| Artículos | 01 JUL 2004

Administración de redes (y V)

Tags: Histórico
Seguridad
Juan Bláquez.
La fuerte implantación del ordenador en todas las actividades lo convierte en imprescindible y cualquier percance puede ocasionar graves trastornos en la red. En este artículo se hace un breve repaso de algunas de las funciones de seguridad básicas que incorpora la plataforma Windows 2000.

Al definir la seguridad informática son tres los puntos cruciales que deben contemplarse: integridad, evitar que los datos sufran cualquier modificación no deseada; confidencialidad, garantizar que los datos sólo son conocidos por los usuarios autorizados y cuando sea oportuno; por último disponibilidad, conseguir que el ordenador esté disponible en el momento necesario. La consecución de estos objetivos abarca un gran número de aspectos, desde la gestión de las contraseñas de usuario hasta medidas de tolerancia a fallos, pasando por la gestión de parches, asignación de permisos de archivo o monitorización del tráfico de red. Implica tanto herramientas de software, como criterios y procedimientos.
Cuando de aplicar seguridad se trata, nunca se puede perder de vista que ésta tiene que estar supeditada a la actividad de los usuarios y debe permitir el normal desarrollo de sus tareas. A mayor nivel de seguridad, mayor incomodidad en el uso del ordenador, por lo que el reto del administrador estará en conseguir el equilibrio entre funcionalidad y protección. Un buen plan de seguridad no se consigue estableciendo restricciones a diestro y siniestro, sin más. Las limitaciones que se establezcan deben ser evaluadas desde la perspectiva del usuario y comprobar cómo afectan a su funcionalidad, buscando, si es preciso, alternativas que soslayen las limitaciones y mantengan el nivel de operatividad. Muchas veces lo inseguro es el uso que se hace de las funciones, no las funciones como tales.

Confidencialidad e integridad
La seguridad en la red comienza por la identificación de cada uno de los posibles usuarios que pueden acceder al sistema, credenciales con las que el administrador puede, en primera instancia, controlar la entrada y, una vez franqueado el paso, fiscalizar su acceso a los recursos disponibles. Como ya se puso de manifiesto en el primer artículo de este curso, una red bajo dominio ofrece las mejores condiciones para gestionar las cuentas de usuario y establecer estos controles. En este entorno, la utilización de grupos potencia que esta gestión resulte más cómoda y efectiva.
Son varios los mecanismos implementados en la familia de sistemas operativos de nueva generación de Microsoft para que el administrador tenga un control efectivo de la entrada al sistema. Estos mecanismos pueden conjugarse entre sí y toman el Directorio Activo como punto de definición y aplicación, tanto en lo que se refiere al inicio de sesión en la propia red como si tiene lugar en remoto. Dentro de las propiedades del objeto usuario, en la pestaña Cuenta se localizan varias propiedades que permiten establecer el horario permitido para iniciar sesión y desde qué equipos puede hacerse. Mediante GPO, Objeto Paquete de Directiva, se puede definir quiénes tienen acceso a los ordenadores, tanto localmente como por red y al iniciar sesión, y qué privilegios tendrán para interactuar con el equipo. Estos parámetros se definen dentro del árbol Configuración del equipo » Configuración de seguridad. Una vez definida la directiva y asignada a los equipos, cualquier usuario que inicie sesión sobre ellos utilizará el ordenador según esas condiciones.
El acceso remoto también se controla mediante directivas, condicionando el acceso de los usuarios por esta vía a través de reglas que se deben cumplir para que sea o no aceptada la conexión. Estas reglas pueden establecerse en función del día y hora en la que se produzca el acceso, el grupo al que pertenezca el usuario o el tipo de línea que esté utilizando, entre otras. Un complemento interesante para gestionar el acceso remoto se encuentra en el servicio IAS, Servicio de Autenticación Internet, que permite gestionar de forma centralizada el acceso remoto, extremadamente útil cuando existen varios servidores disponibles para este acceso. El uso de protocolos de Windows o el estándar RADIUS abre muchas posibilidades de integración en entornos heterogéneos. Tanto RAS como IAS son servicios incluidos dentro del CD-ROM del sistema operativo de servidor y permiten resolver muy dignamente las necesidades que pueden darse para gestionar este tipo de acceso.
Obtenido paso franco al sistema, el control de acceso a datos por parte de los usuarios autorizados se convierte en una de las principales preocupaciones del administrador de red. Mantener los archivos lejos de miradas indiscretas o manipulaciones no autorizadas resulta crucial para la buena marcha de la organización, cualquiera que sea su actividad. Para abordar esta delicada tarea Windows proporciona básicamente dos herramientas con las que garantizar la confidencialidad e integridad de los datos: los permisos de archivo NTFS-Carpeta compartida y el servicio de encriptación de fichero, EFS. Estas protecciones están presentes en las ediciones de sistema operativo de servidor y escritorio a partir de Windows 2000 y pueden ser utilizadas tanto en grupo de trabajo como en dominio, aunque en este último entorno es donde resultan más potentes y flexibles.
Sólo es posible implementar los permisos de acceso a fichero si los discos se encuentran formateados bajo NTFS y son efectivos tanto para los accesos de red como para los inicios de sesión locales. Para unidades FAT no existe este nivel de protección y la seguridad sólo se puede definir para los accesos en red, mediante los sencillos permisos de carpeta compartida. Estos permisos sobre archivos y carpetas han sido completamente remozados en Windows 2000, respecto a NT, y son muchas las posibles combinaciones que permiten para obtener una aquilatada estructura de acceso. Desgraciadamente, en la práctica, la definición de estos permisos va a depender más de las características de funcionamiento de los programas utilizados que de las restricciones de acceso que se puedan necesitar. Office, sin ir más lejos, obliga a dar amplios privilegios sobre los archivos y carpetas para que los programas de esta suite puedan funcionar correctamente.
Para configurar convenientemente estos permisos, es necesario conocer su comportamiento, puesto que según las operaciones y las unidades de disco sobre las que se realicen, los permisos resultantes pueden sufrir variaciones que podrían trastocar la seguridad aplicada. Así, la operación de mover archivos dentro de una misma unidad de disco hace que los archivos conserven sus permisos originales en la nueva ubicación. En cambio, si esa misma operación se realiza sobre unidades de disco distintas, los archivos trasladados pierden su seguridad y adoptan la que hubiera configurada en el destino en el que se alojan.
Con EFS se aumenta la confidencialidad de los datos. Con esta función es posible encriptar los archivos de tal forma que sólo aquellos usuarios que dispongan de autorización podrán acceder a ellos desencriptados y de acuerdo con los permisos NTFS que puedan tener otorgados. Tanto el proceso de encriptación como su operación inversa resultan totalmente transparentes para el usuario, que sólo percibirá los ficheros protegidos, reseñados en el explorador de Windows con un color distinto al habitual. El mecanismo de encriptado que utiliza este servicio está basado en el uso de claves asimétricas, par de claves pública/privada.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información