VPN Windows 2008 Server

Programación de tareas en Windows

Planificación de tareas (CRON)

Automatización de tareas

Hoy vamos a hablar de la automatización de tareas tanto en sistemas UNIX como en Windows, pero ¿Qué es la automatización de tareas? pues básicamente se trata de un conjunto métodos que tienen como objetivo realizar tareas repetitivas o planificadas de forma automática, en otras palabras nos ahorran tiempo en tareas cotidianas como puede ser la realización de Backups de forma periódica, etc.


La ventaja más evidente es la anterior descrita pero además podemos encontrar otras ventajas no menos importantes como son la  mejora de productividad si estamos en un entorno corporativo por ejemplo o la mejora de control de errores ya que eliminamos el factor humano de la ecuación.

Sesión FTP

En este artículo os quiero mostrar los mensajes intercambiados entre un cliente y servidor FTP, donde mostraré un ejemplo hipotético de sesión, explicando paso a paso los estados y comunicaciones durante el proceso, inicio de sesión, ejecución de comandos, transferencia de archivos y cierre de sesión.

Este ejemplo lo cogeré de la salida proporcionada por el cliente gráfico gFTP simplemente porque resulta más claro visualmente.

Práctica IIS 7 (opcional)

En este vídeo veremos como instalar y configurar de forma sencilla II7, además de implementar SSL para conexiones seguras y autentificación con cuentas de usuario. También instalaremos mediante asistentes automáticos  PHP, MySql y Wordpress.

Perdonad la calidad del vídeo, pero mi línea por desgracia no da más TT.

Internet Information Services (IIS)

En este artículo vamos a ver como instalar IIS en Windows 2003 server y su  configuración básica además de implementar una página Web simple de ejemplo para comprobar su correcto funcionamiento. Para los que no sepan que es esto de IIS, lo podemos resumir a que es la solución de Microsoft para dar servicio HTTP, o en otras palabras, un servidor HTTP como por ejemplo Apache.

Su instalación es muy sencilla, solo basta con ir a Inicio, panel de control y pulsar sobre Agregar o quitar programas y Agregar o quitar componentes de Windows.

Pulsamos sobre siguiente y esperamos a que se instale.
Si queremos acceder al panel de control:

1. Hacemos clic en Inicio y, a continuación, seleccione Ejecutar. 
2. En el cuadro de texto Abrir, escriba inetmgr. Aparecerá el Administrador de IIS. 
3. Desde el menú Ayuda, haga clic en Temas de Ayuda. 
4. Seleccione Servicios de Internet Information Server.

Creamos una página web simple con un texto, por ejemplo "Esta web está alojada en un servidor IIS".
Esta estará alojada en el directorio C:\Inetpub\wwwroot.

Accedemos a nuestra Web mediante el navegador escribiendo http://localhost/ o bien tu dominio como por ejemplo http://dominio.local/

A la conclusión a la que llego es que IIS cumple su cometido aunque está muy limitado a la hora de personalizar el servidor, configurarlo, etc. si lo comparamos con otras soluciones como puede ser el famoso y extendido Apache server.

Servicios de transferencia de archivos

Los sistemas de transferencia de archivos se basan en protocolos. Un protocolo de transferencia de archivos es una norma la cual rige o controla la transferencia de archivos entre dos equipos.

A diferencia de protocolos de propósito general de comunicación es que los protocolos de transferencia de archivos no están diseñados para el envío de datos de forma arbitraria o asíncrona. Su objetivo es simplemente el envío de secuencias de bits almacenados como una única unidad en un sistema de ficheros, además de los metadatos (nombre, tamaño, etc.).

Un método bastante general y un claro ejemplo de un servicio de transferencia de archivos es el Protocolo de Transferencia de Archivos (FTP).

En este sistema podemos encontrar dos tipos de transferencias de archivos:

• Transferencia de archivos "Pull-based": El receptor inicia una solicitud de transmisión de ficheros.
• Transferencia de archivos "Push-based": El emisor inicia una solicitud de transmisión de ficheros.7

Dentro de este sistema nos encontramos con dos partes, el servidor y el cliente.

El servidor que debe estar conectado a una red, normalmente a Internet y el cual se encarga del intercambio de datos entre diferentes equipos.

El cliente sin embargo se trata de un programa de usuario que haciendo uso de protocolos (ej.: FTP) se conecta a un servidor para la transferencia de archivos, ya sea para la descarga o subida de archivos.

Comando TOP (Linux)

El comando TOP muestra en tiempo real un listado de procesos que se están ejecutando en nuestro sistema con información adicional vinculada a cada proceso como puede ser el porcentaje de uso de la CPU, la memoria que está utilizando, su número de identificación, usuario que está ejecutando el proceso, el tiempo en ejecución, etc.

La salida en pantalla del comando TOP nos muestra una "tabla" con unas cabeceras que nos indica la función informativa de su columna (PID, USER, etc.) y debajo de esta el listado de los procesos.

Si queremos ver toda la información de este comando tan solo deberemos de insertar en el terminal la siguiente sentencia:
man top

Aún si haremos un repaso de aquellas opciones más relevantes o de mayor frecuencia de uso. Estas son:
-c: Con esta opción activa nos mostrará la dirección y linea de comandos completa del proceso y no solo el nombre.

-d: Con esta opción podemos indicarle a TOP el intervalo de refresco y que podremos indicar con un valor numérico en segundos.

-U: Monitoriza solamente los procesos de un determinado UID.

-p: Monitoriza solo los IDs de procesos especificados.

-n: Especifica el número de veces que actualizará hasta que finalice la ejecución.

En este ejemplo la información se actualizaría 5 veces y finalizaría TOP.

Memoria Active Directory WS2003

Implementación de Snort+ACID

Implementación y uso de un IDS (Tripware)

WWW SQL Designer

WWW SQL Designer es una pequeña aplicación online que nos permite crear de una forma rápida y sencilla modelos relacionales de nuestras bases de datos. Además nos permite guardar nuestros resultados en XML para su posterior edición e incluso tenemos la posibilidad de generar el código SQL para introducirlo directamente en nuestro servidor de base de datos, eso sí, solo para MySQL.
Otra cosa que cabe mencionar es que nos permite importar y guardar desde una base de datos, claro esta, propia del servicio de demostración pero aún así es una buena característica que se le suma.

Ir al sitio: http://ondras.zarovi.cz/sql/demo/

Autentificación en Apache2

En esta entrada vamos a ver algunos métodos de autentificación con Apache2 en Ubuntu.


Acceso a un usuario único
Este es uno de los métodos más simples de autentificación en Apache.
Para hacer uso de este sistema necesitaremos crear un archivo de contraseñas, es aconsejable localizar este fichero en un lugar inaccesible vía Web.
La creación de este fichero de contraseñas lo podemos realizar con htpasswd, que es una utilidad que viene con Apache.
Creamos el fichero:
# htpasswd -c /usr/local/apache/passwd/passwords usuario

Nos pedirá una contraseña y su confirmación.

Creado ya el fichero con nuestro usuario y contraseña, ya solo nos falta la configuración del servidor para que solicite la contraseña e indicarle que usuario tiene el acceso permitido.
Esto lo conseguimos editando el fichero /etc/apache2/httpd.conf y añadimos las siguientes líneas dentro  del contenedor "<Directory>".
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /usr/local/apache/passwd/passwords
Require user rbowen

Reiniciamos Apache y comprobamos sus efectos:

CMS Instalación de Drupal con acceso HTTPS y autentificación LDAP

Instalación de Joomla y Wordpress (CMS) en Apache

Quick Highlighter

Una aplicación web que he descubierto recientemente, seguramente más de uno ya la conocerá, pero me ha parecido interesante compartirlo para aquellos que aún la desconozcan.
Se trata de una aplicación web que proporciona formato a nuestros códigos fuentes y facilitando de esta manera su lectura y comprensión. Y no hay que olvidar que Quick Highlighter soporta hasta 85 lenguajes distintos de programación.

Web: http://quickhighlighter.com/

Windows Server 2003: Administración de Políticas de Grupo

En esta entrada, vamos a tratar puntos esenciales en la administración de las políticas de grupo y las herramientas de la que disponemos nativamente en Windows Server 2003 para centralizar la administración y configuración de usuarios y equipos del dominio.
Antes de continuar un breve resumen de que son las políticas de grupo: Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando estos acceden a un equipo del dominio. Esto engloba las configuraciones del registro, políticas de seguridad, direccionamiento de recursos del dominio, etc.

DHCP

DHCP (Dynamic Host Configuration Protocol) o Protocolo Dinámico de Configuración de Equipos, como su nombre lo indica es un protocolo de asignación dinámica de parámetros de configuración de la Red para cada Host.

En términos menos técnicos lo que hace el protocolo DHCP es permitir la configuración automática de todos los equipos de una red, asignando direcciones IP’s, Mascaras de Subred, puerta de enlace y DNS a cada estación (Host).

DHCP es un protocolo de tipo Cliente/Servidor al cual se le configuran ciertos parámetros como el rango de IP’s, los DNS, IP’s estáticas, etc. Luego de dicha configuración y puesta en funcionamiento, cada Host o equipo que se conecte a la red se configurará automáticamente por medio de un protocolo de asignación de parámetros.

Métodos de asignación de direcciones IP:

• Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.
• Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.
• Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada computadora conectada a la red está configurada para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.

Paquetes emitidos entre Cliente/servidor

• DHCPDISCOVER (para ubicar servidores DHCP disponibles)
• DHCPOFFER (respuesta del servidor a un paquete DHCPDISCOVER, que contiene los parámetros iniciales)
• DHCPREQUEST (solicitudes varias del cliente, por ejemplo, para extender su concesión)
• DHCPACK (respuesta del servidor que contiene los parámetros y la dirección IP del cliente)
• DHCPNAK (respuesta del servidor para indicarle al cliente que su concesión ha vencido o si el cliente anuncia una configuración de red errónea)
• DHCPDECLINE (el cliente le anuncia al servidor que la dirección ya está en uso)
• DHCPRELEASE (el cliente libera su dirección IP)
• DHCPINFORM (el cliente solicita parámetros locales, ya tiene su dirección IP)

Protocolo de la asignación de parámetros

Cuando un Host se conecta a la red se envía un paquete del tipo DHCPDISCOVER con el fin de ubicar los servidores DHCP que se encuentren en la red.
El servidor responde con un paquete DHCPOFFER, para enviarle una dirección IP al cliente.
El cliente establece su configuración y luego realiza un DHCPREQUEST para validar su dirección IP (una solicitud de transmisión ya que DHCPOFFER no contiene la dirección IP).
El servidor responde con un DHCPACK con la dirección IP para confirmar la asignación.
Normalmente, esto es suficiente para que el cliente obtenga una configuración de red efectiva, pero puede tardar más o menos en función de que el cliente acepte o no la dirección IP.

Referencias: http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

Administración de dominios Windows 2003

A continuación expondré un resumen sobre los aspectos más importantes a tener en cuanta sobre la gestión de dominios en Windows 2003 y en concreto los conceptos fundamentales que soporta el Directoria Activo (Active directory).
La mejor forma de administrar un sistema es mediante el uso de dominios, en donde toda la información administrativa y de seguridad se encuentra centralizada. Windows usa el concepto de directorio para implementar dichos dominios.

Toda esta información es almacenada en el Directorio Activo, el cual es un servicio de red que almacena información acerca de recursos de la red y permite el acceso a los usuarios y aplicaciones a los mismos. Por tanto es un medio que permite organizar, controlar y administrar el acceso de recursos en la red de forma totalmente centralizada.

Todo este sistema conlleva una serie de estándares relacionados como son el protocolo DHCP, DNS, SNTP, LDAP, Kerberos V5 y Certificados X.509.

El Directoria activo y el DNS están relacionados puesto que los dos son espacios de nombres. Por ello el directorio activo hace uso del servicio DNS para tres funciones principales:
-Resolución de nombres
-Definición del espacio de nombres
-Búsqueda de los componentes físicos de AD

El directorio activo sigue una estructura lógica centrada en la administración de recursos de una red organizativa, independientemente de la ubicación física de dichos recursos y topologías de red existentes.
Dentro de esta estructura encontramos los dominios, unidades organizativas y por último el concepto de árbol y bosque.

Ya hemos visto algunos puntos (no todos) de la estructura lógica del sistema, así que ahora pasaremos a la estructura física. La estructura física define dónde y cuando se producen el tráfico de replicación y de inicio de sesión. Para entenderlo mejor, los componentes físicos de Active Directory permite optimizar el tráfico de red y el proceso de inicio de sesión, así como solventar problemas de replicación.

Tenemos:
-Sitios
-Controladores de dominio
-Servidor de catálogo global
-Operaciones de maestro único

Ahora bien, entre los objetos que administra un dominio (basados en una jerarquía) nos encontramos con:
-Los usuarios globales
-Grupos
-Equipos
-Unidades organizativas

Cuando el sistema de Windows 2003 participa en una red, puede compartir sus recursos con el resto de ordenadores. Dentro de este ámbito actúan una series de conceptos tales como los Permisos y Derechos.

Cuando se comparte dentro de un dominio además de haberse compartido de forma física por la red, el administrador puede crear objetos nuevos dentro de la unidad organizativa los cuales pueden recibir nombres simbólicos. Ahora bien, si un sistema Windows se agrega a un dominio, los recursos de este son automáticamente compartidos con el resto del dominio de forma predeterminada.
La compartición de recursos puede ser realizada por líneas de órdenes utilizando “net share” y “net use”.

Por último tenemos la delegación de la administración, en la cual Windows 2003 permite delegar de forma parcial o total la administración de una unidad organizativa. Esta acción es muy parecida a la de los permisos sobre una carpeta y se realiza mediante una DACL propia y otra heredada que contienen entre otras cosas los usuarios/grupos y tienen accesos o no a ciertas acciones dentro de la unidad organizativa.

La protección local en Windows 2003

Windows 2003 permite un riguroso control de los usuarios que pueden ingresar  en el sistema. Cada cuenta de usuario almacena  una serie de datos (nombre, contraseña, etc), pero el dato más importante a remarcar es el SID. Un identificador único para cada cuenta de usuario y que el sistema utiliza para averiguar  los permisos que posee dicho usuario.

Todos estos usuarios pueden ser administrados de una forma mucho más cómoda y sencilla con el uso de grupos. Los grupos de usuario se utilizan para englobar un conjunto de permisos y derechos a los cuales los usuarios pertenecientes a dichos grupos pueden disfrutar.

El sistema tiene de forma integrada una serie de grupos redefinidos en el sistema, estos grupos son conocidos como built-in groups.

El modelo de protección seguido en Windows  server 2003 hace una distinción entre los derechos y permisos. Los derechos son pertenecientes a los usuarios, sin embargo los permisos le corresponden a los recursos del sistema (archivos, documentos, etc).

Diferencias entre derechos (usuarios) y permisos (archivos, etc).

Cuando un usuario está autorizado para conectarse interactivamente dentro del sistema, este le construye una acreditación denominada SAT que contiene la información de protección del usuario, además de utilizarse para el control de accesos que los procesos del usuario realiza en los recursos del sistema.

Los derechos son atributos de los usuarios o grupos que conceden a los usuarios la posibilidad de realizar una acción concreta en el sistema. Dentro de los derechos hay dos tipos, que son: derechos de conexión (cómo se puede conectar) y privilegios

(Qué puede hacer en el sistema). Hay que tener en cuenta que tienen prioridad los permisos  y derechos restrictivos frente a los permisivos.

Los derechos son un tipo de directivas de seguridad. En este sentido el sistema ha agrupado un conjunto de reglas de seguridad antes dispersas dentro una única consola de administración unificando y simplificando la administración de las mismas (cuentas, directivas locales y claves públicas).

En cuanto a permisos, tenemos los atributos de protección de recursos los cuales poseen cada carpeta o archivo dentro del sistema y entre los que se encuentran el SID del propietario y dos listas de control de acceso (de protección y seguridad).

Estos permisos se asocian a los recursos siguiendo una serie de reglas.

Dentro de los permisos Windows 2003 hace una distinción entre permisos estándar y permisos individuales sobre carpetas y archivos. Dentro de estos permisos podemos encontrar la lectura, escritura, ejecución, etc.

Windows 2003 tiene de forma totalmente integrado un modelo de protección que define quién puede modificar los atributos de protección de los recursos, basándose en los permisos y derechos del usuario. Dictando por tanto que estos pueden ser los propietarios y cualquier usuario que esté dentro de las listas de control de acceso de protección  y lista de control de seguridad con los permisos correspondientes.

Estos permisos siguen unas reglas básicas o reglas de protección, basadas en:

La verificación de permisos de cada acción o proceso.

Los permisos son acumulativos.

La ausencia de un cierto permiso supone la imposibilidad de realizar una determinada acción.

Si se producen conflictos en la comprobación de permisos, los más restrictivos son los que prevalecen exceptuando los permisos explícitos sobre los heredados.

CWE-116

CWE 116 Updated

Seguridad Windows7 & Ubuntu 10.10

Presentación:

Prácticas:
Configuración de básica de Avast! Home Free Edition:

Encriptación en Ubuntu 10.10:

Descargar documentación:
http://darkbox.mysites.com/get_file/misc/seguridad-win-ubun.pdf

Gestion