Tecnológico de Estudios Superiores de Chalco

¡El mejor tecnológico!

Brayan Antonio Alcantara Ortega, Sergio Armando Pérez Páez, Adán Gómez Cañedo Corte, Carlos Aguirre Rodríguez, Mérida Mota Eduardo Yazbeth.

Visita nuestro Facebook

Ponte en contacto con nosotros

Temario de la Ingeniería en Sistemas Computacionales

¡Entra al link para que descargues el temario de cualquier Ingeniería!

Preparando la mejor información para ustedes.

miércoles, 22 de abril de 2015

Políticas de grupos GPO

22:27  Brayan Ortega  No comments

INTRODUCCIÓN 

Las Directivas de Grupo (en adelante GPO) permiten implementar configuraciones específicas para uno o varios usuarios y/o equipos. Nos centraremos en cómo se debe hacer la gestión correcta de GPO en Active Directory de Microsoft Windows 2012. Para la configuración de GPO que sólo afecten a un usuario o equipo local se puede utilizar el editor de directivas locales gpedit.msc. En nuestro caso accederemos en el entorno de Servicios de Dominio de Active Directory.


Las GPO permiten administrar objetos de usuarios y equipos, aplicando la más restrictiva en caso de existir más de una política. Se puede usar una GPO para casi cualquier cosa, como indicar qué usuario o grupo tiene acceso a una unidad de disco, o limitar el tamaño máximo que puede tener un archivo.

Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender en distintos niveles:

  • Equipo Local: tan solo se aplican en el equipo que las tiene asignadas independientemente del dominio al que pertenezca. 
  • Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del dominio. 
  • Dominio: se aplican a todos los equipos y/o usuarios de un dominio. 
  • Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que pertenecen a la OU.

CONCLUSIONES
Es a veces importante y necesario crear estas políticas de grupos para los usuarios de ciertas áreas ya que puede ser de gran utilidad para prohibir ciertas cosas que queramos que no puedan cambiar por ningún motivo o incluso que no puedan modificarlo aun pidiendo la contraseña del administrador.
También pueden ahorrar y optimizar tiempos a la hora de instalar softwares pues sólo se configura la directiva para que haga esto en cualquier usuario.


Si quieres aprender como aplicar las políticas de grupo descarga el PDF aquí.


Leer más

lunes, 20 de abril de 2015

Mapa conceptual

23:25  Brayan Ortega  No comments

Mapa que nos ayuda a entender la administración de los servidores así como conceptos básicos.

Mapa unidad 1

INTEGRANTES:

Brayan Antonio Alcantara Ortega
Sergio Armando Pérez Páez
Adán Gómez Cañedo Corte
Carlos Aguirre Rodríguez
Mérida Mota Eduardo Yazbeth

Leer más

Cuentas de usuario Active Directory

22:23  Brayan Ortega  No comments


Las cuentas de usuario de Active Directory representan entidades físicas, como personas. También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:
  • Autentica la identidad de un usuario.

    Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.
  • Autoriza o deniega el acceso a los recursos del dominio.

    Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.

Cuentas de usuario

El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.
Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio que ejecutan Windows Server 2008 R2.

 

Cuenta de usuario predeterminadaDescripción
Administrador
La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta solo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contraseña segura.
La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, Administradores del dominio, Administradores de organización, Propietarios del creador de directivas de grupo y Administradores de esquema.
La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionados.
La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio con el Asistente para la instalación de los Servicios de dominio de Active Directory.
ImportantImportante
Aunque la cuenta Administrador esté deshabilitada, puede seguir usándose para obtener acceso a un controlador de dominio en modo seguro.
Invitado
Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.
Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.
Asistente de ayuda (se instala con una sesión de Asistencia remota)
La cuenta Asistente de ayuda es la cuenta principal para establecer una sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una sesión de Asistencia remota. Tiene acceso limitado al equipo. El servicio Administrador de sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda. La cuenta se elimina automáticamente si no hay solicitudes de Asistencia remota pendientes.

Protección de las cuentas de usuario

Si un administrador de red no modifica los derechos y permisos de las cuentas integradas, un usuario (o servicio) malintencionado puede usarlas para iniciar sesión en un dominio de forma no autorizada con la cuenta Administrador o Invitado. Una recomendación de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.
Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Después, podrá agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a los recursos permitidos.
Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

A continuación un pequeño manual de como configurar el protocolo TCP/IP así como el servicio DHCP, DNS y creación de cuentas por medio de Active Directory en Windows Server 2012.

Link de descarga aquí

Leer más

viernes, 17 de abril de 2015

Manual de Clientes del Dominio

20:59  Brayan Ortega  No comments

Dominio de Internet

Un dominio de Internet es una red de identificación asociada a un grupo de dispositivos o equipos conectados a la red Internet.
El propósito principal de los nombres de dominio en Internet y del sistema de nombres de dominio (DNS), es traducir las direcciones IP de cada modo activo en la red, a términos memorizables y fáciles de encontrar. Esta abstracción hace posible que cualquier servicio (de red) pueda moverse de un lugar geográfico a otro en la red Internet, aún cuando el cambio implique que tendrá una dirección IP diferente.
Equipos del dominio
Son cuentas integradas a un dominio que puede tener acceso a diferentes archivos, carpetas, etc. Pueden ser usados y aprovechados para compartir cosas con usuarios conectados al dominio y cada uno de los usuarios tendrá un espacio para compartir sus documentos y que el administrador revise los mismos o bien crear grupos que tengan acceso a estos documentos.
Es una manera fácil de optimizar el trabajo a la hora de compartir los archivos de manera inmediata.

En este manual les enseñaremos como configurar clientes al dominio en Windows Server 2012. Si quieres descargar el PDF da clic aquí.

Leer más

miércoles, 15 de abril de 2015

Instalación de Windows Server 2012

11:08  Brayan Ortega  No comments

INTRODUCCIÓN

Windows Server 2012

Windows Server 2012 es la última edición lanzada por Microsoft del sistema operativo Windows Server. Es la versión para servidores de Windows 8 y es el sucesor de Windows Server 2008 R2. El software está disponible para los consumidores desde el 4 de septiembre de 2012.
A diferencia de su predecesor, Windows Server 2012 no tiene soporte para computadoras con procesadores Intel Itanium y se venden cuatro ediciones. Se han agregado o mejorado algunas características comparado con Windows Server 2008 R2, como una actualización de Hyper-V, un rol de administración de direcciones IP, una nueva versión del Administrador de Tareas de Windows, y se presenta un nuevo sistema de archivos: ReFS.

CARACTERÍSTICAS

Opciones de instalación

A diferencia de su predecesor, Windows Server 2012 puede alternar entre una instalación Server Core —una opción que consta únicamente de una interfaz de línea de comandos— y una instalación Server Core with a GUI —una opción de instalación completa con una interfaz gráfica de usuario— sin necesidad de una reinstalación total. Entre estas, Server Core es la configuración recomendada. También hay una nueva tercera opción de instalación, que admite la Consola de Administración de Microsoft (MMC) y elServer Manager para ejecutar, pero sin Windows Explorer o las otas partes normales del escritorio.3 4

Interfaz de usuario

El Administrador de Servidores se ha rediseñado buscando una gestión más sencilla de múltiples servidores. Al igual que Windows 8, emplea la interfaz Modern UI (antes Metro UI), excepto cuando se instala en modo Server Core.6 En esta versión Windows PowerShell incluye más de 2300 commandlets (comandos de PowerShell), muchos más comparados con los cerca de 200 de la versión anterior.7 Incluso tiene auto-completado de comandos.

Administrador de tareas

Windows 8 y Windows Server 2012 incluyen una nueva versión del Administrador de Tareas junto con la versión anterior. En esta edición las solapas están ocultas por defecto, mostrando solamente un cuadro con las aplicaciones abiertas. En la solapa «Procesos», los procesos se muestran en varios tonos de amarillo, con tonos más oscuros representando un uso más elevado de recursos. Se indica el nombre de las aplicaciones, su estado, y el nivel general de uso de la CPUmemoriadisco duro, y recursos de red. La información de los procesos que anteriormente se encontraba en esta solapa en la versión anterior del administrador de tareas ahora está en la solapa «Detalles». La solapa «Rendimiento» está dividida en las secciones de CPU, memoria (RAM), disco, ethernet y, si corresponde, red inalámbrica, con gráficos para cada una. La solapa de CPU ya no muestra por defecto un gráfico individual para cada procesador del sistema; en su lugar, puede mostrar datos de cada nodo NUMA. Al mostrar datos de cada procesador lógico en máquinas con más de 64 procesadores lógicos, la solapa «CPU» ahora muestra porcentajes de utilización sobre una cuadrícula indicando el uso con tonos de azul. Nuevamente en este caso, los tonos más oscuros indican un mayor uso de recursos. Al pasar el cursor sobre la casilla que representa cada procesador en la cuadrícula se muestra el nodo NUMA node de ese procesador y su identificador, si corresponde. Adicionalmente, se agregó la nueva solapa «Inicio», donde se muestra un lista de las aplicaciones que se inician con el sistema. El nuevo administrador de tareas reconoce cuando una aplicación WinRT entra en estado suspendido.

Aquí les dejo un pequeño manual para que puedan instalar su Sistema Operativo de una manera adecuada. Yo, en este caso, usé una máquina virtual para instalarla (Virtual Box 4.2.2).


Si les agrada el PDF, pueden descargarlo aquí


Leer más

Usuarios, grupos y equipos

10:18  Brayan Ortega  No comments

Introducción

  • Los grupos simplifican la administración porque proporcionan un método fácil para conceder capacidades comunes a múltiples usuarios simultáneamente. Por ejemplo, si varios usuarios necesitan leer un archivo, las cuentas de usuario se agregarán a un grupo.
  • La capacidad de lectura se asigna solo una vez al grupo, en lugar de asignarse a cada usuario en particular.

Ámbitos de Grupo
Cuando se crea un usuario se le asigna un ámbito. El ámbito de grupo determina la visibilidad del mismo dentro del dominio, así como las características que pueden conceder a los objetos que contiene.
  • Grupos de ámbito global: Los permisos concedidos a este grupo tienen validez en cualquier dominio. Pueden ser miembros de grupos universales o locales en cualquier dominio y pueden tener como miembros a otros grupos globales del mismo dominio y a cuentas de usuario del mismo dominio.
  • Grupos de ámbito local de dominio: Sus miembros actúan sobre cualquier dominio pero sus permisos solo son efectivos para recursos del dominio en el que se crea el grupo.
  • Grupos de ámbito universal: Pueden tener miembros procedentes de cualquier dominio y se les puede asignar

Cuentas de usuario integradas
Cuando se crea el dominio, se crean también dos nuevas cuentas: Administrador e Invitado. Posteriormente, cuando es necesario, se crea también la cuenta Asistente de ayuda. Estas son las denominadas cuentas integradas y disponen de una serie de derechos y permisos predefinidos:
  • Administrador: Tiene control total sobre el dominio y no se podrá eliminar ni retirar del grupo Administradores (aunque sí podemos cambiarle el nombre o deshabilitarla).
  • Invitado: Está deshabilitada de forma predeterminada y, aunque no se recomienda, puede habilitarse, por ejemplo, para permitir el acceso a los usuarios que aún no tienen cuenta en el sistema o que la tienen deshabilitada. De forma predeterminada no requiere contraseña, aunque esta característica, como cualquier otra, puede ser modificada por el administrador.
  • Asistente de ayuda: se utiliza para iniciar sesiones de Asistencia remota y tiene acceso limitado al equipo. Se crea automáticamente cuando se solicita una sesión de asistencia remota y se elimina cuando dejan de existir solicitudes de asistencia pendientes de satisfacer.
Figura1. Distintos tipos de usuarios y sus jerarquías.


Grupos de Seguridad
Permiten asignar permisos a las cuentas de usuario, de equipo y grupos sobre los recursos compartidos. Con los grupos de seguridad podemos:
  • Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De esta forma, podemos establecer qué acciones pueden llevar a cabo sus miembros dentro del dominio (o del bosque).
  • Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite definir quién accede a cada recurso y bajo qué condiciones (control total, sólo lectura, etc.) También se establecen permisos de forma predeterminada sobre diferentes objetos del dominio para ofrecer distintos niveles de acceso.
Figura2. Imagen que muestra los grupos y permisos que tiene cada usuario dentro de cada uno.

Unidades Organizativas
Las Unidades Organizativas (en inglés, Organizational Units o, simplemente,OUs) son contenedores del Directorio Activo que pueden incluir usuarios, equipos, grupos y otras unidades organizativas.

A una Unidad Organizativa le podemos otorgar valores de configuración de directiva de grupo o podemos delegar sobre ella una parte de la autoridad administrativa. De esta forma, un usuario puede tener autoridad para administrar una determinada unidad organizativa y no tenerla para el resto. En definitiva, esto significa que podemos definir contenedores que representen la organización lógica de nuestra red.

Figura3. Ejemplo de una unidad organizativa con grupos y cuentas de usuarios.


Leer más

Dominios en Windows Server 2012

10:09  Brayan Ortega  No comments

Introducción
  • Windows Server es un sistema operativo de entorno servidor de los más extendidos en la actualidad. Es un sistema operativo con interfaz gráfica, multitarea, multiusuario y que trabaja en tiempo compartido.
  • También se puede interactuar con el sistema operativo a través de un intérprete de comandos.
Directorio y Dominio

  • La forma más eficiente de aprovechar el que los ordenadores de una organización se conecten en red para compartir información, es la creación de dominios.
  • En los dominios la información administrativa [cuentas de usuario, impresoras, directorios, etc.] y de seguridad se encuentran centralizadas en uno o varios servidores. Windows Server utiliza el concepto de directorio para implementar este tipo de configuración.
  • En redes de ordenadores, el concepto de directorio o almacén de datos es una estructura jerárquica que guarda información sobre objetos en la red, implementada como una gran base de datos.


Directorio Activo

  • El Directorio Activo o el Active Directory, es el servicio de directorio de una red de Windows Server.
  • El AD es un servicio de red que guarda información de los recursos de la red y permite el acceso a los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un modelo para organizar, controlar y administrar centralizadamente el acceso a los recursos de la red.



 Conceptos Clave

  • Dominio: Estructura fundamental. Permite agrupar todos los objetos que se administran de forma estructurada y jerárquica.
  • Unidad Organizativa (UO): Es la unidad jerárquica inferior del dominio, que puede estar compuesta por una serie de objetos y/o por otras UO.
  • Grupos: Conjunto de objetos del mismo tipo que se utilizan fundamentalmente para la asignación de derechos de acceso a los recursos.
  • Objetos: Forman una representación de un recurso de red, como pueden ser impresoras, ordenadores, unidades e almacenamiento, etc.



 Características del AD

  • Cada dominio de Windows Server queda identificado unívocamente mediante un nombre DNS, por ejemplo mcgrawhill.es
  • Cada equipo que forme parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio, por ejemplo editorial.macgrawhill.es
Figura1. Estructura jerárquica de los dominios
Funciones del Active Directory

 El AD utiliza los nombre DNS para tres funciones principales:

  1. Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host en direcciones IP.
  2. Definición de espacio de nombres: El AD utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios.
  3. Búsqueda de los componentes del AD: Para iniciar una sesión de red y utilizar los recursos del AD, el equipo que se conecta al dominio debe encontrar primero el controlador de dominio o servidor de catálogo global para procesar la autentificación de inicio de sesión o la consulta.


Árbol

Es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo.

Bosque

  • Es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.
  • Un dominio único constituye un árbol de un dominio, y un árbol único constituye un bosque de un árbol.

Requisitos para crear un Dominio

  • Windows Server
  • Tener instalado y configurado manualmente un protocolo de red TCP/IP
  • Servidor de nombres DNS y DHCP instalados y configurados
  • Active Directory instalado


Figura2. Configuración del protocolo TCP/IP




Leer más

Administración de cuentas de usuarios y acceso a recursos

9:51  Brayan Ortega  No comments

La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y cómo funcionan. 

La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso. 

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo, si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa para la administración de recursos y acceso.

El nombre de usuario
Cada usuario debe tener un nombre de usuario que sea diferente a todos los otros usuarios en ese sistema.
Debido a este requerimiento, es vital determinar — por adelantado — cómo se crean los nombres de usuario. De lo contrario, puede encontrarse en la posición de ser forzado a reaccionar cada vez que un nuevo usuario solicita una cuenta. Lo que necesita es una convención de nombres para sus cuentas de usuarios.

La naturaleza exacta de su convenio de nombres debe tomar varios factores en cuenta: 
  • El tamaño de su organización 
  • La estructura de su organización 
  • La naturaleza de su organización

El tamaño de su organización importa, pues dicta cuántos usuarios puede soportar su convención para nombres. Por ejemplo, una compañía muy pequeña quizás pueda permitir que todo el mundo utilice su primer nombre. Para una organización mucho más grande, este convenio no funciona. 

La estructura de la organización también puede tener influencia sobre el convenio de nombres más apropiado. Para organizaciones con una estructura bien definida puede ser adecuado incluir elementos de esa estructura en la convención de nombres. Por ejemplo, puede incluir los códigos de los departamentos como parte del nombre de usuario. 

La naturaleza completa de su organización también puede significar que algunas convenciones son más apropiadas que otras. Una organización que maneja datos confidenciales puede decidirse por una convención que no indica ningún tipo de información personal que pueda vincular al individuo con su nombre. En una organización de este tipo, el nombre de usuario de Maggie McOmie podría ser LUH3417. 

He aquí algunas convenciones de nombres que otras organizaciones han utilizado: 
  •  Primer nombre (jorge, carlos, pedro, etc.) 
  •  Apellido (perez, obregon, ramirez, etc) 
  •  Primera inicial, seguido del apellido (jperez, cobregon, pramirez, etc.) 
  •  Apellido, seguido del código del departamento (perez029, obregon454, ramirez191, etc.)


Una cosa común con la convención de nombres descrita aquí es que es posible que eventualmente existan dos individuos que, de acuerdo a la convención, obtendrían el mismo nombre de usuario. Esto se conoce como una colisión

Manejar colisiones 
Las colisiones son un hecho — no importa cuanto lo intente, eventualmente se encontrará tratando con colisiones. Debe planear para las colisiones en su convención de nombres. Hay muchas formas de hacer esto: 
  •  Añadiendo números en secuencia al nombre de usuario en colisión (perez, perez1, perez2, etc.) 
  •  Añadiendo datos específicos al usuario al nombre de usuario en colisión (perez, eperez, ekperez, etc.) 
  •  Añadiendo información adicional de la organización al nombre de usuario (perez, perez029, perez454, etc.) 


Es necesario tener un método para resolver las colisiones como parte de cualquier convención de nombres. Sin embargo, hace más difícil para alguien fuera de la organización determinar el nombre de usuario de un individuo. Por lo tanto, la desventaja de las convenciones de nombres es que hace más probable el envío de correos electrónicos a las direcciones equivocadas. 

Contraseñas 
Si el nombre de usuario responde a la pregunta "¿Quién es usted?", la contraseña es la respuesta a la pregunta que inevitablemente sigue: "Demuéstralo!" En términos más prácticos, una contraseña proporciona una forma de probar la autenticidad de la persona que dice ser el usuario con ese nombre de usuario. La efectividad de un esquema basado en contraseñas recae en gran parte sobre varios aspectos de la contraseña: 
  •  La confidencialidad de la contraseña 
  •  La resistencia de adivinar la contraseña
  •  La resistencia de la contraseña ante un ataque de fuerza bruta. 

Las contraseñas que efectivamente toman en cuenta estos problemas se conocen como contraseñas robustas, mientras que aquellas que no, se les llama débiles. Es importante para la seguridad de la organización crear contraseñas robustas, mientras más robustas sean las contraseñas, hay menos oportunidades de que estas sean descubiertas o que se adivinen. Hay dos opciones disponibles para reforzar el uso de contraseñas robustas: 
  •  El administrador del sistema puede crear contraseñas para todos los usuarios. 
  •  El administrador del sistema puede dejar que los usuarios creen sus propias contraseñas, a la vez que se verifica que las contraseñas sean lo suficientemente robustas. 

Al crear contraseñas para todos los usuarios asegura que estas sean robustas, pero se vuelve una tarea pesada a medida que crece la organización. También incrementa el riesgo de que los usuarios escriban sus contraseñas. 

Por estas razones, la mayoría de los administradores de sistemas prefieren dejar que los usuarios mismos creen sus contraseñas. Sin embargo, un buen administrador de sistemas tomará los pasos adecuados para verificar que las contraseñas sean robustas. 

Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una contraseña robusta es aquella que un atacante no podrá adivinar, aún si el atacante conoce bien al usuario. 

Un ataque de fuerza bruta sobre una contraseña implica el intento metódico (usualmente a través de un programa conocido como password-cracker) de cada combinación de caracteres posible con la esperanza de que se encontrará la contraseña correcta eventualmente. Una contraseña robusta se debería construir de manera tal que el número de contraseñas potenciales a probar sea muy grande, forzando al atacante a tomarse un largo tiempo buscando la contraseña. 

Una contraseña corta es débil porque es mucho más susceptible a un ataque de fuerza bruta. Para ilustrar esto, considere la tabla siguiente, en el que se muestran el número de contraseñas potenciales que deben ser evaluadas en un ataque de fuerza bruta. (Se asume que las contraseñas consisten solamente de letras en minúsculas.) 

                                     Tabla 6-1. El largo de la contraseña contra el número de contraseñas potenciales

Como puede ver, el número de contraseñas posibles incrementa dramáticamente a medida que se incrementa el largo. 


Para lograr establecer contraseñas robustas o seguras se requiere lo siguiente: 
  •  Que sea lo más larga posible. Mientras más larga la contraseña, menos es la probabilidad de que tenga éxito un ataque de fuerza bruta. Por lo tanto, si su sistema operativo lo soporta, establezca un largo mínimo para las contraseñas de sus usuarios relativamente largo. 
  •  Que sea alfanumérica, combinando el uso de mayúsculas y minúsculas, y de ser posible que adicione caracteres no alfanuméricos como: &, -, @, etc. 
  •  Que implemente períodos de vigencia, es decir, que se le pida al usuario cambiarla al término de un período establecido de tiempo. 


Información de control de acceso
Junto con un nombre de usuario y contraseña, las cuentas de usuario también contienen información de acceso. Esta información toma formas diferentes de acuerdo al sistema operativo utilizado. Sin embargo, los tipos de información a menudo incluyen: 
  •  Identificación específica al usuario global al sistema 
  •  Identificación específica al grupo global al sistema 
  •  Lista de los grupos/capacidades adicionales a los cuales el usuario es miembro 
  •  Información de acceso por defecto a aplicar para todos los archivos y recursos creados por el usuario 

En algunas organizaciones, la información de control de acceso quizás nunca se necesite tocar. Este caso es más frecuente con estaciones de trabajo personales y sistemas independientes, por ejemplo. Otras organizaciones, particularmente aquellas que hacen uso extensivo de los recursos compartidos a los largo de la red entre diferentes grupos de usuarios, requieren que la información de control de acceso se modifique con frecuencia. 

La carga de trabajo requerida para mantener apropiadamente la información de control de acceso de sus usuarios varía de acuerdo a cuan intensivamente su organización utiliza las funcionalidades de control de acceso. Mientras que no está mal contar con estas funcionalidades (de hecho, quizás sea inevitable), implica que su entorno de sistema puede requerir más esfuerzo para ser mantenido y que cada cuenta de usuario pueda tener más formas en las cuales pueda ser mal configurada. 

Por lo tanto, si su organización requiere de este tipo de entorno, debería documentar los pasos exactos requeridos para crear y correctamente configurar una cuenta de usuario. De hecho, si hay diferentes tipos de cuentas de usuario, debería documentar cada una (creando una nueva cuenta de usuario de finanzas, una nueva cuenta de usuario de operaciones, etc.).

Administración de recursos de usuarios 
La creación de cuentas de usuario solamente es una parte del trabajo de un administrador de sistemas. La administración de recursos también es esencial. Por lo tanto, debe considerar tres puntos: 
  •  ¿Quién puede acceder a los datos compartidos? 
  •  ¿Dónde los usuarios acceden a esos datos? 
  •  ¿Qué barreras se colocan para prevenir el abuso de los recursos? Las secciones siguientes revisan brevemente cada uno de estos tópicos. 


¿Quién puede acceder a los datos compartidos?
El acceso de un usuario a una aplicación dada, archivo o directorio es determinado por los permisos aplicados a esa aplicación, archivo o directorio. 

Además, a menudo es útil si se pueden aplicar diferentes permisos para diferentes clases de usuarios. Por ejemplo, el almacenamiento compartido debería se capaz de prevenir la eliminación accidental (o maliciosa) de archivos de usuarios por otros usuarios, a la vez que se permite que el propietario de los archivos tenga acceso completo a los mismos. 

Otro ejemplo es el acceso asignado al directorio principal de un usuario. Solamente el propietario del directorio principal debería poder crear y ver los archivos que se encuentran allí. Se debería negar el acceso a todos los otros usuarios (a menos que el usuario desee lo contrario). Esto incrementa la privacidad del usuario y previene de la posible apropiación incorrecta de archivos personales. 

Pero hay muchas situaciones en las que múltiples usuarios pueden necesitar acceso al mismo conjunto de recursos en una máquina. En este caso, puede ser necesaria la creación de grupos compartidos. 

Grupos y datos compartidos 
Como se mencionó en la introducción, los grupos son construcciones lógicas que se pueden usar para vincular cuentas de usuario para un propósito específico. 
Cuando se administran grupos dentro de una organización, es prudente identificar los datos a los que ciertos departamentos deben tener acceso, los datos que se deben negar a otros y que datos deberían ser compartidos por todos. Esto ayuda en la creación de una estructura de grupos adecuada, junto con los permisos apropiados para los datos compartidos. 

Por ejemplo, asuma que el departamento de cuentas por cobrar debe mantener una lista de las cuentas morosas. Esta lista debe ser compartida con el departamento de cobros. Si el personal de cuentas por cobrar y el personal de cobranzas se colocan como miembros de un grupo llamado cuentas, esta información se puede colocar entonces en un directorio compartido (propiedad del grupo cuentas) con permisos de grupo para leer y escribir en el directorio.

Determinar la estructura de un grupo 
Algunos de los retos con los que se encuentra un administrador de sistemas cuando crean grupos son: 
  •  ¿Qué grupos crear? 
  •  ¿A quién colocar en un grupo determinado? 
  •  ¿Qué tipo de permisos deberían tener estos recursos compartidos? 

Para estas preguntas se necesita un enfoque con sentido común. Una posibilidad es reflejar la estructura de su compañía cuando se creen grupos. Por ejemplo, si hay un departamento de finanzas, cree un grupo llamado finanzas y haga a todo el personal de finanzas parte de ese grupo. Si la información financiera es muy confidencial para toda la compañía, pero es vital para los empleados senior, entonces otorgue a estos permisos a nivel de grupo para el acceso a los directorios y los datos utilizados por el departamento de finanzas añadiéndolos al grupo finanzas

También es bueno pecar por el lado de la precaución cuando se otorguen permisos para los usuarios. De esta forma, hay menos probabilidades de que los datos confidenciales caigan en las manos incorrectas. 

Enfocando la creación de la estructura de grupos de su organización de esta manera, se puede satisfacer de forma segura y efectiva la necesidad de datos compartidos dentro de la organización. 

¿Dónde los usuarios acceden a los datos compartidos?
Cuando se comparten datos entre usuarios, es un práctica común tener un servidor central (o grupo de servidores) que hacen ciertos directorios disponibles a otras máquinas en la red. De esta forma los datos son almacenados en un lugar; no es necesario sincronizar los datos entre múltiples máquinas.

Antes de asumir este enfoque, primero debe determinar cuáles son los sistemas a acceder a los datos almacenados centralmente. Al hacer esto, tome nota de los sistemas operativos utilizados por los sistemas. Esta información tiene un peso en su habilidad de implementar este enfoque, pues su servidor de almacenamiento debe ser capaz de servir sus datos a cada uno de los sistemas operativos en uso en su organización. 

Lamentablemente, una vez que los datos son compartidos entre múltiples computadores en una red, puede surgir el potencial para conflictos en la propiedad de un archivo. 

Problemas globales de propiedad 
El tener los datos almacenados centralmente y accesibles por múltiples computadores sobre la red tiene sus ventajas. No obstante, asuma por un momento que cada una de esas computadoras tiene una lista mantenida localmente de las cuentas de usuarios. ¿Qué tal si las listas de usuarios en cada uno de estos sistemas no son consistentes con la lista de usuarios en el servidor central?
Peor aún, ¿qué pasa si la lista de usuarios en cada uno de esos sistemas no son ni siquiera consistentes unas con otras? 

Mucho de esto depende sobre cómo se implementen los usuarios y los permisos de acceso en cada sistema, pero en algunos casos es posible que el usuario A en un sistema pueda ser conocido como B en otro. Esto se vuelve un verdadero problema cuando los datos son compartidos entre sistemas, pues los datos que el usuario A tiene permitido acceder desde un sistema también puede ser leído por el usuario B desde otro sistema. 

Por esta razón, muchas organizaciones utilizan algún tipo de base de datos central de usuarios. Esto asegura que no haya solapamientos entre las listas de usuarios en sistemas diferentes. 

Directorios principales 
Otro problema que enfrentan los administradores de sistemas es si los usuarios deberían tener directorios principales centralizados. 

La ventaja principal de tener un directorio principal centralizado en un servidor conectado a la red es que si un usuario se conecta a cualquier máquina en la red, podrá acceder a los archivos en su directorio principal.

 La desventaja es que, si la red se cae, los usuarios a lo largo de la organización no podrán acceder a sus archivos. En algunas situaciones (tales como organizaciones que hacen gran uso de portátiles), el tener directorios principales centralizados no es recomendable. Pero si tiene sentido para su organización, la implementación de directorios principales puede hacer la vida de un administrador mucho más fácil. 

¿Qué barreras se colocan para prevenir el abuso de los recursos? 
La organización cuidadosa de recursos y la asignación de permisos para los recursos compartidos es una de las cosas más importantes que un administrador de sistemas puede hacer para prevenir el abuso de recursos entre usuarios dentro de la organización. De esta forma, aquellos que no deberían tener acceso a recursos confidenciales, se les niega el acceso. 

Pero no importa cómo su organización haga las cosas, la mejor guardia contra el abuso de recursos siempre es la vigilancia permanente por parte del administrador del sistema. Mantener los ojos abiertos a menudo es la única manera de evitar que una sorpresa desagradable esté esperando por usted a la mañana siguiente.

FUENTE: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/ch-acctsgrps.html




Leer más

Administración de una empresa Parte 2

9:12  Brayan Ortega  No comments

¿Qué son los servidores?
 Son equipos informáticos que brindan un servidor en la red. Dan información a los otos servidores y a los usuarios. Son equipos de mayores dimensiones y prestaciones  que una PC de escritorio. Pueden llegar a ser más potentes (por lo general), tene varios procesadores con varios núcleos cada uno; incluye grandes cantidades de memoria RAM, ente 16 GB a 1 TB, o más; mientras que el espacio de almacenamiento ya no se limita a un disco duro, sino que puede haber varios de ellos, con capacidad del orden de TB. Debido a sus capacidades, un servidor puede dar un solo servicio o más de uno.

EJEMPLO EN EQUIPOS DELL
SERVIDOR POWEREDGE R910
PC ESCRITORIO OPTIPLEX 960
Microprocesador
Eigth-Core Intel Xeon T500 and 6500 Series.
Intel Core2 Quad, 12 MB de cache.
Disco Duro
Hasta 9 TB SSO y SAS.
Hasta 320 GB SATA II.
Memoria RAM
Hasta 1 TB, ECC DDR3.
Hasta 16 GB, DDR2 SDRAM.
Placa gráfica
Matrux, G200eWI / 8MB
G12 MB NVIDIA MVS 420
                        Tabla1. Comparación de las características de una PC de escritorio y un servidor

Tipos de Cloud computing

Hay tres tipos de computación en la nube:
  • SaaS: en el que una empresa mantiene y da soporte a aplicaciones que utiliza el cliente durante un tiempo determinado.
  • LaaS: donde la empresa da servidores y equipamientos de red al cliente.
  • PaaS: en el que la empresa brinda una plataforma completa de software y hardware para una aplicación en particular.

Figura1. Pequeño diagrama de como funciona el almacenamiento en la nube.
Hardware de un Servidor
Como en todos los equipos también los servidores cuentan con ciertas partes de su hardware que es importante recalcar o hacer mención. Aunque tiene muchas partes se dirán las más importantes:
Figura2. Partes de un servidor (Hardware)
Refrigeración: este sistema es muy importante, ya que si deja de funciona, el servidpr se verá en serios problemas.

HDs: aquí esta el espacio reservado para los disco rígidos, Éstos se pueden saca y volver a colocar estando el servidor encendido, sin que haya pérdida de datos; se reconstruye el disco nuevo  y sigue funcionando. Esto se conoce como RAID.

Fuentes: en este lugar se ubican las fuentes de energia. Es posible apreciar el espacio para la ventilación con los ventiladores propios.

Placas y micro: es la ubicación de la memoria RAM, la CPU y las placas de expansión, así como también de disipadores, cables y conectores.

Tipos de servidores
Existen distintos tipos de servidores, y pueden ser virtuales o físicos. Podemos clasificaros segun sus capacidades, fabricantes y servicios prestados. A continuación, describiremos esta última categorización:
  • Servidores de impresión: tienen conectadas varias impresoras de red y administrar las colas de impresión según la petición de sus clientes.
  • Sevidores de web: este tipo de servidores se encargan de almacenar sitios en la red interna (Intranet). Pueden publicar cualquier aplicación web, brindarle la seguridad corresponiente y administrarla por completo.
  • Servidor de Bases de Datos: lo más importante de estos servidores es la posibilidad de manejar grandes cantidades de datos y generar información. Para contener todo ese material generalmente se conectan a un storage.

Figura3. Hay varias empresas que se dedican a fabricar unidades de storage. Ésta tiene capacidad para 15 unidades de disco, pero esto puede variar.
  • Servidores de correo electrónico: son capaced de administrar todos los correos de la empresa en un solo lugar. También trabajan cn un storage, debido a la gran cantidad de datos que se manejan. Allí se almacenan los correos, y se los redirecciona a clientes y servidores de seguridad, analizadores y replicadores. Algunos también brindan opciones de seguridad, como antispam, lista blanca, lista negra y antivirus.

Figura4. La consola Exchange 2007, de Microsoft, dispone de varias herramientas, como búsqueda de mensajes, vista de colas de e-mails, búsqueda de problemas y más.
  • Servidores de directorio: se ocupan de almacenar los datos de todos los usuarios de red, propiedades y características que los identifican. 
  • Servidores de comunicaciones: brindan servidores de chat, telefonía IP, teleconferencia, vídeo, etc. 
  • Servidores de archivos: nos permiten compartir el material guardado de manera segura, y ofrecen una mayor capacidad de almacenamiento que los equipos de escritorio, Pueden tener conectados varios storage de distintas capacidades.
  • Servidores de seguridad: se dedican a escanear l red en busca de virus, máquinas desactualizadas por falta de parches del sistema operativo, equipo con determinado software instalado y muchas otras acciones más.
  • Servidores de proxy: brindan acceso a Internet. En ellos generalmente residen firewalls a los que se les configuran reglas para permitir la navegación po ciertas páginas y bloquear otras.
  • Servidores de servidores virtuales: Un solo servidor físico puede contener varios servidores virtuales, pero el usuario final no distinguirá las diferencias. Sólo desde su administración podremos explotar todas las características.
  • Servidores particulares: se instalan para cada aplicación que utilicemos en la red. Por ejemplo, servidores de workflows, de CRM, de RR.HH, de contaduría, etc.

Los servidores, por sus diferencias físicas, de tamaño y de diseño, también se dividen en rackeables, tipo tower y blades.
Rackeables: son aquellos que podemos colocar dentro de un armario con correderas(rack); suelen ser desplegados como una laptop de grandes dimensiones.
Tower: Son los más típicos, parecidos a una PC de escritorio, pero más potentes.
Blades: son equipos grandes que permiten cambiar o agregar hardware de forma caliente, esto es, mientras el servidor esta activo.

Responsabilidades por asumir 

En todos los trabajos existen responsabilidades; en éste, básicamente, es la continuidad del negocio. Esto quiere decir que la empresa debe seguir manteniendo sus servidores continuamente. Es preciso tratar de obtener un servicio de 24 horas los 365 días del año.







Leer más

Administración interna de una empresa Parte 1

8:09  Brayan Ortega  No comments

Tipos de redes
Hay diversas formas de caracterizar una red: por sus características físicas o su extención, por sus características lógicas, diseños, fines y otras. Según el alcance son las siguientes:

REDES
ALCANCES
PAN(Personal Area Network)
Aquellas que están a nuestro alrededor, no más allá de nuestros brazos.
LAN(Local Area Network)
Son locales en una empresa o edificio, aprox. 1 km de extensión.
MAN(Metropolitan Area Network)
Se extienden por toda una ciudad, alrededor de 50 km.
WAN(World Area Network)
Más extensas, Internet por ejemplo, y también las redes de una empresa mundial.

Otra caracterización es por la manera en que se conectan sus componentes de hardware. También pueden variar de acuerdo a su software empleado. La última caracterización las divide según sus fines.

CATEGORIZACIÓN
DESCRIPCIÓN
Hardware de conexión
Cableados, inalámbricos, Infrarrojas, satelitales
Topología
Estrella, anillo, maya, árbol
Tecnología de software
P2P, FTP, sociales, privadas, públicas
Función o fin
Universitarias, militares, científicas, etc.

Figura1. Distintas conexiones posibles ente varios equipos de red. La más utilizada la de estrella.

Una importante categoría es la de las redes privadas, de las cuales hay muchas a nivel nacional, internacional e intercontinental.

  • APANET (Advanced Research Pojects Agency Network): fue la primera red militar, y es conocida porque fue la espina dorsal de Internet. Comunicaba los centros de investigación de las bases militares y las casas de gobierno.
  • NSFNET (Naional Science Foundation Nework): es una red constituida por tres niveles. El primer nivel se encuentra una red troncal que comunica el departamento de administración con el de operación y con redes intercontinentales. El nivel 2 está constituido por una red que comunica redes regionales, basadas en disciplinas y redes de consorcios. El nivel 3 es una red de campus, de universidades y de comercios.
  • EBONE (Pan-European Multi-Protocol Backbone): cumple con el mismo papel que NSFNET pero en las edes de Europa.
  • EARN (European Academic Research Network): es una gran red que da servicios a instituciones académicas y de investigación en Europa, África y Oriente Medio.
  • ARIU (Asociación Redes de Interconexión Universitaria): red argentina organizada por las universidades nacionales e institutos universitarios integrantes del CIN (Consejo Universitario Nacional).
Equipamento de una red
La red permite enviar mensajes, y en el proceso de comunicación se involucran siempe estos tes actores: un emisor, un medio y un receptor
Los dispositivos de red pueden tomar el rol de cualquiera de los 3 actores. Cada uno de ellos puede actuar tanto como receptor y emisor dependiendo la dirección y sentido que lleve el mensaje. Se describirán unos cuantos dispositivos más comunes encontrados en una red.

  • Router: se trata de un dispositivo que dirige los paquetes de una red hacia otra. Es usado como puenta para conectar redes.
Figura2. Un router en cada extremo de las redes por conecta dirige el tráfico desde y hacia él.
  • Switch: se encarga de aumentar la capacidad de conexión en una red y direcciona los paquetes a los clientes que lo solicitan.
Figura3. Los switches se colocan en los racks; podemos distinguir rápidamente un switch hogareño por la cantidad de bocas que posee.
  • Sniffer: permite analiza las tramas de la red buscando anomalías, intromisiones imporpias y agujeros de seguridad.
Figura4. Un sniffe QNAP es un ejemplo de este tipo de equipos que se conectan a una red y filtran los paquetes que circulan por ella.

  • Acces point: es un punto de publicación y acceso mediante conexiones wireless
Figura5. Los access point dan flexibilidad y extensión a la red. Nos permiten trabajar exentos de cables con mayar comodidad.

  • Rack: es un armario metálico donde van fijados los servidores, routers, swtches y pacheras. Su principal función es permitir organizar el espacio, y establecer una línea de enfriamiento de conexión ordenada.
Figura6. En cada ubucación podemos colocar un servido, un switch, un router o cualquier oto dispositivo. Los servidores tienen corredores para facilitar el acceso.
  • Pachera: Permite ordenar las conexiones entre racks, los switches y los routers. Debemos tener en cuenta que al igual que los racks, son elementos que pertenecen al medio y no interactúan con el emisor o receptor.
Figura7. Ejemplo de una pachera.
Herramientas necesarias para un administrador
Un administrador de servidores tiene que tener a la mano cierta clase de herramientas para trabajar en los equipos. Algunas de estas herramientas son:

  1. Pinzas para armar cables.
  2. Destornilladores.
  3. Pacheras.
  4. Terminales.
  5. Cables de distintos tipos y longitud.
  6. Analizadores de conectividad.
  7. Consolas seriales
Figura8. Algunas herramientas que debe contemplar un administrador de servidores.







Leer más