Universidad Nacional Abierta Y A DistanciaEscuela De Ciencias Básicas Tecnología E Ingeniería

302070 Redes Locales AvanzadasActividad No. 10:

Trabajo colaborativo 2Presentado Por:

Daniel Fernando Cordero BayonaGrupo 34

Tutor:Daniel Andrés Guzmán

28 de abril de 2014

ColombiaIntroducciónEn el presente trabajo se muestra una serie de ejercicios de desarrollo e investigación de los temas relevantes al curso Redes Locales Avanzadas de la UNAD.Se inicia con un cuadro comparativo de los sistemas operativos de red en donde se exponen sus características generales, se miran las tecnologías que soportan y los dominios que manejan.Se trabaja también un plan de auditoría en uno de los sistemas operativos mas populares del mercado y se hace un ejercicio de verificación de los eventos del dominio, también se mira que proveedores de almacenaje de copias de seguridad están disponibles y qué técnicas existen para su guardado. 

Objetivos Identificar los sistemas operativos de red disponibles en el mercado. Identificar los servicios de dominios existentes para la implementar

dominios de computadoras. Identificar las técnicas comunes de auditoría en un sistema operativo

de red. Identificar proveedores y procesos de guarda de copias de seguridad. 

Cuadro comparativo entre grupos de trabajo y dominios de los sistemas operativos de Red 

Sistemas operativos de red libres

Ubuntu server1 Zentyal2 NetBSD3

Ubuntu tiene una versión para servidores que usa los mismos repositorios de software que la versión de escritorio. Se caracteriza por la ausencia del servidor gráfico X aunque es posible instalarlo junto con un entorno de escritorio como GNOME o XFCE.la versión de servidores usa para su instalación y uso una interfaz de texto en forma de terminal. Soporta núcleos x86, ia32, x64 y ARM. Se puede utilizar en diferentes entornos de virtualización en

Zentyal es una plataforma conocida como EBOX que se puede agregar a los servidores LINUX, esta especialmente diseñado para pequeñas y medianas empresas que puede funcionar como una alternativa a Windows server. El servidor puede funcionar como gateway, servidor de infraestructura, detector de amenazas, servidor de comunicaciones o una mezcla de ellos. Esta disponible para instalarlo en Ubuntu como un

Es un sistema operativo semejante a UNIX derivado del sistema BSD de Berkeley. se caracteriza por su estabilidad y buen diseño. Debido a su licencia se usa comúnmente en productos embebidos, puede usar la mayoría del software compatible con LINUX.

diferentes arquitecturas. Por defecto activa herramientas de seguridad mejoradas como APPARMOR y activa el cortafuegos a servicios normales del sistema, puede encriptar directorios de datos de diferentes aplicaciones como bases de datos y servidores de aplicaciones de acuerdo a los parámetros de personalización

paquete o como una distribución independiente.

Sistemas operativos de red privativos 

IOS de cisco4 Windows server5 Mac OSX server6

Conocido como sistema operativo de Internet, es un sistema operativo propiedad de cisco que se usa en la mayoría de sus

Es un sistema operativo de red producido por Microsoft, construido en el kernel 6.1, incluye funciones

Es un sistema operativo tipo UNIX producido por la empresa Apple que usa la misma arquitectura de

productos como routers y switches, sus funciones principales corresponden a enrutamiento, encaminado, y telecomunicaciones integradas en un único sistema.

de virtualización, de dominios, directorios y características de administración y servicios web avanzados.

OSX de escritorio, tiene múltiples herramientas de administración a partir de la versión 10.7 se unifico la versión escritorio y la de servidor dejando las herramientas de servidor como un agregado descargable. soporta la mayoría de servicios de red e incluye herramientas administrativas muy fáciles de usar.

Servicios de dominios

Las tecnologías disponibles para los sistemas operativos tratados en el punto anterior son funcionan usando el protocolo LDAP o interaccionando con el y agregando sus propias herramientas de administración. Para el caso del sistema operativo IOS de Cisco se usa una implementación del estándar haciendo el dispositivo parte del dominio de red. A continuación se muestran los principales software disponibles para los diferentes sistemas operativos.Linux y derivados:Kerberos7: Es un protocolo de autenticación en redes de computadoras que se sirve de “tickets” para permitir la comunicación segura en una red insegura de forma privada. Está orientado principalmente al modelo

cliente-servidor y provee autenticación mutua entre cliente y servidor permitiendo a ambas partes confirmar la identidad de la otra parte, sus mensajes están protegidos para evitar el espionaje y ataques de repetición de paquetes. Se basa en la criptografía de clave simétrica y requiere de un tercero confiable, y opcionalmente puede usar criptografía de clave pública en ciertas fases del proceso de autenticación. Usa el puerto UDP 88 por defecto.Samba8: Es un software libre que hace una re-implementación del protocolo SMB/CIFS. En su versión 3 provee servicios de archivo e impresión a múltiples clientes Windows y puede integrarse como un controlador de dominio de ese sistema operativo, como controlador primario (PDC) o como miembro del dominio, también puede usarse junto a Active directory.389 Directory server9: Es un servidor LDAP desarrollador por Red Hat como parte del proyecto Fedora. Usa el puerto 389 para la comunicación y es compatible con la gran mayoría de los sistemas que usan binarios compatibles con UNIX.Windows:Active directory: Es un servicio implementado por Microsoft para las redes de dominio Windows, y viene incluido en la gran mayoría de sus sistemas operativos de servidor como un conjunto de herramientas y procesos. Un controlador de dominio autentica y autoriza los usuarios y computadoras en la red y asigna e implementa políticas de seguridad que afectan múltiples comportamientos del sistema. Usa una implementación del protocolo LDAP, Kerberos y DNS.Mac:Open directory server: Es la implementación del servicio LDAP versión 3 hecha por Apple, que adicionalmente permite la administración de los usuarios y recursos de la red permitiendo la administración de la red. Se deriva del proyecto software libre OpenLDAPPlan de auditoría y desarrollo con herramientas administrativas10

 

En este plan de auditoría se realizará la configuración del registro de acceso a objetos mediante auditoría conociendo los usuarios involucrados y la fecha de los eventos.

El objetivo del registro es poder hacer un seguimiento de la seguridad de la red, para poder saber cuando un usuario usa una contraseña incorrecta, usando los registros del sistema operativo y del dominio, casos como son las denegaciones de acceso.Para este caso se va a usar Windows server 2008 r2, se da por hecho que la instalación se ha hecho en idioma inglés.Para habilitar la opción de auditoría, se debe editar las políticas del dominio, para ello se ejecuta la consola Group Policy Object Editor, se expande el árbol de la siguiente manera: Default Domain Policy, computer Configuration, Windows Settings, Security Settings, Local Policy, Audit Policy. En el panel de la derecha se observa el componenteAudit object access deshabilitado, se hace doble clic en el y se selecciona Success yFailure como se observa a continuación.

 

Para aplicar la política se usa el siguiente comando: gpupdate /force con lo que se empieza a auditar los eventos, aunque se puede personalizar los registros que recoge para incluir logs de varios equipos o dominios, los accesos al servicio de directorio, etc.

Para visualizar las políticas de un ordenador se abre la consola de administración y se sigue la ruta Computer Configuration, Windows Settings, Local Policies, Audit Policy.

 

Por defecto vienen seleccionadas ciertas políticas de auditoría, estos registros no son tan abundantes como para entorpecer el trabajo, sino que a medida que aumenta el tamaño del dominio se incrementará la cantidad de registros.Los traumas en la administración usualmente se presentan cuando se activan muchas directivas de auditoría que no son realmente relevantes, por lo que se hace complicado leerlos y encontrar información relevante.En Windows server vienen por defecto definidas las siguientes políticas por ser las mas usadas, aunque no se han definido sus parámetros de configuración:Para verificar los trabajos de auditoría se puede ejecutar el comando auditpol.exe que muestra la configuración.Este comando muestra información y realiza funciones para manipular las políticas de auditoría. La directiva de auditoría de línea de comandos se puede utilizar para:

Asignación y búsqueda de una política de auditoría del sistema. Asignación y búsqueda de una política de auditoría para cada usuario. Asignación y búsqueda de las opciones de auditoria. Asignación y búsqueda del descriptor de seguridad utilizado para

delegar el acceso a una directiva de auditoría. Generar un informe o una copia de seguridad una política de auditoría

a un valor separados por comas (CSV) archivo de texto. Cargar una directiva de auditoría de un archivo de texto CSV. Configurar las SACL de recursos globales.Si se ejecuta el comando auditpol.exe /get /Category:* en un controlador de dominio se observa lo siguiente:

https://dns00.files.wordpress.com/2014/12/555780.png

 

Las categorías de nivel superior, como inicio de sesión de cuenta (Account Logon) y el acceso a objetos (Object Access), están presentes. Están las subcategorías, con las cuales se tiene una mayor granularidad para administrar la auditoria.Por ejemplo, se trata de solucionar un problema de replicación y se quiere permitir alguna auditoría para ver lo que esta sucediendo, en lugar de habilitar toda la categoría DS Access, tenemos la posibilidad de habilitar únicamente la subcategoría Directory Service Replication. Con esto podremos ver varios eventos específicos de replicación, como son:

Un ejemplo del evento 4932 en Windows server es similar al siguiente:Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 07/29/2011 2:00:13 PM Event ID: 4932 Task Category: Directory Service Replication Level: Information Keywords: Audit Success User: N/A Computer: srvdc.rad.com.ar Description: Synchronization of a replica of an Active Directory naming context has begun. Destination DRA: CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rad,DC=com,DC=ar Source DRA: CN=NTDS Settings,CN=SRVDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rad,DC=com,DC=ar Naming Context: DC=ForestDnsZones,DC=rad,DC=com,DC=ar Options: 19 Session ID: 46 Start USN: 16449

La ventaja de hacer las cosas de esta manera es que nos permite ser mucho más específicos a la hora de hacer la auditoría, y vamos a ser

capaces de establecer una auditoría mucho más significativa de la red, generando menos ruido en los registros de los eventos.Como se vio anteriormente, la auditoría se puede gestionar usando auditpol.exe. Todavía se puede administrar centralmente las políticas de auditoría, aunque a través de scripts.La razón principal de que las políticas sólo administran las categorías de nivel superior es la compatibilidad hacia atrás, con versiones mas antiguas de Windows. Tanto Windows 2003 como XP, no entienden las subcategorías de auditoría granular, y las extensiones de seguridad del lado del cliente, por lo tanto el motor que lee las políticas y las implementa no sabe qué hacer con una política que contenga estos valores. Esto es por diseño; con lo cual no hay mucho que se pueda hacer.El comando wevtutil, permite recuperar información sobre los registros de sucesos y las auditorías, instalar y desinstalar eventos manifiestos, ejecutar consultas, exportar, archivar y vaciar/eliminar los logs.

 

El comando a ejecutar será: wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true >c:\EventosAuditoria.txt

Con este ejemplo se guarda en el archivo EventosAuditoria.txt ubicado en c:\ el detalle de este archivo es algo similar a lo siguiente:name: Microsoft-Windows-Security-Auditing guid: 54849625-5478-4994-a5ba-3e3b0328c30d helpLink: http://go.microsoft.com/fwlink/events.asp?CoName=Microsoft%20Corporation&ProdName=Microsoft%c2%ae%20Windows%c2%ae%20Operating%20System&ProdVer=6.1.7600.16385&FileName=adtschema.dll&FileVer=6.1.7600.16385 resourceFileName: C:\Windows\system32\adtschema.dll parameterFileName: C:\Windows\system32\msobjs.dll messageFileName: C:\Windows\system32\adtschema.dll message: Microsoft Windows security auditing. channels:   channel:     name: Security     id: 10     flags: 1     message: Security levels:   level:     name: win:Informational     value: 4     message: Information opcodes:   opcode:     name: win:Info     value: 0       task: 0       opcode: 0     message: Info tasks:   task:     name: SE_ADT_SYSTEM_SECURITYSTATECHANGE     value: 12288     eventGUID: 00000000-0000-0000-0000-000000000000     message: Security State Change   task:     name: SE_ADT_SYSTEM_SECURITYSUBSYSTEMEXTENSION     value: 12289     eventGUID: 00000000-0000-0000-0000-000000000000

    message: Security System Extension   task:     name: SE_ADT_SYSTEM_INTEGRITY     value: 12290     eventGUID: 00000000-0000-0000-0000-000000000000     message: System Integrity   task:     name: SE_ADT_SYSTEM_IPSECDRIVEREVENTS     value: 12291     eventGUID: 00000000-0000-0000-0000-000000000000     message: IPsec Driver   task:     name: SE_ADT_SYSTEM_OTHERS     value: 12292     eventGUID: 00000000-0000-0000-0000-000000000000     message: Other System Events

Con esta serie de herramientas se puede lograr que el trabajo del servidor sea monitoreado.Entidades de guarda de copia de seguridadEntre las entidades que prestan el servicio de custodia de copias de seguridad disponibles en el mercado se tienen tres muy importantes: 

Symantec: Esta empresa mediante un software hace copias de seguridad en un servidor remoto en la nube.https://www.symantec.com/products/data-copia de seguridad-software 

Goalsecure: Esta empresa mediante un software hace copias de seguridad en un servidor remoto en la nube.(http://www.goalsecure.com)Brinks seguridad: Esta empresa tiene el servicio de cajas de seguridad en las que se pueden almacenar los medios que guardan la información de respaldo de la empresa.http://www.brinkspanama.com/Container2.aspx?id=12Importancia de las copias de seguridad y realización11

 

Para la mayoría de las empresas su activo más importante es la información.Hoy en día todo depende de la información guardada en los ordenadores. Una vez pérdida ésta información es casi imposible volver a recuperarlo todo. Desastres naturales, robos, incendios, inundaciones, fallos informáticos pueden ser algunas de las causas. Por eso es tan importante hacer copias de seguridad. Existen varios métodos para realizar copias de seguridad.Una simple copia manual requiere mover información a un CD, DVD o dispositivo de almacenamiento. Esta es una opción aceptable para alguien que tiene un portátil fuera de la oficina continuamente. Lo mejor de ésta opción es que la copia la tenemos siempre a mano pero por otro lado tiene todos los inconvenientes arriba mencionados además de sufrir una degradación del soporte.Hacer copias de seguridad a un segundo disco duro es otra solución muy recomendable, rápida y de alta capacidad. Pero también ésta opción sigue teniendo todos los problemas ya mencionadosUna tercera opción es hacer copias de seguridad remotas o copia de seguridad en línea. Este método cada vez tiene más seguidores por que es a manera más segura de mantener toda nuestra información a salvo. Los datos son transferidos a servidores remotos. Este método asegura que en caso de cualquier tipo de desastre, toda la información de vital importancia está a salvo en otro lugar. Las copias de seguridad remotas son seguras, económicas y cómodas.Es importante tener en cuenta varios factores a la hora de elegir un método para hacer nuestras copias de seguridad: Las copias de seguridad se deben hacer en todos los ordenadores de

la empresa. El método de copia de seguridad debe funcionar de manera continua

y automática. La información debe mantenerse siempre en lugar seguro y de

manera privada. Los datos deberían guardarse por duplicado para una mayor

seguridad.Hay que tener en cuenta que no todas las empresas ofrecen un servicio de copia de seguridad para sus cuentas de correo electrónico. Muchas

veces guardamos información vital en los mensajes que no hemos copiado en ningún otro sitio. Es muy importante hacer copias de los mensajes de correo.Los datos guardados en nuestros ordenadores son el resultado de mucho esfuerzo y trabajo llevado a cabo durante mucho tiempo. Un pequeño fallo, siempre inesperado, puede destruir el esfuerzo de años de trabajo en un sólo instante. Es por ello que una buena estrategia de copias de seguridad se ha impuesto como un factor crucial en ésta era informática. 

ConclusionesEs muy importante para un analista conocer la variedad de sistemas operativos de red disponibles para su uso en las organizaciones y las diferentes herramientas y mecanismos y servicios que ofrecen.La implementación de dominios de computadoras en las redes es una herramienta esencial para la administración, su uso y las herramientas de gestión que ofrecen permiten monitorear y describir los procesos y situaciones que suceden en las autenticaciones de acceso a recursos.Es muy importante para un analista o administrador de redes conocer el funcionamiento y manejo de las herramientas que ofrecen los diferentes sistemas operativos y su uso para fines de auditoría con el objetivo de conocer la red y prever las situaciones que puedan o generen problemas.Conocer las diferentes técnicas de copia de seguridad y las soluciones que ofrece el mercado junto a su funcionamiento se convierte en una parte esencial deReferentes / BibliografíaMódulo Redes Locales Avanzado. Augusto David, Mardelia Padilla. UNAD. 2007.Campus13 2014-1 – Curso: Redes Locales Avanzado. UNAD. Colombia. Consultado el 28 de Marzo de 2014, en la página web:http://66.165.175.211/campus13_20141/course/view.php?id=83“OpenDirectory Release Notes at developer.apple.com”. Consultado el 2010-04-21.http://developer.apple.com/mac/library/releasenotes/OpenDirectory/OpenDirectoryRefUpdate/Introduction/Introduction.html

“Directory Services source code at http://www.opensource.apple.com”. Consultado el 2009-09-02. http://www.opensource.apple.com/source/DirectoryService/DirectoryService-621/“Mac OS X Server: Open Directory Administration, page 40”. Archived from the original on 2007-03-15. Consultado el 2007-06-07.http://web.archive.org/web/20070315112121/http://images.apple.com/server/pdfs/Open_Directory_v10.4.pdf“Directory System Agent”. MSDN Library. Microsoft. Consultado el 23 April 2014.http://msdn.microsoft.com/en-us/library/ms675902%28v=vs.85%29.aspxSolomon, David A.; Russinovich, Mark (2005). “13”. (4 ed.). Redmond, Washington: Microsoft Press. p. 840. ISBN 0-7356-1917-4.“Active Directory on a Windows Server 2003 Network”. Active Directory Collection. Microsoft. 13 March 2003. Consultado el 25 December 2010.http://technet.microsoft.com/en-us/library/cc780036(WS.10).aspx#w2k3tr_ad_over_qbjd“10 years of Samba”. Consultado el 2011-08-12.https://www.samba.org/samba/docs/10years.html“A bit of history and a bit of fun”. 1997-06-27. Consultado el 2009-05-28.http://www.rxn.com/services/faq/smb/samba.history.txt“Novell Inc’s Comment to the Proposed Settlement between Microsoft and the Department of Justice, pusuant to the Tunney Act”. Civil Action No. 98-1232 (CKK): United States of America v. Microsoft Corporation. Department of Justice. 29 January 2002. Consultado el 15 August 2012. http://www.usdoj.gov/atr/cases/ms_tuncom/major/mtc-00029523.htmBryant, Bill (February 1988). “Designing an Authentication System: A Dialogue in Four Scenes”. Humorous play concerning how the design of Kerberos evolved. MIT.http://web.mit.edu/kerberos/www/dialogue.htmlHornstein, Ken (18 August 2000). “Kerberos FAQ, v2.0”. Secretary of Navy. Archived from the original on 21 May 2006. Consultado el 15 August 2012.http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html

La Importancia De Hacer Copias De Seguridad En Las Empresas. Consultado el 15 August 2012. http://www.prlog.org/10382535-la-importancia-de-hacer-copias-de-seguridad-en-las-empresas.htmlWindows Server Backup Software. Consultado el 15 August 2012.https://www.symantec.com/products/data-backup-softwareBrink´s Panamá. Consultado el 15 August 2012. Consultado el 15 August 2012 dehttp://www.brinkspanama.com/Container2.aspx?id=12RaDians.com.ar » Auditoria en Windows Server 2008 con los auditpol.exe y wevtutil.exe:. Consultado el 15 August 2012. de http://www.radians.com.ar/blog/?p=13971 http://en.wikipedia.org/wiki/Ubuntu_%28operating_system

%29#Ubuntu_Server

2 http://en.wikipedia.org/wiki/Zentyal

3 http://en.wikipedia.org/wiki/Netbsd

4 http://en.wikipedia.org/wiki/Cisco_IOS

5 http://en.wikipedia.org/wiki/Windows_Server_2008_R2

6 http://en.wikipedia.org/wiki/Osx_server

7 https://en.wikipedia.org/wiki/Kerberos_%28protocol%29

8 https://en.wikipedia.org/wiki/Samba_%28software%29

9 https://en.wikipedia.org/wiki/389_directory_server

10 http://www.radians.com.ar/blog/?p=1397

11 http://www.prlog.org/10382535-la-importancia-de-hacer-copias-de-seguridad-en-

las-empresas.html