redes microsoft · dialectos: lanman, samba, cifs, ntlm... sistema netbios: smb ... dominio:...
TRANSCRIPT
Controladores de dominio
Redes Microsoft
NetBIOS
Las redes Microsoft han identificado tradicionalmente los ordenadores mediante nombres NetBIOS.
NetBIOS facilita el desarrollo de aplicaciones en red (proporciona una API sencilla que abstrae al programador de las comunicaciones).
Problema: TCP/IP se ha impuesto. Pero TCP/IP no emplea NetBIOS.
El sistema NetBIOS
Identificación de máquinas mediante el uso de nombres.
Formato: 16 bytes de los cuales, los 15 primeros identifican a la máquina y el último identifica el servicio.
Tipos de nombres: Existen dos tipos de nombres NetBIOS: nombres únicos y nombres de grupo de trabajo.
Tipos de servicios: El valor del byte número 16 del nombre identifica el servicio de la máquinas.
“...NetBIOS (Network Basic Input Output System): Interface de aplicaciones para trabajo en red (IBM, 1985)...”
NetBIOS sobre TCP/IP
“...Las aplicaciones de red de Microsoft usan nombres NetBIOS, sin embargo las redes TCP/IP utilizan direcciones IP...”
SOLUCIÓN: “....Antes de establecer comunicación con una máquina se pregunta por la dirección IP asociada a su nombre NetBIOS...”
Resolución de nombres NetBIOS Mediante difusión de mensajes Mediante Servidores de Nombres
Resolución de nombres NetBIOS (Broadcast)
Resolución de nombres NetBIOS (Servidor NBNS)
Dominios Microsoft: Resolución de nombres
\%systemroot%\System32\Drivers\Etc\host y lmhost
Equivalencias entre IP y nombre DNS y NetBIOS.
Dominios Microsoft: Resolución de nombres
Orden de resolución
Sistema NetBIOS: SMB
SMB (Server Message Block): Protocolo de comunicación a nivel de aplicación y de presentación para compartir recursos de red.
Operaciones:
Abrir y cerrar archivos Envío y eliminación de archivos de la cola de impresión Lectura y escritura sobre un archivo Crear archivos y directorios Compartir directorios.
Dialectos: LANMAN, SAMBA, CIFS, NTLM...
Sistema NetBIOS: SMB
Modelo de Seguridad: Sólo abarca a los archivos y carpetas compartidas
en la red. Define dos niveles de seguridad.
Nivel share Establece el derecho de acceso mediante una password
Nivel user Establece el tipo de acceso (lectura, escritura, control total..)
Obliga a una administración descentralizada. No protege carpetas/archivos de acciones locales.
SMB (Seguridad)
Sistema NetBIOS: SMB (protocolo orientado a
conexión)
TID: ID del recurso compartidoPID: ID del proceso que usa el recursoUID: ID del usuario.
CIFS: DialectoSMB posteriorA NT4.0 SP3
(Common InternetFile SIstem).
Modelo NetBIOS de Microsoft
Dos modelos: Basado en Grupos de Trabajo Basado en Dominios
Grupos de Trabajo.● Comparten recursos de igual a
igual (peer to peer).● Todos los equipos se pueden
comportar como clientes y servidores.
● La seguridad de los recursos es básica y obliga a una administración descentralizada.
● Hasta la aparición de WNT las redes de Microsoft funcionaban según los Grupos de Trabajo.
Dominios● Reunión en una Base de Datos a
todos los recursos, máquinas y usuarios disponibles.
● Incorporación de Controladores de Dominio: Facilitan el acceso de los clientes a la base de datos.
● Aportan mejores en la seguridad de recursos en red (sistemas de ficheros expuestos) y disminuyen la carga administrativa.
● Tecnologías para controladores de dominio: WNT y W2K
Dominios Microsoft: sesiones de trabajo
El usuario se identifica para el inicio de sesión(Credenciales)
Si el usuario posee una cuenta de dominio, recibe una autorización del DC.
Cuando el usuario finaliza el trabajo debe indicárselo al controlador de dominio mediante el cierre de la sesión.
Dominios Microsoft: cuentas de usuario y cuentas de
máquina Cuentas de usuario: incluyen, entre otras cosas,
nombre de usuario y contraseña. Cuentas de máquina: incluyen, entre otras cosas, el
nombre las máquinas que pertenecen al dominio, es decir, máquinas de confianza del dominio.
No puede acceder a los recursos de la red usuarios o máquinas sin cuenta en el dominio.
Dominios Microsoft: modelo de seguridad de NTFS
Listas ACL definidas por NTFS. Cada archivo/carpeta de un volumen NTFS
está asociado a una ACL que describe: Usuarios/grupos con derecho de acceso
(aparecen en la lista). Nivel de privilegio de acceso (lectura,
escritura...).
Dominios Microsoft: modelo de seguridad de NTFS
Dominios Microsoft: modelo de seguridad de NTFS
Acceso a un archivo/carpeta: el sistema comprueba si el usuario/grupo posee una entrada en la ACL.
Si la entrada existe, el usuario accede con los permisos definidos en la ACL.
Si no existe, se denegará el acceso al usuario.
Dominios Microsoft: modelo de seguridad de NTFS y
SMB
Si un archivo/carpeta está compartido/a en red, los permisos efectivos serán resultado de aplicar los más restrictivos definidos por NTFS y SMB
Dominios Microsoft: modelo de seguridad de SMB
Dominios Microsoft: permisos de carpetas
compartidas
Dominios Microsoft: combinación de permisos
SMB Y NTFS
Dominios Microsoft: Administrador del dominio
Persona con autoridad para efectuar modificaciones en la configuración del dominio.
Posee una cuenta de administrador que otorga todos los derechos y permisos.
Actividades: Gestión de cuentas de usuario (crear, modificar...) Gestión de grupos de usuario Copias de seguridad Recursos compartidos y sus permisos
“With great power comes great responsibility” Tio de Spiderman
Dominios Microsoft: Directivas de grupo.
Reglas que definen el entorno de trabajo de usuario y la máquina.
Actúan sobre el registro del S.O. Se encuentran en el DC y se cargan al iniciar la
sesión de usuario o de máquina (arranque). Reducen el número de accidentes por errores de los
usuarios.
Dominios Microsoft: WNT
PDC: Controlador de dominio primario. Posee la base de datos (SAM – Security Account
Manager) de objetos del dominio. Un solo PDC. Réplica periódica sobre BDC (arquitectura
monomaestro).
Dominios Microsoft: WNT
BDC (Back Domain Controller). Servidores de respaldo. Pueden haber varios. Poseen una copia de SAM y dan cobertura al PDC
cuando yo puede atender la petición. BDC: la SAM es readonly.
Dominios Microsoft: WNT
El modelo más sencillo: Dominio único.
Dominios Microsoft: W2K
W2K heredó la fisolosofía WNT pero incorporando dos diferencias:
Los PDC y BDC son sustituidos por los DC's, en un modelo de replicación multimaestro.
Integra todos los recursos del dominio en una base de datos jerárquica y distribuida, llamada Active Directory.
Dominios Microsoft: Active Directory
Servicio de directorio:
Los usuarios y administradores con frecuencia no saben el nombre exacto de los objetos en que están interesados. Quizá conozcan uno o más atributos de los objetos.
Un servicio de directorio permite que un usuario encuentre cualquier objeto con sólo uno de sus atributos.
Por ejemplo:
“Encontar todas las
impresoras en Edificio B”
Dominios Microsoft: Active Directory
Active Directory es un servicio de directorio, aunque hay otros, como LDAP.
Los beneficios de un servicio de directorio AD:
Administración simplificada
Esquema escalable
Almacenamiento centralizado
Seguridad reforzada