Los que nos dedicamos al mundo de la ADMINISTRACION DE REDES, nos toca trabajar por la noche. Aprovechando lo que se llama horas valle o horas de poca actividad, nos toca cambiar o actualizar tanto equipos como programas a altas horas de la noche. Sigue siendo un trabajo en la sombra, dado que se espera que haya el menor impacto, pero siempre estás jugando en la cuerda floja y cualquier problema, puede desencadenar que acabes con el agua hasta el cuello. Véase lo que ha pasado esta semana con Google.
Soy de los que piensan, que nuestro trabajo está poco valorado.
Por Viafarajw
jueves, 5 de noviembre de 2009
viernes, 30 de octubre de 2009
las Tics
Las Tecnologías de Información, son una herramienta generadora de productos finales, son procesos científicos cuyo principal objetivo es la generación de conocimientos, que a la postre vqan a incidir en los modos de vida de las sociedades, no sólo en un ámbito técnico o especializado, sino principalmente en la creación de nuevas formas de comunicación y convivencia global.
jueves, 22 de octubre de 2009
Dns
Un servidor DNS en la red local, nos permitirá crear una asociación directa Nombre de PC <->
Dirección IP en nuestra red, que nos facilitará la identificación de nuestros equipos.
En las redes TCP/IP, cada PC dispone de una dirección IP para poder comunicarse con el resto de PCs. Es equivalente a las redes de telefonía en las que cada teléfono dispone de un número de teléfono que le identifica y le permite comunicarse con el resto de teléfonos.
Trabajar con direcciones IP es incómodo para las personas, ya que requeriría conocer en todo momento las direcciones IP de los equipos a los que queremos conectarnos. En su lugar utilizamos nombres que son más fáciles de recordar y utilizar como por ejemplo www.google.es, www.sena.edu.co
etc...
Cada equipo y cada servidor conectado a Internet, dispone de una dirección IP y de un nombre
perteneciente a un dominio. Internamente, la comunicación entre los PCs se realiza utilizando direcciones IP por eso es necesario algún sistema que permita, a partir de los nombres de los PCs, averiguar las direcciones IPs de los mismos
Un servidor DNS es un servidor que permite averiguar la IP de un PC a partir de su nombre. Para ello, el servidor DNS dispone de una base de datos en la cual se almacenan todas las direcciones IP y todos los nombres de los PCs pertenecientes a su dominio.
No existe una base de datos única donde se almacenan todas las IPs existentes en el mundo, sino que cada servidor almacena las IPs correspondientes a su dominio. Los servidores DNS están dispuestos jerárquicamente de forma que cuando nuestro servidor más inmediato no puede atender nuestra petición,éste la traslada al DNS superior.
En el proceso de resolución de un nombre, hay que tener en cuenta que los servidores DNS funcionan
frecuentemente como clientes DNS, consultando a otros servidores para resolver completamente un nombre consultado.
Zona de Búsqueda Directa: Las resoluciones de esta zona devuelven la dirección IP correspondiente al recurso solicitado. Realiza las resoluciones que esperan como respuesta la dirección IP de un determinado recurso.
Zona de Búsqueda Inversa: Las resoluciones de esta zona buscan un nombre de equipo en función de su dirección IP; una búsqueda inversa tiene forma de pregunta, del estilo "¿Cuál es el nombre DNS del equipo que utiliza la dirección IP 192.168.0.20?".
Reenviador DNS: Servidor DNS designado por otros servidores DNS internos para su uso en consultas
para resolver nombres de dominio DNS externos o fuera del dominio local.
Configuración del servidor DNS
El servidor DNS admite tres modos de funcionamiento
Servidor DNS maestro
•
Servidor DNS esclavo
•
Servidor caché DNS
•
Servidor DNS maestro
En este modo de funcionamiento, nuestro servidor se comporta como un auténtico servidor DNS para
nuestra red local. Atenderá directamente a las peticiones de resolución de direcciones pertenecientes a la red local y reenviará a servidores DNS externos las peticiones del resto de direcciones de Internet.
Servidor DNS esclavo
Un servidor esclavo actuará como un servidor espejo de un servidor DNS maestro. Permanecerá
sincronizado con el maestro. Se utilizan para repartir las peticiones entre varios servidores aunque las modificaciones solo se realicen en el maestro. En redes locales salvo por razones de disponibilidad, es raro que exista la necesidad de tener dos servidores DNS ya que con uno será suficiente.
Servidor caché DNS
En este modo de funcionamiento, nuestro servidor se comporta como si fuera un auténtico servidor DNS para nuestra red local aunque realmente no sea un servidor DNS propiamente dicho. Cuando recibe una petición de DNS por parte de un cliente de nuestra red, la trasladará a un DNS maestro que puede estar en nuestra red o fuera, almacenará en una memoria caché la respuesta y a la vez la comunicará a quien hizo la petición. Si un segundo cliente vuelve a realizar la misma petición, como nuestro servidor tiene la respuesta almacenada en su memoria caché, responderá inmediatamente sin tener que cursar la petición a ningún servidor DNS de Internet.
Disponer de un servidor caché DNS en nuestra red local aumenta la velocidad de la conexión a Internet pues cuando navegamos por diferentes lugares, continuamente se están realizando peticiones DNS. Si nuestro caché DNS almacena la gran mayoría de peticiones que se realizan desde la red local, las respuestas de los clientes se satisfarán prácticamente de forma instantánea proporcionando al usuario una sensación de velocidad en la conexión.
Es un modo de funcionamiento de sencilla configuración ya que prácticamente lo único que hay que
configurar son las direcciones IP de un DNS primario y de un DNS secundario. Muchos routers ADSL
ofrecen ya este servicio de caché, tan solo hay que activarlo y configurar una o dos IPs de servidores DNS en Internet. En los PCs de nuestra red local podríamos poner como DNS primario la IP de nuestro router y como DNS secundario una IP de un DNS de Internet.
Archivos de configuracion del DNS
El archivo de configuración del DNS es el archivo /etc/bind/named.conf, pero este hace referencia a otros cuantos archivos como por ejemplo:
Archivo Descripción
named.conf Archivo principal de configuración
named.conf.options Opciones genéricas
named.conf.local Especificación particular de este servidor DNS
db.127 Especificación dirección de retorno
db.root DNSs de nivel superior
otros db.0, db.255, db.empty, db.local, rndc.conf, rndc.key, zones.rfc1918
Nota:
comandos named-checkconf y named-checkzone
Por Viafarajw
Dirección IP en nuestra red, que nos facilitará la identificación de nuestros equipos.
En las redes TCP/IP, cada PC dispone de una dirección IP para poder comunicarse con el resto de PCs. Es equivalente a las redes de telefonía en las que cada teléfono dispone de un número de teléfono que le identifica y le permite comunicarse con el resto de teléfonos.
Trabajar con direcciones IP es incómodo para las personas, ya que requeriría conocer en todo momento las direcciones IP de los equipos a los que queremos conectarnos. En su lugar utilizamos nombres que son más fáciles de recordar y utilizar como por ejemplo www.google.es, www.sena.edu.co
etc...
Cada equipo y cada servidor conectado a Internet, dispone de una dirección IP y de un nombre
perteneciente a un dominio. Internamente, la comunicación entre los PCs se realiza utilizando direcciones IP por eso es necesario algún sistema que permita, a partir de los nombres de los PCs, averiguar las direcciones IPs de los mismos
Un servidor DNS es un servidor que permite averiguar la IP de un PC a partir de su nombre. Para ello, el servidor DNS dispone de una base de datos en la cual se almacenan todas las direcciones IP y todos los nombres de los PCs pertenecientes a su dominio.
No existe una base de datos única donde se almacenan todas las IPs existentes en el mundo, sino que cada servidor almacena las IPs correspondientes a su dominio. Los servidores DNS están dispuestos jerárquicamente de forma que cuando nuestro servidor más inmediato no puede atender nuestra petición,éste la traslada al DNS superior.
En el proceso de resolución de un nombre, hay que tener en cuenta que los servidores DNS funcionan
frecuentemente como clientes DNS, consultando a otros servidores para resolver completamente un nombre consultado.
Zona de Búsqueda Directa: Las resoluciones de esta zona devuelven la dirección IP correspondiente al recurso solicitado. Realiza las resoluciones que esperan como respuesta la dirección IP de un determinado recurso.
Zona de Búsqueda Inversa: Las resoluciones de esta zona buscan un nombre de equipo en función de su dirección IP; una búsqueda inversa tiene forma de pregunta, del estilo "¿Cuál es el nombre DNS del equipo que utiliza la dirección IP 192.168.0.20?".
Reenviador DNS: Servidor DNS designado por otros servidores DNS internos para su uso en consultas
para resolver nombres de dominio DNS externos o fuera del dominio local.
Configuración del servidor DNS
El servidor DNS admite tres modos de funcionamiento
Servidor DNS maestro
•
Servidor DNS esclavo
•
Servidor caché DNS
•
Servidor DNS maestro
En este modo de funcionamiento, nuestro servidor se comporta como un auténtico servidor DNS para
nuestra red local. Atenderá directamente a las peticiones de resolución de direcciones pertenecientes a la red local y reenviará a servidores DNS externos las peticiones del resto de direcciones de Internet.
Servidor DNS esclavo
Un servidor esclavo actuará como un servidor espejo de un servidor DNS maestro. Permanecerá
sincronizado con el maestro. Se utilizan para repartir las peticiones entre varios servidores aunque las modificaciones solo se realicen en el maestro. En redes locales salvo por razones de disponibilidad, es raro que exista la necesidad de tener dos servidores DNS ya que con uno será suficiente.
Servidor caché DNS
En este modo de funcionamiento, nuestro servidor se comporta como si fuera un auténtico servidor DNS para nuestra red local aunque realmente no sea un servidor DNS propiamente dicho. Cuando recibe una petición de DNS por parte de un cliente de nuestra red, la trasladará a un DNS maestro que puede estar en nuestra red o fuera, almacenará en una memoria caché la respuesta y a la vez la comunicará a quien hizo la petición. Si un segundo cliente vuelve a realizar la misma petición, como nuestro servidor tiene la respuesta almacenada en su memoria caché, responderá inmediatamente sin tener que cursar la petición a ningún servidor DNS de Internet.
Disponer de un servidor caché DNS en nuestra red local aumenta la velocidad de la conexión a Internet pues cuando navegamos por diferentes lugares, continuamente se están realizando peticiones DNS. Si nuestro caché DNS almacena la gran mayoría de peticiones que se realizan desde la red local, las respuestas de los clientes se satisfarán prácticamente de forma instantánea proporcionando al usuario una sensación de velocidad en la conexión.
Es un modo de funcionamiento de sencilla configuración ya que prácticamente lo único que hay que
configurar son las direcciones IP de un DNS primario y de un DNS secundario. Muchos routers ADSL
ofrecen ya este servicio de caché, tan solo hay que activarlo y configurar una o dos IPs de servidores DNS en Internet. En los PCs de nuestra red local podríamos poner como DNS primario la IP de nuestro router y como DNS secundario una IP de un DNS de Internet.
Archivos de configuracion del DNS
El archivo de configuración del DNS es el archivo /etc/bind/named.conf, pero este hace referencia a otros cuantos archivos como por ejemplo:
Archivo Descripción
named.conf Archivo principal de configuración
named.conf.options Opciones genéricas
named.conf.local Especificación particular de este servidor DNS
db.127 Especificación dirección de retorno
db.root DNSs de nivel superior
otros db.0, db.255, db.empty, db.local, rndc.conf, rndc.key, zones.rfc1918
Nota:
comandos named-checkconf y named-checkzone
Por Viafarajw
martes, 20 de octubre de 2009
Matar procesos
TEXTO A MOSTRAR
Escenario: Tenemos un programa bloqueado a pantalla completa. No podemos ejecutar gnome-system-monitor (útil para cerrar programas rebeldes) y no responde al típico control+c o a alt+F4 ¿que hacemos?
Lo primero es pasar a modo consola, tendremos una consola del sistema pulsando:
Control + Alt + F2
Entonces nos pedirá (a mi me lo pide) el nombre de usuario y contraseña. Usamos el de usuario normal, no necesitamos nivel de root.
Ahora tenemos una consola funcional. Para poder cerrar el programa necesitaresmos su PID (Process Identification, creo). Podemos sacar una lista de todos los procesos que se están ejecutando junto con su correspondiente PID con el comando ps pero posiblemente la lista sea muy larga así que pasaremos la salida de ese comando por un filtro con grep para que nos de el PID exacto del programa que queremos cerrar, esto lo haremos de la siguiente manera:
ps -e | grep nombreprograma
Una vez tengamos el PID cerrar el programa es tan sencillo como hacer:
kill PID
(donde PID es el número PID del programa que está bloqueandote el sistema)
Ahora ya debería de estar cerrado ese molesto programa pero aun tenemos ante nosotros la consola y nosotros queremos volver a nuestro escritorio asi que pulsamos:
Control + Alt + F7
Y tendremos nuestro escritorio ya liberado del programa que lo bloqueaba.
NOTA; Tambien puedes usar killall y nombre del ejecutable
Por Viafarajw
CONTINUACIÓN
Escenario: Tenemos un programa bloqueado a pantalla completa. No podemos ejecutar gnome-system-monitor (útil para cerrar programas rebeldes) y no responde al típico control+c o a alt+F4 ¿que hacemos?
Lo primero es pasar a modo consola, tendremos una consola del sistema pulsando:
Control + Alt + F2
Entonces nos pedirá (a mi me lo pide) el nombre de usuario y contraseña. Usamos el de usuario normal, no necesitamos nivel de root.
Ahora tenemos una consola funcional. Para poder cerrar el programa necesitaresmos su PID (Process Identification, creo). Podemos sacar una lista de todos los procesos que se están ejecutando junto con su correspondiente PID con el comando ps pero posiblemente la lista sea muy larga así que pasaremos la salida de ese comando por un filtro con grep para que nos de el PID exacto del programa que queremos cerrar, esto lo haremos de la siguiente manera:
ps -e | grep nombreprograma
Una vez tengamos el PID cerrar el programa es tan sencillo como hacer:
kill PID
(donde PID es el número PID del programa que está bloqueandote el sistema)
Ahora ya debería de estar cerrado ese molesto programa pero aun tenemos ante nosotros la consola y nosotros queremos volver a nuestro escritorio asi que pulsamos:
Control + Alt + F7
Y tendremos nuestro escritorio ya liberado del programa que lo bloqueaba.
NOTA; Tambien puedes usar killall y nombre del ejecutable
Por Viafarajw
CONTINUACIÓN
viernes, 16 de octubre de 2009
SUBNETTING
SUBNETTING
Dirección IP Clase A, B, C, D y E
Las direcciones IP están compuestas por 32 bits divididos en 4 octetos de 8 bits cada uno. A su vez, un bit o una secuencia de bits determinan la Clase a la que pertenece esa dirección IP.
Cada clase de una dirección de red determina una máscara por defecto, un rango IP, cantidad de redes y de hosts por red.
A medida que las redes crecen aumentando el numero de segmentos, mas direcciones de red (IP) son necesarios ya que cada segmento requiere un numero propio. La InterNIC(Network Information Centers cooperation), sin embargo, no puede manejar un numero ilimitado de direcciones de red ya que se estan acabando rapidamente debido a la alta demanda proveniente de la comunidad de Internet. Es por esto que los administradores de redes deberan trabajar con lo poco que tienen para acomodarse mejor a los requerimientos de la red y la reducida oferta de direcciones.
* Conceptos Basicos (Introduccion)
La función del Subneteo o Subnetting es dividir una red IP física en subredes lógicas (redes más pequeñas) para que cada una de estas trabajen a nivel envío y recepción de paquetes como una red individual, aunque todas pertenezcan a la misma red física y al mismo dominio.
El Subneteo permite una mejor administración, control del tráfico y seguridad al segmentar la red por función. También, mejora la performance de la red al reducir el tráfico de broadcast de nuestra red. Como desventaja, su implementación desperdicia muchas direcciones, sobre todo en los enlaces seriales.
Una manera de lograrlo es tomar las direcciones que son asignadas a la red y expandir su capacidad con subredes. Subnetting (implementar subredes) permite incrementar el numero de redes disponibles sin solicitar otra direccion IP.
Es importante saber que las direccion IP estan clasificadas acorde a un nivel por clase, siendo asi que existen cinco clases de direcciones IP, las cuales son las siguientes:
* Clase A: permite alrededor de 16,000,000 hosts conectados a la red. Este tipo de direcciones son poco comunes, y se agotaron, ya que debido a sus caracteristicas solo existian unas pocas miles de este tipo de direcciones.
* Clase B: permite alrededor de 65,000 hosts conectados a la red. Lamentablemente este tipo de direcciones ya no se ofrecen, y son sumamente costosas, por las comodidades que brinda (amplia gama de direcciones IP), pero representan un gran desperdicio de direcciones, ya que muy pocas redes Clase B llegan a conectar 65,000 hosts, un ejemplo es la red de la Universidad Simon Bolivar (159.90)
* Clase C: permite solo 254 hosts conectados a la red, y son actualmente la sunicas ofresidas a la venta. Se ha logrado implementar un metodo que permite usionarvarias direcciones Clase C, enmascarandolas como una sola red. Este metodo se conoce como CIDR (Classless InterDomain Routing).
* Clase D: utilizada para propositos de multicast.
* Clase E: utilizada actualmente para fines experimentales.
Las direcciones IP son globalmente unicas, y tienen una estructura jerarquica de la forma + . Tienen una notacion de la siguiente manera:
* 10.3.2.4 (Clase A, pues el primer numero esta entre 0 y 127).
* 159.90.10.185 (Clase B, pues el primer numero esta entre 128 y 191).
* 192.12.69.77 (Clase C, pues el primer numero esta entre 192 y 223).
* 224.0.0.0 (Clase D, pues es en este numero donde comienzan, hasta 239).
* 240.0.0.0 (Clase E, pues es en este numero donde empiezan).
La idea principal de las direcicones IP era que cada identificara exactamente una red fisica. Pero resulto que esta meta tenia unos cuantos defectos. Por ejemplo, un red implementada en una universidad que tiene muchas redes internas decide conectarse a INternet. Para cada red, sin importar cuan peque#a, se necesita una direccion Clase C, por lo menos. Aun peor, para cada red con mas de 255 hosts se necesitaria una direccion Clase B. Esto representa un gran desperdicio de direcciones, e ineficiencia en la asignacion de direcciones IP, sin contar los altos costos.
Peor aun, en dado caso que se llegaran muchas de las direcciones IP en una red Clase B, esto representa un aumento en el tiempo de envio de paquetes ya que la tabla de redireccionamiento de los routers aumentaria notablemente, y la busqueda del destino en esta tabla tomaria mucho tiempo. A medida que se agregan hosts se hace mas grande la tabla de ireccionamiento(routing table), lo que trae como consecuencia un aumento en los costos de los routers y una degradacion en el erformancedel router.
* Subnetting: la solucion
Una gran solucion a este problema es ofrecida por el subnetting(implementacion de subredes), lo que permite reducir el numero total de redes a ser asignadas. La idea es tomar una de una direccion de IP y asignar las direcciones IP de esa a varias redes fisicas, que seran ahora referidas como subredes. Pero hay que hacer ciertas cosas para que esto funcione. Primero, las subredes deben de estar cerca unas de otras, debido a que a un punto distante en el Internet todas lucirian igual a una sola red, teniendo solo una en comun. Esto significa que un router solo estaria habilitado para seleccionar una sola ruta para llegar a cualquiera de las subredes, asi que es mejor que se encuentren ubicadas en la misma direccion. No es que no vaya a funcionar si se encuentran muy separadas, solo que funcionara mucho mejor el sistema de subredes si le logra tenerlas en la misma direccion general. Un ejemplo practico de utilizacion de subnetting es en una universidad con una red Clase B (como la USB) que tenga muchas redes fisicas. Desde afuera de la universidad, todo lo que se necesita saber para alcanzar cualquier subred dentro de la red principal es la direccion del router que conecta a la universidad con el resto del Internet.
El mecanismo con el cual se puede lograr compartir un numero de red () entre distintas redes involucra la configuracion de todos los nodos en cada subnet con una mascara de red, la misma para todos los nodos dentro de una subred. Con las mascaras de redes se logra jerarquizar aun mas la estructura jerarquica de un IP, que como se dijo antes esta constituida por + , incluyendo un nuevo nivel de jerarquia que llamaremos . Como ya se sabe, todo los hosts en una misma red tienen la misma , pero ahora todos los host en la misma red fisica tendran el mismo , lo que hace que los hosts en la misma red, pero en distintas redes fisicas compartan la pero no el , y esto como se puede notar ayuda notablemente en la transmision de informacion, pues se complementa las tablas de direccionamiento con otro campo que ayudara a mejorar la eficiencia de envio de paquetes.
Para entender mejor el funcionamiento de las mascaras de red, supongamos que se quiere dividir una red Clase B en varias redes. Podriamos utilizar una mascara de red de la forma 255.255.255.0 (lo que pasado a binario son 1s en los primeros 24 bits y 0s en los ultimos 8). Por lo tanto podriamos pensar que ahora los primeros 24 bits de una direccion IP representan la y los ultimos 8 la . Como los primeros 16 bits identifican una red Clase B, podemos pensar que que la direccion no tiene dos sino tres partes: la + + .
CONTINUACIÓN
Dirección IP Clase A, B, C, D y E
Las direcciones IP están compuestas por 32 bits divididos en 4 octetos de 8 bits cada uno. A su vez, un bit o una secuencia de bits determinan la Clase a la que pertenece esa dirección IP.
Cada clase de una dirección de red determina una máscara por defecto, un rango IP, cantidad de redes y de hosts por red.
A medida que las redes crecen aumentando el numero de segmentos, mas direcciones de red (IP) son necesarios ya que cada segmento requiere un numero propio. La InterNIC(Network Information Centers cooperation), sin embargo, no puede manejar un numero ilimitado de direcciones de red ya que se estan acabando rapidamente debido a la alta demanda proveniente de la comunidad de Internet. Es por esto que los administradores de redes deberan trabajar con lo poco que tienen para acomodarse mejor a los requerimientos de la red y la reducida oferta de direcciones.
* Conceptos Basicos (Introduccion)
La función del Subneteo o Subnetting es dividir una red IP física en subredes lógicas (redes más pequeñas) para que cada una de estas trabajen a nivel envío y recepción de paquetes como una red individual, aunque todas pertenezcan a la misma red física y al mismo dominio.
El Subneteo permite una mejor administración, control del tráfico y seguridad al segmentar la red por función. También, mejora la performance de la red al reducir el tráfico de broadcast de nuestra red. Como desventaja, su implementación desperdicia muchas direcciones, sobre todo en los enlaces seriales.
Una manera de lograrlo es tomar las direcciones que son asignadas a la red y expandir su capacidad con subredes. Subnetting (implementar subredes) permite incrementar el numero de redes disponibles sin solicitar otra direccion IP.
Es importante saber que las direccion IP estan clasificadas acorde a un nivel por clase, siendo asi que existen cinco clases de direcciones IP, las cuales son las siguientes:
* Clase A: permite alrededor de 16,000,000 hosts conectados a la red. Este tipo de direcciones son poco comunes, y se agotaron, ya que debido a sus caracteristicas solo existian unas pocas miles de este tipo de direcciones.
* Clase B: permite alrededor de 65,000 hosts conectados a la red. Lamentablemente este tipo de direcciones ya no se ofrecen, y son sumamente costosas, por las comodidades que brinda (amplia gama de direcciones IP), pero representan un gran desperdicio de direcciones, ya que muy pocas redes Clase B llegan a conectar 65,000 hosts, un ejemplo es la red de la Universidad Simon Bolivar (159.90)
* Clase C: permite solo 254 hosts conectados a la red, y son actualmente la sunicas ofresidas a la venta. Se ha logrado implementar un metodo que permite usionarvarias direcciones Clase C, enmascarandolas como una sola red. Este metodo se conoce como CIDR (Classless InterDomain Routing).
* Clase D: utilizada para propositos de multicast.
* Clase E: utilizada actualmente para fines experimentales.
Las direcciones IP son globalmente unicas, y tienen una estructura jerarquica de la forma
* 10.3.2.4 (Clase A, pues el primer numero esta entre 0 y 127).
* 159.90.10.185 (Clase B, pues el primer numero esta entre 128 y 191).
* 192.12.69.77 (Clase C, pues el primer numero esta entre 192 y 223).
* 224.0.0.0 (Clase D, pues es en este numero donde comienzan, hasta 239).
* 240.0.0.0 (Clase E, pues es en este numero donde empiezan).
La idea principal de las direcicones IP era que cada
Peor aun, en dado caso que se llegaran muchas de las direcciones IP en una red Clase B, esto representa un aumento en el tiempo de envio de paquetes ya que la tabla de redireccionamiento de los routers aumentaria notablemente, y la busqueda del destino en esta tabla tomaria mucho tiempo. A medida que se agregan hosts se hace mas grande la tabla de ireccionamiento(routing table), lo que trae como consecuencia un aumento en los costos de los routers y una degradacion en el erformancedel router.
* Subnetting: la solucion
Una gran solucion a este problema es ofrecida por el subnetting(implementacion de subredes), lo que permite reducir el numero total de redes a ser asignadas. La idea es tomar una
El mecanismo con el cual se puede lograr compartir un numero de red (
Para entender mejor el funcionamiento de las mascaras de red, supongamos que se quiere dividir una red Clase B en varias redes. Podriamos utilizar una mascara de red de la forma 255.255.255.0 (lo que pasado a binario son 1s en los primeros 24 bits y 0s en los ultimos 8). Por lo tanto podriamos pensar que ahora los primeros 24 bits de una direccion IP representan la
CONTINUACIÓN
martes, 15 de septiembre de 2009
La informatica
La informática está en nuestras vidas, gran parte de nuestra sociedad se ha desarrollado al amparo de las nuevas tecnologías y debe su éxito en gran parte a esta ciencia. Debido al gran auge que ha supuesto la informática, considero importante clarificar el concepto y posicionarlo en el lugar que le corresponde para evitar confusiones.
La informática es la ciencia que se encarga del tratamiento automático de la información. Este tratamiento automático es el que ha propiciado y facilitado la manipulación de grandes volúmenes de datos y la ejecución rápida de cálculos complejos.
La acepción anterior es muy amplia y ha llevado a confundir su significado. Manejar un procesador de textos como Word o Writer no se considera informática, sino ofimática. En cambio, diseñar y crear una aplicación para poder realizar tratamiento de textos sí es una tarea informática. Al igual que el conductor de un vehículo no tiene porqué ser mecánico ni lo que realiza se llama mecánica, sino conducción.
La informática estudia lo que los programas son capaces de hacer (teoría de la computabilidad), de la eficiencia de los algoritmos que se emplean (complejidad y algorítmica), de la organización y almacenamiento de datos (estructuras de datos, bases de datos) y de la comunicación entre programas, humanos y máquinas (interfaces de usuario, lenguajes de programación, procesadores de lenguajes...), entre otras cosas.
En sus inicios, la informática facilitó los trabajos repetitivos y monótonos, especialmente en el área administrativa, debido a la automatización de esos procesos. Hoy en día se va más lejos que eso.
La informática tiene su base en las matemáticas y la física, y a su vez se ha usado para potenciar estas ciencias. Por ese motivo la informática está hoy presente en todos los ámbitos en los que podemos encontrarlas: ingeniería, industria, administraciones públicas, medicina, diseño de vehículos, arquitectura, investigación y desarrollo, administración de empresas, restauración y arte...
Si tuviera que definir los dos grandes pilares que reciben su soporte de la informática hoy en día, estos serían el manejo de grandes volúmenes de datos y la ejecución rápida de cálculos de complejidad elevada, los cuales aparecen comentados al principio. En este punto voy a hacer un inciso para dedicarme con más detalle a explicar estos dos pilares de la ciencia actual.
El manejo de grandes volúmenes de datos: actualmente, y desde hace unos años, podríamos decir que hemos llegado a una explosión de información en nuestra sociedad, que exige la aplicación de las tecnologías de la información. La cantidad de información que se debe gestionar diariamente es abismal y estaríamos ante un problema intratable si no contáramos con la informática. Las bases de datos y las altas capacidades de proceso nos permite afrontar el reto. El concepto del que hablamos es muy extenso y para ayudar a su comprensión voy a poner unos ejemplos: encontrar el historial de un paciente en un fichero con otros 600.000 pacientes, manipular la información sobre los fondos bibliográficos de una biblioteca (miles de libros), guardar el registro de habitantes de una gran ciudad, guardar el registro de los criminales de un país y poder disponer de la información sobre uno en cuestión de segundos, listado de conexiones de tendidos eléctricos entre las poblaciones de España, y un largo etcétera. Todas estas actividades pueden hoy realizarse de manera eficiente gracias a la informática.
Ejecución rápida de cálculos complejos: ciertas áreas de la sociedad exigen la realización “rápida” de gran cantidad de cálculos matemáticos de mayor o menor complejidad. Este es el caso de la física, de la estadística, de la medicina, de la ingeniería... No es posible concebir el funcionamiento actual de las cadenas de montaje de vehículos sin que esté presente la informática, ni los grandes avances producidos en la medicina gracias a la informática gráfica, ni el diseño óptimo de la estructura de un edificio, etc.
No debemos olvidar que la informática nació como un paso más desde la creación de las primeras máquinas de cálculo.
Para terminar, quisiera intentar mencionar brevemente los campos más destacados en que se divide la informática, ya que listar detalladamente todas sus aplicaciones es una tarea imposible:
Informática teórica: estrechamente relacionada con la fundamentación matemática, centra su interés en aspectos como el estudio y definición formal de los cómputos, el análisis de problemas y su resolución mediante algoritmos, incluso la investigación de problemas que no pueden resolverse con ninguna computadora (es decir, dónde se hayan las limitaciones de los métodos automáticos de cálculo). También abarca el estudio de la complejidad computacional y de la teoría de lenguajes (de la que derivan los lenguajes de programación). Se trata en definitiva de la parte más formal y abstracta de la informática.
Hardware: a pesar de que no lo parezca, este es uno de los campos de la informática menos significativos, o al menos, podríamos decir que no es exclusivo de la informática sino que su importancia reside en otras ciencias más particulares, como la electrónica y la física.
Software: este campo nace directamente de la informática teórica, trata de los programas y procedimientos necesarios para que una máquina pueda llevar a cabo tareas útiles.
Informática gráfica: se ocupa de que se puedan realizar los cálculos pertinentes para obtener representaciones gráficas aplicables a todo tipo de situaciones: simulaciones, tratamiento de imagen en medicina, videojuegos y entretenimiento, publicidad, animación.
Informática empresarial: dentro del conocimiento empresarial y de gestión, la informática tiene hoy un gran protagonismo. Sus logros son: la mejora de los procesos productivos, el ahorro de costes, la óptima gestión de stocks, la aparición y el impulso del comercio electrónico, la creación de sistemas de información, gestión del conocimiento e inteligencia empresarial, entre otros.
Tratamiento de la información: área dedicada al estudio e implantación de los conceptos que comenté anteriormente en el apartado “Manejo de grandes volúmenes de datos”. Aquí tienen cabida las estructuras de datos, las bases de datos, también los algoritmos, la compresión y el cifrado...
Otras áreas o metodologías: inteligencia artificial, seguridad informática, modelado y simulación, reconocimiento del habla y reconocimiento de formas, evaluación de sistemas informáticos, computación paralela y de alto rendimiento, bioinformática, informática médica, química computacional, y un largo etcétera que debo omitir por cuestiones obvias de espacio y extensión.
Por viafarajw
La informática es la ciencia que se encarga del tratamiento automático de la información. Este tratamiento automático es el que ha propiciado y facilitado la manipulación de grandes volúmenes de datos y la ejecución rápida de cálculos complejos.
La acepción anterior es muy amplia y ha llevado a confundir su significado. Manejar un procesador de textos como Word o Writer no se considera informática, sino ofimática. En cambio, diseñar y crear una aplicación para poder realizar tratamiento de textos sí es una tarea informática. Al igual que el conductor de un vehículo no tiene porqué ser mecánico ni lo que realiza se llama mecánica, sino conducción.
La informática estudia lo que los programas son capaces de hacer (teoría de la computabilidad), de la eficiencia de los algoritmos que se emplean (complejidad y algorítmica), de la organización y almacenamiento de datos (estructuras de datos, bases de datos) y de la comunicación entre programas, humanos y máquinas (interfaces de usuario, lenguajes de programación, procesadores de lenguajes...), entre otras cosas.
En sus inicios, la informática facilitó los trabajos repetitivos y monótonos, especialmente en el área administrativa, debido a la automatización de esos procesos. Hoy en día se va más lejos que eso.
La informática tiene su base en las matemáticas y la física, y a su vez se ha usado para potenciar estas ciencias. Por ese motivo la informática está hoy presente en todos los ámbitos en los que podemos encontrarlas: ingeniería, industria, administraciones públicas, medicina, diseño de vehículos, arquitectura, investigación y desarrollo, administración de empresas, restauración y arte...
Si tuviera que definir los dos grandes pilares que reciben su soporte de la informática hoy en día, estos serían el manejo de grandes volúmenes de datos y la ejecución rápida de cálculos de complejidad elevada, los cuales aparecen comentados al principio. En este punto voy a hacer un inciso para dedicarme con más detalle a explicar estos dos pilares de la ciencia actual.
El manejo de grandes volúmenes de datos: actualmente, y desde hace unos años, podríamos decir que hemos llegado a una explosión de información en nuestra sociedad, que exige la aplicación de las tecnologías de la información. La cantidad de información que se debe gestionar diariamente es abismal y estaríamos ante un problema intratable si no contáramos con la informática. Las bases de datos y las altas capacidades de proceso nos permite afrontar el reto. El concepto del que hablamos es muy extenso y para ayudar a su comprensión voy a poner unos ejemplos: encontrar el historial de un paciente en un fichero con otros 600.000 pacientes, manipular la información sobre los fondos bibliográficos de una biblioteca (miles de libros), guardar el registro de habitantes de una gran ciudad, guardar el registro de los criminales de un país y poder disponer de la información sobre uno en cuestión de segundos, listado de conexiones de tendidos eléctricos entre las poblaciones de España, y un largo etcétera. Todas estas actividades pueden hoy realizarse de manera eficiente gracias a la informática.
Ejecución rápida de cálculos complejos: ciertas áreas de la sociedad exigen la realización “rápida” de gran cantidad de cálculos matemáticos de mayor o menor complejidad. Este es el caso de la física, de la estadística, de la medicina, de la ingeniería... No es posible concebir el funcionamiento actual de las cadenas de montaje de vehículos sin que esté presente la informática, ni los grandes avances producidos en la medicina gracias a la informática gráfica, ni el diseño óptimo de la estructura de un edificio, etc.
No debemos olvidar que la informática nació como un paso más desde la creación de las primeras máquinas de cálculo.
Para terminar, quisiera intentar mencionar brevemente los campos más destacados en que se divide la informática, ya que listar detalladamente todas sus aplicaciones es una tarea imposible:
Informática teórica: estrechamente relacionada con la fundamentación matemática, centra su interés en aspectos como el estudio y definición formal de los cómputos, el análisis de problemas y su resolución mediante algoritmos, incluso la investigación de problemas que no pueden resolverse con ninguna computadora (es decir, dónde se hayan las limitaciones de los métodos automáticos de cálculo). También abarca el estudio de la complejidad computacional y de la teoría de lenguajes (de la que derivan los lenguajes de programación). Se trata en definitiva de la parte más formal y abstracta de la informática.
Hardware: a pesar de que no lo parezca, este es uno de los campos de la informática menos significativos, o al menos, podríamos decir que no es exclusivo de la informática sino que su importancia reside en otras ciencias más particulares, como la electrónica y la física.
Software: este campo nace directamente de la informática teórica, trata de los programas y procedimientos necesarios para que una máquina pueda llevar a cabo tareas útiles.
Informática gráfica: se ocupa de que se puedan realizar los cálculos pertinentes para obtener representaciones gráficas aplicables a todo tipo de situaciones: simulaciones, tratamiento de imagen en medicina, videojuegos y entretenimiento, publicidad, animación.
Informática empresarial: dentro del conocimiento empresarial y de gestión, la informática tiene hoy un gran protagonismo. Sus logros son: la mejora de los procesos productivos, el ahorro de costes, la óptima gestión de stocks, la aparición y el impulso del comercio electrónico, la creación de sistemas de información, gestión del conocimiento e inteligencia empresarial, entre otros.
Tratamiento de la información: área dedicada al estudio e implantación de los conceptos que comenté anteriormente en el apartado “Manejo de grandes volúmenes de datos”. Aquí tienen cabida las estructuras de datos, las bases de datos, también los algoritmos, la compresión y el cifrado...
Otras áreas o metodologías: inteligencia artificial, seguridad informática, modelado y simulación, reconocimiento del habla y reconocimiento de formas, evaluación de sistemas informáticos, computación paralela y de alto rendimiento, bioinformática, informática médica, química computacional, y un largo etcétera que debo omitir por cuestiones obvias de espacio y extensión.
Por viafarajw
Seguridad de Redes
La información es el activo más valioso de su empresa, es por esto que el peso económico de la misma hace que sea un elemento muy delicado, y su protección debe de ser igual o mayor que otros activos de la empresa.
Servidor de Red y/o Controlador de Dominio
Definición
El servidor Samba basado en el protocolo SMB (Server Message Block), permite que las máquinas Windows puedan acceder a Redes Linux y compartir recursos entre si. Siendo un recurso un sistema de archivos o una impresora.
Se pueden compartir una o más sistemas de archivos.
Compartir impresoras, intaladas tanto en el servidor como en los Clientes.
El servidor samba:Su demonio es smbd. Permite que Linux comparta sus recursos com máquinas Windows.
Para ello el servidor debera indicar que recursos quiere compartir con Windows.
El cliente samba: Permite que Windows pueda tener acceso a los recursos compartidos por máquinas Linux.
Características
Permite compartir varios recursos.
Las impresoras conectadas físicamente a las máquinas.
El acceso a los directorios compartidos.
Es posible con SAMBA proteger por contraseña el acceso a un directorio compartido.
Proteger con una contraseña personificada para cada usuarios, y dotar de permisos de acceso individualizados.
Samba pertime compartir fácilmente una impresora conectada físicamente a una máquina UNIX haciéndolo asi accesible a todas las máquinas conectadas a la red.
Una impresora de red que no soperte mecanismos, de autentificación puede ser puesta a disposición de los usuarios gracias a un servidor de impresión de Samba, lo que permite controlar el acceso.
Beneficios
Seguridad:
Se puede proteger por contraseña el acceso a un directorio compartidos.
Proteger con una contraseña personificada para cada usuarios, y dotar de permisos de acceso individualizados.
Deberemos decir en que carpeta Linux pondrá los recursos de máquinas Windows.
Desde la perspectiva de un cliente, Samba ofrece dos modos de seguridad denominados share y user. En el modo share, cada vez que un cliente quiere utilizar un recurso ofrecido por samba, debe suministrar una contraseña de acceso asociada a dicho recurso. En el modo user el cliente debe establecer primeramente una sesión con el servidor samba, por lo cual le suministra un nombre de usuario y una contraseña. Una vez samba valida al usuario el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba.
Administración:
Se puede configurar, administrar, etc. Samba de una forma sencilla y desde un navegador web (gracias a la herramienta SWAT).
Facilidad de uso:
Compartir uno o más sistemas de archivos.
Compartir impresoras, instaladas tanto en el servidor como en los clientes.
Samba permite compartir entre máquinas Windows y Linux recursos.
Siendo un recurso una carpeta o la impresora.
Escalabilidad:
Automatización:
Costos:
Requerimientos Hardware y Software
S.O. Linux en cualquier distribución que tenga características para servidores.
samba-common
samba
samba-client
El primer paquete tiene los elementos que van a permitir el buen funcionamiento de los otros dos: Las herramientas de conversión de tablas de caracteres Windows, los ficheros de configuración y la documentación.
El segundo paquete contiene todos los programas del servidor, es decir: aplicaciones que permiten hacer accesible los recursos a los usuarios, herramientas de configuración y la documentación esencial de Samba.
El último paquete contiene los programas clientes, que permiten acceder a los recursos compartidos.
Servicios Incluidos
Instalación y configuración de la Distribución Linux de su preferencia.
Compilación e Instalación de Samba en el servidor.
Configuración del sistema como Servidor Samba para compartir archivos con clientes Windows.
Configuración de un cliente Windows.
Configuración del sistema como Servidor Samba para impresión con clientes.
Servidor de Red y/o Controlador de Dominio
Definición
El servidor Samba basado en el protocolo SMB (Server Message Block), permite que las máquinas Windows puedan acceder a Redes Linux y compartir recursos entre si. Siendo un recurso un sistema de archivos o una impresora.
Se pueden compartir una o más sistemas de archivos.
Compartir impresoras, intaladas tanto en el servidor como en los Clientes.
El servidor samba:Su demonio es smbd. Permite que Linux comparta sus recursos com máquinas Windows.
Para ello el servidor debera indicar que recursos quiere compartir con Windows.
El cliente samba: Permite que Windows pueda tener acceso a los recursos compartidos por máquinas Linux.
Características
Permite compartir varios recursos.
Las impresoras conectadas físicamente a las máquinas.
El acceso a los directorios compartidos.
Es posible con SAMBA proteger por contraseña el acceso a un directorio compartido.
Proteger con una contraseña personificada para cada usuarios, y dotar de permisos de acceso individualizados.
Samba pertime compartir fácilmente una impresora conectada físicamente a una máquina UNIX haciéndolo asi accesible a todas las máquinas conectadas a la red.
Una impresora de red que no soperte mecanismos, de autentificación puede ser puesta a disposición de los usuarios gracias a un servidor de impresión de Samba, lo que permite controlar el acceso.
Beneficios
Seguridad:
Se puede proteger por contraseña el acceso a un directorio compartidos.
Proteger con una contraseña personificada para cada usuarios, y dotar de permisos de acceso individualizados.
Deberemos decir en que carpeta Linux pondrá los recursos de máquinas Windows.
Desde la perspectiva de un cliente, Samba ofrece dos modos de seguridad denominados share y user. En el modo share, cada vez que un cliente quiere utilizar un recurso ofrecido por samba, debe suministrar una contraseña de acceso asociada a dicho recurso. En el modo user el cliente debe establecer primeramente una sesión con el servidor samba, por lo cual le suministra un nombre de usuario y una contraseña. Una vez samba valida al usuario el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba.
Administración:
Se puede configurar, administrar, etc. Samba de una forma sencilla y desde un navegador web (gracias a la herramienta SWAT).
Facilidad de uso:
Compartir uno o más sistemas de archivos.
Compartir impresoras, instaladas tanto en el servidor como en los clientes.
Samba permite compartir entre máquinas Windows y Linux recursos.
Siendo un recurso una carpeta o la impresora.
Escalabilidad:
Automatización:
Costos:
Requerimientos Hardware y Software
S.O. Linux en cualquier distribución que tenga características para servidores.
samba-common
samba
samba-client
El primer paquete tiene los elementos que van a permitir el buen funcionamiento de los otros dos: Las herramientas de conversión de tablas de caracteres Windows, los ficheros de configuración y la documentación.
El segundo paquete contiene todos los programas del servidor, es decir: aplicaciones que permiten hacer accesible los recursos a los usuarios, herramientas de configuración y la documentación esencial de Samba.
El último paquete contiene los programas clientes, que permiten acceder a los recursos compartidos.
Servicios Incluidos
Instalación y configuración de la Distribución Linux de su preferencia.
Compilación e Instalación de Samba en el servidor.
Configuración del sistema como Servidor Samba para compartir archivos con clientes Windows.
Configuración de un cliente Windows.
Configuración del sistema como Servidor Samba para impresión con clientes.
viernes, 21 de agosto de 2009
Engaños online
Estimado lector, he recibido una herencia de 50 millones de dólares, lamentablemente mis cuentas de banco están inhabilitadas, por lo que, si usted me deja depositarlos en la suya, le daré un porcentaje, sólo necesito que me envíe 100 dólares para gastos administrativos…
Éste fue uno de los primeros engaños online, el protagonista era un rey africano o algo así, y, creanlo o no, cientos de personas cayeron (mayormente norteamericanos, que tienen una ingenuidad mayor al promedio). Desde entonces los engaños online se han sofisticado notablemente.
En un evento reciente sobre el tema, Jorge Cella, Director de Estrategias de Seguridad de Microsoft, contó el caso de una empresa local, que fue atacada combinando técnicas de ingeniería social y phishing: los delincuentes averiguaron en qué banco cobran el sueldo los empleados de la empresa; enviaron un mail, de parte de ese banco, pidiendo que se logueen para poder verificar el cobro de su sueldo. El link incluido en el mail llevaba a un sitio con un dominio muy similar al del banco, con una página de login idéntica en diseño, donde los incautos ingresaron sus usuarios y claves de home banking, que quedaron en manos de los malvivientes, para poder vaciar las cuentas.
El asunto es que estamos cada vez más expuestos. Una vieja frase dice “en Internet nadie sabe si sos un perro“, pero esto cambió radicalmente con nuestra inmersión en las redes sociales. Si entran hoy a mi Facebook podrán saber qué celular estoy probando, con quién estoy saliendo y qué cociné anoche. Una caliente línea de investigación actual es la de “reputation management”, en la economía digital la reputación es un valor cada vez más importante, decide a quién le prestaremos atención y en quién confiaremos.
Sin embargo, nada de esto nos salvará de los engaños online, con los que tendremos que convivir por siempre.
Nadie está a salvo de estos peligros.Puede que cuando estes chateando estes haciendolo con una nina de 10 0 de 60 años.
Por Viafarajw
Éste fue uno de los primeros engaños online, el protagonista era un rey africano o algo así, y, creanlo o no, cientos de personas cayeron (mayormente norteamericanos, que tienen una ingenuidad mayor al promedio). Desde entonces los engaños online se han sofisticado notablemente.
En un evento reciente sobre el tema, Jorge Cella, Director de Estrategias de Seguridad de Microsoft, contó el caso de una empresa local, que fue atacada combinando técnicas de ingeniería social y phishing: los delincuentes averiguaron en qué banco cobran el sueldo los empleados de la empresa; enviaron un mail, de parte de ese banco, pidiendo que se logueen para poder verificar el cobro de su sueldo. El link incluido en el mail llevaba a un sitio con un dominio muy similar al del banco, con una página de login idéntica en diseño, donde los incautos ingresaron sus usuarios y claves de home banking, que quedaron en manos de los malvivientes, para poder vaciar las cuentas.
El asunto es que estamos cada vez más expuestos. Una vieja frase dice “en Internet nadie sabe si sos un perro“, pero esto cambió radicalmente con nuestra inmersión en las redes sociales. Si entran hoy a mi Facebook podrán saber qué celular estoy probando, con quién estoy saliendo y qué cociné anoche. Una caliente línea de investigación actual es la de “reputation management”, en la economía digital la reputación es un valor cada vez más importante, decide a quién le prestaremos atención y en quién confiaremos.
Sin embargo, nada de esto nos salvará de los engaños online, con los que tendremos que convivir por siempre.
Nadie está a salvo de estos peligros.Puede que cuando estes chateando estes haciendolo con una nina de 10 0 de 60 años.
Por Viafarajw
sábado, 1 de agosto de 2009
Ethernet de 100 Mb versus Ethernet de 1000 Mb
Ethernet de 100 Mb versus Ethernet de 1000 Mb
Muy a menudo, las consultas de los clientes derivan en la resolución de muchos problemas a la vez.
En este caso, nuestro cliente se comunicó con nosotros por un problema de hardware con su servidor fantasma de Symantec, que permite crear copias de seguridad completas del contenido de una computadora. Después de intentar la resolución del problema, nos dimos cuenta de que el servidor fantasma tenía una tarjeta de red defectuosa. Reemplazamos la tarjeta de red en el servidor, pero el cliente manifestó que no estaba contento con la velocidad del proceso fantasma. Su imagen fantasma estándar de PC era de casi 2 Gb; el proceso fantasma para implementar esta imagen fantasma a una PC a través de la red podía tardar hasta 3 horas. “¿Por qué el efecto fantasma lleva tanto tiempo y qué se puede hacer para acelerar este proceso?” Después de realizar algunas investigaciones, encontramos varios factores que podían causar que el proceso fantasma de estas PC tardara tanto tiempo. Algunas soluciones eran relativamente económicas, mientras que otras no lo eran. Uno de los elementos causantes del cuello de botella respecto de la velocidad de la red era un hub de Ethernet de 10 Mb. Había sido comprado hacía algunos años y había estado funcionando adecuadamente durante tanto tiempo que prácticamente nadie lo recordaba. Este hub también presentaba un riesgo respecto de la seguridad. Era un hub y no un switch y, por lo tanto, era vulnerable a actividades de espionaje malicioso en la red.
En consecuencia, se compró y se instaló un switch de 10/100/1000 Mb. Sin embargo, esto no aumentó la velocidad. Todavía existían algunos problemas con la capa física. El cableado de la red consistía en un cable de categoría 3, de 2 pares y calibre delgado, que tiene un límite de Ethernet de 10 Mb. A pesar de que habíamos comprado e instalado un dispositivo de conmutación capaz de alcanzar velocidades de 1000 Mb, el cableado físico limitaba la velocidad de la red. Explicamos al cliente lo que se necesitaba para las actualizaciones y nuestro cliente estuvo de acuerdo en implementar dichas actualizaciones para poder incrementar la velocidad a lo largo de la red. Comenzamos a cambiar los cables de las conexiones de red existentes con componentes de categoría 5 capaces de soportar una Ethernet de 1 Gb. El paso final de estas actualizaciones involucró las PC de la red de esta compañía. Habíamos instalado una tarjeta de red de 10/100/1000 Mb en el servidor fantasma de Symantec; por lo tanto, ahora todas las PC de la compañía también necesitaban contar con tarjetas de red de 10/100/1000 Mb para poder alcanzar velocidades de gigabits.
Generalmente, en el trabajo de consultoría, para solucionar el problema de origen, en primer lugar, es necesario solucionar muchos otros problemas. En este caso en particular, algunos días dedicados al cambio de los cables, la instalación de nuevas tarjetas de red y la instalación de un switch ocasionaron aumentos de velocidad de la red X 100. Por cierto, los tiempos del proceso fantasma del cliente se redujeron de 3 horas a menos de 30 minutos. De lo único que se arrepintió nuestro cliente fue de no haber realizado las actualizaciones con anterioridad.
Proyectado Por Jose William Viafara Garcia
Muy a menudo, las consultas de los clientes derivan en la resolución de muchos problemas a la vez.
En este caso, nuestro cliente se comunicó con nosotros por un problema de hardware con su servidor fantasma de Symantec, que permite crear copias de seguridad completas del contenido de una computadora. Después de intentar la resolución del problema, nos dimos cuenta de que el servidor fantasma tenía una tarjeta de red defectuosa. Reemplazamos la tarjeta de red en el servidor, pero el cliente manifestó que no estaba contento con la velocidad del proceso fantasma. Su imagen fantasma estándar de PC era de casi 2 Gb; el proceso fantasma para implementar esta imagen fantasma a una PC a través de la red podía tardar hasta 3 horas. “¿Por qué el efecto fantasma lleva tanto tiempo y qué se puede hacer para acelerar este proceso?” Después de realizar algunas investigaciones, encontramos varios factores que podían causar que el proceso fantasma de estas PC tardara tanto tiempo. Algunas soluciones eran relativamente económicas, mientras que otras no lo eran. Uno de los elementos causantes del cuello de botella respecto de la velocidad de la red era un hub de Ethernet de 10 Mb. Había sido comprado hacía algunos años y había estado funcionando adecuadamente durante tanto tiempo que prácticamente nadie lo recordaba. Este hub también presentaba un riesgo respecto de la seguridad. Era un hub y no un switch y, por lo tanto, era vulnerable a actividades de espionaje malicioso en la red.
En consecuencia, se compró y se instaló un switch de 10/100/1000 Mb. Sin embargo, esto no aumentó la velocidad. Todavía existían algunos problemas con la capa física. El cableado de la red consistía en un cable de categoría 3, de 2 pares y calibre delgado, que tiene un límite de Ethernet de 10 Mb. A pesar de que habíamos comprado e instalado un dispositivo de conmutación capaz de alcanzar velocidades de 1000 Mb, el cableado físico limitaba la velocidad de la red. Explicamos al cliente lo que se necesitaba para las actualizaciones y nuestro cliente estuvo de acuerdo en implementar dichas actualizaciones para poder incrementar la velocidad a lo largo de la red. Comenzamos a cambiar los cables de las conexiones de red existentes con componentes de categoría 5 capaces de soportar una Ethernet de 1 Gb. El paso final de estas actualizaciones involucró las PC de la red de esta compañía. Habíamos instalado una tarjeta de red de 10/100/1000 Mb en el servidor fantasma de Symantec; por lo tanto, ahora todas las PC de la compañía también necesitaban contar con tarjetas de red de 10/100/1000 Mb para poder alcanzar velocidades de gigabits.
Generalmente, en el trabajo de consultoría, para solucionar el problema de origen, en primer lugar, es necesario solucionar muchos otros problemas. En este caso en particular, algunos días dedicados al cambio de los cables, la instalación de nuevas tarjetas de red y la instalación de un switch ocasionaron aumentos de velocidad de la red X 100. Por cierto, los tiempos del proceso fantasma del cliente se redujeron de 3 horas a menos de 30 minutos. De lo único que se arrepintió nuestro cliente fue de no haber realizado las actualizaciones con anterioridad.
Proyectado Por Jose William Viafara Garcia
domingo, 31 de mayo de 2009
PROYECTO OSSIM
OSSIM
Open Source Security Information Management
Open Source Security Information Management
Una de las tareas más árduas que puede llevar a cabo un administrador de redes tiene que ver con la auditoría y control de seguridad de una red, esto es, ser capaces de ver qué está ocurriendo en una red, a ser posible en tiempo real, y si hay alguna anomalía en la misma intentar entender a qué se debe: ataques, fallos, desde fuera, desde la propia red, qué usuarios, quién consume ancho de banda y en qué servicios,....
Hasta ahora, existen "multitud" de programas, algunos de ellos comerciales que nos permiten realizar estas tareas, por ejemplo para auditar, comercialmente de modo activo la red tendríamos GFI Languard, o Network Probe en modo pasivo,... IDS como el incluido por el propio ISA Server,...
Todas ellas constituyen herramientas que, de modo aislado -cada una serviría para realizar una tarea-, nos permiten detectar intrusiones en nuestra red, auditar los protocolos existentes y el tráfico,...
Los problemas a los que nos enfrentamos cuando somos los encargados de una red se derivan, fundamentalmente de los siguientes aspectos: en primer lugar todas estas herramientas generan gran cantidad de ficheros de registro (logs) que deberemos auditar por separado, en segundo lugar la complejidad de estas herramientas y su configuración, y por último y no menos significativo, la gran cantidad de falsos positivos que suelen generar.
Para paliar el resultado de todos estos factores cuyo sentimiento sobre los administradores de red se puede resumir, usando palabras de los diseñadores de ossim, en el siguiente párrafo: "Nos sorprende que con el fuerte desarrollo tecnológico producido en los últimos años que nos ha provisto de herramientas de con capacidades como la de los IDS, sea tan complejo desde el punto de vista de seguridad obtener una foto de una red y obtener una información con un grado de abstracción que permita una revisión práctica y asumible." han desarrollado, básicamente, un entorno común e interrelacionado, usando herramientas libres ya disponibles, de reconocido prestigio para sistemas Linux, integrándolas en un interfaz en el que además se relaciona la información proveniente de distintas fuentes para así tener una información mucho más fiable.
Básicamente esta plataforma agrupa bajo una interfaz web, las siguientes herramientas:
Para mayor informacion http://www.ossim.net/whatis_es.php
Por viafarajw
viernes, 15 de mayo de 2009
Telnet
Introducción a Telnet
Telnet es un protocolo que sirve para emular una terminal remota, lo que significa que se puede utilizar para ejecutar comandos introducidos con un teclado en un equipo remoto. La herramienta Telnet está implementada por el protocolo Telnet. Esto significa que traduce las especificaciones del protocolo al lenguaje de programación a fin de crear un programa que pueda emular una terminal.
Telnet opera en un entorno de cliente/servidor, lo que implica que el equipo remoto se configura como servidor, por lo que espera que el otro equipo le solicite un servicio. Por lo tanto, dado que este equipo remoto envía datos que se deben mostrar, el usuario siente que está trabajando directamente en un ordenador remoto. En UNIX, este servicio se brinda por medio de lo que se conoce como un daemon (daemon), una tarea pequeña que se ejecuta de fondo. El daemon de Telnet se denomina Telnetd.
Protocolos e implementación
Telnet también es un protocolo, un conjunto de reglas y procedimientos que se definieron para estandarizar la comunicación de Telnet. Por esta razón, Telnet se implementó en muchas plataformas, en base a las especificaciones del protocolo.
Cómo ejecutar Telnet
Telnet se proporciona con varias plataformas, incluidas UNIX, Windows 95, Windows NT, y Linux.
El comando para iniciar una sesión Telnet generalmente es:
telnet nombre_del_servidor
nombre_del_servidor representa el nombre o la dirección IP del equipo remoto al que se quiere conectar el usuario. También puede usar su dirección IP, por ejemplo:
telnet 125.64.124.77
Por último, también puede especificar el puerto que desea usar introduciendo el número de puerto después de la dirección IP o el nombre del servidor:
telnet 125.64.124.77 80
Comandos en Telnet
Una vez conectado al equipo remoto, se le solicitará que introduzca un nombre de usuario y una contraseña por razones de seguridad para permitir el acceso únicamente a los individuos autorizados. De hecho, la razón por la que Telnet es un protocolo tan potente es el hecho de que permite que los comandos se ejecuten en forma remota. El administrador de red define los comandos que se pueden ejecutar en una sesión Telnet. Generalmente son comandos UNIX, ya que la mayoría de los servidores Telnet pueden ejecutar UNIX. Los comandos estándar son:
| Comando | Descripción |
|---|---|
| ? | mostrar ayuda |
| close | Cerrar sesión Telnet |
| display | Mostrar la configuración de la conexión en pantalla (tipo de terminal y puerto) |
| entorno | Para definir las variables del entorno del sistema operativo |
| logout | Para cerrar la sesión |
| mode | Cambia entre los modos de transferencia ASCII (transferencia de un archivo como texto) y los modos BINARIOS (transferencia de un archivo en modo binario) |
| open | Abre otra conexión de la actual |
| quit | Sale de la aplicación Telnet |
| set | Cambia la configuración de conexión |
| unset | Carga la configuración de conexión predeterminada |
martes, 3 de marzo de 2009
EL ADM INISTRADOR DE REDES
EL ADMINISTRACION DE REDES.
El término administración de redes es definido como la suma total de todas las políticas, procedimientos que intervienen en la planeación, configuración, control, monitoreo de los elementos que conforman a una red con el fin de asegurar el eficiente y efectivo empleo de sus recursos. Lo cual se verá reflejado en la calidad de los servicios ofrecidos.
La administración de redes es la suma de todas las actividades de planeación y control, enfocadas a mantener una red eficiente y con altos niveles de disponibilidad. Dentro de estas actividades hay diferentes responsabilidades fundamentales como el monitoreo, la atención a fallas, configuración, la seguridad, entre otras. Esto nos lleva a reconocer que una red debe contar con un sistema de administración aun cuando se crea que es pequeña, aunque es cierto que entre mayor sea su tamaño mas énfasis se debe poner en esta tarea.
Por Viafarajw cabviafara@misena.edu.co
El término administración de redes es definido como la suma total de todas las políticas, procedimientos que intervienen en la planeación, configuración, control, monitoreo de los elementos que conforman a una red con el fin de asegurar el eficiente y efectivo empleo de sus recursos. Lo cual se verá reflejado en la calidad de los servicios ofrecidos.
La administración de redes es la suma de todas las actividades de planeación y control, enfocadas a mantener una red eficiente y con altos niveles de disponibilidad. Dentro de estas actividades hay diferentes responsabilidades fundamentales como el monitoreo, la atención a fallas, configuración, la seguridad, entre otras. Esto nos lleva a reconocer que una red debe contar con un sistema de administración aun cuando se crea que es pequeña, aunque es cierto que entre mayor sea su tamaño mas énfasis se debe poner en esta tarea.
Por Viafarajw cabviafara@misena.edu.co
domingo, 22 de febrero de 2009
Acl
¿Cómo funcionan las ACL en Cisco? I: Conceptos
Introducción
Antes que nada, y en caso de que algún lector no sepa (o no recuerde) qué significa ACL, éste es una sigla que traduce lista de control de acceso -Access Control Lists en inglés- y es un método popular en redes para controlar qué nodos de la red tienen qué permisos sobre el sistema que implementa las ACLs. En Cisco, las ACLs son un mecanismo genérico para clasificar conjuntos de direcciones o flujos de datos, en éso yo siempre hago mucho énfasis, porque las ACLs en CCNA se ven como un mecanismo de seguridad, pero se dan visos de lo que realmente son: un mecanismo para clasificar direcciones y flujos de datos.
Un sistema de red, como Squid por ejemplo, es un sistema que hace algo con el tráfico que entra y sale de él. Las ACLs interceptan el tráfico y, para cada paquete, se comparan sus valores particulares con valores predefinidos por el administrador en la Lista y, con base en ese condicionamiento, se le aplica a los paquetes alguna acción según lo que quiera el administrador que suceda.
La dinámica compleja de las ACLs es el hecho de imaginar un sólo paquete y llevarlo a una secuencia de paquetes mezclada. El hecho es que cuando en una ACL especificamos los valores que queremos comparar, realmente estamos aplicando eso a cada paquete dentro de un flujo particular de paquetes, así para diseñarla nos imaginemos sólo un paquete.
¿Para qué sirven las ACLs en Cisco?
En el currículo de CCNA, las ACLs se usan para aplicar una política de seguridad que permite o niega el acceso de cierta parte de la red a otra. La granularidad de las ACLs permite que estas partes sean o bien PC específicos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un único PC hasta otro, de un segmento de red a otro o cualquier combinación que se quiera.
En Cisco en general, las ACLs sirven para clasificar conjuntos de direcciones, por ejemplo una subred o una parte de una subred. Pero más allá de eso la palabra importante es arbitrariamente, porque las reglas de ACLs permiten cosas tan particulares como seleccionar los PCs que tengan direcciones IP con el último octeto en número impar (sin importar a qué subredes pertenecen). Ésta característica hace que Cisco utilice ACLs en cualquier parte en la que se deba especificar un conjunto de direcciones o un flujo de datos, por ejemplo, en NAT se especifican las direcciones privadas o internas creando una ACL que permite las direcciones a traducir. Si se quiere filtrar o alterar la forma en que un protocolo de enrutamiento arma sus actualizaciones se usan listas de acceso (route-map) , si se quiere alterar la forma en que trabaja la tabla de enrutamiento se usan listas de acceso (policy-based routing), si se quiere especificar qué direcciones pasan por una VPN se usan ACLs, etc. (IPSec). Como se ve, las ACLs son mucho más que un mecanismo de seguridad y por eso es un tema muy importante si se quiere hacer carrera en las certificaciones de Cisco o tener un buen desempeño en enrutamiento y conmutación Cisco.
¿Cómo es una ACL?
Las ACLs, como ya comenté, son la especificación de una acción a realizar sobre paquetes que cumplan ciertas condiciones. Una ACL es un conjunto de reglas identificadas con un número o un nombre y cada regla especifica una acción y una condición, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condición asociada a la regla. Una ACL se identifica con un número o un nombre y todas las reglas que tengan el mismo número/nombre hacen parte de la ACL, éstos identificadores suelen indicar también qué tanta expresividad tendrá la ACL, es decir, qué tan específicas pueden ser las reglas.
Un ejemplo de cómo es conceptualmente una ACL es así
Lista-de-acceso X ACCION1 CONDICION1
Lista-de-acceso X ACCION2 CONDICION2
Lista-de-acceso X ACCION3 CONDICION3
La X es el nombre o número que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL X, una sola ACL. Si cierto paquete cumple la condición1 se le aplica la Acción1, si un paquete cumple la condición 2 se le aplica la acción 2 y así sucesivamente. Las acciones son sólo permitir o denegar y las condiciones dependen del tipo de ACL, las más simples, las estándar especifican valores para comparar con la dirección IP origen de cada paquete, en las más expresivas, llamadas extendidas, las condiciones permiten especificar valores para comparar tanto con la dirección IP origen como con la IP destino e incluso protocolos de capa 4 y parámetros de capa 4 como puertos y banderas de la conexión TCP.
La lógica de funcionamiento de las ACLs es que una vez que se cumpla una condición, se aplica su acción correspondiente y no se examinan más reglas de la ACL. Ésto para disminuír la cantidad de procesamiento del enrutador, pero también tiene una consecuencia, si una regla abarca un conjunto de direcciones y otra un subconjunto del primero, la regla de subconjunto debe estar antes de la regla del conjunto completo. Por ejemplo, si yo especifico en una regla denegar el acceso a un host de cierta subred y en otra permitir toda la subred, la ACL diría permita el acceso a todos los hosts de la subred X menos al host Y. Si la ACL se escribe con la regla de la subred antes que la regla del host, la ACL permitiría incluso al host, porque la regla de host cumpliría también la regla de la subred y la regla del host nunca se examinaría. En otras palabras, las reglas más específicas deben estar al principio de la ACL para evitar que las reglas genererales se apliquen siempre y nunca se examinen las específicas. Finalmente todas las ACLs terminan, implícitamente, con una regla No permitir nada más.
Condición = ValorDeReferencia BitsAComparar, donde ValorDeReferencia tiene el formato de dirección IP y BitsAComparar es una máscara wildcard.
La condición entonces es un valor que el administrador va a escribir arbitrariamente con el fin de aplicar la acción a los paquetes que la cumplan. La condición en ACLs estándar consiste en una dirección de referencia y una máscara wildcard que indica qué bits de la dirección origen de los paquetes comparar con la dirección de referencia que indicó el administrador. Por ejemplo: si yo en mi red tengo una subred de dirección 192.168.1.0/26, para indicar el tráfico que provenga de todos los hosts de esa subred se escribiría la condición 192.168.1.0 0.0.0.63, la dirección es una dirección de referencia y no se puede entender sin la wildcard porque ésta dice qué bits se van a comparar. Cada bit en cero en la WC hace comparar el bit correspondiente en la dir. IP origen de los paquetes interceptados con la dirección de referencia escrita por el administrador.
Si yo quisiera aplicar una acción sólo a los hosts de dirección impar de esta misma subred escribiría la condición 192.168.1.1 0.0.0.62, note que traduciendo el último octeto de la WC a binario 62 = 01111110, el cero al final le indica al enrutador que compare el último bit de la dirección de referencia con el último bit de cada paquete interceptado, por lo tanto, como sabemos que todo número impar en binario tiene que tener el último bit en 1, la condición se cumple para cada paquete que tenga los primeros 3 octetos y el último bit iguales a la dirección de referencia, es decir, toda dirección IP de la forma 192.168.1.[impar], con el último octeto en binario así 0 X X X X X X 1, donde X es un bit cualquiera, porque un 1 en la WC significa no comparar el bit con la dirección de referencia. Si no lo comprende, traduzca los números impares menores que 63 a binario y verá el patrón. Por ejemplo 9 = 00001001, una dirección 192.168.1.9 cumple la condición pero 192.168.1.8 no la cumple, porque 8 = 00001000 y el último bit no es 1, no todos los bits de la dirección IP origen de éste paquete particular coinciden con la dirección de referencia, el último no coincide. Note también que si yo pusiera una condición 0.0.0.1 255.255.255.254, eso significaría que sin importar la red de la que provenga el paquete (la WC indica no comparar los primeros 31 bits, o en otras palabras, no importa qué tenga ni la dirección de referencia ni la dirección origen de los paquetes en los primeros 31 bits), la acción se aplicaría a los paquetes cuyo origen sea una dirección impar (las que tienen el último bit en 1). ¿Será que con eso puede usted deducir qué condición se aplicaría a los paquetes que provengan de direcciones IP con el último octeto en valor par? (Por favor no lo deje en un comentario).
¿Cómo aplicar las ACL?
Finalmente, dado que entendemos la lógica fundamental de las ACLs, debemos mirar un último aspecto conceptual: ¿cómo se aplican?. La idea es que el tráfico de red circula en dos sentidos y en ambos sentidos los patrones de dirección IP origen y destino se intercambian, por lo tanto y como las ACLs se aplican a una interfaz en particular, es necesario tener en cuenta en qué sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicarán porque las direcciones origen no serán las mimas. Es decir, si dos PCs están transfiriendo un archivo, hay dos flujos de datos, uno del PC1 al PC2 en el que la dirección IP origen de todos los paquetes en ese sentido tienen la dirección Ip del PC1 pero el tráfico de retorno tendrá como dirección IP origen la del PC2. Lo anterior nos indica que si diseñamos una ACL que en una de sus reglas aplica una acción a la dirección del PC1, hay que aplicarla en una interfaz en el sentido en el que ese flujo de datos provenga del PC1. El sentido del flujo se entiende como de entrada o salida del enrutador por la interfaz, es decir, si el tráfico sale del enrutador por la interfaz específica o el tráfico entra al enrutador por esa interfaz.
Supongamos que el PC1 tiene la dirección 172.17.20.20/24, el PC2 tiene la dirección 192.168.200.200/24 y nuestro enrutador es el Gateway del PC1 por la interfaz Fastethernet 0/0. Si el flujo de datos hacia el PC2, sale por una interfaz serial digamos la serial 0/0, ¿en qué interfaz y en qué sentido los paquetes de este flujo tienen como dirección IP origen la dirección IP del PC1? Si la ACL va a ser aplicada en la Fa 0/0, el flujo de datos de PC1 a PC2 entrando a Fa 0/0 tiene como dirección origen PC1, en la dirección de salida el origen es PC2 y la regla no aplicaría. En la interfaz serial, el flujo de datos entrante tendría como origen PC2 y de salida tendría como origen PC1. Dado lo anterior, si yo diseño una ACL con una regla que diga permitir 172.17.20.20 0.0.0.0, ésta regla sólo encontraría paquetes coincidentes en la interfaz fa 0/0 si la aplico de entrada y en la interfaz serial 0/0 si la aplico de salida.
Introducción
Antes que nada, y en caso de que algún lector no sepa (o no recuerde) qué significa ACL, éste es una sigla que traduce lista de control de acceso -Access Control Lists en inglés- y es un método popular en redes para controlar qué nodos de la red tienen qué permisos sobre el sistema que implementa las ACLs. En Cisco, las ACLs son un mecanismo genérico para clasificar conjuntos de direcciones o flujos de datos, en éso yo siempre hago mucho énfasis, porque las ACLs en CCNA se ven como un mecanismo de seguridad, pero se dan visos de lo que realmente son: un mecanismo para clasificar direcciones y flujos de datos.
Un sistema de red, como Squid por ejemplo, es un sistema que hace algo con el tráfico que entra y sale de él. Las ACLs interceptan el tráfico y, para cada paquete, se comparan sus valores particulares con valores predefinidos por el administrador en la Lista y, con base en ese condicionamiento, se le aplica a los paquetes alguna acción según lo que quiera el administrador que suceda.
La dinámica compleja de las ACLs es el hecho de imaginar un sólo paquete y llevarlo a una secuencia de paquetes mezclada. El hecho es que cuando en una ACL especificamos los valores que queremos comparar, realmente estamos aplicando eso a cada paquete dentro de un flujo particular de paquetes, así para diseñarla nos imaginemos sólo un paquete.
¿Para qué sirven las ACLs en Cisco?
En el currículo de CCNA, las ACLs se usan para aplicar una política de seguridad que permite o niega el acceso de cierta parte de la red a otra. La granularidad de las ACLs permite que estas partes sean o bien PC específicos o partes de una subred arbitrariamente, es decir, permite que se conceda o niegue el acceso desde un único PC hasta otro, de un segmento de red a otro o cualquier combinación que se quiera.
En Cisco en general, las ACLs sirven para clasificar conjuntos de direcciones, por ejemplo una subred o una parte de una subred. Pero más allá de eso la palabra importante es arbitrariamente, porque las reglas de ACLs permiten cosas tan particulares como seleccionar los PCs que tengan direcciones IP con el último octeto en número impar (sin importar a qué subredes pertenecen). Ésta característica hace que Cisco utilice ACLs en cualquier parte en la que se deba especificar un conjunto de direcciones o un flujo de datos, por ejemplo, en NAT se especifican las direcciones privadas o internas creando una ACL que permite las direcciones a traducir. Si se quiere filtrar o alterar la forma en que un protocolo de enrutamiento arma sus actualizaciones se usan listas de acceso (route-map) , si se quiere alterar la forma en que trabaja la tabla de enrutamiento se usan listas de acceso (policy-based routing), si se quiere especificar qué direcciones pasan por una VPN se usan ACLs, etc. (IPSec). Como se ve, las ACLs son mucho más que un mecanismo de seguridad y por eso es un tema muy importante si se quiere hacer carrera en las certificaciones de Cisco o tener un buen desempeño en enrutamiento y conmutación Cisco.
¿Cómo es una ACL?
Las ACLs, como ya comenté, son la especificación de una acción a realizar sobre paquetes que cumplan ciertas condiciones. Una ACL es un conjunto de reglas identificadas con un número o un nombre y cada regla especifica una acción y una condición, las acciones a aplicar son permitir o denegar todos los paquetes que cumplan la condición asociada a la regla. Una ACL se identifica con un número o un nombre y todas las reglas que tengan el mismo número/nombre hacen parte de la ACL, éstos identificadores suelen indicar también qué tanta expresividad tendrá la ACL, es decir, qué tan específicas pueden ser las reglas.
Un ejemplo de cómo es conceptualmente una ACL es así
Lista-de-acceso X ACCION1 CONDICION1
Lista-de-acceso X ACCION2 CONDICION2
Lista-de-acceso X ACCION3 CONDICION3
La X es el nombre o número que identifica la ACL, por lo tanto todas las reglas anteriores componen la ACL X, una sola ACL. Si cierto paquete cumple la condición1 se le aplica la Acción1, si un paquete cumple la condición 2 se le aplica la acción 2 y así sucesivamente. Las acciones son sólo permitir o denegar y las condiciones dependen del tipo de ACL, las más simples, las estándar especifican valores para comparar con la dirección IP origen de cada paquete, en las más expresivas, llamadas extendidas, las condiciones permiten especificar valores para comparar tanto con la dirección IP origen como con la IP destino e incluso protocolos de capa 4 y parámetros de capa 4 como puertos y banderas de la conexión TCP.
La lógica de funcionamiento de las ACLs es que una vez que se cumpla una condición, se aplica su acción correspondiente y no se examinan más reglas de la ACL. Ésto para disminuír la cantidad de procesamiento del enrutador, pero también tiene una consecuencia, si una regla abarca un conjunto de direcciones y otra un subconjunto del primero, la regla de subconjunto debe estar antes de la regla del conjunto completo. Por ejemplo, si yo especifico en una regla denegar el acceso a un host de cierta subred y en otra permitir toda la subred, la ACL diría permita el acceso a todos los hosts de la subred X menos al host Y. Si la ACL se escribe con la regla de la subred antes que la regla del host, la ACL permitiría incluso al host, porque la regla de host cumpliría también la regla de la subred y la regla del host nunca se examinaría. En otras palabras, las reglas más específicas deben estar al principio de la ACL para evitar que las reglas genererales se apliquen siempre y nunca se examinen las específicas. Finalmente todas las ACLs terminan, implícitamente, con una regla No permitir nada más.
Condición = ValorDeReferencia BitsAComparar, donde ValorDeReferencia tiene el formato de dirección IP y BitsAComparar es una máscara wildcard.
La condición entonces es un valor que el administrador va a escribir arbitrariamente con el fin de aplicar la acción a los paquetes que la cumplan. La condición en ACLs estándar consiste en una dirección de referencia y una máscara wildcard que indica qué bits de la dirección origen de los paquetes comparar con la dirección de referencia que indicó el administrador. Por ejemplo: si yo en mi red tengo una subred de dirección 192.168.1.0/26, para indicar el tráfico que provenga de todos los hosts de esa subred se escribiría la condición 192.168.1.0 0.0.0.63, la dirección es una dirección de referencia y no se puede entender sin la wildcard porque ésta dice qué bits se van a comparar. Cada bit en cero en la WC hace comparar el bit correspondiente en la dir. IP origen de los paquetes interceptados con la dirección de referencia escrita por el administrador.
Si yo quisiera aplicar una acción sólo a los hosts de dirección impar de esta misma subred escribiría la condición 192.168.1.1 0.0.0.62, note que traduciendo el último octeto de la WC a binario 62 = 01111110, el cero al final le indica al enrutador que compare el último bit de la dirección de referencia con el último bit de cada paquete interceptado, por lo tanto, como sabemos que todo número impar en binario tiene que tener el último bit en 1, la condición se cumple para cada paquete que tenga los primeros 3 octetos y el último bit iguales a la dirección de referencia, es decir, toda dirección IP de la forma 192.168.1.[impar], con el último octeto en binario así 0 X X X X X X 1, donde X es un bit cualquiera, porque un 1 en la WC significa no comparar el bit con la dirección de referencia. Si no lo comprende, traduzca los números impares menores que 63 a binario y verá el patrón. Por ejemplo 9 = 00001001, una dirección 192.168.1.9 cumple la condición pero 192.168.1.8 no la cumple, porque 8 = 00001000 y el último bit no es 1, no todos los bits de la dirección IP origen de éste paquete particular coinciden con la dirección de referencia, el último no coincide. Note también que si yo pusiera una condición 0.0.0.1 255.255.255.254, eso significaría que sin importar la red de la que provenga el paquete (la WC indica no comparar los primeros 31 bits, o en otras palabras, no importa qué tenga ni la dirección de referencia ni la dirección origen de los paquetes en los primeros 31 bits), la acción se aplicaría a los paquetes cuyo origen sea una dirección impar (las que tienen el último bit en 1). ¿Será que con eso puede usted deducir qué condición se aplicaría a los paquetes que provengan de direcciones IP con el último octeto en valor par? (Por favor no lo deje en un comentario).
¿Cómo aplicar las ACL?
Finalmente, dado que entendemos la lógica fundamental de las ACLs, debemos mirar un último aspecto conceptual: ¿cómo se aplican?. La idea es que el tráfico de red circula en dos sentidos y en ambos sentidos los patrones de dirección IP origen y destino se intercambian, por lo tanto y como las ACLs se aplican a una interfaz en particular, es necesario tener en cuenta en qué sentido se aplica, porque en un sentido las reglas aplican y en otro sentido no aplicarán porque las direcciones origen no serán las mimas. Es decir, si dos PCs están transfiriendo un archivo, hay dos flujos de datos, uno del PC1 al PC2 en el que la dirección IP origen de todos los paquetes en ese sentido tienen la dirección Ip del PC1 pero el tráfico de retorno tendrá como dirección IP origen la del PC2. Lo anterior nos indica que si diseñamos una ACL que en una de sus reglas aplica una acción a la dirección del PC1, hay que aplicarla en una interfaz en el sentido en el que ese flujo de datos provenga del PC1. El sentido del flujo se entiende como de entrada o salida del enrutador por la interfaz, es decir, si el tráfico sale del enrutador por la interfaz específica o el tráfico entra al enrutador por esa interfaz.
Supongamos que el PC1 tiene la dirección 172.17.20.20/24, el PC2 tiene la dirección 192.168.200.200/24 y nuestro enrutador es el Gateway del PC1 por la interfaz Fastethernet 0/0. Si el flujo de datos hacia el PC2, sale por una interfaz serial digamos la serial 0/0, ¿en qué interfaz y en qué sentido los paquetes de este flujo tienen como dirección IP origen la dirección IP del PC1? Si la ACL va a ser aplicada en la Fa 0/0, el flujo de datos de PC1 a PC2 entrando a Fa 0/0 tiene como dirección origen PC1, en la dirección de salida el origen es PC2 y la regla no aplicaría. En la interfaz serial, el flujo de datos entrante tendría como origen PC2 y de salida tendría como origen PC1. Dado lo anterior, si yo diseño una ACL con una regla que diga permitir 172.17.20.20 0.0.0.0, ésta regla sólo encontraría paquetes coincidentes en la interfaz fa 0/0 si la aplico de entrada y en la interfaz serial 0/0 si la aplico de salida.
viernes, 2 de enero de 2009
Actividad de fin de año 2008
El grupo de Tecnologos en administracion de Redes Tar III, realizo una actividad ludica con niños del barrio la honda, el corregimineto de chambimbal, donde dieron regalos y refigerio a estos niños, los cuales pasaron un gran dia, ademas realiron una despedida de año con algunas madres y familiares de ellos, incluida mi señora la madre.
Esta son las evidencias de dicha actividad.
Suscribirse a:
Entradas (Atom)