Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Administración de Redes
Trabajo Integrador
Administración de Puestos

1-Dado el siguiente escenario, realice genere el direccionamiento de red

adecuado. Tener en cuenta lo siguiente:

i) DMZ: no existen más de 5 hosts.

ii) El dominio adminredes.com.ar debe direccionar aproximadamente
130 hosts. Considerar el crecimiento de un 20% en los próximos 2
años.
iii) El direccionamiento propuesto debe utilizar algunos de los rangos de
direcciones privadas recomendados para estos casos.
iv) No se debe direccionar más allá de lo estrictamente necesario

2) Los servicios de redes básicos a configurar: dns (principal y secundario,

reenviadores), dhcp, servidor web interno (se lo referencia internamente
con el nombre serverweb)., compuerta de enlace predeterminada.
3) El dominio adminredes.com.ar debe contar con siguientes departamentos:
Ventas, Compras, Publicidad
a) Cada uno de estas áreas deberá disponer de una impresora
departamental , que se configurará por políticas cada vez que el
usuario ingresa a su perfil.
b) Dispondrán de un recurso compartido en el servidor de archivos, el cual
se debe mapear automáticamente cada vez que el usuario hace un
logon en la red.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

c) Tendrán un escritorio personalizado: imagen de fondo que identifique al

departamento, acceso limitado a las funciones de configuración.
d) En cada departamento existen usuarios (no todos) que deben tener por
cuestiones de operatividad, un escritorio móvil.
4) Generando los permisos adecuados en el firewall del cliente, habilitar
administración de los puestos.
5) Proponer software de administración remota de clientes, que estén en
concordancia con el diseño de la red y que no comprometa el esquema
de seguridad.

Seguridad y Acceso a Internet

6) Establecer políticas se seguridad en los puestos de trabajo, que permitan lo

siguiente:
a) Establecer períodos de tiempo de validez de las contraseñas.
b) Establecer una contraseña mínima de 5 caracteres.
c) Si el puesto esta mas de 30 minutos sin usarse, bloquear el mismo.
d) Bloquear la cuenta si tiene más de 3 intentos fallidos.
e) Establecer rango de horarios para las cuentas de cada departamento:
8:00hs-12:00hs y de 16:00hs a 20:00hs.
7) En cuanto a las aplicaciones, impedir que se usen aplicaciones
determinadas. Proponer la forma de hacerlo.
8) El acceso a internet de sebe configurar en forma automática a cada
departamento, excepto venta, que solo dispondrá del servicio de correo
interno.
9) Limitar el acceso a internet para cada departamento en franjas horarias de
2 horas por la tarde y dos horas por la mañana.

-Para el cumplimiento de todos los puntos, si es necesario, instalar los servicios

necesarios.

-Generar la documentación pertinente, donde quede establecido

explícitamente las configuraciones realizadas y las limitaciones de la mismas.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Desarrollo

Introducción

Para resolver el siguiente escenario utilizamos dos máquinas virtuales, donde

una tendrá Windows 2003 server, exponiendo los servicios de DNS, controlador
de dominio, DHCP y Firewall, mientras que para consumir estos servicios
tendremos un cliente con Windows Xp service Pack 2. Para los servicios de
Firewall utilizamos el producto ISA 2004 standard edition.

1) Para la configuración del DHCP seguimos la siguiente secuencia de pasos :

Primero buscamos dentro del Manage your Server à Manage this DHCP Server

Para configurar el mismo y agregarle un rango de ip de las cuales se vana

asignar a los usuarios.

Se abre la consola administradora del DHCP

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Iniciamos el asistente para agregar un nuevo scope para el rango de ips y

otras configuraciones :

Creamos uno asignándole un nombre

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Elegimos un rango de ips según nuestra topología de red y la expectativa de

crecimiento de la misma:

En la misma tenemos 130 pcs conectadas y se espera un crecimiento del 20%:

Asignamos un grupo de ip privadas del tipo 192.168.0.0

La ip .5 esta reservada para el servidor de dominio.

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Luego agregamos el tiempo de duración de las ip de cada usuario:

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Para que cuando un usuario se conecta al router y busque el dhcp. le fijamos

una dirección:

Especificamos el dominio:
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Por ultimo le decimos que deje activo ese scope:

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Finalmente tenemos asignado el scope con sus propiedades seteadas:

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

2) Configurando servicio de DNS y controladores de dominio

Para configurar los diferentes servicios podemos utilizar el asistente.

Básicamente al configurar el controlador de dominio nos solicitará configurar el
servicio de DNS.

El servidor que realizará la función de controlador de dominio debe (o debería)

ser el servidor de DNS.

Por eso en el parámetro servidor de DNS preferido ponemos la dirección de

localhost 127.0.0.1
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Configurando los servicios mediante el wizard

Una vez configurado el controlador de dominios podemos verificar los valores

mediante el comando set el cual nos muestra las principales variables de
entorno.

Comando set

Una vez compobado la configuración deberemos incluir las terminales al

dominio, para realizar esto vamos a MI PC Nombre de equipo y agregamos el
nombre de dominio adminredes.com.ar, un paso anterior a este es configurar
que el sevidor DNS preferido sea la dirección del controlador de dominio (en
nuestro escenario 192.168.0.5)

Si todo a salido bien el siguiente mensaje nos debería aparecer

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

3) Creando los departamentos Compras, Ventas y Publicidad

Nuestra estrategia de creación fue la siguiente por cada departamento se

creo una unidad organizativa y dentro de cada unidad se crearon unidades
hijas que contendrían los usuarios del escenario.

Donde a cada unidad organizativa puede tener sus propias políticas de grupo
GPO.

Políticas aplicadas en el escenario, aquí tenemos algunas de las políticas

utilizadas en el escenario:

• Forzar que el usuario utilice el inicio clásico de Windows

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

• Prohibir la ejecución de aplicaciones predeterminadas de Windows

• Y este es el mensaje que nos emite cuando queremos ejecutar alguna

de las aplicaciones incluidas en la política.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Dentro de las políticas aplicadas con respecto a la seguridad tenemos las

siguientes:

• Que los usuarios puedan loguearse de lunes a viernes de 8 a 10 y de 16

a 20 horas

• Y este es el mensaje cuando nos logueamos fuera de este intervalo de

tiempo.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

• Período de validez de la contraseña

• Cantidad mínima de caracteres

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Para configurar un usuario móvil tenemos dos técnicas

• La primera y más rústica consiste en copiar todo el profile de un usuario

(Datos de aplicación, Mis documentos, etc) a una carpeta compartida
en el servidor, con permisos de solo lectura. Luego en la configuración
del usuario móvil se deberá setear en el parámetro Profile la dirección
de la carpeta que contiene el profile copiado previamente.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

• La segunda consiste en aplicar la políticas de grupo referidas al

redireccionamiento, donde podemos configurar para las carpetas
datos de aplicación, escritorio, mis documentos y menú inicio.

4) Configurando el ISA Server

Capacidades destacables

Monitorizacion

A modo de demostración de una de las posibilidades del ISA Server por mas
que no requiera la consigna y que queremos resaltar es la posibilidad ver en
tiempo real el trafico del firewall.

ISA Server 2004 y 2006 realizan todas las decisiones de que trafico está
permitido y que trafico no lo está conforme a las reglas que tengan creadas.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Figura, 1. Monitorizando el trafico en tiempo real (1)

Figura, 2. Monitorizando el trafico en tiempo real (2)

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Figura, 3. Monitorizando el trafico en tiempo real (3) Editando el filtro.

Con este filtro veremos en tiempo real todo el tráfico que produzca la maquina
192.168.0.30.
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Figura, 4. Monitorizando el tráfico en tiempo real (4) Filtro ya creado.

Viendo el resultado de la monitorización podremos averiguar que protocolos y

destinos tendremos que poner en una regla para que funcione. También será
Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

fácil ver por qué alguna regla no funciona y solucionarlo. Es un aspecto

importante de las capacidades que ofrece isa Server, de manera de poder
controlar en tiempo real el trafico de la red.

Precedencia de Reglas

Otro aspecto a tener en cuenta a la hora del planeamiento de las reglas es

considerar el orden que cada una tiene con respecto a las demás es decir;
una regla A que precede a otra B resulta en el producto o en la suma de las
dos reglas ,evaluándose así la regla A en 1º instancia y luego la B en definitiva
se tiene una regla formada por el producto de las 2 restricciones. En un
ejemplo mas ilustrativo

ISA Server 2004 y 2006 realizan todas las decisiones de que trafico está
permitido y que trafico no lo está conforme a las reglas que tengan creadas.

Las reglas tienen un orden, dicho orden puede afectar a cómo reacciona ISA
ante el trafico.

Adicionalmente ISA nos proporciona potentes herramientas para saber si las

reglas están funcionando bien o no.

El orden de las reglas si afecta el producto

El orden general en el que tenemos que poner las reglas es:

1º las reglas que denieguen el trafico de forma general.

2º Reglas que permitan el trafico de forma general.

3º Reglas que sean para ordenadores específicos (IPs)

4º Reglas para usuarios, urls o contenidos específicos.

5º Reglas de publicación

6º Otras reglas que permitan tráfico

Administración de Redes 2007 Corvalán Luis; Ibáñez Marcos, Ramirez Diego; Zini Hernán

Figura, 6. Orden de las reglas en la consola de ISA

De esta forma podemos averiguar cómo crear una regla que no sabemos qué
puertos usa o adonde va o ver por qué no funciona una regla especifica.

Conclusión sobre las herramientas

Windows 2003 server nos ofrece un entorno de administración sencillo y

potente a la vez, brindándonos herramientas como active directory la cual
está muy madura e integrada dentro de la plataforma win.

Por medio de la herramienta ISA Server pudimos aprender conceptos prácticos

que complementaron a lo aprendido en materias como InternetWorking y
Redes.

Conclusión sobre el trabajo

E l trabajo integrador nos sirvió para conocer diferentes herramientas

elementales para el perfil del IT Pro, además de poder por medio del mismo
adquirir conocimientos de administración muy requeridos en el mercado
laboral.