ARP y RARP
Son protocolos de la capa de Enlace de Datos (Data Link Layer)
TCP usa el protocolo de resolución de dirección ARP (Address Resolution Protocol) y el de resolución inversa, Reverse Address Resolution Protocol RARP para iniciar el uso del direccionamiento en una red que usa su propio control de acceso al medio (MAC), como es el caso de Ethernet. ARP permite que un host se comunique con otro cuando sólo se conoce la dirección de internet (IP addess) de su vecino y desconocemos la dirección física. Antes de usar IP, el host origen envía un broadcast a todas las MAC addresses (ff.ff.ff.ff.ff.ff) de ARP con la dirección IP del sistema de destino deseado.
EL formato de ARP es:
![ARP (by [95148845@N00])](http://farm3.static.flickr.com/2712/4093397832_0ab18e9854_o.jpg "ARP (by [95148845@N00])")
Los valores del campo de operación pueden ser:
1 ARP request.
2 ARP response.
3 RARP request.
4 RARP response.
5 Dynamic RARP request.
6 Dynamic RARP reply.
7 Dynamic RARP error.
8 InARP request.
9 InARP reply.
Los RFC involucrados son el 1390, 1293, 826, 2390
Más sobre la capa de enlace de datos, más sobre las direcciones MAC, más sobre el direccionamiento IP
TCP usa el protocolo de resolución de dirección ARP (Address Resolution Protocol) y el de resolución inversa, Reverse Address Resolution Protocol RARP para iniciar el uso del direccionamiento en una red que usa su propio control de acceso al medio (MAC), como es el caso de Ethernet. ARP permite que un host se comunique con otro cuando sólo se conoce la dirección de internet (IP addess) de su vecino y desconocemos la dirección física. Antes de usar IP, el host origen envía un broadcast a todas las MAC addresses (ff.ff.ff.ff.ff.ff) de ARP con la dirección IP del sistema de destino deseado.
EL formato de ARP es:
Los valores del campo de operación pueden ser:
1 ARP request.
2 ARP response.
3 RARP request.
4 RARP response.
5 Dynamic RARP request.
6 Dynamic RARP reply.
7 Dynamic RARP error.
8 InARP request.
9 InARP reply.
Los RFC involucrados son el 1390, 1293, 826, 2390
Más sobre la capa de enlace de datos, más sobre las direcciones MAC, más sobre el direccionamiento IP
Mapa de Sitios Arqueológicos Mayas
Hice este mapa porque tengo una gran afición a visitar zonas arqueológicas, y me di cuenta de que a veces es difícil encontrar algunas de las zonas para poder planear una ruta y hacer un viaje que valga la pena. Y como no todo en la vida es estudiar, aquí se los dejo:
View Mapa de Ciudades Mayas in a larger map
View Mapa de Ciudades Mayas in a larger map
maya map , mapa maya, mapa de ciudades mayas, mapa arqueológico maya
Fibra Óptica
Creo que a todos los que estamos en las telecomunicaciones nos interesa saber un poco sobre Fibra Óptica, por lo que les dejo este libro de Cisco:
Optical network design and implementation, escrito por Vivek Alwayn (CCIE 2995)
# ISBN-10: 1587051052 ISBN-13: 978-1587051050
Optical network design and implementation, escrito por Vivek Alwayn (CCIE 2995)
# ISBN-10: 1587051052 ISBN-13: 978-1587051050
Para recordar (2)
Hay que tener presentes los protocolos y procesos de la capa de aplicación; Telnet es un programa de emulación de terminal que te permite entrar a un host remoto y ejecutar programas. FTP es un servicio orientado a conexión que permite transferir archivos. TFTP es un servicio orientado a no conexión que también transfiere archivos. SMTP es un programa que permite enviar correo.
Los protocolos de la capa de host-to-host (transporte) son TCP, que es orientado a conexión y nos da un servicio de red confiable por medio del uso de acknowledgements y control de flujo. UDP es un protocolo sin conexión que con un overhead pequeño nos da un servicio considerado no confiable.
Los protocolos de la capa de Internet son IP, que es un protocolo no orientado a conexión que provee direccionamiento de red y enrutamiento a través de una red. ARP que encuentra direcciones MAC para una IP conocida. RARP que encuentra la IP de una MAC address conocida. ICMP provee diagnóstico y mensajes de estado de los destinos buscados.
Los rangos de clase de las direcciones IP:
Clase A, de 1.0.0.0 a 126.255.255.255 con 8 bits de red y 24 bits de host.
Clase B, de 128.0.0.0 a 191.255.255.255 con 16 bits de red y 16 bits de host.
Clase C, de 192.0.0.0 a 223.255.255.255 con 24 bits de red y 8 bits de host.
Los rangos de direccionamiento privados;
de 10.0.0.0 a 10.255.255.255
de 172.16.0.0 a 172.31.255.255
de 192.168.0.0 a 192.168.255.255
Recordemos que la dirección 127.0.0.1 está asignada al host local, es la dirección de loopback y es usada para diagnósticos sobre el funcionamiento de nuestro propio stack de TCP, cuando hacemos un ping a esta dirección, el paquete no llega a la interfase física.
Los protocolos de la capa de host-to-host (transporte) son TCP, que es orientado a conexión y nos da un servicio de red confiable por medio del uso de acknowledgements y control de flujo. UDP es un protocolo sin conexión que con un overhead pequeño nos da un servicio considerado no confiable.
Los protocolos de la capa de Internet son IP, que es un protocolo no orientado a conexión que provee direccionamiento de red y enrutamiento a través de una red. ARP que encuentra direcciones MAC para una IP conocida. RARP que encuentra la IP de una MAC address conocida. ICMP provee diagnóstico y mensajes de estado de los destinos buscados.
Los rangos de clase de las direcciones IP:
Clase A, de 1.0.0.0 a 126.255.255.255 con 8 bits de red y 24 bits de host.
Clase B, de 128.0.0.0 a 191.255.255.255 con 16 bits de red y 16 bits de host.
Clase C, de 192.0.0.0 a 223.255.255.255 con 24 bits de red y 8 bits de host.
Los rangos de direccionamiento privados;
de 10.0.0.0 a 10.255.255.255
de 172.16.0.0 a 172.31.255.255
de 192.168.0.0 a 192.168.255.255
Recordemos que la dirección 127.0.0.1 está asignada al host local, es la dirección de loopback y es usada para diagnósticos sobre el funcionamiento de nuestro propio stack de TCP, cuando hacemos un ping a esta dirección, el paquete no llega a la interfase física.
Para recordar:
Un Dominio de Colisión es un término Ethernet usado para describir un grupo de equipos de dispositivos en red, en el cual un dispositivo en particular envía un paquete hacia un segmento de red, y todo dispositivo en ese segmento es forzado a escuchar. En un Dominio de Broadcast, un conjunto de dispositivos de red sólo escucha los broadcasts enviados, y no cada paquete.
Las posibles causas de congestión en una red son:
Recuerda las capas del modelo OSI, las capas de Aplicación, Presentación y Sesión son responsables de comunicarse de la interfase de usuario a la aplicación. La capa de Transporte provee segmentación, secuenciamiento y circuitos virtuales. La capa de red provee direccionamiento lógico en la red y ruteo entre las redes (internetwork). La capa de enlace de datos provee en encapsulado en frames o tramas y pone los datos en el medio de red. La capa física es responsable de tomar 1s y 0s en codificarlos en una señal digital para su transmisión en un segmento de red.
Recuerda que la diferencia entre servicios orientados a conexión y no orientados a conexión es que los servicios orientados a conexión (encapsulados en TCP) usan acuse de recibo (acknowledgement) y control de flujo para crear una sesión confiable. Se requiere un overhead mayor que lo usado en un servicio no orientado a conexión. Los servicios no orientados a conexión (UDP) se usan para enviar datos sin un acuse y sin control de flujo; por eso se consideran no confiables.
Debemos recordar que hay 3 tipos de cables Ethernet:
Las posibles causas de congestión en una red son:
- demasiados hosts en el dominio de broadcast
- tormentas de broadcast
- multicasting
- poco ancho de banda
Recuerda las capas del modelo OSI, las capas de Aplicación, Presentación y Sesión son responsables de comunicarse de la interfase de usuario a la aplicación. La capa de Transporte provee segmentación, secuenciamiento y circuitos virtuales. La capa de red provee direccionamiento lógico en la red y ruteo entre las redes (internetwork). La capa de enlace de datos provee en encapsulado en frames o tramas y pone los datos en el medio de red. La capa física es responsable de tomar 1s y 0s en codificarlos en una señal digital para su transmisión en un segmento de red.
Recuerda que la diferencia entre servicios orientados a conexión y no orientados a conexión es que los servicios orientados a conexión (encapsulados en TCP) usan acuse de recibo (acknowledgement) y control de flujo para crear una sesión confiable. Se requiere un overhead mayor que lo usado en un servicio no orientado a conexión. Los servicios no orientados a conexión (UDP) se usan para enviar datos sin un acuse y sin control de flujo; por eso se consideran no confiables.
Debemos recordar que hay 3 tipos de cables Ethernet:
- los straight-through usados de una PC o un router hacia un hub o un switch
- los cross-over, usados hub-hub, de router-router, switch-switch o PC-PC;
- y el rolled, usado para conectarse a la consola de un router o switch desde una PC, recordemos que para usar la Hyperterminal y conectarnos a la consola debemos usar 9600BPS y flow control none
Cisco Guide to Harden Cisco IOS Devices
Esta guía nos da información sobre como asegurar nuestros dispositivos Cisco para incrementar la seguridad de toda la red, y nos basaremos en los 3 planos en los que un dispositivo se puede clasificar.
Los 3 planos funcionales de una red son:
Leer las políticas en el Cisco Security Vulnerability Policy.
También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.
Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.
Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.
Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).
Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.
- Management Plane, que administra tráfico enviado al dispositivo Cisco con IOS; y está hecho de aplicaciones tales como SSH y SNMP.
- Control Plane, parte de un dispositivo de red que procesa el tráfico que es la base para mantener el funcionamiento de una red. Los protocolos que se manejan aquí incluyen BGP, protocolos de gateway interior (IGPs) como EIGRP y OSPF.
- Data Plane, que reenvía el tráfico de datos a través del dispositivo de red.
Ahora, para asegurar los dispositivos debemos seguir una serie de recomendaciones que Cisco nos da:
Asegurar las operaciones, aunque podemos agregar configuraciones para aumentar la seguridad, éstas no pueden funcionar solas; para asegurar la red completamente debemos seguir procedimientos operacionales junto con las configuraciones. Por ejemplo:
Revisar las advertencias de seguridad y respuestas dadas en el Cisco Product Security Incident Response Team (PSIRT)
Leer las políticas en el Cisco Security Vulnerability Policy.
También debemos recurrir al Risk Triage para revisar los anuncios de vulnerabilidad y poder hacer un proceso de evaluación de nuestra seguridad.
Usar AAA en nuestra red (Authentication, Authorization and Accounting), esto es muy importante para dar seguridad al manejo de sesiones hacia nuestros dispositivos.
Centralizar la recolección de logs y su monitoreo; ya que en caso de un incidente, debemos tener toda la información de la red para su análisis; y algunos programas pueden ayudarnos a hacer una correlación entre los logs de los distintos dispositivos para facilitar el análisis y detectar vulnerabilidades.
Usar protocolos seguros cuando sea posible, por ejemplo, en lugar de TFTP o FTP, usar SCP (Secure Copy Protocol); o usar SSH en lugar de telnet, y limitar el uso de dichos protocolos por origen, por ejemplo, permitir sólo sesiones de SSH desde la LAN, bloquear el SNMP desde la WAN (SNMPv3 puede usar autenticación).
Usar Netflow para tener una mejor idea del tráfico en la red, poder identificarlo y rastrearlo hacia su origen en caso necesario.
Asegurando el Management Plane.
Componentes de un router
- Bootstrap, parte del microcódigo del ROM y sirve para iniciar el router durante su arranque; hace el arranque (boot) y entonces carga el IOS.
- POST (power-on self test), parte del ROM tabién, revisa la funcionalidad básica del hardware en el router y determina cuales interfases están presentes.
- ROM monitor; también es parte del microcódigo del ROM, se usa para manejar, probar y resolver problemas.
- Mini-IOS, también llamado RXBOOT o bootloader, es un IOS pequeño presente en el ROM que puede levantar una interfase y cargar un IOS en la memoria flash, entre otras funciones de mantenimiento.
- ROM, usado para arrancar y mantener el router; contiene el mini-IOS, el bootstrap y el POST.
- Flash memory, por defecto almacena el IOS, no se borra si se reinicia el router, y es una EEPROM.
- NVRAM (nonvolatile RAM), se usa para contener las configuraciones de routers y switches, no se borra si reiniciamos el router o switch. Aquí se almacena el registro de configuración (config registry).
- Registro de configuración, controla el cómo arranca el router, es el valor que está al final de un show version y por defecto es 0x2102, lo que indica que el router debe cargar el IOS de la memoria flash y cargar la configuración de la NVRAM.
Router, configuración administrativa y básica de una interfase
Vamos a ver la configuración básica de un router, en este caso un ISR Cisco 2811, para poner un nombre, los passwords de consola, de telnet, de ssh, el enable secret; y haremos la configuración de una interfase serial WIC-1T como DCE para comunicarse al router 1841 que tenemos conectado.
Es importante saber que un entorno de prueba, donde hay dos routers conectados back-to-back, uno de ellos debe proporcionar la señal de reloj (clock rate).
Comenzamos reiniciando el router, que no tiene configuración de arranque, por lo que nos preguntará si queremos ejecutar el asistente, pero haremos la configuración manualmente, (configuración para Packet Tracer v5.1 aquí)
Es importante saber que un entorno de prueba, donde hay dos routers conectados back-to-back, uno de ellos debe proporcionar la señal de reloj (clock rate).
Comenzamos reiniciando el router, que no tiene configuración de arranque, por lo que nos preguntará si queremos ejecutar el asistente, pero haremos la configuración manualmente, (configuración para Packet Tracer v5.1 aquí)
Posts
