servidor WINS. El modo de rfaga utiliza un tamao de cola de rfaga como valor de umbral. Este valor determina cuntas peticiones de registro y actualizacin de nombres enviadas por clientes WINS se procesan normalmente antes de que se inicie el manejo en modo de rfaga. El valor de cola de rfaga predeterminado es 500. Un servidor WINS inicia un manejo de rfagas cada vez que el nmero de registros de clientes WINS en la cola supera el umbral de la cola de rfagas. De forma predeterminada, cuando las peticiones de la cola de registro pasan de 500, un servidor WINS empieza a responder expeditivamente a las nuevas peticiones de registro con un tiempo de vida (TTL) menor (de 5 a 50 minutos). La concesin de un TTL corto obliga a estos clientes WINS a volverse a registrar una vez que haya remitido el exceso de trfico de registro WINS.

Manejo de rfagas

Registro de nombres en modo de rfaga

Apndice B: Repaso

41

Funcionamiento del manejo de rfagas

En el proceso de manejo de rfagas, el servidor WINS responde inmediatamente a peticiones adicionales de clientes con una respuesta expeditiva. Esta respuesta incluye varios valores de TTL para los clientes, lo que contribuye a regular la carga de registro de los clientes y a distribuir el proceso de las peticiones con el tiempo. As, la velocidad de las actualizaciones y los reintentos se ralentiza para los nuevos clientes WINS, y se regula la rfaga del trfico de clientes WINS. Por ejemplo, si el tamao de la cola de rfaga es de 500 entradas y hay ms de 500 peticiones activas, el servidor WINS responde inmediatamente a las 100 siguientes peticiones de registro WINS enviando respuestas rpidas de proceso correcto con un valor inicial de TTL de 5 minutos. Por cada grupo adicional de 100 peticiones de clientes, el servidor WINS agrega 5 minutos ms al TTL, hasta un mximo de 50 minutos. Si el trfico de clientes WINS todava presenta niveles de rfaga, el servidor WINS responde a las siguientes 100 peticiones de clientes con el valor inicial de TTL, 5 minutos, y repite todo el proceso de incremento del TTL de respuesta. Puede modificar el tamao de la cola de rfaga en las propiedades del servidor WINS del complemento MMC de WINS. El valor predeterminado de 500 corresponde al valor Medio en la interfaz de usuario. Puede asignarle un valor bajo (300), alto (1.000) o personalizado.

Ejemplo

Modificacin del manejo de rfagas

42

Apndice B: Repaso

Registros de WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puesto que un cliente WINS de Microsoft puede registrar ms de un nombre, cada nombre o grupo necesita disponer de un identificador exclusivo. Cada registro WINS es un registro de nombre NetBIOS para un nombre o grupo exclusivo. Todos los sistemas operativos de Microsoft que admiten y utilizan nombres NetBIOS permiten al usuario especificar los primeros 15 caracteres de un nombre. Los clientes de Microsoft utilizan el decimosexto carcter del nombre (00FF hex) para indicar un tipo de recurso. Los nombres NetBIOS exclusivos representan el nombre de sistema de un equipo. Slo un equipo puede registrar este nombre. Todo intento por parte de un equipo diferente de registrar el mismo nombre provocar un conflicto de nombres. Los nombres de grupos NetBIOS pueden registrarlos varios equipos. Esto resulta ventajoso porque varios clientes pueden registrar este nombre. Nota Para obtener informacin adicional sobre nombres NetBIOS, busque referencia de nombres NetBIOS en la Ayuda de Microsoft Windows Server 2003. Por qu son importantes los registros WINS? Cmo se utilizan los nombres NetBIOS? Los clientes WINS registran registros WINS para indicar los nombres de equipos y de grupo con los que estn asociados. El decimosexto carcter identifica el servicio con el que est asociado el nombre. Los clientes y servidores NetBIOS utilizan nombres NetBIOS para identificar el nombre y los servicios asociados a un equipo determinado. En lugar de usar una direccin IP para identificar un equipo o servicio, NetBIOS utiliza un nombre sencillo como identificacin. Por ejemplo, un cliente NetBIOS que deseara conectarse a un servidor de archivos Windows denominado Servidor1 consultara al servidor WINS el nombre Servidor1[20h].

Definicin

Nombres NetBIOS exclusivos

Nombres de grupos NetBIOS

Ejemplo

Apndice B: Repaso

43

Replicacin de WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si la red utiliza varios servidores WINS, puede configurarlos para que repliquen registros en sus bases de datos para otros servidores. Para ello, primero deber definir y configurar asociados de replicacin. Puede elegir entre tres tipos de asociados de replicacin: asociados de extraccin, asociados de insercin y asociados de insercin/extraccin. Varios servidores WINS distribuyen el servicio de nombres NetBIOS a travs de los entornos de red de rea local (LAN) y de red de rea extensa (WAN) y limitan el trfico de clientes WINS a reas localizadas. Para garantizar una resolucin de nombres coherente en toda la red, los servidores WINS deben replicar sus entradas adquiridas localmente para los asociados configurados. Para que se produzca la replicacin, debe configurar cada servidor WINS con un asociado de replicacin como mnimo. Cuando configura un asociado de replicacin para un servidor WINS, puede especificar el asociado como asociado de extraccin, de insercin o de insercin/extraccin en el proceso de replicacin. Asociados de replicacin de WINS Un asociado de extraccin extrae, u obtiene, las entradas de base de datos de su asociado de replicacin. Para extraer entradas nuevas de la base de datos WINS, el asociado de extraccin solicita entradas con un nmero de versin mayor que la ltima entrada recibida durante la ltima replicacin de ese asociado de insercin. Un asociado de insercin inserta, o enva, mensajes de notificacin de actualizacin a sus asociados cuando la base de datos cambia. Cuando los asociados de insercin responden al mensaje con una peticin de replicacin, el asociado de replicacin enva una copia de las nuevas entradas de la base de datos WINS a los asociados de extraccin.

Replicacin de WINS

44

Apndice B: Repaso

Un asociado de insercin/extraccin realiza ambas funciones con un asociado de replicacin. Siempre es recomendable que los asociados de replicacin sean de insercin y extraccin los unos de los otros. Los servidores WINS primario y de reserva deben ser de insercin y extraccin el uno del otro para garantizar la coherencia en las bases de datos primaria y de copia de seguridad. Ejemplo En este ejemplo, supongamos lo siguiente:
! !

HostA en SubredA se registra en el servidor WINSA en SubredA. HostB en SubredB se registra en el servidor WINSB en SubredB.

Se produce la replicacin de WINS y cada servidor WINS actualiza su base de datos con la nueva entrada de la base de datos del otro servidor. Como consecuencia de esta replicacin, ahora los dos servidores WINS disponen de informacin sobre los dos hosts, y HostA y HostB pueden resolver los nombres mutuamente ponindose en contacto con sus servidores WINS locales. Notificacin a asociados El asociado de extraccin puede notificar a los asociados de insercin que es necesaria la replicacin mediante uno de los mtodos siguientes:
!

Un intervalo de tiempo arbitrario configurado por el administrador de WINS. La replicacin inmediata, que inicia el administrador de WINS con la herramienta Administrador de WINS.

El asociado de insercin puede notificar a los asociados de extraccin los requisitos de replicacin con uno de los mtodos siguientes:
!

Un nmero arbitrario de actualizaciones de WINS (recuento de actualizaciones) configurado por el administrador de WINS. La replicacin inmediata, que inicia el administrador de WINS con la herramienta Administrador de WINS.

Modificacin del recuento de actualizaciones

Si modifica el recuento de actualizaciones mediante la herramienta Administrador de WINS, puede abrir el cuadro de dilogo Configuracin del servidor WINS y hacer clic en el botn Aceptar. El nuevo valor entrar en vigor inmediatamente.

Apndice B: Repaso

45

Base de datos WINS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La base de datos WINS forma parte integral del servicio WINS. Los servidores WINS mantienen bases de datos de asignaciones de nombres y direcciones IP de recursos estticos y dinmicos para facilitar una resolucin de nombres eficiente. Es importante mantener la coherencia de los registros de la base de datos. Esto har que los servidores WINS estn actualizados. La base de datos WINS almacena y replica las asignaciones entre nombres NetBIOS y direcciones IP de una red. En la familia Windows Server 2003, la base de datos WINS utiliza ESE (Motor de almacenamiento extensible), la misma tecnologa de motor de base de datos de rendimiento mejorado que se utiliza en el servicio de directorio Active Directory. Puede realizar varias tareas administrativas en una base de datos WINS, incluidas las siguientes:
! ! ! !

Base de datos WINS

Comprobar la coherencia. Definir su ruta de acceso. Realizar una copia de seguridad de la base de datos y restaurarla. Limpiarla.

Nota Para obtener informacin adicional sobre estas tareas administrativas, consulte administracin de bases de datos WINS en la Ayuda de Windows Server 2003.

46

Apndice B: Repaso

Intervalos de registros

Los registros de la base de datos WINS se rigen con cuatro valores de temporizacin configurables:
!

Intervalo de renovacin Tambin se denomina tiempo de espera de actualizacin de nombres o tiempo de vida (TTL).

Intervalo de extincin Tambin se denomina tiempo de espera de antigedad de nombre o intervalo de desechado.

Tiempo de espera de extincin Tambin se denomina tiempo de espera de desechado. Los registros extinguidos (o desechados) que son ms antiguos que el tiempo de espera de extincin se eliminan de la base de datos.

Intervalo de comprobacin El intervalo de comprobacin de WINS especifica el perodo de tiempo tras el cual el servidor WINS debe comprobar que los nombres antiguos que no posee todava estn activos.

Microsoft ha elegido cuidadosamente los valores predeterminados para estos valores; por lo general, no deberan modificarse. Los valores predeterminados minimizan el nivel de trfico de red y la carga en servidores WINS. Dadas las diferentes configuraciones en las que pueden implantarse servidores WINS, los valores predeterminados representan el equilibrio ms aceptable entre la consecucin de estos objetivos y la reduccin del perodo de tiempo durante el cual las bases de datos no estn sincronizadas. A la hora de determinar estos intervalos, Microsoft tuvo en cuenta consideraciones tales como largos fines de semana festivos, evitar trfico de replicacin innecesario, la capacidad de manejar rpidamente un gran nmero de clientes cuando convenga y el equilibrio entre organizar rpidamente las entradas y retenerlas para garantizar la replicacin. Reloj del sistema Los algoritmos de replicacin y limpieza dependen de un reloj del sistema que sea razonablemente coherente. Naturalmente, adelantar o retrasar el reloj del sistema afectar a estos algoritmos. Sin embargo, puesto que la marca de tiempo siempre se especifica localmente, los servidores WINS no necesitan tener los relojes sincronizados. El tiempo slo debe ser coherente en cada servidor. Comprobar la coherencia de la base de datos WINS contribuye a mantener su integridad entre servidores WINS en redes de gran tamao. Cuando se inicia la comprobacin de la coherencia en la consola WINS, todos los registros se comprueban en funcin de los propietarios que aparecen en la base de datos del servidor actual, incluidos otros servidores WINS que son asociados de replicacin indirectos (no estn configurados directamente).

Coherencia de la base de datos WINS

Apndice B: Repaso

47

Leccin: Repaso de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Antes de planear una implementacin de IPSec (Seguridad del protocolo Internet), debe comprender los componentes bsicos de IPSec. En esta leccin, aprender cmo IPSec puede ayudarle a reducir las amenazas de seguridad de los datos. Adems, la leccin describe cmo implementar IPSec en una empresa, cmo integrar IPSec en el servicio de directorio Active Directory y el impacto de la implementacin de IPSec en los equipos de la empresa. Despus de finalizar esta leccin, el alumno podr:
! ! ! !

Objetivos

Identificar los mtodos de autenticacin IPSec. Comprender cmo implementar IPSec. Describir IPSec. Describir la incidencia de IPSec en una empresa.

48

Apndice B: Repaso

Puntos dbiles

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Un paso esencial para garantizar la seguridad de los datos es comprender los diferentes puntos dbiles que presenta el entorno. Antes de tomar medidas para reducir los riesgos a los que se enfrenta, debe tener en cuenta los puntos dbiles y las amenazas que pueden aprovecharse de ellos. Existen muchos tipos de puntos dbiles; IPSec no contempla algunos de ellos. Sin embargo, es importante tener en cuenta estos puntos dbiles. Un punto dbil es un punto en el que un recurso est expuesto a ataques. Un punto dbil tambin puede concebirse como una deficiencia. Un sistema no seguro puede permitir el intercambio de informacin y la comprobacin de identidades mientras toda esta informacin queda expuesta a su interpretacin por parte de un intruso. Los datos enviados desde un sistema no seguro pueden descifrarse y no requerir comprobacin, lo que permite al intruso leerlos o modificarlos sin que sea detectado. La amenaza de un intruso no autorizado es uno de los problemas de seguridad ms importantes a los que se enfrentan las empresas actualmente. Algunas de las amenazas de seguridad ms graves tienen su origen en Internet. Los piratas informticos experimentados utilizan Internet como puerta de entrada a equipos de todo el mundo. Un sistema no seguro puede permitir el envo y la recepcin de paquetes de una direccin o un puerto de origen o destino, lo que brinda a los atacantes una oportunidad de enviar datos malintencionados al sistema. Si los datos no se filtran adecuadamente, el sistema y los datos se exponen a atacantes que saben cmo aprovechar los servicios y las aplicaciones de su sistema.

Qu es un punto dbil? Transferencia de datos sin cifrar

Seguridad deficiente en conexiones de Internet

Apndice B: Repaso

49

Contraseas simples

Uno de los mtodos ms sencillos que utilizan las personas para obtener acceso a datos es mediante contraseas simples. Las contraseas que pueden averiguarse fcilmente expondrn el sistema a atacantes que saben cmo utilizar software de averiguacin de contraseas fcil de conseguir. Incluso las contraseas complejas pueden llegar a averiguarse. Los certificados de clave pblica pueden proporcionar un mecanismo de autenticacin alternativo. Los puntos dbiles aqu tratados son los ms habituales a los que se enfrentan las empresas. Sin embargo, debe tener en cuenta muchos otros puntos dbiles, como ingeniera social, software sin niveles de revisin y hardware y software configurado incorrectamente, que pueden exponer sus datos a ataques. Nota Para ver la lista de los principales 20 puntos dbiles de seguridad elaborada por el SANS (SysAdmin, Audit, Network, Security) Institute y el FBI (Oficina federal de investigacin), visite el sitio http://www.sans.org/top20.htm.

Otros puntos dbiles

50

Apndice B: Repaso

Anlisis de las amenazas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Como ingeniero de sistemas, debe proteger los activos de la empresa frente a amenazas que pretendan aprovechar los puntos dbiles del entorno de TI. Puede tomar muchas medidas para que la organizacin sea ms segura. Debe decidir cules de estas medidas son las ms apropiadas para las necesidades de la organizacin. Una amenaza es alguien o algo que puede obtener acceso a los recursos y provocar daos. Determinar con exactitud las amenazas que suponen ms riesgos depende de los puntos dbiles del entorno. El anlisis de las amenazas es el proceso de examinar las amenazas presentes y la probabilidad de que ocurran. Un anlisis exhaustivo de las amenazas permite tomar decisiones fundamentadas sobre cmo reducir los riesgos a los que se enfrenta. Las amenazas pueden adoptar muchas formas. En la tabla siguiente se muestran ejemplos de varios tipos de amenazas.
Tipos de amenazas Naturales y fsicas Accidentales Intencionadas Ejemplo Incendios, inundaciones, viento, terremotos, anomalas en el suministro elctrico Empleados no cualificados, clientes mal informados Ataques, terrorismo, espionaje industrial, gobiernos, cdigo malintencionado

Qu es una amenaza?

Identificacin de amenazas potenciales

Debe otorgar prioridades a cada amenaza que identifique de acuerdo con la probabilidad de que ocurra y la gravedad de los daos que podra causar. Al determinar la probabilidad de una amenaza, debe considerar el esfuerzo, el costo y el tiempo necesario para crear la amenaza; cuantos ms esfuerzos y gastos requiera una amenaza, menos probable ser de que ocurra. Un modo efectivo de determinar esto consiste en asignar a cada amenaza potencial un nmero del 1 al 10, siendo 1 la probabilidad mayor y 10 la probabilidad menor.

Apndice B: Repaso

51

Una vez que haya determinado la probabilidad de que ocurra una amenaza, debe estimar los daos que se produciran si los datos quedaran expuestos a ella. Puede asignar a cada amenaza un nmero del 1 al 10, siendo 1 los daos ms leves y 10 los daos ms graves. Si combina estas estimaciones, puede calcular el nivel de una amenaza, que ofrece una indicacin del problema que supone una amenaza. Para ello, divida el nmero que representa el dao por el nmero que representa la probabilidad para determinar el factor de riesgo, como se muestra en el siguiente ejemplo. Despus de realizar esta determinacin, asegrese de corregir primero el caso con el factor de riesgo ms alto. Ejemplo Supongamos que ha identificado dos amenazas potenciales para su empresa:
!

Se considera que la amenaza A es la que puede causar mayores daos (daos = 10), pero es muy poco probable que ocurra (probabilidad = 10), de modo que el nivel de amenaza es 1 (10/10 = 1). Se considera que la amenaza B puede causar muchos daos (daos = 8) y es bastante probable que ocurra (probabilidad = 3), de modo que el nivel de amenaza es 2,67 (8/3 = 2,67).

Por lo tanto, primero corregira la amenaza B, porque tiene un nivel de amenaza mayor.

52

Apndice B: Repaso

Qu es IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Una vez que haya identificado amenazas potenciales para sus datos y haya determinado el orden de prioridad para solucionarlas, debe reducir estas amenazas. Puede utilizar IPSec para reducir muchas amenazas que haya identificado durante el anlisis de las amenazas. IPSec (Seguridad de protocolo Internet) es un conjunto de extensiones de la familia de protocolos IP (Protocolo Internet). Proporciona servicios de seguridad de cifrado que permiten la autenticacin, la integridad, el control de acceso y la confidencialidad. IPSec proporciona servicios similares a los de SSL (Capa de sockets seguros) pero en la capa de red, de tal forma que es completamente transparente para las aplicaciones y mucho ms eficaz. Esto se debe a que las aplicaciones no necesitan conocer IPSec para utilizarlo. Puede crear tneles cifrados (redes virtuales privadas o VPN) o simplemente realizar el cifrado entre equipos. La gran variedad de opciones que ofrece IPSec hace que sea mucho ms complejo que SSL. Nota Las implementaciones de IPSec de Windows 2000, Windows XP y la familia Windows Server 2003 se basan en estndares desarrollados por el grupo de trabajo IEFT (Internet Engineering Task Force) de IPSec. Las partes referentes a servicios relacionados con IPSec las desarrollaron conjuntamente Microsoft y Cisco Systems, Inc.

Definicin

Apndice B: Repaso

53

Objetivos de IPSec

IPSec utiliza servicios de proteccin por medio de cifrado, protocolos de seguridad y administracin de claves dinmicas para lograr dos objetivos:
! !

Proteger el contenido de los paquetes IP. Proporcionar defensas frente a ataques de la red mediante el filtrado de paquetes y el refuerzo de comunicaciones de confianza.

IPSec proporciona potencia y flexibilidad para proteger las comunicaciones entre equipos de redes privadas, dominios, sitios, ubicaciones remotas, extranets y clientes de acceso telefnico. Puede utilizarse incluso para bloquear la recepcin o la transmisin de determinados tipos de trfico. Cmo funciona IPSec IPSec se basa en un modelo de seguridad de un extremo a otro que establece confianza y seguridad entre una direccin IP de origen y una direccin IP de destino. La direccin IP no se considera necesariamente una identidad, sino que es la identidad del sistema al que pertenece la direccin IP la que se valida por medio de un proceso de autenticacin. Slo los equipos emisores y receptores deben saber que el trfico se somete a medidas de seguridad. Cada equipo administra la seguridad en su extremo respectivo, y se da por supuesto que el medio a travs del cual se produce la comunicacin no es seguro. No es necesario que los equipos que nicamente enrutan los datos del origen al destino sean compatibles con IPSec, a menos que se produzca el filtrado de paquetes al estilo de un servidor de seguridad o la traduccin de direcciones de red (NAT) entre los dos equipos. Este modelo permite implementar correctamente IPSec en los escenarios empresariales siguientes:
! !

Red de rea local (LAN): cliente/servidor y de igual a igual. Red de rea extensa (WAN): entre enrutadores y entre puertas de enlace a travs de tneles IPSec. Acceso remoto: clientes de acceso telefnico y acceso a Internet desde redes privadas.

Modo de tnel IPSec Modo de transporte IPSec

Cuando se utiliza el modo de tnel IPSec, IPSec cifra el encabezado IP y la carga. El modo de tnel proporciona proteccin para un paquete IP completo. El modo de transporte es el modo predeterminado para IPSec y se utiliza en comunicaciones de un extremo a otro. Cuando se utiliza el modo de transporte, IPSec slo cifra la carga IP. El modo de transporte proporciona proteccin para una carga IP. Las cargas IP tpicas son segmentos TCP (Protocolo de control de transporte), un mensaje UDP (Protocolo de datagrama de usuario) y un mensaje ICMP (Protocolo de mensajes de control de Internet). Generalmente, tanto el extremo emisor como el extremo receptor en una comunicacin requieren la configuracin de IPSec (llamada directiva IPSec) para establecer opciones y valores de seguridad que permitan a los dos sistemas consensuar un modo de proporcionar seguridad al trfico entre ellos. Utilice IPSec cuando desee garantizar la seguridad de los datos de alguna de las siguientes maneras:
! ! ! !

Configuracin de IPSec

Situaciones de uso de IPSec

Cifrado de datos Integridad de datos Autenticacin mutua Filtrado de paquetes

54

Apndice B: Repaso

Caractersticas de IPSec en Microsoft

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La implementacin de IPSec de Microsoft proporciona comunicaciones seguras por un bajo costo de propiedad. Adems, la familia Microsoft Windows Server 2003 implementa IPSec mediante caractersticas compatibles especficas. Si bien la siguiente lista de caractersticas no es exhaustiva, destaca cmo Microsoft ha simplificado la implantacin de IPSec. Puede asignar directivas IPSec mediante la configuracin de directiva de grupo para dominios y unidades organizativas de Active Directory. Esto permite asignar la directiva IPSec en el sitio, en el dominio o en la unidad organizativa, con lo que se eliminan las tareas administrativas necesarias para configurar cada equipo por separado. En general, el uso de directiva de grupo en Active Directory o localmente facilita la configuracin, la implementacin y la administracin. Ahora, los paquetes ESP (Carga de seguridad encapsuladora) de IPSec pueden transmitirse a travs de un dispositivo NAT que admita trfico UDP. El protocolo IKE (Intercambio de claves de Internet) detecta automticamente la presencia de un dispositivo NAT y utiliza la encapsulacin UDPESP para que el trfico IPSec pueda transmitirse a travs del dispositivo NAT. Las funciones de IPSec a travs de un dispositivo NAT permiten establecer comunicaciones con seguridad IPSec en los siguientes escenarios de implantacin habituales:
!

Administracin de la configuracin basada en directivas

Funciones de IPSec a travs de NAT

Con el modo de transporte ESP de IPSec, los clientes de VPN de L2TP (Protocolo de tnel de capa dos)/IPSec que se encuentran al otro lado de dispositivos NAT pueden establecer conexiones de seguridad IPSec con la red corporativa a travs de Internet. Los servidores que ejecutan el componente Enrutamiento y acceso remoto pueden establecer tneles IPSec entre puertas de enlace cuando uno de los servidores que ejecuta el componente Enrutamiento y acceso remoto se encuentra al otro lado de un dispositivo NAT.

Apndice B: Repaso
!

55

Con el modo de transporte ESP de IPSec, los clientes y los servidores pueden enviar paquetes TCP y UDP con seguridad IPSec a otros clientes o servidores cuando uno o ambos equipos se encuentran al otro lado de un dispositivo NAT.

Asignacin de certificados a cuentas de IPSec para el control del acceso a red

Si utiliza Kerberos versin 5 (Kerberos V5) o la autenticacin por certificado, puede establecer restricciones en relacin con los equipos autorizados a conectarse. Esta funcin permite utilizar IPSec para autorizar o denegar los siguientes tipos de acceso a un servidor:
!

Equipos que pertenecen a un dominio especfico. Cuando activa la asignacin de certificados a cuentas en IPSec, el protocolo IKE asocia (asigna) el certificado de un equipo a una cuenta de equipo en un dominio o bosque de Active Directory y, a continuacin, recupera un testigo de acceso, que incluye la lista de derechos de usuario asignados al equipo.

Equipos que poseen un certificado de una entidad emisora de certificados especfica Un equipo o un grupo de equipos especfico Para limitar el acceso, defina la configuracin de seguridad de la directiva de grupo y asigne el derecho de usuario Tener acceso a este equipo desde la red o Denegar el acceso desde la red a este equipo a uno o varios equipos, segn convenga.

Exenciones de trfico predeterminadas

La familia Windows Server 2003 aumenta notablemente la seguridad mediante la exencin del trfico IKE (necesario para establecer una comunicacin con seguridad IPSec) del filtrado IPSec. Los dems tipos de trfico se comparan ahora con los filtros IPSec, y puede configurar, bloquear o permitir acciones de filtrado especficamente para trfico de multidifusin y de difusin. IPSec no negocia asociaciones de seguridad para trfico de multidifusin y de difusin. Con el uso de comandos en el contexto IPSec de Netsh, puede definir configuraciones de modo principal IPSec esttico o dinmico, configuraciones de modo rpidas, reglas y parmetros de configuracin. Puede utilizar esta caracterstica para crear scripts y automatizar la configuracin de IPSec. Esta caracterstica slo est disponible en la familia Windows Server 2003. El contexto IPSec de Netsh sustituye la herramienta Ipsecpol.exe que se proporcionaba con el kit de recursos de Windows 2000 Server. Para mejorar la seguridad, IPSec proporciona ahora el filtrado con estado del trfico de red durante el inicio de los equipos. Con el filtrado con estado, slo se permite el trfico siguiente durante el inicio del equipo:
! ! !

Administracin por lnea de comandos con Netsh

Seguridad durante el inicio de los equipos

El trfico de salida que el equipo genera durante el inicio. El trfico de entrada que se enva en respuesta al trfico de salida. El trfico DHCP (Protocolo de configuracin dinmica de host).

Tambin puede especificar los tipos de trfico que desea excluir del filtrado de IPSec durante el inicio del equipo. Nota Esta caracterstica no puede configurarse en la consola Administracin de directivas de seguridad IP. Para configurarla, debe utilizar la herramienta de lnea de comandos IPSec de Netsh.

56

Apndice B: Repaso

Directiva persistente para una seguridad mejorada

Ahora puede crear y asignar una directiva IPSec persistente para garantizar la seguridad de un equipo si no es posible aplicar una directiva IPSec local o una directiva IPSec basada en Active Directory. Cuando se crea y se asigna una directiva persistente, se aplica antes que una directiva local o una directiva basada en Active Directory, y permanece en vigor independientemente de si se aplica la directiva local o la directiva basada en Active Directory. Nota Esta caracterstica no puede configurarse en la consola Administracin de directivas de seguridad IP. Para configurarla, debe utilizar la herramienta de lnea de comandos IPSec de Netsh.

Apndice B: Repaso

57

Ventajas e inconvenientes de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Cuando empiece a estudiar IPSec como solucin de seguridad para su empresa, deber identificar las ventajas que IPSec puede reportar. Tambin deber tener en cuenta algunos posibles inconvenientes. A la hora de determinar si la empresa puede beneficiarse del uso de IPSec, tenga en cuenta las ventajas siguientes:
!

Ventajas de IPSec

Autenticacin, confidencialidad e integridad de los datos Los algoritmos simtricos y asimtricos de alta seguridad bloquean muchos mtodos de ataque de intercepcin. Los controles de seguridad que implementan la confidencialidad impiden el acceso no autorizado a los datos durante los intercambios. Los encabezados y las variaciones de autenticacin IP del cdigo de autenticacin de mensajes hash (HMAC) garantizan la integridad de los datos durante el intercambio de informacin.

Protocolos y directivas de seguridad flexibles Estas directivas pueden implementarse mediante los complementos de Microsoft Management Console (MMC) fciles de usar.

Transparencia para usuarios y aplicaciones IPSec es invisible tanto para las aplicaciones como para los usuarios e interviene a travs de la capa de red IP sin la intervencin del usuario.

Creacin dinmica de nuevas claves La creacin dinmica de nuevas claves durante los intercambios a travs de conductos de sesin sin garantas de seguridad impide la mayora de los mtodos de ataque de intercepcin y suplantacin de identidad.

58

Apndice B: Repaso
!

Vnculos seguros de un extremo a otro Se proporcionan vnculos seguros de un extremo a otro para usuarios de redes privadas dentro o ms all de los lmites de la empresa, lo que puede evitar muchos ataques comunes, como la intercepcin por terceros y los ataques mediante reproduccin.

Implementacin sencilla y administracin centralizada Los filtros y las directivas de seguridad proporcionan niveles de seguridad adecuados y reducen la actividad administrativa y el costo total de propiedad.

Escalabilidad IPSec es una solucin escalable que funciona en entornos de cualquier tamao.

Inconvenientes de IPSec

A la hora de decidir si debe utilizarse IPSec tambin debe tener en cuenta los siguientes inconvenientes:
!

Actividad administrativa IPSec requiere personas con conocimientos suficientes sobre IPSec para planear, configurar, modificar y asignar directivas IPSec.

Aumento de los requisitos de rendimiento IPSec utiliza funciones de cifrado sofisticadas que pueden necesitar tiempo adicional en las unidades centrales de procesamiento (CPU). Algunos adaptadores de red pueden realizar estos clculos sin implicar la CPU del equipo principal.

Soporte tcnico IPSec requiere que la empresa disponga de personal que pueda proporcionar asistencia para esta tecnologa y solucionar los problemas que puedan surgir en IPSec.

Administracin de directivas IPSec requiere que la empresa disponga de un plan de directiva de grupo y de personal de soporte. Adems, la empresa debe contar con una infraestructura de Active Directory para admitir las directivas definidas para sitios, dominios o unidades organizativas.

Necesidad de la infraestructura de clave pblica (PKI) para admitir IPSec En un entorno que no sea Active Directory, necesitar una PKI o un conjunto de procedimientos para obtener certificados para cada equipo con una directiva IPSec asignada.

Configuracin de directiva local En un entorno que no sea Active Directory, deber determinar cmo se implantar la directiva de equipos locales en cada equipo con una directiva IPSec asignada.

Apndice B: Repaso

59

Servicios de seguridad IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin IPSec proporciona un grado elevado de seguridad mediante servicios basados en cifrado. Para garantizar la seguridad de la informacin, se utiliza una combinacin de un algoritmo y una clave. El algoritmo es el proceso matemtico mediante el cual se confiere seguridad a la informacin. La clave es el cdigo o nmero secreto necesario para proporcionar seguridad a los datos, leerlos, modificarlos o comprobarlos. IPSec proporciona o utiliza los servicios de seguridad siguientes. Los servicios IKE intercambian y administran dinmicamente claves de cifrado entre equipos en comunicacin. Los servicios IKE negocian dinmicamente un conjunto comn de valores de seguridad entre equipos en comunicacin, con lo que se elimina la necesidad de que ambos equipos tengan directivas configuradas idnticamente. IPSec admite el uso de certificados de clave pblica para la autenticacin. Esto posibilita la confianza y una comunicacin segura para:
!

Administracin automtica de claves Negociacin de seguridad automtica Compatibilidad con PKI

Equipos que no pertenecen a un dominio de confianza Windows 2000 o Windows Server 2003. Equipos que ejecutan sistemas operativos que no son Microsoft. Equipos que pertenecen a dominios que no son de confianza. Casos en los que el acceso de los equipos debe limitarse a un grupo ms reducido de lo que permite la autenticacin de dominio.

! ! !

60

Apndice B: Repaso

Compatibilidad con claves previamente compartidas

IPSec puede utilizar claves previamente compartidas para la autenticacin. Previamente compartidas significa que las partes acuerdan una clave secreta compartida que se utilizar para la autenticacin en una directiva IPSec. Sin embargo, el uso de una clave previamente compartida no se recomienda porque es un mtodo de autenticacin que presenta ciertas deficiencias. En Active Directory, las claves previamente compartidas se almacenan en formato hexadecimal legible, y un usuario autorizado puede obtener acceso a ellas. Si no es posible la autenticacin mediante el protocolo Kerberos V5 o certificados de clave pblica, puede configurar una clave de autenticacin previamente compartida. Importante Se recomienda utilizar claves previamente compartidas slo para fines de comprobacin y utilizar certificados o Kerberos V5 en un entorno de produccin.

Apndice B: Repaso

61

Mtodos de autenticacin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Autenticacin de Kerberos V5 Existen tres mtodos principales de autenticacin para IPSec. El mtodo de autenticacin predeterminado es Kerberos V5. Kerberos V5 es el protocolo de seguridad principal para la autenticacin en un dominio. El protocolo Kerberos V5 comprueba tanto la identidad del usuario como los servicios de la red. Esta comprobacin doble tambin se conoce como autenticacin mutua. Nota Para obtener informacin adicional sobre el mtodo de autenticacin Kerberos V5, visite el sitio: http://www.microsoft.com/windowsserver2003/techinfo/reskit/ resourcekit.mspx Informacin general sobre Kerberos V5 El mecanismo de autenticacin Kerberos V5 emite tquets para obtener acceso a servicios de red. Estos tquets contienen datos cifrados, incluida una contrasea cifrada, que confirma al servicio solicitado la identidad del usuario. Todo el proceso de autenticacin es invisible para el usuario, salvo cuando debe especificarse una contrasea o las credenciales de una tarjeta inteligente. En un entorno de Active Directory, los servicios de Kerberos V5 se instalan en cada controlador de dominio, y se instala un cliente Kerberos en cada estacin de trabajo y cada servidor. Los clientes Kerberos utilizan una bsqueda de DNS (Sistema de nombres de dominio) para localizar el controlador de dominio ms prximo disponible.

62

Apndice B: Repaso

Certificados de clave pblica

Puede solucionar muchos problemas de seguridad implementando de forma efectiva una infraestructura de clave pblica en la que puedan presentarse credenciales de seguridad sin exponerse a ningn riesgo durante el proceso. IPSec funciona con su infraestructura de clave pblica para posibilitar la autenticacin por certificado de los equipos. Un certificado de clave pblica es un tipo de autenticacin que comprueba de forma confiable la identidad. Puede utilizar certificados de clave pblica para comprobar la identidad de equipos que ejecutan sistemas operativos que no son Microsoft, equipos autnomos, clientes que no pertenecen a un dominio de confianza o equipos que no ejecutan el protocolo de autenticacin Kerberos V5 (el mtodo de autenticacin predeterminado en Microsoft Windows XP y la familia Windows Server 2003) y el componente Enrutamiento y acceso remoto. Nota Para obtener informacin adicional sobre el mtodo de autenticacin basado en certificados de clave pblica, visite el sitio: http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.msx.

Autenticacin mediante claves previamente compartidas

IPSec puede utilizar claves previamente compartidas para la autenticacin. Previamente compartidas significa que las partes acuerdan una clave secreta compartida que se utilizar para la autenticacin en una directiva IPSec. Durante la negociacin de seguridad, la informacin se cifra antes de la transmisin con una clave de sesin. Esta se crea a partir de un clculo de Diffie-Hellman y la clave secreta compartida. La informacin se descifra en el receptor usando la misma clave. Un homlogo IPSec autentica el paquete del otro homlogo mediante el descifrado y la comprobacin del algoritmo hash que contiene paquete. (El algoritmo hash que contiene el paquete es un algoritmo hash de la clave previamente compartida). Si no se puede realizar la autenticacin, el paquete se descarta. No se recomienda el uso de la autenticacin mediante claves previamente compartidas, porque es un mtodo de autenticacin que presenta ciertas deficiencias. La autenticacin mediante claves previamente compartidas crea una clave maestra menos segura (puesto que puede generar una forma de cifrado menos segura) que los certificados del protocolo Kerberos V5. Adems, las claves previamente compartidas se almacenan como texto sin formato en el registro. En Active Directory, las claves previamente compartidas se almacenan en formato hexadecimal legible. La autenticacin mediante claves previamente compartidas se ofrece para fines de interoperabilidad y en conformidad con los estndares de IPSec. Se recomienda utilizar claves previamente compartidas slo para fines de comprobacin y utilizar certificados o Kerberos V5 en un entorno de produccin. Nota Para obtener informacin adicional sobre el mtodo de autenticacin mediante secreto previamente compartido, visite el sitio: http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.msx.

Apndice B: Repaso

63

Implantacin de IPSec

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede implantar IPSec mediante directivas locales o el servicio de directorio Active Directory. Si el equipo est temporalmente desconectado de un dominio de confianza de la familia Windows 2000 o Windows Server 2003, la informacin de directiva se almacena en cach en el registro local. Las directivas locales se definen en el registro para equipos autnomos y equipos que no siempre forman parte de un dominio de confianza de la familia Windows 2000 o Windows Server 2003. Cada equipo que ejecuta Windows XP o la familia Windows Server 2003 tiene un objeto de directiva de grupo (GPO), que a menudo se denomina directiva de equipos locales. Puede utilizar este GPO local para almacenar configuraciones en equipos determinados, sin tener en cuenta si pertenecen a un dominio Active Directory. Los GPO asociados a sitios, dominios o unidades organizativas en un entorno Active Directory pueden sobrescribir los GPO locales. En una red sin un dominio Active Directory, la configuracin del GPO local determina el comportamiento de IPSec, puesto que otros GPO no pueden sobrescribirlo. Puede utilizar directivas locales para implantar IPSec cuando no disponga de una infraestructura Active Directory, o cuando exista una pero no sea preciso implantar directivas IPSec automticamente para un gran nmero de equipos. Si un nmero reducido de equipos necesita una directiva IPSec, puede configurar la directiva local en cada uno de estos equipos para asignarles una directiva IPSec.

Implantacin de IPSec mediante directivas locales

64

Apndice B: Repaso

Administracin basada en directivas

Active Directory permite administrar e implementar fcilmente las directivas IPSec de la empresa. Puede asignar directivas IPSec mediante la configuracin de directiva de grupo para dominios y unidades organizativas de Active Directory. Esto permite asignar la directiva IPSec en un sitio, un dominio o una unidad organizativa, con lo que se eliminar la actividad administrativa que comporta configurar cada equipo por separado. Puede personalizar los servicios de seguridad en cada directiva para satisfacer la mayora de los requisitos de seguridad para la red y el trfico de datos. IPSec utiliza el dominio seguro de la familia Windows 2000 y Windows Server 2003 como modelo de confianza. De forma predeterminada, las directivas IPSec utilizan el mtodo de autenticacin predeterminado de Active Directory (autenticacin de Kerberos V5) para identificar y otorgar confianza a equipos en comunicacin. Los equipos que pertenecen a un dominio de Windows 2000 o Windows Server 2003 y que se encuentran en dominios de confianza pueden establecer fcilmente comunicaciones con seguridad IPSec. Tenga en cuenta las siguientes directrices para directivas almacenadas en Active Directory:
!

Slo puede asignarse una directiva IPSec en un nivel especfico de Active Directory. Las directivas IPSec configuradas para una unidad organizativa y asignadas a ella tienen preferencia sobre las directivas de nivel de dominio de esa unidad organizativa. Una unidad organizativa hereda la directiva de la unidad organizativa principal (a menos que se haya bloqueado la herencia de directivas o se haya asignado explcitamente una directiva a la unidad organizativa secundaria). Debe volver a asignar la directiva IPSec antes de suprimir el objeto de directiva. La copia de seguridad y restauracin de directivas de grupo en Active Directory tambin deben incluir directivas IPSec para garantizar la coherencia.

Apndice B: Repaso

65

Planeamiento de unidades organizativas adicionales

Puede crear un nuevo objeto de directiva de grupo para un sitio, un dominio o una unidad organizativa y asignarle una directiva IPSec de ese GPO. Para organizar las cuentas de los equipos y aplicar una directiva IPSec comn, deber crear su propia unidad organizativa, crear un objeto de directiva de grupo para esa unidad organizativa y, a continuacin, asignarle una directiva IPSec de ese GPO. Sin embargo, si una unidad organizativa ya agrupa las cuentas de los equipos para satisfacer sus necesidades, no es preciso crear una nueva unidad organizativa. Tan slo debe asignar una directiva IPSec a un GPO existente o crear una si es necesario. Todos los registros obtenidos de bases de datos remotas se comparan con los de la base de datos local, mediante las siguientes bsquedas de coherencia:
!

Si el registro de la base de datos local es idntico al registro obtenido de la base de datos propietaria, se actualiza la marca de tiempo. Si el registro de la base de datos local tiene un identificador de versin inferior que el que se ha obtenido de la base de datos propietaria, el registro obtenido se agrega a la base de datos local y el registro local original se marca para su eliminacin.

THIS PAGE INTENTIONALLY LEFT BLANK