Escolar Documentos
Profissional Documentos
Cultura Documentos
Ttulo
Autor/es
Director/es
Facultad
Departamento
Curso Acadmico
2014-2015
Conceptualizacin, diseo e implementacin de infraestructura de red. Caso
de estudio: Centro de Rehabilitacin Laboral de Nueva Vida, trabajo fin de grado
de Alberto Aparicio Colis, dirigido por Jess Mara Aransay Azofra y Eloy Javier Mata Sots
(publicado por la Universidad de La Rioja), se difunde bajo una Licencia
Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported.
Permisos que vayan ms all de lo cubierto por esta licencia pueden solicitarse a los
titulares del copyright.
El autor
Universidad de La Rioja, Servicio de Publicaciones, 2015
publicaciones.unirioja.es
E-mail: publicaciones@unirioja.es
Conceptualizacin,
diseo e implementacin
de infraestructura de red
Caso de estudio:
Centro de Rehabilitacin Laboral Nueva Vida
La red y los sistemas informticos utilizados por los usuarios y el personal del centro estn
obsoletos. Utilizan tecnologas y sistemas operativos antiguos que dificultan el desempeo de
los empleados, as como la formacin y orientacin de los usuarios.
Summary
The network and the computing systems used by users and employees are obsolete. They use
old technologies and operating systems that difficult the work of the staff, as well as the users
training and orientation.
Introduccin ................................................................................................................... 11
Captura de requisitos ..................................................................................................... 12
Enumeracin de requisitos............................................................................................. 13
Definicin del alcance..................................................................................................... 14
Metodologa del TFG ...................................................................................................... 15
Cronograma .................................................................................................................... 15
Diagrama de Gantt ......................................................................................................... 21
Captulo 5: Conclusiones
E72 Memoria.
A mis tutores y profesores por ser parte activa de mi desarrollo profesional, aportar
valor a mi trabajo y contribuir en mi motivacin cada da.
Introduccin
Teniendo en cuenta factores clave como conectividad, seguridad, servicios y rendimiento del
sistema se harn anlisis detallados y se propondrn despus alternativas que mejoren
notablemente estos conceptos en la organizacin.
Partiendo desde una arquitectura incompleta y obsoleta por el paso del tiempo trataremos de
amoldar las nuevas tecnologas de la informacin a este caso concreto.
Un buen estudio que ofrezca mejoras informticas a una empresa puede afectar
positivamente no slo a la productividad de los sistemas, sino tambin a la de los propios
trabajadores.
El Centro de Rehabilitacin Laboral Nueva Vida es el caso real sobre el que se realizar el
estudio. Se trata de un centro de atencin a personas con enfermedad mental de la ciudad de
Madrid, en el cual se desempean dos roles sociales principalmente:
Las vas de captura de requisitos del cliente son: formularios Web y entrevistas presenciales.
Adems se detalla la informacin til recogida para el desarrollo del proyecto.
Nivel de usuario
o Nmero de usuarios de equipos TI (trabajadores y usuarios): 12 trabajadores y
20 usuarios de equipos informticos actualmente.
o Roles en la empresa segn necesidades TI (software y/o permisos especficos):
Direccin, administracin y usuarios del centro.
Nivel de infraestructura
o Nmero de equipos de trabajo (mquinas cliente)
Para personal del centro: 4.
Para usuarios del centro: 24.
Nivel de servicios
o Copias de seguridad de datos: La informacin sensible se encuentra registrada
y cumple con la LOPD (Ley Orgnica de Proteccin de Datos de carcter
personal). Es un fichero con informacin personal sobre usuarios que es
consultado por todo el personal contratado.
o Conexin a la red sin cables (WiFi): Necesaria para conectividad de tabletas y
telfonos mviles corporativos.
Distribucin fsica del centro
o Nmero de salas de formacin y consulta de informacin para usuarios: 2. La
disposicin de los equipos en las salas es de 12 equipos por sala.
o Nmero de despachos individuales del personal del centro: 4. De ellos, 2
corresponden a administracin y 2 a direccin.
Aplicaciones: Se confecciona una lista en la entrevista que detalla las aplicaciones
necesarias en los equipos del personal del centro y de los usuarios. Incluyo la lista
recogida en el estudio de soluciones.
Un entorno de trabajo funcional, personalizado, fiable y seguro que satisfaga las necesidades
tecnolgicas de los empleados y de los usuarios del centro de trabajo.
Despliegue de servicios que faciliten la administracin del sistema completo desde una
estacin de servicio centralizada. En el mbito de la seguridad se disean e implementan
polticas de seguridad para toda la red, adems de instalar software antivirus en cada equipo
de trabajo de forma individual.
Los datos de carcter personal procesados y/o almacenados por los empleados que hacen uso
de la instalacin sern responsabilidad del centro (del responsable o del mismo usuario, segn
corresponda).
El autor de este proyecto no se hace responsable del cumplimiento de la LOPD, pero si pondr
a disposicin del centro la informacin suficiente para actuar con arreglo a la legislacin actual.
Tras analizar otros proyectos de sistemas y obtener informacin sobre metodologas aplicables
a este tipo de proyectos, considero, como opcin ms adecuada, adoptar una metodologa
personalizada.
El proyecto se desarrolla sin ajuste estricto a ninguna metodologa convencional. Aun as, s
estar guiado por una serie de fases convencionales reflejadas en captulos separados. La
metodologa seguida para el desempeo del proyecto desarrollar los siguientes captulos:
Cronograma
Planificacin 25 horas
Ejecucin 57 horas
(*) Cada equipo incluye el alta en el directorio activo, configuracin especfica de asociacin a
su propia unidad organizativa y de recursos compartidos en funcin de su departamento.
Ambos equipos contienen la parte comn de instalacin de software, pero sus configuraciones
son completamente diferentes, ya que se trata de recursos distintos con objetivos distintos. El
equipo de direccin es un porttil que tendr la posibilidad de iniciar sesin y trabajar con
normalidad fuera del entorno de trabajo (y, por lo tanto, fuera del dominio). Los otros equipos
son de sobremesa pero pertenecen a distintos grupos de trabajo, por lo tanto su configuracin
variar sustancialmente.
Formacin 69 horas
La previsin inicial contempla una estimacin horaria optimista, por lo que no alcanza las 300
horas estipuladas. Debido a las herramientas elegidas y a que no he sido formado en stas (no
han sido estudiadas previamente), surgirn imprevistos a lo largo del desarrollo del proyecto
que seguro aumentarn sustancialmente las horas de trabajo.
Por todo esto creo conveniente liberar un 10% de horas de trabajo y as disponer de un
margen de contingencias que contemple estas desviaciones.
A continuacin se muestra una captura del diagrama de Gantt realizado para la planificacin del proyecto. En l figuran las tareas a realizar a lo largo del
proyecto y su estimacin en tiempo.
Para ver con ms detalle las tareas que figuran en el diagrama de Gantt y en el cronograma ver anexo: E-71 Diagrama de Gantt.
La planificacin sufrir una desviacin posterior de 30 das, en la que se para el desarrollo del proyecto por la realizacin de exmenes finales de enero. Los
detalles sobre dicha desviacin se detallan en el anexo E-81 Desviaciones y lecciones aprendidas.
La entrevista realizada a la empresa incluy una visita a la misma en la que tuve la oportunidad
de tomar nota de la infraestructura informtica actual. Se trata de un sistema algo anticuado
con carencias en comunicacin interna, seguridad y recursos de red.
La instalacin actual consiste en un router al cual se conecta un switch. A este ltimo son
conectados todos los equipos de la Intranet.
En consonancia con lo anterior, observo que los sistemas operativos instalados son Microsoft
Windows XP para arquitecturas de 32 bits. Es un sistema operativo adecuado para el hardware
existente, pero desfasado y desatendido por Microsoft desde hace meses.
Los equipos son lentos y no satisfacen las necesidades de trabajo de la empresa. Tampoco
existe la centralizacin de ningn servicio ni un plan de copias de seguridad, slo un dispositivo
de almacenamiento externo USB.
Todos estos aspectos conllevan la necesidad de una renovacin de los sistemas IT y en sus
comunicaciones.
Infraestructura a utilizar
Aprovecharemos la instalacin cableada actual que comunica a los distintos equipos con el
router (a travs del switch), el cual les da acceso a Internet actualmente. El switch centraliza el
enlace directo con los equipos del centro. Utilizaremos tanto el switch como el router actuales,
pero no ser suficiente. Tenemos una impresora central en la zona administrativa, la cual
tambin aprovecharemos.
El switch ya instalado servir como eje de comunicaciones, en la misma ubicacin, pero con un
cometido distinto que explicaremos ms adelante.
Nota aclarativa: la distribucin espacial de los departamentos es orientativa, los planos aqu
presentados simbolizan las conexiones entre los equipos de la red. Estas conexiones estn ya
implementadas en la empresa: enlaces Ethernet directos UTP con cable de red categora 6 y
conectores RJ-45.
Enrutado: sin cambios, con un router es suficiente para dar salida a Internet desde la empresa.
El router instalado previamente funciona correctamente y proporciona acceso a Internet a los
equipos del centro.
Conmutacin: aadiremos dos switch adicionales en cada una de las salas de formacin.
Conectarn los equipos de dichas salas con el switch central de la sala de comunicaciones. ste
a su vez conectar las salas de administracin y direccin, as como el servidor y el router, al
resto de la Intranet. Como resultado habr tres equipos de conmutacin distribuidos por el
centro y conectados entre s, con cometidos distintos.
24 equipos para salas de formacin. Sern equipos de trabajo sencillos pero que
garanticen la funcionalidad que necesitan los usuarios del centro.
2 equipos para personal administrativo. Especiales para trabajo ofimtico.
2 equipos para direccin. Estos equipos, para favorecer la movilidad, sern porttiles.
Irn conectados por cable a la red para incrementar la seguridad de su conexin a la
red. Esto adems posibilita que el personal de direccin pueda transportar su equipo
de trabajo a conferencias o eventos externos y poder trabajar fuera del entorno del
centro.
1 equipo de servidor. Un equipo especializado que albergue el dominio, las copias de
seguridad y el directorio activo. Adems, administrar los recursos compartidos del
centro. Por otra parte instalaremos un SAI (Sistema de Alimentacin Ininterrumpida)
que proteja el servidor de problemas elctricos.
Software de sistemas
Sistemas operativos:
o Microsoft Windows Server 2012 R2: los usuarios del centro estn
familiarizados con entornos de trabajo Microsoft. Adems, por ampliacin de
conocimientos sobre sistemas operativos de servidor, los servidores
GNU/Linux se estudian e implementan en asignaturas de la carrera.
o Microsoft Windows 8: Cliente elegido por compatibilidad con el dominio
alojado en el servidor. Se utiliza esta versin por motivos de seguridad ya que
versiones ms antiguas podran comprometerla.
No hay aplicaciones especficas para instalar en los equipos cliente. Tal y como
explic el director del centro, utilizan principalmente herramientas ofimticas
(concretamente Excel y Word) y el navegador Web para consultar el correo
electrnico y sitios Web.
Como punto de inflexin a la hora de elegir este fabricante tenemos sus servicios de asistencia,
que garantizan la reparacin de un equipo averiado durante el siguiente da hbil desde que se
notifica el problema. Este servicio se puede solicitar durante el primer ao desde la compra del
producto y es gratuito. Por supuesto no es incompatible con los dos aos de garanta en todos
los equipos adquiridos.
Presupuesto
Tambin se indica la inversin necesaria en paquetes software a instalar una vez ejecutado el
despliegue de los sistemas hardware. Por ltimo se recoge un resumen global de costes,
incluyendo la mano de obra necesaria para la instalacin y configuracin de la infraestructura.
Equipo Precio
Equipos sobremesa cliente para salas de
17.537,2
formacin y administrativo (24+2).
Equipos porttiles para direccin (2). 921,44
Hardware de red y redundancia: switch (2) y 278
SAI (1).
Hardware de servicios: server (1). 2.383,82
Subtotal en hardware de red y sistemas: 21.120,46
Para ver el presupuesto completo ver anexo E-75 Presupuesto de sistemas IT
Este presupuesto contiene los programas cuya instalacin se hace necesaria para el trabajo de
los empleados y usuarios. El software a instalar y configurar se adquiere segn las peticiones
formuladas por la empresa, que se adecan a sus preferencias de trabajo.
Presupuesto completo
Mdulo Precio
Equipos informticos 21.120,46
Software (Sistemas Operativos y programas) 3.764,03
Instalacin y configuracin (90 horas)* 2.250
Subtotal: 27.134,49 IVA (21%): 5.698,25
Total: 32.832,74**
**El precio total de la instalacin no incluye el coste de 3,8 /mes correspondiente a la licencia
para empresa de Microsoft OneDrive. No se incluye porque se trata de una cuota mensual y no
de una compra de equipamiento hardware o software.
Dell dispone de ofertas especiales para compras de este tipo que se pueden consultar
contactando con un comercial, por lo que puede reducirse el precio final indicado.
Para la distribucin de red configurada en el proyecto voy a crear distintos mbitos LAN que
coincidan con los emplazamientos fsicos de los equipos. Es conveniente establecer rangos de
direcciones IP distintos para cada grupo de equipos, facilitar la administracin de red y
adems la difusin de informacin por departamentos. La distribucin de departamentos
estar relacionada directamente con la distribucin de rangos IP.
00000000.00000000.00000000.00000000
Por claridad, dos bytes de la direccin sern de red y los dos siguientes de host. No existen bits
para subred, esto quiere decir que en la instalacin real no existirn distintos dominios de
difusin a nivel de red local.
Esquema y simulacin
Para visualizar el funcionamiento de la red en una simulacin realizada con Packet Tracer ver
anexo E-85 Simulacin de entorno de red.
Si decidiramos aplicar tcnicas de subredes, una posibilidad consistira en aplicar una mscara
de subred 255.255.255.0, es decir, aadir un byte a la mscara de red para crear la mscara de
subred. Toda la instalacin actual continuara funcionando con normalidad, pero existira la
posibilidad de asignar a cada sala o departamento un mbito de subred diferente.
254 subredes disponibles (256 2 por direccin de red global y broadcast de red).
254 direcciones para host disponibles para cada subred (256 2 que corresponden a
direccin de subred y broadcast de subred).
Igual que para 10.0.1.0, tendramos la misma configuracin para las direcciones de subred
10.0.x.0 (con x comprendido entre 0 y 254, ambos incluidos).
Adems, tambin ser de utilidad para posteriores labores de reparacin y mantenimiento del
sistema. Aportar facilidad a la hora de saber qu est instalado y funcionando. Tambin las
posibles causas de fallos futuros, tanto de aplicaciones como compromisos de seguridad.
Versin instalada
Nombre Actualizable Licencia
(fecha de versin)
S, automticamente y
Microsoft Windows 8.1 OEM Dell. Licencia adquirida
8.1 (18/10/2013) mediante paquetes de
Profesional - 64 bits para todos los equipos.
actualizacin oficiales.
OEM Dell, personalizado para
S, automticamente y
2012 R2 Standard Microsoft Windows el equipo servidor. Licencia
mediante paquetes de
(18/10/2013) Server 2012 - 64 bits para el servidor de la
actualizacin oficiales.
empresa.
Adquirida para todos los
2013 Profesional Microsoft Office 2013 Actualizaciones
equipos cliente de la
(19/01/2013) Profesional automticas.
empresa.
Actualizaciones
automticas de base de Licencia antivirus gratuita
2015.10.0.2208
Avast Antivirus 2015 datos de virus. para todos los equipos.
(18/11/2014)
Actualizacin manual de Ampliable.
software antivirus.
Antivirus, anti spyware.
4.6.305.0 Microsoft Security Actualizaciones Incluida en la licencia de
(10/09/2014) Essentials automticas travs de Windows Server.
Windows Update.
3,8 al mes por usuario (1
Repositorio Cloud de
usuario instalado). 1TB de
17.3.1229.0918 (2013) Microsoft OneDrive ficheros. Para backup
almacenamiento en la nube
externo.
para empresas.
4.0 Mediante instalacin de Software propietario con
ADManager Plus
(2012) nueva versin. versin gratuita.
1.12.4 Desde la propia aplicacin, GNU, cdigo open source.
Wireshark
(2015) men Help. Gratuito.
11.0.09 S, notificaciones de Software propietario pero de
Adobe Reader XI
(29/05/2014) actualizacin al usuario. uso gratuito.
38.0.2125.111 Google Chrome S, actualizaciones Descarga e instalacin
(30/10/2014) Navegador Web automticas. gratuitas.
11.2.0.582 Cobian Backup 11 Descarga e instalacin
Actualizacin manual.
(06/12/2012) Copias de seguridad gratuitas.
Informe de seguridad
Seguridad hardware
Sala de comunicaciones accesible nicamente para:
El director de la empresa.
El servicio tcnico del ISP.
El responsable de sistemas informticos, si lo hubiera.
Sala bien ventilada en planta baja con aire acondicionado y protegida bajo llave.
Sistemas elctricos (SAI), de red (doble NIC) y de almacenamiento secundario (RAID1 por
hardware) redundantes en sistemas crticos. Monitorizacin permanente del servidor. Bloqueo
de BIOS en los sistemas con contrasea maestra para evitar cambios en la configuracin.
Seguridad de red
Puertos del router cerrados, salvo los que garantizan la navegabilidad como 80 para HTTP y
443 para HTTP con SSL (HTTPS). Adems, se autoriza la apertura de puertos para las
aplicaciones documentadas en el informe de aplicaciones.
Seguridad software
Versin profesional del sistema operativo ms actualizado de la familia Microsoft. Firewall de
Windows, actualizaciones automticas y soporte de Microsoft en esta versin.
Antivirus Avast. Gratuito, ampliable con un coste mnimo, suficientemente seguro para las
necesidades de la empresa y cuya base de datos es actualizada diariamente. Por
compatibilidad del sistema, Microsoft Security Essentials instalado en el equipo servidor.
Log de dominio que registra la actividad de la red por parte de los usuarios. Anlisis de
rendimiento de recursos en el servidor y deteccin de congestin o mal funcionamiento de los
servicios, ataques a travs de la red, compromisos de seguridad, etc.
Dado que la informacin protegida mediante copias puede contener datos de carcter
personal, debe almacenarse y procesarse con arreglo a la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Los datos pueden contener
informacin acerca del historial psiquitrico del afectado, por lo que se consideran datos que
exigen un nivel alto de proteccin.
33 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Los pasos a seguir para cumplir con la legislacin vigente son los siguientes:
Ante cualquier duda sobre este proceso es posible recurrir a la AEPD a travs de
sedeagpd.gob.es para remitir directamente una consulta a la agencia.
Para iniciar sesin en el dominio y poder trabajar en l ser necesaria una cuenta de usuario
que cumpla con dichas polticas.
Slo estarn habilitadas las cuentas de usuario necesarias para administracin y trabajo. La
cuenta de invitado del dominio estar deshabilitada.
Una mxima en seguridad consiste en evitar los valores por defecto que proporcionan los
sistemas (en este caso el sistema operativo). Con esta operacin conseguimos proteger las
credenciales de administrador real con una cuenta ficticia que simula ser un usuario con
privilegios de sistema. No se trata de una operacin de ocultamiento, lo cual sera ineficaz en
trminos de seguridad, ya que el usuario administrador como tal sigue existiendo y es visible.
Imagen del sistema (tanto cliente como servidor) anual o eventual tras actualizacin crtica de
sistema operativo o software instalado. Almacenamiento de la imagen en un DVD-DL en la sala
de comunicaciones siguiendo la nomenclatura:
SYS-<tipo>_IMAGE-<numero>_<ao>, donde:
<tipo> es SRVR o CLNT segn si el sistema es cliente o servidor.
<numero> el identificador de imagen. Incremental desde 00.
<ao> el ao en el que se genera la imagen.
Ejemplo: SYS-SRVR_IMAGE-00_2014.
Es necesario proteger ante fallos los datos crticos, los cuales manejan administrativos
y directores del centro.
Copiar grandes cantidades de directorios y datos provoca que el usuario no se
interese por proteger su informacin, ya que si sabe que se le copiar todo, no
mantendr su sistema organizado y en muchos casos no sabr lo que guarda y dnde.
Por el punto anterior, la estrategia de copias se centra en proteger un nico
directorio para cada usuario, en el cual deber tener organizados todos aquellos
ficheros que requieran ser protegidos ante compromisos de seguridad.
El trfico de red al almacenar en un equipo externo grandes cantidades de datos es
excesivo, se debe optimizar la cantidad de informacin a almacenar.
La carpeta del perfil de usuario es la ideal para mantener un backup sobre ella, ya que
es accesible por el usuario independientemente del equipo donde trabaje (perfiles
de dominio Windows).
35 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
El administrador de sistema tiene su propia estrategia de copia. Slo se har copia de
respaldo del directorio Documents de su carpeta personal cifrada.
Tipo de copia
Fecha Hora Datos a copiar
(programacin)
Documentos de todos
Completa (semanal) Todos los viernes 18:00
los usuarios
Todos los martes Documentos de todos
Diferencial (semanal) 7:30
y jueves los usuarios
Ver anexo E-77 Esquema de copias de seguridad
Este plan de copias de seguridad se basa en mi propio criterio. Aplico los conceptos aprendidos
en la asignatura de seguridad y atendiendo a distintos boletines de seguridad informtica
publicados en Internet.
Informe de servicios
DHCP: Servicio de configuracin dinmica IP para los equipos conectados a travs de WLAN.
Tambin ser de utilidad para equipos nuevos que se instalen en la red, ya que pueden ser
configurados antes de ser incluidos en el entorno, que normalmente ser de configuracin IP
esttica. Monitorizar concesiones y establecer rangos de direcciones permite clasificar los
distintos equipos que se conectan a la red, adems de monitorizarlos de alguna manera.
Copias de seguridad: Mediante las herramientas propias del sistema operativo y Cobian
Backup, tal y como se detalla en el informe de aplicaciones. Es necesario un servicio que
proteja el dominio contra la prdida de informacin. En primer lugar, sern necesarias
imgenes de sistema completas (para replicar en varios equipos si es necesario y facilitar el
trabajo) y tambin sobre las carpetas compartidas y perfiles de usuarios.
Desviaciones
Configuracin IP y subredes
La configuracin IP de los equipos de la red estaba, en un primer momento, planteada
aplicando subredes. Ms adelante, he considerado ms oportuno no aplicar inicialmente
dichas tcnicas y proponerlas como un cambio en trminos de escalabilidad (para ms
adelante, si fuera necesario).
Por ltimo, he aadido el coste de mano de obra al total de la implementacin del proyecto
propuesto. En un principio, al ser un proyecto de carcter educativo, no contemplaba estos
costes.
Este apartado incluye, no slo la instalacin de los sistemas operativos cliente, sino tambin su
configuracin inicial, cambio de nombre de equipo, asociacin al dominio y configuracin de
seguridad.
El plan de pruebas de este proyecto tiene como objetivo la validacin de las decisiones
adoptadas durante su desarrollo. Las alternativas elegidas a lo largo de su desarrollo deben ser
vlidas y razonables conforme a los requisitos. Para comprobar que dichos requisitos son
alcanzados satisfactoriamente, aplicaremos el plan de pruebas sobre el entorno simulado.
En un primer paso detallamos una especificacin del plan. En ella, enumeramos cada punto de
prueba con una breve explicacin.
Por ltimo, documentamos el resultado y las conclusiones que han podido obtenerse del
proceso en la evaluacin de puntos de prueba, al final del apartado de plan de pruebas.
Este plan de pruebas, en un caso real de aplicacin, debe extenderse a todos y cada uno de los
sistemas instalados y configurados en el proyecto (incluidos los sistemas RAID, SAI, etc.).
Adems, debe ser actualizado tras la inclusin de nuevos equipos, aplicaciones o servicios al
entorno de trabajo.
Para que un plan de pruebas sea til y valioso, debe aplicarse peridicamente (por ejemplo,
una vez al ao), solucionar los casos de prueba cuyo resultado es negativo y documentar los
pasos necesarios para alcanzar dicha solucin.
6. Funcionalidad de aplicaciones:
6.1. Equipo de administracin:
6.1.1. Navegacin con Google Chrome.
6.1.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
6.2. Equipo de direccin:
6.2.1. Navegacin con Google Chrome.
6.2.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
En este apartado se ejecutan todos los pasos de comprobacin para evaluar los puntos de
prueba enumerados anteriormente. Los resultados se vern reflejados en la tabla siguiente
(apartado Evaluacin de puntos de prueba).
Los puntos ms sencillos, aquellos que slo requieren una observacin o comprobacin simple,
son documentados directamente en la tabla de evaluacin. En esta tabla se recogen las
puntualizaciones y aclaraciones pertinentes.
A continuacin se muestra una tabla con los resultados obtenidos durante la realizacin del
plan de pruebas:
1. Integridad de instalacin:
CSNV.crlnuevavida.es
crlnv-adm-00 Comprobacin de integridad satisfactoria.
crlnv-dir-00
6. Funcionalidad de aplicaciones:
Tareas de copia en Cobian Las rutas origen y destino de copia en las tareas
Backup creadas estn configuradas correctamente.
Imagen del sistema Windows Almacenada en soporte RAID (en simulacin,
Server unidad remota).
File history, almacenamiento Perfiles almacenados correctamente de forma
de perfiles de usuario automtica con File History en la unidad remota.
Directorio WindowsImageBackup.
Soporte remoto (Unidad de Acceso normal, contenido ntegro. Conectado
red) como unidad E:\.
Repositorio sincronizado Funcionamiento adecuado. Forma parte de los
SaaS (OneDrive) destinos programados para las tareas de copia
45 Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
en Cobian. La sincronizacin con la nube
funciona correctamente.
Servicio de nombres de
dominio (DNS)
Consulta de estado de servicios desde el
Servicio de configuracin
dashboard de Administrador del Servidor en
dinmica de host (DHCP)
Windows Server 2012.
Servicio AD DS (Directorio
activo Servicio de dominio)
Directorios de
departamentos: Creacin de ficheros en cada departamento:
administracin, direccin, pruebas de copia, edicin y eliminacin.
usuarios centro
El usuario que publica en ComunCRL puede
solicitar que slo l pueda modificarlo. Las
Carpeta comn
directivas de grupo permiten editar los permisos
de los ficheros creados por ellos.
Como podemos observar, todas las pruebas han sido completadas satisfactoriamente. En la
evaluacin de cada punto de prueba hemos conseguido el resultado esperado, tal y como
figura en la tabla anterior.
Con esta fase del proyecto podemos dar por concluido el apartado de implementacin de la
solucin y las pruebas de la misma.
Una vez implementada la infraestructura y ejecutado el plan de pruebas con xito, pasamos al
escenario de restauracin. En este apartado simularemos posibles problemas que puedan
existir en el futuro para comprobar la eficacia de los sistemas de seguridad aplicados en el
proyecto.
Solucin
La tarea de copia SRVR_PERFILADMIN realiza copias de respaldo de los documentos del
administrador, por lo que podemos recurrir a diferentes medios de recuperacin:
Una vez realizada esta operacin, podemos acceder al fichero perdido con total normalidad,
recuperando la versin destruida siempre y cuando sea el administrador de dominio quien
desee recuperar la informacin.
El servicio de dominio Active Directory slo guarda las credenciales del usuario y la
informacin de su cuenta (pertenencia a grupos, unidades organizativas, permisos...) pero
nunca sus datos.
Solucin
Podemos adoptar dos soluciones distintas en funcin de qu necesitamos recuperar:
Slo datos: Con la tarea de Cobian CLNT_PROFILES. Tal y como hemos recuperado
los datos del punto anterior.
Perfil completo: Utilizando la herramienta File History que almacena los datos y la
configuracin del perfil.
En este caso aplicaremos la segunda opcin, File History. Los pasos a seguir son los siguientes:
Solucin
Si se trata de un problema de hardware, ponerse en contacto con el fabricante es la solucin
ms adecuada. Si el administrador de sistemas es capaz de diagnosticar el problema, puede ser
ms rpido que l mismo sustituya la pieza daada.
Para los problemas derivados de un fallo de software, tenemos una imagen de sistema
operativo creada y almacenada. Esta imagen, por requisitos del plan de seguridad, es
actualizada con cada cambio significativo realizado en el servidor. Cmo podemos restablecer
el estado del sistema operativo aplicando la imagen realizada?
Nota: el tipo de recuperacin estado del sistema slo puede realizarse desde el
modo de recuperacin (modo DSRM), detallado a continuacin en el punto dos.
Sea cual sea la opcin que hemos elegido, se trata de una operacin costosa que afecta a todo
el sistema, por lo que podemos estimar un tiempo de recuperacin de entre dos y cuatro
horas. Una vez realizada la operacin, el equipo se reiniciar y podremos iniciar sesin con
normalidad.
Solucin
La solucin ms eficaz pasa por hacer modificaciones en la infraestructura de servicios actual y
ampliar la informacin sobre el estudio de configuracin IP. El proceso consta de dos fases, un
apartado tcnico de actuacin sobre el servicio DHCP y otra de documentacin para habilitar
configuraciones IP estticas temporales.
Fase 1: Crear un mbito DHCP de reserva para conceder a los clientes datos de configuracin IP
dinmicos temporales y as comprobar su conectividad. Existe un conflicto explicado en
desviaciones con este servicio que nos impide crear un mbito para atender estas peticiones,
as que ampliamos el rango de concesiones creando un mbito global que atender las
peticiones de conexiones inalmbricas y las de IP de reserva para conectividad.
Para aplicar esta solucin debemos aadir la siguiente fila en la tabla de direcciones contenida
en el estudio de configuracin IP:
Desviaciones
El software elegido para las tareas de backup, Cobian, requiere del uso del servicio de
Windows VSS para copiar ficheros protegidos por el sistema operativo. El uso de este servicio
requiere privilegios administrativos, por lo que ha sido necesaria una modificacin adicional en
la configuracin del programa Cobian Backup.
Tal y como queda especificado en los requisitos del proyecto, es necesario un sistema
redundante de almacenamiento (RAID) para las copias de seguridad. En el entorno real viene
configurado en el sistema servidor, pero en nuestro caso necesitamos una solucin de
simulacin. La aplicacin ms aproximada que podemos realizar es incluir en la mquina virtual
una ubicacin de red adicional que funcionar como espejo (aplicando as un RAID tipo 1).
El servidor de ficheros no permite acceder a los clientes a sus recursos compartidos si su hora y
fecha no estn actualizadas. Guardar el estado de una mquina virtual sin tener instaladas las
Virtualbox Guest Additions puede provocar un desfase horario en la mquina virtualizada. Para
evitar esto, se aade a la instalacin de las mquinas el paquete Guest Additions.
La fecha y hora de mquina servidor y cliente deben coincidir para permitir el acceso a los
recursos compartidos. Con esta solucin, el problema de acceso desaparece.
La estrategia de copias es vlida, pero su implementacin est mal realizada por un error al
aplicarla. Al intentar poner como destino de copia un directorio que forma parte de los
orgenes de copia (por ejemplo, guardar en C:\Copia el contenido del volumen C:\) provoca
una copia continua que no termina nunca (como una recursividad mal fundada). No existe
condicin de parada y el sistema se satura.
El cortafuegos activado en el cliente a nivel de dominio impide que el servidor pueda realizar
solicitudes PING satisfactoriamente con sus clientes para comprobar la conectividad. Para
poder realizar labores de diagnstico de red, comprobaciones de conectividad de red, estado
de servicios, etc. es necesario desactivar el firewall en el cliente, nicamente a nivel de
dominio.
Sin llegar a ser una prctica muy insegura, s conviene desactivar el cortafuegos nicamente
cuando vayan a realizarse las labores mencionadas anteriormente. Mantener activadas las
medidas de seguridad es esencial.
En Windows 8.1, as como en versiones anteriores del sistema operativo, es posible establecer
el mbito de una conexin de red. Una conexin puede ser pblica (si nos conectamos en
centros comerciales, aeropuertos) o privada (si se trata de una red de trabajo o domstica).
Tenemos el problema de que la interfaz que comunica a los equipos de la simulacin est
configurada como pblica de forma automtica. Esto afecta a la conectividad, incluso a la
posibilidad de realizar copias de seguridad de los clientes, ya que el servidor no tiene acceso a
los clientes a travs de una red pblica. Es un problema que puede aparecer tanto en el
entorno virtual como en el real.
Para solucionar esto ha sido necesario reconfigurar las interfaces de red en los clientes desde
el centro de redes y recursos compartidos, en el panel de control de Windows.
Durante la realizacin del escenario de restauracin, concretamente la primera fase del ltimo
punto, necesitamos hacer modificaciones sobre el servicio DHCP. Se trata de una operacin
aparentemente sencilla, aadir un mbito con el rango 10.0.100.1 10.0.100.254 para ayudar
al administrador de sistemas a resolver posibles problemas de conectividad en los clientes.
Si un mbito DHCP est configurado con 10.0.150.1-254 con mscara 255.255.0.0, el mbito
ocupa, en realidad, todas las direcciones 10.0.x.x (las que coinciden con la mscara), es decir:
No es fcil de explicar, posiblemente lo sera si tuviera sentido. Hay dos posibles soluciones,
engaar a Windows o modificar el planteamiento realizado y ajustar la mscara a las
exigencias del sistema operativo, apostamos por la primera.
Creamos un mbito global (superscope) que abarca el rango 10.0.100.1 10.0.150.254 y luego
aadimos a la lista de exclusiones el rango 10.0.101.1 10.0.149.254. As conseguimos que el
mbito global atienda a las peticiones de ambos sectores de direcciones.
Lecciones aprendidas
Asociacin al dominio
Se trata de un cambio que puede generar controversia y que, adems, puede suponer un
compromiso de seguridad.
En este proyecto, no es necesario aplicar esta tcnica, ya que la imagen de sistema cliente es
similar en todos los equipos. No existen aplicaciones ni caractersticas diferenciadoras para los
distintos departamentos, por lo que podemos incrementar la eficiencia de la estrategia de
copia si acotamos el respaldo a los perfiles de usuario.
La informacin especfica que necesita cada equipo cliente reside en su totalidad en el servidor
(el cual s posee su propia imagen de sistema). La informacin a proteger en los equipos cliente
son nicamente los perfiles de usuario, los cuales estn englobados en la poltica de copias, ya
que los equipos cliente se encargan de enviar copias de los perfiles que contienen
peridicamente.
Se trata de una limitacin importante que puede suponer, en muchos casos, la adopcin de
otra alternativa como sistema operativo servidor, por ejemplo un sistema GNU/Linux, que s lo
permite.
Con Windows Server ser posible establecer parmetros de caducidad, intentos fallidos,
memoria de contraseas anteriores (para no repetir) y otros parmetros similares. Por el
contrario, en ningn caso ser posible decidir cuntas maysculas queremos incluir en la
palabra de paso, ni cuntos smbolos especiales, si debe contenerlos o no, etc.
Este sistema operativo te permite habilitar o deshabilitar sus propios requisitos, pero nunca
editarlos.
Reiniciar el sistema
En un servidor, la operacin reiniciar el sistema debe ser algo poco habitual y justificado.
Este segundo aspecto es necesario en Windows Server, ya que para reiniciar el servidor
necesitas documentar los motivos (que formarn parte del log del sistema desde ese
momento).
Ahora bien, reiniciar el sistema con un sistema operativo Windows Server no es poco habitual,
de hecho es algo demasiado habitual para un servidor. Es necesario reiniciar demasiadas
veces, ms de las que crea inicialmente.
Tener que reiniciar el sistema implica cerrar servicios, imposibilitar operaciones de dominio en
los clientes y otras muchas consecuencias indeseables. Otras alternativas de sistemas
operativos como GNU/Linux no exigen reinicio del sistema para operaciones en las que
Windows Server s lo requiere.
Otro avance respecto a versiones anteriores de Windows Server (2003). En la versin 2012 es
posible iniciar sesin en el dominio sin que este est accesible. Esto es posible gracias a que la
SAM (donde se almacenan las credenciales) de los sistemas cliente es actualizada con cada
inicio de sesin de usuario.
Si un sistema cliente no es capaz de conectar con el controlador de dominio (en nuestro caso
el servidor), recurrir a su propia SAM para intentar autenticar al usuario que intenta iniciar
sesin. Si este mismo usuario inici sesin en el sistema anteriormente, podr ser autenticado
Es un aspecto positivo para la accesibilidad ya que permite iniciar sesin en el dominio aun
cuando el controlador no est disponible. Por el contrario, no lo es tanto para la seguridad,
porque esto implica que el sistema cliente est autorizado para autenticar usuarios de forma
local. Esta operacin debera ser exclusiva del controlador de dominio.
Comprometes la seguridad en exceso para ganar accesibilidad en casos muy concretos que no
deberan suceder con regularidad.
OneDrive sirve como SaaS replicando ficheros en un medio externo, mientras que Cobian
centraliza las tareas de copia de respaldo. La combinacin de ambas aplicaciones no estaba
prevista inicialmente, pero surge una sinergia del uso de ambas de forma sincronizada.
Cobian Backup pone a disposicin de OneDrive los datos de respaldo. A su vez, este ltimo
sincroniza de forma automtica el repositorio local (un directorio) con el servicio de
almacenamiento alojado en Internet. As, una tarea de copia de Cobian desencadena tres
operaciones distintas:
Para obtener informacin extendida sobre las lecciones aprendidas, ver anexo E-81
Desviaciones y lecciones aprendidas.
Aprender, poner a prueba mi motivacin y mi independencia profesional han sido los pilares
fundamentales. El trabajo continuado y la comunicacin con mis tutores han contribuido
notablemente al resultado.
Estoy satisfecho, por tanto, con la labor realizada como equipo de trabajo, he recibido en todo
momento la ayuda que he necesitado, ha habido una comunicacin eficaz y ha formado parte
activa de mi motivacin durante este tiempo.
El cliente ha quedado tambin satisfecho con este resultado. Tras remitir una copia del
proyecto finalizado al responsable de informtica del centro y al director, me han transmitido
su agradecimiento personalmente. Consideran este trabajo como una alternativa interesante
para el futuro del centro.
Como puntos crticos puedo destacar las limitaciones sufridas a causa del entorno de trabajo
virtual y, en algunos casos, la irreflexin ma a la hora de elegir ciertas aplicaciones, lo cual me
ha obligado a reconducir el proyecto en alguna ocasin.
Estas reconducciones me han generado cierta frustracin, pero considero que no han afectado
al resultado final. Con la misma ilusin del primer da, afronto las nuevas posibilidades que han
surgido gracias a la realizacin de este trabajo.
Es una desviacin positiva de un 6,8% en tiempo real de trabajo frente al estimado, cuando en
la planificacin se estima hasta un 10% de posible aumento. El tiempo real, por tanto, se
encuentra dentro del margen previsto para la realizacin del proyecto.
Libro de consulta:
HTTPS://DOCS.GOOGLE.COM/FORMS/D/1STDV9Q-XJYIJK-UCY2N-
JV6AQP3LFVWRDQJSGVXSQGK/VIEWFORM
Entrevista presencial
Page 1
mber 2014 January 2015 February 2015 March 2015
05 08 11 14 17 20 23 26 29 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 02 05 08 11 14 17 20 23 26 29
08/12
24/12
20/02
11/03
18/03
25/03
25/03
Page 2
April 2015 May 2015 June 2015 July 2015
29 01 04 07 10 13 16 19 22 25 28 01 04 07 10 13 16 19 22 25 28 31 03 06 09 12 15 18 21 24 27 30 03 06 09 12 15 18 21
/03
/03
Page 3
Anexo E-74
Hardware de sistemas
En este documento se describe el hardware de sistemas a
implementar en el proyecto.
Microprocesador: Intel Core i5-4590T (4 ncleos, 6MB cach, 2.00Ghz) con tecnologas Intel
vPro e Hyper Threading.
Memoria principal: 8GB (DDR3L, 1600Mhz).
Memoria secundaria: 500GB (2.5 5400rpm SATA3 con cach 8GB flash).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Monitor: Dell serie E-2014H (19,5 LED).
Accesorios: ratn ptico y teclado Dell.
2
Equipos para departamento administrativo (2 unidades)
Microprocesador: Intel Core i5-4460 (4 ncleos, 6MB cach, 3.40Ghz) con tecnologa Hyper
Threading.
Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).
Memoria secundaria: 1TB (3.5 7200rpm SATA3 con cach 8GB flash).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Monitor: Dell serie E-2414H (24 LED).
Accesorios: ratn ptico y teclado Dell.
3
Switch para salas de formacin (2 unidades)
Precio unitario: 83
Configuracin hardware:
4
SAI (para servidor 1 unidad)
Ficha de sistema
Todos los equipos que forman parte del hardware de sistemas incluyen su propia ficha de
sistema, en la cual figura la informacin relativa a cada equipo. La cabecera de la ficha ir junto
al equipo fsico pegada en la parte superior para conocer su informacin principal de forma
fcil y rpida. Adems, si el equipo requiere ser transportado a otra ubicacin (por fallo en el
hardware, sistema operativo o cualquier otra incidencia) ser fcil saber de qu equipo se
trata y cules son su ubicacin y configuracin correspondientes.
El administrador de sistemas, por otra parte, dispondr de una copia de todas estas fichas con
su registro de eventos en cada una. Toda operacin realizada sobre el equipo ser registrada
aqu para guardar su traza y conocer en todo momento los cambios realizados en el equipo.
5
Anexo E-75.
Presupuesto de sistemas IT
Presupuesto de los equipos hardware a instalar en la empresa.
04 2 Switch Level One GSW-2457 (24 puertos, Gigabit Ethernet, RJ45). 83,00 166,0
IVA (21%):
Subtotal: 21.120,46
4.435,30
Total: 25.555,76
Anexo E-76.
Presupuesto de software
Presupuesto de las aplicaciones a inst alar y configurar en el sistema
Repositorio
Copia (ver tabla) Trabajo con datos
Cloud
Cloud ID
1 Direccin
RA
(OneDrive)
Administracin
Usuarios centro
Anexo E-78
Instalacin de Microsoft Windows
Server 2012 R2
En este documento se detalla la instalacin y configuracin bsica
del sistema operativo que ejecutar el equipo servidor
La primera pantalla
que observamos al
instalar el sistema
operativo tiene un
aspecto similar a
sta.
Tras darle clic al botn Next aparece otra pantalla en la que pulsaremos
2
Server Core Installation: Realiza una instalacin del ncleo de servidor Windows, en la
cual se trabaja mediante una consola de comando. Mejora el rendimiento pero hay
roles de servidor que no se pueden ejecutar en este modo.
Server with a GUI: Aade a la instalacin Server Core una capa grfica (GUI) que
proporciona compatibilidad con aplicaciones que sobre comandos no son operativas.
Como desventaja disminuye el rendimiento del sistema, al tener que procesar una
capa grfica adicional.
Ubicacin del sistema operativo: Ahora debemos elegir donde instalaremos el sistema
operativo. Este paso es importante entenderlo ya que en nuestro caso tenemos una
instalacin RAID por hardware (independiente del sistema operativo) por lo que en esta
pantalla aparecer un nico disco duro lgico, aunque tengamos montadas dos unidades
fsicas.
3
Proceso de instalacin: A partir de este momento esperamos a que la instalacin de Windows
Server termine para continuar con la configuracin.
4
Contrasea de administrador y primer inicio de sesin
5
Cambio de idioma a castellano
En el caso de que la primera opcin no sea factible (por ejemplo por no tener configurada la
conexin a Internet todava) podemos recurrir a la instalacin del pack de lenguaje:
Una vez montado el disco con el lenguaje deseado, abrimos el panel de control y en el
apartado clock, language and region (reloj, idioma y regin) clicamos en add a
language (aadir un idioma).
Sea cual sea el modo de actualizacin de idioma que elijamos, la pantalla de instalacin tendr
este aspecto:
Una vez terminada la instalacin del nuevo paquete de idioma es necesario reiniciar la sesin
como administrador del sistema para hacer efectivos los cambios.
6
Configuracin del servidor
Una vez comprobado que el servidor se inicia correctamente es necesario realizar las tareas
ms bsicas de un servidor de este tipo. La configuracin bsica de la estacin de servicio
engloba los siguientes aspectos:
Propiedades de la instalacin de Windows Server (Administrador del servidor > Servidor local)
Para realizar los cambios de configuracin en los puntos anteriores seguimos los siguientes
pasos:
1. Nombre del servidor: por defecto WIN-87OKJD1RD3G. Para cambiarlo, hacemos clic en el
nombre del equipo. Nombre nuevo: CSNV (Centro de Servicios Nueva Vida). Se llamar as
por simplicidad, es conveniente no dejar el nombre por defecto, que no sea muy largo y,
por seguridad, no llamarlo SERVIDOR, SRVR, etc.
Nota: Hacer efectivo el cambio de nombre implica reiniciar la mquina. Justificar el reinicio
del sistema al hacer clic en reiniciar con Reconfiguracin (planeado) ya que estamos
configurando el servidor y el reinicio ha sido planeado previamente.
7
2. Habilitar acceso remoto para administracin: permitir la accesibilidad del administrador
del sistema al servidor para gestionarlo desde cualquier ordenador perteneciente al
dominio. Puede parecer un riesgo de seguridad innecesario, pero:
8
3. Configuracin IP esttica: para cambiar la configuracin IP acudimos al estudio de
configuracin realizado previamente y obtenemos la configuracin a aplicar sobre el
servidor:
Direccin IP 10.0.0.100
Mscara de red 255.255.0.0
Puerta de enlace 10.0.0.1
Servidor de nombres (DNS) 10.0.0.100
Ms adelante utilizaremos nuestro propio servicio DNS y aadimos uno secundario por
si se pierde la funcionalidad del primero (lo ideal ser utilizar los servidores DNS que
proporcione el Proveedor de Servicios de Internet).
9
4. Windows Update: es un mdulo del sistema operativo que trata las actualizaciones del
sistema. Informa sobre ellas y, segn la configuracin, las instala de forma automtica.
Configurando Windows Update vamos a conseguir mantener el sistema operativo
actualizado para minimizar las amenazas de seguridad debidas a agujeros de seguridad,
puertas traseras y otros tipos de operaciones no deseadas que puedan afectar al sistema.
10
Una vez hagamos clic en aceptar slo hay que esperar a
encontrar actualizaciones y elegir si instalarlas o no.
11
6. Instalacin de Microsoft Security Essentials (MSE) como software antivirus: en primer lugar
descargamos el archivo ejecutable mseinstall.exe desde la web de Microsoft
http://windows.microsoft.com/es-es/windows/security-essentials-all-versions
El asistente es sencillo, slo debemos aceptar las condiciones de uso. Recomienda y ofrece
activar Firewall de Windows para mayor seguridad, ya lo tenemos activado as que el
resultado ser el mismo independientemente de la opcin elegida.
12
Microsoft Security Essentials realizar un anlisis de amenazas de todo el sistema cada
domingo a las 2:00 de forma automtica.
En el siguiente paso,
marcamos el rol DHCP para
instalar, leemos la descripcin
y las dependencias que deben
ser instaladas para que el
servicio funcione
correctamente.
Nombre: WLAN_IPv4.
Descripcin: Concesiones IP para conexiones inalmbricas.
Intervalo de direcciones: Desde 10.0.150.1 hasta 10.0.150.254.
Duracin de concesin: 8 das.
Puerta de enlace: 10.0.0.1.
Servidores DNS: 10.0.0.100.
8. Instalacin de software para copias de seguridad: para llevar a cabo las tareas de backup
de forma centralizada en el servidor, tal y como hicimos en la asignatura de seguridad,
14
instalamos el software Cobian Backup 11. Se trata de software gratuito, sencillo de
instalar, utilizar y suficiente para ejecutar con garantas la planificacin de copias.
1. Idioma: espaol.
2. Aceptacin de condiciones de uso.
3. Carpeta de instalacin: C:\Program Files(x86)\Cobian Backup 11\
4. Instalar Volume Shadow Copy. Es un servicio de Windows que se ejecuta en
segundo plano y es utilizado por Cobian para tareas de copia sobre volmenes
Windows.
5. En las opciones de servicio utilizamos la cuenta de administrador de dominio para
la realizacin de copias en toda la red. Necesitamos tener permisos sobre los
perfiles de usuario y las mquinas cliente para poder copiar sus datos sensibles.
15
Controlador de dominio
Como primer paso instalaremos el rol y una vez aadido correctamente promocionaremos el
servidor a Controlador de dominio.
Del mismo modo que el servidor DHCP, la operacin de instalacin del rol de controlador de
dominio la haremos desde el punto 2. Agregar roles y caractersticas.
Antes de comenzar la operacin, el asistente que aparece en la ventana siguiente nos advierte:
16
Vista de seleccin de rol a instalar y caractersticas requeridas
Active Directory module for Windows PowerShell: permite la gestin del directorio
activo a travs de la consola de Windows y crear scripts que automaticen tareas de
administracin. Para esto incluye las herramientas de lnea de comando.
17
En la pantalla de confirmacin, clicamos en el botn instalar.
Volvemos al panel de administracin del servidor y vemos una nueva notificacin (marcada
con una seal de tringulo amarillo con exclamacin dentro), corresponde a la configuracin
que nos falta por realizar. Clicamos en notificaciones para realizar los ltimos pasos de
configuracin
18
Promocin del servidor a Controlador de dominio
La notificacin obtenida anteriormente nos lleva, al clicar sobre ella, al asistente de promocin
del servidor a Controlador de dominio.
El dominio creado se llamar crlnuevavida.es y ser la raz del rbol de dominios creado. Se
trata de un dominio de nivel principal. Para cada dominio de nivel principal existe un bosque
de dominios que se completa con todos los controladores de dominio de nivel secundario. En
esta implementacin slo va a existir un dominio de nivel principal, que es el mismo que
estamos configurando ahora mismo.
En el siguiente paso
establecemos una contrasea
maestra para el modo de
restauracin de servicios de
directorio. Despus, clicamos en
siguiente para pasar a la prxima
pantalla del asistente.
19
El catlogo global (GC) contiene la informacin del bosque de dominio. Necesitamos aadirlo
tambin ya que es el nico equipo que puede y debe almacenar esta informacin. Adems,
vamos a necesitar el servicio DNS para la asignacin de nombres a los equipos del dominio, ya
que este servicio de Windows trabaja con nombres, no con direcciones IP.
No necesitaremos esta funcionalidad ya que los sistemas de la Intranet trabajan con DNS
(Windows Server 2012 y Windows 8.1). El sistema de nombres NetBIOS no es ms que una
forma de mantener la compatibilidad hacia atrs con otros sistemas operativos Windows ms
antiguos.
20
Cmo monitorizar la actividad de usuarios y el rendimiento del
servidor
Existe un amplio mercado de software que organiza y formatea la informacin para que sea
legible y cmoda de revisar. Cada administrador de sistemas decide qu aplicaciones necesita
para realizar estas operaciones.
En este proyecto vamos a utilizar estas herramientas, propias del sistema operativo:
Cada herramienta nos proporcionar diferentes recursos para monitorizar el sistema servidor y
el dominio.
Resource monitor
21
Performance monitor
Monitor de rendimiento del sistema, ejecutable con el comando perfmon. Muestra grficos
personalizados mediante contadores. Existe una gran cantidad de contadores para aadir a un
mismo grfico. Es til para registrar en un lapso de tiempo uno o varios parmetros del
sistema. Es ms costoso de configurar que el monitor de recursos, pero puede dar informacin
adicional como posibles sobrecargas de red, de peticiones a servicios, procesos de sistema,
etc.
Tiempo de proceso de todos los ncleos del microprocesador (carga de trabajo en %).
Errores de inicio de sesin.
Errores de sistema.
Carga de procesos de sistema.
Segmentos enviados y segmentos recibidos a travs del protocolo IP.
22
ADManager Plus
De todas las utilidades que ofrece la aplicacin, slo algunas nos son de utilidad en este
proyecto.
Las polticas de seguridad activas no permiten el uso de contraseas vacas, por lo que el
software no va a encontrar casos en los que esto suceda.
23
Buscador de ltimo inicio de sesin
Clicando en el botn Get Last Logon Details obtenemos un informe detallado del ltimo
inicio de sesin de ese usuario: mquina en la que inici sesin, fecha y hora, etc. Para que
esta herramienta funcione correctamente necesitamos que las mquinas cliente donde haya
podido iniciar sesin el usuario buscado estn encendidas y con conexin a la red.
Si bien es cierto que no tenemos una zona DMZ habilitada, como escner de puertos es til, ya
que podemos diagnosticar problemas de conectividad en inicios de sesin (LDAP, Kerberos),
problemas con servicio de nombres DNS (para aplicaciones que trabajen a travs de NetBIOS) y
otros casos.
Administracin de usuarios locales para cada mquina del dominio. Podemos cambiar la
configuracin de usuarios del dominio en varias mquinas a la vez con esta utilidad.
25
Con esta herramienta podemos agilizar las operaciones sobre varios usuarios al mismo tiempo,
ya que Active Directory slo permite hacerlo de forma individual. Otra opcin es utilizar scripts
que ejecuten este tipo de operaciones, pero esta herramienta crea dichos scripts y los ejecuta
de forma automtica.
Registro de eventos
En el apartado Custom Views podemos aplicar filtros que muestran los eventos que
corresponden a:
Roles de servidor: Para cada rol del sistema (por ejemplo, servidor DHCP o DNS).
Eventos administrativos: Operaciones de red, sobre aplicaciones, dispositivos
Summary page events: Actualizaciones de polticas de grupo (gpupdate).
Por otra parte tenemos los logs de Windows, los cuales son registrados en todos los sistemas
operativos Windows, tanto cliente como servidor. Recogen la informacin de eventos del
sistema operativo.
Por ltimo los logs de aplicacin y servicios recogen, del mismo modo que los de roles de
servidor, los eventos relacionados con los servicios que ofrece el sistema. Adems, recopila
tambin informacin de eventos de hardware, administracin de claves, directorio activo
26
Registro de eventos Roles de servidor
Como ltima parte del apartado de monitorizacin, abordamos la relacionada con los servicios
implementados en el proyecto (o roles del sistema servidor, tal y como se denominan en el
sistema operativo Windows Server).
27
(Error) Eventos administrativos: Error de aplicacin ADManager (mdulo last logon).
Producido al no poder establecer conexin con crlnv-adm-00, por estar apagado.
28
Anexo E-79
Usuarios, grupos e implementacin
de seguridad
Configuracin de Active Directory, directivas y polticas de
seguridad y copias de respaldo
Para que los usuarios puedan iniciar sesin y trabajar en el dominio necesitamos crear sus
perfiles en el repositorio del dominio. Adems, para facilitar la administracin de estos y
clasificarlos segn sus roles, debemos crear grupos de trabajo a los que asignarlos.
Nomenclatura:
g(grupo)
d(Direccin)
a(Administracin) Nn(Primeras letras del nombre) +Primer apellido.
c(UsuariosCentro)
Para abrir la interfaz de Active Directory: Inicio > Herramientas Administrativas > Usuarios y
equipos de Active Directory.
En primer lugar vamos a crear los grupos y despus los usuarios. En el mismo proceso de
creacin de cada usuario los vincularemos a su unidad organizativa correspondiente.
2
Vista general de Usuarios y equipos de Active Directory. Nuevo grupo.
mbito de grupo:
Los usuarios pertenecientes a este grupo
trabajarn en el contexto de dominio local.
Tipo de grupo:
El objetivo del grupo es aplicar polticas de
seguridad sobre los usuarios
pertenecientes a l. Por tanto, creamos un
grupo de tipo seguridad.
Los grupos de distribucin crean listas para enviar correos electrnicos de difusin por
grupos, no incluyen seguridad. Los grupos de seguridad sirven para realizar un control de
acceso sobre usuarios y conceder o denegar permisos segn DACLs (Discretionary Access
Control Lists).
3
Para crear un usuario y asignarlo a su grupo clicamos en nuevo usuario:
Si ms adelante un nuevo usuario necesita acceder al dominio del centro, tan slo habr que
crearle un objeto de perfil de usuario similar a stos y posteriormente asociarlo con su unidad
organizativa. As, recibir los permisos necesarios para desempear su trabajo y el servidor se
encargar de proteger su informacin como un usuario ms.
4
Para asignar a cada usuario a su grupo correspondiente:
El usuario Administrator con todos los privilegios del sistema pasa a llamarse Ernesto Arreglo,
con nombre de usuario uErArreglo. Despus, creamos una cuenta de usuario con nombre
Administrator (contrasea sencilla e insegura: Soyadmin1) y sin privilegios. As, conseguimos
implementar el honeypot detallado en el plan de seguridad.
En el men
5
Una vez hemos configurado las contraseas tenemos que comprobar que se aplican las
directivas de complejidad. Dichas directivas no pueden ser modificadas en este sistema
operativo, pero podemos comprobar cules son y exigir que se cumplan.
Podemos ver, en la figura anterior, que los requisitos de complejidad estn habilitados, las
contraseas no utilizan cifrado reversible y que deben tener una longitud mnima de 7
caracteres. El formato vlido para una contrasea est indicado en las propiedades de la
directiva de complejidad de contraseas:
6
S podemos, por el contrario, elegir a quienes se aplican dichos requisitos. De hecho, en
nuestro caso, la poltica de grupo se aplica a todo el dominio (a sus usuarios), tal y como
hemos explicado anteriormente.
Para los datos sensibles del centro vamos a crear un entorno de seguridad de datos con un
directorio centralizado. Dentro de ste, sobre el cual tendr permisos nicamente el
administrador, crearemos la siguiente estructura de directorios:
ComunCRL ser una carpeta compartida con permiso de lectura y escritura para gDireccion,
gAdministracion y gUsuariosCentro.
Los clientes debern acceder a sus carpetas compartidas y crear unidades de red utilizando las
rutas que se indican en la imagen superior.
Microsoft OneDrive
OneDrive es un SaaS (Software as a Service) ofrecido por Microsoft para respaldo de ficheros y
sincronizacin. Una vez tenemos implementados los servicios de copia de seguridad en el
servidor (incluidas las imgenes del sistema que se explican ms adelante en este mismo
anexo) instalamos Microsoft OneDrive en el centro de servicios.
7
Una vez completado tenemos que crear una cuenta Microsoft para vincular a OneDrive,
utilizamos los siguientes datos:
Usuario: uErArreglo@outlook.com
Contrasea: la misma que el administrador de dominio.
Ya tenemos OneDrive instalado y funcionando en el servidor, podemos ver que esto es cierto
cuando el smbolo de la barra de tareas est en color blanco.
Por cada cambio que se produzca en el software servidor que pueda comprometer la
integridad del sistema (instalar un servicio, programa, rol, etc.) el administrador debe realizar
una imagen del sistema de forma manual.
8
Planificar la realizacin de una imagen del sistema servidor de forma automtica es
innecesario puesto que no se van a realizar grandes cambios sobre la implementacin ya
hecha. La informacin sensible es almacenada en otra ubicacin y con ste mtodo podemos
conseguir una restauracin rpida del sistema si ste cae por cualquier motivo. Caractersticas
de la copia:
Copia de particin reservada del sistema, raz local C: y estado del sistema. Utilizando Volume
Shadow Service (para ficheros vivos y/o protegidos). Copia sobre volumen BACKUP (E:).
Cuando el proceso de copia est en curso, muestra la tarea actual y el estado de los objetos de
copia.
Windows 8.1
Para los equipos cliente no es necesario crear una imagen de sistema completa para preservar
la integridad de los datos, ya que todos los equipos estn configurados de forma similar. Una
alternativa ms eficiente y razonable para este caso es copiar nicamente los perfiles de
usuario. Para ello vamos a utilizar la herramienta File History, propia de Windows.
Desde el panel de control, accedemos al historial de archivos File history. Esperamos unos
segundos hasta obtener la informacin de volmenes. En nuestro caso no hay ninguno, pero
tampoco lo necesitamos porque haremos uso de una ubicacin remota.
Revisamos los permisos de la carpeta donde ser alojada la copia, sobre la cual slo tienen
control los administradores de copia (unidad organizativa que incluye al administrador).
9
Aadimos la ubicacin remota donde almacenaremos la copia. En nuestro caso es
CSNV.crlnuevavida.es -> Volumen BACKUP -> WindowsImageBackup -> crlnv-adm.
Ahora, necesitamos aplicar esta operacin para el usuario del equipo. Para ello, creamos una
nueva carpeta dentro del directorio de copias con el nombre completo del usuario, por
ejemplo: dJuPerez@crlnuevavida.es y le otorgamos permisos de escritura sobre ella.
Una vez hecho esto, abrimos de nuevo el mdulo File History y establecemos, tal y como
hemos hecho anteriormente, el recurso de red destino para nuestra copia de respaldo.
Activamos el servicio para este usuario y por ltimo comprobamos desde el servidor que la
copia ha sido realizada con xito. Los cambios posteriores sobre datos o configuracin del
perfil de este usuario producirn la actualizacin automtica, cada hora (por defecto), de la
copia alojada en el servidor.
10
Comprobacin del guardado de datos y configuracin de dJuPerez en CRLNV-ADM-00.
Una vez finalizada la implementacin del plan de copias de seguridad en todos los sistemas,
procedemos a la ejecucin del mismo para comprobar que es correcto y viable.
Para realizar esta operacin es necesario que las mquinas pertenecientes al dominio estn en
funcionamiento. Ejecutamos la interfaz grfica de Cobian y ordenamos la ejecucin de todas
las tareas de copia.
11
Anexo E-80
Instalacin de Microsoft Windows
8.1
En este documento se detalla la instalacin y configuracin bsica
del sistema operativo que ejecutar n los equipos cliente
Lenguaje: English.
Formato de fecha y hora: Spanish (Spain, International Sort).
Teclado o mtodo de entrada: Spanish.
Para la administracin local del sistema necesitamos una contrasea de administrador local,
que no coincidir con la de administrador de dominio, ya que son perfiles distintos.
2
Asociacin del equipo al dominio crlnuevavida.es
Desde Mi equipo > Propiedades asociamos el equipo cliente al dominio crlnuevavida.es. Para
que esta operacin se realice correctamente necesitamos conectividad con el servidor, por lo
que anteriormente ha sido necesaria la configuracin de los interfaces de red. En dicha
configuracin he conectado dos interfaces de red, uno que comunica la mquina cliente con
Internet y otro de mbito local para la comunicacin con el equipo servidor y el resto de
clientes (Intranet).
Para aadir el equipo al catlogo global y por tanto que pase a formar parte del dominio (bajo
el nombre crlnv-adm-00.crlnuevavida.es, nombre de dominio) necesitamos autorizar la
operacin con las credenciales de un usuario de dominio, no servir una local, ya que es una
operacin sobre el controlador de dominio.
3
Asociacin a recurso compartido
Con el usuario dJuPerez, Juan Prez Departamento de direccin: Desde el cliente, una vez
hemos iniciado sesin, clic con el botn derecho en el escritorio y creamos un nuevo acceso
directo.
Escribimos el nombre de la
mquina que aloja el recurso,
en nuestro caso el servidor,
seguido de \ y el recurso
compartido.
4
Para comprobar si hemos realizado bien este paso, vamos a intentar acceder a otro
departamento sin tener autorizacin.
Juan Prez es miembro de direccin, por lo tanto no podr acceder a los documentos
compartidos entre los miembros de administracin.
5
Anexo E-81
Desviaciones y lecciones
aprendidas
Imprevistos encontrados a lo largo del desarrollo del proyecto.
Conclusiones sobre uso de herramientas, confi guraciones y
estrategias de uso
Planificacin
Diagrama de Gantt, estimacin de tiempos
He tenido que realizar correcciones importantes en la organizacin de fechas para el proyecto.
En un principio, estim un trabajo diario de tres horas sobre el proyecto, de lunes a viernes,
adems de considerar el sbado para corregir desviaciones en tiempo y completar lo
planificado si es necesario. Los exmenes en la convocatoria de enero han obligado a retrasar
el desarrollo del proyecto 30 das.
Diseo de la solucin
Configuracin IP, subredes
En un planteamiento inicial de la infraestructura de red, consider la posibilidad de aplicar
subredes al entorno de red. La motivacin de esta idea surge en los ejercicios habituales de
este tipo, en los cuales siempre aplican tcnicas de subredes para organizar los
departamentos, reas funcionales u otros tipos de separacin.
En este proyecto, dado que el nmero de equipos es reducido, no tiene sentido aplicar una
configuracin basada en subredes, por lo que decido no realizar una organizacin de este tipo.
Sin embargo, s planteo una propuesta de escalabilidad para contemplar posibles expansiones
de la red. De darse esas circunstancias, puede aplicarse la propuesta de subredes
documentada en la memoria.
Compenso esta desviacin con el margen de tiempo estimado para el hardware de sistemas
cliente, que me ha costado 1,5 horas menos de lo estimado.
2
En el presupuesto inicialmente no contemplaba la inclusin de mano de obra como parte del
precio, ya que forma parte de un proyecto educativo. Tras consultar con los tutores
responsables del proyecto este asunto he considerado ms adecuado incluir el precio de mano
de obra tambin. Consideramos que aporta mayor nivel de realismo y proximidad al coste real
de un proyecto de este tipo.
Implementacin de la solucin
Incompatibilidad de antivirus Avast y Microsoft Windows Server 2012
Durante la instalacin del software bsico en el servidor encuentro un problema de
compatibilidad del software antivirus con el sistema operativo.
3
Inicio de sesin en Microsoft Windows Server 2012
Tras las ltimas operaciones sobre directivas de seguridad: administracin de roles del sistema
y permisos sobre ellos, creacin de objetos (usuarios y grupos) en Active Directory, etc
Reinicio el servidor por mantenimiento del sistema operativo (planeado) y al volver a
arrancarlo y pulsar CTRL+ALT+SUPR me encuentro la siguiente pantalla de inicio:
Yo no tengo ese problema ya que utilizo un servidor virtualizado, as que antes de arrancar el
sistema en modo de recuperacin, pruebo a revisar la configuracin de controladores de la
mquina virtual. En primer lugar, deshabilito los controladores de almacenamiento (tanto
disco duro como lector DVD) y desmonto el disco duro virtual principal. Reinicio VirtualBox y
monto nicamente el controlador de disco duro, esencial para el arranque.
4
Copias de seguridad de Windows Server:
Windows Deployment Services y Administracin Remota
Los servicios de despliegue de Windows o WDS (Windows Deployment Services) son un
conjunto de servicios de sistema que permiten administrar de forma remota varias
funcionalidades, entre ellas las copias de seguridad de los sistemas (todos los sistemas
pertenecientes al dominio, no slo el servidor). El objetivo de su instalacin es centralizar la
tarea de copia, pero va a ser necesaria una alternativa ya que cuando trato de instalarlos
obtengo el siguiente mensaje de error:
Tampoco es posible utilizar wbadmin; tras instalar todas las dependencias y revisar el estado
del sistema con el comando sfc /scannow sin encontrar errores decido utilizar Cobian para
realizar la copia de respaldo. La copia utilizada para el estudio de implementacin de Windows
Server obtenida de DreamSpark tiene limitada su funcionalidad. No permite que los servicios
WDS y WBADMIN acten con normalidad.
5
La instalacin del sistema operativo es ntegra y no presenta problemas.
Solucin: uso de Cobian Backup para las copias de seguridad del sistema servidor.
Segn la documentacin del error 0x80070002 por Microsoft Support, debemos ejecutar un
comando especial de recuperacin que, a travs de Windows Update, restaura archivos de
sistema que puedan no estar configurados correctamente.
6
Ejecucin de herramienta de recuperacin
El siguiente paso para la reparacin consiste en ejecutar Windows Update y aplicar las
actualizaciones disponibles.
Una vez hecho esto vuelvo a comprobar la posibilidad de habilitar servicios necesarios para
que el sistema funcione, pero el problema sigue sin resolverse. Como ltimo recurso, voy a
volver a instalar la mquina servidor desde el principio descargando de nuevo la imagen de
instalacin.
7
Accesibilidad a carpetas compartidas entre mquinas:
Hora del sistema y seguridad
Problema de acceso a las carpetas compartidas desde el cliente. Compruebo la conectividad
mediante PING y es correcta. Los permisos sobre el recurso estn bien configurados por lo que
debera poder acceder sin problemas, pero no es posible.
Accediendo al reloj desde el cuadro de fecha y hora del cliente actualizamos la fecha y la hora
del sistema.
La instalacin de Virtualbox Guest Additions en la mquina virtual mantiene la hora y fecha del
sistema sincronizadas automticamente. De no hacerlo, es posible que al guardar el estado de
una mquina en vez de apagarla tengamos estos problemas.
Consigo identificar el problema cuando Cobian muestra un error: La ruta es demasiado larga
para el sistema de archivos de destino. Esto supone la interrupcin de la tarea de respaldo de
ficheros.
La solucin una vez encontrado el problema es sencilla: eliminar la carpeta OneDrive como
origen de la copia de respaldo. As rompemos el bucle y la operacin de backup se realiza con
normalidad. Asignamos una nueva ruta al directorio OneDrive para evitar en el futuro
problemas de este tipo (C:\OneDrive).
Este problema ha provocado adems que Windows no me permita eliminar la carpeta por
contener rutas de archivo demasiado largas, pero si ha sido posible la eliminacin accediendo
directamente al servicio OneDrive desde el navegador.
8
Cortafuegos a nivel de dominio y protocolo ICMP
Problema de conectividad al realizar una solicitud PING (protocolo ICMP) desde el servidor
hacia el cliente. Dicho cliente puede iniciar sesin en el dominio por lo que es capaz de
comunicarse con el servidor. Al realizar una solicitud del mismo tipo desde el servidor hacia el
cliente la comunicacin no presenta problemas.
Para solucionarlo, hay que acudir al servicio Firewall de Windows en el equipo cliente y
deshabilitarlo en el mbito de dominio. Para redes privadas y pblicas es importante
mantenerlo activado, slo permitir conexiones a travs del firewall de equipos que sean
previamente autenticados en el dominio.
Tras realizar esta operacin, la comunicacin cliente servidor se realiza sin problemas. Ambos
obtienen respuesta a sus respectivas solicitudes PING.
9
Lecciones aprendidas
Asociacin al dominio
Considero este cambio algo potencialmente inseguro, ya que cualquier usuario bsico puede
agregar un equipo al dominio. Mientras se pretende dar comodidad sobre una operacin no
especialmente ardua para el administrador, se incurre en un riesgo de seguridad.
Las copias de seguridad de la informacin de los usuarios es una operacin que puede llegar a
ser tremendamente costosa en esfuerzo de red y de los sistemas implicados, por lo que es vital
utilizar un recurso ligero, que copie exclusivamente aquello que se debe proteger y hacerlo de
forma automtica.
El servicio Historial de archivos de Windows es una buena opcin para realizar estas copias,
pero adems, podemos combinarlo con los servicios del dominio para asegurar la copia. Con
esto conseguimos eficiencia, seguridad y rendimiento:
10
Directivas de contraseas
Los requisitos de complejidad de contraseas en Windows Server 2012 son los siguientes:
Entonces, si queremos aplicar una directiva distinta a la propuesta, tendremos que cambiar de
sistema operativo.
En GNU/Linux, por ejemplo, las directivas de contraseas son a la carta, podemos editarlas
siguiendo nuestros propios criterios de complejidad utilizando la librera libpam-cracklib. El
uso de esta librera se asemeja al uso de expresiones regulares para validar cadenas de
caracteres. Podemos cambiar de este modo factores como:
Por el contrario, el mtodo de validacin de GNU/Linux descrito no evita utilizar parte del
nombre de usuario como parte de la contrasea.
11
Reiniciar el sistema
Por el contrario, en los equipos que ofrecen servicios permanentes y necesarios para el
funcionamiento de la organizacin, una operacin de reinicio es un compromiso importante.
Durante el desarrollo del proyecto han sido necesarios casi el mismo nmero de reinicios de
sistema para el servidor que para los clientes, lo que me parece un lastre importante si vamos
a elegir un sistema operativo servidor para una organizacin que necesita servicios activos
permanentemente.
Es un aspecto a mejorar por estos sistemas, ya que los entornos GNU/Linux de servidor
normalmente no requieren reinicios.
Por ejemplo: Una operacin de actualizacin de un servicio sobre Windows Server descarga la
actualizacin, la instala y exige un reinicio para que sta sea aplicada. En la actualizacin de un
servicio GNU/Linux, el daemon (servicio) afectado y sus posibles dependencias, si las hubiera,
se deshabilitan momentneamente, aplicndose en ese momento la actualizacin y
levantando el daemon de nuevo.
Ms rpido, menor tiempo de cada del servicio y, por tanto, mejor en casos de
implementacin de servicios crticos (por su disponibilidad).
La primera vez que utilizas unas credenciales concretas s existe conexin al servidor, ya que
necesita ir al archivo de contraseas del controlador de dominio para poder autenticar al
usuario.
12
El cliente prueba la conectividad al servidor (just
a moment) y si no lo encuentra hace uso de
una especie de cach SAM en la que contiene
credenciales de anteriores autenticaciones de
administradores de dominio.
Esta opcin tambin es posible con usuarios de dominio normales, siempre y cuando, como
los administradores de dominio, hayan sido autenticados previamente en el cliente cara al
dominio.
No parece la mejor opcin desde el punto de vista de la seguridad, ya que un cliente puede
almacenar credenciales de administrador. Por otra parte es un compromiso, de tal forma que
si el servidor no est disponible (por cada, mantenimiento, DoS) el cliente podr seguir
autenticndose en el dominio sin sobrecargar ms todava el servidor.
Hay casos en el proyecto en los que viene bien esta funcionalidad, concretamente en los
equipos de direccin. Como son equipos porttiles, cuando sean utilizados fuera de la red local
del centro podrn iniciar sesin con sus perfiles de dominio y acceder a sus ficheros contenidos
en dichos perfiles. Aun con esto, siempre ser preferible adoptar otra alternativa que permita
comunicarse con el controlador de dominio, como VPN (Virtual Private Network).
Desde Cobian Backup podemos incluir varios destinos para un mismo origen de copia en una
misma tarea, por lo que lo nico que necesitamos es incluir como destino el directorio
sincronizado con OneDrive.
As, aprovechando la sinergia que surge de combinar estas dos aplicaciones, conseguimos
replicar los datos sensibles y as protegerlos. No slo en un medio de proteccin local, sino que
adems almacenamos una copia protegida en un medio externo (una copia en la nube
utilizando un servicio Cloud).
13
Plano de distribucin de red
(situacin actual)
Nombre:
Office Office Office
Alberto Aparicio Colis
36 sq m 36 sq m 47 sq m
Proyecto:
Conceptualizacin, diseo e implementacin
de infraestructura de red
Office Office
169 sq m 169 sq m
Sala 1 Sala 2
Plano de distribucin de red
y sistemas informticos
Nombre:
Office Office Office
36 sq m 36 sq m 48 sq m
Alberto Aparicio Colis
Proyecto:
Conceptualizacin, diseo e implementacin
de infraestructura de red
Office Office
208 sq m 202 sq m
Sala 1 Sala 2
Leyenda de planos de red
Nombre:
Alberto Aparicio Colis
Proyecto:
Conceptualizacin, diseo e implementacin
de infraestructura de red
Host: servidor.
Office
Switch Ethernet
Impresora multifuncin
Anexo E-86
Seguridad a nivel humano
Enumeracin de buenas prcticas a seguir por el grupo de
trabajadores y usuarios. Compromiso por la seguridad de la
infraestructura del centro
4. Nunca se deben utilizar credenciales ajenas para realizar una tarea. Si existe una sesin
iniciada previamente en un equipo, cerrarla inmediatamente e iniciar sesin con el
perfil propio.
5. Bajo ningn concepto se debe dejar el equipo de trabajo desatendido sin bloquear
previamente la sesin (para bloquear: tecla Windows + L).
Registro de eventos
Fecha Tipo Descripcin Responsable
Instalacin de Conexin y puesta en marcha del equipo crlnv-adm-00 en el
12 / 7 / 2015 E. Arreglo
equipo. despacho de administracin.
Sustitucin de El ratn conectado a crlnv-adm-00 no funciona correctamente.
8 / 10 / 2015 E. Arreglo
perifrico Se sustituye el dispositivo.
Desplazamiento El equipo crlnv-adm-00 es desplazado al taller por problemas
2 / 11 / 2015 E. Arreglo
de equipo de inicio del sistema. En reparacin.
Nombre de equipo / N de serie Tipo Fecha de instalacin
crlnv-dir-00.crlnuevavida.es / 117740979562412 PC porttil 12 / 7 / 2015
Conexin a la red Direccin IP Direccin MAC
Cableada: a switch de distribucin 10.0.1.1 01:A2:29:C7:53:42
Departamento Grupo / U. Organizativa Ubicacin
Direccin Equipos direccin Despacho de Direccin
Registro de eventos
Fecha Tipo Descripcin Responsable
Instalacin de Conexin y puesta en marcha del equipo crlnv-dir-00 en el
12 / 7 / 2015 E. Arreglo
equipo. despacho de direccin.
Anexo E-88
Plan de pruebas
Documentacin de pruebas de sistemas desarrolladas siguiendo el
plan detallado en la memoria
Integridad de instalacin
Microsoft Windows Server 2012
Comprobar la integridad de los ficheros que conforman el sistema operativo servidor es
importante, como hemos podido comprobar en la fase de implementacin de ste. Para
realizar esta prueba, utilizaremos el comando sfc /scannow. Dicho comando ejecuta un
proceso que recorre todos los archivos que forman parte de la instalacin de Windows (y sus
actualizaciones posteriores) en busca de errores que puedan comprometer el funcionamiento
del sistema.
2
Microsoft Windows 8.1 (Equipos de administracin y direccin)
En el caso de los sistemas operativos ejecutados en los sistemas cliente, utilizaremos el mismo
comando, ya que tambin est disponible para esta versin. Una instalacin corrupta del
sistema operativo puede ocasionar diversos problemas, por ello, es conveniente incluir en el
plan de pruebas una fase de verificacin de instalacin de los sistemas operativos.
En Panel de control > Windows Update > Change Settings (o cambiar configuracin)
elegimos la opcin de instalar actualizaciones automticamente:
3
Ahora, hacemos clic en el
botn Install updates para
forzar la instalacin de
actualizaciones antes de
esperar a reiniciar el equipo
o apagarlo (ventana de
mantenimiento).
Necesitamos reiniciar el
servidor para que el sistema
aplique las actualizaciones.
En este caso ya fue configurado anteriormente el punto 1, por lo que podemos ver la
diferencia respecto al mensaje obtenido en el sistema operativo servidor. Sin realizar ms
operaciones, sencillamente reiniciamos el equipo. Estos equipos, al ser clientes y por tanto,
encendidos y apagados cada da, se actualizan automticamente.
No debera ser necesario reiniciar el sistema con tanta asiduidad, es un servidor y como tal
debe estar disponible en todo momento. En el anexo E-81 Desviaciones y lecciones
aprendidas (pgina 12) se detalla este hndicap de los sistemas operativos Windows Server.
4
Estado del software antivirus y anlisis de amenazas
Microsoft Security Essentials
En el servidor tenemos instalado el software de proteccin Microsoft Security Essentials, el
cual se actualiza de forma automtica, tanto el software antivirus como las definiciones de
virus.
Para comprobar el estado del servicio slo tenemos que abrir el programa y revisar la pgina
principal:
Por ltimo, para realizar un anlisis del sistema en busca de malware elegimos el tipo de
anlisis que queremos realizar y hacemos clic en Examinar ahora. Una vez concluye el
examen podemos revisar los resultados en la pantalla que aparece a continuacin:
Resultado del examen del sistema. Proteccin activa y definiciones de virus actualizadas.
Avast Antivirus
En los equipos cliente tenemos instalado y configurado Avast Antivirus como sistema de
proteccin contra malware. Al instalar Avast, ste sita en la barra inferior derecha de la
pantalla un icono. Si hacemos doble clic en este icono obtenemos la siguiente informacin:
Esta pantalla principal nos informa de que el software est activo y completamente
actualizado. Para realizar un anlisis del sistema podemos utilizar el mdulo de anlisis
inteligente clicando en el botn correspondiente.
5
El anlisis inteligente incluye un anlisis de la seguridad de red, anti-malware, actualizacin del
antivirus y busca elementos que considera perjudiciales en el equipo.
Si queremos utilizar herramientas de limpieza (nuestros equipos simulados ahora mismo estn
en perfecto estado) podemos instalar alternativas como CCleaner.
Todos los puntos anteriores del apartado de conectividad en el plan de pruebas han sido
evaluados desde las mquinas virtuales o mediante el esquema de simulacin realizado con
Cisco Packet Tracer.
En este ltimo punto vamos a utilizar Wireshark para monitorizar la actividad de la red y
comprobar que la comunicacin entre equipos es satisfactoria. En el ejemplo siguiente
provocamos la comunicacin entre el equipo de administracin (crlnv-adm-00 con IP 10.0.1.1)
y el servidor (CSNV con IP 10.0.0.100).
6
Al activar la captura de paquetes enviamos dos mensajes entre ambas mquinas,
intercambiando origen y destino para analizarlos:
Todo servidor, como parte de una red distribuida de equipos, ofrece servicios que, por sus
caractersticas, se encuentran centralizados en esa mquina en concreto. Cuando
implementamos los servicios de nuestra red sobre un sistema operativo Windows Server 2012,
podemos obtener fcilmente informacin sobre el estado actual de los servicios.
Dentro de la utilidad Administrador del servidor, tenemos un dashboard que acta como
panel global de informacin. Desde este mdulo accedemos a toda la informacin recogida en
este apartado del plan de pruebas.
7
Dashboard. Servicios activos en la mquina Windows Server 2012.
Una peticin DNS trata de resolver un nombre de dominio (por ejemplo CSNV.crlnuevavida.es)
con una direccin IP (10.0.0.100). Por lo tanto, DNS establece una relacin entre nombres de
dominio (o nombres DNS) y direcciones IP asociadas a esos nombres.
Cuando un cliente solicite datos de configuracin para su interfaz de red, este servicio
responder y le otorgar unos datos de configuracin IP vlidos durante un tiempo de
concesin limitado. Cuando ste expire, ser necesaria otra peticin DHCP.
8
AD DS (Active Directory Domain Services Servicios de dominio de Active
Directory)
El servicio AD DS es el ms complejo de los que forman parte del plan de pruebas. Se trata de
un grupo de servicios, todos ellos relacionados con la instalacin de dominio. Cuando
promocionamos un servidor a controlador de dominio, se instalan y habilitan todos estos
servicios:
Los servicios que forman parte de las dependencias de AD DS que deben funcionar
correctamente en este proyecto son:
Windows Time: Fecha y hora del sistema. Necesario por motivos de seguridad.
AD Web Services: Para implementacin de sitios Web con IIS para el entorno de
dominio.
AD Domain Services: Recursos de Active Directory, catlogo global y administracin de
usuarios, equipos y otros recursos del dominio.
Netlogon: Gestiona y verifica las peticiones de inicio de sesin de dominio.
DNS Server: Anteriormente revisado. Necesario para controlador de dominio.
Server: Rol de servidor en el dominio.
Kerberos KDC: Servicio de autenticacin. Incrementa notablemente la seguridad a la
hora de acceder al dominio iniciando sesin con credenciales de usuario.
9
Honeypot y cuentas de administracin de dominio
Imposibilidad de inicio de sesin como Administrador
En este punto comprobamos si efectivamente est bien configurado el apartado de cuentas de
administrador. Tal y como fue planteado, la cuenta de Administrador no debe poder ser
utilizada:
Aquel que realice un ataque intentar aprovecharse de esta cuenta (principalmente por su
nombre, que sugiere que le otorgar todos los permisos). Debemos comprobar que los puntos
anteriores se cumplen.
10
Como vimos en el punto Trfico de red, podemos monitorizar con Wireshark la conexin a la
red del servidor y rastrear mensajes de protocolos LDAP y KRB para saber desde dnde se est
intentando utilizar la cuenta.
11
Conceptualizacin, diseo e implementacin
de infraestructura de red
Alberto Aparicio Colis
Jess Mara Aransay Azofra Eloy Javier Mata Sots
Y tecnologas
Hardware y sistemas operativos
de ltima generacin Cloud
de Microsoft
R2 Standard x64
Imagen: CRL Nueva Vida. Las imgenes de marcas hardware/software son propiedad de sus respectivas marcas.
Licencia: Creative Commons BY-NC-ND. Alberto Aparicio Colis. Grado en Ingeniera Informtica - FCEAI