LA RED, MÁS QUE UNA DE ADMINISTRACIÓN · Se consiguen enormes velocidades de transferencia de...

LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO

DE ADMINISTRACIÓN

FUNDACIÓN PARA LA EDUCACIÓN SUPERIOR SAN MATEO

2010

Giovanna Albarracin Niño

SNIFFERSComo se detecta un Sniffer en el Sistema con el Sistema Operativo Linux

LOS DISPOSITIVOS EN LA ADMINISTRACIÓNRedes LANBridgeSegmentación de una LANSegmentación con BridgeConmutaciónBridge TransparenteIntroducción al Protocolo de Árbol de ExpansiónEstados de STP

BRIDGE EN LINUXIniciosSoftwareBRCFGConfiguración del Puente

ADMINISTRACIÓN DE TRÁFICO DE REDComprender el Filtrado de Paquetes Configuración de las ACL

VPN

CALIDAD DE SERVICIO QoS

SEGURIDAD DEL SISTEMA

BIBLIOGRAFÍA

CIBERGRAFÍA

LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO

DE ADMINISTRACIÓN

61

67

62

67 67 70 71 72 73 76 78

79 79

81 81 87

95 96 97

99

105

107

103

109

INTRODUCCIÓN

ADMINISTRACIÓN DE REDESConceptoEstructura en la Administración de RedesRendimiento de una RedDetección de Fallas Localización de FallasMecanismos de Seguridad

ADMINISTRACIÓN A PARTIR DE LA IPSegmentación Lógica de Red

ADMINISTRACIÓN BÁSICA DE LA REDHelp DeskSolución de Problemas MecánicosPasos para realizar una Revición de FallasSoporte al Hardware

CONCEPTOS BÁSICOS DE REDESTipologías de RedDispositivos de Interconexión

Catalogación en la publicación Fundación para la Educación Superior San Mateo

Tipologías y dispositivos de la red - Estructura, detección de fallos y mecanísmos de seguridad en las redes - Administración y segmentación de la red - Solución y soporte al Hardware - Sniffer en el sistema con el sistema operativo Linux - Los dispositivos en la administracion - Bridge y su configuración - Configuración ACL - VPN - QoS - Seguridad

del sistema.

109 pgs.

ISBN: 978-958-98600-9-0

© FUNDACIÓN PARA LA EDUCACIÓN SUPERIOR SAN MATEO© Giovanna Albarracin NiñoPrograma Facultad de Ingenierias y afines

ISBN 978-958-98600-9-0

Concepto gráfico y propuesta de portadaGonzalo Garavito Silva.DiagramaciónMaría Fernanda Garavito Santos. Impresión FOCO Ediciones Bogotá - Colombia

Sello Edit. Fundación para la Educación Superior San Mateo (958-98600)

Todos los derechos reservados. Bajo las sanciones establecidas en las leyes, queda rigurosamente prohibida, sin autorización escrita de los títulares del copyright, la reproducción total o parcial de esta obra por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático.

11

29

51

53

CONTENIDO

9

1118

29 30 33 49 49 49

51

53 53 54 54

1212 99LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

En el proceso de la comunicaciones el concepto de red es uno de los que ha presentado una mayor cantidad de generalidades debido a los diferentes enfoques que se tienen frentes a este punto. La red sea considerada una Intranet, extranet, Internet, o una arquitectura definida debe tener estructurada principios mínimos como es el medio sobre el cual se realiza la transmisión, la forma como se envía la información, la arquitectura y el modelo de interconexión de cada uno de los elementos.

Las LAN son redes de datos de alta velocidad y bajo nivel de errores que abarcan un área geográfica relativamente pequeña, conectan estaciones de trabajo, dispositivos periféricos, terminales y otros dispositivos. La combinación de estaciones de trabajo poderosos y las aplicaciones que hacen uso intensivo de la red han creado la necesidadde manejar mayores niveles de ancho de banda y elementos de mayor eficacia de transmisión. La transmisión de archivos gráficos, imágenes, videos con movimiento y aplicaciones de multimedia puede traer como resultado tiempo de respuesta mas lentos y usuarios de red menos productivos debido a los retardos de red.

Para aliviar la congestión de red, se necesita más ancho de banda o bien una mejor administración para utilizar una estructura actual de una empresa con mayor eficiencia.

INTRODUCCIÓN

En esta topología se identifican las siguientes características

Canal de comunicación en línea recta. Común y simple. Económica. Cada host reconoce la información. Canal único, es conocido como backbone. Transmite un host a la vez. Maneja señales en forma electrónica. El número de computadores van a afectar el rendimiento de la red. Afecta tipo de cable y distancia entre computadores. Los datos viajan de una punta del cable a otra. Se colocan terminadores de señales. Cada nodo tiene una identificación. Es posible unir varios segmentos de buses en configuración multibus,

siendo necesario la utilización de repetidores. Difusión por broadcast.

Su proceso de expansión se realiza a través de dos elementos principales:

BARRIEL: Conector que sirve para unir dos cables, la señal se atenúa. REPETIDOR: Une los cables y aumenta la señal.

Se puede hablar de ventajas como:

Facilidad de añadir estaciones. Grandes anchos de banda. Económica. Cable mínimo. Fácil manejo.

Igualmente se pueden identificar las siguientes desventajas

El tiempo de acceso disminuye según el número de estaciones.

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

1010 1111

Un aspecto que es trabajado muy tácitamente dentro de una red pero de vital importancia es el proceso de administración, debido a que este permite que la estructura implementada cumpla su funcionalidad con mayor eficacia y velocidad.

TOPOLOGÍAS DE RED

Cuando se habla de topologías (topos = lugar) directamente se hace referencia a la distribución física, ubicación, disposición. Describe la configuración o manera que está constituida la red. Existen cuatro topologías físicas básicas de las cuales se derivan topologías hibridas que permiten garantizar la transmisión en arquitecturas y espacios muy específicos

TOPOLOGÍA BUS

CONCEPTOS BÁSICOS DE REDES

LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

Topología de bus

1616 1313LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

! A mayor número de host es más lento.! La distorsión afecta a toda la red.! La rotura del cable principal afecta a toda la red.! Tráfico y colisiones.! En el cable central se puede formar cuello de botella.! Difícil aislamiento de problemas.

TOPOLOGÍA ESTRELLA

Algunas características de esta topología son:

! Los cables son conectados a un dispositivo central.! Procesos centralizados.! Fácil trafico.! Gran cantidad de cable.! Se consiguen enormes velocidades de transferencia de datos.! Antigua y flexible.! Común en redes cliente/servidor.! El daño en el dispositivo produce la perdida de la señal.! Todas las señales deben pasar por un nodo central.! El nodo central reconoce a quien va dirigida las señales.

! Las distorsiones afectan la red! Para la instalación de un nodo se debe interrumpir el funcionamiento de la red.! La velocidad de respuesta ira decreciendo conforme el flujo de información sea mayor.

TOPOLOGÍA MALLA

Entre las características que tiene la topología malla se encuentran

! Las computadoras están interconectadas por medio de un tramado de cables.! Independencia.! El flujo de la información depende de las características de la malla.! Las estaciones se conectan mediante enlaces bidireccionales.

A nivel de ventajas podemos evidenciar

! Ofrece redundancia.! Camino alternativos.

Pero esta topología presenta las siguientes desventajas

! Poco económica

Topología en estrella

Topología en malla completa


! Control centralizado.! Máximo 1024 nodos.! Fiabilidad y facilidad.

Algunas ventajas que se pueden identificar en este tipo de topología son:

! Estructura simple.! Cada PC es independiente.! Fácil conexión.! Óptimo para aplicaciones de gran procesamiento.! Si falta una PC no afecta la red.! Económica instalación de un nodo.

Igualmente esta topología tiene desventajas, las mas evidentes son:

! Limitación en rendimiento.! El funcionamiento depende del servidor central.! No es una topología adecuada para grandes instalaciones.

TOPOLOGÍA ESTRELLA EXTENDIDA - HÍBRIDA

Una estrella extendida tiene un nodo central un dispositivo de interconexión que a su vez une dispositivos de interconexión entre si, cada uno de sus finales actúa como centro de cableado.

TOPOLOGÍA ANILLO

Entre sus características se encuentran:

! Un solo cable.! La señal pasa por un PC a otro.! La computadora funciona como repetidor que mejora la señal.! Arquitectura sólida.! Cada nodo esta conectado a otros dos nodos sobre el mismo enlace.! Un nodo controla el flujo de la señal en el anillo.! El flujo es unidireccional.

Entre las ventajas que se pueden tener con esta topología se encuentra

! Acceso equitativo para todas las computadoras.! Rendimiento no decae.! Fácil expansión.! Apropiada para el entorno industrial.! Costo menor.

Las desventajas de esta topología son:

! Si falla un equipo altera la red

Topología en anillo


! Control y administración demasiado compleja.! Mayor cantidad de información.! Mantenimiento complejo.! Mucho cableado.! Muy costosa.

TOPOLOGÍA ÁRBOL - HÍBRIDA

Entre sus características tenemos:

! Es similar a la estrella extendida.! No tiene nodo central.! Tiene un nodo de enlace troncal desde el que se ramifican el resto de Nodos.! Combina características de estrella con bus.! Facilitan el crecimiento.! Si se viene abajo el segmento principal se “cae la red”.! Difícil configuración.

TOPOLOGÍA ESTRELLA ANILLO - HÍBRIDA

mas modernos 16, las señales sufren de atenuación, una red utilizando UTP categoría 3 alcanza hasta 72 nodos.

REPETIDOR: Solución barata que permite a una red alcanzar los usuarios que están lo suficientemente alejados, amplifican la señal, trabajan en una topología bus, redes de broadcast, incrementa el número de nodos, posee entradas para diversos tipos de cable, puerto especial llamado interfaz de conexión para conectarse a una red troncal de cable coaxial o fibra óptica, limita la posibilidad de alta velocidad, puede representar un cuello de botella, se tiene en cuenta la norma 5-4-3.

CONCENTRADOR O HUB:Punto central de conexión, los equipos conectados a un mismo concentrador son miembros de una LAN y comparten el ancho de banda, repite las señales de entrada a todos los equipos, posee herramientas de administración y monitoreo, concentra y distribuye el tráfico, resuelve problemas de longitudes máximas de segmentos de


! Se utiliza para facilitar la administración de la red.! La red es una estrella centralizada en un concentrador (MAU), mientras que a nivel lógico, la red es un anillo.

TOPOLOGÍA ANILLO DOBLE - HÍBRIDA

Dos anillos concéntricos que no están conectados.El segundo anillo crea redundancia.

DISPOSITIVOS DE INTERCONEXIÓN

Algunos dispositivos de interconexión son:

TARJETA DE RED O NIC: Placas dentro del PC, toman su alimentación de la board, los dos tipos mas comunes de tarjeta de red dependiendo del bus son: ISA (arquitectura normas industriales) 14 cm, PCI (interconexión componente periférico) de mayor rendimiento y aproximadamente de 9 cm. Tiene un número identificador único en el mundo llamado MAC. En el caso de un portátil es necesaria una tarjeta PCMCIA y utiliza una interfaz USB.

Son 8 las funciones de la NIC: 1. comunicaciones host tarjeta, 2.Buffering,

3.Formación de paquetes, 4.conversión serial a paralelo, 5.codificación y decodificación, 6. acceso al cable, 7.saludo, 8. transmisión y recepción.

MODEM: Convierte las señales digitales y analógicas en una forma adecuada para transmitir, permiten la transmisión a través de línea telefónicas de voz, modula y demodula señales electrónicas, pueden ser externo o interno, no trabaja anchos de banda específicos.

MULTIPLEXORES: Dispositivos que pueden recibir varias entradas y transmisión a un medio de red compartido, es llamado también conmutador, troza el tiempo de ancho de banda en franjas llamadas canales, conectando a un solo cable, para dividirlo en canales y circuitos virtuales.

MAU: (unidad de acceso multiestación) actúa como concentrador en una arquitectura token ring, conecta estaciones de trabajo en anillo a través de una estrella, mueve el token y los paquetes por el anillo, amplifican señales de datos: La MAU mas básica tiene conexiones 8 y los

Anilloprincipal

Anillosecundario


red, el número máximo de cascada es 4, posibilitan la comunicación a alta velocidad, administración centralizada, permiten estructurar el cableado, alto nivel de broadcast y colisión, utilizado en topología estrella. pueden ser: ACTIVO, PASIVO, NO APILABLES, APILABLES, INTELIGENTES y DUAL

PUENTE:Conecta dos segmentos a la vez, interconecta grupos de usuarios, se basa en la MAC, troza el ancho de banda, trabaja en topología estrella, restringen tráfico de un segmento a otro, separación física y lógica del tráfico, amplían una red de área local, todos los puentes trabajan en modo promiscuo, construye tablas, protocolos de bajo nivel.

SWITCH:Conmuta paquetes suministrando a cada paquete ancho de banda total, puede trabajar a diferentes velocidades, reenvía teniendo en cuenta la MAC, segmenta dominios de colisión, gran ancho de banda, se puede pensar en cada puerto como un micropuente, trabaja en

paquetes que alternadamente se van a difundir y de esta forma permitir el acceso en forma equitativa a todos los equipos de una red.

El Protocolo IP (Internet Protocol)Ip es el protocolo que permite la conexión de redes físicamente diferentes en una red aparentemente homogénea, lo cual permite la interconexión de redes, y a la comunicación óptima de internet.

El manejo del protocolo de internet se realiza mediante la utilización de esquemas de direccionamiento indicados mediante una secuencia de números debidamente estructurados. Para garantizar el manejo de la gran nube, en la actualidad existen en utilización dos versiones de este protocolo IPv4 e IPv6 las cuales presentan múltiples diferencias, dentro de las más evidentes la sintaxis de las mismas.

La dirección IPv4 se caracteriza por manejar 32 bits organizados en 4 octetos, los cuales permiten manejar rangos de direccionamiento y clasificación de los mismos.

La siguiente tabla permite relacionar el modo de trabajo de las direcciones IPv4 y los rangos de asignación de las mismas.


topología estrella, se denomina puente multipuerto, concentra conectividad, reduce colisiones, inundan el trafico por medio de la MAC.

ROUTER:Selecciona ruta y conmuta paquetes, soporta protocolos de enrutamiento, esquema de direccionamiento, técnicas de enrutamiento, se basa en la dirección lógica, proporciona flexibilidad, dirige redes adaptándola a cambios, une redes distantes, envían paquetes por los caminos de menos tráfico, limita broadcast.

BROUTER: Dispositivo que actúa como puente y enrutador, maneja paquetes en forma eficiente en una red multiprotocolo, aísla y dirige el tráfico de red, asegura el control de acceso a la red, conocido como enrutador multiprotocolo, soluciona problemas de interconexión.

TROUTER: Combinación de router con un servidor de terminales, permite a pequeños grupos de trabajo conectarse a wan, direccionamiento lógico, puede causar degradación en el tiempo de respuesta.

GATEWAY: Interconectan redes con protocolos y arquitecturas diferentes, convierte protocolos, convierte el formato de mensajes, dirige correo electrónico, reduce velocidad, cambia tipos de direccionamiento.

Redes TCP/IP Debido a la gran demanda en el trabajo de red, es importante tener en cuenta la recursividad a la misma por parte de todos los usuarios. Una de las ventajas al trabajar redes de datos es optimizar su funcionalidad teniendo en cuenta los paquetes de información, el cual se puede definir como un pequeño fragmento de información que se transfiere de una máquina a otra en la red. El manejo compartido de una red basada en la transferencia de paquetes permite definir la conmutación de paquetes, que no es otra cosa, que permitir que muchos usuarios envíen a la red

2525LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

La primera columna indica las clases en las cuales se dividen las dirección IPv4, el prefijo hace referencia a la forma como se indicaron los rangos, esto es se toma el primer octeto (el orden va de izquierda a derecha) y el bit de mayor peso se asigna un número fijo, ejemplo para el caso de la dirección clase A el primer bit del primer octeto siempre estará en 0, esto permite manejar los siete bits restantes ubicando 0 y 1 dando el rango de trabajo para cada clase.

La utilización de los octetos permite observar cuales octetos definen una red y cuales brindan el espacio de host, tomando como ejemplo la clase A se puede definir que el primer octeto maneja red y los tres siguientes octetos los host, esto permite construir las direcciones IP de la siguiente forma.

CLASE PREFIJOSRANGOEN BINARIO

RANGOEN DECIMAL

UTILIZACIÓN DE LOSOCTETOS

MÁSCARA DE RED

MÁSCARA REDUCIDA

A 0

0000000001111111

0 - 127 R.H.H.H 255.0.0.0 /8

/16255.255.0.0R.R.H.H128 - 191

1000000010111111

10B

C 110

1100000011011111

192 - 223 R.R.R.H 255.255.255.0 /24


RANGO DIRECCIONES CLASE A: 0 - 127UTILIZACIÓN DE OCTETOS: R.H.H.HDIRECCIÓN DE RED CLASE A (ejemplo) 45.0.0.0DIRECCIÓN DE HOST CLASE A (ejemplo) 45.0.0.4MÁSCARA 255.0.0.0

Observe la dirección de red el primer digito 45 se encuentra dentro del rango de esta clase (0 - 127), e indica la red la cual se trabajará. Los tres siguientes dígitos que teniendo en cuenta la utilización de host esta en 0 esto define que se construyó una dirección de red (la dirección de red es aquella de identifica un conjunto de equipos). Cuando se coloca una dirección a cualquier elemento o dispositivo de red es importante tener en cuenta que se debe asignar una dirección de host al mismo (esta dirección hace referencia a que el espacio que se encuentra en Host dentro de la utilización, debe tener como mínimo un octeto diferente a 0 para identificar el equipo).

La máscara de red hace referencia a la identificación por parte del equipo de los octetos que pertenecen a red y los que pertenecen a host, ya que el número 255 cuando se pasa de decimal a binario da como resultado ocho bits en 1. El equipo realiza una operación and lógica entre la dirección colocada al equipo y la máscara y el resultado que entrega permite identificar la red.

Puertos Lógicos

Los puertos se pueden ver como puntos de anclaje para conexiones de red. Si una aplicación quiere ofrecer un cierto servicio, se engancha ella misma a un puerto y espera a los clientes (a esto también se le llama escuchar en el puerto). Un cliente que quiera usar este servicio se asigna un puerto libre en su nodo local, y se conecta al puerto del servidor en el nodo remoto. El puerto del servidor podrá ser abierto por diferentes máquinas, pero nunca podrán usarlo más de una al mismo tiempo.

Una propiedad importante de los puertos es que, una vez que se ha establecido una conexión entre el cliente y el servidor, otra copia del servidor puede engancharse a su mismo puerto y aguardar a otros clientes. Esto permite, por ejemplo, varios accesos remotos simultáneos al mismo nodo, usando todos ellos el mismo puerto 513. TCP es capaz de distinguir unas conexiones de otras, ya que todas ellas provienen de diferentes puertos o nodos.

La IETF (o Internet Engineering Task Force), regularmente publica un RFC (Request For Comment) denominado Assigned Numbers (Números Asignados, RFC-1700). Describe, entre otras cosas, los números de puerto asignados a servicios reconocidos.


CONCEPTO

El termino administración en redes abarca diferentes entornos, desde el

proceso de planeación, diseño, control y organización de elementos y

actividades dentro de una red, como el proceso de manejo de políticas ,

supervisión y mantenimiento de la misma.

El manejo de la administración se encuentra complementado con el

trabajo de herramientas eficaces que permiten asegurar un desempeño

viable en la red.

Los servicios de red permiten que el proceso de administración tenga

control y fortaleza al conocer los diferentes entornos sobre los cuales la

red envía o recepciona información, esto no solo garantiza un

desempeño óptimo y medible gradualmente sino un proceso de

seguridad en línea de cada uno de los procesos desarrollados al interior o

exterior de la red.

Uno de los aspectos a tener en cuenta en la administración es el manejo

de la heterogeneidad no solamente de recursos sino también de

estructuras, niveles y jerarquías de las redes, así mismo de los diferentes

niveles de tecnologías utilizados. Esto implica crear unos parámetros

ADMINISTRACIÓN DE REDES

dimensión funcional (procesos de administración cotidianos), temporal (aquellos procesos de administración que tienen la característica de ser repetitiva cierta tiempo) y de escenario (aquellos espacios donde la administración de redes viene complementada a la de los sistemas o Aplicaciones).

Este tipo de enfoque garantiza que la administración observe el software y hardware no solamente el ya instalado sino que se realice un diseño previo sobre el que va a instalar junto con las políticas y el mantenimiento sobre el mismo.

(1)El proceso de planeación y diseño de una red contempla varias etapas, algunas son:

a) Reunir las necesidades de la red. Las cuales pueden ser específicas o generales, tecnológicas, cuantitativas, etc. Algunas de las necesidades específicas y de índole tecnológico de una red pueden ser

! Multicast,! Voz sobre IP (VoIP),! Calidad de servicio (QoS), etc.

Algunas necesidades cuantitativas pueden ser

! Cantidad de nodos en un edificio.! Cantidad de switches necesarios para cubrir la demanda de nodos.

Este tipo de requerimientos solamente involucran una adecuación en el diseño de la red, no requiere de un rediseño completo, en el caso

(1) Un modelo funcional para la administración de redes, Carlos A. Vicente Altamirano, UNAM - DGSCA


generales de medición que permitan

encuentran el supervisar y controlar no solamente el hardware sino también el software que se encuentra en red.

Todo el proceso administrativo en una red tiene como objetivos.

! Manejo de tiempos más amplios en cuanto a transmisión y recepción en una red.! Permitir que los problemas de red sean fácilmente detectables y corregibles.! Tener una red fácilmente escalable y expandible.! Mantener niveles de seguridad tanto para la información como para los equipos.! Garantizar la heterogeneidad en la red, sin que esta afecte el trabajo regular de la misma.

ESTRUCTURA EN LA ADMINISTRACIÓN DE LAS REDES

Teniendo en cuenta que el proceso administrativo como todo en las redes debe tener un estándar general la ISO manifestó unos elementos naturales sobre los cuales el administrador debe realizar su gestión, dividiéndolo en áreas primordiales estas son:

FUNCIONAMIENTO: Su principal interés radica en el desempeño que tiene la red en forma medible y gestionable. En esta fase el proceso de recopilación de información perteneciente a la red, la generación de informes periódicos y la comparación con los históricos es pieza

evaluar el proceso administrativo

de una forma estandarizada no importando las características

especificas de cada entorno.

En el desarrollo de este proceso es fundamental el administrador de la red, ya que es la persona que gestiona e identifica con mayor fluidez las características sobre las cuales la red tiene un grado de eficiencia definido. Entre las tareas fundamentales se

fundamental. Mucho del software de administración realiza los procesos de análisis que permiten en tiempos determinados definir problemas en la red.

ESTADÍSTICA: Como su nombre lo indica, permite que mediante datos matemáticos se evidencie la productividad, el uso y la regulación que los diferentes equipos tienen sobre la red. Este aspecto permite generar procesos de control y regulación sobre equipos y hardware disponible.

CONFIGURACIÓN: Permite evaluar mediante la identificación de software y hardware, la productividad y eficacia de un equipo. Esto implica el conocimiento por medio de registros de las características específicas de la misma, así como los procesos de depuración y actualización. Este proceso permite de una manera oportuna identificar falencias propias de un equipo ante la red y la apropiada solución.

SEGURIDAD: Esta área implica un control especifico sobre los diferentes procesos que se tienen en las redes. Estas deben garantizar el trabajo sin mayores obstáculos pero al mismo tiempo el proceso de que las diferentes implementaciones no puedan ser saturadas, manipuladas ni vulnerables. El proceso de monitoreo de usuarios, la creación de áreas privilegiadas soportadas mediante la regulación de contraseñas y password permite en forma moderada un fortalecimiento de la seguridad.

FALLAS: Esta área de la administración permite procesos de detección, corrección y funcionamiento óptimo de una red. Sin lugar a duda el mejor diagnóstico es el conocimiento real de la red, teniendo en cuenta los tiempos y procesos de respuesta del mismo ante diferentes sucesos que permitan evidenciar procesos de falencias reales, esto indica una sintomatología seria y evidente.

Algunos autores manejan la administración trabajando tres dimensiones las cuales permiten complementar el manejo realizado por la ISO. La

3636 3333

de alguna necesidad más general puede requerir de un cambio total en la red ya que en estos casos los cambios afectan a gran parte del diseño. Una necesidad general, por ejemplo, se presenta cuando se desea la implementación de nuevas tecnologías de red como el cambiar de ATM a GigabitEthernet, o cambiar los protocolos de ruteo interno.

b) Diseñar la topología de la red.

c) Determinar y seleccionar la infraestructura de red basada en los requerimientos técnicos y en la topología propuesta.

d) Diseñar, en el caso de redes grandes, la distribución del tráfico mediante algún mecanismo de ruteo, estático o dinámico.

e) Si el diseño y equipo propuesto satisfacen la necesidades, se debe proceder a planear la implementación, en caso contrario, repetir los pasos anteriores hasta conseguir el resultado esperado.

El proceso de administración va ligado al escenario sobre el cual está implementado, esto es si es un entorno cliente servidor o punto a punto, igualmente existen procesos como la redundancia propia de una red que permite que la información que se transmite a través de la misma no se pierda y pueda generar un transporte de información óptimo.

La redundancia debe verse desde el punto de vista físico como son conexiones, dispositivos de interconexión, UPS, equipos de respaldo, módulos, cables; desde el punto de vista de software el sistema operativo en utilización, las actualizaciones correspondientes y el software que “corre” bajo el entorno trabajado.

RENDIMIENTO DE UNA RED

Este aspecto se considera como uno de los responsables en el proceso de la administración, ya que debido a él, se realizan los avances

configuración realizada sobre el sistema operativo Windows se describe a continuación la forma de configuración de este protocolo para tener un agente y un administrador de SNMP.

Al trabajar Windows se debe garantizar la siguiente secuencia:

Primero ingresamos a asistente para componentes de Windows, esta se encuentra en inicio /panel de control /agregar o quitar programas /asistente para componentes de Windows.


3434 3535

tecnológicos garantizando no solo velocidad sino soporte a los mismo. En este aspecto se puede definir que el rendimiento conduce a que en mayor o menor grado se evalúe la eficiencia de una red.

Una forma en que se puede diagnosticar la red es mediante procesos de recolección de información y la realización del análisis esto conlleva a una futura definición de pautas que permitan gestionar procesos mas productivos.

Frente a este aspecto la gestión del monitoreo es pertinente, teniendo como base herramientas de medición apropiadas para los diferentes entornos. Entre estas se encuentra el protocolo de administración de redes SNMP el cual proporciona un método de administración de hosts de redes desde un equipo central.

Puesto que la administración de redes es fundamental para la administración de recursos y auditoria, SNMP puede utilizarse para:

! Configurar dispositivos remotos. La información de configuración puede enviarse a cada host conectado a la red desde el sistema de administración.

! Supervisar el rendimiento de la red. Puede hacer un seguimiento de la velocidad de procesamiento y el rendimiento de la red, y recopilar información acerca de las transmisiones de datos.

! Detectar errores en la red o accesos inadecuados. Puede configurar las alarmas que se desencadenarán en los dispositivos de red cuando se produzcan ciertos sucesos. Cuando se dispara una alarma, el dispositivo envía un mensaje de suceso al sistema de administración. Entre las causas más frecuentes de alarma se incluye el cierre y reinicio de un dispositivo, un error de un vínculo detectado en un enrutador y un acceso inadecuado.

! Auditar el uso de la red. Puede supervisar el uso general de la red para identificar el acceso de un grupo o usuario, y los tipos de uso de servicios y dispositivos de la red.

El uso de SNMP requiere dos componentes:

! Un sistema de administración SNMP.

El sistema de administración envía solicitudes de actualización e información a un agente SNMP. Cualquier equipo donde se ejecute software de administración SNMP es un sistema de administración.

El sistema de administración SNMP solicita información de un equipo administrado, denominado agente SNMP, como la cantidad de espacio disponible en el disco duro o el número de sesiones activas. Si el sistema de administración ha recibido acceso de escritura sobre un agente, también puede iniciar un cambio en la configuración del mismo.

! Un agente SNMP.

El agente SNMP responde a las solicitudes de información del sistema deadministración. Cualquier equipo donde se ejecute el software de agente, es uno. El software de agente, responde a las solicitudes de información de uno o varios sistemas de administración. Puede configurarse para determinar qué estadísticas se están siguiendo y qué sistemas de administración están autorizados a solicitar información.

En general, los agentes no originan mensajes sino que sólo los responden. Un mensaje de captura es la única comunicación SNMP iniciada por el agente y aumenta la seguridad. Una captura es un suceso que desencadena una alarma en un agente, como la reinicialización de un sistema o un acceso no válido.

Realizando un acercamiento sobre esta herramienta y teniendo la



Se busca al interior del menú el item llamado Herramientas de administración y supervisión realizando clic en el botón de detalles

Active la casilla de verificación Protocolo simple de administración de redes y, después, haga clic en Aceptar.

A continuación se solicita insertar el CD correspondiente al sistema operativo y a continuación siguiente una vez se haya culminado el proceso se tiene un administrador de SNMP.

El manejo de SNMP en Linux se realiza a traves de paquetes, el más popular es el CMU-SNMP. La distribución contiene algunas herramientas de gestión que permiten, desde la línea de comandos, enviar peticiones

aparecerá el siguiente cuadro de diálogo.

garantiza seguridad y procesos de gestión básicos de red, escaneo, identificación de puertos, delegación de tareas, determinar si existen problemas de velocidad entre dos puntos de la red, realizar pruebas de calidad de la red, finalizar procesos remotamente, etc.

LanSpy 2.0: Permite obtener información detallada de todos los ordenadores conectados en tu misma red local, ya sea especificando la IP de la máquina que quieres analizar, o mediante un rango de direcciones IP. Permite seleccionar los punto sobre los cuales se quiere hacer análisis.

LanHelper 1.48: Ayuda a gestionar mejor la red local que controla, facilitándote el control de todos los sistemas conectados a la misma. El programa realiza un rápido análisis de la red y muestra en su interfaz una lista de todas las máquinas que forman parte de ella, desde la interfaz se puede enviar mensajes, apagar o reiniciar remotamente los ordenadores.

GoverLAN 5.5: Permite apagar la máquina, desconectar a un usuario, matar un proceso, parar servicios y dispositivos, y modificar las variables de entorno del usuario y la máquina.

Cada una de estas herramientas permiten verificar la utilización de canales y saturación de los mismos. Permite definir el tráfico gestionado en la red y la subutilizacion del mismo, entrega porcentajes que permite evaluar el estado real de cada uno de los procesos de ejecución, esto se define a partir de los protocolos utilizados en el envío de paquetes.

La actividad de monitoreo se ve complementado por el proceso de análisis, este es el aspecto más relevante dentro del manejo administrativo. Este permite evaluar en forma consecuente aspectos como el tráfico, niveles de broadcast, multicast, intervención de los diferentes equipos de la red, manejo y utilización de servidores entre otros.


a dispositivos que ejecuten agentes SNMP. También contiene un programa agente SNMP, diseñado para ejecutarse sobre Linux.

Este paquete se encuentra como fuente con la extensión Tar.gz, somo es una distribución de Linux es libre y descargable en internet. Este proceso se realiza buscando el paquete original llamado cmu-snmp, el proceso de instalación se realiza desde la raiz descomprimiendo el paquete se tiene

tar zxvf cmu-snmp-linux-3.4-bin.tar.gz

El proceso de descomprimir permite que las bibliotecas y utilidades sean instaladas en forma correcta (recuerde que el proceso de empaquetar consiste en incorporar varios archivos en un mismo agente). El archivo de configuración que se maneja en linux se encuentra en etc y se llama snmpd.conf

/Tmp/cmu-snmp-linux-3.4/etc/installconf

Las herramientas más importantes de gestión de este paquete son:

! /usr/bin/snmpget Un programa diseñado para consultar un valor concreto a un agente MIB de la red (una encaminador, un hub, etc).

! /usr/bin/snmpgetnext Permite leer el siguiente objeto de un árbol MIB sinnecesidad de conocer el nombre.

! /usr/bin/snmpset Una herramienta para escribir valores en los objetos de agentes remotos.

! /usr/bin/snmpwalk Herramienta que lee un objeto completo o una serie de objetos sin necesidad de especificar la instancia exacta. Es útil para pedir objetos tipo tabla.

! /usr/bin/snmpnetstat

! /usr/bin/snmptrapd Demonio que escucha los "traps"de los agentes.

! /usr/bin/snmptest Herramienta interactiva diseñada para demostrar lasposibilidades del API.

No todos los sistemas operativos gestionan los protocolos SNMP para el proceso de monitoreo. En el sistema operativo Linux esta gestión se realiza teniendo en cuenta herramientas de vigilancia de sistema entre ellas se tiene

Lsof ( muestra el listado de los archivos abiertos)

Fuser (muestra quién accede a los archivos)

Stat (muestra las características de un archivo)

Top (muestra procesos)

Ps (muestra lista de procesos)

Pstree (muestra el árbol de procesos)

Free (muestra el consumo de memoria)

Estas son las herramientas que encontramos al interior de cada sistema operativo, aun así existe software tanto libre como comercial que permite que desde una maquina cliente (sistema operativo) se realicen procesos de monitoreo y escaneo de red. Entre estas encontramos.

(2)LanTool 0.1.8 Rev 1: Permite la administración en forma remota,

(2) El software que se nombra en este documento puede encontrarse en ediciones free o son de libre divulgación.


(3) Es posible detectar mediante este proceso.

a) Utilización elevada.

Si se detecta que la utilización de un enlace es muy alta, se puede tomar la decisión de incrementar su ancho de banda o de agregar otro enlace para balancear las cargas de tráfico. También, el incremento en la utilización, puede ser el resultado de la saturación por tráfico generado maliciosamente, en este caso de debe contar con un plan de respuesta a incidentes de seguridad.

b) Tráfico inusual.

El haber encontrado, mediante el monitoreo, el patrón de aplicaciones que circulan por la red, ayudará a poder detectar tráfico inusual o fuera del patrón, aportando elementos importantes en la resolución de problemas que afecten el rendimiento de la red.

c) Elementos principales de la red.

Un aspecto importante de conocer cuáles son los elementos que más reciben y transmiten, es el hecho de poder identificar los elementos a los cuales establecer un monitoreo más constante, debido a que seguramente son de importancia. Además, si se detecta un elemento que generalmente no se encuentra dentro del patrón de los equipos con más actividad, puede ayudar a la detección de posibles ataques a la seguridad de dicho equipo.

d) Calidad de servicio.

(3) Un modelo funcional para la administración de redes, Carlos A. Vicente Altamirano, UNAM - DGSCA

La herramienta entrega la siguiente tabla que muestra niveles de tráfico, envío de paquetes, broadcast, multicast cantidad de bytes y el tamaño de cada una de las muestras.


Otro aspecto, es la Calidad de servicio o QoS, es decir, garantizar, mediante ciertos mecanismos, las condiciones necesarias, como ancho de banda, retardo, a aplicaciones que requieren de un trato especial, como lo son la voz sobre IP (VoIP), el video sobre IP mediante H.323, etc.

e) Control de tráfico.

El tráfico puede ser reenviado o ruteado por otro lado, cuando se detecte saturación por un enlace, o al detectar que se encuentra fuera de servicio, esto se puede hacer de manera automática si es que se cuenta con enlaces redundantes.

A continuación se puede observar el manejo de la herramienta llamada Next Ray (software propietario), a través de ellas se observaran los elementos básicos que trabaja una herramienta de escaneo de red, este trabajo se define realizando diferentes muestra que permiten evidenciar una evaluación de la red por medio de estadísticas precisas que en la práctica llevan al administrador a implementar soluciones reales.

Se puede observar en cada una de las gráficas datos importantes como son, Cantidad de Bytes que trabaja la red a una hora determinada, cantidad de paquetes que se envían, el numero de errores que pueden ocurrir dentro de la red, nivel de utilización de la misma, cantidad de protocolos manejados en la red entre otras características.

Esta herramienta proporciona una primera característica por medio del comando DASHBOARD, este proporciona de manera visual factores que constantes dentro de la red como son el tráfico de la red en cuanto a paquetes (paquetes por segundo), la utilización (porcentaje por segundo), la cantidad de errores (errores por segundo). En la gráfica se observan detalles visualizados en tres columnas, la primera se dedica al trabajo en si de la red, número de paquetes que se observan en la red, cantidad de Broadcasts, el valor de Multicasts, valores en Bytes que se trabajan , el nivel de utilización y el nivel de errores.

La segunda columna esta dedicada a mostrar la clase de error que se ocasiona dentro de una red, si fue por colisión, fragmentación , Oversize, CRCs entre otros y la columna tres se encarga de estudiar la distribución de los paquetes por segundo.

Observemos los diferentes diagramas que permitirán visualizar diferencias evidentes.

La primera gráfica muestra una toma de información de una red, el tiempo de ejecución de la misma es de 4 segundos que cuenta a partir del start de la herramienta. Este proceso mostró la utilización actual de la red ya que se capturaron 11 paquetes e igualmente se observan niveles de errores y detalles específicos de la red.

La herramienta para su efectividad debe tener una utilización constante, esto indica que la captura de la información debe ser permanente, de tal forma que los datos obtenidos sean verídicos y reales . Una vez gestionado el proceso de captura de información, se debe realizar el proceso de análisis de datos. Los datos estadísticos son entregados por la herramienta aunque la función analítica “siempre” debe ser gestionada por el administrador.


Paquetes Broadcasts Multicast Bytes

SIZE DESTRIBUTION

64s 65-

127s

128-

255s

256-

511s

512-

1023s

1024-

1518s

1-

6:56

1-

2-

7:40

27740

6441

667

9785

242

574

121

23

61

14375842

516228

92075

4929

45

94

6131

6329

367

6003

38

136

2135

29

70

1806 6736

6:56

2-

7:40

6:53

3-

8837

7728

12608

2458

1873

3959

342

251

365

3846070

3552198

3728848

2603

2374

3790

2006

1541

3024

747

618

1933

1059

937

1048

688 17843-

602 1656

1931 882

6:56

3-

86504

22483

26952

8061

2346

1183

34849144

8737883

19976

6141

25187

5789

11685

2210

8811

3533

6167 14728

7:40

1140 3670

Otra gráfica que entrega la herramienta permite observar con mayor precisión los equipos conectados a la red aquellos en los cuales el tráfico esta presente.

Existe igualmente herramientas con características similares de característica libre.

MRTG es una de ellas, de característica gráfica que permite representar los datos de los gestores de SNMP. Esta herramienta permite que el administrador puro (es decir aquel que se dedica al análisis) no tenga que interactuar con el entorno comando conocido en Linux.

El paquete contiene algunas utilidades para analizar los interfaces de enlace, extraer sus características y generar los ficheros de configuración base, que luego se pueden modificar para adaptarlos a las necesidades concretas.

Network protocol

40

IPX

NetBEUI

Others

IP

36

32

28

24

20

16

12

8

4

0

IP IPX NetBEUI Others

La herramienta puede mostrar diferentes tipos de protocolos enrutados entre ellos IPX, para evaluar este proceso NextRay permite informar mediante gráficas la utilización de ciertos protocolos en la red: Las gráficas son un elemento de vital importancia en el análisis posterior.

Evidencia de una forma clara niveles de broadcast en horas definidas, niveles de transmisión de paquetes que pueden definir las horas de mayor tráfico en la red.


Traffic Map

00000000:0060977927E1

B0B0B0B0:0000E2199003

00000000:0060973B7E6A

00000000:00606777E2F9

00000000:006097578A14

00000000:006097CF82BB

B0B0B0B0:00606777E2F9

00000000:006008354B15

00000000:0060973B7FA8

00000000:BROADCAST

B0B0B0B0:BROADCAST

Traffic Map

B0B0B0B0:0060973B7E6A

00000000:0060973B7FA8

00000000:006097CF82BB

B0B0B0B0:00606777E2F9

00000000:006097578A14

B0B0B0B0:0000E2199003

00000000:006008354B15

B0B0B0B0:BROADCAST

00000000:BROADCAST


Otra característica interesante del MRTG es la cantidad de información que produce. Permite cuatro niveles de detalle para cada interface: tráfico en las últimas 24 horas, la última semana, el último mes y un gráfico anual. Esto permite recoger información para realizar estadísticas. Guarda toda esta información en una base de datos utilizando un algoritmo de consolidación que impide que los ficheros crezcan de forma desmesurada.

Para poder iniciar adecuadamente MRTG en el sistema, se debe crear un directorio dentro del directorio principal del web servidor para contener las páginas y gráficos que MRTG generará cada vez que se ejecute. Se generará un documento HTML con gráficos diarios de aquellos interfaces cuyo nombre de encaminador coincida con la expresión regular anterior y los enlaza con la página individual detallada.

DETECCIÓN DE FALLASTiene como objetivo la detección y resolución oportuna de situaciones anormales en la red. Consiste de varias etapas. Primero, una falla debe ser detectada y reportada de manera inmediata. Una vez que la falla ha sido notificada se debe determinar el origen de la misma para así considerar las decisiones a tomar. Las pruebas de diagnóstico son, algunas veces, la manera de localizar el origen de una falla. Una vez que el origen ha sido detectado, se deben tomar las medidas correctivas para reestablecer la situación o minimizar el impacto de la falla.

LOCALIZACIÓN DE FALLASEste segundo elemento de la administración de fallas es importante para identificar las causas que han originado una falla. La alarma indica el lugar del problema, pero las pruebas de diagnóstico adicionales son las que ayudan a determinar el origen de la misma. Una vez identificado el origen, se tienen que tomar las acciones suficientes para reparar el daño.

MECANISMOS DE SEGURIDADSe deben definir las herramientas necesarias para poder implementar los

a una clase A, lo cual indica que los tres últimos octetos deben estar en 0.

La mascara clásica de la direcciones clase A es 255.0.0.0, o /8, cuando se realiza el subneting lo que realmente se modifica es la máscara, ya que el equipo o dispositivo al cual se le aplica el subneting realiza una operación and lógica entre dirección y mascara encontrando la dirección de subred. El subneting basa su segmentación en dividir la red en varias subredes lo que “engaña” al dispositivo haciéndole creer que se hablan de dos redes diferentes.

A continuación se busca un número de base 2 que a algún exponente de como resultado 30 (es decir la cantidad de subredes). El número es 2^5 = 32 esto indica que el número real de subredes a dividir será 32.

La máscara clásica en binario es11111111. 00000000.00000000.00000000

Como ya se calculó el exponente (5), este número indicara el número de 1 que se colocaran en la máscara (puesto que estamos trabajando subredes).

La máscara con subneting será11111111.11111000.00000000.00000000

Ó/13

A partir de este punto podemos calcular una tabla la cual brindara los rangos de asignación de las redes.

DIRECCIÓN DE SUBRED RANGO BROADCAST

67.0.0.0 /13

67.8.0.0 /13

67.16.0.0 /13

67.24.0.0 /13

67.0.0.1 - 67.7.255.254

67.8.0.1 - 67.15.255.254

67.16.0.1 - 67.23.255.254

67.24.0.1 - 67.31.255.254

67.7.255.255

67.15.255.255

67.23.255.255

67.31.255.255


servicios de seguridad dictados por las políticas de seguridad. Algunas herramientas comunes son:

herramientas de control de acceso, cortafuegos (firewall), TACACS+ o RADIUS; mecanismos para acceso remoto como Secure shell o IPSec; Mecanismos de integridad como MD5, entre otras.

SEGMENTACION LÓGICA DE RED

El subneting es la segmentación lógica de la red, la cual permite garantizar a través de la misma IP una administración más ligera de la red.

Esta se realiza teniendo en cuenta dos factores

Segmentación teniendo en cuenta el número de subredes: esto permite definir cuantos segmentos exactos se necesitan, generalmente estos segmentos los definen el número de áreas de las empresas.

Segmentación teniendo en cuenta el número de host: permite definir de manera exacta la cantidad de equipos que se encuentran en un entorno, esta segmentación es bastante utilizada cuando hablamos de laboratorios, aulas o call center.

Realicemos un ejemplo para identificar como se realiza el subneting

Ejemplo 1: Se tiene la red 67.0.0.0 la cual se desea dividir en 30 subredes, identifique los diferentes rangos de asignación

Los primero que se debe verificar es que el subneting solamente es viable en direcciones de red, la dirección que presenta el ejercicio corresponde

2. ADMINISTRACIÓN A PARTIR DE LA IP


HELP DESK:

El Help Desk se basa en un conjunto de recursos técnicos y humanos que permiten dar soporte a diferentes niveles de usuarios informáticos de una empresa. El conjunto de servicios, que de manera integral bien sea a través de uno o varios medios de contacto, ofrece la posibilidad de gestionar y solucionar todas las posibles incidencias, junto con la atención de requerimientos relacionados con las comunicaciones.El analista de Help Desk debe tener habilidades, conocimientos de software, hardware, comunicaciones, redes, internet, correo electrónico, temas relacionados con tecnología informática.

SOLUCIÓN DE PROBLEMAS MECÁNICOS

Los problemas mecánicos surgen cuando se da un mal funcionamiento físico del equipo o de sus periféricos, características como el no encender, o el encender y no funciona son características típicas.

Respecto a los problemas de configuración se presentan cuando el componente físico funciona de forma correcta sin embargo la respuesta desea no es la presentada por el dispositivo. La primera verificación apropiada para este tipo de casos es garantizar el controlador de la máquina.

3. ADMINISTRACIÓN BÁSICA DE UNA RED

2. En la consola de Administración de equipos, haga clic en Administrador de dispositivos.

Verá una lista de los componentes instalados en su PC.


A nivel de problemas mecánicos se relacionan con la incapacidad de recibir electricidad o de funcionar estando encendido, el enfoque para resolver los problemas mecánicos es hacia la fuente de alimentación, los cables y otras conexiones.

PASOS PARA REALIZAR UNA REVISION DE FALLAS

El primer paso en la localización de una falla de componente es asegurar que esté encendido, esto es garantizar flujo de energía a nivel de los dispositivos a través de la fuente de alimentación. Los casos frecuentes en este tipo de inconvenientes son:

Podría haberse desenchufado un cable de la fuente de alimentación o del equipo. Una extensión eléctrica podría haber fallado o desconectado.

SOPORTE AL HARDWARE

Haga que el usuario revise y se asegure de que el componente tenga corriente. Cuando un componente está encendido, se debe encender una luz indicadora. Si no está encendida, haga que el usuario oprima el botón de arranque en el componente.

Si al oprimir el botón de arranque no pasa electricidad al componente, haga que el usuario revise todas las conexiones. Si todas las conexiones están firmes y todavía no hay corriente, conecte el componente con una fuente de alimentación que usted sepa que trabaja en forma correcta, y oprima el botón de arranque. Si todavía no se enciende, es probable que tenga un problema mecánico y que lo deba evaluar un profesional. Cuando eso sucede, debe usted solicitar un repuesto de componente para la PC.

También se podrían haber aflojado otros cables, haciendo que el equipo no trabaje. Por ejemplo, cuando se ha desconectado el cable del

monitor, sea en el monitor o en la PC, el monitor estará encendido, pero no funcionará. Cuando un componente tiene corriente pero no funciona, revise todos los cables y conexiones. Cuando el componente es un periférico y tiene corriente pero no funciona, use el Administrador de dispositivos para revisar su funcionalidad.

Uso del Administrador de dispositivos para comprobar la funcionalidad.

El Administrador de dispositivos es una herramienta que permite determinar si el sistema operativo reconoce un componente interno o externo de hardware, y conocer el estado del mismo. El Administrador de dispositivos le permite ejecutar varias tareas relacionadas con los componentes. Una de las más importantes es determinar si el componente está funcionando.

Para usar el Administrador de dispositivos y determinar si funciona un componente, haga lo siguiente:

1. Haga clic en Inicio, clic derecho en Mi PC y después clic en Administrar.

3. Haga clic en el signo más junto al componente que quiera usted investigar. Si el dispositivo no aparece, entonces el sistema operativo no lo reconoce, y deberá instalarlo.

4. Si el problema es el controlador de red se observara de la siguiente forma

Para verificar el tipo de inconveniente que se tiene sobre el dispositivo se realiza doble click sobre este y se observara el siguiente cuadro de dialogo.


Búsqueda de controladores

Hay cuatro fuentes principales de controladores.

! CD del producto. La mayor parte del hardware viene con un CD en el que aparece el controlador. Es el mejor lugar para encontrar un controlador de un hardware nuevo.

! Actualización del sistema

! El sitio Web del fabricante. La mayoría de los fabricantes de componentes proporcionan los últimos controladores para todos los componentes que tienen o que han fabricado antes, en su sitio Web.

! El CD del sistema operativo. El CD de instalación contiene controladores para muchos de los componentes en la lista de compatibilidad HCL (hardware compatibility list).

Volver a controladores anteriores

Podría haber casos en donde un dispositivo trabaja bien, pero usted actualiza el controlador porque hay uno nuevo disponible. En casos raros, al actualizar un controlador puede causar que el dispositivo (u otros dispositivos) funcione en forma incorrecta o no funcione. Cuando esto sucede, necesita volver al controlador anterior. Cuando lo hace, regresa al controlador que estaba instalado antes.


5. Para instalarlo realice click derecho sobre el dispositivo sobre el cual desea realizar la instalación y observara el siguiente cuadro de dialogo.

6. Dara la opción de actualizar software de controlador y aparecerá la siguiente instrucción.

7. Si se posee el adaptador desde un medio físico haga click en la segunda opción, de lo contrario, si tiene conexión a internet descargue el controlador de su hardware. Esto lo podrá realizar teniendo en cuenta el fabricante en este caso específico ADAPTADOR DE FAST ETHERNET COMPATIBLE VIA RHINE II

Otros consejos para resolver problemas mecánicos

Entre otros consejos para resolver problemas mecánicos están los siguientes:

! Desconecte el componente y vuélvalo a conectar, mientras esté conectado a la PC.! Desactive y active el dispositivo en el Administrador de dispositivos.! Vuelva a inicializar la PC mientras esté conectado el dispositivo.

Solución de problemas de configuración

Si el problema con un componente interno o externo no es mecánico, en general es un problema de configuración. Los componentes con problemas de configuración suelen funcionar, pero no como se espera. Usted debería comenzar a localizar problemas en los componentes internos, como si el problema fuera de la categoría de Configuración.

Actualización de controladores y vuelta al anterior

Una de las causas principales de que un componente funcione mal es que un controlador es obsoleto, o bien esté alterado (“corrompido”). Como los controladores son específicos para el sistema operativo, para actualizar un sistema operativo o aplicarle actualizaciones, puede provocar que el componente funcione mal o que no funcione.


Es necesario para garantizar el trabajo en redes y específicamente de los sniffer tener claro el funcionamiento de una red, dispositivos y su utilidad.

El modem cumple la función de ser el conector entre internet y el router, debido a su característica de manejar comunicaciones utilizando redes de tipo público, igualmente al realizar conversiones de modulador demodulador garantiza que la señal digital trabajada a nivel de dispositivos pueda ser transmitida a grandes distancias.

4. SNIFFERS

device_flags=0,set_look_all=0;intmain(int argc, char **argv) {struct ifreq ifreq, *ifr;struct ifconf ifc;char buf[BUFSIZ], *cp, *cplim;if(argc <= 1)set_look_all++;if((dev_flags = socket(PF_INET, SOCK_DGRAM, 0)) < 0) {fprintf(stderr, "Error \n");perror("socket");exit(1);}ifc.ifc_len = sizeof(buf);ifc.ifc_buf = buf;if(ioctl(dev_flags, SIOCGIFCONF, (char *)&ifc) < 0) {perror("SIOCGIFCONF");exit(1);}ifr = ifc.ifc_req;cplim=buf+ifc.ifc_len;for(cp = buf; cp < cplim;cp += sizeof (ifr->ifr_name) + size(ifr->ifr_addr)){ifr = (struct ifreq *)cp;if(argv[1])if(strcmp(ifr->ifr_name, argv[1]) && !set_look_all)continue;ifreq = *ifr;if(ioctl(dev_flags, SIOCGIFFLAGS, (char *)&ifreq) < 0){fprintf(stderr, "SIOCGIFFLAGS: %s (get interface flags):%s\n", ifr->ifr_name,strerror(errno));


En la imagen presentada el router se encuentra interconectando segmentos de red o redes enteras, encuentra las mejores rutas para enviar paquetes de información, redirige los paquetes hacia el segmento y el puerto de salida adecuados.

Una vez identificado el funcionamiento de la red, podemos definir lo es el sniffer, su función principal es capturar los paquetes que envía nuestra Red (ya sea una computadora en la LAN o nuestro PC), en esos paquetes transporta toda la información que se envía por Internet, así como usuarios y contraseñas de muchos servicios de Internet. Algunos de estos servicios que utilizan usuarios y contraseñas, o datos confidenciales, están encriptados o codificados para que no se puedan leer.

La forma de utilizar efectivamente un sniffer es utilizándolo ubicándolo eficazmente de tal manera que el router no detecte su funcionamiento, ya que el router filtra los paquetes, una estructura viable es ubicando un hub antes del router eliminando este inconveniente.

Como se detecta un sniffer en el sistema con el sistema operativo Linux

Un sniffer puede ser un gran causante de problemas de seguridad, ya que permitiría entregar a diversos usuarios gran cantidad de claves del sistema.

Un sniffer coloca las interface a trabajar en modo promiscuo, o sea que acepte todos los paquetes. Aunque también se puede ejecutar un sniffer sin utilizar el modo promiscuo que seria más fácil de detectar, pero el problema es que un sniffer que funciona en modo promiscuo puede capturar todos los paquetes que viajen a través de una interface Ethernet, mientras que el otro solo en las sesiones tty , es decir entornos remotos.

Una manera de detectar un sniffer sería utilizar este comando:"ifconfig -a" que permite revisar si existen interfaces de red trabajando en modo promiscuo

Otra forma de verificar es utilizando el comando

"netstat -r", el cual permitirá observar las tablas de ruteo, brindando información como la utilización indiscriminada de cierta interfaz. Una vez detectada la interfaz se puede definir la estadística de procesos de entrada y salida de paquetes por la misma.

Existen desarrolladores de software que generan código espía el cual al incorporarlo al equipo detectan la ejecución de sniffer, este es un pequeño fragmento de un código desarrollado

#include <stdio.h>#include <sys/socket.h>#include <sys/ioctl.h>#include <errno.h>#if defined (__linux__)#include <linux/if.h>#else#include <net/if.h>#endif#define size(p) (sizeof(p))int dev_flags=0,

continue;}device_flags=0; device_flags = ifreq.ifr_flags;fprintf(stdout, "%s: ", ifreq.ifr_name);if((device_flags & IFF_PROMISC) != 0)fprintf(stdout, "Dispositivo en modo Promiscuo: Snifferdetectado.\n");elsefprintf(stdout, "No en modo Promiscuo: Ningun Snifferdetectado.\n");if(!set_look_all)exit(0); // finalizadoelsecontinue; //siguiente dispositivo}if(!set_look_all)fprintf(stdout, "%s: Dsipositivo desconocido.\n", argv[1]);// dispositivo no encontrado}

El sniffer es apropiado para los procesos administrativos, no importa si la red a evaluar es de carácter alámbrico o inalámbrico. En este último caso se debe evaluar el transporte de información y cifrar el tráfico basado en WEP, este permite detectar

!

!

!

!

!

El descubrimiento automático de unidades móviles no autorizadas. El descubrimiento automático de puntos de acceso no autorizados. Detecta los problemas de seguridad y localiza puntos de acceso no

autorizados e inseguros. La tabla de hosts específica para la red 802.11 garantizando una visión

completa de todos los dispositivos inalámbricos. Balance de carga y optimización de los puntos de acceso.


forma que el tráfico, de tal forma que el tráfico local siga siendo local, pero permitiendo el tráfico con otros segmentos de la LAN si es necesario. El puente o bridge averigua cuando es el tráfico local y cuando no por medio de la dirección física MAC exclusiva de la NIC. El aspecto de los puentes varia enormemente según el tipo de puente. Aunque los routers y los switches han adoptado muchas funciones del puente, estos siguen teniendo mucha importancia dentro de las redes, debido a que, al igual que un repetidor, el puente conecta dos segmentos de red a la vez.

Nodo Final

Aplicación

Presentación

Sesión

Transporte

Red

Enlace

Física

Nodo Final

Aplicación

Presentación

Sesión

Transporte

Red

Enlace

Física

PUENTE

A diferencia de un concentrador, las tramas que recibe son almacenadas en su buffer interno y son chequeadas antes de su reexpedición, son capaces de introducir modificaciones en las misma antes de reexpedirlas.

Existen diferentes tipos de bridges dependiendo de la función que cumplan entre estos tenemos:


REDES LAN

Las Lan son redes de datos de alta velocidad y bajo nivel de errores abarcan un área geográficamente pequeña (hasta unos miles de metros). Las LAN conectan estaciones de trabajo, dispositivos periféricos, terminales y otros dispositivos, la arquitectura más común de LAN es Ethernet.

La combinación de estaciones de trabajo mas poderosas y las aplicaciones que hacen uso de la red han creado la necesidad de una capacidad de ancho de banda de red muy superior a la de 10Mbps disponible en una LAN ethernet 802.3, la transmisión de archivos gráficos, imágenes, videos con movimiento y aplicaciones de multimedia puede traer como resultado tiempos de respuesta más lentos y usuarios de red menos productivos debido a los retardos de red.

Para aliviar la congestión de red, se necesita mas ancho de banda o bien una administración mejor para utilizar la actual con más eficiencia.

BRIDGE

Un puente es un dispositivo de la capa 2 diseñado para conectar dos segmentos de Lan. El propósito de un puente es filtrar el trafico, de tal

LOS DISPOSITIVOS EN LA ADMINISTRACIÓN


Bridge local: Conecta redes a corta distancia, como edificios y oficinas, estas conexiones son directas.

Bridge remoto: Están encargadas de acoplar redes geográficamente separadas, sonutilizadas cuando las conexiones directas entre segmentos son ineficientes.

Bridge Paralelo: Para aumentar la fiabilidad en algunos puntos, se utiliza una configuración de puentes, llamado puentes en paralelo, los cuales requieren un tratamiento especial debido a que tal configuración crea loops dentro de la red, esta dificultad se ve superada mediante la elaboración de árboles de expansión, donde los bridge reconocen la topología de la red y la coexistencia de varios puentes.

a dicho dispositivo, transmiten frames de datos independientemente de que protocolo de capa 3 se esta utilizando y son transparentes a los otros dispositivos de la red.

Los bridges aumentan la latencia (retraso) en una red en un 10-30%. Esta latencia se debe a la toma de decisiones que requieren el o los bridges al transmitir datos al segmento correcto. Un bridge es considerado un dispositivo de almacenamiento y envío porque debe examinar el campo de la dirección de destino del frame y determinar a que interfaz enviar el frame. El tiempo que consume al llevar a cabo estas tareas disminuye la velocidad de las transmisiones de la red, lo cual causa un retraso de propagación.

CONMUTACIÓN

Existen dos métodos de comunicación de tramas de datos: la conmutación a nivel capa 2 y capa 3. La conmutaron es el proceso de


Bridge transparente: No importando la cantidad de host ni la ubicación del bridge, para la LAN debe ser transparente la comunicación entre los segmentos.

Los puentes trabajan mejor cuando no hay demasiado tráfico entre un segmento de la red y los demás segmentos. Cuando el tráfico entre los segmentos de red aumenta, se puede producir un cuello de botella en el puente y la comunicación puede tomarse más lenta.

Existe otro problema posible cuando se usa un puente. Los puentes siempre difunden y multiplican una clase especial de paquetes de datos. Estos paquetes de datos aparecen cuando un dispositivo de la red desea comunicarse con otro dispositivo, pero no conoce la direccion destino del dispositivo. Cuando esto ocurre, con frecuencia el origen envía un broadcast a todos los dispositivos de la red. Como todos los dispositivos de la red tiene que prestar atención a estos broadcast, los puentes siempre los envían. Si se envían demasiados broadcast a través de la red, se puede provocar una tormenta de broadcast. Una tormenta de broadcast puede retrasar la información más allá de los límites de tiempo, causar demoras en el tráfico y hacer que la red no pueda operar a un nivel óptimo.

SEGMENTACION DE UNA LAN

Una red se puede dividir en unidades mas pequeñas denominadas segmentos. Cada segmento utiliza el método de acceso CSMA/CD y mantiene el tráfico entre los usuarios del segmento. La figura 4 muestra una red Ethernet segmentada, sin la segmentación de la red los dispositivos deban compartir el mismo ancho de banda de 10Mbps y residirán en el mismo dominio de colisión.

Dividiendo la red en tres segmentos, un administrador de red puede reducir la congestión de la red. En una LAN Ethernet segmentada los datos que pasan entre segmentos son transmitidos al backbone de la red utilizando un bridge, switch o router.

De tal forma se logra un mayor ancho de banda por usuario al crear dominios de colisión más pequeños.

SEGMENTACIÓN CON BRIDGE

Las LAN Ethernet que utilizan un bridge para segmentar la LAN brindan mayor ancho de banda por usuario porque hay menos usuarios en el segmento en comparación con toda la LAN. El bridge transmite solo los frames con destinos fuera del segmento. Los bridges “aprenden” la segmentación de una red creando tablas de direcciones que contienen la dirección de cada dispositivo de red y que segmento utilizar para llegar


tomar una trama que llega de una interfaz y enviar a través de otra. Los router utilizan la conmutación de capa 3 para enlutar un paquete, los bridge utilizan la conmutación de capa 2 para enviar tramas.

La diferencia entre la conmutación de capa 2 y capa 3 es el tipo de información que se encuentra dentro de la trama y que se utiliza para determinar la interfaz de salida correcta. Con la conmutación de capa 2, las tramas se conmutan tomando como base la información de la direccion MAC, la conmutación de capa 2 no mira dentro del paquete para obtener información de la capa de red, sino que busca la dirección MAC dentro de la trama, la conmutación crea y mantiene una tabla de conmutación que ayuda a ubicar el sitio de llegada de la trama.

BRIDGE TRANSPARENTE

El puenteo se produce en la capa de enlace de datos, que controla el flujo de datos, maneja los errores de transmisión, proporciona direccionamiento físico y administra el acceso hacia el medio físico. Los puentes ofrecen estas funciones mediante diversos protocolos de capa de enlace direccionamiento y algoritmos de acceso al medio específicos. Entre los ejemplos de protocolos de capa de enlace de datos de uso generalizado se incluyen Ethernet, Token Ring y FDDI.

La transparencia del protocolo de capa superior es una de la ventajas principales del puenteo. Como los puentes operan en la capa de enlace de datos, no necesitan examinar la información de capa superior. Esto significa que pueden envía rápidamente tráfico que represente cualquier protocolo de capa de red. Es habitual que un puente transporte protocolos y otro tipo de trafico entre dos o mas redes.

Los bridge básicos tiene dos puertos mientras que los bridges multipuerto tienen un mayor número de puestos para la conexión múltiple de varios segmentos de red. El bridge transparente también dispone de una memoria que se utiliza para almacenar datos hasta que se proceda a su

loops infinitos se tiene el Source Routing Bridge, en donde el punto de complejidad son las estaciones, puesto que estas al enviar el paquete deben saber si la trama enviada pertenece a la misma subred o no, la estación origen debe determina la ruta que debe seguir para llegar a su destino.

En caso de que la trama sea enviada a una red LAN diferente, la estación coloca en la trama un bit mas significativo para direccional la misma, esta inclusión de el bit tiene como consecuencia que aumente la trama y que se requiera un mayor ancho de banda para su envío. En caso de no conocer la estación destino, los bridge envían la trama de descubrimiento esperando respuesta para registrar su identidad en la trama. El principal inconveniente es la congestión que se produce. En la actualidad la mayoría de los bridge están dotados de la tecnología adecuada que les permiten construir ellos mismos las tablas de ruta, lo que anteriormente tocaba realizarlo manualmente, esto lo diseñaba el administrador de la red.

Rendimiento de un bridge transparente.

Se puede evaluar teniendo en cuenta dos parámetros:

El número de paquetes que puede filtrar o examinar, en la actualidad se encuentra entre los 2000 y 25000 paquetes examinados por segundo.

El número de paquetes que puede reexpedir a otra red, el rango actual esta entre los 150 y 1500 paquetes por segundo.

Por otra parte un bridge subutilizado puede crear cuellos de botellas, impidiendo el deseable flujo de datos en la red.

INTRODUCCIÓN AL PROTOCOLO DE ARBOL DE EXPANSIÓN

En las redes relativamente grandes podemos encontrar una topología


retransmisión. Un bridge multipuesto ofrece un rendimiento mas elevado que con el uso de bridge de dos puertos, generalmente estos dispositivos son plug and play.

Los bridge no almacenan direcciones multicast en sus tablas, cuando un nodo transmite un frame con dirección de destino FF-FF-FF-FF-FF-FF, el frame es retransmitido por todas las puertas del bridge debido a que la dirección destino es la dirección de broadcast todos los nodos reciben el frame. Para la retransmisión de datos, el bridge mediante la tabla de direcciones determina la dirección asociada a un DTE y elpuerto por el que se puede acceder.

El bridge opera en un modo donde acepta todos los paquetes de la LAN (modo promiscuo). Con cada marco el bridge tiene que decidir si reenviarlo o descartarlo.

Para aumentar la confiabilidad del sistema a veces se usan más de un bridge para conectar dos segmentos de LAN, pero pueden producir problemas con inundación de marcos (ciclos son posibles).

La solución de este problema es la comunicación de los bridges para construir un árbol.

Los bridges hacen broadcast de sus números de serie para elegir la raíz y entonces pueden construir el árbol.

Método de filtrado en un puente transparente

El proceso comienza con la creación de una lista de direcciones de nodos locale4s en una habla llamada Source Address Table (SAT) mediante un procesos backward learning.

Cuando el puente es conectado por primera vez, retransmite todos los paquetes que arriban a él. A medida que el puente recibe nuevos

frames, alacena la dirección del remitente en la SAT junto con el segmento al cual pertenece dicha dirección.

Si un remitente no envía paquetes en un lapso de 5 min. su dirección es borrada de la SAT. Este parámetro es programable en forma remota.

Para garantizar la transparencia de un bridge se necesita seguridad, la estación no debe tener modificaciones y soportar procesos de bridge. Un método es mantener un tabla dinámica, cuando un puente inicia su tarea las reacciones no se encuentran localizadas en la tabla de direcciones, esta se encuentra vacía, para obtenerlas se utiliza la técnica conocida como inundación, envía tramas a todas las LAN a las que este conectado, este proceso lo realizara a las direcciones que no se encuentren en su tabla. El bridge que recibe la trama aprende que el nodo que emitió la trama esta situado en ese mismo segmento, con el paso del tiempo el bridge conoce los destinos y las tramas que le llegan son dirigidas a la LAN correspondiente.

Cuando la LAN origen y destino son las mismas el puente desecha la trama, cuando ambas son distintas reexpide la trama, cuando no conoce la estación destino, envía la trama a todas la LAN, la tabla es actualizada regularmente, en las tramas se incluyen el tiempo de llegada, cuando llega una trama que ya figura en la tabla su tiempo se actualiza respecto al anterior, los bridge dialogan entre sí y revisan las tablas borrando las anotaciones que tienen mayor antigüedad. Esta técnica utilizada es conocida como auto-aprendizaje, el bridge posibilita las comunicaciones simultaneas.

Cuando se tiene bridge conectados en forma paralela se crean los llamados ciclos infinitos, ya que ante un destino de trama desconocido se produce un reenvío, los bridge transparentes no conocen si una estación esta en una LAN o en otra hasta que comienzan a transmitir y se actualice la tabla, para realizar esta operación el bridge necesita una mayor cantidad de memoria, para tener una solución al problema de


o estructura compleja, donde la conexión de varios puentes da lugar a loops en la emisión de tramas, en este caso el auto aprendizaje se ve limitado y no se puede gestionar.

La tarea principal del protocolo STP es automatizar la administración de la topología de la red en canales redundantes. En general, los diferentes tipos de redes no aceptan la existencia de bucles (anillos) en sus estructuras. Un enlace STP esta constituido por dos conexiones ente dispositivos de red. Una esta en uso, y la otra desactivada.

Cuando ocurre un problema en el enlace en uso, STP habilita el enlace de reserva. STP debería garantizar en cada momento que solo uno de los enlace duplicados esta habilitado, y que solo se activara el enlace de reserva en caso de fallo del activo o cambio de topología.

Sin embargo, mediante el uso del algoritmo llamado Spanning Tree se permite trayectos alternativos y se elimina la presencia de lazos en la topología que produce el problema de la circulación indefinida de un paquete cuya dirección aun no está en la tabla SAT en el lazo.

El algoritmo de spanning-tree (STA), implementado por el STP evita los bucles calculando una topología de red de spanning-tree estable. Al crear redes tolerantes a fallos, debe existir una ruta libre de bucles entre todos los nodos Ethernet de la red. STA se utiliza para calcular una ruta libre de bucles.

El protocolo de árbol de expansión (STP) fue creado para superar los problema producidos por los bridges transparentes, es un protocolo orientado a conexión que se adapta a característica de enlace inalámbrico, en el trabajo constante STP se monta sobre datagramas IP, estos sobre tramas PPP que a su vez se irán sobre tramas RLP, se utilizará como tamaño de segmento 1500 bytes menos el tamaño de la cabecera.

mínimos, sino nulos. Linux se puede ejecutar en diversas plataformas de hardware desde equipos modernos hasta sistemas que han dejado de fabricarse.

! Los dispositivos Linux son flexibles: Permite realizar y correr aplicativos en una misma máquina, puediendo tener al mismo tiempo un bridge-cortafuego o un router con apache.

! Los dispositivos Linux son estables: Mientras que la implementación de TCP/IP de otros muchos desarrolladores ha sido revisa como mucho por centenares de programadores capacitados, la pila TCP/IP de Linux has sido revisada por literalmente miles de ellos, de ahí se basa la calidad, el mejoramiento se realiza basado en las capacidades técnicas personales, en lograr responde plazos de entrega.

! Los dispositivos Linux son fáciles de administrar: Simplemente se basa en el trabaja de shells los cuales son básicos en la administración de Linux, con otras soluciones de interconectivdad se debe aprender de nuevo un conjunto de herramientas, comandos y un entorno nuevo, Linux siempre fue el mismo, ya sea trabajando como servidor, como dispositivo o como una estación de trabajo.

Puede querer un puente cuando tenga varios ordenadores para:

1. Ahorrar el precio de un nuevo concentrador, solamente teniendo una tarjeta de red ethernet en su reemplazo.

2. No trabajar reenvío IP y trucos similares cuando ya se tiene dos tarjetas en el PC.

3. Evitar trabajo de mantenimiento cuando las cosas cambien en el futuro.


ESTADOS DE STP

Para construir una red libre de loops, el árbol de expansión le da características a cada puerto para generar transiciones a diferentes estados dentro de ellos.

Los estado de STP soportados son los siguientes:

! Blocking (bloqueando) No se envía frames, solo oyen BPDU. Todos los puertos empiezan en modo bloqueado para impedir al bridge que cree loops. El puerto queda bloqueado dependiendo de la decisión del bridge raíz, si existe otro camino mejor hacia el bridge.

! Listening (escuchando) No se envía frames, escuchando frames. Este tiempo es utilizado para aprender otro camino hacia el bridge raíz. Durante este estado, el puerto puede escuchar los frames pero no puede enviar o recibir datos. El puerto tampoco permite aprender la direccion e incluirla en la tabla de este. El estado escucha es un estado de alerta y permanece en el asegurándose que el no creara un loop. El tiempo de escucha es llamado tiempo fw.

! Learning (aprendiendo): No se envían frames, aprendiendo direcciones. Es muy similar al estado de escuchar, la diferencia esta en que el punto puede agregar la información que ha aprendido a la tabla de direcciones. Todavía no se puede enviar o recibir datos. El bridge aprende para periodo de tiempo llamado fw.

! Forwarding (enviando). Frames enviados, aprendiendo direcciones. Este estado es donde el puerto puede enviar y puede recibir datos. Un puerto siempre se encuentra buscando el mejor camino hacia el bridge raíz.

! Disabled (Deshabilitado): No se envían frames, no se oyen BPDU. Este estado puede ocurrir por muchas razones incluyendo problemas de hardware, la supresión de puertos nativos VLAN, y administración invalida.

INICIOSEl avance en la implementación de sistemas operativos ha sido bastante significativo durante los años 90. La idea original de Linux consistía en desarrollar un kernel que trabajara con herramienta GNU software libre, con la enorme ventaja que permitía ver el código fuente y podía ser perfeccionado mediante la corrección de errores.

Inicialmente sé tenia un SO en creciente desarrollo, actualmente se habla de que Linux ya pertenece a la red y en constante propagación.

Pero a partir de este desarrollo de herramienta GNU, también se empezó a pensar en la manera de ahorrar dinero a las diferentes empresas y empezar a manejar este sistema operativo ya no solo en el ámbito de hosts, sino como elemento que interconecte redes entre sí. Se pensó entonces en desarrollar software GNU capaz de garantizar que una máquina pueda actuar como router o como bridge sin modificar ampliamente su máquina, de una manera práctica y sensible.

Llegando a este punto se pensaría, que utilidad tendría trabajar dispositivos de interconexión creados virtualmente bajo Linux, algunas respuestas son las siguientes:

! Los dispositivos Linux son baratos: Los costos de mantenimientos son

BRIDGE EN LINUX


SOFTWARE

Existen dos herramienta conocidas para la realización de bridge con Linux, recordando siempre que el bridge en este punto se trata como un cabe inteligente que conecta dos tarjetas de red.

Una de las utilidades para configuración e puentes es BRCFG.tgz, la otra es mediante bridge-utils.

BRCFG

Preparación para el arranque de la máquina

El bridge en Linux es utilizado principalmente sobre la distribución Suse, el cual trabaja bajo el gestor de arranque lilo. Como se comentaba anteriormente el PC que se utilizara como bridge debe poseer dos tarjetas de red, y se debe realizar la configuración de las mismas. El PC debe reconocer un segundo dispositivo ethernet en el arranque, esto se realiza añadiéndole en el archivo /etc/lilo.conf el positivo y volviendo a ejecutarse con lilo:

Append = “ether = 0, eth1” (inclusión de cada uno de los componentes de ethernet para el reconocimiento en el arranque)

Este procedimiento se realizaría de la misma forma si quisiéramos colocar mas de un dispositivo ethernet adicional.

Si su máquina carga los controladores Ethernet como módulos, tendrá que añadir parámetros de IRQ y puertos apropiados para el controlador en el fichero /etc/conf.modules o /etc/modules.conf de la siguiente forma.

Alias eth0 8139too

en la segunda tarjeta con su respectiva máscara (en este caso sera igual a la de la primera tarjeta) y se realizara la AND observando el resultado final.

Es decir se tomará como la dirección de red 194.168.5.0 pertenece a la clase C y por tal motivo la máscara que le pertenece será la 255.255.255.0 la cual se modificará. Se tiene el último octeto para el trabajo de hosts, 255 puntos para hosts, recordemos que el trabajo se realiza en forma binaria por tal razón, al sumar los ocho bits encontramos que el número máximo a trabajar es el mencionado anteriormente.

Al dividir simétricamente la parte correspondiente de host de hablaría del trabajo de una subred que alcanzaría direcciones desde la 0 al 127 y la segunda parte correspondería a direcciones entre 128 y 255.

Para que realmente se observará que existe una división de la red en mitades iguales se tendría que modificar la máscara de red que hasta el momento sería 255.255.255.0.

Este trabajo se debe realizar teniendo de nuevo en cuenta la condición de división simétrica en la red, de esta forma para dividir exactamente la red en dos, debemos tomar el último octeto de la máscara y realizar la misma división que se realizó cuando se analizó host.

La red se dividirá en parte iguales cuando en el último octeto de la máscara en lugar de 0 se encuentre 128. Para realizar la comprobación se tomarán dos direcciones de hosts para determinar la veracidad de la división por medio de la realización de una operación AND.

Las direcciones a tomar son 194.168.5.127 y la 194.168.5.129 (direcciones no tan lejanas del punto de división para observar la diferencia)


Alias eth1 8139too

Para averiguar que módulos están utilizando se realiza mediante ps-aux para saber si se está ejecutando en el kerneld y comprobando si hay archivos .o en algún subdirectorio del directorio /lib/modules.

Configuración del Kernel

Se debe recompilar el kernel de la máquina mediante la siguiente instrucción

Root# make dep clean zimage modules module_Install zlilo

Teniendo en cuenta que el bridge debe estar previamente activado dentro del archivo /etc/lilo.conf

CONFIG_BRIDGE= y

El trabaja con bridge no impide que la máquina no trabaje firewall, por tal motivo también puede incluir las reglas de firewall durante el momento de la recompilación del kernel.

Ademas necesitara activar la configuración normal de red:

CONFIG_NET =Y

En este momento ya se puede compilar el kernel, ejecutar el lilo y rearrancar el nuevo kernel, si la realización estos pasos fue correcta, su máquina no deberá sufrir grandes cambios en su ejecución en primera instancia.

Direcciones de red

Un puente idealmente no debe tener dirección de red, pero para poder

trabajar la máquina como un PC normal dentro de la red se debe configurar las máquinas de tal forma que su máquina sea reconocida por el resto de la red. Idealmente la configuración estándar sería la siguiente:

Ifconfig lo 127.0.0.1

motivo se realizara la misma operación

Route add –net 127.0.0.0

Se necesitaran adjudicar direcciones de red a cada una de sus tarjetas. Se puede realizar este trabajo modificando el archivo /etc/rc.d/rc.inetd para configurar dos tarjetas.

Para realizar la diferente configuración de la red donde se desea realizar el bridge es necesario tener en cuenta el trabajo de adjudicación de direcciones IP con sus respectivas subredes. Una subred IP es una colección de direcciones de red que pueden comunicarse directamente unas con otros sin tener que utilizar un dispositivo de Interconexión como un router.

La comunicación de dos subredes distintas se realizaría a través de un bridge para lo cual es necesario tener una puerta de enlace.

Se debe adjudicar a las dos tarjetas direcciones, las cuales pertenecerán a dos mitades diferentes de la red, es decir, se necesita limitar espacio de direcciones que alcance la mitas y que incluya una de las tarjetas y del mismo modo en la otra mita, esto se realiza teniendo en cuenta la máscara de la dirección de red que se trabajar, realizando el proceso de subneting.

Se realiza una AND binaria con la dirección IP de una tarjeta y la máscara de esta, se determina la red a la cual pertenece, la idea es realizar la partición por mitad, por tal


Dirección de hosts

Dirección binaria

Máscara

Máscara binaria

Operación AND

Dirección de red

194

11000010

255

11111111

11000010

194

168

10101000

255

11111111

10101000

168

5

00000101

255

11111111

00000101

5

127

01111111

128

10000000

00000000

0

Para una segunda dirección de hosts

Dirección de hosts

Dirección binaria

Máscara

Máscara binaria

Operación AND

Dirección de red

194

11000010

255

11111111

11000010

194

168

10101000

255

11111111

10101000

168

5

00000101

255

11111111

00000101

5

129

10000001

128

10000000

10000000

128

Se puede observar que al realizar el trabajo con la máscara de red, las dos direcciones de hosts que se trabajan aunque al parecer pertenecen a la misma red, al realizar la comprobación se nota el cambio de la red 194.168.5.0 a la red.

Teniendo en cuenta la descripción anterior se adjudicaran a cada una de nuestras tarjetas de red las dirección de hosts 194.168.5.12 (primer segmento de la red) y la 194.168.5.135 (segundo segmento de la red) cada una de ellas con una máscara 255.255.255.128.

Si todo esta funcionando correctamente se puede realizar una prueba tirando abajo las tarjetas de red, de esta forma la configuración del bridge de permanecer, debido a que las tarjetas continuaran trabajando en modo promiscuo y reconocerán los paquetes que pasan a través de ellas.

Ifconfig eth0 down ifconfig eth1 down

Para verificar el tráfico que pasa a través de cada interfaz se puede realizar a través de tcpdump por medio de dos ventanas diferentes

tcpdump – i eth0

tcpdump – i eth1

Por ejemplo si se desea buscar los paquetes que pasan por le puente a la segunda tarjeta desde la red interna, busco paquetes de la máquina con dirección 22 (dirección que pertenece a la primera parte de la red) de la siguiente forma

Tcpdump –i eth1 –e host 194.168.5.22

Ahora se realiza n ping desde la máquina 22 a cualquier máquina de la segunda parte de la red y de esta forma se podrá visualizar el tráfico.

Tcpdump se puede llamar como el snifer de paquetes original, se ejecuta sin argumentos y de esta manera se realiza un volcado en stdout de las cabeceras de los paquetes enviados y recibidos en la interfaz ethernet que queramos sondear.

BRIDGE – UTILS

Para el trabajo de esta herramienta es necesario que Linux posea un kernel mínimo 2.3.47, es caso de no poseerlo es necesario colocar los parches para que el bridge se soporte en el kernel que posee.


Ifconfig eth0 194.168.5.12 netmask 255.255.255.128 (perteneciente al

primer dispositivo de ethernet)

Compruebe que el dispositivo este configurado correctamente ejecutando Ifconfig(dispositivo), El resultado obtenido debe ser parecido al que se muestra a continuación:

Eth0 encap: Ethernet Hwaddr 00:50:56:E2:00:69

Inet addr: 194.168.5.12 Bcast: 194.168.5.128 Mask 255.255.255.128UP BROADCAST RUNNIN MULTICASR MTU: 1500 metric:1

RX packets: 3015 errors: 0 dripped: 0 overruns : 0 frame: 0

TX packets: 2262 errors: 0 dropped:0 overruns:0 carrier: 0

Collisions:0 txqueuelen:100

RX bytes 743497 (726.0 Kb) TX bytes: 226314 (221,0 Kb)

Interrump: 9 base address:0 x 100.66 Realtek – A LAN router

Los datos importantes ahora son la dirección IP (inet addr), la máscara de subred (MAC), estén configurado correctamente, que este presente el indicador UP en la tercera línea . La dirección de difusión línea 1 (bcast) es calculada por el PC teniendo en cuenta la dirección IP y la máscara de red.

Existe un parámetro especial que se encuentra en la tercera línea en este momento la tarjeta esta activada como multicast, es decir, indica que la interfaz es apta para multidifusión, pero puede ocurrir que aparezca con la característica promisc (característica que posee un bridge cuando trabaja en modo promiscuo), indica que la interfaz esta escuchando todo el tráfico de la red visible por la misma, esto conviene la interfaz

en un sniffer de red, tcpdump, ethered y otros programas se valen de este método para realizar un vistazo a todos los paquetes que pasan por la interfaz.

El esquema entonces que se tendría de la red es la siguiente

Cliente 1

Cliente 2

Hub Eth0 Kernel Eth1

.0 .128

.135.12

Cliente 1

Cliente 2

Como el trabajo en realidad del bridge es cuentear se necesita realizar una configuración especial a cada una de la tarjeta, permitiendo que estas escuchen paquetes que pasan a través de ellas, por tal motivo se realizará la siguiente operación.

Ifconfig promisc eth0 Ifconfig promisc eth1

CONFIGURACIÓN DEL PUENTE

Para activar el puenteo, por medio del siguiente comando

Brcfg-enable

Para comprobar el estado en cualquier momento ejecute:

Brcfg

Este comando sin parámetro mostrará como escucha, aprende y hace reenvío el bridge.


Para conocer que tipo de parche es necesario colocar se debe recurrir a buscar dentro del kernel –HOWTO.

Para aplicar el parche al kernel es necesario seguir los siguientes pasos:

Se debe realizar la aplicación del parche dentro del directorio que pertenece el kernel, este se encuentra dentro de /usr/src/Linux (versiondel kernel).

Root# cd usr/src/Linux-2.*.*

A continuación se realiza la aplicación del parche mediante la siguiente instrucción

Roote usr/src/Linux-2.*.*# Patch-p1<\bridge-0.0.5-against-2.2.14.diff

Donde el símbolo < indica redireccionamiento de la entrada y a continuación el nombre del archivo que entra.

Una vez colocada el parche es necesario buscar el módulo que corresponde a la colocación del bridge como parte del sistema operativo.

Esta búsqueda se realiza a través del menuconfig, para realizarlo correctamente es necesario estarse dentro del directorio /usr/src/Linux (version del kernel) y desde allí ejecutar la instrucción make menuconfig.

Una vez allí se despliega un menú dentro del cual se encuentra la opción network y allí encontramos las diferentes herramientas necesarias para el bridge, como son 802.1 (ethernet brindging), 802.1q (Vlan support) y los RFC 1483/2684 (bridge protocols).

A continuación se debe realizar la compilación del kernel, al igual que con la herramienta brcfg.

El resultado es el siguiente:

Después de observar la inclusión de cada una de las interfaces se debe llevar a cabo la colocación de la dirección IP de cada una de ellas, el equipo se va a comportar como bridge, por tal motivo la dirección IP va a ser

Root# Ifconfig eth0 0.0.0.0

Root# config eth1 0.0.0.0

Se sube la interfaz del bridge de la siguiente manera:

Root# Ifconfig mybridge up

mybridge1

bridge id

designated root

root port

max age

hello time

forward delay 4.00

ageing time

0000.0800062815f6

0000.0800062815f6

0

4.00

1.00

300.00


Una vez compilado el kernel, se realizará la colocación de la herramienta bridge-utils dentro de el directorio /usr/local/serc.

Una vez colocado el módulo es necesario iniciarlo y luego activarlo

Root/usr/local/src/bridge#make

Una vez construido el módulo se necesita la colocación de ejecutables en cada uno de los directorios correspondientes. Se encuentran dos ejecutables el brctl y el brctld.

Root/usr/local/src/bridge# cd brctl

Root/usr/local/src/bridge/brctl # cp brctl /usr/local/sbin

Recordemos que en sbin es la sección que contiene utilidades de administración o ejecutables

Root/usr/local/src/bridge/brctl # chmod 700 /usr/local/sbin/brctl

Por medio del comando chmod se cambian los permisos asignados permisos solamente al usuario de la misma forma se realiza con el ejecutable brctld.

Es necesario de la misma forma pasar los archivos correspondientes al manual de la herramienta.

Una vez realizados estos paso se puede proceder a ejecutar el bridge, comprobando primero la accesibilidad al dispositivo ethernet, si surgen problemas es necesario leer el HOWTO para solucionar incompatibilidades y conflictos.

Si la herramienta bridge-utils se ha constituido correctamente y su kernel con todos sus módulos se encuentran bien instalados se debe mostrar

una descripción pequeña al colocar el comando brctl

Para iniciar la configuración del bridge es necesaria la adjudicación nombre por medio del cual reconozca la quina a su estado como dispositivo.

Para iniciar la configuración del bridge es necesaria la adjudicación de un nombre por medio del cual reconozca la máquina su estado como dispositivo La colocación de este nombre se realiza de la siguiente forma:

Root# brctl abr mybridge

Se puede observar la colocación de este nombre por medio del comando show

Root# brctl show

Además de mostrar el nombre del bridge también se observa la identificación MAC y la habilitación el protocolo STP.

Después de crear en forma virtual el bridge y comprobar su existencia, se deben incluir cada una de las interfaces con las cuales se realizaran el bridge, se realiza de la siguiente forma:

Root # brct addif mybridge eth0

Root# brctl addif mybridge eth1

Cuando se realiza este procedimiento se debe observar si realmente las interfaces se encuentra para empezar el trabajo con el bridge, esta comprobación se realiza mediante el siguiente comando

Root# brctl show mybridge1


A continuación se puede colocar opcionalmente una interfaz virtual al bridge para trabajar en la re, se realiza utilizando el comando Ifconfig.

Listas de acceso IP estándar: Las listas de acceso estándar permiten o prohíben paquetes en base a la dirección IP de origen del paquete.

Listas de acceso IP extendida: Las listas de acceso extendidas ofrecen mayor control que las listas de acceso estándar, debido a que permiten habilitar filtrado en base a las direcciones de origen y destino del paquete IP.

Las ACL crean identificaciones para garantizar el reenvío y recepción de paquetes, estos pueden ser IP estándar 1-99 o IP extendida 100-199.

Comprender el filtrado de paquetes:

Los objetivos básicos del filtrado de paquete resultan muy sencillos. Supongamos que se desea que una red remota (generalmente, una red pública como Internet) acceda exclusivamente a recursos específicos situados en una red privada, al tiempo que se autoriza el acceso de la red privada a la red remota. La red interna es la red que se desea proteger de un acceso realizado desde el exterior. La red externa es la red remota. La interfaz interna es la interfaz de enrutador vinculada a la red interna. La interfaz externa es la interfaz vinculada a la red externa. Finalmente, cuando se trabaja con filtros es preciso comprender el concepto de dirección (o sentido del flujo): el tipo de tráfico, entrante o saliente, al que se aplica el filtro.

Si la dirección es entrante, el filtro se aplica al tráfico introduciendo la interfaz desde la red vinculada. En el caso de una interfaz interna, el tráfico entrante no es otra cosa que el tráfico que introduce la interfaz desde la red interna. Si este tráfico se enruta hacia la red externa, tendría que considerarse tráfico saliente en la interfaz externa.

Si la dirección es saliente, el filtro se aplica al tráfico que abandona la interfaz en la red vinculada. En el caso de una interfaz interna se trata de


El funcionamiento de una red requiere el manejo de tráfico para tener un mayor desempeño y brindar seguridad en el manejo de la información.

Desde los dispositivos de interconexión se puede manejar las listas de acceso (ACL) que es una enumeración secuencial de permisos y prohibiciones. Las listas de acceso permiten limitar el tráfico de red, implementa controles para el flujo de tráfico, identifica paquetes con diversas extensiones definiendo bloqueos o reenvíos dependiendo de la necesidad de la red.

Las ACL garantizan por medio del router Condiciones aplicadas al tráfico que viaja a través de la interfaz del router, el tipo de paquetes aceptar o rechazar basándose en condiciones específicas, la administración del tráfico y aseguran el acceso hacia y desde una red.

Los administradores de red deben buscar maneras de impedir el acceso no autorizado a la red, permitiendo por otro lado el acceso autorizado.

Existen las ACL estándar y extendidas. Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de Paquetes de Internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.

ADMINISTRACIÓN DE TRÁFICO DE RED


tráfico enviado desde la interfaz interna a la red interna. Si este tráfico se enruta desde la red externa, también se debe considerar tráfico entrante en la interfaz externa.

Configuración de las ACL

El primer paso a la hora de configurar las ACL consiste en comprender la sintaxis de las listas de acceso.

En el caso de una lista de acceso estándar, la sintaxis no resulta demasiado compleja. Sin embargo, en el caso de las listas de acceso extendidas, la sintaxis puede resultar un poco más confusa.

En la siguiente tabla se describen las características de los comandos empleados en este apartado.

Comando Descripción Modo

access-list [número de lista de acceso] [deny/permit] [origen] [máscara comodin de origen] [log]

Crear una lista de acceso IP numerada de carácter estándar

Configuración global

access-list [número de lista de acceso] [deny/permit] [protocolo] [origen] [máscara comodin de origen] [operadores de puerto (opcionales)] [established] [log]

Crear una lista de acceso numerada de carácter extendido

Configuración global

Configuración globalCrear una lista de acceso numerada de carácter estándar

ip access-list standard [nombre]

[deny/permit] [origen] [máscara comodin de origen] [log]

ip access-list extended[nombre]

Introduce sentencias en una lista de acceso IP denominada de carácter estándar

Configuración globalCrear una lista de acceso IP denominada de carácter extendido

Configuración de listas de acceso

[deny/permit] [protocolo] [origen] [máscara comodin de origen] [operadores de puerto (opcionales)][destino] [máscara comodin de origen][operadoresde puerto (opcionales)] [established] [log]

Introduce sentencias en una lista de acceso IP denominada de carácter extendido

Configuración de listas de acceso

Seguridad: garantizando el control de acceso para la seguridad de las conexiones de la red, el cifrado para proteger la privacidad de los datos y la autenticación para poder verificar acertadamente tanto la identidad de los usuarios como la integridad misma de la información.

Control de tráfico: el segundo componente crítico en la implementación de una efectiva VPN es el control de tráfico que garantice solidez, se debe observar muy específicamente los parámetros de prioridad de datos para garantizar el ancho de banda.

Manejo empresarial: Es necesario ir acorde con los niveles de seguridad de la empresa, permitiendo al mismo tiempo flexibilidad.

El objetivo final de una VPN es brindarle una conexión al usuario remoto como si este estuviera disfrutando directamente de su red privada y de los beneficios y servicios que dentro de ella dispone, aunque esta conexión se realice sobre una infraestructura pública.

El éxito de una VPN depende de una adecuada elección de la tecnología y del escenario, siempre acordes a las necesidades que se tengan.

Intranet VPN (LAN-to-LAN VPN): En este escenario, múltiples redes remotas de la misma compañía son conectadas entre si usando una red pública, convirtiéndolas en una sola LAN corporativa lógica, y con todas las ventajas de la misma.

Acceso Remoto VPN: En este caso, un host remoto crea un túnel para conectarse a la Intranet corporativa. El dispositivo remoto puede ser un computador personal con un software cliente para crear una VPN, y usar una conexión conmutada, o una conexión de banda ancha permanente.

Extranet VPN: Esta arquitectura permite que ciertos recursos de la red

100100 LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN LA RED, MÁS QUE UNA INSTALACIÓN UN PROCESO DE ADMINISTRACIÓN

Configuración de interfazAplica una lista de acceso a una interfaz

ip access-group [número o nombre de lista de acceso] [in/out]

show ip access-list [número o nombre de lista de acceso]

show access-lists [número o nombre de lista de acceso]

Muestra una o todas las listas de acceso IP

Ejecución de usuarioMuestra una o todas las listas de acceso IP

Ejecución de usuario


El primer comando que aparece en la lista, access-list, se usa para crear listas de acceso IP numeradas de carácter estándar y extendido. El factor decisivo que indica si una lista de acceso debe ser estándar o extendida es simplemente el número utilizado para definir la lista de acceso. Si dicho número está comprendido entre 1 y 99, la lista de acceso será una ACL IP estándar. Si, por el contrario, el número utilizado se sitúa entre 100 y 199, la lista de acceso será una ACL IP extendida.

La configuración de las listas de acceso en el formato numerado sigue una serie de reglas de carácter simple:

! Las listas de acceso coinciden con las sentencias introducidas utilizando comandos de lista de acceso múltiples con el mismo número.

! Las listas de acceso coinciden con las sentencias procesadas en el orden introducido, donde la primera sentencia coincide con el paquete que se está utilizando.

! Las sentencias individuales presentes en las listas de acceso numeradas no pueden modificarse.

Para eliminar una sentencia ACL hay que utilizar el comando no access-üst [número], eliminando todas las sentencias asociadas con dicha ACL.

A medida que se exploren las características de los comandos access-list, el usuario aprenderá más sobre la estructura de estas reglas. Para los principiantes se explica a continuación cómo se construye una lista de acceso IP numerada estándar.

Una VPN es una conexión que tiene la apariencia y muchas de las ventajas de un enlace dedicado pero trabaja sobre una red pública. Para este propósito usa una técnica llamada entunelamiento (tunneling), los paquetes de datos son enrutados por la red pública, tal como Internet o alguna otra red comercial, en un túnel privado que simula una conexión punto a punto. Este recurso hace que por la misma red puedan crearse muchos enlaces por diferentes túneles virtuales a través de la misma infraestructura. También hace universales para su transporte los diferentes protocolos LAN entre los que se encuentran IP, IPX, Appletalk y Netbeui.

Los componentes básicos de un túnel son:

! Un iniciador del túnel.! Uno o varios dispositivos de enrutamiento.! Un conmutador de túneles. (opcional)! Uno o varios terminadores de túneles.

La VPN puede ser iniciada a través de un portátil y un modem o a través de un router en una LAN, igualmente puede ser finalizado por otro enrutador o por un switch. La creación de la VPN depende directamente de un software de cifrado, autenticación y autorización del túnel.

Una óptima VPN debe considerar tres parámetros de seguridad, control de tráfico y manejo empresarial.

VPN


corporativa sean accesados por redes de otras compañías, tales como clientes o proveedores. En este escenario es fundamental el control de acceso.

Un punto clave en el desarrollo de la VPN es el manejo de la autenticación y el cifrado.

La autenticación es el acto de verificar la identidad de alguien o algo en un contexto definido. La autenticación involucra usualmente la interacción entre dos entidades: el objeto de la autenticación (un usuario o un cliente) que afirma su identidad y un autenticador realizando la verificación de la identidad.

Los sistemas de autenticación pueden estar basados en uno de los siguientes tres atributos: algo que el usuario tiene (por ejemplo la llave de una puerta); algo que el usuario sabe (por ejemplo una clave); ó algo que el usuario es (por ejemplo sistemas de reconocimiento de voz ó barrido de retinas). Es generalmente aceptado el uso de un método sencillo de autenticación tal como el password, pero no es adecuado para proteger sistemas. Los expertos recomiendan los llamados sistemas de autenticación complejos, los cuales usan al menos dos de los atributos de autenticación anteriores.

El cifrado En una tarea de cifrado, el emisor y el receptor, deben conocer el conjunto de reglas que rigen el mecanismo como tal. Las llaves son usadas para transformar la información original en una resultante llamada texto cifrado.

Como ambas partes conocen el cifrado, cualquiera de ellas puede reversar el proceso para abstraer el texto original.

El cifrado se basa en dos componentes: un algoritmo y una llave. Un algoritmo criptográfico es una función matemática que combina texto plano o cualquier otra información inteligible con una cadena de dígitos

! Retardo medido de paquetes de información.! Tasa máxima de paquetes perdidos.! Tasa de error medida en los bits de información.! Velocidad máxima instantánea de transmisión.

Existen funciones de calidad de servicio asociadas al equipo de enrutamiento son llamadas Edge router y core router.

Edge router: maneja el proceso de clasificación de paquetes y el control de admisión a través de listas de acceso.

Core router: maneja la administración de la congestión y políticas para evitar congestión en la red.


llamada key (llave) para producir un texto cifrado o no inteligible. Tanto la llave como el algoritmo son cruciales en un proceso de cifrado.

El cifrado basado en un sistema de llaves ofrece una gran ventaja, los algoritmos criptográficos son difíciles de idear por lo cual sería traumático usar un nuevo algoritmo cada vez que una parte se quiera comunicar de manera privada con una nueva.

Usando una llave, un usuario podría utilizar el mismo algoritmo para comunicarse con diferentes usuarios remotos; y todo lo que se debería hacer sería utilizar una diferente llave con cada uno de ellos.

El número de llaves posibles que tiene cada algoritmo depende del número de bits de la llave. El número de posibles llaves viene dado por la fórmula 2n, donde n es el número de bits de la llave. Por ejemplo, una llave de 64 bits permite 264 posibles combinaciones numéricas o llaves. Es decir, 18'446.744'073.709'551.616 claves. El gran número de posibles claves dificulta los ataques de fuerza bruta en donde se examinan todas las posibles combinaciones. Por lo tanto la fortaleza del cifrado depende de la longitud de la llave.

Se define clase de servicio como el conjunto de parámetros de calidad de transmisión que orienta el tráfico de información en la red, las conexiones asociadas en una clase de servicio (CS) generan un patrón de tráfico, que es la estadística con la que una conexión genera paquetes de información. Cada patrón de tráfico debe tener unos requerimientos de calidad, que al hablar de LAN o WAN esta conducta seria inmanejable.

Por lo tanto es necesario crear un conjunto de CS a las que se deben acoger las conexiones del sistema y sus aplicaciones, por lo tanto cuando una aplicación quiera enviar un paquete por el sistema de transmisión deberá analizar las conexiones y flujos de conexión activos y ajustarse a las reglas que los rigen.

Entre las características que deben tener las reglas se encuentran

! Asignación de ancho de banda.! Manejo de prioridades.! Modelación de tráfico de red.! Selección de tráfico.! Administración y control de gestión.

Para garantizar el cumplimiento del servicio las reglas deben ser simples entre otras se encuentran

CALIDAD DE SERVICIO QoS


Otro aspecto muy importante de la administración de sistemas en un entorno de red es proteger al sistema y a sus usuarios, de intrusos. Los sistemas que son administrados descuidadamente ofrecen muchos huecos a los malintencionados: los ataques van desde averiguar las claves hasta acceder a nivel de Ethernet, y el daño causado puede ser desde mensajes de correo falsos hasta pérdida de datos o violación de la privacidad de los usuarios.

La seguridad del sistema comienza con una buena administración del mismo. Esto incluye comprobar la propiedad y permisos de todos los ficheros y directorios vitales, monitorizar el uso de cuentas privilegiadas, etc.

Es conveniente usar un sistema de claves que fuerce ciertas reglas en las claves de los usuarios que las hagan difíciles de adivinar. El sistema de claves ocultas (shadow password), por ejemplo, requiere que una clave tenga al menos cinco letras, entre las cuales se encuentren tanto mayúsculas como minúsculas, números y caracteres no-alfabéticos.

Cuando un servicio se hace accesible a la red, asegúrese de darle el menor privilegio. Esto significa, en una palabra que no se deberán permitir acciones que no son imprescindibles, para que se trabaje como se diseñó el servicio originalmente.

SEGURIDAD DEL SISTEMA


Si se quiere usar un servicio sólo para una aplicación muy limitada, el administrador del sistema no debe vacilar en configurar el servicio tan restrictivamente como la aplicación especial lo permita.

Pensando en la misma línea, se podría restringir ciertos servicios a usuarios que acceden desde ciertos nodos, digamos desde nuestra red local.

Otra fuente a considerar deberían ser aquellos programas que permiten registrarse en el sistema, o la ejecución de órdenes con autentificación limitada.

Las órdenes rlogin, rsh y rexec, son muy útiles pero ofrecen un muy ligero método de autentificación para aquellos que hagan uso de ellas. Un método de autentificación se basa en la confianza del nombre del nodo llamado, el cual fue obtenido de un servidor de nombres, que pudo haber sido falseado. Hoy en día, debería ser una práctica común el reemplazar completamente los comandos r con la colección de herramientas ssh.

Las herramientas ssh usan un método de autentificación mucho más confiable, además de proporcionar otros servicios como encriptación y compresión.

BIBLIOGRAFÍA

! Academia de Networking de Cisco Systems “Guía de primer año CCNA 1 y 2”, Tercera Edicion, Editorial Pearson Education, Madrid 2004.

! Academia de Networking de Cisco Systems “Guía de primer año CCNA 3 y 4”, Tercera Edicion, Editorial Pearson Education, Madrid 2004.

! TALLING William, “Comunicaciones y Redes de Computadores”, sexta edición, Editorial Prentice Hall, Madrid 2006.

! Hernández, Julio Cesar: Técnicas de detección de sniffers. Universidad Carlos III de Madrid, http://www.revistasic.com/revista42/pdf_42/SIC_42_agora.PDF

! Charles , L Hedrick. Introducción a la Administración de una Red local basada en Internet, Universidad de New Yersey, http://lucas.hispalinux.es/Manuales-LuCAS/IAR/intro-admon-redes-v1.1.pdf

! Figueroa, Carlos, Administración de Redes, Departamento de computación y T.I USB, http://www.ldc.usb.ve/~figueira/Cursos/AdminRedesTelematica/Material/introduccion.pdf

! Montaña, Rogelio y Nuño, Juan Carlos, Dispositivos de Interconexión de nivel 2, Dpto de Informática Comunidad de Madrid, http://www.nostare.com/apuntes/apuntes-redes/tema4/tema4.3/tema4.3.2.pdf.

CIBERGRAFÍA


RESEÑA

Ing. Giovanna Albarracín Niño, Especialista en Redes de Alta Velocidad y Distribuidas, conocimientos en redes convergentes, Control y telecomunicaciones, a nivel académico con estudios realizados en manejo de créditos académicos, instrumentos de evaluación, desarrollo de objetos virtuales de aprendizaje, pedagogía virtual, y docencia virtual, experiencia universitaria en docencia.

GIOVANNA ALBARRACÍN NIÑO

LA RED, MÁS QUE UNA DE ADMINISTRACIÓN · Se consiguen enormes velocidades de transferencia de...

Documents

Transcript of LA RED, MÁS QUE UNA DE ADMINISTRACIÓN · Se consiguen enormes velocidades de transferencia de...