• Author / Uploaded
• Iván Pineda

Citation preview

Nombre: Carlos Iván Pineda Santiago Matrícula: 78717 Grupo: K037 Materia: REDES III Docente: Mtra. Maria del Carmen Estee Taibo Cano Actividad de aprendizaje 2. Determinando el servicio de nombres o directorios Tecámac, Estado de México, 14/10/2019

Instrucciones: I.- La introducción describe detalladamente las condiciones para establecer un servicio de nombre o directorio ya sea un NIS, un LDAP, un DNS o archivos locales en la red, como parte del diseño de una red segura.

a) NIS: NIS proviene del inglés Network Information System que significa Servicio de Información de Red, es el programa que se utiliza para hacer LAN (Local Area Network) en UNIX, lo programa SUN Microsystems. Para comprender el funcionamiento de NIS se toma como ejemplo el caso de una red LAN con más de 100 clientes, sería demasiado tedioso crearle una cuenta a cada usuario en cada equipo, para solucionar este problema se implementa NIS. NIS lleva a cabo su tarea manteniendo unas tablas de información de los grupos, usuarios y hosts en su sistema. Anteriormente a estas tablas se les denominaba yellow pages, pero por derechos de copyright se opto por cambiarles el nombre, aún en algunos sistemas aparecen bajo el directorio /var/yp, en otros /var/nis. Para que funcione un NIS es necesario ejecutar un daemon para el NIS server y otro daemon para el NIS cliente, así como un nombre privado para la red local. A continuación se muestra el procedimiento para implementar un NIS tomando como base Red Hat Linux: Crear el NIS Server 1. Crear el archivo /etc/defaultdomain y escribir el nombre que identificará la a red local (Ej. linux.mate.uprm) 2. Ejecutar ypiint -m. 3. Ejecutar el script de inicialización de NIS /etc/rc.d/init.d/ypserv start.

Crear el NIS Client

1. Crear el archivo /etc/defaultdomain y escribir el nombre de la red local (el mismo que se escribió en el server). 2. Añadir en el archivo /etc/hosts el nombre de su server NIS (ipaddress server name). 3. Editar /etc/yp.conf y descomentar la línea que dice servername y especificar el nombre de su NIS server. 4. Ejecutar el script de inicialización de NIS para el client:/etc/rc.d/init.d/ypbind start. Cada vez que sea necesario que se modifique en el server el archivo de grupos, hosts o passwords, es necesario ejecutar desde /var/yp el script make para que tenga efecto el cambio en toda la red.

b) LDAP. LDAP proviene de las siglas Lightweight Directory Access Protocol que significa Protocolo Ligero de Acceso a Directorios, es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red. Además se le considera como una base de datos a la que es posible realizarle consultas. En este caso se plasmará el procedimiento para instalar el denominado OpenLDAP en Linux, esta aplicación es una implementación libre y de código abierto del protocolo LDAP, es liberada bajo su propia licencia OpenLDAP Public License, es un protocolo de comunicación independiente de la plataforma. Procedimiento de instalación y con figuración de OpenLDAP en un servidor Ubuntu 1.- Instalar OpenLDAP en el servidor con la siguiente instrucción, además de proporcionar y confirmar la contraseña de administrador. sudo apt-get install slapd ldap-utils 2.- Configuración básica de OpenLDAP modificando el archivo /etc/hosts para lo cual se utilizará el editor nano. sudo nano /etc/hosts Una vez dentro del archivo se añadirá una nueva línea que relacione la dirección IP estática del servidor con los nombres lógicos que tiene previsto utilizar, por ejemplo: 192.168.1.10

ldapserver.gricelda.local

ldapserver

Al terminar pulsar Ctrl + x para salir y guardar los cambios al archivo. Ahora será necesario instalar la librería NSS para LDAP, esta permite acceder y configurar distintas

bases de datos utilizadas para almacenar cuentas de usuario, para realizarlo se utiliza la siguiente instrucción: sudo apt-get install libnss-ldap -y Al instalar libnss-ldap se nos proporcionará el paquete de configuración de autenticación de LDAP, así que seguramente se iniciará durante el proceso el asistente que nos solicitará paso a paso la información que necesita para llevar a cabo su correcta configuración, dicha información es la siguiente: Como primero paso solicita la dirección Uri del servidor LDAP, la cuál proporcionaremos de la siguiente manera: ldapi:///192.168.1.10 A continuación escribiremos el nombre global único tal y como lo escribimos al principio, por ejemplo: dc= gricelda,dc=local Después será necesario indicar la versión del protocolo LDAP que se utilizará, a menos que se disponga en la red de clientes muy antiguos, lo normal es elegir el valor más alto que se muestre en pantalla. Como siguiente paso será necesario que indiquemos si las utilidades PAM deberán comportarse del mismo modo que cuando cambiamos contraseñas locales, lo que significa que las contraseñas se guardarán en un archivo independiente que sólo podrá ser leído por el superusuario. En este caso seleccionaremos la opción Yes y pulsamos la tecla Intro. Ahora el sistema nos preguntará si deseamos que sea necesario identificarse para realizar consultas en la base de datos de LDAP, para lo cual elegiremos la opción No y pulsaremos la tecla Intro. Ya sólo queda indicar el nombre de la cuenta LDAP que tendrá privilegios para realizar cambios en las contraseñas. Como antes, deberemos escribir un nombre global único (Distinguished Name – DN) siguiendo las indicaciones que se aplicaron al principio (cn=admin,dc=gricelda,dc=local). Por último el asistente solicita la contraseña que usará la cuenta anterior que deberá coincidir y que habremos de confirmar, después de escribir la contraseña presionamos la tecla Intro. Si acaso se presenta un error o es necesario ejecutar una modificación será necesario ejecutar el siguiente comando: sudo dpkg-reconfigure ldap-auth-config 3.- Configurar la autenticación para los clientes.

Se utilizará auth-client-config, un script que nos permite modificar los archivos de configuración de PAM y NSS. Para conseguirlo, se ejecutará el siguiente comando en la terminal: sudo auth-client-config -t nss -p lac_ldap El significado de los dos atributos seleccionados es el siguiente: -t nss, con el que se le indica que los archivos que se van a modificar son los correspondientes a NSS. -p lac_ldap, con el que indicamos que se indica que los datos para la configuración debe tomarlos del archivo lac_ldap. Este archivo se habrá generado durante la ejecución de ldap-auth-config en el punto anterior. A continuación, deberemos actualizar la configuración de las políticas de autenticación predeterminadas de PAM, lo que conseguimos con el siguiente comando: sudo pam-auth-update Cuando nos proporcione una pantalla informativa sobre la función de los módulos PAM, presionaremos Intro para continuar. En la pantalla a continuación elegiremos cuáles módulos disponibles se desean habilitar, de manera predeterminada aparecen marcados por lo tanto se volverá a pulsar Intro. Una vez acabada la configuración automática, podremos hacer algunos cambios complementarios editando el archivo /etc/ldap.conf. Para lograrlo, se recurrirá, como siempre, al editor nano y ejecutaremos lo siguiente: sudo nano /etc/ldap.conf

Cuándo se abra el editor, podremos ajustar algunos de los valores del documento, pero, sobre todo, comprobaremos que son correctos los siguientes datos: host 192.168.1.10 base dc=gricelda,dc=local uri ldapi://192.168.1.10/ rootbinddn cn=admin,dc=gricelda,dc=local ldap_version 3 bind_policy soft Sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el archivo.

4.- Configurar el demonio SLAPD. SLAPD (Standalone LDAP Daemon) es un programa multiplataforma, que se ejecuta en segundo plano, atendiendo las solicitudes de autenticación LDAP que se reciban en el servidor. El último paso en la configuración del servidor LDAP será establecer algunos parámetros en la configuración de este demonio. Para conseguirlo, es necesario ejecutar el siguiente comando, como es habitual, el comando deberá ejecutarse con privilegios de superusuario: sudo dpkg-reconfigure slapd La primera pantalla que se muestra, actúa como medida de seguridad, para asegurarse de que no se hacen cambios por error. Hay que tener cuidado porque la pregunta se hace al revés, es decir, pregunta si queremos omitir la configuración del servidor (el objetivo será impedir que se elija Sí sin pensar lo que hacemos). En este caso, lógicamente, deberemos elegir la opción No y pulsamos la tecla Intro. A continuación, deberemos escribir el nombre DNS que utilizamos para crear el DN base (Distinguished Name) del directorio LDAP. En nuestro caso, escribiremos gricelda.local y pulsaremos la tecla Intro. Después, escribiremos el nombre de la entidad en la que estamos instalando el directorio LDAP. Para este ejemplo, escribiremos gricelda y pulsaremos la tecla Intro. En el siguiente paso, deberemos escribir la contraseña de administración del directorio. La contraseña debe coincidir con la que escribimos en el apartado Instalar OpenLDAP en el servidor, como es habitual, deberemos escribirla dos veces para evitar errores tipográficos. A continuación, elegiremos el motor de la base de datos que usaremos para el directorio. Se recomienda HDB porque nos permitirá, en el futuro, cambiar los nombres de los subárboles si fuese necesario. Si HDB no aparece elegida de forma predeterminada, la seleccionaremos con la tecla para desplazarnos. Cuando sea correcto, pulsamos la tecla Intro. Lo siguiente que nos pregunta el asistente es si queremos que se borre la base de datos anterior del directorio cuando terminemos la configuración de slapd. Igual que antes, usamos la tecla para elegir No y pulsamos Intro. Como se ha decidido no borrar la base de datos antigua, el asistente preguntará si se cambiara de sitio. Para evitar confusiones entre las dos bases de datos (nueva y antigua), elegiremos la opción Sí y pulsaremos Intro. En algunas redes, con clientes muy antiguos, puede ser necesario mantener la versión 2 del protocolo LDAP. Por ese motivo, antes de terminar, el asistente nos pregunta

queremos permitir el protocolo LDAPv2. En la mayoría de los casos, la respuesta será No. Después de este último paso, se cierra el asistente y volvemos a la consola. Ahora podemos ver en la pantalla que la base de datos antigua se ha guardado en /var/backups y que el resto de la configuración se ha realizado con éxito. Con esto habremos terminado la configuración del servidor LDAP. Ahora está listo para autenticar usuarios. 5.- Crear la estructura del directorio. Una vez configurado el servidor, será necesario configurar la estructura básica del directorio. Es decir, se creara la estructura jerárquica del árbol (DIT – Directory Information Tree). Una de las formas más sencillas de añadir información al directorio es utilizar archivos LDIF (LDAP Data Interchange Format). En realidad, se trata de archivos en texto plano, pero con un formato particular que es necesario conocer poder construirlos correctamente. El formato básico de una entrada es de la siguiente manera: # comentario dn: : : ... A continuación se muestra la explicación del contenido de este archivo: -

Las líneas que comienzan con un carácter # son comentarios. puede ser un tipo de atributo como cn o objectClass, o puede incluir opciones como cn;lang_en_US o userCertificate;binary.

Entre dos entradas consecutivas debe existir siempre una línea en blanco. Si una línea es demasiado larga, será necesario repartir su contenido entre varias, siempre que las líneas de continuación comiencen con un carácter de tabulación o un espacio en blanco. Por ejemplo, las siguientes líneas son equivalentes: dn: uid=jlopez, ou=medio, dc=somebooks, dc=es dn: uid=jlopez, ou=medio, dc=somebooks, dc=es También podemos asignar varios valores a un mismo atributo utilizando varias líneas:

cn: Juan Jose Lopez cn: Juan Lopez

Con esta información en mente, crearemos un archivo que contenga los tipos de objeto básicos del directorio. Comenzaremos por abrir un editor de textos, por ejemplo nano, indicándole el nombre de nuestro archivo: sudo nano ~/base.ldif En este ejemplo se le ha llamado base.ldif, pero, lógicamente, es posible llamarlo como le resulte más apropiado al usuario. Una vez abierto el editor, escribiremos un contenido como este: dn: ou=usuarios,dc=gricelda,dc=local objectClass: organizationalUnit ou: usuarios

dn: ou=grupos,dc=gricelda,dc=local objectClass: organizationalUnit ou: grupos

Lógicamente, en cada lugar donde aparecen los valores dc=gricelda,dc=local deberemos sustituirlos por los valores correctos en cada implementación. Cuando hayamos terminado de escribirlo, sólo nos quedará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el archivo. Deberemos añadir la información a la base de datos OpenLDAP. Como sabemos, esto se hace con el comando ldapadd: sudo ldapadd -x -D cn=admin,dc=gricelda,dc=local -W -f base.ldif Para ejecutar el comando, deberemos escribir la contraseña de administración de LDAP.

6.- Añadir un usuario y un grupo.

El método para añadir nuevos usuarios y grupos al árbol es muy similar a lo visto en el punto anterior, ya que consiste en crear un nuevo archivo ldif y, a continuación, integrarlo en la base de datos con ldapadd. Procedimiento para añadir un usuario: Utilizar el editor nano: sudo nano ~/usuario.ldif Abrimos el editor de textos indicándole el nombre del archivo que vamos a crear. Por supuesto, es posible cambiar el nombre usuario.ldif por el que te resulte más adecuado en su caso. En el área de trabajo del editor, escribiremos un contenido como este: dn: uid=gsaucedo,ou=usuarios,dc=gricelda,dc=local objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: gsaucedo sn: Saucedo givenName: Gricelda cn: Gricelda Saucedo displayName: Gricelda Saucedo uidNumber: 1000 gidNumber: 10000 userPassword: mi_password gecos: Gricelda Saucedo loginShell: /bin/bash homeDirectory: /home/gsaucedo shadowExpire: -1 shadowFlag: 0 shadowWarning: 7

shadowMin: 8 shadowMax: 999999 shadowLastChange: 10877 mail: [email protected] postalCode: 98400 o: gricelda initials: GS

Cuando hayamos terminado de escribirlo, sólo restará pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el archivo. Con esto ya es posible cargar el nuevo usuario en el directorio. Sólo es necesario escribir el siguiente comando: sudo ldapadd usuario.ldif

-x

-D

cn=admin,dc=gricelda,dc=local

-W

-f

Después de escribir la contraseña de administración de LDAP, podremos comprobar que el usuario se ha añadido correctamente.

c) DNS. DNS proviene de Domain Name System que en español significa Sistema de Nombres de Dominio. Un servidor DNS es un sistema que nos permite usar nombres de dominio en lugar de direcciones IP. Su principal ventaja es que para nosotros es mucho más fácil recordar un nombre que una dirección IP. El servidor DNS más utilizado es Bind, a continuación se mostrará el procedimiento de instalación genérico, sin embargo se encuentra basado en Ubuntu 10.04 Server. Los valores que debemos tener claros antes de comenzar son Dirección IP del servidor, nombre del servidor y el dominio que se va a crear, siendo en este ejemplo los siguientes: Dirección IP del servidor: 192.168.2.1 Nombre del servidor: servidor Dominio que vamos a crear: sliceoflinux.lan Estos valores deberemos sustituirlos por los que sean necesarios en cada caso. Los pasos para instalar y configurar Bind en Ubuntu Server son los siguientes:

1.- Actualizar la información de los repositorios con el siguiente comando: sudo aptitude update 2.- Instalar el servidor DNS Bind9: sudo aptitude install bind9 3.- Se realiza una copia de seguridad del archivo que se va a modificar: sudo cp /etc/bind/named.conf.local{,.original} Este comando permite ahorrar mucho tiempo. 4.- Editamos el archivo /etc/bind/named.conf.local con el siguiente comando: sudo nano /etc/bind/named.conf.local Y se añade el siguiente contenido: zone "sliceoflinux.lan" { type master; file "db.sliceoflinux.lan"; }; zone "2.168.192.in-addr.arpa" { type master; file "db.192.168.2"; }; Para guardar el archivo debemos pulsar la combinación de teclas Control+O y para salir Control+X. 5.- Para comprobar la sintaxis de los archivos de configuración ejecutamos el siguiente comando: named-checkconf Si no aparece nada, la sintaxis de los archivos de configuración es correcta. Eso no significa que no haya ningún error, sólo que no hay errores de sintaxis. Si se hubiese cometido un error de sintaxis, nos aparecería indicado junto a la línea en la que ocurre. 6.- Creamos el archivo /var/cache/bind/db.sliceoflinux.lan: sudo nano /var/cache/bind/db.sliceoflinux.lan

E incluimos el siguiente contenido: $ORIGIN sliceoflinux.lan. $TTL 86400 ; 1 dia @

IN

SOA

servidor

1

; serie

6H

; refresco (6 horas)

1H

; reintentos (1 hora)

2W

; expira (2 semanas)

3H

; mínimo (3 horas)

postmaster (

) NS servidor A

servidor 192.168.2.1

El contenido del archivo es bastante especial, aquí es necesario añadir todos los equipos de la red que se desea mantener identificados. 7.- Comprobamos la zona que acabamos de crear (sliceoflinux.lan): named-checkzone /var/cache/bind/db.sliceoflinux.lan

sliceoflinux.lan

En esta ocasión siempre aparecerá una salida, ya sea para indicar que todo está bien (OK) o algún error. 8.- A continuación creamos el archivo /var/cache/bind/db.192.168.2 para la zona inversa: sudo nano /var/cache/bind/db.192.168.2 E incluimos el siguiente contenido: $ORIGIN 2.168.192.in-addr.arpa. $TTL 86400 @

IN

; 1 dia SOA

servidor

1

; serie

6H

; refresco (6 horas)

1H

; reintentos (1 hora)

postmaster (

2W

; expire (2 semanas)

3H

; mínimo (3 horas)

)

1

NS

servidor.sliceoflinux.lan.

PTR

servidor.sliceoflinux.lan.

El número 1 se corresponde con el último dígito de la dirección IP del servidor (192.168.2.1). 9.- Se procede a comprobar la zona inversa recién creada: named-checkzone /var/cache/bind/db.192.168.2

2.168.192.in-addr.arpa

Al igual que antes obtendremos un mensaje para indicarnos tanto si la zona es correcta como si no lo es. 10.- Reiniciamos el servicio: sudo service bind9 restart Si todo va bien, veremos que está OK. 11.- Revisar el log para comprobar que todo ha ido bien. Aunque se puede hacer con el comando tail, es preferible hacerlo con less porque permite ver todo el contenido del mismo: less /var/log/syslog Para salir deberemos pulsar la tecla q. 12.- Editar el archivo /etc/resolv.conf para que el servidor resuelva las peticiones DNS: Sudo nano /etc/resolv.conf Cambiando el primero de los servidores DNS por la IP del nuestro: nameserver 192.168.2.1 nameserver 8.8.8.8 13.- Probar el servidor de nombres: dig sliceoflinux.lan

14.- Probar la resolución inversa: dig -x 192.168.2.1

d) Archivos Locales. A continuación se muestra el procedimiento para configurar el protocolo TCP/IP en un host que se ejecute en modo de archivos locales. 1.- Asuma el rol de administrador principal, o conviértase en superusuario, la función de administrador principal incluye el perfil de administrador principal. 2.- Cambie al directorio /etc. 3.- Compruebe que se haya configurado el nombre de host correcto en el archivo /etc/nodename. Al especificar el nombre de host de un sistema durante la instalación de Oracle Solaris, dicho nombre se especifica en el archivo /etc/nodename. Asegúrese de que la entrada del nombre de nodo sea el nombre de host correcto para el sistema. 4.- Compruebe que exista un archivo /etc/hostname.interfaz para cada interfaz de red del sistema. Para obtener la sintaxis del archivo e información básica sobre el archivo /etc/hostname.interfaz, es necesario que consulte “Aspectos básicos sobre la administración de interfaces físicas”. El programa de instalación de Oracle Solaris requiere la configuración de al menos una interfaz durante la instalación. La primera interfaz que se configura automáticamente se convierte en la interfaz de red principal. El programa de instalación crea un archivo /etc/ hostname. interfaz para la interfaz de red principal y otras interfaces que configure de modo opcional durante la instalación.

Si ha configurado interfaces adicionales durante la instalación, compruebe que cada interfaz tenga un archivo /etc/hostname. interfaz correspondiente. No es necesario configurar más de una interfaz durante la instalación de Oracle Solaris. Sin embargo, si más adelante desea agregar más interfaces al sistema, debe configurarlas manualmente. Para Solaris 10 11/06 y las versiones anteriores, compruebe que las entradas del archivo /etc/inet/ipnodes sean actuales. El programa de instalación de Oracle Solaris 10 crea el archivo /etc/inet/ipnodes. Este archivo contiene el nombre de nodo y las direcciones IPv4, así como la dirección IPv6, si es pertinente, de cada interfaz que se configure durante la instalación.

Utilice el formato siguiente para las entradas del archivo /etc/inet/ipnodes: IP-address node-name nicknames... Los apodos son nombres adicionales por los que se conoce una interfaz. 6.- Compruebe que las entradas del archivo /etc/inet/hosts sean actuales. 7.- Escriba el nombre de dominio completo de host en el archivo /etc/defaultdomain. Por ejemplo, supongamos que el host tenere es parte del dominio deserts.worldwide.com. Por tanto, debería escribir deserts.worldwide.com en /etc/defaultdomain. 8.- Escriba el nombre de enrutador en el archivo /etc/defaultrouter. 9.- Escriba el nombre del enrutador predeterminado y sus direcciones IP en el archivo /etc/inet/hosts. 10.- Agregue la máscara de red para su red, si es preciso: - Si el host obtiene la dirección IP de un servidor DHCP, no es necesario especificar la máscara de red. - Si ha configurado un servidor NIS en la misma red que este cliente, puede agregar información de netmask en la base de datos adecuada del servidor. - Para las demás condiciones, haga lo siguiente: a) Escriba el número de red y la máscara de red en el archivo /etc/inet/netmasks. Use el siguiente formato: network-number netmask Por ejemplo, para el número de red de clase C 192.168.83, escribiría: 192.168.83.0

255.255.255.0

Para las direcciones CIDR, convierta el prefijo de red en la representación decimal con punto equivalente.

b) Cambie el orden de búsqueda de las máscaras de red en /etc/nsswitch.conf, para que se busquen los archivos locales en primer lugar: netmasks:

files nis

11.- Reinicio el sistema.

II.- Con base en la información recabada realiza lo siguiente: • Una descripción sobre las consideraciones generales para establecer un servicio de nombre o directorio.

1.- NIS. Antes de empezar a configurar nada, hay una serie de cuestiones, es decir, realizar un análisis de necesidades y requisitos previo a empezar a instalar y configurar. Serie de puntos a tener en cuenta: Elección del nombre de dominio NIS: Cuando un cliente NIS realiza peticiones, éstas llegan a todas las máquinas (broadcast). Dichas peticiones llevan un campo en donde se indica el nombre de dominio NIS al que está configurado. Esto permitirá el tener varios dominios NIS distintos en una misma red y que los clientes se conecten con el adecuado. Muchas organizaciones deciden utilizar su nombre de dominio de Internet como nombre de dominio NIS; aunque no es muy recomendable ya que genera confusión a la hora de tracear el tráfico de la red en caso de necesitar resolver incidencias de red, realizar estadísticas de uso o querer realizar algún tipo de filtrado de paquetería. Para evitar estas posibles confusiones, lo mejor es que el nombre de dominio NIS sea un nombre único en nuestra red, y procurar que su nombre aporte información acerca del grupo de máquinas que acoge, como puede ser el nombre del departamento en el que se sitúan las máquinas añadidas a dicho sistema. Decir que, en algunos sistemas operativos como SunOS, utilizan como nombres de dominio nombres de Internet. Es una restricción a nivel de Sistema Operativo, con lo cual, si se dispone de máquinas de este tipo, no tendremos que ceñir a dicha restricción.

Restricciones de acceso a usuarios:

Dentro de las máquinas clientes, podemos definir usuarios que no tendrán acceso al dominio, que no nos interese tener en el dominio. Aunque este punto se podría considerar a posteriori, sí es bueno el definir una política de restricción de acceso a NIS desde el comienzo. Evidentemente, de todos los puntos tratados hasta ahora, es el que menor impacto tiene a la hora de cambiar configuraciones, ya que se afecta a usuarios concretos; no como en los casos anteriores, en donde un cambio en el nombre de dominio supone reconfigurar todos sus clientes; o donde cambiar el servidor maestro o montar nuevos esclavos supone una instalación nueva y una serie de pasos y pautas a seguir en función de los procedimientos de la organización. Configuraciones a mantener en los maestros NIS: Puede no interesarnos tener toda la configuración posible en nuestros servidores NIS. Quizás sólo nos interese el tener la configuración de usuarios y grupos, pero no le tener la configuración de colas de impresión, por ejemplo. Es mejor definirlo en los primeros pasos de la implantación para no tener que reconfigurar tanto clientes como servidores NIS. Adecuación de política de backups: Es más que recomendable el tener una copia de backup reciente de nuestros maestros. En caso de tener esclavos, sería fácil recuperar la información mapeada a partir de la copia local de otro de los servidores NIS, pero aún así, es recomendable el tener una copia de seguridad externa al sistema NIS; se podría dar el caso de corrupciones en la configuración y que se extendiera a varios servidores NIS haciendo que la copia que restauremos pueda no ser la correcta. Cada organización definirá este punto en función de su política de backups. Definición de una política de seguridad: Sobra decir lo importante de este punto. La información que contiene NIS es muy sensible (nombre de usuarios, passwords, etc.).

2.- LDAP: Los requisitos previos para instalar LDAP son los siguientes: Exportación del certificado de CA del servidor LDAP La conexión SSL segura con el servidor LDAP requiere el certificado de CA del servidor LDAP, que debe exportar a un archivo codificado en base64. Habilitación de la búsqueda anónima en el directorio LDAP Para realizar la autenticación LDAP utilizando la búsqueda anónima, se deben habilitar éstas en el directorio LDAP. La búsqueda anónima está habilitada por defecto en eDirectory e inhabilitada en Active Directory. Active Directory: el objeto de usuario ANONYMOUS LOGON debe recibir los permisos de lista y los accesos de lectura apropiados para los atributos sAMAccountName y objectclass. En Windows Server 2003 hay que realizar una configuración adicional.

3.- DNS. Antes de iniciar la instalación real, hay algunas cosas a tener en cuenta. En primer lugar, puede que tenga que registrar un nombre de dominio DNS. Si desea que sus nombres de host han de ser resueltos por los clientes en cualquier parte del mundo, necesita un nombre registrado. Si es para uso interno, también puede utilizar un nombre privado que no ha sido registrado. En ese caso, sigue siendo una buena idea utilizar un nombre que no sea utilizado por alguien más, pero usar uno que sea claramente reconocible como un nombre local de sólo DNS, como example.local. Incluso si el nombre de dominio que desea utilizar está disponible sólo a nivel interno, puede conectar el servidor DNS a la jerarquía DNS en todo el mundo. Eso significa que su servidor DNS interno puede salir y resolver nombres de Internet. De forma predeterminada, un servidor DNS que no es capaz de resolver un nombre por sí mismo contactará con un servidor de nombres del dominio (DNS) raíz o utilizara un promotor para obtener externamente la información de resolución del nombre. A continuación, el servidor DNS pondrá en caché la información que ha encontrado para rápidamente entregar la información requerida hacia una etapa posterior.

A raíz de la decisión sobre el nombre de dominio, es necesario pensar en el tipo de servicios de DNS que desea ofrecer. En el enfoque más simple, se puede instalar un servidor de nombre DNS sólo de caché. Este es un servidor DNS que no tiene una base de datos con registros de recursos por sí mismo, pero obtendrá todo, desde los servidores de nombres externos. La ventaja de implementar un servidor de nombres de sólo memoria caché es la velocidad, todo lo que se almacena en caché local no necesita ser traído desde Internet. Como alternativa, puede ejecutar un servidor maestro y, opcionalmente, uno o más servidores esclavos de nombres DNS. Cada dominio necesita al menos un servidor de nombres maestro, que coordina los cambios de registros de recursos. Para fines de redundancia y disponibilidad, un maestro puede ser soportado por uno o más esclavos de modo que en caso de que caiga el maestro, los esclavos están todavía disponibles para servir a los registros de recursos a partir de la base de datos de DNS. A continuación, debe decidir si desea usar el DNS dinámico también. En DNS dinámico, el servidor DHCP sincroniza su información con DNS. De esta manera, usted puede asegurarse que una serie que se ha hecho de una nueva dirección IP tendrá su información actualizada en DNS también. La última decisión a tomar es la seguridad. Si un servidor maestro de nombres DNS actualiza la base de datos en un servidor de nombres esclavo, es bueno estar seguro de que es el maestro el que está impulsando los cambios. Para garantizar la autenticidad del otro host en las actualizaciones de DNS, pueden usarse las claves de firma de transacción. Como administrador, debe asegurarse de que estas teclas se configuran y están disponibles en todos los hosts que participan en la comunicación DNS.

4.- Archivos locales. Antes de configurar el protocolo TCP/IP, es necesario que se completen las tareas que se enumeran a continuación: 1. Diseñar la topología de red. 2. Obtener un número de red del proveedor de servicios de Internet (ISP) o el Registro Regional de Internet (RIR).

3. Planificar el esquema de direcciones IPv4 para la red. Si es preciso, incluir las direcciones de subred. 4. Ensamblar el hardware de red en función de la topología de red. Verificar que el hardware funcione correctamente. 5. Asignar direcciones IPv4 y nombres de host a todos los sistemas de la red. 6. Ejecutar el software de configuración que necesitan los enrutadores e interfaces de red, si es preciso. 7. Determinar qué servicio de nombres o directorios utiliza la red: NIS, LDAP, DNS o archivos locales. 8. Seleccionar nombres de dominio para la red, si es preciso. • En la implementación de una red ¿cuáles crees que sean los dispositivos que deben ser empleados para que una red sea segura? 1.- Al implementar un NIS se debe considerar el alto nivel de dependencia que llegan a tener los clientes respecto del servidor de NIS. Si el cliente no puede contactar con el servidor NIS normalmente la máquina se queda en un estado totalmente inutilizable. La carencia de información de usuarios y grupos provoca que las máquinas se bloqueen. Con esto en mente debemos asegurarnos de escoger un servidor de NIS que no se reinicie de forma habitual o uno que no se utilice para desarrollar. Si se dispone de una red con poca carga puede resultar aceptable colocar el servidor de NIS en una máquina donde se ejecuten otros servicios pero en todo momento se debe tener presente que si por cualquier motivo el servidor de NIS quedara inutilizable afectaría a todas las máquinas de forma negativa. 2.- Existen una serie de mínimos a tener en cuenta a la hora de montar un servidor NIS ya que va a ser un servidor al que accedan todos los clientes del dominio y que dependen de él para poder loguear usuarios, cargar profiles, y demás configuraciones incluidas en dicho servidor; por lo que se necesitará una máquina con cierta capacidad para soportar el cúmulo de peticiones. Debemos barajar dos posibilidades: Si disponemos de máquinas que puedan actuar como servidores esclavos, plantearnos la posibilidad de montar una serie de servidores esclavo. Esta decisión no debe estar condicionada sólo por la duplicidad del servicio NIS, sino también se debe aprovechar

esta circunstancia para ver la posibilidad del reparto de carga entre varios servidores NIS (maestro y esclavos); algo que nos hará reducir tiempos de respuesta y el tener la información replicada en varias máquinas, soportando caídas de servidores NIS.

Si no se dispone máquinas que puedan actuar como servidores esclavos, se tendrá que montar el maestro en una máquina estable, y definir una serie de políticas de actualización y actuación en la máquina, para que cada intervención a realizar en ella, se afecte lo menos posible a producción. También es recomendable el intentar descargar a dicha máquina de dar otros servicios, en la medida de lo posible, para evitar que sea un proceso ajeno al sistema NIS el que haga que se den problemas en la máquina. 3.- Routers de red. Mediante un enfoque de sistemas, los routers de red que ofrecen servicios integrados permiten a las empresas traspasar la responsabilidad de la seguridad y la confiabilidad desde las computadoras y los usuarios individuales a la red en sí. Esto ayuda a proteger a las empresas contra el ingreso de virus, código malicioso y otras infecciones que las computadoras portátiles de los usuarios finales pueden adquirir inadvertidamente. 4.- Access Point. Proporciona una máxima seguridad inalámbrica soportando autenticación de usuarios para servidores externos y, gracias a su servidor interno, el access point puede ser usado como servidor de autenticación en redes pequeñas. Otras características de seguridad incluidas en este equipo son el filtrado de direcciones MAC, desactivación del broadcast del SSID y soporte para los últimos mecanismos de encriptación inalámbricos. • ¿Cómo determinarías las condiciones de implementación en el diseño de una red segura? Es necesario hacer un análisis de la empresa, según el giro de la empresa identificaremos que riesgos son más altos y de esta manera definir una buena estrategia para descartar los riesgos con mayor posibilidad de ser violentados. Debemos identificar que necesitamos cuidar más, algunos aspectos importantes a considerar serían los siguientes riesgos: -

La confidencialidad.

-

La integridad.

-

La autenticidad.

-

No-repudio.

-

La disponibilidad de los recursos y de la información.

-

Consistencia.

-

Control de acceso a los recursos.

-

Auditoría.

Para hacer un análisis de riesgos es recomendable utilizar una formula como la siguiente: WRi = Ri *Wi Donde: WRi: es el peso del riesgo del recurso “i” (también lo podemos llamar ponderación) Ri: es el riesgo del recurso “i” Wi: es la importancia del recurso “i” En este análisis es necesario considerar los siguientes recursos para asignarles un valor de riesgo o de amenaza: -

Hardware.

-

Software.

-

Datos.

-

Gente

-

Documentación.

-

Accesorios.

Así que depende del resultado de un análisis de riesgos el conocer cuáles son las vulnerabilidades de la empresa, entonces estaremos en condiciones de definir que dispositivos usar en la red, la manera de configurarlos y que servicio de nombre o directorio usar o configurar archivos locales.

II.- La conclusión explica detalladamente cuál es la función de cada uno de los criterios en el aseguramiento de dispositivos. En la actualidad es muy cómodo crear una red WLAN en nuestro hogar o negocio, debido a la gran cantidad de dispositivos móviles con los que se cuenta hoy en día, sin embargo se debe tener mucha precaución al momento de configurar los dispositivos de la red, por ejemplo no se necesita ser un hacker para irrumpir en las redes, incluso en la actualidad se comercializan routers en el mercado, que pueden hackear y conectarse a cualquier red que use el método de seguridad WEP. Sin embargo una de las medidas que podemos utilizar es configurar el router al método de seguridad WPA2, cambiar la contraseña predeterminada, cambiar el identificador de red (SSID) predeterminado, usar puntos de acceso y configurar el firewall de Windows.

Referencia Bibliográfica Curso de UNIX, Lección 16: NIS. Recuperado el 04 de Octubre de 2014 de http://www.uprm.edu/luis/courses/unix/leccion16.html Instalar y configurar OpenLDAP en el servidor Ubuntu. Recuperado el 04 de Octubre de 2014 de http://somebooks.es/?p=3445 Instalar y configurar un servidor DNS con Ubuntu Server paso a paso. Recuperado el 05 de Octubre de 2014 de http://sliceoflinux.wordpress.com/2010/04/21/instalar-y-configurarun-servidor-dns-con-ubuntu-server-paso-a-paso/ Guía de administración del sistema: servicios IP. Recuperado el 05 de Octubre de 2014 de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-64/index.html NIS/YP. Recuperado el 05 de Octubre de 2014 de https://www.freebsd.org/doc/es/books/ handbook/network-nis.html NIS consideraciones previas. Recuperado el 05 de Octubre de 2014 de http://techdefs.es/ nis-consideraciones-previas/ Consejos para configurar el servidor DNS en Empresas con RHEL. Recuperado el 05 de Octubre de 2014 de http://searchdatacenter.techtarget.com/es/consejo/Consejos-paraconfigurar-el-servidor-DNS-en-Empresas-con-RHEL Guía de administración del sistema: servicios IP. Recuperado el 05 de Octubre de 2014 de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-2a/index.html Routers de red. Recuperado el 05 de Octubre http://www.cisco.com/web/LA/soluciones/la/network_routers/index.html

de

2014

Como proteger e impedir que puedan hackear y robar una conexión Wi-Fi a internet. Recuperado el 05 de Octubre de 2014 de http://norfipc.com/articulos/como-protegerimpedir-puedan-hackear-robar-conexion-internet.html

de