Administracin de Sistemas Operativos de Red 2 CARRERAS PROFESIONALESCIBERTEC SI STEMASOPERATI VOSLABORATORI O 3 CIBERTECCARRERAS PROFESIONALESNDICE Presentacin5 Red de contenidos6 Unidad de aprendizaje 1 Implementacin del servicio FTP y RRAS TEMA 1:Servicio FTP7 TEMA 2:Servicio RRAS15 TEMA 3:Traduccin de Direccin de Red 31 Unidad de aprendizaje 2 Redes Virtuales Privadas TEMA 4:Redes Virtuales Privadas37 Unidad de aprendizaje 3 Suite IPSec TEMA 5:IPSec57 Unidad de aprendizaje 4 Fundamentos de Seguridad de Red TEMA 6:Implementacin de seguridad con GPOAccelerator100 TEMA 7:Implementacin de Microsoft Baseline Security Analyzer 112 TEMA 8:Asegurando los servidores Web120 TEMA 9:Administracin de Windows Server Update Service147 Unidad de aprendizaje 5 Terminal Server TEMA 10:Terminal Server178 Unidad de aprendizaje 6 Administracin Avanzada del Directorio Activo TEMA 11:ServidorRODC184 TEMA 12:Introduccin a Windows Server Core195 4 CARRERAS PROFESIONALESCIBERTECSI STEMASOPERATI VOSLABORATORI O 5 CIBERTECCARRERAS PROFESIONALES PRESENTACIN Sistemas Operativos es un curso que pertenece a la lnea de infraestructura TI y sedictaenlascarrerasdeRedesyComunicaciones.Brindaunconjuntode conocimientostericosyprcticosquepermitealosalumnosadministrarla plataforma Windows Server 2008. Elmanualparaelcursohasidodiseadobajolamodalidaddeunidadesde aprendizaje, las que se desarrollan durante semanas determinadas. En cada una de ellas, hallar los logros, que debe alcanzar al final de la unidad; el tema tratado, el cual ser ampliamente desarrollado; y los contenidos, que debe desarrollar, es decir, los subtemas. Por ltimo, encontrar las actividades que deber desarrollar en cada sesin, que le permitirn reforzar lo aprendido en la clase. El curso es, eminentemente, prctico: construido como un instrumento de trabajo. Porello,laparticipacinactivadelosalumnosesfundamentalduranteel desarrollodeestecurso,afindeobtenerlaexperiencia,prcticaysuficiencia tericaquesenecesitaparauneficientedesenvolvimientoprofesional.Porlo mismo,contarconelapoyoyguadelprofesor,quienloacompaarenel desarrollo del presente manual. 6 CARRERAS PROFESIONALESCIBERTECRED DE CONTENIDOS Sistemas Operativos Implementacin del Servicio FTP y RRAS Servicio FTP NAT Redes Privadas Virtuales IPSec Sistemas Operativos Implementacin de Seguridad GPOAccelerator Implementacin de MBSA Asegurando Servidores Web Terminal Server Servidor RODC Servidor Core Acceso Remoto y Seguridad de la Red Proteger el Trfico de Red mediante IPSec Fundamentos de Seguridad de Red Terminal ServerAdministracin Avanzada del Directorio Activo Servicio RRAS Administracin de WSUS SI STEMASOPERATI VOSLABORATORI O 7 CIBERTECCARRERAS PROFESIONALES IMPLEMENTACIN DEL SERVICIO FTP Y RRAS LOGRO DE LA UNIDAD DE APRENDIZAJE Altrminodelaunidad,losalumnos,podrnimplementaryconfigurarlos Servicios FTP y RRAS usando elServidor Windows 2008. Altrminodelaunidad,losalumnos,podrntransferirarchivos,implementarruteo dentro de la red, y brindar acceso a Internet usando elServidor Windows 2008. TEMARIO Servicio FTP Servicio RRAS Traduccin de Direcciones de Red

ACTIVIDADES PROPUESTAS Los alumnos: Eligen que tipo de servidor FTP deben implementar en la red. Configuran el Servidor FTP annimo y autentificado. Descargan archivos desde el Servidor SFTP usando clientes FTPs. UNIDAD DE APRENDIZAJE 1 TEMA 1 8 CARRERAS PROFESIONALESCIBERTEC 1.SERVICIO FTP 1.1 WINDOWS 2008 FTP SERVER Este servidor FTP trabaja usando el protocolo FTP, que forma parte del pila TCP/IP,diseadoparatransferirarchivosentredoscomputadoresen Internet.AmboscomputadoresdebensoportarsusrespectivosrolesFTP: uno debe ser el cliente FTP y el otro debe ser un servidor FTP. Los archivos se almacenan en el servidor FTP, que ejecuta el servicio FTP. LosequiposremotossepuedenconectarutilizandoelclienteFTPyleer archivosdelservidorFTP,copiaroenviararchivosalservidorFTP.Un servidor FTP se asemeja a un servidor HTTP (es decir, un servidor Web) en quesepuedecomunicarconlmedianteunprotocolodeInternet.Sin embargo,unservidorFTPnoejecutalaspginasWeb;sloenvayrecibe los archivos a los equipos remotos. Puede configurar Internet Information Services (IIS) para funcionar como un servidor FTP. Esto permite a otros equipos conectarse al servidor y transferir archivosdesdeohaciaelservidorFTP.Porejemplo,puedeconfigurarIIS paraqueactecomounservidorFTPsiestalojandositiosWebenel equipo y desea que usuarios remotos puedan actualizar el contenido de sus Sitios Webs. 1.2 TIPOS DE ACCESO AL SERVIDOR FTP 1.2.1 Servidor FTP annimo LosServidoresFTPannimoslepermitenalusuarioingresaralservidor FTPsintenerunacuentacreadaenelservidor,nicontraseaquelo identifiquen. Usualmente,elnombredeusuarioparaconectarsedeformaannimaes "anonymous". LosservidoresFTPannimosofrecensusservicios,deformalibre,a cualquierusuario,sinnecesidaddeunacuentadeusuario.Esunaforma cmoda de que mltiples usuarios puedan acceder a los archivos del FTP, sin que el administrador deba crear cuentas para cada uno. Engeneral,entraraunservidorFTPdeformaannimatieneciertas limitaciones(menosprivilegios)queunusuarionormal.Porejemplo,slo se pueden descargar archivos, y no se puede subir o modificar stos. 1.2.2 Servidor FTP autenticado. El FTP Autenticado se utiliza para transferir archivos al servidor FTP, enviar y recibir archivos hacia el servidor para luego, hacerlos pblicos o privados. Por ejemplo, si queremos actualizar pginas webs de un Sitio Web, habra queenviarlasusandoelservicio FTP.Pero,porotro lado,no nosgustara quecualquierapudieseaccederaellasparacambiarlasoeliminarlas.Por SI STEMASOPERATI VOSLABORATORI O 9 CIBERTECCARRERAS PROFESIONALESesoelFTPautenticado, solopermiteelaccesopormediodeunusuarioy contrasea. 1.3 TIPOS DE MODOS DEL SITIO FTP IIS introduce 3 modos para sitio FTP:

1.3.1 Modo de usuario sin aislamiento Noaslausuarios,estemodonohabilitaaislamientodeusuarioFTPy funciona en todas las versiones anteriores de IIS. 1.3.2 Modo de usuario con aislamiento Estemodoautentificaalosusuarioscontracuentaslocalesodedominio paraquepuedanteneraccesoaldirectorioprincipalquecoincideconsu nombredeusuario.Todoslosdirectoriosparticularesdelosusuariosse encuentran debajo de un directorio raz nico FTP donde se coloca y donde selimitacadausuarioasudirectorioparticular.Alosusuariosnoseles permite desplazarse fuera de ste. 1.3.3MododeusuarioconaislamientointegradoconelDirectorio Activo LosusuariosaisladosqueutilizanDirectorioActivo,autentificansus credencialesdeusuariocontrauncontenedorcorrespondientedel DirectorioActivo,serequieregrandescantidadesdetiempoyde procesamiento. 2. FTP SERVER SOBRE SSL Microsoft ha creado un nuevo Servicio FTP que ha sido completamente reescrito para Windows Server 2008. Este Servicio FTP incorpora nuevas caractersticas que permiten a los administradores publicar el contenido mucho mejor que antes y ofrece mayor seguridad para los administradores. Una de las caractersticas es FTP sobre Secure Sockets Layer (SSL), que permite sesiones encriptadas entre el cliente FTP y el Servidor. En este tema vera como instalar el Servidor FTP, Configurar el Site FTP, Configurar el Site para usar SSL con la nueva herramienta administrativa IIS 7.0 Services manager.

3. INSTALACIN DEL SERVIDOR FTP 7.5 3.1. Instale IIS 7.0 y la consola Internet Information Services Manager. 3.2 Descargue e instale el nuevo Servicio FTP desde http://www.iis.net 4. CONFIGURACIN DEL SERVIDOR FTP 7.5 CON AISLAMIENTO DE USUARIO SOBRE SSL. 4.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS 1. Ejecute desde el smbolo del sistema el siguientecomando: net user /add jurbina P@ssw0rd net user /add dmartinez P@ssw0rd 10 CARRERAS PROFESIONALESCIBERTEC4.2 CREA LA SIGUIENTE ESTRUCTURA DE DIRECTORIOS 4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL. 1. Inicie Internet Information Services 7.0 Manager. 2. Seleccione el servidor, luego haga 2 clics en Server Certificates, del men Actions seleccionela opcin Create Self-Signed CertificateSites. 3. En la ventana Specify Friendly Name escriba el nombre del certificado srv- nps-01 y luego clic en Ok 4.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 MANAGER. 1. Inicie Internet Information Services 7.0 Manager. 2. Despliegue el nodo del servidor, seleccione Sites, haga clic-derecho sobre Add FTP Site. SI STEMASOPERATI VOSLABORATORI O 11 CIBERTECCARRERAS PROFESIONALES 3. En la ventana Site Information escriba el nombre del FTP Site name y ubique el directorioFTP_Site, luego clic en Next. 4. En la ventana Binding and SSL Settings, seleccione Allow SSL, en la opcin SSL Certificate:, seleccione srv-nps-01 y luego clic en Next. 5. En la ventana Authentication and Authorization Information, seleccioneAuthentication Basic y en Authorization seleccione All Users con los permisos de Lectura y Escritura , luego clic en Finish. 4.5Configura el aislamiento de usuario y la autorizacin de acceso para losusuarios Juan Urbina y Daniel Martinez. 1. Seleccione el Site FTP Contoso, en el panel de la derecha haga 2 clics en FTP User Isolation y configure las opciones que ve en la imagen. 12 CARRERAS PROFESIONALESCIBERTEC 2. Seleccione el directorio FTP de jurbina y luego clic en FTP AuthorizationRules, seleccione la regla y haga clic en Edit. 3. En la ventana Edit Allow Authorization Rule, seleccione Specified users y escriba jurbina. Haga el mismo procedimiento para el usuario dmartinez. 5. CONFIGURACIN DEL CLIENTE FTP FiLeZiLLA 1. Ejecute el programa FileZilla, haga clic en el men File, seleccione Site Manager, en la ventana Site Manager, haga clic en New Site y escribe jurbina. 2. Configure los siguientes datos: Host: srv-nps-01 Servertype: FTPES FTP over explicit TLS/SSL User: jurbina Password: P@ssw0rd SI STEMASOPERATI VOSLABORATORI O 13 CIBERTECCARRERAS PROFESIONALES 3. Haga clic en Connect y acepte el certificado digital. 14 CARRERAS PROFESIONALESCIBERTEC Resumen El Servidor FTP permite que los usuarios puedan transmitir de forma rpida informacin a travs de la Internet. El servidor FTP annimo solo permite la descarga de archivos. El Servidor FTP autenticado permite la descarga y envio de archivos. El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de usuario sin aislamiento, modo de usuario con aislamiento, y modo de usuario con aislamiento integrado al Directorio Activo. Los clientes FTPs pueden ser de modo grfico o texto. Para establecer una conexin con el Servidor FTP desde el smbolo del Sistema escribe FTP Direccin_IP. Paraimplementar el Servidor FTP sobre SSL debe actualizar el IIS 7.0 a la versin IIS 7.5 El Servidor FTP sobre SSL slo soporta clientes FTP de entorno grfico. Si desea saber ms acerca de estos temas, puede consultar las siguientes pginas. http://support.microsoft.com/kb/555018/en-us En esta pgina, hallar informacin de los modos de aislamiento que soporta el Servidor FTP. http://es.wikipedia.org/wiki/FTPS En esta pgina, hallar informacin de los tipos ms comunes de FTP/SSL. SI STEMASOPERATI VOSLABORATORI O 15 CIBERTECCARRERAS PROFESIONALES IMPLEMENTACIN DEL SERVICIO FTP Y RRAS LOGRO DE LA UNIDAD DE APRENDIZAJE Altrminodelaunidad,losalumnospodrnimplementaryconfigurarlos Servicios FTP y RRAS usando elServidor Windows 2008. Altrminodelaunidad,losalumnospodrntransferirarchivos,implementarruteo dentro de la red y brindar acceso a Internet usando elServidor Windows 2008. TEMARIO Windows 2008 FTP Server Fundamentos del Servicio RRAS Introduccin a NAT

ACTIVIDADES PROPUESTAS Los alumnos: Instalan el servicio RRAS de Windows 2008 Server. Configuran el servicio RRAS como Router. Deshabilitan el enrutamiento. UNIDAD DE APRENDIZAJE 1 TEMA 2 16 CARRERAS PROFESIONALESCIBERTEC 1. FUNDAMENTOS DEL SERVICIO RRAS Elservicioenrutamientoyaccesoremotoesunenrutadordesoftware provistodetodaclasedecaractersticasyunaplataformaabiertaparael enrutamiento e interconexin de redes. Ofrece servicios de enrutamiento a empresasenentornosderedderealocal(LAN)yextensa(WAN)oa travsdeInternetmedianteconexionessegurasderedprivadavirtual (VPN). Una ventaja del servicio de Enrutamiento y acceso remoto es la integracin conlafamiliaMicrosoftWindowsServer 2008.Esteservicioproporciona muchascaractersticasdegranrentabilidadyfuncionaconunagran variedaddeplataformasdehardwareynumerososadaptadoresdered. Puedeampliarsemediante lasinterfaces deprogramacindeaplicaciones (API)quepuedenutilizarlosprogramadoresparacrearsoluciones personalizadas de conexinporred, as como losnuevos fabricantes para participar en el negocio cada vez mayor de interconexin de redes abiertas. ElservidorconEnrutamientoyaccesoremotoestdiseadoparaser usadoporadministradoresdesistemafamiliarizadosconlosprotocolosy serviciosdeenrutamiento.Medianteelenrutamientoyaccesoremoto,los administradorespuedenveryadministrarenrutadoresyservidoresde acceso remoto en sus redes.EnrutamientoyAccesoremotoproporcionaserviciosdeenrutamientode multiprotocoloLANaLAN,LANaWAN,redprivadavirtual(VPN)y traduccin de direcciones de red (NAT). Enrutamiento y acceso remoto est destinadoaadministradoresdelsistemaqueyaestnfamiliarizadoscon protocolosyserviciosdeenrutamiento,yconprotocolosenrutablescomo TCP/IP y AppleTalk.1.1 REQUISITOS DE HARDWARE ParapoderconfigurarEnrutamientoyaccesoremotocomounenrutador, todoelhardwaredebeestarinstaladoyenfuncionamiento.Dependiendo de la red y de sus requisitos, quiz necesite el hardware siguiente: Un adaptador LAN o WAN con controlador WHQL firmado. Uno o ms mdems compatibles y un puerto COM disponible. Unatarjetaadaptadorademltiplespuertos,paraconseguirun rendimiento adecuado con mltiples conexiones remotas. Una tarjeta inteligente X.25 (si va a utilizar una red X.25). UnatarjetaadaptadoraISDN(RDSI)(sivaautilizarunalneaISDN (RDSI)). Una tarjeta inteligente X.25 (si va a utilizar una red X.25). UnatarjetaadaptadoraISDN(RDSI)(sivaautilizarunalneaISDN (RDSI)). SI STEMASOPERATI VOSLABORATORI O 17 CIBERTECCARRERAS PROFESIONALES 1.2 ESCENARIO DE ENRUTAMIENTO 1.2.1 Conexin enrutada entre 2 LANs La ilustracin siguiente muestra una configuracin de red simple con un servidorqueejecutaEnrutamientoyaccesoremotoqueconectados segmentos de LAN (redes A y B). En esta configuracin, los protocolos de enrutamiento no son necesarios porque el enrutador est conectado a todas las redes a las que necesita enrutar paquetes. 1.2.2 Conexin enrutada con Internet Esteescenariodescribeunareddeoficinapequeaodomstica (SOHO, Small Office Home Office) que establece conexin con Internet mediante una conexin enrutada. Una red SOHO tiene las siguientes caractersticas: Un segmento de red.Un nico protocolo: TCP/IPConexiones de marcado a peticin o de vnculo dedicado con el proveedor de servicios Internet (ISP). En la siguiente ilustracin, se muestra un ejemplo de una red SOHO. 18 CARRERAS PROFESIONALESCIBERTECElenrutadordeWindows2008estconfiguradoconunadaptadordered para los medios utilizados en la red domstica (por ejemplo, Ethernet), y un adaptadorISDN(RDSI)ounmdemanalgico.Puedeutilizarunalnea concedidauotratecnologadeconexinpermanente,comoxDSLy mdemsporcable,peroesteescenariodescribelaconfiguracinms usual que utiliza un vnculo de acceso telefnico a un ISP local.

1.3PROTOCOLOS DE ENRUTAMIENTO IP EnentornosdeenrutamientoIPdinmicos,lainformacinde enrutamientoIPsepropagamedianteprotocolos.Losdosprotocolosde enrutamiento IP ms comunes utilizados en intranets son el Protocolo de informacin de enrutamiento (RIP, Routing Information Protocol) y Abrir la ruta de acceso ms corta primero (OSPF, Open Shortest Path First ). Puedeejecutarvariosprotocolosdeenrutamientoenlamismaintranet. En este caso, debe configurar qu protocolo de enrutamiento es el origen preferido de las rutas aprendidas mediante la configuracin de niveles de preferencia. El protocolo de enrutamiento preferido constituye el origen de la ruta que se agrega a la tabla de enrutamiento, independientemente, de lamtricadelarutaaprendida.Porejemplo,silamtricadeunaruta OSPFaprendidaes 5ylamtricadelarutaaprendidaRIP correspondiente es 3, y se prefiere el protocolo de enrutamiento OSPF, la ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa por alto. 2.INSTALACIN DE ROUTING AND REMOTE ACCESSSERVICES 2.1 PARA INSTALAR RRAS EN EL SERVER, REALIZA LOSSIGUIENTES PASOS: 1.Ejecute el Server Manager, clic en Roles, luego clic en Add Roles. SI STEMASOPERATI VOSLABORATORI O 19 CIBERTECCARRERAS PROFESIONALES 2.En la ventana Before You Begin, efecte clic en Next. 3.EnlaventanaSelectServerRoles,seleccioneNetworkPolicyand Access Services, y haga clic en Next. 4.EnlaventanaNetworkPolicyandAccessServices,hagaclicen Next. 20 CARRERAS PROFESIONALESCIBERTEC 5. En la ventana Select Role Services, seleccione Routing and Remote Access Services, haga clic en Next. 6.EnlaventanaConfirmInstallationSelections,clicenInstall, finalmente, clic en Close.SI STEMASOPERATI VOSLABORATORI O 21 CIBERTECCARRERAS PROFESIONALES 2.2 CONFIGURACIN DEL ROUTER 1.Ejecute Routing and Remote Access, clic derecho sobre el Servidor (Local), seleccione Configure and Enable Routing and Remote Access. 22 CARRERAS PROFESIONALESCIBERTEC2.En el asistente de configuracin de Routing and Remote Access Server, haga clic en Next. 3.En la ventana de Configuration, seleccione Custom configuration, y haga clic en Next. SI STEMASOPERATI VOSLABORATORI O 23 CIBERTECCARRERAS PROFESIONALES4.En la ventana Custom Configuration, seleccione LAN routing, haga clic en Next. 5.En la ventana Completing the Routing and Remote Access Server Setup Wizard, clic en Finish. 24 CARRERAS PROFESIONALESCIBERTEC 6.En la ventana Start the service, clic en Start. 2.2.1 Incorpora una interface de enrutamiento (opcional) 1.Abra Routing and Remote Access. 2. Despliegue en el Servidor (local), luego despliegue IPv4, clicderecho sobre General, y seleccione New Interface. SI STEMASOPERATI VOSLABORATORI O 25 CIBERTECCARRERAS PROFESIONALES 1.En la ventana New Interface for IP, seleccione la interface correcta, en este caso Lan2. 4. En la ventana de propiedades Lan2, clic en ok. 2.2.2 Agregue un protocolo de enrutamiento IP (opcional) 1. Abra Routing and Remote Access. 2. Despliegue en el Servidor (Local), luego despliegue IPv4, clicderecho sobre General, y seleccione New Routing Protocol. 26 CARRERAS PROFESIONALESCIBERTEC 3. En la ventana New Routing Protocol, seleccione RIP Version luego clic en Ok. 4. Usted haga clic derecho sobre RIP, y seleccione New Interface. 5. En la ventana New Interface for RIP, seleccione la interface en la cual funcionara RIP, y luego 2 veces clic en Ok.

SI STEMASOPERATI VOSLABORATORI O 27 CIBERTECCARRERAS PROFESIONALES 2.3 DESHABILITACIN DEL ENRUTAMIENTO. 1.EjecuteRouting and Remote Access. 2.En el rbol de la consola, haga clic derecho sobre su servidor. 3.Seleccione Disable Routing and Remote Access. 4.En la caja de dilogoemergente, pulse el botn Yes. 5.Usted puede observar que el enrutamiento ha quedado deshabilitado. 28 CARRERAS PROFESIONALESCIBERTEC 6.Cierre la herramienta Routing and Remote Access. SI STEMASOPERATI VOSLABORATORI O 29 CIBERTECCARRERAS PROFESIONALES Resumen

El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008. El Servicio RRAS brinda enrutamiento de protocolos a travs de redes LAN, y WAN. El servicio RRAS nos permite implementar una infraestructura de VPN y NAT. La implementacin de los servicios deRRAS necesita como mnimo 2 interfaces de red. Si desea saber ms acerca de estos temas, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx En esta pgina, hallar informacin de las nuevas caractersticas de Routing and Remote Access en Windows Server 2008. 30 CARRERAS PROFESIONALESCIBERTECSI STEMASOPERATI VOSLABORATORI O 31 CIBERTECCARRERAS PROFESIONALES IMPLEMENTACIN DEL SERVICIO FTP Y RRAS LOGRO DE LA UNIDAD DE APRENDIZAJE Altrminodelaunidad,losalumnos,podrnimplementaryconfigurarlos Servicios FTP y RRAS usando elServidor Windows 2008. Altrminodelaunidad,losalumnos,podrntransferirarchivos,implementar ruteo dentro de la red, y brindar acceso a Internet usando elServidor Windows 2008. TEMARIO Windows 2008 FTP Server Fundamentos del Servicio RRAS Introduccin a NAT

ACTIVIDADES PROPUESTAS Los alumnos: ConfiguranRRASparabrindaraccesoaInternetalascomputadorasdelared Interna. Habilitan el acceso a Internet usando NAT. ConfiguranelprotocoloTCP/IPenlainterfacedereddelosservidoresy estaciones de trabajo. UNIDAD DE APRENDIZAJE 1 TEMA 3 32 CARRERAS PROFESIONALESCIBERTEC 1. INTRODUCCIN A NAT En la actualidad mshogaresy pequeas empresasagregan equiposa la redyencuentranunaherramienta,extremadamente,poderosapara compartirrecursos.UnaconexinaInternetesunodelosmspreciados recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar unacomoda,fciladministracin,delaredcaseraounapequea empresa,losgatewaysdeInternetestnsiendoimplementados.Los gatewaysdeInternetofrecenNAT(Networkaddresstranslation)para conectarmltiplescomputadorasalaInternetycompartirunasola direccin IP Pblica.2. FUNDAMENTOS DE NAT La Traduccin de Direcciones de Red (NAT) es un estndar IETF (Internet EngineeringTaskForceenespaolGrupodeTrabajoenIngenierade Internet) usado parapermitira mltiples computadorasde una redprivada (direccionesprivadascomo10.0.0.0/8,172.16.0.0/12,192.168.0.0/16) compartirunasoladireccinIPPblica.NATestasiendoimplementado, porque las direcciones IPv4 pblicas estn siendo escasas. 3. IMPLEMENTACIN DE NAT3.1 CONFIGURACIN EN EL SERVER 1.Clic en Start, seleccione Administrative Tools, y luego Routing and Remote Access. SI STEMASOPERATI VOSLABORATORI O 33 CIBERTECCARRERAS PROFESIONALES2.En el asistente de configuracin de Routing and Remote Access Server,haga clic en Next. 3.En la ventana de Configuration, seleccione Network address translation, y haga clic en Next. 34 CARRERAS PROFESIONALESCIBERTEC4.En la ventana de NAT Internet Connection, seleccione la interface que usar para conectarse a Internet, en este casoWan, y haga clic en Next. 5.En la ventana Completing the Routing and Remote Access Server Setup Wizard, lea el resumen de la configuracin, y luego clic en Finish. SI STEMASOPERATI VOSLABORATORI O 35 CIBERTECCARRERAS PROFESIONALES3.2CONFIGURACIN EN EL CLIENTE 1.En la computadora cliente configure el TCP/IP como se ve en la imagen. 2.Ejecute Internet Explorer y trate de navegar por Internet, tambin puede realizar pruebas con el comando ping, tracert, etc. 36 CARRERAS PROFESIONALESCIBERTECResumen

La implementacin de NATpermite compartir el acceso a Internet. NAT permite que las computadoras que tienen direcciones IPs privadas acceden a Internetusando una direccin IP Pblica. El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que no estn expuestas en Internet. LaimplementacindeNATnecesita2interfacesdered,unaparalaredinternay otra para Internet. Si desea saber ms acerca de NAT, puede consultar la siguiente pgina. http://www.faqs.org/rfcs/rfc1631.html En esta pgina, hallar informacin detallada sobre NAT. SI STEMASOPERATI VOSLABORATORI O 37 CIBERTECCARRERAS PROFESIONALES Redes Virtuales Privadas LOGRO DE LA UNIDAD DE APRENDIZAJE Altrminodelaunidad,losalumnos,disearunaRedPrivadaVirtualcon Windows 2008 Server.Altrminodelaunidad,losalumnos,podrnimplementarelServidorVPN,y permitir el acceso seguro desde Internet hacia los recursos de la red Interna. Al trmino de la unidad, los alumnos, podrn configurar los clientes VNPs para acceder a los recursos de la red Interna. TEMARIO Introduccin a las VPNs ACTIVIDADES PROPUESTAS Los alumnos: Instalan, configuran, y administran el Servidor VPN. Configuran los clientes VPNs. Realizan y prueban conexiones seguras desde los clientes VPN hacia el Servidor VPN. UNIDAD DE APRENDIZAJE 2 TEMA 4 38 CARRERAS PROFESIONALESCIBERTEC 1.INTRODUCCIN A LAS VPNs Una red privada virtual (VPN, Virtual Private Network) es la extensin de una redprivadaqueincluyevnculosderedescompartidasopblicascomo Internet.Conunaredprivadavirtual,puedeenviardatosentredos computadores a travs de una red compartida o pblica de forma que emula unvnculoprivadopuntoapunto.Lasfuncionesderedprivadavirtual consisten en crear y configurar una misma red con estas caractersticas. Paraemularunvnculopuntoapunto,losdatosseencapsulano empaquetanconunencabezadoqueproporcionalainformacinde enrutamientoquepermitealosdatosrecorrerlaredcompartidaopblica hastaalcanzarsudestino.Paraemularunvnculoprivado,losdatosse cifranparaasegurarlaconfidencialidad.Lospaquetesinterceptadosenla redcompartidaopblicanosepuedendescifrarsinosedisponedelas clavesdecifrado.Elvnculoenelqueseencapsulanycifranlosdatos privados es una conexin de red privada virtual (VPN).La siguiente ilustracin muestra el equivalente lgico de una conexin VPN. Losusuariosquetrabajanencasaoqueestndeviajepuedenusar conexiones VPN para establecer una conexin de acceso remoto al servidor deunaorganizacinmediantelainfraestructuraqueproporcionaunared pblica como Internet. Desde la perspectiva del usuario, la red privada virtual SI STEMASOPERATI VOSLABORATORI O 39 CIBERTECCARRERAS PROFESIONALESes una conexin punto a punto entre el equipo (el cliente VPN) y el servidor delaorganizacin(elservidorVPN).Lainfraestructuraexactadelared compartidaopblicaesirrelevantedadoque,lgicamente,parececomosi los datos se enviaran a travs de un vnculo privado dedicado. Las organizaciones tambin pueden utilizar conexiones VPN para establecer conexionesenrutadasconoficinasalejadas,geogrficamente,oconotras organizacionesatravsdeunaredpblicacomoInternetalmismotiempo que realizan comunicaciones seguras. Una conexin VPN enrutada a travs de Internet funciona como un vnculo de WAN dedicado. Graciasalaccesoremotoyalasconexionesenrutadas,unaorganizacin puedeutilizarconexionesVPNpara realizarconexionesalargadistancia,o lneas concedidaspara conexiones localeso conun Proveedor de servicios Internet (ISP). EnlafamiliaMicrosoftWindows2008haytrestiposdetecnologaVPN basada en el Protocolo punto a punto (PPP): a. Protocolo de tnel punto a punto (PPTP)PPTP utiliza mtodos de autenticacin PPP de nivel de usuario ycifrado punto a punto de Microsoft (MPPE) para cifrar los datos. b. Protocolo de tnel de capa 2 (L2TP) con seguridad de protocoloInternet (IPSec)L2TPutilizamtodosdeautenticacinPPPdeniveldeusuarioycertificados de nivel de equipo con IPSec para cifrar los datos, o IPsec en modo tnel, en el que IPsec proporciona encapsulacin (slo para el trfico IP). c.Protocolo de tnel de socket seguro (SSTP) SSTPeslanuevaformadetneldeVPNconcaractersticasque permitenaltrficopasaratravsdelosfirewallsquebloqueanel trficoPPTPyL2TP.SSTPbrindaunmecanismoparaencapsular trfico PPP sobre el canal SSL del protocolo HTTPS 2.ESCENARIOS PARA IMPLEMENTAR UNA VPN Medianteunaconexinderedprivadavirtual(VPN)basadaenInternet,puede ahorrar los gastos de llamadas telefnicas de larga distancia y a nmeros 1-800, y aprovechar la disponibilidad de Internet. 2.1 ACCESO REMOTO A TRAVS DE INTERNET En lugar derealizar una llamadade largadistanciao a unnmero 1-800 para conectar con un servidor de acceso a la red ( NAS, Network Access Server ) de la compaa o externo, los clientes de acceso remoto pueden llamaraunISPlocal.MediantelaconexinfsicaestablecidaconelISP local,elclientedeaccesoremotoiniciaunaconexinVPNatravsde InternetconelservidorVPNdelaorganizacin.Unavezcreadala conexinVPN,elclientedeaccesoremotopuedeteneraccesoalos recursos de la intranet privada. 40 CARRERAS PROFESIONALESCIBERTECLa ilustracin siguiente muestra el acceso remoto a travs de Internet. 2.2 CONECTAR REDES A TRAVS DE INTERNET CuandolasredesestnconectadasatravsdeInternet,unenrutador reenva paquetes a otro enrutador a travs de una conexin VPN. Esto se conocecomounaconexinVPNdeenrutadoraenrutador.Paralos enrutadores, la red privada virtual funciona como un vnculo de la capa de vnculo de datos. La ilustracin siguiente muestra la conexin de redes a travs de Internet. 2.2.1 Usar vnculos WAN dedicados EnlugardeutilizarunvnculoWANdedicadodelargadistanciay caro entre las distintas oficinas de la compaa, los enrutadores de SI STEMASOPERATI VOSLABORATORI O 41 CIBERTECCARRERAS PROFESIONALESlasoficinasseconectanaInternetmediantevnculosWAN dedicadoslocalesconunISPlocal.As,cualquieradelos enrutadoresiniciaunaconexinVPNdeenrutadoraenrutadora travsdeInternet.Unavezconectados,losenrutadorespueden reenviarseentrestransmisionesdeprotocolosenrutadaso directas mediante la conexin VPN. 2.3 VPN BASADAS EN INTRANET Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP en la intranet de una organizacin. 2.3.1 Acceso remoto a travs de una intranet Enlasintranetsdealgunasorganizaciones,losdatosdeun departamento (por ejemplo, el departamento de recursos humanos) sontanconfidencialesquelareddeldepartamentoest, fsicamente,desconectadadelaintranetdelrestodela organizacin.Aunqueasseprotegenlosdatosdeldepartamento, secreaunproblemadeaccesoalainformacinporpartede aquellosusuariosquenoestn,deformafsica,conectadosala red independiente. MedianteunaconexinVPN,lareddeldepartamentoest, fsicamente,conectadaalaintranetdelaorganizacin,perose mantiene separada gracias a un servidor VPN. El servidor VPN no proporcionaunaconexinenrutadadirectaentrelaintranetdela organizacin y la red del departamento. Los usuarios de la intranet delaorganizacinquedisponendelospermisosapropiados puedenestablecerunaconexinVPNdeaccesoremotoconel servidorVPNyteneraccesoalosrecursosprotegidosdelared confidencialdeldepartamento.Adicionalmente,paramantenerla confidencialidaddelosdatos,secifrantodaslascomunicaciones realizadas a travs de la conexin VPN. Para aquellos usuarios que notienenderechosparaestablecerunaconexinVPN,lareddel departamento est oculta a la vista. Lailustracinsiguientemuestraelaccesoremotoatravsdeuna intranet. 2.3.2 Conectar redes a travs de una intranet 42 CARRERAS PROFESIONALESCIBERTECTambin,puedeconectardosredesatravsdeunaintranet medianteunaconexinVPNdeenrutadoraenrutador.Las organizacionesquetienendepartamentosendiferentes ubicaciones,cuyosdatossonaltamenteconfidenciales,pueden utilizarunaconexinVPNdeenrutadoraenrutadorpara comunicarse entre s.Porejemplo,eldepartamentofinancieropodranecesitar comunicarseconeldepartamentoderecursoshumanospara intercambiarinformacinacercadelasnminas.Ambos,alavez, estnconectadosalaintranetcomnconequiposquepueden actuarcomoenrutadoresVPN.Unavezestablecidalaconexin VPN,losusuariosdelosequiposdeambasredespueden intercambiardatosconfidencialesatravsdelaintranet corporativa. Lailustracinsiguientemuestralaconexinderedesatravsde una intranet. 3. PROTOCOLO DE TNEL DE CAPA 2 El Protocolo de tnel de capa 2 ( L2TP, Layer Two Tunneling Protocol ) es un protocolobasadoenRFCyestndardelsectorqueseadmitiporprimera vezenlossistemasoperativosdeclienteydeservidorWindows 2000.A diferenciadePPTP,elprotocoloL2TPenlosservidoresqueejecutan Windows Server 2008 no utiliza el Cifrado punto a punto de Microsoft ( MPPE, MicrosoftPoint-to-PointEncryption)paracifrardatagramasdeProtocolo punto a punto (PPP). L2TP utiliza la Seguridad de protocolos Internet (IPSec) paralosserviciosdecifrado.LacombinacindeL2TPeIPSecseconoce comoL2TP/IPSec.L2TP/IPSecproporcionalosserviciosderedprivada virtual (VPN) principales de encapsulacin y cifrado de datos privados. L2TP e IPSec deben ser compatibles con el cliente VPN y el servidor VPN. La compatibilidaddeclienteconL2TPestintegradaenelclientedeacceso SI STEMASOPERATI VOSLABORATORI O 43 CIBERTECCARRERAS PROFESIONALESremotodeWindowsXPylacompatibilidaddeservidorVPNconL2TPest integrada en los miembros de la familia Windows Server 2008. L2TPseinstalaconelprotocoloTCP/IP.Enfuncindelasopciones disponiblesalejecutarelAsistenteparalainstalacindelservidorde enrutamiento y acceso remoto, L2TP se configura para 5 128 puertos L2TP. 3.1 ENCAPSULACIN La encapsulacin de paquetes L2TP/IPSec consta de dos niveles: 3.1.1 Encapsulacin L2TPLastramasPPP(queconsistenenundatagramaIPoun datagramaIPX)seempaquetanconunencabezadoL2TPyun encabezado UDP. 3.1.2 Encapsulacin IPSecElmensajeL2TPresultanteseempaquetaacontinuacinconun encabezadoyunfinalizadordeCargadeseguridadde encapsulacin (ESP, Encapsulating Security Payload) de IPSec, un finalizadordeautenticacinIPSecqueproporcionaautenticacine integridad de mensajes y un encabezado IP final. El encabezado IP contienelasdireccionesIPdeorigenydedestinoque corresponden al cliente VPN y al servidor VPN. 3.2 CIFRADO El mensaje L2TP se cifra con el Estndar de cifrado de datos (DES, Data EncryptionStandard)oTripleDES(3DES)medianteclavesdecifrado generadasenelprocesodenegociacindeIntercambiodeclavesde Internet (IKE, Internet Key Exchange). 4. CONFIGURACIN DE VPN PARA CLIENTES REMOTOS 4.1 CONFIGURA EL SERVIDOR VPN 1.Ejecute Routing and Remote Access desde el men Administrative Tools. 2.En el panel izquierdo haga clic derecho sobre su servidor y; luego clic en Configure and Enable Routing and Remote Access. 44 CARRERAS PROFESIONALESCIBERTEC 3.En pantalla de bienvenida de Routing and Remote Access Server Setup Wizard, haga clic en Next. SI STEMASOPERATI VOSLABORATORI O 45 CIBERTECCARRERAS PROFESIONALES4.EnConfiguration,hagaclicenRemoteaccess(dial-uporVPN)y luego, clic en Next. 5.En la pantalla Remote Access, seleccione VPN y haga clic en Next. 46 CARRERAS PROFESIONALESCIBERTEC6.EnVPNConnection,seleccionelainterfaceWanyluego,clicen Next. 7.En la ventana IP Address Assignment, seleccione From a specified range of addresses, y haga clic en Next. SI STEMASOPERATI VOSLABORATORI O 47 CIBERTECCARRERAS PROFESIONALES8.En la pgina Address Range Assignment, haga clic en New. 9.EnelcampoStartIPaddress,tipeeladireccinqueleasignesu instructor, y luego en la caja Number of addresses, ingrese 5. 10.Usted haga clic en OK. 11. En la pgina Address Range Assignment, haga clic en Next. 12. EnlapginaManagingMultipleRemoteAccessServers,verifique queestseleccionadalaopcinNo.Luego,useRoutingand 48 CARRERAS PROFESIONALESCIBERTECRemote Access to authenticate connection requests y haga clic en Next. 13. Enla ventanaCompletingtheRoutingandremoteAccessServer Setup Wizard, clic en Finish. SI STEMASOPERATI VOSLABORATORI O 49 CIBERTECCARRERAS PROFESIONALES14. Observe cmo se visualizala herramienta: 15.Si es necesario, haga clic en OK para cerrar el mensaje Routing and Remote Access, luego cierre Routing and Remote Access. 4.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO

1.InicialiceelADUC,hagaclicderechosobreelusuarioJuanUrbina,y seleccione properties. 2.Enlaventanadepropiedadesdelusuario,seleccioneDial-in,luego clic en Allow Access, finalmente clic en Ok. 50 CARRERAS PROFESIONALESCIBERTEC 4.2 CONFIGURA EL CLIENTE VPN 1.Clic en el Menu Inicio, seleccione Panel de Control, clic en Redes e Internet. 2.En Redes e Internet, clic en Ver el estado y las tareas de red. SI STEMASOPERATI VOSLABORATORI O 51 CIBERTECCARRERAS PROFESIONALES 3. En la ventana Centro de redes y recursos compartidos vaya al panel izquierdo y haga clic en Configurar una conexin o red.

4.EnlaventanaConfigurarunaconexinored,seleccione Conectarse a un rea de trabajo, y clic en Siguiente. 52 CARRERAS PROFESIONALESCIBERTEC 5.EnlaventanaCmodeseaconectarse?SelecioneUsarmi conexin a Internet (VPN) 6.En la ventana Es necesaria una conexin a Internet para usar una conexinVPN,seleccioneConfigurarmstardeunaconexina Internet. 7.EnlaventanaEscribeladireccindeInternetalaquese conectar ingrese los siguientes datos: a.Direccin de Internet: IP del Servidor VPN b.Nombre del destino:Ciber VPN SI STEMASOPERATI VOSLABORATORI O 53 CIBERTECCARRERAS PROFESIONALES8.EnlaventanaEscribeelnombredeusuarioylacontrasea, Escribe el nombre del usuario al que se le otorg el permiso de acceso a la red y la contrasea, luego clic en Crear. 9.Una vez creada la conexin VPN, haga clic en administrar conexiones de red, 2 clics en Ciber VPN 54 CARRERAS PROFESIONALESCIBERTEC4.3 VERIRIFCAR LA CONEXIN VPN

1.En una ventana de Smbolo del Sistema, digite ipconfig y presione . 2.Note que hay un nuevo adaptador de red PPP Ciber VPN. La direccin IP fue asignada por el rango de direcciones estticas del servidorVPN. 3.Cierre la ventana Smbolo del Sistema. 4.En la barra de tareas, has doble clic al cono "Conexin VPN". SI STEMASOPERATI VOSLABORATORI O 55 CIBERTECCARRERAS PROFESIONALES5.En la Conexin VPN clic en Ver estado, despusclic en Desconectar. 6.Finalmente, cierre todas las ventanas abiertas. 56 CARRERAS PROFESIONALESCIBERTEC Resumen

La implementacin de una Red VPN permite extender la red de la empresa. VPN se puede usar para enlazar oficinas que estn, geogrficamente, alejadas. Los 3 protocolos de tnel soportados por Windows 2008 Server son: PPTP, L2TP, y SSTP. El protocolo PPTP usa el cifrado MPPE, L2TP usa IPSec, y SSTP usa SSL. El nuevo protocolo de tnel SSTP es soportado en Windows 2008 Server. El protocolo SSTP permite que pueda fluir el trfico de datos a travs del firewall. Si desea saber ms acerca de VPN, puede consultar la siguiente pgina. http://technet.microsoft.com/en-us/network/bb545442.aspx En esta pgina, hallar informacin detallada sobre VPN. SI STEMASOPERATI VOSLABORATORI O 57 CIBERTECCARRERAS PROFESIONALES PROTEGER EL TRFICO DE RED MEDIANTE IPSEC LOGRO DE LA UNIDAD DE APRENDIZAJE Al trmino de la unidad, el alumnoser capaz de implementar seguridad en la transmisin de datos de una red. TEMARIO Introduccin a IPSec Implementacin de IPSec Supervisar IPSec

ACTIVIDADES PROPUESTAS Los alumnos: Determinan que mtodo de encriptacin de IPSec deben usar en la Red. Eligen que directiva de seguridad de IPSec se adecua a sus necesidades de seguridad. Implementan escenarios con IPSec. Configuran el filtrado con las directivas de seguridad de IPSec. Verifican la seguridad de la red con el uso de Sniffer. Supervisan IPSec mediante el Monitor de Seguridad IP. UNIDAD DE APRENDIZAJE 3 TEMA 5 58 CARRERAS PROFESIONALESCIBERTEC 1.INTRODUCCIN A IPSEC 1.1 CONCEPTOS DE IPSEC InternetProtocolSecurity(IPSec)esunentornodeestndaresabiertos paragarantizarcomunicacionesprivadasysegurasatravsderedes InternetProtocol(IP),medianteelusodeserviciosdeseguridadbasados encifrado.IPSecsoportaautenticacindesistemasaniveldered, autenticacindelorigendelosdatos,integridadde datos,confidencialidad de datos (encriptacin) y proteccin frente a reenvo. La implementacin de IPSecdeMicrosoftsebasaenestndaresdesarrolladosporelgrupode trabajo de IPSec de la IETF (Internet Engineering Task Force). IPSecautentificalosequiposycifralosdatosparasutransmisinentre hostsenunared,intranetoextranet,incluidaslascomunicacionesentre estacionesdetrabajoyservidores,yentreservidores.Elobjetivoprincipal de IPSec es proporcionar proteccin a los paquetes IP. IPSec est basado enun modelo de seguridadde extremoa extremo, loque significa que los nicoshostsquetienenqueconocerlaproteccindeIPSecsonelque envayelquerecibe.Cadaequipocontrolalaseguridadporsmismoen suextremo,bajolahiptesisdequeelmedioporelqueseestablecela comunicacin no es seguro. IPSecconstadedosprotocolosquehansidodesarrolladospara proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6: AuthenticationHeader(AH):proporcionaintegridad,autenticacin y no repudio si se eligen los algoritmos criptogrficos apropiados. SI STEMASOPERATI VOSLABORATORI O 59 CIBERTECCARRERAS PROFESIONALESAH estdirigido a garantizarintegridad sin conexinyautenticacin delosdatosdeorigendelosdatagramasIP.Paraello,calculaun HashMessageAuthenticationCode(HMAC)atravsdealgn algoritmohashoperandosobreunaclavesecreta,elcontenidodel paqueteIPylaspartesinmutablesdeldatagrama.Esteproceso restringelaposibilidaddeemplearNAT,quepuedeser implementadaconNATtransversal.Porotrolado,AHpuede proteger,opcionalmente,contraataquesderepeticinutilizandola tcnicadeventanadeslizanteydescartandopaquetesviejos.AH protegelacargatilIPytodosloscamposdelacabeceradeun datagramaIPexceptoloscamposmutantes,esdecir,aquellosque puedenseralteradoseneltrnsito.EnIPv4,loscamposdela cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS, Flags,Offsetdefragmentos,TTLysumadeverificacindela cabecera.AHopera,directamente,porencimadeIP,utilizandoel protocoloIPnmero51.UnacabeceraAHmide32bits,heaquun diagrama de cmo se organizan: Significado de los campos: Next header: Identifica el protocolo de los datos transferidos.Payload length: Tamao del paquete AH.RESERVED:Reservadoparausofuturo(hastaentoncestodo ceros).Securityparametersindex(SPI):Indicalosparmetrosde seguridad que, en combinacin con la direccin IP, identifican la asociacin de seguridad implementada con este paquete.Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin.HMAC:Contieneelvalordeverificacindeintegridad(ICV) necesario para autenticar el paquete; puede contener relleno. EncapsulatingSecurityPayload(ESP)proporciona confidencialidadylaopcin-altamenterecomendable-de autenticacin y proteccin de integridad. ElprotocoloESPproporcionaautenticidaddeorigen,integridady proteccin de confidencialidad de un paquete. ESP, tambin, soporta configuracionesdeslocifradoysloautenticacin,peroutilizar cifradosinautenticacinestaltamentedesaconsejadoporquees inseguro.AlcontrarioqueconAH,lacabeceradelpaqueteIPno estprotegidaporESP(aunqueenESPenmodotnel,la proteccin es proporcionada a todo el paquete IP interno, incluyendo lacabecerainterna;lacabeceraexternapermanecesinproteger). 60 CARRERAS PROFESIONALESCIBERTECESPoperadirectamentesobreIP,utilizandoelprotocoloIPnmero 50. Un diagrama de paquete ESP: Significado de los campos: Securityparametersindex(SPI):Identificalosparmetrosde seguridad en combinacin con la direccin IP.Sequence number: Un nmero siempre creciente, utilizado para evitar ataques de repeticin.Payload data: Los datos a transferir.Padding:Usadoporalgunosalgoritmoscriptogrficospara rellenar por completo los bloques.Pad length: Tamao del relleno en bytes.Next header: Identifica el protocolo de los datos transferidos.Authenticationdata:Contienelosdatosutilizadospara autenticar el paquete. IPSec aumenta la seguridad de los datos de la red mediante: Laautenticacinmutuadelosequiposantesdelintercambiode datos. IPSec puede utilizar Kerberos V5 para la autenticacin de los usuarios. Elestablecimientodeunaasociacindeseguridadentrelosdos equipos.IPSecsepuedeimplementarparaprotegerlas comunicacionesentreusuariosremotosyredes,entreredese, incluso, entre equipos cliente dentro de una red de rea local (LAN). ElcifradodelosdatosintercambiadosmedianteCifradodedatos estndar (DES, Data Encryption Standard), triple DES (3DES) o DES de40bits.IPSecusaformatosdepaqueteIPestndarenla autenticacin o el cifrado de los datos. Por tanto, los dispositivos de redintermedios,comolosenrutadores,nopuedendistinguirlos paquetes de IPSec de los paquetes IP normales. SI STEMASOPERATI VOSLABORATORI O 61 CIBERTECCARRERAS PROFESIONALES El protocolo, tambin, proporciona las ventajas siguientes: Compatibilidadconlainfraestructuradeclavespblicas.Tambin aceptaelusodecertificadosdeclavespblicasparala autenticacin,conelfindepermitirrelacionesdeconfianzay protegerlacomunicacinconhostsquenopertenezcanaun dominio Windowsen el que se confa. Compatibilidad con claves compartidas. Si la autenticacin mediante KerberosV5ocertificadosdeclavespblicasnoesposible,se puedeconfigurarunaclavecompartida(unacontraseasecreta compartida)paraproporcionarautenticacinyconfianzaentre equipos. Transparenciade IPSecparalosusuariosylasaplicaciones.Como IPSecoperaalniveldered,losusuariosylasaplicacionesno interactan con IPSec. Administracincentralizadayflexiblededirectivasmediante Directivadegrupo.Cuandocadaequipoiniciaunasesinenel dominio,elequiporecibeautomticamentesudirectivade seguridad,loqueevitatenerqueconfigurarcadaequipo individualmente.Sinembargo,siunequipotienerequisitos exclusivosoesindependiente,sepuedeasignarunadirectivade forma local. Estndarabiertodelsector.IPSecproporcionaunaalternativade estndarindustrialabiertoantelastecnologasdecifradoIP patentadas.Losadministradoresdelaredaprovechanla interoperabilidad resultante. Dependiendodelnivelsobreelqueseacte,podemosestablecerdos modos bsicos de operacin de IPsec: modo transporte y modo tnel. Enmodotransporte,slolacargatil(losdatosquesetransfieren)del paqueteIPescifraday/oautenticada.Elenrutamientopermaneceintacto, yaquenosemodificanisecifralacabeceraIP;sinembargo,cuandose utiliza la cabecera de autenticacin (AH), las direcciones IP nopueden ser traducidas,yaqueesoinvalidaraelhash.Lascapasdetransportey aplicacin estn siempre aseguradas por un hash, de forma que no pueden ser modificadasdeningunamanera(porejemplotraduciendolosnmeros de puerto TCPyUDP). El modo transporte seutilizapara comunicaciones ordenador a ordenador. UnaformadeencapsularmensajesIPsecparaatravesarNAThasido definida por RFCs que describen el mecanismo de NAT-T. 62 CARRERAS PROFESIONALESCIBERTECEn el modo tnel, todo el paquete IP (datos ms cabeceras del mensaje) es cifradoy/oautenticado.Debeserentoncesencapsuladoenunnuevo paquete IP para que funcione el enrutamiento. El modo tnel se utiliza para comunicaciones red a red (tneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. IPSecestsoportadoenWindowsServer2008,WindowsServer2003, Windows2000Server,WindowsXP,WindowsVista,yWindows2000,y estintegradoconelserviciodeDirectorioActivo.LaspolticasIPSecse puedenasignarmediantePolticasdeGrupo,loquepermitequelos parmetrosdeIPSecseconfigurenaniveldedominio,siteounidad organizativa. 1.2 DIRECTIVAS DE SEGURIDAD DE IPSEC UnadirectivaIPSecestformadaporunconjuntodefiltrosacercadel trficoderedquecuandoseactivan,hacenquelosequiposinvolucrados enlaconversacinnegocienunaautenticacinentreellosysiestaes exitosaseapliqueunaaccindefiltradoaltrficodered,porlogeneral, con el propsito de que no pueda ser interceptado por terceros. ElcifradodelascomunicacionesconIPSECseimplementacomouna directiva, con lo cual podemos habilitarlo a nivel local, de sito, de dominio o deunidadorganizativa.Existenunasdirectivaspredeterminadasque podemos utilizar sin ninguna configuracin adicional. Client(Cliente):nicamente,aplicaregladerespuesta predeterminada. staregla obliga a nuestro equipo a responder de maneracifradasiemprequeassepropongaoserequiera,pero nuncasernuestroequipoelqueinicielaconversacindemanera cifrada. Server(Servidor):Envalosdatoscifradosperoadmitela conversacinconclientesquenocifrensuscomunicaciones.Este SI STEMASOPERATI VOSLABORATORI O 63 CIBERTECCARRERAS PROFESIONALESmodoeselrecomendadosiqueremosqueprimelacomunicacin sobre la seguridad. Secure Server (Servidor Seguro): En este caso toda comunicacin sercifradaynopermitirlacomunicacinsincifrar(exceptoel trfico ICMP). Si queremos anticipar la seguridad a la comunicacin, este es el modo apropiado. Sibienestasdirectivaspuedensatisfacernuestrasnecesidades,IPSec permiteunamayorgranularidadycontrolatravsdelosfiltrosquese revisan ms adelante en este documento. Antesdecomenzarconlaimplementacinhayquetenerclarosunos cuantos conceptos. Cuando queremos que nadie sepa lo que, por ejemplo, estamos hablando con una persona cercana podemos acordar un conjunto dereglas(protocolo)parahacerlodemaneraefectiva.Estoes,elidioma queusaremoscuandoqueramosmantenerlaprivacidaddela conversacin. El establecimiento de estas reglas puede llevar estos pasos: Definicindelasconversacionesqueconsideramosprivadas(el trficoquesecifrar).Porejemplo:conversacionesdenegocios, secretos y poltica. Aplicamos un conjunto defiltros que se active al sacar uno de esos tres temas en la conversacin y que nos recuerde que debemos cambiar de idioma. Alactivarseelfiltro,serabuenoqueantesdeempezaraexpresar nuestrasideasacercadeesostrestemas,nosaseguremosdeque lapersonaqueestalotroladoesdeconfianzanegociandola autenticacin. Unavezcomprobadalaidentidad,negociaremoselidiomaautilizar entrelosqueconocenunoyotroparticipante,oinclusopodramos elegir no hablar de ese determinado tema en este paso. Esto sera la accin de filtrado Podemos, opcionalmente, ser el portavoz de un grupo de gente que hablaconelportavozdeotrogrupodegente.Nuestrosentornos internossonconfiables,peroelcanaldecomunicacinentrelos portavoces puede ser vulnerable. Esto sera el modo tnel. Porltimopodramoselegirentrecifrartodoeltrfico,sloel telefnico (RAS) o slo las conversaciones de lado a lado (LAN) 64 CARRERAS PROFESIONALESCIBERTEC 2. IMPLEMENTACIN DE IPSEC 2.1 IMPLEMENTACIN DE ESCENARIOS CON IPSEC. 2.1.1 Bloquear Ping (protocolo ICMP). 1.SeleccioneStart,AdministrativeToolsyseleccioneLocal Security Policy. 2.Enlaventanadesplegada,ubiquelaopcinIPSecurity PoliciesonLocalComputer,hagaclicderechosobredicha opcin en el men contextual emergente, luego haga clic sobre Create IP Security Policy. SI STEMASOPERATI VOSLABORATORI O 65 CIBERTECCARRERAS PROFESIONALES3.LaaccinanteriorllamaralAsistenteparadirectivasde seguridad IP. En la primera pantalla, slo haga clic en Next. 4.AhoraingreseelnombrePruebaPINGparaladirectivaque vamos a crear, posteriormente, haga clic en Next. 66 CARRERAS PROFESIONALESCIBERTEC5.En la ventana Requests for Secure Communication haga clic en Next. 6.Yafinalizandolacreacindelaregla,verifquequeest marcada la casilla de verificacin Edit properties y haga clic en Finish. SI STEMASOPERATI VOSLABORATORI O 67 CIBERTECCARRERAS PROFESIONALES7. En esta ventana, haga clic en el botn Add. 8.Lo anterior llama al Asistente para reglas de seguridad IP. En la pantalla de bienvenida, slo haga clic en Next. Existe una regla predeterminada 68 CARRERAS PROFESIONALESCIBERTEC 9.En la siguiente ventana, seleccione la regla This rule does not specify a tunnel. 10.AhoraseleccioneAllnetworkconnectionsyhagaclicen Next. SI STEMASOPERATI VOSLABORATORI O 69 CIBERTECCARRERAS PROFESIONALES11.Ahora se nos muestra la interfaz para seleccionar los filtros IP, encasonohubiesealgunoqueseajusteanuestras necesidades, se nos da la opcin para crear agregar uno nuevo. Para el caso, haga clic en Add 12.En la ventana IP Filter List escribe el nombre del filtro (para el casoPINGbloqueo).Opcionalmente,agregueunadescripcin para el filtro y posteriormente, haga clic en Add (verificar que est marcada la casilla de verificacin para poder hacer uso del asistente). 70 CARRERAS PROFESIONALESCIBERTEC13.Lo anterior har que aparezca el asistente para filtros. 14.En la ventana de descripcin para el filtro IPnos pregunta si es Mirrored(paquetescoincidenconlasdireccionesdeorigeny destinoopuestas).Dejemarcadolacasilladeverificaciny haga clic en Next. SI STEMASOPERATI VOSLABORATORI O 71 CIBERTECCARRERAS PROFESIONALES15. En origen del trfico, seleccione la opcin Any IP Address. 16.Para el destino, seleccione la opcin My IP Address. 72 CARRERAS PROFESIONALESCIBERTEC17. Ahoraseleccioneelprotocolo,paraelcaso,seleccioneel protocolo ICMP. 18. Finalmente, haga clic en Finish para crear el filtro. SI STEMASOPERATI VOSLABORATORI O 73 CIBERTECCARRERAS PROFESIONALES19.Ya de vuelta en la ventana anterior, haga clic en OK. 20. Ahora seleccione el filtro creado y haga clic en Next. 74 CARRERAS PROFESIONALESCIBERTEC 21.Ahora en la siguiente ventana, haga clic en Add para crear una lista de accin al filtrado. 22. En el asistente Filter Action Name escribe el nombre del Filtro. SI STEMASOPERATI VOSLABORATORI O 75 CIBERTECCARRERAS PROFESIONALES23.Ahora en el comportamiento de la accin de filtrado, seleccione Block. 24.EnlaventanaFilterActionseleccionePingBloqueadoy haga clic en Next. 76 CARRERAS PROFESIONALESCIBERTEC25.En la ventana Completing the Security Rule Wizard haga clic en Finish. SI STEMASOPERATI VOSLABORATORI O 77 CIBERTECCARRERAS PROFESIONALES26. UstedhagaclicenelbotnOKdelaventanaanterioryla ventanaLocal Security Policy habr quedado as: 27.AhorahasunapruebadePINGaunadireccinIPdelaLAN. Ver lo siguiente: 28.Ahora habilite la directiva. Local Security Policy seleccione IP Security Policies on Local Computer y en la directiva llamada Prueba PING haga clic derecho yclic en Assign. 78 CARRERAS PROFESIONALESCIBERTEC29.Finalmente,hasPINGaunaIPdelaredyverelsiguiente mensaje. LocualnosindicaqueladirectivaIPSecfuncionamedianteel bloqueo del protocolo ICMP. 2.1.1Cifrado del trfico IP (Proteccin de datos de inicio de sesin para el servidor FTP) mediante GPO. Paraesteejemplo,consideraremosqueyatenemosconfiguradoel Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera que no acepte conexiones annimas. Adems, estos servidores estn en elcontroladordedominio(prcticaqueenunentornoempresarialnose recomienda) y la mquina cliente es parte del dominio (con Windows Vista Ultimate).Slo para este ejemplo, el nombre del servidor con los roles anteriormente mencionados es SERV01 y la mquina cliente es ADMWK011. Ahora consideremos que nos estamos conectando a nuestro servidor FTP (a travs de Internet Explorer) de una forma aparentemente segura. SI STEMASOPERATI VOSLABORATORI O 79 CIBERTECCARRERAS PROFESIONALES Sin embargo, FTP no codifica las credenciales de usuario y por medio de un sniffer se puede interceptar la comunicacin tal como se muestra en la siguiente imagen: Lo que revelara, con facilidad,el usuario y contrasea del administrador de red a un usuario no autorizado. Con IPSec podemos brindar seguridad al trfico de red que, comnmente, notienecifrado.Paraestosesiguenlossiguientespasos(elhost ADMWK011 debe estar apagado para realizar estos pasos): 1.En el servidor, seleccione la ventana Run, digite dsa.msc y pulse ok. 80 CARRERAS PROFESIONALESCIBERTEC2.LoanteriorocasionarlaaperturadelActiveDirectoryUsersand Computers (ADUC). En esta ventana Cree el OU ComSeg. 3.YaconelOUComSegcreado,Seleccionealcontenedor Computers, ello desplegar los equipos que forman parte del dominio enelpanelderecho.Enestepanelseleccioneyarrastrealequipo ADMWK011haciaelOUComSeg(Selepedirunaconfirmacin previa). 4.ElequipoADMWK011pasarasermiembrodelOUComSeg,al finalizar el paso anterior. SI STEMASOPERATI VOSLABORATORI O 81 CIBERTECCARRERAS PROFESIONALES5.Nuevamente,enelservidorseleccioneStart,Run,yenlaventana Run, Escribe gpmc.msc y presione Enter. 6.Ahora,tendrabiertalaventanadeGroupPolicyManagement,En ella, despliegue el bosque,posteriormente,el dominioydespliegue el OU Domain Controllers. Finalmente, haga clic derecho sobre Default Domain Controllers Policy y seleccione Edit. 7.En la ventana GroupPolicy ManagementEditor despliegue el nodo Computer Settings, luego despliegue Policies, adems, despliegue WindowsSettings,abreSecurity Settingsy finalmente,seleccione IP Security Policies on Active Directory. 82 CARRERAS PROFESIONALESCIBERTEC 8.EnelpanelderechohagaclicderechosobrelapolticaServery seleccione Properties. 9.Ahoradesmarquelalistadelfiltro.Estalistadefiltroes slo compatible con versiones anteriores a Windows Vista. 10. La lista de filtro All IP Traffic deje tal como est, a la lista de filtro All ICMP Traffic, modifiquede tal forma quela accin, tambin, requiera seguridad(RequireSecurity)yelmtododeautentificacinsea Kerberos.Paraesto,seleccionelalistadefiltroAllICMPTrafficy UstedhagaclicenEdit.Posteriormenteenlaventanaqueaparece, SI STEMASOPERATI VOSLABORATORI O 83 CIBERTECCARRERAS PROFESIONALESubiquese hacia la pestaa Filter Action de tal forma que quede como la siguiente imagen: 11. AhoraUstedhagaclicenOKquedandoladirectivadelasiguiente manera

Finalmente, hacer clic en OK. 84 CARRERAS PROFESIONALESCIBERTEC 12. Para culminar esta primera etapa, asigne la directiva Server. Finalmente, cierre el Group Policy Management Editor. 13. Ahoraconfigureelequipocliente.Estaconfiguracinsehartambin desde el servidor (SERV01). Para ello, en Group Policy Management seleccione el OU ComSeg,despus haga clic derecho y seleccione Create a GPO in this domain, and link it here. 14. EscribePC_Seg al GPO y haga clic en OK. SI STEMASOPERATI VOSLABORATORI O 85 CIBERTECCARRERAS PROFESIONALES 15. AhoradespliegueelOUComSegyediteelGPOcreadoenelpaso anterior. Usted haga clic derecho sobre el GPO ComSeg y elije Edit. 16. IngresealGroupPolicyManagementEditor,sloqueestavezlas accionesquerealicemosaqu,afectarnalosobjetosdelOU ComSeg.Otravez,despliegueelnodoComputerSettings,luego desplieguePolicies,despus,despliegueWindowsSettings, adems, abra Security Settings y finalmente, seleccione IP Security Policies on Active Directory. 86 CARRERAS PROFESIONALESCIBERTEC17. Porltimo,asigneladirectivaServer,hagaclicderechoyseleccione Assign. 18. Slocomoprecaucin,enelservidor,ejecuteelcomandogpupdate para actualizar los cambios. 19. Finalmente, encienda la mquina clienteyconcteseal servidorFTP.Verifiquequeexisteconectividadnormal,ejecuteelsnifferpara obtener la siguiente informacin: Ahoratodoslospaquetes(quecorrespondenaFTP,aunqueno exclusivamente) estn cifrados con el protocolo ESP, as por ms que intenten interceptar los datos estos sern indescifrables por terceros. SI STEMASOPERATI VOSLABORATORI O 87 CIBERTECCARRERAS PROFESIONALES 3.SUPERVISIN DE IPSEC 3.1 IMPLEMENTACIN DEL MONITOR DE SEGURIDAD IP. Puedeusarel complementoMonitor de seguridad IPpara verysupervisar estadsticasrelacionadasconIPsecyladirectivaIPsecqueseaplicaal equipoyaotros.Estainformacinpuedeayudarleasolucionarproblemas deIPsecyaprobarlasdirectivasqueestcreando.Paracambiarlas directivas IPsec, use el complemento Directivas de seguridad IP. Para abrir el monitor de seguridad IP se siguen los siguientes pasos: 1.SeleccioneStart,luegoUstedhagaclicsobreRun,enlaventana emergente escribe mmc y presione Enter. 2.Ahora Usted haga clic en File y seleccione Add/Remove Snap-in. 88 CARRERAS PROFESIONALESCIBERTEC3.En la ventana Add or Remove sanp-in, busque IP Security Monitor en el panel izquierdo seleccioneAdd >.Finalmente haga clic en OK. Ahora tendr disponible el monitor de seguridad IP. En este monitor, se lista por defecto a nuestro servidor que al expandirlo en panel izquierdo nos muestra las directivas activas, de modo principal y de modo rpido. 3.1.1 Directiva Activa (Active Policy) ElelementoDirectivaactivadelcomplementoMonitordeseguridadIP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada aesteequipo.NosepuedeusarelcomplementoMonitordeseguridadIP para cambiar la directiva. SlopuedehaberunadirectivaIPsecactivaalmismotiempo.Ladirectiva activaesladirectivaIPsecaplicadaaesteequipo,biendeformamanual poreladministradordelequipoobienmedianteelusodeserviciosde dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO). Ladirectivaactivapuededefinirseconobjetosdedirectivadegrupoen lugardehacerloenelequipoenelcomplementoDirectivasdeseguridad IP. Al visualizar la directiva activa obtenemos la siguiente informacin: Nombreydescripcin:Nombreydescripcinespecificadosparala directiva en el momento de su creacin. ltimamodificacin:Fechayhora(horalocal)enquesecambila directiva por ltima vez. Almacn:Lugardondeestalmacenadaladirectiva,enelalmacn local (en el equipo local) o en un GPO. Ruta:Rutadecomunicacindelprotocololigerodeaccesoa directorios(LDAP)deActiveDirectoryquedescribelaubicacin completayexactaenADDSdeladirectivaIPsecaplicadaaeste equipo. nicamente, se aplica a las directivas almacenadas en objetos SI STEMASOPERATI VOSLABORATORI O 89 CIBERTECCARRERAS PROFESIONALESdedirectivadegrupodeADDS.Lasdirectivasalmacenadas, localmente, no tendrn esta ruta de acceso. Unidadorganizativa:RutadecomunicacindelLDAPquedescribe launidadorganizativa(OU)completayexactadeActiveDirectory dondeseaplicaladirectiva.nicamente,seaplicaalasdirectivas almacenadasenunobjetodedirectivadegrupodeADDS.Las directivas almacenadas, de manera local,no tendrnninguna unidad organizativa. Nombredeobjetodedirectivadegrupo:Noeselnombredela directiva IPsec. nicamente, se aplica a las directivas almacenadas en objetosdedirectivadegrupo deADDS.Lasdirectivasalmacenadas, localmente, no tendrn ningn nombre de GPO. La siguiente imagen muestra como se ve la directiva activa en el monitor de seguridad IP. 3.1.2 Supervisin del modo principal (Main Mode) LanegociacindeIntercambiodeclavesporred(IKE)demodoprincipal establece un canal seguro entre dos equipos, que se denomina asociacin deseguridad(SA)delProtocolodeadministracindeclavesyasociacin deseguridadInternet(ISAKMP).LaSAdelISAKMPseusaparaproteger intercambiosdeclaveposterioresentreequiposdelmismonivel,que recibenelnombredenegociacionesdemodorpido.Paraestablecerel canalseguro,lanegociacindemodoprincipaldeterminaunaseriede conjuntosdeproteccindecifrado,intercambiamaterialdecreacinde claves para establecer la clave secreta compartida y autenticas identidades de equipo. La supervisin de las SA de modo principal puede proporcionar informacin acerca de los equipos del mismo nivel, actualmente, conectados al equipo, cundo se cre la SA, el conjunto de proteccin que se us para generar la SA y otra informacin. Dentro del modo principal tenemos: 90 CARRERAS PROFESIONALESCIBERTECLos filtros genricos (Generic filters). Los filtros genricos son filtros IPconfiguradosparausarcualquieradelasopcionesde direccinIP, yaseacomodireccindeorigenocomodireccindedestino.IPsec permite usar palabras clave en la configuracin de los filtros, como Mi direccin IP, Servidor DNS, Servidor DHCP, Servidores WINS y Puerta deenlacepredeterminada.Siseusanpalabrasclave,losfiltros genricos muestran dichas palabras clave en el complemento Monitor deseguridadIP.Losfiltrosespecficossederivanexpandiendolas palabras claves en direcciones IP. Los filtros especficos (Specific filters): Se expanden a partir de los filtrosgenricosmedianteelusodedireccionesIPdelequipode origenodedestinoparalaconexinreal.Porejemplo,sidisponede un filtro que usa la opcin Mi direccin IP como direccin de origen y la opcin Servidor DHCP como direccin de destino, cuando se cree una conexinconestefiltro,secreardeformaautomtica,unfiltroque incluyaladireccinIPdesuequipoyladireccinIPdelservidor DHCP que este equipo usa. SI STEMASOPERATI VOSLABORATORI O 91 CIBERTECCARRERAS PROFESIONALESLadirectivaIKE(IKEPolicies):Hacereferenciaalosmtodosde cifradoointegridadquelosdosequiposdelmismonivelpueden negociar en el intercambio de claves de modo principal. Estadsticas(Statistics):Aquencontramoslasestadsticas disponibles para IPSec, ya sea de conexiones aceptadas, rechazadas, recepciones,etc.Lasiguientetablamuestralostiposdeestadsticas para el modo principal: Estadstica de IKEDescripcin Adquisicin activaUnaadquisicinesunapeticindelcontroladorIPsecpara queIKErealiceunatarea.LaestadsticaAdquisicinactiva incluyelapeticinpendienteyelnmerodepeticionesen cola,siexisten.Normalmente,elnmerodeadquisiciones activases1.Cuandolacargadeprocesamientoeselevada, elnmerodeadquisicionesactivases1yelnmerode peticionesenesperadeprocesamientoporpartedeIKE aumenta. Recepcin activaNmerodemensajesIKErecibidosyenesperade procesamiento. Errores de adquisicinNmero de veces que una adquisicin se complet con error. Errores de recepcinNmerodevecesquelafuncinWSARecvFrom()de WindowsSocketssecompletconerroralrecibirmensajes IKE. Errores de envoNmero de veces que la funcin WSASendTo() de Windows 92 CARRERAS PROFESIONALESCIBERTECSockets se complet con error al enviar mensajes IKE. Tamao de montn de adquisicin Nmerodeentradasenelmontndeadquisicin,que almacenalasadquisicionesactivas.Estenmeroaumenta cuando la carga es elevada y se reduce, gradualmente, con el tiempo,amedidaquesevareduciendoelmontnde adquisiciones. Tamao de montn de recepcin Nmerodeentradasdelosbferesderecepcindelos mensajes de IKE entrantes. Errores de autenticacin Nmerototaldeerroresdeautenticacindeidentidad (Kerberos,certificadoyclave,previamente,compartida) producidos durante la negociacin de modo principal. Si tiene dificultadesparacomunicarseconseguridad,intente establecerlacomunicacinyconsulteestaestadsticapara versiestenmeroaumenta.Sienefectoaumenta, compruebesienlaconfiguracindelaautenticacinhay algn mtodo que no corresponda o alguna opcin incorrecta (por ejemplo, si se usan claves previamente compartidas que no coinciden). Errores de negociacinNmero total de errores de negociacin producidos durante la negociacindemodoprincipalodemodorpido.Sitiene dificultadesparacomunicarseconseguridad,intente establecerlacomunicacinyconsulteestaestadsticapara versiestenmeroaumenta.Sienefectoaumenta, compruebe si en la configuracin de la autenticacin y de los mtodosdeseguridadhayalgnmtododeautenticacin que no corresponda, alguna opcin incorrecta (por ejemplo, si seusanclaves,previamente,compartidasquenocoinciden) u otra falta de correspondencia en los mtodos o las opciones de seguridad. Cookies no vlidas recibidas Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo.SiunacookiedeunmensajeIKErecibidono correspondeaunmodoprincipalactivo,seconsiderarno vlida. Adquisicin totalNmerototaldepeticionesdetrabajosqueIKEenvial controlador IPsec. Total de SPI obtenidosNmero total de peticiones que IKE envi al controlador IPsec paraobtenerunndicedeparmetrosdeseguridad(SPI) nico. Adiciones de clavesNmerodeSAdemodorpidosalientesqueIKEagregal controlador IPsec. Actualizaciones de claves NmerodeSAdemodorpidoentrantequeIKEagregal controlador IPsec. Errores de obtencin de SPI Nmero depeticiones con error que IKE envial controlador IPsec para obtener un SPI nico. Errores de adicin de claves NmerodepeticionesconerrordeadicindeSAdemodo rpido salientes que IKE envi al controlador IPsec. Errores de actualizacin de claves NmerodepeticionesconerrordeadicindeSAdemodo rpido entrantes que IKE envi al controlador IPsec. Tamao de lista ISADB Nmerodeentradasdeestadodemodoprincipal,includos losmodosprincipalesnegociados,encurso,ylosque produjeron un error y no se eliminaron. Tamao de lista de conexin Nmero de entradas de estado de modo rpido. SI STEMASOPERATI VOSLABORATORI O 93 CIBERTECCARRERAS PROFESIONALESModo principal IKENmerototaldeSAcreadas,deformacorrecta,durantelas negociaciones de modo principal. Modo rpido IKENmerototaldeSAcreadas,correctamente,durantelas negociaciones de modo rpido. Normalmente, se crean varias SA de modo rpido por cada SA de modo principal y, por ello, estenmeronotienequecoincidir,necesariamente,conel nmero del modo principal. Asociaciones dbilesNmerototaldenegociacionesqueprovocaronelusode textosimple(otambin,SAdbiles).Normalmente,este valor refleja el nmero de asociaciones formadas con equipos quenorespondieronalosintentosdenegociacindemodo principal. Puede tratarse de equipos no compatibles con IPsec odeequiposcompatiblesconIPsecquenotienenuna directiva IPsec para negociar la seguridad con este equipo del mismo nivel. Aunque las SA dbiles no son el resultado de las negociaciones de los modos principal y rpido, se consideran SA de modo rpido. Paquetes recibidos no vlidos NmerodemensajesIKEnovlidosrecibidos;incluyelos mensajesIKEconcamposdeencabezadonovlidos, longitudesdecargaincorrectasyvaloreserrneosparala cookie del receptor (cuando debe ser 0). La causa de que se produzcanmensajesIKEnovlidosesnormalmentela retransmisindemensajesanticuadosolafaltade correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec. Enelmonitordeseguridad,elapartadodeestadsticassevedela siguiente manera:

Asociacionesdeseguridad(SecurityAssociations-SA):Enesta vistasemuestranlasSAactivasconesteequipo.UnaSAesla combinacindeunaclavenegociada,unprotocolodeseguridadyel SPI,quedeformaconjunta,definenelmtododeseguridadusado paraprotegerlacomunicacindesdeelremitentehastaelreceptor. Por lo tanto, si se observan las asociaciones de seguridad del equipo, sepuedendeterminarlosequiposconectadosalequipo,eltipode cifradoeintegridaddedatosqueseestusandoparaestas conexionesyotrainformacin.Estainformacinpuederesultarde gran ayuda para probar las directivas IPsec y solucionar problemas de acceso. 94 CARRERAS PROFESIONALESCIBERTEC 3.1.3 Supervisin del modo rpido LanegociacinIKEdemodorpido(ofase2)estableceuncanalseguro entredosequiposparaprotegerlosdatos.Comoestafaseimplicael establecimientodeasociacionesdeseguridad(SA)quesenegocianen nombredelservicioIPsec,lasSAcreadasduranteelmodorpidose denominan SA de IPsec. Durante el modo rpido, el material de creacin de claves se actualiza o, si es necesario, se generan nuevas claves. Tambin, seseleccioneunconjuntodeproteccinqueresguardaeltrficoIP especificado. Un conjunto de proteccin es un conjunto definido de valores de configuracin de integridad de datos o cifrado de datos. El modo rpido noseconsideraunintercambiocompletoporquedependedeun intercambio de modo principal. Al igual que el modo principal, contiene a los filtrosgenricos(gnericfilters),especficos(specificfilters),directivasIKE (IKE policies), estadsticas (statistics) y asociaciones de seguridad(security associations).SinembargolasestadsticasIKEvisualizadasparaeste modo tienen otros campos, los cuales se resumen en la siguiente tabla: Estadstica de IPsecDescripcin Asociaciones de seguridad activas Nmero de SA de IPsec activas. Asociaciones de seguridad descargadas Nmero de SA de IPsec activas y descargadas en el hardware. Operaciones de claveNmero de operaciones de clave de IPsec en curso. SI STEMASOPERATI VOSLABORATORI O 95 CIBERTECCARRERAS PROFESIONALESpendientes Adiciones de clavesNmero total de negociaciones de SA de IPsec correctas. Eliminaciones de claveNmero de eliminaciones de claves de las SA de IPsec. Regeneraciones de clavesNmero de operaciones de regeneracin de claves de las SA de IPsec. Tneles activosNmero de tneles de IPsec activos. Paquetes SPI daadosNmero total de paquetes cuyo ndice de parmetros de seguridad (SPI) era incorrecto. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA. Si el SPI no es correcto, puede indicar que la SA entrante expir y que lleg, recientemente, un paquete que usa el SPI antiguo. Con probabilidad, este nmero aumentar si los intervalos de regeneracin de claves son cortos y hay un nmero elevado de SA. Las SA expiran en condiciones normales; por ello, la existencia de paquetes SPI daados no indica, necesariamente, que haya errores en IPsec. Paquetes sin descifrarNmero total de paquetes que generaron errores al descifrarse. Estos errores pueden indicar que lleg un paquete para una SA que expir. Si la SA expira, la clave de sesin usada para descifrar el paquete tambin se elimina. Esto no indicaque haya errores en IPsec. Paquetes sin autenticarNmero total de paquetes cuyos datos no se pudieron comprobar. La causa ms probable de este error es que una SA expir. Paquetes con deteccin de reproduccin Nmero total de paquetes que contenan un campo Nmero de secuencia vlido. Bytes confidenciales enviados Nmero total de bytes enviados con el protocolo ESP. Bytes confidenciales recibidos Nmero total de bytes recibidos con el protocolo ESP. Bytes autenticados enviadosNmero total de bytes enviados con el protocolo AH. Bytes autenticados recibidosNmero total de bytes recibidos con el protocolo AH. Bytes de transporte enviadosNmero total de bytes enviados con el modo de transporte de IPsec. Bytes de transporte recibidosNmero total de bytes recibidos con el modo de transporte de IPsec. Bytes enviados en los tneles Nmero total de bytes enviados con el modo de tnel de IPsec. Bytes recibidos en los tneles Nmero total de bytes recibidos con el modo de tnel de IPsec. Bytes de descarga enviadosNmero total de bytes enviados con la descarga de hardware. Bytes de descarga recibidosNmero total de bytes recibidos con la descarga de hardware. 96 CARRERAS PROFESIONALESCIBERTECLa forma, en que se presentan estas estadsticas, es la siguiente: SI STEMASOPERATI VOSLABORATORI O 97 CIBERTECCARRERAS PROFESIONALES 98 CARRERAS PROFESIONALESCIBERTECResumen InternetProtocolSecurity(IPSec)esunentornodeestndares abiertos para garantizar comunicaciones privadas y seguras a travs deredesInternetProtocol(IP),medianteelusodeserviciosde seguridad basados en cifrado. IPSecautentificalosequiposycifralosdatosparasutransmisin entrehostsenunared,intranetoextranet,incluidaslas comunicacionesentreestacionesdetrabajoyservidores,yentre servidores. ElobjetivoprincipaldeIPSecesbrindarseguridadalospaquetes de red. Dependiendodelnivelsobreelqueseacte,podemosestablecer dos modos bsicos de operacin de IPsec: modo transporte y modo tnel. UnadirectivaIPSecestformadaporunconjuntodefiltrosacerca deltrficoderedquecuandoseactivan,hacenquelosequipos involucradosenlaconversacinnegocienunaautenticacinentre ellosysiestaesexitosaseapliqueunaaccindefiltradoaltrfico de red. Existenunasdirectivaspredeterminadasquepodemosutilizarsin ninguna configuracin adicional. Client(Cliente):nicamente,aplicaregladerespuestacifrada predeterminada. Server(Servidor):Envalosdatoscifradosperoadmitela conversacinconclientesquenocifrensuscomunicaciones. Estemodoeselrecomendadosiqueremosqueprimela comunicacin sobre la seguridad. SecureServer(ServidorSeguro):Enestecasotoda comunicacinsercifradaynopermitirlacomunicacinsin cifrar (excepto el trfico ICMP)

Con IPSec podemos cifrar el trfico de red que, comnmente, no posee nivel de cifrado (como el caso de telnet o ftp). LasdirectivasIPSecpuedenconfigurarse con GPOs,portantolasdirectivas pueden afectar a todos los usuarios que estn dentro de un OU. Si desea saber ms acerca de este tema, puede consultar la siguiente pgina. http://technet.microsoft.com/es-es/library/cc776080%28WS.10%29.aspx SI STEMASOPERATI VOSLABORATORI O 99 CIBERTECCARRERAS PROFESIONALES

PuedeusarelcomplementoMonitordeseguridadIPparaverysupervisar estadsticasrelacionadasconIPsecyladirectivaIPsecqueseaplicaal equipo y a otros. Esta informacin puede ayudarle a solucionar problemas de IPsec y a probar las directivas que est creando. ElelementoDirectivaactivadelcomplementoMonitordeseguridadIP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al equipo.NosepuedeusarelcomplementoMonitordeseguridadIPpara cambiar la directiva. LanegociacindeIntercambiodeclavesporred(IKE)demodoprincipal establece un canal seguro entre dos equipos, que se denomina asociacin de seguridad(SA)delProtocolodeadministracindeclavesyasociacinde seguridadInternet(ISAKMP).LasupervisindelasSAdemodoprincipal puedeproporcionarinformacinacercadelosequiposdelmismonivel, actualmente,conectadosalequipo,cundosecrelaSA,elconjuntode proteccin que se us para generar la SA y otra informacin. LanegociacinIKEdemodorpido(ofase2)estableceuncanalseguro entredosequiposparaprotegerlosdatos.Comoestafaseimplicael establecimientodeasociacionesdeseguridad(SA)quesenegocianen nombredelservicioIPsec,lasSAcreadasduranteelmodorpidose denominanSAdeIPsec.Elmodorpidonoseconsideraunintercambio completo, porque depende de un intercambio de modo principal. Sideseasabermsacercadeestostemas,puedeconsultarlasiguientes pginas: http://technet.microsoft.com/es-es/library/cc753765(WS.10).aspx http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch10s02.html 100 CARRERAS PROFESIONALESCIBERTEC FUNDAMENTOS DE SEGURIDAD DE RED LOGRO DE LA UNIDAD DE APRENDIZAJE Altrminodelaunidad,elalumnosercapazdeidentificarlasamenazas, vulnerabilidades de seguridad, y tomar medidas de correccin para recuperarse de incidentes de seguridad que se produzca en la organizacin TEMARIO Implementacin de seguridad con GPOAccelerator Implementacin de Microsoft Baseline security Analyzer Asegurando los Servidores WEB Administracin de Windows Server Update Service

ACTIVIDADES PROPUESTAS Los alumnos: Crean las lneas base de seguridad en servidores y estaciones. Analizanlaconfiguracindeseguridaddelsistema,venlosresultadosdel anlisis, resuelven discrepancias y configuran el equipo. UNIDAD DE APRENDIZAJE 4 TEMA 6 SI STEMASOPERATI VOSLABORATORI O 101 CIBERTECCARRERAS PROFESIONALES 1. IMPLEMENTACIN DE SEGURIDAD CON GPOACCELERATOR LaherramientaGPOAcceleratorcreatodoslosGPOsquenecesitespara implementarlaconfiguracinrecomendadadeseguridadparatred.Esta funcionalidad ahorra muchas horas de trabajo que de otro modo sera necesario para configurar e implementar manualmente la configuracin de seguridad. 1.1 INSTALACIN DE GPOACCELERATOR ElGPOAccelerator.msiseinstalarpidamenteencomputadorasque ejecutan los siguientes sistemas operativos: Windows Server 2008 SP2 Windows Server 2003 R2 Windows 7 Windows Vista Windows XP La mayora de las tareas de GPOAccelerator requieren la instalacin de la Group Policy Management Console (GPMC) en el equipo que ejecuta la herramienta. El GPOAccelerator le avisar si el GPMC o cualquier otro componente necesario no estn presentes. CuandoseejecutaelWindowsInstaller(.Msi),estecrealacarpeta GPOAccelerator dentro de Archivos de programa en su computadora. El archivo.msitambincreaunaestructuradesubcarpetasdentrodela carpeta GPOAccelerator. 1.2 COMO USAR GPOACCELERATOR EN LA RED El GPOAccelerator le ayuda a implementar los GPO en su entorno, que requiereunaplanificacincuidadosaylaprueba.Antesdeutilizarel GPOAccelerator,usteddebefamiliarizarseconlosconceptosdescritos enlasguasdeseguridadadecuadas.Acontinuacin,puederevisarel captulo1,"GPOAcceleratordelneadecomandosyopcionesde interfazdeusuario",paraaprendersobrelasdiferentesopciones disponibles para el uso de la GPOAccelerator para establecer una de las lneas de base de seguridad definidos en la seccin siguiente. Loscaptulosrestantesdeestaguaproporcionaninstrucciones detalladasdelfuncionamientodelaGPOAcceleratorcondiferentes sistemas operativos. 1.3 ENTORNOSDESEGURIDADDELNEADEBASE ElGPOdereferenciadeseguridadqueelGPOAcceleratorleayudaa implementarproporcionaunacombinacindeconfiguracindeprueba quemejoralaseguridaddelosequiposqueejecutanestossistemas operativos y aplicaciones en los siguientes dos ambientes distintos: Enterprise Client (EC) Specialized Security Limited Functionality (SSLF) 102 CARRERAS PROFESIONALESCIBERTEC 1.3.1 The Enterprise Client (EC) El Cliente de empresa (CE) medio ambiente citados en esta gua se compone de un dominio con AD DS en el que los equipos que ejecutanWindowsServer2008conActiveDirectoryadministrar los equipos cliente que puedan funcionar tanto con Windows Vista oWindowsXP,ylosservidoresmiembroqueejecutanWindows Server2008oWindowsServer2003R2. Loscontroladoresdedominio,servidoresmiembro,ylosequipos cliente se manejan en este medio ambiente a travs de directivas degrupo,queseaplicaasitios,dominiosyunidades organizativas.Directivadegrupoproporcionaunainfraestructura centralizadaenADDSquepermiteelcambiodedirectorioyla gestindeconfiguracindeusuarioydeequipo,incluidoslos datos de seguridad y el usuario. El Grupo de Poltica de esta gua prescribenoescompatibleconequiposclientequeejecutan Windows 2000 1.3.2 Specialized Security Limited Functionality (SSLF) LaSeguridadespecializada-Funcionalidadlimitada(SSLF)de referencia en esta gua se refiere a la demanda para ayudar a crear ambientesaltamenteseguroparalosequiposqueejecutan WindowsServer2008.Lapreocupacinporlaseguridadestan grandeenestosambientesqueunaprdidasignificativade funcionalidadycapacidaddegestinesaceptable.ElClientede empresa(EC)dereferenciadeseguridadayudaaproporcionar seguridadmejoradaquepermitesuficientefuncionalidaddel sistemaoperativoylasaplicacionesparalamayoradelas organizaciones. Precaucin:laconfiguracindeseguridadSSLFnoestn destinados a la mayora de las organizaciones empresariales. Para implementar con xito la configuracin de SSLF, las organizaciones debiendebenprobarlaconfiguracindesuentornopara asegurarsedequelasconfiguracionesdeseguridadprescritasno limitan la funcionalidad requerida. Siusteddecideprobareimplementarlosajustesdeconfiguracin SSLFalosservidoresensuentorno,losrecursosdeTIensu organizacinpuedeexperimentarunaumentoenelescritoriode lasllamadasrelacionadasconlafuncionalidadlimitadaquela configuracin de imponer. Aunque la configuracin de este entorno proporcionaunmayorniveldeseguridadparalosdatosylared, tambinevitaalgunosserviciosdeejecucinquesuorganizacin pueda requerir. Ejemplos de esto incluyen a Escritorio remoto, que permitealosusuariosconectardeformainteractivaalos escritorios y aplicaciones en equipos remotos. 1.4 LNEA DE COMANDO Y OPCIONES DE GPOACCELERATORLasopcionesquebrindaelcomandoGPOAcceleratorpuedenser usadasparaimplementarGPOsenunambientequeuseDirectorio Activo. 1.4.1Opciones para GPOAccelerator SI STEMASOPERATI VOSLABORATORI O 103 CIBERTECCARRERAS PROFESIONALESGPOAcceleratoresunainterfacedescriptqueseejecutadesdeuna interface de comandos. Si ejecuta GPOAccelerator sin ninguna opcin, la herramienta muestra la siguiente lista de opciones. 1.4.2 Resultados del comando GPOAccelerator La siguiente tabla muestra los resultados que se esperan cuando creas e implementas GPOs y OUs con GPOAccelerator Comandos para implementar la gua de seguridad de Windows Server 2008 ComandoResultado GPOAccelerator.wsf /Enterprise /WS08 Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. 104 CARRERAS PROFESIONALESCIBERTECGPOAccelerator.wsf /SSLF /WS08 Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2008. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /Enterprise /LAB /WS08 Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2008. GPOAccelerator.wsf /SSLF /LAB /WS08 Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2008. Comandos para implementar la gua de seguridad de Windows Server 2003 ComandoResultado GPOAccelerator.wsf /Enterprise /WS03 Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /SSLF /WS03 Crea el SSLF GPOs descrito en la gua de seguridad de Windows Server 2003. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /Enterprise /LAB /WS03 Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2003. GPOAccelerator.wsf /SSLF /LAB /WS03 Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Server 2003. Comandos para implementar la gua de seguridad de Windows7 ComandoResultado GPOAccelerator.wsf /Enterprise /Win7 Crea el EC GPOs descrito en la guia de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /SSLF /Win7 Crea el SSLF GPOs descrito en la gua de seguridad de Windows7. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /Enterprise /LAB /Win7 Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows7. GPOAccelerator.wsf /SSLF/Win7 /Desktop Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows 7. GPOAccelerator.wsf /SSLF /Win7 /Laptop Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows 7. Comandos para implementar la gua de seguridad de Windows vista ComandoResultados GPOAccelerator.wsf /Enterprise /Vista Crea el EC GPOs descrito en la guia de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. SI STEMASOPERATI VOSLABORATORI O 105 CIBERTECCARRERAS PROFESIONALESGPOAccelerator.wsf /SSLF /Vista Crea el SSLF GPOs descrito en la gua de seguridad de Windows Vista. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /Enterprise /LAB /Vista Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows Vista. GPOAccelerator.wsf /SSLF /Vista /Desktop Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows Vista. GPOAccelerator.wsf /SSLF /Vista /Laptop Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows Vista. Comandos para implementar la gua de seguridad de Windows XP ComandoResultados GPOAccelerator.wsf /Enterprise /XP Crea el EC GPOs descrito en la gua de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /SSLF /XP Crea el SSLF GPOs descrito en la gua de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /Enterprise /LAB /XP Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la gua de seguridad de Windows XP. GPOAccelerator.wsf /SSLF /XP /Desktop Aplica la configuracin de seguridad de escritorio SSLF a la computadora local basada en Windows XP . GPOAccelerator.wsf /SSLF /XP /Laptop Aplica la configuracin de seguridad de laptops SSLF a la computadora local basada en Windows X . Comandos para implementar la gua de seguridad de Internet Explorer 8 CommandResults GPOAccelerator.wsf /Enterprise /IE8 Crea el EC GPOs descrito en la guia de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /SSLF /IE8 Crea el SSLF GPOs descrito en la gua de seguridad de Internet Explorer 8. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. GPOAccelerator.wsf /SSLF /IE8 Aplica la configuracin de seguridad SSLF a Internet Explorer en la computadora local. Comandos para implementar la gua de seguridad de Microsoft Office 2007 CommandResults GPOAccelerator.wsf /Enterprise /Office Crea el EC GPOs descrito en la gua de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. 106 CARRERAS PROFESIONALESCIBERTECGPOAccelerator.wsf /SSLF /Office Crea el SSLF GPOs descrito en la gua de seguridad de Microsoft Office 2007. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Otros Comandos para implementar, resetear, y restaurar los GPOs CommandResults GPOAccelerator.wsf /ConfigSCE Cambia la configuracin en la computadora local para que todas las polticas estn visibles en el editor de polticas de grupo. GPOAccelerator.wsf /ResetSCE Revierte la configuracin para mostrarla predeterminada en el Editor de directivas de grupo. Si su organizacin ha personalizado la configuracin y ejecuta este comando, las personalizaciones se perdern. GPOAccelerator.wsf /Restore {/Vista | /XP} Restaura la configuracin por defecto para Windows Vista o Windows XP a sus valores por defecto de la computadora local. Este comando es muy til cuando preparas configuraciones personalizadas. Por ejemplo, despus de ejecutar una prueba de testeo y quizs quieras restaurar la configuracin por defecto y probar una configuracin diferente. SI STEMASOPERATI VOSLABORATORI O 107 CIBERTECCARRERAS PROFESIONALES 1.5 INSTALACIN DE GPOACCELERATOR 1.Iniciesesincomounadministradordedominioparaunequipoque ejecuta Windows Server2008 queest unido al dominio mediante Active Directory en el que podrs crear los GPO. 2.Enelequipo, hagaclicenInicio,seleccioneTodoslos programasy,a continuacin, haga clic en GPOAccelerator. 3. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de la herramienta de instalacin. 4.HagadobleclicenelarchivoGPOAccelerator.exeparainiciarel asistente. Lasiguientefiguramuestralapginadeopcionesdeherramientaenel asistentequesepuedeutilizarparadefinirlaformaenquedesea establecerydesplegarsulneadebasedeseguridad.Enlapgina Bienvenido, haga clic en Siguiente para acceder a esta pgina. 108 CARRERAS PROFESIONALESCIBERTEC La pgina de opciones de herramientaofrece las siguientes alternativas: Dominio. Utilice esta opcin para aplicar una lnea de base de seguridad y crearobjetosdedirectivadegrupo(GPO)paraunentornobasadoenel dominio.Estaopcinteofreceotrasalternativasenlaspginassiguientes delasistenteparaejecutarunacombinacindeopciones,talescomo/ Empresa,/SSLF,y/laboratorioparaestableceryprobarlaseguridad bsica. Tenga en cuenta que debe ser un administrador de dominio para utilizar esta opcin. Local.Utiliceestaopcinparaaplicarunalneadebasedeseguridady modificar la configuracin de seguridad predeterminada en un equipo cliente. Esta opcin teofrece otras opcionesen laspginas siguientesdel asistente paraejecutarel/Desktop/Laptop,y/Restaurarlasopcionesdelneade comandosquesedefinenenlasguasdeseguridadparaWindowsXPy WindowsVista. Tengaencuentaquedebeserunadministradorparautilizarestaopcin. ActualizacindeSCE.UtiliceestaopcinparaactualizarelEditorde configuracin de seguridad (SCE) para mostrar la configuracin de seguridad SMS.Ustedpuedeutilizarestaopcinparaejecutarel/ConfigSCEy/ ResetSCEopcionesdelalneadecomandosdiscutidosenlasguasde seguridad. Nota: Debe ser un administrador para utilizar esta opcin. 1.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD Implementa las polticas de seguridad en el ambiente EC para desarrollar esta gua requiere Group Policy Management Console (GPMC). El GPMC SI STEMASOPERATI VOSLABORATORI O 109 CIBERTECCARRERAS PROFESIONALESesta integrado en Windows Server 2008, entonces no necesita descargar la consola GPMC. Tareas para la implementacin: 1.Crea el ambiente EC 2.Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio. 3.UsaelGPMCparaenlazarel WS08ECDomain ControllersBaseline Policy al Domain Controllers OU. 4.Usa el GPMC para verificar los resultados. 5.Delamismaformarealizalosmismospasosparaconfigurarla seguridad en cada servidor. 1.6.1 Crea el ambiente EC 1.ClicenStart,despusclicAllPrograms,yluegoclic GPOAccelerator. 2.Clic derecho en el acceso directoGPOAccelerator Command-line, y luegoclicderechoenelcommandpromptRunasadministrator para abrirlo co