Sistemas Operativos Windows PDF

Sistemas Operativos Windows MATERIAL TÉCNICO DE APOYO Sistemas Operativos Windows TAREA N°01 Instala, configura y asegura el servidor de archivos y de impresión. 1.1 Sistema Operativo de Servidor. Un sistema operativo de servidor es un software que gestiona recursos para que diferentes aplicaciones y usuarios puedan utilizarlos. Es importante en la gestión de servidores web, bases de datos y grandes centros de datos. La elección del sistema operativo es importante porque determina la estabilidad y seguridad del servidor, así como su capacidad para manejar grandes cargas de trabajo. Esto también afecta la facilidad de instalación y configuración del servidor, ahorrando tiempo y dinero en el proceso. Hay muchos sistemas operativos de servidor disponibles en el mercado, siendo Linux y Windows los más utilizados. Ambos sistemas operativos tienen sus propias ventajas y desventajas, y la elección depende de las necesidades y objetivos de su negocio. De igual forma, existen otros sistemas operativos como Mac OS. Existen otras opciones de sistemas operativos de servidor que también pueden ser adecuadas según las necesidades y criterios de su negocio. Los ejemplos incluyen Mac OS X Server, que es compatible con el hardware de Apple y proporciona una experiencia de usuario intuitiva, y la familia Unix, conocida por su estabilidad y seguridad. Es importante evaluar cuidadosamente cada opción y sus características para elegir el sistema operativo que mejor se adapte a las necesidades de su negocio. 1.2 Microsoft Windows Server. Windows Server es un sistema operativo desarrollado por Microsoft específicamente para su uso en servidores. Un servidor es una máquina muy potente diseñada para funcionar de forma continua y proporcionar recursos a otras computadoras. Por lo tanto, en casi todos los casos, Windows Server se utiliza únicamente en un entorno empresarial. A lo largo de la historia han existido numerosas versiones de Windows Server.  Windows 2000 Server. La primera versión de la distribución fue lanzado a principios del año 2000. Por aquel entonces se trataba como un software para la implementación en servidores de servicios web. 2 Sistemas Operativos Windows  Windows Server 2003. Solo tres años después nació la segunda versión, con mejoras considerables en el ámbito de la seguridad.  Windows Server 2008. En 2008 nació la tercera versión de Windows Server, que guardaba grandes similitudes con Windows Vista. La razón es que ambos sistemas compartían determinadas áreas del código.  Windows Server 2008 R2. Es una versión mejorada de Windows Server 2008. Fue una gran revolución en el sector informático ya que fue el primer Sistema Operativo de 64 bits lanzado por Microsoft.  Windows Server 2012. El principal objetivo de esta versión no era otro que captar suscriptores.  Windows Small Business Server. Tal y como su propio nombre indica, este Sistema Operativo está especialmente desarrollado para pequeñas empresas.  Windows Essential Business Server. Muy similar a la anterior, pero esta versión está pensada para empresas de tamaño medio.  Windows Home Server. Microsoft lanzó esta versión para hogares. Así, las personas que vivían en una misma vivienda podían compartir documentos y copias de seguridad, entre otros archivos, de forma segura.  Windows Server 2016. La penúltima versión del SO lanzada por la empresa norteamericana. También recibe el nombre de Windows Server vNext.  Windows Server 2019. El sistema está construido sobre la base de Windows Server 2016. Ya en plena era digital, apuesta por la virtualización y la nube, ofreciendo a las empresas un entorno híbrido en el que pueden aprovechar las ventajas de entornos locales y nubes públicas.  Windows Server 2022. Actualmente, la opción más segura y estable de Windows Server. La seguridad es una de los puntos fuertes de esta versión, además de su compatibilidad total 3 Sistemas Operativos Windows con Azure, el servicio en la nube de Microsoft. 1.3 Arquitectura Cliente/Servidor. El modelo cliente-servidor es uno de los conceptos arquitectónicos más comunes en la tecnología de redes. Tareas comunes como enviar solicitudes HTTP a un servidor web o transferir archivos a través de FTP son casos de uso comunes. El modelo cliente-servidor tiene ciertas características. Existe una clara división del trabajo entre clientes y servidores. El servidor es el responsable de prestar el servicio. Es el responsable de realizar las tareas solicitadas y dar la respuesta esperada. El cliente, a su vez, utiliza y solicita los servicios prestados. Finalmente, obtienes una respuesta del servidor. En el modelo cliente-servidor, el servidor atiende a muchos clientes y, por lo tanto, maneja muchas solicitudes de diferentes clientes. Para ello ofrece sus servicios de forma permanente y temporal. Por su parte, el cliente solicita activamente servicios al servidor e inicia los servicios del servidor. Siguiendo este modelo, una computadora física puede ser tanto cliente como servidor. El único factor determinante es su papel en la red y si la computadora envía o recibe solicitudes de servicios y recursos. El modelo cliente-servidor es uno de los conceptos arquitectónicos más utilizados en la tecnología de redes, dado que ofrece algunas ventajas significativas:  Administración central La administración central es una de las principales ventajas. El servidor está en el centro de la red. Todos los usuarios o clientes lo utilizan. Los recursos importantes, como bases de datos, se encuentran en el servidor y son accesibles de forma centralizada. Esto simplifica la administración y el mantenimiento de los recursos importantes que requieren protección. La ubicación central del servidor hace que la realización de actualizaciones sea cómoda y de bajo riesgo.  Derechos de acceso controlados globalmente El almacenamiento central de recursos importantes permite una gestión segura y global de los derechos de acceso. Cuando se trata de datos sensibles, es importante saber quién puede ver los datos y quién puede manipularlos. Para proteger los datos de la mejor manera posible, hay que establecer derechos de acceso.  Un solo servidor para muchos clientes El número de clientes puede ampliarse. Varios clientes trabajan simultáneamente utilizando un único servidor. Los clientes comparten los recursos del servidor. También es posible que el servidor esté situado en un lugar distinto al de los clientes. Lo más importante es que el servidor y los clientes estén conectados a través de una red. Y por ende, no es necesario que los recursos estén en el mismo sitio. 4 Sistemas Operativos Windows 1.4 Controlador de dominio. Un controlador de dominio (domain controller) es un servidor fundamental en la infraestructura del directorio activo que gestiona la autenticación para los usuarios de la organización, así como las directivas de seguridad. Suelen tratarse de sistemas basados en Windows Server, pero este rol puede ser ejecutado también desde sistemas Linux. Además de gestionar la autenticación suelen realizar otras funciones como la gestión de los certificados, servidor RADIUS, servidor DNS. En una infraestructura empresarial el controlador de dominio es uno de los elementos más críticos, por lo que la realización de auditorías de seguridad para evaluar su seguridad es fundamental. 1.5 Active Directory. Los servicios de directorio activo (Active Directory Domain Services) proporcionan una forma de almacenar datos de registro y ponerlos a disposición de los usuarios y administradores de red. Por ejemplo, el Active Directory almacena información sobre cuentas de usuario, como nombres, contraseñas, números de teléfono, etc., y permite que otros usuarios autorizados en la misma red accedan a esta información. Active Directory almacena información sobre objetos en la red y los hace fáciles de encontrar y utilizar para usuarios y administradores. Active Directory utiliza un almacén de datos estructurados como base para la organización lógica de la información del directorio. Este almacén de datos, llamado directorio, contiene información sobre el directorio. Por lo general, estos incluyen recursos compartidos como servidores, volúmenes, impresoras y computadoras de red y cuentas de usuario. Para obtener más información sobre los almacenes de datos del registro, consulte Almacenes de datos del registro. La seguridad está integrada en el directorio activo mediante autenticación de inicio de sesión y control de acceso al directorio. A través de una única conexión de red, los administradores pueden administrar registros y datos de configuración en su red, y los usuarios autorizados de la red pueden acceder a los recursos en cualquier lugar de la red. La gestión basada en reglas facilita la gestión incluso de las redes más complejas. Active Directory también incluye:  Un conjunto de reglas, el esquema, que define las clases de objetos y atributos incluidos en el directorio, las restricciones y límites de las instancias de estos objetos y el formato de sus nombres. Para obtener más información acerca del esquema, consulte Esquema. 5 Sistemas Operativos Windows  Un catálogo global que contiene información acerca de todos los objetos del directorio. Esto permite a los usuarios y administradores buscar información del directorio con independencia del dominio en que el directorio tiene los datos. Para obtener más información acerca del catálogo global, consulte Catálogo global.  Un mecanismo de consulta e índice para poder publicar los objetos y sus propiedades, y buscar por usuarios o aplicaciones de red. Para obtener más información sobre cómo consultar el directorio, vea Buscar en Active Directory Domain Services.  Un servicio de replicación que distribuye los datos de directorio en una red. Todos los controladores de dominio de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio del dominio. Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio. Para obtener más información acerca de la replicación de Active Directory, consulte Conceptos de replicación de Active Directory. 1.6 Servidor de archivos. Un file server (o servidor de archivos) es un servidor central de una red informática, que pone un archivo o parte de él a disposición de un cliente conectado. De este modo, los servidores de archivos ofrecen a los usuarios un depósito central para sus propios archivos y soportes de datos, al que tienen acceso todos los clientes. El administrador del servidor establece pautas estrictas para determinar qué usuarios tienen derechos de acceso a los datos: por ejemplo, al configurar procesos u otorgar permisos al sistema de archivos, puede determinar la seguridad de un usuario o un grupo de usuarios que puede verificar y abrir. Los archivos sólo son visibles o se pueden guardar, editar o eliminar. Figura N° 01: Esquema general de un servidor de archivos. Si el servidor de archivos está conectado a Internet y configurado, no solo permite el 6 Sistemas Operativos Windows acceso desde la red local, sino también el acceso. De esta forma, los usuarios de otros lugares también pueden guardar sus archivos o acceder a los guardados en archivos de archivos. El servidor de archivos se puede utilizar en todos los sistemas operativos actuales, como Windows, Linux o macOS, los cuales deben ser compatibles con los dispositivos de la red. Por otro lado, un servidor de archivos no solo sirve para almacenar y administrar archivos, sino que puede usarse como servidor de respaldo o como repositorio de programas que deben estar disponibles para los diferentes miembros de la red. 1.7 Servidor de impresión. Un servidor de impresión es un dispositivo dedicado o concentrador de software. Ayudan a los clientes/usuarios/dispositivos a conectarse a impresoras compartidas y procesar o poner en cola archivos de un cliente a la impresora. Cuando presiona imprimir, el servidor de impresión acepta el trabajo y lo envía a la impresora adecuada. Esencialmente, los servidores de impresión son el intermediario entre la computadora y la impresora. Figura N° 02: Servidor de impresión. 1.8 Tipos de ataques a los servidores de archivos e impresión y procedimientos para evitarlos. Los servidores de archivos y de impresión, al ser soportados principalmente por un sistema operativo basado en Windows Server presentan vulnerabilidades de programas de tipo malware, siendo los principales los siguientes:  Virus. Los virus informáticos son un software que se instalan en un dispositivo con el objetivo de ocasionar problemas en su funcionamiento. Para que un virus infecte un servidor de archivos es necesaria la intervención de un usuario (intencionada o inintencionadamente).  Gusanos. Es uno de los malware más comunes que infectan los equipos y 7 Sistemas Operativos Windows sistemas de una empresa, ya que no requieren de la intervención del usuario ni de la modificación de algún archivo para poder infectar un equipo. El objetivo de los gusanos es el de replicarse e infectar el mayor número de dispositivos posibles utilizando la red para ello. Son una amenaza para las redes empresariales, porque un solo equipo infectado puede hacer que el servidor de archivos y la red entera se vea afectada en un espacio corto de tiempo.  Troyanos. Los troyanos son programas que se instalan en un equipo y pasan desapercibidos para el usuario. Su objetivo es el de ir abriendo puertas para que otro tipo de software malicioso se instale, todo ello a través de las carpetas compartidad del servidor de archivos.  Ransomware. El ransomware se ha convertido en el malware más temido en la actualidad por las empresas. Consiste en encriptar toda la información del servidor de archivos, impidiendo el acceso a los datos y los sistemas y se pide un rescate para poder liberar la información (normalmente en criptomonedas como bitcoins). Algunos de los métodos de protección, a nivel del propio servidor son los siguientes:  La gestión de permisos se utiliza para establecer quién puede acceder a qué archivos y quién tiene derechos para editar o eliminar los archivos.  Un sistema de archivos distribuido puede hacer que los datos sean redundantes y de alta disponibilidad al copiarlos en varios servidores en diferentes ubicaciones.  El uso de un antivirus y antimalware en los servidores y en las computadoras que se conectan a ellos para detectar y eliminar cualquier amenaza informática que se presente. 8 Sistemas Operativos Windows TAREA N°02 Instala, configura y asegura el servidor DHCP. 2.1 Funcionamiento del Servicio DHCP. El Protocolo de configuración dinámica de host (DHCP) es un sistema de servidor de red que asigna direcciones IP y otra información de configuración relacionada, como máscaras de subred y rutas predeterminadas. En RFC 2131 y RFC 2132, DHCP se define como un estándar del Grupo de trabajo de ingeniería de Internet (IETF) basado en el protocolo de arranque (BOOTP), con el que DHCP comparte muchos detalles de implementación. DHCP permite a los hosts obtener información importante de configuración TCP/IP de un servidor DHCP. Cada dispositivo en una red TCP/IP debe tener una dirección IP de unidifusión única para acceder a la red y sus recursos. Sin DHCP, las direcciones IP de las computadoras nuevas o de las computadoras movidas de una subred a otra deben configurarse manualmente, mientras que las direcciones IP de las computadoras eliminadas de la red deben volver a adquirirse manualmente. Con DHCP, todo este proceso está automatizado y gestionado de forma centralizada. Un servidor DHCP administra un grupo de direcciones IP y asigna una dirección a cada cliente DHCP mientras se desplaza por la red. Debido a que las direcciones IP son dinámicas (asignadas) en lugar de estáticas (asignadas permanentemente), las direcciones obsoletas se devuelven automáticamente al grupo para su reasignación. El administrador de red establece servidores DHCP que mantienen la información de configuración de TCP/IP y proporcionan la configuración de direcciones a los clientes habilitados para DHCP en forma de oferta de concesión. El servidor DHCP almacena la información de configuración en una base de datos que incluye lo siguiente:  Parámetros de configuración de TCP/IP válidos para todos los clientes de la red.  Direcciones IP válidas, mantenidas en un grupo para la asignación a clientes, así como direcciones excluidas.  Direcciones IP reservadas asociadas a determinados clientes DHCP. Esto permite una asignación coherente de una única dirección IP a un único cliente DHCP.  La duración de la concesión, o el período de tiempo durante el que se puede usar la dirección IP antes de que se requiera una renovación de la concesión. 9 Sistemas Operativos Windows Cuando un cliente habilitado para DHCP acepta una oferta de concesión, recibe lo siguiente:  Una dirección IP válida para la subred a la que se conecta.  Las opciones DHCP solicitadas, que son parámetros adicionales que un servidor DHCP está configurado para asignar a los clientes. Algunos ejemplos de opciones DHCP son Enrutador (puerta de enlace predeterminada), Servidores DNS y Nombre de dominio DNS. En la siguiente figura se muestra el escenario donde incluye un servidor DHCP en un dominio de Active Directory. El servidor está configurado para proporcionar direcciones IP a los clientes DHCP en dos subredes diferentes. Las subredes están separadas por un enrutador que tiene habilitado el reenvío DHCP. Figura N° 03: Esquema de funcionamiento de un servidor DHCP.  Instalación de servicio DHCP El siguiente procedimiento se aplica a Windows Server 2022, Windows Server 2019 y Windows Server 2016. Para instalar el servicio DHCP abra Windows PowerShell con privilegios de administrador de Windows Server y a continuación, realice la ejecución del comando siguiente: Install-WindowsFeature DHCP -IncludeManagementTools Se requiere crear grupos de seguridad, para lo cual debe ejecutar un comando de Network Shell (netsh) en Windows PowerShell y, a continuación, reiniciar el 10 Sistemas Operativos Windows servicio DHCP para que los nuevos grupos se activen. Al ejecutar el siguiente comando netsh en el servidor DHCP, los grupos de seguridad Administradores de DHCP y Usuarios DHCP se crean en Usuarios y grupos locales en el servidor DHCP. netsh dhcp add securitygroups El siguiente comando reinicia el servicio DHCP en el equipo local. Restart-Service dhcpserver Si va a instalar DHCP en un entorno de dominio, debe realizar los pasos siguientes para autorizar al servidor DHCP a funcionar en el dominio. Puede usar el siguiente comando para agregar el servidor DHCP a la lista de servidores DHCP autorizados en Active Directory. Los datos usan como referencia la figura 03. Add-DhcpServerInDC -DnsName DHCP1.corp.contoso.com -IPAddress 10.0.0.3 Para comprobar que el servidor DHCP está autorizado en Active Directory, puede usar el siguiente comando. Get-DhcpServerInDC A continuación, se indican los resultados de ejemplo que se muestran en Windows PowerShell. IPAddress DnsName --------- ---- -------------- 10.0.0.3 DHCP1.corp.contoso.com Si desea que el servidor DHCP realice actualizaciones dinámicas de DNS para equipos cliente DHCP, puede ejecutar el siguiente comando para configurar esta opción. Se trata de una configuración de nivel de servidor, no una configuración de nivel de ámbito, por lo que afectará a todos los ámbitos que configure en el servidor. Este comando de ejemplo también configura el servidor DHCP para eliminar los registros de recursos DNS de los clientes cuando el cliente caduque menos. Set-DhcpServerv4DnsSetting -ComputerName "DHCP1.corp.contoso.com" - DynamicUpdates "Always" -DeleteDnsRRonLeaseExpiry $True Puede usar el siguiente comando para configurar las credenciales que usa el servidor DHCP para registrar o anular el registro de los registros de cliente en un servidor DNS. En este ejemplo se guarda una credencial en un servidor DHCP. El primer comando usa Get-Credential para crear un objeto PSCredential y, a continuación, almacena el objeto en la variable $Credential. El comando le pide el nombre de usuario y la contraseña, por lo que debe asegurarse de proporcionar credenciales para una cuenta que tenga permiso para actualizar los registros de recursos en el servidor DNS. 11 Sistemas Operativos Windows $Credential = Get-Credential Set-DhcpServerDnsCredential -Credential $Credential -ComputerName "DHCP1.corp.contoso.com" Una vez culminada la instalación de DHCP, puede usar los siguientes comandos para configurar y activar el ámbito de la red corporativa, crear un intervalo de exclusión para el ámbito y configurar la puerta de enlace predeterminada de opciones DHCP, la dirección IP del servidor DNS y el nombre de dominio DNS. Add-DhcpServerv4Scope -name "Corpnet" -StartRange 10.0.0.1 -EndRange 10.0.0.254 -SubnetMask 255.255.255.0 -State Active Add-DhcpServerv4ExclusionRange -ScopeID 10.0.0.0 -StartRange 10.0.0.1 - EndRange 10.0.0.15 Set-DhcpServerv4OptionValue -OptionID 3 -Value 10.0.0.1 -ScopeID 10.0.0.0 -ComputerName DHCP1.corp.contoso.com Set-DhcpServerv4OptionValue -DnsDomain corp.contoso.com -DnsServer 10.0.0.2 2.2 Ámbitos y reservas DHCP. El ámbito es un intervalo de direcciones IP válidas disponibles para la concesión a los equipos cliente DHCP de la red. Microsoft recomienda que cada servidor DHCP de su entorno tenga al menos un ámbito que no esté conectado a ningún otro servidor DHCP del entorno. En Windows Server, el servidor DHCP y la función de registro deben tener permiso para bloquear la conexión de servidores DHCP no autorizados. Cualquier servidor DHCP de Windows Server que determine que no está autorizado no administrará los clientes. Un ámbito tiene las siguientes propiedades:  Un intervalo de direcciones IP desde el que incluir o excluir las direcciones usadas para las ofertas de concesión de servicio DHCP.  Una máscara de subred, que determina el prefijo de subred para una dirección IP determinada.  Un nombre de ámbito asignado al crearlo.  Valores de duración de la concesión, asignados a los clientes DHCP que reciben las direcciones IP asignadas dinámicamente.  Todas las opciones de ámbito DHCP configuradas para la asignación a clientes DHCP (por ejemplo, dirección IP del servidor DNS y dirección IP de la puerta de enlace predeterminada o enrutador).  Las reservas se usan opcionalmente para garantizar que un cliente DHCP reciba siempre la misma dirección IP. 12 Sistemas Operativos Windows  Antes de implementar los servidores, cree una lista con las subredes y los intervalos de direcciones IP que desea usar para cada subred. Cuando se crea un rango en un servidor DHCP, se define un rango de direcciones IP que incluye todas las direcciones IP que el servidor DHCP puede asignar a clientes DHCP, como computadoras y otros dispositivos. Si configura manualmente algunos servidores y otros dispositivos con direcciones IP estáticas de la misma dirección IP utilizada por el servidor DHCP, puede crear accidentalmente un conflicto de dirección IP entre usted y el servidor DHCP. Para resolver este problema, puede crear un límite de exclusión para el límite de DHCP. El límite de exclusión es la cantidad de direcciones IP continuas dentro del rango de direcciones IP que el servidor DHCP no puede usar. Si crea un límite de exclusión, el servidor DHCP no asigna direcciones en este rango, lo que le permite asignar estas direcciones manualmente sin crear conflictos de direcciones IP. El servidor DHCP puede excluir direcciones IP de la distribución creando un intervalo de exclusión para cada ámbito. Las exclusiones se deberían usar para todos los dispositivos que están configurados con una dirección IP estática. Las direcciones excluidas deberían incluir todas las direcciones IP asignadas manualmente a otros servidores, clientes no DHCP, estaciones de trabajo sin disco o clientes PPP y de Enrutamiento y acceso remoto. Se recomienda configurar el intervalo de exclusión con direcciones adicionales en previsión de una futura ampliación de la red. La siguiente tabla proporciona un ejemplo de intervalo de exclusión para un ámbito con un intervalo de direcciones IP de 10.0.0.1-10.0.0.254 y una máscara de subred de 255.255.255.0. Elementos de configuración Valores de ejemplo Dirección IP inicial del intervalo de exclusión 10.0.0.1 Dirección IP final del intervalo de exclusión 10.0.0.25 Figura N° 04: Rangos de exclusión de un segmento de red. 2.3 DHCP Spoofing. Al utilizar DHCP, el servidor garantiza que cada cliente reciba su configuración. Para hacer esto, el cliente primero envía una solicitud de transmisión a la red. Por lo tanto, el suscriptor de la red necesita saber qué servidor DHCP está disponible y puede responder. Todos los servidores DHCP disponibles aceptan esta solicitud. Si hay varios servidores conectados a la red, el cliente elige cuál respuesta tiene prioridad. Luego, el cliente asigna una dirección al servidor DHCP. Aquí es cuando las debilidades del sistema se hacen evidentes y pueden ser aprovechadas por los piratas informáticos. 13 Sistemas Operativos Windows Cuando uno de estos servidores –no autorizado- logra enviar una respuesta al primer cliente, el miembro de la red recibe información de configuración del servidor malicioso. Figura N° 05: Ataque DHCP spoofing. Un servidor DHCP fraudulento enviará datos no válidos o configurados manualmente, por lo que el cliente está configurado incorrectamente. Este comportamiento permite que el cliente sea dirigido a la puerta de enlace incorrecta, lo que se conoce como suplantación de DHCP (DHCP Spoofing). Con él, los delincuentes pueden registrar transferencias de datos y obtener información confidencial, también conocidos como ataques de intermediario. Por otro lado, un servicio de dirección incorrecta puede provocar un ataque de denegación de servicio, dañando toda la red. Sin embargo, para la monitorización DHCP, se evita contactar con un servidor defectuoso. El DHCP snooping es una función de seguridad de segundo nivel del modelo OSI. La función está integrada en el conmutador o switch, el cual conecta a los clientes con los servidores DHCP. En otras palabras, se trata de un protocolo que primero verifica toda la información DHCP que pasa a través del conmutador. Solo los paquetes aprobados que provengan de servidores de confianza se envían a los clientes. El DHCP snooping protege no solo de actividades delictivas, sino también de fuentes de error derivadas del uso de routers adicionales. Si se instala un nuevo router en una red ya existente, esto puede confundir al protocolo DHCP: el nuevo router asigna direcciones que no se deberían asignar, lo que puede causar errores de conexión. Especialmente en un contexto empresarial, esto puede ocasionar problemas si los empleados conectan sus propios dispositivos a la red sin el conocimiento del administrador. 14 Sistemas Operativos Windows Figura N° 06: Bloqueo de ataques con DHCP snooping. 15 Sistemas Operativos Windows TAREA N°03 Instala, configura y protege el servicio DNS y WEB. 3.1 Funcionamiento del Servicio DNS. Un servidor DNS (domain name service) o también llamado servidor de nombres de dominio, es un software de servidor especializado que utiliza la base de datos DNS para responder consultas DNS. Dado que los servidores DNS suelen estar alojados en hosts dedicados, los ordenadores con los programas correspondientes también se denominan servidores DNS. Gracias a los servicios de DNS, los usuarios de Internet pueden ingresar a un dominio, un nombre fácil de recordar, en la barra de direcciones del navegador. Cada dominio de Internet tiene al menos una dirección IP, que los ordenadores necesitan para poder comunicarse en la red. Un servidor DNS conoce las combinaciones de dominios y direcciones IP o sabe a qué otro servidor DNS debe reenviar la solicitud. De este modo, cuando se accede a una web, primero se realiza una solicitud a uno o varios servidores DNS para poder finalmente realizar la conexión a la página web. Esto hace que los servidores DNS sean elementos fundamentales para el correcto funcionamiento de Internet. La resolución de una petición DNS a la dirección IP correcta se realiza por pasos: Figura N° 07: Como resuelve un servidor DNS una solicitud. 16 Sistemas Operativos Windows El cliente escribe un dominio o URL en su navegador enviando una solicitud al DNS resolver. El DNS-resolver reenvía la petición directamente a un root server. El root server es un servidor de nombres autoritativo. Responde al DNS resolver con la dirección de un servidor para el respectivo dominio de primer nivel (TLD). A continuación, el DNS resolver envía una solicitud al servidor TLD que contiene los DNS records asociados a su TLD. Como respuesta, el DNS resolver recibe del servidor DNS autoritativo la dirección IP del dominio solicitado. El DNS resolver pide al servidor DNS autoritativo la dirección IP del servidor de origen en el que se lleva a cabo el hosting de la web. El DNS resolver obtiene la dirección IP del servidor de origen desde el servidor DNS autoritativo. El DNS resolver reenvía la dirección IP al cliente. Ahora el cliente puede interactuar con el servidor de origen de la página web solicitada a través de la dirección IP que le ha llegado. El servidor de origen envía los datos de la página web solicitada al cliente.  Instalación de un servidor DNS La instalación de un servidor de Sistema de nombres de dominio (DNS) implica agregar el rol del servidor DNS a un servidor Windows Server existente. A continuación, se detalla cómo instalar el rol del servidor DNS mediante el Administrador del servidor desde el escritorio de Windows. En el escritorio de Windows, abra el menú Inicio y, a continuación, seleccione el icono Administrador del servidor. En el menú, vaya a Administrar y, luego, seleccione Agregar roles y características. En la página Antes de comenzar, seleccione Siguiente para empezar. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles y, luego, elija Siguiente. En la página Seleccionar servidor de destino, deje las opciones predeterminadas. Seleccione Next (Siguiente). En la página Seleccionar roles de servidor, active la casilla Servidor DNS y, luego, 17 Sistemas Operativos Windows seleccione el botón Siguiente. Se le pedirá que agregue características necesarias para el servidor DNS; si está satisfecho con los valores predeterminados, seleccione Agregar características. En la página Seleccionar características, puede dejar las selecciones predeterminadas y, luego, seleccionar el botón Siguiente. En la página Servidor DNS, revise la descripción del rol y las cosas que debe tener en cuenta. Seleccione Siguiente para continuar. En la página Confirmar selecciones de instalación, revise los roles y características seleccionados y, luego, seleccione el botón Instalar para comenzar el proceso de instalación. Cuando la instalación se haya completado, seleccione Cerrar. La instalación no requiere un reinicio.  Configuración del servidor DNS a) Configuración de interfaces De forma predeterminada, un servidor DNS escuchará las solicitudes en todas las interfaces de direcciones IP. Puede configurar el servidor DNS para que escuche en una interfaz específica mediante la GUI o mediante PowerShell. A continuación, se muestra la configuración mediante GUI para configurar la interfaz que se usa para escuchar solicitudes DNS mediante la consola Administrador de DNS. En el escritorio de Windows, abra el menú Inicio, seleccione Herramientas administrativas de Windows > DNS. Seleccione y mantenga presionado el servidor (o haga clic con el botón derecho en él) y, luego, seleccione Propiedades. Para limitar el servidor DNS para que use una dirección IP específica, seleccione Solo la siguiente dirección IP, elija la dirección IP que desea usar y, luego, seleccione Aceptar. b) Configurar sugerencias de raíz Los servidores de sugerencias de raíz se utilizan para ayudar a resolver la información de direcciones DNS cuando el servidor DNS no puede resolver la consulta localmente desde una zona hospedada o la memoria caché del servidor DNS. Los servidores de nombres de sugerencias de raíz se rellenan de forma predeterminada para las nuevas instalaciones. 18 Sistemas Operativos Windows Puede editar la lista de servidores de nombres de raíz si es necesario. Para ello, vaya a la pestaña Sugerencias de raíz del cuadro de diálogo de propiedades del servidor DNS o mediante PowerShell. No se admite la eliminación de todos los servidores de sugerencias de raíz. En su lugar, configure el servidor DNS para que no use el servidor de nombres de sugerencia de raíz. Para ello, seleccione la opción de servidor Deshabilitar recursión en la pestaña Avanzadas de la consola Administrador DNS. Al deshabilitar la recursión también se deshabilitan los reenviadores configurados. Como alternativa, desactive Usar sugerencias de raíz si no hay reenviadores disponibles en la pestaña Reenviadores. A continuación, se muestra cómo realizar sugerencias de raíz mediante la consola Administrador de DNS. En el escritorio de Windows, abra el menú Inicio, seleccione Herramientas administrativas de Windows > DNS. Seleccione y mantenga presionado el servidor (o haga clic con el botón derecho en él) y, luego, seleccione Propiedades. Seleccione la pestaña Sugerencias de raíz, elija el elemento que desea editar y, luego, seleccione Editar. Escriba el nombre de dominio completo y seleccione Resolver. Compruebe la dirección IP y, si es necesario, edítela. Seleccione Aceptar. Revise el servidor de sugerencias de raíz actualizado en la lista cuando esté listo para seleccionar Aceptar. Observará que el servidor de nombres tiene un punto final (.). c) Configure los reenviadores De modo opcional, puede configurar un reenviador para resolver la información de la dirección DNS en lugar de reenviar el tráfico a los servidores raíz DNS. Puede agregar reenviadores mediante la GUI o mediante el cmdlet Set-DNSServerForwarder de PowerShell. A continuación, se muestra cómo configurar reenviadores DNS mediante la consola Administrador de DNS. En el escritorio de Windows, abra el menú Inicio, seleccione Herramientas administrativas de Windows > DNS. Seleccione y mantenga presionado el servidor (o haga clic con el botón derecho en él) y, luego, seleccione Propiedades. 19 Sistemas Operativos Windows Seleccione la pestaña Reenviadores y, a continuación, seleccione Editar. Escriba la dirección IP del servidor DNS al que reenviar las solicitudes. Repita este paso tantas veces como necesite. Seleccione Aceptar. Revise el servidor DNS en la lista, seleccione Aceptar o Aplicar para completar la configuración. 3.2 Ataques al servicio DNS. Los atacantes han descubierto muchas formas de atacar y explotar los servidores DNS. Éstos son algunos de los más comunes:  Suplantación de DNS/envenenamiento de caché: Este es un ataque que introduce datos de DNS falsificados en la caché de DNS, lo que hace que el solucionador devuelva una dirección IP incorrecta para un dominio. En lugar de ir a un sitio web legítimo, el tráfico puede redirigirse a una computadora maliciosa o a donde quiera el atacante, generalmente en forma de un sitio originalmente utilizado con fines maliciosos, como distribuir malware o proporcionar información de inicio de sesión.  Túnel de DNS. Este ataque utiliza protocolos de terceros para reenviar consultas y respuestas de DNS a través de un túnel. Los atacantes pueden utilizar SSH, TCP o HTTP para transmitir malware o información robada en consultas DNS, que la mayoría de los firewalls no detectan.  Ataque NXDOMAIN. Es un tipo de ataque de inundación de DNS en el que el atacante inunda el servidor DNS con solicitudes de registros inexistentes, para provocar una denegación de servicio para el tráfico legítimo. Esto se puede lograr mediante el uso de herramientas sofisticadas que pueden generar automáticamente subdominios únicos para cada solicitud. Los ataques NXDOMAIN pueden dirigirse contra el servidor de resoluciones recursivas con el objetivo de llenar el caché del cracker con consultas irrelevantes. Nota: Una búsqueda de DNS recursivo es cuando un servidor DNS se comunica con otros servidores DNS para buscar una dirección IP y devolverla al cliente.  Secuestro de DNS. En el secuestro de DNS, el atacante redirige las consultas a otro servidor de nombres de dominio. Puede hacerse mediante malware o cambiando el servidor DNS sin permiso. Aunque el resultado es similar a la suplantación de DNS, es 20 Sistemas Operativos Windows un ataque diferente porque ataca el registro DNS del sitio web y el servidor de nombres, en lugar del caché fijo. Figura N° 08: Secuestro de DNS.  Ataques de dominio fantasma. Los ataques de dominio fantasma tienen resultados similares a los ataques de NXDOMAIN en una resolución DNS. El atacante configura un servidor de dominio "fantasma" que responde lentamente o no responde en absoluto. Después el servidor DNS recursivo recibe una avalancha de solicitudes en estos dominios y se queda atascado esperando una respuesta, lo que resulta en un procesamiento lento y denegación de servicio. 3.3 Protección del servicio DNS.  DNSSEC Las extensiones de seguridad de DNS (DNSSEC) son un protocolo de seguridad diseñado para paliar este problema. DNSSEC protege contra ataques firmando digitalmente el certificado de datos para garantizar su validez. Para garantizar búsquedas seguras, se deben realizar firmas en cada etapa del proceso de búsqueda de DNS. DNSSEC implementa una política de firma digital jerárquica en todas las capas de DNS. Por ejemplo, en el caso de una búsqueda de "google.com", un servidor DNS raíz firmaría una clave para el servidor de nombres.COM y el servidor de nombres.COM entonces firmaría una clave para el servidor de nombres autoritativo de google.com. 21 Sistemas Operativos Windows  Zonas DNS Un operador de una zona DNS puede tomar medidas adicionales para proteger sus servidores. La acumulación de infraestructura es una estrategia sencilla para superar los ataques DDoS. En pocas palabras, si tu servidor de nombres puede gestionar varias veces más tráfico de lo que esperas, será más difícil que un ataque basado en volumen lo sobrecargue. Las organizaciones pueden conseguir esto al aumentar la capacidad total de tráfico de su servidor DNS, al establecer múltiples servidores DNS redundantes y mediante el uso de load balancing para dirigir las solicitudes de DNS a servidores en buen estado cuando uno empiece a funcionar mal.  DNS Firewall Un DNS Firewall es una herramienta que proporciona diversas protecciones y funciones para los servidores DNS. Un firewall DNS se encuentra entre el DNS recursivo del usuario y los servidores de nombres del sitio web o servicio al que intentan acceder. Un firewall puede proporcionar una función de limitación de costos para impedir el acceso de atacantes que intentan secuestrar el servidor. Si el servidor no funciona debido a un ataque o cualquier otro motivo, el firewall DNS podrá mantener el sitio o el proveedor de servicios en funcionamiento proporcionando respuestas DNS desde el caché. 3.4 Servicio Web en Windows Server. El Internet Information Services (IIS) es una poderosa herramienta desarrollada por Microsoft que le permite alojar y administrar sitios web en un entorno basado en Windows Server. Es uno de los servidores web más populares y utilizados en el mundo del desarrollo web. En este artículo, exploraremos cómo funciona el servidor web IIS y cómo utilizarlo para alojar y ejecutar sitios web. IIS es parte integral del sistema operativo Windows Server de Microsoft y se ha convertido en una opción confiable para alojar sitios web en entornos de servidor Windows. Proporciona una plataforma robusta y escalable para la entrega de contenido web, de modo que le permite a los desarrolladores y administradores de sistemas gestionar y ejecutar aplicaciones y sitios web de manera eficiente. Los servidores web IIS siguen una arquitectura modular y flexible con varios componentes centrales que trabajan juntos para proporcionar servicios web. Algunos de los puntos principales son:  Web Server (Servidor Web) El servidor web en sí mismo es el componente central de IIS. Es responsable de recibir y responder a las solicitudes de los clientes web, ya sea para acceder a archivos estáticos o para ejecutar aplicaciones web dinámicas. El servidor web de IIS está diseñado para ser rápido, confiable y seguro y puede manejar 22 Sistemas Operativos Windows grandes volúmenes de tráfico web.  Módulos de procesamiento IIS utiliza módulos de procesamiento para manejar diferentes tipos de contenido web. Estos módulos son responsables de realizar tareas específicas durante el procesamiento de las solicitudes, como la autenticación, la compresión, la encriptación SSL o la generación de contenido dinámico, entre otras. Los módulos pueden ser nativos de IIS o de terceros, lo que permite una amplia flexibilidad y personalización.  Configuración y administración IIS proporciona una interfaz gráfica de usuario (GUI) intuitiva llamada Administrador de IIS, que permite a los administradores de sistemas configurar y administrar el servidor web. A través de esta herramienta, se pueden configurar sitios web, aplicaciones, permisos de acceso, reglas de enrutamiento y muchas otras opciones de configuración.  Instalación del IIS y sus componentes Para la instalación del Internet Information Service se ha de seguir los siguientes pasos: Ubicar las opciones de administración de servidor. Ir las opciones del clic derecho sobre Mi PC y seleccionando Administrar o también, sobre el ícono de acceso rápido: Figura N° 09: Añadiendo un rol en Windows Server 2019 con permisos de administrador. 23 Sistemas Operativos Windows En la ventana de administración (Server Manager), ubique la opción rápida desde el Dashboard y utilice Adicionar roles y características (Add Roles and features). Esta opción inicia un asistente para configurar el IIS seleccionando los ítems y componentes seleccionando unos pocos elementos y dando clic en Siguiente en cada ventana. Nótese que cuando se inicie el asistente de instalación, se mostrará una página de introducción informativa. En este punto, revise lo siguiente:  La cuenta del administrador tiene una contraseña segura.  Las direcciones IP y demás temas de red ya están configurados.  Se tienen las últimas actualizaciones de Windows para el sistema operativo. Puede escoger saltarse esta página para las configuraciones a futuro. Seleccione Role-based or feature-based installation y dé clic en Siguiente (Next). Figura N° 10: Seleccionando tipo de rol. Utilice la opción de seleccionar el servidor Web desde el pool (Select the Web Server from the server pool), de manera que se ubique el servidor local para la instalación y se adicionen los roles requeridos. 24 Sistemas Operativos Windows Figura N° 11: Seleccionando servidor web. Dé clic en Siguiente (Next). Marque la opción del Servidor Web (IIS) para que los componentes del IIS se muestren a continuación. Figura N° 12: Seleccionar servicio Web Server IIS. Cuando el asistente le pregunte por las características requeridas, asegúrese de adicionar los requerimientos (haciendo clic en Adicionar características). 25 Sistemas Operativos Windows Figura N° 13: Adicionar características. Asegúrese de marcar las casillas como se enseña a continuación: Figura N° 14: Seleccionar componentes. 26 Sistemas Operativos Windows Revise la configuración general de roles del servidor Web. Dé clic en Siguiente. Confirme la selección de configuración para la instalación y dé clic en Finalizar (Finish) para iniciar con la instalación: Figura N° 15: Confirmar instalación para proceder con la instalación. Una vez finalizada la instalación, una ventana mostrará el éxito del procedimiento y qué roles y servicios fueron instalados. Note que el enlace de exportar la configuración le permite opcionalmente reutilizar esta configuración a través de PowerShell en otro equipo. Figura N° 16: Presionar "close" para culminar instalación. 27 Sistemas Operativos Windows  Verificación del IIS y del sitio por defecto Una vez que haya instalado el IIS y de manera que pueda crear proyectos, abra el administrador del IIS (IIS Manager), utilizando el comando inet, o ubicando el acceso Internet Information Services (IIS) Manager desde la carpeta de las Herramientas administrativas (Administrative tools), accedido desde Panel de Control-> Sistema y seguridad. Figura N° 17: Abrir IIS. Luego, asegúrese que el sitio por defecto nombrado exactamente como Default Web site se encuentre bajo la lista de sitios (Sites) de su servidor, y que se encuentre en un estado iniciado: Figura N° 18: Iniciar servicio. 28 Sistemas Operativos Windows 3.5 Protección del servicio Web. Los piratas informáticos aprovechan las vulnerabilidades de los sitios web para obtener información confidencial, desfigurar sitios web o pedir rescate por ellos. Un sitio web podría ser un objetivo incluso si no maneja datos confidenciales, porque está vinculado a otros sitios que sí lo hacen. Y el hacker atacará donde encuentre una vulnerabilidad. Es por eso que debes tener algún tipo de seguridad en el sitio web. Hay muchas formas de proteger su sitio web de bots, piratas informáticos y malware. A continuación, se detallan las principales  Utilice un certificado SSL (protocolo HTTPS) Un certificado SSL es un tipo de certificado que asegura su conexión con un sitio web. Vienen en diferentes formas y ayudan a proteger su información sensible de los demás. Las ventajas de un certificado SSL son:  Protege los datos sensibles que se transfieren desde su ordenador o dispositivo móvil al servidor del sitio web.  Protege los datos de acceso a las cuentas del sitio web, como la dirección de correo electrónico y la contraseña, para que no sean robados por piratas informáticos.  Verifica la identidad del sitio web cifrando la conexión entre su ordenador o dispositivo móvil y su servidor.  Elimina cualquier duda sobre si está interactuando con lo que cree que está interactuando.  Mantenga actualizado el software del servicio web Cuando mantiene el software de su sitio web actualizado, se asegura de que esté protegido contra nuevas vulnerabilidades. Con ello se consigue lo siguiente:  Mantiene su sitio web protegido contra las vulnerabilidades que los ciberdelincuentes pueden utilizar para entrar en su sitio o robar sus datos.  Garantiza que los visitantes de su sitio web están viendo la versión más segura de su sitio web.  Garantiza que los motores de búsqueda puedan acceder siempre al contenido de su sitio web, lo que mejora el SEO. 29 Sistemas Operativos Windows  Mejora la experiencia de usuario de los visitantes del sitio web utilizando un diseño actualizado y normas de funcionamiento del sitio web.  Elija un plan de alojamiento web seguro Si utiliza un servidor compartido recursos, al igual que en un plan de alojamiento compartido, los archivos de su sitio web se almacenan en el mismo servidor que muchos otros sitios. Esto significa que su servidor es un objetivo más grande para los hackers y ataques de malware. Elija un mejor alojamiento web con protección de seguridad de primera calidad en lugar de los típicos servicios de alojamiento compartido de baja calidad.  Mantener un registro de toda la actividad de los usuarios Los logs de auditoría registra toda la actividad en el backend de su sitio web. Los registros de auditoría se utilizan para detectar cualquier acceso no autorizado, exitoso o no. Puede utilizarse diferentes métodos para auditar las actividades de su sitio web. Estos pueden incluir la gestión de sesiones, los métodos de autenticación y los sistemas de detección de intrusos. Este tipo de monitorización le ayudará a identificar a los usuarios no autorizados que intentan entrar en su sitio web. Esto es especialmente importante si tiene muchos usuarios con acceso a su sitio web. Le ayudará a distinguir los usuarios maliciosos de los legítimos. 30 Sistemas Operativos Windows TAREA N°04 Instala y configura el servicio de enrutamiento y el servicio FTP SSL. 4.1 Protocolos de enrutamiento en la red. El enrutamiento se refiere al proceso mediante el cual los routers identifican redes remotas, encuentran todas las formas posibles de llegar a ellas y eligen la mejor forma (más rápida) de intercambiar datos entre ellas. Es decir, los routers deciden - tras mirar la dirección IP de destino- dónde enviar los paquetes, para que finalmente lleguen a la red de destino, o descartar el paquete si por alguna razón todos los intentos de enviarlos fallan. Sin embargo, inicialmente el router no reconoce ninguna otra red que no sean las conectadas al propio equipo. Para que el administrador del router pueda realizar el enrutamiento, primero debe conocer la existencia de la red remota y, como explicamos anteriormente, para que esto suceda, el router debe estar configurado a través del interruptor de encendido y/o camino directo. Los enrutadores no necesitan ninguna configuración en absoluto para que puedan alcanzar sus redes conectadas directamente, por lo contrario, tanto el enrutamiento estático, el enrutamiento dinámico o ambos, se requieren para que un router pueda aprender sobre cualquier red remota.  Enrutamiento dinámico. El enrutamiento dinámico se logra mediante el uso de un o más protocolos de enrutamiento, como ser RIP, IGRP, EIGRP u OSPF. El enrutamiento dinámico posee un tiempo de convergencia más rápido y su escalabilidad es mucho mejor en redes más grandes, comparándolo con el enrutamiento estático, pero a costo de más utilización de recursos como ser RAM, ciclos del CPU (micro-procesador del enrutador) y también más ancho de banda de la propia red.  Enrutamiento estático: Con el enrutamiento estático, el enrutador es literalmente ordenado, por el administrador de la red, por donde llegar a las redes remotas. En otras palabras, el administrador configura manualmente las rutas estáticas en el enrutador. 31 Sistemas Operativos Windows Es como decirle al enrutador, literalmente; "Para enviar paquetes a la red X, envíalos por la interfaz X o, a la dirección IP del próximo salto X". Figura N° 19: Resumen de protocolos de enrutamiento. 4.2 Enrutamiento en Windows Server. Es posible utilizar un servidor con Windows Server como router entre 2 redes, principalmente para permitir que las computadoras de una red puedan salir a Internet. A continuación, se mostrará cómo configurar un servidor con Windows server con 2 tarjetas de red: uUna de ellas se utiliza para conectar el servidor a Internet (WAN), y otra en modo red Interna para la red LAN (ADMIN). Figura N° 20: Tarjetas de red de Windows Server. 32 Sistemas Operativos Windows Para comenzar vamos a abrir el Administrador de servidor. Figura N° 21: Administrador Server Manager. Ahora nos vamos a pulsar sobre la opción “Add roles and features”. Figura N° 22: Agregando roles y características al servidor. 33 Sistemas Operativos Windows Pulsamos “Skip this page by default” para no tener que volver a ver esta página de resumen, y continuamos. Figura N° 23: Wizard para instalar roles o características. Comenzamos con el asistente. Dejamos la opción preestablecida de “Role-based or features-based installation”. Pulsamos Next. Figura N° 24: Escogiendo tipo de instalación. 34 Sistemas Operativos Windows Seleccionamos nuestro servidor, que en este caso es solo uno y continuamos. Figura N° 25: Seleccionando el servidor utilizado. Lo siguiente que tendremos que hacer es seleccionar de la lista de roles la opción de “Remote Access”, que será el rol que nos de la función de enrutamiento con NAT, para sacar a Internet nuestros equipos dentro de nuestra red local. Figura N° 26: agregando el rol de Remote Access. 35 Sistemas Operativos Windows Dejamos todo por defecto y continuamos. Figura N° 27: Opciones por defecto para las demás características. Vemos una descripción del rol a instalar y continuamos. Figura N° 28: Descripción de rol seleccionado. 36 Sistemas Operativos Windows Seleccionamos “routing”. Figura N° 29: Seleccionar el rol de routing. En esta ventana nos mostrara todos los pre-requisitos que necesita el rol para poder funcionar. Figura N° 30: Prerrequisitos para el rol de routing. 37 Sistemas Operativos Windows Se puede apreciar que se selecciona por defecto también “DirectAccess and VPN (RAS)” como función agregada. Por si en algún momento deseamos configurar una red VPN en nuestro servidor. Figura N° 31: Agregar el rol de DirectAccess and VPN. Continuamos dejando todo por defecto y continuamos. Figura N° 32: Continuar con la siguiente sección. 38 Sistemas Operativos Windows En esta ventana podemos ver todos los servicios que son requeridos por defecto para el funcionamiento del servicio, dejamos por defecto todo y continuamos. Figura N° 33: Servicios que son requeridos por defecto. Aquí podemos ver el resumen de la implementación y pulsamos Install. Figura N° 34: Instalar servicios. 39 Sistemas Operativos Windows Al culminar, cerramos el asistente para poder continuar con la configuración.  Configuración de rol de enrutamiento – Network address translation (NAT). Ahora toca establecer la configuración de Network address translation (NAT). para que el servidor redirija los paquetes de nuestros equipos en nuestra red local a la tarjeta de red que está conectada a Internet en nuestro servidor donde instalamos el rol de “Remote Access”. Para ello, pulsaremos sobre “Tools”, en el Administrador del servidor. Debemos de elegir “Routing and Remote Access”. Figura N° 35: Ingresar a Routing and Remote Access. Para continuar pulsamos el botón derecho sobre el nombre del servidor, y elegimos la opción “Configure and Enable Routing and Remote Acccess”. Figura N° 36: Habilitar el enrutamiento. 40 Sistemas Operativos Windows Entramos al asistente de routing and remote access, pulsamos a continuar y seleccionamos Network address translation (NAT) y continuamos. Figura N° 37: Seleccionar configuración de NAT. En esta ventana seleccionaremos la tarjeta que esté conectada a internet. En caso de que no veamos listadas las tarjetas de red, tendremos que salir del asistente y volveremos a iniciar la configuración de nuevo, este es un error común con este rol. Figura N° 38: Seleccionar tarjeta de red hacia Internet. Pulsamos Finish para finalizar el asistente. 41 Sistemas Operativos Windows  Comprobar el acceso a Internet Deshabilitamos el firewall de Windows para poder probar el acceso a internet. Revisamos la configuración de nuestra tarjeta de red en el segmento de ADMIN, como lo hemos llamado. Asegurándonos que el default gateway es la IP de nuestro servidor que será de routing. Figura N° 39: Gateway 192.168.10.50 para la computadora en la red interna. Podemos ejecutar un ping a los servidores de Google, para probar conectividad a internet desde una computadora en la red interna. Figura N° 40: Resultado de ping. 42 Sistemas Operativos Windows Ya podemos ver que tenemos acceso a internet desde nuestra maquina interna. En el caso de que sea fallido el ping puede deberse a que está activado el firewall de Windows. 4.3 Servicio FTP con SSL. Las siglas de FTP significan File Transfer Protocol, que se traduce como Protocolo de Transferencia de Archivos. Como su nombre indica, se trata de un protocolo que permite transferir archivos directamente de un dispositivo a otro. El FTP es un protocolo muy útil para el envío de archivos, ya que te permite enviarlos de un equipo a otro a gran velocidad de transferencia, y no hay ningún tipo de límites de tamaño como puede pasar en la descarga directa. También suele utilizarse en contextos como la creación de webs, pudiendo enviar pro FTP los ficheros de una web al servidor donde están. Para instalar el servicio FTP debemos realizarlo desde el Administrador del servidor, para ello daremos clic en “Agregar roles y características”:  En el asistente damos clic en Siguiente y en la próxima ventana activamos la casilla “Instalación basada en características o roles”  Presionamos Siguiente y ahora seleccionamos el servidor donde se instalará el rol FTP.  En la próxima ventana encontramos los roles del servidor, allí ubicamos la opción “Servidor web (IIS)”, continuamos con el proceso y una vez culminado ingresamos a la sección de “Servicios de rol” activamos la casilla “Servidor FTP”. 43 Sistemas Operativos Windows Figura N° 41: Instalando servidor FTP.  Generar e instalar un certificado SSL en IIS Abrir el Administrador de IIS consola, seleccione un servidor y vaya a la Certificados de servidor sección. En esta sección puede importar un certificado, crear una solicitud de certificado, actualizar un certificado o crear un certificado autofirmado. Con fines demostrativos, creemos un certificado autofirmado. (También se puede crear mediante el cmdlet New-SelfSifgnedCertificate). Al abordar un servicio, aparecerá una advertencia de que el certificado lo emite una CA que no es de confianza. Para deshabilitar esta advertencia para este certificado, agréguelo a la lista de certificados confiables usando GPO. Seleccione Crear certificado autofirmado. En el asistente Crear certificado, especifique su nombre y seleccione Alojamiento web tipo de certificado. 44 Sistemas Operativos Windows Figura N° 42: Nombrando a certificado creado. Aparecerá un nuevo certificado autofirmado en la lista de certificados disponibles. Este certificado caducará en 1 año. Figura N° 43: Certificado creado.  Crear un sitio FTP con soporte SSL En el Administrador de IIS consola, clic derecho Sitios y cree un nuevo sitio FTP (Agregar FTP). 45 Sistemas Operativos Windows Figura N° 44: Agregar un sitio FTP. Especifique su nombre y la ruta al directorio raíz del sitio FTP (en nuestro caso, es la ruta predeterminada C: inetpub ftproot). Figura N° 45: Nombre y la ruta al directorio raíz del sitio FTP. En la siguiente ventana del asistente, seleccione el certificado que ha creado en la sección Certificados SSL. 46 Sistemas Operativos Windows Figura N° 46: Seleccionar certificado creado. Ahora solo tiene que seleccionar el tipo de autenticación y los permisos de acceso de usuario. Haga clic en Finalizar en la ventana del asistente. De forma predeterminada, la protección SSL es obligatoria y se utiliza para cifrar tanto los comandos de gestión como los datos transferidos. 47 Sistemas Operativos Windows TAREA N°05 Instala y configura el servicio de Radius. 5.1 Servidores RADIUS en Windows Server. RADIUS (Remote Access Dial In User Service) es un protocolo que brinda un mecanismo de seguridad, flexibilidad, capacidad de expansión y una administración simplificada de las credenciales de acceso a un recurso de red. Es un protocolo de autenticación y autorización para el acceso a la red, este protocolo utiliza un esquema cliente-servidor, es decir, un usuario con unas credenciales de acceso al recurso se conecta contra un servidor que será el que se encargue de verificar la autenticidad de la información, y será el encargado de determinar si el usuario accede o no al recurso compartido. Gracias al uso de los servidores RADIUS, el administrador de red podrá controlar en todo momento el inicio y final del periodo de autenticación y autorización de los clientes, por ejemplo, podremos expulsar fácilmente a un usuario que ha iniciado sesión previamente por el motivo que sea. Los servidor RADIUS son ampliamente usados por los operadores de Internet (PPPoE), pero también se utilizan mucho en las redes WiFi de hoteles, universidades o en cualquier lugar donde queramos proporcionar una seguridad adicional a la red inalámbrica, también se puede usar para autenticar a los clientes que hagan uso del protocolo 802.1X para Ethernet, e incluso también podría usarse para autenticar a los clientes VPN que nosotros deseemos, de esta forma, tendremos toda la autenticación centralizada en un único punto de forma fácil y sencilla, sin necesidad de tener varias bases de datos con diferentes datos.  Instalación del servidor Radius Podemos realizar la instalación desde la interfaz gráfica o mediante un PowerShell con permisos de administrador. Install-WindowsFeature NPAS -IncludeManagementTools Por defecto, NPS escucha el tráfico RADIUS en los puertos 1812, 1813, 1645 y 1646 en todos los adaptadores de red instalados. Si el Firewall de Windows con seguridad avanzada está activado al instalar NPS, se crean automáticamente reglas para estos puertos. A nivel de data carving, NPS tiene la funcionalidad de almacenamiento de todos los registros generados por las cuentas en:  Una base de datos en un servidor SQL. 48 Sistemas Operativos Windows  En un archivo de texto en la maquina local, por defecto situado en C:\Windows\System32\LogFiles  Simultáneamente en un servidor SQL y un archivo de texto.  Instalación de cliente RADIUS Igualmente, a la sección anterior, podemos usar PowerShell para instalar el cliente RADIUS Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools 49 Sistemas Operativos Windows TAREA N°06 Instala y configura el servicio de Correo electrónico. 6.1 Servidor de correo electrónico. El servicio de correo electrónico es uno de los métodos de comunicación más usados del mundo. Lo usamos en nuestras computadoras de escritorio, notebooks, móviles, tablets e incluso desde nuestros relojes inteligentes. Gracias a él podemos comunicarnos con personas de todo el mundo, en cuestión de segundos. Es sin duda alguna una de las mejores herramientas creadas que existen en Internet. A pesar de usarlo tanto, muchos desconocen el funcionamiento detrás de un email. En palabras simples, un Agente de Transferencia de Correo MTA (Mail Transport Agent), es un software encargado de transferir el email de un host (equipo informático) a otro. Dicho de otra forma, un MTA es un sistema, software o aplicación que entrega el email que sale de tu servidor, hacia otro MTA o MDA (Mail Delivery Agent) remoto. Ejemplos de MTA pueden ser:  Qmail.  Exim.  Postfix.  Microsoft Exchange Server.  Courier.  Cyrus. Un MTA entonces puede definirse como el servidor SMTP que usamos, el que recibe datos generalmente de un MUA (Mail User Agent) para obtener el correo, y luego enviarlo al destino. Un MUA, o Agente de Usuario de Correo, es el que recibe el correo y envía mail usando SMTP a través del MTA, y recibe por POP3 o IMAP. Clásicos ejemplos de MUA pueden ser:  Microsoft Outlook.  Evolution.  Mozilla Thunderbird.  IncrediMail.  Squirrelmail.  Roundcube. 50 Sistemas Operativos Windows  Exchange Server El servidor Exchange, que comenzó siendo un sistema de correo electrónico, se ha convertido con el tiempo en un software colaborativo muy potente. Actualmente cuenta con las siguientes prestaciones:  Correo electrónico (POP, IMAP, SMTP).  Calendario y gestión de citas.  Administración de tareas.  Contactos.  Libreta de direcciones.  Notas.  Acceso al correo desde terminales móviles (ActiveSync).  Filtro antispam (Intelligent Message Filter (IMF), SmartScreen).  Filtro antivirus.  Aplicación web Outlook on the web.  Instalar el rol de servidor Buzón de correo de Exchange Descargue la versión más reciente de Exchange en el Explorador de archivos, e inicie el programa de instalación de Exchange haciendo doble clic en Setup.exe. Se abre el Asistente para la instalación de Exchange Server. En la página ¿Buscar actualizaciones?, seleccione una de las siguientes opciones y, después, haga clic en Siguiente para continuar:  Conectarse a Internet y buscar actualizaciones: se recomienda esta opción, que busca actualizaciones de la versión de Exchange que está instalando actualmente (no detecta la Novedades acumulativa más reciente). Esta opción le dirige a la página Descargando actualizaciones que busca actualizaciones. Haga clic en Siguiente para continuar.  No buscar actualizaciones en este momento En la página Copiando archivos se muestra el progreso de copiar archivos en la unidad de disco duro. Normalmente, los archivos se copian en: %WinDir%\Temp\ExchangeSetup 51 Sistemas Operativos Windows Puede confirmar la ubicación en el registro del programa de instalación de Exchange en C:\ExchangeSetupLogs\ExchangeSetup.log. Figura N° 47: Copiando archivos de instalador. En la página Introducción, le recomendamos que visite los vínculos Exchange Server planeamiento de la implementación si aún no los ha revisado. Haga clic en Siguiente para continuar. En la página Contrato de licencia, revise las condiciones de la licencia del software, seleccione Acepto los términos del contrato de licencia y, después, haga clic en Siguiente para continuar. Figura N° 48: Contrato de licencia de Exchange Server. 52 Sistemas Operativos Windows En la página Configuración recomendada, seleccione “Usar la configuración recomendada” Haga clic en Siguiente para continuar. Figura N° 49: Usar configuración recomendada para la instalación. En la página Selección de rol de servidor, configure las siguientes opciones:  Rol de buzón de correo: seleccione esta opción, que también instala automáticamente las herramientas de administración.  Instalar automáticamente las características y los roles de Windows Server necesarios para instalar Exchange: Seleccione esta opción para que el Asistente para instalación instale los requisitos previos necesarios de Windows. Es posible que deba reiniciar el equipo para completar la instalación de algunas características de Windows. Si no selecciona esta opción, necesita instalar las características de Windows manualmente. Nota: Al seleccionar esta opción, solo se instalan las características de Windows necesarias para Exchange. Necesita instalar otros requisitos previos manualmente. Haga clic en Siguiente para continuar. 53 Sistemas Operativos Windows Figura N° 50: Seleccionar rol de servidor. En la página Espacio de instalación y ubicación, acepte la ubicación de instalación predeterminada (C:\Program Files\Microsoft\Exchange Server\V15) o haga clic en Examinar para elegir una nueva ubicación. Asegúrese de que tiene suficiente espacio en disco disponible en la ubicación donde desea instalar Exchange. Haga clic en Siguiente para continuar. Si se trata del primer servidor de Exchange de su organización y aún no ha realizado los pasos descritos en Preparación de Active Directory y dominios para Exchange, llegará a la página Organización de Exchange. En esta página, configure los siguientes valores:  Especificar el nombre de esta organización de Exchange: El valor predeterminado es Primera organización, pero normalmente se usa el nombre de la compañía para este valor. El nombre de la organización se usa de manera interna por Exchange, normalmente no lo ven los usuarios, no afecta a la función de Exchange y no determina qué puede usar en las direcciones de correo electrónico.  El nombre de la organización no puede contener más de 64 caracteres, y no puede estar en blanco. 54 Sistemas Operativos Windows  Los caracteres válidos son A a Z, a a z, 0 a 9, guion (-) y el espacio, pero los espacios iniciales o finales no están permitidos.  No puede cambiar el nombre de la organización una vez establecido.  Aplicar el modelo de seguridad de permisos divididos de Active Directory en la organización de Exchange: La mayoría de las organizaciones no necesitan seleccionar esta opción. Si necesita separar la administración de las entidades de seguridad de Active Directory y la configuración de Exchange, los permisos divididos pueden funcionar. Haga clic en Siguiente para continuar. Figura N° 51: Colocar el nombre de la empresa. En la página de Configuración de protección contra malware, pulse si quiere deshabilitar la exploración de malware. La exploración de malware está habilitada de manera predeterminada (el valor No está seleccionado). Si deshabilita la exploración de malware, podrá habilitarla en el futuro. Haga clic en Siguiente para continuar. En la página Comprobaciones de disponibilidad, compruebe que las comprobaciones de requisitos previos de la organización y el rol del servidor han finalizado 55 Sistemas Operativos Windows correctamente. Si no lo han hecho, la única opción en la página es Reintentar, así que necesita resolver los errores antes de que pueda continuar. Figura N° 52: Comprobando errores antes de la instalación. Después de que resuelva los errores, haga clic en Reintentar para ejecutar las comprobaciones de requisitos previos de nuevo. Puede corregir algunos errores sin salir de la instalación, aunque la corrección de otros errores necesita que reinicie el equipo. Si lo reinicia, necesita empezar en el paso 1. Cuando no se detecten más errores en la página Comprobaciones de disponibilidad, el botón Reintentar cambia a Instalar para que pueda continuar. Asegúrese de revisar las advertencias y, a continuación, haga clic en Instalar para instalar Exchange. En la página Progreso de la instalación, una barra de progreso indica cómo está realizándose la instalación. 56 Sistemas Operativos Windows Figura N° 53: Instalación de Exchange. En la página Instalación completada, haga clic en Finalizar y, después, reinicie el equipo. Figura N° 54: Fin de instalación de Exchange Server. 57 Sistemas Operativos Windows 6.2 Creación de usuarios y buzones en el servidor. Los buzones de usuario son buzones de Exchange asociados a personas, normalmente un buzón por persona. Cada buzón está vinculado a una cuenta de Active Directory que le permite al buzón enviar y recibir correo electrónico y crear reuniones y citas. Cuando se crea un nuevo buzón de usuario en Exchange, también se crea el usuario de Active Directory correspondiente al mismo tiempo. O bien, puede crear un nuevo buzón para una cuenta de Active Directory existente que no tenga un buzón asociado. Esto se conoce como habilitar un buzón de correo para un usuario existente.  Usar el Centro de administración de Exchange (EAC) para crear buzones de correo de usuario En el EAC, vaya a Buzones de destinatarios. Haga clic en Nuevo ( ) y, a continuación, seleccione Buzón de usuario. Figura N° 55: Creando un nuevo usuario de correo. Nota: Un buzón vinculado es un buzón local que está asociado a una cuenta de usuario en un bosque de Active Directory diferente (de confianza). En la página Nuevo buzón de correo de usuario, establezca las siguientes opciones de configuración: Se requiere la configuración marcada con un asterisco (*).  Alias  Usuario existente o Nuevo usuario: seleccione Nuevo usuario. 58 Sistemas Operativos Windows  Nombre  Iniciales  Apellidos  * Nombre para mostrar: de forma predeterminada, este campo se rellena con los nombres que escriba en los campos Nombre, Iniciales y Apellidos, pero puede invalidarlo. La longitud máxima es de 256 caracteres.  * Nombre: de forma predeterminada, este campo se rellena con los nombres que escriba en el campo Nombre, Iniciales y Apellidos, pero puede invalidarlo. La longitud máxima es de 64 caracteres y el valor debe ser único en su organización.  Unidad organizativa: normalmente, la ubicación predeterminada de la cuenta de usuario es el contenedor Usuarios. Para cambiarlo, haga clic en Examinar y seleccione la unidad organizativa o el contenedor donde desea crear la cuenta.  * Nombre de inicio de sesión de usuario: se trata de la cuenta de usuario de Active Directory que se ha creado y asociado al buzón. Notas:  No use apóstrofos (') ni comillas ("). Aunque estos caracteres se permiten, pueden causar problemas más adelante (por ejemplo, al asignar permisos de acceso al buzón de correo).  Si este valor es diferente del valor alias, la dirección de correo electrónico y el nombre de la cuenta del usuario serán diferentes (importante si el dominio de correo electrónico y el dominio de Active Directory son iguales).  * Nueva contraseña: compruebe que el valor cumple los requisitos de longitud, complejidad e historial de la contraseña de su organización.  * Confirmar contraseña  Requerir cambio de contraseña en el siguiente inicio de sesión: active esta casilla para forzar al usuario a cambiar la contraseña inicial cuando inicie sesión por primera vez en el buzón. Puede hacer clic en Guardar para crear el buzón y la cuenta de usuario de Active Directory asociada, o bien puede hacer clic en Más opciones para configurar las siguientes opciones adicionales:  Base de datos de buzón: haga clic en Examinar para seleccionar la base de datos de buzón que contiene el buzón.  Crear un buzón de archivo local para este usuario: active esta casilla para crear un buzón de archivo para el buzón y, a continuación, haga clic en 59 Sistemas Operativos Windows Examinar para seleccionar la base de datos de buzón que contiene el buzón de archivo. Los elementos se mueven automáticamente desde el buzón principal al archivo en función de la configuración de la directiva de retención.  Directiva de libreta de direcciones: los ABP definen una lista global de direcciones (GAL), una libreta de direcciones sin conexión (OAB), una lista de salas y un conjunto de listas de direcciones. Una ABP proporciona al usuario acceso a una GAL personalizada en Outlook y Outlook en la Web. Cuando haya terminado, haga clic en Guardar. 6.3 Seguridad en el servicio de correo. La seguridad del correo electrónico es el proceso de prevenir ataques cibernéticos por correo electrónico y comunicaciones no deseadas. Esto incluye proteger la bandeja de entrada contra piratería, proteger los dominios contra el phishing, detener los ataques de phishing, prevenir el fraude, evitar el envío de malware, filtrar el spam y utilizar el cifrado para proteger el contenido del correo electrónico contra el acceso no autorizado. A continuación, se muestran los tipos de ataques más frecuentes a los servicios de correo electrónico.  Fraude: los ataques de fraude por correo electrónico pueden adoptar diversas formas, desde las clásicas estafas de pagos por adelantado dirigidas a cualquier persona hasta mensajes de ataques de correos electrónicos corporativos que pretenden engañar a los departamentos de contabilidad de las grandes empresas para que transfieran dinero a cuentas ilegítimas. A menudo, el atacante utiliza la suplantación de dominios para que parezca que la solicitud de fondos procede de una fuente legítima.  Phishing: un ataque de phishing intenta que la víctima proporcione al atacante información confidencial. Los ataques de phishing por correo electrónico pueden dirigir a los usuarios a una página web falsa que recopila credenciales, o simplemente presionar al usuario para que envíe la información a una dirección de correo electrónico controlada de manera secreta por el atacante. La suplantación de dominios también es habitual en este tipo de ataques.  Malware: los tipos de malware enviados por correo electrónico incluyen spyware, scareware, adware y ransomware, entre otros. Los atacantes pueden distribuir el malware a través del correo electrónico de varias maneras. Una de las más comunes es incluir un archivo adjunto en el correo electrónico que contenga código malicioso.  Apropiación de cuentas: los atacantes se apropian de las bandejas de entrada del correo electrónico de los usuarios legítimos con diversos fines, como controlar sus mensajes, robar información o utilizar direcciones de correo 60 Sistemas Operativos Windows electrónico legítimas para reenviar ataques de malware y correo electrónico no deseado a sus contactos.  El spam: también llamados correos no deseados, se refiere a mensajes comerciales no deseados enviados de forma masiva, estos suelen ofrecer o anunciar productos y servicios, pero también pueden contener incentivos engañosos y ofertas fraudulentas. 61 Sistemas Operativos Windows TAREA N°07 Instala y configura el servicio de Proxy y VPN. 7.1 Servidor Proxy en la red de datos. Un servidor proxy es un puente una computadora de una red de datos y el resto de Internet. Normalmente, cuando se utiliza un navegador en Internet se conecta directamente al sitio web que está visitando. Los proxies se comunican con los sitios web en su nombre. Cuando utiliza un proxy, su navegador se conecta primero al proxy y este redirige el tráfico al sitio web. Por eso los servidores proxy también se denominan “proxies de reenvío”. El proxy también recibe la respuesta del sitio web y se la envía de vuelta a usted. En el uso cotidiano, la palabra “proxy” (“representante”) se refiere a alguien a quien autoriza para que realice una acción en su nombre, como votar en una reunión importante a la que no puede asistir. Un servidor proxy cumple la misma función, pero en línea. En vez de comunicarse directamente con los sitios web que visita, el proxy se interpone para gestionar esa relación por usted. Como intermediario suyo en Internet, los servidores proxy tienen muchas funciones útiles. Estos son algunos de los principales usos de un servidor proxy:  Firewall: Un firewall es un tipo de sistema de seguridad de red que actúa como barrera entre una red e Internet. Los profesionales de la seguridad configuran firewall para bloquear accesos no deseados a una red, a menudo como contramedida contra ataques de malware o de hackers. Un servidor proxy situado entre una red de confianza e Internet es el sitio perfecto donde instalar un firewall que intercepte el tráfico antes de que entre en la red, y así poder decidir si se aprueba o se bloquea.  Filtros de contenido: Al igual que los servidores proxy pueden regular las solicitudes de conexión entrante mediante un firewall, también pueden actuar como filtros de contenido y bloquear el tráfico saliente no deseado. Las empresas pueden configurar servidores proxy como filtros de contenido para evitar que los empleados accedan a sitios web bloqueados desde el trabajo.  Anulación de filtros de contenido: Así es: puede engañar a un proxy con otro. Si el proxy de su empresa tiene bloqueado su sitio web favorito, pero no ha bloqueado el acceso a su servidor proxy personal o al proxy web que utiliza, puede acceder a su proxy y utilizarlo para contactar con los sitios web que desee. 62 Sistemas Operativos Windows  Guardado en memoria caché: La memoria caché es un almacenamiento temporal donde se guardan datos a los que se accede con frecuencia, de modo que sea más sencillo y rápido volver a acceder a ellos en el futuro. Los proxies pueden guardar sitios web de esta manera, de modo que se carguen más rápido que si tuviera que enviar el tráfico a través de Internet hasta el servidor del sitio. Esta técnica reduce la latencia, el tiempo que los datos tardan en viajar a través de Internet.  Seguridad: Además de contener firewall, los servidores proxy también pueden mejorar la seguridad actuando como rostro público exclusivo de su red. Vistos desde el exterior, todos los usuarios de la red son anónimos, pues quedan ocultos tras la dirección IP del proxy. Si un hacker quiere acceder a un dispositivo específico de una red, le costará mucho más dar con él.  Conexiones de Internet compartidas: Las empresas (o incluso domicilios) con una sola conexión a Internet pueden utilizar un servidor proxy para canalizar todos sus dispositivos a través de ella. Otra solución para este problema es utilizar un router Wi-Fi y dispositivos con capacidad inalámbrica. Para configurar el uso de un servidor proxy en computadoras con Windows, se siguen los siguientes pasos: Abra el menú Windows en la esquina inferior izquierda de la pantalla y haga clic en el icono del engranaje para abrir su Configuración. Figura N° 56: Abrir configuración de Windows. 63 Sistemas Operativos Windows En el menú Configuración de Windows, haga clic en Red e Internet. Figura N° 57: Ingresar a Redes e Internet. Seleccione Proxy en la barra lateral izquierda para ver la configuración proxy de su equipo. Si su conexión se canaliza a través de un proxy, aquí vera esa información. Figura N° 58: Configurar el servidor proxy. 64 Sistemas Operativos Windows 7.2 VPN para conexiones remotas seguras. VPN significa "Virtual Private Network" (Red privada virtual) y describe la oportunidad de establecer una conexión protegida al utilizar redes públicas. Las VPN cifran su tráfico en internet y disfrazan su identidad en línea. Esto dificulta a terceros el seguimiento de sus actividades en línea y el robo de datos. El cifrado se hace en tiempo real. Una VPN oculta su verdadera dirección IP al permitirle a la red redireccionarla por un servidor remoto especial, alojado por el proveedor de una VPN. Esto significa que, si navega en línea con una VPN, el servidor de la VPN se convierte en la fuente de sus datos. Esto significa que su Proveedor de servicios de internet (ISP) y otros terceros no pueden ver los sitios web que visita o qué datos envía y recibe en línea. Una VPN funciona como un filtro que convierte a todos sus datos en texto incomprensible. Si alguien lograra interceptar su información, de nada le sirve.  Instalar el rol de acceso remoto en Windows Server Para instalar el rol de Acceso remoto mediante Windows PowerShell realice lo siguiente: Abra Windows PowerShell como Administrador. Escriba y ejecute el siguiente cmdlet: Install-WindowsFeature DirectAccess-VPN -IncludeManagementTools Una vez completada la instalación, aparece el siguiente mensaje en W indows PowerShell. | Success | Restart Needed | Exit Code | Feature Result | |---------|----------------|-----------|--------------------------------------------| | True | No | Success | RAS Connection Manager Administration Kit |  Configuración de Acceso remoto como servidor VPN en Windows Server En esta sección, configuraremos el Acceso remoto para permitir las conexiones VPN de IKEv2 y denegar las conexiones de otros protocolos VPN. También asignaremos un grupo de direcciones IP estáticas para la emisión de direcciones IP a los clientes VPN autorizados a conectarse. 1. Asegúrese de que las reglas de su firewall permiten los puertos UDP 500 y 4500 entrantes a la dirección IP externa aplicada a la interfaz pública en el servidor VPN. 65 Sistemas Operativos Windows 2. En el servidor VPN, en Administrador del servidor, seleccione la marca de Notificaciones. Puede que tenga que esperar uno o dos minutos para ver la marca de Notificaciones. 3. En el menú Tareas, seleccione Abrir el Asistente de introducción para abrir el Asistente para la configuración del Acceso remoto. 4. Seleccione Implementar solo VPN para abrir Microsoft Management Console (MMC) de Enrutamiento y acceso remoto. 5. Haga clic con el botón derecho en el servidor VPN y seleccione después Configurar y habilitar enrutamiento y acceso remoto para abrir el Asistente para instalación del servidor de enrutamiento y acceso remoto. 6. En el Asistente para instalación de bienvenida al servidor de enrutamiento y acceso remoto, seleccione Siguiente. 7. En Configuración, seleccione Configuración personalizada y seleccione Siguiente. 8. En Configuración personalizada, seleccione Acceso VPN y, después, seleccione Siguiente para abrir el Asistente para instalación para completar la configuración del servidor de enrutamiento y acceso remoto. 9. Seleccione Finalizar para cerrar el asistente y seleccione Aceptar para cerrar el cuadro de diálogo Enrutamiento y acceso remoto. 10. Una vez que se esté ejecutando el servidor VPN, haga clic con el botón derecho en el servidor VPN y seleccione Propiedades. 11. Seleccione la pestaña IPv4 y realice los pasos siguientes:  Seleccione Grupo de direcciones estáticas.  Seleccione Agregar para configurar un grupo de direcciones IP.  En Dirección IP de inicio, escriba la dirección IP de inicio en el intervalo que quiera asignar a los clientes VPN.  En Dirección IP final, escriba la dirección IP final del intervalo que quiere asignar a los clientes VPN, o bien, en Número de direcciones, escriba el número de direcciones que quiere que esté disponible. 12. Seleccione Aceptar para cerrar el cuadro de diálogo de Propiedades. 13. En la MMC de Enrutamiento y acceso remoto, haga clic con el botón derecho del ratón en Puertos, y seleccione Propiedades para abrir el cuadro de diálogo Propiedades de puertos. 14. Seleccione WAN Miniport (SSTP) y seleccione Configurar para abrir el cuadro de diálogo Configurar dispositivo: WAN Miniport (SSTP).  Desactive tanto Conexiones de acceso remoto (solo entrantes) como 66 Sistemas Operativos Windows Conexiones de enrutamiento de marcado a petición (entrantes y salientes).  Seleccione Aceptar. 15. Seleccione WAN Miniport (IKEv2) y seleccione Configurar para abrir el cuadro de diálogo Configurar dispositivo: WAN Miniport (IKEv2).  Asegúrese de que están seleccionadas las opciones Conexiones de acceso remoto (solo entrantes) y Conexiones de enrutamiento de marcado a petición (entrantes y salientes).  En Puertos máximos, escriba el número de puertos para que coincida con el número máximo de conexiones VPN simultáneas que quiere admitir.  Seleccione Aceptar. 16. Seleccione WAN Miniport (L2TP) y seleccione Configurar para abrir el cuadro de diálogo Configurar dispositivo: WAN Miniport (L2TP).  Desactive tanto Conexiones de acceso remoto (solo entrantes) como Conexiones de enrutamiento de marcado a petición (entrantes y salientes).  Seleccione Aceptar. 17. Seleccione WAN Miniport (PPTP) y seleccione Configurar para abrir el cuadro de diálogo Configurar dispositivo: WAN Miniport (PPTP).  Desactive tanto Conexiones de acceso remo

Sistemas Operativos Windows PDF

Document Details

Tags

Related

Summary

Full Transcript