PRCTICAS DE LABORATORIO
CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES
PERIODO: AO:
INDICE
CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES .........................................................................3
Introduccin ................................................................................................................................................3
OBJETIVO GENERAL DEL MODULO ......................................................................................................................4
rea de competencias .................................................................................................................................4
Subcompetencias ........................................................................................................................................4
Duracin del mdulo ...................................................................................................................................4
EVALUACION INICIAL DEL MODULO....................................................................................................................5
EVALUACION FINAL .............................................................................................................................................6
PRCTICAS DE LABORATORIO .............................................................................................................................7
Prctica1: Anlisis de Vulnerabilidades con MBSA .....................................................................................7
Prctica2: Instalacin y Configuracin de WSUS .........................................................................................9
Prctica3: Polticas de grupo .................................................................................................................... 12
Prctica4: Sistema de Cifrado de Archivos (EFS) ...................................................................................... 14
Prctica5: Auditoria de Eventos ............................................................................................................... 19
Prctica6: Recuperacin del Sistema ....................................................................................................... 23
Prctica7: Respaldo y restauracin de archivos ....................................................................................... 27
Prctica8: Enrutamiento y acceso remoto ............................................................................................... 30
Prctica9: Seguridad en redes inalmbricas............................................................................................. 34
Introduccin
El siguiente modulo tiene como finalidad que usted pueda conocer sobre los mecanismos de seguridad en
redes informticas, debido al crecimiento que en la actualidad poseen las redes de datos en las
organizaciones las cuales se hacen cada vez ms dependientes de sus sistemas de redes informticas y un
problema que las afecte, por mnimo que este sea puede llegar a comprometer la continuidad de las
operaciones e incluso a tener grandes prdidas en concepto de dinero o costos de oportunidad.
La falta de medidas de seguridad en las redes informticas en un problema que est en crecimiento para las
organizaciones. Cada vez son ms el nmero de ataques a las que estn expuestas las organizaciones y cada
vez ms, estos ataque se realizan de manera estructurados y organizados por individuos que van adquiriendo
da a da habilidades ms especializadas que les permiten tener mayores beneficios. Otro de los factores que
deben de ser considerados, es las fallas de seguridad provenientes del interior de las organizaciones, debido
a diferentes circunstancias que se abordaran en los temas posteriores de este manual.
Es importante destacar que es la misma complejidad de las redes las que hacen que cada vez sea ms difcil
detectar los diferentes problemas de seguridad que se presentan en las redes, tanto las que ya son
conocidas, como las que van apareciendo. Palabras como Hackers, Crackers, Lamers y otras muchas ms se
han ido generalizando en nuestro vocabulario ordinario, tanto en la vida de los usuarios comunes como en
los administradores de redes.
Adems de las tcnicas criptogrficas y de todos los mecanismos de seguridad existentes, cabe mencionar
que una simple accin de seguridad no es suficiente para garantizar la seguridad de nuestros sistemas y
redes, el monitoreo y la constante revisin de nuestros sistemas en conjunto es la que nos proporciona un
marco de referencia adecuado que nos permite realizar acciones preventivas ms que correctivas que nos
ayuden a proteger nuestros sistemas, recordemos que la seguridad es algo utpico, hasta que los
sistemas son vulnerados podemos darnos cuenta que no tenamos un buen sistema de seguridad o que
necesitamos mejorarlo.
Al finalizar el modulo, usted habr adquirido las competencias necesarias para aplicar las tcnicas y las
herramientas que le permitirn conocer sobre los diferentes mecanismos de seguridad en las redes
informticas tanto en la proteccin de los datos al momento de transportarse por medio de las redes, as
como la proteccin de extremo a extremo, aplicando tcnicas de encriptacin e implementando polticas
de seguridad tanto a nivel conceptual como a nivel prctico, implementando seguridad perimetral,
desarrollando proteccin contra las diferentes vulnerabilidades y amenazas en la red de datos,
asegurando la integridad y la confiabilidad de datos cuando son transportados por la red e implementar
polticas de seguridad para el trfico entrante o saliente de la red.
rea de competencias
Subcompetencias
Virus y Malware
EVALUACION FINAL
La evaluacin final del mdulo consiste en instalar y configurar un servidor que incluya diferentes
herramientas de seguridad. El documento debe contener:
a) Portada
b) ndice
c) Introduccin
d) Objetivos
e) Anlisis del problema
f) Presupuesto
g) Desarrollo del Caso
PRCTICAS DE LABORATORIO
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Microsoft Baseline Security Analizer es una herramienta de anlisis de seguridad que nos da la posibilidad de determinar
posibles vulnerabilidades administrativas presentes en uno o ms equipos de nuestra intranet.
MBSA explorar el equipo o su direccin IP de red. En el caso de una exploracin mltiple explorar los equipos en el
dominio o el rango de direcciones IP especificado.
MBSA luego del anlisis nos devolver un informe con los detalles del o de los equipo/s que analiz y tendremos la
posibilidad de ver cmo resolver estos inconvenientes.
La versin 2.0 de MBSA analiza configuraciones de seguridad incorrectas en sistemas operativos Windows, Internet
Information Services (IIS), SQL Server, Internet Explorer y Microsoft Office.
Requerimientos de la herramienta
Para la ejecucin y anlisis del mismo equipo se debe tener en cuenta los siguientes requerimientos:
El equipo debe ejecutar un sistema operativo servidor Windows Server 2008 con Service Pack 3 o superior, o
cliente Windows XP.
Debe tener instalado el Explorador de Internet versin 5.01 o superior.
Se requiere un analizador XML para que la herramienta funcione correctamente. Es recomendado que se
instale el analizador MSXML.
El servicio WWW es requerido si deseamos realizar un chequeo de vulnerabilidades en el servicio local de IIS.
El agente de Windows Update 2.0 es requerido para escanear las actualizaciones disponibles.
Para ejecutar MBSA, debe estar utilizando una cuenta con privilegios de Administrador local del equipo analizador y
analizado, es decir, local y remoto.
Tambin es requerido que en el equipo local o analizador donde se ejecuta MBSA tenga acceso a Internet, ya que se
bajar un catlogo, para utilizar desconectado, desde el sitio Web de Microsoft. Si una copia antigua del catlogo fue
bajada en un anlisis anterior, la herramienta intentar utilizar esta copia si la conexin a Internet no es permitida o
falla. El catalogo es usado para realizar el escaneo del equipo remoto con respecto al sitio de actualizacin de Microsoft.
Formas de uso
Una interfaz grfica basada en una pgina Web a travs de la cual se puede realizar el chequeo de un equipo
por medio de su nombre dentro del dominio o a travs de su direccin IP de red. Tambin se puede realizar el
chequeo de varios equipos introduciendo el nombre del dominio o el rango de direcciones a chequear. En
ambas formas el asistente tiene varias opciones de chequeo las cuales se pueden cambiar seleccionando o no
las mismas.
A travs de la lnea de comando se puede tambin realizar el chequeo de uno o ms equipos con un poco ms
de detalle en cuando a las opciones del chequeo.
Utilizacin de la herramienta
A travs de la interfaz grfica como de la lnea de comando se puede chequear a grandes rasgos los siguientes temas:
Entre las vulnerabilidades del sistema operativo que se pueden llegar a encontrar se encuentran por ejemplo la cantidad
de miembros dentro del grupo de administradores locales del equipo, el sistema de archivos utilizado, si el Firewall est
activo o no, etc.
Respecto a las contraseas se analizar la presencia de cuentas con contrasea en blanco y otros inconvenientes.
Los chequeos de vulnerabilidad de IIS darn una idea de los riesgos y de la misma forma para el caso de un servidor SQL.
Realizar el chequeo contra los servidores internos de actualizacin, a travs de esta opcin solo se instalarn en el equipo
las actualizaciones aprobadas por la empresa. En este caso no se utilizar el sitio de actualizacin de Microsoft ni algn
catlogo que haya sido bajado anteriormente.
Realizar el chequeo contra los servidores de actualizacin de Microsoft. En este caso se bajar un catlogo para utilizar
en la determinacin de actualizaciones faltantes.
Ejercicio:
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Windows Server Update Services permite descargar actualizaciones de seguridad para los sistemas operativos Microsoft.
Mediante Windows Server Update Services (WSUS), los administradores pueden manejar centralmente la distribucin
de parches a travs de Actualizaciones automticas a todos los computadores de la red corporativa. Una de las
principales ventajas con el uso de esta herramienta es que ahorra ancho de banda, tiempo y espacio de almacenamiento
debido a que las computadoras no necesitan conectarse individualmente a los servidores externos a la corporacin, sino
que se conectan a los servidores locales.
PROCEDIMIENTO
Para la implementacin de WSUS en Windows Server 2008 se muestra un listado de requisitos mnimos de software a
continuacin:
Una vez que hayamos cumplido con los requisitos de software estaremos listos para llevar a cabo la instalacin siguiendo
estos pasos:
Al finalizar la instalacin se iniciar un asistente para la configuracin inicial. Sugiero que se haga en ese momento.
Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft Update Site) o bien al servidor WSUS de
Updates superior para poder conseguir los parches. En caso de no poder comunicarse a Internet verificar ms abajo qu
es necesario para la conexin a internet.
WSUS requiere acceso a ciertos sitios de Internet que deberan estar habilitados en el Firewall o en el Proxy server de la
red corporativa. Los sitios son los siguientes:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Se debe garantizar el acceso a dichos links para que WSUS funcione correctamente. Este es un punto que se puede
resolver previo a la instalacin del servicio as no tendr problemas a la hora de descargar los parches. A continuacin
se detallan los pasos a seguir para configurar WSUS:
1. El primer paso de configuracin es definir si el servidor va a bajar los parches desde Microsoft Update o los va
a sincronizar de otro servidor de WSUS.
2. En el siguiente paso debemos definir si va a utilizar un servidor Proxy para el acceso a internet o si se conecta
directamente. Una vez configurado el acceso a internet el servidor ya intentar conectarse para poder bajar la
lista de productos actualizada, lenguajes disponibles y tipos de parches.
3. Si la conexin fue exitosa podremos configurar el lenguaje de los parches, los productos de los cuales queremos
que chequee los parches y adems la clasificacin de los parches que deseamos, ya sean Updates, Security
Updates, Critical Updates, Service Packs, etc. Luego de seleccionar estos tres parmetros debemos configurar
el calendario de sincronizacin de cundo queremos que se conecte a internet a bajar dichos parches.
4. Como ltimo paso nos va a preguntar si queremos abrir la consola administrativa al finalizar la configuracin y
si queremos que inicie la sincronizacin inicial. Estos pasos son optativos, es ms podemos obviar la
sincronizacin si queremos y dejarla programada para la noche para no saturar el acceso a Internet.
El servidor ya est listo para operar y entregar parches a las PCs y Servidores que configuremos.
EJERCICIO
Definir una Directiva de Grupo en el servicio de directorio activo para configurar las polticas
necesarias para que los clientes Windows XP, 7 o posterior puedan obtener las
actualizaciones automticas desde el servidor WSUS.
Verificar las configuraciones principales de WSUS, descargando una actualizacin y
aplicndola al cliente Windows XP, 7 o posterior.
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una
de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para:
Creacin de un GPO
El primer paso en la implementacin de una Directiva de Grupo es crear un GPO. Recuerde que un GPO es una coleccin
de configuraciones de Polticas de Grupo.
1. Determinar si el GPO que estamos creando estar vinculado a un Sitio, Dominio o Unidad Organizativa.
2. Clic derecho al Sitio, Domino o Unidad Organizativa al cual queremos crear un GPO, y luego seleccionamos
Propiedades.
3. En el cuadro de dilogo de Propiedades, seleccionamos Directiva de Grupo. All damos clic al botn Nuevo y
escribimos el nombre que queremos asignar al GPO. Por defecto, el nuevo GPO estar vinculado al Sitio,
Dominio o Unidad Organizativa que fue seleccionada, as que las configuraciones sern aplicadas a dicho
objeto.
Despus de haber creado el GPO, deberamos de crear una consola con MMC. Cuando usted crea un MMC para un GPO,
usted puede abrirlo siempre que sea necesario desde el men de Herramientas Administrativas.
Despus de haber creado el GPO, es importante determinar qu grupos de administradores tendrn permiso de acceso
al GPO.
Ejercicio:
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
El Sistema de Cifrado de Archivos (EFS) incluido con el sistema operativo Windows Server 2008 se basa en el cifrado de
claves pblicas y aprovecha la arquitectura CryptoAPI de Windows Server 2008. Cada archivo se cifra mediante una clave
de cifrado de archivo generada aleatoriamente, que es independiente del par de claves pblica/privada.
El cifrado de archivos se puede realizar con cualquier algoritmo de cifrado simtrico. La versin de EFS utiliza el Estndar
de cifrado de datos X, o DESX (128 bits en Norteamrica y 40 bits en los dems pases) como algoritmo de cifrado. En
versiones posteriores se utilizarn otros esquemas de cifrado. EFS admite el cifrado y descifrado de archivos
almacenados en unidades locales y en servidores de archivos remotos.
La configuracin predeterminada de EFS permite a los usuarios cifrar archivos sin ningn trabajo administrativo. EFS
genera un par de claves pblicas y un certificado de cifrado de archivos cuando el usuario cifra por primera vez un
archivo.
El cifrado y descifrado de archivos se realiza para cada archivo o para toda una carpeta, incluidas todas las subcarpetas.
El cifrado de carpetas se aplica de forma transparente. Todos los objetos creados en una carpeta que estn marcados
para cifrado se cifran automticamente. Cada archivo tiene su propia clave de cifrado nica, lo que permite cambiar el
nombre del archivo de forma segura. Si al cambiar el nombre de un archivo, ste pasa de una carpeta cifrada a una no
cifrada del mismo volumen, el archivo permanecer cifrado. Sin embargo, si copia un archivo no cifrado a una carpeta
cifrada, cambiar el estado del archivo. En ese caso, el archivo sigue estando cifrado. Se proporcionan herramientas de
lnea de comandos e interfaces administrativas para usuarios avanzados y agentes de recuperacin.
Recuperacin de datos
EFS proporciona compatibilidad integrada con la recuperacin de datos. La infraestructura de seguridad de Windows
Server 2008 exige la configuracin de claves de recuperacin de datos. Slo se puede utilizar el cifrado de archivos si el
sistema est configurado con una o varias claves de recuperacin. EFS permite que los agentes de recuperacin
configuren claves pblicas que sirvan para recuperar los datos cifrados si un usuario abandona la organizacin. Con la
clave de recuperacin slo se tiene acceso a la clave de cifrado del archivo, no a la clave privada del usuario. Esto
garantiza que no se revelar otra informacin privada al agente de recuperacin. La recuperacin de datos est diseada
para las organizaciones que necesitan recuperar los datos cifrados por un empleado.
Mediante la Directiva de grupo se puede definir una directiva de recuperacin en un dominio de Windows Server 2008.
La directiva se aplica a todos los equipos del dominio y la controlan los administradores del dominio, que suelen delegar
el control a las cuentas de administrador de seguridad de datos designadas. Esto proporciona un mayor control y
flexibilidad con respecto a los usuarios que disponen de autorizacin para recuperar datos cifrados. EFS admite varios
agentes de recuperacin al permitir distintas configuraciones de recuperacin de datos. Estas caractersticas
proporcionan a las organizaciones redundancia y flexibilidad a la hora de implementar sus procedimientos de
recuperacin.
Escenarios de uso
Al igual que con el cifrado, puede utilizar el Explorador de Windows o una utilidad de la lnea de comandos para descifrar
una carpeta o un archivo. En esta seccin se describen ambos procedimientos. Tenga en cuenta que no necesita descifrar
un archivo para abrirlo y modificarlo. Descifre un archivo para permitir que otros usuarios lo utilicen.
1. Haga clic en el botn Inicio, seleccione Programas, Accesorios y luego Explorador de Windows.
2. Haga clic con el botn secundario del mouse en el nombre de carpeta o archivo y, despus, elija Propiedades.
3. En la ficha General, en el cuadro de dilogo Propiedades, haga clic en Opciones avanzadas.
4. En el cuadro de dilogo Atributos avanzados, active la casilla de verificacin Cifrar contenido para proteger
datos y, despus, haga clic en Aceptar.
5. En el cuadro de dilogo Propiedades de Archivos cifrados, haga clic en Aceptar.
6. Se le pedir que elija entre descifrar la carpeta y todo su contenido o slo la carpeta. Active la casilla de
verificacin Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos y, a continuacin, haga clic en
Aceptar.
Nota: Se recomienda que cifre carpetas y no archivos individuales, ya que muchas aplicaciones no son compatibles con
el cifrado y pueden procesar el archivo en texto sin cifrar.
En esta seccin se explican los procedimientos y las limitaciones de copiar carpetas o archivos cifrados en el mismo
volumen o desde un volumen a otro.
Para copiar un archivo o una carpeta en el mismo equipo entre particiones NTFS de una ubicacin de
Windows Server 2008. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el
Explorador de Windows o el smbolo del sistema. La copia estar cifrada.
Para copiar un archivo o una carpeta en el mismo equipo desde una particin NTFS de un volumen de
Windows Server 2008 a una particin FAT (Tabla de asignacin de archivos). Copie el archivo o la carpeta como
si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el smbolo del sistema. Puesto que el
sistema de archivos de destino no admite el cifrado, la copia no estar cifrada.
Para copiar un archivo o una carpeta a un equipo diferente cuando ambos utilizan particiones NTFS de
Windows Server 2008. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el
Explorador de Windows o el smbolo del sistema. Si el equipo remoto permite cifrar archivos, la copia estar
cifrada; de lo contrario, no lo estar. Tenga en cuenta que el equipo remoto debe ser de confianza para la
delegacin; en un entorno de dominio, el cifrado remoto no est habilitado de manera predeterminada.
Hacer una copia de seguridad mediante una copia. Las copias de seguridad creadas con el comando o la opcin
de men Copiar pueden dar lugar a texto sin cifrar, como se explic anteriormente en la seccin Copiar una
carpeta cifrada o un archivo cifrado.
Hacer una copia de seguridad mediante la utilidad Copia de seguridad de Windows Server 2008 o cualquier
utilidad de copia de seguridad compatible con las caractersticas de Windows Server 2008. ste es el mtodo
recomendado para hacer una copia de seguridad de los archivos cifrados. La copia de seguridad mantendr el
cifrado de los archivos, y el operador de la copia de seguridad no necesitar tener acceso a las claves privadas
para hacer la copia de seguridad; slo deber tener acceso al archivo o a la carpeta para realizar esta tarea.
Las operaciones de restauracin son similares a las utilizadas para crear copias de seguridad de archivos cifrados. En esta
seccin se explican los procedimientos y las limitaciones para restaurar copias de seguridad de archivos cifrados en el
mismo equipo donde se realiz la copia y en un equipo diferente.
Restaurar mediante una copia. Los archivos restaurados creados con el comando o la opcin de men Copiar
pueden dar lugar a texto sin cifrar, como se explic anteriormente en la seccin Copiar una carpeta cifrada o
un archivo cifrado.
Restaurar mediante la utilidad Copia de seguridad de Windows Server 2008 o cualquier utilidad de copia de
seguridad compatible con las caractersticas de Windows Server 2008. ste es el mtodo recomendado para
restaurar archivos cifrados. La operacin de restauracin mantiene el cifrado de los archivos y el agente de
restauracin no necesita tener acceso a las claves privadas para restaurarlos. Una vez finalizada la restauracin,
el usuario con la clave privada puede utilizar normalmente el archivo.
Si desea poder utilizar archivos cifrados en un equipo distinto del que se us para cifrar los archivos, debe asegurarse de
que el certificado de cifrado y la clave privada asociada estn disponibles en el otro sistema. Para ello, puede utilizar un
perfil mvil o mover manualmente las claves.
Utilizar un perfil mvil. Pida al administrador que le configure un perfil mvil si an no dispone de uno. Cuando
tenga el perfil mvil, utilizar las mismas claves de cifrado en todos los equipos en los que inicie sesin con esa
cuenta de usuario. Tenga en cuenta que aunque utilice perfiles mviles, tal vez desee hacer una copia de
seguridad del certificado de cifrado y la clave privada. Sin embargo, si pierde las claves que le permiten descifrar
un archivo, puede pedir al agente de recuperacin designado (el administrador local o del dominio, de forma
predeterminada) que recupere los archivos cifrados.
Mover manualmente las claves. Antes de contemplar la posibilidad de mover las claves manualmente, debe
realizar una copia de seguridad del certificado de cifrado y de la clave privada. Despus podr restaurar el
certificado y la clave en otro sistema.
Para hacer una copia de seguridad del certificado de cifrado y de la clave privada
1. Para iniciar Microsoft Management Console (MMC), haga clic en el botn Inicio y en Ejecutar, escriba mmc en
el cuadro Abrir y, a continuacin, haga clic en Aceptar.
2. En el men Consola, haga clic en Archivo, en Agregar o quitar complemento y luego en Agregar.
3. Busque y haga clic en el complemento Certificados y, despus, haga clic en Agregar. Haga clic en Cerrar y luego
en Aceptar.
4. Busque los certificados EFS en el almacn de certificados Personales. Haga clic en el signo ms (+) situado junto
a Certificados: usuario actual. Expanda la carpeta Personal y, a continuacin, haga clic en Certificados. Nota: La
columna Propsitos planteados del certificado correspondiente indicar el Sistema de archivos de cifrado.
5. Haga clic con el botn secundario del mouse en el certificado, haga clic en Todas las tareas y despus en
Exportar. Se iniciar el Asistente para exportacin de certificados. Haga clic en Siguiente.
6. Active la casilla de verificacin Exportar la clave privada y, a continuacin, haga clic en Siguiente.
7. El formato de exportacin disponible es Intercambio de informacin personal: PKCS#12 (.PFX). Compruebe que
la casilla de verificacin Permitir proteccin segura est activada y, a continuacin, haga clic en Siguiente.
8. Especifique y confirme una contrasea para proteger el certificado exportado y, despus, haga clic en Siguiente.
9. Especifique la ruta de acceso y el nombre de archivo donde desea almacenar el certificado exportado. Haga clic
en Siguiente y luego en Finalizar para finalizar la exportacin del certificado. Haga clic en Aceptar para
confirmar que la exportacin se ha realizado correctamente.
10. Cierre la consola MMC.
Cuando disponga de las mismas claves, podr utilizar de forma transparente los archivos cifrados de los que se haya
hecho una copia de seguridad en otro equipo.
Puede cifrar y descifrar archivos de forma transparente y utilizar archivos cifrados en un servidor remoto. Para ello, debe
tener acceso a esos archivos de forma remota o iniciar sesin localmente en el otro equipo. Sin embargo, tenga en
cuenta que cuando mueve archivos cifrados mediante los mecanismos de copia de seguridad y restauracin, debe
asegurarse de que tambin se mueven el certificado de cifrado y las claves privadas correspondientes para poder utilizar
los archivos cifrados en sus nuevos destinos. Sin las claves privadas correctas no podr abrir ni descifrar los archivos.
Nota: Si abre el archivo cifrado a travs de la red, los datos que se transmiten por la red mediante este proceso no estn
cifrados. Deben utilizarse otros protocolos, como Nivel de sockets seguro/Tecnologa de comunicaciones personales
(SSL/PCT) o Seguridad del Protocolo Internet (IPSec), para cifrar datos a travs de la red.
Usar el Visor de Sucesos para dar seguimiento a las actividades que registra
Windows Server 2008.
Habilitar la auditora de objetos de Active Directory.
Verificar los registros de seguridad de los eventos auditados.
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Establecer una poltica de auditora es una parte importante de la seguridad. Monitorizar la creacin o modificacin de
objetos nos da una va de seguimiento a problemas potenciales de seguridad, ayudando a asegurar la responsabilidad
de usuario, y proporcionando evidencias en el evento de una brecha de seguridad.
Una poltica de auditora define el tipo de eventos de seguridad que Windows Server 2008 graba en el registro de
seguridad de cada equipo. Windows Server 2008 registra los eventos de seguridad en el equipo especfico donde el
evento ha sucedido.
Seguir los eventos correctos y errneos, como los intentos de inicio de sesin, los intentos de un usuario en
concreto para leer un archivo especfico, cambios en una cuenta de usuario o pertenencia a grupo y cambios
en la configuracin de seguridad.
Minimizar el riesgo de un uso no autorizado de recursos.
Mantener un registro de la actividad de usuario y de administrador.
Usaremos el visor de sucesos para ver los eventos que Windows Server 2008 graba en el registro de seguridad. Tambin
podemos guardar los registros para seguir pautas en el tiempo. Esto es til para determinar aquellas pautas en el uso de
impresoras, accesos a archivos e intentos y uso no autorizado de recursos.
Podemos establecer una poltica de auditora en un slo equipo, directamente usando el Complemento de Directiva
Local o indirectamente mediante Directiva de grupo que es la que ms se utiliza en organizaciones grandes. Despus de
que una poltica de auditora es diseada e implementada, el registro de seguridad comienza a grabar informacin. Cada
equipo de la organizacin tiene su propio registro de seguridad separado que graba los eventos locales.
Especificamos las categoras de los eventos que queremos auditar. No hay poltica de auditora predeterminada.
Establecemos el tamao y comportamiento del registro de seguridad. Podemos verlo desde el Visor de Sucesos.
Determinamos a que objetos queremos monitorizar su acceso y de qu tipo de acceso, si queremos auditar el
acceso al servicio de directorio o el acceso a objetos.
Los valores de auditora por defecto para servidores son configurados administrativamente mediante plantillas.
Microsoft Windows Server 2008 incluye varias plantillas de seguridad predefinidas que puede aplicar para aumentar el
nivel de seguridad de la red. Puede modificar las plantillas de seguridad de acuerdo con sus requisitos utilizando Plantillas
de seguridad en Microsoft Management Console (MMC). Las siguientes plantillas configuran valores de auditora
predeterminadas:
Setup security.inf
Hisecdc.inf
Hisecws.inf
Securedc.inf
Securews.inf
Para ver los valores que cada plantilla configura, en el complemento de Plantillas de seguridad navegamos a Directivas
Locales\Directivas de Auditora para cada plantilla.
Configure una opcin de directiva de auditora para un controlador de dominio. Cuando configura una opcin
de directiva de auditora puede auditar objetos pero no puede especificar el objeto que desea auditar.
Configure la auditora para determinados objetos de Active Directory. Despus de especificar los sucesos que
desea auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2008 hace un
seguimiento y registra estos sucesos.
3. Haga clic con el botn secundario en Controladores de dominio y, a continuacin, haga clic en Propiedades.
4. Haga clic en la ficha Directiva de grupo, haga clic en Directiva predeterminada de controladores de dominio y,
despus, haga clic en Editar.
5. Haga clic en Configuracin del equipo, haga doble clic en Configuracin de Windows, Configuracin de
seguridad y Directivas locales y, despus, haga doble clic en Directiva de auditora.
6. En el panel derecho, haga clic con el botn secundario en Auditar el acceso del servicio de directorio y, a
continuacin, haga clic en Propiedades.
7. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic para activar una o ambas de las
casillas de verificacin siguientes:
o xito: haga clic para activar esta casilla de verificacin si desea auditar los intentos correctos para la
categora de sucesos.
o Error: haga clic para activar esta casilla de verificacin si desea auditar los intentos fallidos para la
categora de sucesos.
8. Haga clic con el botn secundario en cualquier otra categora de sucesos que desee auditar y, a continuacin,
haga clic en Propiedades.
o Los cambios que realiza en la configuracin de la directiva de auditora del equipo slo surten efecto
cuando la configuracin de la directiva se propaga o se aplica a su equipo. Espere a que se realice la
propagacin automtica de la directiva que tiene lugar a intervalos peridicos que puede configurar.
De forma predeterminada, la propagacin de la directiva se produce cada cinco minutos.
Despus de configurar una opcin de directiva de auditora, puede configurar la auditora para determinados objetos
como usuarios, equipos, unidades organizativas o grupos, especificando tanto los tipos de acceso como los usuarios cuyo
acceso desea auditar. Para configurar la auditora para determinados objetos de Active Directory:
2. Asegrese de que el comando Caractersticas avanzadas est seleccionado en el men Ver; para ello,
compruebe que el comando tenga una marca de verificacin al lado.
3. Haga clic con el botn secundario en el objeto de Active Directory que desee auditar y, a continuacin, haga clic
en Propiedades.
o Escriba el nombre del usuario o el grupo cuyo acceso desea auditar en el cuadro Escriba el nombre de
objeto a seleccionar y haga clic en Aceptar.
o En la lista de nombres, haga doble clic en el usuario o el grupo cuyo acceso desee auditar.
7. Haga clic para activar las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a
continuacin, haga clic en Aceptar.
Utilice el Visor de sucesos para ver los sucesos que Windows Server 2008 graba en el registro de seguridad. Tambin
puede almacenar los archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por
ejemplo, si desea conocer el uso de impresoras o archivos, o si desea comprobar el uso de recursos no autorizados.
Ejercicio:
Activar 5 eventos que permitan auditar el acceso a los recursos del servidor, luego realizar
las pruebas desde clientes Windows XP para verificar los registros de seguridad y confirmar
la efectividad de la auditora.
Revisar las configuraciones por defecto que proporcionan las plantillas administrativas
Securedc.inf y Securews.inf.
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
El men Opciones de recuperacin del sistema en esta versin de Windows contiene varias herramientas que pueden
ayudarle a recuperar Windows de un error grave. Puede realizar reparaciones en los archivos que Windows utiliza para
iniciarse, realizar una operacin de restauracin con Restaurar sistema y restaurar completamente el equipo y los
archivos de sistema mediante copias de seguridad realizadas previamente.
El men Opciones de recuperacin del sistema se encuentra en el disco de instalacin de Windows. El men se puede
instalar tambin en el disco duro si el equipo tiene opciones de recuperacin preinstaladas.
PROCEDIMIENTO
1. Configure el equipo para iniciarse desde la unidad de CD-ROM o DVD-ROM. Para obtener informacin acerca
de cmo hacerlo, consulte la documentacin del equipo o pngase en contacto con su fabricante.
2. Inserte el CD-ROM de Windows Server 2008 o en la unidad de CD o de DVD.
3. Reinicie el equipo.
4. Cuando reciba el mensaje que le pide que presione alguna tecla para iniciar desde el disco compacto, hgalo e
iniciar el sistema desde el CD-ROM de Windows Server 2008.
5. Cuando aparezca la pantalla Programa de instalacin, presione la tecla R para iniciar la consola de recuperacin.
6. Seleccione la instalacin de Windows a la que debe tener acceso desde la consola de recuperacin.
7. Siga las instrucciones que aparecen en la pantalla, escriba la contrasea de administrador y presione ENTRAR.
8. En el smbolo del sistema, escriba los comandos de la consola de recuperacin apropiados para reparar la
instalacin de Windows Server 2008.
9. Para salir de la consola de recuperacin y reiniciar el equipo, escriba exit en el smbolo del sistema y presione
ENTRAR.
Para obtener una lista de los comandos disponibles en la consola de recuperacin, escriba help en el smbolo del sistema
y presione ENTRAR.
Bootcfg: se usa para la configuracin del inicio y la recuperacin. Puede usar el comando bootcfg para hacer
cambios en el archivo Boot.ini.
CD (Chdir): slo funciona en los directorios de sistema de la instalacin actual de Windows, en los medios
extrables, en el directorio raz de cualquier particin del disco duro y en los orgenes de instalacin locales.
Chkdsk: el modificador /p ejecuta Chkdsk incluso aunque la unidad no se haya marcado como "incorrecta". El
modificador /r busca posibles sectores defectuosos y recupera en ellos la informacin legible. Este modificador
implica a /p. Chkdsk requiere Autochk. Chkdsk busca automticamente Autochk.exe en la carpeta de inicio. Si
Chkdsk no puede encontrar el archivo en la carpeta de inicio, lo busca en el CD-ROM de instalacin de Windows
Server 2008. Si Chkdsk no puede encontrar el CD-ROM de instalacin, pregunta al usuario la ubicacin de
Autochk.exe.
Cls: borra la pantalla.
Del (delete): elimina un archivo. Del: funciona en los directorios de sistema de la instalacin actual de Windows,
en los medios extrables, en el directorio raz de cualquier particin del disco duro y en los orgenes de
instalacin locales.
Dir: muestra todos los archivos, incluidos los ocultos y los de sistema.
Disable: deshabilita un controlador o un servicio del sistema de Windows. El argumento nombreDeServicio
especifica el nombre del servicio o del controlador que desea deshabilitar. Cuando utiliza este comando para
deshabilitar un servicio, muestra el tipo de inicio original del servicio antes de cambiar el tipo a
SERVICE_DISABLED. Es aconsejable anotar el tipo de inicio original para que pueda usar el comando enable para
reiniciar el servicio.
Diskpart: administra las particiones en los volmenes del disco duro.
o La opcin /add crea una particin nueva.
o La opcin /delete elimina una particin existente.
o El argumento nombreDeDispositivo es el nombre del dispositivo de una particin nueva. Un ejemplo
de nombre de dispositivo de una particin nueva es \dispositivo\discoduro0.
o El argumento nombreDeUnidad es la letra de unidad de la particin que est eliminando (por ejemplo,
D:).
o NombreDeParticin es el nombre de la particin que va a eliminar y se puede usar en lugar del
argumento nombreDeUnidad. Un ejemplo de nombre de particin es
\dispositivo\discoduro0\particin1.
o El argumento tamao es el tamao en megabytes de una particin nueva.
Enable: habilita un controlador o un servicio del sistema de Windows. El argumento nombreDeServicio es el
nombre del servicio o el controlador que desea habilitar, y tipoDeInicio es el tipo de inicio de un servicio
habilitado. El tipo de inicio usa uno de los siguientes formatos
Fixboot: escribe un nuevo sector de inicio en la particin del sistema. El comando fixboot puede utilizarse
nicamente en equipos basados en x86.
Si el problema del inicio se produce inmediatamente despus de realizar un cambio en el equipo (por ejemplo, despus
de instalar un controlador nuevo), intente iniciar el equipo utilizando la caracterstica ltima configuracin buena
conocida.
Con La ltima configuracin vlida conocida, se inicia el equipo con la configuracin ms reciente con la que funcion
correctamente. Esta caracterstica restaura la informacin del Registro y los valores del controlador que estaban en vigor
la ltima vez que inici el equipo correctamente. Utilice esta caracterstica cuando no pueda iniciar Windows tras realizar
un cambio en el equipo (por ejemplo, despus de instalar o actualizar el controlador de un dispositivo).
Para iniciar el equipo mediante la ltima configuracin vlida conocida, siga estos pasos:
Si est ejecutando otros sistemas operativos en el equipo, haga clic en Microsoft Windows Server 2008 en la lista que
aparece y, a continuacin, presione ENTRAR.
Seleccionando La ltima configuracin buena conocida, puede recuperarse de problemas tales como un controlador
recin agregado que resulte incorrecto para su hardware. Esta caracterstica no soluciona los problemas generados por
controladores o archivos que faltan o estn daados.
Cuando selecciona ltima configuracin buena conocida, slo se restaura la informacin de la clave:
HKLM\System\CurrentControlSet del Registro. Cualquier otro cambio realizado en las dems claves del Registro se
mantiene.
Si puede iniciar el equipo utilizando La ltima configuracin buena conocida, el ltimo cambio que realiz en el equipo
(por ejemplo, la instalacin de un controlador) puede ser la causa del comportamiento de inicio incorrecto. Se
recomienda quitar o actualizar el controlador o el programa y, a continuacin, probar si Windows se inicia
correctamente.
Este problema puede producirse si el Sistema bsico de entrada y salida (BIOS) del equipo est obsoleto o si uno o ms
de los siguientes archivos de inicio de Windows estn daados o no se encuentran:
NTLDR
Ntdetect.com
Boot.ini
Para resolver este problema, compruebe que el BIOS del equipo est actualizado y, a continuacin, utilice uno o varios
de los mtodos siguientes, dependiendo de su situacin para reparar el entorno de inicio de Windows Server 2008.
Para utilizar un disco de inicio para reparar el entorno de inicio de Windows, siga estos pasos:
Para utilizar la consola de recuperacin para reparar el Windows entorno de inicio, siga estos pasos:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2008, Standard"
10. Si el archivo boot.ini no existe o est daado, vuelva a crearlo con un editor de textos.
EJERCICIO
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Actualmente las empresas dependen de los datos y del funcionamiento de los sistemas informticos. Por una parte, los
datos perdidos no siempre son fciles de reconstruir, y por otra parte, una falta de funcionamiento prolongada del
sistema de informacin puede constituir un perjuicio importante en el funcionamiento de la empresa.
Es necesario contar con procedimientos de copia de seguridad y restauracin. Es lo que llamamos un plan de
recuperacin de urgencia. Los procedimientos de copia de respaldo deben organizarse y efectuarse de manera
sistemtica, de igual forma la eleccin del procedimiento de restauracin depende de la magnitud del dao. Las copias
de seguridad deben auditarse para verificar que se han realizado efectivamente y que slo las copias previstas se
efectan por razones de confidencialidad de los datos.
Entonces, es importante contar con copias de seguridad dignas de confianza, comprobadas regularmente. Es necesario
tener varios juegos de copias de seguridad, y al menos uno de los juegos ubicado fuera del sitio de trabajo para los casos
de siniestros importantes, como un incendio. Al mismo tiempo, este juego de copias debe estar fuera del alcance de
personas no autorizadas.
En cuanto a los procedimientos de restauracin, es importante que el plan de recuperacin de urgencia los defina y
permita as elegir el procedimiento adaptado en funcin del siniestro. Desde luego, todos los procedimientos deben
haber sido probados. En todos los casos, hay que estar seguro de la disponibilidad de los juegos de copias de seguridad.
Es importante adems, separar los derechos de copia de seguridad y los derechos de restauracin.
PROCEDIMIENTO
2. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuacin, haga
4. En la ficha Bienvenido, haga clic en Asistente para copia de seguridad (avanzado) para iniciar el Asistente para copia
5. Haga clic en Hacer copia de seguridad de archivos, unidades o datos de red seleccionados y haga clic en
Siguiente.
6. Expanda Mi PC, active las casillas de verificacin situadas junto a la unidad, carpeta o archivo del que desea realizar la
7. Especifique el tipo de copia de seguridad, el destino y el nombre en los cuadros adecuados y, a continuacin, haga clic
NOTA: si no hay ninguna unidad de cinta conectada al equipo, Archivo es el nico tipo de medio de copia de
8. En la pgina "Finalizacin del Asistente para copia de seguridad o restauracin", haga clic en Opciones avanzadas para
9. Especifique el tipo de copia de seguridad que desea utilizar y haga clic en Siguiente.
10. Si desea comprobar los datos de los que se ha creado la copia de seguridad una vez finalizada la operacin, active la
casilla de verificacin Comprobar datos despus de la copia de seguridad. Haga clic en cualquier otra opcin que
desee en la pgina "Cmo hacer la copia de seguridad" y, a continuacin, haga clic en Siguiente.
11. Haga clic en Reemplazar las copias de seguridad existentes y, despus, en Siguiente.
12. Haga clic en Ms adelante. Escriba un nombre para el trabajo de copia de seguridad programada en el cuadro
Aparece el cuadro de dilogo Programar trabajo, de modo que puede configurar cundo y con qu frecuencia desea
que se realice la copia de seguridad. Por ejemplo, puede programar que la copia de seguridad se realice todos los
viernes a las 22:00. Tambin puede configurar varias programaciones para una tarea si activa la casilla de verificacin
13. Haga clic en la ficha Programacin. En el cuadro Programar tarea, haga clic en Diariamente, especifique una hora en
14. En el cuadro de dilogo Establecer informacin de cuenta, compruebe que Nombre_Equipo\Administrador aparece
en el cuadro Ejecutar como, escriba la contrasea en los cuadros Contrasea y Confirmar contrasea y, a
NOTA: si el servicio Programador de tareas no est configurado para iniciarse automticamente, primero se le
preguntar si desea iniciarlo. Cuando se le pregunte, haga clic en S; aparecer el cuadro de dilogo Establecer
informacin de cuenta.
Puesto que el servicio Programador de tareas ejecuta programas automticamente en el contexto de seguridad de un
usuario vlido del equipo o el dominio, se le pedir el nombre y la contrasea con los que se ejecutar el trabajo de
copia de seguridad programado. Para trabajos de copia de seguridad programada, debe proporcionar una cuenta de
usuario con los permisos adecuados para obtener acceso a todas las carpetas y archivos de los que desea realizar la
copia de seguridad. Las instrucciones de este artculo utilizan la cuenta Administrador para ejecutar el trabajo de copia
de seguridad programado.
16. Se muestran las opciones que seleccion en la pgina "Finalizacin del Asistente para copia de seguridad". Asegrese
El trabajo de copia de seguridad que program se muestra en el calendario en la ficha Programar trabajos. El trabajo
EJERCICIO
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Windows Server Update Services permite descargar actualizaciones de seguridad para los sistemas operativos Microsoft.
Mediante Windows Server Update Services (WSUS), los administradores pueden manejar centralmente la distribucin
de parches a travs de Actualizaciones automticas a todos los computadores de la red corporativa. Una de las
principales ventajas con el uso de esta herramienta es que ahorra ancho de banda, tiempo y espacio de almacenamiento
debido a que las computadoras no necesitan conectarse individualmente a los servidores externos a la corporacin, sino
que se conectan a los servidores locales.
Cuando los clientes de red internos envan una solicitud para Internet, el controlador del protocolo NAT la intercepta y
la reenva al servidor Internet de destino. Todas las solicitudes parecen venir de la direccin IP externa del servidor NAT.
Este proceso oculta el esquema de direcciones IP internas.
5. Haga clic con el botn secundario del mouse en Servidor de seguridad bsico NAT en el panel izquierdo y, a
continuacin, haga clic en Interfaz nueva.
6. Haga clic en la interfaz que representa la interfaz de red interna y haga clic en Aceptar.
7. En Propiedades de Traduccin de direcciones de red, haga clic en Interfaz privada conectada a red privada y, a
continuacin, haga clic en Aceptar.
8. Haga clic con el botn secundario del mouse en Servidor de seguridad bsico NAT en el panel izquierdo y, a
continuacin, haga clic en Interfaz nueva.
9. Haga clic en la interfaz que representa la interfaz de red externa y haga clic en Aceptar.
10. En Propiedades de Traduccin de direcciones de red, haga clic en Interfaz pblica conectada a Internet.
11. Active la casilla de verificacin Habilitar NAT en esta interfaz y, despus, haga clic en Aceptar.
El servidor NAT puede asignar automticamente direcciones IP a los clientes de red internos. Puede utilizar esta funcin
si no tiene un servidor DHCP que ya est asignando informacin de direcciones a los clientes de la red interna.
Cmo configurar un servidor NAT de Enrutamiento y acceso remoto para asignar direcciones IP y realizar consultas
DNS de Proxy
El servidor NAT tambin pude realizar consultas del Sistema de nombres de dominio (DNS) en nombre de los clientes
NAT. El servidor NAT de Enrutamiento y acceso remoto resuelve el nombre de host de Internet que se incluye en la
solicitud del cliente y, a continuacin, le reenva la direccin IP.
Para configurar el servidor NAT de Enrutamiento y acceso remoto para asignar direcciones IP y realizar consultas DNS de
Proxy en nombre de los clientes de red internos, siga estos pasos:
1. Haga clic con el botn secundario del mouse en Servidor de seguridad bsico NAT en el panel izquierdo y, a
continuacin, haga clic en Propiedades.
2. Haga clic en la ficha Asignacin de direccin y, despus, active la casilla de verificacin Asignar direcciones IP
automticamente utilizando el asignador DHCP.
3. En el cuadro Direccin IP, escriba un identificador de red.
4. En el cuadro Mscara, escriba una mscara de subred.
5. Haga clic en la ficha Resolucin de nombres y, a continuacin, active la casilla de verificacin Clientes que usan
el Sistema de nombres de dominio (DNS).
6. Si emplea una interfaz de marcado a peticin para conectarse a Internet, active la casilla de verificacin
Conectarse a la red pblica cuando sea necesario resolver un nombre.
7. En el cuadro Interfaz de marcado a peticin, haga clic en la interfaz con la que se va a marcar.
8. Haga clic en Aplicar y, despus, haga clic en Aceptar.
Luego de estos pasos bsicos de configuracin, los clientes de red internos pueden tener acceso a los servidores de
Internet.
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la
consola. Si el icono tiene un crculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y
acceso remoto no est activado. Si el icono tiene una flecha de color verde que seala hacia arriba en la esquina
inferior izquierda, el servicio Enrutamiento y acceso remoto est activado. Si el servicio Enrutamiento y acceso
remoto se activ previamente, quizs desee volver a configurar el servidor. Para reconfigurar el servidor:
a. Haga clic con el botn secundario del mouse (ratn) en el objeto servidor y, despus, haga clic en
Deshabilitar el enrutamiento y el acceso remoto. Haga clic en S para continuar cuando aparezca un
mensaje informativo.
b. Haga clic con el botn secundario del mouse en el icono del servidor y, despus, haga clic en Configurar
y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalacin del servidor de
enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
c. Haga clic en Acceso remoto (acceso telefnico o red privada virtual) para activar los equipos remotos
de forma que puedan marcar o conectarse a esta red a travs de Internet. Haga clic en Siguiente para
continuar.
3. Active VPN o Acceso telefnico, dependiendo de la funcin que vaya a asignar a este servidor.
4. En la ventana Conexin VPN, haga clic en la interfaz de red conectada a Internet y, despus, haga clic en
Siguiente.
5. En la ventana Asignacin de direcciones IP, haga clic en Automticamente si se va a utilizar un servidor DHCP
para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los
clientes remotos slo deben recibir direcciones de un conjunto predefinido. En la mayora de los casos, la opcin
DHCP es ms fcil de administrar. Sin embargo, si DHCP no est disponible, debe especificar un intervalo de
direcciones estticas. Haga clic en Siguiente para continuar.
6. Si hizo clic en De un intervalo de direcciones especificado, se abrir el cuadro de dilogo Asignacin de
intervalo de direcciones. Haga clic en Nuevo. Escriba la primera direccin IP del intervalo de direcciones que
desee utilizar en el cuadro Direccin IP inicial. Escriba la ltima direccin IP del intervalo en el cuadro Direccin
IP final. Windows calcula automticamente el nmero de direcciones. Haga clic en Aceptar para volver a la
ventana Asignacin de intervalo de direcciones. Haga clic en Siguiente para continuar.
7. Acepte la opcin predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de
conexin y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y
acceso remoto, y para configurar el servidor como servidor de acceso remoto.
Para que el servidor de acceso remoto reenve el trfico correctamente dentro de la red, debe configurarlo como un
enrutador con rutas estticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones
de la intranet desde l.
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2. Haga clic con el botn secundario del mouse en el nombre del servidor y, a continuacin, haga clic en
Propiedades.
3. Haga clic en la ficha General y, a continuacin, active Enrutador bajo Habilitar este equipo como.
4. Haga clic en Enrutamiento LAN y de marcado a peticin y, despus, haga clic en Aceptar para cerrar el cuadro
de dilogo Propiedades.
El nmero de conexiones de mdem de acceso telefnico depende del nmero de mdems que se instalan en el servidor.
Por ejemplo, si slo hay un mdem instalado en el servidor, slo se dispone de una conexin por mdem cada vez.
El nmero de conexiones VPN de acceso telefnico depende del nmero de usuarios simultneos que desee permitir.
De manera predeterminada, al ejecutar el procedimiento se permiten 128 conexiones. Para cambiar el nmero de
conexiones simultneas, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2. Haga doble clic en el objeto de servidor, haga clic con el botn secundario del mouse en Puertos y, despus,
haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, despus, haga clic en
Configurar.
4. En el cuadro Nmero mximo de puertos, escriba el nmero de conexiones VPN que desea permitir.
5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.
Configure las propiedades de acceso telefnico en las cuentas de usuario y en las directivas de acceso remoto para
administrar el acceso a las conexiones de acceso telefnico y a las conexiones VPN.
Para conceder acceso telefnico a una cuenta de usuario si est administrando el acceso remoto de cada uno de los
usuarios, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active
Directory.
2. Haga clic con el botn secundario del mouse en la cuenta del usuario y, a continuacin, haga clic en
Propiedades.
3. Haga clic en la ficha Marcado.
4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.
1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
3. En el rbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic en
Directivas de acceso remoto.
4. Haga clic con el botn secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y
haga clic en Directiva de acceso remoto.
5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
6. Haga clic en VPN para el mtodo de acceso a una red privada virtual o en Marcado para el acceso telefnico y,
despus, haga clic en Siguiente.
7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente.
8. Siga las instrucciones que aparecern en la pantalla para finalizar el asistente.
EJERCICIO
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Router inalmbrico
Tarjetas de red inalmbrica
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Las tecnologas de interconexin inalmbrica van desde redes de voz y datos globales, que permiten a los usuarios
establecer conexiones inalmbricas a travs de largas distancias, hasta las tecnologas de luz infrarroja y radiofrecuencia
que estn optimizadas para conexiones inalmbricas a distancias cortas. Entre los dispositivos comnmente utilizados
para la interconexin inalmbrica se encuentran los equipos porttiles, equipos de escritorio, asistentes digitales
personales (PDA), telfonos celulares, equipos con lpiz y localizadores. Las tecnologas inalmbricas tienen muchos usos
prcticos. Por ejemplo, los usuarios de mviles pueden usar su telfono celular para tener acceso al correo electrnico.
Las personas que viajan con equipos porttiles pueden conectarse a Internet a travs de estaciones base instaladas en
aeropuertos, estaciones de ferrocarril y otros lugares pblicos. En casa, los usuarios pueden conectar dispositivos a su
equipo de escritorio para sincronizar datos y transferir archivos.
El servicio Configuracin inalmbrica de Windows XP y la familia Windows Server 2008 admite el estndar IEEE 802.11
para redes inalmbricas y reduce la configuracin necesaria para el acceso a estas redes. Este servicio est habilitado de
forma predeterminada y permite desplazarse a distintas redes inalmbricas sin tener que volver a configurar la conexin
de red del equipo en cada ubicacin. A medida que se desplaza de una ubicacin a otra, el servicio Configuracin
inalmbrica busca y enva notificaciones cuando encuentra redes inalmbricas disponibles. Cuando se conecte a una
nueva red inalmbrica, slo tendr que establecer la configuracin especfica de esa red. El servicio Configuracin
inalmbrica actualiza su adaptador de red inalmbrica para ajustarse a esa configuracin e intenta conectar con la red
inalmbrica.
El servicio Configuracin inalmbrica permite utilizar Windows para establecer la configuracin de redes inalmbricas.
Si utiliza Windows para establecer la configuracin de redes inalmbricas, puede crear una lista de redes inalmbricas
preferidas y especificar el orden en el que desea intentar las conexiones a estas redes.
Adems de las notificaciones de redes inalmbricas que suministra el servicio Configuracin inalmbrica, en Windows
XP con Service Pack 2 y Windows Server 2008 con Service Pack 1, los equipos con adaptadores de redes inalmbricas
disponen de una interfaz mejorada denominada Conexin de red inalmbrica.
La interfaz Conexin de red inalmbrica se ha diseado teniendo en cuenta diversas ventajas para el usuario. La interfaz
facilita ver la informacin relativa a las redes inalmbricas 802.11, incluyendo el tipo de red (infraestructura o ad hoc),
la intensidad de la seal inalmbrica, el estado (conectado o desconectado) y si se ha habilitado la seguridad de las redes.
La interfaz Conexin de red inalmbrica tambin facilita configurar y controlar las conexiones a las redes inalmbricas
802.11. El acceso directo a las propiedades inalmbricas 802.11, donde se establece la configuracin general y avanzada
de las redes inalmbricas 802.11, puede realizarse a travs de los siguientes vnculos de la interfaz: Tareas relacionadas,
Cambiar el orden de las redes preferidas y Cambiar configuracin avanzada.
Para controlar las conexiones a las redes inalmbricas, en Elegir una red inalmbrica, haga clic en Conectar o
Desconectar. Para actualizar la lista de redes inalmbricas disponibles, use Tareas de red.
Como ejemplo, cuando intenta conectar con una red inalmbrica, en Elegir una red inalmbrica es posible que el estado
muestre Conectividad limitada o nula. Haga clic en el vnculo Conectividad limitada o nula para obtener ms
informacin, incluyendo posibles soluciones para corregir el problema de conexin.
Al configurar conexiones de red inalmbrica existentes o nuevas, o conectarse a una red inalmbrica disponible, puede
elegir entre los siguientes tipos de redes inalmbricas:
Punto de acceso (infraestructura): En las redes inalmbricas de punto de acceso, los clientes inalmbricos
(dispositivos con adaptadores de red inalmbricos, como el equipo porttil o el asistente digital personal) se
conectan a puntos de acceso inalmbrico. Estos puntos de acceso funcionan como puentes entre los clientes
inalmbricos y la red troncal existente. Cuando cambia de una ubicacin a otra y la seal para un punto de
acceso inalmbrico se debilita, o el punto de acceso est saturado de trfico, puede conectarse a un nuevo
punto de acceso.
De equipo a equipo (ad hoc): En las redes inalmbricas de equipo a equipo, los clientes inalmbricos se
conectan directamente entre s, no mediante puntos de acceso inalmbrico.
Cualquier red disponible (preferida de punto de acceso): En las redes inalmbricas preferidas de punto de
acceso siempre se intenta establecer primero una conexin con una red inalmbrica de punto de acceso, si hay
alguna disponible. Si no hay disponible ninguna red de punto de acceso, se intenta establecer una conexin con
una red inalmbrica de equipo a equipo.
802.1X es un estndar IEEE para un acceso de red autenticado a redes Ethernet por cable y redes 802.11 inalmbricas.
IEEE 802.1X mejora la seguridad y la implementacin al proporcionar la compatibilidad con la identificacin de usuarios,
la autenticacin, la administracin de claves dinmicas y la creacin de cuentas de manera centralizada. Para una mayor
seguridad, en Windows XP Service Pack 1 y en la familia Windows Server 2008, la autenticacin 802.1X slo se encuentra
disponible para las redes de punto de acceso (infraestructura) que requieren el uso de una clave de red (WEP). Privacidad
equivalente por cable (WEP, Wired Equivalent Privacy) proporciona la confidencialidad de los datos al cifrar los datos
que se envan entre clientes inalmbricos y puntos de acceso inalmbrico.
Cuando Privacidad Equivalente por Cable (WEP) est habilitada, se puede utilizar una clave de red para cifrar los datos
enviados a travs de redes inalmbricas. Se puede proporcionar la clave de red automticamente (por ejemplo, si utiliza
802.1X para la distribucin de claves dinmicas) o puede especificar la clave escribindola. Si especifica la clave, tambin
puede especificar el ndice de la clave (la ubicacin donde se almacena una clave concreta).
Es posible configurar un cliente inalmbrico con hasta cuatro claves (los valores de ndice de clave son 0, 1, 2 y 3). Cuando
un punto de acceso inalmbrico o un cliente inalmbrico transmite un mensaje cifrado mediante una clave almacenada
en un ndice de clave especfico, el mensaje transmitido indica el ndice de clave utilizado para cifrar el cuerpo del
mensaje. El punto de acceso inalmbrico o el cliente inalmbrico receptor puede recuperar entonces la clave almacenada
en el ndice de clave y utilizarla para descodificar el cuerpo cifrado del mensaje.
La compatibilidad que ofrece 802.1X con los tipos de Protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) permite elegir entre varios mtodos de autenticacin para las conexiones de red inalmbrica.
802.1X es un estndar IEEE para un acceso de red autenticado a redes Ethernet por cable y redes 802.11 inalmbricas.
IEEE 802.1X mejora la seguridad y la implementacin al proporcionar la compatibilidad con la identificacin de usuarios,
la autenticacin, la administracin de claves dinmicas y la creacin de cuentas de manera centralizada.
La compatibilidad que ofrece 802.1X con los tipos de Protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) permite elegir entre distintos mtodos de autenticacin para clientes y servidores inalmbricos.
EAP
802.1X utiliza EAP para el intercambio de mensajes durante el proceso de autenticacin. Con EAP se utilizan mtodos de
autenticacin arbitrarios, como certificados, tarjetas inteligentes o credenciales. EAP permite que se establezcan
conversaciones abiertas entre clientes EAP (como un equipo inalmbrico) y servidores EAP (como un servidor de Servicio
de Autenticacin de Internet (IAS, Internet Authentication Service)). Esta conversacin se compone de las solicitudes de
informacin de autenticacin realizadas por el servidor y las respuestas del cliente. Para que se produzca la
autenticacin, el cliente y el servidor deben utilizar el mismo mtodo de autenticacin.
EAP-TLS
El tipo de EAP Seguridad de nivel de transporte (TLS, Transport Layer Security) se utiliza en entornos de seguridad
basados en certificados y ofrece el mtodo de autenticacin y determinacin de claves ms seguro. EAP-TLS permite la
autenticacin mutua, la negociacin del mtodo de cifrado y la determinacin de claves cifradas entre el cliente y el
servidor que autentica. Si desea utilizar certificados o tarjetas inteligentes para la autenticacin de usuarios y equipos
cliente, debe utilizar EAP-TLS o, para una mayor seguridad, EAP protegido (PEAP) con EAP-TLS.
EAP-MS-CHAP v2
EAP con la versin 2 del Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge
Handshake Authentication Protocol) es un mtodo de autenticacin mutuo que permite la autenticacin de usuarios y
equipos basada en contraseas. Durante el proceso de autenticacin con EAP-MS-CHAP v2, tanto el servidor como el
cliente deben demostrar que conocen la contrasea del usuario para que la autenticacin sea correcta. Con EAP-MS-
CHAP v2, tras una autenticacin correcta, los usuarios pueden cambiar sus contraseas y se les notifica cundo caducan.
PROCEDIMIENTO
SERVIDOR DE
AUTENTICACION
RADIUS
CLIENTE
INALAMBRICO
PUNTO DE
ACCESO
RED INTERNA
1. Iniciar el Servicio de autenticacin de Internet desde las herramientas administrativas del servidor
Windows Server 2008.
2. Elegir la opcin de Cliente Radius, haciendo clic derecho y seleccionando Nuevo Cliente Radius.
3. En esta nueva ventana escribimos el nombre del dispositivo inalmbrico y su direccin IP. Opcionalmente
podemos comprobar la conexin del dispositivo.
4. En la siguiente ventana escogemos el cliente proveedor Radius Standard y escribimos el secreto
compartido.
5. Una vez creado el cliente, podemos dar clic derecho en el objeto y seleccionamos Propiedades para abrir
la ventana y modificar las opciones de configuracin del cliente Radius, si fuera necesario.
6. Posteriormente, en la ventana principal del Servicio de autenticacin de Internet podemos crear una
Directiva de acceso remoto para conectarnos al dispositivo inalmbrico.
7. Luego de crear la directiva de acceso remoto vamos a configurar las propiedades avanzadas, agregando en
el perfil la autenticacin mediante MS-CHAPv2.
8. Una vez elegido el protocolo de autenticacin, debemos agregar dos servicios: Service-Type y Termination-
action.
9. Finalmente configuraremos las opciones en el dispositivo inalmbrico para que pueda reconocer el servidor
RADIUS.
EJERCICIO