Introducción A Los Servicios de Red

Repaso Inicial para Administracin de Servidores I
Descripcin General de los Servicios de Red
Mdulo 5:
Descripcin general de los servicios de red
ndice Descripcin general ..........................................................................................................................2 5.1 Servicios de Red..........................................................................................................................3 5.1.1 Introduccin a servicios de red/NOS ...............................................................................3 5.2 Administracin Remota y Servicios de Acceso ....................................................................4 5.2.1 Qu es el acceso remoto? ...............................................................................................4 5.2.2 Teleconmutacin .................................................................................................................6 5.2.3 Usuarios mviles .................................................................................................................6 5.2.4 Servicios de emulacin de Terminal .......................................................................7 5.2.5 Servicios Telnet...........................................................................................................8 5.2.6 Configuracin de acceso remoto para un cliente ...............................................10 5.2.7 Control de los derechos del acceso remoto ........................................................18 5.2.8 Administracin remota a un sistema Linux .........................................................22 5.3 Servicios de Directorio .....................................................................................................28 5.3.1 Qu es un servicio de directorio? .......................................................................28 5.3.2 Estndares del servicio de directorio ...................................................................31 5.3.3 Active Directory de Windows 2000 ........................................................................32 5.3.4 Servicio de Informacin de Red (NIS) ...................................................................35 5.4 Otros Servicios de los NOS .............................................................................................39 5.4.1 Correo .........................................................................................................................39 5.4.2 Impresin....................................................................................................................41 5.4.3 Archivos compartidos..............................................................................................42 5.4.4 FTP (Transferencia de Archivos) ...........................................................................43 5.4.5 Servicios web ............................................................................................................45 5.4.6 Intranet........................................................................................................................48 5.4.7 Extranet ......................................................................................................................51 5.4.8 Tareas automatizadas con servicios de scripts ..................................................52 5.4.9 Servicio de Nombre de Dominio (DNS) .................................................................54 5.4.10 DHCP ...........................................................................................................................57 5.4.11 Dominios ....................................................................................................................59
Mdulo 5:
Descripcin general
Este captulo proporciona una introduccin a los sistemas operativos de red (NOSs). Tambin trata la capacidad para acceder a un sistema remoto. Esto permite a un administrador del sistema mantener eficientemente una red. Un servicio de directorio proporciona a los administradores de sistemas un control centralizado de todos los usuarios y recursos en toda la red. El alumno aprender otros servicios de los NOSs que permiten a los usuarios comunicarse, compartir archivos e imprimir. Tambin aprender cmo acceder a Internet, a una intranet, y a una extranet.
Mdulo 5:
5.1 Servicios de Red 5.1.1 Introduccin a servicios de red/NOS Los sistemas operativos de networking estn diseados para proporcionar procesos de red a clientes y peers. Los servicios de red incluyen la World Wide Web (WWW), archivos compartidos, intercambio de mail, servicios de directorio, y servicios de impresin. La administracin remota es un potente servicio que permite a los administradores configurar sistemas en red a kilmetros de distancia. Es importante comprender que estos procesos de red se denominan servicios en Windows 2000, daemons en Linux, y Mdulos Descargables Netware (NLMs) en Novell. Esencialmente, todos ellos proporcionarn las mismas funciones pero la forma en que se cargan e interactan con el NOS es diferente en cada sistema operativo. Servicios, Daemons y NLMs se tratan en ms detalle en captulos posteriores. Dependiendo del NOS, algunos de estos procesos de red clave pueden habilitarse durante una instalacin por defecto. La mayora de los procesos de red populares se basan en la suite de protocolos TCP/IP. La Figura enumera algunos de los servicios basados en TCP/IP ms populares. Puesto que TCP/IP es un conjunto de protocolos abierto y bien conocido, los servicios basados en TCP/IP son especialmente vulnerables a escaneos sin autorizacin y ataques maliciosos. Los ataques de Denegacin del Servicio (DoS), virus de computadora y gusanos de Internet de rpida expansin han forzado a los diseadores de NOSs a reconsiderar qu servicios de red se inician automticamente. Recientes versiones de NOSs populares, como Windows 2000 y Red Hat Linux 7, restringen la cantidad de servicios de red activos por defecto. Cuando se implementa un NOS, ser necesario habilitar manualmente algunos servicios de red clave.
Mdulo 5:
5.2 Administracin Remota y Servicios de Acceso 5.2.1 Qu es el acceso remoto?
El acceso remoto se est haciendo ms importante a medida que los usuarios de red se hacen ms mviles y las compaas expanden sus negocios a mltiples locaciones o abren sus recursos a gente de fuera seleccionada sin poner esos recursos en Internet. Algunos usos populares del acceso remoto incluyen lo siguiente: Conectar sucursales entre s Proporcionar un medio para que los empleados se conecten a la red despus de las horas hbiles Permitir a los empleados teleconmutar trabajando en su casa part-time o full-time Permitir a los empleados que se encuentran en viaje, como viajantes o ejecutivos en viajes de negocios, conectarse a la red corporativa Proporcionar a los clientes o socios de la compaa acceso a recursos de la red
En una economa global en expansin, incluso los pequeos negocios frecuentemente necesitan abrir sucursales en mltiples sitios. Si estas locaciones pueden conectarse con la red de la casa central, puede compartirse fcilmente informacin actualizada y los recursos pueden reunirse fcilmente. Cuando la necesidad de acceder es infrecuente, o cuando se aplica slo a unas pocas computadoras, una conexin telefnica puede bastar. Luego, en la casa central, una computadora en red puede configurarse como servidor de conexin telefnica. Los usuarios de la sucursal pueden marcar y conectarse a la red cuando sea necesario. Para muchos empleados corporativos, el da de trabajo rebasa las horas de trabajo normales. Los ejecutivos y otros a menudo llevan el trabajo a su casa. Puede que sea necesario que se conecten a la red corporativa despus de las horas hbiles, especialmente si tienen que trabajar en zonas horarias diferentes. Con una conexin de acceso remoto, los empleados pueden acceder al servidor de acceso remoto corporativo e iniciar sesin en la red con su cuenta de usuario regular. Los empleados pueden luego utilizar todos los recursos que estaran disponibles en la computadora de escritorio de la oficina. La Figura ilustra cmo se logra este proceso mediante un proveedor de servicios.
Mdulo 5:
Mdulo 5:
5.2.2 Teleconmutacin
Una gran cantidad de empleados, incluyendo personal creativo, escritores tcnicos, programadores de software, vendedores y oficinistas, trabajan desde su casa todo o parte del tiempo. Estos trabajadores teleconmutan a la oficina y permanecen en contacto todo el da mediante el e-mail, chat en vivo, e incluso audio y videoconferencia. La teleconmutacin es atractiva para los empleados porque ahorra tiempo de viaje y otros costos asociados con el trabajo en una oficina, como ropa de trabajo, comer afuera, y costo de transporte. Ahorra a la compaa dinero tambin porque no se requiere espacio de oficina para los empleados teleconmutadores. El acceso telefnico es la forma ms comn en que los empleados teleconmutadores se conectan a la LAN de la compaa, aunque en algunos casos, una conexin dedicada podra tener ms sentido. Si una compaa tiene muchos empleados teleconmutadores, el servidor de acceso remoto requiere mltiples mdems (un banco de mdems) para que numerosas conexiones puedan efectuarse simultneamente. Por supuesto, cada mdem requiere su propia lnea telefnica separada, como lo muestra la Figura .
5.2.3 Usuarios mviles
Los viajes de negocios se estn volviendo ms prevalecientes a medida que las compaas comercializan sus productos a escala nacional o internacional. Vendedores, reclutadores, capacitadores, personal de gerencia de alto nivel, y otros pasan gran parte de su tiempo de viaje. Las necesidades de los usuarios mviles son similares a las de los usuarios que se quedan despus de hora.
Mdulo 5:
Puede ser difcil o imposible almacenar todos los archivos necesarios en una computadora laptop o notebook. Es tambin una amenaza a la seguridad porque la laptop y sus contenidos puede ser robada fsicamente. Una mejor solucin podra ser que los usuarios mviles se conectaran telefnicamente con la LAN de la compaa. Aqu, como muestra la Figura , sus cuentas de usuarios se autentican, y pueden acceder a los datos aqu en lugar de copiarlos a su propio disco rgido.
5.2.4
Servicios de emulacin de Terminal
La emulacin de terminal es el proceso de acceder a un escritorio remoto o servidor a travs de una terminal de computadora local (ver Figura ). La terminal local ejecuta software que emula, o imita, el aspecto de la terminal del sistema remoto. Usando emulacin de terminal, el usuario local puede tipear comandos y ejecutar programas en el sistema remoto. El programa de emulacin de terminal se ejecuta en el sistema local como cualquier otro programa. En un sistema Windows, los usuarios pueden ejecutar un programa de emulacin de terminal en una ventana mientras se estn ejecutando aplicaciones separadas en otras ventanas. Se requieren diferentes tipos de emulacin de terminal para tipos especficos de terminales. A continuacin, algunos de los tipos de terminal comunes en networking informtico: IBM 3270 DEC VT100 AS/400 5250 TTY xterm
Mdulo 5:
La aplicacin ms comn de la emulacin de terminal es Telnet, que es parte de la suite de protocolos TCP/IP. Telnet proporciona una interfaz de lnea de comandos (CLI) que permite a los clientes acceder a un servidor remoto. Los NOSs Windows, UNIX, y Linux soportan servicios Telnet. La utilidad xterm es un emulador de terminal para el Sistema X Window. X Window se tratar en ms detalle en el captulo 9. Es el mdulo que ejecuta la GUI en Linux. La Utilidad xterm proporciona terminales compatibles con DEC VT102 y Tektronix 4014 para programas que no pueden utilizar el sistema de ventanas directamente. La versin ms reciente y bien soportada de xterm es la versin XFree86, no obstante existen varias otras versiones de xterm. Adems de para administracin remota, la emulacin de terminal puede usarse para entregar aplicaciones y servicios a clientes. Por ejemplo, una organizacin puede instalar una aplicacin de alta potencia en el servidor, y luego permitir que clientes de baja potencia accedan a la aplicacin mediante emulacin de terminal. Desde el punto de vista del usuario final, la aplicacin de alta potencia parece ejecutarse localmente en la mquina cliente. En realidad, la aplicacin se ejecuta en el servidor, que probablemente tiene significativamente ms potencia y RAM.
5.2.5
Servicios Telnet
Telnet es el principal protocolo de Internet para crear una conexin con una mquina remota. Da al usuario la oportunidad de estar en un sistema informtico y trabajar en otro, que puede estar cruzando la calle o a miles de kilmetros de distancia. Telnet proporciona una conexin libre de errores. Telnet tiene las siguientes consideraciones de seguridad. Hacking Deduccin de contraseas
Mdulo 5:
Ataques de Denegacin de Servicio (DoS) Packet sniffing (datos de texto visualizables)
Telnet se tratar en mayor detalle en los Captulos 8 y 9, ya que se relaciona especficamente con Windows 2000 y Linux. Las Figuras y ilustran un ejemplo de un usuario remoto accediendo a un servidor Windows 2000 usando servicios Telnet.
Mdulo 5:
5.2.6
Configuracin de acceso remoto para un cliente
10
Mdulo 5:
Hoy, la mayor parte de las computadoras estn conectadas a una red permanentemente mediante la placa de red del sistema. Estos tipos de conexiones se efectan asignando direcciones IP al sistema, lo cual se trat en el Captulo 4, "Networking TCP/IP". A veces establecer una conexin remota a una computadora debe hacerse de otra manera cuando la computadora podra ubicarse en algn lugar no conectado a la red. Por lo tanto, una conexin telefnica, ISDN, o conexin de banda ancha deben usarse para conectarse a la computadora. Protocolo Punto a Punto (PPP) El Protocolo Punto a Punto (PPP) puede usarse para establecer un vnculo TCP/IP entre dos computadoras, usando un mdem. Una conexin PPP est diseada para usarla slo durante periodos breves porque no es considerada una conexin de Internet "siempre activa". Hay, no obstante, algunos ISPs que ofrecen vnculos PPP full-time pero ste no es un medio recomendado de efectuar una conexin a un servidor. Alguna configuracin es necesaria para iniciar y establecer una conexin PPP en un sistema Linux. El primer paso es asegurarse de que el daemon PPP est instalado, denominado "pppd". El daemon PPP puede tanto iniciar como responder a intentos de iniciar una conexin. Configuracin PPP basada en texto Hay dos formas de crear una conexin PPP. Una forma de configurar PPP es usando las utilidades PPP basadas en texto y la otra es usar el Dialer GUI. Si usa una versin basada en texto, se requiere que primero cree una entrada en el archivo /etc/ppp/pap-secrets o /etc/ppp/chap-secrets. Las Figuras y muestran ejemplos de estas entradas que un usuario ver en estos archivos. Para editar estos dos archivos se usa el mismo formato y se los utiliza para proporcionar informacin de autenticacin entre las dos computadoras. El archivo /etc/ppp/pap-secrets usa el Protocolo de Autenticacin de Contraseas (PAP) y el archivo /etc/ppp/chap-secrets usa el Challenge Handshake Authentication Protocol (CHAP). Los protocolos PAP y CHAP son protocolos que presentan la informacin sobre nombre de usuario y contrasea del usuario. Al editar estos archivos, un usuario tendr que colocar la informacin sobre nombre de usuario y contrasea proporcionada por el ISP. Los usuarios tambin necesitarn introducir el nombre del servidor o computadora a la que se estn conectando. Este valor puede sustituirse por un asterisco (*), que significa que se conectar a cualquier servidor o computadora. La ltima parte de la informacin que el usuario necesitar para los archivos secrets es la direccin IP del sistema al que pppd se supone que llega cuando se conecta. Este valor puede dejarse en blanco, lo que permitir una conexin con cualquier direccin IP. Crear una conexin mediante la lnea de comandos tambin requiere modificar algunos scripts. stos son ppp-on, ppp-on-dialer, y ppp-off-scripts. Los scripts pop-up y pop-up-dialer manejan las conexiones de inicio y el script ppp-down la termina. El primer paso en modificar estos scripts es copiarlos desde el directorio por defecto que es /usr/share/doc/ppp-2.3.11/scripts, a un directorio que se encuentra en la ruta como /usr/local/bin, por ejemplo. Despus de copiar estos archivos a la nueva ubicacin, los usuarios necesitarn editarlos con la informacin relevante a su ISP. Los pasos a llevar a cabo son: 1. En el script ppp-on, hay lneas que comienzan con TELEPHONE=, ACCOUNT=, y PASSWORD=. Introduzca la informacin en estas lneas que sea relevante al ISP. La Figura muestra un ejemplo del script de ppp-on. 2. Ubicada en el script ppp-on hay una variable que seala a la ubicacin de ppp-ondialer. La ubicacin por defecto es /etc/ppp. Si no est sealando a la ubicacin correcta, cambie esta ubicacin segn sea pertinente. 3. Ubicados al final del script ppp-on, busque los valores "call to pppd". Estos valores son difciles de interpretar pero la nica informacin aqu que necesita verificarse es que el script est usando el nombre de archivo y la velocidad correctos del dispositivo mdem. Normalmente los mdems serie usarn como nombre de archivo /dev/ttyS0 o /dev/ttyS1. La velocidad del mdem en la mayora de los casos deber ser 115200, pero 38400 es el valor por defecto. 4. A continuacin, verifique el script ppp-on-dialer. Un script ppp-on-dialer de muestra aparece en la Figura . Este script maneja la secuencia de "chateo". Ser necesario modificar las ltimas dos lneas de este script con la informacin del ISP del usuario.
11
Mdulo 5:
Esta informacin es el dilogo que es intercambiado por el mdem y el ISP acerca del nombre de usuario y cuenta del usuario al iniciar sesin en Internet. sta es la informacin que un usuario necesitar introducir en las ltimas dos lneas de este script para hacerlo funcionar. Como alternativa, si el ISP del usuario usa PAP o CHAP, estas ltimas dos lneas slo necesitarn comentadas haciendo precederlas con un signo numeral (#) para que no se lean al ejecutarse el script y ser necesario eliminar la barra invertida (\) de la lnea de conexin. Despus de efectuar todos estos cambios, inicie sesin como raz y tipee ppp-on desde el shell. (El usuario podra tener que hacer preceder el comando con la ruta completa). Si los scripts fueron editados exitosamente, entonces el sistema deber marcar el mdem y establecer una conexin. Configuracin PPP del Dialer GUI La configuracin PPP tambin puede efectuarse desde la GUI usando las utilidades de marcado de la GUI. El Dialer GUI PPP que viene con KDE es el dialer KPPP. Un ejemplo del dialer KPPP se muestra en la Figura . Para iniciar la Ventana KPPP, tipee kppp en el shell o seleccionndolo desde el men KDE. La primera vez que se inicia el dialer KPPP, ser necesario configurarlo. Una vez introducida toda la configuracin, todo lo que es necesario una vez ejecutado el comando kppp es seleccionar el ISP de la lista "Connect To" y luego introducir el nombre de usuario y contrasea. Siga estos pasos para configurar el dialer KPPP: 1. Tipee kppp en el shell. Esto iniciar el dialer KPPP. 2. Cuando el dialer inicia, haga clic en Setup. Esto iniciar la ventana de configuracin de KPPP. Un ejemplo de ventana de configuracin de KPPP se muestra en la Figura . 3. Haga clic en New. Esto crear una nueva cuenta. Note aqu que si el usuario se encuentra en Estados Unidos, tendr que seleccionar la opcin del recuadro de dilogo y no el asistente porque el asistente no soporta ISPs de EE.UU. Una vez seleccionada la opcin del recuadro de dilogo se abrir el recuadro de dilogo New Account. Un ejemplo del recuadro de dilogo New Account se muestra en la Figura . 4. En el recuadro "nombre de la conexin" tipee el nombre con el que se va a referir a esta conexin. 5. Haga clic en Add, y luego introduzca el nmero telefnico del ISP, luego haga clic en OK. A veces un ISP proporcionar ms de un nmero que marcar. En este caso, repita este paso para nmeros adicionales que marcar. 6. En la solapa Authentication, seleccione el tipo de autenticacin que usa el ISP, ya sea PAP o CHAP. Luego haga clic en OK para cerrar el recuadro de dilogo New Account. 7. Por ltimo, vea las solapa modem y device para confirmar que se haya seleccionado el Dispositivo Mdem y la velocidad de Conexin correctos. Conexin usando ISDN Una alternativa al uso de lneas telefnicas analgicas para establecer una conexin es ISDN. La Figura ilustra un ejemplo de representacin lgica de una conexin ISDN. ISDN tiene muchas ventajas sobre el uso de las lneas telefnicas. Una de estas ventajas es la velocidad. ISDN usa un par de lneas digitales de 64 kilobits por segundo (Kbps) para conectarse, lo cual proporciona un total de 128 Kbps de throughput. Esto es mucho mejor que usar una lnea telefnica que se conecta a una velocidad mxima de 56 Kbps, y a menudo ni siquiera llega a ser tan alta en algunas reas. Aunque ISDN es mejor que usar lneas telefnicas, una alternativa an mejor a ISDN es DSL o los servicios de cable mdem. DSL y los servicios de cable mdem se tratan en la siguiente seccin. En lugar de usar un mdem para conectarse a una computadora remota, ISDN usa un adaptador de terminal. El adaptador de terminal esencialmente lleva a cabo el mismo papel que juega un mdem en una conexin PPP. Establecer una conexin con el adaptador de terminal se hace de igual manera que con un mdem y una conexin PPP. Por lo tanto, simplemente siga las mismas instrucciones delineadas en la seccin anterior sobre conexiones PPP para configurar una conexin ISDN.
12
Mdulo 5:
Un adaptador de terminal es un dispositivo externo que acta de manera muy similar a como lo hace un mdem externo. No obstante, un usuario puede usar un dispositivo interno que se conecta a uno de los slots PCI de la computadora. Estos dispositivos ISDN internos se denominan mdems ISDN. Tenga en cuenta que el usuario necesitar tener instalados los controladores apropiados para que el mdem ISDN funcione apropiadamente en Linux. Otra cosa importante a recordar acerca del uso de mdems ISDN es que a diferencia de los mdems regulares que marcan hacia una lnea telefnica, los mdems ISDN no pueden usar el nombre de archivo /dev/ttyS0. En cambio, un mdem ISDN debe usar el nombre de archivo /dev/ttyI0 y los nombres de archivos de dispositivos numerados subsecuentemente. Conexin mediante DSL y Servicio de Cable Mdem Un medio popular de establecer una conexin remota a una computadora hoy por hoy es mediante DSL o servicio de cable mdem, o a veces simplemente denominado acceso remoto de alta velocidad o acceso remoto por banda ancha. La Figura ilustra un ejemplo de cmo se efecta una conexin DSL o de Internet por cable. Este servicio an es proporcionado por un ISP pero ofrece algunas ventajas sobre las conexiones PPP e ISDN. En primer lugar, DSL y cable tienen velocidades mucho ms altas que PPP e ISDN. Donde PPP se conecta a un mximo de 56 Kbps e ISDN a 128 Kbps, DSL y Cable se conectan a una velocidad de 1000 Kbps a 3000 Kbps. La velocidad variar dependiendo de varios factores, como el trfico en Internet. Estas velocidades de conexin ms altas tambin permiten transmisin de video, voz y datos digitales, no slo datos. Las conexiones PPP e ISDN son simplemente demasiado lentas para permitir otra cosa que no sean transmisiones regulares de datos. Otra ventaja que permite el acceso remoto de alta velocidad es que se establece una conexin permanente. Esto significa que la conexin puede utilizarse 24 horas al da y los usuarios no necesitan pasar por ninguna configuracin de dialer, ni siquiera tienen que introducir un comando para iniciar la conexin. Hay dos excepciones a esta regla que se tratarn brevemente. Nuevamente, al tratar con Linux, surgirn problemas de compatibilidad al utilizar un servicio de DSL o cable mdem. Estos dos problemas son la compatibilidad del hardware y el mtodo de asignacin de direcciones IP. Los problemas de compatibilidad de hardware surgen al elegir el mdem apropiado para usar con Linux. La mayora de los mdems para DSL y cable son externos y hacen interfaz con la computadora mediante un puerto Ethernet. ste es el mtodo preferido de conexin que ser el ms compatible con un sistema Linux. No obstante, algunos mdems DSL o cable externos usan una interfaz USB. Por otro lado, pueden ser mdems internos. Usar estos dos tipos de mdems DSL y cable requieren el uso de controladores especiales en un sistema Linux que son raros y difciles de hallar. Hay cuatro formas en que un ISP de banda ancha asignar direcciones IP. stas son con una direccin IP esttica, DHCP, PPP sobre Ethernet (PPPoE), o PPP sobre ATM (PPPoA). Si el ISP proporciona al usuario un mdem incompatible, la mejor idea es reemplazarlo con uno que sea compatible. Si el ISP del usuario usa PPPoE o PPPoA, el usuario tendr que introducir configuracin para establecer la conexin. El usuario tambin tendr que introducir comandos en el shell para iniciar la conexin y terminar la conexin. El comando asdl-start iniciar la conexin y el comando asdl-stop la terminar.
13
Mdulo 5:
14
Mdulo 5:
15
Mdulo 5:
16
Mdulo 5:
17
Mdulo 5:
5.2.7
Control de los derechos del acceso remoto
Al configurar un servidor para acceso remoto, es importante mantener una estricta poltica de derechos de acceso. sta puede ser una importante operacin de administracin de redes. El sistema operativo Linux proporciona muchas opciones que elegir al controlar los derechos de acceso remoto. Al configurar los controles de acceso remoto, es una buena idea usar una combinacin de al menos dos de estas opciones. La razn para esto es que si uno fallara o pasara a inactividad siempre habr un respaldo. Firewalls Un firewall acta como barrera entre una red, como Internet por ejemplo, y otra. Esta otra red podra ser la red de la cual est a cargo el usuario para controlar su seguridad. El firewall se coloca en medio de donde estas dos redes hacen interfaz, bloqueando as el trfico no deseado. Se puede configurar un firewall en una variedad de formas diferentes. Una de las formas tradicionales es instalar un router que pueda bloquear y controlar el trfico no deseado que entra y sale de una red. Otros tipos de firewalls incluyen firewalls externos dedicados como Cisco PIX Firewall, o slo una computadora comn actuando como firewall. Todo el trfico de la red que fluye hacia dentro y fuera de ella lo hace usando puertos. Un firewall de filtro de paquetes restringe el trfico basndose en estas asignaciones de puertos. Este tipo de firewall examina el nmero de puerto del origen y el destino y la direccin IP del origen y el destino. Por ejemplo, si un servidor Samba est funcionando en la red interna, el administrador configurara el firewall para bloquear el puerto usado por Samba en el firewall. Esto evitara cualquier acceso indeseado al servidor de un hacker malicioso de fuera de la red. Tal como se mencion previamente, el sistema operativo Linux por s mismo puede configurarse para proporcionar servicios de firewall. Linux usa las herramientas ipfwadm, ipchains, e iptables para configurar funciones de firewalls. Las funciones de firewall pueden
18
Mdulo 5:
configurarse manualmente, usando una herramienta de configuracin GUI, o mediante un sitio web. Manualmente Si un usuario decidiera configurar el sistema Linux como firewall, se recomienda que el usuario primero lea acerca del tema. Existen libros completos que tratan este tema y puede ser muy difcil hacerlo. Involucra escribir scripts, lo cual puede ser complicado y podra resultar en que el firewall no funcione apropiadamente. Herramienta de Configuracin GUI Algunas de las herramientas de configuracin de la GUI que pueden usarse para la configuracin del firewall son Firestarter (http://firestarter.sourceforge.net) o Guarddog (http://www.simonzone.com). Las ltimas distribuciones de Linux estn siendo entregadas ahora con estos programas. Estas herramientas permiten un medio mucho ms fcil de controlar puertos de red as como protocolos de cliente y servidor que un usuario deseara controlar. Estas herramientas tambin generan los scripts para los usuarios que pueden ejecutarse automticamente cuando el sistema arranca. Configuracin del Sitio Web Una herramienta de configuracin del sitio web funciona como las herramientas de configuracin GUI y permite a los usuarios introducir la informacin necesaria en el sistema, y el sitio web genera los scripts para firewall para ellos. TCP Wrappers TCP Wrappers se usa en conjuncin con inetd. Tenga en cuenta que inetd ya no se usa con Linux Mandrake o Red Hat. Estas dos distribuciones usan xinetd. TCP Wrappers usa un programa llamado tcpd. Sin tcpd ejecutndose un servidor llamara a otro directamente con inetd. Cuando se usa el programa tcpd, el programa inetd llama a tcpd primero. El programa tcpd verificar primero para ver si el cliente est autorizado a acceder al servidor y si lo est, entonces el programa tcpd permitir al cliente acceder al servidor. Existen dos archivos que se usan para configurar TCP Wrappers, /etc/hosts.allow y /etc/hosts.deny. Las Figuras y muestra ejemplos de estos dos archivos. Editando estos archivos y agregando nombres de host a los archivos, los usuarios pueden permitir o denegar acceso al sistema. Los nombres de host introducidos en el archivo hosts.allow especifican a qu sistemas se le permite obtener acceso al sistema. Si se hace un intento de acceder al sistema y el nombre de host no se ha introducido en el archivo hosts.allow, entonces se le niega acceso. Por el contrario, a los nombres de host introducidos en el archivo hosts.deny se les niega acceso al sistema. Las entradas de estos archivos consisten en lneas como la siguiente: daemon-list: client-list daemon-list especifica los nombres de los servidores que aparecen en /etc/services. stos son los servidores/servicios a los cuales se otorgar o denegar el acceso. client-list especifica a qu clientes se otorga o denega acceso al servidor en la daemon-list correspondiente. Las entradas de client-list pueden ser por nombre de host o por direccin IP. Xinetd Tal como se mencion antes, las Distribuciones Mandrake y Red Hat de Linux ya no usan inetd ni TCP Wrappers. En cambio usan xinetd. Mandrake y Red Hat controlan el acceso editando el archivo /etc/xinetd.conf. La Figura muestra un ejemplo del archivo xinetd.conf. Estos recortes que se hacen en el archivo xinetd.conf hacen llamadas a otros archivos ubicados en el directorio /etc/xinetd.d. La Figura enumera algunos de los daemons que hay en el directorio /etc/xinetd.d. Estos archivos se encuentran en el directorio /etc/xinetd.d y son lo que controla el acceso a los diferentes daemons que se ejecutan en el sistema. La configuracin se efecta servidor por servidor usando los parmetros bind, only_from, y no_access. Bind Esto le indica a xinetd que escuche slo a una interfaz de red para el servicio. Por ejemplo, agregar la entrada bind = 10.2.5.1 al archivo har que el router slo escuche a esa direccin de placa Ethernet especfica de la red.
19
Mdulo 5:
only_from Esto funciona de manera similar al archivo hosts.allow porque un usuario puede especificar una direccin IP, direcciones de Red, o nombres de host en esta lnea para permitir conexiones slo de esas entradas particulares enumeradas en el archivo. no_access Esto funciona de manera similar al archivo hosts.deny en el hecho de que a las entradas enumeradas en esta lnea se les denegar acceso al servidor.
Contraseas Las contraseas son un mtodo muy til de controlar el acceso remoto a un servidor. Las contraseas son muy tiles cuando quien tiene acceso a servidores tales como e-mail, FTP, y Telnet por ejemplo. Imponer una contrasea obliga al usuario a autenticarse de alguna forma ante los servidores para obtener acceso a los recursos del servidor. Aunque las contraseas pueden ser un medio eficaz de evitar el acceso a un servidor, tambin tienen algunos problemas de seguridad que deben conocerse. A menos que las contraseas se enven en forma cifrada, se puede correr el riesgo de que un usuario experimentado pueda leerlas. Los protocolos FTP, POP, IMAP, y Telnet envan informacin sobre contraseas en forma cifrada por defecto, otros no. Hay formas, no obstante, de cifrar seguramente las contraseas e incluso los datos. Un mtodo semejante es mediante el uso del protocolo SSH. El protocolo SSH est diseado para ser seguro y evita que una contrasea se use incluso si es interceptada. SSH proporciona otro medio de proporcionar una autenticacin segura a un servidor. SSH es capaz de almacenar una clave especial en el servidor y una en el cliente. El cliente usa su clave, y no una contrasea, para autenticar al servidor. Aunque esta configuracin proporciona un medio seguro de autenticacin, hay algunos riesgos de seguridad involucrados tambin. Por ejemplo, si por alguna razn un intruso obtuviera acceso a la computadora cliente de un usuario, podra obtener acceso al servidor. Tambin es importante la mencin de los "r-commands" al tratar la autenticacin de contraseas. Los "r-commands" son los comandos rlogin, rsh, y rcp. Estos comandos permiten a un usuario en un sistema UNIX o Linux iniciar sesin, ejecutar programas, y copiar archivos hacia y desde otro sistema UNIX o Linux sin tener que autenticarse. Esto se logra creando un archivo rhosts en el directorio home del usuario. Este archivo contiene listas de otros hosts en los que se confa. Estos hosts en los que se confa pueden obtener acceso a un servidor sin tener que ser autenticados. Nuevamente, puede haber algn problema de seguridad al utilizar esta forma de autenticacin y deber tenerse particular cuidado al determinar en qu hosts se confiar. Permisos de Archivos Los permisos de archivos pueden ser til para otorgar acceso general a los archivos o a ciertos directorios sin tener que especificar ningn usuario en particular. Bsicamente, cualquiera puede iniciar sesin y obtener acceso al servidor. No obstante, los permisos de archivos pueden limitar a qu archivos o directorios se tendr acceso. Por ejemplo, si hubiera un servidor FTP, Telnet o SSH al que la gente necesitara acceder, el administrador podra especificar un directorio o un grupo de directorios a los que estos usuarios tuvieran acceso una vez iniciada la sesin. Un ejemplo mejor an sera permitir un acceso annimo a un servidor FTP. El control de acceso annimo especifica que cualquiera puede obtener acceso al servidor pero slo se podr acceder a los directorios y archivos en particular para los que tengan los permisos de archivo apropiados.
20
Mdulo 5:
21
Mdulo 5:
5.2.8
Administracin remota a un sistema Linux
22
Mdulo 5:
Un beneficio de usar el sistema operativo Linux en un servidor es que proporciona muchas formas de administrar remotamente el sistema. Esta es la razn por la cual es tan importante controlar los derechos de acceso. Al igual que sucede con cualquier tipo de acceso remoto a un sistema, existen riesgos de seguridad que es necesario tratar. Muchos de ellos se trataron en la seccin anterior. No obstante, la administracin remota puede ser muy conveniente y tambin necesaria en algunos casos. Linux proporciona varias herramientas para la administracin remota. Estas incluyen, inicios de sesin en modo texto, inicios de sesin en GUI, transferencias de archivos y protocolos de administracin remota dedicados. Inicios de Sesin en Modo Texto Un inicio de sesin en modo texto consiste en iniciar sesin en un sistema mediante Telnet o SSH. Un usuario puede usar Telnet o SSH para administrar remotamente el servidor Linux desde cualquier sistema operativo como Mac OS o Windows por ejemplo. No tiene por qu ser un sistema operativo Linux. Esto se hace normalmente iniciando sesin con una cuenta de usuario regular y luego usando el comando su con la contrasea raz para obtener privilegios de superusuario. En este punto, los usuarios realmente pueden hacer cualquier cosa que pudieran hacer desde el prompt del shell en la consola principal. La sintaxis de comandos correcta para utilizar Telnet en Linux es telnet hostname, donde hostname es el nombre DNS del sistema al que el usuario est intentando obtener acceso. La Figura ilustra un ejemplo del comando telnet que se est utilizando. SSH funciona igual, no obstante no utiliza el prompt login:. Los usuarios no necesitan especificar un nombre de usuario o contrasea. En cambio SSH pasa el nombre de usuario actual al sistema al que el usuario est intentando acceder remotamente para autenticar el usuario. No obstante, el usuario puede iniciar sesin a un servidor SSH con un nombre de usuario y contrasea diferentes utilizando el parmetro -l username. La salida es como sigue: (note que en la siguiente salida hostname representa el nombre DNS del sistema remoto). $ ssh hostname -l jsmithjsmith@hostname password: Last login: Wed Feb 18 08:34:23 2002 from hostname [jsmith@hostname jsmith]$ Una vez que el usuario ha obtenido acceso al sistema exitosamente, puede hacer prcticamente todo lo que puede hacerse desde un prompt de shell en la consola principal. Para administrar remotamente un servidor Linux mediante una sesin GUI, en primer lugar los usuarios necesitarn instalar algn software en los sistemas desde el cual estn intentando administrar remotamente. El software que tendrn que instalar es X server. Si estn haciendo el intento desde un sistema Linux, X server ya debera estar instalado. Los usuarios tambin pueden usar un sistema Windows con X server instalado en l para administrar un servidor Linux mediante una GUI. Al igual que con Telnet y SSH, una vez que los usuarios han iniciado sesin, pueden usar el comando su con la contrasea raz para adquirir los privilegios del raz. Transferencias de Archivos En general, la transferencia de archivos no es lo que una persona podra llamar administracin remota. No obstante, es de hecho una forma para editar y configurar archivos remotamente. Una herramienta de transferencia de archivos como FTP puede utilizarse para transferir archivos de un sistema a otro, editarlos, y luego volver a enviarlos. Por ejemplo, un usuario podra tener un servidor Linux que est configurado como servidor de impresora. Puesto que este servidor es un servidor de impresora, podra no tener las herramientas apropiadas de edicin y configuracin necesarias para editar archivos en el servidor de impresora, lo cual hara que hacer telnet al servidor careciera de sentido. Si FTP, NFS, o Samba estuvieran instalados en el servidor de impresora, entonces un usuario podra iniciar sesin en el servidor de impresora remotamente y transferir el archivo a un sistema que tuviera las herramientas de edicin y configuracin apropiadas, editar el archivo, y volver a transferirlo al servidor de impresora.
23
Mdulo 5:
Tenga en cuenta, no obstante, que no se recomienda otorgar acceso directo al directorio destino de los archivos de configuracin, como el directorio /etc usando NFS o Samba. Esto hace ms fcil transferir el archivo a la ubicacin correcta pero puede dejar al servidor vulnerable a ataques. En cambio, la mejor prctica sera transferir el archivo usando una cuenta de usuario general que colocara al archivo en el directorio home de la cuenta de ese usuario. Luego use un protocolo de inicio de sesin remoto como SSH para copiar el archivo al directorio apropiado. Protocolos de Administracin Remota Linux proporciona varias herramientas para habilitar a un administrador para que administre remotamente una computadora. Para lograrlo, el usuario necesitar instalar la versin del servidor de estas herramientas en la computadora cliente, que es la computadora que el usuario planea administrar remotamente. El usuario necesitar instalar la versin cliente de la herramienta en particular que se usa en la computadora en la que el usuario planea usar para hacer la administracin. La mayora de estas herramientas usan navegadores web como medio de hacer la administracin remota, lo cual es til en un entorno que tiene mltiples sistemas operativo como Macintosh o Windows. El sistema no necesita ser un sistema Linux para administrarlo remotamente desde un sistema Linux. Algunas de estas herramientas son: SNMP Samba Web Administration Tool (SWAT) Webmin
SNMP Este protocolo se tratar en detalle en captulos posteriores. Es importante notar aqu no obstante que sta nunca ha sido la herramienta de administracin remota preferida para sistemas Linux como lo ha sido en el entorno Windows. La razn es que requiere mucha configuracin complicada en los sistemas que deben administrarse. Samba Web Administration Tool (SWAT) Esta herramienta es una herramienta basada en la web que se usa para administrar un servidor Samba. Despus de configurar SWAT, los usuarios pueden acceder al servidor remotamente usando un navegador web. SWAT usa el puerto 901 y para acceder a la pgina de administracin de SWAT, los usuarios tipearan el URL del servidor al que desean acceder remotamente, seguido del puerto 901. Por ejemplo, los usuarios tipearan http://ciscoflerb.cisco.com:901. La Figura proporciona un ejemplo de la pgina de SWAT. Tenga en cuenta que SWAT slo permite a los usuarios administrar las funciones Samba del servidor. Los usuarios no podrn llevar a cabo ninguna otra tarea de administracin con SWAT. No obstante, los usuarios tendrn un control completo de Samba en el servidor remoto. Webmin Webmin, como el nombre lo implica, es otra herramienta de administracin remota basada en web. Webmin fue diseada teniendo como concepto principal que pueda ser usada en todas las distribuciones de Linux as como en sistemas UNIX. Cuando se instala Webmin, se instalan archivos de configuracin especficos de esa distribucin de Linux o UNIX en particular. Webmin usa el puerto 10000. Para acceder a la pgina de administracin de Webmin, los usuarios tipearan el URL del servidor al que desean acceder remotamente, seguido por el puerto 10000. Por ejemplo tipee http://cisco-flerb.cisco.com:10000. rmon y ssh Remote Monitoring (RMON) es una especificacin de monitoreo estndar que permite a varios monitores de red y sistemas de consola intercambiar datos de monitoreo de red. Secure Shell (SSH) es probablemente la ms popular herramienta de administracin remota para Linux. SSH ofrece acceso de lnea de comando mediante un tnel encriptado que proporciona ms seguridad que telnet. Muchas distribuciones de Linux vienen con un servidor SSH ya instalado. Al igual que con cualquier herramienta, deben instalarse patches y colocarse restricciones para evitar que usuarios no autorizados usen el servicio. Una vez que tenga instalado un servidor SSH, configurarlo es muy fcil. Existen un par de configuraciones importantes que deber ordenar para minimizar el riesgo, incluyendo:
24
Mdulo 5:
PermitRootLogin Este valor deber configurarse a No, puesto que nunca deber iniciarse sesin en la raz remotamente. Si desea administrar la caja, cree un usuario normal y entre con SSH con esa cuenta. Una vez dentro, puede usar el comando su para iniciar sesin como raz. X11 Forwarding Este valor se utilizar para obtener una conexin grfica. Si slo desea usar la consola, puede configurar este valor a No; de otro modo, configrelo a S.
Si no tiene instalado un servidor SSH, puede utilizar su instalador RPM de la distribucin Linux para hacerlo funcionar. Una vez logrado eso, conectarse es muy simple. Primero, es necesario que obtenga un cliente. Un cliente SSH fcil y gratuito es PuTTY, que puede descargar del sitio web de PuTTY ubicado en el vnculo web de ms abajo. PuTTY es una utilidad de cliente ssh que le permite conectarse a sistemas remotos usando diversos protocolos, incluyendo SSH y Telnet. Configurar PuTTY es muy fcil. Para conectarse a un sistema remoto, todo lo que tiene que hacer es completar el nombre de host o direccin IP a la cual conectarse, y seleccionar SSH para el tipo de conexin, como lo muestra la Figura
25
Mdulo 5:
26
Mdulo 5:
27
Mdulo 5:
5.3 5.3.1
Servicios de Directorio Qu es un servicio de directorio?
medida que las intranets continan creciendo de tamao, las complejidades de estas redes tambin crecen rpidamente. Las modernas intranets pueden contar con miles de usuarios, y cada uno de ellos necesita diferentes servicios y diversos niveles de seguridad en la red. La tarea de administrar este desafo logstico ha crecido ms all de la capacidad del NOS por s solo. Muchos administradores de sistemas usan ahora "servicios de directorio" para suplementar las herramientas de administracin de un NOS. La Figura muestra los conceptos bsicos respecto a cmo se construye un servicio de directorio. El objeto superior en un directorio, que contiene a todos los otros objetos, se denomina objeto "raz". Un servicio de directorio proporciona a los administradores de sistema un control centralizado de todos los usuarios y recursos en toda la red. Proporciona a un administrador la capacidad de organizar informacin. Ayuda a simplificar la administracin de la red proporcionando una interfaz estndar para tareas de administracin de sistema comunes. Esta funcin es importante cuando una red grande est ejecutando varios sistemas operativos y diversos protocolos de red. Con un nico servicio de directorio, el administrador de red puede administrar centralmente todos esos recursos con un conjunto definido de herramientas en lugar de atender manualmente cada dispositivo por separado. Estos servicios de directorio pueden ser locales, lo cual significa que estn restringidos a una nica mquina o la informacin del directorio puede estar diseminada en varias mquinas. Esto se denomina base de datos de directorio distribuida. En el mundo informtico, un directorio puede ser algo diferente. Los alumnos probablemente estn familiarizados con el trmino "directorio" en lo que se refiere a los sistemas de archivos de computadora, en los cuales un directorio es una coleccin de archivos agrupados bajo un nombre identificatorio. Los servicios de directorios usados por un NOS son diferentes pero son conceptos relacionados. En este contexto, un directorio es un tipo especial de base de datos. Puede contener variados tipos de informacin. Beneficios del Uso de una Estructura de Directorio Los beneficios de usar servicios de directorio en una red incluyen: Los datos pueden ser fcilmente organizados. Los datos pueden ser fcilmente asegurados. Los datos pueden ser fcilmente localizados y accedidos.
Hay ventajas en usar servicios de directorio para acceder a los recursos de la red. Tradicionalmente, los archivos y carpetas compartidos se almacenaban en las unidades de disco rgido de estaciones de trabajo individuales o servidores de archivos. Para conectarse a los archivos compartidos, el usuario necesitaba saber dnde estaban ubicados. Un servicio de directorio elimina este requisito. Los recursos compartidos se publican en el directorio. Los usuarios pueden localizarlos y acceder a ellos sin siquiera saber en qu mquina residen fsicamente los recursos. La Figura ilustra cmo est pensado que funcione este proceso. Los archivos, directorios y compartidos a los que los usuarios acceden desde un nico punto pueden distribuirse a travs de varios servidores y ubicaciones usando servicios de directorio distribuido y replicacin. Los siguientes dos mtodos pueden usarse para buscar en todo el directorio distribuido desde una nica ubicacin. Buscar en la Red de Microsoft Windows de manera tradicional Buscar en cada mquina individual para localizar los archivos compartidos.
28
Mdulo 5:
Buscar en el Directorio Esta opcin muestra todos los recursos publicados en el Active Directory. La Figura ilustra cmo usar el Microsoft Windows Explorer para buscar en el directorio.
29
Mdulo 5:
30
Mdulo 5:
5.3.2
Estndares del servicio de directorio
Es necesario conformarse a un estndar al crear directorios distribuidos. Para operar dentro de un NOS, diferentes servicios de directorio necesitan tener un mtodo comn de nombrar y hacer referencia a los objetos. Sin estos estndares, cada aplicacin tendra que usar su propio directorio, que requiere ms espacio en disco. Adems, los productos de un fabricante pueden no usar las bases de datos compiladas por los productos de otro fabricante. Sin estos estndares, sera imposible tener una estructura de directorio funcional. Los fabricantes de servicios de directorio que cumplen con los estndares disean sus servicios para que sean compatibles con un amplio rango de plataformas y con otros servicios de directorio. X.500 X.500 define los estndares del Servicio de Directorio Electrnico (EDS). Los servicios de directorio descritos en X.500 estn diseados para trabajar en conjuncin con servicios de mensajera X.400. Un directorio que cumpla con X.500 tiene tres componentes principales: Agente del Sistema de Directorios (DSA) Administra los datos del directorio Agente del Usuario del Directorio (DUA) Otorga a los usuarios acceso a servicios de directorio Base de Informacin de Directorio (DIB) Acta como el almacn central de datos, o base de datos, en la cual se guarda la informacin del directorio
Los estndares X.500 tratan cmo se almacena la informacin en el directorio y cmo los usuarios y sistemas informticos acceden a esa informacin. La seguridad de los datos, el modelo de nombrado, y la replicacin de datos del directorio entre servidores est todo definido en X.500.
31
Mdulo 5:
Las especificaciones X.500 definen la estructura del directorio como un rbol invertido, y la base de datos es jerrquica. Un servicio de directorio que cumpla con X.500 usa el Protocolo de Acceso al Directorio (DAP), que se trata a continuacin. DAP y LDAP DAP permite que el DUA se comunique con el DSA. DAP define el medio mediante el cual el usuario puede buscar en el directorio para leer, agregar, borrar, y modificar entradas del directorio. DAP es un protocolo potente, pero la sobrecarga asociada es alta. El Protocolo de Acceso al Directorio Liviano (LDAP) fue desarrollado como un subconjunto de DAP para simplificar el acceso a directorios tipo X.500. LDAP se ha convertido en un estndar popular porque integra directorios de diferentes fabricantes. LDAP est diseado para usar menos recursos de sistema que DAP, y es ms fcil de implementar. La versin actual de LDAP es LDAPv3. LDAPv3 ofrece varias mejoras importantes sobre versiones anteriores de LDAP. La mejora a la seguridad es un foco principal de la nueva versin. LDAPv3 soporta cifrado Secure Sockets Layer (SSL) entre cliente y servidor y habilita la autenticacin de certificados X.509. LDAPv3 tambin habilita al servidor para que refiera al cliente LDAP a otro servidor si no es capaz de responder a la consulta del cliente. La Figura ilustra un ejemplo de un servicio de directorio DAP y LDAP tpico.
5.3.3
Active Directory de Windows 2000
Con el lanzamiento de Windows 2000 Server, Microsoft hizo cambios fundamentales en sus componentes de networking que son incluso ms drsticos que aqullos efectuados por Novell en la transicin de NetWare 3 a 4. El Active Directory es central a estos cambios. Donde el
32
Mdulo 5:
Novell NDS funciona como servicio que funciona con el NOS, el NOS, el Microsoft Active Directory funciona como aplicacin profundamente integrada al sistema operativo. Las siguientes secciones tratan la estructura de la base de datos Active Directory, integracin de Active Directory, e informacin de Active Directory. Estructura de la Base de Datos de Active Directory La informacin de Active Directory se almacena en tres archivos: Base de Datos de Active Directory Archivos de Registro de Active Directory Volumen de Sistema Compartido
La base de datos es el directorio. Los archivos de registro toman nota de los cambios efectuados en la base de datos. El Volumen de Sistema Compartido (llamado Sysvol) contiene scripts y objetos de poltica de grupo en los controladores de dominio de Windows 2000. La Poltica de Grupo es el medio por el cual los administradores de Windows 2000 controlan los escritorios de los usuarios, implementan aplicaciones automticamente, y configuran los derechos de los usuarios. Dominios de Windows 2000 La estructura lgica del Active Directory se basa en unidades llamados Dominios. Aunque se usa la misma terminologa, los dominios en Windows 2000 funcionan de manera diferente a los de Windows NT. Tanto en Windows NT como en Windows 2000, un dominio representa un lmite de seguridad y administrativo, as como una unidad de rplica. No obstante, Windows NT usa una estructura de dominio plana, y Windows 2000 dispone los dominios en rboles de dominio jerrquicos. El concepto de rbol jerrquico funciona de manera diferente en Active Directory que en NDS. NDS no divide la red en dominios. Las redes Windows 2000 pueden tener mltiples dominios, organizados en rboles de dominio. Adicionalmente, a estos rboles pueden unrseles otros rboles para formar bosques. La Figura muestra una estructura de dominio de Windows 2000 con dos rboles de dominio (con los dominios raz shinder.net y tacteam.net) unidos en un bosque. Un bosque es el trmino que usa Microsoft para llamar a una coleccin de los rboles de un dominio enteramente diferente que se incluyen en la estructura jerrquica de Active Directory. Unidades de Organizacin (OUs) de Windows 2000 Active Directory, como NDS, usa Unidades de Organizacin (OUs) para organizar los recursos dentro de los dominios. La autoridad administrativa puede delegarse a OUs individuales. Por el contrario, el networking de NT permite la asignacin de privilegios administrativos slo al nivel del dominio. Active Directory y DNS Active Directory usa convenciones de nombrado DNS y es dependiente de DNS para operar. Debe haber un servidor DNS en cada red Windows 2000. Adems, las actualizaciones de informacin de la zona DNS puede integrarse con la replicacin de Active Directory, que es ms eficiente que los mtodos de actualizacin DNS tradicionales. Windows 2000 soporta DNS Dinmico (DDNS), que permite la actualizacin automtica de la base de datos DNS. Servidores Active Directory Para usar Active Directory, al menos un servidor debe configurarse como Controlador de Dominio (DC). Se recomienda que haya al menos dos DCs en cada dominio, para tolerancia de fallos. Configurar el primer controlador de dominio en la red crea el directorio para ese dominio.
33
Mdulo 5:
A diferencia de los servidores Windows NT, los Servidores Windows 2000 que ejecutan Active Directory, no tienen un controlador de dominio principal (PDC) o controlador de dominio de respaldo (BDC). En los dominios Windows NT, slo el PDC contena una copia completa de lectura/escritura del directorio de cuentas de usuario e informacin de seguridad. El PDC autenticara los nombres de usuario y contraseas cuando los miembros iniciaran sesin en la red. El BDC mantendra una copia de respaldo de slo lectura del directorio master del PDC y por lo tanto cualquier cambio necesitara efectuarse en el PDC. Los servidores Windows 2000 que ejecutan Active Directory toman el concepto de controlador de dominio de manera un tanto diferente. A diferencia de Windows NT Server, donde un PDC debe ser accesible para efectuar cambios en el directorio, Windows 2000 Server se basa en el modelo de replicacin multimaster de Active Directory para actualizar todos los controladores de dominio dentro del Bosque cuando se hace un cambio en cualquier otro controlador de Dominio. No hay PDC o BDC. Todos los controladores de dominio son iguales. Todos los Controladores de Dominio contienen una copia de lectura/escritura de la particin del Active Directory. Esta informacin se mantiene actualizada y sincronizada mediante el proceso de replicacin. Este proceso se trata en la siguiente seccin de este captulo. Replicacin del Active Directory Replicacin es el proceso de copiar datos de una computadora a una o ms computadoras y sincronizar esos datos para que sean idnticos en todos los sistemas. Active Directory usa replicacin multimaster para copiar informacin del directorio entre los controladores de dominio de un dominio. Pueden efectuarse cambios en cualquier controlador de dominio, y esos cambios luego se replican a los otros, excepto durante el desempeo de una operacin de master nico. Los administradores de Windows 2000 pueden establecer polticas de replicacin que determinen cundo y cun a menudo tiene lugar la replicacin de directorios. Esto permite el uso ptimo del ancho de banda de la red. Controlar el cronograma de replicaciones es especialmente importante cuando los controladores de dominio estn ubicados en lados opuestos de un vnculo lento, como un vnculo WAN de 56K. Seguridad de Active Directory Cada objeto de Active Directory tiene una Lista de Control de Acceso (ACL) que contiene todos los permisos de acceso asociados con ese objeto. Los permisos pueden ser explcitamente permitidos o denegados, granularmente. Existen dos tipos diferentes de permisos: 1. Permisos asignados Permisos explcitamente otorgados por un usuario autorizado. 2. Permisos heredados Permisos que se aplican a objetos hijos porque fueron heredados de un objeto padre. Los permisos pueden asignarse a un usuario individual o a un grupo de usuarios. Windows 2000 permite a los administradores controlar este proceso. Note el recuadro de verificacin en la parte inferior de la hoja de propiedades de seguridad del objeto en la Figura . Compatibilidad de Active Directory Active Directory depende del sistema operativo y se ejecuta slo en servidores Windows 2000. Puesto que Active Directorio es compatible con LDAP, puede accederse a los servicios y la informacin o intercambiarse con otros servicios de directorio LDAP. Microsoft tambin proporciona herramientas para migrar informacin desde otros directorios, como NDS, a Active Directory.
34
Mdulo 5:
5.3.4
Servicio de Informacin de Red (NIS)
35
Mdulo 5:
Linux usa su propia versin de Servicios de Directorio llamada Servicio de Informacin de Red (NIS). NIS proporciona un simple servicio de bsqueda que consiste en bases de datos y procesos. NIS es un servicio que proporciona la informacin requerida en todas las mquinas de la red. Hay soporte para NIS en la librera libc estndar de Linux, al que se denomina "NIS tradicional". NIS, a diferencia de Active Directory de Windows, puede instalarse por defecto cuando se instala el Sistema Operativo. No obstante, esta opcin slo est disponible en determinadas distribuciones. NIS es un Daemon al que hay que cargar despus de instalado el sistema operativo. Configurar NIS en el sistema permitir al Servidor Linux obtener informacin acerca de cuentas de usuario, cuentas de grupo, sistemas de archivos, y otras bases de datos ubicadas en otros servidores de toda la Red. NIS funciona de manera muy similar para Linux, como NDS lo hace para Novell y Active Directory lo hace para Windows. Un sistema que usa NIS podr acceder a los archivos y a informacin de cualquier sistema de la Red. Para establecer correctamente esta relacin, NIS a menudo trabajar en conjuncin con el Sistema de Archivos de Red (NFS). NFS ejecutado en Linux permite a un usuario montar sistemas de archivos que pueden ubicarse en cualquier servidor de la Red a un directorio local del usuario. La Estructura de NIS En una configuracin de NIS, la red consistir en el servidor NIS, esclavos y clientes. El servidor NIS es donde la base de datos de NIS se crea y mantiene. Los esclavos NIS actan igual que los servidores NDS actan en Novell. Las bases de datos NIS se copian a todos los servidores esclavos NIS. Los esclavos son entonces capaces de proporcionar informacin de directorios NIS a los clientes, pero cualquier cambio efectuado a la base de datos debe llevarse a cabo en el servidor NIS. Los clientes NIS son los sistemas que solicitarn informacin sobre la base de datos de los servidores y esclavos. Los esclavos NIS llevan a cabo Equilibrio de la Carga para los servidores NIS. La Figura muestra un ejemplo de la disposicin lgica de una topologa NIS Linux. Configuracin de NIS en un Cliente Si un usuario est configurando NIS durante la instalacin de Linux, entonces todo lo que se necesitar es seleccionar la opcin cuando se presente. Luego el usuario tendr que seleccionar el nombre de dominio de NIS as como la direccin IP del servidor NIS. Es importante notar que el nombre de dominio de NIS no es necesariamente el mismo que el nombre de dominio DNS. Para configurar NIS despus de instalar Linux, el usuario usa la utilidad linuxconf para configurar un cliente NIS. La Figura muestra un ejemplo de la utilidad linuxconf. En este punto, el usuario necesitar introducir el nombre de dominio NIS y la direccin IP del servidor NIS. yppassword e ypinit El comando yppasswd cambia la contrasea de red asociada con el usuario username en la base de datos del Servicio de Informacin de Red (NIS+). yppasswd pide la antigua contrasea NIS, y luego la nueva. Se debe tipear la antigua contrasea correctamente para que el cambio tenga efecto. No se recomienda el uso de yppasswd, ya que ahora es slo un vnculo al comando passwd, que es el que debera usarse en cambio. Usar passwd con la opcin -r nis lograr los mismos resultados, y ser consistente en todos los servcios de nombre diferentes disponibles. La contrasea de los Servicios de Informacin de Red (NIS) puede ser diferente de una de su propia mquina. En esta instancia se utilizara el comando yppasswd en lugar del comando passwd. Los usuarios raz de un servidor NIS pueden cambiar la contrasea de otro usuario sin conocer la contrasea original del usuario. Para ello, el usuario Raz introduce su contrasea en lugar de la contrasea original del usuario. La yppasswd. Tenga en cuenta que el daemon yppassword debe estar ejecutndose para que los usuarios puedan usar el comando yppasswd. El daemon yppasswdd es un servidor que recibe y ejecuta solicitudes de nuevas contraseas del comando yppasswd. Estas solicitudes requieren el daemon para verificar la antigua contrasea del usuario y cambiarla. El daemon cambia la contrasea en el archivo que se especifica en el parmetro FileName, que tiene el mismo
36
Mdulo 5:
formato que el archivo /etc/passwd. Para hacer posible la actualizacin del mapa de contraseas del Servicio de Informacin de Red (NIS) desde mquinas remotas, el daemon yppasswdd debe ejecutarse en el servidor master que contiene el mapa de contraseas NIS. El daemon yppasswdd no se ejecuta por defecto, ni puede iniciarse desde el daemon inetd como otros daemons Llamada de Procedimiento Remoto (RPC). El daemon yppasswdd puede iniciarse y detenerse con los siguientes comandos Controlador de Recursos del Sistema (SRC): startsrc -s yppasswdd stopsrc -s yppasswd
El comando ypinit configura mapas NIS en un servidor master de Servicios de Informacin de Red (NIS) o servidor esclavo NIS. Slo los usuarios con autoridad de usuario raz pueden usar el comando ypinit. La sintaxis de comandos para usar el comando ypinit es la siguiente: /usr/sbin/ypinit [ -o] [ -n ] [ -q] -m [ SlaveName ... ] /usr/sbin/ypinit -s MasterName
El primer comando se usa para configurar NIS en un Servidor Master NIS y el segundo comando configurar NIS en un Servidor Esclavo NIS.
37
Mdulo 5:
38
Mdulo 5:
5.4
Otros Servicios de los NOS
5.4.1
Correo
El correo bien podra ser el ms importante proceso de red de todos. El correo proporciona a los usuarios un mecanismo para enviar y recibir correo electrnico (e-mail). Los servicios de correo vienen en varias formas. A lo largo de los aos, muchas compaas han desarrollado mtodos propietarios de intercambiar e-mail. Hoy, virtualmente todos los servicios de correo se basan en TCP/IP o pueden al menos actuar como gateway entre los servicios de correo propietarios y TCP/IP. La Figura representa cmo un cliente puede enviar correo a otro a travs de Internet usando servicios TCP/IP. Es un error pensar que el correo se enva de la computadora de un usuario directamente a otra. Aunque este caso es posible, slo puede ocurrir si ambas PCs estn actuando como servidores de correo. La mayor parte del tiempo, el correo del emisor se enva a un servidor de correo que pertenece a su ISP o a su empleador, no directamente al destino. El servidor de correo luego enva el correo (de ser necesario) a un servidor usado por el destinatario. Por ejemplo, Mara tipea un e-mail a john@foo.com. El programa de correo de Mara enva el correo a un servidor de correo usado por Mara. Se trata en general de un servidor de correo ejecutado por el ISP de Mara o su compaa. El servidor de correo intenta entonces enviar el mensaje a un servidor de correo usado por John. El servidor de correo de Mara usa la informacin que se encuentra despus del smbolo @ de la direccin de John para determinar dnde enviar el mensaje. En este caso, el servidor de Mara busca servidores de correo que manejen correo para foo.com. Una vez que el mensaje llega al servidor de correo de foo.com, espera ah hasta que el programa de e-mail de John lo recupera. Los servicios de correo estn compuestos por una combinacin de los siguientes componentes: Mail Transfer Agent (MTA) Mail User Agent (MUA) Mail Delivery Agent (MDA)
Sendmail es el nombre del MTA ms popular usado en servidores UNIX y Linux. Sendmail se basa en el Protocolo de Transferencia de Mail Simple (SMTP) para recibir correo de clientes y enviar correo a otros servidores de correo. SMTP es parte de la suite de protocolos TCP/IP. Clientes de correo populares (MUAs) incluyen a Microsoft Outlook, Eudora, y Pine. Los MUAs pueden componer y enviar correo a los MTAs, como Sendmail. Los clientes de correo envan correo a servidores usando SMTP. Un MDA es un programa que es responsable de enrutar correo recibido a las bandejas de correo apropiadas en el servidor de correo. Algunos MDAs incluyen funciones de seguridad y filtros que pueden evitar la dispersin de virus de e-mail. El e-mail no se lee usualmente cuando un usuario ha iniciado sesin a una cuenta de shell en el servidor de correo. En cambio, se usa software para recuperar el correo de una bandeja de correo, que reside en el servidor. Para recuperar correo de un servidor de correo, los clientes de correo remotos usan dos protocolos comunes: Post Office Protocol versin 3 (POP3) Internet Message Access Protocol (IMAP)
39
Mdulo 5:
Post Office Protocol versin 3 (POP3) Un protocolo simple usado por los clientes de correo para autenticar servidores de correo y recuperar correo. POP3 no cifra nombres de usuario ni contraseas, por lo cual puede ser un riesgo de seguridad en algunas LANs. Internet Message Access Protocol (IMAP) Un protocolo complejo que normalmente resulta en una ms alta sobrecarga del servidor que POP3. IMAP puede cifrar contraseas y tiene otras funciones. Las implementaciones de IMAP estn generalmente diseadas para almacenar e-mail en el servidor de correo y permitir a los usuarios acceder desde varios clientes. Al implementar servicios de correo, recuerde que los clientes envan correo a los servidores usando SMTP y recuperar correo de los servidores usando POP3 o IMAP. Adems, muchos servidores de correo incluyen otras funciones, incluyendo soporte para otras actividades: Protocolo de Acceso a Directorio Liviano (LDAP) proporciona libreta de direcciones corporativa compartida Programas de interfaz de web que permiten a los clientes leer y componer correo usando un navegador web
No es necesario que cada NOS de una red ejecute el servicio de correo. En general, solamente un servidor de una red es necesario para llevar a cabo deberes relacionados con el e-mail para todos los usuarios. Este servidor ejecuta el servicio de correo en todo momento, y los usuarios se conectan al servidor cuando envan y leen e-mail. La Figura es una actividad de arrastrar y colocar sobre agentes de correo comunes.
40
Mdulo 5:
5.4.2
Impresin
Aunque el mundo se dirige rpidamente a una era electrnica, an existe necesidad de impresiones fsicas de datos. En redes grandes y en algunas pequeas, es imprctico proporcionar una impresora a cada estacin de trabajo. La solucin es proporcionar impresoras en red para soportar a todos los usuarios dentro de una locacin fsica. Por esta razn, los administradores de red usan servicios de impresin para ayudar a administrar estas impresoras de red y sus respectivas colas de impresin. Cuando un usuario decide imprimir en un entorno de impresin en red, el trabajo se enva a la cola apropiada para la impresora seleccionada. Las colas de impresin "apilan" los trabajos de impresin entrantes y los sirven usando un orden "Primero en Entrar, Primero en Salir" (FIFO). Es decir, cuando un trabajo se agrega a la cola, se lo coloca al final de la lista de trabajos en espera y se lo imprime despus de todos los trabajos anteriores a l. La espera para un trabajo
41
Mdulo 5:
de impresin en ocasiones puede ser larga, dependiendo del tamao de los trabajos de impresin introducidos en la cola antes que l. De esta manera, un servicio de impresin en red proporcionar a los administradores del sistema las herramientas necesarias para administrar la gran cantidad de trabajos de impresin que se enrutan a lo largo de toda la red. Esto incluye la capacidad de priorizar, hacer pausa, e incluso borrar trabajos de impresin que estn esperando para ser impresos. Los servicios de impresin usualmente se confinan a un entorno de intranet local por razones de mantenimiento y capacidad administrativa. La Figura muestra un ejemplo del administrador de trabajos de impresin para Windows 2000.
5.4.3
Archivos compartidos
La capacidad de compartir archivos mediante una red es un importante servicio de red. Existen muchos protocolos y aplicaciones para compartir archivos en uso hoy. Dentro de una red corporativa u hogarea, los archivos en general se comparten usando Windows File Sharing o el protocolo Network File Sharing (NFS). En tales entornos, un usuario final puede ni siquiera saber si un determinado archivo se encuentra en el disco rgido local o en un servidor remoto. Windows File Sharing y NFS permiten a los usuarios mover, crear, y borrar archivos fcilmente en directorios remotos. En contraste a compartir archivos dentro de una red en el hogar o la oficina, compartir archivos en Internet se efecta a menudo usando el Protocolo de Transferencia de Archivos (FTP). FTP es un protocolo cliente-servidor que requiere que los clientes inicien sesin antes de transferir archivos. Los archivos siempre estn disponibles con Windows File Sharing y NFS pero las sesiones FTP se efectan solamente en la duracin de la transferencia de archivos. La mayora de los NOSs con capacidad TCP/IP incluyen servicios FTP, aunque los comandos soportados por cada NOS pueden variar levemente. Hoy, muchos usuarios finales comparten archivos usando protocolos peer-to-peer por Internet. Gnutella es un ejemplo de protocolo de networking peer-to-peer. Los protocolos peer-to-peer
42
Mdulo 5:
funcionan sin un servidor central. Cada host que participa en la red peer-to-peer es considerado el igual del resto de los hosts. El networking peer-to-peer es popular entre los usuarios hogareos, pero an tiene que implementarse la tecnologa como solucin de negocio difundida. Las redes peer-to-peer a menudo se basan en protocolos TCP/IP comunes para compartir archivos. Por ejemplo, los peers Gnutella usan HTTP para descargar archivos de un peer a otro. La Figura muestra un ejemplo de un dominio con los directorios y archivos compartidos a los que puede accederse mediante una conexin peer-to-peer.
5.4.4
FTP (Transferencia de Archivos)
Muchas organizaciones hacen disponibles archivos a empleados remotos, clientes y al pblico en general mediante el Protocolo de Transferencia de Archivos (FTP). Los servicios FTP se hacen disponibles al pblico en conjuncin con los servicios web. Por ejemplo, un usuario puede navegar por un sitio web, leer acerca de una actualizacin de software en una pgina web, y despus descargar la actualizacin usando FTP. Compaas ms pequeas pueden usar un nico servidor para proporcionar servicios FTP y HTTP, mientras que compaas ms grandes pueden elegir usar servidores FTP dedicados. La Figura muestra un programa FTP tpico, que puede usarse para descargar archivos desde un servidor remoto. Aunque los clientes FTP deben iniciar sesin, muchos servidores FTP se configuran para permitir un acceso annimo. Cuando los usuarios acceden a un servidor annimamente, no necesitan tener una cuenta de usuario en el sistema. El protocolo FTP tambin permite a los usuarios cargar, renombrar, y borrar archivos, por lo cual los administradores deben tener cuidado al configurar un servidor FTP de controlar niveles de acceso. FTP es un protocolo orientado a la sesin. Los clientes deben abrir una sesin con el servidor, autenticarse, y despus llevar a cabo una accin como descargar o cargar. Si la sesin del cliente est inactiva durante un cierto tiempo, el servidor desconecta al cliente. Este periodo
43
Mdulo 5:
inactivo se denomina tiempo vencido por inactividad. La longitud de un tiempo vencido por inactividad FTP vara dependiendo del software. Las conexiones FTP se establecen mediante programas GUI o usando el siguiente comando CLI estndar: ftp nombre_host o direccin_IP Ejemplos incluyen las siguientes situaciones: ftp computadora.compaa.com o ftp 123.45.67.90 Los servicios FTP en general no son habilitados por defecto en los NOSs. Esto se hace para evitar que los administradores inadvertidamente hagan disponibles para la descarga archivos restringidos. Adems, los programas de servidor FTP han sido histricamente un blanco de los DoS y otros ataques maliciosos. Los atacantes que intentan evitar que usuarios legtimos obtengan acceso a un servicio, como un servicio FTP, caracterizan un ataque DoS. Ejemplos incluyen a: Intentos de inundar una red evitando el trfico legtimo de la red Intentos de perturbar las conexiones entre dos mquinas evitando el acceso a un servicio Intentos de evitar a un individuo en particular el acceso a un servicio Intentos de perturbar el servicio para un sistema o usuario especfico
Un administrador de red deber estar preparado para monitorear este tipo de actividad antes de implementar un servicio FTP de alto perfil. La Figura muestra comandos FTP comunes. Los Captulos 9 y 10 describirn especficamente cmo configurar servicios FTP en Red Hat Linux 7 y Windows 2000.
44
Mdulo 5:
5.4.5
Servicios web
45
Mdulo 5:
La World Wide Web es ahora el servicio de red ms visible. En menos de una dcada, la World Wide Web se ha convertido en una red global de informacin, comercio, educacin y entretenimiento. La Figura muestra un grfico que representa el crecimiento exponencial de Internet. Millones de compaas, organizaciones, e individuos mantienen sitios web en Internet. Los sitios web son colecciones de pginas web almacenadas en un servidor o en un grupo de servidores. La World Wide Web se basa en un modelo cliente-servidor. Los clientes intentan establecer sesiones TCP con servidores web. Una vez establecida una sesin, un cliente puede solicitar datos al servidor. El Protocolo de Transferencia de Hipertexto (HTTP) gobierna en general las solicitudes de los clientes y las transferencias de los servidores. Software cliente web incluye navegadores web GUI, como Netscape Navigator e Internet Explorer. La Figura muestra un ejemplo del navegador web Windows Explorer. Los clientes web tambin pueden ser navegadores de texto. Un navegador de texto puede mostrar una red usando caracteres tipogrficos, pero no grficos. Ejemplos de navegadores de texto incluyen a Lynx (usado en sistemas UNIX/Linux) y navegadores web inalmbricos (en telfonos celulares). A principios de los '90, HTTP se usaba para transferir pginas estticas compuestas de texto e imgenes simples. Estas primeras pginas web estaban escritas casi exclusivamente usando HyperText Markup Language (HTML). A medida que se desarroll la World Wide Web, el rol de HTTP se ha expandido. Los sitios web ahora usan HTTP para entregar contenido dinmico y transferir archivos. Protocolo de Transferencia de Hipertexto Seguro (HTTPS) es una extensin del protocolo HTTP que se usa para soportar datos enviados seguramente por Internet. HTTPS est diseado para enviar mensajes individuales con seguridad. Un ejemplo de Aplicacin Web que podra usar HTTPS es un banco que tiene sitios web para sus clientes que les permite llevar a cabo transacciones financieras. Las pginas web se hospedan en computadoras que ejecutan software de servicio web. Los dos paquetes de software de servidor web ms comunes son Microsoft Internet Information Services (IIS) y Apache Web Server. Microsoft IIS slo puede ejecutarse en una plataforma Windows, mientras que Apache Web Server se usa en general en plataformas UNIX y Linux. Existen docenas de otros programas de servidor web. Existe algn tipo de servicio web disponibles para virtualmente todos los sistemas operativos actualmente en produccin. El uso ms obvio de los servicios web es comunicarse usando Internet. Las compaas publicitan y venden sus productos usando sitios web, las organizaciones hacen disponible informacin, y las familias colocan fotos y diarios online para compartir con amigos. No obstante, los servicios web tambin se usan en redes pblicas o privadas para implementar aplicaciones de computadoras, colaborar en proyectos, y administrar sistemas remotos. Las siguientes secciones tratan redes World Wide Web privadas, llamadas Intranets, as como la administracin remota basada en la web. La Figura muestra un ejemplo del navegador web Netscape Navigator.
46
Mdulo 5:
47
Mdulo 5:
5.4.6
Intranet
Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organizacin puede implementar una red World Wide Web privada con una variedad de propsitos: Informacin interna, memorandos, e informes Directorios de personal y empleados Calendarios y cronogramas de citas Implementacin de aplicaciones y software Informacin sobre nmina de pagos Servicios a los empleados Herramientas colaborativas
Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organizacin puede implementar una red World Wide Web privada con una variedad de propsitos: Informacin interna, memorandos, e informes Directorios de personal y empleados Calendarios y cronogramas de citas Implementacin de aplicaciones y software Informacin sobre nmina de pagos Servicios a los empleados Herramientas colaborativas
Las organizaciones en general no desean que tal informacin y servicios se hagan pblicos en Internet. En cambio, las organizaciones construyen servidores web para crear una intranet privada. El prefijo en latn "inter" significa "entre", y as puede considerarse que la palabra
48
Mdulo 5:
Internet significa literalmente "entre redes". Este significado literal tiene sentido, ya que Internet proporciona una forma de interconectar diferentes redes de computadoras de todo el mundo. La Figura proporciona un ejemplo de representacin lgica de una Intranet. Existen varias redes ubicadas en todo el mundo que estn conectadas y usan su propia Intranet para intercambiar informacin y mostrar pginas web, que es una alternativa mucho ms segura a mostrarlas en la Internet externa. El prefijo en latn "intra" significa "dentro", por lo tanto una intranet es una red dentro de alguna frontera o lmite. Las intranets usan la misma tecnologa usada por Internet, incluyendo HTTP sobre TCP/IP, servidores web y clientes web. La diferencia entre una intranet e Internet es que las intranets no permiten el acceso pblico a servidores privados. Una forma de construir intranets es configurarlas para que slo los usuarios en el sitio puedan acceder a los servidores de intranet. Esto se logra en general usando un firewall Internet. No obstante, puesto que muchos empleados trabajan en su casa o de viaje, las organizaciones han hallado formas de extender las intranets ms all de las fronteras geogrficas del edificio o campus de la oficina. Este tipo de intranet, que permite a los usuarios de afuera conectarse a los servidores web privados, a veces se llama Extranet. Las extranets se configuran para permitir a los empleados y clientes acceder a la red privada por Internet. Para evitar un acceso no autorizado a la red privada, los diseadores de la extranet deben usar una tecnologa tal como un networking privado virtual. La Figura proporciona un ejemplo de representacin lgica de cmo se establece un Tnel Virtual mediante Internet para proporcionar una conexin remota segura a la red interna de una compaa. Una red privada virtual (VPN) hace posible para los empleados usar un cliente web conectado a Internet para acceder a la red privada de manera segura. Las VPNs se basan en software de cifrado, nombres de usuario, y contraseas para asegurar que la comunicacin tenga lugar privadamente, y slo entre usuarios autorizados. La Figura ilustra cmo una VPN tambin puede usarse como un medio seguro de transferir datos de manera segura a otra sucursal remota usando Internet como medio de transporte.
49
Mdulo 5:
50
Mdulo 5:
5.4.7
Extranet
Las extranets son una tecnologa emergente que muchas de las ms grandes corporaciones del mundo estn comenzando a construir. Proporcionan un medio de incluir al mundo exterior, como clientes y proveedores, as como un medio de obtener valiosa investigacin del mercado. Por ejemplo, una intranet de una compaa puede estar vinculada a su sitio web externo (o extranet). Esto les puede permitir obtener informacin acerca de un cliente que navega por su sitio web. La informacin incluira dnde estn mirando en el sitio, qu productos toman como muestra, qu procesos producen solicitudes de soporte tcnico, o qu repuestos estn comprando. Las extranets son intranets llevadas al siguiente paso. Una intranet abarca la compaa, mientras que la extranet puede abarcar el mundo. Las extranets pueden particionar y separar datos de la compaa contenidos en la intranet de la compaa de los servicios web ofrecidos al mundo mediante Internet. Unas pocas ventajas de una extranet para una compaa podra ser el e-mail y los programas compartidos. Puede extender las capacidades de la compaa para proporcionar soporte al cliente, as como e-commerce y ventas online. Uno de los peligros obvios de las extranets es la seguridad, no obstante es posible proporcionar seguridad con firewalls y contraseas cifradas. Esto no garantiza que una extranet sea segura. La Figura delinea algunos de los diversos tipos de redes que han sido tratados.
51
Mdulo 5:
5.4.8
Tareas automatizadas con servicios de scripts
El software NOS moderno proporciona a los administradores de sistemas y usuarios muchas herramientas incorporadas y funciones automatizadas para incrementar la productividad. A veces estas funciones y comandos no son suficientes para llevar a cabo ciertas tareas eficientemente. Por esta razn, la mayora de los NOSs incluyen soporte para "scripts". Un script es un programa de texto simple que permite al usuario llevar a cabo muchas tareas automatizadas a la vez. Dependiendo de su diseo, los scripts pueden ir desde lneas nicas de cdigo a largas cantidades de lgica de programacin. Se considera que los scripts son mucho ms simples que los programas y aplicaciones estndar que se encuentran en un NOS. El sistema operativo procesa secuencialmente las lneas de cdigo de un archivo script cada vez que se ejecuta el archivo. La mayora de los scripts estn diseados para ejecutarse desde la parte superior del archivo hasta la inferior sin requerir ninguna entrada del usuario. Este proceso es bastante diferente a los programas regulares, donde las lneas de cdigo se compilan en archivos ejecutables, y la interaccin del usuario tpicamente juega un rol fundamental. No obstante, el usuario o administrador de sistemas promedio no tiene tiempo de desarrollar aplicaciones tan complejas y a menudo no tiene necesidad de la potencia de programacin adicional que proporcionan. Los scripts proporcionan un buen terreno medio, ofreciendo la capacidad de usar lgica de programacin estndar para ejecutar tareas simples y no interactivas. Existen muchos lenguajes de scripting diferentes, y cada uno ofrece sus propias ventajas al usuario: Visual Basic script (VBScript) Un lenguaje de scripting de Microsoft muy popular basado en el lenguaje de programacin Visual Basic. VBScript se considera fcil de aprender y es ampliamente usado en Windows 2000.
52
Mdulo 5:
JavaScript Otro lenguaje de scripting popular basado en el lenguaje de programacin Java. JavaScript se usa ms a menudo en pginas web, permitiendo a un navegador web ejecutar el script y proporcionar a los usuarios de la web ms funcionalidades. Linux shell scripting Especfico del NOS Linux, estos scripts de shell consisten en muchos comandos Linux y lgica de programacin para llevar a cabo una serie de comandos a la vez. Perl, PHP, TCL, REXX, y Python Existen muchos otros lenguajes de scripting con varios grados de dificultad y propsitos. La mayora de los usuarios no son expertos en tales lenguajes y en cambio se concentran en aprender slo aqullos que mejor sirven a sus necesidades.
Aunque difieran en funcionalidad y sintaxis, estos lenguajes de scripting proporcionan a los usuarios las herramientas necesarias para personalizar el NOS. Los NOSs ahora soportan tpicamente varios de estos diferentes lenguajes de scripting y proporcionan a los usuarios flexibilidad para determinar qu lenguaje de scripting implementar. Soluciones en Script La mayora de los usuarios de NOS promedio no crearn ni ejecutarn sus propios scripts. La mayor parte del scripting es llevado a cabo por administradores de sistemas y usuarios experimentados que se sienten cmodos con los conceptos de programacin. Tienden a construir tales scripts con el propsito de automatizar tareas especficas mediante la ejecucin de un nico archivo script. Estos archivos script pueden luego programarse para que se ejecuten a una hora determinada, cuando ocurre un evento, o para ser ejecutados manualmente por el usuario. Los siguientes ejemplos demuestran casos comunes donde los scripts son una solucin apropiada: Iniciar sesin en el NOS Un administrador de sistemas puede usar scripts para efectuar tareas adicionales cuando los usuarios inician sesin en la red. stas incluyen configuraciones por defecto, inicializacin de servicios, y conexin a otra unidades de red, dispositivos e impresoras. Imprimir mensajes en la pantalla A menudo se crean scripts personalizados que muestran mensajes a los usuarios de una red. Estos mensajes tpicamente notifican a los usuarios de eventos tales como la llegada de nuevo correo, el estado de un trabajo de impresin, o el apagado de un servidor de red. Instalar software Un proceso comn de instalacin de software requiere administradores de sistema que seleccionen y confirmen muchas opciones. Pueden crearse scripts para automatizar este proceso y reducir la cantidad de tiempo necesario para instalar el software en incontables PCs a lo largo de una red. Automatizar comandos complicados Algunas tareas muchas veces involucran una serie de comandos complicados que debe repetirse muy a menudo. Para simplificar este proceso, se crean scripts que contienen todos estos comandos, permitiendo as al usuario ejecutar slo el archivo script y llevar a cabo todas las tareas automticamente.
Escribir un script en Windows 2000 y Linux se tratar en el Captulo 10. La Figura delinea algunos de los ms importantes lenguajes de programacin que se usan en algunos de los sistemas operativos ms importantes tratados en este curso.
53
Mdulo 5:
5.4.9
Servicio de Nombre de Dominio (DNS)
El protocolo Servicio de Nombre de Dominio (DNS) traduce un nombre de Internet (como www.cisco.com, por ejemplo) a direccin IP. Muchas aplicaciones se basan en los servicios de directorio proporcionados por DNS para hacer su trabajo. Los navegadores web, programas de e-mail, y programas de transferencia de archivos usan todos ellos los nombres de sistemas remotos. El protocolo DNS permite a estos clientes hacer solicitudes a servidores DNS en la red para la traduccin de nombres a direcciones IP. (Ver Figura ). Las aplicaciones pueden luego usar las direcciones para enviar sus mensajes. Sin este servicio de bsqueda de directorio, Internet sera casi imposible de usar. Nombres de host Los nombres de host y los servicios DNS que los sistemas informticos ejecutan estn todos relacionados. El nombre de Internet que el DNS resuelve a la direccin IP tambin se denomina nombre de host. Para los sistemas informticos es ms fcil trabajar con nmeros, por lo que las computadoras pueden muy fcil y rpidamente distinguir entre diferentes computadoras y localizar diferentes computadoras usando una direccin IP binaria. Es un proceso mucho ms difcil para los seres humanos poder hacer esto. sta es la razn por la cual los nombres de host se resuelven a direcciones IP mediante los servicios DNS. Por ejemplo, si a un usuario se le dieran dos direcciones IP para dos computadoras, como 192.168.1.5 y 168.5.59.7, sera difcil distinguir a qu sistema informtico representaran estas direcciones IP. Especialmente si los servicios DHCP estuvieran habilitados lo que significa que la direccin IP podra cambiar por momentos. Sera imposible para un administrador de sistema o los usuarios finales mantener el rastro. Por otro lado, si el administrador del sistema o los usuarios finales pudieran encontrar esta computadora usando un nombre de host como fileserver_A o fileserver_B por ejemplo, el usuario podra distinguir muy fcil y rpidamente entre sistemas informticos. Los nombres de host tambin hacen fcil el localizar sistemas especficos como servidores web o servidores FTP en Internet porque es mucho ms fcil recordar un nombre que una direccin IP.
54
Mdulo 5:
Existen unas pocas reglas que es importante conocer respecto a los nombres de host. Los nombres de host se componen de dos partes, de manera similar a como una direccin IP se compone de dos partes. La primera parte del nombre de host se llama Nombre de la Mquina y la segunda parte se llama Nombre de Dominio. El nombre de la mquina se refiere a la computadora real mientras que el nombre de dominio se refiere a la coleccin de computadoras a la cual pertenece la computadora especfica. Los nombres de dominio son nicos y son nombres registrados para su uso por parte de individuos, pequeos negocios y corporaciones, que pueden asignar los nombres de mquina a sistemas dentro del dominio y vincular esos nombres de mquina a direcciones IP. Para comprender cmo funciona este proceso entre nombres de mquina y nombres de dominio, es necesario comprender la estructura jerrquica de los dominios de Internet. La estructura est compuesta de Dominios de Nivel Superior (TLDs), que se consideran la parte superior del "rbol-dominio". Ejemplos de TLDs son cosas como .com, .edu, .gov, o .mil, por ejemplo. Los usuarios estarn probablemente familiarizados con estos nombres si alguna vez han estado en Internet. Dentro de cada TLD hay diversos nombres de dominio registrados que representan a individuos especficos, pequeos negocios, corporaciones y organizaciones como cisco.com o linux.com por ejemplo. Estos dominios an se dividen en subdominios ms pequeos dentro del dominio como SanJose.Cisco.com o Phoenix.Cisco.com por ejemplo. La estructura de dominio y subdominio representa agrupaciones lgicas de computadoras dentro de las compaas u organizaciones. Incluso los subdominios pueden dividirse en subdominios ms pequeos. Los nombres de host usualmente son asignados por administradores de sistema o tendrn convenciones de nombrado especificadas que se usan para identificar las computadoras segn quin las usa, para qu se las usa, o en qu departamento se encuentran. El administrador del sistema usualmente hace esta convencin de nombrado de modo tal que cada computadora del dominio pueda ser fcilmente identificada. Por esta razn es muy raro que cualquier computadora de una red que es parte del dominio tenga sus nombres de host configurados por el usuario. Existen algunas instancias que, si se est usando DHCP, los nombres de host pueden asignarse automticamente. No obstante, estos no se hace por lo general ya que los nombres de host son usualmente controlados por el administrador del sistema y deben configurarse manualmente. Configuracin de Servicios DNS Bsicos para Linux Tratar todo lo involucrado en configurar su sistema Linux como servidor DNS ira ms all del alcance de este curso. Esta seccin tratar en cambio algunos de los archivos y pasos bsicos involucrados en la configuracin de servicios DNS. Segn se explic al principio de la seccin, el Sistema de Nombres de Dominio (DNS) es la forma en la cual una direccin IP se resuelve a un URL o nombre de dominio como www.google.com para asignar un nombre fcilmente localizado, administrado y recordado a una direccin IP arbitrariamente numrica. BIND es una sigla para el proyecto "Berkeley Internet Name Domain" que mantiene a la suite de software relacionada con DNS que se ejecuta bajo Linux. El programa mejor conocido en BIND es "named", el daemon que responde a las consultas DNS desde mquinas remotas. Una vez que BIND ha sido instalado, la primera cosa que hacer sera iniciar el BIND de la siguiente manera: # /etc/init.d/named start Para configurar BIND para que se inicie automticamente cuando el servidor arranca use el siguiente comando: # chkconfig --level 35 named on
55
Mdulo 5:
El archivo /etc/resolv.conf es usado por clientes DNS (servidores que no ejecutan BIND) para determinar tanto la ubicacin de su servidor DNS como los dominios a los cuales pertenecen. En general tiene dos columnas, la primera contiene una palabra clave y la segunda contiene el o los valor(es) deseado(s) separados por comas. Una lista de las palabras clave se muestra en la Figura . La configuracin DNS principal se guarda en el archivo /etc/named.conf que se usa para decirle a BIND dnde encontrar los archivos de configuracin para cada dominio que posee. Por lo general hay dos zonas en este archivo: Definiciones del archivo de la zona hacia delante que enumera los archivos para mapear dominios a direcciones IP Definiciones del archivo de la zona en reversa que enumera los archivos para mapear direcciones IP a dominios
El archivo /etc/hosts enumera el nombre y la direccin IP de los hosts locales. Su servidor en general verificar este archivo antes de hacer referencia a DNS, si el nombre se encuentra entonces DNS no ser consultado. Desgraciadamente, si la direccin IP de ese host cambia, tendr que actualizarse el archivo. Para que sea fcil la administracin, lo mejor es limitar las entradas en este archivo slo a la interfaz loopback, y tambin al nombre de host local. El archivo /etc/hosts tiene el siguiente formato: direccin-ip nombre-dominio-totalmente-calificado alias1 alias2 alias3 etc dig La utilidad dig (buscador de informacin de dominio) es una flexible herramienta para interrogar servidores de nombre DNS. Lleva a cabo bsquedas DNS y muestra las respuestas que son devueltas por el o los servidor(es) de nombre que fueron consultado(s). La mayora de los administradores de DNS usan dig para detectar y solucionar problemas de DNS a causa de su flexibilidad, facilidad de uso y claridad de resultados. Otras herramientas de bsquedas tienden a tener menos funcionalidad que dig. A menos que se le indique que consulte un servidor de nombre especfico, dig probar cada uno de los servidores enumerados en /etc/resolv.conf. Un ejemplo del uso del comando dig es el que sigue: # dig servidor nombre tipo servidor El nombre o direccin IP del servidor de nombre a consultar. sta puede ser una direccin IPv4 en notacin decimal de punto o una direccin IPv6 en notacin delimitada por dos puntos. Cuando el argumento del servidor proporcionado es un nombre de host, dig resuelve ese nombre antes de consultar al servidor de nombre. Si no se proporciona ningn argumento de servidor, dig consulta /etc/resolv.conf y consulta los servidores de nombre enumerados ah. La respuesta del servidor de nombre se muestra. nombre El nombre del registro de recursos donde hay que buscar. tipo Indica qu tipo de consulta se requiere - ANY, A, MX, SIG, etc. tipo puede ser cualquier tipo de consulta vlido. Si no se proporciona ningn argumento tipo, dig llevar a cabo una bsqueda de un registro A.
56
Mdulo 5:
5.4.10 DHCP
57
Mdulo 5:
El propsito del Protocolo de Configuracin Dinmica del Host (DHCP) es habilitar computadoras individuales en una red IP para extraer sus configuraciones del servidor o los servidores DHCP. Estos servidores DHCP no tienen informacin exacta acerca de las computadoras individuales hasta que no se solicita informacin. El propsito general de esto es reducir el trabajo necesario para administrar una red IP grande. La ms significativa pieza de informacin distribuida de esta manera es la direccin IP que identifica al host en la red. DHCP tambin permite la recuperacin y la capacidad de renovar automticamente las direcciones IP de red mediante un mecanismo de prstamo. Este mecanismo adjudica una direccin IP para un periodo especfico, la libera y luego asigna una nueva direccin IP. DHCP permite que todo esto lo haga un servidor DHCP que ahorra al administrador del sistema considerables cantidades de tiempo. Linux tiene la capacidad de usar cualquiera de tres clientes DHCP, pump, dhclient o dhcpd. No todas las distribuciones de Linux contendrn a los tres. Algunas tendrn los tres, algunas solamente dos, y otras solamente uno. No obstante, todas las distribuciones tienen un cliente DHCP por defecto que se usa, si el usuario eligi la opcin de usar DHCP durante el proceso de instalacin. Las distribuciones que vienen con varios clientes DHCP permiten intercambiarlos quitando el viejo paquete y simplemente instalando el nuevo. El cliente DHCP Linux inicia cuando se arranca el sistema. La informacin de configuracin se almacena en un archivo de inicio llamado Network o Networking. En este archivo se ubica una lnea de texto que indic si ejecutar o no el cliente DHCP. La lnea de texto puede verse a continuacin: BOOTPROTO="dhcp" La distribucin Red Hat de Linux almacena esta informacin en el archivo /etc/sysconfig/network-scripts/ifcfg-eth0. Borrando el "dhcp" en la lnea de texto de ms arriba, se detendrn los servicios DHCP. Configuracin de Servicios DHCP Bsicos para Linux Tratar todo lo involucrado en configurar su sistema Linux como servidor DHCP ira ms all del alcance de este curso. Esta seccin tratar en cambio algunos de los archivos y pasos bsicos involucrados en la configuracin de los servicios DHCP. Cuando DHCP inicia, lee el archivo /etc/dhcp.conf. Usa los comandos que hay aqu para configurar su red. Normalmente puede encontrarse una copia de muestra de dhcpd.conf en el siguiente directorio que siempre puede usarse como gua. /usr/share/doc/dhcp- <nmero-versin> /dhcpd.conf Antes de iniciar el servidor DHCP por primera vez, fallar a menos que haya un archivo dhcpd.leases existente. Use el siguiente comando para crear el archivo si no existe. # touch /var/lib/dhcp/dhcpd. leases Una vez que el daemon DHCP se ha instalado, lo primero que hacer sera iniciar DHCP de la siguiente manera: # /etc/init.d/dhcpd start Para configurar dhcpd para que inicie automticamente cuando el servidor arranca, use el siguiente comando: # chkconfig --level 35 dhcpd on
58
Mdulo 5:
5.4.11 Dominios Un dominio es una agrupacin lgica de computadoras en red que comparten un directorio o base de datos central. El directorio o base de datos se instala en computadoras llamadas Servidores. Un servidor usualmente administra todas las interacciones entre dominios relacionadas con la seguridad y con los usuarios. Tambin proporciona un lugar centralizado desde el cual administrar estos servicios. El concepto de dominio no incluye simplemente computadoras que estn unas junto a otras, o en una locacin especfica, o incluso en la misma LAN, aunque puede. Tambin puede incluir computadoras y servidores ubicados en diferentes locaciones en el mundo que pueden comunicarse entre s con diversos tipos de conexiones para mantener una base de datos sincronizada. La idea de dominio no es fsica, sino ms bien una agrupacin lgica de computadoras y servidores de la compaa (ver Figura ). Los dominios tienen varias ventajas: Administracin centralizada ya que toda la informacin de los usuarios se almacena centralmente. Un nico proceso de inicio de sesin que habilita a los usuarios a acceder a recursos de la red, como recursos de archivos, impresin y aplicaciones as como especificar permisos que controlen quin puede y quin no puede acceder a estos servicios. Un dominio proporciona la capacidad de expandir una red hasta tamaos extremadamente grandes en cada rincn del mundo.
59
Mdulo 5:
Resumen
Este captulo trat los servicios de red. Algunos de los conceptos importantes a retener de l son los siguientes: La administracin remota permite a un administrador acceder a una base de datos de archivos de un sistema, ejecutar diversos programas, o incluso descargar informacin o archivos de otra habitacin, otra ciudad, u otro pas. Varias aplicaciones y protocolos pueden usarse para administrar remotamente un servidor de red. El mtodo ms comn de administracin remota es la emulacin de terminal. Mientras que Novell NDS funciona como servicio que trabaja con el NOS, Microsoft Active Directory funciona como aplicacin profundamente integrada al sistema operativo. Linux usa otra versin de Servicio de Directorio llamada Servicio de Informacin de la Red (NIS). NIS proporciona un servicio de bsqueda en la red simple que consiste en bases de datos y procesos. La World Wide Web es ahora el servicio de red ms visible. Una intranet no permite el acceso pblico a servidores privados. Es especfica de una compaa individual. Una Extranet es una tecnologa emergente que combina lo mejor de Internet y una intranet.
Las computadoras con NOS asumen roles especializados para lograr un acceso concurrente a recursos compartidos. El siguiente captulo trata las caractersticas de los NOSs.
60

Introducción A Los Servicios de Red

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Introducción A Los Servicios de Red

Загружено:

Авторское право:

Доступные форматы

Repaso Inicial para Administracin de Servidores I

Descripcin General de los Servicios de Red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

5.2 Administracin Remota y Servicios de Acceso 5.2.1 Qu es el acceso remoto?

Descripcin general de los servicios de red

Descripcin general de los servicios de red

5.2.3 Usuarios mviles

Descripcin general de los servicios de red

Servicios de emulacin de Terminal

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Ataques de Denegacin de Servicio (DoS) Packet sniffing (datos de texto visualizables)

Descripcin general de los servicios de red

Configuracin de acceso remoto para un cliente

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Control de los derechos del acceso remoto

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Administracin remota a un sistema Linux

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Servicios de Directorio Qu es un servicio de directorio?

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Estndares del servicio de directorio

Descripcin general de los servicios de red

Active Directory de Windows 2000

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Servicio de Informacin de Red (NIS)

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Otros Servicios de los NOS

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

FTP (Transferencia de Archivos)

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red

Descripcin general de los servicios de red