Comando Netsh
If you can't read please download the document
description
Informatica
Transcript of Comando Netsh
Usos del comando netsh: como modificar la configuracin TCP/IP de una PC de IP esttico a DHCP (y viceversa)POSTED BY EDDIE ON OCTOBER - 9 - 2009
Es bastante comn en las redes empresariales el tener que cambiar la configuracin TCP/IP de una computadora o servidor, ya sea de IP esttico (en la que la direccin de IP de la mquina es siempre la misma) a DHCP (en la que la direccin de IP es variable, asignada por un servidor DHCP al encender la mquina), o todo lo contrario. Normalmente para hacer esto tiene que ir un tcnico hasta el rea donde se encuentre la PC y hacer el cambio manualmente (buscando las conexiones de red, entrando a sus propiedades, entrando a las propiedades de TCP/IP, haciendo todos los cambios necesarios, aceptando los cambios, y cerrando todas las ventanas que abriste). Tambin se puede conectar remotamente utilizando RDP, VNC, DWMRC, o cualquier otro mtodo de conexin remota, pero adems de ser un mtodo algo tedioso, durante el proceso necesitas renovar la comunicacin IP y perders conexin temporeramente (lo cual puede ser un contratiempo incomodo). Es entonces cuando llegan a nuestra ayuda unos de los mejores amigos de todo administrador de redes: el scripting y la lnea de comando (o comandos de consola de texto). Estos son tus verdaderos amigos, siempre los echamos a un lado para estar con nuestros nuevos amigos GUI y Conexin Remota, sin embargo cuando los necesitamos siempre estn ah para ayudarnos deberamos darle un poco mas de cario a estos viejos amigos. Bueno, volviendo al tema, esta modificacin se puede hacer fcilmente escribiendo el siguiente comando netsh en el Command Prompt:
netsh interface ip set address Local Area Connection dhcpEste comando cambiara la configuracin TCP/IP de direccin IP esttica a direccin asignada por DHCP. Esto es asumiendo que tu conexin de red tiene como nombre Local Area Connection (que es el que se utiliza por default), si el nombre es otro debes modificar el comando segn sea necesario. Si no sabes el nombre, lo puedes averiguar con el siguiente comando:
netsh interface ip show configSi fuera todo lo contrario (o sea, que hay que cambiar la configuracin TCP/IP de DHCP a esttica), el comando sera el siguiente:
netsh interface ip set address Local Area Connection static {ip} {subnet}{gateway} {metric}
Por ejemplo, si quieres cambiar la configuracin TCP/IP de DHCP a una direccin IP esttica utilizando la direccin de IP 192.168.0.10 con subnet 255.255.255.0 y gateway 192.168.0.1 con mtrica 1, el comando sera:
netsh interface ip set address Local Area Connection static 192.168.0.10 255.255.255.0 192.168.0.1 1De esta forma estars haciendo con un solo comando lo mismo que te hubiera tomado abrir mltiples ventanas y escribir varias configuraciones. Y podemos ir mas all, podemos escribir el siguiente batch file en el notepad:
netsh interface ip set dns Local Area Connection dhcp netsh interface ip set wins Local Area Connection dhcp netsh interface ip set address Local Area Connection dhcp ipconfig /renewCon este bachito podras reconfigurar las opciones de DNS, WINS, y la direccin de IP de TCP/IP; cambiando las direcciones estticas por las asignadas por el servidor DHCP. Y podemos ir aun mas all. Utilizando la aplicacin PSEXEC (parte del conjunto de aplicaciones de administracin PSTOOLS de systernals, mas info aqu: http://technet.microsoft.com/enus/sysinternals/bb897553.aspx) podemos correr nuestro bachito desde la comodidad de nuestro escritorio y desde la consola de comandos de tu PC, sin tan siquiera tener que conectarnos remoto a la maquina. Asumiendo que guardaste el batch file en el directorio system32 de tu PC bajo el nombre IPtoDHCP.bat, solamente escribiras el siguiente comando:
psexec \\{computadora} -d -c IPtoDHCP.batDonde {computadora} es el nombre direccin IP de la PC. Nota que el comando ipconfig /renew desconectara la PC temporeramente de la red, por lo que te debes de asegurar de que el usuario no est haciendo nada que requiera una conexin continua a la red. Y tan tan, con un solo comando en tu computadora cambiaste toda la configuracin de TCP/IP de una PC. Este es un ejemplo de las muchas cosas que se pueden hacer por medio de comandos, batch files y scripts. Muchos piensan que son algo anticuados y que no tienen muchos usos, pero en realidad es una herramienta de trabajo muy potente que facilita muchas de las tareas administrativas diarias de una red. Y esto es aun mas cierto con la llegada de PowerShell, pero este ya es otro tema ;o)1. 1. Conecta tu disco usb a una PC Windows XP o ms reciente. Asegrate de que el sistema operativo reconozca tu disco.
2. Verifica la letra que el sistema operativo le asigno al disco. Esto lo puedes ver fcilmente abriendo My Computer. Para este ejemplo asumiremos que se le asign la letra X:. 3. Abre una ventana de lnea de comando (command prompt) presionando simultneamente las teclas de windows y r, escribes CMD y haces click en el botn de OK.
4. En el command prompt entras el comando convert x: /fs:ntfs donde x: es la letra asignada al disco removible. Es muy importante que no desconectes ni apagues tu disco removible durante este proceso. Y listo, el proceso tardar algunos minutos pero de todo salir bien, tu disco habr sido convertido a new technology file system (NTFS). Espero que le saques provecho a las ventajas que ofrece NTFS, cualquier duda o comentario no olvides dejar tu mensaje.
Firewall Windows con Seguridad Aadida1. Netsh advfirewall firewall 2. Nuevas Caractersticas de Seguridad en Directorio Activo: Controladores de Dominio de Slo Lectura 3. NAP (NetWork Access Protection) 4. Windows Deployment Services 5. Algunas Notas sobre Servicios en Windows Server LongHorn Por fin ha llegado, y la espera ha merecido la pena. La Beta 3 del nuevo sistema operativo Windows Server LongHorn, como solucin en servidores Microsoft ya est entre nosotros. Windows Server LongHorn tiene tras de s la larga experiencia adquirida por Microsoft en sistemas operativos Windows para servidores e incluye muchas nuevas caractersticas y mejoras tecnolgicas. Estas ayudarn a incrementar la seguridad, productividad, escalabilidad, as como a reducir considerablemente la carga del administrador en el desarrollo de sus tareas habituales. En comparacin con el sistema operativo anterior Ms Windows 2003, LongHorn nos ofrece toda una serie de mejoras as como nuevas caractersticas y funcionalidades. Pasamos a enumerar algunas de las novedades que consideramos como de mayor inters. Entre stas se encuentran el nuevo Server Manager, BitLocker Drive Encryption, Application Server Role, un nuevo Firewall de Windows con seguridad avanzada, NAP (NetWork Access Protection), Terminal Services Gateway, Terminal Services RemoteApp, Server Core, PowerShell, Backup, homogeneizacin de aplicaciones, as como otras muchas. En el presente artculo vamos a comentar y presentar con algo ms de detalle algunas de estas mejoras integradas en Windows Server LongHorn. A diferencia de otros lanzamientos realizados en productos y versiones anteriores, esta beta posee todas las funcionalidades del producto final. Es por ello que las modificaciones que se hagan al producto, tendrn que ver con cuestiones de rendimiento y optimizacin, pero la informacin que a partir de ahora presentemos ser por lo tanto perfectamente vlida.Server Manager. Configuracin inicial del Sistema. Inicialmente lo primero que encontramos en el arranque de Windows Server LongHorn, es la herramienta de configuracin inicial del sistema, en la que se nos muestra una serie de pasos a realizar para finalizar la configuracin de nuestro servidor. Podremos completar tareas de actualizacin del sistema, instalar features o complementos, implementar roles, establecer el horario, adscribir la maquina a un dominio, modificar la password de la cuenta administrativa, configurar la red, etc. En definitiva por lo tanto se observan los primeros pasos que un administrador debe de llevar a efecto a la hora de finalizar la instalacin inicial de un servidor. Mostramos en la siguiente imagen el cuadro correspondiente.
Una de las principales caractersticas que destacaramos inicialmente del nuevo sistema es el concepto de rol, as como su capacidad de implementarlo desde un primer momento. Es posible determinarlo inicialmente en funcin del tipo de servidor o servicio al que vayamos a dedicar la nueva mquina que estamos preparando. Servidores DHCP, controladores de dominio, servidores DNS, servidores de impresin, de Terminal Services, etc En Windows 2003 tenamos una herramienta similar pero que pas un tanto desapercibida. Esta se denominaba Configura tu servidor. Windows Server LongHorn, dando un paso ms, ha sido diseado con mdulos directamente ajustables al rol que necesitemos implementar en nuestros servidores de forma ms clara y directa. Para lograrlo disponemos de un componente del sistema denominado Server Manager, que sirve de base para la administracin del sistema, y que nos ayudar en todo momento a mantener un control estricto y preciso del sistema, todo ello de una forma sencilla y amigable Cuando administramos una red, por pequea que sea, los administradores siempre echamos de menos algo que nos facilite nuestras tareas habituales en cuando a administracin se refiere. A veces tenemos que administrar servidores de antivirus, Firewalls de aplicacin, herramientas del sistema operativo y un sinfn de tareas. Cada tarea requiere de una aplicacin, y cada aplicacin, necesita de su propia interface. En estas circunstancias las tareas se pueden volver algo ms tediosas, y en muchos casos, inseguras, al dejar de prestar la atencin debida o al vernos obligados a atender de forma simultnea varias interfaces de trabajo. Microsoft est apostando fuerte en este tema desde hace tiempo. Como clara demostracin de ello, aparecieron las nuevas consolas de administracin MMC, integrndose en
prcticamente la mayora de aplicaciones de Windows. Estas proporcionan un ambiente homogneo para todas las aplicaciones. Muchos de los administradores que se encuentre leyendo el presente artculo lo habrn comprobado directamente si dentro de sus tareas se encuentra la administracin de Internet Information Server, ISA Server 2006, Microsoft Forefront, etc En Windows 2003 disponamos de la herramienta "Administracin de equipos". Sin embargo se echaba en falta que en la misma consola se pudiesen instalar aplicaciones, extensiones, features, administrar el firewall, etc Para todas estas tareas era necesaria la apertura de otras ventanas, y en algunos casos incluso, necesitbamos otras aplicaciones. Es por ello que en determinados momentos la tarea de administrar varios elementos a la vez poda resultar, cuanto menos, pesada. Con "Server Manager" se resuelve positivamente esta circunstancia, ya que la herramienta se integra en las nuevas consolas de administracin MMC. De ste modo, en una misma consola, estamos capacitados para administrar una parte muy importante de nuestro sistema operativo, como son por ejemplo la administracin de usuarios y grupos, Windows Server Backup, tareas de particionamiento, administracin y redimensionado de discos, Firewall de Windows con seguridad avanzada, Tareas programadas, herramientas de diagnstico, servicios, roles, features, log de sucesos, junto a otras. Todo ello, como podemos observar en la imagen inferior, aparece ahora en una misma consola, sin necesidad de abrir otras aplicaciones o ventanas. Sustituimos as las consolas de Aadir o quitar complementos, Configura tu servidor o Administrar Servidor. De igual modo, desde esta consola de trabajo, podremos redimensionar nuestros discos, a la vez que aadimos reglas a nuestro Firewall, pasando por la creacin de tareas programadas o verificar que la realizacin de las copias de seguridad se est llevando a efecto de la forma adecuada.
Firewall Windows con Seguridad AadidaUno de los aspectos ms notables a destacar en materia de seguridad, ha sido la incorporacin del nuevo Firewall de Windows con seguridad aadida. De sus caractersticas novedosas enunciamos ahora algunas de considerable inters: soporte nativo para IPV6, la posibilidad de controlar el trfico tanto entrante como saliente, NAP (Network Access Protect), Hardening de servicios, la integracin con IPSEC, reglas aplicables a perfiles determinados, reglas basadas en directorio activo, usuarios, grupos y computadoras, etc.. De nuevo, y al estar integrada en su totalidad en las nuevas consolas de administracin MMC, se mejora bastante la administracin del mismo, pudindose crear, mediante asistentes grficos, reglas tanto de entrada como de salida, y pudiendo llegar a la personalizacin de estas reglas hasta el ms mnimo detalle.
Dependiendo de las reglas que queramos aplicar, podremos implementarlas en funcin de diversos factores: Nombre de aplicacin.- Es posible restringir o permitir a una aplicacin la conexin con el exterior. Puertos.- Es posible restringir o permitir a todos o a un nmero determinado de puertos la conexin. Direcciones IP.- -Es posible restringir o permitir a una direccin IP o un rango entero de direcciones la conexin con algn tipo de aplicacin o servicio. ICMP o ICMPV6.- Es posible restringir o permitir algn servicio de este tipo, como por ejemplo ping. Configuracin del protocolo Servicios.- Es posible restringir o permitir la conexin al exterior de algn servicio. Usuarios AD, locales, grupos o mquinas.- Es posible restringir o aplicar reglas para un determinado grupo de usuarios, usuarios de directorio activo o locales. Tipos de Interface.- Es posible aplicar o restringir las reglas en funcin del tipo de interface que tengamos en el equipo, ya sea Wireless, Ethernet, u otros. En la parte derecha de la consola del Firewall, disponemos de varias opciones tambin de inters para el administrador. Estas nos van a suministrar la oportunidad de exportar/importar directivas, as como el establecimiento de filtros en funcin del perfil, del estado de la conexin o de la pertenencia a grupos. Igualmente en la parte izquierda de la consola se nos presentan las opciones de configuracin y monitorizacin de reglas. Estas no van a permitir configurar tanto las reglas de entrada como las de salida, y monitorizar el estado de conexiones y actividad del Firewall. Finalmente en la parte central, podremos ver en todo momento el estado en que se encuentra nuestro Firewall. Siendo posible visualizar tambin los perfiles de conexin que nos proporciona por defecto Windows: Perfil de dominio, perfil privado y perfil pblico, as como los accesos para la creacin de reglas de entrada o salida y un apartado de recursos y documentacin. Si pulsamos en la parte izquierda sobre las opciones de reglas de entrada y reglas de salida, stas se nos mostrarn en el centro de la consola. En las propiedades es posible la visualizacin de los 3 tipos de perfiles: Perfil de Domino: Equipo que se conecta a una red corporativa, formando parte del directorio activo. Perfil privado: Equipo que se conecta a una LAN privada, como puede ser una red domstica por ejemplo. Perfil pblico: Equipo que se conecta a una red sobre la que no disponemos de control alguno. Cibercafs, aeropuertos, y otros escenarios similares son claros ejemplos de ello. Refirindonos a servidores podra servirnos como ilustrativa la instalacin de uno de ellos en una zona DMZ. En el momento de incorporar un servidor LongHorn a una red, automticamente se lleva a efecto la deteccin del tipo de red a la que nos estamos conectando. Por defecto, se activa
automticamente el perfil pblico. En funcin de la configuracin de nuestro Firewall, pasarn a aplicarse las reglas establecidas para el perfil en concreto seleccionado. Por ejemplo, si disponemos de una aplicacin a la que conectamos libremente desde casa pero no desde la oficina, podemos llevar a efecto la creacin de una regla que determine que es posible la conexin libremente a internet cuando estemos operando bajo el perfil privado, pero que no sea posible la misma cuando operemos a travs de un perfil de dominio. Con ello se facilita considerablemente la labor a los administradores, creando la misma regla pero con mbitos de accin diferentes en funcin del perfil.
Cada perfil es totalmente configurable, pudiendo desactivarlo o activarlo a nuestro gusto, creando archivos de log para cada uno de ellos, mostrando notificaciones de bloqueo, etc. lo cul evidentemente facilita y mejora las posibilidades de administracin asociadas. Es interesante indicar en este momento que en funcin del mbito de red que escojamos, las reglas configuradas por defecto sern ms o menos estrictas. El perfil ms restrictivo es el perfil pblico. Este debera ser el seleccionado si la instalacin de nuestro servidor se va a realizar en reas no controladas por nosotros al 100%, con una superficie de ataque amplia. Por el contrario, el perfil menos restrictivo es el de dominio. En este escenario la administracin ms centralizada y segura nos permite que las restricciones en funcin del perfil sean menores sin por ello menoscabar el nivel de seguridad deseado. Adicionalmente, y como todo complemento de Windows, el Firewall es tambin administrable 100% a travs de la lnea de comandos. Para ello disponemos de la herramienta netsh. Esta es una aplicacin que opera bajo lnea de comandos y que nos
permite administrar la configuracin de red de un equipo. Este tipo de administracin es posible realizarla tanto de forma local como remota. No olvidemos sin embargo que Netsh no slo sirve para administrar el Firewall de Windows, sino que no capacita tambin para la administracin al 100% de nuestra configuracin de red. Pudiendo as, y a travs de ella, administrar NAP, HTTP, RPC, configuraciones IP, solucionar problemas de WinSock, y otras funcionalidades y caractersticas propias del entorno de red, operando bien en remoto o local.La sintaxis del comando en cuestin es la siguiente:
Netsh advfirewall firewallDesarrollemos un ejemplo ilustrativo asociado. Ante la necesidad de tener que implantar una aplicacin que cumpla las siguientes condiciones: Salida al exterior de la intranet corporativa. Regla slo aplicable al perfil pblico. El Firewall debe permitir esta conexin, siendo transparente al resto de los perfiles. La sintaxis completa del comando sera la siguiente: Netsh advfirewall firewall add rule name=" Permitir aplicacin Contabilidad" dir=out program="C:\Archivos de programa\Aplicacin de Contabilidad\Contabilidad.exe" profile=public action=allow En donde, el apartado dir refleja la naturaleza de la regla (si es de entrada o de salida), el apartado profile refleja el mbito de la regla (perfil pblico, privado o de dominio) y el apartado action refleja la accin del firewall (permitir o denegar). Con netsh podremos crear y eliminar reglas, hacer backups de las mismas, etcOtra caracterstica novedosa del Firewall Windows es que su total integracin con el protocolo seguro IPSEC. Basndose, como ya indicbamos, toda la administracin en una consola nica. En versiones anteriores de Windows, los administradores tenamos que lidiar con el firewall y las reglas de IPSEC en consolas diferentes. Recuerdo cuando a veces creaba reglas IPSEC que luego me bloqueaba el Firewall. Me volva loco Ya no saba si era del Firewall, las reglas, el equipo, el cable, etc La diversidad de las consolas de trabajo era sin lugar a dudas una posible interferencia en la operativa del administrador que ahora ha sido subsanada. La total integracin del Firewall Windows con IPSEC en el nuevo sistema operativo no permite ver en una nica consola como se estn aplicando nuestras reglas, pudiendo ver con mayor detalle si sta se est efectuando correctamente, y reducir as la superficie de error.
Nuevas Caractersticas de Seguridad en Directorio Activo: Controladores de Dominio de Slo LecturaMe gustara abordar en este punto otra cuestin que creo que puede tener intrigados a muchos tcnicos, y que planteo desde una pregunta que me hicieron no hace mucho. La pregunta era "Un Controlador de Dominio puede aumentar la seguridad de una corporacin, si ste es administrado correctamente, pero qu pasa con los controladores a los que no podemos garantizar una seguridad fsica?." La respuesta es evidente e incluso inquietante.
Bastara que un hacker comprometiese el controlador de dominio para poder tener acceso a informacin sensible de toda la corporacin.LongHorn se ha pensado y diseado para ser implementado en muchos entornos, entre ellos el mismo escenario que plantebamos en el prrafo anterior. Una corporacin que necesita tener un DC (Domain Crontoler) replicando y situado en una ubicacin de la que no podemos garantizar su seguridad ni fsica, ni lgica. Para atender a esta circunstancia nace una nueva figura, el Controlador de Dominio de solo lectura (RODC Read Only Domain Controller) Este nos permite que podamos implementar un DC con una base de datos del dominio de solo lectura.
Un RODC mantiene los mismos atributos y objetos que un controlador de dominio de escritura, con la excepcin de no poder hacer cambios en la base de datos. En su lugar, si alguna operacin necesita escribir en la base de datos, sta hace la replicacin en un controlador de dominio de escritura que a su vez, replica en el RODC.De este modo evitamos varios problemas, entre ellos dos importantes que anteriormente quedaban expuestos: La replicacin indebida a nuestro bosque, y una posible exposicin de ataque. Adicionalmente reducimos la carga de replicacin a otros servidores, ya que como en un RODC no es posible escribir en la base de datos, ste no puede replicar. Es decir, en un RODC la replicacin siempre es nica y exclusivamente unidireccional. En la arquitectura de un RODC tambin se ha pensado en el almacenamiento de credenciales. Por defecto, en un
sistema basado en Windows, se guardan los 10 ltimos inicios de sesin. Se dise as para poder iniciar una sesin en un equipo miembro de un dominio, incluso si ste fallase por cualquier circunstancia. En escenarios donde no se puede garantizar una seguridad fsica ni lgica, esta cuestin puede representar un serio problema de seguridad. Aplicaciones como cachedump pueden ser utilizadas para recuperar las contraseas almacenadas en la cach del sistema. La opcin de cach del sistema se poda y se puede configurar de forma sencilla en cualquier Windows. Observando lo anterior un RODC no guarda credenciales de usuarios ni de equipos (establecido por defecto), salvo la de sus cuentas locales y la cuenta de sistema que se utiliza para la autenticacin kerberos (krbtgt), buscando de este modo eliminar o al menos minimizar los riesgos expuestos. Sin embargo en estas como en otras cuestiones no siempre llueve al gusto de todos y nos podemos encontrar con que esta limitacin respecto de la cach no sea la ms correcta en determinadas circunstancias. Es por ello que se ha pensado en la posibilidad de asignar cach para aquellas cuentas que precisemos oportunas. Si tenemos un RODC en una oficina externa, y sta oficina tiene 20 usuarios, podremos asignar cach a esos 20 usuarios y denegar al resto. Si por alguna razn, el RODC es comprometido o robado fsicamente, slo tendremos que restablecer las contraseas de estas cuentas. Al tener total seguridad de qu cuentas pueden ser comprometidas, reducimos el tiempo de accin de un administrador para solucionar la brecha de seguridad. Incluso podramos permitirnos el lujo de asignar una cuenta administrativa slo para manejar el RODC, pero sin acceso a los DC centrales con permiso de escritura. Server Core. Windows tambin puede operar sin ventanas. Pasamos en esta apartado a valorar otra novedad de LongHorn. El sistema nos aporta la posibilidad de llevar a efecto una instalacin mnima de servidor, tambin conocida como Server Core. El proceso en este caso es sumamente sencillo. Tan slo tendremos que seleccionar la opcin de Server Core, y se instalar el sistema base sin entorno grfico. Nada de instalaciones complicadas. Toda la instalacin a slo un clic de ratn.Con Server Core podremos realizar la instalacin mnima de un servidor, con slo funciones o roles necesarios que nos permitan desempear aquellas funcionalidades especficas para las que estemos generando el nuevo servidor. Evidentemente la metodologa en esta ocasin es bsica y se ocupa nicamente de atender los mnimos necesarios. La instalacin es mnima, ocupndose exclusivamente del sistema base, y el rol o roles que necesitemos que adicionalmente desempee el equipo. Todo ello sin sistema grfico, operando ntegramente travs de la Shell. Nuestro sistema Windows se ha quedado en esta ocasin sin ventanas. Supongamos, a modo de ejemplo, un escenario en el que necesitamos que un servidor adopte exclusivamente las funciones como DHCP y DNS. En una instalacin Server Code, sta se limitar al sistema base y una Shell de comandos. Posteriormente, a travs de sta, completaremos la instalacin con los servicios adicionales necesarios. Como ya indicbamos, un Windows sin Windows que sin embargo cubre las necesidades que se le demandan. Una vez instalado el sistema base, nos encontramos con un entorno de trabajo bsico. A muchos administradores puede parecerles incluso un tanto hostil, ya que carece de componentes grficos. Como veremos a continuacin, mantener y administrar un servidor de estas caractersticas no es, ni mucho menos, tan complejo como puede parecernos. A los ms veteranos de la administracin les resultar incluso familiar.
Abordemos un ejemplo prctico en mayor detalle para ilustrar este apartado. Una vez instalado el servidor en un modo Server Code, ste presenta una configuracin bsica no operativa y en nuestro ejemplo tendremos que desarrollar por lo tanto todos los procesos manualmente, sin apoyarnos en ningn asistente. De este modo modificaremos la password de administrador, cambiaremos el nombre de equipo, configuraremos la red, activaremos Windows, pasando posteriormente a actualizarlo. Finalmente instalaremos un rol y un complemento. A los ms antiguos del lugar les traer recuerdos sin lugar a dudas.
Para cambiar la password de la cuenta Administrator, utilizaremos el comando: Net user Administrator * El comando nos solicitar que introduzcamos una password, y posteriormente nos la volver a pedir para su verificacin. El asterisco se suele poner para no tipear la password en texto plano. Con esto evitamos a posibles "voyeur" que estn intentando visualizar lo que escribamos en pantalla. Posteriormente pasamos a modificar el nombre de equipo de la mquina, ya que tal vez el nos haya asignado la instalacin, no corresponda a la poltica corporativa de nomenclatura de mquinas. Cambiar el nombre de mquina es tan sencillo como formular adecuadamente el comando cuya sintaxis reflejamos a continuacin:Netdom renamecomputer /newname: Ejemplo:Netdom renamecomputer QFGPH-345P /newname: Sevw2k3prb01 Una vez que la password se ha modificado y el nombre de equipo se encuentra dentro de la poltica de nomenclatura de la empresa, procederemos a comprobar si el cliente DHCP y el cliente DNS estn en funcionamiento. Para ello bastar con teclear un query de servicios con el comando SC. Sc query DHCP Sc query DNS
Comprobado que tenemos estos servicios iniciados y en funcionamiento, es hora de asignar una direccin IP a nuestro adaptador Ethernet. Para ello utilizaremos el comando netsh. Primeramente tendremos que averiguar el nombre de nuestra interfaz. Para hacerlo teclearemos el siguiente comando: Netsh int show interface Este comando nos devolver el nombre de interface, informacin necesaria si posteriormente tuvisemos que modificar su direccin IP. Para establecer la direccin IP de un adaptador, existen dos posibilidades: direccionamiento dinmico (DHCP) o direccionamiento esttico. La operativa para recibir la direccin IP desde un servidor DHCP es bien sencilla. Simplemente tendremos que teclear el comando siguiente: Netsh int ip set address name="Local Area Connection" source=d.C. Para direccionamiento esttico, imaginemos que necesitamos asignar la direccin IP 192.168.4.120/Clase C y la puerta de enlace 192.168.4.250 a nuestro servidor. El nombre de la interfaz es Local Area Connection. El comando resultante sera el siguiente: Netsh int ip set address name="Local Area Connection" source=static address=192.168.4.120 mask=255.255.255.0 gateway=192.168.4.250 1 gwmetric=1 Una vez configurada la red, debemos realizar una comprobacin de conectividad que verifique que el proceso de configuracin se ha finalizado con xito.
Una vez realizado el test de conectividad procederemos a activar Windows. Para realizarlo, utilizaremos el siguiente comando: Slmgr.vbs ato Una vez activado Windows Server LongHorn, el sistema nos presenta una ventana informativa mostrndonos el estado de la actualizacin.
Avanzando en nuestro proceso de configuracin, y antes de instalar cualquier rol, podemos actualizar nuestro Windows Server LongHorn con las ltimas actualizaciones de seguridad. Para ello debemos de seguir una serie de pasos, que detallamos a continuacin: Lo primero que debemos hacer es configurar nuestro servidor para que se descargue actualizaciones cada cierto tiempo. En nuestro caso cada 3 horas. Estos trminos podemos establecerlos con el comando siguiente: Cscript C:\windows\system32\scregedit.wsf /AU /4
Una vez que hayamos configurado las actualizaciones, procederemos a parar y reiniciar el servicio de actualizaciones, para que ste recoja el cambio. Teclearemos los siguientes comandos: Net stop Wuauserv Net start Wuauserv Existen multitud de comandos que podemos emplear a travs de la Shell de Windows. Las posibilidades son amplias. Los lmites son nuestra imaginacin y conocimientos.Instalar un componente o algn rol no es muy distinto de lo que ya hemos explicado. La operativa a travs de la lnea de comandos es la misma, siendo la nica particularidad que tendremos que hacerlo a travs de una aplicacin denominada ocsetup.exe.
Si por ejemplo necesitsemos instalar un servidor DHCP en nuestro Windows Server LongHorn, ejecutaramos el siguiente comando: Ocsetup.exe DHCPServerCore Automticamente el sistema instalara un servidor DHCP en nuestro equipo. Actualmente la herramienta ocsetup es sensible a maysculas y minsculas, con lo que tendramos que escribir el comando exactamente como ha sido reflejado con anterioridad. Bitloker. Cifrado de Datos
Windows Server LongHorn incorpora una nueva funcionalidad en el campo de cifrado de datos. BitLocker. Este nuevo sistema garantiza la seguridad y la confidencialidad de los datos almacenados en el disco mediante cifrado. BitLocker va a ser el encargado de realizar los procesos de cifrado y descifrado de una forma totalmente transparente. Adicionalmente y a diferencia de Windows Vista, podemos extender el cifrado de datos a otros volmenes que utilicemos para tal fin. Este mismo mecanismo interviene tambin cuando el equipo entra en el modo de hibernacin o para garantizar tambin la seguridad del fichero de paginacin, los ficheros temporales y todos aquellos elementos que puedan contener informacin sensible. Los mecanismos de seguridad implementados por BitLocker se complementan mediante unas nuevas especificaciones de seguridad hardware llamada Trusted Platform Module (TPM). Este nuevo chip TPM proporciona una plataforma segura para el almacenamiento de claves, password o certificados, haciendo ms difcil el ataque contra las mismas. Una vez que el mecanismo de cifrado ha sido puesto en marcha, la clave de cifrado es eliminada del disco y posteriormente almacenada en el Chip TPM. Con objeto de defendernos de un posible ataque al sistema hardware que intente explotar posibles vulnerabilidades, se proporcionan mecanismos de autentificacin mediante sistemas adicionales tales como el uso de Token (llave USB) o una password (PIN) para evitar esta posibilidad. Cabe decir en este punto que aunque nuestros equipos no dispusieran de este mecanismo de seguridad, las especificaciones de BitLocker admiten su funcionalidad sin el chip TPM. El uso combinado de mecanismos hardware y software aumenta sensiblemente el porcentaje de posibilidades de xito a la hora de protegernos de aquellos ataques que tengan como objetivo la modificacin o alteracin de datos. Estos aunque cifrados podran ser manipulados mediante la explotacin de vulnerabilidades para poder posteriormente acceder a ellos. La implementacin de BitLocker requiere de la existencia de condiciones determinadas para poderla llevar a efecto. Un factor a considerar es que el sistema debe disponer al menos de dos particiones NTFS. Una de ellas, la particin activa, albergar el sistema de arranque y no se encontrar cifrada. Es por ello que BitLocker tambin proporciona mecanismos para garantizar que no se han producido modificaciones en el sistema de arranque del sistema, tales como los que pueden provenir de ataques tipo malware que pudieran producir un ataque colateral o el control del acceso al sistema. Los mecanismos de implementacin pueden variar en funcin del escenario que necesitemos implantar. Dependiendo del mismo son diversas las posibilidades. De este modo podremos utilizar BitLocker slo con TPM, con algn dispositivo de validacin (USB), TPM ms PIN, o TPM con dispositivo de validacin (USB). La implementacin de esta tecnologa depender fundamentalmente si nuestro hardware presenta o no el chip TPM. Si no lo llevase, la nica opcin posible sera el almacenamiento de clave bajo dispositivo USB. Para todos aquellos que necesiten utilizar el cifrado y no posean el Chip TPM, Windows Server LongHorn presenta una directiva de seguridad bajo la cul podemos condicionar el
uso de BitLocker sin el citado Chip. Por defecto el sistema slo admite la configuracin de BitLocker si el equipo cuenta con el Chip.
NAP (NetWork Access Protection)Sin lugar a dudas podemos afirmar que en la actualidad las redes corporativas y las no corporativas son cada da ms complicadas de administrar y securizar. Los escenarios presentan cada vez circunstancias de mayor dificultad: comerciales que conectan sus PDAs a los porttiles o equipos de sobremesa, conexin permanente por parte de los usuarios de dispositivos de almacenamiento externo, usuarios que presentan necesidades operativas en distintas redes de forma habitual son, junto a otros, claros ejemplos de ello. Desgraciadamente estas circunstancias incrementan considerablemente las mltiples amenazas de seguridad posibles como pueden ser malware, exploits, spyware, DOS, ScriptKiddies y otros. Estas aplicaciones pueden tomar el control de nuestro sistema, realizando acciones malvolas de forma totalmente transparente. Lo peor de todo, an as, es que adems pueden utilizar el sistema comprometido como puerta de entrada de otras amenazas. La caracterstica NAP (NetWork Access Protection) es otra de las novedades que nos ofrece Windows Server Longhorn en cuanto a la securizacin del sistema. Podemos utilizar NAP para paliar el impacto de situaciones como las antes indicadas, y optimizar el nivel de proteccin de la red corporativa y la informacin contenida en la misma.Esta tecnologa se pens en un principio para que estuviese presente en Microsoft Windows Server 2003 R2, pero finalmente en su lugar apareci NAQS (Network Access Quarantine Control)
integrndose con IAS (Internet Authentication Service) como solucin de control de acceso para clientes de acceso remoto. Esta implementacin a travs de una validacin del modelo de seguridad va vbscripting, fue algo que ms tarde apareci integrado en la solucin de Microsoft ISA Server 2004 a travs de una caracterstica conocida como VPN Quarantine. En el siguiente enlace podemos encontrar ms informacin al respecto: http://go.microsoft.com/fwlink/?LinkId=56447. La implementacin de NAP en Windows Server Longhorn nos permite especificar cul es la poltica de salud de nuestra red. De este modo se establecen una serie de condiciones que ayudarn a los administradores a determinar que equipos de los que se conecten a nuestra red desde cualquier medio (VPN, Internet, Wireless junto a otros) cumplen con una poltica de salud aceptable y acorde a las directrices de la seguridad corporativa. Si para nosotros una buena poltica de salud pasa por defendernos de las enfermedades, hacer ejercicio de forma constante, una buena alimentacin, etc., para un equipo una buena poltica de salud pasara por disponer de un antivirus a pleno funcionamiento y con las firmas actualizadas, tener instaladas todas las actualizaciones de seguridad, junto a otras medidas de securizacin que puedan considerarse como imprescindibles. Para los equipos que no cumpliese con la poltica de seguridad establecida, podran ser dos las circunstancias: en primer lugar que no fuese posible la conexin a nuestra red corporativa o como alternativa que esta fuese limitada. En este segundo caso la conexin se realizara pero en una red aislada de toda la corporacin, con acceso slo a algunos recursos, y a la espera de poder cumplir con los mnimos requisitos de salud.Con NAP podremos: Asegurar una poltica de salud en nuestros equipos que se configuren para DHCP, equipos que se conecten a travs de mecanismos de autenticacin 802.1X, VPN, y equipos que tengan una poltica de seguridad NAP IPSEC aplicadas a sus comunicaciones. Reforzar la poltica de seguridad y de salud en equipos porttiles, cuando stos vuelvan a conectarse a nuestra red Restringir el acceso a nuestra red a todo equipo que no cumpla con la poltica de salud de la compaa NAP tambin incluye una API (Aplication Programming Interface) para desarrolladores. A travs de ella ser posible la generacin de componentes de seguridad realizados a medida de las necesidades del sistema corporativoUna infraestructura NAP requiere de un servidor Windows Server LongHorn para su despliegue, y los clientes soportados son Windows Server LongHorn, Windows Vista y Windows XP SP2. Para ste ltimo, necesitamos instalar el cliente NAP para Windows XP, y que actualmente se puede descargar desde la Web http://connect.microsoft.com/.Estas tecnologas puede ser utilizadas en de forma independiente o junto a otras en funcin del modelo de seguridad y la infraestructura a utilizar. La implementacin de polticas de salud se realiza a travs de un NPS (Network Policy Server) disponible en Microsoft Windows Server LongHorn.y que reemplaza a IAS (Internet Authentication Service) presente en Microsoft Windows Server 2000/2003. NAP se va a responsabilizar de llevar a efecto una serie de acciones: Validacin de la poltica Aplicacin de NAP Restriccin (cuando sta es necesaria) Establecer las pautas para adecuar el nivel de salud de un cliente
Supervisin NPS (Network Policy Server) utiliza SHVs (System Health Validators) para analizar el estado de salud del equipo. SHVs viene incorporado dentro de las polticas de red, y determina la accin a tomar basndose en el estado de salud del equipo que se conecta. Como indicbamos las acciones que se pueden desencadenar son varias: conceder el acceso a toda la red en aquellas situaciones en que se cumplen las demandas de seguridad establecidas o por el contrario denegar el acceso o limitar el mismo a una red de cuarentena en caso contrario. El estado de salud de un equipo es monitorizado por una parte del cliente NAP, denominada SHAs (System Health Agent). La proteccin de acceso a la red utiliza en definitiva SHAs y SHVs para monitorizar, reforzar y remediar la configuracin de seguridad-salud de un equipo. Windows Security Health Validation y Windows Security Health Agent se encuentran incluidos en Windows Server LongHorn y Windows Vista. Ellos refuerzan las siguientes configuraciones en un entorno NAP protegido: El PC cliente tiene el Firewall instalado y en funcionamiento El PC cliente tiene el antivirus instalado y en funcionamiento El PC cliente tiene las ltimas bases de virus instaladas El PC cliente tiene el software anti-spyware instalado y en funcionamiento El PC cliente tiene las ltimas bases anti-spyware instaladas El PC cliente tiene habilitado Microsoft Update Services Si a todo esto aadimos un servidor WSUS, el cliente NAP puede verificar que las ltimas actualizaciones de seguridad estn instaladas en el equipo, basndose en uno de los cuatro niveles de seguridad establecidos por la plataforma Microsoft Security Response Center (MSRT). Como mencionbamos con anterioridad NAP puede ser configurado para denegar totalmente el acceso a la red, o permitir acceso slo a una red de cuarentena. En una red de cuarentena podremos encontrar servicios NAP, tales como servidores de certificados de salud (HRA), necesarios para la obtencin de certificados provenientes de una entidad certificadora (CA) o remediation servers (RS). Estos ltimos disponen los recursos necesarios para que aquellos clientes que no tengan un nivel de salud ptimo, puedan realizar ciertas tareas. Como opcin podemos disponer tambin en la red de cuarentena de recursos que permitan actualizar los equipos con las ltimas actualizaciones de seguridad, bases de virus, bases anti-spyware, y otros.Una breve descripcin del proceso sera la siguiente. El agente de salud del sistema (SHAs) contiene la informacin de salud de los equipos. ste pasa la informacin a un servidor NPS. El validador de salud (SHVs) del servidor de polticas de red (NPS) realiza el proceso de validacin de la poltica de salud del equipo cliente, y determina si cumple los requisitos para poder conectarse a la red. Si no los cumple, manda a este equipo a una red de cuarentena, en donde dispondr de los recursos necesarios para que se pueda actualizar acorde a la poltica de salud de la red corporativa.Con NAP tambin nos es posible configurar los servicios de remediacin, para que stos automticamente actualicen los equipos en funcin de la poltica de salud de la empresa. Analicemos un ejemplo de posible intervencin
de estos servicios. En una poltica de seguridad donde los equipos deban disponer del Firewall Windows activado, si habilitamos la opcin en automtico (servicios de remediacin), aquel cliente que no tenga disponga del firewall de Windows activado, sera enviado a un segmento de red de cuarentena, y los componentes NAP del cliente habilitaran el firewall de Windows sin intervencin del usuario. La operativa de NAP es posible en diversos escenarios. Algunas posibilidades podran ser los siguientes: trfico protegido con IPSEC, 802.1X, VPN con acceso remoto, DHCP IPV4 (tanto para renovacin como concesin de direcciones). Describamos con algo ms de detalle estos escenarios. NAP para entornos IPSEC. Para la implementacin de NAP en entornos con IPSEC es necesario implantar una entidad certificadora de salud (HRA Server), un NPS Server y un cliente IPSEC. El HRA publica los certificados de salud X.509 para los clientes NAP. Estos certificados son utilizados para autenticar los clientes NAP cuando stos inician una comunicacin basada en IPSEC con otros clientes NAP de la intranet. Este es el mtodo ms seguro de aplicar NAP. NAP para entornos 802.1X. Para implementar esta solucin, necesitamos desplegar un servidor NPS y un componente (EAP). El servidor NPS enva la autenticacin basada en 802.1X a un punto de acceso de la red interna. Si el equipo cliente no cumpliese con alguna regla establecida, el servidor NPS limitara el acceso al cliente mandando al punto de acceso un filtro basado en direccin IP o identificador virtual. NAP para entornos VPN (Virtual Private Network). En esta ocasin necesitamos de un servidor y un cliente VPN. Usando NAP para entornos VPN, los servidores VPN pueden forzar el cumplimiento de la poltica de salud de la empresa cuando los clientes externos se conecten a nuestra intranet. Esta solucin proporciona los mecanismos necesarios para establecer una comunicacin segura entre un cliente externo y la red interna. NAP para entornos de configuracin dinmica de direcciones (DHCP). Para implementar esta solucin, necesitamos el componente NAP de un servidor DHCP y un servidor NAP. Usando DHCP, podemos cumplir con la poltica de salud de la empresa a travs de NPS y DHCP. Cuando un equipo intente renovar o solicitar una direccin IP (IPV4). El servidor limitara el acceso a los equipos que no cumpliesen con la poltica de salud de la empresa asignando direcciones IP reservadas para tal fin.Cada uno de estos mtodos de implementacin NAP tiene sus ventajas e inconvenientes, por lo que implantar una plataforma de este tipo en una corporacin depender en gran medida de las necesidades de servicio y condiciones operativas de sta. NAP adicionalmente proporciona una API para desarrolladores que necesiten integrar su software a las necesidades de la empresa. Con ello las posibilidades de personalizacin de las soluciones es an mucho mayor.
Windows Deployment ServicesRespecto al despliegue de sistemas, en anteriores versiones de Windows disponamos de la herramienta RIS (Remote Installation Services). Con Windows Server LongHorn, esta herramienta se ha actualizado, denominndose ahora Windows Deployment Services. Se nos presenta como una serie de componentes que podremos utilizar para llevar a efecto con xito un despliegue masivo de equipos. Estos componentes estn organizados en tres categoras:
Componentes de servidor: Estos incluyen un entorno de pre-arranque (Pre-Boot Execution Environment o PXE) y un TFTP (Trivial File Transfer Protocol), componentes que necesitaremos para poder arrancar un cliente con soporte de red, y posteriormente instalar el sistema operativo. Tambin se incluyen directorios compartidos, repositorio de imgenes y los ficheros necesarios para poder realizar un despliegue. Componentes de cliente: Estos componentes incluyen un interfaz grfico que arranca con el Windows Preinstallation Environment (Windows PE). ste se comunica con el servidor de componentes para poder seleccionar e instalar la imagen del sistema operativo. Componentes de mantenimiento: Son una serie de herramientas que nos ayudarn a mantener el servidor, las imgenes de los sistemas operativos, junto a otras posibilidades. Gracias a esta tecnologa de despliegue podemos mantener e instalar equipos a travs de la red, sin que tengamos que estar fsicamente en el equipo. Al poder automatizar estas tareas, la corporacin gana en tiempo, mejora el mantenimiento y reduce el esfuerzo humano, con las consiguientes ventajas econmicas que ello supone. Si antiguamente, para implantar una oficina de 100 equipos con Windows XP, necesitbamos 3 administradores y 25 CD de instalacin, gracias a estas soluciones, ahorraramos coste humano y dejara de ser una necesidad el disponer de soporte de medios para el almacenamiento de esos sistemas operativos.
Algunas Notas sobre Servicios en Windows Server LongHornEn el campo de los servicios, Windows Server LongHorn ampla su uso del principio del mnimo privilegio mediante una reduccin, an mayor, de los privilegios y el acceso a los archivos y claves del Registro. Windows Server LongHorn crea una nueva cuenta de grupo, denominada Identificador de seguridad del servicio (SID), la cual es exclusiva de cada servicio. Un servicio puede establecer permisos en todos sus recursos, pero de forma que slo tenga acceso su SID de servicio. Esto impide que los servicios que se ejecutan bajo la misma cuenta de usuario puedan tener acceso si un servicio se ve en peligro. El SID de un servicio lo podemos ver tecleando en el intrprete de comandos o en Windows PowerShell el comando sc showsid seguido del nombre del servicio.Los SID de servicio protegen el acceso a los recursos que son propiedad de un servicio especfico, aunque de manera predeterminada los servicios continan pudiendo acceder a todos los objetos para los que la cuenta de usuario en la que se ejecutan tenga privilegios. Windows Server LongHorn introduce un nuevo tipo de servicio restringido denominado servicio restringido de escritura, que concede un acceso de escritura de servicio slo a aquellos objetos accesibles a su SID de servicio, al grupo Todos y al SID asignado a la sesin de inicio. Para ello se utilizan SID restringidos, un tipo de SID introducido en Windows 2000. Cuando el proceso que abre un objeto es un servicio restringido de escritura, el algoritmo de comprobacin de acceso cambia para que un SID que no se haya sido asignado a un proceso, no se pueda usar para conceder al proceso acceso de escritura a un objeto. Ahora, con Windows Server LongHorn, es ms sencillo que un servicio impida que otros servicios que se ejecutan en la misma cuenta tengan acceso a los objetos que ste servicio crea. En versiones anteriores de Windows, el autor de un objeto es tambin propietario de l, y como propietario del mismo, es capaz de leer y cambiar los permisos de sus objetos, concediendo acceso completo a sus propios objetos. Windows Server LongHorn introduce el nuevo SID de derechos de propietario, el cual, si existe en los permisos de un objeto, puede
limitar los accesos que un propietario tiene a su propio objeto, incluso eliminando el derecho de establecer y consultar los permisos.Cundo el Administrador de control de servicio inicia un proceso que hospeda uno o varios servicios de Windows, ste crea un token de seguridad (que incluye la cuenta de usuario de un proceso, las pertenencias a grupos y los privilegios de seguridad) para el proceso que contiene slo los privilegios necesarios para los servicios del proceso.Si un servicio especifica un privilegio que no est disponible para la cuenta en que se ejecuta, el servicio no se puede iniciar. Si ninguno de los servicios que se ejecutan en un proceso de cuenta de servicio local necesita algn tipo de privilegio, el Administrador de control de servicio elimina dicho privilegio del token de seguridad del proceso. Un cdigo malicioso no podr utilizar los privilegios no solicitados por los servicios que se ejecutan en el proceso. En Windows Server LongHorn, la elevacin de privilegios mediante inyecciones dll o suplantacin de tokens, es todava, si cabe, mucho ms difcil. Mantener el control de los servidores en una corporacin, y que los clientes puedan acceder a los recursos alojados en los servidores en una red, son prioridades fundamentales para los administradores. Partiendo de esta premisa, Windows Server LongHorn actualiza su rea de funcionalidad Internet Information Services 7.0 (IIS 7.0), que nos va a ayudar a los administradores a maximizar el control sobre los accesos a los servidores de red. Windows Server LongHorn ofrece una plataforma unificada para la publicacin web que integra IIS 7.0, ASP .NET, Windows Communication Foundation, Windows Workflow Foundation, y Windows SharePoint Services 3.0. Podemos presentar IIS 7.0 como una de las principales mejoras que se han introducido en esta nueva versin de sistema operativo servidor Windows. Juega un papel clave en la integracin de tecnologas Web. Ayuda a los desarrolladores y administradores a maximizar el control sobre las interfaces de Internet y de red. Para ello hace uso de sus potentes caractersticas, como son la administracin delegada, una seguridad mejorada, un rea de superficie menor para un posible ataque, aplicacin integrada y gestin del rendimiento para servicios web, as como herramientas mejoradas de administracin.Para aquellas empresas que tengan usuarios remotos, Windows Server LongHorn aade una serie de mejoras e innovaciones en los servicios de terminal (Terminal Services Web Access y Terminal Services Gateway). Con ello se facilita la integracin de aplicaciones remotas y locales en los equipos cliente, el acceso a estos mismos programas a travs de un navegador web, y el acceder a terminales y aplicaciones remotas a travs de firewalls. Esta nueva funcionalidad de Terminal Services Web Access ofrece una gran flexibilidad en el acceso a aplicaciones remotas a travs de un navegador web, aceptando una amplia variedad de formas en que el usuario puede hacer uso de los programas desde terminales remotos. Por su parte, Terminal Services Gateway permite al usuario acceder a terminales remotos y a programas de terminales remotos de una manera tipo firewall. Y todo ello sin tener que configurar nada en el cliente. Son otras muchas las novedades y mejoras que incorpora Windows Server LongHorn. Evidentemente no es posible analizarlas ntegramente en un simple artculo. Una mayor flexibilidad a la hora de controlar dominios que se encuentren en localizaciones no seguras, el uso y facilidad de integracin de aplicaciones de negocio junto a otros son claros ejemplos de ello y que por el momento no abordaremos de forma directa en el presente artculo. . Hemos pretendido con estas breves lneas en torno a Windows Server LongHorn realizar un breve acercamiento a alguna de las nuevas caractersticas y funcionalidades del sistema tanto
en el mbito de la seguridad, como en el nivel de aplicacin. Hemos simplemente destacado y mencionado alguna de las muchas innovaciones que hemos considerado de especial inters. En ningn trmino nuestro planteamiento ha sido generar con el presente artculo informacin tcnica de referencia, y bajo esta panormica deben ser asimilados los datos aqu recogidos. Ser necesario que administradores y tcnicos del sistema sigan trabajando y estudiando caractersticas y funcionalidades del nuevo entorno servidor Windows. Pero sin lugar a dudas este nuevo sistema les proporcionar mejores condiciones y herramientas para el correcto desarrollo de sus tareas habituales.
Curso de Redes y Windows 2008 Server1.4 Componentes IP ClavesPara que los dispositivos se puedan comunicar, los dispositivos emisores necesitan tanto las direcciones IP como las direcciones MAC de los dispositivos destino. Cuando tratan de comunicarse con dispositivos cuyas direcciones IP conocen, deben determinar las direcciones MAC. El conjunto TCP/IP tiene un protocolo, denominado ARP, que puede detectar automticamente la direccin MAC. ARP permite que un equipo descubra la direccin MAC del ordenador que est asociado con una direccin IP. No vamos a ver parmetros de este protocolo pero por ejemplo en una red local con varios equipos tenemos que con el comando ARP nos puede mostrar esta equivalencia de direccin IP direccin fsica. Por ejemplo:
La unidad bsica de transferencia de datos en IP es el paquete IP. El procesamiento de datagramas se lleva a cabo en el software, lo que significa que el contenido y el formato no dependen del hardware. El datagrama se divide en dos componentes principales: el encabezado,
que incluye las direcciones origen y destino, y los datos. Ya lo hemos comentado otras veces la informacin bsicamente se compone en el destinatario por un lado y el contenido...
Funciones del protocolo de resolucin de direccionesLos protocolos de Capa 3 determinan si los datos se transportan ms all de la capa de red hacia los niveles superiores del modelo OSI. Un paquete de datos debe contener una direccin MAC destino y una direccin IP destino. Si le falta una u otra direccin, los datos no se transportan desde la Capa 3 hacia las capas superiores. De esta manera, las direcciones MAC y las direcciones IP cumplen una funcin de equilibrio mutuo. Una vez que los dispositivos determinan las direcciones IP destino de los dispositivos destino, pueden agregar las direcciones MAC destino a los paquetes de datos. Hay muchas maneras en que los dispositivos pueden determinar las direcciones MAC que se deben agregar a los datos encapsulados. Algunos mantienen tablas que contienen todas las direcciones MAC y direcciones IP de los otros dispositivos que estn conectados a la misma LAN. Estas se denominan tablas de Protocolo de resolucin de direcciones (ARP), y asignan direcciones IP a las direcciones MAC correspondientes. Las tablas ARP son secciones de la memoria RAM, en las cuales la memoria cach se mantiene automticamente en cada uno de los dispositivos. Es raro que se deba efectuar una entrada en la tabla ARP manualmente. Cada ordenador de una red mantiene su propia tabla ARP. Siempre que un dispositivo de red desee enviar datos a travs de una red, usa la informacin que le suministra su tabla ARP. Ya hemos visto antes un ejemplo de cmo ver esta memoria de asignaciones ARP. Cuando un origen determina la direccin IP de un destino, el origen consulta su tabla ARP a fin de ubicar la direccin MAC del destino. Si la fuente ubica una entrada en su tabla (direccin IP destino para direccin MAC destino), enlaza o relaciona la direccin IP con la direccin MAC y la usa para encapsular los datos.
Operacin ARP dentro de una subredEs la situacin fcil: estamos en la misma red o subred. Si un equipo desea enviar datos a otro debe conocer la direccin IP destino. Si no puede encontrar la direccin MAC del destino en su propia tabla ARP, comienza un proceso denominado peticin ARP. La peticin ARP le permite descubrir la direccin MAC destino.
Un host genera un paquete de peticin ARP y lo enva a todos los dispositivos de la red. Para asegurarse de que todos los dispositivos vean la peticin ARP, el origen usa una direccin de broadcast MAC. La direccin de broadcast de un esquema de direccionamiento MAC tiene F hexadecimales en todas las posiciones. De este modo, una direccin de broadcast MAC tendra el formato FF-FF-FF-FF-FF-FF.) Como los paquetes de peticiones ARP se desplazan en un modo de broadcast, todos los dispositivos de una red local reciben los paquetes y los pasan a la capa de red donde se les realiza un examen ms amplio. Si la direccin IP de un dispositivo concuerda con la direccin IP destino de la peticin ARP, ese dispositivo responde enviando su direccin MAC al origen. Esto se denomina respuesta ARP. Ejemplo: El dispositivo origen 197.15.22.33 pide la direccin MAC del destino con la direccin IP 197.15.22.126, El dispositivo destino 197.15.22.126 recibe la peticin ARP y responde con una respuesta ARP que contiene su direccin MAC. Una vez que el dispositivo origen recibe la respuesta ARP, extrae la direccin MAC del encabezado MAC y actualiza su tabla ARP. Entonces el dispositivo origen puede direccionar los datos correctamente, con la direccin MAC destino y la direccin IP destino. El dispositivo usa esta nueva informacin para ejecutar encapsulamientos de Capa 2 y Capa 3 de los datos antes de enviarlos nuevamente a travs de la red Cuando los datos llegan a destino, la capa de enlace de datos verifica si hay concordancia, elimina el encabezado MAC, y transfiere los datos a la capa de red. La capa de red examina los datos y detecta que la direccin IP concuerda con la direccin IP destino que se transporta en el encabezado IP. La capa de red elimina el encabezado IP y transfiere los datos encapsulados hacia la siguiente capa superior del modelo OSI, la capa de transporte (Capa 4). Este proceso se repite hasta que el resto de los datos parcialmente desencapsulados del paquete llegan a la aplicacin, donde se pueden leer los datos del usuario No est nada mal, no? Acabamos de definir cmo funciona el trfico de una red, pero claro, es una red muy sencilla porque el origen y destino estn en la misma red. Pero para redes que no estn directamente conectadas... que pasa? Cmo descubre la MAC de mi amigo (que tiene el Messenger encendido) y me conecto con l para enviarle un archivo? Ahora veremos cmo realizar los saltos para encontrar estos datos...
Gateway (o pasarela) por defectoPara que un dispositivo se pueda comunicar con otro dispositivo de la red, debe suministrarle un gateway por defecto. Un gateway por defecto es la direccin IP de la interfaz en el router que se conecta con el segmento de red en el cual se encuentra ubicado el host origen. La direccin IP del gateway por defecto debe encontrarse en el mismo segmento de red que el host origen. Es decir, como hemos dicho antes, el Gateway es la IP de un dispositivo que nos permite conectar con otras redes. Anotacin Al gateway se le llama tambin pasarela o puerta de enlace porque precisamente es el sitio (direccin de un dispositivo) por el que pasaremos para conectaremos con otra red. Si no se ha definido ningn gateway por defecto, la comunicacin slo se puede realizar en el propio segmento de red lgica del dispositivo. Est claro, le decimos que no hay ningn dispositivo que nos conecte con otras redes por lo tanto slo funcionarn las direcciones IP de la
misma red. El ordenador que enva los datos realiza una comparacin entre la direccin IP destino y su propia tabla ARP. Si no encuentra coincidencias, debe tener una direccin IP por defecto que pueda utilizar. Si no hay un gateway por defecto, el ordenador origen no tiene ninguna direccin IP destino y el mensaje no se puede enviar.
Problemas por el envo de datos a nodos de diferentes redesUno de los principales problemas de las redes es cmo comunicarse con dispositivos que no se encuentran en el mismo segmento de red fsica. El problema puede dividirse en dos partes. La primera consiste en obtener la direccin MAC del host destino y la segunda consiste en transferir los paquetes de datos de un segmento de red a otro, a fin de obtener el equipo destino. ms que problema es la "grandeza" de nuestro protocolo que sabe cmo encontrar otro equipo en redes separadas a miles de kilmetros, que tiene su mrito...
Cmo ARP enva datos a las redes remotasARP utiliza paquetes de broadcast para lograr su funcin. Sin embargo, como hemos dicho en varias ocasiones los routers no envan paquetes de broadcast. Para que un dispositivo enve datos a la direccin MAC de un dispositivo que est ubicado en otro segmento de la red, el dispositivo origen enva los datos a un gateway por defecto. El gateway por defecto es la direccin IP del la interfaz del router conectada al mismo segmento de red fsica que el host origen. El host origen compara la direccin IP destino con su propia direccin IP para determinar si las dos direcciones IP se encuentran ubicadas en el mismo segmento. Si el dispositivo receptor no est ubicado en el mismo segmento, el dispositivo origen enva los datos al gateway por defecto Lee por favor el anterior prrafo otra vez, comprenders cmo se las ingenia para ir encontrando la MAC del destino y es que va utilizando los "gateways" o pasarelas como mtodo de conexin entre las redes... veamos dos esquemas de las preguntas que se hace en los dos casos: si el equipo est en la red local o no:
Destino TCP/IP local:
Destino TCP/IP no local
Protocolo ARP ProxyEl protocolo ARP proxy es una variante del protocolo ARP. En este caso, un dispositivo intermedio (por ej., un router) enva una respuesta ARP, de parte de un nodo final, hacia el host que realiza la peticin. Los routers que ejecutan el protocolo ARP proxy capturan paquetes ARP. Responden enviando sus direcciones MAC a aquellas peticiones en las que la direccin IP no se ubica dentro la gama de las direcciones de la subred local. En la descripcin anterior acerca de cmo se envan los datos a un host que se encuentra en una subred diferente, se configura el gateway por defecto. Si el host origen no tiene configurado un gateway por defecto, enva una peticin ARP. Todos los hosts del segmento, incluyendo el router, reciben la peticin ARP. El router compara la direccin IP destino con la direccin IP de subred para determinar si la direccin IP destino se encuentra en la misma subred que el host origen. Si la direccin de subred es la misma, el router descarta el paquete. El motivo por el cual se descarta el paquete es que la direccin IP destino est en el mismo segmento que la direccin IP origen. Esto significa que otro dispositivo del segmento debe responder a la peticin ARP. La excepcin a esto es que la direccin IP destino no est actualmente asignada, lo que puede generar una respuesta con error en el host origen.
Si la direccin de subred es distinta, el router responder con su propia direccin MAC a la interfaz que se encuentra directamente conectada al segmento en el cual est ubicado el host origen. Este es el protocolo ARP proxy. Dado que la direccin MAC no est disponible para el host destino, el router suministra su direccin MAC para obtener el paquete. Luego el router puede enviar la peticin ARP (basndose en la direccin IP destino) a la subred adecuada para que se realice la entrega
El equipo A le enva una peticin ARP al equipo F. El router procesa y contesta con su direccin MAC para asignarla a la direccin IP de F.
1.5 Protocolos y el enrutamientoEl protocolo Internet (IP) es un protocolo de capa de red, y como tal se puede enrutar a travs de una red. Los protocolos que suministran soporte para la capa de red se denominan protocolos enrutados o enrutables. Recuerda que el enrutamiento es la capacidad de los protocolos de red para localizar redes que estn en otros segmentos.
Otros protocolos enrutadosEl enfoque de esta introduccin es concentrarse en el protocolo enrutable ms comnmente utilizado, es decir, protocolo IP. Aunque nos ocuparemos principalmente del protocolo IP, es importante saber que existen otros protocolos enrutables. Otros dos protocolos son IPX/SPX (el antiguo utilizado en las redes Novell) y AppleTalk (de los equipos Apple). Mira este ejemplo de cmo se identifica una red y un equipo con TCP/IP y con Novell IPX:
Tipo General TCP/IP Novell
Red 1 10. 1aceb0b
Nodo 1 8.2.48 (mscara 255.0.0.0 0000.0c00.6e25
Protocolos enrutables y no enrutablesLos protocolos como, por ejemplo, IP, IPX/SPX y AppleTalk suministran soporte de Capa 3 as que son enrutables. Sin embargo, hay protocolos que no soportan Capa 3, que se clasifican como protocolos no enrutables. El ms comn de estos protocolos no enrutables es NetBEUI. NetBEUI es un protocolo pequeo, veloz y eficiente que est limitado a ejecutarse en un segmento. Era el que utilizbamos en las redes de Microsoft antes de establecerse TCP/IP como el estndar.
Caractersticas de un protocolo enrutablePara que un protocolo sea enrutable debe tener la capacidad de asignar un nmero de red y un nmero de equipo a cada dispositivo (debemos distinguir el equipo y la red). Algunos protocolos como el protocolo IPX (el que utilizaba las redes Novell, un sistema muy extendido antes...), slo necesitan que se le asigne un nmero de red; estos protocolos utilizan una direccin MAC de host como el nmero de host. Otros protocolos como IP, requieren que se suministre una direccin completa y la mscara de red. (La direccin de red se obtiene mediante una operacin AND de la direccin con la mscara de subred) Los protocolos de enrutamiento (ojo, no los confundas con los protocolos enrutables) determinan las rutas que siguen los protocolos enrutados hacia los destinos. Entre los ejemplos de protocolos de enrutamiento tenemos: Protocolo de Informacin de Enrutamiento (RIP) Protocolo de enrutamiento de gateway interior (IGRP) Protocolo de enrutamiento de gateway interior mejorado (EIGRP) Protocolo de primero la ruta libre ms corta (OSPF).
Las caractersticas de estos protocolos las veremos ahora con ms detalle, algunos son mejores y ms eficientes que otros... eso es lo que veremos ahora. Los protocolos de enrutamiento permiten que los routers conectados creen un mapa interno de los dems routers de la red o de Internet. Esto permite que se produzca el enrutamiento: la seleccin de la mejor ruta. Estos mapas forman parte de la tabla de enrutamiento de cada router.
Qu es un protocolo de enrutamiento?Los routers usan protocolos de enrutamiento para intercambiar tablas de enrutamiento y compartir informacin sobre stas. Dentro de una red, el protocolo ms comn que se usa para transferir la informacin de enrutamiento entre routers ubicados en la misma red, es el Protocolo de informacin de enrutamiento (RIP). Este Protocolo de gateway interior (IGP) calcula las distancias hasta el equipo destino en trminos de cuntos saltos (es decir, cuntos routers) debe atravesar un paquete. El RIP permite que los routers actualicen sus tablas de enrutamiento a
intervalos programables, generalmente cada 30 segundos. Una de las desventajas de los routers que usan RIP es que se conectan constantemente con sus vecinos para actualizar las tablas de enrutamiento, generando as una gran cantidad de trfico de red. Date cuenta que en una red muy grande con muchos routers mantener todas las tablas de rutas de todos sera realmente complejo para el administrador y un error podra dejar zonas de las redes a "oscuras". Por eso existen estos protocolos para que si en un router aado una nueva ruta porque he conectado otra red (por ejemplo otra delegacin) automticamente le va a comunicar estos cambios a los dems routers... El RIP permite que los routers determinen cul es la ruta que se debe usar para enviar los datos. Esto lo hace mediante un concepto denominado vector-distancia. Se contabiliza un salto cada vez que los datos atraviesan un router es decir, pasan por un nuevo nmero de red, esto se considera equivalente a un salto. Una ruta que tiene un nmero de saltos igual a 4 indica que los datos que se transportan por la ruta deben atravesar cuatro routers antes de llegar a su destino final en la red. Si hay mltiples rutas hacia un destino, la ruta con el menor nmero de saltos es la ruta seleccionada por el router. Como el nmero de saltos es la nica mtrica de enrutamiento utilizada por el RIP, no necesariamente selecciona la ruta ms rpida hacia su destino. La mtrica es un sistema de medidas que se utiliza para la toma de decisiones. luego veremos otros protocolos de enrutamiento que utilizan otras mtricas adems del nmero de saltos, para encontrar la mejor ruta a travs de la cual se pueden transportar datos. Sin embargo, RIP contina siendo muy popular y se sigue implementando ampliamente. La principal razn de esto es que fue uno de los primeros protocolos de enrutamiento que se desarrollaron. Otro de los problemas que presenta el uso del RIP es que a veces un destino puede estar ubicado demasiado lejos como para ser alcanzable. RIP permite un lmite mximo de quince para el nmero de saltos a travs de los cuales se pueden enviar datos. La red destino se considera inalcanzable si se encuentra a ms de quince saltos de router. As que resumiendo, el RIP: Es un protocolo de enrutamiento por vector de distancia La nica medida que utiliza (mtrica) es el nmero de saltos El nmero mximo de saltos es de 15 Se actualiza cada 30 segundos No garantiza que la ruta elegida sea la ms rpida Genera mucho trfico con las actualizaciones
Secuencia de encapsulamiento de enrutamientoEn la capa de enlace de datos, el datagrama IP se encapsula en una trama. El datagrama, incluyendo el encabezado IP, se maneja como si fuera datos. El router recibe la trama, elimina el encabezado de la trama, luego verifica la direccin IP destino del encabezado IP. El router luego busca esa direccin destino en la tabla de enrutamiento, encapsula los datos en una trama de capa de enlace de datos y la enva hacia la interfaz correspondiente. Si no encuentra la direccin IP destino, el router descarta el paquete Esto es ya algo mas complejo y no hace falta que tengamos tantos conocimientos pero es una lectura muy interesante para los que queris meteros en el mundo de los servidores que obligatoriamente implica amplios conocimientos de redes.
1.6 Servicios de red orientados o no a conexinLa mayora de los servicios de red usan un sistema de entrega no orientado a conexin. Estos servicios manejan cada paquete por separado y lo envan a travs de la red. Los paquetes pueden tomar distintas rutas para atravesar la red, pero se vuelven a ensamblar cuando llegan a su destino. En un sistema no orientado a conexin, no se hace contacto con el destino antes de que se enve el paquete. Una buena analoga para un sistema de entrega no orientado a conexin es el sistema de correos. No se hace contacto con el destinatario antes de que la carta se enve desde un destino a otro. La carta se enva hacia su destino y el destinatario se entera de su existencia cuando la recibe. Suponemos (Correos mediante) que la carta llega a su destino.
Servicios de red orientados a conexinEn los sistemas orientados a conexin, se establece una conexin entre emisor y receptor antes de que se transfieran los datos. Un ejemplo de una red orientada a conexin es el sistema telefnico. Se hace una llamada, se establece una conexin y luego se produce la comunicacin.
Comparacin de los procesos de red no orientados a conexin y orientados a conexinLos procesos de redes no orientados a conexin se definen como conmutados por paquetes. En estos procesos, a medida que los paquetes se transportan desde el origen hasta el destino, se pueden pasar a distintas rutas, as como tambin (posiblemente) llegar fuera del orden correcto. Los dispositivos realizan la determinacin de ruta para cada paquete basndose en diversos criterios. Algunos de los criterios como, por ejemplo, el ancho de banda disponible, puede variar de un paquete a otro. Los procesos de red orientados a conexin a menudo se denominan conmutados por circuito. Estos procesos establecen en primer lugar una conexin con el receptor y luego comienza la transferencia de datos. Todos los paquetes se transportan de forma secuencial a travs del mismo circuito fsico, o ms comnmente, a travs del mismo circuito virtual. Internet es una enorme red no orientada a conexin en la cual la entrega de paquetes es manejada por IP. TCP (Capa 4) agrega servicios orientados a conexin en la parte superior de IP (Capa 3). Los segmentos TCP se encapsulan en paquetes IP para ser transportados a travs de Internet. TCP proporciona servicios orientados a conexin para permitir una entrega fiable de los datos
Fjate bien en los dos grficos para que veas la diferencia, en un caso slo utiliza una va de comunicacin y en la otra utiliza varias.
Como agregar rutas estaticas en Centos/ClearOSPor mas que busque dentro del administracion web de ClearOs no logre encontrar como agregar rutas estaticas a las tablas de ruteo. Segun he leido la ruta especifica se debe de asociar a una interfaz de red (NIC) directamente. Luego la ruta se habilita o deshabilita cuando la interfaz a su vez se enciende o apaga.
Configuracion de eth1Como ejemplo digamos que necesito configurar la interface de LAN eth1 para que pueda conocer la red 192.168.1.x. Para amarrar esta red necesito configurar una ruta estatica para que las PCs clientes dentro de mi LAN puedan conectarse, para lo cual creamos el archivo /etc/sysconfig/network-scripts/route-eth1, con la siguiente informacion:192.168.99.0/24 via 192.168.1.100
Luego de guardar el archivo, activamos la ruta al levantar la interfaz de red tecleando desde la terminal el comando:/sbin/ifup eth1
Si ya existiera el archivo con rutas, tan solo nos desplegara mensajes de error indicando que dichas rutas ya existen. Para cambiar o eliminar una ruta ya definida, es necesario re-cargar la tabla de ruteo:
/sbin/ifdown eth1 /sbin/ifup eth1
Como agregar rutas TcpIP a la tabla de ruteo de Windows24/01/2011 By fher98 En todo sistema operativo la tabla de rutas es la encargada de dirigir hacia donde deben continuar los paquetes para llegar a su destino. Dichos paquetes al ser enviados por el sistema deben de ser forwardeados hacia un swich o router y luego al ISP hasta el internet. Cuando tenemos un entorno de pruebas o estamos desarrollando una nueva red para una empresa o quizas por el deseo puro por aprender y obtener conocimiento, sera necesario, en media que la red vaya creciendo mas y mas compleja, el agregar a nuestra topologia las rutas adicionales necesarias para la comunicacion de los servicios propios de nuestra internetworking. Para agregar rutas estaticas a nuestra maquina abrimos la consola de Windows o el D.O.S y escribimos;C:\> route ADD 192.168.1.0 MASK 255.255.255.0 10.0.1.100
Donde,
192.168.1.0 es la red o destino final al cual deseamos conectarnos. 255.255.255.0 es la mascara de la red destino 10.0.1.100 es el host que nos sirve de pasarela de red para conectarnos a las 192.168.1.0.
Como hacer la ruta estatica en Windows permanenteAhora bien, ya realizamos nuestras pruebas con el ruteo y fueron exitosas. Pero al reiniciar la computadora con windows, esta ruta se pierde. Para configurar la nueva ruta permanentemente y que sea cargada automaticamente cada vez que arranque Windows, le debemos de agregar la bandera -p, de la siguiente manera;C:\> route -p ADD 192.168.1.0 MASK 255.255.255.0 10.0.1.100
Este comando me ha funcionado como lo he descrito anteriormente en Windows XP, Windows 2003 y 2008 server, en Windows 7 no lo he probado.
Introduccin a la Administracin de una Red Local basada en Internet1 - El problemaEste trabajo trata fundamentalmente sobre los aspectos "lgicos"de la arquitectura de red. Lo que puede o no puede hacer una red est generalmente determinado por los protocolos que dicha red soporta y la calidad de sus implementaciones, ms que por la tecnologa concreta de red usada, como Ethernet, Token Ring, etc. Adems, en la prctica, la eleccin de la tecnologa de red est basada en decisiones puramente pragmticas: qu tipo de red soporta el tipo de ordenadores que queremos conectar, las distancias entre los equipos, las caractersticas del cableado, etc. Por regla general, se suele usar Ethernet para sistemas de media escala, Ethernet o una red basada en el cableado de par trenzado para pequeas redes, o redes de alta velocidad (tpicamente Token Ring) para la red principal de un campus y para redes de superordenadores, que ejecutan aplicaciones de altas prestaciones. Por tanto, vamos a asumir que hemos llegado a conectar "fsicamenteunas redes individuales, del tipo Ethernet o Token Ring. Ahora nos enfrentamos a los siguientes problemas interrelacionados: ~- configurar el software necesario, ~- conectar las distintas Redes Ethernet, Token Ring, etc, para formar una nica red de forma coherente, ~- conectar las redes al mundo exterior, o sea, Internet. Las anteriores decisiones requieren un pequeo anlisis. De hecho, la mayora de las redes necesitan una arquitectura", que determina la manera en que se asignan las direcciones, cmo se hace el enrutado y otras elecciones, sobre cmo los ordenadores interaccionan con la red. Estas decisiones deben hacerse para la red en su conjunto, preferiblemente cuando se esta procediendo a su instalacin inicial. Terminologa Vamos a usar el trmino IP para referirnos a las redes diseadas para trabajar con TCP/IP. IP es el protocolo a nivel de red de la familia de protocolos TCP/IP, usados en Internet. Es una prctica comn usar el trmino IP cuando nos referimos a direcciones, enrutamiento y otros elementos a nivel de red. La distincin muchas veces no es lo suficientemente clara. As que, en la prctica, los trminos Internet TCP/IP e IP pueden parecer incluso intercambiables. Los trminos paquete y datagrama tambin suelen parecer intercambiables. Conceptualmente, un paquete es la unidad fsica de ms bajo nivel, mientras que datagrama se rere a la unidad de datos a nivel IP. Sin embargo, en la mayora de las redes no se pueden distinguir porque coinciden, as que la gente suele usar los dos trminos indistintamente. Otro trmino conflictivo es el de pasarela (gateway) y enrutador (router). Pasarela es el trmino original usado en Internet. Sin embargo, la comunidad OSI empez a usar esta palabra con un significado distinto, as que la gente empez a usar enrutador para evitar dicha ambiguedad. Nosotros, no obstante, seguiremos usando el trmino gateway.
2 - Asignacin de direcciones y enrutamiento
Muchas de las decisiones que se necesitan para la configuracin de una red IP depende del enrutamiento. En general, un datagrama IP pasa a travs de numerosas redes mientras se desplaza entre el origen y el destino. Veamos un ejemplo tpico: Red 1 Red 2 Red 3 128.6.4 128.6.21 128.121
============================== ========== ==================== ||||||| _| _| || || _| 128.6.4.2 128.6.4.3 128.6.4.1 128.6.21.1 128.121.50.2 128.6.21.2 128.121.50.1 _ ordenador A ordenador B gateway R gateway S ordenador C Este grfico muestra tres ordenadores, 2 gateways y tres redes. Las redes pueden ser Ethernet, Token Ring o de cualquier otro tipo. La red 2 podra ser una lnea punto a punto que conecta los gateways R y S. El ordenador A puede enviar datagramas al B directamente, usando la red 1. Sin embargo, no puede llegar al ordenador C directamente, puesto que no estn en la misma red. Hay varias maneras de conectar redes. En el grfico asumimos el uso de gateways (ms adelante veremos otras alternativas). En este caso, los datagramas que van desde A a C deben ser enviados a travs del gateway R, red 2 y gateway S. Todos los ordenadores que usan TCP/IP necesitan que se les suministre la informacin y algoritmos apropiados para que puedan saber cundo un datagrama debe ser enviado a travs de un gateway, y elegir el gateway apropiado. El enrutado est ntimamente relacionado con la asignacin de direcciones. Podemos apreciar que la direccin de cada ordenador comienza con el nmero de la red a la que pertenece. Por tanto, 128.6.4.2 y 128.6.4.3 se encuentran en la red 128.6.4. Luego los gateways, cuyo trabajo es conectar dos redes, tienen una direccin de ambas redes. Por ejemplo, el gateway R conecta la red 128.6.4 y 128.6.21. Su conexin a la red 128.6.4 tiene la direccin 128.6.4.1. Su conexin a la red 128.6.21 tiene la direccin 128.6.21.2. Debido a esta relacin entre direcciones y redes, las decisiones de enrutado deben basarse estrictamente en el nmero de red de destino. La informacin de enrutamiento del ordenador A tendr el siguiente aspecto: red gateway mtrica -128.6.4 - 0 128.6.21 128.6.4.1 1 128.121 128.6.4.1 2 En esta tabla, el ordenador A puede enviar datagramas a los ordenadores de la red 128.6.4 directamente, y para los datagramas a los ordenadores de las redes 128.6.21 y 128.121 es necesario usar el gateway R. La "mtrica"ser usada por algn tipo de algoritmo de enrutamiento, como medida de la lejana del destinatario. En nuestro caso, la mtrica simplemente indica cuantos diagramas tiene que atravesar para llegar a su destino (conocida como "cuenta de saltos").
Cuando el ordenador A est listo para enviar un datagrama se examina la direccin del destinatario. Comparamos el inicio de dicha direccin de red con las direcciones de la tabla de enrutamiento. Las distintas entradas de la tabla indican si el datagrama debe ser enviado directamente, o a un gateway. Un gateway consiste simplemente en un ordenador conectado a dos redes diferentes, y est habilitado para enviar datagramas entre ellos. En muchos casos es ms eficiente usar un equipo especialmente diseado para desempear el papel de gateway. Sin embargo, es perfectamente posible usar un ordenador, siempre y cuando tenga ms de un interfaz de red y un software capaz de enviar datagramas. Un gateway tiene varias direcciones, una para cada red a la que est conectado. Aqu encontramos una diferencia entre IP y otros protocolos de red: cada interface de un ordenador tiene una direccin. Con otros protocolos, cada ordenador tiene una nica direccin, aplicable a todos sus interfaces. Un gateway entre las redes 128.6.4 y 128.6.21 tendr una direccin que comience por 128.6.4 (por ejemplo, 128.6.4.1). Esta direccin se rere a su conexin a la red 128.6.4. Tambin tendr una direccin que comience con 128.6.21 (por ejemplo, 128.6.21.2). Esta se rere a su conexin a la red 128.6.21. El trmino "red"generalmente se suele identificar a dispositivos del tipo Ethernet, en la cual varias mquinas estn conectadas. Sin embargo, tambin se aplica a lneas punto a punto. En el grfico anterior, las redes 1 y 3 podran estar en ciudades distintas; la red 2 podra ser una lnea serie, un enlace satlite, u otro tipo de conexin punto a punto. Una lnea punto a punto es tratada como una red que consta slo de dos ordenadores. Como cualquier otra red, una lnea punto a punto tiene una direccin de red (en este caso, 128.6.21). Los sistemas conectados por la lnea (gateways R and S) tienen direcciones en dicha red (en este caso, 128.6.21.1 y 128.6.21.2). Es posible disear software que no necesite distintos nmeros de red para cada lnea punto a punto. En este caso, el interface entre el gateway y la lnea punto a punto no tiene una direccin. Esta solucin es apropiada cuando la red es tan grande que peligra el hecho de que nos quedemos sin direcciones. Sin embargo, tales "interfaces annimas"pueden dificultar bastante el manejo de la red. Puesto que no tienen direccin, el software de red no tiene manera de referirse a dicho interface, y, por tanto, no es posible obtener informacin sobre el ujo y los errores de la interface.
3 - Eligiendo una estructura de direccionesAntes de comenzar a montar una estructura de IP, necesitamos uno o ms nmeros de red oficiales. Una direccin IP tiene un aspecto como el siguiente: 128.6.4.3. Esta direccin slo podr ser usada por un 3. Eligiendo una estructura de direcciones. 5 ordenador de la Universidad de Marx. La primera parte de dicha direccin, 128.6, es un nmero de red asignado a dicha Universidad por una autoridad central. Por tanto, antes de asignar direcciones a nuestros ordenadores, deberemos obtener una direccin oficial de red. Sin embargo, alguna gente configura sus redes usando, o bien una direccin aleatoria o usando una direccin genrica suministrada por defecto en el equipo. Esta forma de trabajar podra funcionar en pequeas redes, pero seguramente no lo har en una mayor. Adems, es posible que quisiramos conectar nuestra red con la red de otra organizacin. Incluso si nuestra organizacin tuviese un gran control de seguridad, es posible que tuviramos un ordenador dedicado a la investigacin que estuviese conectado a una universidad u otra organizacin investigadora. Esta universidad o entidad estara seguramente conectada a una red de nivel nacional. Tan pronto como uno de nuestros datagramas salga de nuestra red local va a provocar un estado de confusin en la organizacin con la que nos comuniquemos, porque la direccin que aparece en nuestros datagramas est probablemente asignada oficialmente a alguien distinto. La solucin es simple: obtener una direccin propia desde el principio. Adems, no cuesta nada. La decisin ms importante que tenemos que hacer para configurar una red es, sin lugar a dudas,
cmo asignar las direcciones IP a los ordenadores. Esta eleccin debe de hacerse desde el punto de vista de cmo nuestra red puede crecer. Si no se hiciese as, es casi seguro que tendremos que cambiar las direcciones en un futuro. Y cuando tengamos varios cientos de ordenadores, cambiar tantas direcciones es casi imposible. Las direcciones son muy importantes porque los datagramas IP son enrutados en base a dicha direccin. Por ejemplo, las direcciones de la Universidad Rutgers tienen una estructura de dos niveles. Una direccin tpica puede ser 128.6.4.3. La direccin 128.6 es la asignada a dicha Universidad. Visto desde el exterior, 128.6 es una simple red. Cualquier datagrama enviado desde el exterior, que comience por 128.6, se dirigir al gateway ms cercano de la Universidad Rutgers. Sin embargo, dentro de Rutgers dividimos el espacio de direcciones en "subredes". Usamos los siguientes 8 bits de direccin para indicar a qu subred pertenece el ordenador. As, 128.6.4.3 pertenece a la subred 128.6.4. Generalmente, las subredes se corresponden con redes "fsicaso reales, por ejemplo una red Ethernet; sin embargo, veremos algunas excepciones ms adelante. Los sistemas dentro de Rutgers, a diferencia de los de fuera, contienen informacin sobre la estructura de subredes de Rutgers. As, una vez que un datagrama para 128.6.4.3 llega a Rutgers, la red de Rutgers lo enrutar hacia la Ethernet, Token Ring o cualquier otro tipo de red del departamento que tiene asignado la subred 128.6.4. Cuando queremos configurar una red, hay varias decisiones de direccionamiento que debemos afrontar: Dividimos nuestro espacio de direcciones? Si lo hacemos, usamos subredes o direcciones de clase C? Cmo debe ser de grande el espacio de direcciones que necesitamos? Debemos subdividir nuestro espacio en direcciones No es absolutamente necesario usar subredes. Hay mecanismos que permiten actuar a un campus o compaa completa como una simple y gran Ethernet, as que no es necesario un enrutamiento interno. Si usamos estas tecnologas, entonces no necesitaremos dividir nuestro espacio de direcciones. En este caso, la nica decisin que tenemos que tomar es la de qu clase de direccin debemos de usar. Sin embargo, recomendamos usar un enfoque de subredes o cualquier otro mtodo de subdividir nuestro espacio de direccin en varias redes: fi En la seccin 6.2. discutiremos que los gateways internos son recomendables para todas las redes, ms all de su simplicidad. fi Incluso si no necesitamos gateways en estos momentos, podemos descubrir que tarde o temprano necesitaremos usarlos. De esta manera, probablemente tiene sentido asignar direcciones como si cada 3. Eligiendo una estructura de direcciones. 6 Ethernet o Token Ring fuera una subred separada. Esto permitir hacer conversiones a subredes reales, si esto es necesario. fi Por razones de mantenimiento, es conveniente tener direcciones cuya estructura corresponda con la estructura de la red. Por ejemplo, si vemos un datagrama extraviado procedente del sistema 128.6.4.3, es de bastante ayuda saber que todas las direcciones que comienzan por 128.6.4 se en cuentran en un determinado edificio. Subredes y mltiples numeros de red Supongamos que estamos convencidos de que es una buena idea imponer alguna estructura en nuestras direcciones. La siguiente cuestin es cul es la ms adecuada. Hay dos enfoques bsicos: subredes y mltiples nmeros de red. Los estndares de Internet especifican el formato de las direcciones. Para las direcciones que comienzan entre 128 y 191 (las ms usadas actualmente), los dos primeros octetos forman el nmero de red; por ejemplo, en 140.3.50.1, 140.3 es el nmero de red. Los nmeros de red estn asignados a una organizacin particular. Qu hacemos con los dos siguientes octetos que le siguen?. Podram
