Determinando El Servicio de Nombres o Directorios
-
Upload
jaime-a-feria-perez -
Category
Documents
-
view
214 -
download
0
Transcript of Determinando El Servicio de Nombres o Directorios
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
1/14
Introduccin
Las redes de ordenadores se encuentran expuestas a ataques informticos con tanta
frecuencia que es necesario imponer una gran cantidad de requisitos de seguridad para la
proteccin de sus recursos. Aunque las deficiencias de estos sistemas se pueden
comprobar mediante herramientas convencionales, no siempre son corregidas. En
general, estas debilidades pueden provocar un agujero en la seguridad de la red y facilitar
entradas ilegales en el sistema.
En este reporte se analiaran algunos servicios de nombres !"#, $!# y L$A los cuales
crean bases de datos de red en varios servidores de red, la red utilia archivos locales
para proporcionar el servicio de nombres.
El DNS(Domain Name System, Sistema de Nombres de Dominio) es un conjunto de
protocolos y servicios que permite a los usuarios utiliar nombres en ve de tener que
recordar direcciones "% num&ricas. 'sta es ciertamente la funcin ms conocida de los
protocolos $!#( la asignacin de nombres a direcciones "%. %or ejemplo, si la direccin "%
de ))).ujaen.es es *+.-*.*/.*+, la mayor0a de la gente llega a este equipo
especificando ))).ujaen.es y no la direccin "%. Adems de ser ms fcil de recordar, el
nombre es ms fiable. La direccin num&rica podr0a cambiar por muchas raones, sin que
tenga que cambiar el nombre.
1ambi&n se realiara un anlisis de los dispositivos que se utilian en una red paraproveerle la seguridad necesaria, ya que para mantener una red segura es necesario
estar a la vanguardia de los avances tecnolgicos.
Anlisis
!ombres de dominio $!#
El #istema de nombres de dominio 2$!#3 se defini originalmente en los 456 *7 y
*7+. Estos documentos especifican elementos comunes a todas las implementaciones
de soft)are relacionadas con $!#, entre los que se incluyen(
a3 8n espacio de nombres de dominio $!#, que especifica una jerarqu0a
estructurada de dominios utiliados para organiar nombres.
Pgina 1de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
2/14
b3 Los registros de recursos, que asignan nombres de dominio $!# a un tipo
espec0fico de informacin de recurso para su uso cuando se registra o se resuelve
el nombre en el espacio de nombres.c3 Los servidores $!#, que almacenan y responden a las consultas de nombres para
los registros de recursos.d3 Los clientes $!#, tambi&n llamados solucionadores, que consultan a los
servidores para buscar y resolver nombres de un tipo de registro de recursos
especificado en la consulta.
El espacio de nombres de dominio $!#, como se muestra en la ilustracin siguiente, se
basa en el concepto de un rbol de dominios con nombre. 6ada nivel del rbol puede
representar una rama o una hoja del mismo. 8na rama es un nivel donde se utilia ms
de un nombre para identificar un grupo de recursos con nombre. 8na hoja representa un
nombre 9nico que se utilia una ve en ese nivel para indicar un recurso espec0fico.
Pgina 2de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
3/14
$!# tiene un m&todo para anotar e interpretar la ruta de acceso completa de un nombre
de dominio $!# de forma similar a como se anotan o muestran las rutas de acceso
completas de archivos o directorios en el s0mbolo del sistema.
%or ejemplo, una ruta de acceso del rbol de directorios ayuda a indicar la ubicacin
exacta de un archivo almacenado en el equipo. %ara los equipos con :indo)s, la barra
diagonal inversa 2\3 indica cada nuevo directorio que dirige a la ubicacin exacta de un
archivo. %ara $!#, lo equivalente es un punto 2.3 que indica cada nuevo nivel de dominio
que se utilia en un nombre.
%or ejemplo, para un archivo llamado #ervicios, la ruta de acceso completa de este
archivo como se muestra en el s0mbolo del sistema de :indo)s ser(
6(;:indo)s;#ystem7-;$rivers;Etc;#ervicios
%ara interpretar la ruta de acceso completa del archivo, el nombre se lee de iquierda a
derecha desde el grupo de informacin ms alto o ms general 2unidad 6(, la unidad
donde est almacenado el archivo3 a su informacin ms espec0fica, el nombre de archivo
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
4/14
A diferencia del ejemplo de nombre de archivo, un 5=$! de $!#, cuando se lee de
iquierda a derecha, va de la informacin ms espec0fica 2el nombre $!# de un equipo
llamado a
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
5/14
. 4einicie el equipo.
Configuracin de DNS de Microsoft
4ecopilar informacin(
Antes de iniciar la configuracin del servidor $!#, hay cierta informacin bsica que
necesitar. %arte de esta informacin deben ser aprobados por "nternic para su uso en
"nternet, pero si est configurando este servidor slo para uso interno, puede decidir qu&
nombres y direcciones "% a utiliar. !ecesitar(
*. El nombre de dominio 2aprobado por "nternic3-. La direccin "% de cada servidor para el que desea proporcionar resolucin de
nombres7. Los nombres de host de cada uno de los servidores en el paso anterior
Nota( los servidores en el paso anterior pueden ser los servidores de correo, los
servidores de acceso p9blico, servidores 51%, servidores ::: y as0 sucesivamente.
%or ejemplo(
Creando el servidor DNS:
6on la informacin anterior, configure el servidor $!# de ?icrosoft haciendo lo siguiente(
*. @aga clic en el botn "nicio, seleccione programas, seleccione @erramientas
administrativas y, a continuacin, haga clic en Administrador de $!#.
-. En el men9 $!#, haga clic en nuevo servidor.
Pgina 5de 14
Domain Name:
Servers: 192.168.50.11
192.168.50.12
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
6/14
7. Escriba la direccin "% del servidor $!# en el cuadro de dilogo Agregar servidor
$!# 2*B-.*CD.+D.*+ en la informacin del ejemplo3 y, a continuacin, haga clic en
Aceptar.
Nota( no es necesario reiniciar el servidor $!# para que las onas surtan efecto a los
cambios. 1odo lo que se requiere es para que los archivos de datos de servidor se
actualicen con el siguiente paso(
En el Administrador de $!#, haga clic derecho en el servidor $!# y haga clic en
archivos de datos del servidor de actualiacin.
$!# puede configurarse para que se reducan los problemas de seguridad. La siguiente
tabla muestra las cinco reas principales que hay que atender al establecer la seguridad
$!#.
1res niveles de seguridad $!#
Los siguientes tres niveles de seguridad $!# ayudarn a comprender su configuracin
$!# actual y permitirn aumentar la seguridad $!# de su organiacin.
Seguridad de bajo nivel
La seguridad de bajo nivel es una implementacin $!# estndar sin precauciones de
seguridad configuradas. "mplemente este nivel de seguridad $!# 9nicamente en entornos
de red donde no preocupe la integridad de sus datos $!# o en una red privada donde no
existan amenaas de conectividad externa.
La infraestructura $!# de su organiacin est completamente expuesta a
"nternet.
1odos los servidores $!# de su red realian resolucin $!# estndar.
1odos los servidores $!# estn configurados con sugerencias de ra0 dirigidas a
los servidores ra0 para "nternet.
1odos los servidores $!# permiten transferencias de ona a cualquier servidor.
1odos los servidores $!# estn configurados para atender en todas sus
direcciones "%.
Pgina 6de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
7/14
La prevencin de contaminacin de la cach& se encuentra deshabilitada en todos
los servidores $!#.
La actualiacin dinmica se permite en todas las onas $!#.
El puerto +7 del %rotocolo de datagramas de usuario 28$%, User Datagram
Protocol3 y el %rotocolo de control de transmisin%rotocolo "nternet
216%"%, Transmission Control Protocol/Internet Protocol3 est abierto en el
servidor de seguridad de su red tanto para direcciones de origen como de destino.
Seguridad de nivel medio
La seguridad de nivel medio utilia las caracter0sticas de seguridad $!# disponibles sin
ejecutar servidores $!# en controladores de dominio ni almacenar onas $!# en Active
$irectory.
La infraestructura $!# de su organiacin tiene una exposicin a "nternet limitada.
1odos los servidores $!# estn configurados para utiliar reenviadores orientados
a una lista espec0fica de servidores $!# internos cuando no puedan resolver
nombres de manera local.
1odos los servidores $!# limitan las transferencias de ona a los servidores
indicados en los registros de recursos de servidor de nombres 2!#, Name Server3de sus onas.
Los servidores $!# estn configurados para atender en las direcciones "%
especificadas.
La prevencin de contaminacin de la cach& se encuentra habilitada en todos los
servidores $!#.
La actualiacin dinmica no segura no se permite en ninguna ona $!#.
Los servidores $!# internos se comunican con servidores $!# externos a trav&s
del servidor de seguridad mediante una lista limitada de las direcciones de origen y
destino permitidas.
Pgina 7de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
8/14
Los servidores $!# externos que hay delante de su servidor de seguridad estn
configurados con sugerencias de ra0 dirigidas a los servidores ra0 para "nternet.
1oda la resolucin de nombres de "nternet se realia utiliando servidores proxy y
puertas de enlace.
Seguridad de alto nivel
La seguridad de alto nivel utilia la misma configuracin que la de nivel medio y adems
utilia las caracter0sticas de seguridad disponibles cuando el servicio del #ervidor $!# se
est ejecutando en un controlador de dominio y las onas $!# se almacenan en Active
$irectory. Adems, la seguridad de alto nivel elimina por completo la comunicacin $!#
con "nternet. Esta no es una configuracin t0pica, aunque es la recomendada siempre que
no sea necesaria la conectividad con "nternet.
La infraestructura $!# de su organiacin no tiene comunicacin con "nternet a
trav&s de servidores $!# internos.
#u red utilia una ra0 y un espacio de nombres $!# internos, en la que toda la
autoridad para onas $!# es interna.
Los servidores $!# configurados con reenviadores slo utilian direcciones "% del
servidor $!# interno.
1odos los servidores $!# limitan las transferencias de ona a direcciones "%
especificadas.
Los servidores $!# estn configurados para atender en las direcciones "%
especificadas.
La prevencin de contaminacin de la cach& se encuentra habilitada en todos los
servidores $!#.
Los servidores $!# internos estn configurados con sugerencias de ra0 dirigidas
a los servidores $!# internos que alojan la ona ra0 para su espacio de nombres
interno.
1odos los servidores $!# se ejecutan en controladores de dominio. En el servicio
#ervidor $!# se configura una lista de control de acceso discrecional
Pgina 8de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
9/14
2$A6L, Discretionary Access Control List3 para que slo permita realiar tareas
administrativas en el servidor $!# a usuarios espec0ficos.
1odas las onas $!# se almacenan en Active $irectory. La $A6L est configurada
para que slo permita crear, eliminar o modificar onas $!# a usuarios
espec0ficos.
Las $A6L estn configuradas en los registros de recursos $!# para que slo
permitan crear, eliminar o modificar datos $!# a usuarios espec0ficos.
La actualiacin dinmica segura se configura para las onas $!#, excepto en las
onas ra0 y de nivel superior, que no permiten las actualiaciones dinmicas.
Es interesante como se configura un nombre de dominio $?#, ya que as0 podemos
realiar b9squedas sin complicaciones y ms que nada confiar en la seguridad que brinda
el dominio de nombres $!#. 2?icrosoft, -*+3
Imlementacin de una !"D segura
Actualmente al utiliar una computadora es necesaria la implementacin de una red
confiable y segura por lo que la seguridad de la red se encarga de garantiar la
confidencialidad, integridad y disponibilidad de la informacin. %ara cumplir estos
objetivos es necesario pensar la seguridad como un proceso, desarrollado a trav&s de las
siguientes etapas( %revencin, $eteccin, 4espuesta.
#revencin:#e refiere a prevenir la ocurrencia de infracciones a la seguridad de las
computadoras o informacin, estas violaciones se conocen como incidentes.
Feneralmente, un incidente pone de manifiesto el fracaso de un procedimiento de
seguridad.
Deteccin:#e refiere a la identificacin de los incidentes. En muchas situaciones es muy
complicada de realiar, porque involucra, no slo la identificacin de los activos afectados,
sino adems cmo ocurri el ataque, y qui&n fue el autor. $ependiendo de la naturalea
del incidente, el proceso de deteccin puede ser llevado a cabo utiliando herramientas
especiales de auditor0a o un simple anlisis de los archivos de registro de las aplicaciones
2log files3. Es recomendable que las actividades de deteccin sean parte de las pol0ticas y
procedimientos de seguridad.
Pgina 9de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
10/14
Es importante realiar pol0ticas de seguridad para la red que se utilice o pretenda utiliar
para mejorar e implementar las mejores tecnolog0as que se tienen actualmente en el
mercado como son(
5ire)alls, #istemas de $eteccin de "ntrusiones, 4outers, GLA!s, #istemas de
%revencin de "ntrusos de red, !et5lo) etc.
$ire%all
8n 5ire)all constituye la primera l0nea de defensa de una red y es empleado para
restringir el acceso a una red desde otra red. La mayor0a de las compaH0as utilian
5ire)alls para restringir el acceso a sus redes desde "nternet, aunque tambi&n pueden ser
usados para restringir trfico interno desde un segmento de red a otro.
El propsito de los 5ire)all es aislar una red de otra y estn disponibles a trav&s deimplementaciones de soft)are, como funcionalidad adicional en otro tipo de dispositivo
2funciones de 5ire)all en un 4outer3 o como hard)are dedicado 2appliance espec0fico3.
8n 5ire)all permite aplicar la pol0tica de seguridad de red de la compaH0a, inspeccionando
el trfico entrante y saliente a la misma, permitiendo slo los servicios autoriados
mediante el anlisis de las direcciones "% de origen y destino, los puertos de origen y
destino y otros parmetros de inspeccin como ser( n9meros de secuencia, campos de
control, comandos espec0ficos, etc., seg9n las capacidades del sistema operativo del
5ire)all, filtrando los paquetes que no cumplen con la pol0tica vigente.
8n 5ire)all puede ser un sistema 2soft)are o hard)are3, es decir, un dispositivo f0sico
2hard3 que se conecta entre la red y el cable de la conexin a "nternet, como en el caso
del 6"#6I %"J +7+, o bien un programa 2soft3 que se instala en el sistema que tiene el
mdem 2u otro dispositivo3 que conecta con "nternet, como el 5ire)all>* de 6hec%oint.
"ncluso podemos encontrar %6s muy potentes y con soft)ares espec0ficos que lo 9nico
que hacen es monitorear en tiempo real las comunicaciones entre redes.
Es posible configurar un 5ire)all de forma que permita slo trfico de correo, de modo de
proteger de cualquier ataque sobre la red destino. Feneralmente, estn configurados para
proteger contra
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
11/14
1ambi&n, permiten bloquear el trfico
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
12/14
!outer
El 4outer es un dispositivo de capa 7 24ed3. 1oma sus decisiones de encaminamiento
analiando las direcciones de red de los paquetes 2%$8 de capa 73. Los routers pueden
conectar distintas tecnolog0as de 6apa -. La funcin de un 4outer es examinar los
paquetes que recibe en una interface, leer la direccin de destino de capa 7, elegir cul es
la mejor ruta y conmutar el paquete hacia el puerto de salida adecuado. Los routers no
reenv0an los broadcast, por esto, se dice que
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
13/14
sistemas, administrativos, etc., estarn conectados dentro de la misma GLA!, y
quienes se encuentren en otro edificio, podrn vernosM como una 4ed de Krea
Local independiente a las dems.
Sistemas de #revencin de Intrusos de red (")terno*:
Los sistemas de prevencin de intrusos 2"%#3 son dispositivos ubicados en puntos claves
de una red interna, los cuales analian continuamente el trfico de la misma en b9squeda
de patrones conocidos, guardados en una base de datos, para poder avisar y ejecutar
acciones a tiempo para combatir actividades potencialmente maliciosas. En cap0tulos
posteriores se describirn con ms detalle diferentes herramientas de este tipo.
Net$lo% (Anali+adores de trfico de alto nivel*:
#e utilia para identificar determinados parmetros de una conexin y ubicar patronesconocidos, guardados en una base de datos, de actividades potencialmente anmalas.
Los parmetros de conexin que generalmente se apartan son(
a3 $ireccin "% Irigen.b3 $ireccin "% $estino.c3 %uerto Irigen.d3 %uerto $estino.e3 %rotocolo.f3 6antidad de $atos 1ransmitidos.
6omo se ha planteado, para poder determinar que una red es segura, se necesitan
complementar, cada uno de los recursos o dispositivos antes mencionados, pero es
importante el anlisis de los problemas que se tuvieron con anterioridad para poder
realiar una pol0tica de seguridad, como inicio de la conformacin de la red con un grado
de seguridad alto. 2Fil, -*, pg. 3
Actualmente las redes estn formadas por un gran conjunto de dispositivos. Los
diferentes niveles de seguridad que se quieran implementar en una red 2desde el acceso
a &sta hasta la verificacin de la integridad de los datos que circulan3 dependen, en granmedida, de la seguridad de esos dispositivos.
Las debilidades en la seguridad de las redes van a estar originadas en gran medida por
las vulnerabilidades de los dispositivos presentes en la red. 8na vulnerabilidad representa
el punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de
debilidades del sistema.
Pgina 13de 14
-
7/25/2019 Determinando El Servicio de Nombres o Directorios
14/14
8n analista de seguridad, debe mantenerse constantemente al tanto de las
vulnerabilidades ms recientes en los dispositivos que forman su red. $e esto depende
que se comprometa la seguridad de los dispositivos y, por ende, de la red.
Conclusin
6omo bien sabemos al construir una red con las mejores tecnolog0as del mercado actual,
si empre se tendr una debilidad la cual se pueden evitar y controlar al analiar
detalladamente las fallas obtenidas en nuestra red, pero al contar con dispositivos f0sicos
como son( 5ire)alls, #istemas de $eteccin de "ntrusiones, 4outers, GLA!s, #istemas de
%revencin de "ntrusos de red, !et5lo), estos necesitan de una configuracin experta y
efica, ya que aqu0 es donde nace nuestra seguridad. #e puede hablar de soft)are al
utiliar todos estos dispositivos, ya que son necesarios para la configuracin de todos
estos, como es el antivirus.
1ambi&n es imprescindible tener en cuenta la utiliacin de contraseHas en cada uno de
los dispositivos y cambiar constantemente estas, para as0 mejorar la seguridad lgica del
sistema.
Algo muy interesante es la utiliacin de un servicio de nombres o directorios, ya que aqu0
se puede mejorar por un simple n9mero a un nombre complejo facilitando las b9squedas
en el sistema. =ue fabulosa es la tecnolog0a en la actualidad.
BibliografaFil, ?. A. 2-*3. Procesos y erramientas !ara la seg"ridad de redes#EspaHa( Editorial
8!E$.
?icrosoft. 2 de enero de -*+3. $icroso%t Develo!er Net&or'. 4ecuperado el - deIctubre de -*+, de ?icrosoft $eveloper !et)or( https(msdn.microsoft.comes>eslibrarycc/D7CC2vN)s.*3.aspx
Pgina 14de 14