1.1 ADMINISTRACION DE IP Y RANGO
En este tema se explica cómo utilizar la Consola de administración de Exchange o el Shell de administración de Exchange para agregar direcciones IP a la lista de IP admitidas y a la lista de IP no admitidas para el filtrado de conexión en Microsoft Exchange Server 2007. El agente de filtrado de conexiones es un agente contra el correo electrónico no deseado que está habilitado en equipos que tienen instalada la función de servidor de transporte de bordes.
Las listas de IP no admitidas y de IP admitidas son listas definidas por el administrador que especifican direcciones IP y rangos de direcciones IP sobre las que actúa el agente de filtrado de conexión. El agente de filtrado de conexión desconecta la sesión de Protocolo simple de transferencia de correo (SMTP) después de procesar todos los encabezados MAIL FROM: en el mensaje si las condiciones siguientes son ciertas:
· El servidor de transporte de bordes está conectado directamente a Internet.
· Un dirección IP de origen coincide con una dirección IP o un intervalo de direcciones IP en la lista de IP no admitidas.
Cuando una IP de origen coincide con una dirección IP o un intervalo de direcciones IP de la lista de IP admitidas, el agente de filtro de conexiones envía el mensaje al destinatario, sin que otros agentes contra correo electrónico no deseado realicen ningún otro procesamiento adicional.
También puede especificar un día y una hora en los que expirará la entrada de la lista de IP no admitidas que cree. Si especifica únicamente la hora y no la fecha, se tomará el día actual. Cuando escriba una fecha específica, utilice el formato de fecha abreviado definido en las opciones de Configuración regional configuradas en el equipo local.
Para ejecutar los siguientes procedimientos en un equipo que tiene instalada la función de servidor de transporte de bordes, debe iniciar sesión mediante una cuenta que sea miembro del grupo local de administradores en dicho equipo.
Asimismo, antes de llevar a cabo estos procedimientos, confirme los siguientes aspectos:
· Revise Funcionalidad contra correo electrónico no deseado y antivirus para comprender la estrategia general de configuración de todos los agentes contra el correo electrónico no deseado para que funcionen juntos de forma eficaz en la organización.
· Lea Configurar el filtrado de la conexión (en inglés).
Procedimiento
Los pasos de esta sección hacen referencia específicamente a cómo agregar direcciones IP a la lista de IP no admitidas. No obstante, los conceptos para agregar direcciones IP a la lista de IP admitidas son los mismos que para agregarlas a la lista de IP no admitidas. Puede aplicar las indicaciones a la lista de IP admitidas.
Para utilizar la Consola de administración de Exchange con el fin de agregar direcciones IP a la lista de IP no admitidas
1.En la Consola de administración de Exchange, haga clic en Transporte de bordes.
2.En el panel de trabajo, haga clic en la ficha Contra el correo electrónico no deseado y seleccione Lista de IP no admitidas.
3.En el panel de acciones, haga clic en Propiedades y, a continuación, haga clic en la ficha Direcciones bloqueadas.
4.Haga clic en la flecha desplegable en el botón Agregar y seleccione una de las siguientes opciones:
o Dirección IP Para agregar una dirección IP y una máscara de subred mediante classless interdomain routing (CIDR), utilice el formato siguiente: 192.168.0.1/24.
o IP y máscara Para agregar una dirección IP y una máscara de subred, utilice el formato siguiente: Dirección IP: 192.168.0.1; y Máscara IP: 255.255.255.0.
o Intervalo IP Para agregar un intervalo IP, utilice el formato siguiente: Dirección de inicio: 192.168.0.1; Dirección final: 192.168.0.254.
5.Para configurar una fecha y hora de expiración para la entrada Lista de IP no admitidas, seleccione la opción Bloquear hasta fecha y hora y, a continuación, establezca la fecha y la hora.
6.Para configurar que la dirección IP no expire nunca, seleccione la opción Esta dirección nunca caduca.
Nota: No puede configurar una fecha y una hora de expiración para la lista de IP admitidas en la Consola de administración de Exchange. Utilice el Shell de administración de Exchange para configurar la fecha y la hora de expiración para la lista de IP admitidas
7.Haga clic en Aceptar para cerrar el cuadro de diálogo.
Para agregar direcciones IP a las listas de IP no admitidas e IP admitidas mediante el Shell de administración de Exchange, vea Add-IPAllowListEntry y Add-IPBlockListEntry (en inglés).
Para utilizar el Shell de administración de Exchange con el fin de agregar direcciones IP a la lista de IP no admitidas
· Para agregar una dirección IP a la lista de IP no admitidas e incluir una fecha y hora de expiración, ejecute el comando siguiente:
Copiar código
Add-IPBlockListEntry -IPAddress
Por ejemplo, para agregar la dirección IP 192.168.0.1 e incluir una fecha y hora de expiración, ejecute el comando siguiente:
Copiar código
Add-IPBlockListEntry -IPAddress 192.168.0.1 -ExpirationTime "1/3/2007 23:59"
· Para agregar un intervalo de direcciones IP e incluir una fecha y hora de expiración, ejecute el siguiente comando:
Copiar código
Add-IPBlockListEntry -IPRange
Por ejemplo, para agregar la dirección IP 192.168.0.1 - 192.168.0.254 con una fecha y hora de expiración específicas, ejecute el comando siguiente:
Copiar código
Add-IPBlockListEntry -IPRange 192.168.0.1-192.168.0.254 -ExpirationTime "1/3/2007 23:59"
· Para agregar una dirección IP y una máscara de subred mediante CIDR, ejecute el comando siguiente:
Copiar código
Add-IPBlockListEntry -IPRange
Por ejemplo, para agregar la dirección IP 192.168.0.1 con la máscara de subred 255.255.255.0 mediante CIDR, ejecute el comando siguiente:
Copiar código
Add-IPBlockListEntry -IPAddress 192.168.0.1/24
Para propósitos de este documento las direcciones IP son números binarios de 32 bits que son usados como direcciones en los protocolos IPv4, el cual es utilizado en Internet. Existen tres tipos de direcciones IP.
2.1.1 Direcciones IP públicas
Las direcciones IP públicas constituyen el espacio de direcciones de Internet. Estas son asignadas para ser globalmente únicas de acuerdos a los objetivos que se describirán más adelante en este documento. El principal propósito de este espacio de direcciones es permitir la comunicación usando el IPv4 sobre Internet. Un propósito secundario es permitir la comunicación entre redes privadas interconectadas.
2.1.2. Direcciones IP privadas.
Algunos rangos de direcciones IP han sido reservados para la operación de redes privadas que usan el protocolo IP. Cualquier organización puede usar estas direcciones IP en sus redes privadas sin la necesidad de solicitarlo a algún Registro de Internet. La principal condición establecida para el uso de direcciones IP privadas es que los dispositivos que usen estas direcciones IP no necesiten ser alcanzados desde Internet. Para una descripción más detallada acerca del espacio de direcciones IP privadas, por favor consulte el RFC 1918.
2.1.3. Direcciones IP especiales y reservadas.
Estas son rangos de direcciones IP reservadas para aplicaciones como el multicasting , estas direcciones IP están descritas en el RFC 1112 y para propósitos de este documento están mas allá del contexto del mismo.
2.2.Objetivos de la distribución del espacio de direcciones IP públicas
Es la distribución justa del espacio de direcciones IP de acuerdo a las necesidades operacionales de los usuarios finales que operan redes y que usan este espacio de direcciones IP. Con el fin de maximizar el tiempo de vida de los recursos del espacio de direcciones IP públicas, las direcciones IP deben ser distribuidas de acuerdo a las necesidades actuales de los usuarios finales con lo cual se evita el acumulamiento de direcciones IP sin utilizar.
2.3. El Sistema de registro de Internet
Es la distribución global de las direcciones IP en una forma jerárquica, lo cual permite la escalabilidad del ruteo de las direcciones IP. Esta escalabilidad es necesaria para asegurar una apropiada operación del ruteo en Internet.
2.2.4. Registro
Es el suministro de documentación acerca de las asignaciones y colocaciones hechas en el espacio de direcciones IP. Esto es necesario para asegurar la exclusividad y proveer de información para la localización de errores en Internet en todos los niveles. Es del interés de la comunidad de Internet en general que los objetivos arriba mencionados sean perseguidos. Sin embargo debe notarse que los objetivos de conservación y ruteabilidad son objetivos que frecuentemente generan conflictos. Los objetivos mencionados, pueden algunas veces, estar en conflicto con los intereses de los ISP, NIR o los usuarios finales. En estos casos es necesario realizar un análisis cuidadoso para cada situación en particular para poder alcanzar un compromiso apropiado entre las partes relacionadas en el conflicto.
2.30. El Sistema de registro de Internet
El sistema de registro de Internet ha sido establecido con la finalidad de hacer cumplir los objetivos de exclusividad, conservación, ruteabilidad e información. Este sistema consiste de Registros de Internet (RI) organizados jerárquicamente. Los espacios de direcciones IP son típicamente colocados a los usuarios finales por los ISP o los NIR. Por otra parte estos espacios de direcciones IP son previamente asignados a los NIR e ISP por parte de los Registros Regionales de Internet.
Bajo este sistema los usuarios finales son aquellas organizaciones que operan redes en donde se utilizan los espacios de direcciones IP. Los NIR al igual que LACNIC mantienen espacios de direcciones IP para ser colocados o asignados a usuarios finales o Proveedores de Servicios de Internet. Los espacios de direcciones IP colocados son utilizados para la operación de redes, mientras que el espacio de direcciones IP asignados se mantiene en los Registros de Internet para futuras colocaciones a los usuarios finales.
2.3.1. IANA (Internet Assigned Number Authority)
Este organismo tiene la autoridad sobre todo el universo de espacio de direcciones IP usados en Internet. IANA es la organización responsable de asignar parte del espacio global de las direcciones IP a Registros Regionales de acuerdo a necesidades establecidas.
DIAGNÓSTICO DE LA SITUACIÓN ACTUAL.
2.1 Las redes de área local en el ámbito de la administración
En la actualidad, la implantación de redes de área local como elemento integrador de equipos, aprovechando la capacidad del PC para acceder a entornos diferentes UNIX, VMS, etc., ha motivado que exista un número creciente de redes de área local y aplicaciones funcionando en base a protocolos estandarizados, tipo OSI y TCP/IP, que se apoyan en un direccionamiento abierto (dirección global única).
Datos extraídos de los Informes REINA e IRIA, muestran un crecimiento continuo del número de redes de área local instaladas en el ámbito de la Administración del Estado, siendo éste, a 1.1.95, de 1.729 unidades, lo que representa un incremento del 42% respecto al periodo anterior.
A nivel departamental la distribución de la cuota de puestos de trabajo en RAL tiene un comportamiento variado. Mientras hay Ministerios que superan el 50%, otros presentan tasas especialmente bajas.
Estas cifras, aún alejadas de la media del sector, que se estima entorno al 60%, junto con la migración progresiva de los sistemas de información hacia la adopción de arquitecturas cliente/servidor hacen prever, a medio plazo, un fuerte incremento del parque de RAL y de los equipos que por estar conectados necesitan de una dirección de red.
2.2 Interconexión de redes. Soporte de aplicaciones distribuidas
El grado de interconexión de las redes instaladas en el ámbito de la Administración General del Estado es bajo. Ello ha propiciado que, en cada unidad, el responsable de la aplicación, el administrador de la red o, en muchos casos, la empresa que realizó la instalación, optasen por asignar direcciones siguiendo un criterio propio. De esta forma podemos encontrar dentro del mismo centro directivo, e incluso en un mismo edificio, dos redes que emplean esquemas de direccionamiento diferentes. Este hecho, si se trata de redes aisladas entre sí, no supone ningún problema. Las dificultades se manifiestan en el momento en que se hace necesaria la interconexión de las distintas redes de la organización, no sólo dentro de un edificio, sino a nivel geográfico, típicamente para intercambio de correo electrónico, acceder a recursos compartidos (pe. bases de datos, intercambio de ficheros) o acceder a servicios Internet, necesidad ésta de creciente interés para un buen número de Centros y personal de la Administración.
La interconexión de redes y la puesta en marcha de servicios de información compartidos requieren de unas normas establecidas que especifiquen como han de ser los procedimientos de asignación de direcciones, como se ha de realizar la gestión de encaminamiento y que medidas de seguridad hay que adoptar para garantizar el correcto funcionamiento del sistema resultante y su protección frente a accesos no autorizados.
2.3 Acceso a Internet
Internet es una gran red mundial que se ha formado a partir de la conexión de miles de redes, ubicadas en más de 100 países, que se comunican mediante protocolos TCP/IP. Desde su creación, a finales de los años 70, por el Departamento de Defensa de los Estados Unidos, su ritmo de crecimiento ha sido tan importante que actualmente conecta a más de un millón de máquinas, lo que representa, según diversas estimaciones, por encima de los 35 millones de usuarios.
Si bien Internet ha estado tradicionalmente asociada con los sectores Académico y de Investigación, está despertando un interés creciente en los centros de la Administración como medio para potenciar la difusión de información de titularidad pública entre los ciudadanos y el sector empresarial.
El acceso a Internet por parte de cualquier organización plantea dos problemas fundamentales:
Escasez de direcciones: Se ha establecido una férrea disciplina por parte de los Centros de Información de Red que limitan el número y clase de direcciones que se asignan a las organizaciones que desean conectarse.
Problemas de seguridad: Toda máquina conectada directamente a Internet pasa a estar en un dominio público y a expensas de posibles accesos no controlados. Un simple fallo en un nodo conectado a la red puede poner en serio peligro la seguridad de toda la organización.
Por la escasez de direcciones y otros motivos relacionados con el soporte de aplicaciones multimedia en tiempo real, en el seno de la Comunidad Internet, se ha especificado un nuevo protocolo, conocido por IPv6 que ha de substituir al actual Ipv4. Ya existen algunos productos comerciales que implementan este nuevo protocolo pero su adopción de forma generalizada aún tardará algunos años.
En el seno de la Comunidad Internet se elaboró en marzo de 1994 la RFC 1597. En dicho documento se describe un método para preservar el espacio de direcciones IP, por el cuál sólo se asignan direcciones únicas a aquellos ordenadores que la organización desea que sean públicos, mientras que a aquellos otros que, por razones operativas, típicamente asociadas con la privacidad y seguridad de los sistemas de información, se desea mantener privados adoptan un esquema de direccionamiento válido sólo a nivel interno, pero garantizando la conectividad entre todos los ordenadores de ambos grupos entre sí mediante el empleo de las pasarelas adecuadas.
Para ello, la Autoridad de Asignación de Números (IANA) ha reservado los siguientes tres bloques de direcciones del espacio de direccionamiento IP para redes privadas.
RANGO
CLASE
NÚMERODE BITS
NÚMERO DEDIRECCIONES
10.0.0.0 - 10.255.255.255
A
24
1
172.16.0.0 - 172.31.255.255
B
20
16
192.168.0.0 - 192.168.255.255
C
16
255
Tal como se señala en la RFC, una organización que decida utilizar una dirección IP fuera del espacio de direcciones mostrado podrá hacerlo, pero ello le puede acarrear problemas futuros en el caso de que posteriormente decida conectar algunos de sus ordenadores a Internet ya que los algoritmos de encaminamiento IP no son capaces de resolver los problemas que se crean cuando existen direcciones duplicadas. Fenómeno que se produce cuando una organización decide utilizar internamente direcciones oficiales que Internet ya tiene asignadas a ordenadores de otras organizaciones.
El empleo de las direcciones propuestas tiene además la ventaja de que los nodos de Internet no encaminan paquetes de datos en cuyas cabeceras aparecen éstas, lo cual proporciona un mayor grado de seguridad frente a posibles accesos externos no autorizados.
No hay comentarios:
Publicar un comentario