Introducción a las Redes y la Seguridad en Windows Server
Dirección IP
Hacia los años 60, el Departamento de Defensa de los Estados Unidos estudió la posibilidad de crear una red de ordenadores que no dependiera de un ordenador central, al contrario de como era en ese momento. En este sentido, en 1969 apareció la Red DARPA (Proyectos Avanzados de Defensa de USA) que financió la investigación de los protocolos TCP/IP, que se adoptaron en 1982.
Internet es un conjunto de muchos ordenadores situados a lo largo de todo el mundo, conectados físicamente. Como toda red, Internet trabaja con un protocolo de red: TCP/IP. Para conectarse a Internet hay que tener activado en el ordenador este protocolo.
Algunos de los ordenadores conectados a Internet son servidores, es decir, almacenan información que sirven o ponen a disposición de los demás. El resto de los ordenadores son clientes, ordenadores que se conectan a Internet en busca de la información que proporcionan los servidores.
Todos los ordenadores de Internet, ya sean clientes o servidores, se identifican en Internet de forma unívoca y mediante una dirección IP. Una dirección IP está formada por cuatro números entre 0 y 255 separados por un punto (p.e. 187.23.255.1). Los servidores tienen siempre la misma dirección IP para que los clientes puedan localizarlos en Internet.
Atendiendo a la distribución que se hace de estos números de dirección se puede hablar de redes clase A, B, C, D, E y F.
Clase de red | Intervalo de direcciones IP | Número de subred |
A 255.0.0.0 | 11.0.0.0 a 127.255.255.255 | 16.777.216 |
B 255.255.0.0 | 1128.0.0.0 a 191.255.255.255 | 65.535 |
C 255.255.255.0 | 192.0.0.0 a 223.255.255.255 | 256 |
D, E, F | De 224.0.0.0 a 254.0.0.0 (reservadas) |
En la red tipo A para redes privadas el primer dígito utilizado es 10.
En la red tipo B para redes privadas el primer dígito utilizado es 172 y el segundo cualquiera entre 16 a 31.
En la red tipo C para redes privadas el primer dígito utilizado es 192 y el segundo 168.
Terminología en Windows Server: Dominio, PDC, BDC
El sistema operativo Windows NT es una plataforma que trabaja en forma de Cliente-Servidor.
Arquitectura Cliente / Servidor
Servidor: Suministra recursos a un nodo.
Cliente: Equipo que solicita un recurso a otro que los ofrece.
NOS: NETWORK OPERATING SYSTEM
Debe ofrecer los siguientes servicios:
- Los propios de un SO.
- Soporte de Sistemas de Archivos Remotos.
- Ejecución de aplicaciones compartidas.
- Impresión remota.
- Seguridad en la red.
DOMINIO: Conjunto de máquinas en una red.
PDC: Primary Domain Controller: Controlador Principal. Es imprescindible.
BDC: Backup Domain Controller: Controlador de Reserva. Mantiene la copia de la base de datos de usuario. Puede no existir, haber uno o más.
Stand alone: Servidor independiente.
DOMINIO: Grupo de ordenadores con un servidor ->
nombre del dominio=> 15 caracteres como máximo, pero es mejor no superar los 8 caracteres.
Un dominio es una especie de Grupo de Trabajo centralizado con un servidor de red (administra y controla la red).
Dentro de un dominio hay:
- PDC: Controlador Primario de Dominio: Es obligatorio y sólo puede haber uno por dominio.
- BDC: Controlador de reserva de Dominio (Backup): Es opcional y puede haber varios por dominio.
Una red Windows NT Server puede tener un único dominio o un grupo de ellos interconectados.
Ventajas del modelo de dominios de WINNT
- Configuración de diseño flexible.
- Administración de red centralizada.
- Flexibilidad en la adición de nuevos usuarios y en el cambio de restricciones de acceso.
- Una base de datos únicas para cuentas de usuarios.
- Un sistema de seguridad unificado para el dominio completo.
- Adecuado control de acceso a directorios y archivos (control de acceso selectivo).
Clientes: los clientes pueden utilizar diferentes sistemas operativos: WIN95, WIN98, WIN NT Workstation, etc.
Usuario: persona
Estación: equipo (puesto de trabajo)
En el PDC está la base de datos de usuarios, con los permisos que tienen.
Los usuarios (cada uno tiene su contraseña: password) se pueden establecer en GRUPOS.
Es preferible dar permisos a GRUPOS en vez de a los USUARIOS.
Existen un usuario Administrador y un grupo de ADMINISTRADORES.
Es muy importante no olvidar la contraseña del Administrador, ya que en caso contrario hay que volver a montar todo el sistema.
El BDC mantiene una copia de la base de datos del servidor.
Los clientes pueden utilizar casi cualquier sistema operativo. Necesita un software de cliente para red WINDOWS NT.
Organización en dominios y relaciones de confianza
Se puede interconectar dominios utilizando las relaciones de confianza.
Los usuarios de un dominio en principio solamente pueden utilizar los recursos de ese dominio. Sin embargo pueden utilizar los recursos de otro dominio mediante las relaciones de confianza.
Estas relaciones son UNIDIRECCIONALES.
A confía en B significa que un usuario del dominio B puede acceder al dominio A.
A confía en B es diferente de B confía en A
Estas relaciones de confianza no son transitivas:
Si A confía en B y B confía en C no significa que A confía en C. Si se desea establecer esta circunstancia hay que realizarlo de forma expresa : A confía en C.
Administración de usuarios
Los administradores del sistema son los que definen quién está autorizado a utilizar los dominios del servidor NT y con qué derechos. A los usuarios locales de NT Workstation se les ofrece la posibilidad de personalizar la pantalla de presentación del entorno Windows NT.
Tareas fundamentales de la administración de usuarios
- Posibilitar la personalización y optimización de la pantalla de presentación y el funcionamiento del sistema operativo para el mayor número de usuarios posible, de acuerdo con las necesidades de cada uno de ellos. Eso significa que, para proteger los datos, aveces es conveniente no permitir el libre acceso de todos los usuarios a todos los archivos de NT Server.
- La segunda tarea fundamental es garantizar la seguridad del sistema. Los derechos limitados de todo usuario normal no permitan modificar los archivos más importantes del sistema (como son los archivos de registro) ni, por lo tanto, causar daños graves. Por esa razón no siempre es conveniente hacerse administrador de NT Workstation cuando se es el único usuario de la misma. Los administradores de red de un dominio NT sólo deberían entrar en la red como administradores para trabajos de mantenimiento: para reconocer rápidamente el mal uso de los derechos de acceso a la red de los usuarios normales.
- La tercera tarea también está relacionada con la seguridad del sistema. Se trata, esta vez, de protegerse contra el acceso indebido de terceros. Si todos los usuarios aseguran sus derechos de acceso con contraseñas seguras, el acceso indebido de terceros a NT Server, una red Windows NT, o a Windows NT Workstation resulta mucho más difícil. La seguridad de Windows NT está sujeta a normas estrictas dictadas por el departamento de defensa de EE.UU. si bien en Windows NT se puede configurar un nivel de seguridad Class C2, en la práctica no tiene mucho sentido trabajar con este sistema debido a los constantes controles de seguridad y los protocolos de eventos. Windows NT Server debería quedar cerrado de manera mecánica, pues quien puede acceder físicamente a Windows NT Server, también puede manipular los datos guardados en él.
Seguridad del sistema
Tipos de seguridad de red
- Seguridad física: Proteger físicamente tanto servidores como estaciones de trabajo.
- Seguridad de usuarios: Facilitar el acceso a los recursos que necesite. Mantener fuera de su alcance el resto.
- Seguridad de archivos: Control de acceso al archivo. Protección de la integridad del archivo. Si el sistema de ficheros es NTFS, la protección podrá ser a nivel de directorio y a nivel de archivo. Los atributos de archivos individuales son:
- Leer (R) (Read)
- Escribir (W) (Write)
- Ejecutar (eXecute)
- Borrar (D) (Delete)
- Cambiar permisos (P)
- Tomar Posesión (O) (Owner)
Elección de una contraseña
- No hacer rotaciones.
- Combinar letras y números.
- Al menos 6 caracteres.
- No utilizar datos conocidos (nombres, apellidos,…)