Captulo 1
Introduccin a las redes
red
Nota: En la pr ctica e l trm in o "red " s e s u ele u tiliz a r con u n a a cep cin d is tin ta a la qu e h em os v is to. A p a rtir d el s igu ie n te ca ptu lo ca d a vez qu e lo u s e m os n os es ta re m os refirien d o a u n con ju n to d e m qu in a s con la m is m a d ireccin d e red . La d ireccin d e red es t rela cion a d a con la con figu ra cin lgica qu e h a ga m os a la s m qu in a s n o con la d is pos icin d el ca ble a d o. Lo h a b itu a l es qu e la s e m p res a s te n ga n s ola m en te u n a red , a u n qu e ta m b in pu ed en te n e r v a ria s con ob je to d e fa cilita r s u a d m in is tra cin o m e jora r s u s egu rid a d . La s red es s e con ecta n m e d ia n te en ca m in a d ores (rou te rs ). Es to es precis a m en te lo qu e qu ere m os s ign ifica r cu a n d o h a bla m os d e qu e In tern e t e s la Red de redes.
W id e Are a Ne tw ork
InfoVille
IRC
routers
redes routers
Paridad
paridad impar
6 4 4 6 2
CRC
confirmacin a cu s e d e recibo
Aplicacin
Aplicacin
Presentacin
Presentacin
Sesin
Sesin
Transporte
Transporte
Red
Red
Red
Red
Enlace de datos
Enlace de datos
Enlace de datos
Enlace de datos
Fsica Red 1
Fsica Red 2
Fsica Red 3
Fsica
enrutar
Se envan datos
Datos
Se reciben datos
Aplicacin
Datos
Aplicacin
Presentacin
Datos
Presentacin
Sesin
Datos
Sesin
Transporte
Datos
Transporte
Red
Datos
Red
Enlace de datos
Datos
Enlace de datos
Fsica
Bits
Fsica
tramas
paquetes segmento
routers
ta b la AS CII
complemento a dos
(HTTP, SMTP, FTP, TELNET...) (UDP, TCP) (IP) (Ethernet, Token Ring...) (cable coaxial, par trenzado...)
guiados
n o gu ia d os
Cable coaxial
hub
cable cable
Captulo 2
Instalacin de cableado
N/U N/U RxN/U N/U Rx+ TxTx+ Colocar a la izquierda el conector con el clip hacia abajo. A la derecha, sigue el cable.
Ordenador con hub. 2 hubs (utilizando el puerto uplink de uno de ellos y un puerto normal del otro). Nota: Los pu ertos u plin k y la in tercon exin d e h u bs s e explica en el apartado In tercon exin d e h u bs .
N/U (5 = N/U) N/U (4 = N/U) Rx- (2 = Tx-) N/U (8 = N/U) N/U (7 = N/U) Rx+ (1 = Tx+) Tx- (6 = Rx-) Tx+ (3 = Rx+) Colocar a la izquierda el conector con el clip hacia abajo. A la derecha, sigue el cable.
2 ordenadores sin necesidad de hub (el cable va de una tarjeta de red a la otra). 2 hubs (sin utilizar el puerto uplink de ninguno de ellos o utilizando el puerto uplink en ambos).
Nota: Un rou te r (en ca m in a d or) perte n ece a la ca p a d e red . Tra b a ja con d ireccion es IP. S e u tiliz a p a ra in te rcon ecta r red es y requ iere u n a con figu ra cin . Pod em os a verigu a r los rou ters qu e a tra v ies a n n u es tros datagramas IP mediante el comando Tracert. hub
d iod o lu m in os o
s w itch
n o d ifu n d e
aprendizaje
Dominios de colisin
d om in io d e colis in
Nota: Pod em os in d ica r u n n m ero a prox im a d o d e 2 5 -3 0 com o m e d id a m x im a d e ord en a d ores qu e s e pu ed en con ecta r d en tro d e u n m is m o d om in io d e colis in . S in e m b a rgo, es te n m ero d epen d er en gra n m ed id a d el trfico d e la red . En red es con m u ch o tr fico s e d ebe tra ta r d e red u cir el n m ero d e ord en a d ores por d om in io d e colis in lo m s pos ible m ed ia n te la cre a cin d e d is tin tos d om in ios d e colis in con ecta d os por s w itch e s o mediante la creacin de distintas subredes conectadas por routers.
elegire m os u n s w itch a n te s qu e u n h u b
Nota: Tod o lo qu e s e com en ta en es te a p a rta d o referen te a h u bs (con cen tra d ores ) es equ iv a len te p a ra los s w itch es (con m u ta d ores ).
El hub es de n puertos pero tiene n+1 conectores, uno de ellos tiene una marca especial. Por ejemplo, son habituales los hubs que tienen 9 conectores: 7 puertos normales y un puerto mixto con dos conectores contiguos los cuales no se pueden utilizar simultneamente. El nmero mximo de cables que podemos conectar es de 8, quedando un conector vaco (el marcado como "uplink" o el que tiene justo a su lado). El hub es de n puertos y tiene n conectores, uno de ellos tiene una marca especial. Mediante un botn conmutamos la funcin del conector diferenciado entre "uplink" y puerto normal. Las prestaciones son las mismas que en el caso anterior. Este diseo es habitual de los hubs del fabricante 3COM.
Hu bs en ca d en a d os
Hu bs en es trella
Captulo 3 Protocolos
Ot r os e s t n d a r e s 8 0 2 .-- El es t n d a r 802.1 es u n a in trod u ccin a l con ju n to d e es t n d a res y d efin e a lgu n os a s pectos com u n es . El es t n d a r 802.2 d es cribe la p a rte s u perior d e la ca p a d e en la ce d e d a tos d el m od elo OS I (en tre la ca p a d e a cces o a l m ed io y la ca p a d e red ) qu e pu ed e proporcion a r con trol d e errores y con trol d e flu jo a l res to d e e s t n d a res 8 0 2 u tiliz a n d o el protocolo LLC (Logica l Lin k Con trol, con trol lgico d e en la ce). La s n orm a s 8 0 2 .3 a 8 0 2 .5 d efin en protocolos p a ra red es LAN. El es t n d a r 802.4 qu e n o v a m os a es tu d ia r por s u es ca s a im pla n ta cin s e con oce com o Tok en B u s (bu s con p a s o d e te s tigo). Fin a lm en te , 802.6 es u n es t n d a r a d ecu a d o p a ra utilizarse en redes MAN. Se trata de DQDB (Distributed Queue Dual Bus, bus doble de colas distribuidas).
token
Ethernet (802.3)
Com p a r a c in d e Et h e r n e t y Tok e n r in g .-- En Eth ern e t cu a lqu ier es ta cin pu ed e tra n s m itir s ie m pre qu e el ca ble s e en cu en tre libre; en Tok en rin g ca d a es ta cin tie n e qu e es pera r s u tu rn o. Eth ern et u tiliz a u n ca n a l n ico d e d ifu s in ; Tok en rin g u tiliz a en la ces pu n to a pu n to en tre ca d a es ta cin y la s igu ien te . Tok en rin g tien e s ie m pre u n a es ta cin m on itor qu e s u pervis a e l bu en fu n cion a m ien to d e la red ; en Eth ern e t n in gu n a es ta cin tien e m a y or a u torid a d qu e otra . S eg n es ta com p a ra cin , la con clu s in m s ev id en te es qu e, a igu a les velocid a d es d e tra n s m is in , Tok en rin g s e com porta r m e jor en entornos de alta carga y Ethernet, en redes con poco trfico.
Nota: La ex is te n cia d e colis ion es e n u n a red n o in d ica qu e ex is ta u n m a l fu n cion a m ie n to. La s colis ion es es t n d efin id a s d en tro d el protocolo Eth e rn e t y n o d eben s er con s id era d a s com o u n a s itu a cin a n m a la . S in e m b a rgo, cu a n d o s e prod u ce u n a colis in el ca n a l s e d es a provech a porqu e n in gu n a es ta cin logra tra n s m itir en es e m om en to. Debe m os tra ta r d e red u cir el n m ero d e colis ion es qu e s e prod u cen en u n a red . Es to s e con s igu e s ep a ra n d o gru pos d e ord en a d ores m ed ia n te u n s w itch o u n rou te r. Pod e m os a verigu a r la s colis ion e s qu e s e prod u cen en u n a red obs erv a n d o el correspondiente LED de nuestro hub.
Direcciones fsicas
direcciones fsicas
Nota: Los com a n d os ipc o n fig / all | m o re y winipcfg m u es tra n la d ireccin fs ica d e n u es tra ta rje ta d e red Eth ern e t. Obs erve qu e es tos com a n d os p u ed en recoger ta m b in in form a cin rela tiv a a l a d a p ta d or v irtu a l "PPP Ad a p te r" (s e corres pon d e con el m d e m o a d a p ta d or RDS I) a d e m s d e la referente a la tarjeta de red real.
8 bytes Prembulo
4 bytes CRC
d ireccion es origen
Velocidades FastEthernet
FastEthernet
Fa s tEth ern e t
Coaxial
Par trenzado
2 fibras pticas
100 m
100 m
Protocolo com p a tible con IPX/SPX Transporte compatible NWLink IPX/SPX enrutable routers
zona
Ne tB IOS Ex te n d ed Us er In te rfa ce
Cu rs o d e protocolos TCP/ IP
Direcciones pblicas. Son visibles desde todo Internet. Se contratan tantas como necesitemos. Son las que se asignan a los servidores de Internet que sirven informacin 24 horas al da (por ejemplo, un servidor web). Direcciones privadas. Son visibles slo desde una red interna pero no desde Internet. Se utilizan para identificar los puestos de trabajo de las empresas. Se pueden utilizar tantas como se necesiten; no es necesario contratarlas.
In te rn e t
Red de redes
Capa de aplicacin Capa de transporte Capa de red Capa de acceso a la red Capa fsica
routers
Capa de red
routers
Host A R1 B R2 C D
Direccin fsica
Direccin IP
Red
red
router
Nota: Ca d a vez qu e vis ita m os u n a p gin a w e b o recib im os u n correo electrn ico es h a b itu a l a tra ves a r u n n m ero d e red es com p ren d id o en tre 1 0 y 2 0 , d epen d ien d o d e la d is ta n cia d e los h os ts . El tie m po qu e ta rd a u n d a ta gra m a en a tra ves a r 2 0 red es (2 0 rou ters ) s u ele s er inferior a 600 milisegundos.
Direcciones IP
Dire c c io n e s IP p blic as
proxy
Dire c c io n e s IP e s t t ic as (fijas )
Dire c c io n e s IP din m ic as
c las e D
Clase A B C D E
N m e ro redes
de
dire c c io n e s
de Ms c ara subred
de
Nota: Las direcciones usadas en Internet estn definidas en la RFC 1166 (en ingls).
Curso Redes Ethernet Difu s in (br oa d c a s t ) y m u lt id ifu s in (m u lticast).-- El t rm in o d ifu s in (broa d ca s t) s e refiere a tod os los h os ts d e u n a red ; m u ltid ifu s in (m u ltica s t) s e refiere a v a rios h os ts (a qu ellos qu e s e h a y a n s u s crito d en tro d e u n m is m o gru po). S igu ien d o es ta m is m a terminologa, en ocasiones se utiliza el trmino unidifusin para referirse a un nico host.
Bits de red
Bits de host
Significado
Ejemplo
broadcasting loopback
Clase A B C
dire c c io n e s
Intranet.-- Red priv a d a qu e u tiliz a los protocolos TCP/ IP. Pu ed e ten er s a lid a a In tern e t o n o. En el ca s o d e ten er s a lid a a In tern e t, e l d ireccion a m ien to IP perm ite qu e los h os ts con d ireccion es IP priv a d a s pu ed a n s a lir a In te rn e t pero im p id e el a cces o a los h os ts in tern os d es d e In tern e t. Den tro d e u n a in tra n e t s e pu ed en con figu ra r tod os los s ervicios tp icos d e In te rn e t (w eb, correo, m en s a jera in s ta n t n e a , e tc.) m ed ia n te la in s ta la cin d e los corres pon d ie n te s s erv id ores . La id e a es qu e la s in tra n e ts s on com o "in te rn e ts " en m in ia tu ra o lo qu e es lo m is m o, In tern e t es u n a in tra n e t p blica giga n te s ca . Extranet.-- Un in d e d os o m s in tra n e ts . Es ta u n in pu ed e re a liz a rs e m ed ia n te ln e a s dedicadas (RDSI, X.25, frame relay, punto a punto, etc.) o a travs de Internet.
CAS O PRCTICO.-
gateway
Mscara de subred
Clase A B C
Mscara de subred
Curso Redes Ethernet Clculo de la direccin de difusin.-- Ya hemos visto que el producto lgico binario (AND) de una IP y su mscara devuelve su direccin de red. Para calcular su direccin de difusin, hay que hacer la suma lgica en binario (OR) de la IP con el inverso (NOT) de su mscara.
EJEMPLO.-
s u bn e ttin g
N m e ro de N m . de h o s t s Eje m plo s de s u bre de s (x=a.b.c subredes por subred por ejemplo, 192.168.1)
EJERCICIOS 1 . Calc u lar la dire c c i n de re d y dire c c i n de broadcasting (difu s i n ) de las m qu in as c o n las s igu ie n t e s dire c c io n e s IP y m s c aras de s u bre d (s i n o s e especifica, se utiliza la mscara por defecto): 18.120.16.250: 18.120.16.255 / 255.255.0.0: 155.4.220.39: 194.209.14.33:
190.33.109.133 / 255.255.255.0: 2 . S u po n ie n do que n u e s t ro o rde n ado r t ie n e la dire c c i n IP 1 9 2 .1 6 8 .5 .6 5 c o n m s c ara 2 5 5 .2 5 5 .2 5 5 .0 , in dic ar qu s ign ific an las s igu ie n t e s dire c c io n e s especiales: 0.0.0.0:
Curso Redes Ethernet 0.0.0.29: 192.168.67.0: 255.255.255.255: 192.130.10.255: 127.0.0.1: 3 . Calc u lar la dire c c i n de re d y dire c c i n de broadcasting (difu s i n ) de las mquinas con las siguientes direcciones IP y mscaras de subred: 1 9 0 .3 3 .1 0 9 .1 3 3 / 2 5 5 .2 5 5 .2 5 5 .1 2 8 :
1 9 2 .1 6 8 .2 0 .2 5
2 5 5 .2 5 5 .2 5 5 .2 4 0 :
1 9 2 .1 6 8 .2 0 .2 5 / 2 5 5 .2 5 5 .2 5 5 .2 2 4 :
1 9 2 .1 6 8 .2 0 .2 5 / 2 5 5 .2 5 5 .2 5 5 .1 9 2 :
1 4 0 .1 9 0 .2 0 .1 0 / 2 5 5 .2 5 5 .1 9 2 .0 :
1 4 0 .1 9 0 .1 3 0 .1 0
2 5 5 .2 5 5 .1 9 2 .0 :
1 4 0 .1 9 0 .2 2 0 .1 0
2 5 5 .2 5 5 .1 9 2 .0 :
4 . Vie n do las dire c c io n e s IP de lo s h o s t s p blic o s de u n a e m pre s a o bs e rvam o s qu e t o das e s t n c o m pre n didas e n t re 1 9 4 .1 4 3 .1 7 .1 4 5 y 1 9 4 .1 4 3 .1 7 .1 5 8 , Cu l es (probablemente) su direccin de red, broadcasting y mscara?
Protocolo IP
d a ta gra m a s IP
saldr
acomodar
VERS
HLEN
Longitud total
Identificacin
De s plaz am ie n t o de fragm e n t ac i n
Tie m po de vida
Protocolo
CRC c abe c e ra
Fragmentacin
(router)
Desplazamiento de fragmentacin
No fra gm en ta r (NF)
Protocolo ARP
Address Resolution Protocol Nota: El protocolo ARP est definido en la RFC 826 (en ingls) Host A R1 B R2 C D Direccin fsica Direccin IP Red
Nota: El formato y significado de cada mensaje ICMP est documentado en la RFC 792. Campo de tipo Tipo ICMP de m e n s aje
Echo Reply Destination Unreachable Source Quench Redirect Echo Time Exceeded Parameter Problem Tim es ta m p Timestamp Reply Information Request Information Reply Addressmask Addressmask Reply
PING
ping 172.20.9.7 -n 1
ping 192.168.1.12
ping 127.0.0.1 Nota: El com a n d o in form a d e s i es t n correcta m e n te in s ta la d os los protocolos TCP/ IP en n u es tro h os t. No in form a d e s i la ta rje ta d e red d e n u es tro h os t es t correcta.
ping 10.100.5.1
ping 192.168.1.1
gateway
ping 127.0.0.1
Nota: Algu n os h os ts en In te rn e t tie n en d es h a b ilita d a s la s res pu es ta s d e eco (m en s a je s ICMP tip o 0 ) com o m ed id a d e s egu rid a d . En es tos ca s os h a y qu e u tiliz a r otros m eca n is m os p a ra d e te cta r s i res pon d e (por eje m p lo, la a pertu ra d e con ex in a u n pu erto, com o ve re m os en el captulo siguiente).
Time Exceeded
TRACERT traceroute
tracert 130.206.1.2
Encaminamiento
red
d e red es
ta b la s d e en ca m in a m ien to
Route
route print
multicasting)
salir loopback
gateway
puerto host
HTTP
TCP
IP
IP
IP Capa de red
trama Ethernet Capa fs ic a secuencia de bits Red 1 Cliente Secuencia de n routers Red n Servidor
Palabra clave
Puerto
Descripcin
domain
53/tcp/udp
www-http
80/tcp
pop3
110/tcp
nntp
119/tcp
netbios-ssn
139/tcp/udp
(buffer)
Us er Da ta gra m
Protocol
Datos
Captulo 4
Redes en Windows 98
red es en W in d ow s 9 8
netstat -an
netstat -an
Nota: Es pos ible a cced er a a rch ivos d e otros ord en a d ores s in ten er Ne tB IOS h a b ilita d o? S , d es d e lu ego: u tiliz a n d o los s ervicios prop ios d e TCP/ IP. En con cre to, e l s erv icio d e tra n s feren cia d e a rch ivos o FTP. El ord en a d or qu e ofrece los recu rs os s e con figu ra com o s erv id or FTP (pu erto 2 1 a b ierto). El res to d e ord en a d ores u tiliz a r n u n clien te FTP pa ra con ecta rs e a l s ervid or. S in e m b a rgo, es to n o perm ite tra b a ja r d irecta m en te s obre a rch ivos re m otos , s in o qu e es n eces a rio h a cer u n a cop ia prev ia d e los a rch ivos a nuestro ordenador antes de hacer modificaciones.
netstat -an Clien te p a ra red es Micros oft Com p a rtir a rch iv os e im pres ora s p a ra red es Micros oft
netstat -an
protocolo TCP/ IP
a ) In s ta la cin fs ica
slot
b) In s ta la cin lgica
drivers
Cu rs o
de
TCP/ IP
im p res ora s
p a ra
red es
Micros oft
Nota: Pod em os ten er v a rios a d a p ta d ores d e red y p a ra ca d a u n o protocolos d is tin tos . Ca d a protocolo "s e en la z a " con u n a d a p ta d or d e red . Por eje m plo, pod e m os te n er el protocolo Ne tB EUI e n la z a d o con u n a ta rje ta d e red "Re a lte k RTL8 0 2 9 " y el protocolo TCP/ IP e n la z a d o con el "Ad a p ta d or d e Acces o te lefn ico a red es ". Aqu ellos en la ce s qu e n o s ea n im pres cin d ibles s e d eben anular para evitar trfico innecesario en la red.
Ca s illa d es m a rca d a
Casilla marcada
Nota: En los dos casos anteriores nos podemos "saltar" la ventana de contrasea de red pu ls a n d o la te cla "Es ca pe" o e l botn "Ca n cela r". De es ta form a te n d re m os acceso al ordenador local pero no a los recursos en red.
Nota: Nos pod e m os "s a lta r" la ven ta n a d e con tra s e a d e W in d ow s pu ls a n d o la te cla "Es ca pe" o el botn "Ca n cela r". S in em b a rgo, n o n os a p a re cer n in gu n a con tra s e a gu a rd a d a en los cu a d ros d e d i logo d e W in d ow s (te n d re m os qu e tecle a rla s n u eva m en te ). Ad e m s , ciertos progra m a s n o s e r n capaces de almacenar nuestras preferencias personales. Nota: La s con tra s e a s d e W in d ow s s e a lm a cen a n en a rch ivos *.p w l p a ra cada usuario. Podemos elim in a r tod a s la s lis ta s d e con tra s e a s d e W in d ow s s im p le m en te elim in a n d o los a rch ivos *.p w l a lm a cen a d os e n el d irectorio d e Windows. C m o pro c e de r?
n om bres UNC
recu rs os d e red
compartirse
Nota: Obs erve, en el m om en to d e com p a rtir u n a ca rpe ta , qu e el n om bre d el recu rs o com p a rtid o (com o lo ver n otros u s u a rios d e la red ) n o tien e porqu coincidir con el nombre de la carpeta (como se ver desde el ordenador local). Es preferible qu e los n om bres d e los recu rs os com p a rtid os n o con ten ga n espacios ni caracteres especiales.
clics
Nota: S e u tiliz a el trm in o "u n id a d e s d e red " pa ra d is tin gu ir es ta s u n id a d es d e la s "u n id a d es d e d is co". Un a "u n id a d " s e ca ra cte riz a por te n er a s ocia d a una "le tra d e u n id a d ". En Mi PC s e u tiliz a n icon os d is tin tos p a ra u n a u n id a d de disco (perteneciente al ordenador local) y para una unidad de red (recurso compartido de otro ordenador de la red).
Nota: Pa ra a lgu n os m od elos d e im pres ora s el proced im ien to a n terior n o fu n cion a . En es tos ca s os , h a y qu e in s ta la r los d rivers d el fa b rica n te en ca d a u n o d e los ord en a d ores clien te (com o s i la im pres ora es tu vies e con ecta d a d irecta m en te a ca d a ord en a d or) y d es pu s , ca m b ia r e l pu erto "LPT1 " por u n puerto de red "\ \ servidor\ epson".
Curso Redes Ethernet Nota: En el s erv id or s e in s ta la u n a "im pres ora loca l". En los clien te s s e instala la "impresora en red" del servidor.
Monitor de red
Clien te d e Micros oft Ne tw ork : B y te s led os / s Clien te d e Micros oft Ne tw ork : B y te s es critos / s S ervid or d e red es Micros oft: B y te s led os / s S ervid or d e red es Micros oft: B y te s es critos / s
Nota: Un ord en a d or qu e n o s e a W in d ow s (o s e a W in d ow s p ero con Ne tB IOS d es h a b ilita d o) n o ten d r n om bre Ne tB IOS . Por otro la d o, u n ord en ador W in d ow s qu e n o te n ga el protocolo TCP/ IP in s ta la d o n o te n d r n om bre d e d om in io. Un s ervid or w eb en Lin u x es u n eje m p lo d el prim er ca s o y u n Windows Me que utilice slo el protocolo NetBEUI es un ejemplo del segundo.
nbtstat -c
Servidor WINS
nbtstat -r nbtstat -c
script
Art c u lo r e la c ion a d o: El a rtcu lo "HOS TS : cm o pu ed e m e jora r m i navegacin?" explica cm o s e pu ed e pers on a liz a r es te a rch ivo d e con figu ra cin p a ra d ivers a s a p lica cion es : m e jora d e la velocid a d d e a cce s o a cierta s p gin a s w e b, u tiliz a cin d e a lia s p a ra d om in ios o res triccion es d e navegacin en entornos empresariales, entre otras.
proxy
Captulo5
Redes en Windows NT
cuelgue
cuelgue
Workstation Server
W in d ow s NT W in d ow s NT
s ervid or d e u s u a rios
inicia n s es in en el
s ervid or d e a rchivos
grupo
4.
script
Concepto de dominio
Controlador de reserva
Servidor independiente
B con fa e n A
1. En el controlador principal del dominio A, incluimos B en el cuadro Dominios de confianza. 2. En el controlador principal del dominio B, incluimos A en el cuadro Dominios en los que se confa.
Modelos de dominios
dominio maestro
x x
Para enviar un mensaje a un solo usuario o PC: net send nombre_usuario_o_PC mensaje Para enviar un mensaje a todos los usuarios de un dominio: net send /domain:nombre_dominio mensaje net send /users mensaje Tambin es posible enviar un mensaje a todos los usuarios de un dominio mediante el Administrador de servidores / Equipo / Enviar mensaje.
broadcasting
Instalacin del servidor WINS: 1. Agregar el servicio "Servidor de nombres de Internet para Windows".
Configuracin de los clientes WINS: 1. Aadir la direccin IP del servidor WINS en la pestaa "Direccin WINS" de las propiedades de TCP/IP.
Instalacin y configuracin del servidor DHCP: 1. 2. 3. 4. Agregar el servicio "Servidor DHCP de Microsoft" en la configuracin de "Red" Asegurarnos de que nuestro servidor tiene una IP esttica Reiniciar Entrar a Herramientas administrativas / Administrador DHCP / mbito / Crear, e indicar el rango de IPs que vamos a reservar para los puestos de la red. Las direcciones IP del propio servidor DHCP y de otros posibles servidores con IP esttica se deben excluir del rango anterior. 5. Establecer las opciones del mbito en el men Opciones DHCP / mbito. En la imagen anterior se muestran las opciones tpicas de configuracin (3 = puerta de salida o gateway, 6 = servidores DNS, 44 = servidores WINS, 46 = tipo de nodo de resolucin de nombres NetBIOS). Nota: El tip o d e n od o 0 x8 es el con ocid o com o nodo hbrido. S ign ifica qu e los clien te s tra ta r n d e res olver ca d a n om bre en prim er lu ga r m ed ia n te u n servid or W INS y , s i n o lo con s igu iera n , m ed ia n te u n broa d ca s tin g a la red . Es el nodo recomendado para la mayora de las configuraciones. Configuracin de los clientes DHCP: 1. Marcar la opcin "Obtener una direccin IP automticamente" en las propiedades de TCP/IP. Si se han establecido las opciones propuestas anteriormente, desactivaremos la resolucin WINS y eliminaremos los servidores DNS y puertas de enlace. Obsrvese que la configuracin TCP/IP de los clientes DHCP es la predeterminada de Windows despus de instalar el protocolo TCP/IP.
reservar
Captulo 6
Seguridad en redes
no
La navegacin por Internet y la lectura de correos electrnicos no se consideran situaciones de riesgo. No es necesario siquiera tener un antivirus funcionando. Discutiremos este punto ms adelante. La visin de imgenes (.GIF o .JPG) u otros archivos multimedia (.MP3, .MID, .WAV, .MPEG...) que habitualmente se transmiten por correo electrnico, tampoco suponen ningn riesgo. Los documentos de Office pueden contener virus de macro (archivos .DOC y .XLS principalmente). Se deben comprobar siempre con un programa antivirus antes de abrirlos. Los archivos ejecutables recibidos por correo electrnico no se deben abrir bajo ningn concepto. Los formatos ms habituales son .EXE, .COM, .VBS, .PIF y .BAT. En caso de duda es preferible no abrir el archivo adjunto, aunque provenga de un remitente conocido. Los archivos ms sospechosos son los que tienen un nombre gancho para engaar a usuarios ingenuos: LOVE-LETTER-FORYOU.TXT.vbs, AnnaKournikova.jpg.vbs, etc. Este tipo de archivos, en un 90% de probabilidades, no contienen lo esperado o, si lo contienen, tambin incluyen un regalito malicioso oculto para el usuario. Los nuevos virus tratan de aprovecharse de la ignorancia de los usuarios para hacerles creer,
Curso Redes Ethernet mediante tcnicas de ingeniera social, que cierto correo con datos interesantes se lo est enviando un amigo suyo cuando, en realidad, son virus disfrazados. Importante: Pa ra qu e la s ex te n s ion es d e los a rch ivos s e a n v is ibles d ebe m os d e s a ctiv a r la ca s illa "Ocu lta r ex ten s ion es p a ra los tipos d e a rch ivos con ocid os " s itu a d a en Mi PC / m en Ver / Opcion es d e ca rpe ta / Ver. La s itu a cin d e es ta opcin pu ed e v a ria r d epen d ien d o d e la vers in d e W in d ow s e In te rn e t Exp lorer qu e es te m os u tiliz a n d o. B u en a p a rte d e los v iru s s e a provech a n d e qu e los u s u a rios tien en es ta ca s illa m a rca d a . Por e je m p lo, s i recib im os e l a rch ivo "LOVE-LETTER-FOR-Y OU.TXT.vbs " ten ie n d o la ca s illa m a rca d a , v ere m os n ica m en te e l n om bre "LOVE-LETTER-FORY OU.TXT" y creere m os equ ivoca d a m en te qu e s e tra ta d e u n in ofen s ivo archivo de texto, cuando en realidad es un archivo ejecutable (.VBS).
Desactivar la ocultacin de las extensiones de los archivos, segn hemos indicado ms arriba. Instalar la ltima versin de Internet Explorer y de Outlook Express / Outlook junto a todas sus actualizaciones. Instalar todas las actualizaciones crticas de Windows recomendadas en www.windowsupdate.com. Si usamos el gestor de correo Outlook, instalar la actualizacin de seguridad que impide abrir archivos adjuntos potencialmente peligrosos. Establecer la seguridad de nuestro programa de correo electrnico en alta. En Outlook Express hay que elegir la opcin "Zona de sitios restringidos" que se encuentra en el men Herramientas / Opciones / Seguridad. Desinstalar Windows Scripting desde Panel de control / Agregar o quitar programas / Instalacin de Windows / Accesorios / "Windows Scripting Host". La desinstalacin de este componente de Windows impide que se puedan abrir archivos de secuencias de comandos o scripts (los .VBS por ejemplo) los cuales, en la mayora de las ocasiones, se utilizan con fines maliciosos. Los usuarios sin Windows Scripting que traten de ejecutar un archivo adjunto .VBS no caern en ninguna situacin de riesgo porque este formato no ser reconocido por Windows.
Antivirus
. Teniendo en cuenta que el correo es la principal va de propagacin de virus, el servidor ms crucial es el de correo. Existen en el mercado programas antivirus diseados para acoplarse a los principales servidores de correo (para Exchange Server, por ejemplo). Tngase en cuenta que el servidor de correo nunca va a ser infectado por mucho que est reenviando virus puesto que estos programas nunca llegan a ejecutarse en el servidor. La misin de un antivirus en un servidor de correo es proteger la red interna de virus externos recibidos por correo. Los usuarios de la red nunca recibirn virus en sus cuentas de correo (al menos, en las que dependen de este servidor, nada puede hacer con cuentas de correo gratuitas tipo Hotmail). Como inconveniente de la instalacin del antivirus est la sobrecarga de trabajo en el servidor as como el elevado coste del software. Debemos hacer un balance de los factores coste, potencia del servidor y necesidad real de esta proteccin. Tambin podemos pensar en la instalacin de un antivirus permanente en el servidor de archivos de la empresa. Sin embargo, esta no suele ser una buena idea precisamente por la sobrecarga que esto supone para la mquina. S es interesante, en cambio, analizar diariamente todos los archivos de usuarios en momentos en que el servidor tenga poca carga (por la noche, por ejemplo) mediante un anlisis programado. Este anlisis se puede realizar desde el propio servidor o bien, desde un puesto de trabajo que haya iniciado sesin con privilegios de administrador y tenga acceso, por tanto, a los documentos de todos los usuarios. . Se pueden utilizar dos tipos de antivirus: o Antivirus residentes en memoria. Suele identificarse mediante un icono en la barra de tareas. Analiza todos los archivos antes de que el sistema operativo los abra (tecnologa on-access) e informa de la presencia de virus. Este sistema es necesario en las empresas puesto que protege no slo del correo sino tambin de virus provenientes de otras fuentes (como disquetes o descargas por FTP). de forma transparente para el usuario. Antivirus bajo demanda. Se activa nicamente a peticin del usuario para analizar una unidad, directorio o archivo determinado. Es til
Curso Redes Ethernet para usuarios avanzados que prefieren tener desactivado habitualmente el antivirus residente para trabajar a mayor velocidad pero resulta demasiado complejo de utilizar para usuarios comunes. Este tipo de antivirus se utiliza en la prctica para analizar discos duros completos o dispositivos de datos que acabamos de recibir (disquete, CD regrabado, disco LS-120, etc...)
1. Formar al usuario para que distinga las situaciones que entraan riesgo para la empresa de las que no. Es importante comprender que un slo equipo infectado puede propagar la infeccin al resto de equipos de la red. 2. Mantener los antivirus de todos los puestos actualizados. La actualizacin debe ser diaria o, como mucho, semanal. Para evitar la tediosa tarea de actualizar los antivirus puesto por puesto, se debe buscar un sistema que permita la actualizacin de forma centralizada. 3. Realizar copias de seguridad diarias o semanales de los documentos de los usuarios almacenados en el servidor de archivos y mantener un historial de copias. Los usuarios deben ser conscientes de que los nicos datos que estarn protegidos sern los que estn almacenados en el servidor pero no los que residan en sus equipos locales. Las copias de seguridad se suelen dejar programadas para realizarse durante la noche. El historial de copias se consigue utilizando un juego de cintas (las hay disponibles de varias decenas de GB) que se van utilizando de forma rotativa.. Por ejemplo, con un juego de 7 cintas tendramos siempre un historial de 7 copias de seguridad anteriores. Por supuesto, las cintas deben guardarse en lugar seguro y, a ser posible, lo ms alejadas fsicamente del servidor con objeto de evitar la destruccin de todos los datos en caso de desastres naturales: inundaciones, incendios, etc. 4. Evitar la comparticin de unidades y carpetas en los ordenadores cliente. Todos los recursos compartidos deben estar en los servidores, nunca en los ordenadores cliente. De esta forma se evitan propagaciones masivas de virus entre los puestos de trabajo.
Troyanos
ca b a llos d e Troy a
troyanos
Nota: S e pu ed e a verigu a r a qu in perte n ece u n a d ireccin IP m ed ia n te los s itios w h ois d is pon ibles en la Red (ver www.saulo.net/links). El s ign ifica d o de cada puerto se estudia en el Curso de protocolos TCP/IP.
firewall
El servidor de correo de la empresa no tiene porqu tener habilitados los servicios de pginas web, FTP e impresin si no estn siendo utilizados. El servidor de usuarios de la empresa no tiene porqu tener habilitados los servicios de pginas web y mensajera si no son indispensables. Los usuarios del departamento de diseo grfico no tienen porqu tener acceso a los archivos del departamento de contabilidad. Los puestos de trabajo no deben tener programas que no sean indispensables para la empresa. Por ejemplo: clientes de IRC, programas de descarga de MP3, programas de mensajera, etc. Los usuarios no tienen porqu poder compartir carpetas en sus ordenadores locales si existe un espacio en un servidor preparado para el intercambio de datos.
Nota: En los ord en a d ores W in d ow s 9 x/ Me los pu ertos s e a bren porqu e a lg n progra m a los es t u tiliz a n d o. Pu ls a n d o Ctrl+Alt+S u pr pod e m os v er la lis ta d e progra m a s a ctivos en es e m om en to. Med ia n te la ord en MS CONFIG, pes ta a In icio s e lis ta n tod os los progra m a s qu e s e e jecu ta n a l in icia rs e el sis te m a ope ra tiv o. Un a vez qu e h em os loca liz a d o el progra m a qu e a bre u n d e te rm in a d o pu erto qu e qu ere m os ce rra r, b a s ta con d es m a rca rlo en la lis ta a n te rior. En el prx im o rein icio e l p u erto perm a n ecer cerra d o. El cierre d e los pu ertos Ne tB IOS s e explica en el a p a rta d o Cm o d es h a b ilita r Ne tB IOS en Windows 98.
software
hackers una-al-dia
contraseas
a ta qu es d e fu erz a bru ta
switches
sniffer
Configuracin incorrecta. El servidor proxy que separa las zonas pblica y privada utiliza una sola tarjeta de red. Tanto los servidores pblicos como los puestos de trabajo internos comparten el mismo cableado, es decir, se pueden conectar indistintamente a cualquier puerto libre de cualquier hub de la red. Y, lo que es ms grave, cualquier usuario podra autoasignarse una IP pblica y comprometer toda la seguridad de la red. Configuracin correcta. El servidor proxy utiliza dos tarjetas de red. Una tarjeta de red se conecta al hub de la zona pblica y la otra, al hub de la zona privada. La nica va fsica posible de pasar de una zona a otra es mediante el servidor proxy. Si un usuario trata de asignarse una IP pblica a su puesto de trabajo quedar aislado de todos los dems. Lo s s e rvido re s , e n la z o n a p blic a e n la z o n a privada?
cortafuegos
cortafuegos
firewalls
subredes
router