Capacidad de OI: Seguridad y funciones de red: del nivel básico al estandarizado
En esta página
.gif){kind=icon}
Introducción
Requisito: Software antivirus para equipos de escritorio
Punto de control: Software antivirus para equipos de escritorio
Requisito: Servicios de firewall centralizado
Punto de control: Servicios de firewall centralizado
Requisito: Servicios de red básica administrados de manera interna (DNS, DHCP, WINS)
Punto de control: Servicios de red básica administrados de manera interna (DNS, DHCP, WINS)
Requisito: Supervisión de disponibilidad para servidores críticos
Punto de control: Supervisión de disponibilidad para servidores críticos
Introducción
La seguridad y las redes constituyen la tercera capacidad de optimización de infraestructura principal. En la tabla siguiente se enumeran los desafíos de alto nivel, las soluciones aplicables y las ventajas de adoptar el nivel estandarizado de seguridad y funciones de red.
Desafíos |
Soluciones |
Ventajas |
|---|---|---|
Desafíos para la empresa Falta de estándares básicos de seguridad para protegerse frente a software malintencionado y ataques Las actualizaciones del programa antivirus no se administran bien, lo que aumenta el riesgo de ataques El servicio de asistencia es reactivo e invierte la mayoría del tiempo en solucionar problemas relacionados con la seguridad Desafíos de TI Los empleados de TI realizan las actualizaciones manualmente e implementan las revisiones en cada máquina Las interrupciones irregulares e imprevisibles de los servidores significan interrupciones de los servicios de red, lo cual reduce la productividad del usuario final Los administradores de red administran por separado las direcciones IP para evitar duplicidades y aplican manualmente los cambios de configuración en las estaciones de trabajo |
Proyectos Implementación de firewall con configuración de bloqueo (posiblemente una solución de firewall de varios niveles) Implementación de servicios de red, como servidores DNS, para encontrar fácilmente los servicios de red y tener acceso a ellos, y servidores DHCP para la administración centralizada de direcciones IP Implementación de una solución antivirus para equipos de escritorio estandarizada y administrada |
Ventajas empresariales Los estándares de directivas establecidos proporcionan un entorno informático más coherente Seguridad de los equipos de escritorio mejorada gracias a la entrega rápida y confiable de revisiones para vulnerabilidades específicas Ventajas de TI Las revisiones administradas de forma central proporcionan una infraestructura más estable y segura Una configuración de red TCP/IP eficaz y confiable ayuda a impedir conflictos de direcciones IP y conserva el uso de direcciones IP por medio de la administración centralizada de la asignación de direcciones Entorno controlado y sólido que puede resistir ataques mediante "capas" de seguridad en los niveles de perímetro, servidor, escritorio y aplicación La reducida complejidad de las operaciones de hardware y software conlleva procesos de administración de cambios más fluidos |
El nivel estandarizado del modelo de optimización de infraestructuras trata las áreas clave de redes y componentes de seguridad, entre las que se incluyen:
Software antivirus para equipos de escritorio
Servicios de firewall centralizado
Servicios de red básica administrados de manera interna (DNS, DHCP, WINS)
Supervisión de disponibilidad para servidores críticos
El nivel estandarizado de optimización requiere que la organización disponga de software antivirus estándar instalado en clientes, de un firewall perimetral centralizado, de servicios de red básicos y de supervisión de disponibilidad para servidores críticos.
Requisito: Software antivirus para equipos de escritorio
Destinatarios
Lea esta sección si no dispone de software antivirus con actualización automatizada de firmas ejecutándose en el 80% o más de los equipos de escritorio.
Introducción
Cada organización debe desarrollar una solución antivirus que proporcione un alto nivel de protección a sus recursos de red y tecnología. Sin embargo, muchas redes se infectan incluso después de haber instalado software antivirus. Esta sección ofrece información acerca del enfoque correcto del problema de software malintencionado (también llamado malware).
Fase 1: Evaluación
En la fase de evaluación, la organización necesita hacer un inventario de los sistemas de escritorio administrados y determinar sus especificaciones de hardware, sistemas operativos, aplicaciones y si el software antivirus u otro software de detección de software malintencionado está instalado actualmente. Recomendamos usar una herramienta para automatizar el proceso de inventario, como Systems Management Server (SMS) 2003, el kit de herramientas de compatibilidad de aplicaciones o Windows Vista Hardware Assessment.
Fase 2: Identificación
El objetivo de la fase de identificación para determinar una estrategia antivirus es definir las necesidades de la organización en materia de seguridad. Los productos antivirus varían según el fabricante y ofrecen niveles variantes de protección y cobertura frente a las amenazas no procedentes de virus Mediante la información recopilada en la fase de evaluación, la organización será capaz de determinar los requisitos de compatibilidad del software antivirus e identificar la solución correcta para ella.
Fase 3: Evaluación y planeación
Igual que en el caso de las medidas de seguridad de redes, Microsoft recomienda un enfoque de defensa en profundidad de la solución antivirus que garantice que las medidas preventivas adoptadas por la organización se diseñan correctamente y se mantienen de manera confiable.
Tal enfoque es decisivo para la seguridad de los equipos de la organización, puesto que lamentablemente y a pesar de la gran cantidad de funciones y servicios prácticos que ofrece un sistema informático, siempre habrá alguien que intentará encontrar una vulnerabilidad de la que aprovecharse malintencionadamente.
Niveles de defensa
La siguiente figura indica los niveles de una organización que son vulnerables a un ataque de software malintencionado.
.gif)
Esta sección de la guía trata la necesidad de disponer de un plan antivirus para los niveles de host, aplicación y datos, especialmente para los equipos de escritorio cliente de la organización. Los otros niveles se tratan en otros documentos de esta serie.
Defensas del cliente
Cuando a un equipo host llega software malintencionado, los sistemas de defensa se deben centrar en proteger el sistema host y los datos que contiene y en detener la propagación de la infección. Estas defensas no son menos importantes que las defensas físicas y de red en el entorno de red de la organización. Las defensas del host se deben diseñar partiendo de la base de que el software malintencionado ha sido capaz de superar todas las capas exteriores de defensa. Este método es la mejor forma de lograr el máximo nivel de protección.
Fase 4: Implementación
En la fase de implementación, debe implementar una serie de enfoques y tecnologías para la protección antivirus del cliente. En las siguientes secciones se proporcionan detalles que Microsoft recomienda tener en cuenta.
Paso 1: Reducir el ámbito de ataque
La primera línea de defensa en la capa de aplicación consiste en reducir el ámbito de ataque del equipo. Será necesario quitar o deshabilitar todas las aplicaciones o servicios innecesarios para minimizar las vías desde las que atacante podría aprovechar el sistema de forma malintencionada.
Paso 2: Aplicar actualizaciones de seguridad
La gran cantidad y variedad de equipos cliente que puede haber conectados en las redes de una organización puede dificultar la implementación de un servicio rápido y confiable de administración de actualizaciones de seguridad. Microsoft y otras empresas de software han desarrollado herramientas que se pueden usar para solventar este problema. Para obtener información más detallada acerca de la distribución de revisiones del sistema operativo, consulte la sección Requisito: Distribución automatizada de revisiones en equipos de escritorio y portátiles de esta guía.
Paso 3: Habilitación de un firewall basado en host
El firewall personal o basado en host representa una capa importante para la defensa del cliente que se debe habilitar, especialmente en los equipos portátiles que los usuarios pueden usar fuera de las habituales defensas físicas y de red de la organización. Estos servidores de seguridad filtran todos los datos que intentan entrar o salir de un determinado equipo host.
Paso 4: Instalar software antivirus
Puede elegir entre varias soluciones antivirus en el mercado. Cada una de ellas intenta proteger el equipo host causando las mínimas inconveniencias a los usuarios finales y requiriendo la mínima interacción por su parte. La mayoría de estas aplicaciones han resultado muy eficaces en la protección, aunque todas exigen actualizaciones frecuentes para estar al día acerca del nuevo software malintencionado. Cualquier solución antivirus debe ofrecer un mecanismo rápido y perfecto para garantizar que las actualizaciones de los archivos de firma necesarios (archivos que contienen información que usan los programas antivirus para detectar y tratar el software malintencionado durante el proceso de detección y que los proveedores de aplicaciones antivirus actualizan con regularidad) se suministran al equipo cliente lo más rápidamente posible.
Tenga en cuenta, sin embargo, que estas actualizaciones también pueden presentar un riesgo de seguridad, ya que los archivos de firmas se envían desde el sitio de soporte técnico de la aplicación antivirus a la aplicación host (normalmente, a través de Internet). Por ejemplo, si el mecanismo de transferencia usado para obtener el archivo es el protocolo de transferencia de archivos (FTP, File Transfer Protocol), los firewalls perimetrales de la organización deben permitir este tipo de acceso al servidor FTP pertinente en Internet. Asegúrese de revisar el mecanismo de actualización durante el proceso de evaluación de riesgos antivirus y comprobar que cumple los requisitos de seguridad de su organización.
Paso 5: Realizar pruebas con detectores de vulnerabilidades
Después de haber configurado un sistema o una red, debe comprobarlos periódicamente para asegurarse de que no existen puntos débiles en la seguridad. Para ayudarle en este proceso, determinadas aplicaciones actúan como detectores y buscan los puntos débiles de los que el software malintencionado y los piratas informáticos pueden intentar aprovecharse. La mejor de estas herramientas actualiza las propias rutinas de exploración para defender el sistema contra los puntos débiles más recientes.
Operaciones
Al igual que ocurre con la mayoría de software, las aplicaciones antivirus necesitan un mecanismo para permitir las actualizaciones continuas. La sección ">Distribución automatizada de revisiones que aparece con anterioridad en esta guía, analiza pormenorizadamente los requisitos y herramientas de procesos disponibles para automatizar las actualizaciones de software. Recomendamos, además, que la organización exija que el software antivirus seleccionado se esté ejecutando siempre. La Guía de recursos de implementador para la optimización de la infraestructura principal: del nivel estandarizado al nivel racionalizado, analizará cómo puede aplicarse el software antivirus para que se ejecute siempre mediante la directiva de grupo.
Software antivirus recomendado
Microsoft ha probado el funcionamiento de los siguientes productos de software con los sistemas operativos de Microsoft:
Microsoft Forefront Client Security
de Microsoft CorporationCA Anti-Virus 2007 (antes eTrust)
de CA, Inc.Symantec AntiVirus Corporate Edition
de Symantec CorporationNorton AntiVirus 2006
de Symantec CorporationRising Antivirus Software Personal Edition
de Beijing Rising Technology Co., Ltd.
Más información
Para obtener más información acerca de la implementación de software antivirus, consulte la Guía de defensa en profundidad antivirus.
Para ver cómo Microsoft aborda los temas de antivirus, vaya a https://www.microsoft.com/technet/itshowcase/content/msghygiene.mspx.
Punto de control: Software antivirus para equipos de escritorio
|
Requisitos |
|---|---|
Instalación de todos los sistemas operativos y actualizaciones de seguridad de aplicaciones de software. |
|
|
Habilitación de los firewalls basados en host disponibles. |
|
Instalación de software antivirus en el 80% o más de los equipos de escritorio. |
.gif)
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel estandarizado para software antivirus para equipos de escritorio. Le recomendamos que siga los procedimientos recomendados adicionales para protección antivirus que se tratan en el Centro de seguridad de Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Servicios de firewall centralizado
Destinatarios
Lea esta sección si no dispone de un firewall centralizado (no por escritorio) que proteja un 80% o más de su sistema.
Introducción
Los firewalls constituyen una parte clave para mantener los equipos de la red seguros y protegidos. Todos los equipos necesitan la protección de un firewall tanto si se trata de los miles de servidores y equipos de escritorio que forman la red de una compañía que figura en la relación Fortune 500 como del equipo portátil conectado a la red inalámbrica de una cafetería de un vendedor que está de viaje como del nuevo PC de su abuela con una conexión de acceso telefónico a Internet.
Esta sección de la guía contempla los firewalls de red y los basados en host (también llamados firewalls personales). Aunque los usuarios en casa tradicionalmente sólo usaban firewalls basados en host, las tendencias recientes en lo referente a infracciones de seguridad resaltan la importancia del uso combinado de ambos tipos de firewalls. El nivel estandarizado del modelo de optimización de infraestructuras no requiere firewalls basados en host; éstos se introducen posteriormente en el modelo. En esta guía se analizan las cinco principales clases de la tecnología de firewall.
La siguiente orientación se basa en las Guías de implementación de servicios de firewall de la Arquitectura de referencia de Windows Server System.
Fase 1: Evaluación
La fase de evaluación de la implementación de una estrategia de firewall trata la necesidad empresarial de proteger los datos y tener acceso a los almacenes de datos, y determina qué infraestructura de firewall está disponible, si la hay. Cualquier organización dispone de algún tipo de información confidencial que puede causar daños si cae en manos indebidas. El potencial de los daños de este tipo es incluso mayor (y su repercusión más importante) si la organización usa activamente Internet para alojar distintas aplicaciones y servicios, por ejemplo:
Obtención de información general e investigación.
Obtención de datos de mercados financieros.
Prestación de servicios de minorista en línea.
Comunicaciones por correo electrónico.
Redes privadas virtuales (VPN, Virtual Private Network) para trabajadores remotos.
Conectividad de sucursales basada en VPN.
Comunicaciones por voz.
Para ofrecer incluso el más común de estos servicios, por ejemplo, el correo electrónico, las organizaciones deben conectar sus sistemas internos a Internet. Al hacerlo, estos sistemas quedan accesibles a fuentes externas y, por lo tanto, son susceptibles de sufrir ataques. Las organizaciones también están sujetas a los costos que requieren estas conexiones, incluidos los pagos a un proveedor de servicios de Internet (ISP) y las inversiones en tecnologías que puedan proteger sus sistemas de información.
Está claro que es importante impedir ataques a los sistemas de información, perseguir jurídicamente a quienes perpetran estos ataques y estar perfectamente informados acerca de los riesgos que suponen las diferentes clases de ataques.
Fase 2: Identificación
La fase de identificación examina la tecnología disponible para proteger la información de la organización y proporciona la información necesaria para evaluar las opciones de firewall y empezar a planear la implementación de tecnología de firewall.
Tipos de firewall
Hay dos tipos principales de firewall: firewalls de red y firewalls basados en host (personales). Los firewalls de red, como Microsoft® Internet Security and Acceleration Server (ISA Server) basado en software, o los sistemas de firewall conmutados basados en hardware, protegen el perímetro de una red observando el tráfico que entra y sale de la red. Los firewalls basados en host protegen un solo equipo, indistintamente de la red a la que esté conectado. Quizá necesite un tipo u otro, pero la mayoría de las organizaciones necesitan una combinación de ambos para cumplir sus requisitos de seguridad.
Los firewalls pueden dividirse, además, en cinco clases:
Clase 1: firewall personal. Son firewalls de software basados en host que protegen un solo equipo.
Clase 2: firewall de enrutador.
Clase 3: firewall de hardware de gama baja
Clase 4: firewall de hardware de gama alta
Clase 5: firewall de servidor de gama alta
Firewalls de red: clases 2 a 5
Los firewalls de red protegen toda una red defendiendo el perímetro de la misma. Los firewalls de red reenvían el tráfico de y hacia los equipos de una red interna y filtran ese tráfico según los criterios establecidos por el administrador.
Los firewalls de red pueden estar basados en software o hardware. Los firewalls de red basados en hardware suelen ser más baratos que los firewalls de red basados en software y son una buena opción para usuarios domésticos y para muchas pequeñas empresas. Los firewalls de red basados en software tienen un conjunto de funciones más amplio que los firewalls de red basados en hardware y pueden encajar en las necesidades de organizaciones más grandes. Los firewalls basados en software también pueden ejecutarse en el mismo servidor que otros servicios, como el correo electrónico y el uso compartido de archivos, lo cual permite que las organizaciones pequeñas hagan un mejor uso de los servidores existentes.
Cuando se ocupen de la conectividad de red segura, los administradores deben considerar lo siguiente:
Seguridad
Complejidad de la administración
Costo
Al tratar estos desafíos clave de la seguridad, las organizaciones pueden conseguir mayor productividad de los empleados, reducción de costos y una integración empresarial mejorada.
Funciones del servidor de seguridad
Según las funciones que admita un servidor de seguridad, el tráfico se permitirá o bloqueará por medio de distintas técnicas. Dichas técnicas ofrecen grados distintos de protección, según las capacidades del servidor de seguridad. Las siguientes funciones de firewall se enumeran en orden ascendente de complejidad y se explican en las siguientes secciones:
Filtros de entrada del adaptador de red
Filtros de paquetes estáticos
Traducción de direcciones de red (NAT, Network Address Translation)
Inspección con estado
Inspección de circuitos
Proxy
Filtrado de capas de aplicación
Filtros de entrada del adaptador de red
El filtrado de entrada del adaptador de red examina las direcciones de origen o destino y otra información del paquete entrante y lo bloquea o lo deja pasar. Este filtrado se aplica únicamente al tráfico entrante.
Filtros de paquetes estáticos
Los filtros de paquetes estáticos coinciden con los encabezados IP para determinar si permitir o no que el tráfico pase a través de la interfaz. Este filtrado se aplica al tráfico entrante y al saliente.
Traducción de direcciones de red (NAT, Network Address Translation)
NAT convierte una dirección privada en una dirección de Internet. Aunque NAT no es estrictamente una tecnología de servidor de seguridad, al ocultar la dirección IP real de un servidor, se evita que algún atacante pueda obtener información valiosa sobre el servidor.
Inspección con estado
En la inspección con estado, todo el tráfico saliente se registra en una tabla de estado. Cuando el tráfico de conexión vuelve a la interfaz, se comprueba la tabla de estado para garantizar que el tráfico se ha originado en ésta.
Inspección de circuitos
El filtrado de circuitos permite inspeccionar sesiones, en lugar de conexiones o paquetes.
Proxy
Un firewall proxy recopila información en nombre del cliente y devuelve los datos que recibe del servicio de nuevo al cliente.
Filtrado de capas de aplicación
El nivel más sofisticado de inspección de tráfico del servidor de seguridad es el filtro de aplicaciones. Los buenos filtros de aplicación permiten analizar una secuencia de datos para una aplicación particular y proporcionan un procesamiento específico de aplicación.
En general, los servidores de seguridad que proporcionan funciones complejas también incluyen funciones más simples. No obstante, lea la información del proveedor con atención antes de elegir un firewall, ya que pueden existir diferencias sutiles entre su funcionalidad implícita y su funcionalidad real. Normalmente, la selección de un firewall implica la consulta de sus funciones y su prueba, para garantizar que el producto funcione según las especificaciones.
Fase 3: Evaluación y planeación
El objetivo de la organización durante la fase de evaluación y planeación debe ser determinar una estrategia para el servicio de firewall. Esta estrategia tratará tres elementos principales del diseño de firewalls:
Diseño de un firewall perimetral: Solución de firewall concebida para proteger la infraestructura de la empresa frente al tráfico de red no seguro originado en Internet.
Diseño de un firewall interno: Segundo límite de firewall concebido para proteger el tráfico entre elementos de red de confianza parcial y elementos de confianza internos.
Diseño de proxy: La solución de proxy proporciona un mecanismo para ofrecer comunicaciones salientes seguras y fáciles de administrar.
Cada una de estas soluciones tecnológicas precisa cumplir los objetivos específicos de nivel de servicio, además de diseñar objetivos, como la disponibilidad, la seguridad y la escalabilidad.
Fase 4: Implementación
El objetivo de la fase de implementación es implementar la estrategia seleccionada y probada por la organización en la fase de evaluación y planeación Ciertas rutinas de implementación variarán en función de las clases de firewall seleccionadas. Para obtener información acerca de la tecnología de firewall de ISA Server 2006 Enterprise Edition basada en software, consulte la Guía de instalación de ISA Server 2006 Enterprise Edition.
Operaciones
Las consideraciones operativas para los servicios de firewall incluyen la administración de seguridad de red, la protección de la red, la detección de intrusiones y la reacción, así como la implementación de requisitos operativos estandarizados. Para obtener más información acerca de las tareas operativas de ISA Server 2006, como supervisión de administración, rendimiento y solución de problemas con el fin de mantener el sistema ISA Server para que su entrega de servicios sea óptima, visite Microsoft ISA Server 2006: Operaciones en Microsoft TechNet.
Más información
Para obtener más información acerca de los firewalls, visite Microsoft TechNet y busque “firewall”.
Para ver cómo Microsoft aborda los aspectos relacionados con los firewalls y con los riesgos de seguridad, vaya a https://www.microsoft.com/technet/itshowcase/content/securitywebapps.mspx.
Punto de control: Servicios de firewall centralizado
|
Requisitos |
|---|---|
Instalación de un firewall de hardware o software centralizado. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel estandarizado para los Servicios de firewall centralizado.
Le recomendamos que siga los procedimientos recomendados adicionales para firewalls que se tratan en las Guías de implementación de servicios de firewall de la Arquitectura de referencia de Windows Server System.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Servicios de red básica administrados de manera interna (DNS, DHCP, WINS)
Destinatarios
Lea esta sección si no dispone de servidores internos para servicios de red básicos.
Introducción
Las redes de TI de las organizaciones de hoy en día tienen una multitud de dispositivos informáticos, desde servidores de gama alta hasta equipos personales, que precisan comunicarse entre ellos a través de la red de área local (LAN). Para hacerlo, cada dispositivo debe tener una identidad en forma de nombre de dispositivo lógico (elegido por la organización) o una dirección que identifique de forma exclusiva el dispositivo y su ubicación en la red.
En el caso de redes pequeñas (las que tienen un máximo de 500 dispositivos), los nombres y las direcciones se pueden mantener y distribuir manualmente pero, a medida que las redes crecen en cuanto a tamaño y complejidad, el mantenimiento de un servicio de resolución de nombres eficaz es cada vez más largo de realizar y requiere cada vez más recursos.
DNS, DHCP y WINS son tres mecanismos esenciales para el aprovisionamiento de servicios de asignación y administración de direcciones IP en entornos empresariales. Existen mecanismos alternativos pero en la mayoría de los casos, DNS y DHCP constituyen los elementos troncales de cualquier servicio y WINS cumple todos los requisitos para combinar esquemas de direcciones DNS y NetBIOS.
La siguiente orientación se basa en la Introducción a servicios de red de la arquitectura de referencia de Windows Server System.
Fase 1: Evaluación
El objetivo de la fase de evaluación para los servicios de red básicos es definir la necesidad empresarial de disponer de resolución de nombres y la infraestructura de que se dispone actualmente si la hay. Al generalizarse la adopción de servicios de directorio que ofrecen un acceso simplificado a los recursos empresariales, la resolución de nombres se ha convertido en un servicio de red clave. Los servicios de directorio necesitan un sistema de resolución de nombres confiable y eficaz, de modo que los usuarios, los sistemas operativos de cliente y los servidores puedan localizar los recursos mediante nombres en lugar de direcciones. Estas funciones deben poder llevarse a cabo sin comprometer la seguridad de la red o de los servicios que ésta proporciona.
Fase 2: Identificación
Después de que la organización haya evaluado su necesidad de disponer de resolución de nombres, debe comenzar a identificar las tecnologías que cumplan sus requisitos.
Sistema de nombres de dominio (DNS)
La finalidad principal de DNS es traducir los nombres de host fáciles de recordar y legibles en direcciones IP numéricas. Entre sus muchas otras funciones, DNS también resuelve las direcciones de correo electrónico para localizar el servidor pertinente de intercambio de correo.
Protocolo de configuración dinámica de host (DHCP)
DHCP es un protocolo que permite a un equipo, enrutador u otro dispositivo de red solicitar y obtener una dirección IP única y otros parámetros, como una máscara de subred, de un servidor que guarda una lista de las direcciones IP disponibles para la red.
Servicio de nombres Internet de Windows (WINS)
El Servicio de nombres Internet de Windows (WINS) es un servicio de resolución de nombres NetBIOS que permite a los equipos cliente registrar sus nombres NetBIOS y sus direcciones IP en una base de datos dinámica y distribuida, así como resolver los nombres NetBIOS de los recursos de red en sus direcciones IP.
WINS y DNS son ambos servicios de resolución de nombres para redes TCP/IP. Mientras que WINS resuelve nombres en el espacio de nombres NetBIOS, DNS resuelve nombres en el espacio de nombres de dominio DNS. WINS es principalmente compatible con clientes que ejecutan versiones anteriores de Windows y aplicaciones que usan NetBIOS. Microsoft Windows 2000, Microsoft Windows XP y Windows Server 2003 usan nombres DNS además de los nombres NetBIOS. Los entornos que incluyan algunos equipos que usan nombres NetBIOS y otros que usan nombres de dominio deben incluir tanto servidores WINS como servidores DNS. Si todos los equipos de la red ejecutan Windows 2000 y sistemas operativos posteriores, debe usar Active Directory en lugar de WINS.
Fase 3: Evaluación y planeación
Después de haber identificado las necesidades de la organización en cuanto a la resolución de nombres y los servicios de red que es necesario implementar, es importante evaluar la tecnología propuesta y cómo ésta respaldará los objetivos de la organización.
Servidor DNS interno
Normalmente, se implementa el DNS de Windows Server 2003 para admitir el servicio de directorio Active Directory. En este entorno, los espacios de nombres DNS reflejan los bosques y dominios de Active Directory que usa la organización. Los hosts y servicios de red se configuran con nombres DNS para poder localizarlos en la red. También se configuran con servidores DNS que resuelven los nombres de los controladores de dominio de Active Directory. El DNS de Windows Server 2003 también suele implementarse como solución DNS no para Active Directory o solución estándar, por ejemplo, para alojar la presencia en Internet de una organización.
El establecimiento de servidores DNS internos aporta la mayor flexibilidad y control sobre la resolución de nombres de dominio internos y externos. Ello reduce el tráfico de Internet y de la intranet. La siguiente figura muestra cómo pueden implementarse conjuntamente las zonas integradas por Active Directory y las zonas secundarias basadas en archivos para ofrecer servicios DNS empresariales.
.jpg)
Servidor DHCP interno
En Windows Server 2003, el servicio DHCP aporta las siguientes ventajas:
Configuración confiable de direcciones IP. DHCP minimiza los errores de configuración ocasionados por la configuración manual de direcciones IP, como los errores tipográficos o los conflictos de direcciones debido a la asignación de una dirección IP a más de un equipo simultáneamente.
Administración de red reducida. DHCP incluye las siguientes funciones para reducir la administración de red:
Configuración de TCP/IP centralizada y automatizada.
Posibilidad de asignar todo un intervalo de valores de configuración de TCP/IP adicionales mediante las opciones DHCP.
Tratamiento eficaz de los cambios de direcciones IP para clientes que deban actualizarse con frecuencia, como los de los equipos portátiles que se trasladan a diferentes ubicaciones de una red inalámbrica.
Reenvío de mensajes DHCP iniciales mediante un agente de retransmisión DHCP, eliminando así la necesidad de disponer de un servidor DHCP en cada subred.
WINS y recursos internos
Los componentes de Windows Server 2003 que requieren resolución de nombres intentarán usar este servidor DNS antes que el anterior servicio de resolución de nombres de Windows, WINS, predeterminado. Si su organización tiene equipos que ejecutan sistemas operativos anteriores a Windows 2000, tendrá que implementar WINS para esos sistemas. Al pasar del nivel básico de optimización de infraestructuras al nivel estandarizado, consolidará el entorno de TI ejecutando sólo dos sistemas operativos como mucho. Reemplazará los sistemas anteriores y estandarizará los sistemas operativos más recientes, eliminando la necesidad de WINS en su organización.
Fase 4: Implementación
El objetivo de la fase de implementación es implementar las tecnologías seleccionadas para habilitar los servicios de red básica necesarios para la resolución de nombres. Para obtener información detallada acerca de la implementación de DNS y DHCP, consulte la orientación Implementación de servicios de red que se encuentra en la Guía de implementación de Windows Server 2003.
Más información
Para obtener más información acerca de DNS, vaya a http://technet2.microsoft.com/WindowsServer/f/?en/library/54375efb-2192-49b7-a823-57c08c6cc06c1033.mspx.
Para obtener más información acerca de DHCP, vaya a http://technet2.microsoft.com/WindowsServer/f/?en/library/85add012-1c2c-41bb-b1ae-11bc07485ee31033.mspx.
Para obtener más información acerca de WINS, vaya a http://technet2.microsoft.com/WindowsServer/f/?en/library/0bef84d9-dafe-4fa8-9e70-fb4f56f1af971033.mspx.
Punto de control: Servicios de red básica administrados de manera interna (DNS, DHCP, WINS)
|
Requisitos |
|---|---|
Implementación de servicios DNS en servidores u otros dispositivos dentro de la organización. |
|
|
Implementación de servicios DHCP en servidores u otros dispositivos dentro de la organización. |
|
Implementación de servicios WINS para sistemas operativos anteriores en servidores u otros dispositivos dentro de la organización. |
Si ha llevado a cabo el paso indicado anteriormente, su organización cumple el requisito mínimo del nivel estandarizado para servicios de red básica administrados de manera interna (DNS, DHCP, WINS).
Le recomendamos que siga los procedimientos recomendados adicionales para firewalls que se tratan en las Guías de implementación de servicios de red de la Arquitectura de referencia de Windows Server System.
Ir a la siguiente pregunta de autoevaluación.
Requisito: Supervisión de disponibilidad para servidores críticos
Destinatarios
Lea esta sección si no supervisa un 80 por ciento o más de los servidores críticos.
Introducción
La eficacia y productividad de la infraestructura informática de la organización depende de la disponibilidad continua de los servidores críticos, como los servidores DNS, DHCP, de archivos e impresión y de correo electrónico. Es necesario establecer directivas y procedimientos para supervisar estos servidores con el fin de identificar lo antes posible la disminución del rendimiento o las interrupciones del servicio. Existe software para automatizar esta supervisión y enviar alertas a las personas pertinentes, de modo que puedan tomar medidas correctivas.
Fase 1: Evaluación
En la fase de evaluación de la supervisión de disponibilidad de servidores críticos, la organización debe hacer inventario de todos los servidores de la infraestructura de la organización. Puede identificar de forma manual los servidores y especificaciones o bien usar una herramienta para automatizar el proceso de inventario, como la función de recopilación de inventarios de Systems Management Server (SMS) 2003.
Fase 2: Identificación
Después de haber inventariado todos los servidores, la fase de identificación es principalmente un establecimiento de prioridades de servidores y una clasificación de los servidores lo suficientemente importantes para precisar la supervisión de disponibilidad. Las prioridades de los servidores deben establecerse según la repercusión de su no disponibilidad en el negocio o en las operaciones. Por ejemplo, un servicio de mensajería puede ser el elemento troncal de funcionamiento; en ese caso, la supervisión no sólo debe abarcar el servidor de correo electrónico, sino también los controladores de dominio y cualquier otro servidor necesario para el servicio.
Fase 3: Evaluación y planeación
La fase de evaluación y planeación contempla los requisitos de la supervisión de disponibilidad de los servidores para los servicios críticos definidos. En esta fase se evalúan las opciones tecnológicas y se decide qué solución implementar, probar y planear para la implementación.
El primer paso previo a la evaluación de una solución tecnológica es establecer lo que se necesita supervisar y derivar un modelo de estado. El modelo de estado define lo que significa para un sistema o servicio ser correcto (funcionar en condiciones normales) o ser incorrecto (presentar errores o rendimiento reducido) y las transiciones de entrada y salida de estos estados. Se necesita una buena información del estado de un sistema para el mantenimiento y diagnóstico de los sistemas en ejecución. Para obtener más información, consulte Supervisión y control de servicios de Microsoft Operations Framework.
Administración de la disponibilidad
La administración de disponibilidad se ocupa del diseño, la implementación, la medición y la administración de la disponibilidad de la infraestructura de TI con el fin de garantizar que se cumplan coherentemente los requisitos empresariales especificados para la disponibilidad. La administración de disponibilidad puede aplicarse a los servicios de TI definidos como funciones críticas del negocio, aunque no exista ningún contrato de nivel de servicio, como es común en el nivel estandarizado de optimización. Para obtener más información, consulte Administración de disponibilidad de Microsoft Operations Framework.
Software de supervisión
En esta sección se muestra cómo se puede usar software para supervisar la disponibilidad de los servidores críticos. En este ejemplo, Microsoft® Operations Manager (MOM) se usa en su función de supervisión. El software para la supervisión de la disponibilidad debe tener la siguiente funcionalidad:
Capacidad de recopilar la información de atributos del servidor y aplicar reglas específicas para supervisarla en función de sus atributos.
Capacidad para obtener datos de registros de eventos y otros proveedores de la manera definida por algunas reglas específicas.
Capacidad para recopilar datos de rendimiento basados en contadores de rendimiento.
Capacidad para generar alertas basadas en criterios especificados en reglas.
Respuesta a eventos
Puede usar los datos de supervisión para cuantificar, evaluar y mantener un alto nivel del servicio de TI. Este nivel de servicio se basa en:
Disponibilidad: supervisar la disponibilidad de los servidores mediante la comunicación con ello para asegurarse de que estén ejecutándose.
Rendimiento: supervisar los contadores de rendimiento para asegurarse de que los servidores estén ejecutándose dentro de unos parámetros aceptables.
Capacidad: supervisar la capacidad del disco y realizar análisis y planeación de la capacidad.
Reconocimiento de errores: identificar errores o condiciones que repercutan en los tres aspectos anteriores de los niveles de servicio.
Para obtener información acerca del establecimiento de objetivos de disponibilidad, vaya a https://technet.microsoft.com/en-us/library/a4bb7ca6-5a62-442e-86db-c43b6d7665a4.aspx.
Datos de supervisión
Durante la supervisión de los servidores, se generan datos y éstos se almacenan en una base de datos. La supervisión produce cuatro tipos de datos: datos de evento, datos de rendimiento, datos de alerta y datos de detección.
Datos de evento
Los servidores administrados registran eventos en los registros de eventos locales (aplicación, seguridad y sistema). MOM, por ejemplo, recopila la información de eventos de esos registros. Los datos de evento recopilados se pueden usar para:
Generar informes mediante el servidor de informes y la base de datos de informes.
Proporcionar un contexto para los problemas que se detectan (en forma de alertas).
Proporcionar información acerca del estado del equipo, que se deriva al correlacionar datos de los eventos de consolidación o de los eventos que faltan.
Datos de rendimiento
Los datos de rendimiento numéricos se recopilan de orígenes como los contadores de rendimiento de Windows y el instrumental de administración de Windows (WMI, Windows Management Instrumentation). Los datos de rendimiento recopilados se pueden usar para:
Ver los datos de rendimiento en la consola del operador en diferentes formatos, como formularios, listas y gráficos.
Generar informes mediante el servidor de informes y la base de datos de informes.
Identificar traspasos críticos del umbral que pueden indicar problemas de rendimiento.
Datos de alerta
Los datos de alerta representan un problema que se detecta en los servidores administrados. Los datos de alerta contienen la siguiente información acerca de los servidores administrados:
El tipo de entidad al que se refiere el problema. Esto se describe como tipo de detección de servicio.
La entidad a la que se refiere el problema.
La gravedad del problema.
Nombre, descripción, estado del problema, número de alertas y estado de resolución.
Las alertas son indicadores que informan al usuario acerca del estado de los equipos administrados. Las alertas proporcionan también la base para la supervisión de estado.
Actualizaciones de alertas
Los datos de alerta se almacenan en la base de datos y se actualizan constantemente a medida que se recopila la información del servidor que generó la alerta. De nuevo, usando MOM como ejemplo, cuando se detecta un problema, se genera una alerta. La alerta se inserta en la base de datos como alerta que representa un problema nuevo. Si MOM detecta que el problema ha desaparecido, genera otro elemento de alerta para actualizar el estado de problema de la alerta original. Si fuera el caso, el estado del problema de la alerta existente en la base de datos se actualiza y marca como resuelto. Aún así, la alerta debe confirmarse resolviéndola.
Supresión de alertas
La supresión de alertas es el mecanismo para especificar las alertas que deben considerarse problemas únicos. Como parte de la definición de regla que genera la alerta, se definen campos de supresión de alertas. Si la supresión de alertas no se ha establecido, cada nueva alerta que genera el tiempo de ejecución de MOM se trata como un problema nuevo. Los campos de supresión de alertas se usan para especificar las propiedades de alerta, cuyos valores deben ser idénticos si dos alertas representan el mismo problema.
Datos de detección
Los datos de detección contienen una instantánea de las entidades detectadas para un determinado ámbito. A diferencia de los demás datos operativos, los datos de detección no se presentan directamente al usuario. Los datos de detección se presentan como diagramas de topología, atributos de equipo, listas de servicios o listas de equipos.
Fase 4: Implementación
Después de haber definido los servicios críticos para la supervisión, haber determinado los dispositivos necesarios para el servicio, haber desarrollado un modelo de estado y evaluado el software de supervisión apropiado para las necesidades de la organización, es el momento de implementar la solución de supervisión de disponibilidad.
Si la organización ha seleccionado Microsoft Operations Manager como tecnología para llevar a cabo la supervisión de disponibilidad de los sistemas, dispone de orientación detallada para la implementación en la Guía de implementación de MOM 2005 en Microsoft TechNet.
Operaciones
El objetivo de las operaciones es administrar las actividades del proceso de administración de disponibilidad para los servidores críticos. El proceso de operaciones debe garantizar que los servicios de TI críticos aporten los niveles de disponibilidad definidos para la organización.
Más información
Para obtener más información acerca de la supervisión de disponibilidad de servidores con MOM, vaya a https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true.
Para obtener información acerca de la funcionalidad adicional para optimizar la supervisión de los servidores mediante MOM, consulte el contenido del Acelerador de solución:
Flujo de trabajo de notificaciones. Flujo de trabajo de notificaciones es una aplicación de servicios de notificación basada en Microsoft® SQL Server™ que puede usarse para ampliar las funciones de notificación de MOM 2005.
Autoticketing. Autoticketing (generación automática de vales) ofrece orientación para la generación automática de vales y habilita la publicación automática de una solicitud (o vale) en el sistema de vales de incidentes (TT, Trouble Ticketing) que se usa para la administración de incidentes.
Solución de ajuste de alertas. El ajuste de alertas ayuda a reducir el volumen de alertas al implementar módulos de administración de MOM 2005.
Continuidad de servicio. La continuidad de servicio ayuda a mantener la disponibilidad del servicio MOM 2005.
Multiple Management Group Rollup. Multiple Management Group Rollup permite a la empresa propagar datos de varios grupos de administración en un almacenamiento de datos para crear informes consolidados y acumulados.
Para ver la forma en la que Microsoft supervisa Exchange Server 2003, visite https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx.
Punto de control: Supervisión de disponibilidad para servidores críticos
|
Requisitos |
|---|---|
Instalación de software de supervisión de disponibilidad como Microsoft Operations Manager (MOM). |
|
|
Supervisión de un 80% de los servidores críticos en cuanto a rendimiento, eventos y alertas. |
Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel estandarizado para la supervisión de la disponibilidad de los servidores críticos.
Le recomendamos que siga los procedimientos recomendados adicionales que se indican en TechCenter de Microsoft Operations Manager 2005 de Microsoft TechNet.
Ir a la siguiente pregunta de autoevaluación.