Tfe000998 PDF

TRABAJO FIN DE GRADO
Ttulo
Conceptualizacin, diseo e implementacin de

infraestructura de red. Caso de estudio: Centro de
Rehabilitacin Laboral de Nueva Vida
Autor/es
Alberto Aparicio Colis
Director/es
Jess Mara Aransay Azofra y Eloy Javier Mata Sots
Facultad
Facultad de Ciencias, Estudios Agroalimentarios e Informtica

Titulacin
Grado en Ingeniera Informtica
Departamento
Curso Acadmico
2014-2015
Conceptualizacin, diseo e implementacin de infraestructura de red. Caso
de estudio: Centro de Rehabilitacin Laboral de Nueva Vida, trabajo fin de grado
de Alberto Aparicio Colis, dirigido por Jess Mara Aransay Azofra y Eloy Javier Mata Sots
(publicado por la Universidad de La Rioja), se difunde bajo una Licencia
Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported.
Permisos que vayan ms all de lo cubierto por esta licencia pueden solicitarse a los
titulares del copyright.
El autor
Universidad de La Rioja, Servicio de Publicaciones, 2015
publicaciones.unirioja.es
E-mail: publicaciones@unirioja.es
Conceptualizacin,
diseo e implementacin
de infraestructura de red
Caso de estudio:
Centro de Rehabilitacin Laboral Nueva Vida
Jess Mara Aransay Azofra

Eloy Javier Mata Sots

Grado en Ingeniera Informtica, Universidad de La Rioja
Departamento de Matemticas y Computacin
Curso acadmico 2014-2015
Trabajo Fin de Grado 2015 | Alberto Aparicio Colis 2
Resumen
Conceptualizacin, diseo e implementacin de infraestructura de red es un proyecto de

sistemas informticos y redes basado en un caso real. El cliente es el Centro de Rehabilitacin
Laboral Nueva Vida, un centro de orientacin y bsqueda de empleo para personas que
padecen enfermedad mental localizado en Madrid.
La red y los sistemas informticos utilizados por los usuarios y el personal del centro estn
obsoletos. Utilizan tecnologas y sistemas operativos antiguos que dificultan el desempeo de
los empleados, as como la formacin y orientacin de los usuarios.
El objetivo de este proyecto es proponer una solucin que:
Facilite y agilice el trabajo del centro.

Optimice el rendimiento de la red y los sistemas.
Actualice el entorno de trabajo con los ltimos sistemas operativos y tecnologas.
Minimice los costes aprovechando la infraestructura existente en la medida de lo
posible.
Summary
Conceptualizacin, diseo e implementacin de infraestructura de red is a systems-networks

oriented project based on a real case. The client is the Centro de Rehabilitacin Laboral Nueva
Vida, a centre of orientation and job searching for people who suffer mental illness located in
Madrid.
The network and the computing systems used by users and employees are obsolete. They use
old technologies and operating systems that difficult the work of the staff, as well as the users
training and orientation.
The objective of this project is to propose a solution that:
Facilitate and expedite the work done at the centre.

Optimize the network and systems performance.
Update the work environment with the newest technologies and operating systems.
Minimize costs taking advantage of the existing infrastructure as far as possible.
3 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

ndice
Captulo 1: Descripcin del proyecto
Introduccin ................................................................................................................... 11
Captura de requisitos ..................................................................................................... 12
Enumeracin de requisitos............................................................................................. 13
Definicin del alcance..................................................................................................... 14
Metodologa del TFG ...................................................................................................... 15
Cronograma .................................................................................................................... 15
Diagrama de Gantt ......................................................................................................... 21
Captulo 2: Anlisis de la situacin actual
Visita al centro y conclusiones ....................................................................................... 22

Infraestructura a utilizar ................................................................................................. 22
Plano de la situacin actual ............................................................................................ 23
Captulo 3: Diseo de la solucin
Infraestructura a renovar o ampliar ............................................................................... 24

Plano de distribucin de sistemas .................................................................................. 25
Software de sistemas ..................................................................................................... 25
Hardware de sistemas .................................................................................................... 27
Presupuesto.................................................................................................................... 27
Estudio y configuracin LAN ........................................................................................... 29
Informes de aplicaciones, seguridad y servicios ............................................................ 31
Captulo 4: Implementacin de la solucin
Instalacin de sistemas operativos ................................................................................ 38

Plan de pruebas .............................................................................................................. 40
Escenario de restauracin .............................................................................................. 47
Captulo 5: Conclusiones
Lecciones aprendidas ..................................................................................................... 56

Conclusin ...................................................................................................................... 59
Bibliografa...................................................................................................................... 60

Anexos
E70 Formularios de consulta.
E71 Diagrama de Gantt.
E72 Memoria.
E73 Reuniones y diario.
E74 Hardware de sistemas.
E75 Presupuesto de sistemas IT.
E76 Presupuesto de software.
E77 Esquema de copias de seguridad.
E78 Instalacin de Microsoft Windows Server 2012 R2.
E79 Usuarios, grupos e implementacin de seguridad.
E80 Instalacin de Microsoft Windows 8.1.
E81 Desviaciones y lecciones aprendidas.
E82 Plano de situacin actual.
E83 Plano de distribucin.
E84 Leyenda de planos de red.
E85 Simulacin de entorno de red.
E86 Seguridad a nivel humano.
E87 Fichas de sistemas.
E88 Plan de pruebas.

A mi familia y amigos por formar parte de mi crecimiento personal y felicidad.
A mis tutores y profesores por ser parte activa de mi desarrollo profesional, aportar
valor a mi trabajo y contribuir en mi motivacin cada da.
Dedicado a todos vosotros. Gracias.

Captulo 1.
Descripcin del proyecto
En el punto de partida enunciaremos, de forma general, los puntos que tratar el proyecto
durante su desarrollo. Definiremos el alcance y la metodologa a seguir, adems de enumerar
los requisitos a cumplir en cada uno de los apartados.
Introduccin
El proyecto Conceptualizacin, diseo e implementacin de infraestructura de red tiene

como objetivo estudiar la implementacin de una infraestructura informtica completa y
conectada. Consiste en analizar la infraestructura actual, aprovechar los avances tecnolgicos
y con ello proponer las mejoras aplicables a esta red de sistemas IT.
Teniendo en cuenta factores clave como conectividad, seguridad, servicios y rendimiento del
sistema se harn anlisis detallados y se propondrn despus alternativas que mejoren
notablemente estos conceptos en la organizacin.
Partiendo desde una arquitectura incompleta y obsoleta por el paso del tiempo trataremos de
amoldar las nuevas tecnologas de la informacin a este caso concreto.
Conceptos como la obsolescencia programada y el rpido avance tecnolgico motivan este

estudio. Adems, hacen de la renovacin de infraestructuras informticas en las empresas algo
necesario. Los equipos se vuelven lentos, los trabajadores se estresan y frustran porque sus
herramientas de trabajo son lentas y producen errores continuamente.
Un buen estudio que ofrezca mejoras informticas a una empresa puede afectar
positivamente no slo a la productividad de los sistemas, sino tambin a la de los propios
trabajadores.
Con buenas herramientas, se trabaja ms y mejor. Es el objetivo.
El Centro de Rehabilitacin Laboral Nueva Vida es el caso real sobre el que se realizar el
estudio. Se trata de un centro de atencin a personas con enfermedad mental de la ciudad de
Madrid, en el cual se desempean dos roles sociales principalmente:
1. Atencin, bsqueda de empleo y preparacin para el entorno profesional de personas

con enfermedad mental.
2. Concienciacin social, actividades y eventos que pretenden concienciar sobre el
estigma que envuelve a estas personas en su da a da.

Captura de requisitos
En la captura de requisitos se recoge la mayor cantidad de informacin posible sobre el centro.

Equipos hardware actualmente instalados, distribucin fsica del centro, instalacin actual y
configuracin de los sistemas operativos y software en los distintos sistemas que componen la
red. Tambin es necesario capturar los roles de la empresa, grupos de trabajo y usuarios de
estos sistemas.
Las vas de captura de requisitos del cliente son: formularios Web y entrevistas presenciales.
Adems se detalla la informacin til recogida para el desarrollo del proyecto.
En un primer momento creo un formulario Web, que envo directamente al responsable de la

empresa (ver formulario, anexo E-70) del que obtengo la siguiente informacin:
Nivel de usuario
o Nmero de usuarios de equipos TI (trabajadores y usuarios): 12 trabajadores y
20 usuarios de equipos informticos actualmente.
o Roles en la empresa segn necesidades TI (software y/o permisos especficos):
Direccin, administracin y usuarios del centro.
Nivel de infraestructura
o Nmero de equipos de trabajo (mquinas cliente)
Para personal del centro: 4.
Para usuarios del centro: 24.
En una entrevista posterior, realizada el 27 de Octubre de 2014 de forma personal, se

completa la informacin necesaria hasta la fecha, que en principio ser suficiente para
terminar el proyecto. Al cliente se le informa de que es posible que se le hagan ms consultas
en otro momento. La informacin recogida en la entrevista es la siguiente:
Nivel de servicios
o Copias de seguridad de datos: La informacin sensible se encuentra registrada
y cumple con la LOPD (Ley Orgnica de Proteccin de Datos de carcter
personal). Es un fichero con informacin personal sobre usuarios que es
consultado por todo el personal contratado.
o Conexin a la red sin cables (WiFi): Necesaria para conectividad de tabletas y
telfonos mviles corporativos.
Distribucin fsica del centro
o Nmero de salas de formacin y consulta de informacin para usuarios: 2. La
disposicin de los equipos en las salas es de 12 equipos por sala.
o Nmero de despachos individuales del personal del centro: 4. De ellos, 2
corresponden a administracin y 2 a direccin.
Aplicaciones: Se confecciona una lista en la entrevista que detalla las aplicaciones
necesarias en los equipos del personal del centro y de los usuarios. Incluyo la lista
recogida en el estudio de soluciones.

Enumeracin de requisitos
A partir de la informacin capturada de la empresa podemos definir los siguientes requisitos

para la infraestructura, considerando no slo la mejor alternativa a instalar, tambin el
aprendizaje derivado de elegir estas opciones:
1. Instalacin y configuracin de Windows Server 2012 R2: actualmente es una referencia

en el mundo de los sistemas operativos de servidor, no ha sido estudiado a lo largo de
la carrera. Instalando un servidor de este tipo aprender sobre la alternativa de
Microsoft para servidores:
a. Creacin de dominio Windows.
b. Repositorio y directorio activo: usuarios y grupos.
2. Instalacin y configuracin de cliente Windows 8 para personal del centro (4 equipos):

el ltimo sistema operativo de Microsoft para clientes, as aprender como trabajar
con este sistema en el entorno corporativo y es una alternativa real que pronto se har
con el mercado relegando a la versin anterior (Windows 7):
a. Inicio de sesin en el dominio.
b. Copias de seguridad funcionales: la copia de respaldo se hace necesaria ya que
entre los documentos que maneja la empresa hay ficheros en formato digital
con datos de carcter personal. Es indispensable crear un contexto de copia
donde el personal del centro pueda guardar ficheros teniendo garantas de
respaldo de los mismos.
3. Instalacin y configuracin de cliente Windows 8 para usuarios (24 equipos).

a. Inicio de sesin en el dominio.
b. Copias de seguridad funcionales.
4. Presupuesto: sin un lmite presupuestario, el objetivo es garantizar la funcionalidad y

unos mnimos de escalabilidad para el futuro, ajustarlo a las necesidades del caso
estudiado. Cada uno de los conceptos del presupuesto son argumentados
individualmente y justificada la inversin que suponen.
5. Pruebas del sistema.

a. Conectividad de la red local.
i. Servidor Cliente.
ii. Cliente Servidor.
iii. Acceso remoto al servidor.
b. Recursos compartidos (directorio centralizado).
c. Restauracin de datos.

Definicin del alcance
A la finalizacin del proyecto la empresa podr disponer de:
Un entorno de trabajo funcional, personalizado, fiable y seguro que satisfaga las necesidades
tecnolgicas de los empleados y de los usuarios del centro de trabajo.
Una red de ordenadores organizada y conectada que replique la informacin sensible y la

proteja de posibles fallos del sistema.
Despliegue de servicios que faciliten la administracin del sistema completo desde una
estacin de servicio centralizada. En el mbito de la seguridad se disean e implementan
polticas de seguridad para toda la red, adems de instalar software antivirus en cada equipo
de trabajo de forma individual.
Autenticacin de usuarios, copias de seguridad y control de dominio. Tambin se consideran

medidas especiales de seguridad como proteccin ante fallos elctricos, redundancia de
equipos de almacenamiento y directivas especiales de seguridad.
El alcance de este proyecto garantiza la funcionalidad completa de la infraestructura a la

finalizacin del trabajo.
Un presupuesto adecuado a las peticiones realizadas por el cliente, recogidas en la captura de

requisitos. Tambin contempla los aspectos tcnicos detallados en la enumeracin de
requisitos como: dominio Windows, directorio activo y recursos compartidos.
Por el contrario, el alcance no contempla el mantenimiento de la instalacin una vez

completada. Tampoco se responsabiliza del mal uso de la instalacin ni de las consecuencias
que esto pueda conllevar. Por ltimo, las licencias software y la posterior renovacin de las
mismas en un futuro corre a cargo de la empresa propietaria de la instalacin.
La conexin de equipos externos (como tabletas o telfonos mviles) a la red inalmbrica

disponible en el centro puede suponer compromisos de seguridad. La responsabilidad sobre
posibles problemas derivados de estas conexiones corre a cargo de los usuarios.
Si la seguridad, integridad o disponibilidad de la instalacin se ve comprometida, la empresa

podr facilitar la documentacin generada del proyecto al responsable de su reparacin.
La informacin disponible ser meramente informativa para el servicio tcnico responsable de

la reparacin, sin hacerse responsable el desarrollador del proyecto de las consecuencias del
mal uso de dicha informacin.
Los datos de carcter personal procesados y/o almacenados por los empleados que hacen uso
de la instalacin sern responsabilidad del centro (del responsable o del mismo usuario, segn
corresponda).
El autor de este proyecto no se hace responsable del cumplimiento de la LOPD, pero si pondr
a disposicin del centro la informacin suficiente para actuar con arreglo a la legislacin actual.

Metodologa del TFG
Tras analizar otros proyectos de sistemas y obtener informacin sobre metodologas aplicables
a este tipo de proyectos, considero, como opcin ms adecuada, adoptar una metodologa
personalizada.
El proyecto se desarrolla sin ajuste estricto a ninguna metodologa convencional. Aun as, s
estar guiado por una serie de fases convencionales reflejadas en captulos separados. La
metodologa seguida para el desempeo del proyecto desarrollar los siguientes captulos:
1. Descripcin del proyecto.

2. Anlisis de la situacin actual.
3. Diseo de la solucin.
4. Implementacin de la solucin y pruebas.
5. Conclusiones.
Las distintas partes del proyecto segn el cronograma se situarn en su epgrafe

correspondiente. Esta metodologa responde a un patrn de ejecucin cronolgico,
comenzando en un captulo de descripcin y finalizando con las conclusiones recogidas a lo
largo de su realizacin. Puede haber fases del desempeo en las cuales se desarrollen dos
captulos al mismo tiempo.
Cronograma
Organizacin bsica 3 horas
Recopilar aplicaciones necesarias para el desempeo del proyecto - 1 hora.

Organizar distribucin de entregables para la confeccin de la memoria y
documentacin - 0,5 horas.
Creacin de directorio de proyecto y plantilla de documentos - 0,5 horas.
Plan de copias de seguridad del material del proyecto - 1 hora.
Reuniones y diario de actividad 12 horas
Preparacin: Reflexin y redaccin de conclusiones 3 horas.

Confeccionar actas de reuniones 2 horas.
Realizacin de las mismas 5 horas.
Registro de actividad en el diario 2 horas.

Planteamiento 8,5 horas
Resumen 0,5 horas.

Traducir resumen a ingls 0,5 horas.
Confeccin de formulario para obtener informacin sobre la empresa 1 hora.
Documentar y procesar la informacin obtenida 1,5 horas.
Entrevista presencial con la empresa 2 horas.
Estudio inicial de soluciones informticas a utilizar 3 horas.
Planificacin 25 horas
Definir fases del proyecto 0,5 horas.

Desglose de actividades por fases 3 horas.
Definicin del alcance* 3 horas.
Metodologa TFG* 1,5 horas.
Anlisis de requisitos 8 horas.
Cronograma* 5 horas.
Diagrama de Gantt* 4 horas.
Diseo de infraestructura 43,5 horas
Anlisis e informe de:

o Plano de localizacin de equipos y distribucin 3 horas.
o Hardware de sistemas: Equipos a comprar y configurar 8 horas.
o Red (equipamiento hardware y subredes) 6 horas.
Hardware de enrutamiento y conmutacin 2 horas.
Intranet (IPs vlidas, mscaras, gateway y subnetting) 4 horas.
o Presupuesto 7 horas.
Equipos cliente 2 horas.
*Estas tareas de la fase
Equipo servidor 3 horas.
de planificacin incluyen
Hardware de red 2 horas.
formacin en el entorno
o Aplicaciones 5 horas.
de trabajo Project de
Aplicaciones bsicas (de uso
Microsoft, lectura de
general) a instalar 2 horas.
otros casos similares de
Aplicaciones especficas para
definicin del alcance y
clientes 1 hora.
anlisis de metodologas
Aplicaciones especficas para
aplicadas a este tipo de
servidor - 2 horas.
proyectos.
o Seguridad 10,5 horas.
Medidas tecnolgicas

(directivas y polticas) 3,5 horas.
Medidas humanas (normas y buenas prcticas) 2 horas.
Plan de accin reactivo ante compromisos 5 horas.
o Informe de servicios 4 horas.
Servicios bsicos a desplegar 4 horas.
Ejecucin 57 horas
Instalacin de servidor virtualizado 35 horas.

o Sistema operativo 3,5 horas.
o Despliegue de servicios 19 horas.
Controlador de dominio de nivel principal 1,5 horas.
Directorio activo (LDAP) 5,5 horas.
Usuarios 1,5 horas.
Grupos 1 hora.
Permisos 3 horas.
DHCP (Configuracin dinmica de host) 2 horas.
Acceso remoto al servidor 6 horas.
Polticas de seguridad y directivas de contraseas 4 horas.
o Configuracin de red 1,5 horas.
o Despliegue de aplicaciones 7 horas.
Antivirus 1 hora.
Navegador Web 0,5 horas.
Copias de seguridad 3 horas.
Monitor de rendimiento 2,5 horas.
o Crear y almacenar imagen de sistema 4 horas.
Instalacin de cliente virtualizado (administrativo / direccin)* 11 horas.

o Sistema operativo 2 horas.
o Configuracin de red 2 horas.
Conectividad 1 hora.
Asociacin al dominio corporativo 1 hora.
Antivirus 1 hora.
Cobian Backup 1 hora.
Aplicacin ofimtica 1 hora.
o Crear y almacenar imagen del sistema 4 horas.
Instalacin de cliente virtualizado (usuario del centro)* 11 horas.

o Sistema operativo 2 horas.
o Configuracin de red 2 horas.
Conectividad 1 hora.

Asociacin al dominio corporativo 1 hora.
Antivirus 1 hora.
Cobian Backup 1 hora.
Aplicacin ofimtica 1 hora.
o Crear y almacenar imagen del sistema 4 horas.
(*) Cada equipo incluye el alta en el directorio activo, configuracin especfica de asociacin a
su propia unidad organizativa y de recursos compartidos en funcin de su departamento.
Ambos equipos contienen la parte comn de instalacin de software, pero sus configuraciones
son completamente diferentes, ya que se trata de recursos distintos con objetivos distintos. El
equipo de direccin es un porttil que tendr la posibilidad de iniciar sesin y trabajar con
normalidad fuera del entorno de trabajo (y, por lo tanto, fuera del dominio). Los otros equipos
son de sobremesa pero pertenecen a distintos grupos de trabajo, por lo tanto su configuracin
variar sustancialmente.
Plan de pruebas 32,5 horas
Sistemas operativos 5 horas.

o Funcionalidad, instalacin y configuracin correctas de Windows Server en la
estacin de trabajo 2 horas.
o Funcionalidad, instalacin y configuracin correctas de Windows 8 en el
entorno cliente 3 horas.
Conectividad 7 horas.
o Comunicacin de la estacin de servicio con los clientes virtualizados 3
horas.
o Comunicacin de equipos cliente con el controlador de dominio 4 horas.
Aplicaciones 5,5 horas.
o Comprobacin de instalacin de software ofimtico, antivirus y navegador
Web 2,5 horas.
o Compatibilidad de todos los productos software entre s. Coexistencia en el
sistema cliente sin incidencias 3 horas.
Servicios 8,5 horas.
o Asociacin al dominio, inicio de sesin desde el cliente con un perfil creado
desde el directorio activo 3,5 horas.
o Usuarios y permisos: comprobacin de los repositorios de recursos en el
equipo servidor 1 hora.
o Seguridad: Verificacin de las directivas de contrasea e inicio de sesin en el
dominio 1,5 horas.
o DHCP: Estado del servicio una vez instalado, actividad y concesin de datos de
configuracin IP a los clientes 2,5 horas.

Acceso a recursos compartidos 4 horas.
o Conexin con recursos comunes alojados en la estacin de servicio, permisos
sobre el directorio compartido 4 horas.
Copias de seguridad 2,5 horas.
o Garantizar que el plan de copias es ejecutada en el servidor y en los clientes
2,5 horas.
Escenario de restauracin 8 horas.
Simular compromiso de integridad de datos en un equipo cliente 3 horas.

Restaurar informacin perdida y documentar el proceso 5 horas.
Formacin 69 horas
El tiempo de formacin incluye la obtencin de informacin de Internet sobre proyectos

similares, metodologas, sistemas operativos y aprendizaje de tecnologas a utilizar. Muchos de
los puntos de ejecucin y plan de pruebas requerirn documentarse previamente.
Metodologas de desarrollo de proyectos de sistemas 3 horas.

Planes de seguridad en pequeas y medianas empresas 2,5 horas.
Tecnologas actuales en infraestructuras de servidor 1,5 horas.
Software de monitorizacin de recursos 1 hora.
Software Microsoft Project 1 hora.
Sistemas operativos 60 horas.
o Windows Server 2012 R2:
Instalacin y configuracin de controlador de dominio.
Perfiles, roles, grupos, usuarios. Repositorio y recursos.
Directorio activo: autenticacin, polticas y directivas de seguridad.
Versiones disponibles.
o Windows 8:
Asociacin de cliente a dominio Windows.
Presentacin y defensa 13 horas
Confeccionar y revisar documentacin a depositar 7 horas.

Preparar la presentacin del proyecto y su defensa 6 horas.

Total previsto: 271,5 horas.
La previsin inicial contempla una estimacin horaria optimista, por lo que no alcanza las 300
horas estipuladas. Debido a las herramientas elegidas y a que no he sido formado en stas (no
han sido estudiadas previamente), surgirn imprevistos a lo largo del desarrollo del proyecto
que seguro aumentarn sustancialmente las horas de trabajo.
Por todo esto creo conveniente liberar un 10% de horas de trabajo y as disponer de un
margen de contingencias que contemple estas desviaciones.

Diagrama de Gantt
A continuacin se muestra una captura del diagrama de Gantt realizado para la planificacin del proyecto. En l figuran las tareas a realizar a lo largo del
proyecto y su estimacin en tiempo.
Vista resumen de Diagrama de Gantt
Para ver con ms detalle las tareas que figuran en el diagrama de Gantt y en el cronograma ver anexo: E-71 Diagrama de Gantt.
La planificacin sufrir una desviacin posterior de 30 das, en la que se para el desarrollo del proyecto por la realizacin de exmenes finales de enero. Los
detalles sobre dicha desviacin se detallan en el anexo E-81 Desviaciones y lecciones aprendidas.

Captulo 2.
Anlisis de la situacin actual
En este captulo vamos a estudiar la infraestructura actual. Las condiciones que presenta la
instalacin hoy motivan la realizacin de este proyecto. Por otra parte, el anlisis permite
decidir qu partes de la infraestructura no sern renovadas, por lo que ahorraremos costes sin
afectar a la calidad del producto final.
Visita al centro y conclusiones
La entrevista realizada a la empresa incluy una visita a la misma en la que tuve la oportunidad
de tomar nota de la infraestructura informtica actual. Se trata de un sistema algo anticuado
con carencias en comunicacin interna, seguridad y recursos de red.
La instalacin actual consiste en un router al cual se conecta un switch. A este ltimo son
conectados todos los equipos de la Intranet.
Estos equipos corresponden a la generacin de procesadores Pentium IV y AMD Athlon K7, ya

desfasados y cuyas velocidades nunca superan los 3Ghz, adems de poseer un nico ncleo de
proceso real. La memoria principal oscila entre los 512MB y 1GB lo cual es insuficiente para las
exigencias del software actual.
En consonancia con lo anterior, observo que los sistemas operativos instalados son Microsoft
Windows XP para arquitecturas de 32 bits. Es un sistema operativo adecuado para el hardware
existente, pero desfasado y desatendido por Microsoft desde hace meses.
Los equipos son lentos y no satisfacen las necesidades de trabajo de la empresa. Tampoco
existe la centralizacin de ningn servicio ni un plan de copias de seguridad, slo un dispositivo
de almacenamiento externo USB.
Todos estos aspectos conllevan la necesidad de una renovacin de los sistemas IT y en sus
comunicaciones.
Infraestructura a utilizar
Aprovecharemos la instalacin cableada actual que comunica a los distintos equipos con el
router (a travs del switch), el cual les da acceso a Internet actualmente. El switch centraliza el
enlace directo con los equipos del centro. Utilizaremos tanto el switch como el router actuales,
pero no ser suficiente. Tenemos una impresora central en la zona administrativa, la cual
tambin aprovecharemos.

No es necesario sustituir un router proporcionado por el ISP que funciona correctamente, ya
que la conexin a Internet no presenta problemas.
El switch ya instalado servir como eje de comunicaciones, en la misma ubicacin, pero con un
cometido distinto que explicaremos ms adelante.
Plano de la situacin actual
Anexo E-82. Plano de distribucin lgica de sistemas. Situacin actual.

Leyenda: ver anexo E-84.
Nota aclarativa: la distribucin espacial de los departamentos es orientativa, los planos aqu
presentados simbolizan las conexiones entre los equipos de la red. Estas conexiones estn ya
implementadas en la empresa: enlaces Ethernet directos UTP con cable de red categora 6 y
conectores RJ-45.

Captulo 3.
Diseo de la solucin
Una vez analizada la situacin actual del centro, el Captulo 3 aborda la solucin propuesta, la
cual tratar de ajustarse con la mxima precisin posible a las necesidades capturadas
anteriormente. Costes, sistemas, renovacin y organizacin son las palabras claves de este
captulo.
Infraestructura a renovar o ampliar
Enrutado: sin cambios, con un router es suficiente para dar salida a Internet desde la empresa.
El router instalado previamente funciona correctamente y proporciona acceso a Internet a los
equipos del centro.
Conmutacin: aadiremos dos switch adicionales en cada una de las salas de formacin.
Conectarn los equipos de dichas salas con el switch central de la sala de comunicaciones. ste
a su vez conectar las salas de administracin y direccin, as como el servidor y el router, al
resto de la Intranet. Como resultado habr tres equipos de conmutacin distribuidos por el
centro y conectados entre s, con cometidos distintos.
Sistemas informticos: se renovar completamente la infraestructura de sistemas informticos

del centro. Los sistemas nuevos a adquirir son:
24 equipos para salas de formacin. Sern equipos de trabajo sencillos pero que
garanticen la funcionalidad que necesitan los usuarios del centro.
2 equipos para personal administrativo. Especiales para trabajo ofimtico.
2 equipos para direccin. Estos equipos, para favorecer la movilidad, sern porttiles.
Irn conectados por cable a la red para incrementar la seguridad de su conexin a la
red. Esto adems posibilita que el personal de direccin pueda transportar su equipo
de trabajo a conferencias o eventos externos y poder trabajar fuera del entorno del
centro.
1 equipo de servidor. Un equipo especializado que albergue el dominio, las copias de
seguridad y el directorio activo. Adems, administrar los recursos compartidos del
centro. Por otra parte instalaremos un SAI (Sistema de Alimentacin Ininterrumpida)
que proteja el servidor de problemas elctricos.
Por ltimo, la impresora instalada en la zona administrativa permanecer en su ubicacin

actual, pero pasar de ser un recurso compartido por uno de los equipos de administracin a
ser un recurso de red perteneciente al dominio.

Plano de distribucin de sistemas
A la finalizacin del proyecto la infraestructura de red ser la siguiente:
Anexo E-83. Plano de distribucin lgica de sistemas final.

Leyenda: ver anexo E-84.
Software de sistemas
El software a implementar para el proyecto es el siguiente:
Sistemas operativos:
o Microsoft Windows Server 2012 R2: los usuarios del centro estn
familiarizados con entornos de trabajo Microsoft. Adems, por ampliacin de
conocimientos sobre sistemas operativos de servidor, los servidores
GNU/Linux se estudian e implementan en asignaturas de la carrera.
o Microsoft Windows 8: Cliente elegido por compatibilidad con el dominio
alojado en el servidor. Se utiliza esta versin por motivos de seguridad ya que
versiones ms antiguas podran comprometerla.

Software:
o Servidor:
Microsoft Security Essentials: Acompaa a la licencia Microsoft
Windows Server 2012. Es un sistema antivirus y antispyware
propietario de Microsoft compatible con el sistema operativo.
Cobian Backup 11 (Gravity): Para la gestin de copias de respaldo de
datos. Herramienta de uso gratuito que va a permitir realizar copias de
seguridad de datos sensibles.
Navegador Google Chrome: Es conocido el aporte de este navegador
en trminos de seguridad respecto al navegador predeterminado del
sistema operativo (Internet Explorer). Adems, con esta alternativa
conseguiremos incrementar la velocidad, al ser la alternativa ms
rpida.
Microsoft OneDrive: Plataforma SaaS de almacenamiento y
sincronizacin de ficheros en la nube. Sirve como soporte de backup
fsicamente fuera de la organizacin.
o Servidor (Servicios):
Dominio Windows: Realiza labores de autenticacin, establece un
marco de seguridad en toda la red y sirve como controlador para
proporcionar servicios y centralizarlos.
Active Directory: Servicio LDAP propio del sistema operativo instalado.
Proporciona un repositorio de dominio centralizado que contiene
usuarios, equipos y otros recursos disponibles en red.
DHCP (servicio de configuracin dinmica de host): Para la distribucin
de datos de configuracin IP hacia los clientes que se conecten a
travs de la red inalmbrica. Adems, permite realizar seguimiento a
travs de un log de las conexiones que se realicen fuera de la red
cableada.
o Clientes:
Microsoft Office 2013.
Adobe Reader.
Navegador Google Chrome.
Antivirus Avast.
No hay aplicaciones especficas para instalar en los equipos cliente. Tal y como
explic el director del centro, utilizan principalmente herramientas ofimticas
(concretamente Excel y Word) y el navegador Web para consultar el correo
electrnico y sitios Web.

Hardware de sistemas
El proveedor principal de sistemas para este proyecto es Dell. Por mi experiencia en

implementaciones reales Dell es una empresa fiable y cuyos equipos son enviados
especialmente protegidos. Adems, son fabricados con componentes de alta calidad y tienen
unos acabados atractivos.
Como punto de inflexin a la hora de elegir este fabricante tenemos sus servicios de asistencia,
que garantizan la reparacin de un equipo averiado durante el siguiente da hbil desde que se
notifica el problema. Este servicio se puede solicitar durante el primer ao desde la compra del
producto y es gratuito. Por supuesto no es incompatible con los dos aos de garanta en todos
los equipos adquiridos.
La descripcin detallada de los equipos informticos que conforman el hardware de sistemas

est incluida en el anexo E-74 Hardware de sistemas.
Presupuesto
Para la actualizacin de la infraestructura de red se detalla el siguiente presupuesto. Contiene

todas las renovaciones en equipos de sistemas necesarias para conseguir los requisitos
definidos en el Captulo 1.
Tambin se indica la inversin necesaria en paquetes software a instalar una vez ejecutado el
despliegue de los sistemas hardware. Por ltimo se recoge un resumen global de costes,
incluyendo la mano de obra necesaria para la instalacin y configuracin de la infraestructura.
Resumen de presupuesto de sistemas IT
Equipo Precio
Equipos sobremesa cliente para salas de
17.537,2
formacin y administrativo (24+2).
Equipos porttiles para direccin (2). 921,44
Hardware de red y redundancia: switch (2) y 278
SAI (1).
Hardware de servicios: server (1). 2.383,82
Subtotal en hardware de red y sistemas: 21.120,46
Para ver el presupuesto completo ver anexo E-75 Presupuesto de sistemas IT

Presupuesto de software
Este presupuesto contiene los programas cuya instalacin se hace necesaria para el trabajo de
los empleados y usuarios. El software a instalar y configurar se adquiere segn las peticiones
formuladas por la empresa, que se adecan a sus preferencias de trabajo.
N Licencias Concepto Precio unitario Subtotal
01 28 Microsoft Office 2013 (OEM Dell). 119,00 3.332,0
Microsoft Windows Server 2012 R2

02 1 432,03 432,03
Standard Edition 64 bits (OEM Dell).
Subtotal en software: 3764,03

Anexo E-76 Presupuesto de software
Presupuesto completo
El presupuesto completo incluye los costes de instalacin y configuracin detallados en el

diseo de la solucin. Se ajusta al mnimo coste posible para garantizar la infraestructura
propuesta, la calidad de los servicios y la funcionalidad de todo el sistema.
Mdulo Precio
Equipos informticos 21.120,46
Software (Sistemas Operativos y programas) 3.764,03
Instalacin y configuracin (90 horas)* 2.250
Subtotal: 27.134,49 IVA (21%): 5.698,25
Total: 32.832,74**
*Para instalacin y configuracin de equipos y software se establece un precio unitario por

hora de trabajo durante el periodo de ejecucin del proyecto. Dicho precio incluye la
instalacin, configuracin y el plan de pruebas.
**El precio total de la instalacin no incluye el coste de 3,8 /mes correspondiente a la licencia
para empresa de Microsoft OneDrive. No se incluye porque se trata de una cuota mensual y no
de una compra de equipamiento hardware o software.
Dell dispone de ofertas especiales para compras de este tipo que se pueden consultar
contactando con un comercial, por lo que puede reducirse el precio final indicado.

Estudio y configuracin LAN
Para la distribucin de red configurada en el proyecto voy a crear distintos mbitos LAN que
coincidan con los emplazamientos fsicos de los equipos. Es conveniente establecer rangos de
direcciones IP distintos para cada grupo de equipos, facilitar la administracin de red y
adems la difusin de informacin por departamentos. La distribucin de departamentos
estar relacionada directamente con la distribucin de rangos IP.
La configuracin IP de conexin inalmbrica ser administrada mediante un servicio DHCP.

Este servicio concede la configuracin IP en un rango predeterminado de direcciones a los
dispositivos conectados. As, ser fcil identificar un equipo conectado mediante WiFi tan slo
consultando su direccin IP.
En primer lugar elegimos una direccin de red IP privada para la empresa:
10.0.0.0 con mscara de red 255.255.0.0 (a partir de ahora 10.0.0.0/16)
00000000.00000000.00000000.00000000
Por claridad, dos bytes de la direccin sern de red y los dos siguientes de host. No existen bits
para subred, esto quiere decir que en la instalacin real no existirn distintos dominios de
difusin a nivel de red local.
El hecho de no incluir subredes en la organizacin responde a un asunto de escalabilidad.

Tenemos un nmero muy pequeo de hosts en un nico local, tambin de pequeo tamao.
La distribucin de departamentos tambin es pequea y simple, por lo que no es necesario
establecer distintos dominios de difusin entre hosts.
En un futuro es posible que surja la necesidad de implementar subredes en la arquitectura

actual, por este motivo hay 16 bits de la direccin IP privada disponibles para crear subredes
(los marcados en color azul).
Si es necesario ampliar el local o se crean nuevas sucursales en distintas ubicaciones, existe la

posibilidad de aplicar tcnicas de subnetting para aislar los dominios de difusin.
Con esta configuracin podemos garantizar la escalabilidad y adaptabilidad de la instalacin de

red: hasta 65534 equipos conectables (65536 2 por reserva de direccin de red y de
difusin).

Tabla de designaciones IP
Equipo (hostname) Ubicacin Direccin

Router Sala de comunicaciones 10.0.0.1
Servidor Sala de comunicaciones 10.0.0.100
Equipo direccin 1 Depto. Direccin 10.0.1.1
Equipo direccin 2 Depto. Direccin 10.0.1.2
Equipo administrativo 1 Depto. Administrativo 10.0.2.1
Equipo administrativo 2 Depto. Administrativo 10.0.2.2
Rango:
Equipos sala 1 Sala de formacin 1
10.0.100.1 a 10.0.100.12
Rango:
Equipos sala 2 Sala de formacin 2
10.0.200.1 a 10.0.200.12
(DHCP) Rango:
Conexin inalmbrica Todo el centro (mbito WiFi)
10.0.150.1 a 10.0.150.254
Esquema y simulacin
Para visualizar el funcionamiento de la red en una simulacin realizada con Packet Tracer ver
anexo E-85 Simulacin de entorno de red.

Aplicacin de subredes para el mbito local (escalabilidad de red)
Si decidiramos aplicar tcnicas de subredes, una posibilidad consistira en aplicar una mscara
de subred 255.255.255.0, es decir, aadir un byte a la mscara de red para crear la mscara de
subred. Toda la instalacin actual continuara funcionando con normalidad, pero existira la
posibilidad de asignar a cada sala o departamento un mbito de subred diferente.
Con la mscara de subred propuesta tenemos:
254 subredes disponibles (256 2 por direccin de red global y broadcast de red).
254 direcciones para host disponibles para cada subred (256 2 que corresponden a
direccin de subred y broadcast de subred).
Por ejemplo, para la subred 10.0.1.0 tendramos:
Desde 10.0.1.1 hasta 10.0.1.254: Direcciones vlidas de host (asignables de manera

esttica o por DHCP indistintamente).
10.0.1.0 para hacer referencia a toda la subred (direccin de subred).
10.0.1.255 como direccin de difusin para comunicarse con todos los equipos de la
subred 1.
Igual que para 10.0.1.0, tendramos la misma configuracin para las direcciones de subred
10.0.x.0 (con x comprendido entre 0 y 254, ambos incluidos).
Cabe destacar que, aplicando tcnicas de subnetting, se pierden direcciones IP vlidas

asignables en la red local, ya que son necesarias las reservas propias de la direccin de subred
y broadcast para cada subred disponible.
Informes de aplicaciones, seguridad y servicios
Este apartado consiste en la elaboracin de diferentes informes relacionados con las

aplicaciones a instalar y configurar, adems de la seguridad y los servicios a implementar. La
informacin aqu recogida ser til para el cliente, ya que tendr documentado todo lo
relacionado con el software y la seguridad.
Adems, tambin ser de utilidad para posteriores labores de reparacin y mantenimiento del
sistema. Aportar facilidad a la hora de saber qu est instalado y funcionando. Tambin las
posibles causas de fallos futuros, tanto de aplicaciones como compromisos de seguridad.

Informe de aplicaciones
A la finalizacin del TFG, las aplicaciones instaladas en los equipos de la empresa, versiones y
licencias adquiridas sern:
Versin instalada
Nombre Actualizable Licencia
(fecha de versin)
S, automticamente y
Microsoft Windows 8.1 OEM Dell. Licencia adquirida
8.1 (18/10/2013) mediante paquetes de
Profesional - 64 bits para todos los equipos.
actualizacin oficiales.
OEM Dell, personalizado para
S, automticamente y
2012 R2 Standard Microsoft Windows el equipo servidor. Licencia
mediante paquetes de
(18/10/2013) Server 2012 - 64 bits para el servidor de la
actualizacin oficiales.
empresa.
Adquirida para todos los
2013 Profesional Microsoft Office 2013 Actualizaciones
equipos cliente de la
(19/01/2013) Profesional automticas.
empresa.
Actualizaciones
automticas de base de Licencia antivirus gratuita
2015.10.0.2208
Avast Antivirus 2015 datos de virus. para todos los equipos.
(18/11/2014)
Actualizacin manual de Ampliable.
software antivirus.
Antivirus, anti spyware.
4.6.305.0 Microsoft Security Actualizaciones Incluida en la licencia de
(10/09/2014) Essentials automticas travs de Windows Server.
Windows Update.
3,8 al mes por usuario (1
Repositorio Cloud de
usuario instalado). 1TB de
17.3.1229.0918 (2013) Microsoft OneDrive ficheros. Para backup
almacenamiento en la nube
externo.
para empresas.
4.0 Mediante instalacin de Software propietario con
ADManager Plus
(2012) nueva versin. versin gratuita.
1.12.4 Desde la propia aplicacin, GNU, cdigo open source.
Wireshark
(2015) men Help. Gratuito.
11.0.09 S, notificaciones de Software propietario pero de
Adobe Reader XI
(29/05/2014) actualizacin al usuario. uso gratuito.
38.0.2125.111 Google Chrome S, actualizaciones Descarga e instalacin
(30/10/2014) Navegador Web automticas. gratuitas.
11.2.0.582 Cobian Backup 11 Descarga e instalacin
Actualizacin manual.
(06/12/2012) Copias de seguridad gratuitas.
Informe de seguridad
Seguridad hardware
Sala de comunicaciones accesible nicamente para:
El director de la empresa.
El servicio tcnico del ISP.
El responsable de sistemas informticos, si lo hubiera.

Sala cerrada a la que solo es necesario acceder para resolver incidencias hardware con el
router, el equipo servidor y el switch principal. Siempre previa notificacin y consentimiento
del director, que documentar quin, cundo y para qu se accede a la sala.
Sala bien ventilada en planta baja con aire acondicionado y protegida bajo llave.
Sistemas elctricos (SAI), de red (doble NIC) y de almacenamiento secundario (RAID1 por
hardware) redundantes en sistemas crticos. Monitorizacin permanente del servidor. Bloqueo
de BIOS en los sistemas con contrasea maestra para evitar cambios en la configuracin.
Seguridad de red
Puertos del router cerrados, salvo los que garantizan la navegabilidad como 80 para HTTP y
443 para HTTP con SSL (HTTPS). Adems, se autoriza la apertura de puertos para las
aplicaciones documentadas en el informe de aplicaciones.
Dominio Windows con administracin de cuentas de usuario centralizado, identificacin y

autenticacin contra un sistema seguro. No se permite el acceso a los recursos de la red sin
previa autenticacin mediante un perfil de dominio.
Designacin de grupos en el dominio con directivas de seguridad especficas, tanto para

usuarios como para trabajadores y directores de la empresa.
Contrasea WPA2 de acceso mediante conexin inalmbrica. No se garantiza la seguridad de

dominio para las conexiones realizadas a travs del medio inalmbrico.
Seguridad software
Versin profesional del sistema operativo ms actualizado de la familia Microsoft. Firewall de
Windows, actualizaciones automticas y soporte de Microsoft en esta versin.
Antivirus Avast. Gratuito, ampliable con un coste mnimo, suficientemente seguro para las
necesidades de la empresa y cuya base de datos es actualizada diariamente. Por
compatibilidad del sistema, Microsoft Security Essentials instalado en el equipo servidor.
Log de dominio que registra la actividad de la red por parte de los usuarios. Anlisis de
rendimiento de recursos en el servidor y deteccin de congestin o mal funcionamiento de los
servicios, ataques a travs de la red, compromisos de seguridad, etc.
Poltica de copias de seguridad y restauracin con el software Cobian Backup instalado en

todos los equipos de la red. Almacn de copias redundante con RAID1 en el servidor y en la
nube con un servicio de terceros (Microsoft OneDrive).
Dado que la informacin protegida mediante copias puede contener datos de carcter
personal, debe almacenarse y procesarse con arreglo a la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Los datos pueden contener
informacin acerca del historial psiquitrico del afectado, por lo que se consideran datos que
exigen un nivel alto de proteccin.
Los pasos a seguir para cumplir con la legislacin vigente son los siguientes:
Establecer un responsable del tratamiento: el director del centro.

Establecer un encargado del tratamiento: el servicio OneDrive para el servicio Cloud y
el administrador del sistema para las copias locales.
Cumplir con la normativa de registro de fichero y uso de datos recogida en la AEPD
(Agencia Espaola de Proteccin de Datos: www.agpd.es).
Dado que el servicio es prestado en Espaa y los datos se almacenan en EEUU, es
necesario pedir consentimiento a la AEPD para el traslado internacional de los datos
de carcter personal a EEUU.
Cumplir con el plan de seguridad definido en este documento.
Ante cualquier duda sobre este proceso es posible recurrir a la AEPD a travs de
sedeagpd.gob.es para remitir directamente una consulta a la agencia.
Polticas de contrasea y acceso al dominio

Contraseas de 8 caracteres de longitud mnima con al menos una letra mayscula, una
minscula y un nmero. Las contraseas deben ser cambiadas cada ao como mnimo. Tras
tres intentos fallidos de autenticacin la cuenta ser bloqueada durante 24 horas.
Para iniciar sesin en el dominio y poder trabajar en l ser necesaria una cuenta de usuario
que cumpla con dichas polticas.
Slo estarn habilitadas las cuentas de usuario necesarias para administracin y trabajo. La
cuenta de invitado del dominio estar deshabilitada.
Se crear un Honeypot en el acceso al dominio. Esto quiere decir que la cuenta de

administrador tendr un nombre de usuario convencional como si se tratase de uno ms. A la
vez, crearemos un usuario con nombre Administrador sin ningn tipo de privilegio.
La creacin de un Honeypot supone una ventaja en trminos de seguridad, ya que existen

ataques externos que tratan de romper las contraseas de administradores y escalar
privilegios.
Una mxima en seguridad consiste en evitar los valores por defecto que proporcionan los
sistemas (en este caso el sistema operativo). Con esta operacin conseguimos proteger las
credenciales de administrador real con una cuenta ficticia que simula ser un usuario con
privilegios de sistema. No se trata de una operacin de ocultamiento, lo cual sera ineficaz en
trminos de seguridad, ya que el usuario administrador como tal sigue existiendo y es visible.
Si se produce un ataque contra la cuenta de administrador y se consigue romper la contrasea,

no ser posible iniciar sesin en el dominio con ella (ya que se encuentra bloqueada) y aunque
as fuera no se dispondra de autorizacin ninguna para realizar operaciones con privilegios de
administracin.

Consejos sobre contraseas
No utilizar el nombre de usuario como parte de la contrasea.
No apuntar la contrasea en papel ni compartirla con otras personas.
No utilizar datos personales en la contrasea.
Utilizar smbolos especiales, tales como $%&/()=.
Combinar maysculas, minsculas, nmeros y smbolos en la contrasea.
Ejemplos (no usar como contraseas, son ejemplos demostrativos):
o $an)_oRenz0
o V1stAd3VR
o ^\n0nTr4R\^
Para comprobar la seguridad de una contrasea: http://passwordmeter.com/
Plan de copias de seguridad

A continuacin se detalla el plan de copias de seguridad. Algunas de las tareas sern
automatizables pero tanto la supervisin de stas como la realizacin de aquellas que se lleven
a cabo de forma manual corren a cargo del responsable de sistemas.
Imagen del sistema (tanto cliente como servidor) anual o eventual tras actualizacin crtica de
sistema operativo o software instalado. Almacenamiento de la imagen en un DVD-DL en la sala
de comunicaciones siguiendo la nomenclatura:
SYS-<tipo>_IMAGE-<numero>_<ao>, donde:
<tipo> es SRVR o CLNT segn si el sistema es cliente o servidor.
<numero> el identificador de imagen. Incremental desde 00.
<ao> el ao en el que se genera la imagen.
Ejemplo: SYS-SRVR_IMAGE-00_2014.
En el modelo virtual que vamos a implementar no dispondremos de medios de

almacenamiento DVD-DL por lo que recurriremos a volmenes de datos independientes para
almacenar esta informacin de respaldo.
Estrategia de copias y datos a almacenar. Factores que motivan la estrategia de copias:
Es necesario proteger ante fallos los datos crticos, los cuales manejan administrativos
y directores del centro.
Copiar grandes cantidades de directorios y datos provoca que el usuario no se
interese por proteger su informacin, ya que si sabe que se le copiar todo, no
mantendr su sistema organizado y en muchos casos no sabr lo que guarda y dnde.
Por el punto anterior, la estrategia de copias se centra en proteger un nico
directorio para cada usuario, en el cual deber tener organizados todos aquellos
ficheros que requieran ser protegidos ante compromisos de seguridad.
El trfico de red al almacenar en un equipo externo grandes cantidades de datos es
excesivo, se debe optimizar la cantidad de informacin a almacenar.
La carpeta del perfil de usuario es la ideal para mantener un backup sobre ella, ya que
es accesible por el usuario independientemente del equipo donde trabaje (perfiles
de dominio Windows).
El administrador de sistema tiene su propia estrategia de copia. Slo se har copia de
respaldo del directorio Documents de su carpeta personal cifrada.
Tipo de copia
Fecha Hora Datos a copiar
(programacin)
Documentos de todos
Completa (semanal) Todos los viernes 18:00
los usuarios
Todos los martes Documentos de todos
Diferencial (semanal) 7:30
y jueves los usuarios
Ver anexo E-77 Esquema de copias de seguridad
Si el da de copia es no laborable y los equipos no van a ser utilizados, el administrador debe

forzar la copia correspondiente el da anterior (forzar la tarea de copia prxima).
Buenas prcticas y seguridad a nivel humano

Adems de los aspectos anteriormente detallados sobre seguridad, tambin existen una serie
de normas a cumplir por todos los usuarios para contribuir a la seguridad de la red. Los puntos
recogidos en este apartado deben ser accesibles fcilmente para todos los usuarios del centro,
quienes a su vez deben ser conscientes de que el no hacerlo puede suponer un problema grave
tanto para ellos como para la organizacin.
Anexo E-86 Seguridad a nivel humano.
Este plan de copias de seguridad se basa en mi propio criterio. Aplico los conceptos aprendidos
en la asignatura de seguridad y atendiendo a distintos boletines de seguridad informtica
publicados en Internet.
Informe de servicios
DNS: Servicio de nombres de dominio en ejecucin desde el servidor (10.0.0.100) para la

resolucin de nombres de toda la infraestructura de la red y sus sistemas.
DHCP: Servicio de configuracin dinmica IP para los equipos conectados a travs de WLAN.
Tambin ser de utilidad para equipos nuevos que se instalen en la red, ya que pueden ser
configurados antes de ser incluidos en el entorno, que normalmente ser de configuracin IP
esttica. Monitorizar concesiones y establecer rangos de direcciones permite clasificar los
distintos equipos que se conectan a la red, adems de monitorizarlos de alguna manera.
Autenticacin: La asociacin de los equipos y el registro de usuarios centralizado en el

catlogo global permitir administrar la autenticacin de usuarios, polticas de contraseas y
gestin de autenticacin de forma segura. Todos los usuarios y las mquinas debern validar
su pertenencia al dominio hacia el servidor de autenticacin.

Directorio Activo: Administrador del catlogo global. Va a posibilitar la gestin de usuarios,
grupos, directivas de contraseas y la administracin de todos los recursos de la red, incluido
el servidor. Es una herramienta que facilita la administracin de la red.
Copias de seguridad: Mediante las herramientas propias del sistema operativo y Cobian
Backup, tal y como se detalla en el informe de aplicaciones. Es necesario un servicio que
proteja el dominio contra la prdida de informacin. En primer lugar, sern necesarias
imgenes de sistema completas (para replicar en varios equipos si es necesario y facilitar el
trabajo) y tambin sobre las carpetas compartidas y perfiles de usuarios.
Desviaciones
Configuracin IP y subredes
La configuracin IP de los equipos de la red estaba, en un primer momento, planteada
aplicando subredes. Ms adelante, he considerado ms oportuno no aplicar inicialmente
dichas tcnicas y proponerlas como un cambio en trminos de escalabilidad (para ms
adelante, si fuera necesario).
Software necesario para el proyecto y costes de mano de obra

Para la realizacin de los planos he necesitado software adicional (y tiempo extra para
instalarlo y configurarlo). Por otra parte, ha habido ligeras desviaciones configurando el
servidor y los clientes, ocupando ms y menos tiempo del estimado respectivamente. Aun
sufriendo estas desviaciones temporales, el cmputo de tiempos global para este apartado no
se ve alterado.
Por ltimo, he aadido el coste de mano de obra al total de la implementacin del proyecto
propuesto. En un principio, al ser un proyecto de carcter educativo, no contemplaba estos
costes.
Ms detalles sobre desviaciones en anexo E-81 Desviaciones y lecciones aprendidas.

Captulo 4.
Implementacin de la solucin y
pruebas
En este captulo trataremos la puesta en marcha de la solucin propuesta. Tecnologas y
aplicaciones concretas, un plan de organizacin en base a un dominio y, por ltimo, un plan de
pruebas que incluye su propia especificacin, ejecucin y resultados.
Instalacin de sistemas operativos
Como primer paso en la implementacin de la solucin, es necesario crear un modelo de

simulacin que permita llevar a cabo el diseo creado anteriormente. Para este proceso hace
falta instalar el software de virtualizacin elegido, que ser VirtualBox (versin 4.3.20-96997).
Instalacin de Microsoft Windows Server 2012 R2

En este apartado se aborda la instalacin del sistema operativo en el equipo servidor. Es un
punto crtico de la implementacin ya que va a proporcionar servicios esenciales para que la
infraestructura funcione correctamente. Por este motivo y por las caractersticas especiales del
sistema operativo escogido debemos ser especialmente cautos durante el proceso, el cual
ocupar ms de 30 horas de trabajo.
La instalacin del sistema operativo se detalla en el anexo E-78 Instalacin de Microsoft

Windows Server 2012 R2. En este proceso se realiza, adems, la configuracin de los servicios
y de la mquina servidor al completo.
Las operaciones realizadas durante esta fase son:
1. Instalacin del sistema operativo.

2. Cmo cambiar de idioma a espaol.
3. Configuracin del servidor:
a. Nombre del servidor.
b. Configurar acceso remoto para administracin.
c. Configuracin IP esttica.
d. Windows Update (actualizaciones del sistema).
e. Firewall de Windows.
f. Instalacin de software antivirus.
g. Servicio de Protocolo de Configuracin Dinmica de Host (DHCP).
4. Controlador de dominio:
a. Instalacin del rol de administrador de dominio.
b. Promocin del sistema a Controlador de dominio.

c. Resumen de configuracin y script PowerShell equivalente.
5. Monitorizacin de rendimiento y actividad de usuarios:
a. Monitor de recursos.
b. Monitor de rendimiento.
c. ADManager Plus (alternativa de monitorizacin de dominio).
6. Registro de eventos del sistema.
Instalacin de Microsoft Windows 8.1

Una vez instalado y comprobado el servidor, atendemos la instalacin y configuracin del
sistema operativo cliente. Aunque no es tan extenso como el apartado anterior, tendremos
que realizarlo dos veces (una por cliente, cada uno con sus peculiaridades) y servir para
comprobar la validez de la instalacin, tanto del sistema operativo cliente, como la de los
servicios configurados en el servidor.
En un primer momento configuraremos el mbito local, como si de un equipo de trabajo

convencional se tratase. Despus, trataremos aspectos como la conectividad con el servidor, el
acceso a recursos y la autenticacin centralizada.
Este apartado incluye, no slo la instalacin de los sistemas operativos cliente, sino tambin su
configuracin inicial, cambio de nombre de equipo, asociacin al dominio y configuracin de
seguridad.
Toda la informacin relativa a estas operaciones se encuentra detallada en el anexo E-80

Instalacin de Microsoft Windows 8.1.
Usuarios y equipos en Active Directory

Una vez instalado y configurado el servidor utilizamos Active Directory para configurar:
1. Usuarios y grupos. Unidades organizativas.

2. Equipos hardware.
Y adems, en el servidor configuramos otros aspectos como:
3. Aplicacin de directivas de contraseas (polticas de seguridad local y de dominio).

4. Implementacin, ejecucin y viabilidad del plan de copias de seguridad.
5. Instalacin y configuracin de servicio SaaS de almacenamiento remoto.
6. Imagen de sistema Windows Server 2012 y File History en sistemas cliente.
Todos estos puntos se detallan en el anexo E-79 Usuarios, grupos e implementacin de

seguridad.

Plan de pruebas
El plan de pruebas de este proyecto tiene como objetivo la validacin de las decisiones
adoptadas durante su desarrollo. Las alternativas elegidas a lo largo de su desarrollo deben ser
vlidas y razonables conforme a los requisitos. Para comprobar que dichos requisitos son
alcanzados satisfactoriamente, aplicaremos el plan de pruebas sobre el entorno simulado.
En un primer paso detallamos una especificacin del plan. En ella, enumeramos cada punto de
prueba con una breve explicacin.
Despus, ejecutamos cada punto de prueba en el entorno de simulacin para as comprobar si

el resultado es satisfactorio o no.
Por ltimo, documentamos el resultado y las conclusiones que han podido obtenerse del
proceso en la evaluacin de puntos de prueba, al final del apartado de plan de pruebas.
Especificacin Ejecucin Evaluacin
Enumeracin y Comprobacin Documentacin

descripcin de y verificacin de resultados y
puntos de de puntos de conclusiones
prueba prueba obtenidas
Este plan de pruebas, en un caso real de aplicacin, debe extenderse a todos y cada uno de los
sistemas instalados y configurados en el proyecto (incluidos los sistemas RAID, SAI, etc.).
Adems, debe ser actualizado tras la inclusin de nuevos equipos, aplicaciones o servicios al
entorno de trabajo.
Para que un plan de pruebas sea til y valioso, debe aplicarse peridicamente (por ejemplo,
una vez al ao), solucionar los casos de prueba cuyo resultado es negativo y documentar los
pasos necesarios para alcanzar dicha solucin.

Especificacin del plan
Los puntos de prueba a verificar son los siguientes:
1. Integridad de instalacin del sistema operativo:

1.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.
1.2. Microsoft Windows 8.1:
1.2.1. Equipo de personal administrativo: crlnv-adm-00.
1.2.2. Equipo de personal de direccin: crlnv-dir-00.
2. Estado de actualizaciones del sistema operativo:

2.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.
2.2. Microsoft Windows 8.1:
2.2.1. Equipo de personal administrativo: crlnv-adm-00.
2.2.2. Equipo de personal de direccin: crlnv-dir-00.
3. Inicio de sesin en el sistema:

3.1. Dentro del mbito de dominio:
3.1.1. Personal administrativo en equipo de administracin.
3.1.2. Personal directivo en equipo de direccin.
3.1.3. Administrador de dominio en el sistema controlador de dominio.
3.2. mbito local:
3.2.1. Administrador local en equipo de administracin.
3.2.2. Administrador local en equipo de direccin.
3.3. En mbito de dominio sin conexin al servidor:
3.3.1. Personal administrativo en equipo de administracin.
3.3.2. Personal directivo en equipo de direccin.
3.3.3. Administrador de dominio en equipo de administracin.
3.3.4. Administrador de dominio en equipo de direccin.
4. Estado del software antivirus y anlisis de amenazas:

4.1. En el sistema servidor (Microsoft Security Essentials):
4.1.1. Estado de actualizaciones.
4.1.2. Estado del servicio.
4.1.3. Anlisis del sistema, bsqueda de malware.
4.2. En equipo de administracin (Avast Antivirus):
4.2.1. Actualizaciones de base de datos de virus.
4.2.2. Estado del servicio (estado de escudos del antivirus).
4.2.3. Anlisis del sistema en busca de archivos maliciosos.
4.3. En equipo de direccin (Avast Antivirus):
4.3.1. Actualizaciones de base de datos de virus.
4.3.2. Estado del servicio (estado de escudos del antivirus).
4.3.3. Anlisis del sistema en busca de archivos maliciosos.

5. Conectividad y anlisis de red:
5.1. Pruebas de transmisin de paquetes (LAN):
5.1.1. Entre equipos del mismo departamento.
5.1.2. Entre equipos de distintos departamentos.
5.2. Conexin a Internet:
5.2.1. Conectividad del servidor a Internet.
5.2.2. Conectividad de equipo de administracin a Internet.
5.2.3. Conectividad de equipo de direccin a Internet.
5.3. Trfico de red:
5.3.1. Monitorizacin de transmisin de paquetes con Wireshark.
6. Funcionalidad de aplicaciones:
6.1. Equipo de administracin:
6.1.1. Navegacin con Google Chrome.
6.1.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
6.2. Equipo de direccin:
6.2.1. Navegacin con Google Chrome.
6.2.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
7. Repositorios de almacenamiento de backup y tareas de copia:

7.1. Tareas de copia en Cobian Backup.
7.2. Imagen del sistema Windows Server.
7.3. File history, almacenamiento de perfiles de usuario.
7.4. Soporte remoto (Unidad de red).
7.5. Repositorio sincronizado SaaS (OneDrive).
8. Disponibilidad y estado de servicios:

8.1. Servicio de nombres de dominio (DNS).
8.2. Servicio de configuracin dinmica de host (DHCP).
8.3. Servicio AD DS (Directorio activo Servicio de dominio).
9. Honeypot y cuentas de administracin de dominio:

9.1. Imposibilidad de inicio de sesin como Administrador (cuenta deshabilitada y sin
permisos de dominio).
9.2. Comprobacin de permisos de administrador de dominio e inicio de sesin
(uErArreglo, administrador de dominio).
10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):

10.1. Directorios de departamentos: administracin, direccin, usuarios centro.
10.2. Carpeta comn.

Ejecucin de pruebas
En este apartado se ejecutan todos los pasos de comprobacin para evaluar los puntos de
prueba enumerados anteriormente. Los resultados se vern reflejados en la tabla siguiente
(apartado Evaluacin de puntos de prueba).
Algunos puntos de prueba requieren de varios pasos, aclaraciones, pruebas adicionales o

mtodos especiales que son documentados en su anexo correspondiente. Para obtener
informacin completa de estos puntos revisar el anexo E-88 Plan de pruebas.
Los puntos ms sencillos, aquellos que slo requieren una observacin o comprobacin simple,
son documentados directamente en la tabla de evaluacin. En esta tabla se recogen las
puntualizaciones y aclaraciones pertinentes.
Los 10 puntos de prueba definidos se evalan de forma secuencial comprobando que,

efectivamente, se cumplen los requisitos de la infraestructura propuesta.

Evaluacin de puntos de prueba
A continuacin se muestra una tabla con los resultados obtenidos durante la realizacin del
plan de pruebas:
Punto de prueba Resultado Observaciones
1. Integridad de instalacin:
CSNV.crlnuevavida.es
crlnv-adm-00 Comprobacin de integridad satisfactoria.
crlnv-dir-00
2. Actualizaciones del sistema operativo:
Incluye configuracin de Windows Update e

CSNV.crlnuevavida.es
instalacin de actualizaciones importantes.
crlnv-adm-00 Revisin de Windows Update y reinicio del
crlnv-dir-00 sistema.
3. Inicio de sesin en el sistema:
Administrativo (en dominio) Marcos Alonso (administrativo).

Directivo (en dominio) Juan Prez (directivo).
Administrador (en
controlador de dominio)
Administrador local en
equipo de administracin Credenciales de Administrador de la mquina
Administrador local en local (fuera de dominio).
equipo de direccin
Marcos Alonso, usuario de
Administrativo sin conexin
Estas administracin en crlnv-adm-
al servidor (en dominio)
operaciones 00.
Directivo sin conexin al hacen uso de la Yolanda Figueras, usuario de
servidor (en dominio) cach SAM que direccin en crlnv-dir-00.
Administrador de dominio en guarda las
Perfil de administrador de
equipo de administracin sin credenciales de
dominio uErArreglo.
conexin al servidor anteriores
Administrador de dominio en inicios de sesin
equipo de direccin sin en el sistema
conexin al servidor
4. Estado del software antivirus y anlisis de amenazas:
Microsoft Security Essentials (Servidor):

Estado de actualizaciones ltimas definiciones de virus disponibles.
Estado del servicio MSE activado y protegiendo el equipo.
Anlisis del sistema Malware no encontrado en el sistema.
Avast Antivirus (en crlnv-adm-00):
Estado de actualizaciones
Estado del servicio
Solicita instalacin de software publicitario de la
Anlisis del sistema misma empresa (GrimeFighter). El anlisis es
correcto y no encuentra amenazas.
Avast Antivirus (en crlnv-dir-00):
Estado de actualizaciones
Estado del servicio
Anlisis del sistema
5. Conectividad y anlisis de red:
Transmisin de paquetes Pruebas realizadas en el entorno de red

entre equipos del mismo simulado con Cisco Packet Tracer. Mensajes
departamento ICMP.
Transmisin de paquetes La configuracin de red propuesta funciona
entre equipos de distinto correctamente en las pruebas de simulacin. La
departamento comunicacin en el entorno virtual tambin es
correcta.
Conexin del servidor a Solicitud PING a www.google.es para comprobar
Internet conectividad y DNS.
Conexin de equipo de
administracin a Internet
Conexin de equipo de
direccin a Internet
Trfico de red Monitorizacin de red con Wireshark.
6. Funcionalidad de aplicaciones:
Navegacin con Google

Visita al sitio Web www.unirioja.es sin
Chrome en equipo de
incidencias. Acceso a Internet.
administracin
Tareas administrativas con Hoja de clculo, procesador de textos y base de
Microsoft Office datos disponibles.
Navegacin con Google
Bsqueda en Google a travs de
Chrome en equipo de
www.google.es. Acceso a Internet.
direccin
7. Repositorios de almacenamiento de backup y tareas de copia:
Tareas de copia en Cobian Las rutas origen y destino de copia en las tareas
Backup creadas estn configuradas correctamente.
Imagen del sistema Windows Almacenada en soporte RAID (en simulacin,
Server unidad remota).
File history, almacenamiento Perfiles almacenados correctamente de forma
de perfiles de usuario automtica con File History en la unidad remota.
Directorio WindowsImageBackup.
Soporte remoto (Unidad de Acceso normal, contenido ntegro. Conectado
red) como unidad E:\.
Repositorio sincronizado Funcionamiento adecuado. Forma parte de los
SaaS (OneDrive) destinos programados para las tareas de copia
en Cobian. La sincronizacin con la nube
funciona correctamente.
8. Disponibilidad y estado de servicios:
Servicio de nombres de
dominio (DNS)
Consulta de estado de servicios desde el
Servicio de configuracin
dashboard de Administrador del Servidor en
dinmica de host (DHCP)
Windows Server 2012.
Servicio AD DS (Directorio
activo Servicio de dominio)
9. Honeypot y cuentas de administracin de dominio:
La cuenta est deshabilitada y adems no

Imposibilidad de inicio de
permite iniciar sesin con ella en ningn equipo
sesin como Administrador
de dominio.
Comprobacin de permisos
Inicio de sesin correcto y permisos asignados
de administrador de dominio
adecuados como administrador de dominio.
e inicio de sesin
10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):
Directorios de
departamentos: Creacin de ficheros en cada departamento:
administracin, direccin, pruebas de copia, edicin y eliminacin.
usuarios centro
El usuario que publica en ComunCRL puede
solicitar que slo l pueda modificarlo. Las
Carpeta comn
directivas de grupo permiten editar los permisos
de los ficheros creados por ellos.
Como podemos observar, todas las pruebas han sido completadas satisfactoriamente. En la
evaluacin de cada punto de prueba hemos conseguido el resultado esperado, tal y como
figura en la tabla anterior.
Con esta fase del proyecto podemos dar por concluido el apartado de implementacin de la
solucin y las pruebas de la misma.
A continuacin abordamos el apartado de restauracin, donde se plantean distintas

situaciones que pueden presentarse en la infraestructura en un futuro. Se trata de un paso
ms en el cual se compromete al entorno simulado y se detalla a continuacin la o las
soluciones que se pueden adoptar y su resultado final.

Escenario de restauracin
Una vez implementada la infraestructura y ejecutado el plan de pruebas con xito, pasamos al
escenario de restauracin. En este apartado simularemos posibles problemas que puedan
existir en el futuro para comprobar la eficacia de los sistemas de seguridad aplicados en el
proyecto.
El escenario de restauracin se divide en los siguientes puntos:
Recuperar una versin anterior de un documento del administrador de dominio.

Restablecer un perfil de dominio de un usuario.
Aplicar la imagen de sistema servidor.
Conectividad para un cliente con problemas de acceso a la red.
A continuacin se detallan uno a uno los puntos del escenario:
Recuperacin de un documento del administrador de dominio

Situacin
El administrador elimina un documento importante
almacenado en su carpeta personal, lo sobrescribe o
existe un problema de integridad en el sistema de
ficheros que le impide acceder a esa informacin.
En esta ocasin el fichero ha sido eliminado de forma

permanente por accidente. No es posible acceder a l
desde la papelera de reciclaje.
Solucin
La tarea de copia SRVR_PERFILADMIN realiza copias de respaldo de los documentos del
administrador, por lo que podemos recurrir a diferentes medios de recuperacin:
1. Recurrir a la copia de respaldo del medio remoto.

2. Recuperar el fichero desde el servicio OneDrive.
3. Utilizar un software de recuperacin de archivos.
Utilizamos la primera opcin. Si accedemos al repositorio

donde se almacenan las copias nos encontramos con el
fichero, el cual si abrimos comprobamos que est cifrado.
Si queremos acceder al contenido descifrado, debemos

utilizar la herramienta descifrador de Cobian. Indicamos
la clave de administrador de dominio y el tipo de cifrado
AES 256 bits.

Descifrador en Cobian, descifrado del fichero a recuperar
Una vez realizada esta operacin, podemos acceder al fichero perdido con total normalidad,
recuperando la versin destruida siempre y cuando sea el administrador de dominio quien
desee recuperar la informacin.
Restablecer un perfil de dominio de un usuario

Situacin
El equipo de trabajo de un usuario tiene que ser reemplazado por una actualizacin
importante, un fallo de un componente hardware u otro tipo de reparacin. Los datos con los
que trabaja dicho usuario estn almacenados localmente en su estacin de trabajo,
concretamente, en su perfil de dominio, con el que inicia sesin.
El servicio de dominio Active Directory slo guarda las credenciales del usuario y la
informacin de su cuenta (pertenencia a grupos, unidades organizativas, permisos...) pero
nunca sus datos.
Solucin
Podemos adoptar dos soluciones distintas en funcin de qu necesitamos recuperar:
Slo datos: Con la tarea de Cobian CLNT_PROFILES. Tal y como hemos recuperado
los datos del punto anterior.
Perfil completo: Utilizando la herramienta File History que almacena los datos y la
configuracin del perfil.
En este caso aplicaremos la segunda opcin, File History. Los pasos a seguir son los siguientes:
1. Si el perfil ha sido eliminado, no hay ms remedio que volverlo a crear. Si se han

perdido datos o configuraciones del perfil no es necesario crearlo de nuevo. Esta
operacin debe realizarse creando un nuevo objeto de usuario en Usuarios y Equipos
de Active Directory.
2. Iniciamos sesin con el perfil de dominio en su equipo de trabajo, en nuestro caso es
Marcos Alonso en el equipo crlnv-adm-00.crlnuevavida.es.

3. Accedemos al servicio File History desde el panel de control (o mediante una bsqueda
desde el men inicio). Elegimos el recurso de red donde el servidor almacena los datos
del perfil: \\CSNV\usuario@crlnuevavida.es.
4. Marcamos el check Quiero utilizar un backup previo de esta unidad. Aparece

entonces otro cuadro en el que nos permite elegir el
backup a restaurar.
Accedemos a las tres copias de las que disponemos

actualmente sobre este perfil. Podemos navegar entre las
diferentes versiones y directorios para restaurar los datos
que deseemos.
Una vez seleccionada la informacin que queremos
restaurar, hacemos clic en el botn verde de la parte inferior de la pantalla.
De este modo, recuperamos la informacin del perfil satisfactoriamente.
Aplicar la imagen del sistema servidor

Situacin
El servidor es un sistema ms de la infraestructura y, como tal, puede fallar. Adems, no
disponemos de un servidor de pruebas que nos permita mantener un sistema completo de
respaldo por si el primero falla. Tampoco tenemos un servidor de rplica, el cual realizara esta
funcin de forma automtica, gracias a los servicios de Active Directory y el catlogo global.
Descartando las soluciones ms adecuadas, ya que aumentaran el coste del proyecto

notablemente, se hace necesario buscar otras alternativas.
Solucin
Si se trata de un problema de hardware, ponerse en contacto con el fabricante es la solucin
ms adecuada. Si el administrador de sistemas es capaz de diagnosticar el problema, puede ser
ms rpido que l mismo sustituya la pieza daada.
Para los problemas derivados de un fallo de software, tenemos una imagen de sistema
operativo creada y almacenada. Esta imagen, por requisitos del plan de seguridad, es
actualizada con cada cambio significativo realizado en el servidor. Cmo podemos restablecer
el estado del sistema operativo aplicando la imagen realizada?

Imgenes de sistema almacenadas durante la ejecucin del plan de seguridad
Existen dos alternativas para aplicar la imagen y restaurar el sistema:
1. Utilizar la herramienta grfica de realizacin de copias y restauracin:

Cuando el sector de arranque del sistema no se ha visto afectado es preferible
utilizar esta opcin, pero para ello es necesario que el sistema sea capaz de
arrancar con normalidad. En herramientas administrativas, Windows Server
Backup hacemos clic en recover y seguimos el asistente, seleccionando estos
parmetros:
Ubicacin de la imagen de restauracin: CSNV.crlnuevavida.es.
Obtenemos la informacin de las copias
almacenadas, elegimos la ms reciente
o la ms adecuada.
Recuperar estado del sistema (System state). Podemos elegir otras

opciones de recuperacin como: Ficheros y directorios, volmenes o
aplicaciones.
Destino de recuperacin: Ubicacin original.
Nota: el tipo de recuperacin estado del sistema slo puede realizarse desde el
modo de recuperacin (modo DSRM), detallado a continuacin en el punto dos.
2. Arrancar el sistema en modo recuperacin y restaurar con imagen de sistema:

Utilizando este mtodo podemos utilizar todas las opciones de recuperacin,
incluida la de estado de sistema. Para poder volver a un estado anterior es
necesario que el sistema operativo no est funcionando, los pasos a seguir son los
siguientes:
Arrancar la mquina en modo de recuperacin (DSRM) pulsando F8 antes
de que el sistema operativo arranque con normalidad.
En opciones de arranque avanzadas, elegimos Reparar el equipo.
En el men siguiente: Opciones avanzadas > Recuperacin imagen de
sistema.
Seleccionar opcin de recuperacin: Estado de sistema.
Elegir la imagen ms adecuada para restaurar de las opciones disponibles.
Ubicacin de la restauracin: Ubicacin original.
Sea cual sea la opcin que hemos elegido, se trata de una operacin costosa que afecta a todo
el sistema, por lo que podemos estimar un tiempo de recuperacin de entre dos y cuatro
horas. Una vez realizada la operacin, el equipo se reiniciar y podremos iniciar sesin con
normalidad.

Conectividad para un cliente con problemas de acceso a la red
Situacin
Un usuario informa de que no tiene posibilidad de acceder a la red. El administrador acude al
puesto de trabajo para averiguar qu sucede y quiere descartar problemas de configuracin IP.
Cmo puede ayudar la infraestructura de servicios en esta situacin? Si pasa en varios
equipos a la vez, cmo atajar el problema con agilidad?
Solucin
La solucin ms eficaz pasa por hacer modificaciones en la infraestructura de servicios actual y
ampliar la informacin sobre el estudio de configuracin IP. El proceso consta de dos fases, un
apartado tcnico de actuacin sobre el servicio DHCP y otra de documentacin para habilitar
configuraciones IP estticas temporales.
Fase 1: Crear un mbito DHCP de reserva para conceder a los clientes datos de configuracin IP
dinmicos temporales y as comprobar su conectividad. Existe un conflicto explicado en
desviaciones con este servicio que nos impide crear un mbito para atender estas peticiones,
as que ampliamos el rango de concesiones creando un mbito global que atender las
peticiones de conexiones inalmbricas y las de IP de reserva para conectividad.
Configuracin final del mbito global en el servidor DHCP
Fase 2: Documentar un rango de direcciones IP de reserva utilizables en caso de ser necesaria

una configuracin esttica diferente en el equipo cliente. Debemos utilizar un rango fuera del
mbito de concesiones del servidor DHCP, para evitar problemas de duplicacin de
direcciones.
Para aplicar esta solucin debemos aadir la siguiente fila en la tabla de direcciones contenida
en el estudio de configuracin IP:
Equipo (hostname) Ubicacin Direccin

10.0.151.0 10.0.151.254
Reserva de direcciones para Mscara: 255.255.0.0
Todo el centro
asignacin manual. Puerta de enlace: 10.0.0.1
DNS: 10.0.0.100
Utilidad y crecimiento del escenario de restauracin

El informe que documenta las operaciones de restauracin debe crecer con cada problema
resuelto. Es fundamental documentar correctamente la solucin adoptada y la informacin
recogida. Esta informacin, junto a la contenida en el plan de seguridad, puede ahorrar mucho
tiempo a la hora de solucionar un problema en la infraestructura.

Tener actualizados y bien documentados estos informes ahorrar tiempo, problemas y har
ms efectiva la labor del administrador, evitando tener que investigar varias veces problemas
similares y buscar soluciones adoptadas en casos anteriores.
Desviaciones
Incompatibilidad de aplicacin: Avast y Windows Server
Problemas de compatibilidad a la hora de instalar el antivirus Avast en el servidor. Este

software est pensado para ser utilizado en equipos cliente que ejecutan sistemas operativos
para equipos de este tipo. La solucin ms razonable pasa por instalar Microsoft Security
Essentials en lugar de Avast (slo en el caso del equipo servidor, por sus caractersticas
especiales).
Servicio VSS (Volume Shadow Copy Service) y Cobian Backup
El software elegido para las tareas de backup, Cobian, requiere del uso del servicio de
Windows VSS para copiar ficheros protegidos por el sistema operativo. El uso de este servicio
requiere privilegios administrativos, por lo que ha sido necesaria una modificacin adicional en
la configuracin del programa Cobian Backup.
Inicio de sesin en Microsoft Windows Server 2012
Problemas de configuracin en la mquina virtual (instalada en Virtualbox) impiden que el

sistema operativo permita iniciar sesin. La solucin pasa por cambiar la configuracin de la
mquina virtual desde el men de configuracin de Virtualbox. El fallo queda registrado y
documentado en el log del sistema operativo.
Problemas de servicio WDS (Windows Deployment Services) y

Administracin Remota
Un error no documentado relacionado con el servicio WDS y Administracin Remota me

impide habilitar servicios crticos para la realizacin del proyecto. El problema reside en una
instalacin defectuosa del sistema operativo que me obliga a reinstalarlo y configurarlo de
nuevo.

Sistema RAID, simulacin virtual
Tal y como queda especificado en los requisitos del proyecto, es necesario un sistema
redundante de almacenamiento (RAID) para las copias de seguridad. En el entorno real viene
configurado en el sistema servidor, pero en nuestro caso necesitamos una solucin de
simulacin. La aplicacin ms aproximada que podemos realizar es incluir en la mquina virtual
una ubicacin de red adicional que funcionar como espejo (aplicando as un RAID tipo 1).
Accesibilidad a carpetas compartidas entre mquinas. Hora del

sistema y seguridad
El servidor de ficheros no permite acceder a los clientes a sus recursos compartidos si su hora y
fecha no estn actualizadas. Guardar el estado de una mquina virtual sin tener instaladas las
Virtualbox Guest Additions puede provocar un desfase horario en la mquina virtualizada. Para
evitar esto, se aade a la instalacin de las mquinas el paquete Guest Additions.
La fecha y hora de mquina servidor y cliente deben coincidir para permitir el acceso a los
recursos compartidos. Con esta solucin, el problema de acceso desaparece.
Planificacin y ejecucin del plan de copias de seguridad
La estrategia de copias es vlida, pero su implementacin est mal realizada por un error al
aplicarla. Al intentar poner como destino de copia un directorio que forma parte de los
orgenes de copia (por ejemplo, guardar en C:\Copia el contenido del volumen C:\) provoca
una copia continua que no termina nunca (como una recursividad mal fundada). No existe
condicin de parada y el sistema se satura.
Corregir la aplicacin de la estrategia de copia resuelve este problema.
Cortafuegos a nivel de dominio y protocolo ICMP
El cortafuegos activado en el cliente a nivel de dominio impide que el servidor pueda realizar
solicitudes PING satisfactoriamente con sus clientes para comprobar la conectividad. Para
poder realizar labores de diagnstico de red, comprobaciones de conectividad de red, estado
de servicios, etc. es necesario desactivar el firewall en el cliente, nicamente a nivel de
dominio.
Sin llegar a ser una prctica muy insegura, s conviene desactivar el cortafuegos nicamente
cuando vayan a realizarse las labores mencionadas anteriormente. Mantener activadas las
medidas de seguridad es esencial.

Configuracin del mbito de red en los clientes
En Windows 8.1, as como en versiones anteriores del sistema operativo, es posible establecer
el mbito de una conexin de red. Una conexin puede ser pblica (si nos conectamos en
centros comerciales, aeropuertos) o privada (si se trata de una red de trabajo o domstica).
Tenemos el problema de que la interfaz que comunica a los equipos de la simulacin est
configurada como pblica de forma automtica. Esto afecta a la conectividad, incluso a la
posibilidad de realizar copias de seguridad de los clientes, ya que el servidor no tiene acceso a
los clientes a travs de una red pblica. Es un problema que puede aparecer tanto en el
entorno virtual como en el real.
Para solucionar esto ha sido necesario reconfigurar las interfaces de red en los clientes desde
el centro de redes y recursos compartidos, en el panel de control de Windows.
Los mbitos de concesiones en el servicio DHCP de Windows Server
Durante la realizacin del escenario de restauracin, concretamente la primera fase del ltimo
punto, necesitamos hacer modificaciones sobre el servicio DHCP. Se trata de una operacin
aparentemente sencilla, aadir un mbito con el rango 10.0.100.1 10.0.100.254 para ayudar
al administrador de sistemas a resolver posibles problemas de conectividad en los clientes.
Ya tenemos configurado el mbito 10.0.150.1 10.0.150.254 para conexiones inalmbricas y

ambos son incompatibles. No se solapan entre ellos, pero Windows Server no permite activar
ambos mbitos, por qu? Pues es sencillo, tiene que ver con la mscara de subred.
Si establecemos una mscara de subred, como es el caso, 255.255.0.0, un mbito de

concesiones con esta mscara ocupa todo el rango de direcciones aplicable sobre esa mscara,
un ejemplo aplicado a nuestra situacin:
Si un mbito DHCP est configurado con 10.0.150.1-254 con mscara 255.255.0.0, el mbito
ocupa, en realidad, todas las direcciones 10.0.x.x (las que coinciden con la mscara), es decir:
Las que concedo: 10.0.150.1-254 con mscara 255.255.0.0.

Las que ocupo: 10.0.x.y, con x e y entre 1 y 254 con mscara 255.255.0.0.
No es fcil de explicar, posiblemente lo sera si tuviera sentido. Hay dos posibles soluciones,
engaar a Windows o modificar el planteamiento realizado y ajustar la mscara a las
exigencias del sistema operativo, apostamos por la primera.
Creamos un mbito global (superscope) que abarca el rango 10.0.100.1 10.0.150.254 y luego
aadimos a la lista de exclusiones el rango 10.0.101.1 10.0.149.254. As conseguimos que el
mbito global atienda a las peticiones de ambos sectores de direcciones.
Ms detalles sobre estas desviaciones en el anexo E-81 Desviaciones y lecciones aprendidas.

Captulo 5.
Conclusiones
Una vez ejecutada y verificada la solucin, pasamos al ltimo captulo del proyecto. En estos
prrafos se detallarn las lecciones aprendidas durante todo el desarrollo. Como conclusin
del trabajo, un apartado de bibliografa y un comentario final que abarca, desde una
perspectiva global, las conclusiones obtenidas a lo largo de la realizacin del proyecto.
Lecciones aprendidas
Asociacin al dominio
Encuentro un cambio respecto a mi experiencia con versiones anteriores de Windows Server.

En la versin 2003 era necesario ser administrador de dominio para unir un equipo al dominio.
Actualmente, en la versin 2012, esto ha cambiado y cualquier usuario perteneciente al grupo
Domain Users puede realizar esta operacin.
Se trata de un cambio que puede generar controversia y que, adems, puede suponer un
compromiso de seguridad.
Copias de seguridad de los usuarios y sus perfiles
La estrategia de copias de seguridad est ideada en un principio para realizar imgenes de

sistema de los equipos cliente. Es una prctica razonable cuando hay varios equipos cliente con
caractersticas diferenciadas entre ellos: diferente software, configuracin, etc.
En este proyecto, no es necesario aplicar esta tcnica, ya que la imagen de sistema cliente es
similar en todos los equipos. No existen aplicaciones ni caractersticas diferenciadoras para los
distintos departamentos, por lo que podemos incrementar la eficiencia de la estrategia de
copia si acotamos el respaldo a los perfiles de usuario.
La informacin especfica que necesita cada equipo cliente reside en su totalidad en el servidor
(el cual s posee su propia imagen de sistema). La informacin a proteger en los equipos cliente
son nicamente los perfiles de usuario, los cuales estn englobados en la poltica de copias, ya
que los equipos cliente se encargan de enviar copias de los perfiles que contienen
peridicamente.

Directivas de contraseas
Tambin denominados Requisitos de complejidad de contraseas. Constituyen una serie de

reglas que aplica el sistema a la hora de comprobar la validez de las contraseas de usuario. Al
contrario de lo que yo crea inicialmente, estos requisitos no son editables.
Se trata de una limitacin importante que puede suponer, en muchos casos, la adopcin de
otra alternativa como sistema operativo servidor, por ejemplo un sistema GNU/Linux, que s lo
permite.
Con Windows Server ser posible establecer parmetros de caducidad, intentos fallidos,
memoria de contraseas anteriores (para no repetir) y otros parmetros similares. Por el
contrario, en ningn caso ser posible decidir cuntas maysculas queremos incluir en la
palabra de paso, ni cuntos smbolos especiales, si debe contenerlos o no, etc.
Este sistema operativo te permite habilitar o deshabilitar sus propios requisitos, pero nunca
editarlos.
Reiniciar el sistema
En un servidor, la operacin reiniciar el sistema debe ser algo poco habitual y justificado.
Este segundo aspecto es necesario en Windows Server, ya que para reiniciar el servidor
necesitas documentar los motivos (que formarn parte del log del sistema desde ese
momento).
Ahora bien, reiniciar el sistema con un sistema operativo Windows Server no es poco habitual,
de hecho es algo demasiado habitual para un servidor. Es necesario reiniciar demasiadas
veces, ms de las que crea inicialmente.
Tener que reiniciar el sistema implica cerrar servicios, imposibilitar operaciones de dominio en
los clientes y otras muchas consecuencias indeseables. Otras alternativas de sistemas
operativos como GNU/Linux no exigen reinicio del sistema para operaciones en las que
Windows Server s lo requiere.
Autenticacin centralizada (cach SAM)
Otro avance respecto a versiones anteriores de Windows Server (2003). En la versin 2012 es
posible iniciar sesin en el dominio sin que este est accesible. Esto es posible gracias a que la
SAM (donde se almacenan las credenciales) de los sistemas cliente es actualizada con cada
inicio de sesin de usuario.
Si un sistema cliente no es capaz de conectar con el controlador de dominio (en nuestro caso
el servidor), recurrir a su propia SAM para intentar autenticar al usuario que intenta iniciar
sesin. Si este mismo usuario inici sesin en el sistema anteriormente, podr ser autenticado

y acceder a su perfil de dominio, aunque sin conexin al mismo. Es algo as como una
simulacin de perfil de dominio a nivel local.
Es un aspecto positivo para la accesibilidad ya que permite iniciar sesin en el dominio aun
cuando el controlador no est disponible. Por el contrario, no lo es tanto para la seguridad,
porque esto implica que el sistema cliente est autorizado para autenticar usuarios de forma
local. Esta operacin debera ser exclusiva del controlador de dominio.
En mi opinin, la autenticacin local con un perfil de dominio no debera estar permitida

mientras el servidor no est disponible. Normalmente un servidor es una mquina preparada
para funcionar continuamente, por lo que este problema debera ser algo excepcional.
Comprometes la seguridad en exceso para ganar accesibilidad en casos muy concretos que no
deberan suceder con regularidad.
La combinacin OneDrive + Cobian Backup
Dos herramientas que, en fase de planificacin, son incluidas de forma independiente en el

proyecto, cada una realizando una tarea propia.
OneDrive sirve como SaaS replicando ficheros en un medio externo, mientras que Cobian
centraliza las tareas de copia de respaldo. La combinacin de ambas aplicaciones no estaba
prevista inicialmente, pero surge una sinergia del uso de ambas de forma sincronizada.
Cobian Backup pone a disposicin de OneDrive los datos de respaldo. A su vez, este ltimo
sincroniza de forma automtica el repositorio local (un directorio) con el servicio de
almacenamiento alojado en Internet. As, una tarea de copia de Cobian desencadena tres
operaciones distintas:
Copia de respaldo local en directorio de backup.

Duplicado de los archivos respaldados en el directorio OneDrive.
Sincronizacin del directorio OneDrive local con el servicio de almacenamiento en la
nube.
Para obtener informacin extendida sobre las lecciones aprendidas, ver anexo E-81
Desviaciones y lecciones aprendidas.

Conclusin
El desarrollo del proyecto Conceptualizacin, diseo e implementacin de infraestructura de

red ha sido muy interesante. Un trabajo amplio en los conceptos que abarca: tecnologas,
programas, aspectos de la informtica de sistemas y redes.
Se trata de un proyecto motivado por mi deseo de actualizar mis conocimientos en redes e

informtica de sistemas, adems de aplicar los conocimientos adquiridos en estos aos de
grado.
De principio a fin han surgido numerosos problemas, desviaciones y complicaciones de todo

tipo. El tiempo dedicado a su resolucin me ha ayudado a adquirir nuevos conocimientos y a
darme cuenta tambin de lo frgil que puede resultar una planificacin.
Aprender, poner a prueba mi motivacin y mi independencia profesional han sido los pilares
fundamentales. El trabajo continuado y la comunicacin con mis tutores han contribuido
notablemente al resultado.
Estoy satisfecho, por tanto, con la labor realizada como equipo de trabajo, he recibido en todo
momento la ayuda que he necesitado, ha habido una comunicacin eficaz y ha formado parte
activa de mi motivacin durante este tiempo.
El cliente ha quedado tambin satisfecho con este resultado. Tras remitir una copia del
proyecto finalizado al responsable de informtica del centro y al director, me han transmitido
su agradecimiento personalmente. Consideran este trabajo como una alternativa interesante
para el futuro del centro.
Como puntos crticos puedo destacar las limitaciones sufridas a causa del entorno de trabajo
virtual y, en algunos casos, la irreflexin ma a la hora de elegir ciertas aplicaciones, lo cual me
ha obligado a reconducir el proyecto en alguna ocasin.
Estas reconducciones me han generado cierta frustracin, pero considero que no han afectado
al resultado final. Con la misma ilusin del primer da, afronto las nuevas posibilidades que han
surgido gracias a la realizacin de este trabajo.
Tiempo de trabajo real y estimado
Una vez terminado el proyecto repasamos la estimacin inicial de tiempos y el diario de

actividad. El tiempo total de trabajo estimado fue de 271,5 horas. Segn el diario de actividad,
donde estn registradas las actividades realizadas y su dedicacin temporal, el tiempo total de
trabajo en el proyecto ha sido de 290 horas.
Es una desviacin positiva de un 6,8% en tiempo real de trabajo frente al estimado, cuando en
la planificacin se estima hasta un 10% de posible aumento. El tiempo real, por tanto, se
encuentra dentro del margen previsto para la realizacin del proyecto.

Bibliografa
Tecnologas y servicios utilizados:
1. Google Docs (http://docs.google.com): Formularios de consulta.

2. Dreamspark (http://www.dreamspark.com): Licencias de aplicaciones con
fines educativos.
3. Virtualbox (https://www.virtualbox.org): Aplicacin para crear el entorno
virtual.
4. Cisco Packet Tracer (https://www.netacad.com/es/web/about-us/cisco-
packet-tracer): Simulacin de red y pruebas de comunicaciones.
Formacin, tutoriales y orientacin:
1. Comandos para consola CMD Windows

(http://www.oscarbernal.net/?/content/view/53/19).
2. Configuracin de servidor, primeros pasos
(http://www.techrepublic.com/blog/data-center/ten-first-steps-with-
windows-server-2012).
3. Canal de Pablo Martnez: MVP de Microsoft. Administracin de Windows
Server 2012 (https://www.youtube.com/user/PabloMartinezs3v).
4. Servicio TechNet de Microsoft para consultas y resolucin de problemas
(https://technet.microsoft.com/es-es).
5. Tutoriales y artculos con informacin sobre sistemas operativos cliente y
servidor de Microsoft (http://www.windowsnetworking.com).
Trminos de uso y boletines en Internet:
1. OneDrive: LOPD y posible cesin de datos, legislacin

(http://windows.microsoft.com/es-xl/windows/microsoft-services-
agreement).
2. Hispasec: consultas de seguridad, boletines (http://www.hispasec.com).
3. Asociacin de internautas: otras consultas de seguridad
(http://www.internautas.org/seguridad).
4. Blog de redes TCP/IP con informacin sobre subnetting, topologas y guas de
IPv4 e IPv6. Tambin incluye informacin interesante sobre Packet Tracer y
descargas de software para administradores de redes
(http://cesarcabrera.info/blog).
Libro de consulta:
Redes de rea local (2 Edicin - Editorial Ra-Ma)

Fco. Jos Molina.

Anexo E-70
Formularios de consulta
Cuestiones planteadas al cliente para obtener la informacin
necesaria sobre el proyecto

infraestructura de red

Universidad de La Rioja. Curso 2014-2015.
Formulario 1 (E70_FORM1):
HTTPS://DOCS.GOOGLE.COM/FORMS/D/1STDV9Q-XJYIJK-UCY2N-
JV6AQP3LFVWRDQJSGVXSQGK/VIEWFORM
Entrevista presencial
Realizada el lunes 27 de octubre en el centro donde se realizar el despliegue de la

infraestructura. En la reunin se trata de obtener ms detalles sobre algunas de las respuestas
obtenidas a travs del formulario online.
En la entrevista tratamos lo relacionado con las aplicaciones necesarias a instalar en los

equipos, atendiendo a las peticiones de empleados y usuarios. Por otra parte, se solicit por
parte del centro una conexin inalmbrica para dispositivos mviles.
Respecto a infraestructura, comprobamos la conectividad del edificio y la distribucin: existen

dos despachos en los que es necesario al menos un equipo, pero lo ideal seran dos por el
nmero de empleados que trabajan en ellos. Adems, existen dos salas que requieren doce
equipos en cada una para usuarios del centro.
En lo que a LOPD (Ley Orgnica de Proteccin de Datos) se refiere, tenemos un fichero

registrado con informacin sensible sobre usuarios. Es necesario realizar copias de seguridad
de dicho fichero y por tanto ser incluido en el plan de copias.
ID Task Mode Task Name Duration
October 2014 November 2014 December 20
09 12 15 18 21 24 27 30 02 05 08 11 14 17 20 23 26 29 02 05
1 Conceptualizacin, diseo e implementacin 116 days
2 de infraestructura
Reuniones y diario de
de red
actividad 116 days
3 Estudio de herramientas a utilizar 111 days
4 Organizacin bsica 1 day
7 Completado: organizacin bsica 0 days 17/10
8 Planteamiento 7 days
14 Completado: planteamiento 0 days 27/10
15 Planificacin 12 days
22 Completado: planificacin 0 days 11/11
23 Diseo de infraestructura 21 days
24 Plano de localizacin de equipos y 3 days
25 distribucin
Hardware de sistemas 4 days
26 Hardware de red 2 days
27 Enrutamiento y conmutacin 1 day
28 Estudio y configuracin LAN 2 days
29 Presupuesto de hardware 5 days
30 Aplicaciones 3 days
31 Seguridad 6 days
32 Servicios 3 days
33 Completado: diseo de infraestructura 0 days
34 Ejecucin 55 days
35 Instalacin de servidor virtualizado 13 days
36 Sistema operativo 1 day
37 Despliegue del servidor 8 days
38 Crear y almacenar imagen de sistema 2 days
39 Completado: equipo servidor 0 days
40 Parada por exmenes. Convocatoria de 22 days
41 enero.
Instalacin de cliente virtualizado (adm / 9 days
42 dir)Sistema operativo 2 days
43 Despliegue del cliente 5 days
44 Crear y almacenar imagen del sistema 3 days
45 Instalacin de cliente virtualizado 9 days
46 (usuarios)
Sistema operativo 2 days
47 Despliegue del cliente 5 days
48 Crear y almacenar imagen del sistema 2 days
49 Completado: ejecucin 0 days
50 Plan de pruebas 13 days
51 Sistemas operativos 2 days
52 Conectividad 3 days
53 Aplicaciones 2 days
54 Servicios 5 days
55 Acceso a recursos compartidos 2 days
56 Copias de seguridad 2 days
57 Completado: plan de pruebas 0 days
58 Escenario de restauracin 5 days
59 Simular compromiso de integridad de datos 2 days
60 Restaurar informacin perdida 3 days
61 Completado: escenario de restauracin 0 days
62 Presentacin y defensa 5 days
63 Confeccionar y revisar documentacin 3 days
64 Preparar presentacin y defensa 3 days
65 Completado: presentacin y defensa 0 days
66 Proyecto terminado 0 days
Task Inactive Summary External Tasks
Split Manual Task External Milestone
Milestone Duration-only Deadline

Project: E-71 Diagrama de Gant
Summary Manual Summary Rollup Progress
Date: Thu 14/05/15
Project Summary Manual Summary Manual Progress
Inactive Task Start-only
Inactive Milestone Finish-only
Page 1
mber 2014 January 2015 February 2015 March 2015
05 08 11 14 17 20 23 26 29 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 02 05 08 11 14 17 20 23 26 29
08/12
24/12
20/02
11/03
18/03
25/03
25/03

Date: Thu 14/05/15
Page 2
April 2015 May 2015 June 2015 July 2015
29 01 04 07 10 13 16 19 22 25 28 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 30 03 06 09 12 15 18 21
/03
/03

Date: Thu 14/05/15
Page 3
Anexo E-74
Hardware de sistemas
En este documento se describe el hardware de sistemas a
implementar en el proyecto.
Conceptualizacin, diseo e implementacin

De infraestructura de red

Equipos hardware
Equipos para salas de formacin (24 unidades)
Dell OptiPlex 9020 Micro

Para las salas de formacin escogemos un equipo de sobremesa de
pequeo tamao, con componentes de ltima generacin e ideales
para un entorno de oficina. Son especialmente silenciosos por lo que
pueden ser instalados en la mesa de trabajo, ocupando muy poco
espacio.
Tienen una relacin calidad precio realmente buena. Adems, permiten

trabajar rpida y cmodamente ya que incluyen un monitor LED,
adems de un teclado y un ratn ergonmicos.
Microprocesador: Intel Core i5-4590T (4 ncleos, 6MB cach, 2.00Ghz) con tecnologas Intel
vPro e Hyper Threading.
Memoria principal: 8GB (DDR3L, 1600Mhz).
Memoria secundaria: 500GB (2.5 5400rpm SATA3 con cach 8GB flash).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Monitor: Dell serie E-2014H (19,5 LED).
Accesorios: ratn ptico y teclado Dell.
Precio unitario: 678,80 .
2
Equipos para departamento administrativo (2 unidades)
Dell Inspiron 3000

Los equipos de la serie Inspiron son puramente ofimticos, sus
caractersticas centran el rendimiento en la capacidad de proceso para
textos, hojas de clculo y la velocidad de encendido, apagado y
almacenamiento. Procesador rpido y nuevo, mucha capacidad para
almacenar datos y una pantalla grande y cmoda para poder trabajar
cmodamente largos periodos de tiempo.
Microprocesador: Intel Core i5-4460 (4 ncleos, 6MB cach, 3.40Ghz) con tecnologa Hyper
Threading.
Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).
Memoria secundaria: 1TB (3.5 7200rpm SATA3 con cach 8GB flash).
Monitor: Dell serie E-2414H (24 LED).
Accesorios: ratn ptico y teclado Dell.
Precio unitario: 623,00
Equipos para departamento de direccin (2 unidades)
Dell Inspiron 15 3542 (estacin de trabajo porttil)

Porttil verstil y moderno. Buscamos movilidad para el equipo
de direccin, pero tambin compromiso entre rendimiento y
durabilidad de la batera. Si un directivo tiene que acudir a
eventos y trabajar fuera de la oficina, que tenga la mayor
facilidad y comodidad posible.
Microprocesador: Intel Core i5-4210U (2 ncleos, 3MB cach, 2,7Ghz).

Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).
Memoria secundaria: 1TB (2.5 5400rpm SATA3).
Pantalla: 15,6 HD LED.
Precio unitario: 460,72
3
Switch para salas de formacin (2 unidades)
Level One GSW-2457

Las claves son escalabilidad y rendimiento: el switch que va a ser
instalado aporta estas dos caractersticas fundamentales sin un
precio excesivo. La sala de formacin podr crecer y algn puerto
del switch podr fallar. Aunque esto suceda la conectividad de la
sala no se ver afectada al haber una relacin 1 a 2 entre equipos y puertos, todos siempre
conectados. Para cada puerto tenemos una velocidad de 1Gbps, acorde con la velocidad de la
lnea instalada.
Numero de puertos: 24.

Velocidad: 1000Mbps/puerto.
Estndares: RJ-45, Gigabit Ethernet.
Precio unitario: 83
Servidor principal en sala de comunicaciones (1 unidad)
Dell PowerEdge T420 (servidor personalizado)

Servidor tipo torre personalizado. Se ajusta a las necesidades actuales
de la empresa y adems proporciona fiabilidad y escalabilidad para
escenarios de alta exigencia y futuras ampliaciones. Elementos crticos
sustituibles en caliente y administrable remotamente. Arquitectura
hardware RAID y copias de seguridad para proteger los datos.
Precio unitario: 2.383,82
Configuracin hardware:
Microprocesador Intel Xeon E5-2430 v2.

o Sockets: 2.
o Ncleos de proceso: 4 a 2.5Ghz de velocidad de reloj.
o Cach: 15MB.
Memoria 32GB DDR3-1600Mhz en dos mdulos (16GB+16GB).
RAID y almacenamiento controlador PERC H310 RAID por hardware y dos discos duros
SATA de 1TB en configuracin RAID1.
Red dos tarjetas de red Intel Ethernet I350 1Gbps con doble puerto. WakeOnLan y
gestin remota del sistema.
Alimentacin fuente de 550W.
Chasis tipo torre montable en rack (ocupa 5 unidades estndar).
Documentacin sobre configuracin completa del sistema y su administracin
mediante OpenManage.
4
SAI (para servidor 1 unidad)
SAI Ovislink Chrome 1500VA

Sistema SAI con hasta 750W de potencia de salida y tres lneas de
salida estndar. Hasta 20 minutos de autonoma y conexin USB para
notificar fallos del sistema elctrico al momento. Incluye software que
permite avisar al administrador del problema en la red elctrica e
incluso apagar el servidor antes de producirse el fallo de alimentacin.
Precio unitario: 112
Ficha de sistema
Todos los equipos que forman parte del hardware de sistemas incluyen su propia ficha de
sistema, en la cual figura la informacin relativa a cada equipo. La cabecera de la ficha ir junto
al equipo fsico pegada en la parte superior para conocer su informacin principal de forma
fcil y rpida. Adems, si el equipo requiere ser transportado a otra ubicacin (por fallo en el
hardware, sistema operativo o cualquier otra incidencia) ser fcil saber de qu equipo se
trata y cules son su ubicacin y configuracin correspondientes.
El administrador de sistemas, por otra parte, dispondr de una copia de todas estas fichas con
su registro de eventos en cada una. Toda operacin realizada sobre el equipo ser registrada
aqu para guardar su traza y conocer en todo momento los cambios realizados en el equipo.
Modelos de ficha de equipo en anexo E-87 Fichas de sistemas.
Existen herramientas HPI (Hardware Platform Interface), de ticketing y de registro de eventos

que son una alternativa a este mtodo de fichas de sistemas. No he encontrado una aplicacin
especfica que realice la misma funcin que las fichas. Tambin es posible desarrollar una
aplicacin a medida que tenga esta funcionalidad, pero dadas las caractersticas de este
proyecto, principalmente por el tamao de la infraestructura, considero ms adecuado el uso
de fichas.
5
Anexo E-75.
Presupuesto de sistemas IT
Presupuesto de los equipos hardware a instalar en la empresa.


N Cantidad Concepto Precio unitario Subtotal
Equipo completo Dell OptiPlex 9020 Micro (i5-4590T, 8GB, 500GB, Win8.1)
01 24 678,80 16.291,2
Monitor Dell E-2014H (LED 19.5) Teclado y ratn ptico.
Equipo completo Dell Inspiron 3000 (i5-4460, 8GB, 1TB, Win8.1)

02 2 623,00 1.246,0
Monitor Dell E-2414H (LED 24) Teclado y ratn ptico.
Equipo porttil Dell Inspiron 15 3542 (i5-4210U, 8GB, 1TB, Win8.1). Display
03 2 460,72 921,44
LED 15,6 WiFi 802.11n. Incluye ratn ptico Dell.
04 2 Switch Level One GSW-2457 (24 puertos, Gigabit Ethernet, RJ45). 83,00 166,0
Servidor Dell PowerEdge T420 (Xeon E5-2430v2, 32GB, 1TB-RAID1,

05 1 2.383,82 2.383,82
2xEthernetNIC, PWRSupply550W, AdminDocs).
06 1 SAI Ovislink Chrome 1500VA (750W). 112,00 112,0
IVA (21%):
Subtotal: 21.120,46
4.435,30
Total: 25.555,76
Anexo E-76.
Presupuesto de software
Presupuesto de las aplicaciones a inst alar y configurar en el sistema


N Licencias Concepto Precio unitario Subtotal
01 28 Microsoft Office 2013. 119,00 3.332,0
02 1 Microsoft Windows Server 2012 R2 Standard Edition 64 bits. 432,03 432,03
IVA (21%): 790,45 Subtotal: 3.764,03

Total: 4.554,48
Esquema y estrategia de copias Tipo de copia
Fecha Hora Datos a copiar
de seguridad (programacin)
Nombre: Completa Todos los Documentos de todos los

18:00
Alberto Aparicio Colis (semanal) viernes usuarios
Todos los
Proyecto: Diferencial martes Documentos de todos los
7:30
(semanal) usuarios
Conceptualizacin, diseo e implementacin de y jueves
Repositorio
Copia (ver tabla) Trabajo con datos
Cloud
Cloud ID
1 Direccin
RA
(OneDrive)
Administracin
Usuarios centro
Anexo E-78
Instalacin de Microsoft Windows
Server 2012 R2
En este documento se detalla la instalacin y configuracin bsica
del sistema operativo que ejecutar el equipo servidor


Instalacin del sistema operativo
La primera pantalla
que observamos al
instalar el sistema
operativo tiene un
aspecto similar a
sta.
Desde aqu, paso a

paso, establecemos
los parmetros de
configuracin bsicos
para el servidor.
Pgina principal de instalacin WS2012 R2

Language to install: English.
Time and currency format: Spanish (Spain, International Sort).
Keyboard or input method: Spanish.
Tras darle clic al botn Next aparece otra pantalla en la que pulsaremos
Clave de producto: en el cuadro de texto introducimos la clave de producto obtenida con la

compra del sistema operativo. Formato: XXXXX-XXXXX-XXXXX-XXXXX-XXXXX (los guiones los
introduce de forma automtica).
Clic de nuevo en Next.
Una vez validada la clave de producto debemos elegir el modo de instalacin:
En nuestro caso instalaremos el

modo Server with a GUI, las
caractersticas de ambos
modos son:
2
Server Core Installation: Realiza una instalacin del ncleo de servidor Windows, en la
cual se trabaja mediante una consola de comando. Mejora el rendimiento pero hay
roles de servidor que no se pueden ejecutar en este modo.
Server with a GUI: Aade a la instalacin Server Core una capa grfica (GUI) que
proporciona compatibilidad con aplicaciones que sobre comandos no son operativas.
Como desventaja disminuye el rendimiento del sistema, al tener que procesar una
capa grfica adicional.
Despus de la eleccin de modo debemos aceptar los trminos de la licencia de uso de

Microsoft Windows Server 2012.
Tipo de instalacin: Actualizacin o instalacin personalizada (para usuarios avanzados). Si

tuviramos una instalacin anterior de Windows Server o estuviramos realizando labores de
restauracin o recuperacin, elegiramos la opcin de actualizacin. En nuestro caso,
seleccionamos la instalacin personalizada.
Ubicacin del sistema operativo: Ahora debemos elegir donde instalaremos el sistema
operativo. Este paso es importante entenderlo ya que en nuestro caso tenemos una
instalacin RAID por hardware (independiente del sistema operativo) por lo que en esta
pantalla aparecer un nico disco duro lgico, aunque tengamos montadas dos unidades
fsicas.
Clic en New, elegimos el

tamao de la particin nueva
(una nica particin de 1TB
en el servidor) y clicamos en
Next dejando la particin
primaria de 1TB seleccionada
(aqu es donde se instalar
Windows).
Nota: El resto de particiones

que aparecen son propias de
Windows Server y creadas de
forma automtica.
3
Proceso de instalacin: A partir de este momento esperamos a que la instalacin de Windows
Server termine para continuar con la configuracin.
Este proceso tardar unos minutos y despus la mquina

se reiniciar. Ya se han copiado los ficheros de
instalacin necesarios, ahora comienza la configuracin
del sistema y de administracin.
4
Contrasea de administrador y primer inicio de sesin
En la siguiente pantalla configuramos la contrasea de administrador.
Usuario: Administrator Password: R!NdtcE? (Root! Nunca desveles tu contrasea EH?)
Chequeo de contrasea (http://www.passwordmeter.com)
Introduccin de contrasea para el administrador del sistema.
Primer inicio de sesin
5
Cambio de idioma a castellano
Para cambiar el idioma de Windows Server tenemos dos opciones:
Descargar el paquete de idioma desde Internet (Windows Server lo hace de forma

automtica).
Instalar un pack de lenguaje que incluya el idioma que queremos instalar. Los packs de
lenguajes vienen en formato de imagen ISO que podemos montar en la mquina
virtual.
En el caso de que la primera opcin no sea factible (por ejemplo por no tener configurada la
conexin a Internet todava) podemos recurrir a la instalacin del pack de lenguaje:
Una vez montado el disco con el lenguaje deseado, abrimos el panel de control y en el
apartado clock, language and region (reloj, idioma y regin) clicamos en add a
language (aadir un idioma).
Sea cual sea el modo de actualizacin de idioma que elijamos, la pantalla de instalacin tendr
este aspecto:
Instalando paquete de idioma
Una vez terminada la instalacin del nuevo paquete de idioma es necesario reiniciar la sesin
como administrador del sistema para hacer efectivos los cambios.
Comprobamos la instalacin correcta del idioma

ya que, al iniciar sesin de nuevo, la aplicacin de
administracin central pasa de llamarse Server
manager a Administrador del servidor.
6
Configuracin del servidor
Una vez comprobado que el servidor se inicia correctamente es necesario realizar las tareas
ms bsicas de un servidor de este tipo. La configuracin bsica de la estacin de servicio
engloba los siguientes aspectos:
1. Nombre del servidor.

2. Configurar acceso remoto para administracin.
3. Configuracin IP esttica.
4. Windows Update (actualizaciones del sistema).
5. Firewall de Windows.
6. Instalacin de software antivirus.
7. Servicio de Protocolo de Configuracin Dinmica de Host (DHCP).
8. Instalacin de software para copias de seguridad.
Propiedades de la instalacin de Windows Server (Administrador del servidor > Servidor local)
Para realizar los cambios de configuracin en los puntos anteriores seguimos los siguientes
pasos:
1. Nombre del servidor: por defecto WIN-87OKJD1RD3G. Para cambiarlo, hacemos clic en el
nombre del equipo. Nombre nuevo: CSNV (Centro de Servicios Nueva Vida). Se llamar as
por simplicidad, es conveniente no dejar el nombre por defecto, que no sea muy largo y,
por seguridad, no llamarlo SERVIDOR, SRVR, etc.
Nota: Hacer efectivo el cambio de nombre implica reiniciar la mquina. Justificar el reinicio
del sistema al hacer clic en reiniciar con Reconfiguracin (planeado) ya que estamos
configurando el servidor y el reinicio ha sido planeado previamente.
7
2. Habilitar acceso remoto para administracin: permitir la accesibilidad del administrador
del sistema al servidor para gestionarlo desde cualquier ordenador perteneciente al
dominio. Puede parecer un riesgo de seguridad innecesario, pero:
2.1. Permite al administrador atender antes los problemas.

2.2. Facilita la administracin, ya que el servidor no es un equipo que disponga de
teclado, ratn y monitor.
2.3. El acceso fsico al servidor est limitado, por lo que el acceso remoto es ms
sencillo, seguro y cmodo. Es preferible acceder va red local y administrar que
estar entrando y saliendo de la sala de comunicaciones cada vez que es necesaria
una operacin concreta sobre el servidor.
Para habilitar escritorio remoto para administracin:
Permitir las conexiones remotas a

este equipo (con autenticacin a nivel
de red) y habilitar la excepcin del
firewall.
No es necesario seleccionar usuarios

ya que ser el administrador el nico
que pueda conectarse, y ya viene
incluido por defecto.
Una vez hecho esto, volvemos a

administrador del servidor para
habilitar administracin remota, tal y
como hemos hecho anteriormente. Ya
no aparecer el error y podremos
activar esta opcin.
Gracias al firewall (el cual configuraremos ms adelante) impedimos administrar el

servidor desde fuera de la red local y por supuesto tambin desde fuera del dominio.
As conseguimos autenticacin a nivel de host (slo pertenecientes a red local y
dominio) y a nivel de usuario (slo administrador de sistema).
Nota: No confundir escritorio remoto para administracin con administracin

remota ya que la segunda se refiere a administracin sobre servicios de Internet (IIS) y
otros que no vamos a configurar en nuestro caso.
8
3. Configuracin IP esttica: para cambiar la configuracin IP acudimos al estudio de
configuracin realizado previamente y obtenemos la configuracin a aplicar sobre el
servidor:
Direccin IP 10.0.0.100
Mscara de red 255.255.0.0
Puerta de enlace 10.0.0.1
Servidor de nombres (DNS) 10.0.0.100
Ms adelante utilizaremos nuestro propio servicio DNS y aadimos uno secundario por
si se pierde la funcionalidad del primero (lo ideal ser utilizar los servidores DNS que
proporcione el Proveedor de Servicios de Internet).
Aplicar la configuracin: Ejecutamos ncpa.cpl para abrir el mdulo de configuracin

de red de Windows.
Tal y como se muestra en la imagen, propiedades del adaptador Ethernet >

Protocolo de Internet versin 4 > Propiedades y rellenar los campos como se
indica.
9
4. Windows Update: es un mdulo del sistema operativo que trata las actualizaciones del
sistema. Informa sobre ellas y, segn la configuracin, las instala de forma automtica.
Configurando Windows Update vamos a conseguir mantener el sistema operativo
actualizado para minimizar las amenazas de seguridad debidas a agujeros de seguridad,
puertas traseras y otros tipos de operaciones no deseadas que puedan afectar al sistema.
Panel principal de gestin de actualizaciones Windows Update.
En el panel de servidor local de administracin de servidor (o en panel de control > sistema y

seguridad > Windows Update) accedemos a la ventana que se ve en la imagen superior. Si
queremos una configuracin bsica clicaremos en Activar Actualizaciones automticas, pero
en nuestro caso queremos una configuracin avanzada, por lo que haremos clic en Dejarme
elegir la configuracin:
Elegimos una configuracin

semiautomtica, las
actualizaciones se descargarn
pero el administrador elegir
si se instalan y cundo.
Adems, Windows Update
ofrecer actualizaciones
recomendadas tambin, que
podemos valorar e instalar si
vemos oportuno.
10
Una vez hagamos clic en aceptar slo hay que esperar a
encontrar actualizaciones y elegir si instalarlas o no.
Para instalar actualizaciones importantes, clic donde

indica la imagen y en la ventana siguiente clic en
Instalar. Al revisar las actualizaciones importantes
permito instalar nicamente las que figuran como
Actualizacin de seguridad.
5. Firewall de Windows: al no disponer de cortafuegos en la red, necesitamos activar un

cortafuegos a nivel de host en los equipos para evitar conexiones no deseadas a travs de
los programas y servicios del sistema operativo que puedan daar la infraestructura.
Panel de control del servicio Firewall de Windows
Desde el panel de administracin podemos acceder al estado del cortafuegos. Debemos

configurarlo para nuestra red privada, ya que la red a la que est conectado el servidor es
privada. Si necesitamos permitir que una aplicacin atraviese el cortafuegos, nunca lo
desactivaremos, aadiremos la excepcin desde Permitir una aplicacin a travs de
Firewall de Windows.
11
6. Instalacin de Microsoft Security Essentials (MSE) como software antivirus: en primer lugar
descargamos el archivo ejecutable mseinstall.exe desde la web de Microsoft
http://windows.microsoft.com/es-es/windows/security-essentials-all-versions
Una vez lo tenemos en

el sistema de archivos
del servidor, forzamos
la ejecucin con compatibilidad para el sistema operativo. Despus, abrimos una consola
de comandos CMD y ejecutamos el archivo con el modificador /disableoslimit.
El asistente es sencillo, slo debemos aceptar las condiciones de uso. Recomienda y ofrece
activar Firewall de Windows para mayor seguridad, ya lo tenemos activado as que el
resultado ser el mismo independientemente de la opcin elegida.
ltimo paso en la instalacin de MSE. Realizar anlisis despus de instalar.
MSE se inicia de forma automtica

y comprueba las actualizaciones
antes de activar el servicio. Una vez
termina la operacin obtenemos el
mensaje de estado del equipo.
Estado del equipo: protegido. Proteccin activada y definiciones actualizadas.
12
Microsoft Security Essentials realizar un anlisis de amenazas de todo el sistema cada
domingo a las 2:00 de forma automtica.
Nota: no instalaremos software antivirus adicional ya que Security Essentials advierte de

que pueden existir problemas de compatibilidad al combinarlo con otros servicios de
proteccin contra virus.
7. Instalacin de servicio DHCP: desde el panel de administracin del servidor, elegimos la

opcin 2. Agregar roles y caractersticas.
Punto 2. Agregar roles y caractersticas
En el siguiente paso,
marcamos el rol DHCP para
instalar, leemos la descripcin
y las dependencias que deben
ser instaladas para que el
servicio funcione
correctamente.
Rol DHCP Server. Dependencias y descripcin del servicio
Por ltimo marcamos la

opcin de reiniciar el
servidor si es necesario una
vez instalado el servicio
DHCP y clicamos en instalar.
Finalizacin de la instalacin del rol DHCP

13
Configuracin del mbito DHCP para nuestra organizacin: en primer lugar recurrimos al
estudio de configuracin IP realizado durante el diseo de la solucin.
En el asistente posterior a la instalacin de DHCP configuramos los siguientes parmetros:
El administrador del servicio DHCP es el

mismo administrador del servidor.
Creacin de mbito DHCP: un servicio DHCP no tiene ninguna funcionalidad si no se crea un

mbito DHCP. Un mbito es un bloque de configuracin DHCP que se identifica con un nombre
nico en el servidor. Las concesiones IP se realizan a los clientes por el servidor DHCP dentro
de un mbito concreto.
Configuracin del nuevo mbito DHCP
Configuracin de mbito DHCP:
Nombre: WLAN_IPv4.
Descripcin: Concesiones IP para conexiones inalmbricas.
Intervalo de direcciones: Desde 10.0.150.1 hasta 10.0.150.254.
Duracin de concesin: 8 das.
Puerta de enlace: 10.0.0.1.
Servidores DNS: 10.0.0.100.
mbito WLAN_IPv4 activo
8. Instalacin de software para copias de seguridad: para llevar a cabo las tareas de backup
de forma centralizada en el servidor, tal y como hicimos en la asignatura de seguridad,
14
instalamos el software Cobian Backup 11. Se trata de software gratuito, sencillo de
instalar, utilizar y suficiente para ejecutar con garantas la planificacin de copias.
Las opciones de configuracin en el instalador son las siguientes:
1. Idioma: espaol.
2. Aceptacin de condiciones de uso.
3. Carpeta de instalacin: C:\Program Files(x86)\Cobian Backup 11\
4. Instalar Volume Shadow Copy. Es un servicio de Windows que se ejecuta en
segundo plano y es utilizado por Cobian para tareas de copia sobre volmenes
Windows.
5. En las opciones de servicio utilizamos la cuenta de administrador de dominio para
la realizacin de copias en toda la red. Necesitamos tener permisos sobre los
perfiles de usuario y las mquinas cliente para poder copiar sus datos sensibles.
Vista de Cobian Backup 11 instalado y en ejecucin
15
Controlador de dominio
Para establecer un contexto de dominio en la Intranet de la empresa, vamos a promocionar la

mquina servidor a controlador de dominio. Con esta operacin vamos a conseguir centralizar
la autenticacin, crear un contexto seguro para compartir archivos y gestionar desde el
servidor todos los recursos del dominio (usuarios, equipos, etc.) y sus repositorios (grupos,
unidades organizativas, etc.).
Como primer paso instalaremos el rol y una vez aadido correctamente promocionaremos el
servidor a Controlador de dominio.
Instalacin del rol de Administrador de dominio
Del mismo modo que el servidor DHCP, la operacin de instalacin del rol de controlador de
dominio la haremos desde el punto 2. Agregar roles y caractersticas.
Panel de inicio rpido. Punto 2: Agregar roles y caractersticas
Antes de comenzar la operacin, el asistente que aparece en la ventana siguiente nos advierte:
Estos tres puntos han sido

configurados previamente
en la configuracin inicial.
En la ventana siguiente debemos elegir el tipo de instalacin: Instalacin basada en

caractersticas y roles. Controlador de dominio es un rol de sistema, es decir, Windows Server
acta como Controlador de dominio.
16
Vista de seleccin de rol a instalar y caractersticas requeridas
En la pantalla de instalacin de roles seleccionamos Active Directory Domain Services y

aparecer una ventana con las dependencias necesarias para que el rol funcione
correctamente. Debemos incluir las herramientas de administracin (viene activado por
defecto en el checkbox de la parte inferior).
Dependencias de la instalacin del rol:
Active Directory module for Windows PowerShell: permite la gestin del directorio
activo a travs de la consola de Windows y crear scripts que automaticen tareas de
administracin. Para esto incluye las herramientas de lnea de comando.
Active Directory Administrative Center: herramienta administrativa que proporciona

Windows para administrar el directorio activo desde una interfaz grfica.
Confirmacin de los valores de instalacin para el rol Controlador de dominio
17
En la pantalla de confirmacin, clicamos en el botn instalar.
Una vez terminada la instalacin

recibimos el mensaje de que el nuevo rol
requiere configuracin.
Volvemos al panel de administracin del servidor y vemos una nueva notificacin (marcada
con una seal de tringulo amarillo con exclamacin dentro), corresponde a la configuracin
que nos falta por realizar. Clicamos en notificaciones para realizar los ltimos pasos de
configuracin
18
Promocin del servidor a Controlador de dominio
La notificacin obtenida anteriormente nos lleva, al clicar sobre ella, al asistente de promocin
del servidor a Controlador de dominio.
Configurar el nuevo bosque de dominio creando un dominio raz
El dominio creado se llamar crlnuevavida.es y ser la raz del rbol de dominios creado. Se
trata de un dominio de nivel principal. Para cada dominio de nivel principal existe un bosque
de dominios que se completa con todos los controladores de dominio de nivel secundario. En
esta implementacin slo va a existir un dominio de nivel principal, que es el mismo que
estamos configurando ahora mismo.
En el siguiente paso
establecemos una contrasea
maestra para el modo de
restauracin de servicios de
directorio. Despus, clicamos en
siguiente para pasar a la prxima
pantalla del asistente.
19
El catlogo global (GC) contiene la informacin del bosque de dominio. Necesitamos aadirlo
tambin ya que es el nico equipo que puede y debe almacenar esta informacin. Adems,
vamos a necesitar el servicio DNS para la asignacin de nombres a los equipos del dominio, ya
que este servicio de Windows trabaja con nombres, no con direcciones IP.
El nombre de dominio NetBIOS lo dejamos

como figura en la imagen, por defecto.
No necesitaremos esta funcionalidad ya que los sistemas de la Intranet trabajan con DNS
(Windows Server 2012 y Windows 8.1). El sistema de nombres NetBIOS no es ms que una
forma de mantener la compatibilidad hacia atrs con otros sistemas operativos Windows ms
antiguos.
Resumen de configuracin de Controlador de dominio
- Primer controlador de dominio de Active Directory en un nuevo bosque.

- Nombre del nuevo dominio y del nuevo bosque: crlnuevavida.es.
- Nombre NetBIOS de dominio: CRLNUEVAVIDA.
- Nivel funcional del bosque y del dominio: Windows Server 2012 R2.
- Catlogo global almacenado en el servidor.
- Servicio DNS activado sin delegacin.
- Los equipos de dominio pueden utilizar el servidor DNS del controlador principal como
servidor DNS preferido.
- La contrasea del administrador de dominio y del administrador local del servidor son
la misma.
La misma operacin en script de PowerShell:
Estos comandos pueden ejecutarse en un terminal

PowerShell y obtener el mismo resultado que el
conseguido siguiendo el asistente anterior.
Una vez terminada la operacin el servidor se reiniciar automticamente como Controlador

de dominio y el servicio DNS habilitado. Ya tenemos configurado el servidor como:
1. Controlador de dominio de nivel principal bajo el nombre CSNV.crlnuevavida.es.

2. Servidor DNS principal de la Intranet.
3. Servidor de directorio activo.
20
Cmo monitorizar la actividad de usuarios y el rendimiento del
servidor
Monitorizar la actividad de los usuarios es fundamental para un administrador. Los eventos de

inicio de sesin y la actividad de los equipos; as como la existencia de contraseas vacas,
objetos duplicados, etc. Son aspectos importantes a tener en cuenta.
Toda la actividad que se produce en el dominio es registrada por el controlador en el log de

sistema, pero, por su gran cantidad de informacin, muchas veces es complicado obtener de
forma sencilla y rpida la informacin que queremos consultar.
Existe un amplio mercado de software que organiza y formatea la informacin para que sea
legible y cmoda de revisar. Cada administrador de sistemas decide qu aplicaciones necesita
para realizar estas operaciones.
En este proyecto vamos a utilizar estas herramientas, propias del sistema operativo:
Resource monitor (monitor de recursos).

Performance monitor (monitor de rendimiento).
Y otro software especfico de monitorizacin y administracin, gratuito y disponible en

Internet: ADManager Plus.
Cada herramienta nos proporcionar diferentes recursos para monitorizar el sistema servidor y
el dominio.
Resource monitor
Ejecutable mediante el comando

perfmon /res. Tiene diferentes
vistas para personalizar la forma en la
que la aplicacin muestra los datos. La
vista overview contiene toda la
informacin relativa a los recursos del
sistema que estn siendo utilizados
por los diferentes procesos.
Uso de CPU, memoria, disco y trfico

de red por cada tarea en ejecucin del
sistema. Adems, se muestran
grficos de carga actualizados de cada
mdulo de monitorizacin.
Vista de monitor de recursos
21
Performance monitor
Monitor de rendimiento del sistema, ejecutable con el comando perfmon. Muestra grficos
personalizados mediante contadores. Existe una gran cantidad de contadores para aadir a un
mismo grfico. Es til para registrar en un lapso de tiempo uno o varios parmetros del
sistema. Es ms costoso de configurar que el monitor de recursos, pero puede dar informacin
adicional como posibles sobrecargas de red, de peticiones a servicios, procesos de sistema,
etc.
En el ejemplo de configuracin siguiente, creamos un nuevo grfico que mostrar (contadores

aadidos):
Tiempo de proceso de todos los ncleos del microprocesador (carga de trabajo en %).
Errores de inicio de sesin.
Errores de sistema.
Carga de procesos de sistema.
Segmentos enviados y segmentos recibidos a travs del protocolo IP.
Vista personalizada del monitor de rendimiento
Con esta herramienta podemos aislar y diagnosticar problemas de rendimiento tanto en el

mbito de red como de sistema en general, sobre procesos, carga de CPU, de medios de
almacenamiento... Es ideal para anlisis exhaustivos de rendimiento.
Adems podemos almacenar esta informacin y realizar comparativas con otras

monitorizaciones similares. Es posible guardar la configuracin de la consola (los contadores
que aparecen en el grfico) y el propio grfico por separado.
22
ADManager Plus
Se trata de una herramienta multifuncin para administradores de dominio. Se ejecuta en

cualquier mquina que sea controlador de dominio (en nuestro caso en CSNV) con privilegios
de administracin. Las funciones que ofrece este software son:
Herramientas de administracin del dominio:
Bsqueda de usuarios con contrasea vaca.

Administrador de polticas de contrasea.
Buscador de ltimo inicio de sesin.
Analizador de puertos en zona desmilitarizada.
Generador de CSV (scripts).
Herramienta de consultas para administrador de
dominio.
Monitorizacin del controlador de dominio.
Informador de DNS.
Administracin de usuarios locales.
CMDlets (scripts en PowerShell): tiles para servicio SharePoint y

replicacin de controladores de dominio.
De todas las utilidades que ofrece la aplicacin, slo algunas nos son de utilidad en este
proyecto.
Las polticas de seguridad activas no permiten el uso de contraseas vacas, por lo que el
software no va a encontrar casos en los que esto suceda.
Administrador de polticas de contraseas
El administrador de polticas de contrasea facilita la

gestin de este tipo de polticas. Una vez
introducimos las credenciales de administrador
encontramos este formulario, que permite editar las
polticas de forma clara y rpida.
Vista de Password Policy Manager
23
Buscador de ltimo inicio de sesin
til para el seguimiento de usuarios. A travs de un cuadro de bsqueda, podemos introducir

un nombre de usuario y obtener detalles de inicio de sesin para ese usuario. En el ejemplo se
realiza una bsqueda sobre Juan Prez (con nombre de usuario dJuPerez), perteneciente al
departamento de direccin.
Bsqueda para rastreo de sesin de Juan Prez
Clicando en el botn Get Last Logon Details obtenemos un informe detallado del ltimo
inicio de sesin de ese usuario: mquina en la que inici sesin, fecha y hora, etc. Para que
esta herramienta funcione correctamente necesitamos que las mquinas cliente donde haya
podido iniciar sesin el usuario buscado estn encendidas y con conexin a la red.
La herramienta slo contempla los inicios

de sesin en el dominio, no los locales. Si
iniciamos sesin como Yolanda Figueras y
realizamos un anlisis con esta
herramienta, obtenemos el informe
correspondiente. Informe: CSNV, Yolanda Figueras
DMZ Port Analyser
Escner de puertos para servicios LDAP, Kerberos (autenticacin), NetBIOS (servicio de

nombres), SMB (Samba, sistema para compartir ficheros en red), RPC (llamadas a
procedimientos remotos) y otros puertos de uso habitual.
Si bien es cierto que no tenemos una zona DMZ habilitada, como escner de puertos es til, ya
que podemos diagnosticar problemas de conectividad en inicios de sesin (LDAP, Kerberos),
problemas con servicio de nombres DNS (para aplicaciones que trabajen a travs de NetBIOS) y
otros casos.
Su uso es sencillo, necesitamos introducir la

direccin IP de la mquina que ofrece estos
servicios para analizar sus puertos.
Si queremos un anlisis exhaustivo de puertos existen otras herramientas ms especficas

como nmap. Esta herramienta slo analiza algunos servicios bsicos para comprobar la
conectividad de algunos servicios de dominio en la red local.
24
Local User Management
Administracin de usuarios locales para cada mquina del dominio. Podemos cambiar la
configuracin de usuarios del dominio en varias mquinas a la vez con esta utilidad.
Seleccin de mquina para administrar los usuarios de dominio
Seleccionamos a continuacin CSNV y clic en Get Local Users.
Operaciones en el mdulo Local User Management
En la imagen anterior seleccionamos los usuarios del departamento de administracin y

haciendo clic en Enable habilitamos sus cuentas para su uso en el dominio.
25
Con esta herramienta podemos agilizar las operaciones sobre varios usuarios al mismo tiempo,
ya que Active Directory slo permite hacerlo de forma individual. Otra opcin es utilizar scripts
que ejecuten este tipo de operaciones, pero esta herramienta crea dichos scripts y los ejecuta
de forma automtica.
Registro de eventos
El registro de eventos es una herramienta administrativa que nos va a permitir conocer en

todo momento qu est pasando en el servidor. Ya hemos tratado la monitorizacin a nivel de
usuario y mquina (con las herramientas vistas en el punto anterior), ahora, con el visor de
eventos, controlaremos todas las actividades realizadas por los servicios que hemos
implementado.
Un evento es un suceso ocurrido en el sistema, registrado por l mismo y almacenado en

formato XML. Puede tratarse de mera informacin de actividad, informar de un error, una
advertencia, etc.
Existe un registro de eventos global que recoge la informacin de

todos los mdulos del sistema operativo. Despus, mediante el
visor de eventos, podemos aplicar filtros y formatos a dicha
informacin para facilitar su legibilidad y su bsqueda para casos
concretos.
En el apartado Custom Views podemos aplicar filtros que muestran los eventos que
corresponden a:
Roles de servidor: Para cada rol del sistema (por ejemplo, servidor DHCP o DNS).
Eventos administrativos: Operaciones de red, sobre aplicaciones, dispositivos
Summary page events: Actualizaciones de polticas de grupo (gpupdate).
Por otra parte tenemos los logs de Windows, los cuales son registrados en todos los sistemas
operativos Windows, tanto cliente como servidor. Recogen la informacin de eventos del
sistema operativo.
Por ltimo los logs de aplicacin y servicios recogen, del mismo modo que los de roles de
servidor, los eventos relacionados con los servicios que ofrece el sistema. Adems, recopila
tambin informacin de eventos de hardware, administracin de claves, directorio activo
26
Registro de eventos Roles de servidor
Como ltima parte del apartado de monitorizacin, abordamos la relacionada con los servicios
implementados en el proyecto (o roles del sistema servidor, tal y como se denominan en el
sistema operativo Windows Server).
Dada la ingente cantidad de informacin almacenada en estos registros, vamos a recoger

algunos ejemplos para mostrar cmo debe un administrador de sistemas acudir a esta
herramienta para obtener informacin.
Ejemplos de eventos registrados
(Informativo) Servicios de dominio de Active Directory: El servicio detecta el catlogo

global sobre el que debe trabajar en la mquina CNSV.crlnuevavida.es.
(Advertencia) Servidor DHCP: El mbito de concesiones WLAN_IPv4 para conexiones

inalmbricas no tiene direcciones IP disponibles para conceder.
Cuando el registro captura un

evento de este tipo podemos
considerar que existe un
problema en el servidor DHCP.
Las causas pueden ser

sobrecarga del mbito de
concesiones o que el intervalo
de direcciones IP indicado no
es vlido, entre otras.
27
(Error) Eventos administrativos: Error de aplicacin ADManager (mdulo last logon).
Producido al no poder establecer conexin con crlnv-adm-00, por estar apagado.
En este caso slo figura

como un error de
aplicacin, para obtener
ms detalles es necesario
acudir al log propio de la
aplicacin, si en su caso lo
tiene y est activado.
28
Anexo E-79
Usuarios, grupos e implementacin
de seguridad
Configuracin de Active Directory, directivas y polticas de
seguridad y copias de respaldo


Active Directory: usuarios y grupos.
Para que los usuarios puedan iniciar sesin y trabajar en el dominio necesitamos crear sus
perfiles en el repositorio del dominio. Adems, para facilitar la administracin de estos y
clasificarlos segn sus roles, debemos crear grupos de trabajo a los que asignarlos.
La estructura de usuarios y grupos que vamos a crear es la siguiente:
Grupo gDireccin: formado por los directores del centro.
Juan Prez: dJuPerez.

Yolanda Figueras: dYoFigueras.
Grupo gAdministracin: contiene al personal administrativo.
Marcos Alonso: aMaAlonso.

Sonia Miranda: aSoMiranda.
Grupo gUsuariosCentro: para los usuarios de las salas de formacin.
Andrs Gallego: uAnGallego.

Laura Parejo: uLaParejo.
Marta Contreras: uMaContreras.
Nomenclatura:
g(grupo)
d(Direccin)
a(Administracin) Nn(Primeras letras del nombre) +Primer apellido.
c(UsuariosCentro)
Para abrir la interfaz de Active Directory: Inicio > Herramientas Administrativas > Usuarios y
equipos de Active Directory.
En primer lugar vamos a crear los grupos y despus los usuarios. En el mismo proceso de
creacin de cada usuario los vincularemos a su unidad organizativa correspondiente.
2
Vista general de Usuarios y equipos de Active Directory. Nuevo grupo.
Nombre del grupo: gDireccion.
mbito de grupo:
Los usuarios pertenecientes a este grupo
trabajarn en el contexto de dominio local.
Tipo de grupo:
El objetivo del grupo es aplicar polticas de
seguridad sobre los usuarios
pertenecientes a l. Por tanto, creamos un
grupo de tipo seguridad.
Vista de grupos creados en Active Directory
gAdministracion y gUsuariosCentro tambin son grupos de seguridad en mbito de dominio

local.
Los grupos de distribucin crean listas para enviar correos electrnicos de difusin por
grupos, no incluyen seguridad. Los grupos de seguridad sirven para realizar un control de
acceso sobre usuarios y conceder o denegar permisos segn DACLs (Discretionary Access
Control Lists).
3
Para crear un usuario y asignarlo a su grupo clicamos en nuevo usuario:
Usuarios y equipos de Active Directory. Nuevo usuario
Por motivos de seguridad exigimos el

cambio de contrasea en el primer inicio
de sesin. La primera contrasea para
todos los usuarios es: Cambiame!.
El resto de usuarios detallados en la estructura anterior son creados de la misma manera.
Estructura de usuarios una vez aplicada la estructura

propuesta. Ahora mismo los usuarios son objetos iguales y
aislados entre s, cuando en realidad hay relaciones de
departamento que deben traducirse en grupos de Active
Directory y permisos sobre stos. As conseguiremos
clasificarlos y asignarles permisos comunes segn sus roles
en la empresa.
Si ms adelante un nuevo usuario necesita acceder al dominio del centro, tan slo habr que
crearle un objeto de perfil de usuario similar a stos y posteriormente asociarlo con su unidad
organizativa. As, recibir los permisos necesarios para desempear su trabajo y el servidor se
encargar de proteger su informacin como un usuario ms.
4
Para asignar a cada usuario a su grupo correspondiente:
Asociacin de Andrs Gallego, usuario del

centro, a su grupo correspondiente.
La asociacin del resto de usuarios en sus grupos se realiza de la misma manera.
El usuario Administrator con todos los privilegios del sistema pasa a llamarse Ernesto Arreglo,
con nombre de usuario uErArreglo. Despus, creamos una cuenta de usuario con nombre
Administrator (contrasea sencilla e insegura: Soyadmin1) y sin privilegios. As, conseguimos
implementar el honeypot detallado en el plan de seguridad.
Aplicacin de directivas de contraseas.
Accedemos a la herramienta de Administracin de

Active Directory desde el men de herramientas
administrativas.
En el men
Aadimos un nuevo elemento Password Settings, con la configuracin siguiente:
5
Una vez hemos configurado las contraseas tenemos que comprobar que se aplican las
directivas de complejidad. Dichas directivas no pueden ser modificadas en este sistema
operativo, pero podemos comprobar cules son y exigir que se cumplan.
Para esto ejecutamos en primer lugar gpmc.msc para acceder a

la administracin de polticas de grupo. Buscamos nuestro
dominio (crlnuevavida.es) y dentro, la poltica de dominio por
defecto, que es la que se aplica y la que vamos a revisar. Clic
derecho en ella y editar.
Nos aparecer una ventana llamada editor de polticas de grupo,

donde tenemos que encontrar la poltica de requisitos de
complejidad de contrasea.
Esta poltica se encuentra en la siguiente ruta, siguiendo el rbol:
Vista de polticas de contrasea desde el administrador de polticas de grupo
Podemos ver, en la figura anterior, que los requisitos de complejidad estn habilitados, las
contraseas no utilizan cifrado reversible y que deben tener una longitud mnima de 7
caracteres. El formato vlido para una contrasea est indicado en las propiedades de la
directiva de complejidad de contraseas:
Estos requisitos de complejidad se aplican sin

excepcin a todos los usuarios del dominio,
quienes cada vez que establezcan una nueva
contrasea debern cumplir los requisitos que
indica la figura.
Este apartado tiene una limitacin importante: no

podemos imponer nuestras propias restricciones
de complejidad, todos los parmetros
configurables se encuentran en la vista de polticas de contrasea, los cuales se refieren a
longitud, duracin e historial de contraseas. Lo deseable sera poder indicar una expresin
regular que validase las contraseas de los usuarios, pero Windows Server 2012 no lo permite.
6
S podemos, por el contrario, elegir a quienes se aplican dichos requisitos. De hecho, en
nuestro caso, la poltica de grupo se aplica a todo el dominio (a sus usuarios), tal y como
hemos explicado anteriormente.
Copias de seguridad. Implementacin del plan.
Para los datos sensibles del centro vamos a crear un entorno de seguridad de datos con un
directorio centralizado. Dentro de ste, sobre el cual tendr permisos nicamente el
administrador, crearemos la siguiente estructura de directorios:
Desde el directorio local asignamos

todos los permisos al
administrador, as, podremos
realizar las tareas de backup sobre
todo el rbol de directorios.
Cada uno de los directorios

pertenece a un grupo de trabajo, el
cual tendr permisos de lectura y
escritura nicamente sobre l. Por
ejemplo, los usuarios de direccin
compartirn el directorio Direccin alojado en el servidor para poder proteger y distribuir
ficheros entre ellos.
ComunCRL ser una carpeta compartida con permiso de lectura y escritura para gDireccion,
gAdministracion y gUsuariosCentro.
Los clientes debern acceder a sus carpetas compartidas y crear unidades de red utilizando las
rutas que se indican en la imagen superior.
Microsoft OneDrive
OneDrive es un SaaS (Software as a Service) ofrecido por Microsoft para respaldo de ficheros y
sincronizacin. Una vez tenemos implementados los servicios de copia de seguridad en el
servidor (incluidas las imgenes del sistema que se explican ms adelante en este mismo
anexo) instalamos Microsoft OneDrive en el centro de servicios.
La instalacin de OneDrive en el equipo es tan sencilla como

hacer doble clic en el instalador. Aparece la ventana que vemos
a la derecha y tras dos minutos de espera tenemos el servicio
activo.
7
Una vez completado tenemos que crear una cuenta Microsoft para vincular a OneDrive,
utilizamos los siguientes datos:
Usuario: uErArreglo@outlook.com
Contrasea: la misma que el administrador de dominio.
Ya tenemos OneDrive instalado y funcionando en el servidor, podemos ver que esto es cierto
cuando el smbolo de la barra de tareas est en color blanco.
Por ltimo combinamos Cobian Backup con el servicio

OneDrive creando una tarea nueva que enve los datos a
proteger al directorio sincronizado de OneDrive. Se trata
de una simple copia de ficheros como cualquier otra tarea
de Cobian Backup, pero sabiendo que el destino de la
copia se sincronizar de forma automtica en la nube.
El perfil de administrador necesita una configuracin especial en el plan de copias, ya que el

respaldo de archivos que le corresponde ser cifrado. Cobian realiza la tarea de copia y cifrado
de forma automtica. Para esto es necesario introducir la clave con la que ser cifrada la copia
(contrasea de administrador de dominio).
Seccin Archivo en propiedades de tarea de copia. Cobian Backup: Cifrado de copia.
Creacin de imagen del sistema
Windows Server 2012
Para la configuracin de copias de imgenes del sistema, aadimos la caracterstica (desde

agregar roles y caractersticas) de copias de seguridad de Windows Server. Una vez hecho esto,
administramos la creacin de imagen de sistema desde Copias de seguridad de Windows
Server, en Herramientas Administrativas.
Por cada cambio que se produzca en el software servidor que pueda comprometer la
integridad del sistema (instalar un servicio, programa, rol, etc.) el administrador debe realizar
una imagen del sistema de forma manual.
8
Planificar la realizacin de una imagen del sistema servidor de forma automtica es
innecesario puesto que no se van a realizar grandes cambios sobre la implementacin ya
hecha. La informacin sensible es almacenada en otra ubicacin y con ste mtodo podemos
conseguir una restauracin rpida del sistema si ste cae por cualquier motivo. Caractersticas
de la copia:
Copia de particin reservada del sistema, raz local C: y estado del sistema. Utilizando Volume
Shadow Service (para ficheros vivos y/o protegidos). Copia sobre volumen BACKUP (E:).
Cuando el proceso de copia est en curso, muestra la tarea actual y el estado de los objetos de
copia.
Windows 8.1
Para los equipos cliente no es necesario crear una imagen de sistema completa para preservar
la integridad de los datos, ya que todos los equipos estn configurados de forma similar. Una
alternativa ms eficiente y razonable para este caso es copiar nicamente los perfiles de
usuario. Para ello vamos a utilizar la herramienta File History, propia de Windows.
Desde el panel de control, accedemos al historial de archivos File history. Esperamos unos
segundos hasta obtener la informacin de volmenes. En nuestro caso no hay ninguno, pero
tampoco lo necesitamos porque haremos uso de una ubicacin remota.
Revisamos los permisos de la carpeta donde ser alojada la copia, sobre la cual slo tienen
control los administradores de copia (unidad organizativa que incluye al administrador).
Vista principal del historial de archivos
9
Aadimos la ubicacin remota donde almacenaremos la copia. En nuestro caso es
CSNV.crlnuevavida.es -> Volumen BACKUP -> WindowsImageBackup -> crlnv-adm.
Coleccin de recursos de red. Unidades para almacenamiento de copias.
Despus activamos el mdulo de historial de archivos tal y como se muestra en la figura

siguiente:
Ahora, necesitamos aplicar esta operacin para el usuario del equipo. Para ello, creamos una
nueva carpeta dentro del directorio de copias con el nombre completo del usuario, por
ejemplo: dJuPerez@crlnuevavida.es y le otorgamos permisos de escritura sobre ella.
Una vez hecho esto, abrimos de nuevo el mdulo File History y establecemos, tal y como
hemos hecho anteriormente, el recurso de red destino para nuestra copia de respaldo.
Seleccin del recurso de red para dJuPerez.
Activamos el servicio para este usuario y por ltimo comprobamos desde el servidor que la
copia ha sido realizada con xito. Los cambios posteriores sobre datos o configuracin del
perfil de este usuario producirn la actualizacin automtica, cada hora (por defecto), de la
copia alojada en el servidor.
10
Comprobacin del guardado de datos y configuracin de dJuPerez en CRLNV-ADM-00.
Ejecucin y viabilidad del plan de copias de seguridad
Una vez finalizada la implementacin del plan de copias de seguridad en todos los sistemas,
procedemos a la ejecucin del mismo para comprobar que es correcto y viable.
Para realizar esta operacin es necesario que las mquinas pertenecientes al dominio estn en
funcionamiento. Ejecutamos la interfaz grfica de Cobian y ordenamos la ejecucin de todas
las tareas de copia.
El proceso de copia de ficheros de respaldo es complejo y costoso, ms cuando el nmero de

ficheros y perfiles crece. Por ello y para garantizar la viabilidad del plan, hemos considerado
slo los ficheros crticos de los sistemas del dominio para formar parte de las copias de
seguridad.
11
Anexo E-80
Instalacin de Microsoft Windows
8.1
En este documento se detalla la instalacin y configuracin bsica
del sistema operativo que ejecutar n los equipos cliente


Instalacin del sistema operativo
Los parmetros de la instalacin del sistema operativo cliente son:
Lenguaje: English.
Formato de fecha y hora: Spanish (Spain, International Sort).
Teclado o mtodo de entrada: Spanish.
Tambin es necesario aceptar el acuerdo de licencia (EULA) de usuario final e introducir el

nmero de licencia obtenido desde Dreamspark.
Contrasea de administrador y primer inicio de sesin
Para la administracin local del sistema necesitamos una contrasea de administrador local,
que no coincidir con la de administrador de dominio, ya que son perfiles distintos.
Usuario: Administrador Password: CldAS8.1 (Contrasea local de Administracin Sistema 8.1)
Primer inicio de sesin en crlnv-adm-01 como Administrador Local
2
Asociacin del equipo al dominio crlnuevavida.es
Desde Mi equipo > Propiedades asociamos el equipo cliente al dominio crlnuevavida.es. Para
que esta operacin se realice correctamente necesitamos conectividad con el servidor, por lo
que anteriormente ha sido necesaria la configuracin de los interfaces de red. En dicha
configuracin he conectado dos interfaces de red, uno que comunica la mquina cliente con
Internet y otro de mbito local para la comunicacin con el equipo servidor y el resto de
clientes (Intranet).
Para aadir el equipo al catlogo global y por tanto que pase a formar parte del dominio (bajo
el nombre crlnv-adm-00.crlnuevavida.es, nombre de dominio) necesitamos autorizar la
operacin con las credenciales de un usuario de dominio, no servir una local, ya que es una
operacin sobre el controlador de dominio.
Una vez reiniciado el

sistema, podemos ver
que la asociacin del
equipo se ha realizado
correctamente. A partir
de ste momento
podemos iniciar sesin en sta mquina con un perfil de dominio.
3
Asociacin a recurso compartido
Para cada grupo de trabajo establecemos un directorio compartido especfico desde el

servidor, con permisos totales sobre su contenido slo para sus miembros. Para que el usuario
pueda acceder a ellos tenemos que agregar un nuevo recurso compartido a la mquina cliente.
Desde el servidor preparamos el entorno rompiendo la herencia de permisos (ya que de la

carpeta superior se heredan permisos que no deseamos) y establecemos la siguiente
configuracin:
Hacemos esto para cada grupo con su carpeta

correspondiente. Es necesario considerar que
Users es un grupo al que todos pertenecen y por
tanto debemos denegar sus permisos de lectura
sobre stos objetos. As, conseguimos acceso
exclusivo de cada grupo a su directorio.
Una vez tenemos los permisos asignados para los

tres directorios compartidos, podemos asociar el
recurso a la mquina cliente para que los usuarios
puedan hacer uso de l.
Con el usuario dJuPerez, Juan Prez Departamento de direccin: Desde el cliente, una vez
hemos iniciado sesin, clic con el botn derecho en el escritorio y creamos un nuevo acceso
directo.
Escribimos el nombre de la
mquina que aloja el recurso,
en nuestro caso el servidor,
seguido de \ y el recurso
compartido.
Como se ve en la figura podemos crear

nuevos directorios y tenemos permisos
de lectura y escritura sobre todo el
directorio.
4
Para comprobar si hemos realizado bien este paso, vamos a intentar acceder a otro
departamento sin tener autorizacin.
Acceso denegado al intentar acceder a un recurso de otro departamento.
Juan Prez es miembro de direccin, por lo tanto no podr acceder a los documentos
compartidos entre los miembros de administracin.
La poltica de permisos ha sido implementada correctamente y desde el cliente podemos

acceder a los recursos compartidos correspondientes a nuestro departamento.
5
Anexo E-81
Desviaciones y lecciones
aprendidas
Imprevistos encontrados a lo largo del desarrollo del proyecto.
Conclusiones sobre uso de herramientas, confi guraciones y
estrategias de uso


Desviaciones
En este anexo recogemos los errores encontrados al implementar la solucin,

incompatibilidades e imprevistos que han generado problemas para alcanzar los requisitos.
Adems, se documentan las soluciones propuestas y aplicadas en cada caso.
Planificacin
Diagrama de Gantt, estimacin de tiempos
He tenido que realizar correcciones importantes en la organizacin de fechas para el proyecto.
En un principio, estim un trabajo diario de tres horas sobre el proyecto, de lunes a viernes,
adems de considerar el sbado para corregir desviaciones en tiempo y completar lo
planificado si es necesario. Los exmenes en la convocatoria de enero han obligado a retrasar
el desarrollo del proyecto 30 das.
Diseo de la solucin
Configuracin IP, subredes
En un planteamiento inicial de la infraestructura de red, consider la posibilidad de aplicar
subredes al entorno de red. La motivacin de esta idea surge en los ejercicios habituales de
este tipo, en los cuales siempre aplican tcnicas de subredes para organizar los
departamentos, reas funcionales u otros tipos de separacin.
En este proyecto, dado que el nmero de equipos es reducido, no tiene sentido aplicar una
configuracin basada en subredes, por lo que decido no realizar una organizacin de este tipo.
Sin embargo, s planteo una propuesta de escalabilidad para contemplar posibles expansiones
de la red. De darse esas circunstancias, puede aplicarse la propuesta de subredes
documentada en la memoria.
Software necesario y costes de mano de obra

Entre el software necesario para la ejecucin del proyecto no estaba contemplado Microsoft
Visio 2010. He tenido que descargar de Dreamspark este software e instalarlo, lo que me
supone tiempo extra de trabajo respecto a la planificacin inicial.
La configuracin de las opciones de compra del servidor ha costado 1 hora ms de lo estimado,

ya que he tenido que analizar la potencia consumida total del equipo y aadir sistemas
redundantes, configuraciones RAID por hardware, etc.
Compenso esta desviacin con el margen de tiempo estimado para el hardware de sistemas
cliente, que me ha costado 1,5 horas menos de lo estimado.
2
En el presupuesto inicialmente no contemplaba la inclusin de mano de obra como parte del
precio, ya que forma parte de un proyecto educativo. Tras consultar con los tutores
responsables del proyecto este asunto he considerado ms adecuado incluir el precio de mano
de obra tambin. Consideramos que aporta mayor nivel de realismo y proximidad al coste real
de un proyecto de este tipo.
Implementacin de la solucin
Incompatibilidad de antivirus Avast y Microsoft Windows Server 2012
Durante la instalacin del software bsico en el servidor encuentro un problema de
compatibilidad del software antivirus con el sistema operativo.
Avast no es compatible con

Windows Server 2012.
Como alternativa, instalaremos

Microsoft Security Essentials.
Servicio VSS (Volume Shadow Copy Service) y Cobian Backup

Problema a la hora de iniciar Cobian una vez realizado el cambio de nombre de la cuenta de
administrador, tal y como expliqu al hablar del honeypot. Cuando el sistema operativo es
iniciado, Cobian Backup genera un error ya que no puede iniciar los servicios propios con los
que trabaja, entre ellos Volume Shadow Copy, especialmente protegido por el sistema
operativo.
Para arreglar este problema he tenido que acceder

a los servicios de sistema (ejecutando services.msc)
y otorgando al servicio de Cobian permiso para
arrancar al inicio del sistema con las credenciales de
administrador (como uErArreglo). Al reiniciar la
mquina los servicios arrancan con normalidad y el
funcionamiento del programa es el esperado.
3
Inicio de sesin en Microsoft Windows Server 2012
Tras las ltimas operaciones sobre directivas de seguridad: administracin de roles del sistema
y permisos sobre ellos, creacin de objetos (usuarios y grupos) en Active Directory, etc
Reinicio el servidor por mantenimiento del sistema operativo (planeado) y al volver a
arrancarlo y pulsar CTRL+ALT+SUPR me encuentro la siguiente pantalla de inicio:
No tengo posibilidad de iniciar sesin para

saber el motivo del error, por lo que reinicio
el sistema para ver si se trata de algo
puntual.
Tras realizar los mismos pasos de arranque,

el servidor sigue sin funcionar. Buscando en
Internet, veo que el problema tiene que ver
en muchos casos con controladores RAID,
BIOS o de video desactualizados.
Yo no tengo ese problema ya que utilizo un servidor virtualizado, as que antes de arrancar el
sistema en modo de recuperacin, pruebo a revisar la configuracin de controladores de la
mquina virtual. En primer lugar, deshabilito los controladores de almacenamiento (tanto
disco duro como lector DVD) y desmonto el disco duro virtual principal. Reinicio VirtualBox y
monto nicamente el controlador de disco duro, esencial para el arranque.
Inicio el sistema de nuevo y el problema est resuelto, ha habido un fallo en la controladora

IDE del lector de DVD que me impeda iniciar el servidor, ya que sin ella conectada, el servidor
ha vuelto a funcionar. Una vez arrancada la mquina puedo montar el controlador IDE sin
problemas. El funcionamiento vuelve a ser el esperado.
Aqu vemos el inicio de sesin normal con el

problema ya solucionado. Adems, en la imagen
inferior se muestra el registro de eventos, habilitado
tras aplicar las ltimas directivas de seguridad.
El error tambin queda registrado en el sistema con

ID 1076, tipo de fallo y comportamiento.
Registro de evento (error) de parada del sistema
4
Copias de seguridad de Windows Server:
Windows Deployment Services y Administracin Remota
Los servicios de despliegue de Windows o WDS (Windows Deployment Services) son un
conjunto de servicios de sistema que permiten administrar de forma remota varias
funcionalidades, entre ellas las copias de seguridad de los sistemas (todos los sistemas
pertenecientes al dominio, no slo el servidor). El objetivo de su instalacin es centralizar la
tarea de copia, pero va a ser necesaria una alternativa ya que cuando trato de instalarlos
obtengo el siguiente mensaje de error:
Viene dado por el error en la habilitacin de administracin remota:
No existe documentacin sobre el fallo en Internet, Microsoft tampoco documenta cul es el

fichero que almacena el estado de la funcionalidad remota. Tampoco se detalla si es accesible
ni si se puede editar. No se trata de un problema de incompatibilidad de aplicaciones, ya que
el nico software instalado hasta la fecha es Cobian y al desinstalarlo da el mismo problema.
Alternativa: Uso de wbadmin Copias de seguridad de Windows Server para la realizacin de

la imagen del sistema.
Tampoco es posible utilizar wbadmin; tras instalar todas las dependencias y revisar el estado
del sistema con el comando sfc /scannow sin encontrar errores decido utilizar Cobian para
realizar la copia de respaldo. La copia utilizada para el estudio de implementacin de Windows
Server obtenida de DreamSpark tiene limitada su funcionalidad. No permite que los servicios
WDS y WBADMIN acten con normalidad.
5
La instalacin del sistema operativo es ntegra y no presenta problemas.
Solucin: uso de Cobian Backup para las copias de seguridad del sistema servidor.
Integridad del sistema operativo servidor y servicios crticos

Problema con el servicio de administracin remota de Windows (winrm) que impide la
agregacin al dominio de nuevas mquinas. Pese a que la mquina est funcionando
correctamente y el anlisis de integridad no presenta problemas, obtengo un cdigo de error
no documentado a la hora de intentar levantar el servicio winrm.
Una de las dependencias de la agregacin de nuevos equipos al dominio consiste en la

autenticacin del controlador de dominio a travs de la mquina a agregar. Cuando se intenta
realizar la operacin con unas credenciales vlidas da un error de autenticacin, provocado por
la imposibilidad de utilizar el servicio winrm para comprobar dichas credenciales
remotamente.
Windows Server 2012 necesita autenticar remotamente al controlador de dominio, y la

ausencia del servicio winrm imposibilita sta operacin. El aspecto del error producido es el
siguiente:
Error de Winrm, no permite la autenticacin remota hacia el dominio
Segn la documentacin del error 0x80070002 por Microsoft Support, debemos ejecutar un
comando especial de recuperacin que, a travs de Windows Update, restaura archivos de
sistema que puedan no estar configurados correctamente.
6
Ejecucin de herramienta de recuperacin
El siguiente paso para la reparacin consiste en ejecutar Windows Update y aplicar las
actualizaciones disponibles.
Una vez hecho esto vuelvo a comprobar la posibilidad de habilitar servicios necesarios para
que el sistema funcione, pero el problema sigue sin resolverse. Como ltimo recurso, voy a
volver a instalar la mquina servidor desde el principio descargando de nuevo la imagen de
instalacin.
Al instalar de nuevo el sistema operativo sobre la mquina virtual, el servicio daado en la

instalacin anterior comienza a funcionar desde el inicio correctamente. La solucin ha sido la
reinstalacin, por lo que podemos aislar la causa del problema: una instalacin defectuosa
inicial del sistema, que ahora funciona con normalidad.
No es un problema de la versin del sistema operativo de Dreamspark ni del entorno virtual

(Virtualbox), sino de una instalacin incorrecta, la cual no es detectada por los servicios de
anlisis de Windows, que reconocen la instalacin como ntegra y correcta. Esto quiere decir
que es un problema que puede producirse en el contexto de implementacin real, siendo la
nica solucin vlida la reinstalacin de Windows Server 2012 en la mquina servidor.
Sistema RAID, simulacin virtual

Problema en el comando wbadmin para copia del sistema servidor. Da errores genricos a la
hora de acceder al recurso compartido, que simulara un medio externo almacenar la copia. En
un caso real se tratara de un volumen externo (HDD externo) por lo que la solucin ms
apropiada es crear un nuevo disco duro virtual, que simule a ste, para almacenar la copia.
7
Accesibilidad a carpetas compartidas entre mquinas:
Hora del sistema y seguridad
Problema de acceso a las carpetas compartidas desde el cliente. Compruebo la conectividad
mediante PING y es correcta. Los permisos sobre el recurso estn bien configurados por lo que
debera poder acceder sin problemas, pero no es posible.
En el cuadro de la izquierda podemos ver un desfase entre la hora y fecha

del servidor (correcta en este momento) y la del equipo cliente, que tiene un
retraso de 3 das y 4 horas aproximadamente. Esto provoca que el servidor no permita acceder
a este cliente por no tener actualizados sus parmetros de fecha y hora.
Accediendo al reloj desde el cuadro de fecha y hora del cliente actualizamos la fecha y la hora
del sistema.
Con esta operacin, resolvemos el problema de

conectividad y accedemos con normalidad al recurso
compartido por el servidor.
La instalacin de Virtualbox Guest Additions en la mquina virtual mantiene la hora y fecha del
sistema sincronizadas automticamente. De no hacerlo, es posible que al guardar el estado de
una mquina en vez de apagarla tengamos estos problemas.
Planificacin y ejecucin del plan de copias de seguridad

Error en la ejecucin de las tareas de backup de Cobian. Se trata de un fallo a la hora de
implementar el plan de copias. El servidor intenta almacenar en una carpeta hija
(C:\Users\Administrador\OneDrive) la copia de respaldo del perfil de administrador
(C:\Users\Administrador). Esto provoca que el backup no termine nunca y sature el sistema.
Consigo identificar el problema cuando Cobian muestra un error: La ruta es demasiado larga
para el sistema de archivos de destino. Esto supone la interrupcin de la tarea de respaldo de
ficheros.
La solucin una vez encontrado el problema es sencilla: eliminar la carpeta OneDrive como
origen de la copia de respaldo. As rompemos el bucle y la operacin de backup se realiza con
normalidad. Asignamos una nueva ruta al directorio OneDrive para evitar en el futuro
problemas de este tipo (C:\OneDrive).
Este problema ha provocado adems que Windows no me permita eliminar la carpeta por
contener rutas de archivo demasiado largas, pero si ha sido posible la eliminacin accediendo
directamente al servicio OneDrive desde el navegador.
8
Cortafuegos a nivel de dominio y protocolo ICMP
Problema de conectividad al realizar una solicitud PING (protocolo ICMP) desde el servidor
hacia el cliente. Dicho cliente puede iniciar sesin en el dominio por lo que es capaz de
comunicarse con el servidor. Al realizar una solicitud del mismo tipo desde el servidor hacia el
cliente la comunicacin no presenta problemas.
Con esta informacin podemos diagnosticar el problema y aislarlo, concentrndonos en el

firewall del equipo cliente, que no permite la entrada de solicitudes de eco por parte de otros
equipos de la red.
Para solucionarlo, hay que acudir al servicio Firewall de Windows en el equipo cliente y
deshabilitarlo en el mbito de dominio. Para redes privadas y pblicas es importante
mantenerlo activado, slo permitir conexiones a travs del firewall de equipos que sean
previamente autenticados en el dominio.
Tras realizar esta operacin, la comunicacin cliente servidor se realiza sin problemas. Ambos
obtienen respuesta a sus respectivas solicitudes PING.
9
Lecciones aprendidas
Asociacin al dominio
La asociacin de equipos nuevos al dominio Windows ha cambiado desde la versin 2003 a la

2012. Anteriormente era necesario un administrador del dominio con permisos especficos
para la agregacin de equipos nuevos al dominio. En la versin 2012 cualquier usuario
perteneciente a Users dentro del dominio puede hacerlo.
Considero este cambio algo potencialmente inseguro, ya que cualquier usuario bsico puede
agregar un equipo al dominio. Mientras se pretende dar comodidad sobre una operacin no
especialmente ardua para el administrador, se incurre en un riesgo de seguridad.
Para incluir un equipo al dominio son necesarios los siguientes permisos:
Acceso al catlogo global: Es el repositorio del dominio donde se almacena la

informacin de usuarios, equipos y otros recursos del bosque.
Acceso al bosque de dominio: Si en un bosque hay varios servidores que replican entre
s el catlogo global, el usuario est accediendo indirectamente a todos ellos.
Acceso al directorio activo: Lo que administra el catlogo global, realizando cambios
sobre el mismo.
Copias de seguridad de los usuarios y sus perfiles
Las copias de seguridad de la informacin de los usuarios es una operacin que puede llegar a
ser tremendamente costosa en esfuerzo de red y de los sistemas implicados, por lo que es vital
utilizar un recurso ligero, que copie exclusivamente aquello que se debe proteger y hacerlo de
forma automtica.
El servicio Historial de archivos de Windows es una buena opcin para realizar estas copias,
pero adems, podemos combinarlo con los servicios del dominio para asegurar la copia. Con
esto conseguimos eficiencia, seguridad y rendimiento:
Eficiencia: Se copia lo necesario, de forma automtica y para todos.

Seguridad: Los ficheros son alojados en el servidor, slo son visibles para el usuario
propietario de los datos y los administradores de copia.
Rendimiento: Este servicio se basa en la deteccin de cambios para realizar sus copias,
por lo que detectar y sincronizar los cambios en la copia de forma automtica.
Por todo esto, podemos llegar a la conclusin de que la combinacin de un entorno de

dominio seguro con el mdulo de historial de archivos de Windows conforma un servicio de
copias de seguridad sobre perfiles es una opcin ms que vlida para asegurar los datos de los
usuarios en el entorno de administracin de sistemas.
10
Directivas de contraseas
Las directivas de contraseas son reglas, tambin llamadas requisitos de complejidad de

contraseas, que permiten validar aquellas contraseas consideradas seguras. Si bien una
contrasea no es 100% segura, se suele considerar como tal si no es sencillo (ni hay un
mecanismo de descifrado conocido) que permita obtener la contrasea de forma fraudulenta.
En el contexto de Microsoft Windows Server 2012, no es posible considerar una directiva de

contraseas propia, dado que hay una establecida por defecto. Slo tenemos la posibilidad de
habilitarla o deshabilitarla segn nos convenga, pero nunca editarla.
Los requisitos de complejidad de contraseas en Windows Server 2012 son los siguientes:
Nombre de usuario no debe estar incluido en la contrasea. Si el nombre de usuario

tiene menos de 3 caracteres no se aplica.
Contener caracteres de 3 de estas 5 posibilidades:
o Maysculas.
o Minsculas.
o Dgitos.
o Smbolos.
o Carcter Unicode clasificado como alfabtico.
La longitud de la contrasea, caducidad y reusabilidad son aspectos que se tratan como

polticas de seguridad local de dominio, es decir, son independientes de estas
comprobaciones.
Entonces, si queremos aplicar una directiva distinta a la propuesta, tendremos que cambiar de
sistema operativo.
En GNU/Linux, por ejemplo, las directivas de contraseas son a la carta, podemos editarlas
siguiendo nuestros propios criterios de complejidad utilizando la librera libpam-cracklib. El
uso de esta librera se asemeja al uso de expresiones regulares para validar cadenas de
caracteres. Podemos cambiar de este modo factores como:
Nmero de dgitos, letras maysculas, minsculas y smbolos (no incluido en WS2012).

Longitud mnima.
Caducidad de contrasea, mnimo de das con la misma contrasea y memoria de
contraseas anteriores (para evitar repeticiones).
Por el contrario, el mtodo de validacin de GNU/Linux descrito no evita utilizar parte del
nombre de usuario como parte de la contrasea.
11
Reiniciar el sistema
Reiniciar el sistema operativo es una operacin habitual por administradores y usuarios de

Microsoft Windows desde sus primeras versiones. En un equipo de trabajo cliente no es algo
relevante, ya que puede hacerse al final de la jornada sin suponer una prdida de tiempo
considerable ni afectar notablemente al trabajo.
Por el contrario, en los equipos que ofrecen servicios permanentes y necesarios para el
funcionamiento de la organizacin, una operacin de reinicio es un compromiso importante.
Durante el desarrollo del proyecto han sido necesarios casi el mismo nmero de reinicios de
sistema para el servidor que para los clientes, lo que me parece un lastre importante si vamos
a elegir un sistema operativo servidor para una organizacin que necesita servicios activos
permanentemente.
Es un aspecto a mejorar por estos sistemas, ya que los entornos GNU/Linux de servidor
normalmente no requieren reinicios.
Por ejemplo: Una operacin de actualizacin de un servicio sobre Windows Server descarga la
actualizacin, la instala y exige un reinicio para que sta sea aplicada. En la actualizacin de un
servicio GNU/Linux, el daemon (servicio) afectado y sus posibles dependencias, si las hubiera,
se deshabilitan momentneamente, aplicndose en ese momento la actualizacin y
levantando el daemon de nuevo.
Ms rpido, menor tiempo de cada del servicio y, por tanto, mejor en casos de
implementacin de servicios crticos (por su disponibilidad).
Autenticacin centralizada (cach SAM)
Cuando realizas una operacin de autenticacin en el sistema cliente (utilizando un perfil de

administrador de dominio) no es necesario que el servidor est operativo. Esto quiere decir
que, necesariamente, parte de los parmetros de autenticacin se almacenan en el equipo
cliente.
La primera vez que utilizas unas credenciales concretas s existe conexin al servidor, ya que
necesita ir al archivo de contraseas del controlador de dominio para poder autenticar al
usuario.
Para las siguientes operaciones de autenticacin, se comprueba si existe conexin con el

controlador de dominio. Si no la hay, el cliente tiene almacenado de veces anteriores una
copia del hash de contrasea de administrador en su SAM. Por tanto, aun no habiendo
conexin al servidor puedes autenticarte como administrador si ya lo hiciste anteriormente
con conexin.
12
El cliente prueba la conectividad al servidor (just
a moment) y si no lo encuentra hace uso de
una especie de cach SAM en la que contiene
credenciales de anteriores autenticaciones de
administradores de dominio.
Como para operaciones anteriores con el

servidor habilitado utilic credenciales de
administrador de dominio, ahora vuelvo a
introducirlas y el sistema autentica al usuario con
xito.
Esta opcin tambin es posible con usuarios de dominio normales, siempre y cuando, como
los administradores de dominio, hayan sido autenticados previamente en el cliente cara al
dominio.
No parece la mejor opcin desde el punto de vista de la seguridad, ya que un cliente puede
almacenar credenciales de administrador. Por otra parte es un compromiso, de tal forma que
si el servidor no est disponible (por cada, mantenimiento, DoS) el cliente podr seguir
autenticndose en el dominio sin sobrecargar ms todava el servidor.
Hay casos en el proyecto en los que viene bien esta funcionalidad, concretamente en los
equipos de direccin. Como son equipos porttiles, cuando sean utilizados fuera de la red local
del centro podrn iniciar sesin con sus perfiles de dominio y acceder a sus ficheros contenidos
en dichos perfiles. Aun con esto, siempre ser preferible adoptar otra alternativa que permita
comunicarse con el controlador de dominio, como VPN (Virtual Private Network).
Ceder seguridad para aumentar la disponibilidad.
La combinacin OneDrive + Cobian Backup
Cobian Backup centraliza el servicio de copias de seguridad en tareas. OneDrive replica en la

nube la informacin alojada en un directorio concreto. Si combinamos ambas aplicaciones
conseguimos que el sistema de copias de seguridad sea ms robusto y fiable, adems de
cumplir con los requisitos establecidos en el plan de seguridad.
Desde Cobian Backup podemos incluir varios destinos para un mismo origen de copia en una
misma tarea, por lo que lo nico que necesitamos es incluir como destino el directorio
sincronizado con OneDrive.
As, aprovechando la sinergia que surge de combinar estas dos aplicaciones, conseguimos
replicar los datos sensibles y as protegerlos. No slo en un medio de proteccin local, sino que
adems almacenamos una copia protegida en un medio externo (una copia en la nube
utilizando un servicio Cloud).
13
Plano de distribucin de red
(situacin actual)
Nombre:
Office Office Office
36 sq m 36 sq m 47 sq m
Proyecto:
Direccin Administrativo Sala de comunicaciones
Office Office
169 sq m 169 sq m
Sala 1 Sala 2
Plano de distribucin de red
y sistemas informticos
Nombre:
Office Office Office
36 sq m 36 sq m 48 sq m
Proyecto:
Direccin Administrativo Sala de comunicaciones
Office Office
208 sq m 202 sq m
Sala 1 Sala 2
Leyenda de planos de red
Nombre:
Proyecto:
Host: servidor.
Host: equipo de trabajo.
Host: equipo de trabajo porttil.
Office
12 sq m Departamento. Ubicacin lgica

de equipos.
Ubicacin
Conexiones de red. UTP Cat6.

RJ45
Router WiFi 802.11a
Switch Ethernet
Sistema SAI (Sistema de

Alimentacin Ininterrumpida)
Impresora multifuncin
Anexo E-86
Seguridad a nivel humano
Enumeracin de buenas prcticas a seguir por el grupo de
trabajadores y usuarios. Compromiso por la seguridad de la
infraestructura del centro


1. Seguir todas las reglas aqu descritas, adems de leer y cumplir, por parte de todos los
usuarios, el informe de seguridad.
2. No almacenar las credenciales ni compartirlas, es un riesgo de seguridad para toda la

empresa.
3. Toda la actividad realizada mediante el perfil de un usuario ser responsabilidad del

mismo, por lo tanto es necesario que las credenciales sean nicamente propiedad del
usuario.
4. Nunca se deben utilizar credenciales ajenas para realizar una tarea. Si existe una sesin
iniciada previamente en un equipo, cerrarla inmediatamente e iniciar sesin con el
perfil propio.
5. Bajo ningn concepto se debe dejar el equipo de trabajo desatendido sin bloquear
previamente la sesin (para bloquear: tecla Windows + L).
6. Apagar el equipo cuando no vaya a ser utilizado.
7. No manipular por cuenta propia la estacin de trabajo ni su cableado. Seguir el

proceso de notificacin de la incidencia al director y esperar a que solucionen el
problema.
8. No instalar programas sin autorizacin previa ni actualizar versiones de software

instalado.
9. Notificar y seguir indicaciones del responsable de sistemas o en su defecto del director

del centro en los siguientes casos:
9.1. Catstrofe o fallo crtico del sistema.
9.2. Si las credenciales han podido ser comprometidas por cualquier
motivo. Adems deber solicitar un cambio de credenciales.
9.3. Si se desea extraer datos del puesto de trabajo mediante un medio
extrable o Internet (como un dispositivo de almacenamiento USB o un
servicio de almacenamiento en la red como Dropbox o Mega).
9.4. Necesidad de instalar o actualizar cualquier programa para poder
trabajar adecuadamente.
9.5. Ante cualquier prdida de datos.
9.6. Si se pierde una contrasea, se olvida o existe algn tipo de incidencia
o anomala relacionada.
9.7. Para cualquier operacin no detallada en esta lista.
Anexo E-87
Fichas de sistemas
Formularios para seguimiento de los sistemas informticos del
centro


Nombre de equipo / N de serie Tipo Fecha de instalacin
crlnv-adm-00.crlnuevavida.es / 104991808165571 PC de escritorio 12 / 7 / 2015
Conexin a la red Direccin IP Direccin MAC
Cableada: a switch de distribucin 10.0.2.1 01:B9:3A:20:00:87
Departamento Grupo / U. Organizativa Ubicacin
Administracin Equipos administracin Despacho de Administracin
Registro de eventos
Fecha Tipo Descripcin Responsable
Instalacin de Conexin y puesta en marcha del equipo crlnv-adm-00 en el
12 / 7 / 2015 E. Arreglo
equipo. despacho de administracin.
Sustitucin de El ratn conectado a crlnv-adm-00 no funciona correctamente.
8 / 10 / 2015 E. Arreglo
perifrico Se sustituye el dispositivo.
Desplazamiento El equipo crlnv-adm-00 es desplazado al taller por problemas
2 / 11 / 2015 E. Arreglo
de equipo de inicio del sistema. En reparacin.
Nombre de equipo / N de serie Tipo Fecha de instalacin
crlnv-dir-00.crlnuevavida.es / 117740979562412 PC porttil 12 / 7 / 2015
Conexin a la red Direccin IP Direccin MAC
Cableada: a switch de distribucin 10.0.1.1 01:A2:29:C7:53:42
Departamento Grupo / U. Organizativa Ubicacin
Direccin Equipos direccin Despacho de Direccin
Registro de eventos
Fecha Tipo Descripcin Responsable
Instalacin de Conexin y puesta en marcha del equipo crlnv-dir-00 en el
12 / 7 / 2015 E. Arreglo
equipo. despacho de direccin.
Anexo E-88
Plan de pruebas
Documentacin de pruebas de sistemas desarrolladas siguiendo el
plan detallado en la memoria


Evaluacin de puntos de prueba
Integridad de instalacin
Microsoft Windows Server 2012
Comprobar la integridad de los ficheros que conforman el sistema operativo servidor es
importante, como hemos podido comprobar en la fase de implementacin de ste. Para
realizar esta prueba, utilizaremos el comando sfc /scannow. Dicho comando ejecuta un
proceso que recorre todos los archivos que forman parte de la instalacin de Windows (y sus
actualizaciones posteriores) en busca de errores que puedan comprometer el funcionamiento
del sistema.
Ejecucin y resultado del examen de integridad del sistema Windows Server
2
Microsoft Windows 8.1 (Equipos de administracin y direccin)
En el caso de los sistemas operativos ejecutados en los sistemas cliente, utilizaremos el mismo
comando, ya que tambin est disponible para esta versin. Una instalacin corrupta del
sistema operativo puede ocasionar diversos problemas, por ello, es conveniente incluir en el
plan de pruebas una fase de verificacin de instalacin de los sistemas operativos.
Ejecucin y resultado del examen de integridad del sistema Windows 8.1
Actualizaciones del sistema operativo

Microsoft Windows Server 2012
La comprobacin de actualizaciones consta de dos fases:
1. Verificar la configuracin de actualizaciones: Para garantizar que las actualizaciones

importantes de sistema son instaladas, este proceso debe estar activado de forma
automtica. Las actualizaciones opcionales, al requerir trfico adicional de red y no ser
crticas, debemos, por motivos de eficiencia, realizarlas de forma manual.
En Panel de control > Windows Update > Change Settings (o cambiar configuracin)
elegimos la opcin de instalar actualizaciones automticamente:
Configuracin correcta en Windows Update. Actualizaciones importantes automticas
2. Comprobacin e instalacin de nuevas actualizaciones: Dado que el servidor es un

equipo que permanece continuamente encendido, debemos forzar algunas
actualizaciones necesarias (dado que la ventana de mantenimiento aparece al reiniciar
o apagar el equipo).
Accedemos a Panel de control > Windows Update y aparece la siguiente ventana:
3
Ahora, hacemos clic en el
botn Install updates para
forzar la instalacin de
actualizaciones antes de
esperar a reiniciar el equipo
o apagarlo (ventana de
mantenimiento).
Una vez concluye el proceso de actualizacin recibimos un mensaje de confirmacin y,

si es necesario, una peticin de reinicio del sistema. El registro de actualizaciones de
Windows ahora muestra la siguiente informacin:
Necesitamos reiniciar el
servidor para que el sistema
aplique las actualizaciones.
Microsoft Windows 8.1

Del mismo modo que en el servidor, necesitamos realizar las dos fases (comprobacin y
actualizacin) que forman parte de la comprobacin de las actualizaciones del sistema.
Informacin sobre actualizaciones automticas (Windows Update)
En este caso ya fue configurado anteriormente el punto 1, por lo que podemos ver la
diferencia respecto al mensaje obtenido en el sistema operativo servidor. Sin realizar ms
operaciones, sencillamente reiniciamos el equipo. Estos equipos, al ser clientes y por tanto,
encendidos y apagados cada da, se actualizan automticamente.
Instalando actualizaciones antes

de reiniciar el equipo.
No debera ser necesario reiniciar el sistema con tanta asiduidad, es un servidor y como tal
debe estar disponible en todo momento. En el anexo E-81 Desviaciones y lecciones
aprendidas (pgina 12) se detalla este hndicap de los sistemas operativos Windows Server.
4
Estado del software antivirus y anlisis de amenazas
Microsoft Security Essentials
En el servidor tenemos instalado el software de proteccin Microsoft Security Essentials, el
cual se actualiza de forma automtica, tanto el software antivirus como las definiciones de
virus.
Para comprobar el estado del servicio slo tenemos que abrir el programa y revisar la pgina
principal:
Comprobamos que el equipo es protegido y supervisado por el programa. Adems, el mdulo

de proteccin en tiempo real est activado y las definiciones de virus actualizadas.
Por ltimo, para realizar un anlisis del sistema en busca de malware elegimos el tipo de
anlisis que queremos realizar y hacemos clic en Examinar ahora. Una vez concluye el
examen podemos revisar los resultados en la pantalla que aparece a continuacin:
Resultado del examen del sistema. Proteccin activa y definiciones de virus actualizadas.
Avast Antivirus
En los equipos cliente tenemos instalado y configurado Avast Antivirus como sistema de
proteccin contra malware. Al instalar Avast, ste sita en la barra inferior derecha de la
pantalla un icono. Si hacemos doble clic en este icono obtenemos la siguiente informacin:
Esta pantalla principal nos informa de que el software est activo y completamente
actualizado. Para realizar un anlisis del sistema podemos utilizar el mdulo de anlisis
inteligente clicando en el botn correspondiente.
5
El anlisis inteligente incluye un anlisis de la seguridad de red, anti-malware, actualizacin del
antivirus y busca elementos que considera perjudiciales en el equipo.
En el resultado podemos ver

que el ltimo punto no ha
tenido xito.
Si hacemos clic en resolver

todo podremos comprobar
que ese punto trata de instalar
el software GrimeFighter. Este
software, dicen, limpia el equipo de archivos que no se usan o ralentizan el equipo. Se trata de
una forma de publicitar otro software desarrollado por la misma empresa.
Si queremos utilizar herramientas de limpieza (nuestros equipos simulados ahora mismo estn
en perfecto estado) podemos instalar alternativas como CCleaner.
Conectividad y anlisis de red

Trfico de red
La conectividad de la red permite que todo funcione con normalidad. Un problema en la
comunicacin entre equipos de la red puede provocar que no tengan acceso a servicios
fundamentales para trabajar, conexin a Internet y otros problemas graves.
Todos los puntos anteriores del apartado de conectividad en el plan de pruebas han sido
evaluados desde las mquinas virtuales o mediante el esquema de simulacin realizado con
Cisco Packet Tracer.
En este ltimo punto vamos a utilizar Wireshark para monitorizar la actividad de la red y
comprobar que la comunicacin entre equipos es satisfactoria. En el ejemplo siguiente
provocamos la comunicacin entre el equipo de administracin (crlnv-adm-00 con IP 10.0.1.1)
y el servidor (CSNV con IP 10.0.0.100).
Opciones de captura: Wireshark
Interfaz: Ethernet 2 (interfaz que

simula la red de conmutacin entre
mquinas virtuales).
Filtro de captura: Paquetes de la

red 10.0.0.0/16, es decir, cualquier
host cuya IP comience por 10.0 y su
mscara de red sea 255.255.0.0
(los equipos de la red simulada
cumplen con estas caractersticas).
6
Al activar la captura de paquetes enviamos dos mensajes entre ambas mquinas,
intercambiando origen y destino para analizarlos:
Mensaje 1: Solicitud PING desde CSNV hacia crlnv-adm-00.
Comprobamos que la comunicacin se realiza correctamente y que podemos

monitorizar la actividad de red desde el servidor.
Mensaje 2: Inicio de sesin en el dominio con el perfil de Marcos Alonso

(administrativo).
En la captura realizada se distinguen las siguientes fases:

1. Sincronizacin (mensaje SYN) solicitada por crlnv-adm-00 hacia el servidor, justo
despus, obtiene respuesta.
2. Consulta LDAP para comprobar si existe el usuario introducido para iniciar sesin,
el servidor responde con un ACK confirmando la existencia de sus credenciales.
3. Segunda sincronizacin (mensaje SYN) para realizar la autenticacin de usuario.
4. Comunicacin del protocolo Kerberos para comprobar las credenciales
introducidas y generar un Ticket-Granting-Ticket (TGT) que permita al usuario
iniciar sesin en el dominio.
5. Finalizacin (mensaje FIN) de la comunicacin una vez se han realizado las
operaciones de autenticacin. El usuario ya ha iniciado sesin en el dominio.
Disponibilidad y estado de servicios
Todo servidor, como parte de una red distribuida de equipos, ofrece servicios que, por sus
caractersticas, se encuentran centralizados en esa mquina en concreto. Cuando
implementamos los servicios de nuestra red sobre un sistema operativo Windows Server 2012,
podemos obtener fcilmente informacin sobre el estado actual de los servicios.
Dentro de la utilidad Administrador del servidor, tenemos un dashboard que acta como
panel global de informacin. Desde este mdulo accedemos a toda la informacin recogida en
este apartado del plan de pruebas.
7
Dashboard. Servicios activos en la mquina Windows Server 2012.
DNS (Domain Name Service Servicio de nombres de dominio)

Tal y como figura en el informe de aplicaciones, el servicio DNS permite que, tanto el propio
servidor como los equipos miembros del dominio, hagan sus peticiones DNS a esta mquina.
Una peticin DNS supone una bsqueda en la tabla DNS del servidor, actualizada por este de
forma dinmica.
Una peticin DNS trata de resolver un nombre de dominio (por ejemplo CSNV.crlnuevavida.es)
con una direccin IP (10.0.0.100). Por lo tanto, DNS establece una relacin entre nombres de
dominio (o nombres DNS) y direcciones IP asociadas a esos nombres.
La pestaa servicios dentro del mdulo DNS del

dashboard nos da informacin sobre el estado del
servicio DNS. Actualmente se inicia de forma
automtica con el servidor y est en
funcionamiento.
DHCP (Dynamic Host Configuration Protocol Protocolo de configuracin dinmica

de host)
Del mismo modo que en el punto anterior, recurrimos al dashboard para obtener informacin
relativa al servicio DHCP. Un servidor DHCP trata de asignar datos de configuracin IP a
aquellos host del dominio que poseen una configuracin IP dinmica.
Cuando un cliente solicite datos de configuracin para su interfaz de red, este servicio
responder y le otorgar unos datos de configuracin IP vlidos durante un tiempo de
concesin limitado. Cuando ste expire, ser necesaria otra peticin DHCP.
Tal y como configuramos durante la instalacin de

Windows Server 2012, el servicio DHCP concede
direcciones actualmente (servicio activo) dentro
del mbito configurado en el apartado de
instalacin, llamado WLAN_IPv4 y orientado a
conceder datos de configuracin IP a dispositivos
inalmbricos. Las mquinas que forman parte del dominio tienen sus interfaces de red
configuradas estticamente.
8
AD DS (Active Directory Domain Services Servicios de dominio de Active
Directory)
El servicio AD DS es el ms complejo de los que forman parte del plan de pruebas. Se trata de
un grupo de servicios, todos ellos relacionados con la instalacin de dominio. Cuando
promocionamos un servidor a controlador de dominio, se instalan y habilitan todos estos
servicios:
Estado de servicios AD DS.
Los servicios que forman parte de las dependencias de AD DS que deben funcionar
correctamente en este proyecto son:
Windows Time: Fecha y hora del sistema. Necesario por motivos de seguridad.
AD Web Services: Para implementacin de sitios Web con IIS para el entorno de
dominio.
AD Domain Services: Recursos de Active Directory, catlogo global y administracin de
usuarios, equipos y otros recursos del dominio.
Netlogon: Gestiona y verifica las peticiones de inicio de sesin de dominio.
DNS Server: Anteriormente revisado. Necesario para controlador de dominio.
Server: Rol de servidor en el dominio.
Kerberos KDC: Servicio de autenticacin. Incrementa notablemente la seguridad a la
hora de acceder al dominio iniciando sesin con credenciales de usuario.
9
Honeypot y cuentas de administracin de dominio
Imposibilidad de inicio de sesin como Administrador
En este punto comprobamos si efectivamente est bien configurado el apartado de cuentas de
administrador. Tal y como fue planteado, la cuenta de Administrador no debe poder ser
utilizada:
Se trata de una cuenta deshabilitada.

Su contrasea es relativamente fcil de descubrir.
No tiene permisos para trabajar en el dominio.
Aquel que realice un ataque intentar aprovecharse de esta cuenta (principalmente por su
nombre, que sugiere que le otorgar todos los permisos). Debemos comprobar que los puntos
anteriores se cumplen.
En propiedades de Administrador, dentro de

Usuarios y Equipos de Active Directory,
vemos que la cuenta est deshabilitada.
Desde el botn Log On To tiene prohibido
iniciar sesin en cualquier equipo del
dominio.
Equipos para iniciar sesin. Vaco.
Si intentamos iniciar sesin en el

dominio con esta cuenta, obtenemos el
mensaje que se ve a la derecha. Adems
de no poder iniciar sesin, el sistema
guardar en los logs (del servicio
Netlogon) el intento de inicio de sesin,
por lo que podremos recopilar
informacin importante si tratan de
acceder a esa cuenta.
10
Como vimos en el punto Trfico de red, podemos monitorizar con Wireshark la conexin a la
red del servidor y rastrear mensajes de protocolos LDAP y KRB para saber desde dnde se est
intentando utilizar la cuenta.
Comprobacin de permisos de administrador e inicio de sesin

Tratamos de iniciar sesin como administrador de dominio. El administrador es Ernesto
Arreglo, con nombre de usuario uErArreglo. Como podemos ver en la captura realizada, el
sistema aplica la configuracin de usuario para iniciar su sesin, por lo que las credenciales son
vlidas y est autorizado a iniciar sesin en el servidor con su perfil de dominio.
Proceso de inicio de sesin del administrador de dominio uErArreglo en CSNV
En el mdulo de usuarios y equipos de Active

Directory podemos acceder a sus propiedades
y ver que tiene permisos de administracin.
Al contrario que Administrador, el usuario

de administracin real uErArreglo pertenece a
los grupos de seguridad propios de un
administrador de dominio.
11
Jess Mara Aransay Azofra Eloy Javier Mata Sots
Conceptualizacin, diseo e implementacin de infraestructura de red es un

proyecto de sistemas y redes basado en un cliente real
Funcional Infraestructura de red a medida

Escalable
Eficiente Servicios centralizados Simulacin y estudio de
DNS DHCP LDAP Kerberos configuracin
IP
Y tecnologas
Hardware y sistemas operativos
de ltima generacin Cloud
de Microsoft
R2 Standard x64
Plan de seguridad y backup

Pro x64 especficos para el cliente
Plan de pruebas con 45 puntos Servicios de dominio y

de evaluacin directorio activo
Imagen: CRL Nueva Vida. Las imgenes de marcas hardware/software son propiedad de sus respectivas marcas.
Licencia: Creative Commons BY-NC-ND. Alberto Aparicio Colis. Grado en Ingeniera Informtica - FCEAI

Tfe000998 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Tfe000998 PDF

Загружено:

Авторское право:

Доступные форматы

TRABAJO FIN DE GRADO

Conceptualizacin, diseo e implementacin de

Alberto Aparicio Colis

Jess Mara Aransay Azofra y Eloy Javier Mata Sots

Facultad de Ciencias, Estudios Agroalimentarios e Informtica

Grado en Ingeniera Informtica

Alberto Aparicio Colis

Jess Mara Aransay Azofra

Facultad de Ciencias, Estudios Agroalimentarios e Informtica

Conceptualizacin, diseo e implementacin de infraestructura de red es un proyecto de

El objetivo de este proyecto es proponer una solucin que:

Facilite y agilice el trabajo del centro.

Conceptualizacin, diseo e implementacin de infraestructura de red is a systems-networks

The objective of this project is to propose a solution that:

Facilitate and expedite the work done at the centre.

3 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

Captulo 1: Descripcin del proyecto

Captulo 2: Anlisis de la situacin actual

Visita al centro y conclusiones ....................................................................................... 22

Captulo 3: Diseo de la solucin

Infraestructura a renovar o ampliar ............................................................................... 24

Captulo 4: Implementacin de la solucin

Instalacin de sistemas operativos ................................................................................ 38

Lecciones aprendidas ..................................................................................................... 56

5 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

E70 Formularios de consulta.

E71 Diagrama de Gantt.

E73 Reuniones y diario.

E74 Hardware de sistemas.

E75 Presupuesto de sistemas IT.

E76 Presupuesto de software.

E77 Esquema de copias de seguridad.

E78 Instalacin de Microsoft Windows Server 2012 R2.

E79 Usuarios, grupos e implementacin de seguridad.

E80 Instalacin de Microsoft Windows 8.1.

E81 Desviaciones y lecciones aprendidas.

E82 Plano de situacin actual.

E83 Plano de distribucin.

E84 Leyenda de planos de red.

E85 Simulacin de entorno de red.

E86 Seguridad a nivel humano.

E87 Fichas de sistemas.

E88 Plan de pruebas.

7 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

Dedicado a todos vosotros. Gracias.

9 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

El proyecto Conceptualizacin, diseo e implementacin de infraestructura de red tiene

Conceptos como la obsolescencia programada y el rpido avance tecnolgico motivan este

Con buenas herramientas, se trabaja ms y mejor. Es el objetivo.

1. Atencin, bsqueda de empleo y preparacin para el entorno profesional de personas

11 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

En la captura de requisitos se recoge la mayor cantidad de informacin posible sobre el centro.

En un primer momento creo un formulario Web, que envo directamente al responsable de la

En una entrevista posterior, realizada el 27 de Octubre de 2014 de forma personal, se

Trabajo Fin de Grado 2015 | Alberto Aparicio Colis 12

A partir de la informacin capturada de la empresa podemos definir los siguientes requisitos

1. Instalacin y configuracin de Windows Server 2012 R2: actualmente es una referencia

2. Instalacin y configuracin de cliente Windows 8 para personal del centro (4 equipos):

3. Instalacin y configuracin de cliente Windows 8 para usuarios (24 equipos).

4. Presupuesto: sin un lmite presupuestario, el objetivo es garantizar la funcionalidad y

5. Pruebas del sistema.

13 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

A la finalizacin del proyecto la empresa podr disponer de: