[HACK] Caos informático

Victor Roman daijo at unixevil.info
Sat Jun 18 16:59:27 CEST 2005 

Buenas,

>Primero me presento. Me llamo Jorge y acabo de empezar a trabajar en
>una empresa como técnico y administrador de sistemas.
>  
>
bienvenido y suerte como BOFH (acabaras divirtiendote mucho [1]) :-).

>Lo primero que me he encontrado es un CAOS muy importante, la red no
>tiene estructura alguna (un router asiga ip dinámicamente con DHCP y
>ya está), unos equipos tienen win98, otros XP (home y profesional),
>otros win2000... están comidos de basura, las impresoras están
>desparramadas y compartidas sin sentido, carpetas compartidas a
>diestro y siniestro... todos los usuarios y departamentos tiene 
>acceso a toda la información.
>  
>
Por lo que cuentas, es un entorno unico basado al 100% en Windows, 
¿estoy en lo cierto? Mi respuesta a continuacion se basa en soluciones 
libres, pero los conceptos los podras aplicar a esta plataforma 
utilizando el software adecuado.

>En fin, la cuestión es que necesito consejo. Lo primero que voy a
>hacer, para poner un poco de orden en la red, es configurar un
>servidor de dominios, posiblemente en un win2000 advanced server o
>bien un 2003. ¿tenéis alguna preferencia?
>  
>
Actualmente en una red que administro, la centralizacion de usuarios en 
directorio la realizo mediante OpenLDAP [2] (ActiveDirectory es una 
implementacion LDAP con extensiones de Microsoft (*1)) y Samba con 
soporte LDAP. Samba lo utilizamos para la comparticion de archivos, 
carpetas e impresoras desde clientes Windows y Linux por toda la red 
local (si bien estos ultimos con CUPS [3] no tienen mayor problema :-).

La gestion de direcciones IP internas mediante el servidor DHCP de ISC 
[4], reservando 150 IPs para el dhcp dinamico y 50 para el estatico. 
Este dhcp estatico lo hacemos en torno a la direccion MAC de algunos 
equipos que tenemos y es necesario que no varien. El mismo DHCP asigna 
un DNS interno que resuelve los nombres a direcciones del tipo 
'servidor.intranet.empresa.tld', facilitando a los empleados el recordar 
los nombres en lugar de su direccion IP estatica.

El filtro de contenidos se realiza mediante Squid [5] y SquidGuard [6]. 
Squid es principalmente utilizado como proxy-cache transparente 
(utilizando una regla en IPTables en el cortafuegos) y permitiendo 
acceso a unos u otros empleados en funcion de la hora y el dia a sitios 
web (por ejemplo, alguien que mira 40 veces al dia Slashdot en 6 horas, 
lo tiene permitido a partir de las 20:00 de la tarde, fin de dia 
laboral). Del mismo modo aseguramos que el ancho de banda entrante 
(2Mbps) este mas repartido al tener cacheados archivos grandes 
principalmente. Mediante SquidGuard denegamos el acceso el acceso a 
diversos sitios, tipo playboy.com (por mucho mirror.playboy.com que 
haya) y a otro centenar que puede ser encontrado en una lista negra [7]. 
Podrias utilizar LDAP con Squid para autenticar el Proxy.

Como no permitimos a nadie acceder desde la direccion publica de 
Internet a su maquina interna, la solucion paso por utilizar OpenVPN 
[8]. Mediante ello (y un tunel) el usuario se conecta a la VPN con una 
direccion local de la misma.


*1: Actualmente RedHat ha liberado bajo el subproyecto Fedora una 
implementacion de LDAP muy efectiva y consistente [9].

[1] http://www.bofhers.org/
[2] http://www.openldap.org/
[3] http://www.cups.org/
[4] http://www.isc.org/sw/dhcp/
[5] http://www.squid-cache.org/
[6] http://www.squidguard.org/
[7] http://www.squidguard.org/blacklist/
[8] http://openvpn.net/
[9] http://directory.fedora.redhat.com/

>Y ahora viene el tema de los equipos de los trabajadores. Es evidente,
>que en el momento en que sepa qué hace cada uno y demás, voy a
>intentar homogeneizar el sistema con el que trabajan. Esta es duda
>¿Win2000 o XP? ¿qué ventajas e inconvenientes véis en uno u otro
>sistema? Tanto a nivel funcional para el usuario como a nivel de
>administración, para mí.
>  
>
En caso de utilizar un Windows, centraliza todo en el PDC (Primary 
Domain Controller), sea samba o active directory. La cuenta de 
administrador no *deberia* estar disponible para ellos, dandoles acceso 
a una cuenta de usuario limitada a lo que realmente necesiten; esto te 
ahorrara muchos dolores de cabeza en el futuro (y bastantes 
reinstalaciones tambien). A nivel de diferencias no te puedo comentar 
casi nada, solamente los utilizo para desarrollar y no aprecio nada que 
me imposibilite hacer mi trabajo en uno u otro. Para mas detalles, 
corren Visual Studio .NET (2003 y 2005 beta) y Eclipse; Con perfecto 
rendimiento ambos.

>Muchas gracias por todo.
>  
>
Espero que te haya servido para algo el email, en esta lista hay gente 
con muchisimos conocimientos que te daran mas respuestas aun para 
determinar la solucion mas optima para tu caso.

Un saludo,
    -- Victor Roman Archidona <daijo at unixevil.info>
    -- http://www.unixevil.info/~daijo/descargas

More information about the hacking mailing list