SEDE GUALACEO

SISTEMAS Cliente / Servidor UNIDAD # 3 MIDDLEWARE BASICO PILAS Y SISTEMAS OPERATIVOS DE RED

ING. ALBERTO VALENCIA PIEDRA cuarto NIVEL SECCION NOCTURNA MAyo Julio 2011 segundo semestre
Cliente / Servidor 1 de 11 Ing. Alberto Valencia Piedra 2011

segundo TRIMESTRE

ndice de contenido
INTRODUCCION................................................................................................................................3 OBJETIVOS.........................................................................................................................................3 Middleware Bsico...............................................................................................................................4 Transparecia..........................................................................................................................................4 Servicios de directorios globales..........................................................................................................5 Servicios de seguridad distribuidos......................................................................................................6 Integridad..............................................................................................................................................7 El no rechazo........................................................................................................................................7 Llaves...................................................................................................................................................8 RPC mensaje e igual a igual.................................................................................................................8 Llamadas a procedimientos remotos (RPC).........................................................................................9 Mensajes y colas: el Middleware MOM..............................................................................................9 Comparacin entre MOM y RPC.......................................................................................................10 Descripcin de actividades en clase...................................................................................................11 Descripcin de actividades extra-clase...............................................................................................11 Cuestionario........................................................................................................................................11

Cliente / Servidor 2 de 11

Ing. Alberto Valencia Piedra 2011

INTRODUCCION
Una vez que conocemos los participantes en la tecnologa cliente/servidor, y sabemos que es lo que cada uno de ellos tiene o con que participa en la comunicacin, debemos tratar el tema de lo que se necesita para que esta comunicacin pueda establecerse, es as que hablaremos del middleware, todo aquello que se encuentra en medio de los dos elementos que son clientes y servidores, y va a servir de pegamento entre los dos.

OBJETIVOS GENERAL
Conocer el middleware como elemento constitutivo en la tecnologa cliente/servidor.

ESPECIFICOS
Aprender como mediante el middleware se puede operar los servidores eficientemente. Aprender las formas de seguridad que se puede aplicar con la tecnologa.

Cliente / Servidor 3 de 11

Ing. Alberto Valencia Piedra 2011

Middleware Bsico
El middleware del sistema operativo de red proporciona el pegamento que recrea el sistema nico a partir de elementos dispares. Es una tarea ingrata pero sin ella no podria haber tecnologa cliente/servidor.

Transparecia
Significa engaar a todos para que crean que el sistema cliente/servidor es totalmente homogeneo, es decir la ilusin de un solo sistema, significa ocultar la red y sus servidores a sus usuarios. Transparencia de ubicacion. No es necesario conocer la ubicacin de un recurso ya que no se requiere que el usuario incluya la ruta junto con el nombre de ste. Transparecia de espacio de nombres. Debe ser posible emplear las mismas convenciones de denominacin o nomenclatura para encontrar algun recurso de la red. Transparencia de conexin. Debe ser posible dar una sola contrasea o clave de autenticacin, que funcione en todos los servidores y para todos los servicios de red. Transparencia de replicacin. No debe permitirse conocer cuantas copias hay de un recurso. Transparencia de acceso local o remoto. Debe poderse trabajar con cualquier recurso de red como si estuviese en el computador local, el sistema operativo de red debe manejar los controles de acceso y suministrar servicios de directorios. Transparencia de hora distribuida. No debe ver ninguna diferencia de hora entre los servidores cuyos relojes seran sincronizados por el NOS. Transparencia de fallas. Es indispensable estar protegidos contra las fallas de la red, el NOS debe manejar los Cliente / Servidor 4 de 11 Ing. Alberto Valencia Piedra 2011

nuevos intentos de arranque y las reeconexiones de sesin, as como proporcionar cierto grado de servicio de redunddancia para la tolerancia a fallos. Transparencia de administracin. Lo unico que se necesita es trabajar con una interfaz de administracin de un solo sistema, el NOS debe estar integrado con los servicios de administracin locales.

Servicios de directorios globales

La posibilidad de entrar y salir de una red avoluntad, el agregar o mover recursos a voluntad, este flujo incesante de actividades, debe ser registrados en un sitio que lleve un control sobretodo para que los clientes encuentren el recurso una y otra vez, esta tarea es realizada por el servicio de directorios, llevando un registro de cada cosa y conociendo donde se encuentra cada cosa. Un directrorio distribuido debe proporcionar una sola imagen que pueda usar todas las aplicaciones de la red, incluido el correo electrnico, la administracin del sistema, el inventario de red, los servicios de archivos las llamadas a procedimientos remotos, los objetos distribuidos, las bases de datos, la autenticacin y la seguridad. Un directorio comn se implementa como un conjunto de entradas con nombre junto a sus atributos correspondientes. Por ejemplo un caso, Mi servidor, podria ser una instancia de un tipo o clase de servidor de aplicaciones, pudiendo tener varios atributos que le describiran y podran ser utilizados independiente u organizadamente. Los directorios de los NOS modernos tienen interfaces de programacin de aplicaciones(API), y de usuarios que permiten que los programas o las personas localicen entidades en la red mediante la consulta por nombre o atributos, pudiendo localizar un recurso especfico si se conoce el nombre del recurso, si no, se puede localizar indicando los atributos de ste. Para el uso de estos directorios en ocaciones existe los programas con directoris habilitados, como el correo electrnico, los navegadores, etc., pero en ocaciones se debe escribir cdigo para crear este tipo de aplicaciones, este trabajo se ve aliviado con la existencia de los API, como por ejemplo: API de directorios especficos y bibliotecas de clase. Proporcionan interfaces acopladas estrechamente con un producto; por ejemplo, Novell y Banyan ofrecen API para sus directorios especficos. API de LDAP y X.500. Interfaces basadas en normas definidas por el grupo de trabajo de ingenieria de Internet(IETF), X/OPEN y el CCITT. Clases de java. La interfaz de directorios y nombres de Java(JNDI, Java Naming and Directory Interface), definida por JavaSoft, suministra una serie de clases genricas de Java que permiten interactuar con una gama de servicios de directorio, como LDAP, NDS, nombres de CORBA y NIS. Intefaces de objetos distribuidos. Interfaces basadas en ORB, que posibilitan la comunicacin con servidores de directorio mediante intermediarios de solicitudes de objetos. En general estas interfaces permiten elegir un lenguaje, un servicio de Cliente / Servidor 5 de 11 Ing. Alberto Valencia Piedra 2011

directorio y una plataforma. Servicios y guiones de metadirectorios. Los metadirectorios son productos aglutinantes de varias empresas que sincronizan la informacin de los directorios existentes a travs de guiones, los cuales son ms faciles de emplear que los lenguajes de programacin comnes

Servicios de seguridad distribuidos

En la tecnologa cliente/servidor uno de los retos es la seguridad, ya que no existe la confinaza total con las pataformas utilizadas, y mas an si confiara en los servidores y clientes, queda abierta la posibilidad de la red como punto vulnerable. Los dispositivos sabueso o sniffers, pueden registrar el transito de la red, para luego introducir falsificaciones o incluso caballos de troya en el sistema, lo que hace necesario que los servidores busquen nuevas formas de proteccin, pero sin afectar el trabajo de los usuarios. Nivel de seguridad C2. C2 es una norma de seguridad creada por el gobierno de EEUU, el cual exige que antes de entrar a cualquier recurso del SO, usuarios y aplicaciones sean autenticados. Para obtener una certificacin C2 en una red, todos los clientes deben proporcionar un identificador de usuario autenticado, todos los recursos deben estar protegidos por listas de control de acceso, deben suministrarse hojas de auditoria, y no deben trasladarse los derechos de acceso a otros usuarios que utilicen los mismos elementos. Autenticacin. En sistemas de tiempo compartido, el sistema operativo efectua la autenticacin mediante contraseas, pero esta forma puede resultar facilmente vulnerable ya que los hacker o sniffers, entonces no solo es necesario crear cuentas y contraseas sino que ademas se debera encriptar la informacin. Kerberos es un participante autorizado que permite que dos procesos prueben reciprocamente que son quienes afirman ser, estableciendo una relacin de confianza. Las dos partes obtienen por separado las palabras correctas, denominadas llaves secretas, de kerberos, tales llaves se utilizaran para establecer sesiones de comunicacin autenticadas entre dos elementos. El problema esta en que el Kerberos no actua correctamente en espacios muy grandes como es el caso del Internet, en el que actualmente la mejor solucion es el uso de certificados digitales en una estructura de llaves pblicas y privadas. Una de las mejores seguridades puede darse si usamos una combinacin de lo indicado anteriormente es decir una contrasea y un certificado. El servidor de autenticacin puede usar entonces la contrasea para descifrar (desencriptar) el certificado, esta doble proteccin se denomina autenticacin de dos factores. Autorizacin. Una vez autenticado el cliente las apliaciones servidoras son responsables de revizar que operaciones tiene permitido realizar el cliente o los clientes sobre la informacin a la cual se quiere Cliente / Servidor 6 de 11 Ing. Alberto Valencia Piedra 2011

entrar. Los servidores usan listas de control de acceso (ACL), con el objeto de manejar el acceso de los usuarios. Se pueden crear listas en las cuales se puede tener a cada usuario y los recursos a los que puede ingresar e inclusive las tareas permitidas para l. Hojas de auditora. Los servicios de auditoria permiten a los administradores de sistema revisar las actividades de los usuarios, incluido los intentos de conexion y que servidores y archivos utilizaron. Tales servicios son utilizados por los administradores para detectar intrusos internos, deben tener la capacidad de monitorear las terminales de manera que se pueda detectar anomalias en el uso de claves, accesos no permitidos, ingresos a archivos restringidos entre otras situaciones que pueden afectar el trabajo de la red.

Integridad
Los sistemas operativos de red actuales brindan dos mecanismos para enfrentar la corrupcin y la confidencialidad cuando la informacin esta en trnsito. Encriptacin. Permite a dos elementos mantener comunicaciones seguras, cada uno debe obtener una copia de una llave de sesin de un tercer elemento confiable (servidor Kerberos), esa llave puede usarse para cifrar y descifrar los mensajes. Otro mecanismo puede ser aplicar una tcnica de encriptacin de llaves pblica y privada, la ventaja del usar este esquema es que puede ser utilziado para firmas digitales y no rechazo. Sumas de comprobaciones criptogrficas. El emisor calcula una suma de comprobacin (o resumen del mensaje) con sus datos mediante una llave de sesin para encriptarlo, y agrega el resultado del mensaje. El destinatario vuelve a calcular esa suma, descifra o desencripta la que recibio en el mensaje mediante la llave de sesin y luego las compara, si no son iguales el mensaje es sospechoso, sin la llave de sesin los intrusos no pueden abrir el mensaje alterar la informacin y actualizar la suma.

El no rechazo
El sistema operativo de red debe de ser capaz de demostrar que un mensaje fue enviado por un usuario, as como tambien debera demostrar que el mensaje fue entregado al usuario que estuvo destinado el mensaje. El modelo de no rechazo de la organizacin de normas internacional define los servicios de no rechazo siguientes: Pruebas de la creacin del mensaje. Demuestran que el emisor creo el mensaje, el cual debe elaborar un certificado de origen mediante el servicio de no rechazo y luego enviarlo junto con el mensaje a travs de la autoridad de entrega de dicho servicio, estas pruebas son almacenadas para futuras comprobaciones. Pruebas de la recepcin del mensaje. Demuestran que el mensaje fue entregado, el Ing. Alberto Valencia Piedra 2011 7 de 11

Cliente / Servidor

reeptor debe crear y enviar un certificado de recepcin mediante el servicio de la autoridad de entrega de no rechazo, el emisor recibe esta evidencia y lo guarda para comprobaciones posteriores. Registro de hora. Lo genera el servicio de no rechazo como parte de las pruebas, se registra la fecha y la hora en que ocurrio el evento(envio y recpcin). Pruebas de lugar de almacenamiento a largo plazo. Se utiliza para guardar los certificados de origen y de recepcin, en caso de desacuerdo se puede verificar la infor macin aqui almacenada. El adjudicado. Se usa para entablar querellas con base en las pruebas guardadas.

Llaves
Los dos mtodos predominantes para hacer encriptacin electrnica se basan en llaves de cifrado compartidas y llaves de cifrado pblicas, se conocen tambin como llaves simtricas y llaves asimtricas o tambin, llaves secretas y llaves pblicas. Llaves privadas compartidas. Usa una llave para encriptar o desencriptar la informacin, cada pareja de usuarios que tienen que intercambiar mensajes debe acordar una llave privada y usarla como clave para cifrar y descifrar sus comunicados, esto funciona mientras las dos partes mantienen en secreto la clave. La norma de encriptacin de datos(DES). Se basa en un enfoque de llaves pblicas, encriptadas digitalmente, pudiendo ser en 128 o tal vez 56 bits (cantidad de bits utilizados para combinaciones diferentes), dependiendo de la cantidad de bits utilizados se podria generar millones de posibles claves que tomarian mucho tiempo descifrar si no se la conoce. Hay que indicar que Kerberos utiliza una clave de encriptacin basada en DES, en lo concerniente a las llaves utiliza un mtodo de llaves privadas cada sesin, aunque en algunos casos utiliza tambin llaves pblicas. Llaves pblicas. En este enfoque se utilizan dos llaves, una pblica y otra privada, la primera puede incluirse en el directorio o en un lugar donde todos puedan verla, cualquiera puede utilizar las llaves de este tipo para encriptar la informacin, luego el que lo recibe lo desencripta utilizando la llave privada. Existen diversas maneras de utilizar esta combinacin de llaves pblicas y privadas, este metodo funciona bien siempre que se mantenga en secreto la llave privada.

RPC mensaje e igual a igual

El objetivo de los sistemas operativos de red es hacer que el computo distribuido sea transparente, lo que significa ocultar todos los procesos internos y todo lo que el cliente no debe ver como los protocolos de comunicacin, las redes, etc.

Cliente / Servidor 8 de 11

Ing. Alberto Valencia Piedra 2011

Todos los NOS ofrecen interfaces igual a igual que permiten que las aplicaciones se comuniquen utilizandosealizacin de emisin/recepcin en el nivel de la capa fsica de red. La mayoria de los NOS brindan cierto tipo de middleware de llamadas a procedimientos remotos(RPC), que oculta el cable y hace que todo servidor en la red parezca una funcin que llama de un lugar lejano. Comunicaciones igual a igual. Todas las primeras aplicaciones cliente/servidor se implementaron utilizando protocolos igual a igual, conversacionales y de bajo nivel, no existian muchas posibilidades, hoy en da utilizadn RPC, MOM y ORB que proprocionan niveles de abstraccin superiores. El concepto igual a igual significa que dos lados de una relacin comunicativa usan el mismo protocolo de interfaz con objeto de mantener una conversacin por la red, el protocolo es simtrico y en ocaciones se le dice programa a programa. Los protocolos igual a igual empiezan como API de pilas especficas, no obstante casi todas las API soportan varias pilas.

Llamadas a procedimientos remotos (RPC).

Un proceso cliente invoca a una funcin que se encuentra en un servidor remoto y permanece en espera (estado latente), hasta que obtiene una respuesta o resultado. Estas llamadas son sncronas, cada vez que genera una llamada se queda en espera hasta obtener resultados. Estos procedimietos facilitan el trabajo a los programadores pero crea mayores retos para los NOS, ya que deben proporcionar mejores herramientas de desarrollo y entornos en tiempo de ejecucin, algunos de los retos son: Como organizar y como arrancar las funciones del servidor. Como se definen y como se pasan los aprametros entre el cliente y el servidor. Como se manejan las fallas. De que forma maneja la seguridad la RPC. De que modo encuentre el cliente a su servidor. Como se maneja la representacin de la informacin a travs de los sistemas.

Mensajes y colas: el Middleware MOM

Middleware orientado a mensajes (MOM), el MOM es un elemento clave del middleware, es absolutamente esencial para los buenos productos cliente / servidor, MOM brinda la mejor forma de crear sistemas cliente / servidor interempresariales, asimismo ayuda en la creacin de sistemas pero nmadas. MOM permite intercambiar mensajes comunes mediante las colas de mensajes, tambin oculta a las aplicaciones los intercambios generales , proporciona una API de alto nivel muy sencilla Cliente / Servidor 9 de 11 Ing. Alberto Valencia Piedra 2011

a sus servicios. Los mensajes y las colas de MOM permiten que clientes y servidores se comuniquen a travs de una red sin los enlaces de una conexin lgica, dedicada y privada, los dos pueden ejecutarse en momentos distintos. La mayor parte de los productos de mensajes proporciona un grado minimo de tolerancia a fallas, el cual se expresa en cola persistentes. Algunos productos ofrecen cierto tipo de proteccin a la integridad de las transacciones, lo que permite que las colas participen en un protocolo de sincronizacin de compromiso de dos faces. Algunos de ellos tambin pueden volver a enviar los mensajes a colas alternas en caso de que la red tenga alguna falla.

Comparacin entre MOM y RPC

Es como contrastar una operacin telefnica con otra que intercambia cartas y faxes, la interaccin que usa el telfono es inmediata, las dos partes se comunican de manera directa para hacer la operacin, al final de la charla concluye la unidad de trabajo. La operacin por correo le permite jerarquizar el trabajo, establecer su prioridad y llevarlo a cabo cuando usted este listo para ello.

Cliente / Servidor 10 de 11

Ing. Alberto Valencia Piedra 2011

Descripcin de actividades en clase

Atender las explicaciones impartidas en clase Hacer un resumen sobre el funcionamiento interno de un servidor

Descripcin de actividades extra-clase

Investigar sobre diferentes sistemas de seguridad aplicados en la tecnologia cliente/servidor

Cuestionario
1. Que significa la transparencia en los sistemas cliente / servidor 2. Explique la transparencia de ubicacin 3. Explique la transparencia de espacio de nombres 4. Explique la transparencia de conexin 5. Explique la transparencia de replicacin 6. Explique la transparencia de acceso local y remoto 7. Explique la transparencia de horo distribuida 8. Explique la transparencia de fallas 9. Explique la transparencia de administracin 10. Que son los servicios de directorios globales 11. Indique tres API utilizados por los servicios de directorios globales 12. Explique el nivel de seguridad C2 13. Explique la diferencia entre autenticacin y autorizacin 14. Que es el No rechazo 15. Indique tres servicios que permiten comprobar el No rechazo 16. Explique las llaves privadas compartidas 17. Explique las llaves pblicas 18. Explique las comunicaciones igual a igual 19. Que son las llamadas a procedimientos remotos RPC 20. Que es el middlewarw orientado a mensajes MOM 21. Indique la diferencia entre RPC y MOM

Cliente / Servidor 11 de 11

Ing. Alberto Valencia Piedra 2011