Download Conceptualización, diseño e implementación de infraestructura de

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
page
82
page
83
page
84
page
85
page
86
page
87
page
88
page
89
page
90
page
91
page
92
page
93
page
94
page
95
page
96
page
97
page
98
page
99
page
100
page
101
page
102
page
103
page
104
page
105
page
106
page
107
page
108
page
109
page
110
page
111
page
112
page
113
page
114
page
115
page
116
page
117
page
118
page
119
page
120
page
121
page
122
page
123
page
124
page
125
page
126
page
127
page
128
page
129
page
130
page
131
page
132
page
133
page
134
page
135
page
136
page
137
page
138
page
139
page
140
page
141
page
142
page
143
page
144
page
145
page
146
page
147
page
148
page
149
page
150
page
151
page
152
page
153
page
154
Document related concepts

Windows 2000 wikipedia , lookup

Univention Corporate Server wikipedia , lookup

Servidor wikipedia , lookup

Nova (sistema operativo) wikipedia , lookup

Microsoft Office Live wikipedia , lookup

Transcript 
TRABAJO FIN DE GRADO
Título
Conceptualización, diseño e implementación de
infraestructura de red. Caso de estudio: Centro de
Rehabilitación Laboral de Nueva Vida
Autor/es
Alberto Aparicio Colis
Director/es
Jesús María Aransay Azofra y Eloy Javier Mata Sotés
Facultad
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Titulación
Grado en Ingeniería Informática
Departamento
Curso Académico
2014-2015
Conceptualización, diseño e implementación de infraestructura de red. Caso
de estudio: Centro de Rehabilitación Laboral de Nueva Vida, trabajo fin de grado
de Alberto Aparicio Colis, dirigido por Jesús María Aransay Azofra y Eloy Javier Mata Sotés
(publicado por la Universidad de La Rioja), se difunde bajo una Licencia
Creative Commons Reconocimiento-NoComercial-SinObraDerivada 3.0 Unported.
Permisos que vayan más allá de lo cubierto por esta licencia pueden solicitarse a los
titulares del copyright.
©
©
El autor
Universidad de La Rioja, Servicio de Publicaciones, 2015
publicaciones.unirioja.es
E-mail: publicaciones@unirioja.es
Conceptualización,
diseño e implementación
de infraestructura de red
Caso de estudio:
Centro de Rehabilitación Laboral Nueva Vida
Alberto Aparicio Colis
Jesús María Aransay Azofra
Eloy Javier Mata Sotés
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Grado en Ingeniería Informática, Universidad de La Rioja
Departamento de Matemáticas y Computación
Curso académico 2014-2015
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
2
Resumen
“Conceptualización, diseño e implementación de infraestructura de red” es un proyecto de
sistemas informáticos y redes basado en un caso real. El cliente es el Centro de Rehabilitación
Laboral Nueva Vida, un centro de orientación y búsqueda de empleo para personas que
padecen enfermedad mental localizado en Madrid.
La red y los sistemas informáticos utilizados por los usuarios y el personal del centro están
obsoletos. Utilizan tecnologías y sistemas operativos antiguos que dificultan el desempeño de
los empleados, así como la formación y orientación de los usuarios.
El objetivo de este proyecto es proponer una solución que:




Facilite y agilice el trabajo del centro.
Optimice el rendimiento de la red y los sistemas.
Actualice el entorno de trabajo con los últimos sistemas operativos y tecnologías.
Minimice los costes aprovechando la infraestructura existente en la medida de lo
posible.
Summary
“Conceptualización, diseño e implementación de infraestructura de red” is a systems-networks
oriented project based on a real case. The client is the Centro de Rehabilitación Laboral Nueva
Vida, a centre of orientation and job searching for people who suffer mental illness located in
Madrid.
The network and the computing systems used by users and employees are obsolete. They use
old technologies and operating systems that difficult the work of the staff, as well as the users
training and orientation.
The objective of this project is to propose a solution that:




Facilitate and expedite the work done at the centre.
Optimize the network and systems performance.
Update the work environment with the newest technologies and operating systems.
Minimize costs taking advantage of the existing infrastructure as far as possible.
3
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
4
Índice
Capítulo 1: Descripción del proyecto
Introducción ................................................................................................................... 11
Captura de requisitos ..................................................................................................... 12
Enumeración de requisitos............................................................................................. 13
Definición del alcance..................................................................................................... 14
Metodología del TFG ...................................................................................................... 15
Cronograma .................................................................................................................... 15
Diagrama de Gantt ......................................................................................................... 21
Capítulo 2: Análisis de la situación actual
Visita al centro y conclusiones ....................................................................................... 22
Infraestructura a utilizar ................................................................................................. 22
Plano de la situación actual ............................................................................................ 23
Capítulo 3: Diseño de la solución
Infraestructura a renovar o ampliar ............................................................................... 24
Plano de distribución de sistemas .................................................................................. 25
Software de sistemas ..................................................................................................... 25
Hardware de sistemas .................................................................................................... 27
Presupuesto.................................................................................................................... 27
Estudio y configuración LAN ........................................................................................... 29
Informes de aplicaciones, seguridad y servicios ............................................................ 31
Capítulo 4: Implementación de la solución
Instalación de sistemas operativos ................................................................................ 38
Plan de pruebas .............................................................................................................. 40
Escenario de restauración .............................................................................................. 47
Capítulo 5: Conclusiones
Lecciones aprendidas ..................................................................................................... 56
Conclusión ...................................................................................................................... 59
Bibliografía...................................................................................................................... 60
5
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
6
Anexos
E–70
Formularios de consulta.
E–71
Diagrama de Gantt.
E–72
Memoria.
E–73
Reuniones y diario.
E–74
Hardware de sistemas.
E–75
Presupuesto de sistemas IT.
E–76
Presupuesto de software.
E–77
Esquema de copias de seguridad.
E–78
Instalación de Microsoft Windows Server 2012 R2.
E–79
Usuarios, grupos e implementación de seguridad.
E–80
Instalación de Microsoft Windows 8.1.
E–81
Desviaciones y lecciones aprendidas.
E–82
Plano de situación actual.
E–83
Plano de distribución.
E–84
Leyenda de planos de red.
E–85
Simulación de entorno de red.
E–86
Seguridad a nivel humano.
E–87
Fichas de sistemas.
E–88
Plan de pruebas.
7
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
8
A mi familia y amigos por formar parte de mi crecimiento personal y felicidad.
A mis tutores y profesores por ser parte activa de mi desarrollo profesional, aportar
valor a mi trabajo y contribuir en mi motivación cada día.
Dedicado a todos vosotros. Gracias.
9
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
10
Capítulo 1.
Descripción del proyecto
En el punto de partida enunciaremos, de forma general, los puntos que tratará el proyecto
durante su desarrollo. Definiremos el alcance y la metodología a seguir, además de enumerar
los requisitos a cumplir en cada uno de los apartados.
Introducción
El proyecto “Conceptualización, diseño e implementación de infraestructura de red” tiene
como objetivo estudiar la implementación de una infraestructura informática completa y
conectada. Consiste en analizar la infraestructura actual, aprovechar los avances tecnológicos
y con ello proponer las mejoras aplicables a esta red de sistemas IT.
Teniendo en cuenta factores clave como conectividad, seguridad, servicios y rendimiento del
sistema se harán análisis detallados y se propondrán después alternativas que mejoren
notablemente estos conceptos en la organización.
Partiendo desde una arquitectura incompleta y obsoleta por el paso del tiempo trataremos de
amoldar las nuevas tecnologías de la información a este caso concreto.
Conceptos como la obsolescencia programada y el rápido avance tecnológico motivan este
estudio. Además, hacen de la renovación de infraestructuras informáticas en las empresas algo
necesario. Los equipos se vuelven lentos, los trabajadores se estresan y frustran porque sus
herramientas de trabajo son lentas y producen errores continuamente.
Un buen estudio que ofrezca mejoras informáticas a una empresa puede afectar
positivamente no sólo a la productividad de los sistemas, sino también a la de los propios
trabajadores.
Con buenas herramientas, se trabaja más y mejor. Es el objetivo.
El Centro de Rehabilitación Laboral “Nueva Vida” es el caso real sobre el que se realizará el
estudio. Se trata de un centro de atención a personas con enfermedad mental de la ciudad de
Madrid, en el cual se desempeñan dos roles sociales principalmente:
1. Atención, búsqueda de empleo y preparación para el entorno profesional de personas
con enfermedad mental.
2. Concienciación social, actividades y eventos que pretenden concienciar sobre el
estigma que envuelve a estas personas en su día a día.
11
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Captura de requisitos
En la captura de requisitos se recoge la mayor cantidad de información posible sobre el centro.
Equipos hardware actualmente instalados, distribución física del centro, instalación actual y
configuración de los sistemas operativos y software en los distintos sistemas que componen la
red. También es necesario capturar los roles de la empresa, grupos de trabajo y usuarios de
estos sistemas.
Las vías de captura de requisitos del cliente son: formularios Web y entrevistas presenciales.
Además se detalla la información útil recogida para el desarrollo del proyecto.
En un primer momento creo un formulario Web, que envío directamente al responsable de la
empresa (ver formulario, anexo E-70) del que obtengo la siguiente información:


Nivel de usuario
o Número de usuarios de equipos TI (trabajadores y usuarios): 12 trabajadores y
20 usuarios de equipos informáticos actualmente.
o Roles en la empresa según necesidades TI (software y/o permisos específicos):
Dirección, administración y usuarios del centro.
Nivel de infraestructura
o Número de equipos de trabajo (máquinas cliente)
 Para personal del centro: 4.
 Para usuarios del centro: 24.
En una entrevista posterior, realizada el 27 de Octubre de 2014 de forma personal, se
completa la información necesaria hasta la fecha, que en principio será suficiente para
terminar el proyecto. Al cliente se le informa de que es posible que se le hagan más consultas
en otro momento. La información recogida en la entrevista es la siguiente:



Nivel de servicios
o Copias de seguridad de datos: La información sensible se encuentra registrada
y cumple con la LOPD (Ley Orgánica de Protección de Datos de carácter
personal). Es un fichero con información personal sobre usuarios que es
consultado por todo el personal contratado.
o Conexión a la red sin cables (WiFi): Necesaria para conectividad de tabletas y
teléfonos móviles corporativos.
Distribución física del centro
o Número de salas de formación y consulta de información para usuarios: 2. La
disposición de los equipos en las salas es de 12 equipos por sala.
o Número de despachos individuales del personal del centro: 4. De ellos, 2
corresponden a administración y 2 a dirección.
Aplicaciones: Se confecciona una lista en la entrevista que detalla las aplicaciones
necesarias en los equipos del personal del centro y de los usuarios. Incluyo la lista
recogida en el estudio de soluciones.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
12
Enumeración de requisitos
A partir de la información capturada de la empresa podemos definir los siguientes requisitos
para la infraestructura, considerando no sólo la mejor alternativa a instalar, también el
aprendizaje derivado de elegir estas opciones:
1. Instalación y configuración de Windows Server 2012 R2: actualmente es una referencia
en el mundo de los sistemas operativos de servidor, no ha sido estudiado a lo largo de
la carrera. Instalando un servidor de este tipo aprenderé sobre la alternativa de
Microsoft para servidores:
a. Creación de dominio Windows.
b. Repositorio y directorio activo: usuarios y grupos.
2. Instalación y configuración de cliente Windows 8 para personal del centro (4 equipos):
el último sistema operativo de Microsoft para clientes, así aprenderé como trabajar
con este sistema en el entorno corporativo y es una alternativa real que pronto se hará
con el mercado relegando a la versión anterior (Windows 7):
a. Inicio de sesión en el dominio.
b. Copias de seguridad funcionales: la copia de respaldo se hace necesaria ya que
entre los documentos que maneja la empresa hay ficheros en formato digital
con datos de carácter personal. Es indispensable crear un contexto de copia
donde el personal del centro pueda guardar ficheros teniendo garantías de
respaldo de los mismos.
3. Instalación y configuración de cliente Windows 8 para usuarios (24 equipos).
a. Inicio de sesión en el dominio.
b. Copias de seguridad funcionales.
4. Presupuesto: sin un límite presupuestario, el objetivo es garantizar la funcionalidad y
unos mínimos de escalabilidad para el futuro, ajustarlo a las necesidades del caso
estudiado. Cada uno de los conceptos del presupuesto son argumentados
individualmente y justificada la inversión que suponen.
5. Pruebas del sistema.
a. Conectividad de la red local.
i. Servidor  Cliente.
ii. Cliente  Servidor.
iii. Acceso remoto al servidor.
b. Recursos compartidos (directorio centralizado).
c. Restauración de datos.
13
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Definición del alcance
A la finalización del proyecto la empresa podrá disponer de:
Un entorno de trabajo funcional, personalizado, fiable y seguro que satisfaga las necesidades
tecnológicas de los empleados y de los usuarios del centro de trabajo.
Una red de ordenadores organizada y conectada que replique la información sensible y la
proteja de posibles fallos del sistema.
Despliegue de servicios que faciliten la administración del sistema completo desde una
estación de servicio centralizada. En el ámbito de la seguridad se diseñan e implementan
políticas de seguridad para toda la red, además de instalar software antivirus en cada equipo
de trabajo de forma individual.
Autenticación de usuarios, copias de seguridad y control de dominio. También se consideran
medidas especiales de seguridad como protección ante fallos eléctricos, redundancia de
equipos de almacenamiento y directivas especiales de seguridad.
El alcance de este proyecto garantiza la funcionalidad completa de la infraestructura a la
finalización del trabajo.
Un presupuesto adecuado a las peticiones realizadas por el cliente, recogidas en la captura de
requisitos. También contempla los aspectos técnicos detallados en la enumeración de
requisitos como: dominio Windows, directorio activo y recursos compartidos.
Por el contrario, el alcance no contempla el mantenimiento de la instalación una vez
completada. Tampoco se responsabiliza del mal uso de la instalación ni de las consecuencias
que esto pueda conllevar. Por último, las licencias software y la posterior renovación de las
mismas en un futuro corre a cargo de la empresa propietaria de la instalación.
La conexión de equipos externos (como tabletas o teléfonos móviles) a la red inalámbrica
disponible en el centro puede suponer compromisos de seguridad. La responsabilidad sobre
posibles problemas derivados de estas conexiones corre a cargo de los usuarios.
Si la seguridad, integridad o disponibilidad de la instalación se ve comprometida, la empresa
podrá facilitar la documentación generada del proyecto al responsable de su reparación.
La información disponible será meramente informativa para el servicio técnico responsable de
la reparación, sin hacerse responsable el desarrollador del proyecto de las consecuencias del
mal uso de dicha información.
Los datos de carácter personal procesados y/o almacenados por los empleados que hacen uso
de la instalación serán responsabilidad del centro (del responsable o del mismo usuario, según
corresponda).
El autor de este proyecto no se hace responsable del cumplimiento de la LOPD, pero si pondrá
a disposición del centro la información suficiente para actuar con arreglo a la legislación actual.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
14
Metodología del TFG
Tras analizar otros proyectos de sistemas y obtener información sobre metodologías aplicables
a este tipo de proyectos, considero, como opción más adecuada, adoptar una metodología
personalizada.
El proyecto se desarrolla sin ajuste estricto a ninguna metodología convencional. Aun así, sí
estará guiado por una serie de fases convencionales reflejadas en capítulos separados. La
metodología seguida para el desempeño del proyecto desarrollará los siguientes capítulos:
1.
2.
3.
4.
5.
Descripción del proyecto.
Análisis de la situación actual.
Diseño de la solución.
Implementación de la solución y pruebas.
Conclusiones.
Las distintas partes del proyecto según el cronograma se situarán en su epígrafe
correspondiente. Esta metodología responde a un patrón de ejecución cronológico,
comenzando en un capítulo de descripción y finalizando con las conclusiones recogidas a lo
largo de su realización. Puede haber fases del desempeño en las cuales se desarrollen dos
capítulos al mismo tiempo.
Cronograma
Organización básica – 3 horas




Recopilar aplicaciones necesarias para el desempeño del proyecto - 1 hora.
Organizar distribución de entregables para la confección de la memoria y
documentación - 0,5 horas.
Creación de directorio de proyecto y plantilla de documentos - 0,5 horas.
Plan de copias de seguridad del material del proyecto - 1 hora.
Reuniones y diario de actividad – 12 horas




15
Preparación: Reflexión y redacción de conclusiones – 3 horas.
Confeccionar actas de reuniones – 2 horas.
Realización de las mismas – 5 horas.
Registro de actividad en el diario – 2 horas.
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Planteamiento – 8,5 horas






Resumen – 0,5 horas.
Traducir resumen a inglés – 0,5 horas.
Confección de formulario para obtener información sobre la empresa – 1 hora.
Documentar y procesar la información obtenida – 1,5 horas.
Entrevista presencial con la empresa – 2 horas.
Estudio inicial de soluciones informáticas a utilizar – 3 horas.
Planificación – 25 horas







Definir fases del proyecto – 0,5 horas.
Desglose de actividades por fases – 3 horas.
Definición del alcance* – 3 horas.
Metodología TFG* – 1,5 horas.
Análisis de requisitos – 8 horas.
Cronograma* – 5 horas.
Diagrama de Gantt* – 4 horas.
Diseño de infraestructura – 43,5 horas

Análisis e informe de:
o Plano de localización de equipos y distribución – 3 horas.
o Hardware de sistemas: Equipos a comprar y configurar – 8 horas.
o Red (equipamiento hardware y subredes) – 6 horas.
 Hardware de enrutamiento y conmutación – 2 horas.
 Intranet (IPs válidas, máscaras, gateway y subnetting) – 4 horas.
o Presupuesto – 7 horas.
 Equipos cliente – 2 horas.
*Estas tareas de la fase
 Equipo servidor – 3 horas.
de planificación incluyen
 Hardware de red – 2 horas.
formación en el entorno
o Aplicaciones – 5 horas.
de trabajo Project de
 Aplicaciones básicas (de uso
Microsoft, lectura de
general) a instalar – 2 horas.
otros casos similares de
 Aplicaciones específicas para
definición del alcance y
clientes – 1 hora.
análisis de metodologías
 Aplicaciones específicas para
aplicadas a este tipo de
servidor - 2 horas.
proyectos.
o Seguridad – 10,5 horas.
 Medidas tecnológicas
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
16
o
(directivas y políticas) – 3,5 horas.
 Medidas humanas (normas y buenas prácticas) – 2 horas.
 Plan de acción reactivo ante compromisos – 5 horas.
Informe de servicios – 4 horas.
 Servicios básicos a desplegar – 4 horas.
Ejecución – 57 horas

Instalación de servidor virtualizado – 35 horas.
o Sistema operativo – 3,5 horas.
o Despliegue de servicios – 19 horas.
 Controlador de dominio de nivel principal – 1,5 horas.
 Directorio activo (LDAP) – 5,5 horas.
 Usuarios – 1,5 horas.
 Grupos – 1 hora.
 Permisos – 3 horas.
 DHCP (Configuración dinámica de host) – 2 horas.
 Acceso remoto al servidor – 6 horas.
 Políticas de seguridad y directivas de contraseñas – 4 horas.
o Configuración de red – 1,5 horas.
o Despliegue de aplicaciones – 7 horas.
 Antivirus – 1 hora.
 Navegador Web – 0,5 horas.
 Copias de seguridad – 3 horas.
 Monitor de rendimiento – 2,5 horas.
o Crear y almacenar imagen de sistema – 4 horas.

Instalación de cliente virtualizado (administrativo / dirección)* – 11 horas.
o Sistema operativo – 2 horas.
o Configuración de red – 2 horas.
 Conectividad – 1 hora.
 Asociación al dominio corporativo – 1 hora.
o Despliegue de aplicaciones – 3 horas.
 Antivirus – 1 hora.
 Cobian Backup – 1 hora.
 Navegador Web – 0,5 horas.
 Aplicación ofimática – 1 hora.
o Crear y almacenar imagen del sistema – 4 horas.

Instalación de cliente virtualizado (usuario del centro)* – 11 horas.
o Sistema operativo – 2 horas.
o Configuración de red – 2 horas.
 Conectividad – 1 hora.
17
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
o
o
 Asociación al dominio corporativo – 1 hora.
Despliegue de aplicaciones – 3 horas.
 Antivirus – 1 hora.
 Cobian Backup – 1 hora.
 Navegador Web – 0,5 horas.
 Aplicación ofimática – 1 hora.
Crear y almacenar imagen del sistema – 4 horas.
(*) Cada equipo incluye el alta en el directorio activo, configuración específica de asociación a
su propia unidad organizativa y de recursos compartidos en función de su departamento.
Ambos equipos contienen la parte común de instalación de software, pero sus configuraciones
son completamente diferentes, ya que se trata de recursos distintos con objetivos distintos. El
equipo de dirección es un portátil que tendrá la posibilidad de iniciar sesión y trabajar con
normalidad fuera del entorno de trabajo (y, por lo tanto, fuera del dominio). Los otros equipos
son de sobremesa pero pertenecen a distintos grupos de trabajo, por lo tanto su configuración
variará sustancialmente.
Plan de pruebas – 32,5 horas




Sistemas operativos – 5 horas.
o Funcionalidad, instalación y configuración correctas de Windows Server en la
estación de trabajo – 2 horas.
o Funcionalidad, instalación y configuración correctas de Windows 8 en el
entorno cliente – 3 horas.
Conectividad – 7 horas.
o Comunicación de la estación de servicio con los clientes virtualizados – 3
horas.
o Comunicación de equipos cliente con el controlador de dominio – 4 horas.
Aplicaciones – 5,5 horas.
o Comprobación de instalación de software ofimático, antivirus y navegador
Web – 2,5 horas.
o Compatibilidad de todos los productos software entre sí. Coexistencia en el
sistema cliente sin incidencias – 3 horas.
Servicios – 8,5 horas.
o Asociación al dominio, inicio de sesión desde el cliente con un perfil creado
desde el directorio activo – 3,5 horas.
o Usuarios y permisos: comprobación de los repositorios de recursos en el
equipo servidor – 1 hora.
o Seguridad: Verificación de las directivas de contraseña e inicio de sesión en el
dominio – 1,5 horas.
o DHCP: Estado del servicio una vez instalado, actividad y concesión de datos de
configuración IP a los clientes – 2,5 horas.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
18


Acceso a recursos compartidos – 4 horas.
o Conexión con recursos comunes alojados en la estación de servicio, permisos
sobre el directorio compartido – 4 horas.
Copias de seguridad – 2,5 horas.
o Garantizar que el plan de copias es ejecutada en el servidor y en los clientes –
2,5 horas.
Escenario de restauración – 8 horas.


Simular compromiso de integridad de datos en un equipo cliente – 3 horas.
Restaurar información perdida y documentar el proceso – 5 horas.
Formación – 69 horas
El tiempo de formación incluye la obtención de información de Internet sobre proyectos
similares, metodologías, sistemas operativos y aprendizaje de tecnologías a utilizar. Muchos de
los puntos de ejecución y plan de pruebas requerirán documentarse previamente.






Metodologías de desarrollo de proyectos de sistemas – 3 horas.
Planes de seguridad en pequeñas y medianas empresas – 2,5 horas.
Tecnologías actuales en infraestructuras de servidor – 1,5 horas.
Software de monitorización de recursos – 1 hora.
Software Microsoft Project – 1 hora.
Sistemas operativos – 60 horas.
o Windows Server 2012 R2:
 Instalación y configuración de controlador de dominio.
 Perfiles, roles, grupos, usuarios. Repositorio y recursos.
 Directorio activo: autenticación, políticas y directivas de seguridad.
 Versiones disponibles.
o Windows 8:
 Asociación de cliente a dominio Windows.
Presentación y defensa – 13 horas


19
Confeccionar y revisar documentación a depositar – 7 horas.
Preparar la presentación del proyecto y su defensa – 6 horas.
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Total previsto: 271,5 horas.
La previsión inicial contempla una estimación horaria optimista, por lo que no alcanza las 300
horas estipuladas. Debido a las herramientas elegidas y a que no he sido formado en éstas (no
han sido estudiadas previamente), surgirán imprevistos a lo largo del desarrollo del proyecto
que seguro aumentarán sustancialmente las horas de trabajo.
Por todo esto creo conveniente liberar un 10% de horas de trabajo y así disponer de un
margen de contingencias que contemple estas desviaciones.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
20
Diagrama de Gantt
A continuación se muestra una captura del diagrama de Gantt realizado para la planificación del proyecto. En él figuran las tareas a realizar a lo largo del
proyecto y su estimación en tiempo.
Vista resumen de Diagrama de Gantt
Para ver con más detalle las tareas que figuran en el diagrama de Gantt y en el cronograma ver anexo: E-71 “Diagrama de Gantt”.
La planificación sufrirá una desviación posterior de 30 días, en la que se para el desarrollo del proyecto por la realización de exámenes finales de enero. Los
detalles sobre dicha desviación se detallan en el anexo E-81 “Desviaciones y lecciones aprendidas”.
21
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Capítulo 2.
Análisis de la situación actual
En este capítulo vamos a estudiar la infraestructura actual. Las condiciones que presenta la
instalación hoy motivan la realización de este proyecto. Por otra parte, el análisis permite
decidir qué partes de la infraestructura no serán renovadas, por lo que ahorraremos costes sin
afectar a la calidad del producto final.
Visita al centro y conclusiones
La entrevista realizada a la empresa incluyó una visita a la misma en la que tuve la oportunidad
de tomar nota de la infraestructura informática actual. Se trata de un sistema algo anticuado
con carencias en comunicación interna, seguridad y recursos de red.
La instalación actual consiste en un router al cual se conecta un switch. A este último son
conectados todos los equipos de la Intranet.
Estos equipos corresponden a la generación de procesadores Pentium IV y AMD Athlon K7, ya
desfasados y cuyas velocidades nunca superan los 3Ghz, además de poseer un único núcleo de
proceso real. La memoria principal oscila entre los 512MB y 1GB lo cual es insuficiente para las
exigencias del software actual.
En consonancia con lo anterior, observo que los sistemas operativos instalados son Microsoft
Windows XP para arquitecturas de 32 bits. Es un sistema operativo adecuado para el hardware
existente, pero desfasado y desatendido por Microsoft desde hace meses.
Los equipos son lentos y no satisfacen las necesidades de trabajo de la empresa. Tampoco
existe la centralización de ningún servicio ni un plan de copias de seguridad, sólo un dispositivo
de almacenamiento externo USB.
Todos estos aspectos conllevan la necesidad de una renovación de los sistemas IT y en sus
comunicaciones.
Infraestructura a utilizar
Aprovecharemos la instalación cableada actual que comunica a los distintos equipos con el
router (a través del switch), el cual les da acceso a Internet actualmente. El switch centraliza el
enlace directo con los equipos del centro. Utilizaremos tanto el switch como el router actuales,
pero no será suficiente. Tenemos una impresora central en la zona administrativa, la cual
también aprovecharemos.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
22
No es necesario sustituir un router proporcionado por el ISP que funciona correctamente, ya
que la conexión a Internet no presenta problemas.
El switch ya instalado servirá como eje de comunicaciones, en la misma ubicación, pero con un
cometido distinto que explicaremos más adelante.
Plano de la situación actual
Anexo E-82. Plano de distribución lógica de sistemas. Situación actual.
Leyenda: ver anexo E-84.
Nota aclarativa: la distribución espacial de los departamentos es orientativa, los planos aquí
presentados simbolizan las conexiones entre los equipos de la red. Estas conexiones están ya
implementadas en la empresa: enlaces Ethernet directos UTP con cable de red categoría 6 y
conectores RJ-45.
23
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Capítulo 3.
Diseño de la solución
Una vez analizada la situación actual del centro, el Capítulo 3 aborda la solución propuesta, la
cual tratará de ajustarse con la máxima precisión posible a las necesidades capturadas
anteriormente. Costes, sistemas, renovación y organización son las palabras claves de este
capítulo.
Infraestructura a renovar o ampliar
Enrutado: sin cambios, con un router es suficiente para dar salida a Internet desde la empresa.
El router instalado previamente funciona correctamente y proporciona acceso a Internet a los
equipos del centro.
Conmutación: añadiremos dos switch adicionales en cada una de las salas de formación.
Conectarán los equipos de dichas salas con el switch central de la sala de comunicaciones. Éste
a su vez conectará las salas de administración y dirección, así como el servidor y el router, al
resto de la Intranet. Como resultado habrá tres equipos de conmutación distribuidos por el
centro y conectados entre sí, con cometidos distintos.
Sistemas informáticos: se renovará completamente la infraestructura de sistemas informáticos
del centro. Los sistemas nuevos a adquirir son:




24 equipos para salas de formación. Serán equipos de trabajo sencillos pero que
garanticen la funcionalidad que necesitan los usuarios del centro.
2 equipos para personal administrativo. Especiales para trabajo ofimático.
2 equipos para dirección. Estos equipos, para favorecer la movilidad, serán portátiles.
Irán conectados por cable a la red para incrementar la seguridad de su conexión a la
red. Esto además posibilita que el personal de dirección pueda transportar su equipo
de trabajo a conferencias o eventos externos y poder trabajar fuera del entorno del
centro.
1 equipo de servidor. Un equipo especializado que albergue el dominio, las copias de
seguridad y el directorio activo. Además, administrará los recursos compartidos del
centro. Por otra parte instalaremos un SAI (Sistema de Alimentación Ininterrumpida)
que proteja el servidor de problemas eléctricos.
Por último, la impresora instalada en la zona administrativa permanecerá en su ubicación
actual, pero pasará de ser un recurso compartido por uno de los equipos de administración a
ser un recurso de red perteneciente al dominio.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
24
Plano de distribución de sistemas
A la finalización del proyecto la infraestructura de red será la siguiente:
Anexo E-83. Plano de distribución lógica de sistemas final.
Leyenda: ver anexo E-84.
Software de sistemas
El software a implementar para el proyecto es el siguiente:

25
Sistemas operativos:
o Microsoft Windows Server 2012 R2: los usuarios del centro están
familiarizados con entornos de trabajo Microsoft. Además, por ampliación de
conocimientos sobre sistemas operativos de servidor, los servidores
GNU/Linux se estudian e implementan en asignaturas de la carrera.
o Microsoft Windows 8: Cliente elegido por compatibilidad con el dominio
alojado en el servidor. Se utiliza esta versión por motivos de seguridad ya que
versiones más antiguas podrían comprometerla.
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

Software:
o Servidor:
 Microsoft Security Essentials: Acompaña a la licencia Microsoft
Windows Server 2012. Es un sistema antivirus y antispyware
propietario de Microsoft compatible con el sistema operativo.
 Cobian Backup 11 (Gravity): Para la gestión de copias de respaldo de
datos. Herramienta de uso gratuito que va a permitir realizar copias de
seguridad de datos sensibles.
 Navegador Google Chrome: Es conocido el aporte de este navegador
en términos de seguridad respecto al navegador predeterminado del
sistema operativo (Internet Explorer). Además, con esta alternativa
conseguiremos incrementar la velocidad, al ser la alternativa más
rápida.
 Microsoft OneDrive: Plataforma SaaS de almacenamiento y
sincronización de ficheros en la nube. Sirve como soporte de backup
físicamente fuera de la organización.
o Servidor (Servicios):
 Dominio Windows: Realiza labores de autenticación, establece un
marco de seguridad en toda la red y sirve como controlador para
proporcionar servicios y centralizarlos.
 Active Directory: Servicio LDAP propio del sistema operativo instalado.
Proporciona un repositorio de dominio centralizado que contiene
usuarios, equipos y otros recursos disponibles en red.
 DHCP (servicio de configuración dinámica de host): Para la distribución
de datos de configuración IP hacia los clientes que se conecten a
través de la red inalámbrica. Además, permite realizar seguimiento a
través de un log de las conexiones que se realicen fuera de la red
cableada.
o Clientes:
 Microsoft Office 2013.
 Adobe Reader.
 Navegador Google Chrome.
 Antivirus Avast.
No hay aplicaciones específicas para instalar en los equipos cliente. Tal y como
explicó el director del centro, utilizan principalmente herramientas ofimáticas
(concretamente Excel y Word) y el navegador Web para consultar el correo
electrónico y sitios Web.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
26
Hardware de sistemas
El proveedor principal de sistemas para este proyecto es Dell. Por mi experiencia en
implementaciones reales Dell es una empresa fiable y cuyos equipos son enviados
especialmente protegidos. Además, son fabricados con componentes de alta calidad y tienen
unos acabados atractivos.
Como punto de inflexión a la hora de elegir este fabricante tenemos sus servicios de asistencia,
que garantizan la reparación de un equipo averiado durante el siguiente día hábil desde que se
notifica el problema. Este servicio se puede solicitar durante el primer año desde la compra del
producto y es gratuito. Por supuesto no es incompatible con los dos años de garantía en todos
los equipos adquiridos.
La descripción detallada de los equipos informáticos que conforman el hardware de sistemas
está incluida en el anexo E-74 “Hardware de sistemas”.
Presupuesto
Para la actualización de la infraestructura de red se detalla el siguiente presupuesto. Contiene
todas las renovaciones en equipos de sistemas necesarias para conseguir los requisitos
definidos en el Capítulo 1.
También se indica la inversión necesaria en paquetes software a instalar una vez ejecutado el
despliegue de los sistemas hardware. Por último se recoge un resumen global de costes,
incluyendo la mano de obra necesaria para la instalación y configuración de la infraestructura.
Resumen de presupuesto de sistemas IT
Equipo
Equipos sobremesa cliente para salas de
formación y administrativo (24+2).
Equipos portátiles para dirección (2).
Hardware de red y redundancia: switch (2) y
SAI (1).
Hardware de servicios: server (1).
Precio
17.537,2 €
921,44 €
278 €
2.383,82 €
Subtotal en hardware de red y sistemas: 21.120,46 €
Para ver el presupuesto completo ver anexo “E-75 Presupuesto de sistemas IT”
27
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Presupuesto de software
Este presupuesto contiene los programas cuya instalación se hace necesaria para el trabajo de
los empleados y usuarios. El software a instalar y configurar se adquiere según las peticiones
formuladas por la empresa, que se adecúan a sus preferencias de trabajo.
Nº
Licencias Concepto
Precio unitario
Subtotal
01
28
Microsoft Office 2013 (OEM Dell).
119,00 €
3.332,0 €
02
1
Microsoft Windows Server 2012 R2
Standard Edition 64 bits (OEM Dell).
432,03 €
432,03 €
Subtotal en software:
3764,03 €
Anexo “E-76 Presupuesto de software”
Presupuesto completo
El presupuesto completo incluye los costes de instalación y configuración detallados en el
diseño de la solución. Se ajusta al mínimo coste posible para garantizar la infraestructura
propuesta, la calidad de los servicios y la funcionalidad de todo el sistema.
Módulo
Equipos informáticos
Software (Sistemas Operativos y programas)
Instalación y configuración (90 horas)*
Subtotal: 27.134,49 €
Precio
21.120,46 €
3.764,03 €
2.250 €
IVA (21%):
Total:
5.698,25 €
32.832,74** €
*Para instalación y configuración de equipos y software se establece un precio unitario por
hora de trabajo durante el periodo de ejecución del proyecto. Dicho precio incluye la
instalación, configuración y el plan de pruebas.
**El precio total de la instalación no incluye el coste de 3,8 €/mes correspondiente a la licencia
para empresa de Microsoft OneDrive. No se incluye porque se trata de una cuota mensual y no
de una compra de equipamiento hardware o software.
Dell dispone de ofertas especiales para compras de este tipo que se pueden consultar
contactando con un comercial, por lo que puede reducirse el precio final indicado.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
28
Estudio y configuración LAN
Para la distribución de red configurada en el proyecto voy a crear distintos ámbitos LAN que
coincidan con los emplazamientos físicos de los equipos. Es conveniente establecer rangos de
direcciones IP distintos para cada grupo de equipos, facilitará la administración de red y
además la difusión de información por departamentos. La distribución de departamentos
estará relacionada directamente con la distribución de rangos IP.
La configuración IP de conexión inalámbrica será administrada mediante un servicio DHCP.
Este servicio concede la configuración IP en un rango predeterminado de direcciones a los
dispositivos conectados. Así, será fácil identificar un equipo conectado mediante WiFi tan sólo
consultando su dirección IP.
En primer lugar elegimos una dirección de red IP privada para la empresa:
10.0.0.0 con máscara de red 255.255.0.0 (a partir de ahora 10.0.0.0/16)
00000000.00000000.00000000.00000000
Por claridad, dos bytes de la dirección serán de red y los dos siguientes de host. No existen bits
para subred, esto quiere decir que en la instalación real no existirán distintos dominios de
difusión a nivel de red local.
El hecho de no incluir subredes en la organización responde a un asunto de escalabilidad.
Tenemos un número muy pequeño de hosts en un único local, también de pequeño tamaño.
La distribución de departamentos también es pequeña y simple, por lo que no es necesario
establecer distintos dominios de difusión entre hosts.
En un futuro es posible que surja la necesidad de implementar subredes en la arquitectura
actual, por este motivo hay 16 bits de la dirección IP privada disponibles para crear subredes
(los marcados en color azul).
Si es necesario ampliar el local o se crean nuevas sucursales en distintas ubicaciones, existe la
posibilidad de aplicar técnicas de subnetting para aislar los dominios de difusión.
Con esta configuración podemos garantizar la escalabilidad y adaptabilidad de la instalación de
red: hasta 65534 equipos conectables (65536 – 2 por reserva de dirección de red y de
difusión).
29
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Tabla de designaciones IP
Equipo (hostname)
Ubicación
Dirección
Router
Servidor
Equipo dirección 1
Equipo dirección 2
Equipo administrativo 1
Equipo administrativo 2
Sala de comunicaciones
Sala de comunicaciones
Depto. Dirección
Depto. Dirección
Depto. Administrativo
Depto. Administrativo
Equipos sala 1
Sala de formación 1
Equipos sala 2
Sala de formación 2
Conexión inalámbrica
Todo el centro (ámbito WiFi)
10.0.0.1
10.0.0.100
10.0.1.1
10.0.1.2
10.0.2.1
10.0.2.2
Rango:
10.0.100.1 a 10.0.100.12
Rango:
10.0.200.1 a 10.0.200.12
(DHCP) Rango:
10.0.150.1 a 10.0.150.254
Esquema y simulación
Para visualizar el funcionamiento de la red en una simulación realizada con Packet Tracer ver
anexo E-85 “Simulación de entorno de red”.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
30
Aplicación de subredes para el ámbito local (escalabilidad de red)
Si decidiéramos aplicar técnicas de subredes, una posibilidad consistiría en aplicar una máscara
de subred 255.255.255.0, es decir, añadir un byte a la máscara de red para crear la máscara de
subred. Toda la instalación actual continuaría funcionando con normalidad, pero existiría la
posibilidad de asignar a cada sala o departamento un ámbito de subred diferente.
Con la máscara de subred propuesta tenemos:


254 subredes disponibles (256 – 2 por dirección de red global y broadcast de red).
254 direcciones para host disponibles para cada subred (256 – 2 que corresponden a
dirección de subred y broadcast de subred).
Por ejemplo, para la subred 10.0.1.0 tendríamos:



Desde 10.0.1.1 hasta 10.0.1.254: Direcciones válidas de host (asignables de manera
estática o por DHCP indistintamente).
10.0.1.0 para hacer referencia a toda la subred (dirección de subred).
10.0.1.255 como dirección de difusión para comunicarse con todos los equipos de la
subred “1”.
Igual que para 10.0.1.0, tendríamos la misma configuración para las direcciones de subred
10.0.x.0 (con x comprendido entre 0 y 254, ambos incluidos).
Cabe destacar que, aplicando técnicas de subnetting, se pierden direcciones IP válidas
asignables en la red local, ya que son necesarias las reservas propias de la dirección de subred
y broadcast para cada subred disponible.
Informes de aplicaciones, seguridad y servicios
Este apartado consiste en la elaboración de diferentes informes relacionados con las
aplicaciones a instalar y configurar, además de la seguridad y los servicios a implementar. La
información aquí recogida será útil para el cliente, ya que tendrá documentado todo lo
relacionado con el software y la seguridad.
Además, también será de utilidad para posteriores labores de reparación y mantenimiento del
sistema. Aportará facilidad a la hora de saber qué está instalado y funcionando. También las
posibles causas de fallos futuros, tanto de aplicaciones como compromisos de seguridad.
31
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Informe de aplicaciones
A la finalización del TFG, las aplicaciones instaladas en los equipos de la empresa, versiones y
licencias adquiridas serán:
Versión instalada
(fecha de versión)
Nombre
Actualizable
Licencia
8.1 (18/10/2013)
Microsoft Windows 8.1
Profesional - 64 bits
Sí, automáticamente y
mediante paquetes de
actualización oficiales.
OEM Dell. Licencia adquirida
para todos los equipos.
2012 R2 Standard
(18/10/2013)
Microsoft Windows
Server 2012 - 64 bits
Sí, automáticamente y
mediante paquetes de
actualización oficiales.
2013 Profesional
(19/01/2013)
Microsoft Office 2013
Profesional
Actualizaciones
automáticas.
2015.10.0.2208
(18/11/2014)
Avast Antivirus 2015
4.6.305.0
(10/09/2014)
Microsoft Security
Essentials
17.3.1229.0918 (2013)
4.0
(2012)
1.12.4
(2015)
11.0.09
(29/05/2014)
38.0.2125.111
(30/10/2014)
11.2.0.582
(06/12/2012)
Microsoft OneDrive
ADManager Plus
Wireshark
Adobe Reader XI
Google Chrome –
Navegador Web
Cobian Backup 11 –
Copias de seguridad
Actualizaciones
automáticas de base de
datos de virus.
Actualización manual de
software antivirus.
Antivirus, anti spyware.
Actualizaciones
automáticas través de
Windows Update.
Repositorio Cloud de
ficheros. Para backup
externo.
Mediante instalación de
nueva versión.
Desde la propia aplicación,
menú Help.
Sí, notificaciones de
actualización al usuario.
Sí, actualizaciones
automáticas.
Actualización manual.
OEM Dell, personalizado para
el equipo servidor. Licencia
para el servidor de la
empresa.
Adquirida para todos los
equipos cliente de la
empresa.
Licencia antivirus gratuita
para todos los equipos.
Ampliable.
Incluida en la licencia de
Windows Server.
3,8 € al mes por usuario (1
usuario instalado). 1TB de
almacenamiento en la nube
para empresas.
Software propietario con
versión gratuita.
GNU, código open source.
Gratuito.
Software propietario pero de
uso gratuito.
Descarga e instalación
gratuitas.
Descarga e instalación
gratuitas.
Informe de seguridad
Seguridad hardware
Sala de comunicaciones accesible únicamente para:



El director de la empresa.
El servicio técnico del ISP.
El responsable de sistemas informáticos, si lo hubiera.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
32
Sala cerrada a la que solo es necesario acceder para resolver incidencias hardware con el
router, el equipo servidor y el switch principal. Siempre previa notificación y consentimiento
del director, que documentará quién, cuándo y para qué se accede a la sala.
Sala bien ventilada en planta baja con aire acondicionado y protegida bajo llave.
Sistemas eléctricos (SAI), de red (doble NIC) y de almacenamiento secundario (RAID1 por
hardware) redundantes en sistemas críticos. Monitorización permanente del servidor. Bloqueo
de BIOS en los sistemas con contraseña maestra para evitar cambios en la configuración.
Seguridad de red
Puertos del router cerrados, salvo los que garantizan la navegabilidad como 80 para HTTP y
443 para HTTP con SSL (HTTPS). Además, se autoriza la apertura de puertos para las
aplicaciones documentadas en el informe de aplicaciones.
Dominio Windows con administración de cuentas de usuario centralizado, identificación y
autenticación contra un sistema seguro. No se permite el acceso a los recursos de la red sin
previa autenticación mediante un perfil de dominio.
Designación de grupos en el dominio con directivas de seguridad específicas, tanto para
usuarios como para trabajadores y directores de la empresa.
Contraseña WPA2 de acceso mediante conexión inalámbrica. No se garantiza la seguridad de
dominio para las conexiones realizadas a través del medio inalámbrico.
Seguridad software
Versión profesional del sistema operativo más actualizado de la familia Microsoft. Firewall de
Windows, actualizaciones automáticas y soporte de Microsoft en esta versión.
Antivirus Avast. Gratuito, ampliable con un coste mínimo, suficientemente seguro para las
necesidades de la empresa y cuya base de datos es actualizada diariamente. Por
compatibilidad del sistema, Microsoft Security Essentials instalado en el equipo servidor.
Log de dominio que registra la actividad de la red por parte de los usuarios. Análisis de
rendimiento de recursos en el servidor y detección de congestión o mal funcionamiento de los
servicios, ataques a través de la red, compromisos de seguridad, etc.
Política de copias de seguridad y restauración con el software Cobian Backup instalado en
todos los equipos de la red. Almacén de copias redundante con RAID1 en el servidor y en la
nube con un servicio de terceros (Microsoft OneDrive).
Dado que la información protegida mediante copias puede contener datos de carácter
personal, debe almacenarse y procesarse con arreglo a la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD). Los datos pueden contener
información acerca del historial psiquiátrico del afectado, por lo que se consideran datos que
exigen un nivel alto de protección.
33
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Los pasos a seguir para cumplir con la legislación vigente son los siguientes:





Establecer un responsable del tratamiento: el director del centro.
Establecer un encargado del tratamiento: el servicio OneDrive para el servicio Cloud y
el administrador del sistema para las copias locales.
Cumplir con la normativa de registro de fichero y uso de datos recogida en la AEPD
(Agencia Española de Protección de Datos: www.agpd.es).
Dado que el servicio es prestado en España y los datos se almacenan en EEUU, es
necesario pedir consentimiento a la AEPD para el traslado internacional de los datos
de carácter personal a EEUU.
Cumplir con el plan de seguridad definido en este documento.
Ante cualquier duda sobre este proceso es posible recurrir a la AEPD a través de
sedeagpd.gob.es para remitir directamente una consulta a la agencia.
Políticas de contraseña y acceso al dominio
Contraseñas de 8 caracteres de longitud mínima con al menos una letra mayúscula, una
minúscula y un número. Las contraseñas deben ser cambiadas cada año como mínimo. Tras
tres intentos fallidos de autenticación la cuenta será bloqueada durante 24 horas.
Para iniciar sesión en el dominio y poder trabajar en él será necesaria una cuenta de usuario
que cumpla con dichas políticas.
Sólo estarán habilitadas las cuentas de usuario necesarias para administración y trabajo. La
cuenta de invitado del dominio estará deshabilitada.
Se creará un Honeypot en el acceso al dominio. Esto quiere decir que la cuenta de
administrador tendrá un nombre de usuario convencional como si se tratase de uno más. A la
vez, crearemos un usuario con nombre “Administrador” sin ningún tipo de privilegio.
La creación de un Honeypot supone una ventaja en términos de seguridad, ya que existen
ataques externos que tratan de romper las contraseñas de administradores y escalar
privilegios.
Una máxima en seguridad consiste en evitar los valores por defecto que proporcionan los
sistemas (en este caso el sistema operativo). Con esta operación conseguimos proteger las
credenciales de administrador real con una cuenta ficticia que simula ser un usuario con
privilegios de sistema. No se trata de una operación de ocultamiento, lo cual sería ineficaz en
términos de seguridad, ya que el usuario administrador como tal sigue existiendo y es visible.
Si se produce un ataque contra la cuenta de administrador y se consigue romper la contraseña,
no será posible iniciar sesión en el dominio con ella (ya que se encuentra bloqueada) y aunque
así fuera no se dispondría de autorización ninguna para realizar operaciones con privilegios de
administración.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
34
Consejos sobre contraseñas
 No utilizar el nombre de usuario como parte de la contraseña.
 No apuntar la contraseña en papel ni compartirla con otras personas.
 No utilizar datos personales en la contraseña.
 Utilizar símbolos especiales, tales como ¡”·$%&/()=.
 Combinar mayúsculas, minúsculas, números y símbolos en la contraseña.
 Ejemplos (no usar como contraseñas, son ejemplos demostrativos):
o $an)_oRenz0
o V1stAd3V€R
o ^\n0€nTr4R\^
 Para comprobar la seguridad de una contraseña: http://passwordmeter.com/
Plan de copias de seguridad
A continuación se detalla el plan de copias de seguridad. Algunas de las tareas serán
automatizables pero tanto la supervisión de éstas como la realización de aquellas que se lleven
a cabo de forma manual corren a cargo del responsable de sistemas.
Imagen del sistema (tanto cliente como servidor) anual o eventual tras actualización crítica de
sistema operativo o software instalado. Almacenamiento de la imagen en un DVD-DL en la sala
de comunicaciones siguiendo la nomenclatura:
SYS-<tipo>_IMAGE-<numero>_<año>, donde:
 <tipo> es SRVR o CLNT según si el sistema es cliente o servidor.
 <numero> el identificador de imagen. Incremental desde 00.
 <año> el año en el que se genera la imagen.
 Ejemplo: SYS-SRVR_IMAGE-00_2014.
En el modelo virtual que vamos a implementar no dispondremos de medios de
almacenamiento DVD-DL por lo que recurriremos a volúmenes de datos independientes para
almacenar esta información de respaldo.
Estrategia de copias y datos a almacenar. Factores que motivan la estrategia de copias:





35
Es necesario proteger ante fallos los datos críticos, los cuales manejan administrativos
y directores del centro.
Copiar grandes cantidades de directorios y datos provoca que el usuario no se
interese por proteger su información, ya que si sabe que se le copiará todo, no
mantendrá su sistema organizado y en muchos casos no sabrá lo que guarda y dónde.
Por el punto anterior, la estrategia de copias se centra en proteger un único
directorio para cada usuario, en el cual deberá tener organizados todos aquellos
ficheros que requieran ser protegidos ante compromisos de seguridad.
El tráfico de red al almacenar en un equipo externo grandes cantidades de datos es
excesivo, se debe optimizar la cantidad de información a almacenar.
La carpeta del perfil de usuario es la ideal para mantener un backup sobre ella, ya que
es accesible por el usuario independientemente del equipo donde trabaje (perfiles
de dominio Windows).
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015

El administrador de sistema tiene su propia estrategia de copia. Sólo se hará copia de
respaldo del directorio “Documents” de su carpeta personal cifrada.
Tipo de copia
(programación)
Fecha
Hora
Completa (semanal)
Todos los viernes
18:00
Todos los martes
y jueves
Ver anexo E-77 Esquema de copias de seguridad
Diferencial (semanal)
7:30
Datos a copiar
Documentos de todos
los usuarios
Documentos de todos
los usuarios
Si el día de copia es no laborable y los equipos no van a ser utilizados, el administrador debe
forzar la copia correspondiente el día anterior (forzar la tarea de copia próxima).
Buenas prácticas y seguridad a nivel humano
Además de los aspectos anteriormente detallados sobre seguridad, también existen una serie
de normas a cumplir por todos los usuarios para contribuir a la seguridad de la red. Los puntos
recogidos en este apartado deben ser accesibles fácilmente para todos los usuarios del centro,
quienes a su vez deben ser conscientes de que el no hacerlo puede suponer un problema grave
tanto para ellos como para la organización.
Anexo “E-86 Seguridad a nivel humano”.
Este plan de copias de seguridad se basa en mi propio criterio. Aplico los conceptos aprendidos
en la asignatura de seguridad y atendiendo a distintos boletines de seguridad informática
publicados en Internet.
Informe de servicios
DNS: Servicio de nombres de dominio en ejecución desde el servidor (10.0.0.100) para la
resolución de nombres de toda la infraestructura de la red y sus sistemas.
DHCP: Servicio de configuración dinámica IP para los equipos conectados a través de WLAN.
También será de utilidad para equipos nuevos que se instalen en la red, ya que pueden ser
configurados antes de ser incluidos en el entorno, que normalmente será de configuración IP
estática. Monitorizar concesiones y establecer rangos de direcciones permite clasificar los
distintos equipos que se conectan a la red, además de monitorizarlos de alguna manera.
Autenticación: La asociación de los equipos y el registro de usuarios centralizado en el
catálogo global permitirá administrar la autenticación de usuarios, políticas de contraseñas y
gestión de autenticación de forma segura. Todos los usuarios y las máquinas deberán validar
su pertenencia al dominio hacia el servidor de autenticación.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
36
Directorio Activo: Administrador del catálogo global. Va a posibilitar la gestión de usuarios,
grupos, directivas de contraseñas y la administración de todos los recursos de la red, incluido
el servidor. Es una herramienta que facilita la administración de la red.
Copias de seguridad: Mediante las herramientas propias del sistema operativo y Cobian
Backup, tal y como se detalla en el informe de aplicaciones. Es necesario un servicio que
proteja el dominio contra la pérdida de información. En primer lugar, serán necesarias
imágenes de sistema completas (para replicar en varios equipos si es necesario y facilitar el
trabajo) y también sobre las carpetas compartidas y perfiles de usuarios.
Desviaciones
Configuración IP y subredes
La configuración IP de los equipos de la red estaba, en un primer momento, planteada
aplicando subredes. Más adelante, he considerado más oportuno no aplicar inicialmente
dichas técnicas y proponerlas como un cambio en términos de escalabilidad (para más
adelante, si fuera necesario).
Software necesario para el proyecto y costes de mano de obra
Para la realización de los planos he necesitado software adicional (y tiempo extra para
instalarlo y configurarlo). Por otra parte, ha habido ligeras desviaciones configurando el
servidor y los clientes, ocupando más y menos tiempo del estimado respectivamente. Aun
sufriendo estas desviaciones temporales, el cómputo de tiempos global para este apartado no
se ve alterado.
Por último, he añadido el coste de mano de obra al total de la implementación del proyecto
propuesto. En un principio, al ser un proyecto de carácter educativo, no contemplaba estos
costes.
Más detalles sobre desviaciones en anexo E-81 “Desviaciones y lecciones aprendidas”.
37
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Capítulo 4.
Implementación de la solución y
pruebas
En este capítulo trataremos la puesta en marcha de la solución propuesta. Tecnologías y
aplicaciones concretas, un plan de organización en base a un dominio y, por último, un plan de
pruebas que incluye su propia especificación, ejecución y resultados.
Instalación de sistemas operativos
Como primer paso en la implementación de la solución, es necesario crear un modelo de
simulación que permita llevar a cabo el diseño creado anteriormente. Para este proceso hace
falta instalar el software de virtualización elegido, que será VirtualBox (versión 4.3.20-96997).
Instalación de Microsoft Windows Server 2012 R2
En este apartado se aborda la instalación del sistema operativo en el equipo servidor. Es un
punto crítico de la implementación ya que va a proporcionar servicios esenciales para que la
infraestructura funcione correctamente. Por este motivo y por las características especiales del
sistema operativo escogido debemos ser especialmente cautos durante el proceso, el cual
ocupará más de 30 horas de trabajo.
La instalación del sistema operativo se detalla en el anexo E-78 “Instalación de Microsoft
Windows Server 2012 R2”. En este proceso se realiza, además, la configuración de los servicios
y de la máquina servidor al completo.
Las operaciones realizadas durante esta fase son:
1. Instalación del sistema operativo.
2. Cómo cambiar de idioma a español.
3. Configuración del servidor:
a. Nombre del servidor.
b. Configurar acceso remoto para administración.
c. Configuración IP estática.
d.
Windows Update (actualizaciones del sistema).
e. Firewall de Windows.
f. Instalación de software antivirus.
g. Servicio de Protocolo de Configuración Dinámica de Host (DHCP).
4. Controlador de dominio:
a. Instalación del rol de administrador de dominio.
b. Promoción del sistema a Controlador de dominio.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
38
c. Resumen de configuración y script PowerShell equivalente.
5. Monitorización de rendimiento y actividad de usuarios:
a. Monitor de recursos.
b. Monitor de rendimiento.
c. ADManager Plus (alternativa de monitorización de dominio).
6. Registro de eventos del sistema.
Instalación de Microsoft Windows 8.1
Una vez instalado y comprobado el servidor, atendemos la instalación y configuración del
sistema operativo cliente. Aunque no es tan extenso como el apartado anterior, tendremos
que realizarlo dos veces (una por cliente, cada uno con sus peculiaridades) y servirá para
comprobar la validez de la instalación, tanto del sistema operativo cliente, como la de los
servicios configurados en el servidor.
En un primer momento configuraremos el ámbito local, como si de un equipo de trabajo
convencional se tratase. Después, trataremos aspectos como la conectividad con el servidor, el
acceso a recursos y la autenticación centralizada.
Este apartado incluye, no sólo la instalación de los sistemas operativos cliente, sino también su
configuración inicial, cambio de nombre de equipo, asociación al dominio y configuración de
seguridad.
Toda la información relativa a estas operaciones se encuentra detallada en el anexo E-80
“Instalación de Microsoft Windows 8.1”.
Usuarios y equipos en Active Directory
Una vez instalado y configurado el servidor utilizamos Active Directory para configurar:
1. Usuarios y grupos. Unidades organizativas.
2. Equipos hardware.
Y además, en el servidor configuramos otros aspectos como:
3.
4.
5.
6.
Aplicación de directivas de contraseñas (políticas de seguridad local y de dominio).
Implementación, ejecución y viabilidad del plan de copias de seguridad.
Instalación y configuración de servicio SaaS de almacenamiento remoto.
Imagen de sistema Windows Server 2012 y File History en sistemas cliente.
Todos estos puntos se detallan en el anexo E-79 “Usuarios, grupos e implementación de
seguridad”.
39
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Plan de pruebas
El plan de pruebas de este proyecto tiene como objetivo la validación de las decisiones
adoptadas durante su desarrollo. Las alternativas elegidas a lo largo de su desarrollo deben ser
válidas y razonables conforme a los requisitos. Para comprobar que dichos requisitos son
alcanzados satisfactoriamente, aplicaremos el plan de pruebas sobre el entorno simulado.
En un primer paso detallamos una especificación del plan. En ella, enumeramos cada punto de
prueba con una breve explicación.
Después, ejecutamos cada punto de prueba en el entorno de simulación para así comprobar si
el resultado es satisfactorio o no.
Por último, documentamos el resultado y las conclusiones que han podido obtenerse del
proceso en la evaluación de puntos de prueba, al final del apartado de plan de pruebas.
Especificación
Ejecución
Evaluación
Enumeración y
descripción de
puntos de
prueba
Comprobación
y verificación
de puntos de
prueba
Documentación
de resultados y
conclusiones
obtenidas
Este plan de pruebas, en un caso real de aplicación, debe extenderse a todos y cada uno de los
sistemas instalados y configurados en el proyecto (incluidos los sistemas RAID, SAI, etc.).
Además, debe ser actualizado tras la inclusión de nuevos equipos, aplicaciones o servicios al
entorno de trabajo.
Para que un plan de pruebas sea útil y valioso, debe aplicarse periódicamente (por ejemplo,
una vez al año), solucionar los casos de prueba cuyo resultado es negativo y documentar los
pasos necesarios para alcanzar dicha solución.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
40
Especificación del plan
Los puntos de prueba a verificar son los siguientes:
1. Integridad de instalación del sistema operativo:
1.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.
1.2. Microsoft Windows 8.1:
1.2.1. Equipo de personal administrativo: crlnv-adm-00.
1.2.2. Equipo de personal de dirección: crlnv-dir-00.
2. Estado de actualizaciones del sistema operativo:
2.1. Microsoft Windows Server 2012 R2: CSNV.crlnuevavida.es.
2.2. Microsoft Windows 8.1:
2.2.1. Equipo de personal administrativo: crlnv-adm-00.
2.2.2. Equipo de personal de dirección: crlnv-dir-00.
3. Inicio de sesión en el sistema:
3.1. Dentro del ámbito de dominio:
3.1.1. Personal administrativo en equipo de administración.
3.1.2. Personal directivo en equipo de dirección.
3.1.3. Administrador de dominio en el sistema controlador de dominio.
3.2. Ámbito local:
3.2.1. Administrador local en equipo de administración.
3.2.2. Administrador local en equipo de dirección.
3.3. En ámbito de dominio sin conexión al servidor:
3.3.1. Personal administrativo en equipo de administración.
3.3.2. Personal directivo en equipo de dirección.
3.3.3. Administrador de dominio en equipo de administración.
3.3.4. Administrador de dominio en equipo de dirección.
4. Estado del software antivirus y análisis de amenazas:
4.1. En el sistema servidor (Microsoft Security Essentials):
4.1.1. Estado de actualizaciones.
4.1.2. Estado del servicio.
4.1.3. Análisis del sistema, búsqueda de malware.
4.2. En equipo de administración (Avast Antivirus):
4.2.1. Actualizaciones de base de datos de virus.
4.2.2. Estado del servicio (estado de escudos del antivirus).
4.2.3. Análisis del sistema en busca de archivos maliciosos.
4.3. En equipo de dirección (Avast Antivirus):
4.3.1. Actualizaciones de base de datos de virus.
4.3.2. Estado del servicio (estado de escudos del antivirus).
4.3.3. Análisis del sistema en busca de archivos maliciosos.
41
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
5. Conectividad y análisis de red:
5.1. Pruebas de transmisión de paquetes (LAN):
5.1.1. Entre equipos del mismo departamento.
5.1.2. Entre equipos de distintos departamentos.
5.2. Conexión a Internet:
5.2.1. Conectividad del servidor a Internet.
5.2.2. Conectividad de equipo de administración a Internet.
5.2.3. Conectividad de equipo de dirección a Internet.
5.3. Tráfico de red:
5.3.1. Monitorización de transmisión de paquetes con Wireshark.
6. Funcionalidad de aplicaciones:
6.1. Equipo de administración:
6.1.1. Navegación con Google Chrome.
6.1.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
6.2. Equipo de dirección:
6.2.1. Navegación con Google Chrome.
6.2.2. Tareas administrativas con Microsoft Office: Word, Excel y
Powerpoint.
7. Repositorios de almacenamiento de backup y tareas de copia:
7.1. Tareas de copia en Cobian Backup.
7.2. Imagen del sistema Windows Server.
7.3. File history, almacenamiento de perfiles de usuario.
7.4. Soporte remoto (Unidad de red).
7.5. Repositorio sincronizado SaaS (OneDrive).
8. Disponibilidad y estado de servicios:
8.1. Servicio de nombres de dominio (DNS).
8.2. Servicio de configuración dinámica de host (DHCP).
8.3. Servicio AD DS (Directorio activo – Servicio de dominio).
9. Honeypot y cuentas de administración de dominio:
9.1. Imposibilidad de inicio de sesión como Administrador (cuenta deshabilitada y sin
permisos de dominio).
9.2. Comprobación de permisos de administrador de dominio e inicio de sesión
(uErArreglo, administrador de dominio).
10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):
10.1. Directorios de departamentos: administración, dirección, usuarios centro.
10.2. Carpeta común.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
42
Ejecución de pruebas
En este apartado se ejecutan todos los pasos de comprobación para evaluar los puntos de
prueba enumerados anteriormente. Los resultados se verán reflejados en la tabla siguiente
(apartado “Evaluación de puntos de prueba”).
Algunos puntos de prueba requieren de varios pasos, aclaraciones, pruebas adicionales o
métodos especiales que son documentados en su anexo correspondiente. Para obtener
información completa de estos puntos revisar el anexo E-88 “Plan de pruebas”.
Los puntos más sencillos, aquellos que sólo requieren una observación o comprobación simple,
son documentados directamente en la tabla de evaluación. En esta tabla se recogen las
puntualizaciones y aclaraciones pertinentes.
Los 10 puntos de prueba definidos se evalúan de forma secuencial comprobando que,
efectivamente, se cumplen los requisitos de la infraestructura propuesta.
43
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Evaluación de puntos de prueba
A continuación se muestra una tabla con los resultados obtenidos durante la realización del
plan de pruebas:
Punto de prueba
Resultado
Observaciones
1. Integridad de instalación:
CSNV.crlnuevavida.es
crlnv-adm-00
crlnv-dir-00
Comprobación de integridad satisfactoria.
2. Actualizaciones del sistema operativo:
CSNV.crlnuevavida.es
crlnv-adm-00
crlnv-dir-00
Incluye configuración de Windows Update e
instalación de actualizaciones importantes.
Revisión de Windows Update y reinicio del
sistema.
3. Inicio de sesión en el sistema:
Administrativo (en dominio)
Directivo (en dominio)
Administrador (en
controlador de dominio)
Administrador local en
equipo de administración
Administrador local en
equipo de dirección
Administrativo sin conexión
al servidor (en dominio)
Directivo sin conexión al
servidor (en dominio)
Administrador de dominio en
equipo de administración sin
conexión al servidor
Administrador de dominio en
equipo de dirección sin
conexión al servidor
Marcos Alonso (administrativo).
Juan Pérez (directivo).
Credenciales de “Administrador” de la máquina
local (fuera de dominio).
Estas
operaciones
hacen uso de la
caché SAM que
guarda las
credenciales de
anteriores
inicios de sesión
en el sistema
Marcos Alonso, usuario de
administración en crlnv-adm00.
Yolanda Figueras, usuario de
dirección en crlnv-dir-00.
Perfil de administrador de
dominio uErArreglo.
4. Estado del software antivirus y análisis de amenazas:
Microsoft Security Essentials (Servidor):
Estado de actualizaciones
Estado del servicio
Análisis del sistema
Avast Antivirus (en crlnv-adm-00):
Últimas definiciones de virus disponibles.
MSE activado y protegiendo el equipo.
Malware no encontrado en el sistema.
Estado de actualizaciones
Estado del servicio
Análisis del sistema
Solicita instalación de software publicitario de la
misma empresa (GrimeFighter). El análisis es
correcto y no encuentra amenazas.
Avast Antivirus (en crlnv-dir-00):
Estado de actualizaciones
Estado del servicio
Análisis del sistema
5. Conectividad y análisis de red:
Transmisión de paquetes
entre equipos del mismo
departamento
Transmisión de paquetes
entre equipos de distinto
departamento
Conexión del servidor a
Internet
Conexión de equipo de
administración a Internet
Conexión de equipo de
dirección a Internet
Tráfico de red
Pruebas realizadas en el entorno de red
simulado con Cisco Packet Tracer. Mensajes
ICMP.
La configuración de red propuesta funciona
correctamente en las pruebas de simulación. La
comunicación en el entorno virtual también es
correcta.
Solicitud PING a www.google.es para comprobar
conectividad y DNS.
Monitorización de red con Wireshark.
6. Funcionalidad de aplicaciones:
Navegación con Google
Chrome en equipo de
administración
Tareas administrativas con
Microsoft Office
Navegación con Google
Chrome en equipo de
dirección
Visita al sitio Web www.unirioja.es sin
incidencias. Acceso a Internet.
Hoja de cálculo, procesador de textos y base de
datos disponibles.
Búsqueda en Google a través de
www.google.es. Acceso a Internet.
7. Repositorios de almacenamiento de backup y tareas de copia:
Tareas de copia en Cobian
Backup
Imagen del sistema Windows
Server
File history, almacenamiento
de perfiles de usuario
Soporte remoto (Unidad de
red)
Repositorio sincronizado
SaaS (OneDrive)
45
Las rutas origen y destino de copia en las tareas
creadas están configuradas correctamente.
Almacenada en soporte RAID (en simulación,
unidad remota).
Perfiles almacenados correctamente de forma
automática con File History en la unidad remota.
Directorio WindowsImageBackup.
Acceso normal, contenido íntegro. Conectado
como unidad E:\.
Funcionamiento adecuado. Forma parte de los
destinos programados para las tareas de copia
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
en Cobian. La sincronización con la nube
funciona correctamente.
8. Disponibilidad y estado de servicios:
Servicio de nombres de
dominio (DNS)
Servicio de configuración
dinámica de host (DHCP)
Servicio AD DS (Directorio
activo – Servicio de dominio)
Consulta de estado de servicios desde el
dashboard de Administrador del Servidor en
Windows Server 2012.
9. Honeypot y cuentas de administración de dominio:
Imposibilidad de inicio de
sesión como Administrador
La cuenta está deshabilitada y además no
permite iniciar sesión con ella en ningún equipo
de dominio.
Comprobación de permisos
de administrador de dominio
e inicio de sesión
Inicio de sesión correcto y permisos asignados
adecuados como administrador de dominio.
10. Recursos compartidos, disponibilidad y acceso (lectura y escritura):
Directorios de
departamentos:
administración, dirección,
usuarios centro
Creación de ficheros en cada departamento:
pruebas de copia, edición y eliminación.
Carpeta común
El usuario que publica en ComunCRL puede
solicitar que sólo él pueda modificarlo. Las
directivas de grupo permiten editar los permisos
de los ficheros creados por ellos.
Como podemos observar, todas las pruebas han sido completadas satisfactoriamente. En la
evaluación de cada punto de prueba hemos conseguido el resultado esperado, tal y como
figura en la tabla anterior.
Con esta fase del proyecto podemos dar por concluido el apartado de implementación de la
solución y las pruebas de la misma.
A continuación abordamos el apartado de restauración, donde se plantean distintas
situaciones que pueden presentarse en la infraestructura en un futuro. Se trata de un paso
más en el cual se compromete al entorno simulado y se detalla a continuación la o las
soluciones que se pueden adoptar y su resultado final.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
46
Escenario de restauración
Una vez implementada la infraestructura y ejecutado el plan de pruebas con éxito, pasamos al
escenario de restauración. En este apartado simularemos posibles problemas que puedan
existir en el futuro para comprobar la eficacia de los sistemas de seguridad aplicados en el
proyecto.
El escenario de restauración se divide en los siguientes puntos:




Recuperar una versión anterior de un documento del administrador de dominio.
Restablecer un perfil de dominio de un usuario.
Aplicar la imagen de sistema servidor.
Conectividad para un cliente con problemas de acceso a la red.
A continuación se detallan uno a uno los puntos del escenario:
Recuperación de un documento del administrador de dominio
Situación
El administrador elimina un documento importante
almacenado en su carpeta personal, lo sobrescribe o
existe un problema de integridad en el sistema de
ficheros que le impide acceder a esa información.
En esta ocasión el fichero ha sido eliminado de forma
permanente por accidente. No es posible acceder a él
desde la papelera de reciclaje.
Solución
La tarea de copia “SRVR_PERFILADMIN” realiza copias de respaldo de los documentos del
administrador, por lo que podemos recurrir a diferentes medios de recuperación:
1. Recurrir a la copia de respaldo del medio remoto.
2. Recuperar el fichero desde el servicio OneDrive.
3. Utilizar un software de recuperación de archivos.
Utilizamos la primera opción. Si accedemos al repositorio
donde se almacenan las copias nos encontramos con el
fichero, el cual si abrimos comprobamos que está cifrado.
Si queremos acceder al contenido descifrado, debemos
utilizar la herramienta “descifrador” de Cobian. Indicamos
la clave de administrador de dominio y el tipo de cifrado
AES 256 bits.
47
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Descifrador en Cobian, descifrado del fichero a recuperar
Una vez realizada esta operación, podemos acceder al fichero perdido con total normalidad,
recuperando la versión destruida siempre y cuando sea el administrador de dominio quien
desee recuperar la información.
Restablecer un perfil de dominio de un usuario
Situación
El equipo de trabajo de un usuario tiene que ser reemplazado por una actualización
importante, un fallo de un componente hardware u otro tipo de reparación. Los datos con los
que trabaja dicho usuario están almacenados localmente en su estación de trabajo,
concretamente, en su perfil de dominio, con el que inicia sesión.
El servicio de dominio Active Directory sólo guarda las credenciales del usuario y la
información de su cuenta (pertenencia a grupos, unidades organizativas, permisos...) pero
nunca sus datos.
Solución
Podemos adoptar dos soluciones distintas en función de qué necesitamos recuperar:


Sólo datos: Con la tarea de Cobian “CLNT_PROFILES”. Tal y como hemos recuperado
los datos del punto anterior.
Perfil completo: Utilizando la herramienta File History que almacena los datos y la
configuración del perfil.
En este caso aplicaremos la segunda opción, File History. Los pasos a seguir son los siguientes:
1. Si el perfil ha sido eliminado, no hay más remedio que volverlo a crear. Si se han
perdido datos o configuraciones del perfil no es necesario crearlo de nuevo. Esta
operación debe realizarse creando un nuevo objeto de usuario en “Usuarios y Equipos
de Active Directory”.
2. Iniciamos sesión con el perfil de dominio en su equipo de trabajo, en nuestro caso es
Marcos Alonso en el equipo crlnv-adm-00.crlnuevavida.es.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
48
3. Accedemos al servicio File History desde el panel de control (o mediante una búsqueda
desde el menú inicio). Elegimos el recurso de red donde el servidor almacena los datos
del perfil: \\CSNV\usuario@crlnuevavida.es.
4. Marcamos el check “Quiero utilizar un backup previo de esta unidad”. Aparece
entonces otro cuadro en el que nos permite elegir el
backup a restaurar.
Accedemos a las tres copias de las que disponemos
actualmente sobre este perfil. Podemos navegar entre las
diferentes versiones y directorios para restaurar los datos
que deseemos.
Una vez seleccionada la información que queremos
restaurar, hacemos clic en el botón verde de la parte inferior de la pantalla.
De este modo, recuperamos la información del perfil satisfactoriamente.
Aplicar la imagen del sistema servidor
Situación
El servidor es un sistema más de la infraestructura y, como tal, puede fallar. Además, no
disponemos de un servidor de pruebas que nos permita mantener un sistema completo de
respaldo por si el primero falla. Tampoco tenemos un servidor de réplica, el cual realizaría esta
función de forma automática, gracias a los servicios de Active Directory y el catálogo global.
Descartando las soluciones más adecuadas, ya que aumentarían el coste del proyecto
notablemente, se hace necesario buscar otras alternativas.
Solución
Si se trata de un problema de hardware, ponerse en contacto con el fabricante es la solución
más adecuada. Si el administrador de sistemas es capaz de diagnosticar el problema, puede ser
más rápido que él mismo sustituya la pieza dañada.
Para los problemas derivados de un fallo de software, tenemos una imagen de sistema
operativo creada y almacenada. Esta imagen, por requisitos del plan de seguridad, es
actualizada con cada cambio significativo realizado en el servidor. ¿Cómo podemos restablecer
el estado del sistema operativo aplicando la imagen realizada?
49
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Imágenes de sistema almacenadas durante la ejecución del plan de seguridad
Existen dos alternativas para aplicar la imagen y restaurar el sistema:
1. Utilizar la herramienta gráfica de realización de copias y restauración:
Cuando el sector de arranque del sistema no se ha visto afectado es preferible
utilizar esta opción, pero para ello es necesario que el sistema sea capaz de
arrancar con normalidad. En herramientas administrativas, Windows Server
Backup hacemos clic en recover y seguimos el asistente, seleccionando estos
parámetros:
 Ubicación de la imagen de restauración: CSNV.crlnuevavida.es.
 Obtenemos la información de las copias
almacenadas, elegimos la más reciente
o la más adecuada.


Recuperar estado del sistema (System state). Podemos elegir otras
opciones de recuperación como: Ficheros y directorios, volúmenes o
aplicaciones.
Destino de recuperación: Ubicación original.
Nota: el tipo de recuperación “estado del sistema” sólo puede realizarse desde el
modo de recuperación (modo DSRM), detallado a continuación en el punto dos.
2. Arrancar el sistema en modo recuperación y restaurar con imagen de sistema:
Utilizando este método podemos utilizar todas las opciones de recuperación,
incluida la de estado de sistema. Para poder volver a un estado anterior es
necesario que el sistema operativo no esté funcionando, los pasos a seguir son los
siguientes:
 Arrancar la máquina en modo de recuperación (DSRM) pulsando F8 antes
de que el sistema operativo arranque con normalidad.
 En opciones de arranque avanzadas, elegimos “Reparar el equipo”.
 En el menú siguiente: Opciones avanzadas > Recuperación imagen de
sistema.
 Seleccionar opción de recuperación: Estado de sistema.
 Elegir la imagen más adecuada para restaurar de las opciones disponibles.
 Ubicación de la restauración: Ubicación original.
Sea cual sea la opción que hemos elegido, se trata de una operación costosa que afecta a todo
el sistema, por lo que podemos estimar un tiempo de recuperación de entre dos y cuatro
horas. Una vez realizada la operación, el equipo se reiniciará y podremos iniciar sesión con
normalidad.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
50
Conectividad para un cliente con problemas de acceso a la red
Situación
Un usuario informa de que no tiene posibilidad de acceder a la red. El administrador acude al
puesto de trabajo para averiguar qué sucede y quiere descartar problemas de configuración IP.
¿Cómo puede ayudar la infraestructura de servicios en esta situación? Si pasa en varios
equipos a la vez, ¿cómo atajar el problema con agilidad?
Solución
La solución más eficaz pasa por hacer modificaciones en la infraestructura de servicios actual y
ampliar la información sobre el estudio de configuración IP. El proceso consta de dos fases, un
apartado técnico de actuación sobre el servicio DHCP y otra de documentación para habilitar
configuraciones IP estáticas temporales.
Fase 1: Crear un ámbito DHCP de reserva para conceder a los clientes datos de configuración IP
dinámicos temporales y así comprobar su conectividad. Existe un conflicto explicado en
desviaciones con este servicio que nos impide crear un ámbito para atender estas peticiones,
así que ampliamos el rango de concesiones creando un ámbito global que atenderá las
peticiones de conexiones inalámbricas y las de IP de reserva para conectividad.
Configuración final del ámbito global en el servidor DHCP
Fase 2: Documentar un rango de direcciones IP de reserva utilizables en caso de ser necesaria
una configuración estática diferente en el equipo cliente. Debemos utilizar un rango fuera del
ámbito de concesiones del servidor DHCP, para evitar problemas de duplicación de
direcciones.
Para aplicar esta solución debemos añadir la siguiente fila en la tabla de direcciones contenida
en el estudio de configuración IP:
Equipo (hostname)
Reserva de direcciones para
asignación manual.
Ubicación
Dirección
Todo el centro
10.0.151.0 – 10.0.151.254
Máscara: 255.255.0.0
Puerta de enlace: 10.0.0.1
DNS: 10.0.0.100
Utilidad y crecimiento del escenario de restauración
El informe que documenta las operaciones de restauración debe crecer con cada problema
resuelto. Es fundamental documentar correctamente la solución adoptada y la información
recogida. Esta información, junto a la contenida en el plan de seguridad, puede ahorrar mucho
tiempo a la hora de solucionar un problema en la infraestructura.
51
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Tener actualizados y bien documentados estos informes ahorrará tiempo, problemas y hará
más efectiva la labor del administrador, evitando tener que investigar varias veces problemas
similares y buscar soluciones adoptadas en casos anteriores.
Desviaciones
Incompatibilidad de aplicación: Avast y Windows Server
Problemas de compatibilidad a la hora de instalar el antivirus Avast en el servidor. Este
software está pensado para ser utilizado en equipos cliente que ejecutan sistemas operativos
para equipos de este tipo. La solución más razonable pasa por instalar Microsoft Security
Essentials en lugar de Avast (sólo en el caso del equipo servidor, por sus características
especiales).
Servicio VSS (Volume Shadow Copy Service) y Cobian Backup
El software elegido para las tareas de backup, Cobian, requiere del uso del servicio de
Windows VSS para copiar ficheros protegidos por el sistema operativo. El uso de este servicio
requiere privilegios administrativos, por lo que ha sido necesaria una modificación adicional en
la configuración del programa Cobian Backup.
Inicio de sesión en Microsoft Windows Server 2012
Problemas de configuración en la máquina virtual (instalada en Virtualbox) impiden que el
sistema operativo permita iniciar sesión. La solución pasa por cambiar la configuración de la
máquina virtual desde el menú de configuración de Virtualbox. El fallo queda registrado y
documentado en el log del sistema operativo.
Problemas de servicio WDS (Windows Deployment Services) y
Administración Remota
Un error no documentado relacionado con el servicio WDS y Administración Remota me
impide habilitar servicios críticos para la realización del proyecto. El problema reside en una
instalación defectuosa del sistema operativo que me obliga a reinstalarlo y configurarlo de
nuevo.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
52
Sistema RAID, simulación virtual
Tal y como queda especificado en los requisitos del proyecto, es necesario un sistema
redundante de almacenamiento (RAID) para las copias de seguridad. En el entorno real viene
configurado en el sistema servidor, pero en nuestro caso necesitamos una solución de
simulación. La aplicación más aproximada que podemos realizar es incluir en la máquina virtual
una ubicación de red adicional que funcionará como espejo (aplicando así un RAID tipo 1).
Accesibilidad a carpetas compartidas entre máquinas. Hora del
sistema y seguridad
El servidor de ficheros no permite acceder a los clientes a sus recursos compartidos si su hora y
fecha no están actualizadas. Guardar el estado de una máquina virtual sin tener instaladas las
Virtualbox Guest Additions puede provocar un desfase horario en la máquina virtualizada. Para
evitar esto, se añade a la instalación de las máquinas el paquete Guest Additions.
La fecha y hora de máquina servidor y cliente deben coincidir para permitir el acceso a los
recursos compartidos. Con esta solución, el problema de acceso desaparece.
Planificación y ejecución del plan de copias de seguridad
La estrategia de copias es válida, pero su implementación está mal realizada por un error al
aplicarla. Al intentar poner como destino de copia un directorio que forma parte de los
orígenes de copia (por ejemplo, guardar en C:\Copia el contenido del volumen C:\) provoca
una copia continua que no termina nunca (como una recursividad mal fundada). No existe
condición de parada y el sistema se satura.
Corregir la aplicación de la estrategia de copia resuelve este problema.
Cortafuegos a nivel de dominio y protocolo ICMP
El cortafuegos activado en el cliente a nivel de dominio impide que el servidor pueda realizar
solicitudes PING satisfactoriamente con sus clientes para comprobar la conectividad. Para
poder realizar labores de diagnóstico de red, comprobaciones de conectividad de red, estado
de servicios, etc. es necesario desactivar el firewall en el cliente, únicamente a nivel de
dominio.
Sin llegar a ser una práctica muy insegura, sí conviene desactivar el cortafuegos únicamente
cuando vayan a realizarse las labores mencionadas anteriormente. Mantener activadas las
medidas de seguridad es esencial.
53
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Configuración del ámbito de red en los clientes
En Windows 8.1, así como en versiones anteriores del sistema operativo, es posible establecer
el ámbito de una conexión de red. Una conexión puede ser pública (si nos conectamos en
centros comerciales, aeropuertos…) o privada (si se trata de una red de trabajo o doméstica).
Tenemos el problema de que la interfaz que comunica a los equipos de la simulación está
configurada como pública de forma automática. Esto afecta a la conectividad, incluso a la
posibilidad de realizar copias de seguridad de los clientes, ya que el servidor no tiene acceso a
los clientes a través de una red pública. Es un problema que puede aparecer tanto en el
entorno virtual como en el real.
Para solucionar esto ha sido necesario reconfigurar las interfaces de red en los clientes desde
el centro de redes y recursos compartidos, en el panel de control de Windows.
Los ámbitos de concesiones en el servicio DHCP de Windows Server
Durante la realización del escenario de restauración, concretamente la primera fase del último
punto, necesitamos hacer modificaciones sobre el servicio DHCP. Se trata de una operación
aparentemente sencilla, añadir un ámbito con el rango 10.0.100.1 – 10.0.100.254 para ayudar
al administrador de sistemas a resolver posibles problemas de conectividad en los clientes.
Ya tenemos configurado el ámbito 10.0.150.1 – 10.0.150.254 para conexiones inalámbricas y
ambos son incompatibles. No se solapan entre ellos, pero Windows Server no permite activar
ambos ámbitos, ¿por qué? Pues es sencillo, tiene que ver con la máscara de subred.
Si establecemos una máscara de subred, como es el caso, 255.255.0.0, un ámbito de
concesiones con esta máscara ocupa todo el rango de direcciones aplicable sobre esa máscara,
un ejemplo aplicado a nuestra situación:
Si un ámbito DHCP está configurado con 10.0.150.1-254 con máscara 255.255.0.0, el ámbito
ocupa, en realidad, todas las direcciones 10.0.x.x (las que coinciden con la máscara), es decir:
Las que concedo:
Las que ocupo:
10.0.150.1-254
10.0.x.y, con x e y entre 1 y 254
con máscara 255.255.0.0.
con máscara 255.255.0.0.
No es fácil de explicar, posiblemente lo sería si tuviera sentido. Hay dos posibles soluciones,
engañar a Windows o modificar el planteamiento realizado y ajustar la máscara a las
exigencias del sistema operativo, apostamos por la primera.
Creamos un ámbito global (superscope) que abarca el rango 10.0.100.1 – 10.0.150.254 y luego
añadimos a la lista de exclusiones el rango 10.0.101.1 – 10.0.149.254. Así conseguimos que el
ámbito global atienda a las peticiones de ambos sectores de direcciones.
Más detalles sobre estas desviaciones en el anexo E-81 “Desviaciones y lecciones aprendidas”.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
54
55
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Capítulo 5.
Conclusiones
Una vez ejecutada y verificada la solución, pasamos al último capítulo del proyecto. En estos
párrafos se detallarán las lecciones aprendidas durante todo el desarrollo. Como conclusión
del trabajo, un apartado de bibliografía y un comentario final que abarca, desde una
perspectiva global, las conclusiones obtenidas a lo largo de la realización del proyecto.
Lecciones aprendidas
Asociación al dominio
Encuentro un cambio respecto a mi experiencia con versiones anteriores de Windows Server.
En la versión 2003 era necesario ser administrador de dominio para unir un equipo al dominio.
Actualmente, en la versión 2012, esto ha cambiado y cualquier usuario perteneciente al grupo
“Domain Users” puede realizar esta operación.
Se trata de un cambio que puede generar controversia y que, además, puede suponer un
compromiso de seguridad.
Copias de seguridad de los usuarios y sus perfiles
La estrategia de copias de seguridad está ideada en un principio para realizar imágenes de
sistema de los equipos cliente. Es una práctica razonable cuando hay varios equipos cliente con
características diferenciadas entre ellos: diferente software, configuración, etc.
En este proyecto, no es necesario aplicar esta técnica, ya que la imagen de sistema cliente es
similar en todos los equipos. No existen aplicaciones ni características diferenciadoras para los
distintos departamentos, por lo que podemos incrementar la eficiencia de la estrategia de
copia si acotamos el respaldo a los perfiles de usuario.
La información específica que necesita cada equipo cliente reside en su totalidad en el servidor
(el cual sí posee su propia imagen de sistema). La información a proteger en los equipos cliente
son únicamente los perfiles de usuario, los cuales están englobados en la política de copias, ya
que los equipos cliente se encargan de enviar copias de los perfiles que contienen
periódicamente.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
56
Directivas de contraseñas
También denominados “Requisitos de complejidad de contraseñas”. Constituyen una serie de
reglas que aplica el sistema a la hora de comprobar la validez de las contraseñas de usuario. Al
contrario de lo que yo creía inicialmente, estos requisitos no son editables.
Se trata de una limitación importante que puede suponer, en muchos casos, la adopción de
otra alternativa como sistema operativo servidor, por ejemplo un sistema GNU/Linux, que sí lo
permite.
Con Windows Server será posible establecer parámetros de caducidad, intentos fallidos,
memoria de contraseñas anteriores (para no repetir) y otros parámetros similares. Por el
contrario, en ningún caso será posible decidir cuántas mayúsculas queremos incluir en la
palabra de paso, ni cuántos símbolos especiales, si debe contenerlos o no, etc.
Este sistema operativo te permite habilitar o deshabilitar sus propios requisitos, pero nunca
editarlos.
Reiniciar el sistema
En un servidor, la operación “reiniciar el sistema” debe ser algo poco habitual y justificado.
Este segundo aspecto es necesario en Windows Server, ya que para reiniciar el servidor
necesitas documentar los motivos (que formarán parte del log del sistema desde ese
momento).
Ahora bien, reiniciar el sistema con un sistema operativo Windows Server no es poco habitual,
de hecho es algo demasiado habitual para un servidor. Es necesario reiniciar demasiadas
veces, más de las que creía inicialmente.
Tener que reiniciar el sistema implica cerrar servicios, imposibilitar operaciones de dominio en
los clientes y otras muchas consecuencias indeseables. Otras alternativas de sistemas
operativos como GNU/Linux no exigen reinicio del sistema para operaciones en las que
Windows Server sí lo requiere.
Autenticación centralizada (caché SAM)
Otro avance respecto a versiones anteriores de Windows Server (2003). En la versión 2012 es
posible iniciar sesión en el dominio sin que este esté accesible. Esto es posible gracias a que la
SAM (donde se almacenan las credenciales) de los sistemas cliente es actualizada con cada
inicio de sesión de usuario.
Si un sistema cliente no es capaz de conectar con el controlador de dominio (en nuestro caso
el servidor), recurrirá a su propia SAM para intentar autenticar al usuario que intenta iniciar
sesión. Si este mismo usuario inició sesión en el sistema anteriormente, podrá ser autenticado
57
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
y acceder a su perfil de dominio, aunque sin conexión al mismo. Es algo así como una
simulación de perfil de dominio a nivel local.
Es un aspecto positivo para la accesibilidad ya que permite iniciar sesión en el dominio aun
cuando el controlador no está disponible. Por el contrario, no lo es tanto para la seguridad,
porque esto implica que el sistema cliente está autorizado para autenticar usuarios de forma
local. Esta operación debería ser exclusiva del controlador de dominio.
En mi opinión, la autenticación local con un perfil de dominio no debería estar permitida
mientras el servidor no esté disponible. Normalmente un servidor es una máquina preparada
para funcionar continuamente, por lo que este problema debería ser algo excepcional.
Comprometes la seguridad en exceso para ganar accesibilidad en casos muy concretos que no
deberían suceder con regularidad.
La combinación OneDrive + Cobian Backup
Dos herramientas que, en fase de planificación, son incluidas de forma independiente en el
proyecto, cada una realizando una tarea propia.
OneDrive sirve como SaaS replicando ficheros en un medio externo, mientras que Cobian
centraliza las tareas de copia de respaldo. La combinación de ambas aplicaciones no estaba
prevista inicialmente, pero surge una sinergia del uso de ambas de forma sincronizada.
Cobian Backup pone a disposición de OneDrive los datos de respaldo. A su vez, este último
sincroniza de forma automática el repositorio local (un directorio) con el servicio de
almacenamiento alojado en Internet. Así, una tarea de copia de Cobian desencadena tres
operaciones distintas:



Copia de respaldo local en directorio de backup.
Duplicado de los archivos respaldados en el directorio OneDrive.
Sincronización del directorio OneDrive local con el servicio de almacenamiento en la
nube.
Para obtener información extendida sobre las lecciones aprendidas, ver anexo E-81
“Desviaciones y lecciones aprendidas”.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
58
Conclusión
El desarrollo del proyecto “Conceptualización, diseño e implementación de infraestructura de
red” ha sido muy interesante. Un trabajo amplio en los conceptos que abarca: tecnologías,
programas, aspectos de la informática de sistemas y redes.
Se trata de un proyecto motivado por mi deseo de actualizar mis conocimientos en redes e
informática de sistemas, además de aplicar los conocimientos adquiridos en estos años de
grado.
De principio a fin han surgido numerosos problemas, desviaciones y complicaciones de todo
tipo. El tiempo dedicado a su resolución me ha ayudado a adquirir nuevos conocimientos y a
darme cuenta también de lo frágil que puede resultar una planificación.
Aprender, poner a prueba mi motivación y mi independencia profesional han sido los pilares
fundamentales. El trabajo continuado y la comunicación con mis tutores han contribuido
notablemente al resultado.
Estoy satisfecho, por tanto, con la labor realizada como equipo de trabajo, he recibido en todo
momento la ayuda que he necesitado, ha habido una comunicación eficaz y ha formado parte
activa de mi motivación durante este tiempo.
El cliente ha quedado también satisfecho con este resultado. Tras remitir una copia del
proyecto finalizado al responsable de informática del centro y al director, me han transmitido
su agradecimiento personalmente. Consideran este trabajo como una alternativa interesante
para el futuro del centro.
Como puntos críticos puedo destacar las limitaciones sufridas a causa del entorno de trabajo
virtual y, en algunos casos, la irreflexión mía a la hora de elegir ciertas aplicaciones, lo cual me
ha obligado a reconducir el proyecto en alguna ocasión.
Estas reconducciones me han generado cierta frustración, pero considero que no han afectado
al resultado final. Con la misma ilusión del primer día, afronto las nuevas posibilidades que han
surgido gracias a la realización de este trabajo.
Tiempo de trabajo real y estimado
Una vez terminado el proyecto repasamos la estimación inicial de tiempos y el diario de
actividad. El tiempo total de trabajo estimado fue de 271,5 horas. Según el diario de actividad,
donde están registradas las actividades realizadas y su dedicación temporal, el tiempo total de
trabajo en el proyecto ha sido de 290 horas.
Es una desviación positiva de un 6,8% en tiempo real de trabajo frente al estimado, cuando en
la planificación se estima hasta un 10% de posible aumento. El tiempo real, por tanto, se
encuentra dentro del margen previsto para la realización del proyecto.
59
Alberto Aparicio Colis | Trabajo Fin de Grado - 2015
Bibliografía

Tecnologías y servicios utilizados:
1. Google Docs (http://docs.google.com): Formularios de consulta.
2. Dreamspark (http://www.dreamspark.com): Licencias de aplicaciones con
fines educativos.
3. Virtualbox (https://www.virtualbox.org): Aplicación para crear el entorno
virtual.
4. Cisco Packet Tracer (https://www.netacad.com/es/web/about-us/ciscopacket-tracer): Simulación de red y pruebas de comunicaciones.

Formación, tutoriales y orientación:
1. Comandos para consola CMD Windows
(http://www.oscarbernal.net/?/content/view/53/19).
2. Configuración de servidor, primeros pasos
(http://www.techrepublic.com/blog/data-center/ten-first-steps-withwindows-server-2012).
3. Canal de Pablo Martínez: MVP de Microsoft. Administración de Windows
Server 2012 (https://www.youtube.com/user/PabloMartinezs3v).
4. Servicio TechNet de Microsoft para consultas y resolución de problemas
(https://technet.microsoft.com/es-es).
5. Tutoriales y artículos con información sobre sistemas operativos cliente y
servidor de Microsoft (http://www.windowsnetworking.com).

Términos de uso y boletines en Internet:
1. OneDrive: LOPD y posible cesión de datos, legislación
(http://windows.microsoft.com/es-xl/windows/microsoft-servicesagreement).
2. Hispasec: consultas de seguridad, boletines (http://www.hispasec.com).
3. Asociación de internautas: otras consultas de seguridad
(http://www.internautas.org/seguridad).
4. Blog de redes TCP/IP con información sobre subnetting, topologías y guías de
IPv4 e IPv6. También incluye información interesante sobre Packet Tracer y
descargas de software para administradores de redes
(http://cesarcabrera.info/blog).

Libro de consulta:
Redes de área local (2º Edición - Editorial Ra-Ma)
Fco. José Molina.
Trabajo Fin de Grado – 2015 | Alberto Aparicio Colis
60
Anexo E-70
Formularios de consulta
Cuestiones planteadas al cliente para obtener la información
necesaria sobre el proyecto
Conceptualización, diseño e implementación de
infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Formulario 1 (E70_FORM1):
HTTPS://DOCS.GOOGLE.COM/FORMS/D/1STDV9Q-XJYIJK-UCY2N-
JV6AQP3LFVWRDQJSGVXSQGK/VIEWFORM
Entrevista presencial
Realizada el lunes 27 de octubre en el centro donde se realizará el despliegue de la
infraestructura. En la reunión se trata de obtener más detalles sobre algunas de las respuestas
obtenidas a través del formulario online.
En la entrevista tratamos lo relacionado con las aplicaciones necesarias a instalar en los
equipos, atendiendo a las peticiones de empleados y usuarios. Por otra parte, se solicitó por
parte del centro una conexión inalámbrica para dispositivos móviles.
Respecto a infraestructura, comprobamos la conectividad del edificio y la distribución: existen
dos despachos en los que es necesario al menos un equipo, pero lo ideal serían dos por el
número de empleados que trabajan en ellos. Además, existen dos salas que requieren doce
equipos en cada una para usuarios del centro.
En lo que a LOPD (Ley Orgánica de Protección de Datos) se refiere, tenemos un fichero
registrado con información sensible sobre usuarios. Es necesario realizar copias de seguridad
de dicho fichero y por tanto será incluido en el plan de copias.
ID
Task Mode Task Name
1
2
3
4
7
8
14
15
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
Duration
October 2014
09
12
Conceptualización, diseño e implementación 116 days
de infraestructura
Reuniones
y diario de
de red
actividad
116 days
Estudio de herramientas a utilizar
111 days
Organización básica
1 day
Completado: organización básica
0 days
Planteamiento
7 days
Completado: planteamiento
0 days
Planificación
12 days
Completado: planificación
0 days
Diseño de infraestructura
21 days
Plano de localización de equipos y
3 days
distribución
Hardware
de sistemas
4 days
Hardware de red
2 days
Enrutamiento y conmutación
1 day
Estudio y configuración LAN
2 days
Presupuesto de hardware
5 days
Aplicaciones
3 days
Seguridad
6 days
Servicios
3 days
Completado: diseño de infraestructura
0 days
Ejecución
55 days
Instalación de servidor virtualizado
13 days
Sistema operativo
1 day
Despliegue del servidor
8 days
Crear y almacenar imagen de sistema
2 days
Completado: equipo servidor
0 days
Parada por exámenes. Convocatoria de
22 days
enero.
Instalación de cliente virtualizado (adm / 9 days
dir)Sistema operativo
2 days
Despliegue del cliente
5 days
Crear y almacenar imagen del sistema 3 days
Instalación de cliente virtualizado
9 days
(usuarios)
Sistema operativo
2 days
Despliegue del cliente
5 days
Crear y almacenar imagen del sistema 2 days
Completado: ejecución
0 days
Plan de pruebas
13 days
Sistemas operativos
2 days
Conectividad
3 days
Aplicaciones
2 days
Servicios
5 days
Acceso a recursos compartidos
2 days
Copias de seguridad
2 days
Completado: plan de pruebas
0 days
Escenario de restauración
5 days
Simular compromiso de integridad de datos 2 days
Restaurar información perdida
3 days
Completado: escenario de restauración
0 days
Presentación y defensa
5 days
Confeccionar y revisar documentación
3 days
Preparar presentación y defensa
3 days
Completado: presentación y defensa
0 days
Proyecto terminado
0 days
Project: E-71 Diagrama de Gant
Date: Thu 14/05/15
15
18
21
24
27
30
November 2014
02 05 08
11
14
17/10
27/10
11/11
Task
Inactive Summary
External Tasks
Split
Manual Task
External Milestone
Milestone
Duration-only
Deadline
Summary
Manual Summary Rollup
Progress
Project Summary
Manual Summary
Manual Progress
Inactive Task
Start-only
Inactive Milestone
Finish-only
Page 1
17
20
23
26
29
December 20
02 05
mber 2014
05 08
11
14
17
20
23
26
29
January 2015
01 04 07
10
13
16
19
22
25
28
February 2015
31 03 06 09
12
15
18
21
24
27
March 2015
02 05
08
11
14
17
20
23
26
29
08/12
24/12
20/02
11/03
18/03
25/03
25/03
Project: E-71 Diagrama de Gant
Date: Thu 14/05/15
Task
Inactive Summary
External Tasks
Split
Manual Task
External Milestone
Milestone
Duration-only
Deadline
Summary
Manual Summary Rollup
Progress
Project Summary
Manual Summary
Manual Progress
Inactive Task
Start-only
Inactive Milestone
Finish-only
Page 2
29
April 2015
01 04 07
10
13
16
19
22
25
28
May 2015
01 04
07
10
13
16
19
22
25
28
June 2015
31 03 06
09
12
15
18
/03
/03
Project: E-71 Diagrama de Gant
Date: Thu 14/05/15
Task
Inactive Summary
External Tasks
Split
Manual Task
External Milestone
Milestone
Duration-only
Deadline
Summary
Manual Summary Rollup
Progress
Project Summary
Manual Summary
Manual Progress
Inactive Task
Start-only
Inactive Milestone
Finish-only
Page 3
21
24
27
July 2015
30 03 06
09
12
15
18
21
Anexo E-74
Hardware de sistemas
En este documento se describe el hardware de sistemas a
implementar en el proyecto.
Conceptualización, diseño e implementación
De infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Equipos hardware
Equipos para salas de formación (24 unidades)
Dell OptiPlex 9020 Micro
Para las salas de formación escogemos un equipo de sobremesa de
pequeño tamaño, con componentes de última generación e ideales
para un entorno de oficina. Son especialmente silenciosos por lo que
pueden ser instalados en la mesa de trabajo, ocupando muy poco
espacio.
Tienen una relación calidad precio realmente buena. Además, permiten
trabajar rápida y cómodamente ya que incluyen un monitor LED,
además de un teclado y un ratón ergonómicos.
Microprocesador: Intel Core i5-4590T (4 núcleos, 6MB caché, 2.00Ghz) con tecnologías Intel
vPro e Hyper Threading.
Memoria principal: 8GB (DDR3L, 1600Mhz).
Memoria secundaria: 500GB (2.5” 5400rpm SATA3 con caché 8GB flash).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Monitor: Dell serie E-2014H (19,5” LED).
Accesorios: ratón óptico y teclado Dell.
Precio unitario: 678,80 €.
2
Equipos para departamento administrativo (2 unidades)
Dell Inspiron 3000
Los equipos de la serie Inspiron son puramente ofimáticos, sus
características centran el rendimiento en la capacidad de proceso para
textos, hojas de cálculo y la velocidad de encendido, apagado y
almacenamiento. Procesador rápido y nuevo, mucha capacidad para
almacenar datos y una pantalla grande y cómoda para poder trabajar
cómodamente largos periodos de tiempo.
Microprocesador: Intel Core i5-4460 (4 núcleos, 6MB caché, 3.40Ghz) con tecnología Hyper
Threading.
Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).
Memoria secundaria: 1TB (3.5” 7200rpm SATA3 con caché 8GB flash).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Monitor: Dell serie E-2414H (24” LED).
Accesorios: ratón óptico y teclado Dell.
Precio unitario: 623,00 €
Equipos para departamento de dirección (2 unidades)
Dell Inspiron 15 3542 (estación de trabajo portátil)
Portátil versátil y moderno. Buscamos movilidad para el equipo
de dirección, pero también compromiso entre rendimiento y
durabilidad de la batería. Si un directivo tiene que acudir a
eventos y trabajar fuera de la oficina, que tenga la mayor
facilidad y comodidad posible.
Microprocesador: Intel Core i5-4210U (2 núcleos, 3MB caché, 2,7Ghz).
Memoria principal: 8GB (DDR3 Dual Channel, 1600Mhz).
Memoria secundaria: 1TB (2.5” 5400rpm SATA3).
Sistema operativo: Microsoft Windows 8.1 Profesional (64 bits).
Pantalla: 15,6” HD LED.
Precio unitario: 460,72 €
3
Switch para salas de formación (2 unidades)
Level One GSW-2457
Las claves son escalabilidad y rendimiento: el switch que va a ser
instalado aporta estas dos características fundamentales sin un
precio excesivo. La sala de formación podrá crecer y algún puerto
del switch podrá fallar. Aunque esto suceda la conectividad de la
sala no se verá afectada al haber una relación 1 a 2 entre equipos y puertos, todos siempre
conectados. Para cada puerto tenemos una velocidad de 1Gbps, acorde con la velocidad de la
línea instalada.
Numero de puertos: 24.
Velocidad: 1000Mbps/puerto.
Estándares: RJ-45, Gigabit Ethernet.
Precio unitario: 83 €
Servidor principal en sala de comunicaciones (1 unidad)
Dell PowerEdge T420 (servidor personalizado)
Servidor tipo torre personalizado. Se ajusta a las necesidades actuales
de la empresa y además proporciona fiabilidad y escalabilidad para
escenarios de alta exigencia y futuras ampliaciones. Elementos críticos
sustituibles en caliente y administrable remotamente. Arquitectura
hardware RAID y copias de seguridad para proteger los datos.
Precio unitario: 2.383,82 €
Configuración hardware:

Microprocesador Intel Xeon E5-2430 v2.
o Sockets: 2.
o Núcleos de proceso: 4 a 2.5Ghz de velocidad de reloj.
o Caché: 15MB.
Memoria 32GB DDR3-1600Mhz en dos módulos (16GB+16GB).
RAID y almacenamiento controlador PERC H310 RAID por hardware y dos discos duros
SATA de 1TB en configuración RAID1.
Red dos tarjetas de red Intel Ethernet I350 1Gbps con doble puerto. WakeOnLan y
gestión remota del sistema.
Alimentación fuente de 550W.
Chasis tipo torre montable en rack (ocupa 5 unidades estándar).
Documentación sobre configuración completa del sistema y su administración
mediante OpenManage.






4
SAI (para servidor – 1 unidad)
SAI Ovislink Chrome 1500VA
Sistema SAI con hasta 750W de potencia de salida y tres líneas de
salida estándar. Hasta 20 minutos de autonomía y conexión USB para
notificar fallos del sistema eléctrico al momento. Incluye software que
permite avisar al administrador del problema en la red eléctrica e
incluso apagar el servidor antes de producirse el fallo de alimentación.
Precio unitario: 112 €
Ficha de sistema
Todos los equipos que forman parte del hardware de sistemas incluyen su propia ficha de
sistema, en la cual figura la información relativa a cada equipo. La cabecera de la ficha irá junto
al equipo físico pegada en la parte superior para conocer su información principal de forma
fácil y rápida. Además, si el equipo requiere ser transportado a otra ubicación (por fallo en el
hardware, sistema operativo o cualquier otra incidencia) será fácil saber de qué equipo se
trata y cuáles son su ubicación y configuración correspondientes.
El administrador de sistemas, por otra parte, dispondrá de una copia de todas estas fichas con
su registro de eventos en cada una. Toda operación realizada sobre el equipo será registrada
aquí para guardar su traza y conocer en todo momento los cambios realizados en el equipo.
Modelos de ficha de equipo en anexo “E-87 Fichas de sistemas”.
Existen herramientas HPI (Hardware Platform Interface), de ticketing y de registro de eventos
que son una alternativa a este método de fichas de sistemas. No he encontrado una aplicación
específica que realice la misma función que las fichas. También es posible desarrollar una
aplicación a medida que tenga esta funcionalidad, pero dadas las características de este
proyecto, principalmente por el tamaño de la infraestructura, considero más adecuado el uso
de fichas.
5
Anexo E-75.
Presupuesto de sistemas IT
Presupuesto de los equipos hardware a instalar en la empresa.
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Nº
Cantidad Concepto
Precio unitario
Subtotal
01
24
Equipo completo Dell OptiPlex 9020 Micro (i5-4590T, 8GB, 500GB, Win8.1)
Monitor Dell E-2014H (LED 19.5”) – Teclado y ratón óptico.
678,80 €
16.291,2 €
02
2
Equipo completo Dell Inspiron 3000 (i5-4460, 8GB, 1TB, Win8.1)
Monitor Dell E-2414H (LED 24”) – Teclado y ratón óptico.
623,00 €
1.246,0 €
03
2
Equipo portátil Dell Inspiron 15 3542 (i5-4210U, 8GB, 1TB, Win8.1). Display
LED 15,6” WiFi 802.11n. Incluye ratón óptico Dell.
460,72 €
921,44 €
04
2
Switch Level One GSW-2457 (24 puertos, Gigabit Ethernet, RJ45).
83,00 €
166,0 €
05
1
Servidor Dell PowerEdge T420 (Xeon E5-2430v2, 32GB, 1TB-RAID1,
2xEthernetNIC, PWRSupply550W, AdminDocs).
2.383,82 €
2.383,82 €
06
1
SAI Ovislink Chrome 1500VA (750W).
112,00 €
112,0 €
IVA (21%):
4.435,30 €
Subtotal:
21.120,46 €
Total:
25.555,76 €
Anexo E-76.
Presupuesto de software
Presupuesto de las aplicaciones a inst alar y configurar en el sistema
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Nº
Licencias Concepto
Precio unitario
Subtotal
01
28
Microsoft Office 2013.
119,00 €
3.332,0 €
02
1
Microsoft Windows Server 2012 R2 Standard Edition 64 bits.
432,03 €
432,03 €
IVA (21%): 790,45 €
Subtotal:
3.764,03 €
Total:
4.554,48 €
Esquema y estrategia de copias
de seguridad
Tipo de copia
(programación)
Nombre:
Alberto Aparicio Colis
Completa
(semanal)
Proyecto:
Diferencial
(semanal)
“Conceptualización, diseño e implementación de
infraestructura de red”
Repositorio
Cloud
Cloud
(OneDrive)
Fecha
Todos los
viernes
Todos los
martes
y jueves
Copia (ver tabla)
ID
RA
1
Hora
Datos a copiar
18:00
Documentos de todos los
usuarios
7:30
Documentos de todos los
usuarios
Trabajo con datos
Dirección
Administración
Usuarios centro
Anexo E-78
Instalación de Microsoft Windows
Server 2012 R2
En este documento se detalla la instalación y configuración básica
del sistema operativo que ejecutará el equipo servidor
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Instalación del sistema operativo
La primera pantalla
que observamos al
instalar el sistema
operativo tiene un
aspecto similar a
ésta.
Desde aquí, paso a
paso, establecemos
los parámetros de
configuración básicos
para el servidor.
Página principal de instalación WS2012 R2



Language to install: English.
Time and currency format: Spanish (Spain, International Sort).
Keyboard or input method: Spanish.
Tras darle clic al botón “Next” aparece otra pantalla en la que pulsaremos
Clave de producto: en el cuadro de texto introducimos la clave de producto obtenida con la
compra del sistema operativo. Formato: XXXXX-XXXXX-XXXXX-XXXXX-XXXXX (los guiones los
introduce de forma automática).
Clic de nuevo en “Next”.
Una vez validada la clave de producto debemos elegir el modo de instalación:
En nuestro caso instalaremos el
modo “Server with a GUI”, las
características
de
ambos
modos son:
2


Server Core Installation: Realiza una instalación del núcleo de servidor Windows, en la
cual se trabaja mediante una consola de comando. Mejora el rendimiento pero hay
roles de servidor que no se pueden ejecutar en este modo.
Server with a GUI: Añade a la instalación Server Core una capa gráfica (GUI) que
proporciona compatibilidad con aplicaciones que sobre comandos no son operativas.
Como desventaja disminuye el rendimiento del sistema, al tener que procesar una
capa gráfica adicional.
Después de la elección de modo debemos aceptar los términos de la licencia de uso de
Microsoft Windows Server 2012.
Tipo de instalación: Actualización o instalación personalizada (para usuarios avanzados). Si
tuviéramos una instalación anterior de Windows Server o estuviéramos realizando labores de
restauración o recuperación, elegiríamos la opción de actualización. En nuestro caso,
seleccionamos la instalación personalizada.
Ubicación del sistema operativo: Ahora debemos elegir donde instalaremos el sistema
operativo. Este paso es importante entenderlo ya que en nuestro caso tenemos una
instalación RAID por hardware (independiente del sistema operativo) por lo que en esta
pantalla aparecerá un único disco duro lógico, aunque tengamos montadas dos unidades
físicas.
Clic en “New”, elegimos el
tamaño de la partición nueva
(una única partición de 1TB
en el servidor) y clicamos en
“Next” dejando la partición
primaria de 1TB seleccionada
(aquí es donde se instalará
Windows).
Nota: El resto de particiones
que aparecen son propias de
Windows Server y creadas de
forma automática.
3
Proceso de instalación: A partir de este momento esperamos a que la instalación de Windows
Server termine para continuar con la configuración.
Este proceso tardará unos minutos y después la máquina
se reiniciará. Ya se han copiado los ficheros de
instalación necesarios, ahora comienza la configuración
del sistema y de administración.
4
Contraseña de administrador y primer inicio de sesión
En la siguiente pantalla configuramos la contraseña de administrador.
Usuario: Administrator
Password: R!NdtcE? (Root! Nunca desveles tu contraseña EH?)
Chequeo de contraseña (http://www.passwordmeter.com)
Introducción de contraseña para el administrador del sistema.
Primer inicio de sesión
5
Cambio de idioma a castellano
Para cambiar el idioma de Windows Server tenemos dos opciones:

Descargar el paquete de idioma desde Internet (Windows Server lo hace de forma
automática).
Instalar un pack de lenguaje que incluya el idioma que queremos instalar. Los packs de
lenguajes vienen en formato de imagen ISO que podemos montar en la máquina
virtual.

En el caso de que la primera opción no sea factible (por ejemplo por no tener configurada la
conexión a Internet todavía) podemos recurrir a la instalación del pack de lenguaje:
Una vez montado el disco con el lenguaje deseado, abrimos el panel de control y en el
apartado “clock, language and region” (reloj, idioma y región) clicamos en “add a
language” (añadir un idioma).
Sea cual sea el modo de actualización de idioma que elijamos, la pantalla de instalación tendrá
este aspecto:
Instalando paquete de idioma
Una vez terminada la instalación del nuevo paquete de idioma es necesario reiniciar la sesión
como administrador del sistema para hacer efectivos los cambios.
Comprobamos la instalación correcta del idioma
ya que, al iniciar sesión de nuevo, la aplicación de
administración central pasa de llamarse “Server
manager” a “Administrador del servidor”.
6
Configuración del servidor
Una vez comprobado que el servidor se inicia correctamente es necesario realizar las tareas
más básicas de un servidor de este tipo. La configuración básica de la estación de servicio
engloba los siguientes aspectos:
1.
2.
3.
4.
5.
6.
7.
8.
Nombre del servidor.
Configurar acceso remoto para administración.
Configuración IP estática.
Windows Update (actualizaciones del sistema).
Firewall de Windows.
Instalación de software antivirus.
Servicio de Protocolo de Configuración Dinámica de Host (DHCP).
Instalación de software para copias de seguridad.
Propiedades de la instalación de Windows Server (Administrador del servidor > Servidor local)
Para realizar los cambios de configuración en los puntos anteriores seguimos los siguientes
pasos:
1. Nombre del servidor: por defecto WIN-87OKJD1RD3G. Para cambiarlo, hacemos clic en el
nombre del equipo. Nombre nuevo: CSNV (Centro de Servicios Nueva Vida). Se llamará así
por simplicidad, es conveniente no dejar el nombre por defecto, que no sea muy largo y,
por seguridad, no llamarlo “SERVIDOR”, “SRVR”, etc.
Nota: Hacer efectivo el cambio de nombre implica reiniciar la máquina. Justificar el reinicio
del sistema al hacer clic en reiniciar con “Reconfiguración (planeado)” ya que estamos
configurando el servidor y el reinicio ha sido planeado previamente.
7
2. Habilitar acceso remoto para administración: permitir la accesibilidad del administrador
del sistema al servidor para gestionarlo desde cualquier ordenador perteneciente al
dominio. Puede parecer un riesgo de seguridad innecesario, pero:
2.1. Permite al administrador atender antes los problemas.
2.2. Facilita la administración, ya que el servidor no es un equipo que disponga de
teclado, ratón y monitor.
2.3. El acceso físico al servidor está limitado, por lo que el acceso remoto es más
sencillo, seguro y cómodo. Es preferible acceder vía red local y administrar que
estar entrando y saliendo de la sala de comunicaciones cada vez que es necesaria
una operación concreta sobre el servidor.
Para habilitar escritorio remoto para administración:
Permitir las conexiones remotas a
este equipo (con autenticación a nivel
de red) y habilitar la excepción del
firewall.
No es necesario seleccionar usuarios
ya que será el administrador el único
que pueda conectarse, y ya viene
incluido por defecto.
Una vez hecho esto, volvemos a
administrador del servidor para
habilitar administración remota, tal y
como hemos hecho anteriormente. Ya
no aparecerá el error y podremos
activar esta opción.
Gracias al firewall (el cual configuraremos más adelante) impedimos administrar el
servidor desde fuera de la red local y por supuesto también desde fuera del dominio.
Así conseguimos autenticación a nivel de host (sólo pertenecientes a red local y
dominio) y a nivel de usuario (sólo administrador de sistema).
Nota: No confundir “escritorio remoto para administración” con “administración
remota” ya que la segunda se refiere a administración sobre servicios de Internet (IIS) y
otros que no vamos a configurar en nuestro caso.
8
3. Configuración IP estática: para cambiar la configuración IP acudimos al estudio de
configuración realizado previamente y obtenemos la configuración a aplicar sobre el
servidor:
Dirección IP
Máscara de red
Puerta de enlace
Servidor de nombres (DNS)
10.0.0.100
255.255.0.0
10.0.0.1
10.0.0.100
Más adelante utilizaremos nuestro propio servicio DNS y añadimos uno secundario por
si se pierde la funcionalidad del primero (lo ideal será utilizar los servidores DNS que
proporcione el Proveedor de Servicios de Internet).
Aplicar la configuración: Ejecutamos “ncpa.cpl” para abrir el módulo de configuración
de red de Windows.
Tal y como se muestra en la imagen, propiedades del adaptador “Ethernet” >
“Protocolo de Internet versión 4” > “Propiedades” y rellenar los campos como se
indica.
9
4. Windows Update: es un módulo del sistema operativo que trata las actualizaciones del
sistema. Informa sobre ellas y, según la configuración, las instala de forma automática.
Configurando Windows Update vamos a conseguir mantener el sistema operativo
actualizado para minimizar las amenazas de seguridad debidas a agujeros de seguridad,
puertas traseras y otros tipos de operaciones no deseadas que puedan afectar al sistema.
Panel principal de gestión de actualizaciones “Windows Update”.
En el panel de servidor local de administración de servidor (o en panel de control > sistema y
seguridad > Windows Update) accedemos a la ventana que se ve en la imagen superior. Si
queremos una configuración básica clicaremos en “Activar Actualizaciones automáticas”, pero
en nuestro caso queremos una configuración avanzada, por lo que haremos clic en “Dejarme
elegir la configuración:
Elegimos una configuración
semiautomática,
las
actualizaciones se descargarán
pero el administrador elegirá
si se instalan y cuándo.
Además, Windows Update
ofrecerá
actualizaciones
recomendadas también, que
podemos valorar e instalar si
vemos oportuno.
10
Una vez hagamos clic en aceptar sólo hay que esperar a
encontrar actualizaciones y elegir si instalarlas o no.
Para instalar actualizaciones importantes, clic donde
indica la imagen y en la ventana siguiente clic en
“Instalar”. Al revisar las actualizaciones importantes
permito instalar únicamente las que figuran como
“Actualización de seguridad”.
5. Firewall de Windows: al no disponer de cortafuegos en la red, necesitamos activar un
cortafuegos a nivel de host en los equipos para evitar conexiones no deseadas a través de
los programas y servicios del sistema operativo que puedan dañar la infraestructura.
Panel de control del servicio “Firewall de Windows”
Desde el panel de administración podemos acceder al estado del cortafuegos. Debemos
configurarlo para nuestra red privada, ya que la red a la que está conectado el servidor es
privada. Si necesitamos permitir que una aplicación “atraviese” el cortafuegos, nunca lo
desactivaremos, añadiremos la excepción desde “Permitir una aplicación a través de
Firewall de Windows”.
11
6. Instalación de Microsoft Security Essentials (MSE) como software antivirus: en primer lugar
descargamos el archivo ejecutable mseinstall.exe desde la web de Microsoft
http://windows.microsoft.com/es-es/windows/security-essentials-all-versions
Una vez lo tenemos en
el sistema de archivos
del servidor, forzamos
la ejecución con compatibilidad para el sistema operativo. Después, abrimos una consola
de comandos CMD y ejecutamos el archivo con el modificador /disableoslimit.
El asistente es sencillo, sólo debemos aceptar las condiciones de uso. Recomienda y ofrece
activar Firewall de Windows para mayor seguridad, ya lo tenemos activado así que el
resultado será el mismo independientemente de la opción elegida.
Último paso en la instalación de MSE. Realizar análisis después de instalar.
MSE se inicia de forma automática
y comprueba las actualizaciones
antes de activar el servicio. Una vez
termina la operación obtenemos el
mensaje de estado del equipo.
Estado del equipo: protegido. Protección activada y definiciones actualizadas.
12
Microsoft Security Essentials realizará un análisis de amenazas de todo el sistema cada
domingo a las 2:00 de forma automática.
Nota: no instalaremos software antivirus adicional ya que Security Essentials advierte de
que pueden existir problemas de compatibilidad al combinarlo con otros servicios de
protección contra virus.
7. Instalación de servicio DHCP: desde el panel de administración del servidor, elegimos la
opción “2. Agregar roles y características”.
Punto 2. Agregar roles y características
En
el
siguiente
paso,
marcamos el rol DHCP para
instalar, leemos la descripción
y las dependencias que deben
ser instaladas para que el
servicio
funcione
correctamente.
Rol DHCP Server. Dependencias y descripción del servicio
Por último marcamos la
opción de reiniciar el
servidor si es necesario una
vez instalado el servicio
DHCP y clicamos en instalar.
Finalización de la instalación del rol DHCP
13
Configuración del ámbito DHCP para nuestra organización: en primer lugar recurrimos al
estudio de configuración IP realizado durante el diseño de la solución.
En el “asistente posterior a la instalación de DHCP” configuramos los siguientes parámetros:
El administrador del servicio DHCP es el
mismo administrador del servidor.
Creación de ámbito DHCP: un servicio DHCP no tiene ninguna funcionalidad si no se crea un
ámbito DHCP. Un ámbito es un bloque de configuración DHCP que se identifica con un nombre
único en el servidor. Las concesiones IP se realizan a los clientes por el servidor DHCP dentro
de un ámbito concreto.
Configuración del nuevo ámbito DHCP
Configuración de ámbito DHCP:






Nombre:
Descripción:
Intervalo de direcciones:
Duración de concesión:
Puerta de enlace:
Servidores DNS:
WLAN_IPv4.
Concesiones IP para conexiones inalámbricas.
Desde 10.0.150.1 hasta 10.0.150.254.
8 días.
10.0.0.1.
10.0.0.100.
Ámbito WLAN_IPv4 activo
8. Instalación de software para copias de seguridad: para llevar a cabo las tareas de backup
de forma centralizada en el servidor, tal y como hicimos en la asignatura de seguridad,
14
instalamos el software Cobian Backup 11. Se trata de software gratuito, sencillo de
instalar, utilizar y suficiente para ejecutar con garantías la planificación de copias.
Las opciones de configuración en el instalador son las siguientes:
1.
2.
3.
4.
Idioma: español.
Aceptación de condiciones de uso.
Carpeta de instalación: C:\Program Files(x86)\Cobian Backup 11\
Instalar “Volume Shadow Copy”. Es un servicio de Windows que se ejecuta en
segundo plano y es utilizado por Cobian para tareas de copia sobre volúmenes
Windows.
5. En las opciones de servicio utilizamos la cuenta de administrador de dominio para
la realización de copias en toda la red. Necesitamos tener permisos sobre los
perfiles de usuario y las máquinas cliente para poder copiar sus datos sensibles.
Vista de Cobian Backup 11 instalado y en ejecución
15
Controlador de dominio
Para establecer un contexto de dominio en la Intranet de la empresa, vamos a promocionar la
máquina servidor a controlador de dominio. Con esta operación vamos a conseguir centralizar
la autenticación, crear un contexto seguro para compartir archivos y gestionar desde el
servidor todos los recursos del dominio (usuarios, equipos, etc.) y sus repositorios (grupos,
unidades organizativas, etc.).
Como primer paso instalaremos el rol y una vez añadido correctamente promocionaremos el
servidor a Controlador de dominio.
Instalación del rol de Administrador de dominio
Del mismo modo que el servidor DHCP, la operación de instalación del rol de controlador de
dominio la haremos desde el punto “2. Agregar roles y características”.
Panel de inicio rápido. Punto 2: “Agregar roles y características”
Antes de comenzar la operación, el asistente que aparece en la ventana siguiente nos advierte:
Estos tres puntos han sido
configurados previamente
en la configuración inicial.
En la ventana siguiente debemos elegir el tipo de instalación: “Instalación basada en
características y roles”. Controlador de dominio es un rol de sistema, es decir, Windows Server
actúa como Controlador de dominio.
16
Vista de selección de rol a instalar y características requeridas
En la pantalla de instalación de roles seleccionamos “Active Directory Domain Services” y
aparecerá una ventana con las dependencias necesarias para que el rol funcione
correctamente. Debemos incluir las herramientas de administración (viene activado por
defecto en el checkbox de la parte inferior).
Dependencias de la instalación del rol:

Active Directory module for Windows PowerShell: permite la gestión del directorio
activo a través de la consola de Windows y crear scripts que automaticen tareas de
administración. Para esto incluye las herramientas de línea de comando.

Active Directory Administrative Center: herramienta administrativa que proporciona
Windows para administrar el directorio activo desde una interfaz gráfica.
Confirmación de los valores de instalación para el rol “Controlador de dominio”
17
En la pantalla de confirmación, clicamos en el botón instalar.
Una vez terminada la instalación
recibimos el mensaje de que el nuevo rol
requiere configuración.
Volvemos al panel de administración del servidor y vemos una nueva notificación (marcada
con una señal de triángulo amarillo con exclamación dentro), corresponde a la configuración
que nos falta por realizar. Clicamos en notificaciones para realizar los últimos pasos de
configuración
18
Promoción del servidor a Controlador de dominio
La notificación obtenida anteriormente nos lleva, al clicar sobre ella, al asistente de promoción
del servidor a Controlador de dominio.
Configurar el nuevo bosque de dominio creando un dominio raíz
El dominio creado se llamará “crlnuevavida.es” y será la raíz del árbol de dominios creado. Se
trata de un dominio de nivel principal. Para cada dominio de nivel principal existe un bosque
de dominios que se completa con todos los controladores de dominio de nivel secundario. En
esta implementación sólo va a existir un dominio de nivel principal, que es el mismo que
estamos configurando ahora mismo.
En
el
siguiente
paso
establecemos una contraseña
maestra para el modo de
restauración de servicios de
directorio. Después, clicamos en
siguiente para pasar a la próxima
pantalla del asistente.
19
El catálogo global (GC) contiene la información del bosque de dominio. Necesitamos añadirlo
también ya que es el único equipo que puede y debe almacenar esta información. Además,
vamos a necesitar el servicio DNS para la asignación de nombres a los equipos del dominio, ya
que este servicio de Windows trabaja con nombres, no con direcciones IP.
El nombre de dominio NetBIOS lo dejamos
como figura en la imagen, por defecto.
No necesitaremos esta funcionalidad ya que los sistemas de la Intranet trabajan con DNS
(Windows Server 2012 y Windows 8.1). El sistema de nombres NetBIOS no es más que una
forma de mantener la compatibilidad hacia atrás con otros sistemas operativos Windows más
antiguos.
Resumen de configuración de Controlador de dominio
-
Primer controlador de dominio de Active Directory en un nuevo bosque.
Nombre del nuevo dominio y del nuevo bosque: “crlnuevavida.es”.
Nombre NetBIOS de dominio: “CRLNUEVAVIDA”.
Nivel funcional del bosque y del dominio: Windows Server 2012 R2.
Catálogo global almacenado en el servidor.
Servicio DNS activado sin delegación.
Los equipos de dominio pueden utilizar el servidor DNS del controlador principal como
servidor DNS preferido.
La contraseña del administrador de dominio y del administrador local del servidor son
la misma.
La misma operación en script de PowerShell:
Estos comandos pueden ejecutarse en un terminal
PowerShell y obtener el mismo resultado que el
conseguido siguiendo el asistente anterior.
Una vez terminada la operación el servidor se reiniciará automáticamente como Controlador
de dominio y el servicio DNS habilitado. Ya tenemos configurado el servidor como:
1. Controlador de dominio de nivel principal bajo el nombre “CSNV.crlnuevavida.es”.
2. Servidor DNS principal de la Intranet.
3. Servidor de directorio activo.
20
Cómo monitorizar la actividad de usuarios y el rendimiento del
servidor
Monitorizar la actividad de los usuarios es fundamental para un administrador. Los eventos de
inicio de sesión y la actividad de los equipos; así como la existencia de contraseñas vacías,
objetos duplicados, etc. Son aspectos importantes a tener en cuenta.
Toda la actividad que se produce en el dominio es registrada por el controlador en el log de
sistema, pero, por su gran cantidad de información, muchas veces es complicado obtener de
forma sencilla y rápida la información que queremos consultar.
Existe un amplio mercado de software que organiza y formatea la información para que sea
legible y cómoda de revisar. Cada administrador de sistemas decide qué aplicaciones necesita
para realizar estas operaciones.
En este proyecto vamos a utilizar estas herramientas, propias del sistema operativo:


Resource monitor (monitor de recursos).
Performance monitor (monitor de rendimiento).
Y otro software específico de monitorización y administración, gratuito y disponible en
Internet: ADManager Plus.
Cada herramienta nos proporcionará diferentes recursos para monitorizar el sistema servidor y
el dominio.
Resource monitor
Ejecutable mediante el comando
“perfmon /res”. Tiene diferentes
vistas para personalizar la forma en la
que la aplicación muestra los datos. La
vista “overview” contiene toda la
información relativa a los recursos del
sistema que están siendo utilizados
por los diferentes procesos.
Uso de CPU, memoria, disco y tráfico
de red por cada tarea en ejecución del
sistema. Además, se muestran
gráficos de carga actualizados de cada
módulo de monitorización.
Vista de monitor de recursos
21
Performance monitor
Monitor de rendimiento del sistema, ejecutable con el comando “perfmon”. Muestra gráficos
personalizados mediante contadores. Existe una gran cantidad de contadores para añadir a un
mismo gráfico. Es útil para registrar en un lapso de tiempo uno o varios parámetros del
sistema. Es más costoso de configurar que el monitor de recursos, pero puede dar información
adicional como posibles sobrecargas de red, de peticiones a servicios, procesos de sistema,
etc.
En el ejemplo de configuración siguiente, creamos un nuevo gráfico que mostrará (contadores
añadidos):





Tiempo de proceso de todos los núcleos del microprocesador (carga de trabajo en %).
Errores de inicio de sesión.
Errores de sistema.
Carga de procesos de sistema.
Segmentos enviados y segmentos recibidos a través del protocolo IP.
Vista personalizada del monitor de rendimiento
Con esta herramienta podemos aislar y diagnosticar problemas de rendimiento tanto en el
ámbito de red como de sistema en general, sobre procesos, carga de CPU, de medios de
almacenamiento... Es ideal para análisis exhaustivos de rendimiento.
Además podemos almacenar esta información y realizar comparativas con otras
monitorizaciones similares. Es posible guardar la configuración de la consola (los contadores
que aparecen en el gráfico) y el propio gráfico por separado.
22
ADManager Plus
Se trata de una herramienta multifunción para administradores de dominio. Se ejecuta en
cualquier máquina que sea controlador de dominio (en nuestro caso en CSNV) con privilegios
de administración. Las funciones que ofrece este software son:
Herramientas de administración del dominio:









Búsqueda de usuarios con contraseña vacía.
Administrador de políticas de contraseña.
Buscador de último inicio de sesión.
Analizador de puertos en zona desmilitarizada.
Generador de CSV (scripts).
Herramienta de consultas para administrador de
dominio.
Monitorización del controlador de dominio.
Informador de DNS.
Administración de usuarios locales.
CMDlets (scripts en PowerShell): Útiles para servicio SharePoint y
replicación de controladores de dominio.
De todas las utilidades que ofrece la aplicación, sólo algunas nos son de utilidad en este
proyecto.
Las políticas de seguridad activas no permiten el uso de contraseñas vacías, por lo que el
software no va a encontrar casos en los que esto suceda.
Administrador de políticas de contraseñas
El administrador de políticas de contraseña facilita la
gestión de este tipo de políticas. Una vez
introducimos las credenciales de administrador
encontramos este formulario, que permite editar las
políticas de forma clara y rápida.
Vista de Password Policy Manager
23
Buscador de último inicio de sesión
Útil para el seguimiento de usuarios. A través de un cuadro de búsqueda, podemos introducir
un nombre de usuario y obtener detalles de inicio de sesión para ese usuario. En el ejemplo se
realiza una búsqueda sobre Juan Pérez (con nombre de usuario dJuPerez), perteneciente al
departamento de dirección.
Búsqueda para rastreo de sesión de Juan Pérez
Clicando en el botón “Get Last Logon Details” obtenemos un informe detallado del último
inicio de sesión de ese usuario: máquina en la que inició sesión, fecha y hora, etc. Para que
esta herramienta funcione correctamente necesitamos que las máquinas cliente donde haya
podido iniciar sesión el usuario buscado estén encendidas y con conexión a la red.
La herramienta sólo contempla los inicios
de sesión en el dominio, no los locales. Si
iniciamos sesión como Yolanda Figueras y
realizamos
un
análisis
con
esta
herramienta, obtenemos el informe
correspondiente.
Informe: CSNV, Yolanda Figueras
DMZ Port Analyser
Escáner de puertos para servicios LDAP, Kerberos (autenticación), NetBIOS (servicio de
nombres), SMB (Samba, sistema para compartir ficheros en red), RPC (llamadas a
procedimientos remotos) y otros puertos de uso habitual.
Si bien es cierto que no tenemos una zona DMZ habilitada, como escáner de puertos es útil, ya
que podemos diagnosticar problemas de conectividad en inicios de sesión (LDAP, Kerberos),
problemas con servicio de nombres DNS (para aplicaciones que trabajen a través de NetBIOS) y
otros casos.
Su uso es sencillo, necesitamos introducir la
dirección IP de la máquina que ofrece estos
servicios para analizar sus puertos.
Si queremos un análisis exhaustivo de puertos existen otras herramientas más específicas
como nmap. Esta herramienta sólo analiza algunos servicios básicos para comprobar la
conectividad de algunos servicios de dominio en la red local.
24
Local User Management
Administración de usuarios locales para cada máquina del dominio. Podemos cambiar la
configuración de usuarios del dominio en varias máquinas a la vez con esta utilidad.
Selección de máquina para administrar los usuarios de dominio
Seleccionamos a continuación CSNV y clic en “Get Local Users”.
Operaciones en el módulo Local User Management
En la imagen anterior seleccionamos los usuarios del departamento de administración y
haciendo clic en “Enable” habilitamos sus cuentas para su uso en el dominio.
25
Con esta herramienta podemos agilizar las operaciones sobre varios usuarios al mismo tiempo,
ya que Active Directory sólo permite hacerlo de forma individual. Otra opción es utilizar scripts
que ejecuten este tipo de operaciones, pero esta herramienta crea dichos scripts y los ejecuta
de forma automática.
Registro de eventos
El registro de eventos es una herramienta administrativa que nos va a permitir conocer en
todo momento qué está pasando en el servidor. Ya hemos tratado la monitorización a nivel de
usuario y máquina (con las herramientas vistas en el punto anterior), ahora, con el visor de
eventos, controlaremos todas las actividades realizadas por los servicios que hemos
implementado.
Un evento es un suceso ocurrido en el sistema, registrado por él mismo y almacenado en
formato XML. Puede tratarse de mera información de actividad, informar de un error, una
advertencia, etc.
Existe un registro de eventos global que recoge la información de
todos los módulos del sistema operativo. Después, mediante el
visor de eventos, podemos aplicar filtros y formatos a dicha
información para facilitar su legibilidad y su búsqueda para casos
concretos.
En el apartado “Custom Views” podemos aplicar filtros que muestran los eventos que
corresponden a:



Roles de servidor: Para cada rol del sistema (por ejemplo, servidor DHCP o DNS).
Eventos administrativos: Operaciones de red, sobre aplicaciones, dispositivos…
Summary page events: Actualizaciones de políticas de grupo (gpupdate).
Por otra parte tenemos los logs de Windows, los cuales son registrados en todos los sistemas
operativos Windows, tanto cliente como servidor. Recogen la información de eventos del
sistema operativo.
Por último los logs de aplicación y servicios recogen, del mismo modo que los de roles de
servidor, los eventos relacionados con los servicios que ofrece el sistema. Además, recopila
también información de eventos de hardware, administración de claves, directorio activo…
26
Registro de eventos – Roles de servidor
Como última parte del apartado de monitorización, abordamos la relacionada con los servicios
implementados en el proyecto (o roles del sistema servidor, tal y como se denominan en el
sistema operativo Windows Server).
Dada la ingente cantidad de información almacenada en estos registros, vamos a recoger
algunos ejemplos para mostrar cómo debe un administrador de sistemas acudir a esta
herramienta para obtener información.
Ejemplos de eventos registrados

(Informativo) Servicios de dominio de Active Directory: El servicio detecta el catálogo
global sobre el que debe trabajar en la máquina CNSV.crlnuevavida.es.

(Advertencia) Servidor DHCP: El ámbito de concesiones “WLAN_IPv4” para conexiones
inalámbricas no tiene direcciones IP disponibles para conceder.
Cuando el registro captura un
evento de este tipo podemos
considerar que existe un
problema en el servidor DHCP.
Las causas pueden ser
sobrecarga del ámbito de
concesiones o que el intervalo
de direcciones IP indicado no
es válido, entre otras.
27

(Error) Eventos administrativos: Error de aplicación ADManager (módulo last logon).
Producido al no poder establecer conexión con crlnv-adm-00, por estar apagado.
En este caso sólo figura
como
un
error
de
aplicación, para obtener
más detalles es necesario
acudir al log propio de la
aplicación, si en su caso lo
tiene y está activado.
28
Anexo E-79
Usuarios, grupos e implementación
de seguridad
Configuración de Active Directory, directivas y políticas de
seguridad y copias de respaldo
Conceptualización, diseño e implementación de
infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Active Directory: usuarios y grupos.
Para que los usuarios puedan iniciar sesión y trabajar en el dominio necesitamos crear sus
perfiles en el repositorio del dominio. Además, para facilitar la administración de estos y
clasificarlos según sus roles, debemos crear grupos de trabajo a los que asignarlos.
La estructura de usuarios y grupos que vamos a crear es la siguiente:
Grupo gDirección: formado por los directores del centro.
Juan Pérez: dJuPerez.
Yolanda Figueras: dYoFigueras.
Grupo gAdministración: contiene al personal administrativo.
Marcos Alonso: aMaAlonso.
Sonia Miranda: aSoMiranda.
Grupo gUsuariosCentro: para los usuarios de las salas de formación.
Andrés Gallego: uAnGallego.
Laura Parejo: uLaParejo.
Marta Contreras: uMaContreras.
Nomenclatura:
g(grupo)
d(Dirección)
a(Administración)
c(UsuariosCentro)
Nn(Primeras letras del nombre) +Primer apellido.
Para abrir la interfaz de Active Directory: Inicio > Herramientas Administrativas > Usuarios y
equipos de Active Directory.
En primer lugar vamos a crear los grupos y después los usuarios. En el mismo proceso de
creación de cada usuario los vincularemos a su unidad organizativa correspondiente.
2
Vista general de Usuarios y equipos de Active Directory. Nuevo grupo.
Nombre del grupo: gDireccion.
Ámbito de grupo:
Los usuarios pertenecientes a este grupo
trabajarán en el contexto de dominio local.
Tipo de grupo:
El objetivo del grupo es aplicar políticas de
seguridad
sobre
los
usuarios
pertenecientes a él. Por tanto, creamos un
grupo de tipo seguridad.
Vista de grupos creados en Active Directory
gAdministracion y gUsuariosCentro también son grupos de seguridad en ámbito de dominio
local.
Los “grupos de distribución” crean listas para enviar correos electrónicos de difusión por
grupos, no incluyen seguridad. Los “grupos de seguridad” sirven para realizar un control de
acceso sobre usuarios y conceder o denegar permisos según DACLs (Discretionary Access
Control Lists).
3
Para crear un usuario y asignarlo a su grupo clicamos en nuevo usuario:
Usuarios y equipos de Active Directory. Nuevo usuario
Por motivos de seguridad exigimos el
cambio de contraseña en el primer inicio
de sesión. La primera contraseña para
todos los usuarios es: “Cambiame!”.
El resto de usuarios detallados en la estructura anterior son creados de la misma manera.
Estructura de usuarios una vez aplicada la estructura
propuesta. Ahora mismo los usuarios son objetos iguales y
aislados entre sí, cuando en realidad hay relaciones de
departamento que deben traducirse en grupos de Active
Directory y permisos sobre éstos. Así conseguiremos
clasificarlos y asignarles permisos comunes según sus roles
en la empresa.
Si más adelante un nuevo usuario necesita acceder al dominio del centro, tan sólo habrá que
crearle un objeto de perfil de usuario similar a éstos y posteriormente asociarlo con su unidad
organizativa. Así, recibirá los permisos necesarios para desempeñar su trabajo y el servidor se
encargará de proteger su información como un usuario más.
4
Para asignar a cada usuario a su grupo correspondiente:
Asociación de Andrés Gallego, usuario del
centro, a su grupo correspondiente.
La asociación del resto de usuarios en sus grupos se realiza de la misma manera.
El usuario Administrator con todos los privilegios del sistema pasa a llamarse Ernesto Arreglo,
con nombre de usuario uErArreglo. Después, creamos una cuenta de usuario con nombre
Administrator (contraseña sencilla e insegura: Soyadmin1) y sin privilegios. Así, conseguimos
implementar el honeypot detallado en el plan de seguridad.
Aplicación de directivas de contraseñas.
Accedemos a la herramienta de Administración de
Active Directory desde el menú de herramientas
administrativas.
En el menú
Añadimos un nuevo elemento “Password Settings”, con la configuración siguiente:
5
Una vez hemos configurado las contraseñas tenemos que comprobar que se aplican las
directivas de complejidad. Dichas directivas no pueden ser modificadas en este sistema
operativo, pero podemos comprobar cuáles son y exigir que se cumplan.
Para esto ejecutamos en primer lugar “gpmc.msc” para acceder a
la administración de políticas de grupo. Buscamos nuestro
dominio (crlnuevavida.es) y dentro, la política de dominio por
defecto, que es la que se aplica y la que vamos a revisar. Clic
derecho en ella y editar.
Nos aparecerá una ventana llamada editor de políticas de grupo,
donde tenemos que encontrar la política de requisitos de
complejidad de contraseña.
Esta política se encuentra en la siguiente ruta, siguiendo el árbol:
Vista de políticas de contraseña desde el administrador de políticas de grupo
Podemos ver, en la figura anterior, que los requisitos de complejidad están habilitados, las
contraseñas no utilizan cifrado reversible y que deben tener una longitud mínima de 7
caracteres. El formato válido para una contraseña está indicado en las propiedades de la
directiva de complejidad de contraseñas:
Estos requisitos de complejidad se aplican sin
excepción a todos los usuarios del dominio,
quienes cada vez que establezcan una nueva
contraseña deberán cumplir los requisitos que
indica la figura.
Este apartado tiene una limitación importante: no
podemos imponer nuestras propias restricciones
de
complejidad,
todos
los
parámetros
configurables se encuentran en la vista de políticas de contraseña, los cuales se refieren a
longitud, duración e historial de contraseñas. Lo deseable sería poder indicar una expresión
regular que validase las contraseñas de los usuarios, pero Windows Server 2012 no lo permite.
6
Sí podemos, por el contrario, elegir a quienes se aplican dichos requisitos. De hecho, en
nuestro caso, la política de grupo se aplica a todo el dominio (a sus usuarios), tal y como
hemos explicado anteriormente.
Copias de seguridad. Implementación del plan.
Para los datos sensibles del centro vamos a crear un entorno de seguridad de datos con un
directorio centralizado. Dentro de éste, sobre el cual tendrá permisos únicamente el
administrador, crearemos la siguiente estructura de directorios:
Desde el directorio local asignamos
todos
los
permisos
al
administrador, así, podremos
realizar las tareas de backup sobre
todo el árbol de directorios.
Cada uno de los directorios
pertenece a un grupo de trabajo, el
cual tendrá permisos de lectura y
escritura únicamente sobre él. Por
ejemplo, los usuarios de dirección
compartirán el directorio “Dirección” alojado en el servidor para poder proteger y distribuir
ficheros entre ellos.
ComunCRL será una carpeta compartida con permiso de lectura y escritura para gDireccion,
gAdministracion y gUsuariosCentro.
Los clientes deberán acceder a sus carpetas compartidas y crear unidades de red utilizando las
rutas que se indican en la imagen superior.
Microsoft OneDrive
OneDrive es un SaaS (Software as a Service) ofrecido por Microsoft para respaldo de ficheros y
sincronización. Una vez tenemos implementados los servicios de copia de seguridad en el
servidor (incluidas las imágenes del sistema que se explican más adelante en este mismo
anexo) instalamos Microsoft OneDrive en el centro de servicios.
La instalación de OneDrive en el equipo es tan sencilla como
hacer doble clic en el instalador. Aparece la ventana que vemos
a la derecha y tras dos minutos de espera tenemos el servicio
activo.
7
Una vez completado tenemos que crear una cuenta Microsoft para vincular a OneDrive,
utilizamos los siguientes datos:


Usuario: uErArreglo@outlook.com
Contraseña: la misma que el administrador de dominio.
Ya tenemos OneDrive instalado y funcionando en el servidor, podemos ver que esto es cierto
cuando el símbolo de la barra de tareas está en color blanco.
Por último combinamos Cobian Backup con el servicio
OneDrive creando una tarea nueva que envíe los datos a
proteger al directorio sincronizado de OneDrive. Se trata
de una simple copia de ficheros como cualquier otra tarea
de Cobian Backup, pero sabiendo que el destino de la
copia se sincronizará de forma automática en la nube.
El perfil de administrador necesita una configuración especial en el plan de copias, ya que el
respaldo de archivos que le corresponde será cifrado. Cobian realiza la tarea de copia y cifrado
de forma automática. Para esto es necesario introducir la clave con la que será cifrada la copia
(contraseña de administrador de dominio).
Sección “Archivo” en propiedades de tarea de copia. Cobian Backup: Cifrado de copia.
Creación de imagen del sistema
Windows Server 2012
Para la configuración de copias de imágenes del sistema, añadimos la característica (desde
agregar roles y características) de copias de seguridad de Windows Server. Una vez hecho esto,
administramos la creación de imagen de sistema desde Copias de seguridad de Windows
Server, en Herramientas Administrativas.
Por cada cambio que se produzca en el software servidor que pueda comprometer la
integridad del sistema (instalar un servicio, programa, rol, etc.) el administrador debe realizar
una imagen del sistema de forma manual.
8
Planificar la realización de una imagen del sistema servidor de forma automática es
innecesario puesto que no se van a realizar grandes cambios sobre la implementación ya
hecha. La información sensible es almacenada en otra ubicación y con éste método podemos
conseguir una restauración rápida del sistema si éste cae por cualquier motivo. Características
de la copia:
Copia de partición reservada del sistema, raíz local C: y estado del sistema. Utilizando Volume
Shadow Service (para ficheros vivos y/o protegidos). Copia sobre volumen BACKUP (E:).
Cuando el proceso de copia está en curso, muestra la tarea actual y el estado de los objetos de
copia.
Windows 8.1
Para los equipos cliente no es necesario crear una imagen de sistema completa para preservar
la integridad de los datos, ya que todos los equipos están configurados de forma similar. Una
alternativa más eficiente y razonable para este caso es copiar únicamente los perfiles de
usuario. Para ello vamos a utilizar la herramienta “File History”, propia de Windows.
Desde el panel de control, accedemos al historial de archivos “File history”. Esperamos unos
segundos hasta obtener la información de volúmenes. En nuestro caso no hay ninguno, pero
tampoco lo necesitamos porque haremos uso de una ubicación remota.
Revisamos los permisos de la carpeta donde será alojada la copia, sobre la cual sólo tienen
control los administradores de copia (unidad organizativa que incluye al administrador).
Vista principal del historial de archivos
9
Añadimos la ubicación remota donde almacenaremos la copia. En nuestro caso es
CSNV.crlnuevavida.es -> Volumen BACKUP -> WindowsImageBackup -> crlnv-adm.
Colección de recursos de red. Unidades para almacenamiento de copias.
Después activamos el módulo de historial de archivos tal y como se muestra en la figura
siguiente:
Ahora, necesitamos aplicar esta operación para el usuario del equipo. Para ello, creamos una
nueva carpeta dentro del directorio de copias con el nombre completo del usuario, por
ejemplo: dJuPerez@crlnuevavida.es y le otorgamos permisos de escritura sobre ella.
Una vez hecho esto, abrimos de nuevo el módulo “File History” y establecemos, tal y como
hemos hecho anteriormente, el recurso de red destino para nuestra copia de respaldo.
Selección del recurso de red para dJuPerez.
Activamos el servicio para este usuario y por último comprobamos desde el servidor que la
copia ha sido realizada con éxito. Los cambios posteriores sobre datos o configuración del
perfil de este usuario producirán la actualización automática, cada hora (por defecto), de la
copia alojada en el servidor.
10
Comprobación del guardado de datos y configuración de dJuPerez en CRLNV-ADM-00.
Ejecución y viabilidad del plan de copias de seguridad
Una vez finalizada la implementación del plan de copias de seguridad en todos los sistemas,
procedemos a la ejecución del mismo para comprobar que es correcto y viable.
Para realizar esta operación es necesario que las máquinas pertenecientes al dominio estén en
funcionamiento. Ejecutamos la interfaz gráfica de Cobian y ordenamos la ejecución de todas
las tareas de copia.
El proceso de copia de ficheros de respaldo es complejo y costoso, más cuando el número de
ficheros y perfiles crece. Por ello y para garantizar la viabilidad del plan, hemos considerado
sólo los ficheros críticos de los sistemas del dominio para formar parte de las copias de
seguridad.
11
Anexo E-80
Instalación de Microsoft Windows
8.1
En este documento se detalla la instalación y configuración básica
del sistema operativo que ejecutará n los equipos cliente
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Instalación del sistema operativo
Los parámetros de la instalación del sistema operativo cliente son:



Lenguaje: English.
Formato de fecha y hora: Spanish (Spain, International Sort).
Teclado o método de entrada: Spanish.
También es necesario aceptar el acuerdo de licencia (EULA) de usuario final e introducir el
número de licencia obtenido desde Dreamspark.
Contraseña de administrador y primer inicio de sesión
Para la administración local del sistema necesitamos una contraseña de administrador local,
que no coincidirá con la de administrador de dominio, ya que son perfiles distintos.
Usuario: Administrador Password: CldAS8.1 (Contraseña local de Administración Sistema 8.1)
Primer inicio de sesión en crlnv-adm-01 como Administrador Local
2
Asociación del equipo al dominio crlnuevavida.es
Desde Mi equipo > Propiedades asociamos el equipo cliente al dominio crlnuevavida.es. Para
que esta operación se realice correctamente necesitamos conectividad con el servidor, por lo
que anteriormente ha sido necesaria la configuración de los interfaces de red. En dicha
configuración he conectado dos interfaces de red, uno que comunica la máquina cliente con
Internet y otro de ámbito local para la comunicación con el equipo servidor y el resto de
clientes (Intranet).
Para añadir el equipo al catálogo global y por tanto que pase a formar parte del dominio (bajo
el nombre crlnv-adm-00.crlnuevavida.es, nombre de dominio) necesitamos autorizar la
operación con las credenciales de un usuario de dominio, no servirá una local, ya que es una
operación sobre el controlador de dominio.
Una vez reiniciado el
sistema, podemos ver
que la asociación del
equipo se ha realizado
correctamente. A partir
de
éste
momento
podemos iniciar sesión en ésta máquina con un perfil de dominio.
3
Asociación a recurso compartido
Para cada grupo de trabajo establecemos un directorio compartido específico desde el
servidor, con permisos totales sobre su contenido sólo para sus miembros. Para que el usuario
pueda acceder a ellos tenemos que agregar un nuevo recurso compartido a la máquina cliente.
Desde el servidor preparamos el entorno rompiendo la herencia de permisos (ya que de la
carpeta superior se heredan permisos que no deseamos) y establecemos la siguiente
configuración:
Hacemos esto para cada grupo con su carpeta
correspondiente. Es necesario considerar que
Users es un grupo al que todos pertenecen y por
tanto debemos denegar sus permisos de lectura
sobre éstos objetos. Así, conseguimos acceso
exclusivo de cada grupo a su directorio.
Una vez tenemos los permisos asignados para los
tres directorios compartidos, podemos asociar el
recurso a la máquina cliente para que los usuarios
puedan hacer uso de él.
Con el usuario dJuPerez, Juan Pérez – Departamento de dirección: Desde el cliente, una vez
hemos iniciado sesión, clic con el botón derecho en el escritorio y creamos un nuevo acceso
directo.
Escribimos el nombre de la
máquina que aloja el recurso,
en nuestro caso el servidor,
seguido de \ y el recurso
compartido.
Como se ve en la figura podemos crear
nuevos directorios y tenemos permisos
de lectura y escritura sobre todo el
directorio.
4
Para comprobar si hemos realizado bien este paso, vamos a intentar acceder a otro
departamento sin tener autorización.
Acceso denegado al intentar acceder a un recurso de otro departamento.
Juan Pérez es miembro de dirección, por lo tanto no podrá acceder a los documentos
compartidos entre los miembros de administración.
La política de permisos ha sido implementada correctamente y desde el cliente podemos
acceder a los recursos compartidos correspondientes a nuestro departamento.
5
Anexo E-81
Desviaciones y lecciones
aprendidas
Imprevistos encontrados a lo largo del desarrollo del proyecto.
Conclusiones sobre uso de herramientas, confi guraciones y
estrategias de uso
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Desviaciones
En este anexo recogemos los errores encontrados al implementar la solución,
incompatibilidades e imprevistos que han generado problemas para alcanzar los requisitos.
Además, se documentan las soluciones propuestas y aplicadas en cada caso.
Planificación
Diagrama de Gantt, estimación de tiempos
He tenido que realizar correcciones importantes en la organización de fechas para el proyecto.
En un principio, estimé un trabajo diario de tres horas sobre el proyecto, de lunes a viernes,
además de considerar el sábado para corregir desviaciones en tiempo y completar lo
planificado si es necesario. Los exámenes en la convocatoria de enero han obligado a retrasar
el desarrollo del proyecto 30 días.
Diseño de la solución
Configuración IP, subredes
En un planteamiento inicial de la infraestructura de red, consideré la posibilidad de aplicar
subredes al entorno de red. La motivación de esta idea surge en los ejercicios habituales de
este tipo, en los cuales siempre aplican técnicas de subredes para organizar los
departamentos, áreas funcionales u otros tipos de separación.
En este proyecto, dado que el número de equipos es reducido, no tiene sentido aplicar una
configuración basada en subredes, por lo que decido no realizar una organización de este tipo.
Sin embargo, sí planteo una propuesta de escalabilidad para contemplar posibles expansiones
de la red. De darse esas circunstancias, puede aplicarse la propuesta de subredes
documentada en la memoria.
Software necesario y costes de mano de obra
Entre el software necesario para la ejecución del proyecto no estaba contemplado Microsoft
Visio 2010. He tenido que descargar de Dreamspark este software e instalarlo, lo que me
supone tiempo extra de trabajo respecto a la planificación inicial.
La configuración de las opciones de compra del servidor ha costado 1 hora más de lo estimado,
ya que he tenido que analizar la potencia consumida total del equipo y añadir sistemas
redundantes, configuraciones RAID por hardware, etc.
Compenso esta desviación con el margen de tiempo estimado para el hardware de sistemas
cliente, que me ha costado 1,5 horas menos de lo estimado.
2
En el presupuesto inicialmente no contemplaba la inclusión de mano de obra como parte del
precio, ya que forma parte de un proyecto educativo. Tras consultar con los tutores
responsables del proyecto este asunto he considerado más adecuado incluir el precio de mano
de obra también. Consideramos que aporta mayor nivel de realismo y proximidad al coste real
de un proyecto de este tipo.
Implementación de la solución
Incompatibilidad de antivirus Avast y Microsoft Windows Server 2012
Durante la instalación del software básico en el servidor encuentro un problema de
compatibilidad del software antivirus con el sistema operativo.
Avast no es compatible con
Windows Server 2012.
Como alternativa, instalaremos
Microsoft Security Essentials.
Servicio VSS (Volume Shadow Copy Service) y Cobian Backup
Problema a la hora de iniciar Cobian una vez realizado el cambio de nombre de la cuenta de
administrador, tal y como expliqué al hablar del honeypot. Cuando el sistema operativo es
iniciado, Cobian Backup genera un error ya que no puede iniciar los servicios propios con los
que trabaja, entre ellos Volume Shadow Copy, especialmente protegido por el sistema
operativo.
Para arreglar este problema he tenido que acceder
a los servicios de sistema (ejecutando services.msc)
y otorgando al servicio de Cobian permiso para
arrancar al inicio del sistema con las credenciales de
administrador (como uErArreglo). Al reiniciar la
máquina los servicios arrancan con normalidad y el
funcionamiento del programa es el esperado.
3
Inicio de sesión en Microsoft Windows Server 2012
Tras las últimas operaciones sobre directivas de seguridad: administración de roles del sistema
y permisos sobre ellos, creación de objetos (usuarios y grupos) en Active Directory, etc…
Reinicio el servidor por mantenimiento del sistema operativo (planeado) y al volver a
arrancarlo y pulsar CTRL+ALT+SUPR me encuentro la siguiente pantalla de inicio:
No tengo posibilidad de iniciar sesión para
saber el motivo del error, por lo que reinicio
el sistema para ver si se trata de algo
puntual.
Tras realizar los mismos pasos de arranque,
el servidor sigue sin funcionar. Buscando en
Internet, veo que el problema tiene que ver
en muchos casos con controladores RAID,
BIOS o de video desactualizados.
Yo no tengo ese problema ya que utilizo un servidor virtualizado, así que antes de arrancar el
sistema en modo de recuperación, pruebo a revisar la configuración de controladores de la
máquina virtual. En primer lugar, deshabilito los controladores de almacenamiento (tanto
disco duro como lector DVD) y desmonto el disco duro virtual principal. Reinicio VirtualBox y
monto únicamente el controlador de disco duro, esencial para el arranque.
Inicio el sistema de nuevo y el problema está resuelto, ha habido un fallo en la controladora
IDE del lector de DVD que me impedía iniciar el servidor, ya que sin ella conectada, el servidor
ha vuelto a funcionar. Una vez arrancada la máquina puedo montar el controlador IDE sin
problemas. El funcionamiento vuelve a ser el esperado.
Aquí vemos el inicio de sesión normal con el
problema ya solucionado. Además, en la imagen
inferior se muestra el registro de eventos, habilitado
tras aplicar las últimas directivas de seguridad.
El error también queda registrado en el sistema con
ID 1076, tipo de fallo y comportamiento.
Registro de evento (error) de parada del sistema
4
Copias de seguridad de Windows Server:
Windows Deployment Services y Administración Remota
Los servicios de despliegue de Windows o WDS (Windows Deployment Services) son un
conjunto de servicios de sistema que permiten administrar de forma remota varias
funcionalidades, entre ellas las copias de seguridad de los sistemas (todos los sistemas
pertenecientes al dominio, no sólo el servidor). El objetivo de su instalación es centralizar la
tarea de copia, pero va a ser necesaria una alternativa ya que cuando trato de instalarlos
obtengo el siguiente mensaje de error:
Viene dado por el error en la habilitación de administración remota:
No existe documentación sobre el fallo en Internet, Microsoft tampoco documenta cuál es el
fichero que almacena el estado de la funcionalidad remota. Tampoco se detalla si es accesible
ni si se puede editar. No se trata de un problema de incompatibilidad de aplicaciones, ya que
el único software instalado hasta la fecha es Cobian y al desinstalarlo da el mismo problema.
Alternativa: Uso de wbadmin “Copias de seguridad de Windows Server” para la realización de
la imagen del sistema.
Tampoco es posible utilizar wbadmin; tras instalar todas las dependencias y revisar el estado
del sistema con el comando “sfc /scannow” sin encontrar errores decido utilizar Cobian para
realizar la copia de respaldo. La copia utilizada para el estudio de implementación de Windows
Server obtenida de DreamSpark tiene limitada su funcionalidad. No permite que los servicios
WDS y WBADMIN actúen con normalidad.
5
La instalación del sistema operativo es íntegra y no presenta problemas.
Solución: uso de Cobian Backup para las copias de seguridad del sistema servidor.
Integridad del sistema operativo servidor y servicios críticos
Problema con el servicio de administración remota de Windows (winrm) que impide la
agregación al dominio de nuevas máquinas. Pese a que la máquina está funcionando
correctamente y el análisis de integridad no presenta problemas, obtengo un código de error
no documentado a la hora de intentar levantar el servicio winrm.
Una de las dependencias de la agregación de nuevos equipos al dominio consiste en la
autenticación del controlador de dominio a través de la máquina a agregar. Cuando se intenta
realizar la operación con unas credenciales válidas da un error de autenticación, provocado por
la imposibilidad de utilizar el servicio winrm para comprobar dichas credenciales
remotamente.
Windows Server 2012 necesita autenticar remotamente al controlador de dominio, y la
ausencia del servicio winrm imposibilita ésta operación. El aspecto del error producido es el
siguiente:
Error de Winrm, no permite la autenticación remota hacia el dominio
Según la documentación del error 0x80070002 por Microsoft Support, debemos ejecutar un
comando especial de recuperación que, a través de Windows Update, restaura archivos de
sistema que puedan no estar configurados correctamente.
6
Ejecución de herramienta de recuperación
El siguiente paso para la reparación consiste en ejecutar Windows Update y aplicar las
actualizaciones disponibles.
Una vez hecho esto vuelvo a comprobar la posibilidad de habilitar servicios necesarios para
que el sistema funcione, pero el problema sigue sin resolverse. Como último recurso, voy a
volver a instalar la máquina servidor desde el principio descargando de nuevo la imagen de
instalación.
Al instalar de nuevo el sistema operativo sobre la máquina virtual, el servicio dañado en la
instalación anterior comienza a funcionar desde el inicio correctamente. La solución ha sido la
reinstalación, por lo que podemos aislar la causa del problema: una instalación defectuosa
inicial del sistema, que ahora funciona con normalidad.
No es un problema de la versión del sistema operativo de Dreamspark ni del entorno virtual
(Virtualbox), sino de una instalación incorrecta, la cual no es detectada por los servicios de
análisis de Windows, que reconocen la instalación como íntegra y correcta. Esto quiere decir
que es un problema que puede producirse en el contexto de implementación real, siendo la
única solución válida la reinstalación de Windows Server 2012 en la máquina servidor.
Sistema RAID, simulación virtual
Problema en el comando wbadmin para copia del sistema servidor. Da errores genéricos a la
hora de acceder al recurso compartido, que simularía un medio externo almacenar la copia. En
un caso real se trataría de un volumen externo (HDD externo) por lo que la solución más
apropiada es crear un nuevo disco duro virtual, que simule a éste, para almacenar la copia.
7
Accesibilidad a carpetas compartidas entre máquinas:
Hora del sistema y seguridad
Problema de acceso a las carpetas compartidas desde el cliente. Compruebo la conectividad
mediante PING y es correcta. Los permisos sobre el recurso están bien configurados por lo que
debería poder acceder sin problemas, pero no es posible.
En el cuadro de la izquierda podemos ver un desfase entre la hora y fecha
del servidor (correcta en este momento) y la del equipo cliente, que tiene un
retraso de 3 días y 4 horas aproximadamente. Esto provoca que el servidor no permita acceder
a este cliente por no tener actualizados sus parámetros de fecha y hora.
Accediendo al reloj desde el cuadro de fecha y hora del cliente actualizamos la fecha y la hora
del sistema.
Con esta operación, resolvemos el problema de
conectividad y accedemos con normalidad al recurso
compartido por el servidor.
La instalación de Virtualbox Guest Additions en la máquina virtual mantiene la hora y fecha del
sistema sincronizadas automáticamente. De no hacerlo, es posible que al guardar el estado de
una máquina en vez de apagarla tengamos estos problemas.
Planificación y ejecución del plan de copias de seguridad
Error en la ejecución de las tareas de backup de Cobian. Se trata de un fallo a la hora de
implementar el plan de copias. El servidor intenta almacenar en una carpeta hija
(C:\Users\Administrador\OneDrive) la copia de respaldo del perfil de administrador
(C:\Users\Administrador). Esto provoca que el backup no termine nunca y sature el sistema.
Consigo identificar el problema cuando Cobian muestra un error: “La ruta es demasiado larga
para el sistema de archivos de destino”. Esto supone la interrupción de la tarea de respaldo de
ficheros.
La solución una vez encontrado el problema es sencilla: eliminar la carpeta OneDrive como
origen de la copia de respaldo. Así rompemos el bucle y la operación de backup se realiza con
normalidad. Asignamos una nueva ruta al directorio OneDrive para evitar en el futuro
problemas de este tipo (C:\OneDrive).
Este problema ha provocado además que Windows no me permita eliminar la carpeta por
contener rutas de archivo demasiado largas, pero si ha sido posible la eliminación accediendo
directamente al servicio OneDrive desde el navegador.
8
Cortafuegos a nivel de dominio y protocolo ICMP
Problema de conectividad al realizar una solicitud PING (protocolo ICMP) desde el servidor
hacia el cliente. Dicho cliente puede iniciar sesión en el dominio por lo que es capaz de
comunicarse con el servidor. Al realizar una solicitud del mismo tipo desde el servidor hacia el
cliente la comunicación no presenta problemas.
Con esta información podemos diagnosticar el problema y aislarlo, concentrándonos en el
firewall del equipo cliente, que no permite la entrada de solicitudes de eco por parte de otros
equipos de la red.
Para solucionarlo, hay que acudir al servicio Firewall de Windows en el equipo cliente y
deshabilitarlo en el ámbito de dominio. Para redes privadas y públicas es importante
mantenerlo activado, sólo permitirá conexiones a través del firewall de equipos que sean
previamente autenticados en el dominio.
Tras realizar esta operación, la comunicación cliente servidor se realiza sin problemas. Ambos
obtienen respuesta a sus respectivas solicitudes PING.
9
Lecciones aprendidas
Asociación al dominio
La asociación de equipos nuevos al dominio Windows ha cambiado desde la versión 2003 a la
2012. Anteriormente era necesario un administrador del dominio con permisos específicos
para la agregación de equipos nuevos al dominio. En la versión 2012 cualquier usuario
perteneciente a Users dentro del dominio puede hacerlo.
Considero este cambio algo potencialmente inseguro, ya que cualquier usuario básico puede
agregar un equipo al dominio. Mientras se pretende dar comodidad sobre una operación no
especialmente ardua para el administrador, se incurre en un riesgo de seguridad.
Para incluir un equipo al dominio son necesarios los siguientes permisos:



Acceso al catálogo global: Es el repositorio del dominio donde se almacena la
información de usuarios, equipos y otros recursos del bosque.
Acceso al bosque de dominio: Si en un bosque hay varios servidores que replican entre
sí el catálogo global, el usuario está accediendo indirectamente a todos ellos.
Acceso al directorio activo: Lo que administra el catálogo global, realizando cambios
sobre el mismo.
Copias de seguridad de los usuarios y sus perfiles
Las copias de seguridad de la información de los usuarios es una operación que puede llegar a
ser tremendamente costosa en esfuerzo de red y de los sistemas implicados, por lo que es vital
utilizar un recurso ligero, que copie exclusivamente aquello que se debe proteger y hacerlo de
forma automática.
El servicio Historial de archivos de Windows es una buena opción para realizar estas copias,
pero además, podemos combinarlo con los servicios del dominio para asegurar la copia. Con
esto conseguimos eficiencia, seguridad y rendimiento:



Eficiencia: Se copia lo necesario, de forma automática y para todos.
Seguridad: Los ficheros son alojados en el servidor, sólo son visibles para el usuario
propietario de los datos y los administradores de copia.
Rendimiento: Este servicio se basa en la detección de cambios para realizar sus copias,
por lo que detectará y sincronizará los cambios en la copia de forma automática.
Por todo esto, podemos llegar a la conclusión de que la combinación de un entorno de
dominio seguro con el módulo de historial de archivos de Windows conforma un servicio de
copias de seguridad sobre perfiles es una opción más que válida para asegurar los datos de los
usuarios en el entorno de administración de sistemas.
10
Directivas de contraseñas
Las directivas de contraseñas son reglas, también llamadas requisitos de complejidad de
contraseñas, que permiten validar aquellas contraseñas consideradas seguras. Si bien una
contraseña no es 100% segura, se suele considerar como tal si no es sencillo (ni hay un
mecanismo de descifrado conocido) que permita obtener la contraseña de forma fraudulenta.
En el contexto de Microsoft Windows Server 2012, no es posible considerar una directiva de
contraseñas propia, dado que hay una establecida por defecto. Sólo tenemos la posibilidad de
habilitarla o deshabilitarla según nos convenga, pero nunca editarla.
Los requisitos de complejidad de contraseñas en Windows Server 2012 son los siguientes:


Nombre de usuario no debe estar incluido en la contraseña. Si el nombre de usuario
tiene menos de 3 caracteres no se aplica.
Contener caracteres de 3 de estas 5 posibilidades:
o Mayúsculas.
o Minúsculas.
o Dígitos.
o Símbolos.
o Carácter Unicode clasificado como alfabético.
La longitud de la contraseña, caducidad y reusabilidad son aspectos que se tratan como
políticas de seguridad local de dominio, es decir, son independientes de estas
comprobaciones.
Entonces, si queremos aplicar una directiva distinta a la propuesta, tendremos que cambiar de
sistema operativo.
En GNU/Linux, por ejemplo, las directivas de contraseñas son “a la carta”, podemos editarlas
siguiendo nuestros propios criterios de complejidad utilizando la librería “libpam-cracklib”. El
uso de esta librería se asemeja al uso de expresiones regulares para validar cadenas de
caracteres. Podemos cambiar de este modo factores como:



Número de dígitos, letras mayúsculas, minúsculas y símbolos (no incluido en WS2012).
Longitud mínima.
Caducidad de contraseña, mínimo de días con la misma contraseña y memoria de
contraseñas anteriores (para evitar repeticiones).
Por el contrario, el método de validación de GNU/Linux descrito no evita utilizar parte del
nombre de usuario como parte de la contraseña.
11
Reiniciar el sistema
Reiniciar el sistema operativo es una operación habitual por administradores y usuarios de
Microsoft Windows desde sus primeras versiones. En un equipo de trabajo cliente no es algo
relevante, ya que puede hacerse al final de la jornada sin suponer una pérdida de tiempo
considerable ni afectar notablemente al trabajo.
Por el contrario, en los equipos que ofrecen servicios permanentes y necesarios para el
funcionamiento de la organización, una operación de reinicio es un compromiso importante.
Durante el desarrollo del proyecto han sido necesarios casi el mismo número de reinicios de
sistema para el servidor que para los clientes, lo que me parece un lastre importante si vamos
a elegir un sistema operativo servidor para una organización que necesita servicios activos
permanentemente.
Es un aspecto a mejorar por estos sistemas, ya que los entornos GNU/Linux de servidor
normalmente no requieren reinicios.
Por ejemplo: Una operación de actualización de un servicio sobre Windows Server descarga la
actualización, la instala y exige un reinicio para que ésta sea aplicada. En la actualización de un
servicio GNU/Linux, el daemon (servicio) afectado y sus posibles dependencias, si las hubiera,
se deshabilitan momentáneamente, aplicándose en ese momento la actualización y
levantando el daemon de nuevo.
Más rápido, menor tiempo de caída del servicio y, por tanto, mejor en casos de
implementación de servicios críticos (por su disponibilidad).
Autenticación centralizada (caché SAM)
Cuando realizas una operación de autenticación en el sistema cliente (utilizando un perfil de
administrador de dominio) no es necesario que el servidor esté operativo. Esto quiere decir
que, necesariamente, parte de los parámetros de autenticación se almacenan en el equipo
cliente.
La primera vez que utilizas unas credenciales concretas sí existe conexión al servidor, ya que
necesita ir al archivo de contraseñas del controlador de dominio para poder autenticar al
usuario.
Para las siguientes operaciones de autenticación, se comprueba si existe conexión con el
controlador de dominio. Si no la hay, el cliente tiene almacenado de veces anteriores una
“copia” del hash de contraseña de administrador en su SAM. Por tanto, aun no habiendo
conexión al servidor puedes autenticarte como administrador si ya lo hiciste anteriormente
con conexión.
12
El cliente prueba la conectividad al servidor (“just
a moment…”) y si no lo encuentra hace uso de
una especie de caché SAM en la que contiene
credenciales de anteriores autenticaciones de
administradores de dominio.
Como para operaciones anteriores con el
servidor habilitado utilicé credenciales de
administrador de dominio, ahora vuelvo a
introducirlas y el sistema autentica al usuario con
éxito.
Esta opción también es posible con usuarios de dominio “normales”, siempre y cuando, como
los administradores de dominio, hayan sido autenticados previamente en el cliente cara al
dominio.
No parece la mejor opción desde el punto de vista de la seguridad, ya que un cliente puede
almacenar credenciales de administrador. Por otra parte es un compromiso, de tal forma que
si el servidor no está disponible (por caída, mantenimiento, DoS…) el cliente podrá seguir
autenticándose en el dominio sin sobrecargar más todavía el servidor.
Hay casos en el proyecto en los que viene bien esta funcionalidad, concretamente en los
equipos de dirección. Como son equipos portátiles, cuando sean utilizados fuera de la red local
del centro podrán iniciar sesión con sus perfiles de dominio y acceder a sus ficheros contenidos
en dichos perfiles. Aun con esto, siempre será preferible adoptar otra alternativa que permita
comunicarse con el controlador de dominio, como VPN (Virtual Private Network).
Ceder seguridad para aumentar la disponibilidad.
La combinación OneDrive + Cobian Backup
Cobian Backup centraliza el servicio de copias de seguridad en tareas. OneDrive replica en la
nube la información alojada en un directorio concreto. Si combinamos ambas aplicaciones
conseguimos que el sistema de copias de seguridad sea más robusto y fiable, además de
cumplir con los requisitos establecidos en el plan de seguridad.
Desde Cobian Backup podemos incluir varios destinos para un mismo origen de copia en una
misma tarea, por lo que lo único que necesitamos es incluir como destino el directorio
sincronizado con OneDrive.
Así, aprovechando la sinergia que surge de combinar estas dos aplicaciones, conseguimos
replicar los datos sensibles y así protegerlos. No sólo en un medio de protección local, sino que
además almacenamos una copia protegida en un medio externo (una copia en la nube
utilizando un servicio Cloud).
13
Plano de distribución de red
(situación actual)
Office
Office
Office
36 sq m
36 sq m
47 sq m
Dirección
Administrativo
Nombre:
Alberto Aparicio Colis
Proyecto:
“Conceptualización, diseño e implementación
de infraestructura de red”
Sala de comunicaciones
Office
Office
169 sq m
169 sq m
Sala 1
Sala 2
Plano de distribución de red
y sistemas informáticos
Office
Office
Office
36 sq m
36 sq m
48 sq m
Dirección
Administrativo
Nombre:
Alberto Aparicio Colis
Proyecto:
“Conceptualización, diseño e implementación
de infraestructura de red”
Sala de comunicaciones
Office
Office
208 sq m
202 sq m
Sala 1
Sala 2
Leyenda de planos de red
Nombre:
Alberto Aparicio Colis
Proyecto:
“Conceptualización, diseño e implementación
de infraestructura de red”
Host: servidor.
Host: equipo de trabajo.
Host: equipo de trabajo portátil.
Office
12 sq m
Departamento. Ubicación lógica
de equipos.
Ubicación
Conexiones de red. UTP Cat6.
RJ45
Router WiFi 802.11a
Switch Ethernet
Sistema SAI (Sistema de
Alimentación Ininterrumpida)
Impresora multifunción
Anexo E-86
Seguridad a nivel humano
Enumeración de buenas prácticas a seguir por el grupo de
trabajadores y usuarios. Compromiso por la seguridad de la
infraestructura del centro
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
1. Seguir todas las reglas aquí descritas, además de leer y cumplir, por parte de todos los
usuarios, el informe de seguridad.
2. No almacenar las credenciales ni compartirlas, es un riesgo de seguridad para toda la
empresa.
3. Toda la actividad realizada mediante el perfil de un usuario será responsabilidad del
mismo, por lo tanto es necesario que las credenciales sean únicamente propiedad del
usuario.
4. Nunca se deben utilizar credenciales ajenas para realizar una tarea. Si existe una sesión
iniciada previamente en un equipo, cerrarla inmediatamente e iniciar sesión con el
perfil propio.
5. Bajo ningún concepto se debe dejar el equipo de trabajo desatendido sin bloquear
previamente la sesión (para bloquear: tecla Windows + L).
6. Apagar el equipo cuando no vaya a ser utilizado.
7. No manipular por cuenta propia la estación de trabajo ni su cableado. Seguir el
proceso de notificación de la incidencia al director y esperar a que solucionen el
problema.
8. No instalar programas sin autorización previa ni actualizar versiones de software
instalado.
9. Notificar y seguir indicaciones del responsable de sistemas o en su defecto del director
del centro en los siguientes casos:
9.1.
Catástrofe o fallo crítico del sistema.
9.2.
Si las credenciales han podido ser comprometidas por cualquier
motivo. Además deberá solicitar un cambio de credenciales.
9.3.
Si se desea extraer datos del puesto de trabajo mediante un medio
extraíble o Internet (como un dispositivo de almacenamiento USB o un
servicio de almacenamiento en la red como Dropbox o Mega).
9.4.
Necesidad de instalar o actualizar cualquier programa para poder
trabajar adecuadamente.
9.5.
Ante cualquier pérdida de datos.
9.6.
Si se pierde una contraseña, se olvida o existe algún tipo de incidencia
o anomalía relacionada.
9.7.
Para cualquier operación no detallada en esta lista.
Anexo E-87
Fichas de sistemas
Formularios para seguimiento de los sistemas informáticos del
centro
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Nombre de equipo / Nº de serie
crlnv-adm-00.crlnuevavida.es / 104991808165571
Conexión a la red
Dirección IP
Cableada: a switch de distribución 10.0.2.1
Departamento
Grupo / U. Organizativa
Administración
Equipos administración
Tipo
Fecha de instalación
PC de escritorio
12 / 7 / 2015
Dirección MAC
01:B9:3A:20:00:87
Ubicación
Despacho de Administración
Registro de eventos
Fecha
12 / 7 / 2015
8 / 10 / 2015
2 / 11 / 2015
Tipo
Instalación de
equipo.
Sustitución de
periférico
Desplazamiento
de equipo
Descripción
Conexión y puesta en marcha del equipo crlnv-adm-00 en el
despacho de administración.
El ratón conectado a crlnv-adm-00 no funciona correctamente.
Se sustituye el dispositivo.
El equipo crlnv-adm-00 es desplazado al taller por problemas
de inicio del sistema. En reparación.
Responsable
E. Arreglo
E. Arreglo
E. Arreglo
Nombre de equipo / Nº de serie
crlnv-dir-00.crlnuevavida.es / 117740979562412
Conexión a la red
Dirección IP
Cableada: a switch de distribución 10.0.1.1
Departamento
Grupo / U. Organizativa
Dirección
Equipos dirección
Tipo
Fecha de instalación
PC portátil
12 / 7 / 2015
Dirección MAC
01:A2:29:C7:53:42
Ubicación
Despacho de Dirección
Registro de eventos
Fecha
12 / 7 / 2015
Tipo
Instalación de
equipo.
Descripción
Conexión y puesta en marcha del equipo crlnv-dir-00 en el
despacho de dirección.
Responsable
E. Arreglo
Anexo E-88
Plan de pruebas
Documentación de pruebas de sistemas desarrolladas siguiendo el
plan detallado en la memoria
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Grado en Ingeniería Informática
Facultad de Ciencias, Estudios Agroalimentarios e Informática
Universidad de La Rioja. Curso 2014-2015.
Evaluación de puntos de prueba
Integridad de instalación
Microsoft Windows Server 2012
Comprobar la integridad de los ficheros que conforman el sistema operativo servidor es
importante, como hemos podido comprobar en la fase de implementación de éste. Para
realizar esta prueba, utilizaremos el comando “sfc /scannow”. Dicho comando ejecuta un
proceso que recorre todos los archivos que forman parte de la instalación de Windows (y sus
actualizaciones posteriores) en busca de errores que puedan comprometer el funcionamiento
del sistema.
Ejecución y resultado del examen de integridad del sistema Windows Server
2
Microsoft Windows 8.1 (Equipos de administración y dirección)
En el caso de los sistemas operativos ejecutados en los sistemas cliente, utilizaremos el mismo
comando, ya que también está disponible para esta versión. Una instalación corrupta del
sistema operativo puede ocasionar diversos problemas, por ello, es conveniente incluir en el
plan de pruebas una fase de verificación de instalación de los sistemas operativos.
Ejecución y resultado del examen de integridad del sistema Windows 8.1
Actualizaciones del sistema operativo
Microsoft Windows Server 2012
La comprobación de actualizaciones consta de dos fases:
1. Verificar la configuración de actualizaciones: Para garantizar que las actualizaciones
importantes de sistema son instaladas, este proceso debe estar activado de forma
automática. Las actualizaciones opcionales, al requerir tráfico adicional de red y no ser
críticas, debemos, por motivos de eficiencia, realizarlas de forma manual.
En Panel de control > Windows Update > Change Settings (o cambiar configuración)
elegimos la opción de instalar actualizaciones automáticamente:
Configuración correcta en Windows Update. Actualizaciones importantes automáticas
2. Comprobación e instalación de nuevas actualizaciones: Dado que el servidor es un
equipo que permanece continuamente encendido, debemos forzar algunas
actualizaciones necesarias (dado que la ventana de mantenimiento aparece al reiniciar
o apagar el equipo).
Accedemos a Panel de control > Windows Update y aparece la siguiente ventana:
3
Ahora, hacemos clic en el
botón “Install updates” para
forzar la instalación de
actualizaciones antes de
esperar a reiniciar el equipo
o apagarlo (ventana de
mantenimiento).
Una vez concluye el proceso de actualización recibimos un mensaje de confirmación y,
si es necesario, una petición de reinicio del sistema. El registro de actualizaciones de
Windows ahora muestra la siguiente información:
Necesitamos reiniciar el
servidor para que el sistema
aplique las actualizaciones.
Microsoft Windows 8.1
Del mismo modo que en el servidor, necesitamos realizar las dos fases (comprobación y
actualización) que forman parte de la comprobación de las actualizaciones del sistema.
Información sobre actualizaciones automáticas (Windows Update)
En este caso ya fue configurado anteriormente el punto 1, por lo que podemos ver la
diferencia respecto al mensaje obtenido en el sistema operativo servidor. Sin realizar más
operaciones, sencillamente reiniciamos el equipo. Estos equipos, al ser clientes y por tanto,
encendidos y apagados cada día, se actualizan automáticamente.
Instalando actualizaciones antes
de reiniciar el equipo.
No debería ser necesario reiniciar el sistema con tanta asiduidad, es un servidor y como tal
debe estar disponible en todo momento. En el anexo E-81 “Desviaciones y lecciones
aprendidas” (página 12) se detalla este hándicap de los sistemas operativos Windows Server.
4
Estado del software antivirus y análisis de amenazas
Microsoft Security Essentials
En el servidor tenemos instalado el software de protección Microsoft Security Essentials, el
cual se actualiza de forma automática, tanto el software antivirus como las definiciones de
virus.
Para comprobar el estado del servicio sólo tenemos que abrir el programa y revisar la página
principal:
Comprobamos que el equipo es protegido y supervisado por el programa. Además, el módulo
de protección en tiempo real está activado y las definiciones de virus actualizadas.
Por último, para realizar un análisis del sistema en busca de malware elegimos el tipo de
análisis que queremos realizar y hacemos clic en “Examinar ahora”. Una vez concluye el
examen podemos revisar los resultados en la pantalla que aparece a continuación:
Resultado del examen del sistema. Protección activa y definiciones de virus actualizadas.
Avast Antivirus
En los equipos cliente tenemos instalado y configurado Avast Antivirus como sistema de
protección contra malware. Al instalar Avast, éste sitúa en la barra inferior derecha de la
pantalla un icono. Si hacemos doble clic en este icono obtenemos la siguiente información:
Esta pantalla principal nos informa de que el software está activo y completamente
actualizado. Para realizar un análisis del sistema podemos utilizar el módulo de análisis
inteligente clicando en el botón correspondiente.
5
El análisis inteligente incluye un análisis de la seguridad de red, anti-malware, actualización del
antivirus y busca elementos que considera perjudiciales en el equipo.
En el resultado podemos ver
que el último punto no ha
tenido éxito.
Si hacemos clic en resolver
todo podremos comprobar
que ese punto trata de instalar
el software GrimeFighter. Este
software, dicen, limpia el equipo de archivos que no se usan o ralentizan el equipo. Se trata de
una forma de publicitar otro software desarrollado por la misma empresa.
Si queremos utilizar herramientas de limpieza (nuestros equipos simulados ahora mismo están
en perfecto estado) podemos instalar alternativas como CCleaner.
Conectividad y análisis de red
Tráfico de red
La conectividad de la red permite que todo funcione con normalidad. Un problema en la
comunicación entre equipos de la red puede provocar que no tengan acceso a servicios
fundamentales para trabajar, conexión a Internet y otros problemas graves.
Todos los puntos anteriores del apartado de conectividad en el plan de pruebas han sido
evaluados desde las máquinas virtuales o mediante el esquema de simulación realizado con
Cisco Packet Tracer.
En este último punto vamos a utilizar Wireshark para monitorizar la actividad de la red y
comprobar que la comunicación entre equipos es satisfactoria. En el ejemplo siguiente
provocamos la comunicación entre el equipo de administración (crlnv-adm-00 con IP 10.0.1.1)
y el servidor (CSNV con IP 10.0.0.100).
Opciones de captura: Wireshark
Interfaz: Ethernet 2 (interfaz que
simula la red de conmutación entre
máquinas virtuales).
Filtro de captura: Paquetes de la
red 10.0.0.0/16, es decir, cualquier
host cuya IP comience por 10.0 y su
máscara de red sea 255.255.0.0
(los equipos de la red simulada
cumplen con estas características).
6
Al activar la captura de paquetes enviamos dos mensajes entre ambas máquinas,
intercambiando origen y destino para analizarlos:

Mensaje 1: Solicitud PING desde CSNV hacia crlnv-adm-00.
Comprobamos que la comunicación se realiza correctamente y que podemos
monitorizar la actividad de red desde el servidor.

Mensaje 2: Inicio de sesión en el dominio con el perfil de Marcos Alonso
(administrativo).
En la captura realizada se distinguen las siguientes fases:
1. Sincronización (mensaje SYN) solicitada por crlnv-adm-00 hacia el servidor, justo
después, obtiene respuesta.
2. Consulta LDAP para comprobar si existe el usuario introducido para iniciar sesión,
el servidor responde con un ACK confirmando la existencia de sus credenciales.
3. Segunda sincronización (mensaje SYN) para realizar la autenticación de usuario.
4. Comunicación del protocolo Kerberos para comprobar las credenciales
introducidas y generar un Ticket-Granting-Ticket (TGT) que permita al usuario
iniciar sesión en el dominio.
5. Finalización (mensaje FIN) de la comunicación una vez se han realizado las
operaciones de autenticación. El usuario ya ha iniciado sesión en el dominio.
Disponibilidad y estado de servicios
Todo servidor, como parte de una red distribuida de equipos, ofrece servicios que, por sus
características, se encuentran centralizados en esa máquina en concreto. Cuando
implementamos los servicios de nuestra red sobre un sistema operativo Windows Server 2012,
podemos obtener fácilmente información sobre el estado actual de los servicios.
Dentro de la utilidad “Administrador del servidor”, tenemos un dashboard que actúa como
panel global de información. Desde este módulo accedemos a toda la información recogida en
este apartado del plan de pruebas.
7
Dashboard. Servicios activos en la máquina Windows Server 2012.
DNS (Domain Name Service – Servicio de nombres de dominio)
Tal y como figura en el informe de aplicaciones, el servicio DNS permite que, tanto el propio
servidor como los equipos miembros del dominio, hagan sus peticiones DNS a esta máquina.
Una petición DNS supone una búsqueda en la tabla DNS del servidor, actualizada por este de
forma dinámica.
Una petición DNS trata de resolver un nombre de dominio (por ejemplo CSNV.crlnuevavida.es)
con una dirección IP (10.0.0.100). Por lo tanto, DNS establece una relación entre nombres de
dominio (o nombres DNS) y direcciones IP asociadas a esos nombres.
La pestaña servicios dentro del módulo DNS del
dashboard nos da información sobre el estado del
servicio DNS. Actualmente se inicia de forma
automática con el servidor y está en
funcionamiento.
DHCP (Dynamic Host Configuration Protocol – Protocolo de configuración dinámica
de host)
Del mismo modo que en el punto anterior, recurrimos al dashboard para obtener información
relativa al servicio DHCP. Un servidor DHCP trata de asignar datos de configuración IP a
aquellos host del dominio que poseen una configuración IP dinámica.
Cuando un cliente solicite datos de configuración para su interfaz de red, este servicio
responderá y le otorgará unos datos de configuración IP válidos durante un tiempo de
concesión limitado. Cuando éste expire, será necesaria otra petición DHCP.
Tal y como configuramos durante la instalación de
Windows Server 2012, el servicio DHCP concede
direcciones actualmente (servicio activo) dentro
del ámbito configurado en el apartado de
instalación, llamado WLAN_IPv4 y orientado a
conceder datos de configuración IP a dispositivos
inalámbricos. Las máquinas que forman parte del dominio tienen sus interfaces de red
configuradas estáticamente.
8
AD DS (Active Directory Domain Services – Servicios de dominio de Active
Directory)
El servicio AD DS es el más complejo de los que forman parte del plan de pruebas. Se trata de
un grupo de servicios, todos ellos relacionados con la instalación de dominio. Cuando
promocionamos un servidor a controlador de dominio, se instalan y habilitan todos estos
servicios:
Estado de servicios AD DS.
Los servicios que forman parte de las dependencias de AD DS que deben funcionar
correctamente en este proyecto son:







Windows Time: Fecha y hora del sistema. Necesario por motivos de seguridad.
AD Web Services: Para implementación de sitios Web con IIS para el entorno de
dominio.
AD Domain Services: Recursos de Active Directory, catálogo global y administración de
usuarios, equipos y otros recursos del dominio.
Netlogon: Gestiona y verifica las peticiones de inicio de sesión de dominio.
DNS Server: Anteriormente revisado. Necesario para controlador de dominio.
Server: Rol de servidor en el dominio.
Kerberos KDC: Servicio de autenticación. Incrementa notablemente la seguridad a la
hora de acceder al dominio iniciando sesión con credenciales de usuario.
9
Honeypot y cuentas de administración de dominio
Imposibilidad de inicio de sesión como Administrador
En este punto comprobamos si efectivamente está bien configurado el apartado de cuentas de
administrador. Tal y como fue planteado, la cuenta de Administrador no debe poder ser
utilizada:



Se trata de una cuenta deshabilitada.
Su contraseña es relativamente fácil de descubrir.
No tiene permisos para trabajar en el dominio.
Aquel que realice un ataque intentará aprovecharse de esta cuenta (principalmente por su
nombre, que sugiere que le otorgará todos los permisos). Debemos comprobar que los puntos
anteriores se cumplen.
En propiedades de Administrador, dentro de
Usuarios y Equipos de Active Directory,
vemos que la cuenta está deshabilitada.
Desde el botón “Log On To” tiene prohibido
iniciar sesión en cualquier equipo del
dominio.
Equipos para iniciar sesión. Vacío.
Si intentamos iniciar sesión en el
dominio con esta cuenta, obtenemos el
mensaje que se ve a la derecha. Además
de no poder iniciar sesión, el sistema
guardará en los logs (del servicio
Netlogon) el intento de inicio de sesión,
por lo que podremos recopilar
información importante si tratan de
acceder a esa cuenta.
10
Como vimos en el punto “Tráfico de red”, podemos monitorizar con Wireshark la conexión a la
red del servidor y rastrear mensajes de protocolos LDAP y KRB para saber desde dónde se está
intentando utilizar la cuenta.
Comprobación de permisos de administrador e inicio de sesión
Tratamos de iniciar sesión como administrador de dominio. El administrador es Ernesto
Arreglo, con nombre de usuario uErArreglo. Como podemos ver en la captura realizada, el
sistema aplica la configuración de usuario para iniciar su sesión, por lo que las credenciales son
válidas y está autorizado a iniciar sesión en el servidor con su perfil de dominio.
Proceso de inicio de sesión del administrador de dominio uErArreglo en CSNV
En el módulo de usuarios y equipos de Active
Directory podemos acceder a sus propiedades
y ver que tiene permisos de administración.
Al contrario que “Administrador”, el usuario
de administración real uErArreglo pertenece a
los grupos de seguridad propios de un
administrador de dominio.
11
Conceptualización, diseño e implementación
de infraestructura de red
Alberto Aparicio Colis
Jesús María Aransay Azofra – Eloy Javier Mata Sotés
“Conceptualización, diseño e implementación de infraestructura de red” es un
proyecto de sistemas y redes basado en un cliente real
Funcional
Escalable
Eficiente
Infraestructura de red a medida
Servicios centralizados
Simulación y estudio de
DNS DHCP LDAP Kerberos
configuración
IP
Hardware y sistemas operativos
de última generación
Y tecnologías
Cloud
de Microsoft
R2 Standard x64
Pro x64
Plan de pruebas con 45 puntos
de evaluación
Plan de seguridad y backup
específicos para el cliente
Servicios de dominio y
directorio activo
Imagen: CRL Nueva Vida. Las imágenes de marcas hardware/software son propiedad de sus respectivas marcas.
Licencia: Creative Commons BY-NC-ND. Alberto Aparicio Colis. Grado en Ingeniería Informática - FCEAI
Related documents
Diapositiva 1
Diapositiva 1
Comparativa de los servicios AdBackup
Comparativa de los servicios AdBackup
Proyectos - División de Asociatividad y Economía Social
Proyectos - División de Asociatividad y Economía Social
Cómo configurar el Firewall de Windows 8.1
Cómo configurar el Firewall de Windows 8.1
Seguridad de Tableau Server
Seguridad de Tableau Server
Manual de Usuario Avanzado “Respaldo Cloud”
Manual de Usuario Avanzado “Respaldo Cloud”
Diapositiva 1 - Docencia FCA-UNAM
Diapositiva 1 - Docencia FCA-UNAM
Guión - CriptoRed
Guión - CriptoRed
ppt - mi web de administración
ppt - mi web de administración
Honeypot
Honeypot
Manual del Usuario - Asistencia Informática Online
Manual del Usuario - Asistencia Informática Online
Servicios de Red - Servidor web de Diego Cabaleiro Sabín
Servicios de Red - Servidor web de Diego Cabaleiro Sabín
Avast problema VisualAeol
Avast problema VisualAeol
Packet Tracer: Configuración inicial del router (instrucciones)
Packet Tracer: Configuración inicial del router (instrucciones)
REGISTRO DE WINDOWS
REGISTRO DE WINDOWS
Instructivo para reiniciar clave
Instructivo para reiniciar clave
Descarga
Descarga
BackupAssist Mayo 2010 - BMI , Bilbomicro Informática
BackupAssist Mayo 2010 - BMI , Bilbomicro Informática
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
verificacion de conexion e-s version sql
verificacion de conexion e-s version sql
98-365 fundamentos de windows server
98-365 fundamentos de windows server
Diseño Funcional Infraestructura Centros Comunitarios
Diseño Funcional Infraestructura Centros Comunitarios