Determinando El Servicio de Nombres o Directorios

7/25/2019 Determinando El Servicio de Nombres o Directorios

1/14

Introduccin

Las redes de ordenadores se encuentran expuestas a ataques informticos con tanta

frecuencia que es necesario imponer una gran cantidad de requisitos de seguridad para la

proteccin de sus recursos. Aunque las deficiencias de estos sistemas se pueden

comprobar mediante herramientas convencionales, no siempre son corregidas. En

general, estas debilidades pueden provocar un agujero en la seguridad de la red y facilitar

entradas ilegales en el sistema.

En este reporte se analiaran algunos servicios de nombres !"#, $!# y L$A los cuales

crean bases de datos de red en varios servidores de red, la red utilia archivos locales

para proporcionar el servicio de nombres.

El DNS(Domain Name System, Sistema de Nombres de Dominio) es un conjunto de

protocolos y servicios que permite a los usuarios utiliar nombres en ve de tener que

recordar direcciones "% num&ricas. 'sta es ciertamente la funcin ms conocida de los

protocolos $!#( la asignacin de nombres a direcciones "%. %or ejemplo, si la direccin "%

de ))).ujaen.es es *+.-*.*/.*+, la mayor0a de la gente llega a este equipo

especificando ))).ujaen.es y no la direccin "%. Adems de ser ms fcil de recordar, el

nombre es ms fiable. La direccin num&rica podr0a cambiar por muchas raones, sin que

tenga que cambiar el nombre.

1ambi&n se realiara un anlisis de los dispositivos que se utilian en una red paraproveerle la seguridad necesaria, ya que para mantener una red segura es necesario

estar a la vanguardia de los avances tecnolgicos.

Anlisis

!ombres de dominio $!#

El #istema de nombres de dominio 2$!#3 se defini originalmente en los 456 *7 y

*7+. Estos documentos especifican elementos comunes a todas las implementaciones

de soft)are relacionadas con $!#, entre los que se incluyen(

a3 8n espacio de nombres de dominio $!#, que especifica una jerarqu0a

estructurada de dominios utiliados para organiar nombres.

Pgina 1de 14


2/14

b3 Los registros de recursos, que asignan nombres de dominio $!# a un tipo

espec0fico de informacin de recurso para su uso cuando se registra o se resuelve

el nombre en el espacio de nombres.c3 Los servidores $!#, que almacenan y responden a las consultas de nombres para

los registros de recursos.d3 Los clientes $!#, tambi&n llamados solucionadores, que consultan a los

servidores para buscar y resolver nombres de un tipo de registro de recursos

especificado en la consulta.

El espacio de nombres de dominio $!#, como se muestra en la ilustracin siguiente, se

basa en el concepto de un rbol de dominios con nombre. 6ada nivel del rbol puede

representar una rama o una hoja del mismo. 8na rama es un nivel donde se utilia ms

de un nombre para identificar un grupo de recursos con nombre. 8na hoja representa un

nombre 9nico que se utilia una ve en ese nivel para indicar un recurso espec0fico.

Pgina 2de 14


3/14

$!# tiene un m&todo para anotar e interpretar la ruta de acceso completa de un nombre

de dominio $!# de forma similar a como se anotan o muestran las rutas de acceso

completas de archivos o directorios en el s0mbolo del sistema.

%or ejemplo, una ruta de acceso del rbol de directorios ayuda a indicar la ubicacin

exacta de un archivo almacenado en el equipo. %ara los equipos con :indo)s, la barra

diagonal inversa 2\3 indica cada nuevo directorio que dirige a la ubicacin exacta de un

archivo. %ara $!#, lo equivalente es un punto 2.3 que indica cada nuevo nivel de dominio

que se utilia en un nombre.

%or ejemplo, para un archivo llamado #ervicios, la ruta de acceso completa de este

archivo como se muestra en el s0mbolo del sistema de :indo)s ser(

6(;:indo)s;#ystem7-;$rivers;Etc;#ervicios

%ara interpretar la ruta de acceso completa del archivo, el nombre se lee de iquierda a

derecha desde el grupo de informacin ms alto o ms general 2unidad 6(, la unidad

donde est almacenado el archivo3 a su informacin ms espec0fica, el nombre de archivo


4/14

A diferencia del ejemplo de nombre de archivo, un 5=$! de $!#, cuando se lee de

iquierda a derecha, va de la informacin ms espec0fica 2el nombre $!# de un equipo

llamado a


5/14

. 4einicie el equipo.

Configuracin de DNS de Microsoft

4ecopilar informacin(

Antes de iniciar la configuracin del servidor $!#, hay cierta informacin bsica que

necesitar. %arte de esta informacin deben ser aprobados por "nternic para su uso en

"nternet, pero si est configurando este servidor slo para uso interno, puede decidir qu&

nombres y direcciones "% a utiliar. !ecesitar(

*. El nombre de dominio 2aprobado por "nternic3-. La direccin "% de cada servidor para el que desea proporcionar resolucin de

nombres7. Los nombres de host de cada uno de los servidores en el paso anterior

Nota( los servidores en el paso anterior pueden ser los servidores de correo, los

servidores de acceso p9blico, servidores 51%, servidores ::: y as0 sucesivamente.

%or ejemplo(

Creando el servidor DNS:

6on la informacin anterior, configure el servidor $!# de ?icrosoft haciendo lo siguiente(

*. @aga clic en el botn "nicio, seleccione programas, seleccione @erramientas

administrativas y, a continuacin, haga clic en Administrador de $!#.

-. En el men9 $!#, haga clic en nuevo servidor.

Pgina 5de 14

Domain Name:

Servers: 192.168.50.11

192.168.50.12


6/14

7. Escriba la direccin "% del servidor $!# en el cuadro de dilogo Agregar servidor

$!# 2*B-.*CD.+D.*+ en la informacin del ejemplo3 y, a continuacin, haga clic en

Aceptar.

Nota( no es necesario reiniciar el servidor $!# para que las onas surtan efecto a los

cambios. 1odo lo que se requiere es para que los archivos de datos de servidor se

actualicen con el siguiente paso(

En el Administrador de $!#, haga clic derecho en el servidor $!# y haga clic en

archivos de datos del servidor de actualiacin.

$!# puede configurarse para que se reducan los problemas de seguridad. La siguiente

tabla muestra las cinco reas principales que hay que atender al establecer la seguridad

$!#.

1res niveles de seguridad $!#

Los siguientes tres niveles de seguridad $!# ayudarn a comprender su configuracin

$!# actual y permitirn aumentar la seguridad $!# de su organiacin.

Seguridad de bajo nivel

La seguridad de bajo nivel es una implementacin $!# estndar sin precauciones de

seguridad configuradas. "mplemente este nivel de seguridad $!# 9nicamente en entornos

de red donde no preocupe la integridad de sus datos $!# o en una red privada donde no

existan amenaas de conectividad externa.

La infraestructura $!# de su organiacin est completamente expuesta a

"nternet.

1odos los servidores $!# de su red realian resolucin $!# estndar.

1odos los servidores $!# estn configurados con sugerencias de ra0 dirigidas a

los servidores ra0 para "nternet.

1odos los servidores $!# permiten transferencias de ona a cualquier servidor.

1odos los servidores $!# estn configurados para atender en todas sus

direcciones "%.

Pgina 6de 14


7/14

La prevencin de contaminacin de la cach& se encuentra deshabilitada en todos

los servidores $!#.

La actualiacin dinmica se permite en todas las onas $!#.

El puerto +7 del %rotocolo de datagramas de usuario 28$%, User Datagram

Protocol3 y el %rotocolo de control de transmisin%rotocolo "nternet

216%"%, Transmission Control Protocol/Internet Protocol3 est abierto en el

servidor de seguridad de su red tanto para direcciones de origen como de destino.

Seguridad de nivel medio

La seguridad de nivel medio utilia las caracter0sticas de seguridad $!# disponibles sin

ejecutar servidores $!# en controladores de dominio ni almacenar onas $!# en Active

$irectory.

La infraestructura $!# de su organiacin tiene una exposicin a "nternet limitada.

1odos los servidores $!# estn configurados para utiliar reenviadores orientados

a una lista espec0fica de servidores $!# internos cuando no puedan resolver

nombres de manera local.

1odos los servidores $!# limitan las transferencias de ona a los servidores

indicados en los registros de recursos de servidor de nombres 2!#, Name Server3de sus onas.

Los servidores $!# estn configurados para atender en las direcciones "%

especificadas.

La prevencin de contaminacin de la cach& se encuentra habilitada en todos los

servidores $!#.

La actualiacin dinmica no segura no se permite en ninguna ona $!#.

Los servidores $!# internos se comunican con servidores $!# externos a trav&s

del servidor de seguridad mediante una lista limitada de las direcciones de origen y

destino permitidas.

Pgina 7de 14


8/14

Los servidores $!# externos que hay delante de su servidor de seguridad estn

configurados con sugerencias de ra0 dirigidas a los servidores ra0 para "nternet.

1oda la resolucin de nombres de "nternet se realia utiliando servidores proxy y

puertas de enlace.

Seguridad de alto nivel

La seguridad de alto nivel utilia la misma configuracin que la de nivel medio y adems

utilia las caracter0sticas de seguridad disponibles cuando el servicio del #ervidor $!# se

est ejecutando en un controlador de dominio y las onas $!# se almacenan en Active

$irectory. Adems, la seguridad de alto nivel elimina por completo la comunicacin $!#

con "nternet. Esta no es una configuracin t0pica, aunque es la recomendada siempre que

no sea necesaria la conectividad con "nternet.

La infraestructura $!# de su organiacin no tiene comunicacin con "nternet a

trav&s de servidores $!# internos.

#u red utilia una ra0 y un espacio de nombres $!# internos, en la que toda la

autoridad para onas $!# es interna.

Los servidores $!# configurados con reenviadores slo utilian direcciones "% del

servidor $!# interno.

1odos los servidores $!# limitan las transferencias de ona a direcciones "%

especificadas.

Los servidores $!# estn configurados para atender en las direcciones "%

especificadas.

La prevencin de contaminacin de la cach& se encuentra habilitada en todos los

servidores $!#.

Los servidores $!# internos estn configurados con sugerencias de ra0 dirigidas

a los servidores $!# internos que alojan la ona ra0 para su espacio de nombres

interno.

1odos los servidores $!# se ejecutan en controladores de dominio. En el servicio

#ervidor $!# se configura una lista de control de acceso discrecional

Pgina 8de 14


9/14

2$A6L, Discretionary Access Control List3 para que slo permita realiar tareas

administrativas en el servidor $!# a usuarios espec0ficos.

1odas las onas $!# se almacenan en Active $irectory. La $A6L est configurada

para que slo permita crear, eliminar o modificar onas $!# a usuarios

espec0ficos.

Las $A6L estn configuradas en los registros de recursos $!# para que slo

permitan crear, eliminar o modificar datos $!# a usuarios espec0ficos.

La actualiacin dinmica segura se configura para las onas $!#, excepto en las

onas ra0 y de nivel superior, que no permiten las actualiaciones dinmicas.

Es interesante como se configura un nombre de dominio $?#, ya que as0 podemos

realiar b9squedas sin complicaciones y ms que nada confiar en la seguridad que brinda

el dominio de nombres $!#. 2?icrosoft, -*+3

Imlementacin de una !"D segura

Actualmente al utiliar una computadora es necesaria la implementacin de una red

confiable y segura por lo que la seguridad de la red se encarga de garantiar la

confidencialidad, integridad y disponibilidad de la informacin. %ara cumplir estos

objetivos es necesario pensar la seguridad como un proceso, desarrollado a trav&s de las

siguientes etapas( %revencin, $eteccin, 4espuesta.

#revencin:#e refiere a prevenir la ocurrencia de infracciones a la seguridad de las

computadoras o informacin, estas violaciones se conocen como incidentes.

Feneralmente, un incidente pone de manifiesto el fracaso de un procedimiento de

seguridad.

Deteccin:#e refiere a la identificacin de los incidentes. En muchas situaciones es muy

complicada de realiar, porque involucra, no slo la identificacin de los activos afectados,

sino adems cmo ocurri el ataque, y qui&n fue el autor. $ependiendo de la naturalea

del incidente, el proceso de deteccin puede ser llevado a cabo utiliando herramientas

especiales de auditor0a o un simple anlisis de los archivos de registro de las aplicaciones

2log files3. Es recomendable que las actividades de deteccin sean parte de las pol0ticas y

procedimientos de seguridad.

Pgina 9de 14


10/14

Es importante realiar pol0ticas de seguridad para la red que se utilice o pretenda utiliar

para mejorar e implementar las mejores tecnolog0as que se tienen actualmente en el

mercado como son(

5ire)alls, #istemas de $eteccin de "ntrusiones, 4outers, GLA!s, #istemas de

%revencin de "ntrusos de red, !et5lo) etc.

$ire%all

8n 5ire)all constituye la primera l0nea de defensa de una red y es empleado para

restringir el acceso a una red desde otra red. La mayor0a de las compaH0as utilian

5ire)alls para restringir el acceso a sus redes desde "nternet, aunque tambi&n pueden ser

usados para restringir trfico interno desde un segmento de red a otro.

El propsito de los 5ire)all es aislar una red de otra y estn disponibles a trav&s deimplementaciones de soft)are, como funcionalidad adicional en otro tipo de dispositivo

2funciones de 5ire)all en un 4outer3 o como hard)are dedicado 2appliance espec0fico3.

8n 5ire)all permite aplicar la pol0tica de seguridad de red de la compaH0a, inspeccionando

el trfico entrante y saliente a la misma, permitiendo slo los servicios autoriados

mediante el anlisis de las direcciones "% de origen y destino, los puertos de origen y

destino y otros parmetros de inspeccin como ser( n9meros de secuencia, campos de

control, comandos espec0ficos, etc., seg9n las capacidades del sistema operativo del

5ire)all, filtrando los paquetes que no cumplen con la pol0tica vigente.

8n 5ire)all puede ser un sistema 2soft)are o hard)are3, es decir, un dispositivo f0sico

2hard3 que se conecta entre la red y el cable de la conexin a "nternet, como en el caso

del 6"#6I %"J +7+, o bien un programa 2soft3 que se instala en el sistema que tiene el

mdem 2u otro dispositivo3 que conecta con "nternet, como el 5ire)all>* de 6hec%oint.

"ncluso podemos encontrar %6s muy potentes y con soft)ares espec0ficos que lo 9nico

que hacen es monitorear en tiempo real las comunicaciones entre redes.

Es posible configurar un 5ire)all de forma que permita slo trfico de correo, de modo de

proteger de cualquier ataque sobre la red destino. Feneralmente, estn configurados para

proteger contra


11/14

1ambi&n, permiten bloquear el trfico


12/14

!outer

El 4outer es un dispositivo de capa 7 24ed3. 1oma sus decisiones de encaminamiento

analiando las direcciones de red de los paquetes 2%$8 de capa 73. Los routers pueden

conectar distintas tecnolog0as de 6apa -. La funcin de un 4outer es examinar los

paquetes que recibe en una interface, leer la direccin de destino de capa 7, elegir cul es

la mejor ruta y conmutar el paquete hacia el puerto de salida adecuado. Los routers no

reenv0an los broadcast, por esto, se dice que


13/14

sistemas, administrativos, etc., estarn conectados dentro de la misma GLA!, y

quienes se encuentren en otro edificio, podrn vernosM como una 4ed de Krea

Local independiente a las dems.

Sistemas de #revencin de Intrusos de red (")terno*:

Los sistemas de prevencin de intrusos 2"%#3 son dispositivos ubicados en puntos claves

de una red interna, los cuales analian continuamente el trfico de la misma en b9squeda

de patrones conocidos, guardados en una base de datos, para poder avisar y ejecutar

acciones a tiempo para combatir actividades potencialmente maliciosas. En cap0tulos

posteriores se describirn con ms detalle diferentes herramientas de este tipo.

Net$lo% (Anali+adores de trfico de alto nivel*:

#e utilia para identificar determinados parmetros de una conexin y ubicar patronesconocidos, guardados en una base de datos, de actividades potencialmente anmalas.

Los parmetros de conexin que generalmente se apartan son(

a3 $ireccin "% Irigen.b3 $ireccin "% $estino.c3 %uerto Irigen.d3 %uerto $estino.e3 %rotocolo.f3 6antidad de $atos 1ransmitidos.

6omo se ha planteado, para poder determinar que una red es segura, se necesitan

complementar, cada uno de los recursos o dispositivos antes mencionados, pero es

importante el anlisis de los problemas que se tuvieron con anterioridad para poder

realiar una pol0tica de seguridad, como inicio de la conformacin de la red con un grado

de seguridad alto. 2Fil, -*, pg. 3

Actualmente las redes estn formadas por un gran conjunto de dispositivos. Los

diferentes niveles de seguridad que se quieran implementar en una red 2desde el acceso

a &sta hasta la verificacin de la integridad de los datos que circulan3 dependen, en granmedida, de la seguridad de esos dispositivos.

Las debilidades en la seguridad de las redes van a estar originadas en gran medida por

las vulnerabilidades de los dispositivos presentes en la red. 8na vulnerabilidad representa

el punto o aspecto del sistema que es susceptible de ser atacado. Equivale al conjunto de

debilidades del sistema.

Pgina 13de 14


14/14

8n analista de seguridad, debe mantenerse constantemente al tanto de las

vulnerabilidades ms recientes en los dispositivos que forman su red. $e esto depende

que se comprometa la seguridad de los dispositivos y, por ende, de la red.

Conclusin

6omo bien sabemos al construir una red con las mejores tecnolog0as del mercado actual,

si empre se tendr una debilidad la cual se pueden evitar y controlar al analiar

detalladamente las fallas obtenidas en nuestra red, pero al contar con dispositivos f0sicos

como son( 5ire)alls, #istemas de $eteccin de "ntrusiones, 4outers, GLA!s, #istemas de

%revencin de "ntrusos de red, !et5lo), estos necesitan de una configuracin experta y

efica, ya que aqu0 es donde nace nuestra seguridad. #e puede hablar de soft)are al

utiliar todos estos dispositivos, ya que son necesarios para la configuracin de todos

estos, como es el antivirus.

1ambi&n es imprescindible tener en cuenta la utiliacin de contraseHas en cada uno de

los dispositivos y cambiar constantemente estas, para as0 mejorar la seguridad lgica del

sistema.

Algo muy interesante es la utiliacin de un servicio de nombres o directorios, ya que aqu0

se puede mejorar por un simple n9mero a un nombre complejo facilitando las b9squedas

en el sistema. =ue fabulosa es la tecnolog0a en la actualidad.

BibliografaFil, ?. A. 2-*3. Procesos y erramientas !ara la seg"ridad de redes#EspaHa( Editorial

8!E$.

?icrosoft. 2 de enero de -*+3. $icroso%t Develo!er Net&or'. 4ecuperado el - deIctubre de -*+, de ?icrosoft $eveloper !et)or( https(msdn.microsoft.comes>eslibrarycc/D7CC2vN)s.*3.aspx

Pgina 14de 14

Determinando El Servicio de Nombres o Directorios

Documents

Transcript of Determinando El Servicio de Nombres o Directorios